Home / Aktuelles & Termine / it.sec blog

In seinem beachtenswerten Urteil vom 20.12.2018, 17 Sa 11/18 hat sich das Landesarbeitsgericht von Baden-Württemberg mit der Frage auseinandergesetzt, ob ein Arbeitnehmer das Recht hat, datenschutzrechtliche Auskunftsansprüche nach Art. 15 Abs. 1 DSGVO auch auf personenbezogene Leistungs- und Verhaltensdaten geltend zu machen. Insbesondere ging es dabei um die Frage, ob er von diesen Unterlagen eine Kopie gem. Art. 15 Abs. 3 DSGVO erhalten darf.

 

Während die Beklagtenseite im konkreten Fall darauf verwies, dass hier die Rechte und Freiheiten anderer Personen betroffen seien und eine Herausgabe aus diesen Gründen nicht zulässig sei, wies das Gericht in seiner Entscheidung darauf hin, dass ein derart pauschaler Hinweis nicht geeignet ist, das Auskunftsrecht einzuschränken.

 

Generell geht das Gericht davon aus, dass der Auskunftsanspruch nach Art. 15 DSGVO selbstverständlich auch für das Arbeitsverhältnis, also zwischen Arbeitnehmer und Arbeitgeber gilt. Jedoch bedarf es jeweils einer Einzelfallabwägung, ob ein Recht auf Erhalt einer Kopie bzw. auf das Verweigern dieses Anspruchs besteht. Entscheidend ist dabei die jeweilige Abwägung von dem konkreten Interesse des Arbeitnehmers an der Auskunftserteilung gegen das betriebliche Interesse des Arbeitgebers an der Auskunftsversagung bzw. an den berechtigten Interessen der Dritten.

 

Wichtig ist diese Einschätzung für die immer häufiger eingesetzten Meldesysteme im Rahmen des Whistleblowings. Zwar weist auch das Landesarbeitsgericht darauf hin, dass die Etablierung eines funktionierenden und anonymen Meldesystems durchaus das Interesse des Arbeitgebers an Geheimhaltung begründen kann, andererseits ist es jedoch möglich, dass gerade im Falle von vorsätzlichen Falschangaben oder leichtfertig unrichtigen oder unvollständigen Informationen das Interesse des (beschuldigten) Arbeitnehmers an den Informationen überwiegt. In diesem Fall müssten ggfs. auch personenbezogene Informationen über die Person des Whistleblowers im Rahmen des Auskunftsanspruchs nach Art. 15 Abs. 3 DSGVO an den betroffenen und um Auskunft verlangenden Arbeitnehmer weitergeleitet werden.

 

Wie also kann man dem Auskunftsanspruch entsprechen, ohne auf ein funktionierendes Whistleblowing-System zu verzichten? Dieses Problem lässt sich am einfachsten lösen, indem das sogenannte Whistleblowing tatsächlich vollständig anonym angeboten wird. Liegen dem Arbeitgeber keine personenbezogenen Daten über den Whistleblower vor, kann er diese folglich auch nicht offenlegen.

 

Soweit die Hinweisgeber ihren Namen nennen wollen, sollten diese bereits bei der ersten Kontaktaufnahme darauf hingewiesen werden, dass die Identität im Rahmen der gesetzlichen Vorgaben vertraulich behandelt werden. Zugleich sollte er allerdings auch darüber informiert werden, dass die beschuldigte Person innerhalb eines Monats nach der Meldung gem. Art. 14 Abs. 3 lit a DSGVO über die Identität des Hinweisgebers informiert werden muss. Dann ist es empfehlenswert, eine Einwilligung des Hinweisgebers zur Offenlegung seiner Identität einzuholen, die dieser jedoch innerhalb des einmonatigen Zeitraums bis zur Information des Beschuldigten widerrufen kann. Auf diese Weise werden keine Informationen vorenthalten und die Datenverarbeitung bleibt vollständig transparent.

 

C. Lürmann

 

Rechtsanwältin

 

Consultant für Datenschutz

Die Abstimmung im britischen Unterhaus am 27.03.2019 hat weiterhin keine Klarheit darüber gebracht, ob und wenn ja, wie der Brexit am 12.04.2019 oder ggf. zu einem späteren Zeitpunkt erfolgt.

