Home / Aktuelles & Termine / it.sec blog

Am 05.07.2017 wurde das Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) verkündet.

Mit Art. 1 DSAnpUG-EU wurde das Bundesdatenschutzgesetz (BDSG-Neu) neu beschlossen, um Regelungsaufträge und Handlungsoptionen (Öffnungsklauseln) aus der Datenschutzgrundverordnung (DSGVO) umzusetzen. Das BDSG-Neu wird am 25.05.2018 in Kraft treten.

Art. 7 DSAnpUG-EU tritt gemäß Art. 8 Abs. 2 DSAnpUG-EU jedoch bereits einen Tag nach Verkündung in Kraft und sieht bis zum 25.05.2018 noch eine Änderung des bisherigen Bundesdatenschutzgesetzes (BDSG) vor: Der nun neu eingeführte § 42b BDSG sieht einen Rechtsbehelf vor, welcher es den Aufsichtsbehörden für den Datenschutz bereits jetzt ermöglicht, gegen Angemessenheitsbeschlüsse oder Beschlüsse der Europäischen Kommission über die Anerkennung von Standardvertragsklauseln (zukünftig: „Standarddatenschutzklauseln“) vorzugehen: So können die Aufsichtsbehörden ab sofort das Bundesverwaltungsgericht veranlassen, beispielsweise den Durchführungsbeschluss zum EU-US Privacy Shield ((EU) 2016/1250 vom 12.07.2016) oder den Beschluss der EU-Kommission vom 05.02.2010 (2010/87/EU), der im Annex die Standardvertragsklauseln enthält, einer gerichtlichen Überprüfung zu unterziehen bzw. die Frage zur Gültigkeit eines solchen Beschlusses dem EuGH zur Entscheidung vorzulegen.

Die Einführung des § 42b BDSG ist damit die Konsequenz aus dem Safe Harbor-Urteil des EuGH vom 06.10.2015, in dem der EuGH festgestellt hat (vgl. Urteil im Volltext, insbesondere Rn 65, unter http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d2dc30dd54db4a4232764d349fe6a58e115fe8fb.e34KaxiLc3qMb40Rch0SaxuRbx10?text=&docid=169195&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=199052), dass es der nationalen Kontrollstelle an der Befugnis fehlte, die von ihr für begründet erachteten Beschwerden betroffener Personen gegen die Übermittlung ihrer personenbezogenen Daten in die USA auf Basis von Safe Harbor vor den nationalen Gerichten geltend machen zu können.

Im Kontext des Safe Harbor-Urteils des EuGH stellten die Aufsichtsbehörden ebenso die Zulässigkeit des alternativen Rechtsinstruments der Standardvertragsklauseln für Datenübermittlungen in die USA in Frage und kritisierten den nachfolgenden Angemessenheitsbeschluss basierend auf den Abreden zum EU-US Privacy Shield als unzureichend (vgl. ULD Schleswig-Holstein zum Urteil des Gerichtshofs der Europäischen Union vom 6. Oktober 2015, S. 4, https://www.datenschutzzentrum.de/uploads/internationales/20151014_ULD-Positionspapier-zum-EuGH-Urteil.pdf bzw. die Stellungnahme der Artikel-29-Gruppe (zukünftig: Europäischer Datenschutzausschuss), die aus Vertretern der Aufsichtsbehörden der Mitgliedstaaten besteht, abrufbar unter http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/20160726_wp29_wp_statement_eu_us_privacy_shield_en.pdf).

Es bleibt daher spannend, inwiefern die deutschen Aufsichtsbehörden nun diese Möglichkeit, die ihnen § 42b BDSG eröffnet, ausschöpfen und Feststellungsklage beim Bundesverwaltungsgericht einreichen werden.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Sofern Microsoft-Kunden mit Sitz in der EU/EWR die Online-Dienste der Microsoft Corporation (z.B. Office 365) nutzen, werden personenbezogene Daten, für die sie verantwortlich sind, von Microsoft im Auftrag verarbeitet und in Rechenzentren gespeichert, die sich u.a. auch in Drittstaaten befinden.

Die von Microsoft zur Verfügung gestellten Online Services Terms (OST) in ihrer jeweils aktuellen Form müssen daher den Vorgaben der Artikel 28 sowie 44 ff Datenschutzgrundverordnung (DSGVO) entsprechen.

