Nutzbarkeit außereuropäischer Videokonferenzsoftware

/in /von

Die nach wie vor hohen Zahlen derer, die an Corona erkranken (und sterben) bedingen, dass auch die meisten Schulen bis auf Weiteres nicht zum Präsenzunterricht zurückkehren. Dies wiederum befeuert ein Thema, welches mit der Pandemie zum datenschutzrechtlichen Dauerthema geworden ist: Welche Videokonferenzsysteme lassen sich datenschutzkonform nutzen? Welche Anforderungen müssen eingehalten werden? Was passiert, wenn die datenschutzrechtlichen Anforderungen nicht so schnell umgesetzt werden können, wie es erforderlich wäre?

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI), Professor Dieter Kugelmann, macht hierzu einen sehr pragmatischen Vorschlag:

„Aus Datenschutz-Sicht hat die vom rheinland-pfälzischen Bildungsministerium empfohlene Lösung Big Blue Button (BBB), die bei der Johannes Gutenberg-Universität Mainz gehostet wird, große Vorzüge. Bei BBB handelt es sich um eine Open Source-Lösung, die es ermöglicht, sie unter vollständiger, eigener Kontrolle und auf eigenen Systemen zu betreiben. Die Übermittlung von Nutzungsdaten an Dritte oder deren Verwendung gar für Werbezwecke kann ausgeschlossen werden.“

Die Software Big Blue Button war vor einiger Zeit auch im Rahmen der rechtlichen Kurzprüfung der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI), Maja Smoltczyk, positiv erwähnt worden. Die Liste war als Hilfestellung für Berliner Unternehmen, Behörden, Vereine und Freiberufler gedacht.Professor Kugelmann weiter:

„Aus datenschutzrechtlichen Gründen sollte daraufhin gearbeitet werden, dass mit Beginn des Schuljahrs 2021/2022 alle Schulen auf BBB zurückgreifen können. Angesichts der derzeitigen Ausnahmesituation und bestehender technischer Probleme ist es vertretbar, wenn im laufenden Schuljahr Schulen außereuropäische Videokonferenzsoftware verwenden, um dem Bildungsauftrag nachzukommen. Um den Schulen in der schwierigen Pandemie-Situation Möglichkeiten des Distanzunterrichts zu erhalten, werden, mit Blick auf den bis Schuljahresende zugesagten performanten Ausbau der Big Blue Button-Plattform, daher Bedenken hinsichtlich einer fortdauernden Nutzung durch Schulen von MS Teams und vergleichbaren Lösungen US-amerikanischer Anbieter vorerst zurückgestellt.

„Die Anwendung dieser sehr pragmatischen Sichtweise knüpft der LfDI Rheinland-Pfalz jedoch an einige Bedingungen:

• Bereits eingesetzte Lösungen US-amerikanischer Anbieter müssen auf schuleigenen Systemen betrieben werden, oder es müssen, bei Inanspruchnahme eines Dienstleisters im Rahmen einer Auftragsverarbeitung gemäß Artikel 28 Datenschutz-Grundverordnung, die Konferenzdaten auf Systemen deutscher oder europäischer Anbieter verarbeitet werden. Zudem müssen die Lösungen datensparsam konfiguriert und mit von der Schule vergebenen, pseudonymisierten Zugangsdaten genutzt werden. Es wird eine Verwendung der Nutzungsdaten für Werbezwecke vertraglich ausgeschlossen (§ 103 Übergreifende Schulordnung).

• Die Nutzerinnen und Nutzer müssen gemäß Artikel 13 DS-GVO informiert werden.

• Auf die in § 1 Abs. 6 Schulgesetz vorgesehene Möglichkeit, eine verbindliche Nutzung digitaler Lehr- und Lernmittel vorzusehen, wird verzichtet. Wenn Eltern, Schülerinnen oder Schüler einer Nutzung amerikanischer Softwareprodukte ausdrücklich widersprechen, werden äquivalente Lehrangebote zur Verfügung gestellt.

Bundesnetzagentur verhängt Bußgeld wegen unerlaubter Telefonwerbung

/in /von

Die Bundesnetzagentur hat gegen das Call-Center Cell it! GmbH & Co. KG eine Geldbuße in Höhe von 145.000 Euro verhängt.

