Schlagwort-Archive: Datenschutz

Jetzt werden auch noch Forderungen aufgemacht

Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, ist noch nicht so lange im Amt. Aber schon rappelt es im Karton. Ob er direkt etwas mit den Forderungen der 37. Konferenz der Informationsfreiheitsbeauftragten zu tun hatte, ist nicht erkennbar. Aber es ist schon seltsam, welche Vorstöße es derzeit so gibt.

Am 12. Juni 2019 tagte besagte Konferenz der Informationsfreiheitsbeauftragten in Saarbrücken. Und diese Konferenz fordert nun von der Politik mehr Transparenz ein. Der Widerspruch schwebt ja schon seit einiger Zeit über’m Land. AKK fordert Klarnamenpflicht. Ihre Gegner fordern ein Lobbyregister. Und nun kommen auch noch die Informationsfreiheitsbeauftragten daher. Auf ihrer Konferenz in Saarbrücken verabschieden die nun eine Entschließung mit der schönen Bezeichnung „Transparenz im Rahmen politischer Entscheidungsprozesse – Verpflichtendes Lobbyregister einführen“.

Da wird die Politik bestimmt begeistert sein. Es ist mehr als an der Zeit, dass Lobbyismus und politische Entscheidungsprozesse transparenter werden.

Neues zur Videoüberwachung

Die Videoüberwachung öffentlicher Räume durch Privatpersonen, Unternehmen oder Einrichtungen wird durch die DS-GVO geregelt. Am 27. März 2019 urteilte nun das Bundesverwaltungsgericht dazu.

Das Urteil bestätigte die doch sehr engen Grenzen der DS-GVO für Videoüberwachungen. Herangezogen können nur Gründe werden, die so schwerwiegend sind, dass sich ein Eingriff in die Privatsphäre der gefilmten Personen begründen lässt. Das Verhindern von Straftaten wie Eigentumsdelikten, Vandalismus, Brandstiftung u. A. kann als Argument dienen.

Sollte unter diesen Prämissen eine Videoüberwachung möglich und erforderlich sein, sollte das Kurzpapier der Datenschutzkonferenz berücksichtigt werden.

Datenschutztag 2019 in Berlin

Kommt das Thema Datenschutz zur Sprache, erlebe ich oft genervte Reaktionen: Was soll der Mist? Da hält sich doch eh keiner dran! Die Großen machen doch eh, was sie wollen. Ich empfinde das Thema als spannend und ich halte es für wichtig. Unsere Daten repräsentieren uns, sie machen uns zu einordbaren Individuen. Und werden wir nicht manchmal auch wegen unserer Daten stigmatisiert?

Ich sitze also im Park Inn am Alexanderplatz in Berlin. Die Tagung läuft und verspricht, spannend zu werden.

Die DS-GVO kann durchaus nach einem Jahr als Erfolgskonzept bewertet werden. Die Wirtschaft findet jetzt ein harmonisiertes Europäisches Recht vor. Der Binnenmarkt wird gestärkt. Personenbezogene Daten können frei innerhalb der EU übermittelt werden. Die Rechte der Aufsichtsbehörden sind gestärkt. Gleichzeitig wurde deren Aufgabenbereich erweitert. Besonders die Erhöhung der Bußgelder bewirkt einen Handlungsdruck bei den verantwortlichen Stellen. Die Rechte Betroffener wurden gestärkt. Hierbei seien nur das Recht auf Vergessen und und das Recht auf Datenübertragbarkeit zu nennen. Betroffene können sich jetzt an regionale Aufsichtsbehörden wenden, wenn ihre Rechte verletzt wurden. Ein Auseinandersetzen mit ausländischen und damit fremdsprachlichen Behörden entfällt jetzt. Im Land Berlin haben sich beispielsweise die Beschwerden Betroffener um den Faktor 3,5 erhöht.

Ein sehr spannendes Thema stellt der Brexit unter dem Gesichtspunkt von Datenübermittlungen dar. Beachtenswert hierbei ist eine Übermittlung von Daten aus der EU nach Großbritannien. Bei einem No-Deal-Brexit wird GB ab 31. Oktober 2019 zum Drittstaat. Interessanter Weise fällt dieser Schritt nach erneuter Verschiebung jetzt auf Halloween. Da werden wohl die Datengeister toben. Betroffene Stellen müssen Vorsorge treffen. Ein Angemessenheitsbeschluss der EU wird auf sich warten lassen. Warum auch sollte man GB entgegen kommen? Ein wirksames Werkzeug wäre dann Art. 46 Abs. 2 Buchstabe c. Hierbei können Standardvertragsklauseln der EU genutzt und als Vertragsgegenstand implementiert werden.

Ein heikles Thema beschäftigt sich mit Datenschutzvorfällen und den daraus u. U. resultierenden Meldepflichten. Ein meldepflichtiger Datenschutzvorfall liegt immer dann vor, wenn personenbezogene Daten betroffen sind und wenn daraus ein Risiko für die Betroffenen besteht. Die Datenschutzdokumentation sollte für diesen Fall Maßnahmen beschreiben. Der Vorfall muss zunächst intern gemeldet werden. Anschließend ist er zu analysieren und Sofortmaßnahmen müssen abgeleitet werden. Muss die aufsichtführende Behörde in Kenntnis gesetzt werden? Müssen betroffene Personen informiert werden? Jetzt können wiederherstellende Maßnahmen ergriffen werden. Abschließend sollte der gesamte Ablauf reflexiert werden. Welche Lehren vermittelt uns der Vorfall?

Art. 6 DS-GVO und die Vertragserfüllung

Artikel 6 Absatz 1 Buchstabe b erlaubt eine Verarbeitung personenbezogener Daten im Kontext einer Vertragserfüllung. Nun wurde am 10. April 2019 die Leitlinie dazu veröffentlicht.

Eine Verarbeitung personenbezogener Daten ist immer dann zulässig, wenn sie im Rahmen einer Vertragserfüllung erfolgt. Die Leitlinie stellt klar, dass es sich hierbei nicht um einen Freifahrtschein für Unternehmen handelt. Die Verarbeitung ist immer im Kontext von Artikel 5 DS-GVO (Sparsamkeit, Fairness, Transparenz) zu bewerten.

Nur weil im Zuge einer Vertragserfüllung die E-Mail-Adresse gespeichert wurde, bedeutet dies nicht, dass Unternehmen diese dann auch für Werbezwecke verwenden dürfen. Abhilfe kann hier nur eine zusätzliche Einwilligung schaffen.

In diesem Zusammenhang vielleicht interessant: Einem polnischen Unternehmen wurde ein Bußgeld in Höhe von knapp 220.000 Euro auferlegt. Grund war die unrechtmäßige Benutzung vom 6 Mio. E-Mail-Adressen. Das Unternehmen sah es als unverhältnismäßig an, alle Betroffenen darüber zu informieren (Transparenz).

Datenschutz in Europa – Erste Resultate

Die DS-GVO ist Praxis geworden. Viele Aufsichtführende Behörden haben die Kuschelphase abgeschlossen und Bußgelder werden verhängt. Der Europäische Datenschutzausschuss zieht eine erste Bilanz.

Den aufsichtführenden Behörden wurden bisher etwa 200.000 Datenschutzberstöße gemeldet. In diesem Zusammenhang wurden Bußgelder in Höhe von 56 Mio. Euro verhängt. Bedenkt man die Tatsache, dass davon 50 Mio. Euro auf Google entfallen, bleiben noch etwa 6 Mio. Euro „normale“ Bußgelder.

Auch die Bußgelder in Höhe von etwa 6 Mio. Euro müssen relativiert werden. Von den 200.000 Datenschutzverstößen entfallen etwa 95.000 Fälle sind Beschwerden. Hier kann keine Aussage bezüglich der tatsächlichen Verstöße getroffen werden. Beschwerden können ja auch abgewiesen werden.

Fazit sollte sein, dass keine verantwortliche Stelle das Thema Datenschutz aus den Augen verlieren sollte. Dem Risiko einer Datenschutzverletzung kann durch Ein Datenschutzmanagement auf der Grundlage der DS-GVO begegnet werden.

Beschäftigtendatenschutz

Personenbezogene Daten von Beschäftigten unterliegen dem Datenschutz gemäß DS-GVO. Das ist einleuchtend. Was passiert allerdings mit Bewerberdaten? Hier kann es in der Praxis passieren, dass etwas „großzügiger“ verfahren wird. Es kann ja schließlich vorkommen, dass ein Bewerber heute zwar abgelehnt wird, aber vielleicht möchte man später doch noch einmal an ihn heran treten? 6 Monate gelten als akzeptable Aufbewahrungsfrist. Anschließend müssen die Bewerberdaten gelöscht werden. Soll ein Bewerberpool gebildet werden, bedarf es der Einwilligung der Bewerber. Die Kanzlei WBS hat dazu heute einen passenden Artikel publiziert.

Was Bodycams mit Amazon zu tun haben

Die Polizei, z. B. die Bundespolizei, darf Bodycams einsetzen. Die Aufnahmen sind dann auch als Beweismittel zulässig. Entsprechend urteilte unlängst das Landgericht Düsseldorf. Aber wie werden die Aufnahmen gespeichert, wie und an wen werden sie weitergegeben?

Und da kommt nun Amazon ins Spiel. Wie tagesschau.de berichtet, werden diese Aufnahmen auf Servern von Amazon gespeichert. Wenn ich Amazon-Kunde bin, dann gebe ich Amazon meine Daten freiwillig. Wenn ich von der Polizei gefilmt werde, geschieht das eher nicht freiwillig. Ich kann nicht nachvollziehen, wer Zugriff auf diese Daten erhält. Vielleicht sollte man von seinem Auskunftsrecht gegenüber der Bundespolizei Gebrauch machen?

Foto, Film und Datenschutz

Filme oder Videos, die Menschen abbilden, fallen unter das Datenschutzrecht. Das kann man so hinnehmen oder man kann sich fragen: Wo in der Datenschutz-Grundverordnung (DS-GVO) genau steht das denn?

Mit dem Urteil C-345/17 des Europäischen Gerichtshofes vom 14. Februar 2019 muss man sich diese Frage nicht mehr stellen.

Das Urteil ist diesbezüglich präzise: „In Anbetracht der Bedeutung der gegenwärtigen Entwicklung im Zusammenhang mit der Informationsgesellschaft bezüglich Techniken der Erfassung, Übermittlung, Veränderung, Speicherung, Aufbewahrung oder Weitergabe von personenbezogenen Ton- und Bilddaten muss diese Richtlinie auch auf die Verarbeitung dieser Daten Anwendung finden.

Da ist zu dem Thema doch alles gesagt.

Ein offener E-Mail-Verteiler und die Folgen

Etwas, vielleicht Elementares, vorweg: Die Datenschutz-Grundverordnung der Europäischen Union (DS-GVO) ist zwar geltendes Recht, sie gilt aber nicht im privaten Bereich. Artikel 2 Absatz 1 Buchstabe c ist da ziemlich eindeutig: „Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten… c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“ Der Erwägungsgrund 18 formuliert Gleiches. Das „Zauberwort“ hierbei lautet „ausschließlich„.

Ich möchte einen Fall aus Sachsen-Anhalt zum Anlass nehmen, das Thema doch etwas genauer zu betrachten.

Was versteht man unter einem offenen E-Mail-Verteiler? Ich kann eine E-Mail an einen oder an mehrere Empfänger versenden. Um mit einer Mail mehrere Empfänger zu erreichen, stehen mir zwei Möglichkeiten zur Verfügung: das Feld „CC“ und das Feld „BCC“. Trage ich in die Felder „An“ oder „CC“ mehrere Empfänger ein, sind die Empfängerdaten (E-Mail-Adressen) für alle Empfänger sichtbar. Hierbei spricht man von einem „offenen Verteiler“. Nutze ich dagegen das Feld „BCC“, sind die Empfängerdaten verborgen.

Wann wird das Thema datenschutzrelevant? Kommuniziere ich ausschließlich im privaten Bereich, dann muss ich mir über das Thema „Datenschutz“ keine Gedanken machen (siehe oben). Kommuniziere ich als Privatperson mit Firmenmitarbeitern, mit Mitarbeitern im öffentlichen Bereich oder mit Mitgliedern in Vereinen, dann findet bereits die DS-GVO Anwendung. Zweitens geht es um die Frage: Ist ein Rückschluss auf eine natürliche Person möglich? E-Mail-Adressen in der Form info@… oder kontakt@… sind hierbei also nicht relevant. Haben E-Mail-Adressen aber die Form ulf.tschech@…, dann sieht die Welt anders aus. Hier greift die DS-GVO.

Im besagten Fall des Herrn aus Merseburg kamen zwei Sachverhalte zusammen: 1. Er benutzte einen offenen Verteiler. 2. Er schrieb hunderte Personen mit personenbezogenen E-Mail-Adressen an. Das Ergebnis: Ein Bußgeld in Höhe von über 2.500 Euro.

Wer als Mitarbeiter oder Vereinsmitglied E-Mail-Verteiler benutzt, muss diese immer als geschlossenen/verdeckten Verteiler gestalten. Die Adressen ins Feld „BCC“ kann ja nun wirklich kein Thema sein.

Lehrer und WhatsApp

Messenger erlauben eine schnelle und unkomplizierte Kommunikation mit einzelnen Personen oder mit Personengruppen. Für Lehrer scheint das eine attraktive Möglichkeit zu sein, mit Schülern und Eltern in Kontakt zu bleiben. Der in Deutschland am häufigsten genutzte Messenger-Dienst ist WhatsApp. Und damit beginnen auch schon die Schwierigkeiten.

Weine Meinung dazu vorweg: Finger weg!

Das größte Problem aus meiner Sicht ist der Datenschutz. Sicherlich ist die von WhatsApp verwendete Ende-zu-Ende-Verschlüsselung toll. Damit werden die Kommunikationsinhalte geschützt. Ich sehe eher den Umgang mit Adressdaten als Problem. Ohne dass es eine aktive Einwilligung gibt, können Personen in eine Gruppe aufgenommen werden. Natürlich kann man die Gruppe wieder verlassen. Aber einmal drin in der Gruppe, stehen die Kontaktdaten allen zur Verfügung. Das Adressbuch wird auf Servern gespeichert, die sich in einem unsicheren Drittstaat (USA) befinden. Die DS-GVO verbietet das.

Mein zweites Problem ist eher „weicher“ Natur. Eine WhatsApp-Kommunikation bringt permanente Erreichbarkeit mit sich. Es erfordert schon ein hohes Maß an Konsequenz, Nachrichten nicht sofort zu beantworten. Eine Trennung zwischen Arbeitswelt und Privatem fällt schwer.

Ich habe mir im Titel Lehrer ausgewählt, weil das der Arbeitsbereich ist, in dem ich meine Brötchen verdiene. Meine Argumente gelten jedoch genau so für Ätzte, Therapeuten und andere Berufsgruppen, die mit Menschen im beruflichen Umfeld kommunizieren.