Lukas Wagner

Oktober 1, 2020

EuGH zum Datenexport in USA: Post-Panik-Maßnahmen

Mitte Juli hat der EuGH die Übertragung von personenbezogenen Daten in die USA unter dem Privacy Shield für unzulässig erklärt (Schrems II). Die Auswirkungen sind massiv, schon allein weil die meisten Anbieter von Cloud-Lösungen, Video-TK- und Online-Tools (z. B. Google Analytics) in den USA ansässig sind.

Eine vollständige Lösung des Problems gibt es derzeit nicht. Zum aktuellen Stand und die jetzt zu ergreifenden (Interims-)Maßnahmen:

Mit Urteil vom 16.07.2020 hat der EuGH das Privacy-Shield-Abkommen zwischen der EU und den USA für Datenübermittlungen in die USA für unwirksam erklärt. Die dortigen Überwachungsmöglichkeiten würden Grundrechte verletzen, ein ausreichendes Schutzniveau der Betroffenen sei nicht sichergestellt. Trotzdem auf dieser Grundlage durchgeführte Datentransfers seien rechtswidrig. Sie können Bußgelder und Schadenersatzforderungen nach sich ziehen. Ein Transfer in die USA mittels vertraglicher Schutzmechanismen auf Basis der EU-Standardvertragsklauseln (SCC) bleibt möglich, erfordert aber zusätzliche Garantien für ein angemessenes Schutzniveau.

Die EU versucht, Lösungen zu schaffen. Die europäischen Datenschutzbehörden haben FAQ zum Urteil herausgebracht und eine Task Force eingesetzt. Etwas Verwertbares gibt es insofern noch nicht.

Gleichzeitig entstand zusätzlicher Handlungsdruck durch 101 Beschwerden wegen des Transfers in die USA bei der Nutzung von Google Analytics und Facebook Connect, in Deutschland etwa gegen netzwelt.de, sky.de, tvspielfilm.de, express.de, derwesten.de, wiwo.de und chefkoch.de.

Was nun zu tun ist: Nichts tun oder Abwarten ist keine Alternative, eine politische Lösung nicht absehbar. Die sichere Variante, wie etwa von der Berliner Datenschutzbeauftragten gefordert, lautet: Umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau wechseln.

In der Praxis ist das schwer möglich. Also müssen die Situation analysiert und Lösungen mit vertretbarem Risiko erarbeitet werden. Alle Prüfungsschritte und ergriffenen Maßnahmen sind zu dokumentieren. Wir haben dazu entlang der Orientierungshilfe des LfDI Baden-Württemberg die Checkliste „Transferproblematik“ erarbeitet. Unseren Mandanten stellen wir zudem angepasste SCC zur Verfügung.



Juli 20, 2020

Zurück zum Dosentelefon!

Nachdem die Berliner Datenschutzbehörde bereits eine Checkliste und einen Leitfaden zum Einsatz von Videokonferenz-Tools veröffentlichte, hat sie nun einige Anbieter genauer unter die Lupe genommen und Ihre Einschätzungen in einer Übersicht zu Videokonferenz-Tools mit Beurteilung im Ampel-Schema präsentiert. Ohne weiteres einsetzbar ist danach keiner der geprüften Anbieter. Wie nach den vorhergehenden Veröffentlichungen zu erwarten, steht die Ampel bei den gängigsten Tools Microsoft Teams, Skype, Zoom, Google Meet oder GoToMeeting auf rot. Grund ist aus Sicht der Behörde jeweils eine unzureichende Vereinbarung über die Auftragsverarbeitung. Unmittelbare Folge der Einschätzung ist bereits eine öffentlichkeitswirksame Auseinandersetzung mit Microsoft. Unabhängig davon, ob man die Ergebnisse der Behörde teilt, bleibt zu hoffen, dass nun ein Dialog einsetzt, der insbesondere bei US-Anbietern zu klareren Regelungen führt und so die Rechte der Verantwortlichen stärkt. Mit Wegfall des Privacy Shields ist nämlich klar, dass die Texte ohnehin angepasst werden müssen.



BfDI: Löschpflicht durch Anonymisierung erfüllbar

Den deutschen Aufsichtsbehörden wird ja gerne vorgehalten, dass diese viel zu zurückhaltend klare Vorgaben machen. Nicht so der Bundesbeauftragte: Der hat sich kürzlich festgelegt, dass eine Löschpflicht gem. Art. 17 DSGVO durch eine Anonymisierung erfüllbar sei. Voraussetzung hierfür ist, dass die personenbezogenen Daten rechtmäßig erhoben wurden und dann so anonymisiert werden, dass der Personenbezug nicht oder nur unter unverhältnismäßigem Aufwand an Zeit, Kosten und Arbeitskräften wiederhergestellt werden kann. Rechtsgrundlage bildet Art. 6 Abs. 1 lit. c) i. V. m. Art. 17 Abs. 1 lit. a) DSGVO. Zudem empfiehlt der BfDI die Durchführung eine Datenschutzfolgenabschätzung. Der BfDI macht damit besonders für datengetriebene und -intensive Geschäftsmodelle relevante Vorgaben.



Breaking News: Privacy Shield ist unwirksam

Er hat es wieder getan – die Beschwerde des österreichischen Datenschützers Schrems bringt nach dem Safe-Harbor-Abkommen nun auch dessen Nachfolger, das EU-US-Privacy-Shield, zu Fall.

