Kategorie: Datenschutzrecht

Auskunft nach Art. 15 DSGVO

Auskunft nach Art. 15 DSGVO

Das Auskunftsrecht ist das zentrale Betroffenenrecht. Eine vollständige Antwort gestaltet sich oft schwierig und ist manchmal recht komplex. Aufsichtsbehörden berichten daher von einer hohen Anzahl von Datenschutzbeschwerden. Häufige Fehler bei der Auskunft nach Art. 15 DSGVO sind:

  • Auskunftsbegehren werden ignoriert, weil Zweifel an der Identität des Anfragenden bestehen
  • Die Antwort umfasst nur die Stammdaten und Kategorien von Empfängern
  • Der Antrag auf Auskunft nach Art. 15 DSGVO wird nicht weitergeleitet

Dieser Beitrag gibt einen Überblick über die bisherige Rechtsprechung und zu den Anforderungen einer ordnungsgemäßen Auskunft.
 

Umfang der Auskunft nach Art. 15 DSGVO

 
Das Landgericht Köln hatte bereits 2019 entschieden, dass sich der Umfang einer Auskunft nicht auch auf alle internen Vorgänge und rechtlichen Bewertungen bzw. Analyse beziehe (Landgericht Köln, Teilurteil vom 18.03.2019, Aktenzeichen: 26 O 25/18). Das BayLDA geht  jedoch im 9. Tätigkeitsbericht davon aus, dass auch Interne Vermerke und Bewertungen sowie Gesprächs- und Telefonvermerke
vom Anspruch auf Auskunft nach Art. 15 DSGVO umfasst sind.

Das Arbeitsgericht Düsseldorf hat in seiner Entscheidung vom 05.03.2020, Aktenzeichen: 9 Ca 6557/18, die Vorgaben zum Umfang nun weiter präzisiert:

  • Für den Umfang des Auskunftsverlangens sei grundsätzlich der Datenbestand zum Zeitpunkt des Auskunftsverlangens maßgeblich. Daten, die in der Vergangenheit einmal verarbeitet wurden und über die der Verantwortliche nun nicht mehr verfügt, sind  demnach nicht Bestandteil der Auskunft. Wird die Frist von einem Monat gemäß Art. 12 Abs. 3 DSGVO versäumt, so seien nachfolgende Datenverarbeitungen aber einzubeziehen.
  • Der Aufwand, nach personenbezogenen Daten in sämtlichen Servern, Datenbanken, Web-Anwendungen, E-Mail-Postfächern, Verzeichnisstrukturen, Speichermedien, Smartphones, Notebooks und diversen anderen Endgeräten zu suchen, um sie in Kopie herausgeben zu können, stehe in grobem Missverhältnis zum Leistungsinteresse.

 

Weiterleitung der Auskunft

 
Eine häufiger Fehler ist, dass Anträge auf Auskunft nach Art. 15 DSGVO auf dem Weg im Unternehmen verloren gehen.
 

Sensibilisierung der Mitarbeiter

Ein Auskunftsbegehren kann den Verantwortlichen theoretisch auf jedem Kommunikationskanal und über jeden Mitarbeiter mit Außenkontakt erreichen. Mitarbeiter mit Kundenkontakt (persönlich, telefonisch, per E-Mail oder Telefax) sind daher so zu sensibilisieren, dass Sie das Auskunftsbegehren als solches erkennen und dieses an den zuständigen Mitarbeiter weiterleiten. Dies kann der Datenschutzmanager, aber auch ein sonstiges Mitglied des Datenschutzteams sein.

Fristbeginn der Auskunft nach Art. 15 DSGVO

Der Fristlauf von einem Monat beginnt dann, wenn das Auskunftsbegehren beim Verantwortlichen eingeht. Dabei genügt es, wenn ein Brief am Empfang oder einer extern beauftragten Rezeption abgegeben wird. Das Arbeitsgericht Düsseldorf geht davon aus, dass Post üblicherweise nicht einmal einen Tag liegen gelassen, sondern binnen weniger Stunden an den Empfänger weitergeben wird.
 

Inhalt der Auskunft nach Art. 15 DSGVO

 

Empfänger

Das Amtsgericht Wertheim sieht einen Verstoß gegen das Transparenzgebot in der beispielhaften Nennung von Empfängern („z.B.“). Hier sei nicht klar, ob eine Übermittlung an den so bezeichneten Empfänger stattgefunden habe oder nicht. Erforderlich sei auch die konkrete Benennung des Datums, nicht lediglich die der Datenart (AG Wertheim, Beschluss vom 12.12.2019, Aktenzeichen: 1 C 66/19).

Auch der Landesbeauftragte für den Datenschutz Baden-Württemberg fordert in seinem 35. Tätigkeitsbericht, Empfänger von Daten konkret zu bezeichnen. Das bloße Nennen von Kategorien ( z.B. Autohäuser, Wirtschaftsauskunfteien, Online-Händler) helfe dem Betroffenen nicht weiter.

Eine Auskunft über Dritte, welche eigenverantwortlich Daten verarbeiten, ist nicht erforderlich(Arbeitsgericht Düsseldorf, Entscheidung vom 05.03.2020, Aktenzeichen: 9 Ca 6557/18). 
 

Verarbeitungszwecke

Im Rahmen einer Auskunft sind die Zwecke konkret und detailliert mitzuteilen. Die Angabe, dass die Datenverarbeitung zum Zwecke des Beschäftigungsverhältnisses, namentlich zu dessen Abwicklung und Beendigung, zur Erfüllung bestehender rechtlicher Verpflichtungen und zur Wahrnehmung berechtigter Interessen nach § 26 BDSG bzw. Art. 6 Abs. 1 lit. (b,) c und f E. erfolge, ist nicht unzureichend und nicht transparent (Arbeitsgericht Düsseldorf, Entscheidung vom 05.03.2020, Aktenzeichen: 9 Ca 6557/18). 
 

Verfahren und Bußgeld

 
Werden eine große Menge von Informationen über die betroffene Person verarbeitet, so sollte der Betroffene aufgefordert werden, sein Auskunftsersuchen noch weiter zu konkretisieren. Eine Präzisierung könnte bestimmte Verarbeitungszwecke, Zeiträume oder Datenkategorien umfassen. Dieses gestufte Vorgehen wird ausdrücklich von Erwägungsgrund 63 S. 7 beschrieben.

Eine unvollständige, inkorrekte und zu spät erteilte Auskunft kann wie im Fall vor dem Arbeitsgericht Düsseldorf einen immateriellen Schadenersatzanspruch i. H. v. 5.000 EUR rechtfertigen.

 

06/19-Linklösung, Cookie-Banner, Haftung

Weitere Aufsichtsbehörde sieht in Lohnabrechnung von Steuerberatern eine Auftragsverarbeitung

Nach Nordrhein Westfalen und Baden Württemberg sieht nun auch die hessische Aufsichtsbehörde in der Durchführung von Gehaltsabrechnungen eine Auftragsverarbeitung. Begründet wird dies mit dem Argument, dass die Abrechnung nach fest vorgegebenen Regeln vorgenommen werde, ohne dass dem Steuerberater dabei ein eigener Entscheidungsspielraum zukommt. Ist ein Steuerberater darüber hinaus auch mit klassischer Steuerberatung beauftragt, so ist hierfür aber kein Auftragsverarbeitungsvertrag nach Art. 28 DSGO erforderlich. Bei gemischten Leistungsangeboten soll aber jede Leistung separat zu beurteilen sein.

 

Verweis auf Webseite ist zulässig

Im FAQ-Bereich der hessischen Aufsichtsbehörde wurde nun auch die bisher umstrittene Frage der Zulässigkeit einer Link-Lösung beantwortet. Und zwar positiv.

