Nur ein Viertel der Firmen in Deutschland erfüllt die neuen EU-Datenschutzvorgaben

BITKOM-UMFRAGE ZUR DSGVO

Quelle: https://www.handelsblatt.com Autor: Dietmar Neuerer Datum: 17.09.2020

Die DSGVO verlangt im Kern von Unternehmen, mit den Daten ihrer Kunden oder Nutzer wesentlich eingeschränkter umzugehen.

(Foto: dpa)

Eine Umfrage zeigt: Bei vielen Unternehmen bestehen wegen der Datenschutz-Grundverordnung noch große Unsicherheiten. Sie fordern, die Vorschriften nachzubessern.

Berlin: Erst ein Viertel der Unternehmen in Deutschland hat die neue Datenschutz-Grundverordnung (DSGVO) bis heute vollständig umgesetzt. Das ist das Ergebnis einer repräsentativen Befragung unter mehr als 500 Firmen, die der Digitalverband Bitkom am Dienstag in Berlin vorgestellt hat. Der Befund hat sich damit im Vergleich zum Vorjahr um nur 2 Prozent verbessert.

Für Susanne Dehmel, Rechtsexpertin des Bitkom, liegen die Gründe auf der Hand: „Nach wie vor bestehen große Unsicherheiten bei der Auslegung der neuen Regeln“, sagte sie. Eine vollständige Umsetzung der DSGVO scheine somit vielen Unternehmen unmöglich. Das spiegelt sich auch in der Umfrage wider. Nur 42 Prozent der Befragten (2018: 40 Prozent) gaben demnach an, die seit 25. Mai 2018 europaweit geltenden Regeln vollständig umgesetzt zu haben.

Die DSGVO verlangt im Kern von Unternehmen, mit den Daten ihrer Kunden oder Nutzer wesentlich eingeschränkter umzugehen. Die Weitergabe persönlicher Daten wird erschwert. Die Unternehmen müssen dafür etwa ihre Datenschutzerklärungen überarbeiten.

Die strengeren Regeln gelten auch für Vereine und Behörden. Verbraucher müssen darüber informiert werden, wer Daten wie Name, Adresse, E-Mail-Adresse und Ausweisnummer aus welchem Grund sammelt – und dem dann zustimmen. Zu den neuen Vorschriften gehört etwa auch das Recht auf Vergessen, also dass ein Nutzer die Löschung seiner personenbezogenen Daten verlangen kann. Bei Verstößen drohen hohe Geldstrafen.

Zum Stichtag im vergangenen Jahr war vielfach von Panik bei den Unternehmen die Rede gewesen. Immerhin drohen seither erstmals teils hohe Bußgelder bei Verstößen. Die Zahl der Geldstrafen hielt sich aber in Grenzen. In Deutschland wurden laut einer Auswertung der Wirtschaftsprüfer von Ernst & Young im vergangenen Jahr 42 Bußgelder verhängt und 54 Verwarnungen ausgesprochen. Damit waren die deutschen Behörden im Vergleich mit 15 anderen EU-Ländern am aktivsten. In Lettland wurden in zwölf, in Frankreich in zehn Fällen Bußgelder verhängt.

Angst vor Abmahnanwälten

Auf Kritik stößt in den meisten Unternehmen, die Rechtsunsicherheit durch die neuen Vorgaben und ein schwer abzuschätzender Umsetzungsaufwand. Jeweils zwei Drittel (68 Prozent) sieht darin die größte Herausforderung. Mehr als die Hälfte (53 Prozent) beklagt fehlende Umsetzungshilfen, gut ein Drittel (37 Prozent) sieht fehlendes Fachpersonal als schwer zu nehmende Hürde.

Viele haben zudem immer noch mit den erweiterten Dokumentations- und Informationsplichten zu kämpfen. So bestätigen fast alle Befragten (97 Prozent) einen hohen Aufwand. Die Katalogisierung der Prozesse ist für 93 Prozent sehr aufwändig, 86 Prozent geben dies für ihr Vertragsmanagement an.

Die sogenannten Privacy-by-Design-Anforderungen zu erfüllen, bedeutet für 84 Prozent viel Arbeit, weil der Datenschutz schon bei der Produktentwicklung (Privacy by Design) berücksichtigt werden soll. Ähnlich viele (82 Prozent) sehen sich wegen der Datenschutz-Grundverordnung mit hohen Aufwänden für den Betrieb ihrer Webseiten konfrontiert. Eben das ist nicht ohne.

Die Sorge mancher in der Wirtschaft ist, dass Abmahnanwälte infolge der DSGVO aktiv werden könnten, wenn Webseiten nicht datenschutzkonform sind. Laut den neuen Regeln müssen Datenschutzerklärungen und allgemeine Geschäftsbedingungen auf Internetseiten verständlicher formuliert werden. Webseiten-Betreiber müssen überdies in einem „Verzeichnis der Verarbeitungstätigkeiten“ auflisten, welche Daten wann, wie und warum erhoben und wie sie weiterverarbeitet wurden. Angesichts derart komplexer Vorgaben könnte es entsprechend viele Fehler geben, die dann Anlass zu Abmahnungen geben könnten.

Nahezu alle Firmen wollen Nachbesserungen

Der Datenschutz-Aufwand, den die Unternehmen betreiben müssen, zieht auch negative Folgen in anderen Bereichen nach sich. Jedes siebte Unternehmen (14 Prozent) gibt in der Bitkom-Umfrage an, dass neue, innovative Projekte aufgrund der DSGVO gescheitert seien.

Bitkom-Expertin Dehmel fordert deshalb, die Datenschutzregeln auf den Prüfstand zu stellen. Die DSGVO müsse so weitentwickelt werden, dass der Schutz der Privatsphäre und die Entwicklung innovativer datengetriebener Geschäftsmodelle in Einklang gebracht werden können. „Datenschutz sollte kein lästiger Bremsklotz, sondern Leitplanke mit Orientierungsfunktion für datenbasierte Dienste sein“, so Dehmel.

Nachbesserungen fordern auch nahezu alle befragten Unternehmen (98 Prozent). Wobei fast ebenso viele (95 Prozent) der Meinung sind, dass die DSGVO nicht komplett umsetzbar sei. Jedenfalls zeigen das die Erfahrungen im praktischen Alltag. Drei Viertel (74 Prozent) geben an, dass ihre Kunden genervt sind von zusätzlichen Infoblättern und Hinweisen.

Andererseits werden auch die positiven Effekte der DSGVO gesehen. So sind fast zwei Drittel (64 Prozent) überzeugt, dass der strenge EU-Datenschutz weltweit Maßstäbe für den Umgang mit Personendaten setzen wird. Mehr als die Hälfte (57 Prozent) glaubt, die DSGVO wird zu einheitlicheren Wettbewerbsbedingungen in der EU führen.

Dass sich die DSGVO weltweit als Leitbild für den Datenschutz etabliert, konstatiert auch der Bundesdatenschutzbeauftragte Ulrich Kelber. „Kalifornien zum Beispiel hat sich den EU-Datenschutz zum Vorbild genommen und ein Gesetz beschlossen, dass 2020 in Kraft treten soll“, sagte Kelber zu Jahresbeginn im Interview mit dem Handelsblatt. Aber auch in Deutschland sei die DSGVO mittlerweile bei der Bevölkerung angekommen. „Die Startschwierigkeiten lagen daran, dass manche auf die neuen Regeln nicht ausreichend vorbereitet waren – trotz der großzügigen Umsetzungsfrist.“

Bundesregierung will Dialog mit Brüssel suchen

Gleichwohl sieht auch Kelber Verbesserungsbedarf. Genauso wie das für den Datenschutz zuständige Bundesinnenministerium. Bei einem Datenschutzkongress im Mai kündigte der CSU-Staatssekretär Stephan Mayer an, dass sich Deutschland im Rahmen seiner EU-Ratspräsidentschaft im kommenden Jahr um Änderungen bemühen wolle. Der Ball liege aber „eindeutig im Feld der EU-Kommission“, sagte Mayer. Man werde aber den Dialog mit Brüssel suchen.

Bitkom-Expertin Dehmel hofft auf Erleichterungen vor allem für kleine und mittlere Unternehmen sowie im Bereich der Forschung, auf die stark auf Nutzung von daten angewiesen ist. „Im Innovationsumfeld und insbesondere für Schlüsseltechnologien wie Künstliche Intelligenz müssen die Rahmenbedingungen mit der Entwicklung Schritt halten“, mahnte Dehmel.

Datenschutz-Beauftragter warnt vor Videokonferenz-Anbieter Zoom

Mit dem Anbieter Zoom arbeiten zurzeit viele vom Homeoffice aus
Quelle: AFP/OLIVIER DOULIERY

erade während der Corona-Krise sind Videokonferenzen via Zoom beliebt. Der Bundesdatenschutzbeauftragte Ulrich Kelber warnt nun vor dem Anbieter. Und rät stattdessen zu Alternativen.