Ein „harter“ Brexit, d.h. ohne entsprechendes Austrittsabkommen mit der EU, würde das Vereinigte Königreich (UK) daher automatisch zu einem Drittstaat i.S.v. § 1 Abs. 6 BDSG, Art. 44 ff. DSGVO machen. Einen Angemessenheitsbeschluss der EU-Kommission, dass UK ein Drittstaat mit einem angemessenen Datenschutzniveau sei, gibt es jedoch derzeit nicht.

Unternehmen, welche Auftragsverarbeiter in UK beauftragen, personenbezogene Daten mit dort ansässigen Konzerngesellschaften austauschen oder an sonstige Stellen übermitteln, sollten daher Vorkehrungen für den Fall eines ungeregelten Austritts treffen: Denn sie müssen dann zusätzlich die Art. 44 ff DSGVO beachten und die Datenübermittlungen in Drittstaaten absichern.

Einige Aufsichtsbehörden (z.B. Bayern und Sachsen-Anhalt), der Europäische Datenschutzausschuss sowie die Datenschutzkonferenz (DSK, ein Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder) haben hierzu Mitteilungen herausgegeben, welche Instrumente hierfür zur Verfügung stehen:

- Insbesondere wird der Abschluss von EU-Standardvertragsklauseln mit dem britischen Datenimporteur empfohlen (Art. 46 Abs. 2 lit. c), d) DSGVO). Welche Standardvertragsklauseln abzuschließen sind, bestimmt sich danach, ob der britische Datenimporteur Verantwortlicher oder Auftragsverarbeiter ist.

- Unternehmen können sich auch auf die Ausnahmeregelungen in Art. 49 Abs. 1 a), b), c), e) DSGVO stützen, bspw. die Einwilligung der betroffenen Personen einholen; dies setzt jedoch voraus, dass solche Datenübermittlungen nur gelegentlich und nicht regelmäßig erfolgen.

Verbindliche, unternehmensinterne Datenschutzvorschriften („BCRs“) oder Verhaltenskodizes & Zertifizierungsmechanismen sind keine sehr praktikablen Instrumente, angesichts der Kürze der Zeit.

Sollte es zu einem "harten" Brexit kommen, gilt es daher Einiges in Sachen Datenschutz zu beachten.

Wir halten Sie auf dem Laufenden.

S. Kieselmann

Beraterin für Datenschutz

Dipl.sc.pol.Univ.

Der Landesbeauftragte für Datenschutz und Informationsfreiheit hat eine neue Auflage des Ratgebers für Beschäftigtendatenschutz veröffentlicht.

Auf 51 Seiten werden seitens der Aufsichtsbehörde den Unternehmen umfangreiche Informationen zum Datenschutz sowie praktische Tipps in konkreten Fällen kostenfrei zur Verfügung gestellt.

 

Inhalt

 

Schon in der Einleitung über die Entstehungsgeschichte des Arbeitnehmerdatenschutzes finden sich farblich hervorgehobene Praxistipps, welche sich bei der Betrachtung der relevanten Regelungen der DSGVO und des BDSG fortsetzen. Nach Erläuterung der allgemeinen Datenschutzrechtlichen Grundlagen unter Hervorhebung der Informationspflichten werden sodann anhand von 13 verschiedenen, praxisorientierten Fällen häufig vorkommende Fallkonstellationen beispielhaft dargestellt und Lösungswegen sowie die Empfehlungen der Behörde erläutert.

 

Dabei wird auf den empfehlenswerten Abschluss von Betriebsvereinbarungen ebenso hingewiesen, wie auf die Tatsache, dass aufgrund der notwendigen Freiwilligkeit und ihrer jederzeitigen Widerrufbarkeit auf Einwilligungen im Beschäftigungsverhältnis nach Möglichkeit verzichtet werden sollte.

