0351 418866840
kontakt@rechtsanwalt-harzewski.de

Anwaltskanzlei Harzewski

Monat: November 2018

25/18-Prüfung durch BayLDA, Datenschutzhinweise

von

am 22. November 2018

in Blog, Datenschutzrecht

AUFSICHTSBEHÖRDE VERHÄNGT BUßGELD

Nach Meldung einer Datenpanne wurde nun heute das erste Bußgeld in Höhe von 20.000,00 € gegen einen baden-württembergischen Social-Media-Anbieter verhängt. Das Unternehmen hatte die Passwörter ihrer Nutzer im Klartext, mithin unverschlüsselt und unverfremdet (ungehasht), gespeichert, was erst nach einem Hackerangriff im Juli 2018 herauskam. Die Behörde sah hierin einen wissentlichen Verstoß gegen die Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gemäß Art. 32 Abs. 1 lit a DS-GVO. Aufgrund der wohl guten Zusammenarbeit des Unternehmens mit der Behörde fällt die Höhe des Bußgeldes glimpflich aus, wenn man bedenkt, dass es immerhin um Daten von ca. 330.000 Nutzern ging.

Die vollständige Presseerklärung des LfDI Baden-Württemberg gibt es hier. Interessant finde ich besonders den Schlusssatz: „Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“

 

PRÜFUNGEN DURCH DAS BAYRISCHE LANDESAMT FÜR DATENSCHUTZAUFSICHT

Das BayLDA führt gerade auch anlasslose Datenschutzprüfungen durch. Diese erfolgen in der Regel als sogenannte fokussierte Prüfungen bei einzelnen Unternehmen vor Ort, als Prüfungen im Wege eines schriftlichen Verfahrens oder als Onlineprüfung automatisiert über das Internet. Eine Übersicht, welche Kontrollen gerade stattfinden und welche noch ausstehen, kann hier abgerufen werden.

Ich empfehle mal einen Blick in den Prüfkatalog Rechenschaftspflicht und in den Fragebogen zu Prüfung DS-GVO-Umsetzung bei kleinen und mittleren Unternehmen zu werfen und mit dem eigenen Stand der Umsetzung abzugleichen. Gefragt wird beispielsweise gezielt nach einem Löschkonzept (z.B. nach DIN 66398), nach einem IT-Sicherheitskonzept, nach der Verpflichtung auf Vertraulichkeit und Sensibilisierung der Beschäftigten und nach der Kopie von Schulungsunterlagen.

 

FEHLENDE DATENSCHUTZERKLÄRUNG NICHT ABMAHNBAR

Zuletzt möchte ich noch auf zwei Urteile zur Abmahnbarkeit von Datenschutzerklärungen auf Webseiten aufmerksam machen. Das Landgericht Bochum hat mit Urteil vom 7.8.2018 (Aktenzeichen: 12 O 85/18) entschieden, dass ein Verstoß gegen die DSGVO nicht zugleich eine Wettbewerbsverletzung nach § 3 a UWG darstellen muss. In einem anderen Fall hat das Landgericht Würzburg mit Beschluss vom 13.9.2018 (Aktenzeichen 11O1741/18) dagegen eine Wettbewerbsverletzung angenommen. Weiter Infos hierzu gibt es unter: http://rechtsanwalt-harzewski.de/fehlende-datenschutzerklaerung-nicht-abmahnbar/.

Richter mit Hammer

Fehlende Datenschutzerklärung nicht abmahnbar

von

am 16. November 2018

in Blog, Urteile

Leitsatz: Eine fehlende Datenschutzerklärung rechtfertigt nicht immer eine Abmahnung nach dem Wettbewerbsrecht.

Gericht: Landgericht Bochum, Urteil vom 7.8.2018
Aktenzeichen: 12 O 85/18

Entscheidung: Das Gericht entschied, dass ein Verstoß gegen die DSGVO nicht zugleich eine Wettbewerbsverletzung nach § 3 a UWG darstellen muss. Eine solche Verletzung liegt nur vor, wenn eine gesetzliche Vorschrift über das Marktverhalten missachtet wurde, die zudem geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.

Nach Auffassung des Gerichts stellt eine fehlende Datenschutzerklärung auf einer Website keinen derartigen Verstoß dar, da die DSGVO in den Art. 77 – 84 insofern eine abschließende Regelung enthält. Speziell in Art. 80 DSGVO ist geregelt, dass betroffene Personen nur bestimmte Einrichtungen, Organisationen oder Vereinigungen ohne Gewinnerzielungsabsicht beauftragen können, um ihre Rechte, wie die Geltendmachung von Schadensersatz, wahrzunehmen. Daraus ergibt sich, dass der Unionsgesetzgeber eine Ausweitung auf Mitbewerber des Verletzers nicht zulassen wollte.

Hintergrund: Das Verhältnis zwischen DSGVO und dem Wettbewerbsrecht bleibt umstritten. In einem Fall vor dem Landgericht Würzburg (Beschluss vom 13.9.2018 – Az.: 11O1741/18) nahm das Gericht eine Wettbewerbsverletzung an, da eine Anwältin neben einer fehlerhaften Datenschutzerklärung auch keine Verschlüsselung für das Kontaktformular auf ihrer Website vorhielt.

WhatsApp im Unternehmen und Datenschutz

WhatsApp im Unternehmen und Datenschutz

von

am 13. November 2018

in Blog, Datenschutzrecht

Die Aufsichtsbehörden haben bereits mehrfach darauf hingewiesen, dass der Einsatz von WhatsApp in Unternehmen zur betrieblichen Kommunikation gegen die DSGVO verstößt. Dennoch erfreut sich der Messenger-Dienst größter Beliebtheit. Zusammenfassend ergeben sich folgende Probleme beim Thema WhatsApp im Unternehmen und Datenschutz:
 

Upload der Kontaktdaten

Inhalte und Nachrichten werden standardmäßig über eine Ende-zu-Ende-Verschlüsselung geschützt. Das Problem liegt daher im Upload der Kontaktdaten. Diese werden nicht verschlüsselt, sondern im Klartext übermittelt. WhatsApp erhält also zumindest Rufnummer und den Namen eines jeden Kontaktes. Für die Übermittlung dieser personenbezogenen Daten an WhatsApp ist eine Rechtsgrundlage erforderlich. Eine Einwilligung der betroffen Personen wird in der Regel schon aus praktischen Erwägungen ausscheiden. Auch eine Übermittlung aufgrund des berechtigten Interesses nach Art. 6 Abs. 1 lit. f) DSGVO scheitert in aller Regel, wenn auch Kontaktdaten von Personen übermittelt werden, die nicht WhatsApp nutzen.

Nach Auffassung der Landesbeauftragten für den Datenschutz Niedersachsen ist eine Nutzung daher nur möglich, wenn ein Smartphone mit einem leeren Adressbuch verwendet wird oder ein Zugriff auf die Kontakte durch die WhatsApp-Anwendung dauerhaft ausgeschlossen werden kann. WhatsApp stellt derzeit keine Möglichkeit bereit, die Übermittlung der Kontaktdaten zu deaktivieren, auf einzelne Kontaktgruppen zu beschränken oder sonst die Übermittlung zu konfigurieren. Dennoch lässt sich der Adressbuchupload durch verschiedene externe Apps verhindern.
 

WhatsApp als Auftragsverarbeiter

Umstritten ist, ob WhatsApp überhaupt als Auftragsverarbeiter einzustufen ist. Würde WhatsApp personenbezogenen Daten im Auftrag verarbeiten, müsste zusätzlich ein sogenannter Auftragsverarbeitungsvertrag mit dem Unternehmen geschlossen werden. Die übermittelten Kontaktdaten werden zumindest auch für eigene Zwecke verarbeitet, so dass WhatsApp auch als eigenständiger Verantwortlicher bzw. zumindest als gemeinsam Verantwortlicher gelten könnte. Hinsichtlich der übermittelten Inhaltsdaten gibt der Landesbeauftragter für den Datenschutz Sachsen-Anhalt zu bedenken, dass WhatsApp nicht quell-offen ist, sodass nicht ausgeschlossen werden kann, dass die Verschlüsselung der Kommunikationsinhalte auf andere Weise wieder aufgehoben werden könnte. Zur Sicherheit empfiehlt sich hier der Abschluss eines entsprechenden Vertrages mit WhatsApp, welche die Anforderungen aus Art. 28 DSGVO erfüllt.
 

Die Übermittlung von Daten in die USA

Die LfD Niedersachsen äußert erhebliche Bedenken in Bezug auf die Übermittlung der personenbezogenen Daten in die USA. Nach meiner Auffassung ist der Datentransfer aber gerechtfertigt, da sich WhatsApp auf die Einhaltung der der Privacy Shield-Grundsätze verpflichtet hat. Auf der Grundlage des Privacy Shields dürfen personenbezogene Daten in die USA gemäß Art. 45 Abs. 3 DSGVO übermittelt werden.

Unklar ist hingegen, ob und in welchem Umfang Daten zwischen WhatsApp und Facebook ausgetauscht werden. Der Verantwortliche kann daher die Betroffenen nicht umfassend und transparent über die Datenverarbeitung Informieren und mithin seinen Pflichten aus Art. 13, 14 DSGVO nachkommen.

Der Einsatz von WhatsApp im Unternehmen ist daher aktuell nicht rechtssicher. Zuletzt hatte das Amtsgericht Bad Hersfeld mit Beschluss vom 15.05.2017 (Az.: F 120/17 EASO) auf die Gefahr bei der Nutzung des Dienstes kostenpflichtig abgemahnt zu werden, hingewiesen.
 

Anwaltskanzlei Harzewski

 
Königsbrücker Landstraße 5
01109 Dresden

Datenschutzbeauftragter Harzewski

 
Torgauer Str. 5
01127 Dresden

Sprechzeiten

 

Montag bis Freitag:

09.00 Uhr bis 18.00 Uhr

 

Dienstag:

20:00 Uhr bis 22:00 Uhr

Kontakt

Telefon:  0351 418866840

Telefax:  0351 418866849

E-Mail:    kontakt@rechtsanwalt-harzewski.de

Design von South Bird Design