Der Bundesdatenschutzbeauftragte Ulrich Kelber hat vor der Nutzung des gerade während der Corona-Krise beliebten Videokonferenz-Anbieters Zoom gewarnt. „Derzeit gibt es keine Ende-zu-Ende-Verschlüsselung. Das heißt: Die Inhalte der Kommunikation liegen unverschlüsselt auf dem Server des Anbieters“, sagte Kelber dem „Handelsblatt“ laut Vorabmeldung vom Sonntag. „Damit ist von dieser Kommunikationsform abzuraten, wenn personenbezogene Daten im Spiel sind. Es sollten dann alternative Plattformen gewählt werden, wo eine echte Ende-zu-Ende-Verschlüsselung garantiert ist.“

Kritisch sieht Kelber nach eigenen Worten in diesem Zusammenhang, dass infolge der Corona-Krise im Homeoffice oder beim Homeschooling oft Anwendungen wie Zoom zum Einsatz kommen. „Wichtig ist es, solche technische Lösungen zu verwenden ohne Datensicherheit oder Datenschutz zu gefährden“, sagte er dem Blatt. Es gebe aber datenschutzfreundlichere Produkte.

„Aus Bequemlichkeitsgründen werden aber leider oft die bekannten Angebote genutzt, selbst wenn diese aus Datenschutzsicht mangelhaft sind“, sagte Kelber. „Ich erwarte von Behörden und großen Firmen, aber auch von Bürgerinnen und Bürgern, genau hinzusehen, wofür sie sich entscheiden.“ Es gebe immer eine Alternative, „die die Vertraulichkeit der Kommunikation sichert und deren Nutzung man nicht mit seinen Daten oder Metadaten bezahlt“.

Quelle: https://www.welt.de

AFP/tpf © Axel Springer SE. Alle Rechte vorbehalten.

veröffentlicht: 24.05.2020

Datenschützer warnt vor Whatsapp

VON BASTIAN-BENRATH – AKTUALISIERT AM 18.05.2020

Eigentlich ist es schon länger klar: Zumindest Bundesbehörden müssen die Finger von Whatsapp lassen. Der Bundesdatenschutzbeauftragte Ulrich Kelber weist trotzdem noch einmal darauf hin. Der Messenger protestiert: Man gebe keine Metadaten an Facebook weiter.

Der Bundesdatenschutzbeauftrage, Ulrich Kelber, hat klargestellt, dass keine Bundesbehörde den zu Facebook gehörenden Messenger Whatsapp zur Kommunikation benutzen darf. „Aus gegebenem Anlass möchte ich darauf hinweisen, dass der Einsatz von Whatsapp für eine Bundesbehörde ausgeschlossen ist“, heißt es in einem Schreiben Kelbers an alle Bundesministerien und -behörden, über welches das „Handelsblatt“am Sonntag berichtete. Anlass seien einzelne ihm vorliegende Beschwerden über die Nutzung von Whatsapp durch Bundesbehörden.

Die Kommunikation über Whatsapp ist von Ende zu Ende verschlüsselt, das heißt, Facebook kann die Inhalte der Nachrichten nicht lesen, sie werden auf dem sendenden Handy ver- und erst auf dem empfangenden wieder entschlüsselt. Als problematisch sieht Kelber aber die sogenannten Metadaten einer Nachricht. Das sind Daten wie Nachrichtendatum- und Uhrzeit, Standorte und Identitäten von Sender und Empfänger sowie Informationen über die genutzten Smartphones. Diese entstehen neben dem eigentlichen Nachrichteninhalt automatisch und sind nicht verschlüsselt, sodass sie gelesen und gesammelt werden können.

Whatsapp: Wir geben keine Metadaten an Facebook weiter

„Allein durch die Versendung von Nachrichten werden jedes Mal Metadaten an WhatsApp geliefert“, schreibt Kelber. Es sei davon auszugehen, dass diese dann unmittelbar an Facebook weitergegeben würden. Allein aus der Tatsache, dass zum Beispiel ein Bürger mit einer Bundesbehörde kommuniziert habe, sowie aus der Häufigkeit von Nachrichten ließen sich Rückschlüsse ziehen. „Diese tragen, wenn auch nur als kleiner Mosaikstein, zur verstärkten Profilbildung bei.“

Ein Sprecher von Whatsapp wies die Vorwürfe als falsch zurück. „WhatsApp gibt keine Metadaten von Nutzern an Facebook weiter, um den Aufbau von Profilen zu unterstützen oder auf eine andere Art Facebooks Produkte oder Werbung zu verbessern“, schrieb ein Whatsapp-Sprecher am Montag in einer E-Mail an die F.A.Z.

Kelber räumte ein, dass durch die Corona-Krise ein erhöhtes Kommunikationsbedürfnis gebe, gerade gegenüber Bürgern. Auch führe die Krise zu veränderten Kommunikationswegen. Dennoch dürfe auch diesen Zeiten der Datenschutz nicht vernachlässigt werden. Wenn auf Whatsapp zurückgegriffen werde, zeige das nur, dass die Behörden es bislang versäumt hätten, einen datenschutzfreundlichen Dienst zu etablieren.

Dieser Text wurde am 18.05.2020 um 10:55 Uhr mit der Stellungnahme von Whatsapp aktualisiert, dass der Dienst keine Metadaten an Facebook weitergebe. Zuvor hatte es geheißen, Whatsapp lasse die Frage offen, ob Metadaten weitergegeben würden.

Quelle: FAZ.NET

Vertrauen ist gut, Kontrolle ist besser

Seit Wochen diskutiert Deutschland über Corona-Apps. Die Anwendungen sollen das Nachverfolgen von Infektionsketten erleichtern und dabei helfen, die Kontaktpersonen von Covid19-Erkrankten zu informieren. Doch die Verunsicherung ist groß: Wie weit lässt man den Staat mit den Programmen auf das eigene Smartphone? Wer garantiert für die Sicherheit der sensiblen Informationen über Gesundheitszustand und soziale Netzwerke? Was, wenn Regierungen der Versuchung nicht widerstehen können und doch mehr Informationen über Bürger:innen sammeln wollen als angekündigt?

„Wer in dieser Zeit eine Corona-App auf den Markt bringt, muss Transparenz schaffen“, fordert deshalb Benjamin Bergemann vom Verein Digitale Gesellschaft. Der Politikwissenschaftler gehört zu einer Reihe von Aktivist:innen, die in der Krise auf das Potenzial eines neuen und zugleich alten Datenschutzinstruments hinweisen. Es könnte helfen, die Vertrauensfrage zu beantworten: die Datenschutz-Folgenabschätzung (DSFA).

Was sperrig klingt, ist im Grunde einfach erklärt: Wer in der EU Datenverarbeitungen plant, die mit einem potenziell hohen Risiko für Grundrechte und Freiheiten einhergehen, ist nach der Datenschutzgrundverordnung (DSGVO) verpflichtet, vorab eine umfassende Selbstkontrolle durchführen. In Rahmen dieser Folgenabschätzung müssen Unternehmen, Vereine und staatliche Stellen systematisch auflisten, welche Verarbeitungsprozesse sie für die persönlichen Daten zu welchem Zweck planen. Außerdem müssen sie Risiken für die Betroffenen analysieren und Maßnahmen beschreiben, mit denen sie diese Risiken minimieren.

Transparenz ermöglicht Kontrolle, Kontrolle schafft Vertrauen

Die Folgenabschätzung ist Teil des sogenannten Risiko-basierten Ansatzes der DSGVO. Sie soll dem sperrigen Gesetz eine gewisse Flexibilität ermöglichen: Datenverarbeiter:innen müssen sich vorab selbst intensiv Gedanken machen und eigenständig Schutzmaßnahmen entwickeln. Wenn sie zu dem Schluss kommen, dass das Risiko trotzdem hoch bleibt, müssen sie die Aufsichtsbehörden konsultieren.

Eine Veröffentlichung der DSFA allerdings sieht die Datenschutzgrundverordnung nicht vor. Benjamin Bergemann hat deshalb beim Robert Koch-Institut eine Anfrag nach dem Informationsfreiheitsgesetz (IFG) gestellt, um die Folgenabschätzung der Datenspende-App aus den Aktenordnern der Infektionsbehörde zu befreien. „Es gibt ein hohes öffentliches Interesse daran, nachzuvollziehen, dass die App datenschutzfreundlich entwickelt wurde. Die vom Robert Koch-Institut veröffentlichten Datenschutzinformationen erfüllen diesen Anspruch nicht“, so Bergemann. Auch der Chaos Computer Club kritisiert die mangelhafte Transparenz der Anwendung.

Einen anderen Weg ist das Forum der InformatikerInnen für Frieden und gesellschaftliche Verantwortung gegangen. Da die Corona-Tracing-Apps in Deutschland selbst noch nicht fertiggestellt sind, haben die Datenschützer:innen des Vereins einfach selbst eine Folgenabschätzung erstellt – ein Debattenbeitrag über die gesellschaftlichen Risiken dieser Technologien, der den Macher:innen der App gleichzeitig als konkrete Anregung dienen soll.