Die hessische Aufsichtsbehörde geht dabei von der Zulässigkeit eines Medienbruchs aus. Nach ihrer Auffassung würde die Verständlichkeit und die Präzision erheblich darunter leiden, wenn unabhängig von der Art der Kontaktaufnahme eine umfassende Information über das selbe Medium gegeben werden müsste. Ausdrücklich zulässig ist es demnach, einen Anrufer auf die Datenschutzerklärung auf der Homepage zu verweisen. Hiervon sei nur dann eine Ausnahme zu machen, wenn die betroffene Person der Verweisung offensichtlich nicht folgen kann.

 

Ratgeber zum Beschäftigtendatenschutz

Aus Baden-Württemberg stammt der sehr lesenswerte Ratgeber zum Beschäftigtendatenschutz, welchen ich wärmstens empfehlen kann.

 

Update in Sachen Facebook Fanpage

Die Datenschutzkonferenz (DSK) geht in ihrer Positionierung vom 01.04.2019 weiterhin davon aus, dass derzeit ein datenschutzkonformer Betrieb einer Fanpage nicht möglich ist. Weiter Infos zum Thema finden Sie unter: https://rechtsanwalt-harzewski.de/mitverantwortung-fuer-facebook-fanpage/

 

Zu den Anforderungen von Cookie-Bannern beim Webtracking

Wie bei jeder Verarbeitungstätigkeit kann der Einsatz von Cookies bei Tracking-Maßnahmen aufgrund einer Einwilligung oder aufgrund der berechtigten Interessen erfolgen. Eine Einwilligung kann durch einen sogenannten Cookie-Banner eingeholt werden. Nicht ausreichend sind jedoch die üblichen Banner, die lediglich eine knappe, aber deutliche Information über die Verwendung von Cookies am oberen oder unteren Rand der Webseite platzieren. In solchen Fällen werden Cookies bereits beim Besuch der Website gesetzt, d.h. bevor ein Nutzer Ihnen zugestimmt hat. Nach Vorgabe der Aufsichtsbehörden sollten Nutzer daher für eine Einwilligung zunächst auf einen entsprechenden Button klicken (Opt-in), bevor überhaupt Cookies gesetzt werden. Erst dann sollte die Webseite und Cookies geladen werden und ein Weitersurfen möglich sein.

 
In ihrer Orientierungshilfe für Anbieter von Telemedien stellt die DSK insbesondere folgende Anforderungen an eine wirksame Einwilligung in Form eines Cookie-Banners:

 
• Alle einwilligungsbedürftigen Verarbeitungsvorgänge sind gesondert darzustellen. Dies hat unter Nennung der jeweiligen Dienstleister und der hinreichenden Beschreibung der Funktion der entsprechenden Verarbeitung zu erfolgen.
• Während der Banner angezeigt wird, müssen alle weitergehenden Skripte einer Website, die potenziell Nutzerdaten erfassen, blockiert werden.
• Die Erklärung muss unmissverständlich sein, z.B. durch Anklicken eines nicht voraktivierten Kästchens beim Besuch einer Website oder durch Klick auf eine Schaltfläche. Bei mehreren einwilligungsbedürftigen Verarbeitungsvorgängen müssen diese gesondert anwählbar sein
• Erst nach aktiver Handlung des Nutzers darf die einwilligungsbedürftige Datenverarbeitung tatsächlich beginnen.
• Der Besuch der Website muss auch möglich sein, wenn man nicht in das Setzen von Cookies einwilligen möchte.

 

Haftung für Datenschutzverstöße von Beschäftigten

Nach einer neuen Entschließung der DSK sollen Unternehmen im Rahmen von Art. 83 DSGVO für Datenschutzverstöße ihrer Beschäftigten haften, wenn diese im konkreten Fall nicht im Exzess gehandelt haben. Demnach soll für die Zuordnung der Verantwortlichkeit weder die Kenntnis der Geschäftsführung von dem konkreten Verstoß, noch eine Verletzung der Aufsichtspflicht erforderlich sein. Nach Auffassung der Konferenz kann dem Verantwortlichen demnach nicht nur jeder Datenschutzverstoß eines gesetzlichen Vertreters oder einer Leitungsperson, sondern der eines jeden Beschäftigten zugerechnet werden.

 

Anforderungen an Anbieter von Online-Diensten zur Zugangssicherung

In einer weiteren Orientierungshilfe des DSK gibt es eine gute Übersicht in die zutreffenden Maßnahmen der Zugangssicherung. Unter 2.2 heißt es nun wortwörtlich: „Sofern starke Passwörter verwendet werden, ist ein regelmäßiger Passwortwechsel nicht zwingend erforderlich.“ Bisher hatte sich nur die Aufsichtsbehörde in Baden Württemberg gegen das Erfordernis eines regelmäßigen Passwortwechsels ausgesprochen.

05/19-Datenschutz als Jahrhundertaufgabe

Jahrhundertaufgabe Datenschutz

Aus Hamburg gibt es den 27. Tätigkeitsbericht, welcher hier (PDF) heruntergeladen werden kann.

In der begleitendenden Pressemitteilung wird das Thema Datenschutz sogar als Jahrhundertaufgabe bezeichnet. Angesichts des Aufwandes von 500 Jahren Arbeitszeit, welche Google in die Umsetzung der DSGVO investiert haben will, aber auch der Aufwände für kleinere Unternehmen, ist das sicher keine Übertreibung.
Der Bericht spricht überraschend deutlich an, dass die Vorschriften der DSGVO nur bedingt in der Lage sind, eine klare Umsetzungspraxis zu gestalten. Die Vielzahl an Aufsichtsbehörden erschwere zudem eine gemeinsame Verabschiedung von Leitlinien und Standpunkten. Es sei daher insgesamt davon auszugehen, dass sich die Kluft zwischen Sein und Sollen in Zukunft noch vertiefen werde. Zumindest der Hamburgische Beauftragte für Datenschutz plant deswegen zunächst keine anlassunabhängigen Prüfungen bei kleinen Unternehmen und Vereinen.

 

Bußgeld wegen Verstoßes gegen Zweckbindung

Wegen des Verstoßes gegen die Zweckbindung bei der Verarbeitung personenbezogener Daten verhängte die Aufsichtsbehörde in Baden-Württemberg ein Bußgeld von 2.500,00 Euro gegen den früheren Juso-Landeschef (https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-bussgeld-gegen-frueheren-juso-landeschef/). Dieser hatte eine Liste aller 168 Delegierten eines Parteitages im Vorfeld an etwa zehn Vertraute gesendet, um sich ein Bild über das zu erwartende Abstimmungsverhalten zu einem Antrag zu machen. Die Liste hätte jedoch nur für die organisatorische Abwicklung des Parteitages, nicht aber zur innerparteilichen Meinungsbildung, verwendet werden dürfen.

 

Neues Kurzpapier zur Einwilligung

Die Datenschutzkonferenz hat ihr Kurzpapier Nr. 20 zum Thema Einwilligung veröffentlicht. Dieses beschäftigt sich vor allem mit der spannenden Frage, in welchen Fällen Alt-Einwilligungen fortgelten. Das Kurzpapier kann hier abgerufen werden.

04/19-E-Mail, Werbung und Identitätsprüfung

Kommunikation per E-Mail bedarf mindestens der Transport-Verschlüsselung

Von der Aufsichtsbehörde in Nordrhein-Westfalen gibt es eine neue Stellungnahem zur Verschlüsselung von E-Mails. Diese kann hier aufgerufen werden. Nach Auffassung der Behörde bedarf es beim Versand von E-Mails mindestens der Transportverschlüsselung. Interessanterweise arbeitet gerade auch die Datenschutzkonferenz (DSK) an einer eigenen Empfehlung. Es ist daher in Kürze mit weiteren Empfehlungen zu rechnen.

 

Unerwünschte Werbung

Von der Aufsichtsbehörde in Baden-Württemberg stammt ein neues Merkblatt mit dem schönen Titel „Was Sie gegen unerwünschte Werbung tun können“.

Zusammengefasst ist Briefpost im Rahmen einer Abwägung nach Art. 6 Abs. 1 lit. f DSGVO erlaubt, wohingegen bei Telefonwerbung (auch SMS/MMS, Kundenzufriedenheitsabfragen) und E-Mail Werbung eine vorherige Einwilligung erforderlich ist.

