Die it.sec ist nun neuestes Mitglied der Swiss IT Security Gruppe. Im Rahmen des weiteren Wachstums übernimmt die Swiss IT Security Gruppe zusammen mit dem Geschäftsführer der it.sec 100% der Anteile des Unternehmens. Dies ist bereits der zehnte Zukauf seit Gründung der Gruppe in 2017.
Zusammen mit dem Management sollen Synergiepotenziale realisiert und so das weitere Wachstum des Unternehmens im Gruppenverbund vorangetrieben werden.
«Der Zusammenschluss mit der Swiss IT Security Gruppe ermöglicht es uns, von den Vorteilen einer Gruppe mit etablierten Strukturen sowie Experten in verschiedenen Bereichen der IT Sicherheit zu profitieren, sodass wir uns weiter voll auf unser Kerngeschäft fokussieren und unseren Kunden einen noch besseren Service anbieten können» erklärt Holger Heimann, Geschäftsführer der it.sec.
«Mit der it.sec können wir die Gruppe mit einem anerkannten und etablierten Penetration Tester und IT-Compliance Anbieter verstärken. Wir haben mit Herrn Heimann und seinem Team ausgewiesene Experten hinzugewonnen und freuen uns darauf, unseren Kunden zukünftig diese weiteren Services anbieten zu können" ergänzt Philipp Stebler, CEO der Swiss IT Security AG.
Aktuell befindet sich die Swiss IT Security AG in weiteren Gesprächen mit Unternehmen in Deutschland, Österreich und der Schweiz, um den Gruppenaufbau auch in Zukunft voranzutreiben. Die heutige Gruppe beschäftigt über 370 hochkarätige Mitarbeiter.
Ihr Pressekontakt
Natasa Angov
Marketing Manager
T +41 56 599 0082
Die Aufsichtsbehörde in Mecklenburg-Vorpommern hat nun das Meldeportal „Neutrale Schule“ des AfD-Landesverbands verboten. Bei diesem Portal konnten Schüler Angaben zu Lehrern machen, die während ihres Unterrichts mutmaßlich gegen ihre Pflicht verstoßen, sich gegenüber nicht verbotenen Parteien jeglicher Wertungen zu enthalten.
Diese Praxis war auch bereits Thema bei der Aufsichtsbehörde in Hamburg: Auf ihrer Website hielt die Bürgerschaftsfraktion der AfD Hamburg das Webformular „Neutrale Schule“ bereit. Dagegen konnte die Aufsichtsbehörde mangels Zuständigkeit gegenüber unabhängiger Parlamentsarbeit nicht vorgehen.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
Ein EU-Bürger hatte einen Flug für November 2019 von Brüssel nach Berlin gebucht. Gegen die damit verbundene Verarbeitung seiner Fluggastdaten durch das Bundeskriminalamt (BKA) hatte er einen Eilantrag beim Verwaltungsgericht gestellt.
Das Verwaltungsgericht Wiesbaden lehnte diesen Antrag als unzulässig ab:
- Die Verarbeitung dieser Daten ist gesetzlich zulässig: Das Fluggastdatengesetz (FlugDaG) erlaube die Verarbeitung von Fluggastdaten zur Abwehr terroristischer Straftaten und schwerer Kriminalität. Demnach sind Luftfahrtunternehmen verpflichtet, Daten ihrer Fluggäste, deren Flüge in Deutschland starten oder landen, an die sog. Fluggastdatenzentralstelle zu übermitteln. In Deutschland ist diese Stelle das Bundeskriminalamt, welches u.a. Namensangaben, Geburtsdatum, Anschrift, Kontaktdaten, Angaben zum Flug (Flugnummer, Datum, Uhrzeit), Zahlungsinformationen etc. der Fluggäste bei den Luftfahrtunternehmen erhebt und nach Maßgabe des FlugDaG verarbeitet.