In dem gut hundert Seiten starken Dokument kamen die Expert:innen schon sehr früh in der Debatte zu dem Schluss, dass es aus Sicht des Datenschutzes erhebliche Unterschiede mit sich bringt, ob ein dezentrales oder ein (teil-)zentralisiertes Modell umgesetzt wird. Doch auch beim dezentralen Modell stellt die Folgenabschätzung erhebliche Risiken fest, für die der Verein jeweils konkrete Schutzmaßnahmen vorschlägt.

Licht in die Black Box bringen

Moderne Informations- und Kommunikationstechnologien sind für die wenigsten Menschen gänzlich durchschaubar. Eigentlich würde man erwarten, dass die allgegenwärtigen Datenschutzerklärungen hier einen Beitrag leisten würden. Ihre Veröffentlichung ist nach der DSGVO zwar verpflichtend, doch weil sie meist nicht zur Aufklärung, sondern zur rechtlichen Absicherung verfasst werden, erfüllen sie diesen Anspruch nur selten.

Gerade bei komplexen datenbasierten Systemen, die heute oft die Label Big Data oder Künstliche Intelligenz tragen, könnte die DSFA deshalb eine Möglichkeit sein, gesellschaftliche Auswirkungen überhaupt erst diskutierbar zu machen. „Viele solcher Systeme operieren als ‚Black Boxes‘ – undurchsichtige Software-Werkzeuge, die sich aussagekräftiger Überprüfung und Verantwortlichkeit entziehen“, schrieben Kate Crawford und Meridith Whitthaker 2018 in einem bericht über automatisierte Entscheidungssystem. Die Forscherinnen des US-amerikanischen Think Tanks AI NOW brachten deshalb „Algorithmic Impact Assesments“ ins Spiel. Folgenabschätzungen, die dem Privacy Impact Assessment der DSGVO nicht unähnlich sind.

Tatsächlich steht die DSFA in der Tradition der parlamentarischen Technik-Folgenabschätzung, bei der es nicht nur um einzelne Datenverarbeitungen, sondern um die Diskussion gesellschaftlicher Konsequenzen geht. Vor dem Hintergrund der Debatte um die kommerzielle Nutzung von Atomenergie habe sich dieses Instrument seit den 70er Jahren etabliert, um „die Chancen und Risiken der Technik für die Gesellschaft sowie deren Akzeptanz […] unter einem ganzheitlichen und damit interdisziplinären Winkel“ zu erforschen, erklärt das Forschungsprojekt „Forum Privatheit“ in einem White Paper.

Bereits seit Ende 70er Jahre sei dieses Element auch schon in einigen deutschen Datenschutzgesetzen angelegt gewesen, wurde jedoch nie wirklich entfaltet. Erst mit der Datenschutzgrundverordnung wird der alten Idee neues Leben eingehaucht.

Als führe man den TÜV in der eigenen Garage durch

Ein Gespräch mit Stefan Brink zeigt: Überall angekommen ist das noch nicht. Doch die Zahl der Datenverarbeiter:innen, die selbstständig eine DSFA durchführen, nehme kontinuierlich zu, berichtet der Landesdatenschutzbeauftragte von Baden-Württemberg. Wann das notwendig ist, definiert die DSGVO nicht genau, Orietierung geben Handreichung der Aufsichtsbehörden. Im Vergleich zu den Vorabkontrollen, die das alte Bundesdatenschutzgesetz vorgesehen hatte, habe sich die Zahl der Folgenabschätzungen jedenfalls mehr als verdoppelt, so Brink.

Bislang behalten Datenverarbeiter:innen die Dokumente jedoch lieber für sich. Eine Praxis, die auch Lea Pfau vom Transparenzportal Frag den Staat kritisiert. Es sei nur schwer vorstellbar, dass Verantwortliche in der Selbstprüfung jemals zu dem Ergebnis kämen, dass sie die Aufsichtsbehörde konsultieren müssen, weil sie das Risiko nicht in den Griff bekommen: „Das wäre ungefähr so, als würde man den TÜV für sein Auto in der eigenen Garage selbst durchführen.“

Eine Veröffentlichung der Abschätzung erfülle jedoch nicht nur eine Kontrollfunktion. Die Transparenzmaßnahme könne zudem die Qualität des Datenschutzes verbessern, weil es einen Feedback-Kanal gebe. Das gelte besonders im Fall der Corona-Apps: „Das öffentliche Interesse geht hier einher mit einem erheblichen Maß an vorhandener Expertise“, so Pfau.

„Wer nach außen demonstrieren will, dass man Datenschutz kapiert hat, hat mit Veröffentlichung der Folgenabschätzung ein ideales Werbemittel, um die eigene Seriosität zu demonstrieren“, findet auch Stefan Brink, der in Baden-Württemberg nicht nur Beauftragter für Datenschutz, sondern auch für Informationsfreiheit ist. „Anstatt sich wegzuducken, kann man sich demonstrativ offen zeigen. Nach dem Motto: Prüft uns, macht Verbesserungsvorschläge.“ Brink bestätigt derweil, dass es so gut wie nie vorkomme, dass Unternehmen seine Behörde in Folge der internen Folgenabschätzung konsultieren würden.

“Security by Obscurity“ ist eine schlechte Ausrede

Zumindest die Datenschutz-Folgenabschätzung von Behörden seien in der Regel IFG-pflichtig, bestätigt Stefan Brink. Dass das in der Praxis durchaus anders aussehen kann, zeigt ein Fall aus der Redaktion von netzpolitik.org: Als Kollegin Anna Biselli beim Bundesamt für Migration und Flüchtlinge per IFG die Datenschutz-Folgenabschätzungen von IT-Assistenzsystemen anfragte, mit der etwa die Herkunft von Asylbewerber:innen plausibilisiert werden soll, wurde sie zunächst fast ein ganzes Jahr hingehalten. Am Ende wurde die Anfrage abgelehnt, da die Bekanntgabe des Inhalt der Folgenabschätzung die öffentliche Sicherheit gefährden könne. Dritte könnten mit ihr „mögliche Sicherheitslücken der Datenverarbeitung“ aufspüren und ausnutzen.

Dieses Argument bekomme er öfter zu hören, sagt Datenschutz-Aktivist Benjamin Bergemann. Doch davon solle man sich nicht blenden lassen: „Wer auf Security by Obscurity setzt, hat ohnehin ein Problem.“ IT-Sicherheitsarchitekturen sollten nicht davon abhängen, dass sie undurchschaubar seien. Allerdings könne man über die Detailtiefe der Informationen einer veröffentlichten DSFA diskutieren, da hier nicht der einzelne Verarbeitungsvorgang, sondern der Grundrechtsschutz insgesamt im Vordergrund stehe.

Diese Sichtweise unterstützt auch die Rechtsanwältin Nina Diercks. Sie berät regelmäßig Unternehmen in Datenschutzfragen und auch bei der Erstellung von DSFA. Da die Folgenabschätzung ohnehin in vielen Fällen vorgenommen werden müsse, sei der Weg zur Veröffentlichung nicht mehr weit. Notfalls könnten Verantwortliche die Folgenabschätzung um sicherheitsrelevante Aspekte bereinigen und eine leicht abgespeckte Variante veröffentlichen, so Diercks.

Österreich macht es vor

Dass das Robert Koch-Institut die Folgenabschätzung der Datenspende-App nicht proaktiv veröffentliche, sei wenig vertrauensbildend, findet Diercks. Auch Bergemann sieht die Behörden bei Corona-Apps in einer Bringschuld. „Das sind Hochrisiko-Technologien, die flächendeckend eingesetzt werden sollen. Da muss der Staat gegenüber den Bürgern nachweisen, dass sie grundrechtskonform funktionieren.“

Folgenabschätzungen seien kein Allheilmittel, doch sie würden Technologien und ihre Folgen überhaupt erst diskutierbar machen – „eine Voraussetzung dafür, dass wir sie gesellschaftlich kontrollieren können.“ Inzwischen fordert auch der Europäische Datenschutzausschuss, also das Gremium aller nationalen Datenschutzaufsichtsbehörden der EU, die Veröffentlichung der Folgenabschätzungen für Tracing-Apps.

Wie das konkret aussehen kann, demonstriert in Österreich das Rote Kreuz. Schon früh hatte die Organisation zusammen mit der Beratungsfirma Accenture in der Alpenrepublik die „Stopp Corona“-App an den Start gebracht. Mitte April wurde die gut 100 Seiten starke Folgenabschätzung veröffentlicht. Mehrere NGOs konnten zudem den (inzwischen ebenfalls veröffentlichten) Source Code einsehen und haben die Anwendung auf dieser Basis geprüft.

Ihr Fazit: Es gibt Verbesserungsvorschläge, aber alles in allem ist die Anwendung sicher und datenschutzfreundlich. Wer dem Urteil der Expert:innen nicht traut, kann sich nun immerhin selbst ein Bild machen. Denn Vertrauen ist gut – Kontrolle ist besser.

Quelle:https://netzpolitik.org

von Ingo Dachwitz veröffentlicht am 01.05.2020

Lässt der Datenschutz bei öffentlichen Veranstaltungen noch Fotos zu?