Was ist dabei für die Verantwortlichen als schwierig anzusehen?

Der Aufbau des Textes ist eher undurchsichtig gestaltet:
Zum einen ist der Aufbau der OST insgesamt recht unübersichtlich gestaltet. Dies zeigt sich einmal dadurch, dass die einzelnen Bestandteile der notwendigen Bestimmungen im Sinne von Art. 28 Abs. 3 DSGVO nicht zusammenstehen, sondern im gesamten Text oder über Verweise zu anderen Verträgen, einzelnen Abschnitten oder Anhängen eher versatzstückhaft zu finden sind. So ergeben der eigentliche Volumenlizenzvertrag sowie die Data Processing Terms (DPT) (S. 11 ff der OST in der Version vom Juli 2017) den Vertrag zur Auftragsverarbeitung. Gleichzeitig sieht die Erfüllung des Volumenlizenzvertrags die Erfüllung der Standardvertragsklauseln (Anhang 3 zu den OST in der Version vom Juli 2017, auf welchen in den DPT verwiesen wird) vor (vgl. S. 11 ff der OST in der Version vom Juli 2017). Das erschwert eine schnelle Übersicht aller Regelungen erheblich. Alle wichtigen Bestimmungen müssen also aus verschiedenen Passagen und Bestimmungen herausgelesen und vom Verantwortlichen erst zu einem Gesamtbild zusammengesetzt werden. Zudem gelten die DPT nur für bestimmte Online-Dienste.

Die Angaben zu den Verarbeitungsstandorten sind teilweise widersprüchlich:
Zum einen gibt Microsoft an, dass die Daten in den USA, aber eben auch in allen Ländern verarbeitet werden können, in welchen das Unternehmen einen Standort bzw. eine Tochtergesellschaft hat (vgl. S. 9 der OST in der Version vom Juli 2017). Zum anderen wird je nach Online-Dienst ein gesonderter Ort genannt, an denen die Daten physisch gespeichert werden, entweder begrenzt auf ein sog. „Geo“ (z.B. Europäische Union oder Vereinigtes Königreich), die USA, das Land, in dem der Kunde seinen Mandanten-Account bereitstellt oder den Dienst konfiguriert, wo er bereitgestellt werden soll (vgl. S. 12 der OST in der Version vom Juli 2017), wenn nicht bei dem jeweiligen Online-Dienst zusätzliche Standorte gelten. Gleichzeitig wird über die Webseite http://www.microsoft.com/online/legal/v2/?docid=25&langid=de-DE der Speicherort am Sitz des Microsoft-Kunden festgemacht, also z.B., wenn der Sitz in der Europäische Union ist, werden Daten in Irland, den Niederlanden, Österreich, Finnland und den USA gespeichert. Die Standortangaben begrenzen sich zudem auf das Land, genaue Adressen werden nicht bekannt gegeben.
Zusammen mit den Standorten der zahlreichen eingesetzten Auftragsverarbeiter, sämtlichen Microsoft-Gesellschaften und den Rechenzentren an unbestimmten Orten eröffnet sich zugleich ein sehr großes wie auch für den Verantwortlichen undurchsichtiges Gebiet, in dem eine Verarbeitung stattfinden kann.

Ein Einspruch gegen den Einsatz weiterer Auftragsverarbeiter ist faktisch nicht möglich:
Weiterhin ist auch beachtlich, dass mit Abschluss des Vertrags der Verantwortliche in den OST zustimmt, dass Microsoft weitere Auftragsverarbeiter einsetzen darf, ohne die eingesetzten Dienstleister zu benennen oder auf die Webseite zu verlinken, wo die Liste der Auftragsverarbeiter bereitgestellt wird.
Microsoft stellt spätestens 6 Monate vor Bestimmung eines neuen Auftragsverarbeiters eine Liste mit den konkreten Daten dieser weiteren Verarbeiter zur Verfügung. Allerdings kann ein Einspruch des Verantwortlichen gegen einen dieser Verarbeiter dann nur durch eine Kündigung des Dienstes, welcher durch den weiteren Auftragsverarbeiter umgesetzt werden soll, wirksam gemacht werden. Sollte dieser Dienst ein Teil einer größeren Anwendung sein, stellt die Teilkündigung dann sogar eine Kündigung der gesamten Anwendung dar.
Sofern der Dienst also noch weiter genutzt werden soll, ist faktisch ein wirksamer Einspruch gegen den weiteren Auftragsverarbeiter nicht möglich.
Ob diese Auslegung des Einspruchs des Verantwortlichen mit der DSGVO konform ist, ist doch wenigstens fraglich.