Die Cell it! hatte nach Erkenntnissen der Bundesnetzagentur im Auftrag des Mobilfunkanbieters Mobilcom-Debitel an dessen Kunden insbesondere Drittanbieterabonnements für Hörbücher und Zeitschriften, Video-on-Demand-Dienste, Sicherheitssoftware oder Handyversicherungen vertrieben. Dabei kam es immer wieder dazu, dass den Angerufenen im Nachgang des Telefonats Zusatzdienstleistungen untergeschoben und teilweise auch in Rechnung gestellt wurden, die diese überhaupt nicht bestellt hatten.

Daneben hatte Cell it! für den Pay-TV-Anbieter Sky Deutschland Fernsehen telefonische Neukundenakquise übernommen. Das Unternehmen führte all diese Anrufe durch, obwohl keine gültige Werbeeinwilligung der Angerufenen vorlag. Viele Betroffene berichteten zudem gegenüber der Bundesnetzagentur, dass trotz Untersagung weiterer Anrufe gehäuft Kontaktaufnahmen erfolgten, durch die sie sich massiv belästigt fühlten.

Zu den konkreten Formen der Direktwerbung, also dem Kontaktweg zu den betroffenen Personen (Ansprache per Telefonanruf, E-Mail, Fax etc.), regelt das Wettbewerbsrecht, § 7 des Gesetzes gegen den unlauteren Wettbewerb (UWG), in welchen Fällen von einer unzumutbaren Belästigung der Beworbenen auszugehen und eine Werbung dieser Art unzulässig ist.

Weil Art. 6 Abs. 1 Satz 1 lit. f DS-GVO eine Verarbeitung personenbezogener Daten nur für zulässig erklärt, soweit die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen, sind auch bei der datenschutzrechtlichen Beurteilung einer Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung die Wertungen in den Schutzvorschriften des UWG für die jeweilige Werbeform mitzuberücksichtigen. Wenn für den werbenden Verantwortlichen ein bestimmter Kontaktweg zu einer betroffenen Person danach nicht erlaubt ist, kann die Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. f DS-GVO auch nicht zugunsten der Zulässigkeit einer Verarbeitung dieser Kontaktdaten für Zwecke der Direktwerbung ausfallen.

Datenschutzkonferenz (DSK): Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutz-Grundverordnung

BfDI: Stellungnahme zu überarbeiteten Standarddatenschutzklauseln

/in /von

Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 15.01.2021

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, ist sehr zufrieden mit dem Ergebnis des Europäischen Datenschutzausschusses (EDSA) zu Standarddatenschutzklauseln (SDK). Die europäischen Datenschutzaufsichtsbehörden und der Europäische Datenschutzbeauftragte (EDPS) hatten in der Sitzung vom 14. Januar gemeinsame Stellungnahmen zu den Entwürfen der Europäischen Kommission von SDK beschlossen.

Dazu sagte BfDI Ulrich Kelber: „Es gab intensive Verhandlungen zu den Stellungnahmen, die ich mit meinen Kolleginnen und Kollegen verabschiedet habe. EDSA und EDPS kommen zu einem klaren Urteil. Unsere deutsche Position findet sich an vielen Stellen der Papiere wieder. Dieser gemeinsame Vorschlag würde Rechtssicherheit für den Datenaustausch mit Ländern außerhalb des Europäischen Wirtschaftsraumes bringen, ohne Einschränkungen beim Datenschutz zu machen.“

Der BfDI hatte mit seinen Kolleginnen und Kollegen aus den Bundesländern die deutsche Position entwickelt. Der EDSA und der EDPS waren zum Jahreswechsel von der Europäischen Kommission gebeten worden, eine gemeinsame Stellungnahme zu zwei Entwürfen von SDK nach Art. 28 und Art. 46 der Datenschutz-Grundverordnung (DSGVO) zu erarbeiten. Die neuen SDK zu Art. 46 DSGVO sollen die bisherigen bei internationalen Datenübermittlungen ersetzen. Neuerungen gibt es beispielsweise bei Anpassungen an die Anforderungen der DSGVO und die Schrems II Rechtsprechung des Europäischen Gerichtshofes. Die SDK zu Artikel 28 DSGVO sollen für die Vertragsgestaltung zwischen Verantwortlichen und Auftragsverarbeitern erstmals einen europaweit verwendbaren Standard setzen, der den Unternehmen und Behörden die Umsetzung der entsprechenden Vorgaben der DSGVO deutlich erleichtert. Der EDSA wird den gemeinsamen Vorschlag in Kürze auf seiner Homepage veröffentlichen: https://www.edpb.europa.eu/

Die Pressemitteilungen des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit können hier abgerufen werden.