Über ein Jahr nach Inkrafttreten sorgt die Datenschutzgrundverordnung noch immer für Unsicherheit. Gregor Albrecht Käbschütztal aus Meißen möchte deshalb wissen: „Wie kann man unter den heutigen Datenschutzbestimmungen bei öffentlichen Veranstaltungen noch Fotos machen? Sei es als Eltern beim Schulanfang, zur Aufführung oder bei einem Tag der offenen Tür im Verein.“

von Michael Voß, MDR AKTUELL vom 03.02.2020

Auch nach Einführung der Datenschutzgrundverordnung kein Problem: Ein Selfie mit der Familie.BILDRECHTE: COLOURBOX.DE

Für den Kölner Medienrechtsanwalt Christian Solmecke ist es klar: Jeder, der ein Foto aufnimmt, muss sich auch um den Datenschutz kümmern: „In dem Moment, wo ich Fotos von Menschen anfertige, verarbeite ich auch personenbezogene Daten, nämlich in aller Regel das Gesicht dieser Menschen. Nach den Datenschutzgesetzen muss man dann die Menschen darüber informieren, was passiert mit diesem Foto? Wie lange wird gespeichert? Wann wird es wieder gelöscht?“

Anwalt Christian Solmecke meint, wer ein Foto aufnimmt, muss sich auch um den Datenschutz kümmern.BILDRECHTE: TIM HUFNAGL

Privates Umfeld fällt nicht unter die DSGVO

Das scheint selbst für den Thüringer Landesdatenschutzbeauftragten Lutz Hasse unrealistisch: „Es gibt in der Juristerei so einen Spruch: ‚Factum clarum, jus nebulosum.‘ Ein ganz klarer Sachverhalt, aber das Recht ist hier ein bisschen kompliziert.“

Zunächst gelte, so Lutz Hasse, Fotos für familiäre und private Zwecke fielen gar nicht unter die Datenschutzgrundverordnung. Allerdings nur, wenn man im privaten Umfeld bleibe. Das sei auf dem Schulgelände nicht mehr der Fall. Deshalb gelte dort die Datenschutzgrundverordnung.

Interesse der Eltern überwiegt

Thüringens Landesdatenschutzbeauftragter Lutz Hasse sagt, Fotos im privaten Rahmen fielen gar nicht unter die DSGVO.BILDRECHTE: MDR/SASCHA RICHTER

Eltern und Verwandte hätten aber das notwendige Interesse, die Schulanfänger zu filmen und aufzunehmen. Dieses Interesse sei die juristische Voraussetzung für eine erlaubte Datenspeicherung. Doch könnten nun nicht die Interessen derer überwiegen, die nicht aufgenommen werden wollen? Lutz Hasse meint: „Die überwiegen nicht, wenn derjenige, der zu solch einer Veranstaltung geht, erwarten musste, dass er aufgenommen wird. Ich denke, das kann man bei einer solch einer Schulveranstaltung sagen.“

Damit sich auch die Menschen wohlfühlen, die nicht aufgenommen werden wollen, hat der Thüringer Datenschutzbeauftragte einen Tipp: „Habe ich selber auch so praktiziert, dass ich bei größeren Veranstaltungen gesagt habe: Dieser Bereich dort, da wird bitte nicht gefilmt, und wer das möchte, dass er nicht gefilmt wird, setzt sich bitte dort hin.“ Damit könne man auch das Problem lösen, dass man für eine Veröffentlichung der Aufnahmen unabhängig vom Datenschutz die Erlaubnis der gezeigten Personen brauche.

Verzicht der Informationspflicht möglich

Doch was ist nun mit der Dokumentationspflicht gegenüber allen, die auf den Fotos erscheinen? Dafür nennt der Thüringer Datenschutzbeauftragten Lutz Hasse mit verschmitztem Lächeln einen weiteren juristischen Trick: „Ich müsste ja, um die Aufgenommenen zu informieren, deren Identität und deren Daten erstmal erheben. Da sagt die Datenschutzgrundverordnung: Wenn ich erst Daten erheben muss, um dann meiner Informationspflicht zu genügen, dann kann ich auf die Information verzichten.“

Also zusammengefasst: Das Fotografieren auf der Schulveranstaltung ist erlaubt. Man sollte Platz für diejenigen finden, die nicht aufgenommen werden wollen. Und die eigentlich vorgesehene Informationspflicht über die Speicherung der Fotos entfällt.

Quelle: https://www.mdr.de

Was Nutzer wissen müssen

BGH verhandelt über Einwilligung im Datenschutz

Gastbeitrag von Nils Müller

© Chinnapong – stock.adobe.com

Auch in Facebooks App-Zentrum mutmaßen Verbraucherschützer zu wenig Datenschutz. Doch die Spannung vor einem BGH-Urteil ist groß: Wie sieht eine wirksame Einwilligung aus? Und darf die Konkurrenz abmahnen? Nils Müller erwartet strenge Vorgaben.

Am Donnerstag verhandelt der Bundesgerichtshof (BGH) in einem Streit zwischen Facebook und dem Bundesverband der Verbraucherzentralen und Verbraucherverbände (vzbv). Im Verfahren I ZR 186/17 geht es um Verstöße gegen die EU-Datenschutz-Richtlinie 95/46/EG durch Facebooks „App-Zentrum“; um altes Recht also, das mittlerweile abgelöst wurde durch die allseits bekannte Datenschutz-Grundverordnung (DSGVO).

Und doch erwarten Datenschutzrechtler und Unternehmen spannende Erkenntnisse von dem Verfahren, denn die Rechtsgrundlagen und Datenschutzprinzipien, um die es geht, sind denen der DSGVO sehr ähnlich. Grünes Licht für eine Sachentscheidung des u.a. für Ansprüche aus unlauterem Wettbewerb zuständigen I. Zivilsenats des BGH gab es erst nach einer jüngst ergangenen Entscheidung des Europäischen Gerichtshofs (EuGH). Dieser hatte im Vorabverfahren zu klären, ob Verbraucherzentralen (wie der vzbv) gerichtlich überhaupt gegen Datenschutzverstöße vorgehen können. Nun ist der Weg für eine Entscheidung frei.

Im engeren Sinne wird der BGH darüber zu entscheiden haben, welche Anforderungen an eine datenschutzrechtliche Einwilligung zu stellen sind. Die Richter in Karlsruhe können insbesondere beantworten, wie eine transparente Information über Art, Zwecke und Umfang einer Datenerhebung und –verarbeitung als Bedingung einer wirksamen Einwilligung ausgestaltet sein muss. Die konkreten Voraussetzungen einer Einwilligung sind häufig Gegenstand von Streitigkeiten. Unternehmen müssten, je nach potenziellen weiteren strengen Vorgaben des BGH, ihre Praxis überprüfen und datenschutzrechtliche Verarbeitungsvorgänge auf andere Rechtsgrundlagen der DSGVO stützen.

Facebooks „App-Zentrum“ und die offenen Fragen

Facebook stellt seinen Nutzern auf der unternehmenseigenen Internetplattform ein „App-Zentrum“ zur Verfügung, über das Nutzer kostenlos Online-Spiele anderer Anbieter spielen können. Im November 2012 wurden in diesem App-Zentrum mehrere Spiele angeboten, bei denen unter dem Button „Spiel spielen“ (engl.: „play now“) folgende Hinweise zu lesen waren: „Durch das Anklicken von ‚Spiel spielen‘ oben erhält diese Anwendung: Deine allgemeinen Informationen, Deine-Mail-Adresse, Über Dich, Deine Statusmeldungen. Diese Anwendung darf in deinem Namen posten, einschließlich dein Punktestand und mehr.“

In dieser Präsentation sieht der Dachverband der Verbraucherzentralen der Bundesländer einen Verstoß gegen § 13 Abs. 1 Satz 1 Telemediengesetz (TMG). Die Vorschrift verpflichtet Dienstanbieter, den Nutzer zu Beginn eines Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über deren Verarbeitung Drittstaaten in allgemein verständlicher Form zu unterrichten. Dieses Erfordernis entspricht im Wesentlichen den jetzt in der DSGVO enthaltenen Anforderungen.

Aufgrund der unzureichenden Hinweise zu Umfang und Zweck der Erhebung sowie zur Verwendung der Nutzerdaten geht der vzbv auch nicht davon aus, dass Facebook eine wirksame Grundlage für eine wirksame Einwilligung in die Verarbeitung der Daten hat. Insbesondere der rechtsverbindliche Charakter der Einwilligung sei für junge, situationsadäquat handelnde Verbraucher nur schwer erkennbar. Ausdrückliche Hinweise und Informationen wären nach § 4a Abs. 1 Satz 1 BDSG a.F. aber nötig gewesen, damit die Daten überhaupt erhoben und verarbeitet werden dürfen.

Schließlich hält der Bundesverband die verletzten datenschutzrechtlichen Vorschriften für Marktverhaltensregelungen im Sinne des § 3 Abs. 1, § 4 Nr. 11 (a.F., heute geregelt in: § 3 Abs. 1, 3a) des Gesetzes gegen den Unlauteren Wettbewerb (UWG); für Regeln also, die dazu bestimmt sind, im Interesse der Marktteilnehmer Marktverhalten zu regeln. Ein Verstoß gegen diese Regeln kann die Interessen von Verbrauchern spürbar beeinträchtigen. Und er begründet wettbewerbsrechtliche Unterlassungsansprüche, zu deren Geltendmachung der Verband sich als qualifizierte Einrichtung im Sinne des UWG berechtigt sieht.