Das Schriftformerfordernis wird nicht gewahrt:
Mit Art. 28 Abs. 9 DSGVO ist ein Abschluss des Vertrags zur Auftragsverarbeitung in Schriftform nicht mehr zwingend. In den OST werden jedoch auch die Standardvertragsklauseln zum Bestandteil des Vertrages, um insbesondere die mit der Nutzung der Online-Dienste verbundene Datenübermittlung in Drittstaaten abzusichern. Die Standardvertragsklauseln sind aber nur wirksam, wenn sie, wie im Annex zum Beschluss der EU-Kommission vom 05.02.2010 (2010/87/EU) vorgegeben, verwendet und nicht verändert werden. Durch die Unterschriftsfelder und in den Anhängen durch den Satz "Dieser Anhang ist Bestandteil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden“ deutet vieles darauf hin, dass der Abschluss der Standardvertragsklauseln der Schriftform bedarf. Es bleibt also fraglich, ob Standardvertragsklauseln mit der aufgedruckten Unterschrift durch den Corporate Vice President von Microsoft und ohne Unterschrift des Microsoft-Kunden in letzter Konsequenz wirksam einbezogen werden können.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Zum 18.06.2017 hat Twitter seine Datenschutzrichtlinie angepasst und damit sowohl Positives als auch Negatives für seine Nutzer erzeugt.

Zum Einen gibt es für den Benutzer nun in den Einstellungen der Anwendung die Möglichkeit, in höherem Maß über die von Twitter erhobenen Daten sowie deren Nutzung zu bestimmen. Und darüber hinaus auch die Möglichkeit, zu bestimmen, in welcher Form durch den Anbieter geworben und auf Daten auf dem Handy, sofern der Dienst mobil genutzt wird, zugegriffen werden darf. Also ob die geschaltete Werbung personalisiert werden soll oder nicht. Damit wird dem Nutzer eine höhere Kontrolle im Umgang mit seinen Daten ermöglicht.

Daneben wird aber die ‚Do-Not-Track‘-Funktion, welche von verschiedenen Browsern angeboten wird, nicht mehr unterstützt bzw. durch den Dienst überhaupt nicht mehr zugelassen. Mit dieser Funktion konnte der Nutzer ursprünglich in seinem Browser einstellen, dass er durch keinen Dienst nachverfolgt werden möchte. Eine solche klare Entscheidung für oder gegen das Tracking über den Browser erscheint benutzerfreundlich und gut verständlich. Alternativ bietet Twitter jetzt sehr detaillierte Einstellungen zur Privatsphäre in der Anwendung an. Dies birgt aber für den Nutzer ein höheres Risiko, aus den vielen gebotenen Wahlmöglichkeiten möglicherweise nicht die für ihn Vorteilhafteste auszuwählen. Zudem könnte dies dem Prinzip von Privacy by Default widersprechen, wenn die Nutzer die Einstellungen zum Schutz ihrer Daten erst noch vornehmen müssen und diese nicht schon voreingestellt sind.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Art. 88 Datenschutzgrundverordnung (DSGVO) gibt den Mitgliedstaaten die Möglichkeit, spezifischere Vorschriften zum Schutz der Beschäftigten bei Verarbeitung ihrer personenbezogenen Daten durch den Arbeitgeber zu erlassen.

Dabei müssen mindestens die folgenden Bereiche geregelt werden, damit durch die damit verbundene Datenverarbeitung die Grundrechte und schutzwürdige Interessen der Beschäftigten gewahrt bleiben:

- Datenübermittlungen innerhalb einer Unternehmensgruppe

- Überwachungssysteme am Arbeitsplatz

Die Vorschriften müssen zudem für die Beschäftigten verständlich und in leicht zugänglicher Form in einer klaren und einfachen Sprache verfasst sein und Vorgaben enthalten, dass der Arbeitgeber seinen Informationspflichten gegenüber den Beschäftigten nachzukommen und die Verarbeitungsprozesse transparent zu machen hat. Die Beschäftigten müssen nachvollziehen können, ob, von wem und zu welchen Zwecken ihre Daten verarbeitet werden.

Derzeit sieht ein entsprechender Gesetzesentwurf die Regelung des Beschäftigtendatenschutzes in Deutschland mit folgenden Neuerungen vor:

- An die Wirksamkeit von Einwilligungen der Beschäftigten in die Verarbeitung ihrer Daten werden strengere Anforderungen gestellt.

- Die Datenverarbeitung ist auch auf Grundlage von Kollektivvereinbarungen (d.h. Tarifverträge und Betriebsvereinbarungen gemäß Erwägungsgrund 155 DSGVO) oder zur Erfüllung der Rechte und Pflichten der Interessenvertretungen der Beschäftigten zulässig.

- Die Verarbeitung besonderer Kategorien personenbezogener Daten (z.B. Gesundheitsdaten) soll zudem zulässig sein, wenn dies zur Erfüllung von Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist.

- Leiharbeiter werden als Beschäftigte des entleihenden Unternehmens definiert.

Die weiteren Anforderungen aus Art. 88 DSGVO wurden dabei jedoch nicht berücksichtigt. So sind beispielsweise keine Regelungen hinsichtlich der Datenverarbeitung innerhalb eines Konzerns, zum Schutz des Eigentums des Arbeitgebers oder zur Aufdeckung von Pflichtverletzungen, die noch keine Straftaten darstellen, aber zur Kündigung des Mitarbeiters durch den Arbeitgeber berechtigen, enthalten.

S. Kieselmann

Beraterin für Datenschutz

Dipl.sc.pol.Univ.

Die Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI) hat am 1. Juni 2017 ein Positionspapier veröffentlicht, das datenschutzrechtliche Empfehlungen zum automatisierten und vernetzten Fahren ausspricht (vgl. https://www.bfdi.bund.de/SharedDocs/Publikationen/Allgemein/DatenschutzrechtlicheEmpfehlungenVernetztesAuto.html?nn=5217154).

Die 13 Empfehlungen sind im Wesentlichen Umsetzungen der Datenschutzgrundverordnung für den Betrieb intelligenter Fahrzeuge. So darf die Datenverarbeitung im Fahrzeug und für datenbasierte Dienste nur im notwenigen Umfang auf personenbezogene Daten zugreifen (Empfehlung 3). Nach dem Grundsatz "Privacy by default" müssen datenschutzfreundliche Voreinstellungen etabliert werden (Empfehlung 9). Die Systeme müssen einen wirksamen Schutz vor Cyber-Angriffen bieten (Empfehlung 13). Die Empfehlungen gehen nicht ins Detail, sind aber hilfreiche Richtlinien bei der Gestaltung datenschutzkonformer IT-Systeme in intelligenten Fahrzeugen.

Die 13 Empfehlungen wurden anlässlich eines Symposiums zum Datenschutz im automatisierten und vernetzten Fahrzeug auf Einladung der BfDI veröffentlicht. In ihrer Eröffnungsrede wies die BfDI darauf hin, moderne Fahrzeuge würden bereits jetzt Daten zum Fahrverhalten und den zurückgelegten Wegen sammeln, aus denen sich Persönlichkeitsprofile erstellen ließen. Fahrer müssten daher die volle Hoheit über die Verwendung personalisierter Fahrzeugdaten haben. Über jede Datenverwendung müsse im Sinne einer vollständigen Transparenz unterrichtet werden (Näheres finden Sie unter https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2017/13_SymposiumAutomatisiertesFahren.html).

Die Fahrzeugindustrie, die nach dem Diesel-Abgasskandal viel Vertrauen verloren hat, versucht solches wiederzugewinnen.
BMW hat in einer Pressemitteilung vom 30. Mai 2017 erklärt, der „Schutz der Fahrzeugdaten gehöre zum Verständnis von Premium beim hochvernetzten Fahrzeug“ (vgl. unter https://www.press.bmwgroup.com/deutschland/article/detail/T0271366DE/bmw-group-startet-bmw-cardata:-neue-und-innovative-services-fuer-den-kunden-%E2%80%93-sicher-und-transparent?language=de). Kunden sollten die Möglichkeit erhalten zu entscheiden, was mit den Daten passiere. Das soll mit BMW CarData möglich sein. Fahrzeugdaten, wie der durchschnittliche Kraftstoffverbrauch, würden verschlüsselt über eine im Fahrzeug eingebaute SIM-Karte an BMW-Server übertragen, von wo Service-Anbieter nach Einwilligung des Kunden diejenigen Daten verschlüsselt beziehen könnten, die sie für ihre Dienstleistungen benötigen. Per Mausklick könne der Fahrer Datenfreigaben erteilen, sie ablehnen oder bereits erteilte Freigaben entziehen. Der Fahrer könne auch jederzeit über ein Portal einen Report über weitergegebene Daten anfordern.

Die weitere Diskussion um durch Fahrzeuge bzw. in Fahrzeugen generierte Daten bleibt spannend.

Dr. Wolfhard Steinmetz
Consultant für Datenschutz

Die Aufsichtsbehörden für den Datenschutz der Länder Frankreich, Niederlande, Belgien, Spanien und des Bundeslandes Hamburg, haben in einer gemeinsamen Aktion die Praktiken von Facebook bezüglich des Datenschutzes geprüft.

Im Ergebnis (https://www.cnil.fr/en/facebook-sanctioned-several-breaches-french-data-protection-act) befand die CNIL, dass sowohl Facebook Inc. als auch Facebook Ireland Ltd. mehrere schwere Verstöße gegen geltendes französisches Datenschutzrecht begangen haben.

Unter anderem wirft die Behörde dem Unternehmen vor, dass die Sammlung von Nutzerdaten, um sie zu bündeln und für personalisierte Werbung zu verwenden, auf keiner Rechtsgrundlage gründet und die Sammlung der Daten durch unzulässiges Tracking mittels des ‚datr‘ Cookies erfolgt.

Eine angemessene Widerspruchslösung für die betroffenen Personen sei nicht ausreichend vorhanden. Weiterhin seien die Informationen bezüglich des Trackings vom Nutzerverhalten auf weiteren Websites für die betroffenen Personen nicht einwandfrei transparent, um nachvollziehen zu können wo und in welchem Umfang Daten erhoben werden.

Somit sei das Vorgehen des Unternehmens rechtswidrig und auch in so umfangreichem Maß begangen, dass es das höchstmögliche Bußgeld von 150.000 Euro aufgrund einer Datenschutzrechtsverletzung rechtfertigt.

Facebook beruft sich darauf, dass für das Unternehmen lediglich das irische Datenschutzrecht gelte, da es nur in Irland einen Sitz habe und somit Frankreich nicht für das Unternehmen zuständig sei.

Diesem Einwand wird von der CNIL aber ebenfalls Rechnung getragen (https://www.cnil.fr/fr/node/23602). Sie begründet ihre Zuständigkeit damit, dass Facebook im Zuge des Verkaufs von Werbung zahlreiche Büros in verschiedenen europäischen Ländern unterhalte und dieses Geschäft untrennbar mit der Verarbeitung der personenbezogenen Daten verbunden sei. Einzelstaatliches Datenschutzrecht eines jeden Mitgliedstaats komme damit zur Anwendung, in welchen diese Niederlassungen ihre Tätigkeit ausüben. Auf die Art der Niederlassung, also ob es sich dabei um Tochtergesellschaften mit eigener Rechtspersönlichkeit, unselbständige Zweigstellen oder lediglich kleine Büros handele, sei dabei unerheblich.

Dem Unternehmen stehen noch 4 Monate zu, in denen es Widerspruch gegen den Beschluss der CNIL einlegen kann.

Spätestens aber ab dem 25. Mai 2018 wird sich Facebook Inc. nicht mehr darauf berufen können, dass für andere Behörden keine Zuständigkeit besteht. Denn mit der DSGVO tritt das Marktortprinzip in Kraft, womit auch für jedes außereuropäische Unternehmen, das im Gebiet eines Mitgliedstaats agiert, die DSGVO zwingend gilt. In diesen Fällen ist jede Aufsichtsbehörde im Hoheitsgebiet ihres Mitgliedstaats zuständig.

