Schlagwort-Archive: Datenschutz

Verdammt, es ist Weihnachtszeit!

Die Adventszeit soll uns eigentlich Besinnlichkeit bescheren. Gelichzeitig jedoch wollen wir Geschäftspartner mit einem weihnachtlichen Gruß erfreuen. An dieser Stelle nimmt das Drama seinen Anfang. Was ist schon ein herzerwärmender Weihnachtsgruß ohne persönliche Ansprache des Empfängers. Und schwupps – schon ist man von weihnachtlicher Beschaulichkeit bei der Datenschutz-Grundverordnung (DS-GVO) und dem Gesetz gegen den unlauteren Wettbewerb (UWG) gelandet.

Weihnachtliche Grüße, die per E-Mail versandt werden, sind werbende Maßnahmen und unterliegen somit den Regelungen des UWG (§ 7 Abs. 2 Nr. 3). Ohne vorliegende und dokumentierte Einwilligung kann die Weihnachtspost abgemahnt werden. In Bezug auf den DS-GVO könnte man an dieser Stelle mit Art. 6 Abs. 1 Buchstabe f – berechtigtes Interesse – argumentieren. Schließlich will man sich ja den allgemeinen Gepflogenheiten der Weihnachtspost unterordnen. Das UWG hat man damit allerdings immer noch an den Hacken. Nutzt man E-Mail als Kommunikationsweg, sollte man die Gelegenheit nutzen und die Empfänger auf ihr Widerspruchsrecht hinweisen.

Die DS-GVO kommt dann ins Spiel, wenn man mit einem offenen E-Mail-Verteiler arbeitet. Klare Empfehlung an dieser Stelle: BCC-Feld für alle Empfänger nutzen. Das Thema „Offener E-Mail-Verteiler“ hatte ich schon mal ins Blickfeld gerückt.

Oberster europäischer Datenschützer bestätigt

Das Europaparlament hat den Europäischen Datenschutzbeauftragten im Amt bestätigt. Wojciech Rafał WIEWIÓROWSKI, Jurist aus Polen, wird dieses Amt nun offiziell ausüben.

Zu seiner Anhörung als Kandidat schreibt er:

„Ich bin in einem undemokratischen Land in einer Zeit großer Umbrüche aufgewachsen. Ich werde nie vergessen, welche Auswirkungen ein Überwachungsstaat und das Kriegsrecht auf ganz normale Menschen haben: das schreckliche Gefühl, wenn man weiß, dass die Behörden die Privatkorrespondenz und Telefongespräche routinemäßig kontrollieren, und zwar im Namen der „Sicherheit“ und zum „Wohl der Allgemeinheit“. Ich schätze die Freiheit und Würde des Einzelnen aufgrund und meiner eigenen Erfahrungen, und mir ist bewusst, wie wertvoll und zerbrechlich sie sind.“ (https://www.europarl.europa.eu/cmsdata/189187/1192318DE-original.pdf, S. 1)

In der Beschreibung seiner Ziele können wir Dinge lesen wie:

  • „Eine gerechte Welt, in der die Würde des Menschen und kulturelle Vielfalt geachtet werden.“
  • „Die EU-Verwaltung sollte intelligent und innovativ sein.“

    „Das Unionsrecht – und zwar nicht nur die eigentlichen Datenschutzvorschriften, sondern der gesamte Besitzstand – sollte als Benchmark für alle neuen Vorschriften weltweit fungieren.“ (a. o. a. O., S. 2 f.)

    Ich wünsche mir, dass die Berufung Wiewiórowskis den Datenschutzbestrebungen der EU weiter Aufschwung verleiht. Große Themen kommen in den nächsten Jahren auf uns zu. Der Gesundheitsbereich wird weiter digitalisiert, Robotik und KI entwickeln sich weiter. Die Themen Biometrie und Gesichtserkennung stehen nicht mehr nur in den Startlöchern, die sind schon gut unterwegs. Ein möglicher ungeordneter Brexit und weitere Auseinandersetzungen mit den USA werden Europa fordern. Für all diese Themen ist es wichtig, eine kluge und kompetente Person an der Spitze der Europäischen Datenschutzbehörde zu haben.

