0351 418866840
kontakt@rechtsanwalt-harzewski.de

Anwaltskanzlei Harzewski

Monat: Februar 2019

Kontrollausdruck zur Überprüfung der Fristeingabe

von

am 28. Februar 2019

in Blog, Urteile

Leitsatz:

Die Überprüfung der Fristeingabe bei einen elektronischen Fristenkalender muss durch einen Ausdruck der eingegebenen Einzelvorgänge oder eines Fehlerprotokolls erfolgen. Unterbleibt eine derartige Kontrolle, so liegt ein anwaltliches Organisationsverschulden vor.

Gericht:Bundesgerichtshof, Beschluss vom 28.Februar 2019
Aktenzeichen: III ZB 96/18

 

Was war passiert?

Eine Mitarbeiterin eines Rechtsanwaltes hatte den Auftrag, die Vorfrist für eine Berufung und Berufungsbegründung, die Berufungsfristen, sowie die Fristabläufe in der Handakte zu notieren. Die Berufungsbegründungsfrist und die Vorfrist wurde von der zuständigen Mitarbeiterin jedoch nicht im elektronischen Fristenkalender der verwendeten Software gespeichert. Dadurch wurde in einer Streitsache eine Berufungsbegründungsfrist versäumt.

 

Entscheidung:

Das Gericht entschied, dass die alleinige Kontrolle über die elektronische Kalenderführung nicht ausreiche, da ein höheres Fehlerrisiko bestehe. Hierzu können Datenverarbeitungsfehler der EDV oder Eingabefehler durch ein Vertippen gehören. Die Kalenderführung mittels einer Software darf demnach keine geringere Überprüfungssicherheit bieten als die herkömmlichen Aufzeichnungen.

Ein Rechtsanwalt hat daher die Kontrolle der Fristeingabe in einem elektronischen Fristenkalender durch geeignete Organisationsmaßnahmen zu gewährleisten. Dies kann z.B. über einen Kontrollausdruck der eingegebenen Einzelvorgänge oder eines Fehlerprotokolls erfolgen. Der Kontrollausdruck wird als ein Warnzeichen verstanden, mit dem sich potentiell Eingabe – und Datenverarbeitungsfehler rechtzeitig erkennen und beseitigen lassen. Sofern die Kontrolle der Eingabe nicht mit Hilfe eines Ausdruckes sichergestellt wird, liegt ein anwaltliches Organisationsverschulden vor.

Eine automatisierte programmseitige Eingabekontrolle ist zudem nicht gleich effektiv und sicher wie eine Kontrolle anhand eines Papierausdrucks, da es hier zu einem Augenblicksversagen des Bearbeiters kommen kann. Gründe für ein Augenblicksversagen liegen zum einen in der „menschlichen Natur“ und zum anderen in einem von zahlreichen und intensiven Arbeitsvorgängen geprägten Büroalltag. Nur ein Medienbruch zwischen Eingabe am Bildschirm und Kontrolle mittels eines Ausdrucks gewährleistet mithin ein hohes Maß an Sicherheit in Bezug auf eine zutreffende Fristeingabe und -Speicherung.

 

Private Handynummer der Mitarbeiter

Identitätsprüfung bei elektronischen Auskunftsersuchen

von

am 28. Februar 2019

in Betroffenen-Rechte

In der Praxis kommt es gehäuft zu Problemen bei der notwendigen Identitätsprüfung bei Anfragen von Betroffenen. Leider hat sich bisher noch kein etabliertes Verfahren zur Identifizierung durchgesetzt. Aus Baden-Württemberg gibt es nun eine kleine Zusammenfassung, welche Möglichkeiten bestehen und was im Einzelfall zu beachten ist. Die Mitteilung kann hier aufgerufen werden.

Vor Erteilung der Auskunft ist auf eine eindeutige Identifizierung der betroffenen Person zu achten. Eine Auskunft an eine falsche Person ist eine klare Datenschutzverletzung und muss unter Umständen auch der Aufsichtsbehörde gemeldet werden.

Bei telefonischen Anfragen sollten zur Identifizierung in der Regel Daten wie das Geburtsdatum und die Anschrift abgefragt werden. In Einzelfällen kann auch die Übermittlung einer geschwärzten Ausweiskopie (nur Name, Anschrift, Geburtsdatum und Gültigkeitsdauer sind sichtbar) zulässig sein. Gerade bei sensiblen Daten kann dies auf dem elektronischen Wege nur mit einer Ende-zu-Ende-verschlüsselten E-Mail, über eine HTTPS-geschützte Website oder mithilfe eines verschlüsselten PDF-Dokuments erfolgen.

Weitere Möglichkeiten der Identifizierung können über die Online-Ausweisfunktion des Personalausweises, die DE-Mail-Adresse oder über ein Postident-Verfahren oder Video-Ident-Verfahren möglich sein. Verfügt die betroffene Person über ein Nutzerkonto beim Verantwortlichen, so dürfen ihr keine zusätzlichen Fragen zur Identifizierung gestellt werden.

Die Auswahl der Identifizierungsmethode oder Identitätsprüfung obliegt dem Verantwortlichen unter Berücksichtigung des Risikos für die Rechte und Freiheiten der betroffenen Personen und ist daher eine Einzelfallentscheidung. Je höher das Schutzniveau der Auskunftsdaten, desto sicherer sollte das Verfahren sein.

 

Rechtsanwalt und Datenschutzbeauftragter Robert Harzewski

03/19-Sichere Passswörter und Gesundheitsdatenschutz

von

am 14. Februar 2019

in Blog, Datenschutzrecht

Änderung der Adresse von Google

Ab dem 22. Januar ist für die EU/EWR & Schweiz Google Irland zuständig. Wenn Sie diesen Drittlandsbezug in Ihren Datenschutzerklärungen haben, dann ändern Sie die Adressangabe:
"Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA" in "Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland".
Die Änderung gilt praktisch für alle Google-Dienste (Analytics, Adsense, YouTube, Fonts, Maps), etc.

 

Bayern prüft Tracking Tools und Cookie-Banner

Dass die Aufsichtsbehörden immer noch am Erfordernis einer Einwilligung beim Tracking von Nutzern festhalten, wurde bereits mehrfach erwähnt. Die bayerische Aufsichtsbehörde hat nun mit der Prüfung von Cookie-Bannern und Tracking-Tools begonnen. Dies sollte künftig für mehr Rechtssicherheit sorgen, wenn die zu erwartenden Bußgeldbescheide gerichtlich überprüft werden.

 

Hinweise zum Umgang mit Passwörtern

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden Württemberg hat neue Hinweise zum Umgang mit Passwörtern veröffentlicht. Dessen Beitrag ist wirklich gut gelungen und ich würde ihn gern als absolute Pflichtlektüre einstufen. Besonders hervorzuheben ist die Bewertung, dass „eine erzwungene regelmäßige Änderung von Passwörtern überholt“ sei und „Administratoren ihre Nutzer nicht regelmäßig auffordern oder zwingen sollten die Passwörter zu ändern“.

 

Neue Zahlen in Sachen Bußgeld

Nach Angaben der EU-Kommission sind bisher mehr als 95.000 Beschwerden bei den nationalen Datenschutzbehörden eingegangen. Auf Deutschland entfallen dabei immerhin noch ca. 27.000 Beschwerden und mehr als 12.000 gemeldete Datenschutzverletzungen. Nach derzeitigem Kenntnisstand wurden allein in Deutschland 64 Bußgelder verteilt auf sechs Bundesländer verhängt:

Nordrhein-Westfalen (33)
Thüringen (23)
Hamburg (3)
Baden Württemberg & Berlin (jeweils 2)
Saarland (1)

Zu den bisher mit Gründen veröffentlichen Bußgeldern habe ich eine Übersicht /Tabelle erstellt, die ich künftig aktuell halten will.

 

Niedersächsische Aufsichtsbehörde veröffentlicht Praxishilfe zur Auswahl angemessener Sicherungsmaßnahmen (ZAWAS)

Die Präsentation finden Sie unter folgendem Link.

 

Orientierungshilfe zum Gesundheitsdatenschutz

Das Bundeswirtschaftsministerium hat eine lesenswerte Orientierungshilfe zum Gesundheitsdatenschutz veröffentlicht, welche unter https://www.bmwi.de/Redaktion/DE/Publikationen/Wirtschaft/orientierungshilfe-gesundheitsdatenschutz.html zum Download bereit steht.

Bußgeld nach DSGVO

von

am 14. Februar 2019

in Blog, Datenschutzrecht

Höhe der Bußgelder

Neben Warnungen, Verwarnungen und Anweisungen können Aufsichtsbehörden bei Verstößen gegen die DGVO auch ein Bußgeld verhängen. Bei einem festgestellten Verstoß gegen die datenschutzrechtlichen Vorgaben der DSGVO können Geldbußen von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden.

Die ersten Entscheidungen der Aufsichtsbehörden zeigen, dass es bei der Bemessung der Bußgeldhöhe vor allem auf die Kooperation mit dem betroffenen Unternehmen ankommt. Daneben werden in jedem Einzelfall auch folgende Faktoren berücksichtigt:

• Art, Schwere und Dauer des Verstoßes;
• Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
• getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;
• Grad der Verantwortung;
• etwaige einschlägige frühere Verstöße;
• getroffene Maßnahmen, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;
• Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;
• Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat.

 

Übersicht verhängter Bußgelder

50.000.000€CNILFrankreich21.01.2019Verletzung der Transparenz- und Informationspflichten
600.000€APNiederlande27.11.2018Verstoß gegen Art. 33 Abs. 1 DSGVO, Nichtmeldung von Datenpanne
400.000€CNPDPortugal17.07.2018Verstoß gegen Vertraulichkeit Art. 32 Abs. 1 lit. b DSGVO
219.500€UODOPolenMärz 2019wegen Nichterfüllung von Informations-pflichten aus Art. 14 DSGVO
170.000€DatatilsynetNorwegenMärz 2019Verstoß gegen Art. 5 lit. f, Art. 32 DSGVO
80.000€Baden-WürttembergDeutschlandnicht bekanntVeröffentlichung von Gesundheitsdaten im Internet
50.000€BerlinDeutschlandnicht bekanntunbefugte Verarbeitung von Daten ehemaliger Kunden
20.000€Baden-WürttembergDeutschland21.11.2018Verstoß gegen Art. 32 Abs. 1 lit. a DSGVO
5.000€HamburgDeutschland17.12.2018wegen fehlender Vereinbarung über die Auftragsverarbeitung

 

Im Einzelnen:

 

50.000.000 € wegen Verstoß gegen Transparenz- und Informationspflichten sowie fehlender Einwilligung

Hintergrund: Google hatte Informationen zur Datenverarbeitung, z.B. zu den Zwecken und den Speicherfristen, über mehrere Dokumente verteilt. Nutzer mussten daher regelmäßig auf bis zu sechs Schaltflächen und Links klicken, um alle Inhalte sehen zu können. Die Informationen seien zudem nicht klar oder umfassend gewesen. Weiterhin sei die eingeholte Einwilligung für das Anzeigen personalisierter Werbung nicht eindeutig und erfolge aufgrund der Vielzahl an Diensten (Youtube, Google-Startseite, Google-Maps, Playstore, Google-Bilder, usw.) in uninformierter Weise.

Begründung: Die Aufsichtsbehörde sah hierin einen Verstoß gegen die Grundprinzipien der DSGVO wie Transparenz, Information und Rechtmäßigkeit. Die Höhe des Bußgeldes wird mit der Schwere der Verstöße, die immer noch anhalten, begründet.

Datum: 21.01.2019

Aufsichtsbehörde: Commission Nationale de l'Informatique et des Libertés - CNIL (Frankreich)
Quelle: CNIL (https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc)

600.000 € wegen ungemeldeter Datenpanne

Hintergrund: Beim Unternehmen Uber wurden im Jahr 2016 über 57 Millionen Nutzerdaten wie Name, Email Adresse und Telefonnummern, durch unautorisierten Zugriff auf eine Datenbank in einem Cloud-Dienst gestohlen. Die Verantwortlichen verschwiegen jedoch den Vorfall und informierten die Öffentlichkeit erst im November 2017.

Begründung: Nach Art. 33 Abs. 1 DSGVO sind Datenschutzpannen unverzüglich und möglichst binnen 72 Stunden bei der Aufsichtsbehörde zu melden.
Datum: 27.11.2018

Aufsichtsbehörde: Autoriteit Persoonsgegevens – AP – Niederlande
Quelle: Pressemitteilung vom 27.11.2018 (https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-legt-uber-boete-op-voor-te-laat-melden-datalek)

400.000 € im Krankenhaus

Hintergrund: In einem Krankenhaus mit fast 300 Ärzten gab es dreimal so viel als Arzt registrierte Benutzer mit den entsprechenden Zugangsberechtigungen. Daneben war es auch möglich, mit dem Profil „Techniker“ auf Patientendaten zuzugreifen.

Begründung: Patientendaten sind vor unbefugtem Zugriff zu schützen (Art. 32 Abs. 1 lit. b DSGVO).

Datum: 17.07.2018

Aufsichtsbehörde: Comissão Nacional de Protecção de Dados - CNPD (Portugal)

Quelle: Zeitung Publico (https://www.publico.pt/2018/10/22/sociedade/noticia/hospital-barreiro-contesta-judicialmente-coima-400-mil-euros-comissao-dados-1848479#gs.K0c5nRW2)

219.500 € wegen Verletzung der Informationspflichten aus Art. 14 DSGVO

Hintergrund: Ein Unternehmen verarbeitete ca. 6 Millionen Datensätze aus öffentlich zugänglichen Quellen, um diese in einer eigenen Datenbank zusammenzufassen. Die Betroffen wurden jedoch nur in 90.000 Fällen hiervon in ausreichendem Maße informiert. Da in den übrigen Fällen keine E-Mail Adressen vorlagen, sah das Unternehmen aufgrund der hohen Kosten für den Postversand von einer Information der Betroffenen ab. Stattdessen erfolgte lediglich ein Hinweis auf der Webseite.

Begründung: Eine Ausnahme von den Informationspflichten wegen eines unverhältnismäßigen Aufwandes nach Art. 14. Abs. 5 lit. b) DSGVO ist nicht gegeben. Nach Auffassung der Behörde soll die Ausnahme der Unverhältnismäßigkeit nur dann gelten, wenn jegliche Kontaktadressen der betroffenen Personen fehlen.

Datum:März 2019

Aufsichtsbehörde: Urząd Ochrony Danych Osobowych (UODO) - Polen

Quelle: Pressemitteilung vom 26.03.2019 (https://uodo.gov.pl/en/553/1009)

170.000 € wegen frei zugänglicher Daten von Schulkindern

Hintergrund: In der Gemeinde Bergen waren aufgrund unzureichender Sicherheitsmaßnahmen über 35.000 Benutzerkonten ungeschützt und frei zugänglich. Über ein Anmeldesystem einer Lernplattform konnte so auf Daten von Kindern, wie Schulzugehörigkeit, Geburtsdatum, Adressen und sogar Schulnoten, zugegriffen werden.

Begründung: Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).

Datum: März 2019

Aufsichtsbehörde: Datatilsynet – Norwegen

Quelle: Pressemitteilung vom 12.04.2019 (https://www.datatilsynet.no/en/about-privacy/reports-on-specific-subjects/administrative-fine-of-170.000--imposed-on-bergen-municipality/?mc_cid=0f137077cf&mc_eid=abba91bbc1)

20.000 € wegen unverschlüsselter Passwörter

Hintergrund: Einem Social-Media Anbieter wurde nach einem Hackerkerangriff ca. 330.000 Nutzerdaten (darunter Passwörter und E-Mail-Adressen) entwendet. Die Passwörter der Nutzer waren unverschlüsselt und verfremdet beim Unternehmen gespeichert.

Begründung: In der unverschlüsselten Speicherung der Passwörter liegt ein Verstoß gegen Art. 32 Abs. 1 lit. a DSGVO.
Datum: 21.11.2018

Aufsichtsbehörde: Baden-Württemberg (Deutschland)

Quelle: Pressemitteilung vom 22.11.2018 (https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/11/LfDI-Baden-W%C3%BCrttemberg-verh%C3%A4ngt-sein-erstes-Bu%C3%9Fgeld-in-Deutschland-nach-der-DS-GVO.pdf)

5.000 € durch fehlenden Auftragsverarbeitungsvertrag

Hintergrund: Ein Unternehmen weigerte sich, einen Auftragsverarbeitungsvertrag mit einem spanischen Anbieter im Bereich der Vermittlung von Postdienstleistungen zu schließen. Als Grund wurde ausgeführt, dass man die Prozesse des Dienstleisters nicht kenne und eine Übersetzung zu teuer wäre.

Begründung: Die Aufsichtsbehörde sieht hierin einen Verstoß gegen Art. 28 Abs. 3 DSGVO.

Datum: 17.12.2018

Aufsichtsbehörde: Hamburg (Deutschland)
Quelle: Heise Online (https://www.heise.de/newsticker/meldung/DSGVO-5000-Euro-Bussgeld-fuer-fehlenden-Auftragsverarbeitungsvertrag-4282737.html)

Ausblick

Nach Angaben der EU-Kommission sind bisher mehr als 95.000 Beschwerden bei den nationalen Datenschutzbehörden eingegangen. Auf Deutschland entfallen dabei immerhin noch ca. 27.000 Beschwerden und mehr als 12.000 gemeldeten Datenschutzverletzungen. Nach derzeitigem Kenntnisstand wurden allein in Deutschland über 100 Bußgelder verteilt auf acht Bundesländer verhängt (Stand Juni 2019):

Nordrhein-Westfalen (36 Fälle)
Berlin (18 Fälle)
Thüringen (23 Fälle)
Rheinland-Pfalz (9 Fälle)
Baden Württemberg (7 Fälle)
Sachsen-Anhalt (6 Fälle)
Hamburg (3 Fälle)
Saarland (3 Fälle)

Anwaltskanzlei Harzewski

 
Königsbrücker Landstraße 5
01109 Dresden

Datenschutzbeauftragter Harzewski

 
Torgauer Str. 5
01127 Dresden

Sprechzeiten

 

Montag bis Freitag:

09.00 Uhr bis 18.00 Uhr

 

Dienstag:

20:00 Uhr bis 22:00 Uhr

Kontakt

Telefon:  0351 418866840

Telefax:  0351 418866849

E-Mail:    kontakt@rechtsanwalt-harzewski.de

Design von South Bird Design