Download Stellungnahme zu überarbeiteten Standarddatenschutzklauseln als PDF

LfD Niedersachsen: Nutzung der Meldedaten für Impfschreiben ist möglich

/in /von

Pressemitteilung der Landesbeauftragten für den Datenschutz Niedersachsen vom 15.01.2021

Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen, Barbara Thiel, stellt klar, dass es kein grundsätzliches datenschutzrechtliches Hindernis gibt, auf Meldedaten zurückzugreifen, um Impfinformationen an Bürgerinnen und Bürger zu schicken. Durch die öffentliche Darstellung der vergangenen Tage war der Eindruck entstanden, der Datenschutz verhindere generell die Nutzung der Meldedaten für diesen Zweck. Das ist falsch.

Richtig ist, dass dem Sozialministerium die Nutzung des Melderegisterdatenspiegels (die tagesaktuelle Zusammenstellung der kommunalen Melderegisterdaten) aufgrund landesrechtlicher Regelungen nicht möglich ist, um Impfinformationen an über 80-jährige Personen zu versenden. Insbesondere die Regelungen des Niedersächsischen Ausführungsgesetzes zum Bundesmeldegesetz stehen dem entgegen. Dies gilt auch für die Einbindung eines privaten Dienstleisters.

Allerdings gibt es andere Möglichkeiten, auf die Meldedaten zurückzugreifen, ohne mit dem Melde- oder Datenschutzrecht in Konflikt zu geraten. Zum einen können die Informationen des Sozialministeriums über die Kommunen versendet werden. Diese halten die nötigen Daten ohnehin vor und dürfen sie auch für diesen Zweck verwenden. Es ist deshalb zu begrüßen, dass das Sozialministerium das Angebot der kommunalen Spitzenverbände angenommen hat, bei der Versendung der Impfschreiben zu unterstützen.

Zum anderen kann das Sozialministerium die Daten gemäß § 34 Abs. 2 Bundesmeldegesetz auch durch eine sogenannte Gruppenauskunft von den jeweiligen Kommunen erhalten und für die Impfinformationen verwenden. Für die Versendung könnte das Ministerium hier auch einen privaten Dienstleister einsetzen. Sofern dieser Dienstleister mit personenbezogenen Daten in Berührung kommt, wäre der Abschluss eines Auftragsverarbeitungsvertrages erforderlich. Insbesondere müsste durch den Vertrag sichergestellt werden, dass der Dienstleister die Daten nicht zu eigenen Zwecken verwendet, wie z. B. für Werbung.

„Wir sehen aus datenschutzrechtlicher Sicht keine Notwendigkeit für die Verwendung der Datenbank der Deutschen Post Direkt GmbH“, sagt Landesdatenschutzbeauftragte Barbara Thiel. „Es gibt rechtlich gangbare Möglichkeiten, um die Meldedaten zu verwenden. Es ist nun wieder einmal der falsche Eindruck entstanden, Datenschutz stünde über allen anderen Gütern und würde notwendige Maßnahmen verhindern. Bedauerlicherweise ist mein Haus in diesen Fragen nicht vom Sozialministerium eingebunden worden.“

Die Pressemitteilungen der Landesbeauftragten für den Datenschutz Niedersachsen können hier abgerufen werden.

LfD Niedersachsen verhängt Bußgeld über 10,4 Millionen Euro gegen notebooksbilliger.de

/in /von

Pressemitteilung der Landesbeauftragten für den Datenschutz Niedersachsen vom 08.01.2021

Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat eine Geldbuße über 10,4 Millionen Euro gegenüber der notebooksbilliger.de AG ausgesprochen. Das Unternehmen hatte über mindestens zwei Jahre seine Beschäftigten per Video überwacht, ohne dass dafür eine Rechtsgrundlage vorlag. Die unzulässigen Kameras erfassten unter anderem Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche.