    Geburtstagslisten in Unternehmen

    Spätestens seit Wirksamwerden der DS-GVO, aber eigentlich auch schon früher, sollte klar sein: Ich darf nicht einfach so Geburtstagslisten in Unternehmen oder in Einrichtungen führen und aushängen. Der Bayrische Landesbeauftragte für Datenschutz hat das Thema in seiner Kurzinformation 26 aufgegriffen.

    Ich möchte hier die wesentlichen Aussagen kurz zusammenfassen:

    1. Eine Geburtstagsliste wird geführt oder deren Führung wird veranlasst. Gemäß Artikel 4 Absatz 7 ist dann das Unternehmen, die Behörde oder die Einrichtung die verantwortliche Stelle.
    2. Geburtstagslisten unterliegen dem Personaldatenschutz.
    3. Da es keine gesetzliche Grundlage für Geburtstagslisten gibt und solche auch nicht zur Erfüllung von Arbeitsverträgen erforderlich sind, bleibt nur die Einwilligung der Betroffenen als Rechtsgrundlage für das Führen und Veröffentlichen einer Geburtstagsliste.
    4. Auch Geburtstagslisten unterliegen der Datenschutzdokumentation, d. h. das Verfahren „Geburtstagsliste“ ist in das Verzeichnis der verarbeitenden Tätigkeiten aufzunehmen. Es besteht den Mitarbeitern gegenüber eine Informationspflicht. Zum Führen von Geburtstagslisten und der damit einhergehenden Veröffentlichung sollte eine TOM (technisch-organisatorische Maßnahme) angelegt werden.

    Das ist ein ziemlich hoher Aufwand für das Führen und das betriebsinterne Veröffentlichen einer Geburtstagsliste. Ich finde es ok, wenn eine relativ hohe Schwelle für so eine Liste besteht.

    Der Gutscheintrick – aktuell „Rossmann“

    Um es gleich vorweg zu nehmen: Der aktuell kursierende Gutschein in Höhe von 75 Euro hat in etwa so viel mit der Unternehmensgruppe Rossmann zu tun, wie ich mit dem britischen Königshaus – nix!

    Die Masche wird gern verwendet, um an personenbezogene Daten wie Postanschrift, E-Mail-Adresse oder Telefonnummer zu gelangen. Und das geht so:

    Zuerst bastelt man sich einen Gutschein. Der muss natürlich echt aussehen. Dann richtet man sich eine kleine Website ein und publiziert diese unter einer möglichst echt aussehenden Adresse, z. B. rossmann-de.com. Das ist – klar – nicht das Unternehmen Rossmann.

    Jetzt stellt man ein paar unverfängliche Fragen zum Einkaufverhalten, zu Alter und Geschlecht. Aus der änfänglichen Option, dass jeder Teilende den Gutschein erhält, wird jetzt eine mehrstufige Aufgabe. Zuerst muss man den Gutschein und die damit verbundene Aktion auf Facebook teilen. Dann muss man seine Daten angeben, damit man den Gutschein zugeschickt bekommt.

    Jetzt haben die Gauner mein Alter bzw. meine Altersgruppe und meine Kontaktdaten. Den Gutschein wird man wohl nie erhalten.

    Schöne Maschen, die muss ich mir merken. Wenn dass Geld mal knapp wird, verkaufe ich Daten.

    Hausdurchsuchung in Thüringen

    Der Landesbeauftragte für Datenschutz in Thüringen veranlasste eine Hausdurchsuchung bei einer Privatperson.

    Die Wohnung eines Drohnenbesitzers wurde von der Thüringer Polizei durchsucht. Dabei wurden Datenträger beschlagnahmt. Der Durchsuchung gingen Beschwerden von Nachbarn voraus. Diese hatten angegeben, dass die Drohne ohne Sichtkontakt vor allem in den Abendstunden geflogen wurde. Gärten wurden überflogen, Schlafzimmerfenster könnten gefilmt worden sein.

    Die Gefahr von Eingriffen in die Privatsphäre sah der Landesbeauftragte für Datenschutz in Thüringen als so groß an, dass dem das zuständige Gericht folgte und die Durchsuchung veranlasste.