Allerdings wird mit der DSGVO auch der One Stop Shop-Mechanismus (OSS) eingeführt. Danach ist im Normalfall bei einer Datenverarbeitung, die grenzüberschreitend in mehr als einem Mitgliedstaat erfolgt, die Aufsichtsbehörde des Mitgliedstaates zuständig, in dem das Unternehmen seine Hauptniederlassung oder seine einzige Niederlassung innerhalb der Europäischen Union hat – in diesem Fall wäre dann wohl doch die irische Aufsichtsbehörde zuständig. Allerdings entscheidet diese Behörde nicht allein, sondern muss die anderen Aufsichtsbehörden einbinden. Zudem ergibt sich das maßgebliche Datenschutzrecht in Irland dann ebenso aus der DSGVO.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

 

Nun ist es noch knapp 1 Jahr, bis die Datenschutzgrundverordnung der Europäischen Union unmittelbar in allen EU-Mitgliedsstaaten in Kraft tritt. Der Stichtag ist mittlerweile sicher allen bekannt. Es ist der 25.5.2018.

Ein Jahr klingt lang, ist es aber nicht. Bedenken Sie, dass Sie im kommenden Jahr in Sachen Datenschutz weitaus mehr Arbeit leisten müssen als die vergangenen Jahre. Ihr Ziel sollte es sein, bis Ende des Jahres einen Großteil der neuen Vorschriften umgesetzt zu haben, damit Sie dann noch genügend Zeit für den Feinschliff haben.

Die Vorbereitung auf die Datenschutzgrundverordnung ist mit viel zusätzlichem Aufwand Ihrerseits und Ihres Datenschutzbeauftragten verbunden. Sollten Sie noch keinen Datenschutzbeauftragten haben, ist es an der Zeit sich darum zu bemühen. Ohne qualifizierte Unterstützung ist die Umsetzung der Datenschutzgrundverordnung nur schwer zu meistern.

Bedenken Sie, es muss nicht nur der Datenschutz aktuell am Laufen gehalten werden, sondern die neuen Vorschriften sind Stück für Stück in Ihrem Unternehmen zu integrieren. Da kommt, je nachdem wie Sie bisher den Datenschutz in Ihrem Unternehmen gehandhabt haben, viel Arbeit auf Sie zu. Diese sollten Sie aufgrund der drohenden sehr hohen Bußgelder aber nicht scheuen.

Ein Jahr ist noch ein gutes Zeitpolster, zu sehr trödeln sollte man mit der Umsetzung der neuen Vorschriften jedoch nicht.

Dr. Bettina Kraft
Beraterin für Datenschutz
Justiziarin

Im Rahmen der eSafety-Initiative der Europäischen Kommission zur Erhöhung der Straßenverkehrssicherheit durch Nutzung von Informations- und Kommunikationstechnologien (vgl. unter http://ec.europa.eu/information_society/doc/factsheets/048-esafety-de.pdf) soll die Ausstattung von Neufahrzeugen mit der eCall-Technologie verbindlich werden. Ein eCall ist ein vom PKW im Falle eines Unfalls automatisch oder manuell ausgehender Notruf an die Rufnummer 112. Die automatische Auslösung erfolgt über im Fahrzeug eingebaute Sensoren. Über das Mobilfunknetz werden Daten zum Unfall übermittelt und es wird eine Tonverbindung hergestellt (Art. 2 der Delegierten Verordnung (EU) Nr. 305/2013 der Kommission).

Ursprünglich sollte nach einem entsprechenden Beschluss der Europäischen Kommission die Verfügbarkeit dieser Technologie für Neuwagen ab Oktober 2015 verbindlich sein (vgl. unter http://europa.eu/rapid/press-release_IP-13-534_de.htm). Aufgrund datenschutzrechtlicher Bedenken kam es jedoch zu Verzögerungen im Gesetzgebungsverfahren. Nun sollen erst ab Ende März 2018 Neuwagenkäufer von dem System profitieren können.