 

Im Rahmen der Vertragsanbahnung mit Bewerbern wird der Umgang mit Bewerberdaten und Background-Checks werden ebenso thematisiert wie die Beantwortung der Anfragen der Bundesnetzagentur. Bei den bereits bestehenden Beschäftigungsverhältnissen kommt nicht nur der Einsatz von GPS-Trackern in Dienstfahrzeugen und der konzerninterne Datenaustausch zur Sprache. Auch Videoüberwachung und Beschäftigtenumfragen sowie die private Nutzung von beruflichen E-Mail-Accounts stehen im Fokus.

 

Am Ende des Ratgebers wird noch auf die notwendige Datenlöschung verwiesen.

 

Die immer wieder eingestreuten Praxis- und DSGVO-Tipps weisen auf häufig vorkommende Schwachstellen im Umgang mit dem Datenschutz hin, die wir so aus unserer täglichen Erfahrung bestätigen können. In der einen oder anderen Form erkennen wir in jedem Fall die Fragen, die uns von den Personalverantwortlichen in den Unternehmen gestellt werden, wieder. Insgesamt handelt es sich bei dem Dokument um einen lesenswerten und informativen Ratgeber, der insbesondere den Personalverantwortlichen in den Unternehmen empfohlen werden kann.

 

Céline Lürmann

 

Rechtsanwältin

 

Consultant für Datenschutz

 

Die SPD befürwortet ein Daten-Für-Alle-Gesetz.

 

Hintergrund ist wohl, trotz strenger datenschutzrechtlicher Bestimmungen am digitalen Fortschritt ebenso teilnehmen zu können wie Diktaturen und Staaten mit nicht angemessenem Datenschutzniveau.

 

Daten bedeuten Macht und entsprechend soll das Datenmonopol der digitalen Konzerne wie Google, Facebook und Co. mit einem solchen Gesetz aufgelöst werden, indem sie gezwungen werden, „ihre“ Daten der Allgemeinheit zur Verfügung zu stellen.

 

Als „kollektive“ Daten und damit Allgemeingut sollen sie dann „zum Wohl des Einzelnen und für unsere Gemeinschaft“ genutzt werden, um Innovationen bspw. auf dem Gebiet der Künstlichen Intelligenz zu fördern und europäische Unternehmen wettbewerbsfähig zu halten („Prinzip von Open Data“).

 

Statt „exklusive[r] Eigentumsrechte“ soll es „darum gehen, den Zugang zu Daten zu verbreitern.“

 

Das Recht auf informationelle Selbstbestimmung „macht den Einzelnen grundsätzlich zum Herrn der ihn betreffenden Daten“ (Gola/Schomerus, BDSG, 11. Auflage § 1 Rn 10). Die „Eigentumsverhältnisse“ sind eigentlich somit klar.

 

Auch wenn das „grundlegende Recht auf Datenschutz der Einzelnen“ durchgehend betont wird:

 

Konzerne wie Facebook verdienen nicht deshalb so viel Geld, weil sie vollständig anonymisierte und damit eben keine personenbezogenen Daten verarbeiten; Skandale wie Cambridge Analytics haben dies immer wieder gezeigt. Im besten Fall handelt es sich um zunächst einmal pseudonymisierte Daten, die sich aufgrund ihrer Menge und der Hinzuspeicherung von Daten aus einer Vielzahl von Quellen leicht zu personenbezogenen Daten verdichten können.

 

Mit dem Konstrukt der „kollektiven Daten“ aus dem Bestand der digitalen Großkonzerne wirkt die Idee eines Daten-Für-Alle-Gesetzes auf den ersten Blick daher eher wie ein latenter Vorwurf an den Datenschutz (zwar nett, aber im Zeitalter von Post Privacy veraltet) und ein Hofieren der Innovationskraft von Google, Facebook und Co., an der man teilhaben möchte.

 

S. Kieselmann

 

Beraterin für Datenschutz

 

Dipl.sc.pol.Univ.