Was bisher geschah

Facebook vertritt die Auffassung, dass die vom Nutzer erteilte Einwilligung auf einer bewussten Entscheidung beruhe. Es genüge, wenn ein durchschnittlicher Nutzer erkennen könne, dass er rechtsverbindlich einer Verarbeitung seiner personenbezogenen Daten zustimme. Das sei hier der Fall. Insbesondere seien Facebook-User im Umgang mit der Plattform geübt und für datenschutzrechtliche Belange sensibilisiert. Die Regelung, die weder unklar noch unverständlich formuliert sei, beeinträchtige die Interessen der Verbraucher auch nicht spürbarvor.

Das Landgericht Berlin hat Facebook im Oktober 2014 zur Unterlassung verurteilt. Die praktizierte Präsentation, bei der Nutzer mit dem Betätigen eines Buttons wie „Spiel spielen“ die Erklärung abgeben, dass der Betreiber des Spiels über Facebook als soziales Netzwerk Informationen über die dort hinterlegten personenbezogenen Daten erhält und im Namen der Nutzer posten  darf, ist nach Ansicht des Gerichts unzulässig.

Auch beim KG hatte Facebook keinen Erfolg. Das Verfahren über die vom Berufungsgericht zugelassene Revision setzte der BGH dann erst einmal aus, um eine Entscheidung des EuGH abzuwarten.

Am 29. Juli vergangenen Jahres entschieden die Richter in Luxemburg dann auf eine Vorlage des Oberlandesgerichts Düsseldorf in einer anderen Sache, dass die Betreiber von Webseiten, die den Gefällt-mir-Button von Facebook auf ihren Seiten einbinden, gemeinsam mit dem Internetunternehmen für die Einhaltung datenschutzrechtlicher Vorgaben verantwortlich sind. Für das Verfahren über Facebook App-Zentrum war das deshalb entscheidend, weil der EuGH dabei auch die Vorschrift des § 8 Abs. 3 Nr. 3 UWG für rechtmäßig erklärte, die gemeinnützigen Verbänden bei Datenschutzverletzungen eine Klagebefugnis zur Wahrung von Verbraucherinteressen einräumt. Die seit Mai 2018 geltende Datenschutz-Grundverordnung (DSGVO) sieht ohnehin ausdrücklich vor, dass Verbraucherverbände im Fall von Datenschutzverstößen gegen die Verletzer vorgehen können.

Auswirkungen des BGH-Urteils

Sowohl die Verhandlung des BGH als auch das Urteil des EuGH beziehen sich auf Datenschutzrecht, wie es vor Inkrafttreten der DSGVO galt. Dennoch ist zu erwarten, dass die Entscheidung auch maßgeblich für Fälle nach neuem Datenschutzrecht übernommen werden wird, da die DSGVO das Ziel verfolgt, ein noch höheres Schutzniveau zu gewährleisten als die vorhergehende Richtlinie.

So dürften die Anforderungen an eine hinreichende Information der Nutzer über die Folgen, Risiken, Zwecke oder den Umfang einer Datenverarbeitung als Grundlage für eine nach der DSGVO wirksame Einwilligung weiterhin steigen. Es ist insbesondere zu erwarten, dass die Einwilligung in sich abgeschlossen und konkret sein muss. Eine Gesamtschau des Nutzungsverhalten auf einer Plattform dürfte der BGH nicht für geeignet halten, die Anforderungen an eine transparente und präzise Einwilligung zu erfüllen. Es ist zu erwarten, dass die Karlsruher Richter die Anforderungen an die Einwilligung derart streng fassen werden, dass der Webseitenbetreiber z.B. über Inhalt und Häufigkeit von „im Namen des Nutzers“ veröffentlichten Postings informiert werden muss.

Möglicherweise äußert sich der BGH im Rahmen eines „obiter dictums“ auch zur Frage, ob neben qualifizierten Einrichtungen wie der Verbraucherzentrale auch Mitbewerber wegen Verstößen gegen die DSGVO abmahnen können. Diskutiert wird das seit langem, eine einheitliche Rechtsprechung gibt es bisher nicht.

In der Sache selbst wird einmal mehr deutlich, wie wichtig für Unternehmen die transparente Darstellung der Nutzung etwaiger Nutzerdaten ist, insbesondere wenn sie die Nutzung auf eine Einwilligung der User stützen wollen. Die Praxis zeigt, dass Unternehmen auch nach Inkrafttreten der DSGVO oft zu unpräzise Generaleinwilligungen einsetzen.

Je nachdem, welche Anforderungen der BGH an eine wirksame Einwilligung stellen wird, könnte es eine Alternative werden, die Datenverarbeitung stattdessen auf eine andere Rechtsgrundlage zu stützen. In Frage kommen besonders berechtigte Interessen des Unternehmens oder die Notwendigkeit der Datenverarbeitung zur Vertragserfüllung. Schließlich sehen es einige Datenschutzbehörden als möglich an, eine Art Austauschvertrag zu schließen: In Konstellationen wie der hier vorliegenden können Nutzer von monetär kostenlosen Dienstleistungsangeboten mit der Zustimmung zu einer werblichen Nutzung ihrer Daten quasi „bezahlen“. Eine transparente und eindeutige Information an die Nutzer bei Vertragsschluss macht das freilich nicht obsolet.

Der Autor Nils Müller ist Rechtsanwalt und Fachanwalt für Informationstechnologierecht bei Eversheds Sutherland in München. Er beschäftigt sich im Schwerpunkt mit Datenschutz und Cybersicherheit.

Quelle: https://www.lto.de vom 05.02.2020

So können sich Verbraucher gegen Datensammler wehren

Veröffentlicht am 03.01.2018 | von Sven-Hendrik Hahn

Bei fast allen Online-Diensten lohnt ein Blick in die Einstellungen: Dort lässt sich die Datensammelei mit nur ein paar Klicks oft schon deutlich eindämmen
Quelle: dpa-tmn

Daten sind der wichtigste Rohstoff der Online-Welt. Sie werden von Internetkonzernen, Unternehmen und Schufa gesammelt. Doch Verbraucher haben bestimmte Rechte, um Informationen löschen zu lassen.

Datenschutz ist in der digitalen Welt unübersichtlicher geworden. Aber es ist auch einfacher geworden, die gespeicherten Informationen abzurufen. Das gilt gegenüber sozialen Netzwerken und anderen Unternehmen, aber auch gegenüber Auskunfteien.

Insbesondere deren Daten sollte man regelmäßig abfragen. Denn die Auskunfteien tragen mit ihren Informationen maßgeblich dazu bei, ob ein Kunde etwa einen Handyvertrag oder ein Auto auf Pump bekommt.

Neben Namen, Geburtsdatum, Geschlecht, aktuellen und früheren Wohnorten sammeln Auskunfteien Daten über Mahn- und Inkassoverfahren, Insolvenzen, Kontoeröffnungen, Verträge sowie Kredite, gibt etwa die Wirtschaftsauskunftei Schufa auf ihrer Homepage an. Daten zu Kreditverträgen müssten drei Jahre nach Erledigung gelöscht werden, ebenso Einträge in Schuldnerverzeichnisse.

Die Rechte der Verbraucher

Es geht aber auch schneller: „Die Unternehmen dürfen personenbezogene Daten noch drei Jahre speichern, wenn Betroffene nicht explizit um Löschung bitten“, erklärt die Bundesdatenschutzbeauftragte Andrea Voßhoff.

Andere Informationen wie etwa über Girokonten oder Mobilfunkverträge müssten umgehend bei Vertragsende gelöscht werden. An diese Regelung seien auch andere Auskunfteien wie Arvato Infoscore, Bürgel, Creditreform oder Deltavista gebunden.

Aber: Es kann immer zu Namensverwechslungen und Missverständnissen kommen. Auch deshalb haben Verbraucher laut Bundesdatenschutzgesetz das Recht, zu wissen, was Unternehmen über sie gespeichert haben und woher diese Informationen stammen.

Wichtig: Die grundlegenden Informationen gemäß Paragraf 34 Bundesdatenschutzgesetz müssen kostenlos geliefert werden. Kostenpflichtige Auskünfte seien nicht nötig, sagt David Oberbeck, Rechtsanwalt mit Schwerpunkt Datenschutz.

Auskunftsanfrage kann formlos erfolgen

Bei den Auskunfteien wie bei allen anderen Unternehmen könne die Auskunftsanfrage formlos erfolgen, am besten schriftlich, per Fax oder E-Mail, mit Bezug auf Paragraf 34 Bundesdatenschutzgesetz (Musterbrief Auskunftsersuchen der Verbraucherzentrale).

Die oft geforderte Ausweiskopie sei zwar grundsätzlich nicht nötig, sagt Oberbeck, erleichtere aber die Legitimation. Wer sie abgibt, sollte alle Daten bis auf Namen, Anschrift und Geburtsdatum schwärzen.