Aus Sicht des Datenschutzes ist aber das Folgende zu beachten: Der automatisch im Falle eines Verkehrsunfalles übertragene Mininmaldatensatz (vgl. unter http://standards.globalspec.com/std/1383302/cen-en-15722) ist standardisiert und enthält unter anderem den Unfallzeitpunkt, die Koordinaten des Unfallortes, die Fahrtrichtung und die Fahrzeugidentifikationsnummer. Zu den damit einhergehenden datenschutzrechtlichen Gefährdungen hat sich bereits im Jahr 2014 die Süddeutsche Zeitung geäußert (vgl. unter http://www.sueddeutsche.de/auto/speicherung-von-bordcomputerdaten-der-spion-in-meinem-auto-1.1875596). Artikel 6 "Privatsphäre und Datenschutz" der Verordnung (EU) 2015/758 enthält bereichsspezifische datenschutzrechtliche Regelungen. Danach dürfen z.B. die erhobenen personenbezogenen Daten nur für die Handhabung von Notfallsituationen verwendet werden (vgl. unter http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32015R0758&from=DE). Die internen Speicher des eCall-Systems müssen automatisch und kontinuierlich gelöscht werden.

Es versteht sich von selbst, dass die über die eCall-Technologie erhobenen Daten auch für Versicherungen (zur Erstellung von Risikoprofilen) und für Drittanbieter (Angebot von kostenpflichtigen Diensten) sehr interessant sind. Daher bleibt abzuwarten, ob Lobbyisten den Erlass von Öffnungsklauseln durchsetzen können.

Dr. Wolfhard Steinmetz
Consultant für Datenschutz

Laut heute veröffentlichter Pressemitteilung Nr. 74/2017 hat der VI. Zivilsenat des BGH mit Urteil ebenfalls vom heutigen Tage (Aktenzeichen VI ZR 135/13) im Rechtsstreit eines Piratenpolitikers gegen die Bundesrepublik Deutschland auf die Revisionen des Klägers und der Beklagten das Urteil des Landgerichts Berlin (Aktenzeichen 57 S 87/08) aufgehoben und den Rechtsstreit zur erneuten Entscheidung zurückverwiesen.

Hintergrund des Streits ist die Speicherung von dynamischen IP-Adressen durch Webseiten-Betreiber, hier durch verschiedene Bundesministerien. Diese speichern Nutzerdaten wie IP-Adressen, Zugriffszeiten und aufgerufene Seiten. Kern des Rechtsstreits war die Frage, ob dynamische IP-Adressen personenbezogene Daten sind, so dass diese Speicherung unzulässig sein könnte.

Der BGH ist laut Pressemitteilung der Auffassung, dynamische IP-Adressen seien personenbezogene Daten. Daher dürften IP-Adressen nur unter den Voraussetzungen des § 15 Abs. 1 Telemediengesetz gespeichert werden:

Ohne Einwilligung des Nutzers dürfen von diesem genutzte IP-Adressen über den Nutzungsvorgang hinaus nur dann erhoben und gespeichert werden, soweit die Erhebung und Verwendung erforderlich ist, um die generelle Funktionsfähigkeit der Dienste zu gewährleisten. Dabei bedarf es laut BGH einer Abwägung mit den Interessen und den Grundrechten und Grundfreiheiten der Nutzer. Da der BGH diese Abwägung nicht vornehmen konnte – es sind noch tatsächliche Feststellungen zu treffen –, hat er den Rechtsstreit zur Klärung dieser Frage zurückverwiesen.

Schon jetzt kann festgehalten werden, dass ohne Einwilligung des Nutzers die Speicherung von IP-Adressen bei kostenfreien Webseiten im Grundsatz unzulässig sein dürfte. Der Nutzungsvorgang ist mit Abruf und Auslieferung einer Webseite, also in der Regel binnen weniger Zehntelsekunden, beendet. Im Einzelfall kann anderes gelten, dazu sind die näheren Umstände zu beurteilen.

Wir beraten hierzu nach ausführlicher Analyse der hoffentlich bald vorliegenden Urteilsgründe gerne.