Das Unternehmen hatte sich darauf berufen, dass es Ziel der installierten Videokameras gewesen sei, Straftaten zu verhindern und aufzuklären sowie den Warenfluss in den Lagern nachzuverfolgen. Zur Verhinderung von Diebstählen muss eine Firma aber zunächst mildere Mittel prüfen (z. B. stichprobenartige Taschenkontrollen beim Verlassen der Betriebsstätte). Eine Videoüberwachung zur Aufdeckung von Straftaten ist zudem nur rechtmäßig, wenn sich ein begründeter Verdacht gegen konkrete Personen richtet. Ist dies der Fall, kann es zulässig sein, diese zeitlich begrenzt mit Kameras zu überwachen. Bei notebooksbilliger.de war die Videoüberwachung aber weder auf einen bestimmten Zeitraum noch auf konkrete Beschäftigte beschränkt. Hinzu kam, dass die Aufzeichnungen in vielen Fällen 60 Tage gespeichert wurden und damit deutlich länger als erforderlich.

Generalverdacht reicht nicht aus

„Wir haben es hier mit einem schwerwiegenden Fall der Videoüberwachung im Betrieb zu tun“, sagt die LfD Niedersachsen, Barbara Thiel, „Unternehmen müssen verstehen, dass sie mit einer solch intensiven Videoüberwachung massiv gegen die Rechte ihrer Mitarbeiterinnen und Mitarbeiter verstoßen“. Auch die immer wieder vorgebrachte, angeblich abschreckende Wirkung der Videoüberwachung rechtfertige keinen dauerhaften und anlasslosen Eingriff in die Persönlichkeitsrechte der Beschäftigten. „Wenn das so wäre, könnten Unternehmen die Überwachung grenzenlos ausdehnen. Die Beschäftigten müssen aber ihre Persönlichkeitsrechte nicht aufgeben, nur weil ihr Arbeitgeber sie unter Generalverdacht stellt“, so Thiel. „Videoüberwachung ist ein besonders intensiver Eingriff in das Persönlichkeitsrecht, da damit theoretisch das gesamte Verhalten eines Menschen beobachtet und analysiert werden kann. Das kann nach der Rechtsprechung des Bundesarbeitsgerichts dazu führen, dass die Betroffenen den Druck empfinden, sich möglichst unauffällig zu benehmen, um nicht wegen abweichender Verhaltensweisen kritisiert oder sanktioniert zu werden.“

Auch Kundinnen und Kunden von notebooksbilliger.de waren von der unzulässigen Videoüberwachung betroffen, da einige Kameras auf Sitzgelegenheiten im Verkaufsraum gerichtet waren. In Bereichen, in denen sich Menschen typischerweise länger aufhalten, zum Beispiel um die angebotenen Geräte ausgiebig zu testen, haben die datenschutzrechtlich Betroffenen hohe schutzwürdige Interessen. Das gilt besonders für Sitzbereiche, die offensichtlich zum längeren Verweilen einladen sollen. Deshalb war die Videoüberwachung durch notebooksbilliger.de in diesen Fällen nicht verhältnismäßig.

Die 10,4 Millionen Euro sind das bisher höchste Bußgeld, das die LfD Niedersachsen unter Geltung der Datenschutz-Grundverordnung (DS-GVO) ausgesprochen hat. Die DS-GVO ermöglicht es den Aufsichtsbehörden, Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens zu verhängen – je nachdem, welcher Betrag höher ist. Das gegen notebooksbilliger.de ausgesprochene Bußgeld ist noch nicht rechtskräftig. Das Unternehmen hat seine Videoüberwachung mittlerweile rechtmäßig ausgestaltet und dies der LfD Niedersachsen nachgewiesen.

Mehr Informationen

Informationen der LfD Niedersachsen zum Thema Videoüberwachung

BvD: Herabsetzung der Bestellgrenze des DSB auf 10 Personen ist kontraproduktiv und kein Bürokratieabbau

/in /von

Beratung zu Datenschutzpflichten entfällt oft ersatzlos

Ruhr-Universität Bochum untersuchte im Auftrag des BvD und der Zeitschrift Datenschutz PRAXIS die Folgen der Erhöhung der Benenngrenze. 

Ein Jahr ist vergangen, seit der Gesetzgeber die Grenze der Pflicht, einen Datenschutzbeauftragten (DSB) zu benennen, von 10 auf 20 datenverarbeitende Mitarbeiter hochgesetzt hat. Die Folgen für Unternehmen und DSB hat nun die Ruhr-Universität Bochum im Auftrag des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e.V. und der Zeitschrift Datenschutz PRAXIS in einer Umfrage mit insgesamt 353 Teilnehmenden analysiert.

Positive Erfahrungen mit Expertise: DSB in 8 von 10 Fällen freiwillig beibehalten

62 Prozent der Befragten betreuen als externe DSB insgesamt 8.399 Unternehmen, von denen jedes vierte (3.391) von der Änderung betroffen ist. Von diesen haben lediglich 16 Prozent ihren externen DSB abberufen, rund 84 Prozent entschieden sich dafür, ihn beizubehalten. Betroffen von den Abberufungen waren mit 123 jedoch mehr als die Hälfte (56 %) der befragten externen Datenschutzbeauftragten.

„Dass sich acht von zehn Unternehmen, die vormals zur Benennung verpflichtet waren, zu einer Beibehaltung der externen Datenschutzbeauftragten entschlossen haben, lässt auf positive Erfahrungen mit der damit einhergehenden Expertise schließen“, so BvD-Vorstandsvorsitzender Thomas Spaeing. „Im Umkehrschluss bedeutet dies aber leider auch, dass in Folge der Gesetzesänderung nun vermutlich weniger Unternehmen diese positive Erfahrung machen werden.“

Oft übernimmt niemand Beratung und Überwachung der Datenschutzpflichten

Die Abberufung der externen DSB führt in Unternehmen zu massiven Auswirkungen für das Datenschutz-Managementsystem: Sechs von zehn in Unternehmen abberufene externe DSB gaben an, dass es Fälle gibt, in denen ihres Wissens niemand die Überwachung und Beratung hinsichtlich der Datenschutzpflichten wahrnimmt. Die Risiken für die Unternehmen und für betroffene Personen sind immens.

Rund 35 Prozent gaben an, dass die Geschäftsführung nun selbst diese Aufgabe übernimmt. Als andere Funktionsbereiche, die diese Aufgabe übernehmen, wurden interne DSB (19,5 %), externe Datenschutzbeauftragte ohne Benennung (10,6 %), Führungskräfte (8,9 %) und externe Rechtsanwälte (4,1 %) genannt.

Mehraufwand durch Ineffizienz

Überraschend sind die Aussagen zu den Auswirkungen, die diese Veränderung hervorgerufen hat: 43 Prozent der in Unternehmen abberufenen DSB sind der Meinung, dass sich die Aufwände für den Datenschutz durch die Abberufung des DSB erhöht haben. Eine Abnahme des Aufwands – die, wie oben beschrieben, aber eben mit einer riskanten Vernachlässigung der Datenschutzpflichten einhergeht – gaben 39 Prozent an, 18 Prozent sehen hier keine Veränderung.

Entgegen der Erwartung haben in 40 Prozent der Unternehmen Aufwände entsprechend der Aussage der ehemaligen DSB zugenommen. „Dieses Ergebnis widerspricht dem häufig angeführten Argument des Bürokratieabbaus durch die Änderung der Benenngrenze“, so Spaeing. „Das ergibt auch Sinn. Weniger Expertise bedeutet Mehraufwand durch Ineffizienz und mangelnde Qualität – bei gleichbleibenden Anforderungen durch die DSGVO und das BDSG.“

Unterstrichen wird diese Wahrnehmung durch die Angaben zu den weiteren Folgen. Die Mehrheit der in Unternehmen abberufenen externen Datenschutzbeauftragten gab als Folgen auch eine Abnahme der Sensibilität für das Thema Datenschutz (87,5 %), beim Wissenstand in rechtlichen (86,7 %) sowie technisch-organisatorischen Fragen (84,2 %) des Datenschutzes und bei der Klarheit der Zuständigkeit (76,7 %) an.

Auch 135 interne DSB und Unternehmensvertreter nahmen an der Umfrage teil. Bei dieser Gruppe war die überwiegende Mehrheit von rund 88 Prozent jedoch nicht von der Gesetzesänderung betroffen. Entweder waren bereits vor der Änderung weniger als 10 Mitarbeiter mit der Verarbeitung personenbezogener Daten betraut oder die Benennpflicht bestand auch nach der Änderung aufgrund der Mitarbeiterzahl oder der besonderen Verarbeitung weiter.

Hinweis zur Methodik: Grundlage der Angaben ist eine Umfrage, die die Ruhr-Universität Bochum im Auftrag des BvD und der Zeitschrift Datenschutz PRAXIS unter ihren Mitgliedern, Leserinnen und Lesern durchgeführt hat. Dabei wurden 504 Personen (interne und externe Datenschutzbeauftragte sowie Unternehmensvertreter) in Deutschland per Online-Fragebogen befragt.

Ihr BvD-Ansprechpartner:
BvD Pressestelle, Tel: 030 26 36 77 60, Budapester Straße 31, 10787 Berlin
E-Mail: pressestelle@bvdnet.de, Internet: https://www.bvdnet.de, Vorstandsvorsitzender Thomas Spaeing

Der BvD: Die Interessenvertretung der Datenschutzbeauftragten
Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. fördert die beruflichen Interessen der Datenschutzbeauftragten in Behörden und Betrieben und setzt sich aktiv für die weitere Entwicklung und Akzeptanz des Berufes „Datenschutzbeauftragter“ in Deutschland und Europa ein.

https://www.bvdnet.de/presse/beratung-zu-datenschutzpflichten-entfaellt-oft-ersatzlos/

GDD: „Schrems II“, Office 365 etc. – Datenschutzpraktiker fordern von Behörden praktische Hilfestellung anstatt pauschaler Verbote

/in /von

DAFTA 2020: „Schrems II“, Office 365 etc. – Datenschutzpraktiker fordern von Behörden praktische Hilfestellung anstatt pauschaler Verbote­

Vom 19. bis 20.11.2020 führt die Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V., ihre 44. Datenschutzfachtagung (DAFTA) durch. Die traditionell im Kölner Maternushaus abgehaltene Veranstaltung findet auf Grund der Corona-Pandemie in diesem Jahr komplett online statt.

Peter Biesenbach, NRW Justizminister, begrüßt das Urteil, mit dem das LG Bonn am 11.11.2020 das Bußgeld des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit gegen den Telekommunikationsanbieter 1&1 von ursprünglich 9,5 Millionen Euro auf 900.000 € herabgesetzt hat. Mit seiner Entscheidung habe das Gericht der datenverarbeitenden Wirtschaft wichtiges Vertrauen in den Rechtsstaat zurückgegeben. Diese müsse nun nicht mehr mit der Angst vor irrationalen Bußgeldern der Verwaltungsbehörden leben, sondern dürfe damit rechnen, dass Datenschutzverstöße zwar empfindliche, aber risikoadäquate Sanktionen nach sich ziehen.

Zur lange geplanten ePrivacy-Verordnung berichtet Rolf Bender, Bundeministerium für Wirtschaft und Energie, dass nunmehr leider klar sei, dass auch im Rahmen der deutschen Ratspräsidentschaft keine Verständigung im EU-Ministerrat mehr erreicht werde. Damit sei es jetzt an den Portugiesen, sich um eine allgemeine Ausrichtung zu bemühen, damit in die Verhandlungen mit EU-Parlament und EU-Kommission eingetreten werden könne. Auf nationaler Ebene sei mit dem Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) ein neues Stammgesetz für den Datenschutz geplant, welches die Datenschutzregelungen im Telekommunikations- und Telemedienbereich zusammenführe. Die Ressortabstimmung soll „sehr bald“ abgeschlossen werden, so Bender. Danach folge die Anhörung der Verbände zum Gesetzentwurf.

Prof. Dr. Günter Krings, MdB, Parlamentarischer Staatssekretär beim Bundesminister des Innern, für Bau und Heimat, begrüßt das Bestreben, die Datenschutzregelungen im Telekommunikations- und Telemedienbereich in einem einheitlichen Gesetz zusammenzuführen. Der gegenwärtig bestehende rechtliche Flickenteppich müsse schnellstmöglich beseitigt und Rechtssicherheit geschaffen werden. Die ePrivacy-VO könne nicht länger abgewartet werden. Der deutsche Gesetzgeber habe die Möglichkeit, durch das nationale Gesetzgebungsvorhaben Wege für einen angemessenen Interessenausgleich im ePrivacy-Bereich aufzuzeigen.