Zu der Frage, wie lange es dauern darf, bis die Auskunft vorliegt, macht das Gesetz keine Vorgaben. Allgemein gilt eine Bearbeitungszeit von zwei bis drei Wochen als angemessen.

Kommen die Unternehmen ihrer Auskunftspflicht nicht oder nur unzureichend nach, oder gibt es Streit über vermeintlich falsche Daten, sind die Landesdatenschützer am jeweiligen Firmensitz zuständig. Bis zu 300.000 Euro Bußgeld drohen laut Voßhoff bei Verstößen gegen die Auskunftspflicht.

Löschung verlangen

Auch die etwaige Information, dass nichts gespeichert ist, schließt das Auskunftsrecht mit ein. Sollten Daten bei Unternehmen gespeichert sein, mit denen jemand nicht in Verbindung gebracht werde möchte, kann er die Löschung verlangen (Musterbrief zur Berichtigung oder Löschung von Daten der Verbraucherzentrale).

Mehr noch: „Nach der derzeitigen Rechtslage ist eine gesonderte Bitte um Löschung nicht notwendig“, erklärt Andrea Voßhoff. Die Unternehmen müssten personenbezogene Daten löschen, sobald etwa der Kauf abgeschlossen sei.

Ausnahmen gebe es nur, „wenn die Daten zur Abrechnung oder für steuerliche Zwecke noch benötigt werden“, weiß Christine Steffen von der Verbraucherzentrale Nordrhein-Westfalen. „Anbieter nehmen das Auskunftsverlangen der Verbraucher nicht immer ernst“, kritisiert sie aber. Dann könne Druck helfen, etwa von einem Rechtsanwalt.

„Recht auf Vergessenwerden“

Im Mai 2018 tritt die Datenschutzgrundverordnung der Europäischen Union in Kraft. Das „Recht auf Vergessenwerden“ hält damit Einzug ins EU-Datenschutzrecht. Es besagt, dass Daten gelöscht werden müssen, wenn jemand die Einwilligung zur Datenverarbeitung widerruft.

In Gerichtsverfahren wurde das bestätigt: „Google etwa muss die Einträge löschen, wenn ich nicht will, das etwas über mich angezeigt wird“, erklärt Anwalt Oberbeck: „Eine Suchmaschine kann sich nicht auf den Standpunkt zurückziehen, dass sie nur die Informationen von anderen anzeigt, sondern Google selbst muss auf Betreiben des Betroffenen löschen oder korrigieren.“

Facebook bietet angemeldeten Nutzern einen Link unter „Kontoeinstellungen“, der umfassend über die gespeicherten Aktivitäten, Personendaten, angeklickte Werbebanner, Suchverläufe, besuchte Orte und etwa die Nutzungszeiten informiert. Auch die jeweilige IP-Adressen der Geräte, von denen aus die Facebook-Seite aufgerufen wurde, werden übermittelt.

Die Nutzer können nicht verhindern, dass diese Daten erhoben werden: „Etwa bei Google oder Facebook handelt es sich um kostenfreie und freiwillige Modelle“, sagt Anke Voßhoff. Sie fügt mit Blick auf Facebook an: „Ein Recht auf Löschung besteht erst, wenn der Dienst nicht mehr genutzt wird.“

Der US-Konzern erklärt auf seiner Website, die Daten dienten dazu, ein genaues Bild vom Nutzer und seinen Interessen zu erhalten – für zielgerichtete Werbung. Geht es um strafrechtliche Ermittlungen, gibt Facebook die Informationen an die Ermittler weiter. Laut Facebook betraf das im zweiten Halbjahr 2016 mehr als 5400 Nutzerkonten.

Risiken der Datenspeicherung

Auch bei Google gibt es eine Übersicht über das, was der Konzern speichert. Nach der Anmeldung beim Benutzerkonto werden die Daten unter https://google.com/dashboard angezeigt. Das umfasst auch YouTube-Videos, Suchmaschinen-Eingaben, gesuchte Orte oder Bewegungsprofile aus Google-Maps.

Voraussetzung für die Speicherung ist, dass sie für die jeweilige Funktion aktiviert und dass der Nutzer angemeldet war. Im Dashboard ist es möglich, die Daten zu löschen und das Speichern zu deaktivieren.

Die Masse an gesammelten Daten durch Unternehmen berge Risiken, fürchtet Anwalt Oberbeck. Ein Szenario mit Daten, die die beliebten Fitness-Armbänder liefern: „Jetzt gewährt eine Krankenkasse vielleicht einen Rabatt für besonders sportliche Kunden. Aber was, wenn sich das umdreht und Bewegungsmuffel durch Zuschläge bestraft werden?“

Ähnlich sieht es Datenschützerin Voßhoff. Den wenigsten dürfte bewusst sein, was alles gespeichert und wie es verknüpft wird. So entstehe ein detailliertes Bild von den Interessen, Bewegungsmustern und Vorlieben: „Man muss sich immer wieder ins Gedächtnis rufen, dass es keine harmlosen Daten mehr gibt.“ Ihr Tipp: „Datensparsam leben, anonym surfen und auf manchen vermeintlichen Komfort im Netz verzichten.“

Quelle: https://www.welt.de

Datenschutz: Das ist 2020 wichtig

03.02.2020 Von Barry CookBarry Cook (Autor)

Kommende Gesetzte und Gerichtsurteile verschärfen den Datenschutz innerhalb und außerhalb der EU. Darauf sollten Unternehmen in diesem Jahr achten.

Neue Gesetze im Ausland und kommende Gerichtsurteile können sich 2020 auf die Datenschutz-Strategie deutscher Unternehmen auswirken.
Foto: cybrain – shutterstock.com

Sowohl aus der IT- als auch der Geschäftsperspektive waren die letzten Jahre bezüglich Datenschutz in ganz Europa recht fordernd: Die Auflagen der EU-Datenschutz-Grundverordnung (DSGVO), die langsame Einführung der ePrivacy-Verordnung (ePVO) und die überarbeiteten Cookie-Richtlinien staatlicher Behörden verlangten viele technische und organisatorische Anpassungen in den Unternehmen. Zusätzlich galt es, während der unklaren Situation in Großbritannien, Prozesse zu erarbeiten, um potenzielle Komplikationen durch den Brexit einzudämmen.

2020 hat zwar gerade erst begonnen, doch gibt es bereits eine Reihe von Entwicklungen, die die Art und Weise, wie Unternehmen zukünftig mit Daten umgehen, noch weiter verändern werden.

Datenschutzgesetze außerhalb der EU

In anderen Teilen der Welt werden zur DSGVO vergleichbare Gesetze eingeführt oder sind bereits in Kraft. Beispiele finden sich in den USA, Brasilien und Indien.

Die Regelungen des Consumer Privacy Act (CCPA) in Kalifornien sind nun in Kraft und dienen sowohl anderen US-Bundesstaaten als auch den Gesetzgebern in Washington als Vorlage. Sollten sie im Jahr 2020 auf breiter Basis eingeführt werden, könnten in der EU ansässige Unternehmen mit Aktivitäten in den USA gezwungen sein, ihre Geschäftsprozesse zu ändern, wenn die örtliche Gesetzgebung von der DSGVO abweicht. In jedem Fall muss 2020 darauf geachtet werden, die individuellen Bestimmungen der Landesgesetzte zu berücksichtigen.

Das brasilianische Lei Geral de Protecão de Dados Pessoais (Allgemeines Gesetz zum Schutz personenbezogener Daten, LGPD) ähnelt in vielen Punkten der europäischen DSGVO. Bezüglich einiger Aspekte wie Rechtsgrundlagen und Meldepflicht bei Datenverletzungen geht es über die EU-Verordnung hinaus. Da die Umsetzung für August 2020 vorgesehen ist, könnte dies Unternehmen mit einem Standort in Brasilien einige zusätzliche Compliance-Maßnahmen abverlangen.

In Indien haben die Änderungen im Datenschutz durch das Gesetz Personal Data Protection (DPD) unter Umständen Auswirkungen auf den Datenaustausch zwischen internationalen Standorten.

Voraussichtlich werden auch andere Länder in Afrika und Asien im Jahr 2020 mit weiteren Regelungen nachziehen. Dies sollten die Verantwortlichen in Unternehmen, die dort geschäftlich präsent sind, im Auge behalten.

Gerichtsurteile zur Datenübertragung

Die Entscheidung des Europäischen Gerichtshofs (EuGH) über die Gültigkeit von EU-Standardvertragsklauseln (Standard Contractual Clauses, SCC) sollte dieses Jahr ebenfalls beobachtet werden. Der Hauptfall Schrems II, juristisch als Data Protection Commissioner v Facebook Ireland Limited, Maximillian Schrems (Datenschutzbeauftragter / Facebook Ireland Limited, Maximillian Schrems) bekannt, ist bereits seit einiger Zeit im Gange, könnte sich aber nun dem Abschluss nähern.