Wohnungsmangel ist v.a. in vielen großen Städten Realität. Vermieter und ihre Immobilienmakler können daher unter einer Vielzahl von Interessenten auswählen, von denen sie eine Menge personenbezogener Daten bereits auch schon vor Besichtigungstermin anfordern (z.B. Namensangaben, Geburtsdatum, Kontaktdaten, Anschrift, Familienstand inkl. Namen und Geburtsdatum von Ehepartnern und Kindern, Kinderwunsch, Heiratsabsichten, Schwangerschaft, Angaben zum bestehenden Arbeitsverhältnis wie Dauer (Eintrittsdatum, befristet/unbefristet), Art der Beschäftigung, Angaben zum Arbeitgeber, betriebliche Anschrift etc.), u.a. auch sensible Daten, wie Personalausweisdaten, -kopien, -scans, Vorstrafen sowie Angaben zu Vermögensverhältnissen (z.B. Lohn- und Gehaltsnachweise, Schufa-Auskunft, Angaben zu vorherigen Vermietern, Mietschuldenfreiheitsbescheinigung, Unterhaltsverpflichtungen, Insolvenzverfahren, Räumungsklagen).

 

Abgesehen vom Grundsatz der Datenminimierung werden dabei auch datensicherheitstechnische Vorgaben zum Schutz dieser vielen Daten in erheblichem Umfang missachtet.

 

Doch was dürfen Vermieter und ihre Immobilienmakler wirklich an Daten erheben?

 

Die Aufsichtsbehörden haben eine Orientierungshilfe hierzu herausgegeben (Stand 30.01.2018):

 

Zur Durchführung eines Besichtigungstermins dürfen Vermieter und ihre Immobilienmakler allenfalls

 

- Namensangaben

 

- Kontaktadresse

 

erheben, um den Zeitpunkt der Wohnungsbesichtigung mitzuteilen.

 

Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. f) DSGVO.

 

Teilt bei oder nach dem Besichtigungstermin ein Mietinteressent mit, dass er die Wohnung anmieten möchte, dürfen weitere Daten erhoben werden:

 

- Anzahl der einziehenden Personen

 

- Namensangaben der einziehenden Personen nur, wenn diese ebenso Vertragspartei des Mietvertrages werden

 

- Angaben zu Vermögensverhältnissen: Beschränkung auf Angaben zu einem laufenden Verbraucherinsolvenzverfahren oder zu Räumungsklagen wegen Mietzinsrückständen innerhalb der letzten 5 Jahre

 

- Angaben zum Beruf: Funktion, Job-Titel; nach der Dauer darf nicht gefragt werden

 

- Höhe des Netto-Einkommens: Beschränkung auf Betragsgrenzen

 

Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. b) DSGVO.

 

Hat der Vermieter seine Wahl aufgrund der oben angegebenen Daten auf einige wenige Mietinteressenten eingegrenzt, dürfen weitere Daten erhoben werden:

 

- Lohn- und Gehaltsnachweise, geschwärzt um die nicht erforderlichen Angaben, wie bspw. Religionszugehörigkeit etc.

 

- Selbstauskunft zur Bonität: Beschränkt auf einen Nachweis eigens für den spezifischen Fall der Eingehung eines Mietverhältnisses; der Abschluss des Mietvertrags darf zudem nur noch vom positiven Ergebnis dieser Bonitätsprüfung abhängen.

 

- Angaben können durch die Vorlage des Personalausweises überprüft werden; die Anfertigung von Personalausweis-Kopien/-Scans ist jedoch unzulässig.

 

Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. b) DSGVO.

 

Die Erhebung weiterer als der eben genannten Daten aufgrund einer Einwilligung des Mietinteressenten gemäß Art. 6 Abs. 1 lit. a) DSGVO ist dem Vermieter / Immobilienmakler nicht möglich. Aufgrund des klaren Ungleichgewichts zwischen Vermieter und Mietinteressent, würde der Mietinteressent die Einwilligung nicht freiwillig abgeben, sondern aus einer Zwangslage heraus. Und eine solche Einwilligung ist nicht wirksam und die darauf basierende Datenverarbeitung wäre unzulässig.

 

S. Kieselmann

 

Beraterin für Datenschutz

 

Dipl.sc.pol.Univ.

Einleitung

 

Wer international agiert, muss beim Transfer der Daten besondere Vorkehrungen gem. Art. 44 ff. DSGVO beachten. Die Kommission unterstützt die Unternehmen hierbei: Bestimmte Länder dürfen sich mit einem sog. Angemessenheitsbeschluss schmücken, d.h. der Transfer in diese Länder wird ebenso behandelt, wie wenn die Daten innerhalb der Union ausgetauscht werden.