- Zudem wurde mit dem FlugDaG eine EU-Richtlinie umgesetzt, deren Vorgaben für alle Mitgliedstaaten gleichermaßen gelten. Insoweit fehle es dem Antragsteller bereits an einem Rechtsschutzinteresse, da seine Daten in dieser Art und Weise auch bereits bei früheren Flügen innerhalb der EU durch die jeweiligen PNR-Zentralstellen der anderen EU-Mitgliedstaaten verarbeitet wurden.
Die Aufsichtsbehörden für den Datenschutz haben das Instrument der Fluggastdatenverwendung als solches auch immer wieder kritisiert, insbesondere hinsichtlich der langen Speicherdauer. Zudem wurde ebenso beanstandet, dass der deutsche Gesetzgeber in seinem FlugDaG auch innereuropäische Flüge mit einbezieht. Die EU-Richtlinie verbietet das zwar nicht, sieht es aber auch nicht verpflichtend vor.
Fazit: Es wäre daher wünschenswert gewesen, das Gericht hätte beurteilt, ob die Erfassung sämtlicher Daten sowie die lange Speicherdauer den Betroffenen in seinen Rechten und Freiheiten ggf. verletzt, unabhängig davon, ob dies andere EU-Staaten ebenso machen.
S. Kieselmann
Beraterin für Datenschutz
Die Mitglieder des Betriebsrats haben Zugriff auf äußerst sensible Unternehmens- und Mitarbeiterdaten. Wir wollen im Folgenden ein paar Maßnahmen aufzeigen, die die Vertraulichkeit hinsichtlich dieser Daten unterstützen.
Wer ist für die technischen und organisatorischen Maßnahmen des Betriebsrats verantwortlich?
Obwohl es umstritten ist, wer als datenschutzrechtlich „Verantwortlicher“ im Sinne des BDSG für die personenbezogenen Daten im Herrschaftsbereich des Betriebsrats anzusehen ist, dürfte klar sein, dass der Betriebsrat zumindest dafür selbst verantwortlich ist, wie seine Mitglieder mit den Vertraulichkeitserfordernissen umgehen. Das Unternehmen weiß naturgemäß nicht, welche Betriebsratsmitglieder mit welchen Sachverhalten betraut sind, denn diese Maßnahmen unterliegen der Selbstorganisation des Betriebsrats. Daher muss sich der Betriebsrat auch zwingend selbst mit den Maßnahmen, die erforderlich sind um die Vertraulichkeit der Informationen zu gewährleisten, auseinandersetzen. So kommt auch das zitierte Urteil zu dem Schluss, dass der Betriebsrat unter Beachtung der Datenschutzbestimmungen und des technisch Möglichen die Ausgestaltung der Art und Weise der Einsichtsmöglichkeit zu gestalten hat.
Konkrete Maßnahmen
Bezüglich der konkreten Maßnahmen sollte sich der Betriebsrat an den Vorgaben für die Personalabteilung orientieren. Insbesondere gilt:
- Betriebsratsunterlagen müssen gegen unbefugte Einsichtnahme geschützt werden. Dies gilt sowohl für Unterlagen in Papierform wie für Dateien bzw. deren Anzeige z.B. auf Bildschirmen.
- Betriebsratsunterlagen, die nicht unmittelbar benötigt werden, sind daher in abgeschlossenen Schränken aufbewahren, in der Regel im Betriebsratsbüro.
- Datenschutzbehälter oder angemessene Shredder müssen zur Entsorgung bereitgestellt und durch die Betriebsratsmitglieder verwendet werden.
- In Großraumbüros (von nicht freigestellten Betriebsratsmitgliedern) sollten die Betriebsratsmitglieder außerdem folgendes beachten:
- Bildschirme und Unterlagen so stellen und ablegen, dass nicht jeder und vor allem keine Besucher (Kollegen) Einblick haben
- Bildschirmschutz bei Verlassen des Arbeitsplatzes aktivieren
- Sichtschutzfolie verwenden, falls der Arbeitsplatz/Bildschirm nicht anders geschützt werden kann.