Tatsächlich äußerte sich im Dezember 2019 der EU-Generalstaatsanwalt in einer unverbindlichen Erklärung zu diesem Fall. Daher ist zu erwarten, dass es auch bald eine offizielle gerichtliche Beurteilung der Angelegenheit geben wird. Sollte Facebook Irland untersagt werden, Daten an seine amerikanische Zentrale weiterzugeben, könnte auf nationaler Ebene eine Überarbeitung der Richtlinien für Datentransfers aus einer Gerichtsbarkeit heraus nötig sein.

Der Datenschutzaktivist Maximilian Schrems klagte dagegen, dass Facebook Irland, in dem sich der europäische Hauptsitz des US-Unternehmens befindet, Daten an den Mutterkonzern in den USA weitergibt. Schrems forderte deshalb von dem irischen Datenschutzbeauftragten, die Datenübermittlungen zu überprüfen.

Schon 2013 hatte er einen ganz ähnlichen Rechtsstreit begonnen, der 2015 dazu führte, dass der Europäische Gerichtshof das sogenannte Safe-Harbor-Abkommen für ungültig erklärt hatte, das die Übermittlung personenbezogener Daten an US-Unternehmen regelte. Schrems argumentiert, dass Facebook in den USA dazu verpflichtet sei, Daten nationalen Behörden wie der Bundespolizei FBI zugänglich zu machen.

Darüber hinaus sollte auch die Entscheidung des EU-Gerichtshofs über die Zukunft von Privacy Shield in der Sache „La Quadrature du Net / Kommission“ bald erfolgen. Streitpunkt ist ein Mechanismus, der von vielen Unternehmen genutzt wird, um Datentransfers von der EU in die USA zu genehmigen. Geklagt hatte die französische Gruppe für digitale Rechte, La Quadrature du Net, gegen das neu verhandelte Übertragungsabkommen der Europäischen Kommission.

Privacy Shield wurde vor drei Jahren verabschiedet, nachdem Safe Harbor aufgehoben wurde. Die neu verhandelte Vereinbarung zwischen der EU und den USA verschärfte einige Elemente und ist einer jährlichen Überprüfung durch die Kommission unterworfen. La Quadrature du Net ist ein langjähriger Kritiker dieser Vereinbarung und der Arbeit der Kommission in diesem Bereich. Die Aktivisten hatten ihre Beschwerde bereits im Oktober 2016 – unmittelbar nach dem Inkrafttreten der neuen Vereinbarung – eingereicht. Sie argumentieren, dass der Mechanismus gegen grundlegende EU-Rechte verstoße und keinen angemessenen Schutz für die EU-Bürger biete.

Es besteht ein nicht unerhebliches Risiko, dass der EuGH Datenübertragungsmechanismen über SCCs für ungültig erklärt. Sollte dies eintreffen, stehen viele Unternehmen ohne eine praktikable Lösung zur Legitimierung der internationalen Übertragung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraumes da. Dadurch können DSGVO-Bußgelder, behördliche Strafmaßnahmen einschließlich Unterlassungsanordnungen und Schadenersatzforderungen Dritter drohen.

Cookie-Management

Konkrete Entwicklungen gab es bereits im Bereich Cookie-Management. Die Regulierungsbehörden in Großbritannien, Frankreich und Deutschland haben im Herbst 2019 neue Regeln bekanntgegeben und damit der Einführung einer europaweiten Reglementierung über die ePVO vorgegriffen. Noch in diesem Jahr werden viele dieser neuen Bestimmungen in den genannten Mitgliedsstaaten in Kraft treten.

Das „Planet49“-Urteil des EuGH stellte klar, dass vorangekreuzte Checkboxen nicht als rechtmäßige Einwilligung gelten. Das wurde vom Büro des britischen Datenschutzbeauftragten (Information Commissioner’s Office, ICO) prompt in dessen Regelwerk übbernommen. Das ICO veröffentlichte zudem einen Leitfaden zur Verwendung personenbezogener Daten spezieller Kategorien und zur Weitergabe von Daten ohne ausdrückliche Zustimmung. Am 20. Dezember 2019 legte die Behörde ihre diesbezügliche Vorgehensweise und die nächsten Schritte fest.

In Frankreich, Deutschland und seit kurzem auch in den Niederlanden wurden ähnliche Maßnahmen in Angriff genommen. Die jeweiligen staatlichen Instanzen erklärten vor der Einführung der neuen Regelungen Mitte 2020, wie sie Websites in ihrem Zuständigkeitsbereich kontrollieren wollen.

Der Großteil dieser Maßnahmen wird durch die kommende ePVO und die DSGVO untermauert. Insbesondere letztere hat die Sichtweise der Wirtschaft und des Gesetzgebers auf Daten verändert. Seit ihrer Einführung im Mai 2018 können staatliche Stellen in Bezug auf Unternehmensverhalten und „Best Practice“-Modelle härter durchgreifen. Die 2018 und 2019 gegen große Technologieunternehmen festgesetzten Geldbußen sind wohl die bisher bedeutendsten Schritte. Auch in Großbritannien, Dänemark, den Niederlanden und in Deutschland wurden die Maßnahmen zur Durchsetzung der Vorschriften verstärkt.

In Anbetracht dessen sollten Unternehmen, sofern sie es nicht schon getan haben, 2020 der Ausarbeitung einer Strategie zur Daten- und Aufzeichnungsspeicherung priorisieren.

Datenschutzstrategien für Unternehmen

Unternehmen haben teilweise bereits vor oder mit Inkrafttreten der DSGVO Policies und Prozesse eingesetzt, um die Verordnung einzuhalten, obwohl es zu dem Zeitpunkt nur wenige regulatorische Vorgaben gab. Mittlerweile haben die Datenschutzbehörden (DSB) und der Europäische Datenschutzausschuss jedoch einige nützliche Dokumente veröffentlicht.

So existieren Beispiel-Frameworks für „Datenschutz-Folgeabschätzungen“ (Data Protection Impact Assessments, DPIAs), „besondere Kategorien personenbezogener Daten“, automatisierte Entscheidungsprozesse und Erklärungen zu bestimmten Gesetze, die nur für spezifische Bereiche gelten. Das britische ICO und andere staatliche Stellen in Europa haben darüber hinaus sogenannte „Appropriate Policy Documents“ erstellt, die Informationen zur Verarbeitung von Daten verschiedener spezieller Kategorien liefern. Das gibt Unternehmen einige Hilfestellungen, um ihre gegenwärtige Praxis zu prüfen, zu verbessern und Schritte zur Risikominimierung zu unternehmen.

Datenschutz und KI

Viele Unternehmen loten gerade die Möglichkeiten von künstlicher Intelligenz (KI) für Ihr Business aus. Dabei handeln Fach- und IT-Abteilungen oft noch nach ungeschriebenen Regeln für die Entwicklung und den Einsatz der Trendtechnologie. Es ist unwahrscheinlich, dass das 2020 so bleiben wird. Einige Unternehmen und Forschungseinrichtungen arbeiten bereits an Rahmenbedingungen für den KI-Einsatz. Die Verantwortlichen sollten daher jetzt auf die Ausarbeitung schriftlich fixierter Verhaltens- oder Verfahrensregeln innerhalb ihres Unternehmens drängen.

Die meisten europäischen Institutionen bieten entsprechende Leitfäden an. Vor allem Unternehmen in Großbritannien dürften von einem neuen „KI-Audit-Framework“ profitieren. Darin wird die Arbeit der Prüfungs- und Sicherheitsteams des ICO dargelegt. Für Unternehmen könnte das einen wertvollen Leitfaden bieten, um die Vorschriften zu erfüllen und mögliche „Stichproben“ zu bestehen.

Mit Blick auf die Zukunft gibt es für den Datenschutz also eine ganze Menge zu bedenken. Es verspricht, ein arbeitsintensives Jahr 2020 zu werden.

Lässt der Datenschutz bei öffentlichen Veranstaltungen noch Fotos zu?

Auch nach Einführung der Datenschutzgrundverordnung kein Problem: Ein Selfie mit der Familie.BILDRECHTE: COLOURBOX.DE

Über ein Jahr nach Inkrafttreten sorgt die Datenschutzgrundverordnung noch immer für Unsicherheit. Gregor Albrecht Käbschütztal aus Meißen möchte deshalb wissen: „Wie kann man unter den heutigen Datenschutzbestimmungen bei öffentlichen Veranstaltungen noch Fotos machen? Sei es als Eltern beim Schulanfang, zur Aufführung oder bei einem Tag der offenen Tür im Verein.“

von Michael Voß, MDR AKTUELL

Für den Kölner Medienrechtsanwalt Christian Solmecke ist es klar: Jeder, der ein Foto aufnimmt, muss sich auch um den Datenschutz kümmern: „In dem Moment, wo ich Fotos von Menschen anfertige, verarbeite ich auch personenbezogene Daten, nämlich in aller Regel das Gesicht dieser Menschen. Nach den Datenschutzgesetzen muss man dann die Menschen darüber informieren, was passiert mit diesem Foto? Wie lange wird es gespeichert? Wann wird es wieder gelöscht?“Anwalt Christian Solmecke meint, wer ein Foto aufnimmt, muss sich auch um den Datenschutz kümmern.BILDRECHTE: TIM HUFNAGL

Das sei in der Datenschutzgrundverordnung, der DSGVO, geregelt, erklärt Solmecke: „Allerdings ist es derzeit so, dass die Informationspflichten, die für Fotografen bestehen, so dermaßen weit sind, dass die in der Praxis quasi keiner einhalten kann.“ Streng genommen müsste jede Person, die auf der Aufnahme erscheint, darüber informiert werden.

