Heute wurde das „Zweite Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (U) 2016 / 679 und zur Umsetzung der Richtlinie (EU) 2016 / 680" (2. DSAnpUG-EU) sowie das „Gesetz zur Umsetzung der Richtlinie (EU) 2016/680 um Strafverfahren sowie zur Anpassung datenschutzrechtlicher Bestimmungen an die Verordnung (EU) 2016/679" (DSUmsAG) im Bundesgesetzblatt Teil I Nr. 41 veröffentlicht.

Dieses Gesetz ändert das Bundesdatenschutzgesetz (BDSG) sowie bereichsspezifische Regelungen in weiteren 153 anderen Gesetzen. Siehe auch unser Blogbeitrag vom 21.09.2019.

Die Änderungen des BDSG treten somit morgen, am 26. November 2019 in Kraft.

Die wichtigste Änderung im BDSG für Unternehmen ist die Änderung des § 38 Abs. 1 UA 1, hier wird die Grenze für die in der Regel ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigten Personen, die zur Pflicht zur Benennung einer oder eines Datenschutzbeauftragten führt, von 10 auf 20 angehoben.

Wie in unserem Blogbeitrag vom 21.09.2019 bereits erwähnt, ist diese Änderung stark umstritten, erweckt sie doch den Eindruck, die datenschutzrechtlichen Erfüllungsanforderungen an die verarbeitenden Stellen werden geringer.

Kleinen Unternehmen, Vereinen etc. wird dringend empfohlen, nicht auf fachkompetente Unterstützung zu verzichten, auch deshalb weil die Bußgeldpraxis der Aufsichtsbehörden gerade für kleine Unternehmen eine echte Bedrohung sein könnte. Siehe auch unser Blogbeitrag zum Bußgeld der Berliner Datenschutzbeauftragten gegen die Delivery Hero Germany GmbH.

Quellen:
Deutscher Bundestag: Textarchiv 2019/Anpassung des Datenschutzrechts
Deutscher Bundestag: Drucksache 19/4674
Bundesrat: Entwurf eines Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richt-linie (EU) 2016/680
Bundesgesetzblatt Teil I Nr. 41
Bild: © Trueffelpix - Fotolia.com

Boris Koppenhöfer
25.11.2019
Download als PDF

Der EuGH urteilt: Cookies nur mit Einwilligung

Eine Voreinstellung für das Einsetzen von Cookies auf einer Webseite ist nach einem Urteil des Europäischen Gerichtshofs (EuGH) nicht zulässig.
Das bedeutet, Webseitenbetreiber müssen nachbessern.

Der Bundesgerichtshof hat beim EuGH um sog. Rechtshilfe gebeten. Der EuGH hat geurteilt und somit voreingestellte Cookies für unzulässig erklärt.
Der Bundesgerichtshof wird jetzt auf der Basis des EuGH-Urteils ein anschließendes Urteil zum konkreten Fall fällen, hier werden keine Überraschungen erwartet, deshalb sollten jetzt die Anforderungen umgesetzt werden.

Das Urteil stellt klar, dass der bisherige deutsche Sonderweg in Sachen Cookies nicht weiter Bestand hat. Gem. § 15 Abs. 3 TMG war bislang die Erfassung pseudonymisierter oder anonymisierter Profile für Werbezwecke erlaubt sofern der Benutzer nicht widerspricht. Dies hatte zur Folge, dass die Erlaubnis voreingestellt sein durfte (sog. Opt-Out).
Laut EU-Richtlinie RL 2009/136/EG bedarf es jedoch eine Einwilligung für das Setzen von Cookies.

Die Betreiber der Webseiten müssen nun sicherstellen, dass beim erstmaligen Besuch der Webseite vor dem Setzen der Cookies die Einwilligung eingeholt wird.
Die Einwilligung muss freiwillig, informiert und ausdrücklich erfolgen. Hierbei ist eine aktive Handlung des Benutzers notwendig, eine Opt-Out-Lösung mit vorbelegten Erlaubnis-Häkchen stellt keine wirksame Einwilligungserklärung dar und ist somit unzulässig. Es darf kein Zwang zum Setzen der Cookies bestehen, dies würde gegen das sog. Kopplungsverbot verstoßen. Ebenso muss eine Aufklärung über die Verwendung der Cookies und der damit verbundenen Datenerhebung erfolgen. Aus der Datenschutzerklärung muss die Grundlage, auf der die Verwendung der Cookies basiert, hervorgehen.

Eine Ausnahme bilden Cookies, die für den Betrieb der Seite notwendig sind:

• Session-Cookies, die die Einstellungen des Nutzers speichern
• Cookies, die für die Wiedergabe von Medieninhalten erforderlich sind
• Cookies, die für den rechtssicheren Betrieb eines Consent-Tools (Cookie-Banner) erforderlich sind

Auf jeden Fall ohne aktiv erteilte Einwilligung unzulässig sind folgende Cookies:

• Analyse-Tools wie beispielsweise Google Analytics
• Social Media Plugins für Facebook, Instagram etc.
• Marketing-Tools 

Für eine rechtskonforme Umsetzung der Anforderungen stehen sog. Consent-Tools zur Verfügung, die die entsprechenden Einwilligungen vor Setzen der Cookies einholen. Diese müssen auf den Webseiten integriert werden.

Quellen:

EuGH - Rechtssache C‑673/17

Bild: © Trueffelpix - Fotolia.com

Boris Koppenhöfer
24.10.2019
Download als PDF

Am 27. Juni 2019 hat der Deutsche Bundestag dem Zweiten Gesetz zur Anpassung des Datenschutzrechts an die EU-Verordnung 2016 / 679 und zur Umsetzung der EU-Richtlinie 2016 / 680 zugestimmt.
Am 20.09.2019 hat der Bundesrat dem Gesetzt ebenfalls zugestimmt. Somit wird nun das Gesetzt dem Bundespräsidenten zur Unterzeichnung vorgelegt. Es soll direkt nach Verkündung im Bundesgesetzblatt in Kraft treten.

Dieses Gesetz wird das Bundesdatenschutzgesetz sowie bereichsspezifische Regelungen in weiteren 153 anderen Gesetzen ändern. Es erfolgen inhaltliche Änderungen und Begriffskorrekturen und -apassungen.
Die für Unternehmen sicherlich wichtigste Änderung ist die Pflicht zur Benennung eines Datenschutzbeauftragten. Hier wird die Bedingung für die Benennungspflicht von 10 auf 20 Personen, die ständig mit personenbezogenen Daten umgehen, angehoben.

Diese Änderung ist stark umstritten, erweckt sie doch den Eindruck, die datenschutzrechtlichen Erfüllungsanforderungen an die verarbeitenden Stellen werden geringer. Es dürfte vielmehr der Fall sein, dass die Änderung dafür sorgt, das kleine Unternehmen versuchen ohne fachkompetente Unterstützung eines Datenschutzbeauftragten auszukommen und somit der Datenschutz geschwächt wird. Schließlich ändern sich die Erfüllungsanforderungen durch die Anpassung nicht.

Kleinen Unternehmen, Vereinen etc. wird dringend empfohlen, nicht auf fachkompetente Unterstützung zu verzichten, auch deshalb weil die Bußgeldpraxis der Aufsichtsbehörden gerade für kleine Unternehmen eine echte Bedrohung sein könnte. Siehe auch unser Blogbeitrag zum Bußgeld der Berliner Datenschutzbeauftragten gegen die Delivery Hero Germany GmbH.

Quellen:
Deutscher Bundestag: Textarchiv 2019/Anpassung des Datenschutzrechts
Deutscher Bundestag: Drucksache 19/4674
Bundesrat: Entwurf eines Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richt-linie (EU) 2016/680
Bild: © Trueffelpix - Fotolia.com

Boris Koppenhöfer
21.09.2019

Die Berliner Datenschutzbeauftragte verhängt ein empfindliches Bußgeld gegen einen Lieferdienst
Laut einer Pressemeldung der Berliner Beauftragten für Datenschutz und Informationsfreiheit Maja Smoltczyk hat Ihre Behörde ein Bußgeld in Höhe von 195.407 Euro inkl. Gebühren gegen die Delivery Hero Germany GmbH erlassen. Die Entscheidung sei rechtskräftig.

Das Bußgeld ergeht für mehrere Einzelverstöße gegen das Datenschutzrecht.
Die Mehrzahl der Fälle betraf die Nichtachtung der Betroffenenrechte, wie das Recht auf Auskunft über die Verarbeitung der eigenen Daten.
Das Unternehmen hatte in zehn Fällen Konten ehemaliger Kundinnen und Kunden nicht gelöscht, obwohl die Betroffenen teilweise seit mehr als 10 Jahren nicht mehr auf der Plattform aktiv gewesen waren. Einige Kunden hatten sich darüber hinaus über unerwünschte Werbe-E-Mails des Unternehmens beschwert. Ein Geschädigter, der der Nutzung seiner Daten für Werbezwecke ausdrücklich widersprochen hatte, erhielt trotzdem 15 Werbe-E-Mails. In mehreren Fällen erteilte das Unternehmen gegenüber den betroffenen Personen die geforderten Auskünfte nicht oder erst, nachdem die Behörde eingeschritten war.

Das Datenschutzrecht sichert die Durchsetzung des Rechts auf informationelle Selbstbestimmung, ein Grundrecht, das sowohl im Grundgesetz als auch in der Grundrechtecharta der EU (Artikel 8) verankert ist. Das Recht auf informationelle Selbstbestimmung wurde in Deutschland 1983 vom Bundesverfassungsgericht im sogenannten Volkszählungsurteil (BVerfG, 1 BvR 209/83 vom 15.12.1983) als Grundrecht anerkannt.

Das Bußgeld zeigt wie wichtig die ordentliche Gewährung von Betroffenenrechten durch die Verantwortlichen (datenverarbeitenden Stellen) ist. Hierzu müssen entsprechende Prozesse existieren und die zuständigen Personen (Mitarbeiter) entsprechend geschult sein. In Zukunft werden sicherlich noch weitaus höhere Bußgelder wegen Nichtgewährung von Betroffenenrechten verhängt werden.

Die Berliner Datenschutzbeauftragte Maja Smoltczyk:
„Das Thema Datenschutz wurde in vielen Unternehmen lange stiefmütterlich behandelt, obwohl es im digitalen Zeitalter ein besonders wichtiges Grundrecht ist. Die DS-GVO wirkt dem entgegen. Bei den genannten Unternehmen ist die Bereitschaft zur Aufarbeitung von Mängeln mittlerweile erkennbar. Ich hoffe, dass diese Bußgelder auch auf andere Unternehmen eine mahnende Wirkung entfalten. Wer mit personenbezogenen Daten arbeitet, braucht ein funktionierendes Datenschutzmanagement. Das hilft nicht nur, Bußgelder zu vermeiden, sondern stärkt auch das Vertrauen und die Zufriedenheit der Kundschaft..."