Die entsprechenden finanziellen Mittel müssen durch den Arbeitgeber gem. § 40 Abs. 2 BetrVG bereitgestellt werden.
Kommen Sie gerne auf uns zu, wenn wir Ihnen bei Fragen zum Thema technische und organisatorische Maßnahmen weiterhelfen können.
i.A. des Datenschutzbeauftragten
C. Lürmann
Rechtsanwältin
Consultant für Datenschutz
Am 01.10.2019 erging ein entscheidendes Urteil des EuGH zum Einsatz von Cookies. Der EuGH hat Folgendes dabei klargestellt:
- Das Endgerät des Website-Besuchers und die in diesen Geräten gespeicherten Informationen sind Teil seiner Privatsphäre.
- Die Einwilligung in das Platzieren und Abrufen der Cookies muss durch eine aktive Handlung erfolgen, etwa durch Anklicken eines Kästchens. Der Haken darf nicht bereits voreingestellt sein.
- Der Website-Besucher muss vollständig über die verwendeten Cookies und deren Funktionsweise informiert werden.
Aus dem Urteil ergeben sich folgende Aufgaben für Website-Betreiber:
Cookies überprüfen
Auch wenn es im Urteil nicht explizit erwähnt wird, so dürfen für den Betrieb einer Website technisch notwendige Cookies auch weiterhin ohne Einwilligung eingesetzt werden, bspw. Cookies zur Benutzer-Authentifizierung im Log-In-Bereich einer Website. Für alle anderen - und das dürfte der Großteil der verwendeten Cookies sein - muss die Einwilligung eingeholt werden.
HINWEIS: Es ist notwendig, dass der Betreiber die Funktionsweise der Cookies und etwaige Empfänger kennt. Andernfalls kann er die Website-Besucher nicht ausreichend hierüber in der Datenschutzerklärung informieren.
Einwilligung einholen
Über ein Auswahlmenü muss es den Website-Besuchern möglich sein, die jeweiligen Cookies bzw. Cookie-Kategorien auszuwählen und sich hierüber gezielt zu informieren (u.a. zu den Zwecken, Empfängern und zur Speicherdauer), um dann zu entscheiden, ob sie diese aktivieren möchten oder nicht.
Bis zur Erteilung der Einwilligung oder wenn keine Einwilligung erteilt wird, dürfen die Cookies nicht platziert werden.
Widerruf beachten
Da die Website Besucher ihre erteilte Einwilligung auch jederzeit widerrufen können, sollte eine Widerrufslösung technisch implementiert werden.
Vorgaben der Aufsichtsbehörden umsetzen
Der EuGH hat in seinem Urteil die Auffassung der deutschen Aufsichtsbehörden vom 26. April 2018 bestätigt.
HINWEIS: Die Aufsichtsbehörden verlangen aber nicht nur eine Einwilligung für das Setzen von Cookies, sondern für alle Verfahren, bei denen potentiell Daten und Informationen zu den Website-Besuchern gesammelt werden, ohne dass dies für den Betrieb der Website erforderlich ist, bspw. auch für Verfahren zur Verfolgung der Website-Besucher durch Zählpixel oder Browser-Fingerprinting. Auch diese Verfahren sollten daher in die technische Einwilligungslösung einbezogen werden.
S. Kieselmann
Beraterin für Datenschutz
Wenn Unternehmen bei uns Penetrationstests beauftragen, kommt es vor, dass Web-Applikation-Firewalls (WAF) oder Intrusion-Prevention-Systeme (IPS) vorhanden sind, welche die eigentlichen Zielsysteme zusätzlich schützen. Diese Systeme greifen in den Datenstrom ein, versuchen Angriffe zu erkennen und blocken diese im Idealfall gleich ab, sodass die geschützten Systeme davon gar nichts mitbekommen. Oft haben wir Diskussionen darüber, ob diese Systeme für unsere Tests (zumindest für unsere Quell-IP-Bereiche) ausgeschaltet werden sollen oder nicht. Wir legen unseren Kunden im Normalfall nahe, die Systeme auszuschalten – warum, soll hier kurz beschrieben werden.