 

Aus aktuellem Anlass wollen wir auf drei Länder besonders verweisen.

 

Japan

 

Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss erlassen, wonach Japan ein angemessenes Datenschutzniveau bescheinigt wird. Aufgrund eines neuen Abkommens wurden in Japan zusätzliche Garantien eingeführt, die nun gewährleisten, dass sämtliche personenbezogene Daten einem Schutz unterliegen, der den europäischen Standards entspricht. Ein Datentransfer nach Japan ist nunmehr ohne weitere zusätzliche vertragliche Absicherung hinsichtlich der Datenübermittlung in Drittstaaten möglich.

 

Groß-Britannien

 

Ganz anders sieht es mit Groß-Britannien und dem bevorstehenden Brexit aus. Ein No-Deal-Brexit würde auch für den Datenschutz einen „no-Deal“ bedeuten, mit der Konsequenz, dass der Datentransfer ins Königreich nicht mehr ohne zusätzliche Absicherung möglich wäre. Da nicht damit zu rechnen ist, dass die Kommission im Falle eines No-Deal-Brexits umgehend einen entsprechenden Angemessenheitsbeschluss erlässt, sollten sich die Unternehmen vorsorglich darauf einstellen, mit ihren Vertragspartnern sicherheitshalber einen Vertrag aufgrund der Standardvertragsklauseln abzuschließen. Ansonsten wäre eine Datenübermittlung nach Groß-Britannien unrechtmäßig.

 

Schweiz

 

Unklar ist derzeit noch, wie es hinsichtlich des Schweizer Datenschutzrechts aussieht. Zwar existiert (noch) ein Angemessenheitsbeschluss der Kommission. Allerdings bleiben die Schweizer Regelungen in vielen Fällen noch hinter den Regelungen der EU zurück. Die entsprechend geplante Änderung des DSG (Datenschutzgesetz Schweiz) lassen derweil jedoch noch auf sich warten. Wenn die Schweizer Gesetzgebung sich nicht beeilt, droht der Widerruf des Angemessenheitsbeschlusses der Kommission mit der Folge, dass auch hinsichtlich des Datentransfers mit Schweizer Unternehmen die Standard-Vertragsklauseln abzuschließen wären, um einen rechtswidrigen Datentransfer zu vermeiden.

 

Wir halten Sie auf dem Laufenden.

 

Céline Lürmann

 

Rechtsanwältin

 

Consultant für Datenschutz

Spätestens das In-Kraft-Treten der Datenschutzgrundverordnung (DSGVO) und die damit verbundene Androhung drastischer Bußgelder sollte Unternehmen dazu motivieren, ihre Praxis der Datenverarbeitung zu überprüfen und anzupassen.

 

Dennoch erhielt ein Unternehmen von der Bundesnetzagentur nun ein Bußgeld von 300.000 €, weil es Telefonnummern betroffener Personen ohne deren ausdrückliche Einwilligung für Werbezwecke genutzt hatte.

Zwar kann Direktwerbung als ein berechtigtes Interesse des werbenden Unternehmens betrachtet werden (Erwägungsgrund 47 der DSGVO). Aber auch mit Inkrafttreten der DSGVO gilt § 7 Abs. 2 Nr. 2 des Gesetzes gegen den unlauteren Wettbewerb (UWG) weiterhin. Daher muss nach wie vor die Einwilligung der betroffenen Personen eingeholt werden, wenn man deren Daten zum Zwecke der Telefonwerbung verarbeiten möchte. Ohne Einwilligung ist Telefonwerbung nur in sehr restriktivem Maße erlaubt.

 

Darüber hinaus erhob das Unternehmen die Daten der betroffenen Personen wohl teilweise bei unseriösen Quellen, übermittelte die Daten in Drittstaaten ohne angemessenes Datenschutzniveau und soll mitunter Subunternehmen für die Datenverarbeitung eingesetzt haben, die bereits negativ wegen entsprechender Praktiken aufgefallen waren.