Mit Urteil vom 07.11.2018 (Az: 8 C 130/18) hat gerade das Amtsgericht Diez entschieden, dass unerlaubte E-Mail-Werbung keinen Schadensersatz nach Art. 82 Abs. 1 DSGVO begründet. Der Werbende hatte unzulässigerweise versucht eine erneute Werbeeinwilligung einzuholen (Re-Opt-In) und im Nachgang freiwillig einen Betrag von 50,00 Euro an den Empfänger bezahlt. Das Gericht sah hierin keinen spürbaren Nachteil für dem Empfänger. Ein Anspruch auf Schmerzensgeld bedarf nach der Entscheidung einer nicht unerheblichen Beeinträchtigung der Interessen des einzelnen Betroffenen. Einen darüber hinausgehenden Anspruch sah das Gericht aufgrund des Bagatellverstoßes aber nicht.

 

Verbraucherzentrale Sachsen klagt gegen Facebook

Die Verbraucherzentrale Sachsen hat Klage gegen Facebook erhoben. Die Pressemeldung kann hier abberufen werden. Da Facebook seinen Verpflichtungen im Rahmen der gemeinsamen Verantwortlichkeit immer noch nicht nachkomme, soll nun durch das Gericht klargestellt werden, wer die Verantwortung für die für die Einhaltung des Datenschutzrechts auf den Profilen trägt.

 

EU-US-Privacy Shield

Der EU-US-Privacy Shield gilt auch weiterhin. Aus dem entsprechenden Bericht der Europäischen Kommission  geht hervor, dass die Vereinigten Staaten nach wie vor ein angemessenes Schutzniveau für die personenbezogenen Daten gewährleisten. Inzwischen haben sich über 3850 Unternehmen zertifiziert.

 

Identitätsprüfung bei elektronischen Auskunftsersuchen nach Art. 15 DS-GVO

In der Praxis kommt es gehäuft zu Problemen bei der notwendigen Identifizierung bei Anfragen von Betroffenen. Leider hat sich bisher noch kein etabliertes Verfahren zur Identifizierung durchgesetzt. Aus Baden-Württemberg gibt es nun eine kleine Zusammenfassung, welche Möglichkeiten bestehen und was im Einzelfall zu beachten ist. Die Mitteilung kann hier aufgerufen werden.

Vor Erteilung der Auskunft ist auf eine eindeutige Identifizierung der betroffenen Person zu achten. Eine Auskunft an eine falsche Person ist eine klare Datenschutzverletzung und muss unter Umständen auch der Aufsichtsbehörde gemeldet werden.

Bei telefonischen Anfragen sollten zur Identifizierung in der Regel Daten wie das Geburtsdatum und die Anschrift abgefragt werden. In Einzelfällen kann auch die Übermittlung einer geschwärzten Ausweiskopie (nur Name, Anschrift, Geburtsdatum und Gültigkeitsdauer sind sichtbar) zulässig sein. Gerade bei sensiblen Daten kann dies auf dem elektronischen Wege nur mit einer Ende-zu-Ende-verschlüsselten E-Mail, über eine HTTPS-geschützte Website oder mithilfe eines verschlüsselten PDF-Dokuments erfolgen.

Weitere Möglichkeiten der Identifizierung können über die Online-Ausweisfunktion des Personalausweises, die DE-Mail-Adresse oder über ein Postident-Verfahren oder Video-Ident-Verfahren möglich sein. Verfügt die betroffene Person über ein Nutzerkonto beim Verantwortlichen, so dürfen ihr keine zusätzlichen Fragen zur Identifizierung gestellt werden.

Die Auswahl der Identifizierungsmethode obliegt dem Verantwortlichen unter Berücksichtigung des Risikos für die Rechte und Freiheiten der betroffenen Personen und ist daher eine Einzelfallentscheidung. Je höher das Schutzniveau der Auskunftsdaten, desto sicherer sollte das Verfahren sein.

 

Prüfung von Websites durch das BayLDA

Wie angekündigt hat das Bayrische Landesamt für Datensicherheit (BayLDA) 40 ausgewählte Websites hinsichtlich der datenschutzkonformen Einbindung von Tracking-Tools überprüft. Das schön illustrierte Ergebnis lässt sich hier (PDF) abrufen. Alle überprüften Seiten binden Tracking-Tools von Drittanbietern ein. Dabei holen 20% keine Einwilligung des Nutzers ein. Bei den übrigen 80 % waren die Einwilligungen unwirksam.

03/19-Sichere Passswörter und Gesundheitsdatenschutz

Änderung der Adresse von Google

Ab dem 22. Januar ist für die EU/EWR & Schweiz Google Irland zuständig. Wenn Sie diesen Drittlandsbezug in Ihren Datenschutzerklärungen haben, dann ändern Sie die Adressangabe:
"Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA" in "Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland".
Die Änderung gilt praktisch für alle Google-Dienste (Analytics, Adsense, YouTube, Fonts, Maps), etc.

 

Bayern prüft Tracking Tools und Cookie-Banner

Dass die Aufsichtsbehörden immer noch am Erfordernis einer Einwilligung beim Tracking von Nutzern festhalten, wurde bereits mehrfach erwähnt. Die bayerische Aufsichtsbehörde hat nun mit der Prüfung von Cookie-Bannern und Tracking-Tools begonnen. Dies sollte künftig für mehr Rechtssicherheit sorgen, wenn die zu erwartenden Bußgeldbescheide gerichtlich überprüft werden.

 

Hinweise zum Umgang mit Passwörtern

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden Württemberg hat neue Hinweise zum Umgang mit Passwörtern veröffentlicht. Dessen Beitrag ist wirklich gut gelungen und ich würde ihn gern als absolute Pflichtlektüre einstufen. Besonders hervorzuheben ist die Bewertung, dass „eine erzwungene regelmäßige Änderung von Passwörtern überholt“ sei und „Administratoren ihre Nutzer nicht regelmäßig auffordern oder zwingen sollten die Passwörter zu ändern“.

 

Neue Zahlen in Sachen Bußgeld

Nach Angaben der EU-Kommission sind bisher mehr als 95.000 Beschwerden bei den nationalen Datenschutzbehörden eingegangen. Auf Deutschland entfallen dabei immerhin noch ca. 27.000 Beschwerden und mehr als 12.000 gemeldete Datenschutzverletzungen. Nach derzeitigem Kenntnisstand wurden allein in Deutschland 64 Bußgelder verteilt auf sechs Bundesländer verhängt:

Nordrhein-Westfalen (33)
Thüringen (23)
Hamburg (3)
Baden Württemberg & Berlin (jeweils 2)
Saarland (1)

Zu den bisher mit Gründen veröffentlichen Bußgeldern habe ich eine Übersicht /Tabelle erstellt, die ich künftig aktuell halten will.

 

Niedersächsische Aufsichtsbehörde veröffentlicht Praxishilfe zur Auswahl angemessener Sicherungsmaßnahmen (ZAWAS)

Die Präsentation finden Sie unter folgendem Link.

 

Orientierungshilfe zum Gesundheitsdatenschutz

Das Bundeswirtschaftsministerium hat eine lesenswerte Orientierungshilfe zum Gesundheitsdatenschutz veröffentlicht, welche unter https://www.bmwi.de/Redaktion/DE/Publikationen/Wirtschaft/orientierungshilfe-gesundheitsdatenschutz.html zum Download bereit steht.

Bußgeld nach DSGVO

Höhe der Bußgelder

Neben Warnungen, Verwarnungen und Anweisungen können Aufsichtsbehörden bei Verstößen gegen die DGVO auch ein Bußgeld verhängen. Bei einem festgestellten Verstoß gegen die datenschutzrechtlichen Vorgaben der DSGVO können Geldbußen von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden.