IDS und WAF Systeme aus Sicht des Sicherheitsmanagements
Intrusion Prevention Systeme (IPS) oder WAFs (Web-Applikation-Firewalls) werden i.d.R. (!) auf neudeutsch als „second line of defense“ oder „mitigierende Maßnahme“ betrachtet. Das bedeutet, dass sie unterstützend wirken, Risiken mindern, nicht aber die eigentliche Sicherheitsmaßnahme sind.
Bei „normalen“ IT-Systemen oder Web-Anwendungen gilt nach wie vor, dass diese dem „Stand der Technik“ entsprechend programmiert, gewartet und betrieben werden sollen. Dies umfasst beispielsweise eine sichere Programmierung, ein funktionierendes Patch- und Vulnerability Management (um bekannte Sicherheitslücken zu beseitigen), welches dazu führt, dass ausnutzbare Sicherheitslücken zeitnah beseitig werden und dadurch keine vermeidbaren Schwachstellen mehr vorliegen. Ein Penetrationstest dienst als sogenannte Wirksamkeitskontrolle. IPS und WAF Systeme sollten nicht dafür eingesetzt werden die Programmierfehler in der Web-Anwendung zu kaschieren oder sich den sicheren Betrieb von Serversystemen einzusparen.
IPS und WAF mindern also das Risiko, welches entsteht, wenn man Patches und Updates nicht zeitnah einspielen kann, Fehler bei der Wartung passieren, Sicherheitslücken übersehen wurden, irreparabel sind - oder neu eingebaut und noch nicht durch einen Penetrationstest aufgedeckt wurden. Diese Systeme funktionieren aber nur in engen Grenzen, auch daher stellen sie i.d.R. einen ZUSATZ-SCHUTZ dar, das Auffangnetz, wenn man so will.
Also an oder aus?
Für Penetrationstests schaltet man diese Systeme in aller Regel aus, um die Sicherheit der eigentlichen Systeme oder Anwendungen zu prüfen. Das ist ein wenig wie bei der Autoinspektion: nur weil der Airbag funktioniert, kann man nicht auf die Prüfung der Bremsen verzichten. Außerdem ist es schon deswegen notwendig die eigentlichen Sicherheitslücken zu kennen, weil IPS und insbesondere WAFs erst gut funktionieren können, wenn man sie konkret darauf adjustiert. Auch aus Compliance-Sicht ist dies üblicherweise das richtige Vorgehen.
Ausnahmen?
Ausnahmen sind gegeben, wenn man tatsächlich explizit die Funktion der IPS oder WAF testen will. Dies kann dann der Fall sein, wenn die eigentlichen Systeme schon geprüft wurden und man nun wissen möchte, ob der Zusatzschutz auch funktioniert. Oder aber – typischerweise – wenn die eigentlichen Zielsysteme sich einem normalen Sicherheitsmanagement entziehen, weil es sich z.B. um Embedded Devices, ICS oder Legacy Systeme handelt, die nicht gepatcht werden können aber Sicherheitslücken haben. Hier kann man in Ermangelung von Alternativen ein IPS oder eine WAF als erste Verteidigungslinie einsetzen.
Entscheidet man sich gegen eine Abschaltung, muss man bedenken, dass zeitlicher Mehraufwand beim Testen entsteht, da man nicht nur die eigentlichen Sicherheitslücken finden muss, sondern auch noch Wege die Schutzsysteme auszutricksen. Hierzu ist deutlich mehr Zeit erforderlich, oder die Ergebnisqualität leidet.