 

Ergebnis der unbefugten Datenverarbeitung war, dass die Angerufenen „äußerst hartnäckig, aggressiv, beleidigend und teilweise bedrohend“ werblich angesprochen worden sein sollen. Auch ihr Recht aus Art. 21 Abs. 2 DSGVO, einer solchen Datenverarbeitung zu Werbezwecken zu widersprechen, wurde laut Bundesnetzagentur ignoriert: So wurden betroffene Personen „häufig mehrmals kontaktiert, obwohl sie weitere Anrufe bereits im ersten Gespräch untersagt hatten“.

Der Bußgeldbescheid der Bundesnetzagentur ist noch nicht rechtskräftig (Stand: 10.12.2018). Der weitere Fortgang des Bußgeldverfahrens bleibt daher abzuwarten.

 

S. Kieselmann

 

Beraterin für Datenschutz

 

Dipl.sc.pol.Univ.

Das Verwaltungsgericht München hat in seinem Urteil vom 12.12.2018 (Az.: M 9 K 18.4553) entschieden, dass die Airbnb Ireland UC Daten zu Nutzern ihrer Plattform an die Landeshauptstadt München übermitteln muss.

 

Dem „stünden keine datenschutzrechtlichen Bedenken entgegen“ (Redaktion beck-aktuell: VG München: Airbnb muss Identität deutscher Gastgeber preisgeben, Verlag C.H.BECK, 13. Dezember 2018).

 

Öffentlichen Stellen in Bayern dürfen personenbezogene Daten nur erheben, wenn dies zur Erfüllung einer Aufgabe erforderlich ist, die der öffentlichen Stelle obliegt, Art. 4 BayDSG.

 

Eine Erhebung der Daten bei Dritten wie hier der Airbnb Ireland UC ist dabei nur erlaubt, wenn

 

- eine solche Datenerhebung durch eine Rechtsvorschrift vorgesehen oder zwingend vorausgesetzt wird, oder

 

- die zu erfüllende Verwaltungsaufgabe ihrer Art nach oder im Einzelfall die Datenerhebung bei dem Dritten erforderlich macht, oder

 

- die Erhebung bei der betroffenen Person selbst wie hier den Airbnb-Nutzern einen unverhältnismäßigen Aufwand erfordern oder keinen Erfolg versprechen würde.

 

In den zwei letzten Fällen dürfen aber keine schutzwürdigen Interessen der betroffenen Personen entgegenstehen.

 

Entsprechende Rechtsvorschriften und Verwaltungsaufgaben sollen sich hierfür im „bayerischen Zweckentfremdungsrechts“ finden. Dadurch soll in einer Stadt wie München sichergestellt werden, dass leerstehender Wohnraum weniger an Touristen und sonstige Besucher, sondern an die Einwohner der Stadt vermietet wird, die unter dem Wohnraummangel zusehends leiden.

 

Von der Datenübermittlung betroffen sollen zudem auch nur diejenigen Airbnb-Nutzer sein, die Unterkünfte im Stadtgebiet anbieten und zwar für einen Zeitraum, der „die zulässige Höchstvermietungsdauer überschreite[t]“ (Redaktion beck-aktuell: VG München: Airbnb muss Identität deutscher Gastgeber preisgeben, Verlag C.H.BECK, 13. Dezember 2018).

 

S. Kieselmann

 

Beraterin für Datenschutz

 

Dipl.sc.pol.Univ.

Nach dem Dieselskandal sollen die Dieselfahrverbote kommen.

 

Zur Durchsetzung der Verbote wurde nun ein Gesetzesentwurf von der Bundesregierung zur Änderung des Straßenverkehrsgesetzes (StVG) eingebracht, der wiederum für Empörung der Verbraucher sorgen könnte.

 

Es ist nämlich geplant, Verbote für Dieselfahrzeuge durch den Einsatz intelligenter Videoüberwachungs-technik durchzusetzen. Die damit verbundene „massenhafte Überwachung von Autofahrern wegen einer Ordnungswidrigkeit“ stößt -kaum überraschend- weitestgehend auf Kritik (beck-aktuell, 18. Januar 2019: Opposition hat Datenschutz-Bedenken gegen Überwachung von Diesel-Fahrverboten per Kennzeichen-Scan).

 

In seiner Pressemitteilung vom 27.11.2018 hat sich der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit besorgt darüber gezeigt: Der Einsatz solcher Technik „führt erkennbar in eine unverhältnismäßige staatliche Überwachungs- und Kontrollspirale hinein und steuert damit verfassungsrechtlich direkt in eine Sackgasse.“

 

Denn erst einmal würden deutschlandweit in den ausgewiesenen Zonen alle sich dort aufhaltenden Verkehrsteilnehmer automatisiert erfasst, und zwar mit ihrem KFZ-Kennzeichen, zusätzlich mit dem Bild ihres Fahrzeugs und von ihnen selbst als Fahrer sowie den Zeit- und Standortangaben. Anschließend sollen ihre Daten mit denjenigen aus dem Zentralen Fahrzeugregister des Kraftfahrt-Bundesamtes in Flensburg abgeglichen werden (Schindler/Kottke: Dieselfahrverbote und Kennzeichenerkennung, ZD-Aktuell 2018, 06392). Die Speicherdauer der Daten beträgt zwei Wochen bis 6 Monate (beck-aktuell, 18. Januar 2019: Opposition hat Datenschutz-Bedenken gegen Überwachung von Diesel-Fahrverboten per Kennzeichen-Scan).

 

Auch wenn hierbei kein ‚Citizen Score‘ nach chinesischem Vorbild für das Führen eines umweltfreundlichen Autos vergeben werden soll, sind damit sehr wohl Risiken für die Bürger verbunden. Daher empfiehlt der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit auf eine gewöhnliche Plakette als milderes Mittel zurückzugreifen.

 

Nach Ansicht der Bunderegierung sei dies aber keine Lösung, die genauso praktikabel, effizient und dabei weniger personalintensiv sei wie der Einsatz intelligenter Videoüberwachungstechnik. Zudem würden „die Daten sofort gelöscht werden, wenn ein Fahrzeug nicht von den Fahrverboten betroffen ist“ (Massenüberwachung von Autos macht noch keinen „Überwachungsstaat“, ZD-Aktuell 2018, 06374).

 

Die Verbraucher sollen nun also auch noch mit ihren Daten für den Dieselskandal „bezahlen“. Dabei sollte „[v]orrangiges Ziel (…) sein, den Schadstoffausstoß von Kraftfahrzeugen zu reduzieren (…).“ Und das kann „am Ende nicht durch Kennzeichenerkennung erreicht werden“ (Schindler/Kottke: Dieselfahrverbote und Kennzeichenerkennung, ZD-Aktuell 2018, 06392).

 

 

S. Kieselmann

 

Beraterin für Datenschutz

 

Dipl.sc.pol.Univ.

Die Datenschutzgrundverordnung (DSGVO) ist gut ein halbes Jahr alt. Die anfängliche Aufregung war spürbar, doch seit ein paar Monaten ist es ruhiger geworden um die DSGVO. Nun wurde aber das erste ernstzunehmende europäische Bußgeld für Google erlassen.

 

Google soll in Frankreich insgesamt 50 Millionen Strafe zahlen. Die französische Datenschutzbehörde CNIL stellte eine Vielzahl von Verstößen gegen die DSGVO fest.

 

Informationen zur Verarbeitung der erhobenen Daten und der Speicherdauer sind für die Nutzer nur schwer zugänglich, erklärte die französische Datenschutzbehörde am Montag. Die Informationen sind in mehreren Dokumenten verteilt. Auch ist Vieles unklar formuliert.

 

Zudem ist nach Ansicht der Aufsichtsbehörde die von Google eingeholte Einwilligung zur Anzeige von personalisierter Werbung nicht rechtskonform. Die Einwilligenden werden nicht ausreichend informiert.

 

Google wolle nun nach einer ausführlichen Prüfung des Bescheides die Transparenz bzgl. der Daten erhöhen.

 

 

Dr. Bettina Kraft

 

Teamleitung und Senior Consultant für Datenschutz

 

Volljuristin

50 Millionen Abbinder Abmahnung Abmahnungen Abo-Falle ADCERT Airbnb Angemessenheitsbeschluss Angriff Anklage Anwendbarkeit Anwendung Arbeitgeber Arbeitnehmer Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsansprüche Auskunftsrecht Austritt Automatisierte Einzelentscheidung Autsch Backup Baden-Württemberg BAG BayDSG Bayerisches Datenschutzgesetz BDSG-Neu BEAST Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Beschäftigtendatenschutz Beschäftigtenumfragen besondere Kategorien personenbezogener Daten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsvereinbarung betroffene Personen Betroffenenrechte Bewerberdaten BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom Bonität Bonitätsprüfung Brexit Browser Bund Bundesarbeitsgericht Bundesnetzagentur Bußgeld Bußgelder BVG Cambridge Analytics Citizen-Score Cloud CNIL Compliance Cookie Custom Audience Cyber Dashcam Daten Daten-für-alle-Gesetz Datenaustausch Datenerhebung Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung datenschutzkonform Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Dating Dating-Portale Deutsche Bahn Diebstahl Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Do not track-Funktion Donald Trump Dritter Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSG DSGVO DSK dynamische IP-Adresse E-Mail e-Privacy-Verordnung E-Rechnung eCall-Technologie EES EFAIL Eigentum Einwilligung Einwilligungserklärung Einwilligungserklärungen Empfänger Entsorgung Erhebung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Parlament EuGH Europäische Aufsichtsbehörde Europäische Union Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis FlugDaG Fluggastdaten Folgenabschätzung Foto freiwillig Funkmäuse Funktastaturen Geheimhaltung Geldbörse Gemeinsam Verantwortliche Gericht Gesetz gegen den Unlauteren Wettbewerb gestohlen Gesundheitsdaten Gewährleistung Google Google Analytics grenzüberschreitend Groß-Britannien hacken Hacker Hackerangriff Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Hinweisgeber Höchstvermietungsdauer Home Office Immobilienmakler Informationspflicht Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights interner Datenschutzbeauftragter Investition IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Security IT-Sicherheit IT-Systeme ITSECX Japan Jin-hyok Joint Control Kanada Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder kollektive Daten Kommune Konferenz Kontaktdaten Kontakte Konzern konzerninterner Datentransfer KoSIT Kriminalität KUG Kundenbindung Kundenzufriedenheit Kunsturhebergesetz Laptop Lazarus Leistungs- und Verhaltenskontrolle LfDI Baden-Württemberg Löschung personenbezogener Daten Löschungsrecht Lösegeld Makler Malware Markennamen Markenrecht Marktortprinzip MD5 Meldepflicht Meldescheine Meldesystem Meldung Meltdown Messenger Microsoft Mieter Mietverhältnis Misch-Account Mitarbeiter Mitbewerber MouseJack-Angriffe Netzwerklabor NIST No-Deal-Brexit Nordkorea Notebook Nutzungsbedingungen Öffnungsklauseln One Stop Shop One-Stop-Shop Österreich Papierrechnung Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetrationstest Personalausweiskopien Personalverantwortliche personenbezogene Daten Personenbilder Persönlichkeitsrechte Pflichten Plattformbetreiber PNR-Daten PNR-Instrumente POODLE Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Privatsphäre Profiling Quantencomputer Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Referenten Regelungsaufträge Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management Rufschädigung SamSam Sanktionen Schaden Schadprogramm schutzwürdige Interessen Schweiz Seitenbetreiber SHA1 sicher Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Skype Smartphone Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke SPD Spectre Speicherdauer Sponsoren Standardvertragsklauseln Strafe Strafverfolgung Studenten Supercomputer Risikolage Support Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telefonnummer Telefonwerbung Telemediendienst Telemediengesetz Telstra Security Report TKG TLS TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unerlaubt unpersonalisierter Benutzer-Account Unternehmensgruppe unzulässig US-Regierung USA UWG Verantwortlicher Verantwortung Vereinbarung Vereinigtes Königreich Großbritannien und Nordirland verloren Verlust Vermieter Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Virus Vorteile WannaCry Webseite Webseiten Webtracking Webtrecking Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wohnung X-Rechnung Zertifikat Zertifizierung Zugangsdaten Zugriff zulässig Zulässigkeit zuständig § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30