Der EuGH urteilte, dass das Privacy- Shield- Abkommen kein Schutzniveau auf dem Level der DSGVO sicherstellt, insbesondere da Betroffenen kein Rechtsweg offensteht, der ihnen dem Unionsrecht vergleichbare Rechtsgarantien zusichert. So sei die eingerichtete Ombudsperson für Datenschutzbeschwerden nicht befugt, für US-Behörden verbindliche Entscheidungen zu treffen. Inhaltlich überrascht das Urteil nicht. Wir haben das in der Ausgabe 05/2019 vorhergesagt. Das Abkommen kaschierte die Mängel des Safe-Harbor-Abkommens nur unzureichend und war politisch motiviert, um den Datenfluss in die USA nicht abreißen zu lassen. Dass Schutzmechanismen, wie Zusagen der Obama-Regierung , spätestens in der aktuellen politischen Lage wertlos sind, liegt auf der Hand.

Die Standardvertragsklauseln hält der EuGH dagegen nicht für unwirksam, jedoch sei vor einem Datentransfer unter diesen Klauseln zu prüfen, ob in dem Zielland der nach EU-Recht erforderliche Schutz durch die Standardvertragsklauseln tatsächlich gewährleistet werden kann. Hier dürften die Gründe, die den Privacy Shield zu Fall brachten, wiederum durchschlagen. Die Berliner Datenschutzaufsicht verlangt bereits den Wechsel zu europäischen Anbietern. Was konkret zu tun ist, finden Sie in unserer Handlungsempfehlung zum Urteil.



BGH zur Cookie Einwilligung

Komisch –  der „opposite day“, an dem man immer das Gegenteil von dem sagt, was man meint, ist eigentlich am 25. Januar. Trotzdem hat der BGH in seiner Entscheidung Cookie-Einwilligung II schon jetzt festgestellt, dass Nicht-Nein Ja und zu viel Information zu wenig sein kann.

Das für technisch nicht notwendige Cookies nach der Cookie-Richtlinie eine ausdrückliche Einwilligung einzuholen ist, was nicht durch vorausgewählte Checkboxen erfolgen kann, hatte der EuGH bereits im letzten Sommer festgestellt. Dem BGH blieb da in seiner Entscheidung nicht mehr viel hinzuzufügen, außer der erstaunlichen Feststellung, dass die deutsche Regelung in § 15 Abs. 3 TMG, die ausdrücklich nur einen Widerspruch vorsieht, durchaus als Einwilligungserfordernis verstanden werden könne.

Ähnlich konträr ist die Feststellung, dass eine (zweite) Werbeeinwilligung deswegen nicht „in Kenntnis der Sachlage“ erfolgt, weil sie zu viele Informationen zu den einbezogenen Werbepartnern enthält.  Wäre heute der 25.01., würde ich sagen – Super Entscheidung, BGH!



Juli 7, 2020

DSK zur E-Mail-Verschlüsselung

Die Datenschutzkonferenz formuliert in ihrer Orientierungshilfe von Ende Mai 2020 Anforderungen an eine sichere Übermittlung personenbezogener Daten per E-Mail. Verantwortliche seien zumindest verpflichtet, den verschlüsselten Empfang lediglich zu ermöglichen, denn die Verantwortung für den einzelnen Übermittlungsvorgang liegt beim Sender. Versendet der Verantwortliche personenbezogene E-Mails, seien Verantwortliche verpflichtet mindestens eine Transportverschlüsselung sicherzustellen, ggf. auch eine Ende-zu-Ende-Verschlüsselung (S/MIME; OpenPGP). Auch machen die Behörden verpflichtende Vorgaben für Berufsgruppen, die nach § 203 StGB verpflichtet sind. Beißt sich das nicht mit dem jeweiligen Berufsrecht? Die Behörden verkennen, dass Art. 32 DSGVO eine situationsabhängige Abwägung der Sicherheitsmaßnahmen zulässt. So kann auch eine komplett unverschlüsselte E-Mail-Kommunikation vertretbar sein, besonders wenn der Betroffene selbst die E-Mail-Kommunikation unverschlüsselt eröffnet. Das kann auch mal jemand den Berliner Bezirksämtern und Senatsverwaltungen sagen.



Juli 1, 2020

Cookies – die letzte?

Wir erinnern uns: Im Oktober urteilte der EuGH nach Vorlage durch den BGH, dass technisch nicht erforderliche Cookies – die mit den Komfort- oder Tracking-Funktionen – nur noch mit aktiver Einwilligung des Nutzers gesetzt werden dürfen. Der BGH folgte nun diesen Vorgaben und hat es sogar geschafft, dass sich der jahrelange Widerspruch zwischen § 15 Abs. 3 Satz 1 TMG und seinem europäischen Pendant einfach in Luft auflöst. Naja, zaubern kann auch der BGH nicht, denn im TMG steht immer noch, dass Cookies zulässig sind „sofern der Nutzer dem nicht widerspricht“, während die europäische Gesetzgebung die aktive Einwilligung fordert. Einfach das TMG richtlinienkonform entgegen dem ausdrücklichen Wortlaut ausgelegt, fertig. Eine praxisgerechte Lösung hätten wir uns anders vorgestellt, etwa im Hinblick auf statistische Auswertungen. Aber was soll’s. Das letzte Feigenblatt für eine Opt-out-Gestaltung ist damit jedenfalls weg.



Juni 8, 2020

Woher haben Sie diese Nummer? – Umfang des Auskunftsanspruchs

Einen hartnäckigen Fall hatten die Richter des AG Wertheim und des LG Mosbach da anscheinend vor sich. Es brauchte erst ein Zwangsgeld, um den Auskunftsanspruch nach Art. 15 DSGVO durchzusetzen. Die Auskunft wurde zwar größtenteils erbracht. Zur Herkunft der Daten erteilte die Beklagte nur die allgemeine Info, diese stammten aus einem Bezahlvorgang. Mehr wollte die Beklagte nicht sagen, da die Daten offenbar von einem Dritten verwendet wurden. Die DSGVO ist an dieser Stelle aber ausnahmsweise recht eindeutig: Der Auskunftsanspruch erfasst alle verfügbaren Informationen zur Herkunft. Das LG Mosbach sah das genauso. Dies fordere eine genaue Auskunft über die Herkunft und die für die Erhebung verwendeten Mittel. Auch wenn ein Dritter Daten einer anderen Person verwendet, bleiben diese dennoch personenbezogenen Daten dieser Person. Und vor sich selbst müssen die eigenen Daten nicht geheim gehalten werden.