Daher ist es wichtig die Umstände, bzw. Zielsetzung des Tests vorab mit it.sec abzusprechen, damit Sie auch das bekommen, was Sie brauchen.
Holger Heimann
Geschäftsführer
Verwendet ein Internetnutzer die Google-Suchmaschine, wird seine Suche zu der jeweiligen Domain des Staates weitergeleitet, welche anhand seiner IP-Adresse identifiziert wird. Nutzt er also eine IP-Adresse, die ihn bspw. in Frankreich ansässig erscheinen lässt, werden ihm ggf. Einträge zu einem anderen Menschen gar nicht erst angezeigt, wenn er diesen anhand von dessen Namen sucht.
So musste Google gemäß der Entscheidung des EuGH vom 13.05.2014 Einträge zu einem Betroffenen, die ihn namentlich erwähnten samt Angaben zu seinen Schulden, „auslisten“. Die Links zu von Dritten veröffentlichten Internetseiten mit Informationen zu ihm tauchten dann in der Ergebnisliste auf die entsprechende Suchanfrage hin nicht mehr auf.
Mit seinem Urteil vom 24.09.2019 hat der EuGH nun klargestellt, wie weit diese „Löschpflicht“ von Google reicht: Hat eine betroffene Person ein Recht auf eine solche Auslistung, ergibt sich damit noch nicht, dass dieses Recht über das Hoheitsgebiet der Mitgliedstaaten hinausgeht. Das bedeutet, dass die Einträge zu dieser Person erst einmal weiterhin über Domains anderer Staaten, die keine EU-Mitglieder sind, abrufbar bleiben. Google muss die entsprechenden Einträge dort nicht auslisten, sondern nur wirksam verhindern, dass Internetnutzer in EU-Mitgliedstaaten diese Einträge in ihrer Ergebnisliste auffinden.
Der EuGH weist aber darauf hin, dass eine Aufsichtsbehörde dennoch in Einzelfällen befugt sein kann, Suchmaschinenbetreiber wie Google anzuweisen, die Einträge in allen Versionen ihrer Suchmaschine auszulisten, wenn eine Grundrechtsabwägung ergibt, dass das Recht der betroffenen Person auf Achtung ihres Privatlebens und auf Schutz der sie betreffenden personenbezogenen Daten höher zu werten ist als das Recht auf freie Information.
S. Kieselmann
Beraterin für Datenschutz
Die Bundesregierung will den verwundbaren Finanzsektor besser vor Cyberattacken schützen. Das Bundesfinanzministerium und die Deutsche Bundesbank haben ein Programm Namens TIBER-DE beschlossen, um die Widerstandsfähigkeit von Finanzunternehmen gegen Hackerangriffe zu stärken.
TIBER steht für „Threat Intelligence Based Ethical Red Teaming“ und unterscheidet sich von den üblicherweise durchgeführten Penetrationstests dergestalt, dass sie nicht nur auf Einzelsysteme abzielen, sondern szenariobasiert sind, weniger zeitlichen Restriktionen unterliegen, die reale Bedrohungslage berücksichtigen, Fachbereiche und teils auch Ländergrenzen überschreiten können - und damit realen Angreifern viel näher kommen.
TIBER ist zwar für den Finanzsektor geschaffen, kann aber auch für andere Branchen angewendet werden.
it.sec verfolgt die Entwicklung des Standards von Anbeginn und bietet TIBER Tests auf Basis jahrzehntelanger Erfahrung im Finanzsegment sowie bei Red-Team Assessments vollumfänglich (und mit Referenzen) an.
Mehr Informationen finden sich bei der FAZ und der Deutschen Bundesbank.
Holger Heimann
Geschäftsführer
it.sec GmbH & Co. KG
Die Datenschutzgrundverordnung (DSGVO) beschäftigt immer noch sehr viele Unternehmen, nun steht schon die Verordnung über Privatsphäre und elektronische Kommunikation (ePrivacy-Verordnung (ePVO)) vor der Tür. Ursprünglich sollte sie schon mit der DSGVO in Kraft treten, dies wird nun aller Wahrscheinlichkeit nach 2020 der Fall sein.