Quellen:
Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 19.09.2019
Bundesverfassungsgericht (BVerfG), Urteil des Ersten Senats vom 15. Dezember 1983 - 1 BvR 209/83 -
Charta der Grundrechte der Europäischen Union (HTML-Version in allen Amtssprachen der EU)

Bild: © Trueffelpix - Fotolia.com

Boris Koppenhöfer
19.09.2019

Mit Beschluss vom 23. Januar 2019 hat die EU-Kommission festgestellt, dass Japan ein dem Europäischen Wirtschaftsraum gleichwertiges Datenschutzniveau besitzt.
Somit bedarf gem. Art. 45 Abs. 1 DSGVO (EU-Datenschutz-Grundverordnung) ein Datenverkehr zwischen der EU und einem Empfänger in Japan keiner besonderen Genehmigung mehr. Es gelten mithin die gleichen Vorschriften wie bei einem Empfänger in der EU.

Die DSGVO sieht in Artikel 45 vor, dass die EU-Kommission für einen Drittstaat beschließen kann, dass er ein angemessen hohes Datenschutzniveau hat. Hierfür sind u. a. folgende Faktoren zu prüfen:

• Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten,
• Regelungen zur Weiterübermittlung von Daten an andere Drittländer,
• das Vorhandensein unabhängiger Aufsichtsbehörden und
• vom Drittstaat eingegangene Verpflichtungen in Bezug auf personenbezogene Daten.

Der Datenverkehr mit Japan erfährt mit diesem Beschluss eine enorme Erleichterung. Dies wirkt zusammen mit dem seit dem 01.02.2019 in Kraft getretenen Freihandelsabkommen zwischen der EU und Japan. Vor dem Hintergrund der Abwendung der USA von der Transpazifischen Partnerschaft (TPP) und dem Erstarken nationalistischen Denkens ist die Erweiterung der europäischen Datenlandschaft ein Schritt, der Mut machen kann.

Quellen:
Informationsseite der EU-Kommission zum Datentransfer außerhalb der EU
Angemessenheitsbeschluss der EU-Kommission (PDF)
Factsheet der EU-Kommission zum Japan-Angemessenheitsbeschluss
Bundesministerium für Wirtschaft und Energie - Artikel zum Freihandelsabkommen EU-Japan
Zeit online Artikel vom 11.11.2017
Süddeutsche Zeitung SZ.de Artikel vom 23.01.2019

Bild: © Trueffelpix - Fotolia.com

Boris Koppenhöfer
11.02.2019

Das Bundeskartellamt hat dem Unternehmen Facebook weitreichende Beschränkungen bei der Verarbeitung von Nutzerdaten auferlegt.
Laut einer Pressemeldung des Bundeskartellamtes vom 07.02.2019 untersagt das Bundeskartellamt Facebook die Zusammenführung von Nutzerdaten aus verschiedenen Quellen.

Ebenso stellt das Bundeskartellamt fest, dass Facebook auf dem Markt für soziale Medien eine marktbeherrschende Stellung einnimmt. Mit der vom Wettbewerber Google+ angekündigten Einstellung seines Dienstes wird sich die Situation noch verschärfen.
Andreas Mundt, Präsident des Bundeskartellamtes, sagt hierzu: "Als marktbeherrschendes Unternehmen unterliegt Facebook besonderen kartellrechtlichen Pflichten und muss bei dem Betrieb seines Geschäftsmodells berücksichtigen, dass die Facebook-Nutzer praktisch nicht auf andere soziale Netzwerke ausweichen können. Ein obligatorisches Häkchen bei der Zustimmung in die Nutzungsbedingungen des Unternehmens stellt angesichts der überragenden Marktmacht des Unternehmens keine ausreichende Grundlage für eine derartig intensive Datenverarbeitung dar. Der Nutzer hat ja nur die Wahl, entweder eine umfassende Datenzusammenführung zu akzeptieren oder aber auf die Nutzung des sozialen Netzwerkes zu verzichten. Von einer freiwilligen Einwilligung in die Datenverarbeitungsbedingungen kann in einer solchen Zwangssituation des Nutzers keine Rede sein."
 
In den Hintergrundinformationen zur Pressemeldung ist folgendes zu lesen:
„Die Überprüfung der Datenverarbeitungskonditionen anhand datenschutzrechtlicher Wertungen, insbesondere nach der seit Mai 2018 anzuwendenden Datenschutzgrundverordnung (DSGVO) hat ergeben, dass Facebook keine wirksame Rechtfertigung für die Erhebung von Daten aus anderen konzerneigenen Diensten sowie aus Facebook Business Tools und der Verknüpfung der Daten mit den Facebook-Konten hat.“

An dieser Stelle sei darauf hingewiesen, dass hier sehr deutlich wird, dass eine Datenerhebung von Nutzerdaten auf Webseiten ohne Einwilligung der Nutzer einen Verstoß gegen die DSGVO (EU-Datenschutz-Grundverordnung) darstellt und gem. Art. 83 Abs. 5 DSGVO mit Bußgeldern bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden kann, je nach dem welcher Betrag höher liegt.

Eine Überprüfung Ihrer Webseiten und die Ergreifung von Maßnahmen zur Abwehr von möglichen Bußgeldern ist dringend empfohlen!

Hintergrundinformationen zum Facebook-Verfahren des Bundeskartellamtes können Sie hier herunterladen:
Facebook FAQ's

Quellen:
Pressemeldung des Bundeskartellamtes vom 07.02.2019

Bild: © Trueffelpix - Fotolia.com

Boris Koppenhöfer
08.02.2019

Nach längerer Pause starten wir wieder unseren Blog. Aufgrund der enormen Arbeitsbelastung in den letzten Monaten mussten wir die Pflege leider aussetzen.

Derzeit erhalten unsere Berater wieder gehäuft Anfragen zur Nutzung von "WhatsApp" im Unternehmen oder auf Unternehmens-Geräten.

Vorweggenommen muss klar gesagt werden, dass Unternehmen, Vereine, Behörden etc. WhatsApp nicht datenschutzkonform und damit nicht gesetzeskonform einsetzen können. Ebenso ist der private Einsatz auf Geräten des Unternehmens oder auf für die Tätigkeit im Unternehmen genutzten privaten Geräte (BYOD) problematisch.

Wir raten vom Einsatz ab. Es existieren Alternativen, die bei vergleichbarem Funktionsumfang datenschutzkonform betrieben werden können.

Die massive Verbreitung von WhatsApp macht die Nutzung auch für Unternehmen interessant. Kommunikation mit Mitarbeitern oder Kunden und Lieferanten ist einfach und die Funktionen zur Übertragung von Text, Bildern, Videos und anderen Mediendaten passt zu den modernen Anforderungen der Unternehmen an die einfache Kommunikation.

Jedoch scheint das datenschutzrechtliche Ausmaß des Einsatzes von WhatsApp vielen Unternehmen nicht bewusst zu sein.

Jegliche Kommunikation und damit der Datentransfer läuft über Systeme des Anbieters, der Whatsapp Inc. aus Kalifornien, USA und somit einem Anbieter aus einem Drittland.

Das BayLDA wurde von der Gesellschaft für Datenschutz und Datensicherheit e. V. (GDD Erfa-Kreis Würzburg) zum Thema befragt¹. Die Ausführungen der Behörde legen nahe, dass die Unternehmen über die weitere Verwendung von WhatsApp sorgfältig nachdenken sollten.

Ebenso hat auch die Landesbeauftragte für den Datenschutz Niedersachsen im Juli 2018 ein Merkblatt für die Nutzung von "WhatsApp" in Unternehmen veröffentlicht in dem dem Einsatz durch das Unternehmen eine klare Absage erteilt wird.
Im wesentlichen bestünden drei datenschutzrechtliche Problemstellungen:

1. Die Übermittlung der Kontakte aus dem Adressbuch des Nutzers an WhatsApp.
2. Die Übermittlung von personenbezogenen Daten in die USA.
3. Die Nutzung von personenbezogenen Daten durch WhatsApp.

 
Die Übermittlung von Kontaktdaten aus dem Adressbuch ist regelmäßig unzulässig. Ein Unternehmen, dass Kontaktdaten von Mitarbeitern, Kunden etc. an einen Dritten übermittelt muss dafür einen Rechtsgrund haben oder es muss die Einwilligung jeder einzelnen Person vorliegen. Da ein berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f DSGVO bestenfalls für bereits bei WhatsApp registrierte Benutzer unterstellt werden könnte, dürfte das für Personen, die keine oder andere Dienste verwenden keinesfalls gelten.

Darüber hinaus behält sich der Anbieter vor, die Daten nahezu zweckungebunden nutzen zu dürfen.

Gem. Art. 83 Abs. 5 DSGVO drohen für Verstöße gegen die Rechtmäßigkeit der Übermittlung Bußgelder bis 20 Mio. Euro bzw. 4 % des weltweiten Jahresumsatzes, je nach dem welcher Betrag höher liegt.

Auch unter dem Gesichtspunkt der möglichen Leistungs- und Verhaltenskontrolle der Beschäftigten ist der Einsatz nicht zu empfehlen.

Ebenso kam bereits 2017 das Amtsgericht Bad Hersfeld zu dem Urteil, dass der Einsatz von WhatsApp durch die ungefragte Übertragung von Kontaktdaten an den Anbeiter ein Rechtsverstoß und somit auch abmahnfähig sei.

Für den privaten Einsatz auf Unternehmensgeräten oder auf privaten Geräten, die auch für das Unternehmen genutzt werden lassen sich technische und organisatorische Lösungen finden. Sprechen Sie hier Ihren rechtlichen Berater und Ihren betrieblichen Datenschutzbeauftragten an.

¹ RDV Online vom 23.03.2018: Nutzung von WhatsApp aus der Perspektive der Aufsichtsbehörde

Quellen:
Hessenrecht / Landesrechtsprechungsdatenbank: Beschluss vom 20.03.2017 Az.: F 111/17 EASO
Die Landesbeauftragte für den Datenschutz Niedersachsen: Merkblatt für die Nutzung von "WhatsApp" in Untrenehmen
VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 (Datenschutz-Grundverordnung)
Gesetze im Internet (Projekt des Bundesministerium der Justiz und für Verbraucherschutz und der juris GmbH)
Wikipedia

Bild: © Евгения Мухитова - Fotolia.com

Boris Koppenhöfer
26.07.2018

Nur lästige Pflicht?
Die meisten Unternehmen betrachten die Einhaltung der datenschutzrechtlichen Vorschriften sicherlich als lästige Pflicht, Störung der Abläufe, Hemmnis.
Betrachten wir einmal die Vorteile und Chancen, insbesondere durch die EU-weite Einführung der Datenschutz-Grundverordnung (DSGVO).

Was kommt auf uns zu?
Zunächst neue, andere und umfassendere Regeln. Die Umstellung verursacht Kosten und bindet Ressourcen, allerdings EU-weit für alle Unternehmen in gleicher Weise.
Bislang galt für die Unternehmen innerhalb der EU ein z. T. unterschiedliches Datenschutzniveau und eine sehr unterschiedliche behördliche Praxis bei der Durchsetzung der Vorschriften.
Durch die nun einheitliche Regelung verschwinden Vorteile für Unternehmen in Ländern mit einer weniger strengen Gesetzgebung und Behördenpraxis. Dies ist insbesondere für deutsche Unternehmen von Vorteil.