    Cookies mal wieder

    Am 1. Oktober 2019 hat der EuGH ein wichtiges Urteil zum Umgang mit Cookies auf Websites erlassen. Bisher gab es diesbezüglich ja ein ziemliches Rumgewurschtel, zumindest in Deutschland.

    Was bestimmt das Urteil?

    1. Nicht zulässig sind Checkboxen, die bereits aktiviert wurden. Um Cookies zu verhindern, müssten diese Checkbox erst deaktiviert werden.
    2. Zu den Pflichtangaben zählen Informationen zur Funktion der Cookies, zu ihrer Lebensdauer und zu etwaigen Zugriffen Dritter auf diese. Diese Informationen sind den Betroffenen leicht zugänglich verfügbar zu machen.
    3. Ausgenommen davon sind technische Cookies. Als solche werden gemeinhin Cookies verstanden, die dem Login-Status dienen, die Sprachwahl speichern und den Warenkorb abbilden.

    Da werden einige Websitebetreiber wohl schnell handeln müssen.

    Wie weit geht der Auskunftsanspruch Betroffener?

    Die DS-GVO stärkt Betroffenenrechte. Das haben wir besonders um den 25. Mai 2018 herum sehr oft gehört. Daran kann man zweifeln. Man kann das Thema abtun. Die Praxis jedoch bestätigt die Tatsache, dass Betroffene und ihre Rechte ernst genommen werden.

    Am 26. Juli diesen Jahres musste sich das OLG Köln mit der Frage befassen, wie weit Betroffenenrechte denn nun genau gehen. Im konkreten Fall ging es um Telefonnotizen, die eine Versicherung zu einem Kunden angelegt hatte. Der Kunde wollte gemäß Art. 15 DS-GVO Auskunft über diese Telefonnotizen. Die Versicherung wollte die aber nicht Beauskunften.

    In der Schnellfassung: Telefon- und Gesprächsnotizen fallen unter das Auskunftsrecht. Im Ergebnis sollte man sich also sehr gut überlegen, wozu man auch Bemerkungsfelder nutzt.

    Bundestag lockert Datenschutzvorgaben?

    In seiner Sitzung am 27. Juni 2019 nahm der Bundestag den Gesetzesentwurf zur Anpassung des Datenschutzrechts an. Mit diesem Gesetzesentwurf soll eine Vereinfachung für Vereine, klein- und mittelständische Unternehmen sowie für ärztliche und therapeutische Praxen geschaffen werden.

    Ein Datenschutzbeauftragter ist nach dieser Neufassung erst zu bestellen, wenn 20 und mehr Personen regelmäßig mit der Verarbeitung personenbezogener Daten beschäftigt sind.

    Na das klingt doch ganz nach einem großen Wurf. In der Realität ergeben sich aus meiner Sicht zwei bemerkenswerte Probleme. In die Ermittlung der Grenze von 20 Beschäftigten ist die Verarbeitung im Auftrag einzubeziehen. Worin aus meiner Erfahrung das viel größere Problem besteht: Eine rechtssichere Datenschutzdokumentation muss ja trotzdem erstellt werden. Das macht nun die verantwortliche Person selbst?

    Ob es sich hierbei tatsächlich um eine Erleichterung für die Praxis handelt, bleibt abzuwarten.

    Und noch einmal: DS-GVO und Fotos

    Im 47. Tätigkeitsbericht des Hessischen Landesbeauftragten für Datenschutz findet man ab Seite 91 einen interessanten und klärenden Abschnitt zum Thema „Fotos und DS-GVO“. Professor Dr. Michael Ronellenfitsch klärt hier noch einmal über das Thema auf.

    Digitale Fotos, auf denen einzelne Personen erkennbar und auch identifizierbar sind, fallen unter die Bestimmungen der DS-GVO. Digitales Fotografieren oder Filmen stellen Prozesse der Datenerhebung dar. Ein Veröffentlichen von solchen Fotos oder Videos fällt unter die Prozesse Datenverarbeitung und Datenweitergabe.