Die ersten Entscheidungen der Aufsichtsbehörden zeigen, dass es bei der Bemessung der Bußgeldhöhe vor allem auf die Kooperation mit dem betroffenen Unternehmen ankommt. Daneben werden in jedem Einzelfall auch folgende Faktoren berücksichtigt:

• Art, Schwere und Dauer des Verstoßes;
• Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
• getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;
• Grad der Verantwortung;
• etwaige einschlägige frühere Verstöße;
• getroffene Maßnahmen, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;
• Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;
• Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat.

 

Übersicht verhängter Bußgelder

50.000.000€CNILFrankreich21.01.2019Verletzung der Transparenz- und Informationspflichten
600.000€APNiederlande27.11.2018Verstoß gegen Art. 33 Abs. 1 DSGVO, Nichtmeldung von Datenpanne
400.000€CNPDPortugal17.07.2018Verstoß gegen Vertraulichkeit Art. 32 Abs. 1 lit. b DSGVO
219.500€UODOPolenMärz 2019wegen Nichterfüllung von Informations-pflichten aus Art. 14 DSGVO
170.000€DatatilsynetNorwegenMärz 2019Verstoß gegen Art. 5 lit. f, Art. 32 DSGVO
80.000€Baden-WürttembergDeutschlandnicht bekanntVeröffentlichung von Gesundheitsdaten im Internet
50.000€BerlinDeutschlandnicht bekanntunbefugte Verarbeitung von Daten ehemaliger Kunden
20.000€Baden-WürttembergDeutschland21.11.2018Verstoß gegen Art. 32 Abs. 1 lit. a DSGVO
5.000€HamburgDeutschland17.12.2018wegen fehlender Vereinbarung über die Auftragsverarbeitung

 

Im Einzelnen:

 

50.000.000 € wegen Verstoß gegen Transparenz- und Informationspflichten sowie fehlender Einwilligung

Hintergrund: Google hatte Informationen zur Datenverarbeitung, z.B. zu den Zwecken und den Speicherfristen, über mehrere Dokumente verteilt. Nutzer mussten daher regelmäßig auf bis zu sechs Schaltflächen und Links klicken, um alle Inhalte sehen zu können. Die Informationen seien zudem nicht klar oder umfassend gewesen. Weiterhin sei die eingeholte Einwilligung für das Anzeigen personalisierter Werbung nicht eindeutig und erfolge aufgrund der Vielzahl an Diensten (Youtube, Google-Startseite, Google-Maps, Playstore, Google-Bilder, usw.) in uninformierter Weise.

Begründung: Die Aufsichtsbehörde sah hierin einen Verstoß gegen die Grundprinzipien der DSGVO wie Transparenz, Information und Rechtmäßigkeit. Die Höhe des Bußgeldes wird mit der Schwere der Verstöße, die immer noch anhalten, begründet.

Datum: 21.01.2019

Aufsichtsbehörde: Commission Nationale de l'Informatique et des Libertés - CNIL (Frankreich)
Quelle: CNIL (https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc)

600.000 € wegen ungemeldeter Datenpanne

Hintergrund: Beim Unternehmen Uber wurden im Jahr 2016 über 57 Millionen Nutzerdaten wie Name, Email Adresse und Telefonnummern, durch unautorisierten Zugriff auf eine Datenbank in einem Cloud-Dienst gestohlen. Die Verantwortlichen verschwiegen jedoch den Vorfall und informierten die Öffentlichkeit erst im November 2017.

Begründung: Nach Art. 33 Abs. 1 DSGVO sind Datenschutzpannen unverzüglich und möglichst binnen 72 Stunden bei der Aufsichtsbehörde zu melden.
Datum: 27.11.2018

Aufsichtsbehörde: Autoriteit Persoonsgegevens – AP – Niederlande
Quelle: Pressemitteilung vom 27.11.2018 (https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-legt-uber-boete-op-voor-te-laat-melden-datalek)

400.000 € im Krankenhaus

Hintergrund: In einem Krankenhaus mit fast 300 Ärzten gab es dreimal so viel als Arzt registrierte Benutzer mit den entsprechenden Zugangsberechtigungen. Daneben war es auch möglich, mit dem Profil „Techniker“ auf Patientendaten zuzugreifen.

Begründung: Patientendaten sind vor unbefugtem Zugriff zu schützen (Art. 32 Abs. 1 lit. b DSGVO).

Datum: 17.07.2018

Aufsichtsbehörde: Comissão Nacional de Protecção de Dados - CNPD (Portugal)

Quelle: Zeitung Publico (https://www.publico.pt/2018/10/22/sociedade/noticia/hospital-barreiro-contesta-judicialmente-coima-400-mil-euros-comissao-dados-1848479#gs.K0c5nRW2)

219.500 € wegen Verletzung der Informationspflichten aus Art. 14 DSGVO

Hintergrund: Ein Unternehmen verarbeitete ca. 6 Millionen Datensätze aus öffentlich zugänglichen Quellen, um diese in einer eigenen Datenbank zusammenzufassen. Die Betroffen wurden jedoch nur in 90.000 Fällen hiervon in ausreichendem Maße informiert. Da in den übrigen Fällen keine E-Mail Adressen vorlagen, sah das Unternehmen aufgrund der hohen Kosten für den Postversand von einer Information der Betroffenen ab. Stattdessen erfolgte lediglich ein Hinweis auf der Webseite.

Begründung: Eine Ausnahme von den Informationspflichten wegen eines unverhältnismäßigen Aufwandes nach Art. 14. Abs. 5 lit. b) DSGVO ist nicht gegeben. Nach Auffassung der Behörde soll die Ausnahme der Unverhältnismäßigkeit nur dann gelten, wenn jegliche Kontaktadressen der betroffenen Personen fehlen.

Datum:März 2019

Aufsichtsbehörde: Urząd Ochrony Danych Osobowych (UODO) - Polen

Quelle: Pressemitteilung vom 26.03.2019 (https://uodo.gov.pl/en/553/1009)

170.000 € wegen frei zugänglicher Daten von Schulkindern

Hintergrund: In der Gemeinde Bergen waren aufgrund unzureichender Sicherheitsmaßnahmen über 35.000 Benutzerkonten ungeschützt und frei zugänglich. Über ein Anmeldesystem einer Lernplattform konnte so auf Daten von Kindern, wie Schulzugehörigkeit, Geburtsdatum, Adressen und sogar Schulnoten, zugegriffen werden.

Begründung: Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).

Datum: März 2019

Aufsichtsbehörde: Datatilsynet – Norwegen

Quelle: Pressemitteilung vom 12.04.2019 (https://www.datatilsynet.no/en/about-privacy/reports-on-specific-subjects/administrative-fine-of-170.000--imposed-on-bergen-municipality/?mc_cid=0f137077cf&mc_eid=abba91bbc1)

20.000 € wegen unverschlüsselter Passwörter

Hintergrund: Einem Social-Media Anbieter wurde nach einem Hackerkerangriff ca. 330.000 Nutzerdaten (darunter Passwörter und E-Mail-Adressen) entwendet. Die Passwörter der Nutzer waren unverschlüsselt und verfremdet beim Unternehmen gespeichert.

Begründung: In der unverschlüsselten Speicherung der Passwörter liegt ein Verstoß gegen Art. 32 Abs. 1 lit. a DSGVO.
Datum: 21.11.2018

Aufsichtsbehörde: Baden-Württemberg (Deutschland)

Quelle: Pressemitteilung vom 22.11.2018 (https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/11/LfDI-Baden-W%C3%BCrttemberg-verh%C3%A4ngt-sein-erstes-Bu%C3%9Fgeld-in-Deutschland-nach-der-DS-GVO.pdf)

5.000 € durch fehlenden Auftragsverarbeitungsvertrag

Hintergrund: Ein Unternehmen weigerte sich, einen Auftragsverarbeitungsvertrag mit einem spanischen Anbieter im Bereich der Vermittlung von Postdienstleistungen zu schließen. Als Grund wurde ausgeführt, dass man die Prozesse des Dienstleisters nicht kenne und eine Übersetzung zu teuer wäre.

Begründung: Die Aufsichtsbehörde sieht hierin einen Verstoß gegen Art. 28 Abs. 3 DSGVO.

