Archiv der Kategorie: Datenschutz

Datenschutz, informationelle Selbstbestimmung, DS-GVO

Cookies mal wieder

Am 1. Oktober 2019 hat der EuGH ein wichtiges Urteil zum Umgang mit Cookies auf Websites erlassen. Bisher gab es diesbezüglich ja ein ziemliches Rumgewurschtel, zumindest in Deutschland.

Was bestimmt das Urteil?

  1. Nicht zulässig sind Checkboxen, die bereits aktiviert wurden. Um Cookies zu verhindern, müssten diese Checkbox erst deaktiviert werden.
  2. Zu den Pflichtangaben zählen Informationen zur Funktion der Cookies, zu ihrer Lebensdauer und zu etwaigen Zugriffen Dritter auf diese. Diese Informationen sind den Betroffenen leicht zugänglich verfügbar zu machen.
  3. Ausgenommen davon sind technische Cookies. Als solche werden gemeinhin Cookies verstanden, die dem Login-Status dienen, die Sprachwahl speichern und den Warenkorb abbilden.

Da werden einige Websitebetreiber wohl schnell handeln müssen.

Wie weit geht der Auskunftsanspruch Betroffener?

Die DS-GVO stärkt Betroffenenrechte. Das haben wir besonders um den 25. Mai 2018 herum sehr oft gehört. Daran kann man zweifeln. Man kann das Thema abtun. Die Praxis jedoch bestätigt die Tatsache, dass Betroffene und ihre Rechte ernst genommen werden.

Am 26. Juli diesen Jahres musste sich das OLG Köln mit der Frage befassen, wie weit Betroffenenrechte denn nun genau gehen. Im konkreten Fall ging es um Telefonnotizen, die eine Versicherung zu einem Kunden angelegt hatte. Der Kunde wollte gemäß Art. 15 DS-GVO Auskunft über diese Telefonnotizen. Die Versicherung wollte die aber nicht Beauskunften.

In der Schnellfassung: Telefon- und Gesprächsnotizen fallen unter das Auskunftsrecht. Im Ergebnis sollte man sich also sehr gut überlegen, wozu man auch Bemerkungsfelder nutzt.

Bundestag lockert Datenschutzvorgaben?

In seiner Sitzung am 27. Juni 2019 nahm der Bundestag den Gesetzesentwurf zur Anpassung des Datenschutzrechts an. Mit diesem Gesetzesentwurf soll eine Vereinfachung für Vereine, klein- und mittelständische Unternehmen sowie für ärztliche und therapeutische Praxen geschaffen werden.

Ein Datenschutzbeauftragter ist nach dieser Neufassung erst zu bestellen, wenn 20 und mehr Personen regelmäßig mit der Verarbeitung personenbezogener Daten beschäftigt sind.

Na das klingt doch ganz nach einem großen Wurf. In der Realität ergeben sich aus meiner Sicht zwei bemerkenswerte Probleme. In die Ermittlung der Grenze von 20 Beschäftigten ist die Verarbeitung im Auftrag einzubeziehen. Worin aus meiner Erfahrung das viel größere Problem besteht: Eine rechtssichere Datenschutzdokumentation muss ja trotzdem erstellt werden. Das macht nun die verantwortliche Person selbst?

Ob es sich hierbei tatsächlich um eine Erleichterung für die Praxis handelt, bleibt abzuwarten.

Und noch einmal: DS-GVO und Fotos

Im 47. Tätigkeitsbericht des Hessischen Landesbeauftragten für Datenschutz findet man ab Seite 91 einen interessanten und klärenden Abschnitt zum Thema „Fotos und DS-GVO“. Professor Dr. Michael Ronellenfitsch klärt hier noch einmal über das Thema auf.

Digitale Fotos, auf denen einzelne Personen erkennbar und auch identifizierbar sind, fallen unter die Bestimmungen der DS-GVO. Digitales Fotografieren oder Filmen stellen Prozesse der Datenerhebung dar. Ein Veröffentlichen von solchen Fotos oder Videos fällt unter die Prozesse Datenverarbeitung und Datenweitergabe.