Dr. Wolfhard Steinmetz
Consultant für Datenschutz

Gemäß Art. 33 und 34 Datenschutzgrundverordnung (DSGVO) ist ein Unternehmen verpflichtet, eingetretene Datenschutzverletzungen (z.B. Liegenlassen des Notebooks im Zug, E-Mail-Versand an falschen Empfänger, Hacker-Angriffe) der Aufsichtsbehörde unverzüglich zu melden und ggf. die Personen, deren personenbezogene Daten hiervon betroffen sind, zu benachrichtigen. Ein Verstoß gegen diese Melde- und Benachrichtigungspflichten ist bußgeldbewehrt.

Die Regelungen in Art. 33 und 34 DSGVO sind dabei strenger als die bisherige Regelung in § 42a BDSG, die lediglich eine Meldepflicht vorsah, wenn durch die Datenpanne besonders sensible Daten (z.B. Gesundheitsdaten oder Bankdaten) Dritten zur Kenntnis gelangt sind und den betroffenen Personen dadurch schwerwiegende Beeinträchtigungen drohen.

Mit der Datenschutzgrundverordnung muss der Verantwortliche nämlich nun jede Datenschutzverletzung der Aufsichtsbehörde melden, unabhängig davon ob die Datenschutzverletzung fahrlässig oder vorsätzlich herbeigeführt wurde oder ob dabei Unbefugten tatsächlich personenbezogene Daten offengelegt wurden oder ein Zugang zu personenbezogenen Daten nur eventuell ermöglicht wurde.

Die Meldung muss dabei unverzüglich und innerhalb von 72 Stunden erfolgen. Eine Meldung darf nur dann unterbleiben, wenn der Verantwortliche nachweisen kann, dass die betroffenen Personen durch die Datenschutzverletzung gegenwärtig und zukünftig keinen physischen, materiellen oder immateriellen Schaden (z.B. Identitätsdiebstahl oder -betrug, finanzielle Verluste, Diskriminierung, Rufschädigung) erleiden werden.

Es empfiehlt sich daher, einen entsprechenden Ablaufplan im Unternehmen zu implementieren, um auf solche Datenschutzverletzungen unverzüglich reagieren und die Fristen zur Meldung bzw. Benachrichtigung einhalten zu können.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

ADCERT Anwendbarkeit Art. 17 DSGVO Art. 26 DSGVO Art. 32 DSGVO Audit Aufsichtsbehörde Auftragsverarbeitung Auskunftsrecht Automatisierte Einzelentscheidung Autsch BDSG-Neu Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz Betroffenenrechte BfDI BGH Bußgeld Cloud CNIL Compliance Cookie Datenlöschung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutzgrundverordnung Datenschutzverletzung Datenübermittlung Datenübermittlung in Drittstaaten Datenverarbeitung Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO dynamische IP-Adresse eCall-Technologie Einwilligung Einwilligungserklärung Entsorgung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative EU-Datenschutz-Grundverordnung Facebook Fahrzeugdaten Fahrzeuge Gemeinsam Verantwortliche Home Office Informationspflichten Informationssicherheit IP-Adresse IT-Forensik IT-forensische Untersuchung IT-Sicherheit Joint Control Konzern konzerninterner Datentransfer Löschung personenbezogener Daten Marktortprinzip Meldepflicht Meldescheine Microsoft One Stop Shop Passwörter. 2016 Personalausweiskopien personenbezogene Daten Privacy by Default Privacy by Design Privacy Shield Profiling Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte der betroffenen Person Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Siegel Sony PSN Standardvertragsklauseln Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telemediendienst Telemediengesetz Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe USA Vereinbarung Vernichtung von Datenträgern Verordnung (EU) 2015/758 Vertrag zur Auftragsverarbeitung Videoüberwachung Vorteile Webseite Webseiten Webtrecking Werbung Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zulässigkeit § 15 TMG § 42a BDSG § 42b BDSG

An dieser Stelle wollen wir von Zeit zu Zeit unsere Web-Logs ("blogs") pflegen und unsere Meinung zu bestimmten Themen kundtun.

Die einzelnen Posts stellen jeweils die Meinung des Autors dar und nicht zwangsläufig jene der it.sec. Die Inhalte sind stellen keine Beratung dar und übernehmen für die Inhalte keine Haftung.

Tags

Mo Di Mi Do Fr Sa So
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31