Die ePVO ist eine EU-Verordnung, die nach ihrem Inkrafttreten sofort innerhalb der EU gilt. Eine Umsetzung durch die Mitgliedsstaaten ist nicht erforderlich. Die ePVO soll personenbezogene Daten in der elektronischen Kommunikation schützen. Sie ist ein Spezialgesetz zur DSGVO und soll diese bezüglich elektronischer Kommunikationsdaten präzisieren und ergänzen.
Sachlicher Anwendungsbereich
Nach Art. 2 Abs. 2 des Entwurfs gilt die Verordnung für
- die Verarbeitung von elektronischen Kommunikationsinhalten und von Metadaten der elektronischen Kommunikation, die im Zusammenhang mit der Bereitstellung und Nutzung von elektronischen Kommunikationsdiensten durchgeführt werden;
- Informationen über die Endgeräte der Endverbraucher
- das Angebot eines öffentlich zugänglichen Verzeichnisses der Endnutzer elektronischer Kommunikationsdienste;
- die Versendung von Direktmarketing-Mitteilungen an die Endverbraucher.
Von der ePVO betroffen sind daher u.a.:
- Messenger-Dienste
- Internettelefonie
- Webbasierte E-Mail-Dienste
- Soziale Medien
- Internetzugang
Wesentliche Inhalte
- Endnutzer sollen in regelmäßigen Abständen von max. 12 Monaten an die Möglichkeit des Widerrufs ihrer Einwilligung zur Verarbeitung elektronischer Kommunikationsdaten erinnert werden, Art. 4a Abs. 3 des Entwurfs.
- Die Möglichkeit der Rufnummerunterdrückung soll den Endnutzern auf einfache Weise und kostenlos zur Verfügung gestellt werden, Art. 12 des Entwurfs.
- Die Endnutzer sollen außerdem kostenlos die Möglichkeit bekommen eingehende Anrufe von bestimmten Rufnummern oder anonymen Quellen zu sperren und eine von einem Dritten veranlasste automatische Anrufweiterschaltung zur Endeinrichtung des Endnutzers abzuschalten, Art. 14 des Entwurfs.
- Die Aufnahme personenbezogener Daten der Endnutzer in öffentlich zugängliche Verzeichnisse (z.B. Telefonbücher) ist nur mit Einwilligung des Endnutzers möglich. Die Mitgliedsstaaten dürfen hier jedoch eine Widerspruchslösung einführen, d.h. dass die Einwilligung des Endnutzers als erteilt gilt, solange er nicht widerspricht, Art. 15 des Entwurfs.
- Direktwerbung ist nach Art. 16 des Entwurfs unerwünschte Kommunikation. Eine Direktwerbung über elektronische Kommunikationsdienste darf nur mit Einwilligung des Endnutzers erfolgen. Wurden die elektronischen Kontaktangaben durch den Verkauf eines Produkts oder einer Dienstleistung erlangt, dürfen diese nur für eigene ähnliche Produkte oder Dienstleistungen verwendet werden und nur dann, wenn dem Kunden ein Widerspruchsrecht eingeräumt wird.