Anwalt Christian Solmecke meint, wer ein Foto aufnimmt, muss sich auch um den Datenschutz kümmern.BILDRECHTE: TIM HUFNAGL

Privates Umfeld fällt nicht unter die DSGVO

Das scheint selbst für den Thüringer Landesdatenschutzbeauftragten Lutz Hasse unrealistisch: „Es gibt in der Juristerei so einen Spruch: ‚Factum clarum, jus nebulosum.‘ Ein ganz klarer Sachverhalt, aber das Recht ist hier ein bisschen kompliziert.“

Zunächst gelte, so Lutz Hasse, Fotos für familiäre und private Zwecke fielen gar nicht unter die Datenschutzgrundverordnung. Allerdings nur, wenn man im privaten Umfeld bleibe. Das sei auf dem Schulgelände nicht mehr der Fall. Deshalb gelte dort die Datenschutzgrundverordnung.

Interesse der Eltern überwiegt

Thüringens Landesdatenschutzbeauftragter Lutz Hasse sagt, Fotos im privaten Rahmen fielen gar nicht unter die DSGVO.BILDRECHTE: MDR/SASCHA RICHTER

Eltern und Verwandte hätten aber das notwendige Interesse, die Schulanfänger zu filmen und aufzunehmen. Dieses Interesse sei die juristische Voraussetzung für eine erlaubte Datenspeicherung. Doch könnten nun nicht die Interessen derer überwiegen, die nicht aufgenommen werden wollen? Lutz Hasse meint: „Die überwiegen nicht, wenn derjenige, der zu solch einer Veranstaltung geht, erwarten musste, dass er aufgenommen wird. Ich denke, das kann man bei einer solch einer Schulveranstaltung sagen.“

Damit sich auch die Menschen wohlfühlen, die nicht aufgenommen werden wollen, hat der Thüringer Datenschutzbeauftragte einen Tipp: „Habe ich selber auch so praktiziert, dass ich bei größeren Veranstaltungen gesagt habe: Dieser Bereich dort, da wird bitte nicht gefilmt, und wer das möchte, dass er nicht gefilmt wird, setzt sich bitte dort hin.“ Damit könne man auch das Problem lösen, dass man für eine Veröffentlichung der Aufnahmen unabhängig vom Datenschutz die Erlaubnis der gezeigten Personen brauche.

Verzicht der Informationspflicht möglich

Doch was ist nun mit der Dokumentationspflicht gegenüber allen, die auf den Fotos erscheinen? Dafür nennt der Thüringer Datenschutzbeauftragten Lutz Hasse mit verschmitztem Lächeln einen weiteren juristischen Trick: „Ich müsste ja, um die Aufgenommenen zu informieren, deren Identität und deren Daten erstmal erheben. Da sagt die Datenschutzgrundverordnung: Wenn ich erst Daten erheben muss, um dann meiner Informationspflicht zu genügen, dann kann ich auf die Information verzichten.“

Also zusammengefasst: Das Fotografieren auf der Schulveranstaltung ist erlaubt. Man sollte Platz für diejenigen finden, die nicht aufgenommen werden wollen. Und die eigentlich vorgesehene Informationspflicht über die Speicherung der Fotos entfällt.

Quelle: https://www.mdr.de/nachrichten

Veröffentlicht am 03.02. 2020

Beschäftigtendaten; Datenschutz im Betriebsratsbüro muss sein

Quelle: © yvonneweis / Foto Dollar Club

Das Thema Datenschutz ist für Betriebsräte nichts Neues – auch das alte Bundesdatenschutzgesetz hatten sie zu beachten. Viele Arbeitgeber nutzen den Wirbel um die neuen Gesetze aber unberechtigt dazu, dem Betriebsrat Informationen unter Hinweis auf fehlenden Datenschutz vorzuenthalten. Das darf aber nicht sein, so Prof. Dr. Peter Wedde in »Computer und Arbeit« 12/2019.

in Betriebsrat erhält Post vom Arbeitgeber. In einem langen Schreiben wird das Gremium aufgefordert, unverzüglich ein Datensicherheitskonzept vorzulegen, das für den Umgang seiner Mitglieder mit Beschäftigtendaten gilt. Darüber hinaus enthält das Schreiben eine lange Auflistung von Datenschutzthemen, zu denen der Betriebsrat gegenüber dem Arbeitgeber verbindliche Aussagen treffen soll. Dieser möchte z. B. wissen, welche Beschäftigtendaten auf den dienstlichen Notebooks, Tablets oder Smartphones der einzelnen Betriebsratsmitglieder verarbeitet werden, ob darüber hinaus private Geräte für dienstliche Aufgaben verwendet werden, wie Unterlagen im Betriebsratsbüro sowie an den Arbeitsplätzen nicht freigestellter Betriebsratsmitglieder gesichert werden, welche Löschfristen festgelegt sind und wie der Betriebsrat das Einhalten betriebsinterner Vorgaben zum technischen und organisatorischen Datenschutz gewährleistet und überwacht.

Von den einzelnen Mitgliedern verlangt der Arbeitgeber darüber hinaus die Unterschrift einer seinem Schreiben als Entwurf beigefügten mehrseitigen »Betriebsräte-Datenschutzerklärung«. Weiterhin teilt der Arbeitgeber mit, dass er erst dann wieder personenbezogene Informationen an das Gremium übermitteln wird, wenn »datenschutzkonforme« Antworten auf seine Fragen sowie die verlangten Erklärungen der einzelnen Betriebsratsmitglieder vorliegen und wenn der Datenschutzbeauftragte die Datenschutzkonformität bestätigt hat.

Das Schreiben wird in der Betriebsratssitzung diskutiert. Im Mittelpunkt der Diskussion steht die Frage, welche gesetzlichen Vorgaben für die Arbeit von Betriebsräten einschlägig sind und wie viel Datenschutz im Betriebsratsbüro sein muss. Die interne Diskussion ist geprägt durch Sätze wie »Das haben wir schon immer so gemacht«, »Wie sollen wir dann noch vernünftig arbeiten?«, »Wir haben eine Vorbildfunktion im Datenschutz« oder »Persönlichkeitsrechte von Beschäftigten sind wichtiger als vertraute Arbeitsabläufe«.

Datenschutz ist nichts Neues

Die Feststellung, dass Betriebsräte beim Umgang mit personenbezogenen Daten von Beschäftigten einschlägige datenschutzrechtliche Vorgaben beachten müssen, gilt nicht erst, seitdem es die Datenschutz-Grundverordnung (DSGVO) und das neue BDSG gibt. Gesetzliche Vorschriften, die auch für die Betriebsratsarbeit einschlägig sind und die diesen zum sorgsamen, sparsamen und sicheren Umgang mit Beschäftigtendaten verpflichteten, enthielt schon das »alte« BDSG. Neu ist aber die Unsicherheit, die es im kollektivrechtlichen Bereich bezüglich der datenschutzrechtlichen Anforderungen im Rahmen der Betriebsratsarbeit gibt, sowie die besondere Aufmerksamkeit, die einzelne Arbeitgeber zum Thema »Datenschutzkonformität des Betriebsratshandelns« entwickeln.

Keine »verantwortliche Stelle«

Verstärkt wird die Unsicherheit durch die intensive juristische Diskussion dazu, ob Betriebsräte möglicherweise eigenständige »Verantwortliche« gemäß der Definition in Art. 4 Nr. 7 DSGVO sind, die aus datenschutzrechtlicher Sicht unabhängig vom Arbeitgeber agieren (siehe hierzu Däubler, Gläserne Belegschaften, 8. Auflage Frankfurt 2019, Seite 640 b ff.).

Im Beispielfall gibt der Arbeitgeber auf diese Antwort eine eindeutige Antwort, indem er sich für befugt hält, die Sicherstellung des Datenschutzes im Betriebsratsbüro zu hinterfragen. Zumindest bezüglich der datenschutzrechtlichen Gesamtverantwortung liegt er richtig: Weil Betriebsräte aus kollektivrechtlicher Sicht im Regelfall weder über die Zwecke der durch das Betriebsverfassungsgesetz (BetrVG) festgelegten Verarbeitung noch über die vom Arbeitgeber vorgegebenen technischen Mittel frei entscheiden können, erfüllen sie die gesetzliche Definition in Art. 4 Nr. 7 DSGVO nicht und gehören damit aus datenschutzrechtlicher Sicht in den Verantwortungsbereich des Arbeitgebers.

Ausgehend von dieser Feststellung ist zu bewerten, welche kollektivrechtlichen Verarbeitungsbefugnisse Betriebsräte bezüglich personenbezogener Beschäftigteninformationen haben und welche datenschutzrechtlichen Möglichkeiten und Grenzen es gibt.

Quelle: https://www.bund-verlag.de

veröffentlicht am 20. Januar 2020 I © bund-verlag.de (ct)