Juni 2, 2020

Lost in (Co-Working) Space

Die DSGVO gilt seit nun exakt zwei Jahren. In den viel älteren und viiieeel cooleren Co-Working-Spaces scheint sie bislang allerdings nicht angekommen zu sein. Wer hier nach den Maßnahmen des Betreibers in Sachen Daten- und Geheimnisschutz sowie IT-Sicherheit sucht, findet alles, aber nichts Brauchbares: beschriftete Wände, Barhocker ohne Bar, „Premium-Annehmlichkeiten“, Prokrastinationspartner, „Besprechungssituationen“ in der Größe von Umzugskartons und ganz viel WLAN. Und eine Women’s Corner mit Kinderspielecke (Warum bitte nicht für Väter??). Es gibt zwar Datenschutzerklärungen der Betreiber, allerdings nur für ihre Website. Die Nutzer aber benötigen technische und organisatorische Maßnahmen des Betreibers! Verschlüsseltes Netzwerk, „rückstandsloses“ Drucken und Nutzen der Präsentationstechnik, Telefonie ohne Mithörer, Arbeiten ohne Shoulder Surfer etc. Ein NDA löst das Problem übrigens nicht. Es drohen Bußgelder und unerkannte Vertragsbrüche. Ähnliches gilt übrigens auch bei der gewerblichen Untermiete.



Mai 18, 2020

EUR 50.000 Bußgeld wegen falscher Auskunft und fehlendem AV-V

Für jemand anderen nach Art. 15 DSGVO zu beauskunften, ist offenbar auch ein Geschäftsmodell – aber eins mit Tücken. Ein Unternehmen im Brandenburgischen hatte einen Dienstleister mit der Auskunft beauftragt, der auf die Betroffenenanträge in englischer Sprache und unter eigenem Logo antwortete. Für die Betroffenen war so nicht ersichtlich, wer denn nun gem. Art. 24 DSGVO für die Verarbeitung verantwortlich war. Außerdem gab’s entgegen Art. 28 Abs. 9 DSGVO keinen schriftlichen AV-Vertrag – das kleine Einmaleins der DSGVO. „Setzen, 6!“ meinte da die märkische Aufsichtsbehörde, monierte fehlende Transparenz und Verständlichkeit sowie das Fehlen der schriftlichen AV-Vereinbarung und verdonnerte das Unternehmen zu 50.000 EUR Geldbuße. Applaus für den Dienstleister! Dann vielleicht doch lieber selbst machen? Wir helfen auch dabei.



Mai 11, 2020

Was KUGst du!?

Seit Mai 2018 beurteilt sich das Fotografieren von Personen in der Regel nach der DSGVO, nicht mehr nach dem Kunsturhebergesetz (KUG). Dies schafft praktische Probleme, da anders als nach dem KUG eine Einwilligung nach DSGVO jederzeit ohne weitere Voraussetzungen widerrufen werden kann.  Nun versagte das OVG Rheinland-Pfalz einem Lehrer die nachträgliche Entfernung seiner Bilder aus dem Schul-Jahrbuch unter Berufung auf das KUG. Auf das gedruckte Buch findet die DSGVO mangels automatisierter Datenverarbeitung keine Anwendung mehr. Das Gericht sah in den Klassenfotos Bildnisse der Zeitgeschichte, für die keine Einwilligung erforderlich sei. Außerdem habe der Lehrer auch durch seine Teilnahme an dem gestellten Foto seine Einwilligung konkludent erteilt. Widerrufe er diese nun, verhalte er sich widersprüchlich. Nach DSGVO wäre diese Bindung an das Vorverhalten nicht möglich gewesen. Das zeigt, dass das KUG das bessere Gesetz für den Umgang mit Bildern ist.



April 14, 2020

Online-Bestellung bei Apotheke als Gesundheitsdaten?

Dies hat das OLG Naumburg nun für den Vertrieb von apothekenpflichtigen Medikamenten über Amazon so entschieden. Aus deren Bestellung ergäben sich Information über die Gesundheit des Käufers. Diese seien damit sensible Gesundheitsdaten nach Art. 9 DSGVO. Dass die Bestellung auch für Dritte erfolgen könne, ließ das Gericht nicht gelten. Für die Verarbeitung dieser Daten gilt aber die Rechtsgrundlage Vertragserfüllung nicht. Auch die  verschiedenen Spezialtatbestände des Art. 9 DSGVO waren nicht einschlägig. Somit hätte eine Einwilligung eingeholt werden müssen. Diese muss bei sensiblen Daten anders als in sonstigen Fällen ausdrücklich erfolgen. Ohne diese fehlte der Apotheke die Rechtsgrundlage für die Verarbeitung der Bestellung. Dieser Verstoß war nach Auffassung des OLG auch über § 3a UWG durch einen Mitbewerber abmahnbar.



April 6, 2020

Ruf mich an! Oder warte mal…

Das Double-Opt-In-Verfahren (DOI) zur Verifizierung von E-Mail-Adressen zur werblichen Nutzung sollte mittlerweile jedem ein Begriff sein. Während dieses Verfahren für das E-Mail-Marketing bereits genügend Untiefen birgt, versuchte sich ein Versicherungsvermittler am DOI zur Verifizierung von Telefonnummern per E-Mail. Denn nach § 7 Abs. 2 Nr. 2 UWG ist Telefonwerbung gegenüber Verbrauchern generell nur nach deren vorheriger ausdrücklicher Einwilligung zulässig. Trotzdem gab es Ärger mit der Aufsichtsbehörde, und auch das VG Saarlouis  erkannte, dass da kein notwendiger Zusammenhang zwischen der im Online-Formular eingetragenen E-Mail-Adresse und der angegebenen Telefonnummer bestehen müsse. Also ist das DOI ungeeignet zum Nachweis einer Einwilligung des Anschlussinhabers in die Nutzung der Telefonnummer zu Werbeanrufen. Wie man diese aber verifizieren soll, überlässt der Gesetzgeber der Risikofreude der Werbetreibenden. Wir beraten Sie gern zu den Schattierungen von Grau.