Cookies
Derzeit lassen die meisten Browser Cookies zu, wenn der Nutzer nicht erweiterte Sicherheitseinstellungen aktiviert hat. In Deutschland verlangen die Aufsichtsbehörden aber schon jetzt, dass die Nutzer für das Setzen von Cookies mit einer Opt-In-Lösung ihre ausdrückliche Zustimmung erteilen. Die Aufsichtsbehörden im EU-Ausland sehen dies jedoch anders und verlangen datenschutzrechtlich momentan keine Zustimmung der Nutzer für den Einsatz von Cookies, sondern der Nutzer kann dem mithilfe der auf den meisten Webseiten genutzten Opt-Out-Lösung widersprechen. Diese Opt-Out-Lösung für den Einsatz von Cookies wird aber nach Inkrafttreten der ePVO nicht mehr ausreichend sein. Dadurch entfällt mit Inkrafttreten der ePVO die diesbezüglich herrschende Rechtsunsicherheit, da alle Webseiten in allen Mitgliedsstaaten dann einheitlich auf Grundlage der ePVO behandelt werden und eine solche Opt-In-Lösung implementieren müssen. Auch in Browsern sollen sich die Regel-Einstellungen dahingehend ändern, dass Cookies grundsätzlich gesperrt sind und die Aktivierung explizit durch die Nutzer vorgenommen werden muss.
Bußgelder
Art. 83 DSGVO soll auf die Verhängung von Bußgeldern nach der ePVO entsprechende Anwendung finden. Der Bußgeldrahmen liegt also auch bei Verstößen gegen die ePVO bei bis zu 20 Millionen Euro oder 4% des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher Betrag höher ist.
Bußgelder kommen nach Art. 23 des Entwurfs insbesondere in Betracht bei
- Verstößen gegen den Grundsatz der Vertraulichkeit und Kommunikation
- unerlaubter Verarbeitung elektronischer Kommunikationsdaten
- Verstößen gegen die Löschfristen der ePVO
- Nichtbefolgung einer Anweisung der Aufsichtsbehörde
Die konsolidierte Entwurfsfassung der ePVO vom 12. Juli 2019 sieht eine Übergangsfrist von zwei Jahren vor. Trotzdem sollte man nicht bis zum letzten Tag warten, sondern sollte sich schon rechtzeitig auf die ePVO vorbereiten und an einer entsprechenden Umsetzung arbeiten. Dabei unterstützen wir Sie gerne, kommen Sie bei Fragen einfach auf uns zu.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz
Die Aufsicht über die Einhaltung der Datenschutzgesetze obliegt in Deutschland den Aufsichtsbehörden der Bundesländer. Zu diesem Zweck sind die Aufsichtsbehörden mit entsprechenden Befugnissen ausgestattet, die es ihnen ermöglicht, die Einhaltung der Datenschutzgesetze u.a. durch Unternehmen zu überprüfen. Dazu gehört auch die Befugnis Unternehmen zur Bereitstellung der erforderlichen Informationen anzuweisen. Bei mangelnder Kooperation darf die Aufsichtsbehörde dieses Auskunftsverlangen mit einem Zwangsgeld durchsetzen. Dies entschied das VG Mainz am 09.05.2019 (Az. 1 K 760/18.MZ).
Hintergrund war der Folgende: Der Betreiber eines erotischen Tanzlokals hatte im Innen- und Außenbereich des Lokals Videokameras installiert. Der Landesbeauftrage für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz verlangte Auskunft über die Videoüberwachung, insbesondere deren Umfang, und legte dem Betreiber dafür einen Fragekatalog mit 16 Fragen vor. Diesem Auskunftsverlangen kam der Betreiber trotz wiederholter Aufforderung nicht oder nur unzureichend nach. Deshalb verhängte die Aufsichtsbehörde ein Zwangsgeld in Höhe von 5.000 Euro, gegen das der Betreiber Klage erhob.
Das VG Mainz wies die Klage als unbegründet ab. Das Zwangsgeld wurde rechtmäßig verhängt und war auch der Höhe nach angemessen. Die Aufsichtsbehörde hat einen Auskunftsanspruch gegenüber dem Verantwortlichen, dem dieser grundsätzlich nachkommen muss.
Mit diesem Urteil zeigt sich wieder einmal, dass sich eine Kooperation mit den Aufsichtsbehörden auszahlt. Dies vermeidet nicht nur etwaige Zwangsgelder, sondern wird bei Verhängung eines Bußgeldes sicher auch strafmildernd berücksichtigt.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz