Schlagwort-Archive: Datenschutzgrundverordnung

Bemerkenswertes Bußgeld

Der Bundesbeauftragte für Datenschutz und informationelle Selbstbestimmung hat gegenüber der 1&1 Telecom GmbH ein Bußgeld in Höhe von 9.550.000 Euro verhängt. Die Telefonhotline von 1&1 gab umfangreiche Auskünfte zu Kundendaten. Eine Identifikation erfolgte lediglich über Name und Geburtsdatum. Obwohl sich 1&1 einsichtig zeigte und Maßnahmen ergriff („…bitte halten Sie ab sofort immer Ihre persönliche 1&1 Service-PIN sowie zusätzlich Ihre 1&1 Rufnummer oder Ihre 1&1 Vertragsnummer bereit, wenn Sie bei uns anrufen. So kann der telefonische Kundenservice Sie als Vertragspartner identifizieren.“ aus der Kunden-E-Mail), fiel das Bußgeld doch bemerkenswert hoch aus.

Der Bundesbeauftragte dazu:

Datenschutz ist Grundrechtsschutz. Die ausgesprochenen Geldbußen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden.“ (https://www.bfdi.bund.de/SiteGlobals/Modules/Buehne/DE/Startseite/Pressemitteilung_Link/HP_Text_Pressemitteilung.html)

Verdammt, es ist Weihnachtszeit!

Die Adventszeit soll uns eigentlich Besinnlichkeit bescheren. Gelichzeitig jedoch wollen wir Geschäftspartner mit einem weihnachtlichen Gruß erfreuen. An dieser Stelle nimmt das Drama seinen Anfang. Was ist schon ein herzerwärmender Weihnachtsgruß ohne persönliche Ansprache des Empfängers. Und schwupps – schon ist man von weihnachtlicher Beschaulichkeit bei der Datenschutz-Grundverordnung (DS-GVO) und dem Gesetz gegen den unlauteren Wettbewerb (UWG) gelandet.

Weihnachtliche Grüße, die per E-Mail versandt werden, sind werbende Maßnahmen und unterliegen somit den Regelungen des UWG (§ 7 Abs. 2 Nr. 3). Ohne vorliegende und dokumentierte Einwilligung kann die Weihnachtspost abgemahnt werden. In Bezug auf den DS-GVO könnte man an dieser Stelle mit Art. 6 Abs. 1 Buchstabe f – berechtigtes Interesse – argumentieren. Schließlich will man sich ja den allgemeinen Gepflogenheiten der Weihnachtspost unterordnen. Das UWG hat man damit allerdings immer noch an den Hacken. Nutzt man E-Mail als Kommunikationsweg, sollte man die Gelegenheit nutzen und die Empfänger auf ihr Widerspruchsrecht hinweisen.

Die DS-GVO kommt dann ins Spiel, wenn man mit einem offenen E-Mail-Verteiler arbeitet. Klare Empfehlung an dieser Stelle: BCC-Feld für alle Empfänger nutzen. Das Thema „Offener E-Mail-Verteiler“ hatte ich schon mal ins Blickfeld gerückt.

Hausdurchsuchung in Thüringen

Der Landesbeauftragte für Datenschutz in Thüringen veranlasste eine Hausdurchsuchung bei einer Privatperson.

Die Wohnung eines Drohnenbesitzers wurde von der Thüringer Polizei durchsucht. Dabei wurden Datenträger beschlagnahmt. Der Durchsuchung gingen Beschwerden von Nachbarn voraus. Diese hatten angegeben, dass die Drohne ohne Sichtkontakt vor allem in den Abendstunden geflogen wurde. Gärten wurden überflogen, Schlafzimmerfenster könnten gefilmt worden sein.

Die Gefahr von Eingriffen in die Privatsphäre sah der Landesbeauftragte für Datenschutz in Thüringen als so groß an, dass dem das zuständige Gericht folgte und die Durchsuchung veranlasste.

Ein Lehrer, eine Schule und das Recht am eigenen Bild

Am 6. September 2019 musste sich das Verwaltungsgericht Koblenz mit einer Situation aus dem Schulalltag beschäftigen, in der es um das Recht am eigenen Bild im Schulalltag ging.

Ein Lehrer fühlte sich in seinen Persönlichkeitsrechten missachtet. Eine Fotografin hatte von zwei Klassen Fotos gemacht, auf denen auch der Lehrer zu sehen ist. Diese beiden Fotos wurden im Schuljahrbuch veröffentlicht. Genau an dieser Stelle sah der Lehrer seine Persönlichkeitsrechte missachtet. Dabei berief er sich auf § 22 des Kunsturhebergesetzes (KUG): „Bildnisse dürfen nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden…“

Das Verwaltungsgericht lehnte die Klage ab. Alle Lehrer waren über den Fototermin und über den Verwendungszweck der Fotos informiert. Beim Erzeugen der Fotos hätte der Lehrer die Chance gehabt, aus dem Bild zu treten. Hinzu kommt, so das VG Koblenz, dass in diesem Fall § 23 des KUG herangezogen werden kann: „(1) Ohne die nach § 22 erforderliche Einwilligung dürfen verbreitet und zur Schau gestellt werden:
1. Bildnisse aus dem Bereiche der Zeitgeschichte…“ Und genau diesen Ausnahmetatbestand sieht das Gericht erfüllt.

Stellt sich noch die Frage: Warum hat der Lehrer nicht auf Grundlage der DS-GVO geklagt? Seine Klage richtete sich ausschließlich gegen die Veröffentlichung von Fotos, auf denen seine Person gezeigt wurde. Er forderte den Rückruf aller verkauften Jahrbücher, das Unkenntlich machen seiner Person und das Schwärzen seines Namens in der Bildunterschrift. Die Veröffentlichung von Personenbildnissen wird im KUG geregelt und ist kein Problem der DS-GVO.

Was kann man für den Schulalltag aus dieser Situation ableiten?

  • Eine dokumentierte, also schriftliche, Einwilligung vermeidet Stress. Dabei ist es unerheblich, ob man sich auf das KUG berufen kann. Die DS-GVO spielt zumindest im Hintergrund immer mit.
  • Für konkrete Fototermine bedarf es einer konkreten Ankündigung. Diese sollte Anlass, Verwendungszweck und Publikationsform enthalten.
  • Ist ein Bild erst einmal publiziert, kann es unmöglich sein, es zu entfernen.

Cookies mal wieder

Am 1. Oktober 2019 hat der EuGH ein wichtiges Urteil zum Umgang mit Cookies auf Websites erlassen. Bisher gab es diesbezüglich ja ein ziemliches Rumgewurschtel, zumindest in Deutschland.

Was bestimmt das Urteil?

  1. Nicht zulässig sind Checkboxen, die bereits aktiviert wurden. Um Cookies zu verhindern, müssten diese Checkbox erst deaktiviert werden.
  2. Zu den Pflichtangaben zählen Informationen zur Funktion der Cookies, zu ihrer Lebensdauer und zu etwaigen Zugriffen Dritter auf diese. Diese Informationen sind den Betroffenen leicht zugänglich verfügbar zu machen.
  3. Ausgenommen davon sind technische Cookies. Als solche werden gemeinhin Cookies verstanden, die dem Login-Status dienen, die Sprachwahl speichern und den Warenkorb abbilden.

Da werden einige Websitebetreiber wohl schnell handeln müssen.

Wie weit geht der Auskunftsanspruch Betroffener?

Die DS-GVO stärkt Betroffenenrechte. Das haben wir besonders um den 25. Mai 2018 herum sehr oft gehört. Daran kann man zweifeln. Man kann das Thema abtun. Die Praxis jedoch bestätigt die Tatsache, dass Betroffene und ihre Rechte ernst genommen werden.

Am 26. Juli diesen Jahres musste sich das OLG Köln mit der Frage befassen, wie weit Betroffenenrechte denn nun genau gehen. Im konkreten Fall ging es um Telefonnotizen, die eine Versicherung zu einem Kunden angelegt hatte. Der Kunde wollte gemäß Art. 15 DS-GVO Auskunft über diese Telefonnotizen. Die Versicherung wollte die aber nicht Beauskunften.

In der Schnellfassung: Telefon- und Gesprächsnotizen fallen unter das Auskunftsrecht. Im Ergebnis sollte man sich also sehr gut überlegen, wozu man auch Bemerkungsfelder nutzt.

Bundestag lockert Datenschutzvorgaben?

In seiner Sitzung am 27. Juni 2019 nahm der Bundestag den Gesetzesentwurf zur Anpassung des Datenschutzrechts an. Mit diesem Gesetzesentwurf soll eine Vereinfachung für Vereine, klein- und mittelständische Unternehmen sowie für ärztliche und therapeutische Praxen geschaffen werden.

Ein Datenschutzbeauftragter ist nach dieser Neufassung erst zu bestellen, wenn 20 und mehr Personen regelmäßig mit der Verarbeitung personenbezogener Daten beschäftigt sind.

Na das klingt doch ganz nach einem großen Wurf. In der Realität ergeben sich aus meiner Sicht zwei bemerkenswerte Probleme. In die Ermittlung der Grenze von 20 Beschäftigten ist die Verarbeitung im Auftrag einzubeziehen. Worin aus meiner Erfahrung das viel größere Problem besteht: Eine rechtssichere Datenschutzdokumentation muss ja trotzdem erstellt werden. Das macht nun die verantwortliche Person selbst?

Ob es sich hierbei tatsächlich um eine Erleichterung für die Praxis handelt, bleibt abzuwarten.

Und noch einmal: DS-GVO und Fotos

Im 47. Tätigkeitsbericht des Hessischen Landesbeauftragten für Datenschutz findet man ab Seite 91 einen interessanten und klärenden Abschnitt zum Thema „Fotos und DS-GVO“. Professor Dr. Michael Ronellenfitsch klärt hier noch einmal über das Thema auf.

Digitale Fotos, auf denen einzelne Personen erkennbar und auch identifizierbar sind, fallen unter die Bestimmungen der DS-GVO. Digitales Fotografieren oder Filmen stellen Prozesse der Datenerhebung dar. Ein Veröffentlichen von solchen Fotos oder Videos fällt unter die Prozesse Datenverarbeitung und Datenweitergabe.

Zwei Situationen müssen hierbei allerdings aus der Betrachtung herausgehalten werden: Private Aufnahmen und Aufnahmen, solange diese nicht einem größeren Empfängerkreis (Website, Social Media,…) zugänglich gemacht werden sowie Aufnahmen, die zu journalistischen Zwecken erzeugt wurden. Hier gilt weiterhin der Kunsturhebergesetz (KUG).

Für alle anderen Situationen gilt die DS-GVO. Hierbei dürfte für die meisten Situationen eine Einwilligung als Erlaubnisgrund zur Anwendung kommen. Für das Erteilen einer Einwilligung gibt es verschiedene Möglichkeiten: schriftliches oder mündliches Erteilen sowie einwilligendes Verhalten.

Zum Problem werden alle nicht schriftlich erteilten Einwilligungen dann, wenn es um den Nachweis bezüglich des Erteilens der Einwilligung geht. In diesem Fall stellt die schriftlich erteilte Einwilligung eine sichere Lösung dar. Hinzu kommt, dass die einwilligende Person über ihr Widerspruchsrecht aufgeklärt werden muss. Auch dafür sollte die schriftliche Form der Einwilligung bevorzugt werden.

Kommt noch die Informationspflicht. Für Fotos oder Videos aufgenommene Personen müssen über Gründe für die Aufnahmen und über Verarbeitungsweisen informiert werden. Hier helfen in unübersichtlichen Situationen tatsächlich nur Handzettel, Aushänge oder Schilder.

Spannend wird es dann, wenn Fotos im Rahmen eines Beschäftigungsverhältnisses erzeugt und genutzt/veröffentlicht werden. § 26 Abs. 1 BDSG ist da sehr genau. Aufnahmen, die zur Erfüllung des Beschäftigungsverhältnisses zwingend erforderlich sind, sind zulässig. Nun sind allerdings die wenigsten Beschäftigten Fotomodels. Das heißt, hier kann man sich nur auf die Einwilligung verlassen.

In diesem Zusammenhang sei auf zwei Kriterien einer Einwilligung verwiesen: Freiwilligkeit und Widerspruchsrecht. Willigt ein Beschäftigter nicht in Foto- oder Videoaufnahmen ein, so dürfen ihm daraus keine Nachteile entstehen. Müsste er Nachteilen befürchten, wäre das Freiwilligkeitsgebot verletzt.

Eine einmal erteilte Einwilligung muss widerrufbar sein. Eine spannende Frage hierbei: Welche Löschfristen gelten. Die sollten bereits vorab festgelegt sein. Das kann die verantwortliche Stelle in ihrer Dokumentation tun oder Löschfristen sind in der Einwilligung enthalten. Eine Ausnahme stellen kostenintensive Kampagnen dar. In diesem Fall muss zwischen den Interessen der verantwortlichen Stelle (Kosten) und den Interessen der betroffenen Person abgewogen werden. Bereits veröffentlichte/genutzte Aufnahmen müssen dann unter Umständen nicht gelöscht werden. Der Widerruf kann sich dann nur auf das zukünftige Nutzen beziehen.

Neues zur Videoüberwachung

Die Videoüberwachung öffentlicher Räume durch Privatpersonen, Unternehmen oder Einrichtungen wird durch die DS-GVO geregelt. Am 27. März 2019 urteilte nun das Bundesverwaltungsgericht dazu.

Das Urteil bestätigte die doch sehr engen Grenzen der DS-GVO für Videoüberwachungen. Herangezogen können nur Gründe werden, die so schwerwiegend sind, dass sich ein Eingriff in die Privatsphäre der gefilmten Personen begründen lässt. Das Verhindern von Straftaten wie Eigentumsdelikten, Vandalismus, Brandstiftung u. A. kann als Argument dienen.

Sollte unter diesen Prämissen eine Videoüberwachung möglich und erforderlich sein, sollte das Kurzpapier der Datenschutzkonferenz berücksichtigt werden.

Datenschutztag 2019 in Berlin

Kommt das Thema Datenschutz zur Sprache, erlebe ich oft genervte Reaktionen: Was soll der Mist? Da hält sich doch eh keiner dran! Die Großen machen doch eh, was sie wollen. Ich empfinde das Thema als spannend und ich halte es für wichtig. Unsere Daten repräsentieren uns, sie machen uns zu einordbaren Individuen. Und werden wir nicht manchmal auch wegen unserer Daten stigmatisiert?

Ich sitze also im Park Inn am Alexanderplatz in Berlin. Die Tagung läuft und verspricht, spannend zu werden.

Die DS-GVO kann durchaus nach einem Jahr als Erfolgskonzept bewertet werden. Die Wirtschaft findet jetzt ein harmonisiertes Europäisches Recht vor. Der Binnenmarkt wird gestärkt. Personenbezogene Daten können frei innerhalb der EU übermittelt werden. Die Rechte der Aufsichtsbehörden sind gestärkt. Gleichzeitig wurde deren Aufgabenbereich erweitert. Besonders die Erhöhung der Bußgelder bewirkt einen Handlungsdruck bei den verantwortlichen Stellen. Die Rechte Betroffener wurden gestärkt. Hierbei seien nur das Recht auf Vergessen und und das Recht auf Datenübertragbarkeit zu nennen. Betroffene können sich jetzt an regionale Aufsichtsbehörden wenden, wenn ihre Rechte verletzt wurden. Ein Auseinandersetzen mit ausländischen und damit fremdsprachlichen Behörden entfällt jetzt. Im Land Berlin haben sich beispielsweise die Beschwerden Betroffener um den Faktor 3,5 erhöht.

Ein sehr spannendes Thema stellt der Brexit unter dem Gesichtspunkt von Datenübermittlungen dar. Beachtenswert hierbei ist eine Übermittlung von Daten aus der EU nach Großbritannien. Bei einem No-Deal-Brexit wird GB ab 31. Oktober 2019 zum Drittstaat. Interessanter Weise fällt dieser Schritt nach erneuter Verschiebung jetzt auf Halloween. Da werden wohl die Datengeister toben. Betroffene Stellen müssen Vorsorge treffen. Ein Angemessenheitsbeschluss der EU wird auf sich warten lassen. Warum auch sollte man GB entgegen kommen? Ein wirksames Werkzeug wäre dann Art. 46 Abs. 2 Buchstabe c. Hierbei können Standardvertragsklauseln der EU genutzt und als Vertragsgegenstand implementiert werden.

Ein heikles Thema beschäftigt sich mit Datenschutzvorfällen und den daraus u. U. resultierenden Meldepflichten. Ein meldepflichtiger Datenschutzvorfall liegt immer dann vor, wenn personenbezogene Daten betroffen sind und wenn daraus ein Risiko für die Betroffenen besteht. Die Datenschutzdokumentation sollte für diesen Fall Maßnahmen beschreiben. Der Vorfall muss zunächst intern gemeldet werden. Anschließend ist er zu analysieren und Sofortmaßnahmen müssen abgeleitet werden. Muss die aufsichtführende Behörde in Kenntnis gesetzt werden? Müssen betroffene Personen informiert werden? Jetzt können wiederherstellende Maßnahmen ergriffen werden. Abschließend sollte der gesamte Ablauf reflexiert werden. Welche Lehren vermittelt uns der Vorfall?