März 16, 2020

Was zu beauskunften wäre

Transparenz ist einer der Grundsätze der DSGVO. Auf ihm beruht z. B. das Auskunftsrecht des Betroffenen gem. Art. 15 DSGVO. Demnach hat der Verantwortliche dem Betroffenen auf Anfrage eine ganze Reihe an Informationen über die Verarbeitung der Daten des Betroffenen zur Verfügung zu stellen. Welche das genau sein müssen, regelt die DSGVO leider nur mehr oder weniger klar. Fallstricke für Verantwortliche sind hier vorprogrammiert. Die Vorgabe, „die Empfänger oder Kategorien von Empfängern“ der personenbezogenen Daten zu nennen, setzte ein Unternehmen so um, dass die Kategorien zusätzlich mit Beispielen versehen wurden. Dem AG Wertheim (12.12.2019 – 1 C 66/19) war das zu intransparent. So auch die Nennung der Datenarten statt des konkreten Datums, obwohl Art. 15 DSGVO nur von den Datenkategorien spricht. Die Folge: 15.000 EUR Zwangsgeld. Das was man hat, sei auch zu beauskunften.



März 9, 2020

Obacht bei der Arbeitszeiterfassung per Fingerprint

Das Arbeitsgericht Berlin (Urteil vom 16.10.2019 – 29 Ca 5451/19) hatte über die datenschutzrechtliche Zulässigkeit der Arbeitszeiterfassung mittels Fingerprints zu entscheiden. Da es sich bei der Verarbeitung von Fingerprint-Daten um biometrische Daten und damit um besonders schutzwürdige personenbezogene Daten handelt, darf diese Form der Zeiterfassung nur in engen Grenzen durchgeführt werden. Das Gericht hat festgestellt, dass die Verarbeitung von biometrischen Fingerprint-Daten für die Durchführung des Arbeitsverhältnisses nicht erforderlich war, § 26 Abs. 1 und Abs. 3 BDSG. Eine andere Bewertung der Erforderlichkeit könnte zum Beispiel dann vertretbar sein, wenn mit dem „händischen“ System der Zeiterfassung nachweislich Missbrauch betrieben würde. Nach Ansicht des Arbeitsgerichts hätte der Arbeitgeber von den Beschäftigten eine datenschutzrechtliche Einwilligung in die Arbeitszeiterfassung per Fingerprint einholen müssen. Dies hatte der Arbeitgeber allerdings nicht getan.



März 2, 2020

Kein DOI = Datenschutzverstoß?

Ein zwölfjähriger Junge aus Österreich erhält auf seine E-Mail-Adresse Kontaktanfragen. Er bekommt über zwei Profile bei zwei Dating-Plattformen regelmäßig eindeutige Nachrichten. Wo ein Kumpel „Glückwünsch!“ ruft, regt sich ein Vater auf – und beschwert sich bei der österreichischen Datenschutz-Aufsichtsbehörde. Und hier wird es für Sie relevant: Diese hat nämlich festgestellt, dass ein fehlendes Double-Opt-In-Verfahren (DOI) einen Datenschutzverstoß darstellt.

Konkret: Wenn ein Anbieter eines Internet-Portals eine Nutzer-Registrierung zulässt, ohne die eingegebene E-Mail-Adresse zu verifizieren, verstößt er mangels hinreichender technischer und organisatorischer Maßnahmen zum Schutz der Vertraulichkeit gegen Art. 32 DSGVO! Und so war es hier: zwar gab es eine DOI-Mail. Den Aktivierungs-Link musste man aber zur Nutzung der Portale nicht klicken. Eine Einladung zum Missbrauch fremder E-Mail-Adressen.



Februar 20, 2020

EuGH zur Videoüberwachung – du darfst!

Wir Datenschützer waren in den letzten Monaten nicht unbedingt von EuGH-Urteilen gesegnet, die uns das Leben einfacher gemacht hätten. Nach dem Cookie-Urteil im Oktober wandten sich viele von uns in weiser Voraussicht lieber den Rezepten für Omas Weihnachtsplätzchen zu. Doch dann, kurz vor der Bescherung, entschied der EuGH (Az. C-708/18), dass die Hürden für eine zulässige Videoüberwachung ohne Einwilligung gar nicht mal so hoch sind: Eine Beeinträchtigung des berechtigten Interesses am Schutz von Eigentum und Personen muss nicht zuvor bereits eingetreten sein. Außerdem ist die Verhältnismäßigkeit der Videoüberwachung unter Berücksichtigung der konkreten Umsetzung zu beurteilen: Läuft die Videoüberwachung nur nachts bzw. außerhalb der üblichen Betriebszeiten? Werden nur Gemeinschafts- und Eingangs- und Zugangsbereiche erfasst? Was sind die technischen Fähigkeiten der Videoüberwachungsanlage?



Februar 13, 2020

Allianz für Cyber-Sicherheit – wir sind dabei!

HK2 Rechtsanwälte und HK2 Comtection GmbH sind seit Ende 2019 Teilnehmer der Allianz für Cyber-Sicherheit. Sie wurde 2012 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) mit dem Ziel gegründet, die Widerstandsfähigkeit des Standortes Deutschland gegenüber Cyber-Angriffen zu stärken. Die Initiative unterstützt Unternehmen dabei, sich kurzfristig auf eine äußerst dynamische Bedrohungslage einstellen zu können, indem der Austausch von Informationen, Wissen und Erfahrungen zum Umgang mit Cyber-Risiken ermöglicht und Sicherheitskompetenzen stetig ausgebaut werden.
Derzeit engagieren sich 4088 Teilnehmer, 122 Partner und 96 Multiplikatoren im Rahmen der Initiative, darunter IT-Dienstleistungs- und -Beratungsunternehmen, IT-Hersteller und Anwenderunternehmen aller Größen und Branchen. Wir freuen uns auf einen informativen Austausch am Puls der Cyber-Sicherheit!



Februar 10, 2020

Vorsicht bei Tiernamen und Körperöffnungen!

Diese gehören nämlich nicht in Ihr CRM. Denn wenn mal die Aufsichtsbehörde vorbeischaut, kann es für Sie peinlich (und teuer) werden, wenn der Account Manager seinem Frust über den renitenten Kunden im CRM freien Lauf gelassen hat. So nun geschehen mit einem Unternehmen in Frankreich. Dem wurde von der französischen Aufsicht CNIL für eine Reihe von Datenschutzverletzungen ein Bußgeld in Höhe von 500.000 EUR aufgebrummt, u. a. für datenschutzwidrige Telefonwerbung, die Aufzeichnung von Kundengesprächen ohne Information, fehlende Kooperation mit der CNIL und eben für die Speicherung unangemessener Kommentare über Kunden im CRM-System. Dann den Mitarbeitern lieber andere Möglichkeiten zum Dampf ablassen geben (Sport?). In veterinärmedizinischen und gastroenterologischen Praxen dürfte die Sache mit den Tiernamen und Körperöffnungen übrigens nochmal anders gelagert sein.



Februar 4, 2020

Kein berechtigtes Interesse für Fotos auf Facebook?

Wer Fotos, auf denen Personen erkennbar sind, bei Facebook postet, kann dafür laut VG Hannover kein berechtigtes Interesse in Anspruch nehmen. Ein SPD-Ortsverband hatte ein Veranstaltungsfoto auf seiner Facebook-Fanpage gepostet, auf dem ein Ehepaar zu erkennen war. Das Foto wurde auf Beschwerde der Eheleute umgehend gelöscht, diese legten dennoch Beschwerde bei der Aufsichtsbehörde ein (vermuteter Beruf: Lehrer). Laut Gericht war die darauf ergangene Verwarnung der Aufsichtsbehörde rechtmäßig. Die Verwendung des Fotos in der Berichterstattung über die Veranstaltung sei durchaus zulässig, nicht jedoch bei Facebook. Damit würde eine nicht kontrollierbare Datenverarbeitung durch Facebook ausgelöst. Insofern bestünde weder nach KunstUrhG bei journalistischen Inhalten noch nach allgemeinen Grundsätzen ein berechtigtes Interesse.



Dezember 2, 2019

SDM 2.0: Die DSGVO als Nacherzählung

In einem früheren Leben war ich mal Lehrer, ungelogen. Eine Aufsatzform im Deutschunterricht der Orientierungsstufe war damals die Nacherzählung. Daran erinnerte mich nun eine der letzten Veröffentlichungen der Datenschutzkonferenz: das Standard-Datenschutzmodell 2.0 (SDM). Die ersten zwei Drittel sind eigentlich eine in Prosa gefasste Wiedergabe der DSGVO. Was sich jetzt vielleicht nach Hohn und Spott anhört, ist tatsächlich keiner. Denn das Wirrwarr der DSGVO, gesetzgebungshandwerklich höchstens auf mäßigem Niveau, wird mit dem SDM 2.0 konsolidiert und durch die 7 Gewährleistungsziele mit einem roten Faden versehen. Mindestens Datenschutz-Anfänger finden mit dem SDM einen einigermaßen nachvollziehbaren Einstieg in die Umsetzung der DSGVO. Für Profis hält das SDM nicht viel Neues vor, in Teil D aber immerhin Anregungen für eine modernere Strukturierung der TOM.



November 29, 2019

Entwurf für einen Code of Conduct zum Einsatz DS-GVO Konformer Pseudonymisierung

Neulich wurde im Rahmen des Digital-Gipfel 2019 (vormals Nationaler IT-Gipfel) der Entwurf für einen Code of Conduct zum Einsatz DS-GVO konformer Pseudonymisierung vorgestellt, den Vertreter aus Forschung, Wirtschaft und Gesellschaft (Fokusgruppe Datenschutz des Bundesinnenministeriums) erarbeitet haben. Mit dem Code of Conduct sollen Verhaltensregeln im Sinne von Art. 40 Abs. 2 lit. d) DS-GVO für eine datenschutzkonforme Pseudonymisierung beschrieben werden. Der Code of Conduct enthält hauptsächlich Prozessuale Vorgaben zum Einsatz und Betrieb einer Pseudonymisierung sowie Anwendungsbeispiele. Für die Finalisierung des Code of Conduct bedarf es noch der Genehmigung einer Aufsichtsbehörde sowie der Festlegung von Prozessen zur Kontrolle der Einhaltung des Codes. Die bereits formulierten Anwendungsbeispiele sollen zudem um sektorspezifische Good Practices erweitert werden.