Datum: 17.12.2018

Aufsichtsbehörde: Hamburg (Deutschland)
Quelle: Heise Online (https://www.heise.de/newsticker/meldung/DSGVO-5000-Euro-Bussgeld-fuer-fehlenden-Auftragsverarbeitungsvertrag-4282737.html)

Ausblick

Nach Angaben der EU-Kommission sind bisher mehr als 95.000 Beschwerden bei den nationalen Datenschutzbehörden eingegangen. Auf Deutschland entfallen dabei immerhin noch ca. 27.000 Beschwerden und mehr als 12.000 gemeldeten Datenschutzverletzungen. Nach derzeitigem Kenntnisstand wurden allein in Deutschland über 100 Bußgelder verteilt auf acht Bundesländer verhängt (Stand Juni 2019):

Nordrhein-Westfalen (36 Fälle)
Berlin (18 Fälle)
Thüringen (23 Fälle)
Rheinland-Pfalz (9 Fälle)
Baden Württemberg (7 Fälle)
Sachsen-Anhalt (6 Fälle)
Hamburg (3 Fälle)
Saarland (3 Fälle)

02/19-Bußgeld bei fehlenden Auftragsverarbeitungsvertrag

Fehlender Auftragsverarbeitungsvertrag kostet 5.000,00 Euro Bußgeld

In Hamburg gab es wegen eines fehlenden AV-Vertrages ein Bußgeld von 5.000,00 Euro. Das betroffene Unternehmen „Kolibri Image“ hatte die hessischen Aufsichtsbehörde selbst darauf aufmerksam gemacht und nachgefragt. Die wiederum leitete die Sache an die zuständige Behörde in Hamburg weiter.
Hintergrund: Das Unternehmen weigerte sich, einen Auftragsverarbeitungsvertrag mit einem spanischen Anbieter im Bereich der Vermittlung von Postdienstleistungen zu schließen. Als Grund wurde ausgeführt, dass man die Prozesse des Dienstleisters nicht kenne und eine Übersetzung zu teuer wäre. Die hessische Aufsichtsbehörde hatte dagegen darauf hingewiesen, dass für beide Parteien die Pflicht besteht, eine solche Vereinbarung abzuschließen.
Mehr Infos unter: https://www.heise.de/newsticker/meldung/DSGVO-5000-Euro-Bussgeld-fuer-fehlenden-Auftragsverarbeitungsvertrag-4282737.html

 

No-Deal-Brexit & Datenschutz

Der bevorstehende Brexit bringt für Betroffene ein bisschen Arbeit mit sich. Aktuell kann nicht ausgeschlossen werden, dass Großbritannien ungeordnet aus der EU austritt. Ab dem 30. März 2019 könnte die Zusammenarbeit mit Auftragsverarbeitern, Subdienstleistern oder Unternehmen mit einer Niederlassungen in UK eine Übermittlung von personenbezogenen Daten in ein Drittland bedeuten. Dies würde wiederum zusätzliche Maßnahmen zur Sicherstellung des Datenschutzniveaus nach Art. 44 ff. DSGVO erfordern.
Fest steht schon jetzt, dass es in so kurzer Zeit keinen Angemessenheitsbeschluss, keine genehmigte Verhaltensregeln oder Zertifizierungen geben wird. Für Betroffene, die aus wirtschaftlichen Gründen an bisherigen Vertragspartnern festhalten wollten, heißt das insbesondere:

- Abschluss von EU-Standardvertragsklauseln mit Auftragsverarbeitern als auch anderen Verantwortlichen
- Aktualisierung der Datenschutzhinweise (Datenübermittlung in ein Drittland) und des Verarbeitungsverzeichnisses
- Prüfung, ob neue Einwilligungen eingeholt werden müssen
- Prüfung, ob Datenschutz-Folgenabschätzungen ergänzt oder sogar neue durchgeführt werden müssen.

Wenn der Deal auf Grundlage der bisherigen Vereinbarungen wider Erwarten doch noch gelingt, dann würde die DSGVO für eine Übergangszeit von 2 Jahren fortgelten.

Weitere Informationen gibt es von der Aufsichtsbehörde in Rehinland-Pfalz: https://www.datenschutz.rlp.de/de/aktuelles/detail/news/detail/News/brexit-drittland-ueber-nacht

 

Umsetzungshilfe zur Informationspflichten

Die Aufsichtsbehörde aus NRW hat eine „Umsetzungshilfe zur Informationspflichten“ (PDF) veröffentlicht.

 

Weitere Bußgeldmeldungen

Für Aufregung sorgte in der letzten Woche die französischen Aufsichtsbehörde CNIL mit einem Bußgeld in Höhe von 50 Millionen Euro gegen Google. Grund hierfür war ein Verstoß gegen die Informationspflichten und unwirksame Einwilligungen. Weitere Infos gibt es unter: https://www.cmshs-bloggt.de/tmc/datenschutzrecht/dsgvo-bussgeld-google-cnil-eur-50-mio/

Daneben wurde durch einen Artikel des Handelsblattes bekannt, dass es in Deutschland eine Vielzahl weiterer Bußgelder gegeben hat. Zusätzlich sind derzeit allein in Bayern 85 Verfahren in Bearbeitung. Die Rangliste der Aufsichtsbehörden nach verhängten Bußgeldern sieht nach dem Artikel im Handelsblatt so aus:

Nordrhein-Westfalen (33)
Hamburg (3)
Baden Württemberg & Berlin (jeweils 2)
Saarland (1)

Das war heut sicher kein Wohlfühl-Newsletter. Dabei habe ich extra das Bußgeld aus Portugal von 400.000,00 Euro außen vor gelassen. In einem Krankenhaus hatten zu viele Personen Zugriff auf Patientendaten. Die bisher verhängten Bußgelder sind kein Grund für Panik. Im Gegenteil zeigt sich, dass bei entsprechender Kooperationen mit den Aufsichtsbehörden ganz angemessene Entscheidungen ergehen. Im Fall von Nordrhein-Westfalen war die durchschnittliche Höhe der verhängten Bußgelder gerade einmal 500,00 Euro pro Fall.

Fotos und Datenschutz

Fotos und Datenschutz

Welche Fotos sind personenbezogene Daten?

Lassen sich auf Fotos auch Personen erkennen, dann stellen diese Aufnahmen personenbezogene Daten dar. Unerheblich dabei ist, ob die Fotos analog oder digital entstehen. Für das Zusammentreffen von Fotos und Datenschutz ist entscheidend, ob durch die Aufnahme ein Rückschluss auf die abgelichtete Person möglich ist.

Beispiel: Sie werden bei einer Veranstaltung von einem Fotografen abgelichtet. Zwar kennt Sie der Fotograf nicht persönlich und weiß daher auch nicht Ihren Namen. Allerdings besteht zumindest die theoretische Möglichkeit, diesen zum Beispiel durch Gesichtserkennungstechnik herauszufinden. Und das reicht schon aus.

 

Wann gelten die datenschutzrechtlichen Vorgaben?

Werden Fotos von Personen angefertigt oder sollen diese beispielsweise auf einer Webseite veröffentlicht werden, so sind dabei die Vorgaben aus der Datenschutzgrundverordnung (DSGVO) einzuhalten. Diese gibt vor, unter welchen Voraussetzungen Fotos aufgenommen bzw. verwendet werden dürfen und wie die abgelichtete Person zu informieren ist.

Nur in folgenden Fällen finden die strengen datenschutzrechtlichen Vorgaben keine Anwendung:
– Es werden keine anderen Menschen fotografiert (z.B. nur Landschaftsaufnahmen).
– Die Fotos werden zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten, ohne Bezug zu einer beruflichen oder wirtschaftlichen Beschäftigung, aufgenommen (Art. 4 Abs. 2 lit. c DSGVO).
– Im Rahmen einer journalistisch-redaktionellen Pressetätigkeit können sich Verantwortliche auf das Medienprivileg berufen.

 

Rechtmäßigkeit

Ist keine der vorgenannten Ausnahmen einschlägig, kommt es bei der Aufnahme oder weiteren Verwendung des Fotos darauf an, ob dies nach Art. 6 Abs. 1 DSGVO rechtmäßig erfolgt. Ein Foto von Personen kann danach in der Regel nur aufgenommen oder verwendet werden, wenn mit diesen ein Vertrag darüber geschlossen wurde, die Personen in die Aufnahme eingewilligt haben oder die eigenen Interessen an der Aufnahme, die Interessen der abgebildeten Personen überwiegen.

 

Zur Erfüllung eines Vertrages

Der Anwendungsbereich einer vertraglichen Grundlage für Fotoaufnahmen ist überschaubar. Der Vertrag muss explizit die Aufnahme des Fotos, mit der jeweilig abgelichteten Person, zum Gegenstand haben. In der Praxis ist dies bei der Anfertigung von Passfotos und Hochzeitsfotografien der Fall, solange keine weiteren Personen (Passanten, Gäste) im Hintergrund erkennbar sind.

Beispiel: Ihr Arbeitgeber möchte Ihr Bildnis auf der Firmenwebseite veröffentlichen. Hier ist die Veröffentlichung des Fotos nicht zur Erfüllung eines Vertrages erforderlich. Wenn Sie sich Ihren Arbeitsvertrag einmal durchlesen, dann steht darin in der Regel nichts von Ihrem Foto auf der Webseite.

 

Fotos mit Einwilligung

Reicht der Vertrag nicht aus, um ein Foto zu verarbeiten, kann eine Einwilligung der betreffenden Person weiterhelfen. An deren Vorliegen sind jedoch strenge Voraussetzungen geknüpft. Eine Einwilligung muss in jedem Einzelfall nachgewiesen werden können. Sie muss freiwillig, in informierter Weise, bezogen auf einen bestimmten Zweck und bestimmte Verarbeitung erfolgen. Eine Einwilligung kann jederzeit widerrufen werden, worauf ausdrücklich hinzuweisen ist. Daher dürfen auch bereits veröffentlichte Fotos ab dem Zeitpunkt des Widerrufs nicht weiter verwendet werden.

 

Interessensabwägung

Die Aufnahme bzw. Verwendung eines Fotos kann auch aufgrund einer Abwägung der schutzwürdigen Interessen der Beteiligten gerechtfertigt sein.

Beispiel: Auf einem Konzert wird von Ihnen ein Foto als Teil der Besuchermenge gemacht und im Blog des Veranstalters veröffentlicht. Dies ist zulässig, wenn die Interessen des Veranstalters (Dokumentation der Veranstaltung) bzw. Fotografen (Berufsfreiheit, Kunstfreiheit) Ihre Interessen an beispielsweise der Achtung des Privatlebens oder am Schutz der eigenen personenbezogenen Daten überwiegen.

Kann ein Betroffener, wie bei einem Konzert oder einem anderen öffentlichen Ereignis, vernünftigerweise erwarten, dass von ihm Fotos gemacht werden, wird sich die Verarbeitung der Fotos auf eine solche Interessensabwägung stützen lassen. Es ist daher ratsam, schon im Vorfeld auf der Webseite und auch vor Ort gut sichtbar auf die Fotoaufnahmen hinzuweisen.

Dagegen sollten die Interessen eines Betroffenen regelmäßig überwiegen, wenn es sich um ein Kind handelt, die Intimsphäre dargestellt wird oder die Fotos sonstige sensible Daten, zum Beispiel einer Behinderung, der Religionszugehörigkeit oder sexuellen Orientierung, preisgeben.

Schließlich sollen auch die Wertungen aus § 23 Kunsturheberrechtsgesetz (KUG) in die Abwägungsentscheidung einbezogenen werden.

 

Informationspflichten

In jedem Fall sind zudem die Informationspflichten aus Art. 13 bzw. Art. 14 DSGVO einzuhalten. Hiernach sind dem Betroffenen zum Beispiel der Name und die Kontaktdaten des Verantwortlichen, der Zweck der Verarbeitung, die Dauer der Speicherung und die Interessen auf denen eine etwaige Abwägung beruht, mitzuteilen. Dies kann einerseits auch durch Hinweisschilder erfolgen.

Die Erfüllung der Informationspflichten ist problematisch, wenn wie bei einem Konzert eine unüberschaubare Menge an Personen betroffen ist. Bis zur endgültigen Klärung der Frage durch die Rechtsprechung wird es insoweit keine rechtssichere Handhabung geben. Nach Auffassung einiger Aufsichtsbehörden sollen die Informationspflichten in diesen Fällen nach Art. 14 Abs. 5 lit. b DSGVO entfallen, da deren Erteilungen sonst einen unverhältnismäßigen Aufwand bedeuten würden.

 

Weiterführende Links:

– Verarbeitung personenbezogener Daten bei Fotografien (https://www.lda.brandenburg.de/cms/detail.php/bb1.c.599337.de)
– FAQ Fotografieren und Datenschutz (https://www.baden-wuerttemberg.datenschutz.de/faq-fotografieren-und-datenschutz-wir-sind-im-bild/)

01/19-Falsche DSGVO-Abmahnung und Bußgelder

WARNUNG VOR FALSCHEN DSGVO-ABMAHNUNGEN

Von einigen Mandanten erhielt ich den Hinweis, dass aktuell angebliche Informations-pflichtverletzungen nach Artikel 13 DSGVO abgemahnt werden. Die Abmahnungen kommen von verschiedenen Kanzleien, u.a. von Schöneberg & Partner, Eckert & Kollegen oder der Kanzlei Strube. Die im Anhang der Abmahnung befindliche Zip-Datei enthält jedoch Schadsoftware. Ich empfehle daher grundsätzlich keine Dateianhänge von E-Mails zu öffnen, deren Absender Sie nicht kennen.
Weitergehende Informationen gibt es hier.

 

BEACHTLICHE ZAHLEN AN BESCHWERDEN ZU DATENSCHUTZVERSTÖßEN

Die ehemalige Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat im Rahmen eines öffentlichen Fachgesprächs Zahlen zu den in 2018 angefallenen Beschwerden genannt. Demnach gab es bundesweit allein im nicht-öffentlichen Bereich bis Anfang September 2018 insgesamt 11.000 Beschwerden, davon 6.100 Datenschutzverstöße.

Inzwischen wurde Ulrich Kelber, ein Informatiker, als neuer Bundesdatenschützer gewählt. Dieser warnte angesichts des Datenangriffes auf prominente Politiker vor dem Geschäftsmodell von Facebook und dem Umgang des Konzerns mit den Daten. Es würde eine unglaubliche Datenmenge produziert, die Rückschlüsse auf die Nutzer zulässt. Auch sei völlig unklar, wie mit diesen Informationen umgegangen werde.

 

AUFTRAGSVERARBEITUNGSVERTRAG FÜR STEUERBERATER

Die Aufsichtsbehörde in Baden-Württemberg vertritt nunmehr die Auffassung, dass die Übernahme der laufenden Lohnbuchhaltung durch einen Steuerberater nur im Wege der Auftragsverarbeitung gemäß Art. 28 DSGVO möglich sei. In diesen Fällen sei also zukünftig ein Auftragsverarbeitungsvertrag zu schließen.
Nach überwiegender Ansicht der übrigen Aufsichtsbehörden sind Steuerberater jedoch grundsätzlich nicht als Auftragsverarbeiter anzusehen. Für Betroffene in den anderen Bundesländern empfehle ich daher zunächst abzuwarten, ob sich weitere Aufsichtsbehörden dieser Auffassung anschließen.

 

NEUES BUßGELD AUS BADEN-WÜRTTEMBERG

Inzwischen wurde bekannt, dass es ein zweites Bußgeld aus Baden-Württemberg gegeben hat. Wegen der versehentlichen Veröffentlichung von Gesundheitsdaten wurden diesmal 80.000,00 Euro fällig. Weitere Informationen wurden dazu bisher nicht veröffentlicht.