Zwei Situationen müssen hierbei allerdings aus der Betrachtung herausgehalten werden: Private Aufnahmen und Aufnahmen, solange diese nicht einem größeren Empfängerkreis (Website, Social Media,…) zugänglich gemacht werden sowie Aufnahmen, die zu journalistischen Zwecken erzeugt wurden. Hier gilt weiterhin der Kunsturhebergesetz (KUG).

Für alle anderen Situationen gilt die DS-GVO. Hierbei dürfte für die meisten Situationen eine Einwilligung als Erlaubnisgrund zur Anwendung kommen. Für das Erteilen einer Einwilligung gibt es verschiedene Möglichkeiten: schriftliches oder mündliches Erteilen sowie einwilligendes Verhalten.

Zum Problem werden alle nicht schriftlich erteilten Einwilligungen dann, wenn es um den Nachweis bezüglich des Erteilens der Einwilligung geht. In diesem Fall stellt die schriftlich erteilte Einwilligung eine sichere Lösung dar. Hinzu kommt, dass die einwilligende Person über ihr Widerspruchsrecht aufgeklärt werden muss. Auch dafür sollte die schriftliche Form der Einwilligung bevorzugt werden.

Kommt noch die Informationspflicht. Für Fotos oder Videos aufgenommene Personen müssen über Gründe für die Aufnahmen und über Verarbeitungsweisen informiert werden. Hier helfen in unübersichtlichen Situationen tatsächlich nur Handzettel, Aushänge oder Schilder.

Spannend wird es dann, wenn Fotos im Rahmen eines Beschäftigungsverhältnisses erzeugt und genutzt/veröffentlicht werden. § 26 Abs. 1 BDSG ist da sehr genau. Aufnahmen, die zur Erfüllung des Beschäftigungsverhältnisses zwingend erforderlich sind, sind zulässig. Nun sind allerdings die wenigsten Beschäftigten Fotomodels. Das heißt, hier kann man sich nur auf die Einwilligung verlassen.

In diesem Zusammenhang sei auf zwei Kriterien einer Einwilligung verwiesen: Freiwilligkeit und Widerspruchsrecht. Willigt ein Beschäftigter nicht in Foto- oder Videoaufnahmen ein, so dürfen ihm daraus keine Nachteile entstehen. Müsste er Nachteilen befürchten, wäre das Freiwilligkeitsgebot verletzt.

Eine einmal erteilte Einwilligung muss widerrufbar sein. Eine spannende Frage hierbei: Welche Löschfristen gelten. Die sollten bereits vorab festgelegt sein. Das kann die verantwortliche Stelle in ihrer Dokumentation tun oder Löschfristen sind in der Einwilligung enthalten. Eine Ausnahme stellen kostenintensive Kampagnen dar. In diesem Fall muss zwischen den Interessen der verantwortlichen Stelle (Kosten) und den Interessen der betroffenen Person abgewogen werden. Bereits veröffentlichte/genutzte Aufnahmen müssen dann unter Umständen nicht gelöscht werden. Der Widerruf kann sich dann nur auf das zukünftige Nutzen beziehen.

Jetzt werden auch noch Forderungen aufgemacht

Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, ist noch nicht so lange im Amt. Aber schon rappelt es im Karton. Ob er direkt etwas mit den Forderungen der 37. Konferenz der Informationsfreiheitsbeauftragten zu tun hatte, ist nicht erkennbar. Aber es ist schon seltsam, welche Vorstöße es derzeit so gibt.

Am 12. Juni 2019 tagte besagte Konferenz der Informationsfreiheitsbeauftragten in Saarbrücken. Und diese Konferenz fordert nun von der Politik mehr Transparenz ein. Der Widerspruch schwebt ja schon seit einiger Zeit über’m Land. AKK fordert Klarnamenpflicht. Ihre Gegner fordern ein Lobbyregister. Und nun kommen auch noch die Informationsfreiheitsbeauftragten daher. Auf ihrer Konferenz in Saarbrücken verabschieden die nun eine Entschließung mit der schönen Bezeichnung „Transparenz im Rahmen politischer Entscheidungsprozesse – Verpflichtendes Lobbyregister einführen“.

Da wird die Politik bestimmt begeistert sein. Es ist mehr als an der Zeit, dass Lobbyismus und politische Entscheidungsprozesse transparenter werden.

Neues zur Videoüberwachung

Die Videoüberwachung öffentlicher Räume durch Privatpersonen, Unternehmen oder Einrichtungen wird durch die DS-GVO geregelt. Am 27. März 2019 urteilte nun das Bundesverwaltungsgericht dazu.

Das Urteil bestätigte die doch sehr engen Grenzen der DS-GVO für Videoüberwachungen. Herangezogen können nur Gründe werden, die so schwerwiegend sind, dass sich ein Eingriff in die Privatsphäre der gefilmten Personen begründen lässt. Das Verhindern von Straftaten wie Eigentumsdelikten, Vandalismus, Brandstiftung u. A. kann als Argument dienen.

Sollte unter diesen Prämissen eine Videoüberwachung möglich und erforderlich sein, sollte das Kurzpapier der Datenschutzkonferenz berücksichtigt werden.

Datenschutztag 2019 in Berlin

Kommt das Thema Datenschutz zur Sprache, erlebe ich oft genervte Reaktionen: Was soll der Mist? Da hält sich doch eh keiner dran! Die Großen machen doch eh, was sie wollen. Ich empfinde das Thema als spannend und ich halte es für wichtig. Unsere Daten repräsentieren uns, sie machen uns zu einordbaren Individuen. Und werden wir nicht manchmal auch wegen unserer Daten stigmatisiert?

Ich sitze also im Park Inn am Alexanderplatz in Berlin. Die Tagung läuft und verspricht, spannend zu werden.

Die DS-GVO kann durchaus nach einem Jahr als Erfolgskonzept bewertet werden. Die Wirtschaft findet jetzt ein harmonisiertes Europäisches Recht vor. Der Binnenmarkt wird gestärkt. Personenbezogene Daten können frei innerhalb der EU übermittelt werden. Die Rechte der Aufsichtsbehörden sind gestärkt. Gleichzeitig wurde deren Aufgabenbereich erweitert. Besonders die Erhöhung der Bußgelder bewirkt einen Handlungsdruck bei den verantwortlichen Stellen. Die Rechte Betroffener wurden gestärkt. Hierbei seien nur das Recht auf Vergessen und und das Recht auf Datenübertragbarkeit zu nennen. Betroffene können sich jetzt an regionale Aufsichtsbehörden wenden, wenn ihre Rechte verletzt wurden. Ein Auseinandersetzen mit ausländischen und damit fremdsprachlichen Behörden entfällt jetzt. Im Land Berlin haben sich beispielsweise die Beschwerden Betroffener um den Faktor 3,5 erhöht.

Ein sehr spannendes Thema stellt der Brexit unter dem Gesichtspunkt von Datenübermittlungen dar. Beachtenswert hierbei ist eine Übermittlung von Daten aus der EU nach Großbritannien. Bei einem No-Deal-Brexit wird GB ab 31. Oktober 2019 zum Drittstaat. Interessanter Weise fällt dieser Schritt nach erneuter Verschiebung jetzt auf Halloween. Da werden wohl die Datengeister toben. Betroffene Stellen müssen Vorsorge treffen. Ein Angemessenheitsbeschluss der EU wird auf sich warten lassen. Warum auch sollte man GB entgegen kommen? Ein wirksames Werkzeug wäre dann Art. 46 Abs. 2 Buchstabe c. Hierbei können Standardvertragsklauseln der EU genutzt und als Vertragsgegenstand implementiert werden.

Ein heikles Thema beschäftigt sich mit Datenschutzvorfällen und den daraus u. U. resultierenden Meldepflichten. Ein meldepflichtiger Datenschutzvorfall liegt immer dann vor, wenn personenbezogene Daten betroffen sind und wenn daraus ein Risiko für die Betroffenen besteht. Die Datenschutzdokumentation sollte für diesen Fall Maßnahmen beschreiben. Der Vorfall muss zunächst intern gemeldet werden. Anschließend ist er zu analysieren und Sofortmaßnahmen müssen abgeleitet werden. Muss die aufsichtführende Behörde in Kenntnis gesetzt werden? Müssen betroffene Personen informiert werden? Jetzt können wiederherstellende Maßnahmen ergriffen werden. Abschließend sollte der gesamte Ablauf reflexiert werden. Welche Lehren vermittelt uns der Vorfall?