November 5, 2019

Bußgeldkonzept der DSK

Die Datenschutzkonferenz hat im Oktober ihr achtseitiges DSGVO-Bußgeldkonzept veröffentlicht. Es soll nur auf Unternehmen bei nicht-grenzüberschreitenden Fällen angewandt werden und nicht auf Vereine oder natürliche Personen außerhalb ihrer wirtschaftlichen Tätigkeit. Die Bußgeldfestsetzung erfolgt dabei in fünf Schritten:

1. Zuordnung des Unternehmens einer Größenklasse
2. Bestimmung des mittleren Jahresumsatzes der Untergruppe
3. Ermittlung eines wirtschaftlichen Grundwertes
4. Multiplikation des Grundwertes mit einem von der Schwere der Tatumstände abhängigen Faktor
5. Anpassung des unter 4. ermittelten Wertes anhand täterbezogener und sonstiger Umstände

Ob dieses Konzept auch zu verhältnismäßigen Geldbußen führen wird, ist fraglich. Denn ein großes Unternehmen erzielt automatisch einen höheren Grundwert, und die korrigierende Wirkung von Tat- und täterbezogenen Umständen bleibt unklar.



Oktober 9, 2019

Verarbeiten Sie Sozialdaten im öffentlichen Auftrag?

Dann wundern Sie sich nicht, wenn die nächste Ausschreibung eine aktuelle ISO 9001 oder ISO 27001-Zertififzierung verlangt. Laut einem Beschluss der Vergabekammer des Bundes vom 19.07.2019 ist dies besonders durch die hohen gesetzlichen Anforderungen an die Sicherheit der Verarbeitung von Sozialdaten gerechtfertigt und wird auf § 49 Abs. 1 VgV gestützt. Dabei spielt es keine Rolle, ob der öffentliche Auftraggeber selbst zertifiziert ist, denn bei internen Prozessen könne man die Sicherheit der Verarbeitung schließlich selbst einschätzen.

Übrigens kann eine Werbeaussage „Zertifiziert nach ISO 9001“ auch bei ordnungsgemäßer Zertifizierung eine irreführende Wettbewerbsverletzung darstellen, wenn nicht klar ersichtlich ist, auf welche Dienstleistung sich die Zertifizierung bezieht, entschied das OLG Düsseldorf.



September 3, 2019

Stößt sich Berlin am Datenschutz gesund?

Arm, aber sexy“ und alimentiert über den Finanzausgleich – damit ist in Berlin vielleicht bald Schluss, denn der Datenschutz könnte sich als interessante Einnahmequelle für das Land erweisen: Die Berliner Beauftragte für den Datenschutz informierte das Berliner Abgeordnetenhaus laut Medienberichten kürzlich über DSGVO-Bußgelder in Rekordhöhe, die sich gegen zwei Berliner Unternehmen abzeichnen. Das eine erhielt offenbar zwei Bußgeldbescheide in Höhe von insgesamt 200.000 EUR. Das andere darf sich wohl auf einen Bescheid im zweistelligen Millionenbereich freuen. Dies wären dann die bisher höchsten Bußgelder, die in Deutschland gemäß DSGVO verhängt wurden. Diese sieht Bußgelder von bis zu 20 Mio. EUR oder bis zu 4 % des gesamten Vorjahresumsatzes eines Unternehmens vor. In Berlin fließen die Bußgelder in den Landeshaushalt. Den Finanzsenator dürfte es freuen.



September 2, 2019

Zulässigkeit der Ausweiskopie

Im Geschäftsleben ist die Kopie des Ausweises schon länger ein beliebtes Mittel zur Identitätskontrolle. Dabei ist das Kopieren von Ausweisdokumenten überhaupt erst seit 2017 erlaubt. Nun darf nur der Inhaber selbst die Kopie vornehmen und diese an Dritte weitergeben. Die mit der Speicherung einer Kopie verbundene Verarbeitung der dort enthaltenen personenbezogenen Daten soll nur mit Einwilligung des Inhabers zulässig sein. Das ist deswegen problematisch, weil die Feststellung der Identität durchaus auch im Rahmen einer Vertragserfüllung oder eines berechtigten Interesses liegen kann. Ein Infopapier des LDI NRW zum Thema erwähnt die Einwilligung nur nebenbei und stellt ansonsten auf die Erforderlichkeit ab. Damit bleibt unklar, auf welchen Rechtsgrundlagen DSGVO abgestellt werden kann. In jedem Fall sollte die Kopie nicht dauerhaft gespeichert, sondern nach Identitätsfeststellung gelöscht werden.



August 1, 2019

Verteidigung der Persönlichkeitsrechte durch Flugabwehr #Drohnentod

Das Fliegen einer kameraausgestatteten Drohne über dem Nachbargrundstück ist keine kindlich-unschuldige Freizeitbeschäftigung, sondern eine Beeinträchtigung der Persönlichkeitsrechte der Nachbarn. Das musste ein Drohnenpilot vor dem Amtsgericht Riesa lernen, der mit der Drohne seines Cousins das gegen Blicke geschützte Nachbargrundstück überflogen, die Ehefrau des Nachbarn verfolgt und deren gemeinsame Kinder verängstigt hatte. Der Nachbar griff kurzerhand zum handelsüblichen Luftgewehr und holte die Beeinträchtigung der Persönlichkeitsrechte seiner Familie mit zwei Schüssen vom Himmel, was zum Totalschaden des Fluggeräts führte. Das Gericht sprach den Nachbarn vom Vorwurf der Sachbeschädigung frei, da dieser im bürgerlich rechtlichen Notstand (§ 228 BGB) gehandelt hatte. Erst luftgestützt ausspähen, dann noch Strafantrag stellen: Mimimi.



Juli 30, 2019

Bestellpflicht für Datenschutzbeauftragte

Der Datenschutzbeauftragte – für manche das Unwort des Jahres 2018. Die Pflicht zur Bestellung bestand zwar schon vorher,  viele beschäftigen sich trotzdem erst aus Anlass der DSGVO mit dieser Institution. Die Nachfrage stieg massiv an. Nun wird die Grenze für die Bestellpflicht von 10 auf 20 dauerhaft datenverarbeitende Personen angehoben. So hat es der Bundestag im 2. DSAnpUG-EU beschlossen. Kleinere Unternehmen sollen entlastet werden. Die müssen aber natürlich auch ohne DSB-Pflicht die Vorgaben der DSGVO weiter erfüllen. Hierzu hätte man besser beim Beratungsbedarf ansetzen sollen, nicht bei der Beratungspflicht. Viele Vorgaben des Datenschutzes sind immer noch ungeklärt oder so komplex und undurchdringlich, dass diese für Laien ohne Hilfe kaum umzusetzen sind. So manche gesparte DSB-Vergütung dürfte künftig direkt in verhängte Bußgelder fließen.




April 5, 2019

das neue Gesetz zum Schutz von Geschäftsgeheimnissen

Der Bundestag hat das neue Gesetz zum Schutz von Geschäftsgeheimnissen am 21.03.2019 verabschiedet. Es wird voraussichtlich noch 2019 in Kraft treten. Damit werden sich die Voraussetzungen für das Vorliegen von Geschäftsgeheimnissen und deren Schutzumfang erheblich ändern. Insbesondere werden Informationen als Geschäftsgeheimnis nur dann geschützt sein, wenn angemessene Geheimhaltungsmaßnahmen zu ihrem Schutz getroffen wurden.

Lesen Sie weiter >



April 2, 2019

Ich – einfach Datenschutzvollstrecker

Sie machen womöglich sonntags gelegentlich einen entspannten Spaziergang. Sie schlendern dabei an dem ein oder anderen Haus vorbei und sehen als datenschutzrechtlich aufgescheuchter Mitbürger Kameras, die Sie beim Promenieren filmen. Wenn Sie jetzt denken: „Na und? Ich  habe nichts zu verbergen.“, können Sie hier aufhören, zu lesen. Anderenfalls stellen Sie sich womöglich die Frage: Kann ich mich dagegen wehren?
Lesen Sie weiter >



Februar 20, 2019

„5.000 Euro Bußgeld für fehlende Vereinbarung zur Auftragsverarbeitung!“ oder besser: „Wer um Bußgeld bettelt, wird erhört!“

Ein Unternehmen hatte bei der Aufsichtsbehörde angefragt, wie mit einem spanischen Auftragsverarbeiter zu verfahren sei, der sich weigerte, eine AV-Vereinbarung zu unterzeichnen. Auf den richtigen Hinweis der Behörde hin, dass der Abschluss der Vereinbarung gleichermaßen Pflicht des Auftraggebers sei, teilte das Unternehmen dann mehrfach – auch per Anwalt – mit, dem nicht Folge leisten zu wollen. Daraufhin erging das Bußgeld.

Lesen Sie weiter >



Februar 11, 2019

Facebooks “Gefällt mir”-Buttons nicht fashionable

Vom Generalanwalt des EuGH gibt es kein Like für Facebooks „Gefällt mir“-Button. Die Verbraucherzentrale NRW hatte das Unternehmen Fashion ID verklagt, da dieses auf seiner Website die besagten „Gefällt mir“-Buttons einsetzte, ohne die zu der Zeit geltenden datenschutzrechtlichen Anforderungen der Datenschutz-Richtlinie einzuhalten.

Lesen Sie weiter >



Januar 30, 2019

Verträge zur gemeinsamen Verantwortlichkeit

Wer kooperativ mit anderen Unternehmen Daten mit Personenbezug verarbeitet, geht meist davon aus, es liege eine Auftragsverarbeitung (AV) nach Art. 28 DSGVO vor. Die Auftragsverarbeitung ist tatsächlich die hergebrachte Lösung für vielerlei Konstellationen, wie z. B. für die Nutzung eines SaaS-Angebotes oder einer Cloud-Leistung. Folge: Es ist eine Auftragsverarbeitungs-Vereinbarung zu schließen.
Lesen Sie weiter >



Januar 22, 2019

Domainregistrierung: Inhaberdaten sind genug

Die DSGVO revolutioniert auch die Welt der Domains. Die DENIC erhebt seit Geltung der DSGVO keine Daten zum administrativen und technischen Kontakt (sog. Admin-C und Tech-C) mehr. Eine entsprechende Umstellung kündigte auch der Registrar EPAG an und zog sich damit den Unmut der für das weltweite Domainnamensystem verantwortlichen ICANN zu.
Lesen Sie weiter >



Oktober 10, 2018

Das Recht auf Abwägung im Einzelfall

Das vom EuGH entwickelte „Recht auf Vergessenwerden“ und das Recht auf Löschung aus Art. 17 DSGVO sind nicht gleichzusetzen. Darauf wies zuletzt noch einmal das OLG Frankfurt hin, als es über einen datenschutzrechlichen Löschungsanspruch gegen Google entschied. Dies wird mit unterschiedlichen Abwägungskriterien begründet.

Ob eine Löschung durch die datenverarbeitende Stelle vorzunehmen ist, ist im Rahmen von Art. 17 DSGVO im Wege ein Abwägung im Einzelfall festzustellen. Dabei sind die Interessen des Betroffenen, mit den Interessen der Öffentlichkeit abzuwägen.
Lesen Sie weiter >



August 6, 2018

DSGVO und journalistische Bildberichterstattung

Sind Fotos von Personen ohne Einwilligung noch zulässig? Eine der vielen noch ungeklärten Fragen seit der DSGVO. Unklarheiten ergeben sich insbesondere aus dem Verhältnis der DSGVO zum Kunsturhebergesetz (KUG). Jedenfalls bezüglich der Bildberichterstattung von Medienunternehmen bringt das OLG Köln Licht ins Dunkel: Das KUG gilt im journalistischen Bereich auch unter der DSGVO fort.

Lesen Sie weiter >



Juni 22, 2018

DSFA – Angst essen Seele auf?