25/18-Prüfung durch BayLDA, Datenschutzhinweise

AUFSICHTSBEHÖRDE VERHÄNGT BUßGELD

Nach Meldung einer Datenpanne wurde nun heute das erste Bußgeld in Höhe von 20.000,00 € gegen einen baden-württembergischen Social-Media-Anbieter verhängt. Das Unternehmen hatte die Passwörter ihrer Nutzer im Klartext, mithin unverschlüsselt und unverfremdet (ungehasht), gespeichert, was erst nach einem Hackerangriff im Juli 2018 herauskam. Die Behörde sah hierin einen wissentlichen Verstoß gegen die Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gemäß Art. 32 Abs. 1 lit a DS-GVO. Aufgrund der wohl guten Zusammenarbeit des Unternehmens mit der Behörde fällt die Höhe des Bußgeldes glimpflich aus, wenn man bedenkt, dass es immerhin um Daten von ca. 330.000 Nutzern ging.

Die vollständige Presseerklärung des LfDI Baden-Württemberg gibt es hier. Interessant finde ich besonders den Schlusssatz: „Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“

 

PRÜFUNGEN DURCH DAS BAYRISCHE LANDESAMT FÜR DATENSCHUTZAUFSICHT

Das BayLDA führt gerade auch anlasslose Datenschutzprüfungen durch. Diese erfolgen in der Regel als sogenannte fokussierte Prüfungen bei einzelnen Unternehmen vor Ort, als Prüfungen im Wege eines schriftlichen Verfahrens oder als Onlineprüfung automatisiert über das Internet. Eine Übersicht, welche Kontrollen gerade stattfinden und welche noch ausstehen, kann hier abgerufen werden.

Ich empfehle mal einen Blick in den Prüfkatalog Rechenschaftspflicht und in den Fragebogen zu Prüfung DS-GVO-Umsetzung bei kleinen und mittleren Unternehmen zu werfen und mit dem eigenen Stand der Umsetzung abzugleichen. Gefragt wird beispielsweise gezielt nach einem Löschkonzept (z.B. nach DIN 66398), nach einem IT-Sicherheitskonzept, nach der Verpflichtung auf Vertraulichkeit und Sensibilisierung der Beschäftigten und nach der Kopie von Schulungsunterlagen.

 

FEHLENDE DATENSCHUTZERKLÄRUNG NICHT ABMAHNBAR

Zuletzt möchte ich noch auf zwei Urteile zur Abmahnbarkeit von Datenschutzerklärungen auf Webseiten aufmerksam machen. Das Landgericht Bochum hat mit Urteil vom 7.8.2018 (Aktenzeichen: 12 O 85/18) entschieden, dass ein Verstoß gegen die DSGVO nicht zugleich eine Wettbewerbsverletzung nach § 3 a UWG darstellen muss. In einem anderen Fall hat das Landgericht Würzburg mit Beschluss vom 13.9.2018 (Aktenzeichen 11O1741/18) dagegen eine Wettbewerbsverletzung angenommen. Weiter Infos hierzu gibt es unter: https://rechtsanwalt-harzewski.de/fehlende-datenschutzerklaerung-nicht-abmahnbar/.

WhatsApp im Unternehmen und Datenschutz

WhatsApp im Unternehmen und Datenschutz

Die Aufsichtsbehörden haben bereits mehrfach darauf hingewiesen, dass der Einsatz von WhatsApp in Unternehmen zur betrieblichen Kommunikation gegen die DSGVO verstößt. Dennoch erfreut sich der Messenger-Dienst größter Beliebtheit. Zusammenfassend ergeben sich folgende Probleme beim Thema WhatsApp im Unternehmen und Datenschutz:
 

Upload der Kontaktdaten

Inhalte und Nachrichten werden standardmäßig über eine Ende-zu-Ende-Verschlüsselung geschützt. Das Problem liegt daher im Upload der Kontaktdaten. Diese werden nicht verschlüsselt, sondern im Klartext übermittelt. WhatsApp erhält also zumindest Rufnummer und den Namen eines jeden Kontaktes. Für die Übermittlung dieser personenbezogenen Daten an WhatsApp ist eine Rechtsgrundlage erforderlich. Eine Einwilligung der betroffen Personen wird in der Regel schon aus praktischen Erwägungen ausscheiden. Auch eine Übermittlung aufgrund des berechtigten Interesses nach Art. 6 Abs. 1 lit. f) DSGVO scheitert in aller Regel, wenn auch Kontaktdaten von Personen übermittelt werden, die nicht WhatsApp nutzen.

Nach Auffassung der Landesbeauftragten für den Datenschutz Niedersachsen ist eine Nutzung daher nur möglich, wenn ein Smartphone mit einem leeren Adressbuch verwendet wird oder ein Zugriff auf die Kontakte durch die WhatsApp-Anwendung dauerhaft ausgeschlossen werden kann. WhatsApp stellt derzeit keine Möglichkeit bereit, die Übermittlung der Kontaktdaten zu deaktivieren, auf einzelne Kontaktgruppen zu beschränken oder sonst die Übermittlung zu konfigurieren. Dennoch lässt sich der Adressbuchupload durch verschiedene externe Apps verhindern.
 

WhatsApp als Auftragsverarbeiter

Umstritten ist, ob WhatsApp überhaupt als Auftragsverarbeiter einzustufen ist. Würde WhatsApp personenbezogenen Daten im Auftrag verarbeiten, müsste zusätzlich ein sogenannter Auftragsverarbeitungsvertrag mit dem Unternehmen geschlossen werden. Die übermittelten Kontaktdaten werden zumindest auch für eigene Zwecke verarbeitet, so dass WhatsApp auch als eigenständiger Verantwortlicher bzw. zumindest als gemeinsam Verantwortlicher gelten könnte. Hinsichtlich der übermittelten Inhaltsdaten gibt der Landesbeauftragter für den Datenschutz Sachsen-Anhalt zu bedenken, dass WhatsApp nicht quell-offen ist, sodass nicht ausgeschlossen werden kann, dass die Verschlüsselung der Kommunikationsinhalte auf andere Weise wieder aufgehoben werden könnte. Zur Sicherheit empfiehlt sich hier der Abschluss eines entsprechenden Vertrages mit WhatsApp, welche die Anforderungen aus Art. 28 DSGVO erfüllt.
 

Die Übermittlung von Daten in die USA

Die LfD Niedersachsen äußert erhebliche Bedenken in Bezug auf die Übermittlung der personenbezogenen Daten in die USA. Nach meiner Auffassung ist der Datentransfer aber gerechtfertigt, da sich WhatsApp auf die Einhaltung der der Privacy Shield-Grundsätze verpflichtet hat. Auf der Grundlage des Privacy Shields dürfen personenbezogene Daten in die USA gemäß Art. 45 Abs. 3 DSGVO übermittelt werden.

Unklar ist hingegen, ob und in welchem Umfang Daten zwischen WhatsApp und Facebook ausgetauscht werden. Der Verantwortliche kann daher die Betroffenen nicht umfassend und transparent über die Datenverarbeitung Informieren und mithin seinen Pflichten aus Art. 13, 14 DSGVO nachkommen.

Der Einsatz von WhatsApp im Unternehmen ist daher aktuell nicht rechtssicher. Zuletzt hatte das Amtsgericht Bad Hersfeld mit Beschluss vom 15.05.2017 (Az.: F 120/17 EASO) auf die Gefahr bei der Nutzung des Dienstes kostenpflichtig abgemahnt zu werden, hingewiesen.
 

scales icon with long shadow

Mitverantwortung für Facebook-Fanpage

Risiko Facebook-Fanpage

Nach dem Urteil des Europäischen Gerichtshofs vom 05.06.2018 werden Betreiber einer Facebook-Fanpage als Mitverantwortliche betrachtet. Das bedeutet, dass Betreiber für potentielle Datenschutzverstöße durch Facebook mithaften.