Wer seine Hausaufgaben gemacht hat, gewinnt!
Die DSGVO ist in sehr vielen Punkten nah am bisherigen deutschen Datenschutzrecht. Die Unternehmen, die hier bislang gut aufgestellt waren, haben deutlich weniger Aufwand mit der Umsetzung als Ihre europäischen Marktbegleiter.

Vorteile?
Eine zentrale Forderung der DSGVO ist die Dokumentation aller Tätigkeiten des Unternehmens, bei denen personenbezogene Daten verarbeitet werden.
Dies führt dazu, dass die Prozesse und Abläufe, sowie hiermit verbundene Verantwortungen sichtbar werden und längst überfällige Verbesserungen stattfinden können.

Qualitätsmerkmal Datenschutz
Gut gemachter Datenschutz sowie eine gut dokumentierte IT-Sicherheit sind Merkmale, mit denen Unternehmen werben können und sollten!
Datenschutzskandale, Bußgelder etc. der Marktbegleiter können einen Wettbewerbsvorteil für Unternehmen mit einem funktionierenden Datenschutz- und IT-Sichehrheits-Management bedeuten.

Nutzen Sie die Einführung der DSGVO zur Qualitätsverbesserung in Ihrem Unternehmen!

Quellen:
VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 (Datenschutz-Grundverordnung)

Bild: © Trueffelpix - Fotolia.com

Boris Koppenhöfer
27.12.2017

In den letzten Monaten häufen sich in unserer Beratungspraxis Anfragen nach möglichen Überwachungen der Beschäftigten in Räumen des Unternehmens, die nur von Personal betreten werden dürfen. Meist Aufenthaltsräume wie Kantinen etc. Die Motivationen sind meist ähnlicher Natur und betreffen im Wesentlichen den Schutz von Eigentum (Diebstahl, Vandalismus) und die Identifizierung der jeweiligen Täter.

Der Überwachung zu diesen Zwecken hat der Gesetzgeber enge Grenzen gesetzt. Da es sich bei dieser Form der Videoüberwachung um die Überwachung von nicht-öffentlich zugänglichen Räumen handelt, das bedeutet von Räumen, die nicht von jedermann betreten werden dürfen, ist diese Art der Datenverarbeitung nicht von § 6 b BDSG gedeckt, in dem die Beobachtung öffentlich zugänglicher Räume zu bestimmten Zwecken erlaubt wird.

Da hier im Wesentlichen die Mitarbeiter auf dem Bildmaterial zu sehen sind, handelt es sich um die Erhebung und Verarbeitung von Beschäftigtendaten zum Zweck der Aufklärung einer Straftat. Dies ist in § 32 BDSG geregelt. Hier werden jedoch strenge Maßstäbe für die mögliche Erhebung und Verarbeitung angelegt. Die Norm fordert hier tatsächliche Anhaltspunkte für einen dokumentierten konkreten Verdacht, dass vom Betroffenen eine Straftat begangen wurde. Meist besteht jedoch kein konkreter dokumentierter Verdacht gegen einen bestimmten Mitarbeiter. Dies führt regelmäßig dazu, dass viele Mitarbeiter unter Generalverdacht gestellt werden und ein unverhältnismäßiger Überwachungsdruck auf mehrheitlich unschuldige Personen ausgeübt wird.

Zudem stellt der in den meisten Fällen geringe Verlust (Geschirr, Speisen etc.) keine Rechtfertigung dar, die Videoüberwachung als Mittel der Abschreckung einzusetzen, da hier stets geprüft werden muss, ob ein milderes Mittel eingesetzt werden kann. Dies ist in den meisten Fällen jedoch durchaus möglich.

Der Sächsische Datenschutzbeauftragte hat in seinem Bericht vom 31. März diesen Jahres das Thema im Rahmen seiner Prüfaufgaben aufgegriffen und die Unzulässigkeit in einem Fall von "Videoüberwachung gegen Geschirrsdiebstahl" dargestellt.

Quellen:
Der Sächsische Datenschutzbeauftragte: Tätigkeitsbericht vom 31.03.2017
Gesetze im Internet (Projekt des Bundesministerium der Justiz und für Verbraucherschutz und der juris GmbH)

Bild: © Trueffelpix - Fotolia.com

Boris Koppenhöfer
10.11.2017

Am 25. Mai 2018 entfaltet die Datenschutz-Grundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG (neu)) ihre Rechtswirkung.
Unternehmen müssen vieles anpassen, um den neuen Datenschutzgesetzen zu genügen. Datenschutzerklärungen auf der Unternehmens-Website gehören ebenfalls dazu.

Durch die stark steigenden Transparenz- und Informationspflichten gegenüber betroffenen Personen sind bisherige Datenschutzerklärungen meist nicht mehr ausreichend.

e-Privacy-Verordnung
Am 10. Januar 2017 hat die EU-Kommission einen Entwurf der neuen e-Privacy-Verordnung (Verordnung über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation)¹ veröffentlicht. Dieser stellt eine Spezialisierung der DSGVO dar und geht in ihrem Regelungsbereich der DSGVO vor. Derzeit enthält die Verordnung jedoch keine Regelung zur Datenschutzerklärung.

Somit greifen hier die Artikel 12 und 13 der DSGVO zu Transparenz- und Informationspflichten gegenüber betroffenen Personen.
Zum Inhalt der Informationspflichten siehe auch unser Blogbeitrag "Neue Informationspflichten kommen mit der DSGVO" vom 22. September 2017.

Art. 12 DSGVO fordert, dass die Informationen "in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln" seien.
Dies trifft auf bisherige übliche Datenschutzerklärungen nicht zu und ist eine deutlich höhere Anforderung als bislang.

Klare Strukturen, übersichtliche Anordung und gute Lesbarkeit sollten im Vordergrund stehen, Fließtexte mit vielen Fachbegriffen genügen den neuen Anforderungen nicht. Weiterführende Informationen können jedoch verlinkt werden. In Absatz 7 und 8 des Artikels 12 der DSGVO sind auch standardisierte Bildsymbole zur Darstellung genannt, hier soll die Kommission durch delegierte Rechtsakte die Details regeln.

¹ EU-Kommission: Vorschlag für eine Verordnung über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation

Quellen:
VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 (Datenschutz-Grundverordnung)
Wikipedia

Bild: © Trueffelpix - Fotolia.com

Boris Koppenhöfer
29.09.2017

Das Bundesverfassungsgericht hat im "Volkszählungsurteil" vom 15.12.1983 festgestellt, dass es mit dem Grundrecht auf informationelle Selbstbestimmung der Bürger nicht vereinbar ist, wenn der Bürger nicht wisse, "wer was wann und bei welcher Gelegenheit über sie weiß."

Dies kann nur gewährleistet werden, wenn die datenverarbeitenden Stellen ausreichend hierüber informieren.

Mit der Datenschutz-Grundverordnung (DSGVO) kommen in den Artikeln 13 und 14 zwei umfangreiche Kataloge zur Informationspflicht. Art. 13 regelt die Informationspflichten bei der Erhebung personenbezogener Daten bei der betroffenen Person, Art. 14 regelt die Informationspflichten, wenn die Erhebung nicht direkt bei der betroffenen Person erfolgt.

Informationspflichten gem. Art. 13 DSGVO
Datenerhebung bei der betroffenen Person
Zum Zeitpunkt der Erhebung

Der Verantwortliche (datenverarbeitende Stelle) muss folgende Informationen mitteilen:

a) Identität des Verantwortlichen
Es ist über den Namen und die Kontaktdaten des Verantwortlichen oder ggf. seines Vertreters gem. Art. 27 DSGVO zu informieren.

b) Kontaktdaten des Datenschutzbeauftragten
Neue Verpflichtung.

c) Verarbeitungszwecke und Rechtsgrundlage
Der Verantwortliche muss über die Zwecke der Datenverarbeitung sowie über die Rechtsgrundlage der Verarbeitung informieren. Somit wird die betroffene Person aktiv darüber aufgeklärt, auf welchen Erlaubnistatbestand (Art. 6 DSGVO) die Datenverarbeitung gestützt wird.

d) Berechtigtes Interesse
Sollte der Erlaubnistatbestand gem. Art. 6 Abs. 1 lit f) DSGVO, Verarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten, Rechtsgrundlage sein, so muss auch eine Aufklärung über diese Interessen erfolgen.

e) Empfänger
In allen Fällen, in denen personenbezogene Daten übermittelt werden sollen, sind die betroffenen Personen grundsätzlich über die konkreten Empfänger oder die Kategorien von Empfängern zu informieren.

f) Übermittlung in Drittstaaten
Sollte eine Übermittlung in Drittstaaten erfolgen, ist darüber ebenfalls zu informieren. Ebenso ist mitzuteilen, auf welcher besonderen Bedingung nach Art. 44 ff. DSGVO die Übermittlung beruht und welche Maßnahmen ergriffen wurden, um beim Empfänger ein angemessenes Datenschutzniveau herzustellen. Es ist der betroffenen Person auf Anfrage Einsichtnahme die entsprechenden Dokumente zu ermöglichen.

Weitere Informationspflichten zur Gewährleistung einer fairen und transparenten Verarbeitung:

g) Dauer der Speicherung
Es ist anzugeben, wie lange personenbezogene Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung der Dauer der Speicherung.

h) Rechte der Betroffenen
Die Betroffenen sind über ihre Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung sowie Datenübertragbarkeit hinzuweisen.

i) Widerrufbarkeit von Einwilligungen
Soweit die Verarbeitung auf einer Einwilligung des Betroffenen beruht, ist darüber zu informieren, dass die Einwilligung jederzeit widerrufen werden kann und die Datenverarbeitung bis zum Zeitpunkt des Widerrufs rechtmäßig bleibt.

j) Beschwerderecht bei der Aufsichtsbehörde
Der Betroffene ist über sein Beschwerderecht bei der Aufsichtsbehörde gem. Art. 77 DSGVO aufzuklären.

k) Verpflichtung zur Bereitstellung personenbezogener Daten
Der Verantwortliche muss den Betroffenen darüber informieren, ob die Bereitstellung seiner personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben, für einen Vertragsschluss erforderlich ist oder eine sonstige Verpflichtung besteht und über die Folgen einer möglichen Nichtbereitstellung.

l) Automatisierte Entscheidungsfindung und Profiling
Sobald Verfahren der automatisierten Entscheidung gem. Art. 22 DSGVO zur Anwendung kommen, muss die betroffene Person über die Tragweite und die angestrebten Auswirkungen informiert werden.


Informationspflichten gem. Art. 14 DSGVO
Datenerhebung nicht bei der betroffenen Person (aus anderen Quellen)
Innerhalb angemessener Frist, längstens innerhalb eines Monats. Falls zur Kommunikation mit der betroffenen Person verwendet, spätestens bei der ersten Kontaktaufnahme, bei Übermittlung an Dritte, spätestens zum Zeitpunkt der ersten Übermittlung.

Im Unterschied zur Datenerhebung bei der betroffenen Person ist über die

a) Kategorien der personenbezogenen Daten
aufzuklären und

b) aus welcher Quelle die Daten stammen und ob diese Quellen öffentlich zugänglich sind.

Aus erkennbaren Gründen muss nicht auf die Folgen einer möglichen Nichtbereitstellung hingewiesen werden.

Einschränkungen
Im Falle der Erhebung bei der betroffenen Person kann auf die Information verzichtet werden, falls die betroffene Person zum Zeitpunkt der Erhebung bereits über die Information verfügt.

Sofern die Daten nicht bei der betroffenen Person erhoben werden, ist die Information in folgenden Fällen nicht notwendig:

• Die Informationserteilung ist unmöglich oder erfordert einen unverhältnismäßigen Aufwand,
• die Erhebung oder Offenlegung ist gesetzlich vorgeschrieben,
• die Daten unterliegen einem Berufsgeheimnis oder satzungsgemäßen Geheimhaltungspflicht und sind daher vertraulich zu behandeln.

Verstöße gegen die Informationspflichten
Der Gesetzgeber hat die Rechte der betroffenen Personen und damit auch die Informationspflichten zur Gewährleistung einer fairen und transparenten Datenverarbeitung personenbezogener Daten hoch bewertet (Art. 83 Abs. 5 lit. b)). Der Bußgeldrahmen für solche Verstöße liegt bei 20 Mio. Euro oder 4 % des weltweiten Konzern-Jahresumsatzes, je nach dem welcher Wert höher liegt.

Quellen:
VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 (Datenschutz-Grundverordnung)
openJur, die freie juristische Datenbank

Bild: © Trueffelpix - Fotolia.com

Boris Koppenhöfer
22.09.2017

Wer muss einen Datenschutzbeauftragten benennen?
Art. 37 DSGVO und § 38 BDSG (neu) enthalten Regelungen für die Bestellpflicht nicht-öffentlicher Stellen.
Folgende datenverarbeitenden Stellen müssen einen Datenschutzbeauftragten benennen:

1. Wenn mindestens 10 Personen regelmäßig mit personenbezogenen Daten umgehen 
2. Bei Verarbeitung von Daten, die der Datenschutz-Folgenabschätzung unterliegen
3. Bei geschäftsmäßiger Verarbeitung von Daten zum Zweck der Übermittlung oder Markt- und Meinungsforschung
4. Wenn eine Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen
5. Wenn eine Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht

Jede nicht zur Benennung eines Datenschutzbeauftragten verpflichteten Stelle kann dies jedoch freiwillig tun.

Die Benennung sollte schriftlich erfolgen und ebenso sollte ein Vertrag mit der zu benennenden Person über die zu übernehmenden Aufgaben geschlossen werden, insbesondere die zu übernehmenden Aufgaben, die sich nicht direkt aus dem Gesetz ergeben.
Aus der Benennung muss eindeutig hervorgehen, für welche rechtliche Einheit oder Einheiten die Benennung erfolgt.

Wer darf zum Datenschutzbeauftragten bestellt werden?

1. Interne und externe Personen sind möglich
   Bei Benennung einer internen Person (Mitarbeiter) darf die Benennung nicht zum Interessenkonflikt führen
2. Der Datenschutzbeauftragte muss beruflich qualifiziert sein, Fachwissen besitzen und anwenden können, sowie die Fähigkeit besitzen, alle Aufgaben gem. Art. 39 DSGVO zu erfüllen

Welche Rechte hat der Datenschutzbeauftragte?

1. Der Datenschutzbeauftragte kann nur aus wichtigem Grund abberufen werden
   (bei fristloser Kündigung aus wichtigem Grund)
2. Der Datenschutzbeauftragte kann nur aus wichtigem Grund gekündigt werden
   (fristlose Kündigung aus wichtigem Grund)
3. Der Kündigungsschutz wirkt ein Jahr nach Ende der Tätigkeit als Datenschutzbeauftragter fort
4. Der Datenschutzbeauftragte darf aufgrund seiner Aufgaben nicht abberufen oder benachteiligt werden

Was muss die verarbeitende Stelle beachten?

1. Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten benennen
2. Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Führungsebene
3. Betroffene Personen können den Datenschutzbeauftragten in Fragen zu ihren Daten und zur Wahrnehmung ihrer Rechte zu Rate ziehen
4. Der Datenschutzbeauftragte ist zur Geheimhaltung verpflichtet
5. Der Datenschutzbeauftragte muss frühzeitig in alle datenschutzrelevanten Fragen eingebunden werden
6. Der Datenschutzbeauftragte muss bei seiner Tätigkeit unterstützt werden
7. Dem Datenschutzbeauftragten müssen alle notwendigen Ressourcen und Zugänge zu personenbezogenen Daten zur Verfügung gestellt werden
8. Der Datenschutzbeauftragte muss weisungsfrei arbeiten können
9. Die Kontaktdaten des Datenschutzbeauftragten müssen veröffentlicht werden und der Aufsichtsbehörde mitgeteilt werden

Welche Aufgaben hat der Datenschutzbeauftragte?

1. Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters hinsichtlich Pflichten und Vorgaben
2. Unterrichtung und Beratung der Beschäftigten hinsichtlich Pflichten und Vorgaben
3. Überwachung der Einhaltung der gesetzlichen Vorgaben und der Strategien der verarbeitenden Stelle zur Einhaltung der gesetzlichen Vorgaben, auch der Sensibilisierung und Schulung der beteiligten Mitarbeiter
4. Auf Anfrage Beratung und Überwachung im Zusammenhang mit der Datenschutz-Folgeabschätzung
5. Zusammenarbeit mit der Aufsichtsbehörde sowie Anlaufstelle der Aufsichtsbehörde

Welche Aufgaben kann und darf der Datenschutzbeauftragte zusätzlich übernehmen?

Zunächst einmal alle Aufgaben, die zu keinem Interessenkonflikt führen, siehe auch Art. 38 Nr. 6 DSGVO.
Folgende Aufgaben können aufgrund der Fachkompetenz sinnvoll sein:

1. Schulung der Mitarbeiter hinsichtlich Datenschutz
2. Unterstützung bei Erstellung und Führen des Verzeichnisses der Verarbeitungstätigkeiten
3. Durchführung interner Datenschutz-Audits
4. Prüfung der technischen und organisatorischen Maßnahmen eines beauftragten Auftragsverarbeiters

Wie sollte der Datenschutzbeauftragte an die Organisation des Betriebes angeschlossen sein?

1. Der Datenschutzbeauftragte sollte organisatorisch der höchsten Managementebene unterstellt werden.
2. Der Datenschutzbeauftragte sollte regelmäßig an Besprechungen des mittleren und oberen Managements beteiligt werden.¹
3. Der Datenschutzbeauftragte sollte zu allen datenschutzrelevanten Entscheidungen gehört werden und seiner Einschätzung sollte bei der Entscheidung entsprechendes Gewicht verliehen werden.¹
4. Der Datenschutzbeauftragte muss bei entsprechenden Zwischenfällen und Brüchen der Datensicherheit umgehend informiert werden.

Die Bedeutung des Datenschutzbeauftragten für das verarbeitende Unternehmen nimmt unter der DSGVO deutlich zu. Der Datenschutzbeauftragte übernimmt mehr Kontrollfunktionen und ist direkter Ansprechpartner der Aufsichtsbehörden.
Beim geringsten Zweifel an der Eignung des bisherigen Datenschutzbeauftragten oder zur Benennung in Frage kommender Beschäftigter sollte jedes Unternehmen über die Beauftragung eines geeigneten externen Beraters nachdenken, sei es zur Stellung des externen Datenschutzbeauftragten oder zur Unterstützung und Beratung des internen Datenschutzbeauftragten.

¹ Artikel 29 Gruppe Working Paper 243 Guidelines on DPOs

Quellen:
VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 (Datenschutz-Grundverordnung)

Bild: © Trueffelpix - Fotolia.com

Boris Koppenhöfer
01.09.2017

Das Recht auf informationelle Selbstbestimmung der bewerteten Personen eines Bewertungsportals überwiegt die Interessen der Portalnutzer und der Betreiberin.

Die Entscheidung des Verwaltungsgericht Köln (Urteil vom 16.02.2017, Az.: 13 K 6093/15) zeigt, dass das Recht auf informationelle Selbstbestimmung in bestimmten Fällen schwerer wiegt als das Recht auf freie Meinungsäußerung.

Ausgangssituation
In einem kostenlosen Bewertungsportal für Autofahrer können die Nutzer das Fahrverhalten anderer Personen unter Angabe des Kfz-Kennzeichens nach einem Ampelschema bewerten. Die Bewertung kann um Angaben zum Ortes, zum Fahrzeug und aus einer Liste vorgegebener Eigenschaften des Fahrverhaltens ergänzt werden.
Nutzer des Portals können ein Kfz-Kennzeichen eingeben und sich das Ergebnis der bisherigen Bewertungen in Form einer durchschnittlichen Schulnote anzeigen lassen. Zudem können sich Nutzer per Email laufend über den aktuellen Stand der Bewertungen zu einem konkreten Kfz-Kennzeichen informieren lassen.
Das Portal bietet zudem eine auf Regionen bzw. Städte bezogene Auswertung sowie allgemeine Statistiken zu Hersteller, Fahrstil und Kfz-Typ an. Alle Funktionen des Portals können ohne Registrierung genutzt werden.

Aufforderung zur Stellungnahme durch die Aufsichtsbehörde
Der Landesbeauftragte für Datenschutz und Informationsfreiheit für das Land Nordrhein-Westfalen (LDI NRW) hat der Betreiberin eines Bewertungsportals für Autofahrer seine Bedenken bezüglich der Gestaltung des Portals mitgeteilt. Mit der Erhebung und Veröffentlichung der Daten auf dem Portal gehe ein Gefährdungspotential einher. Es könnten beispielsweise Bewegungsprofile erstellt werden. Es sei zudem zu verhindern, dass eine allgemein zugängliche „private Verkehrssünderdatei“ erstellt werde. Im Rahmen einer Interessenabwägung sei zu berücksichtigen, dass sich das Fahrerbewertungsportal von anderen Bewertungsportalen unterscheide, weil es nicht in Zusammenhang mit einer beruflichen oder gewerblichen Tätigkeit der Bewerteten stehe und der Nutzerkreis nicht beschränkt sei. Der LDI NRW forderte die ursprüngliche Betreiberin des Fahrerbewertungsportals zur Stellungnahme auf.

Diskussion
Die Betreiberin des Portals gab u. a. an, Kfz-Kennzeichen seien gar keine personenbezogenen Daten, ebenso sei es fraglich, ob hier überhaupt in das Recht der Betroffenen auf informationelle Selbstbestimmung eingegriffen werde. Jedenfalls sei ein solcher Eingriff gerechtfertigt.

Der LDI NRW erwiderte u. a., dass das Kfz-Kennzeichen sehr wohl ein personenbezogenes Datum sei und dass ein allgemeines Interesse an ordnungsgemäßem Fahrverhalten nicht rechtfertige, Bewertungen zu einem konkreten Kfz-Kennzeichen zu kennen. Zudem würden Betroffene nicht gem. § 33 Abs. 1 Satz 2 BDSG darüber informiert, dass sie bewertet worden sind.

Vorgabe durch Aufsichtsbehörde und Klage der Betreiberin
Im Verlauf der Kommunikation wurden verschiedene Modifikationen des Portals diskutiert, es kam jedoch zu keiner Einigung. Der LDI NRW machte der Betreiberin daraufhin Vorgaben zur Modifikation mit Androhung eines Zwangsgeldes bei Nichterfüllung, die Klägerin erhob daraufhin Klage gegen die Anordnung.

Urteil des Verwaltungsgerichts Köln
Zusammenfassend gab das Gericht dem LDI NRW insoweit Recht. Die Klage sei im Hinblick auf die Anordnung des LDI NRW unbegründet, die Anordnung verletzt nicht in ihren Rechten, auch die Zwangsgeldandrohung sei nicht zu beanstanden.

Zur Interessenabwägung führt das Gericht aus:
"Die Form, die die Klägerin für ihr Fahrerbewertungsportal gewählt hat, birgt die Gefahr, eine Prangerwirkung für die Betroffenen zu entfalten. Die Bewertungen der Nutzer werden von der Klägerin nicht verifiziert. Jedem Nutzer ist es unabhängig von einer tatsächlichen Beobachtung möglich, Bewertungen zu einem beliebigen Kfz-Kennzeichen mit weiteren Erläuterungen abzugeben. Dadurch besteht die Gefahr, dass Nutzer aus zweckwidrigen Motiven zu einem Kfz-Kennzeichen unrichtige negative Bewertungen anhäufen und damit das Fahrverhalten einer Person fälschlicherweise als schlecht darstellen."

Fazit
Hier wird erneut deutlich, wie wichtig eine sorgfältige Interessenabwägung im Vorfeld einer Datenverarbeitung ist. Insbesondere sind die Überlegungen, welche Datenverarbeitungen und Funktionalitäten eines angebotenen Dienstes zur geplanten Zweckerreichung wirklich erforderlich sind, nicht immer einfach.

Fragen Sie im Zweifel immer Ihren Datenschutzbeauftragten vor Inbetriebnahme eines Dienstes oder einer Datenverarbeitung.
Denken Sie dabei auch an die kommenden Änderungen im Datenschutzrecht. In der DSGVO ist die Pflicht zur frühzeitigen Einbindung des Datenschutzbeauftragten vorgeschrieben (Art. 38 Nr. 1 DSGVO).

Quellen:
Justizportal Nordrhein-Westfalen, Urteil vom 16.02.2017, Az.: 13 K 6093/15
Gesetze im Internet (Projekt des Bundesministerium der Justiz und für Verbraucherschutz und der juris GmbH)
VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 (Datenschutz-Grundverordnung)

Bild: © Trueffelpix - Fotolia.com

Boris Koppenhöfer
25.08.2017

Videoüberwachung ist allgegenwärtig und nimmt ständig zu.

Das Bundesdatenschutzgesetz (BDSG) regelt in § 6 b die Anwendung von Videoüberwachung streng, sie ist nur unter bestimmten Voraussetzungen erlaubt.

Zur Wahrung des Hausrechts¹ darf sie beispielsweise nur dann eingesetzt werden, wenn sie erforderlich ist und keine Anhaltspunkte für überwiegende schutzwürdige Belange der betroffenen Kundinnen, Kunden und Beschäftigten bestehen. Eine permanente, flächendeckende Videoüberwachung in Ladengeschäften ist in aller Regel unzulässig.

Ladengeschäfte nutzen die Videoüberwachung gerne zur Aufklärung von Ladendiebstählen oder Vandalismus. Die Aufklärung der Straftaten unter Zuhilfenahme des Bildmaterials ist jedoch den Strafverfolgungsbehörden² vorbehalten.

Eine eigene Ermittlung unter Missachtung der Strafprozessordnung³ ist in der Regel unzulässig und birgt die Gefahr selbst unerlaubte Handlungen zu begehen, die strafrechtliche oder anderweitige Konsequenzen nach sich ziehen können.

Auch wenn die Aufzeichnung und damit das Bildmaterial unter Berücksichtigung aller einschlägigen Gesetze gewonnen wurde, ist die Nutzung des Bildmaterials separat zu betrachten. Sowohl eine mögliche Veröffentlichung wie auch eine mögliche Weitergabe ist unter datenschutzrechtlichen und persönlichkeitsrechtlichen Aspekten streng zu prüfen. Die Weitergabe des Bildmaterials an Strafverfolgungsbehörden ist dabei zulässig.

Jedoch ist eine Veröffentlichung von "Steckbriefen" im Internet, z. B. auf Facebook, oder in Schaufenstern unzulässig. Dies hat auch die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen in Ihrem 23. Bericht zum Datenschutz und der Informationsfreiheit deutlich formuliert: "Jede Art von Öffentlichkeitsfahndung stellt einen Eingriff in die Persönlichkeitsrechte der Verdächtigen dar und darf daher ausschließlich von Polizei und Staatsanwaltschaft nach der Strafprozessordnung erfolgen."

Ebenso ist die Weitergabe an Dritte wie Kunden oder Geschäftspartner, die aus zivilrechtlichen Gründen eine Herausgabe begehren, um beispielsweise Schadenersatzansprüche geltend zu machen, in der Regel unzulässig.

¹ siehe auch Definition Hausrecht auf juraforum.de
² siehe auch Eintrag zu Strafverfolgungsbehörden auf Wikipedia
³ siehe auch Eintrag zu Strafprozessordnung auf Wikipedia 

Quellen:
23. Bericht zum Datenschutz und Informationsfreiheit LDI NRW
Gesetze im Internet (Projekt des Bundesministerium der Justiz und für Verbraucherschutz und der juris GmbH)

Bild: © Trueffelpix - Fotolia.com

Boris Koppenhöfer
18.08.2017

Die Datenschutzkonferenz (DSK) hat in ihrem achten Kurzpapier vom 26.07.2017 eine erste Orientierungshilfe für die Umsetzung der Bestimmungen der Datenschutz-Grundverordnung (DS-GVO) veröffentlicht. In diesem Dokument stellt die DSK die Bedeutung der DS-GVO und die Auswirkungen auf die Unternehmen in der EU dar.

Information der Geschäftsleitung
Zunächst ist allen Entscheidungsträgern die Tragweite der DS-GVO bewusst zu machen. Hierzu empfiehlt die DSK die Information der Geschäftsleitung durch die Datenschutzbeauftragten und/oder die IT-Verantwortlichen.

Projekt zur Umsetzung
Ein Projekt zur Umsetzung der DS-GVO ist zwingend angeraten.
Folgende Punkte werden empfohlen:

1. Bestandsaufnahme
   - Prozesse mit personenbezogenen Daten bestimmen und analysieren
   - Rechtsgrundlagen prüfen
   - Datenschutzorganisation im Unternehmen prüfen
   - Dienstleisterbeziehungen prüfen (Verträge etc.)
   - Dokumentationen prüfen
   - Betriebsvereinbarungen prüfen
2. Handlungsbedarf eruieren
   - Soll-Zustand ermitteln
   - Lücken analysieren
   - Handlungsbedarf konkret festlegen
3. Umsetzung bis 25. Mai 2018
   - Anpassung Prozesse
   - Rechtsgrundlagen festlegen
   - Implementierung neuer Aufgaben
   - Anpassung und Ergänzung der Organisation
   - Dokumentationen aufbauen
   - Anpassung IT-Sicherheit
   - Anpassung Betriebsvereinbarungen

Wir empfehlen, mit der Umsetzung umgehend zu beginnen, sofern nicht bereits begonnen wurde.

Quellen:
Bayerisches Landesamt für Datenschutzaufsicht, Kurzpapiere DSK und BayLDA

Bild: © Trueffelpix - Fotolia.com

Boris Koppenhöfer
11.08.2017

Gemäß Art. 30 DS-GVO muss jeder Verantwortliche¹ und jeder Auftragsverarbeiter² ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen, führen.
Zweck³ dieses Verzeichnisses ist es, die Zusammenarbeit mit der Aufsichtsbehörde zu erleichtern und der Aufsichtsbehörde zu ermöglichen, die Verarbeitungsvorgänge anhand dieser Verzeichnisse zu ermöglichen.

Insbesondere muss der Verantwortliche das Verzeichnis führen, um alle Verarbeitungstätigkeiten zu kennen, die "ein Risiko für die Rechte und Freiheiten der betroffenen Personen" bergen, die "nicht nur gelegentlich" erfolgen, die "besondere Datenkategorien" gemäß Artikel 9 Absatz 1 DS-GVO oder "personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten" im Sinne des Artikels 10 DS-GVO.

Die Verzeichnisse dienen auch als Basis für die Datenschutz-Folgenabschätzung gem. Art. 35 DS-GVO sowie die mögliche vorherige Konsultation gem. Art. 36 DS-GVO.

Die Datenschutzkonferenz (DSK) hat im Juli 2017 damit begonnen, Auslegungshilfen zur DS-GVO zu veröffentlichen. Im Kurzpapier Nr. 1 vom 29.06.2017 rät die DSK zur Erfassung aller Verarbeitungstätigkeiten im eigenen Interesse der Verantwortlichen.

Die Verzeichnisse müssen zwingend in deutscher Sprache geführt werden oder nach Anforderung der Aufsichtsbehörde unverzüglich in deutscher Sprache vorgelegt werden können.

Eine Mustervorlage für die Anfertigung der Verzeichnisse finden Sie hier⁴:

¹ siehe auch Art. 4 DS-GVO Nr. 7, analog "Verantwortliche Stelle" im Sinne des § 3 Abs. 7 BDSG
² siehe auch Art. 4 DS-GVO Nr. 8, analog "Auftragnehmer" im Sinne des § 11 BDSG
³ siehe auch Erwägungsgrund 82 DS-GVO
⁴ Vorlage des Bayerischen Landesamt für Datenschutzaufsicht

Quellen:
VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 (Datenschutz-Grundverordnung)
Bayerisches Landesamt für Datenschutzaufsicht, Kurzpapiere DSK und BayLDA

Bild: © Trueffelpix - Fotolia.com

Boris Koppenhöfer
04.08.2017

Die Datenschutz-Grundverordnung (DSGVO) sieht im Falle von Verstößen deutlich schwerere Sanktionen vor als das BDSG. Ebenso tritt die Sanktionierung deutlich in den Vordergrund, Sie soll nicht mehr die Ausnahme sein, sondern bei Verstößen zum Regelfall werden.

Die bislang gängige Praxis in den Unternehmen, das Datenschutzrecht nicht in dem Maße unmzusetzen wie in anderen Rechtsbereichen, wird in Zukunft wohl mehr negative Folgen nach sich ziehen.

Bußgelder
Art. 83 DSGVO intendiert eine strengere Verhängung von Geldbußen als dies bislang der Fall war.
In den letzten Jahre ließ sich bereits eine Zunahme der Bußgeldverfahren beobachten, in Zukunft wir sich das noch deutlich verschärfen, insofern die Bußgeldhöhen für vergleichbare Tatbestände wohl deutlich steigen werden.

Neben den Geldbußen drohen den verarbeitenden Stellen weitere mögliche Sanktionen:

Verwarnung
Die "gelbe Karte" der Aufsichtsbehörde. Im Falle eines geringfügigen Verstoßes (siehe auch Erwägungsgrund 148 DSGVO) oder eine unverhältnismäßigen Belastung durch eine Geldbuße, kann die Aufsichtsbehörde eine Verwarnung aussprechen.

Anweisungen bezgl. der Datenverarbeitung
Insbesondere die Möglichkeit der Aufsichtsbehörde in die Datenverarbeitungsvorgänge mittelbar einzugreifen, in dem sie Anweisungen erteilt, diese in Einklang mit der DSGVO zu bringen (Art. 58 Abs. 2 lit. d) DSGVO), ist hier zu nennen.

Untersagung der Datenverarbeitung
Das "schärfste Schwert" der Aufsichtsbehörde. In Art. 58 Abs. 2 lit f) DSGVO ist geregelt, dass die Aufsichtsbehörde eine "vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots" verhängen darf.

Darüber hinaus sind auch zivilrechtliche Ansprüche (z. B. Art. 82 DSGVO) und die Durchsetzung durch Verbraucherverbände möglich.

Quellen:
Dr. Sebastian J. Golla: Säbelrasseln in der DSGVO, RDV (Recht der Datenverarbeitung) 2107 Heft 3 S 123
VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 (Datenschutz-Grundverordnung)

Bild: © Trueffelpix - Fotolia.com

Boris Koppenhöfer
14.07.2017

Am 29.06.2017 hat der Österreichische Nationalrat das "Bundesgesetz, mit dem das Bundes-Verfassungsgesetz geändert, das Datenschutzgesetz erlassen und das Datenschutzgesetz 2000 aufgehoben wird" beschlossen.

Das sog. "DatenschutzAnpassungsgesetz 2018" tritt am 25.05.2018 in Kraft. Mit Inkrafttreten des Gesetzes treten mehrere bestehende Gesetze außer Kraft.

Die wichtigsten Inhalte:

• Art 8 DSGVO: Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft
  § 4 Abs 4 DSG sieht die Einwilligungsfähigkeit ab dem Alter von 14 Jahren vor (anstelle von 16).

• Art 10 DSGVO: Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
  § 4 Abs 3 DSG erlaubt unter bestimmten Voraussetzungen die Verarbeitung "strafrechtsbezogener" Daten durch Private.

• Art 6 Abs. 1 lit. a, 7 DSGVO Einwilligung, hier Fortbestand von erteilten Einwilligungen
  In das „DSG neu“ wird eine Norm aufgenommen, die die „alten“ unter dem DSG 2000 eingeholten Zustimmungserklärungen auch unter der neuen Rechtslage für wirksam erklärt (sofern diese auch der DSGVO entsprechen – als Vorlage diente hier der Beschluss des deutschen „Düsseldorfer Kreises“.

Quellen:
Gesetzestext: Republik Österreich Parlament Datenschutz-Anpassungsgesetz 2018
Projekt 29 Datenschutzblog: DSGVO-Anpassungsgesetz nun auch in Österreich verabschiedet
Blogeintrag von Markus Kastelitz "My legal (digital) memory" vom 28.06.2017: Österreich: DSGVO-Anpassungsgesetz - aktueller Stand (Updates) 
Beschluss des Düsseldorfer Kreises 13./14.09.2016: Fortgeltung erteilter Einwilligungen

Bild: © Trueffelpix - Fotolia.com

Boris Koppenhöfer
07.07.2017

Mit Beschluss vom 22.06.2017 hat das Oberverwaltungsgericht (OVG) Nordrhein-Westfalen entschieden, dass die 2015 gesetzlich eingeführte und ab dem 1. Juli 2017 zu beachtende Vorratsdatenspeicherung nicht mit dem Recht der Europäischen Union vereinbar ist.

Der Münchener Provider Spacenet hatte gegen die in §§ 113a, b TKG vorgesehene verdachtsunabhängige Speicherung von Verkehrs- und Standortdaten für 4 bzw. 10 Wochen geklagt.

Zeitgleich hatte das Unternehmen einen Antrag an das Verwaltungsgericht (VG) Köln gestellt, bis zu einer endgültigen Entscheidung die entsprechenden Daten nicht speichern zu müssen. Der Provider unterlag in der Vorinstanz. Das OVG gab ihm nun jedoch Recht. Zu Begründung führte das Gericht aus, dass die Speicherpflicht in ihrer jetzigen Form nicht mit Art. 15 Abs. 1 der Datenschutzrichtlinie (2002/58/EG v. 12.07.2002) vereinbar sei.

Da der Beschluss nur unmittelbar auf den klagenden Provider wirkt, müssten andere Provider, die ebenfalls nicht speichern möchten, einen Antrag an das VG Köln stellen.

Leider gibt auch diese Entscheidung keine allgemeine Rechtssicherheit im viel diskutierten Thema. Der Gesetzgeber sollte hier endgültig Rechtssicherheit schaffen, um weitere hohe Investitionen der Provider in eine möglicherweise unrechtmäßige Vorratsdatenspeicherung zu verhindern.

Quellen:
Pressemitteilung des OVG NRW vom 22.06.2017: Vorratsdatenspeicherung verstößt gegen Unionsrecht

Bild: © Trueffelpix - Fotolia.com

Boris Koppenhöfer
30.06.2017

Die Europäische Kommission wird im September zum ersten Mal die jährliche Überprüfung des EU-Privacy-Shields vornehmen. Hieran nehmen auch Mitglieder der Artikel-29-Gruppe teil. Die Überprüfung hat die Effektivität der Vereinbarung zum Gegenstand. Das Ergebnis wird an die Kommission und das EU-Parlament berichtet. Die Artikel-29-Gruppe (G29) ist das unabhängige Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes.

Die Artikel-29-Gruppe hat in Ihrer Pressemitteilung vom 13.06.2017 Bedenken hinsichtlich der Umsetzung bereits geäußerter Themen im Bezug auf wirtschaftliche Aspekte sowie der Anwendung der Gesetze und den Fragen zur nationalen Sicherheit geäußert. Sicherlich spielt auch die politische Entwicklung und der Machtwechsel in den USA eine Rolle bei den Überlegungen der Gruppe.

Die Artikel-29-Gruppe bereitet sich nach eigenen Angaben intensiv auf die Überprüfung vor. Es seien bereits Fragebögen erstellt, die den US-Behörden vorgelegt werden sollen. Ebenso soll ein eigener Bericht der Gruppe zur Überprüfung veröffentlicht werden.

Es bleibt zu hoffen, dass dies zur Stärkung der Rechtssicherheit bei der Übertragung von Daten auf Basis des EU-Privacy-Shields beitragen wird.

Quellen:
Wikipedia: Artikel-29-Datenschutzgruppe
Pressemitteilung der Artikel-29 Gruppe vom 13.06.2017: Download

Bild: © Trueffelpix - Fotolia.com

Boris Koppenhöfer
23.06.2017

Die DSGVO (Datenschutz-Grundverordnung) entfaltet am 25.05.2018 ihre Rechtswirkung.

Wie ihr rechtlicher Vorgänger, das BDSG (Bundesdatenschutzgesetz), legt die DSGVO in Art. 5 Abs. 1 die Grundsätze fest, nach denen personenbezogene Daten verarbeitet werden dürfen. Für alle Unternehmen, die personenbezogene Daten verarbeiten, sind diese einzuhalten und die Einhaltung ggf. nachzuweisen. In Art. 5 Abs. 2 DSGVO heißt es: "Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ("Rechenschaftspflicht")."

Die Grundsätze im Einzelnen:

Rechtmäßigkeit der Verarbeitung
Die Rechtmäßigkeit wird in Art. 6 DSGVO näher beschrieben. U. a. sind neben der Einwilligung der betroffenen Personen die Erfüllung von Verträgen oder vorvertraglichen Maßnahmen, der Erfüllung von rechtlichen Pflichten des Verantwortlichen und der Schutz lebenswichtiger Interessen der betroffenen oder anderer Personen genannt. Im Erwägungsgrund 40 heißt es: "Damit die Verarbeitung rechtmäßig ist, müssen personenbezogene Daten mit Einwilligung der betroffenen Person oder auf einer sonstigen zulässigen Rechtsgrundlage verarbeitet werden (...)"

Verarbeitung nach Treu und Glauben
Hier geht es darum, ob ein bestimmtes Verhalten im Zusammenhang mit der Datenverarbeitung als redlich angesehen werden kann. Dies ist immer ein im Einzelfall abzuwägender Sachverhalt.

Transparenz
Die betroffenen Personen müssen jederzeit ihre Betroffenenrechte wahrnehmen können. Ebenso sollten sie sich anhand vorhandener Prüfsiegel oder Zertifikate einen Überblick über das Datenschutzniveau eines Anbieters von Produkten und Dienstleistungen verschaffen können. Art. 12 ff DSGVO präzisieren die Transparenzvorschriften.

Zweckbindung
Die Zwecke der Datenverarbeitung müssen vorab festgelegt, eindeutig und legitim sein. Eine Weiterverarbeitung zu anderen Zwecken ist nur möglich, wenn die Zwecke der Weiterverarbeitung nicht den ursprünglichen Zwecken zuwider laufen und eine Rechtsgrundlage für sie vorliegt.

Datenminimierung
Die Datenerhebung und -verarbeitung muss auf das zur Zweckerfüllung notwendige Maß beschränkt werden.

Richtigkeit der Datenverarbeitung
Die Daten müssen sachlich korrekt und aktuell sein. Unrichtige Daten sollen unverzüglich gelöscht oder korrigiert werden. Siehe auch Art. 17 Abs. 1 lit. d DSGVO und Art. 16 DSGVO.

Speicherbegrenzung
Die Speicherung oder die Identifizierung einer Person darf nur solange erfolgen, wie es für die Zweckererfüllung erforderlich ist.

Integrität und Vertraulichkeit
Die angemessener Sicherheit der Verarbeitung muss gewährleistet sein. Neben dem Schutz vor unbefugtem Zugriff umfasst dies auch den Schutz vor unrechtmäßiger Verarbeitung, unbeabsichtigtem Verlust, Schädigung oder Zerstörung. Hierzu sind Maßnahmen zu treffen, insbesondere technishce und organisatorische Maßnahmen gem. Art. 32 DSGVO.

Bei Nicht-Einhaltung drohen Bußgelder und ggf. andere rechtliche Konsequenzen. Neu ist, dass die zu verhängenden Bußgelder abschreckende Wirkung haben sollen. Siehe Art. 83 Abs. 1 DSGVO. Zudem sind gegenüber dem BDSG die Bußgeldgrenzen stark erhöht worden. Beispielsweise wurde die Obergrenze für schwere Verstöße von 300.000 Euro auf 20.000.000 Euro oder 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs des Unternehmens erhöht, je nachdem, welcher der Beträge höher liegt. Siehe hierzu auch Art. 83 Abs. 4 f DSGVO.

Quellen:
VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 (Datenschutz-Grundverordnung)

Bild: © Trueffelpix - Fotolia.com

Boris Koppenhöfer
02.06.2017

Der Bundesrat stimmt in seiner Plenarsitzung vom 12.05.2017 dem vom Bundestag am 27.04.2017 verabschiedeten Datenschutz-Anpassungs- und Umsetzungsgesetz – EU (DSAnpUG-EU) zu. Der Bundestag verabschiedete das Gesetz in der Fassung der Beschlussempfehlung des Innenausschusses.

Das DSAnpUG-EU enthält in Artikel 1 die Neufassung des Bundesdatenschutzgesetzes (BDSG-neu).

Das BDSG-neu regelt die in der Datenschutzgrundverordnung (DS-GVO) vorgesehenen nationalstaatlichen Ergänzungen. Beispielsweise Regelungen aus dem Bereich des Arbeitnehmerdatenschutzes (§ 26 BDSG-neu) oder Benennung eines Datenschutzbeauftragten (§ 38 BDSG-neu).

Das BDSG-neu wird am 25.05.2018, zeitgleich mit der Rechtskraftentfaltung der DS-GVO in Kraft treten.

Quellen:
Beschlussempfehlung des Innenausschusses Drucksache 18/12084
Bundesrat Drucksache 110/17

Bild: © Trueffelpix - Fotolia.com

Boris Koppenhöfer
26.05.2017

Der BGH hat am 16.05.2017 in seiner Pressemeldung 74/2017 die Inhalte zu seinem Urteil verkündet, in dem u. a. zu klären war, ob die vom Internetprovider gespeicherten dynamischen IP-Adressen personenbezogene Daten im Sinne des § 12 Abs. 1 und 2 TMG in Verbindung mit § 3 Abs. 1 BDSG seien. Dem Urteil des BGH vorausgegangen war ein Urteil des EuGH, welches in der Sache vom BGH angerufen wurde.

In der Pressemeldung heißt es: "Eine dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Internetseite, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, stellt für den Anbieter ein (geschütztes) personenbezogenes Datum dar.(...) Diese Vorschrift ist (...) dahin anzuwenden, dass ein Anbieter von Online-Mediendiensten personenbezogene Daten eines Nutzers dieser Dienste ohne dessen Einwilligung auch über das Ende eines Nutzungsvorgangs hinaus dann erheben und verwenden darf, soweit ihre Erhebung und ihre Verwendung erforderlich sind, um die generelle Funktionsfähigkeit der Dienste zu gewährleisten."

Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Andrea Voßhoff, begrüßt das Urteil in einer Erklärung auf der Website der BfDI: "Wie zu erwarten, ist der BGH in seinem heutigen Urteil dem Europäischen Gerichtshof gefolgt und hat dynamische IP-Adressen als personenbezogenes Datum eingestuft. Vor diesem Hintergrund begrüße ich das Urteil ausdrücklich. Es bestätigt meine langjährige Position und stärkt den europäischen Datenschutz."

Quellen:
Pressemitteilung 74/2017 des Bundesgerichtshofs vom 16.05.2017 Bundesgerichtshof zur Zulässigkeit der Speicherung von dynamischen IP-Adressen
Pressemitteilung der BfDI vom 16.05.2017 Datenschutz im Internet: BfDI begrüßt Urteil des BGH zur Klarstellung des Personenbezugs von dynamischen IP-Adressen

Bild: © Trueffelpix - Fotolia.com

Boris Koppenhöfer
19.05.2017

Ab Mai 2018 müssen alle geforderten Verfahrensdokumentationen der neuen EU-Datenschutz-Grundverordnung (EU-DSGVO) genügen¹. Das bedeutet, dass die bisher vom Bundesdatenschutzgesetz (BDSG) geforderte Verfahrensdokumentationen nicht ausreichen.

Die Unternehmen sollten nicht mehr warten, wir empfehlen, alsbald mit der Planung und Umsetzung zu beginnen. Wann genau begonnen werden muss, hängt stark von der Qualität der vorhandenen Dokumentation ab. Sollte die Dokumentation nicht aktuell, nicht vollständig oder gar bislang nicht vorhanden sein, sollten sie unbedingt sofort beginnen.

Die EU-DSGVO fordert u. a. eine risikobasierte Auswahl der technischen und organisatorischen Maßnahmen (TOM)². Bislang konnte in dem meisten Verfahren auf die allgemeinen TOM des Unternehmens verwiesen werden, dies ist so in Zukunft nicht mehr möglich. Die Angemessenheit der TOM muss dargelegt und die Wirksamkeit nachgewiesen werden.

Zunächst müssen die Risiken für die Rechte und Freiheiten der Betroffenen abgeschätzt und die Eintrittswahrscheinlichkeit bestimmt werden.³ Führt die Abschätzung zu dem Ergebnis, dass ein hohes Risiko vorliegt, so muss eine Datenschutz-Folgenabschätzung durchgeführt werden.⁴

Zur vorhandenen Struktur des Verfahrensverzeichnisses gem. BDSG ergeben sich in der Praxis folgende Erweiterungen:

1. Feststellung des Schutzbedarfs der Datenkategorien als Basis für die Risikoanalyse. Hier kann das Schutzstufenkonzept⁵ des Landesbeauftragten für Datenschutz in Niedersachsen herangezogen werden.
2. Erweiterung der der Schutzbedarfsfeststellung um die IT-Schutzziele Verfügbarkeit, Vertraulichkeit, Integrität und Rechtskonformität. Hierbei sollten die wichtigsten Fragen lauten:
   Was droht dem Betroffenen im schlimmsten Fall, wenn die Vertraulichkeit, die Verfügbarkeit oder die Integrität der Daten verletzt wird?
   Welche Gefahren drohen bei Vernichtung, Verlust oder Veränderung der Daten?
3. Durchführung der Risikoanalyse für hohe und sehr hohe Risiken anhand konkreter Schadensszenarien mit bekannten und abstrakten Bedrohungen unter Berücksichtigung bereits umgesetzter Schutzmaßnahmen.
   
4. Etablierung von aus der Risikoanalyse abgeleiteter ergänzender oder geänderter Maßnahmen zur Minimierung der erkannten Restrisiken.

Weitere Unterschiede zur bestehenden Rechtslage erfordern ggf. weitere Ergänzungen, bzw. Änderungen der vorhandenen Dokumentationen.

Lassen Sie sich von Ihrem Datenschutzbeauftragten informieren und ziehen Sie im Zweifel oder bei erkanntem Bedarf Experten hinzu.

¹ Artikel 30 EU-DSGVO Amtsblatt der EU L 119 vom 4.5.2016
² Artikel 32 EU-DSGVO Amtsblatt der EU L 119 vom 4.5.2016
³ Erwägungsgrund 76 und 83 EU-DSGVO Amtsblatt der EU L 119 vom 4.5.2016
⁴ Artikel 35 EU-DSGVO Amtsblatt der EU L 119 vom 4.5.2016
⁵ Schutzstufenkonzept des Landesbeauftragten für Datenschutz in Niedersachsen

Bild: © Trueffelpix - Fotolia.com

Boris Koppenhöfer
14.10.2016

Neues Urteil: Abmahngefahr wegen Facebook Like Button

Der Like-Button, der auf Millionen von Webseiten eingebunden ist, verstößt laut einem aktuellen Urteil des LG Düsseldorf gegen deutsches Recht. Jeder Betreiber einer Website, die den Facebook-Linke Button nutzt, sollte beachten, was das Urteil für ihn konkret bedeuten kann.

Was hat das LG Düsseldorf zum Like-Button entschieden?
Das LG Düsseldorf hat entschieden, dass die Einbindung über die Tools von Facebook (Like Button) nicht erlaubt ist. Hintergrund war die Tatsache, dass das Facebook-Plug-In personenbezogene Daten der Webseitenbesucher ungefragt an Facebook überträgt.

Gilt das Urteil auch für andere Seiten und Tools wie Twitter oder Google+?
Das Urteil ist nur zu Facebook ergangen. Es betrifft aber auch alle anderen Plug-Ins von SocialMedia Seiten wie Twitter oder Google+, die personenbezogene Daten übertragen.

Gilt das Urteil nur für Seiten von Unternehmern oder auch für Shops?
Alle Seiten, die nicht ausschließlich privat sind können abgemahnt werden. Das betrifft Online- Shops, Seiten von Dienstleistern, Unternehmens-Seiten und Affiliate-Seiten oder Seiten mit Werbung. Aber auch private Seiten verstoßen gegen das Datenschutzrecht, wenn sie den Like-Button über das aktuelle Facebook-Plugin einbinden.

Was müssen Seitenbetreiber jetzt tun?
Nach Ansicht des LG Düsseldorf reicht ein Hinweis in der Datenschutzerklärung auf den FacebookLike-Button nicht mehr aus. Als Seitenbetreiber können Sie unter Umständen abgemahnt werden, wenn Sie die Tools, die Facebook & Co. zur Verfügung stellen weiterhin nutzen. Wenn Sie auf Nummer sicher gehen wollen, dann entfernen Sie die von Facebook zur Verfügung gestellten Page-Plug-Ins sowie Like- und Share-Buttons, die per Plug-In eingebunden sind, von Ihrer Seite.

Nutzen Sie nur noch Tools, die ähnliche Funktionen bieten, aber keine personenbezogenen Daten übertragen.

Gern unterstützen wir Sie bei der gesetzeskonformen Gestaltung Ihrer Website.

Quellen:
Verbraucherzentrale NRW (Kläger): Urteil des LG Düsseldorf vom 09.03.2016 Az. 12 O 151/15

Bild: © Trueffelpix - Fotolia.com

Boris Koppenhöfer
31.08.2016

Woran Sie vor Ihrer Urlaubreise denken sollten

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und andere Institutionen geben Empfehlungen für die IT-Sicherheit für Urlauber heraus.

Die wichtigsten Tipps aus unserer Sicht:

1. Niemals Passwort oder PIN angeben, auch nicht am Telefon!
2. Beim Ausfüllen von Meldescheinen etc. nur das absolut notwendigste angeben!
3. Die eigene Kreditkarte, den Ausweis, die ec-Karte etc. niemals ganz aus der Hand geben!
4. Keine Kopien vom eigenen Ausweis zulassen!
5. Eigene IT-Geräte wie Laptop, USB-Stick etc. durch Verschlüsselung schützen!
6. Vor der Reise Daten von mitzunehmenden IT-Geräten sichern!
7. Smartphone durch PIN etc. schützen!
8. Bei Nutzung von fremden Geräten zum Abrufen von Email oder Zugang zu Webshops etc. nach der Reise Passwörter ändern!
9. Kein unverschlüsseltes WLAN nutzen!
10. Vor Abreise Maßnahmen für Verlust von Geräten, Karten etc, festlegen!

  
Quellen:
Bundesamt für Sicherheit in der Informationstechnik: IT-Sicherheit-Urlaubsvorbereitung
Die Bundesbeauftragte für den Datenschutz: Datenschutz an der Grenze und auf Reisen
Deutschland sicher im Netz: Endlich Urlaub!
ULD: Datenschutz-Tipps für Urlaubsreisende

Bild: © Trueffelpix - Fotolia.com

Boris Koppenhöfer
02.08.2016

Der hessische Datenschutzbeauftragte, Prof. Dr. Michael Ronellenfitsch, hält den Einsatz von sog. Dash-Cams für gesetzeswidrig. In seinem 44. Tätigkeitsbericht für das Jahr 2015 legt er dies und seine Begründungen hierzu dar.

Der Betrieb einer Videokamera im PKW, die permanent das Verkehrsgeschehen und damit auch andere Verkehrsteilnehmer aufzeichnet (sog. Dash-Cam), sei ein Eingriff in das Recht auf informationelle Selbstbestimmung und fällt als Videoüberwachung klar unter das Bundesdatenschutzgesetz (BDSG).

Die Videoüberwachung ist in § 6b BDSG geregelt. An dieser Vorschrift gemessen, sei der Betrieb der Dash-Cams grundsätzlich unzulässig. Die permanente und damit ohne konkreten Anlass betriebene Aufzeichnung stelle alle Verkehrsteilnehmer unter Generalverdacht, ohne dass diese die Möglichkeit hätten von der Überwachung zu erfahren oder sich dieser zu erwehren. Allein dir theoretische Möglichkeit einer Beweissicherung im Falle iens möglichen Unfalls könne den gravierenden Eingriff in das Persönlichkeitsrecht der Verkehrsteilnehmer nicht rechtfertigen.

Ein Verstoß gegen § 6b BDSG stellt gem. § 43 BDSG eine Ordnungswidrigkeit dar und kann mit einer Geldbuße von bis zu 300.000 € belegt werden.

Quellen:
Der Hessische Datenschutzbeauftragte: Tätigkeitsberichte
Dokument Download: 44. Tätigkeitsbericht des Hessichen Datenschutzbeauftragten
Gesetze im Internet (Projekt des Bundesministerium der Justiz und für Verbraucherschutz und der juris GmbH)

Bild: © Trueffelpix - Fotolia.com

Boris Koppenhöfer
18.07.2016

Die Europäische Kommission hat am 12.07.2016 das Privacy Shield verabschiedet.

Nur wenige Monate nach der Entscheidung des Europäischen Gerichtshofs, das sog. Safe-Harbour-Abkommen für ungültig zu erklären, haben sich die EU-Kommission und das US-Handelsministerium am 02.02.2016 auf eine neue Grundlage zur Übermittlung von personenbezogenen Daten aus der EU in die USA geeinigt. Nach dem positiven Votum der Artikel-31-Gruppe am 08.07.2016 hat die EU-Kommission am 12.07.2016 die Regelung verabschiedet und eine Angemessenheitsentscheidung getroffen. Das bedeutet, dass Unternehmen aus den USA, die sich den Privacy-Shield-Richtlinien unterwerfen, ein angemessenes Datenschutzniveau unterstellt werden kann. Dies ist eine Voraussetzung, um überhaupt personenbezogene Daten aus der EU übermitteln zu dürfen.

Durch diesen Beschluss können sich US-amerikanische Unternehmen ab dem 01.08.2016 auf der Privacy Shield Liste registrieren. Sie müssen dann eine verbindliche Erklärung abgeben, die Regularien des Privacy Shield einzuhalten. Die Registrierung und Erklärung sind jährlich zu wiederholen.

Die USA hat sich verpflichtet, eine Liste der teilnehmenden Unternehmen zu veröffentlichen und diese aktuell zu halten.

Quellen:
EU-Kommission: Fact Sheet EU-U.S. Privacy Shield FAQ vom 12.07.2016
EU-Kommission: Pressemitteilung zum EU-U.S. Privacy Shield vom 02.02.2016

Bild: © Trueffelpix - Fotolia.com

Boris Koppenhöfer
13.07.2016

Datensparsamkeit lohnt sich.

Unternehmen müssen gem. § 3a BDSG ihre Datenverarbeitungen so auslegen und verwenden, dass möglichst wenig personenbezogene Daten erhoben, verarbeitet und genutzt werden.

Diese Datensparsamkeit ist der einfachste Weg, Daten zu schützen. Daten, die erst gar nicht erhoben werden, müssen eben auch nicht aufwändig technisch oder organisatorisch geschützt werden.

Auch Privatpersonen ist dringend anzuraten, diese einfachste und ursprünglichste Form des Datenschutzes anzuwenden. Hierzu hat die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) gemeinsam mit der Verbraucherzentrale NRW eine Broschüre herausgebracht.

Dokument Download: LDI NRW - Ihre Daten gehören Ihnen
Gesetze im Internet (Projekt des Bundesministerium der Justiz und für Verbraucherschutz und der juris GmbH)

Bild: © Trueffelpix - Fotolia.com

Boris Koppenhöfer
05.07.2016

Großbritannien hat sich entschieden. Bald sollen die Verhandlungen über den Austritt beginnen.
2018 soll das Vereinigte Königreich nicht mehr Mitglied der EU sein.

Die Auswirkungen auf Unternehmen, die vom Brexit betroffen sind, sind erheblich, diese Unternehmen müssen sich vorbereiten.

Sollten Datenübermittlungen aus der EU in das Vereinigte Königreich stattfinden, muss dies auch in Zukunft rechtskonform geschehen. Die Vorschriften des BDSG und die Rechtsprechung erlauben derzeit als Rechtsgrundlage die EU-Standardvertragsklauseln oder aufsichtsbehördlich genehmigungspflichtige Vertragsregelungen oder Corporate Binding Rules. Dies betrifft insbesondere Unternehmen mit Sitz im Vereinigten Königreich oder Unternehmen mit Geschäftspartnern oder Dienstleistern dort.

Das Vereinigte Königreich täte gut daran, sein zukünftiges Datenschutzrecht so zu gestalten, dass es in der Lage wäre, sich ein angemessenes Datenschutzniveau von der EU bescheinigen zu lassen. Dann kann die Datenübermittlung gem. § 4b BDSG problemlos erfolgen. Die Entscheidung hierüber träfe die EU-Kommission.

Quellen:
EU-Kommission: Länder mit angemessenem Datenschutzniveau
tagesschau.de 24. Juni 2016: Briten wollen raus aus der EU
Gesetze im Internet (Projekt des Bundesministerium der Justiz und für Verbraucherschutz und der juris GmbH)

Bild: © Trueffelpix - Fotolia.com

Boris Koppenhöfer
29.06.2016

Großbritannien könnte Drittstaat werden.

Morgen stimmt die britische Bevölkerung über den Verbleib des Vereinigten Königreichs in der EU ab. Stimmberechtigt sind alle über 18-jährigen britischen Staatsbürger in England, Schottland, Wales und Nordirland, sowie Staatsangehörige der Commonwealth-Staaten, Gibraltar und der Republik Irland, sofern sie ihren dauerhaften Wohnsitz im Vereinigten Königreich haben.

Sollte das Vereinigte Königreich tatsächlich aus der EU austreten, hätte das nach Einschätzung der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) und des Internationalen Währungsfonds (IWF) weitreichende Folgen für die Wirtschaft in der EU und weltweit. Ebenso sprechen sich zahlreiche Politiker für den Verbleib aus.

Die Konsequenzen für die Zusammenarbeit mit britischen Unternehmen wären weitreichend.

Zum einen haben viele Unternehmen der EU ihren Stammsitz oder ihre Muttergesellschaft im Vereinigten Königreich oder haben Dienstleister dort. Der Austausch oder die Verarbeitung von personenbezogenen Daten erfordert im Zielland ein angemessenes Datenschutzniveau. Da für das Vereinigte Königreich im Falle des Austritts weder die jüngst in Kraft getretene EU-Datenschutz-Grundverordnung noch andere EU-Richtlinien gelten würden, könnte das Vereinigte Königreich ein eigenes Datenschutzrecht schaffen.

Alle betroffenen Unternehmen sollten jetzt aufmerksam die Entwicklungen verfolgen und im Falle eines Austritts geeignete Maßnahmen ergreifen.

Quellen:
FAZ.net. 20. Februar 2016:  Briten stimmen am 23. Juni über Verbleib in der EU ab
zeit.de 23. April 2016: Brexit. Enttäuschte Liebe.
spiegel.de 3. März 2016: Schäuble zum Brexit: "Wir würden weinen"

Bild: © Trueffelpix - Fotolia.com

Boris Koppenhöfer
22.06.2016

In Brüssel wurde mit Wirkung zum 14.06.2016 die European Cyber Security Organisation (ECSO), eine neue Organisation zur Verbesserung der Sicherheit in der IT (Cyber Security), gegründet.

Die deutsche TeleTrusT - Bundesverband IT-Sicherheit e.V. ist als Gründungsmitglied im Board of Direectors vertreten.

Die neue Organisation wird unter anderem als Vertragspartner der EU-Kommission bei Public-Private-Partnership-Vereinbarungen zu Cyber Security auftreten.

Bereits am 20.01.2016 fand in Brüssel ein Vorbereitungsworkshop für die "Contractual Public Private Partnership" zwischen der EU-Kommission und der europäischen Cyber security-Industrie unter Beteiligung von TeleTrusT statt. 

Quelle: TeleTrusT – Bundesverband IT-Sicherheit e.V. - Pressemeldungen
Dokument Download: Pressemitteilung zur Gründung

Bild: © Trueffelpix - Fotolia.com

Boris Koppenhöfer
16.06.2016

Die Aufsichtsbehörden bereiten sich auf die EU-DS-GVO vor.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) als Aufsichtsbehörde für den Datenschutz teilt mit, dass sich die Aufsichtsbehörden in intensiver Abstimmung befinden, damit eine einheitliche Sichtweise der neuen Regelungen und Anforderungen erreicht wird.

Damit die Erkenntnisse und Sichtweisen der Behörden allen Interesseierten zur Verfügung stehen, kündigt das BayLDA im 14-tägigen Rhythmus eine Veröffentlichung zu einem ausgewählten Thema an.

Die erste Veröffentlichung beschäftigt sich mit der Frage, welche Rolle die IT-Sicherheit im Datenschutz in Zukunft einnehmen wird.

Quelle: Bayerische Landesamt für Datenschutzaufsicht - EU-Datenschutz-Grundverordnung
Dokument Download: Veröffentlichung zum Art. 32 DS-GVO - Sicherheit der Verarbeitung

Bild: © Trueffelpix - Fotolia.com

Boris Koppenhöfer
14.06.2016

Die EU-Datenschutz-Grundverordnung tritt in Kraft.

Am 25.05.2016 ist die neue EU-Datenschutz-Grundverordnung in Kraft getreten. Sie ist von allen EU-Mitgliedsstaaten nach einer Übergangszeit von zwei Jahren anzuwenden.

Für die Unternehmen in der EU bedeutet dies einen erheblichen Vorbereitungsaufwand. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder weist ausdrücklich darauf hin, dass neue stark erweiterte Aufgaben auf die datenverarbeitenden Stellen zukommen.

Auch die Aufsichtsbehörden sehen sich mit neuen Aufgaben konfrontiert und werden ihre personellen und technischen Ressourcen erheblich ausbauen müssen. Die  EU-Datenschutz-Grundverordnung verpflichtet die Mitgliedsstaaten hierzu ausdrücklich.

Quelle: Umlaufentschließung 1) der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 25. Mai 2016

Bild: © Trueffelpix - Fotolia.com

Boris Koppenhöfer
10.06.2016

Unser Datenschutzblog startet.

Ab heute finden Sie hier interessante Artikel zum Thema Datenschutz, IT-Security und IT-Compliance.

Koppenhöfer & Werner wünschen Ihnen eine informative Zeit in unserem neuen Blog.

Bild: © Trueffelpix - Fotolia.com

Boris Koppenhöfer
10.06.2016