Die DSGVO sieht in Art. 35 vor, dass bei einer Datenverarbeitung mit hohem Risiko für „Rechte und Freiheiten natürlicher Personen“ eine sog. Datenschutzfolgenabschätzung (DSFA) durchzuführen ist.

Folglich ist bei bestimmten Verarbeitungsvorgängen von personenbezogenen Daten abzuschätzen, welche Folgen sie für den Schutz dieser Daten haben. Wann dies der Fall ist, wird sehr allgemein und nicht abschließend in Art. 35 Abs. 3 DSGVO dargestellt. Eine Hilfestellung zur Risikobewertung fehlt.

Lesen Sie weiter >



Juni 21, 2018

WhatsApp, Slack und Co. in der betrieblichen Kommunikation…

Im Rahmen der Vorbereitung auf die DSGVO wurden in zahlreichen Unternehmen die datenschutzrechtlichen Prozesse auf den Prüfstand gestellt.

Eine Frage, die dabei erstaunlich oft aufkam: „Darf ich WhatsApp (oder andere Messenger-Dienste) auf dem Diensthandy bzw. dienstlich genutzten Privathandy nutzen?“. Die kurze Antwort lautet „Nein!“. Bei Installation wird nämlich das gesamte Adressbuch ausgelesen, wobei die Daten auf Servern in den USA landen.

Lesen Sie weiter >



Mai 11, 2018

Privacy by Design/ Privacy by default

“Privacy by Design” – das klingt ein bisschen nach einer gecasteten Boy-Band der späten Neunziger. Dahinter verbirgt sich aber in Wahrheit einer der Grundsätze zur Auswahl technischer und organisatorischer Maßnahmen. Zwar ist der dazugehörige Text von Art. 25 Abs. 1 nicht annähernd so eingängig wie die Hits der 90er, aber genauso nichtssagend. Im Ergebnis soll sich der Verantwortliche schon von Anfang an mit dem Datenschutz beschäftigen und nicht erst auf Verstöße reagieren. Hierfür hat der Verantwortliche bei Festlegung seiner Maßnahmen solche auszuwählen, die geeignet sind, die Datenschutzgrundsätze von Art. 5 wirksam umsetzen.

Lesen Sie weiter >




Februar 28, 2018

Datenschutzkonferenz zum Beschäftigtendatenschutz

Wer sich über die neuen Themen der DSGVO informieren möchte, muss ja eigentlich nur regelmäßig unseren Newsletter lesen. Wem das aber noch nicht reicht, der kann einen Blick in die Kurzpapiere der Datenschutzkonferenz der obersten Datenschützer der Länder (DSK) werfen. Zu zentralen Fragen der DSGVO gibt die DSK seit geraumer Zeit die angesprochenen Kurzpapiere heraus, so jetzt auch zum Beschäftigtendatenschutz.

Lesen Sie weiter >



Datenschutz Compliance out- oder insourcen?

Die Aussicht auf hohe Bußgelder hat die Umsetzung der DSGVO bei vielen Unternehmen immerhin auf die Agenda gesetzt. Bei manchem dürfte der Elan aber spätestens bei der Lektüre von Art. 32 verfliegen. Als Freund in der Not kann sich da der Datenschutzbeauftragte entpuppen. Für alle Unternehmen mit mehr als 9 Mitarbeitern ist die Bestellung ohnehin Pflicht.

Lesen Sie weiter >



Januar 5, 2018

Am Anfang steht die Schutzbedarfsanalyse

Die Datenschutz-Grundverordnung sieht einen risikobasierten Ansatz zum Schutz personenbezogener Daten vor. Doch was bedeutet dies nun für die Umsetzung von Schutzmaßnahmen in der Praxis? Die Verordnung verpflichtet sowohl Unternehmen als auch die öffentliche Verwaltung dazu, datenverarbeitende Prozesse angemessen abzusichern. Dabei sind Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte Betroffener zu berücksichtigen.

Lesen Sie weiter >



Dezember 12, 2017

Die DSGVO gilt auch für außereuropäische Unternehmen

Die EU als weltweit größter Binnenmarkt setzt einen weltweiten Standard für den Datenschutz. Dies wird unter anderem dadurch manifestiert, dass auch Unternehmen mit Niederlassungen außerhalb der EU die Vorgaben der DSGVO einhalten müssen – zumindest unter bestimmten Voraussetzungen.

Lesen Sie weiter >



Oktober 28, 2017

Neue Studie zum Umsetzungsstand der DSGVO

49 % der Unternehmen beschäftigen sich bisher mit der Umsetzung der DSGVO – 33 % bisher noch gar nicht. Zudem: lediglich 55 % der Unternehmen geben an, dass sie die gesetzlichen Vorgaben bis zur Geltung der DSGVO im Mai 2018 umgesetzt haben werden. Dies hat der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (Bitkom) in einer kürzlich veröffentlichten Studie festgestellt.

Lesen Sie weiter >



Oktober 5, 2017

Informationspflichten bei der Datenerhebung

Die DSGVO sieht Informationspflichten für die Verarbeitung personenbezogener Daten vor. Diese sollen es ermöglichen, dass Betroffene ihre Rechte leichter wahrnehmen können. Die DSGVO differenziert bezüglich des Umfangs dieser Pflichten zwischen der Direkterhebung durch den Verantwortlichen sowie der Erhebung von Daten durch Dritte.

Lesen Sie weiter >





Juli 31, 2017

Was sagt Art. 29 DSGVO zum Beschäftigungsdatenschutz?

Die DSGVO stellt die Anforderungen an den Datenschutz für Arbeitnehmer und Freelancer auf eine Stufe. Sie müssen umfassend über die Datenverarbeitung informiert werden, auch wenn diese zur Vertragsdurchführung erforderlich ist, gesetzlichen Pflichten entspricht oder dem Monitoring dient.

Lesen Sie weiter >