Art. 6 DS-GVO und die Vertragserfüllung

Artikel 6 Absatz 1 Buchstabe b erlaubt eine Verarbeitung personenbezogener Daten im Kontext einer Vertragserfüllung. Nun wurde am 10. April 2019 die Leitlinie dazu veröffentlicht.

Eine Verarbeitung personenbezogener Daten ist immer dann zulässig, wenn sie im Rahmen einer Vertragserfüllung erfolgt. Die Leitlinie stellt klar, dass es sich hierbei nicht um einen Freifahrtschein für Unternehmen handelt. Die Verarbeitung ist immer im Kontext von Artikel 5 DS-GVO (Sparsamkeit, Fairness, Transparenz) zu bewerten.

Nur weil im Zuge einer Vertragserfüllung die E-Mail-Adresse gespeichert wurde, bedeutet dies nicht, dass Unternehmen diese dann auch für Werbezwecke verwenden dürfen. Abhilfe kann hier nur eine zusätzliche Einwilligung schaffen.

In diesem Zusammenhang vielleicht interessant: Einem polnischen Unternehmen wurde ein Bußgeld in Höhe von knapp 220.000 Euro auferlegt. Grund war die unrechtmäßige Benutzung vom 6 Mio. E-Mail-Adressen. Das Unternehmen sah es als unverhältnismäßig an, alle Betroffenen darüber zu informieren (Transparenz).

31. März – Heute ist World Backup Day

Wer braucht denn noch Backups? Die Technik ist heute so sicher, da verschwendet doch niemand mehr Gedanken an Backups. So oder so ähnlich reagieren viele auf das Thema. Mit jedem Tag ohne Datenverlust steigt die Wahrscheinlichkeit, dass es mich trifft. Also sollte ich vorbereitet sein.

Eine interne Festplatte überlebt etwa 10 Jahre. Eine externe hält nur 5 bis 10 Jahre durch. Eine SSD wird etwa nach 10 Jahren müde. In allen Fällen können Umweltfaktoren die Lebensdauer reduzieren. Erschütterungen, hohe oder niedrige Temperaturen, Luftfeuchtigkeit und Nutzungshäufigkeit wirken sich besonders aus.

Ich setze auf ein doppeltes Verfahren. Alle Dateien, die ich selbst erzeugt habe speichere ich in der Cloud. Wöchentlich erstelle ich ein Backup meiner Festplatte. Damit kann ich einem Totalausfall vorbeugen. Mein Smartphone legt täglich ein Cloud-Backup an.

Seit 1991 nutze ich Computer regelmäßig. Ich habe immer noch Dateien, die ich während des Studiums erzeugt habe. Bisher hat mich meine Backup-Strategie geschützt.

Klar, es bleibt die Frage, wie wichtig mir Dateien sind. Wie sehr trifft es mich, wenn mir Fotos verloren gehen? Mich würde es sehr treffen. Also mache ich Backups.

Datenschutz in Europa – Erste Resultate

Die DS-GVO ist Praxis geworden. Viele Aufsichtführende Behörden haben die Kuschelphase abgeschlossen und Bußgelder werden verhängt. Der Europäische Datenschutzausschuss zieht eine erste Bilanz.

Den aufsichtführenden Behörden wurden bisher etwa 200.000 Datenschutzberstöße gemeldet. In diesem Zusammenhang wurden Bußgelder in Höhe von 56 Mio. Euro verhängt. Bedenkt man die Tatsache, dass davon 50 Mio. Euro auf Google entfallen, bleiben noch etwa 6 Mio. Euro „normale“ Bußgelder.

Auch die Bußgelder in Höhe von etwa 6 Mio. Euro müssen relativiert werden. Von den 200.000 Datenschutzverstößen entfallen etwa 95.000 Fälle sind Beschwerden. Hier kann keine Aussage bezüglich der tatsächlichen Verstöße getroffen werden. Beschwerden können ja auch abgewiesen werden.

Fazit sollte sein, dass keine verantwortliche Stelle das Thema Datenschutz aus den Augen verlieren sollte. Dem Risiko einer Datenschutzverletzung kann durch Ein Datenschutzmanagement auf der Grundlage der DS-GVO begegnet werden.