In der Beratungspraxis stellt sich immer wieder die Frage, ob die eigene Facebook-Fanpage nun ohne Risiko weiter betrieben werden kann. Nach dem Urteil des Europäischen Gerichtshofs vom 05.06.2018 werden Betreiber einer Facebook-Fanpage als Mitverantwortliche betrachtet. Das bedeutet, dass Betreiber für potentielle Datenschutzverstöße durch Facebook mithaften. Das Betreiben einer Fanpage ist daher aktuell nicht ohne das Risiko einer entsprechenden Haftung möglich.

 

Datenschutzerklärung

Aufgrund des vorgenannten Urteils müssen Nutzer einer Fanpage transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden. Dies sollte durch eine separate Datenschutzerklärung umgesetzt werden, welche auf der Fanpage unter Info / Datenrichtlinie verlinkt werden kann.

 

Betreiber in der Mitverantwortung

Beim Besuch einer Fanpage werden auf dem Endgerät des Nutzers Cookies platziert, die die Speicherung von Informationen in den Web-Browsern bezwecken und für die Dauer von zwei Jahren wirksam bleiben, sofern sie nicht gelöscht werden. Facebook empfängt die in den Cookies gespeicherten Informationen und verarbeitet diese. Das Unternehmen kann dadurch sein System der Werbung verbessern. Für den Betreiber einer Fanpage hat es den Vorteil, dass ihm Statistiken zur Verfügung gestellt werden, mit welchen er seinen Web-Auftritt besser steuern und vermarkten kann. Mit der Einrichtung einer Fanpage ist der Betreiber auch an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten seiner Besucher beteiligt und damit gemeinsam mit Facebook für die Verarbeitung verantwortlich.

 

Vereinbarung zur gemeinsamen Verantwortung

Inzwischen hat Facebook auf das Urteil des EuGH reagiert und eine Vereinbarung zur gemeinsamen Verantwortung im Sinne des Art. 26 DSGVO vorgelegt. Hierin stimmt Facebook zu, die primäre Verantwortung gemäß DSGVO für die Verarbeitung von Insights-Daten zu übernehmen und sämtliche Pflichten aus der DSGVO im Hinblick auf die Verarbeitung von Insights-Daten zu erfüllen. Gleichzeitig wird aber gefordert, dass eine Rechtsgrundlage für die Verarbeitung von Insights-Daten gemäß DSGVO besteht, der Verantwortliche für die Verarbeitung der Seite benannt und jedwede sonstigen geltenden rechtlichen Pflichten erfüllt sind.
 

 

Update vom 01.04.2019

In ihrer Positionierung  vom 01.04.2019 geht die Datenschutzkonferenz (DSK) allerdings davon aus, dass die Vereinbarung nicht den Anforderungen aus Art. 26 DSGVO entspricht. Zum einen seien die dargestellten Verarbeitungstätigkeiten nicht hinreichend transparent und konkret. Zum anderen stehe einer gemeinsamen Verantwortung entgegen, dass sich Facebook die alleinige Entscheidungsmacht hinsichtlich der Verarbeitung von Insights-Daten einräumen lassen will.

 

Datenschutzerklärung

Aufgrund des vorgenannten Urteils müssen Nutzer einer Fanpage transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken und aufgrund welcher Rechtsgrundlage durch Facebook und die Fanpage-Betreiber verarbeitet werden. Ebenso sind Name und Kontaktdaten des Verantwortlichen und ggfls. die Kontaktdaten des Datenschutzbeauftragten anzugeben. Idealerweise sollte dies durch eine separate Datenschutzerklärung umgesetzt werden, welche auf der Fanpage unter Info / Datenrichtlinie verlinkt oder direkt in die Fanpage eingefügt werden kann. Aus Gründen der besseren Darstellung sollte die Datenschutzerklärung zusätzlich als separater Link im Impressum hinterlegt werden.

Informationen zu Seiten-Insights-Daten finden sich unter: https://www.facebook.com/legal/terms/information_about_page_insights_data.

Konsequenz

Absolute Rechtssicherheit lässt sich vorerst nur erreichen, wenn die Sichtbarkeit der eigenen Fanpage aufgehoben wird.Bis Facebook entsprechend nachbessert, geht die DSK davon aus, dass der Betrieb von Fanpages rechtswidrig ist.

In jedem Fall sollten Seitenbetreiber das bestehende Risiko und den Vorteil einer Weiternutzung sorgfältig abwägen. Zudem ist zu beachten, dass sich die Entscheidung des Europäischen Gerichtshofs auch auf Dienste wie Twitter, Instagram und Youtube auswirkt.

Meiner Meinung nach sollten Fanpage-Betreiber Ruhe bewahren und die weitere Entwicklung abwarten. Das Urteil des Gerichtshofes erging im Vorabentscheidungsverfahren. Das heißt, dass das Bundesverwaltungsgericht in der Sache noch entscheiden muss, ob die Datenschutzbehörde direkt gegen den Betreiber einer Facebook-Fanpage vorgehen kann oder ob eher Facebook der richtige Adressat ist. Es ist daher zu erwarten, dass auch die Datenschutzbehörden die Entscheidung des Bundesverwaltungsgerichts abwarten.

 

23/18-Page Controller Addendum, Datenschutz-Auskunftszentrale

WARUNG VOR FAXEN DER DATENSCHUTZ-AUSKUNFTSZENTRALE

In den letzten Tagen haben viele meiner Mandanten ein Fax von der Datenschutzauskunft-Zentrale erhalten. Die mir vorliegenden Exemplare sind im Wortlaut identisch. Vom Absender wird der Kauf eines Basisdatenschutzes für jährlich 592,62 Euro beabsichtigt Bitte füllen Sie das Formular daher unter keinen Umständen aus. In diesem Zusammenhang möchte ich gern auf die Warnung der Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit hinwiesen.

 

DATENSCHUTZBEHÖRDEN ÜBERLASTET

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit teilte kürzlich mit, dass nicht mehr innerhalb der vorgegebenen Fristen entschieden werden könne. Nach der DSGVO müssen Aufsichtsbehörden Beschwerdeführern innerhalb von höchstens drei Monaten das Ergebnis der Untersuchung oder zumindest einen Verfahrensstand mitteilen. Auch die übrigen Aufsichtsbehörden arbeiten derzeit mit der Bearbeitung von Beschwerden und Anfragen an der Schmerzgrenze. In den Monaten Mai bis Juli 2018 erreichten die Behörde 1.380 Datenschutzbeschwerden von Bürgern. Im gleichen Vorjahreszeitraum waren lediglich 344 solcher Eingaben zu bearbeiten.

 

ANPASSUNGEN BEI FACEBOOK

Facebook hat endlich auf das Urteil des EuGH (https://rechtsanwalt-harzewski.de/mitverantwortung-fuer-facebook-fanpage/) reagiert und eine Ergänzung als Teil der AGB vorgelegt.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hatte den Betrieb einer Fanpage noch am 05.09.2018 für rechtswidrig erklärt. Wie von den Aufsichtsbehörden und gemäß Art. 26 DSGVO gefordert, erkennt Facebook nun die gemeinsame Verantwortung für die Verarbeitung der Insights-Daten an und übernimmt die Verantwortung bei Auskünften, Informations- und Meldepflichten sowie der Sicherheit. Auch nach der Ergänzung durch Facebook müssen Seitenbetreiber eine eigene Rechtsgrundlage für die Datenverarbeitung festlegen und im Rahmen ihrer Informationspflichten mittels einer eigenen Datenschutzerklärung über die Datenverarbeitung informieren. Aufgrund der strengen Anforderungen der Aufsichtsbehörden an eine Einwilligungserklärung beim User-Tracking kann ein gewisses Restrisiko bei Betrieb der eigenen Fanpage nach wie vor nicht ausgeschlossen werden.

Patienten Akte

Datenschutz in der Pflege

Bereits im ersten Jahrhundert nach Christus definierte der Eid des Hippokrates die Pflicht zur Verschwiegenheit im Gesundheitswesen. Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) am 25.05.2018, zweitausend Jahre später,