    Zwei Situationen müssen hierbei allerdings aus der Betrachtung herausgehalten werden: Private Aufnahmen und Aufnahmen, solange diese nicht einem größeren Empfängerkreis (Website, Social Media,…) zugänglich gemacht werden sowie Aufnahmen, die zu journalistischen Zwecken erzeugt wurden. Hier gilt weiterhin der Kunsturhebergesetz (KUG).

    Für alle anderen Situationen gilt die DS-GVO. Hierbei dürfte für die meisten Situationen eine Einwilligung als Erlaubnisgrund zur Anwendung kommen. Für das Erteilen einer Einwilligung gibt es verschiedene Möglichkeiten: schriftliches oder mündliches Erteilen sowie einwilligendes Verhalten.

    Zum Problem werden alle nicht schriftlich erteilten Einwilligungen dann, wenn es um den Nachweis bezüglich des Erteilens der Einwilligung geht. In diesem Fall stellt die schriftlich erteilte Einwilligung eine sichere Lösung dar. Hinzu kommt, dass die einwilligende Person über ihr Widerspruchsrecht aufgeklärt werden muss. Auch dafür sollte die schriftliche Form der Einwilligung bevorzugt werden.

    Kommt noch die Informationspflicht. Für Fotos oder Videos aufgenommene Personen müssen über Gründe für die Aufnahmen und über Verarbeitungsweisen informiert werden. Hier helfen in unübersichtlichen Situationen tatsächlich nur Handzettel, Aushänge oder Schilder.

    Spannend wird es dann, wenn Fotos im Rahmen eines Beschäftigungsverhältnisses erzeugt und genutzt/veröffentlicht werden. § 26 Abs. 1 BDSG ist da sehr genau. Aufnahmen, die zur Erfüllung des Beschäftigungsverhältnisses zwingend erforderlich sind, sind zulässig. Nun sind allerdings die wenigsten Beschäftigten Fotomodels. Das heißt, hier kann man sich nur auf die Einwilligung verlassen.

    In diesem Zusammenhang sei auf zwei Kriterien einer Einwilligung verwiesen: Freiwilligkeit und Widerspruchsrecht. Willigt ein Beschäftigter nicht in Foto- oder Videoaufnahmen ein, so dürfen ihm daraus keine Nachteile entstehen. Müsste er Nachteilen befürchten, wäre das Freiwilligkeitsgebot verletzt.

    Eine einmal erteilte Einwilligung muss widerrufbar sein. Eine spannende Frage hierbei: Welche Löschfristen gelten. Die sollten bereits vorab festgelegt sein. Das kann die verantwortliche Stelle in ihrer Dokumentation tun oder Löschfristen sind in der Einwilligung enthalten. Eine Ausnahme stellen kostenintensive Kampagnen dar. In diesem Fall muss zwischen den Interessen der verantwortlichen Stelle (Kosten) und den Interessen der betroffenen Person abgewogen werden. Bereits veröffentlichte/genutzte Aufnahmen müssen dann unter Umständen nicht gelöscht werden. Der Widerruf kann sich dann nur auf das zukünftige Nutzen beziehen.

    Jetzt werden auch noch Forderungen aufgemacht

    Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, ist noch nicht so lange im Amt. Aber schon rappelt es im Karton. Ob er direkt etwas mit den Forderungen der 37. Konferenz der Informationsfreiheitsbeauftragten zu tun hatte, ist nicht erkennbar. Aber es ist schon seltsam, welche Vorstöße es derzeit so gibt.

    Am 12. Juni 2019 tagte besagte Konferenz der Informationsfreiheitsbeauftragten in Saarbrücken. Und diese Konferenz fordert nun von der Politik mehr Transparenz ein. Der Widerspruch schwebt ja schon seit einiger Zeit über’m Land. AKK fordert Klarnamenpflicht. Ihre Gegner fordern ein Lobbyregister. Und nun kommen auch noch die Informationsfreiheitsbeauftragten daher. Auf ihrer Konferenz in Saarbrücken verabschieden die nun eine Entschließung mit der schönen Bezeichnung „Transparenz im Rahmen politischer Entscheidungsprozesse – Verpflichtendes Lobbyregister einführen“.

    Da wird die Politik bestimmt begeistert sein. Es ist mehr als an der Zeit, dass Lobbyismus und politische Entscheidungsprozesse transparenter werden.