Nach Prof. Dr. Herwig Hofmann, Universität Luxemburg, Klagevertreter im Fall Schrems II, ist die seit 2013 dauernde „Schrems Saga“ auch mit dem EuGH Urteil aus dem Juli dieses Jahres (Schrems II – C-311/18) weiterhin nicht abgeschlossen. Die DPC in Irland habe ihr Verfahren erneut ausgesetzt und der Europäische Datenschutzausschuss zwei „Schrems II Task Forces“ eingesetzt. Die Standardvertragsklauseln habe der EuGH aus seiner Sicht zurecht erhalten, so Hofmann. Insofern seien aber nun der Transportweg der Daten und die Situation im Drittstaat jeweils im Einzelfall zu prüfen.

Thomas Zerdick, Referatsleiter beim Europäischen Datenschutzbeauftragten, stellte die Aufgaben des Europäischen Datenschutzausschusses (EDSA) vor und ging dabei insbesondere auf die Themen Schrems II und Cookies ein. Mittels des in der DS-GVO vorgesehenen Streitbeilegungsverfahren könne der Ausschuss auch in strittigen Fragen zu verbindlichen Beschlüssen kommen. Durch rasche Stellungnahmen zu Beginn der Corona-Pandemie habe der EDSA überdies gezeigt, dass der Datenschutz kein Hindernis bei der Pandemiebekämpfung sein müsse.

„Finger weg von jeder Zentralisierung“ positioniert sich Dr. Stefan Brink, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg, im Hinblick auf die aktuelle Diskussion um die Zentralisierung der Datenschutzaufsicht. Seit 2016 habe es eine „massive“ Koordination der nationalen Behörden gegeben. Ohnedies sei der Datenschutz ein europäisches Thema und vor allem auf dieser Ebene müsse eine Vereinheitlichung erfolgen. Die nationale Aufsichtsstruktur spiele aus seiner Sicht eher eine untergeordnete Rolle.
Nach der Auffassung von Brink verbieten sich pauschale Aussagen zur Zulässigkeit des Einsatzes bestimmter Softwareprodukte, wie z.B. Microsoft Office 365. Aus seiner Sicht müsse vor einer Untersagung des Einsatzes durch die Behörde im Übrigen zunächst geprüft werden, ob es im konkreten Fall zumutbare Alternativangebote ohne Transferprobleme gibt.

Hinsichtlich der im geleakten TTDSG-Entwurf vorgesehenen Personal Information Management Services (PIMS) warnte Klaus Müller, Vorstand des Verbraucherzentrale Bundesverbands (vzbv), zur Vorsicht. Solche Dienste seien aus seiner Sicht zwar prinzipiell zu begrüßen. Es müsse allerdings sichergestellt sein, dass es sich bei diesen nur um neutrale Intermediäre ohne eigene wirtschaftliche Interessen an der Verwertung der verwalteten Informationen handele. Letzteres schließe indes nicht aus, dass entsprechende Anbieter für ihre Dienste auch Entgelte erheben dürfen.

Achim Schlosser, European netID Foundation, Montabaur, sprach sich für einen europäischen Ansatz im Hinblick auf die Dienste von Identitäts- und Einwilligungstreuhändern aus. Europaweite Rahmenbedingungen erleichterten die Durchsetzung gegenüber den großen Internetanbietern.

Vor dem Hintergrund, dass mit einem zügigen Erlass von novellierten europarechtlichen ePrivacy-Vorgaben im Allgemeinen bzw. Rahmenbedingungen zu PIMS im Besonderen nicht zu rechnen ist, waren sich die Teilnehmer der den politischen Vormittag der DAFTA abschließenden Podiumsdiskussion jedoch einig, dass der nationale Weg über das geplante TTDSG ein guter Ansatz sei. Es sei zu hoffen, dass das Gesetzgebungsverfahren zum TTDSG noch in dieser Legislaturperiode zum Abschluss komme, so Prof. Dr. Rolf Schwartmann, Vorstandsvorsitzender der GDD e.V., Bonn.

Andreas Jaspers, Geschäftsführer der GDD, regte an, dass im Rahmen des Gesetzgebungsverfahrens zum TTDSG der Arbeitgeber als möglicher Adressat strafrechtlich relevanter Verstöße gegen das Fernmeldegeheimnis ausgenommen werden sollte. Zudem sollte ein Einsatz von reinen Onlineanalysetools auch ohne Einwilligung der Nutzer möglich sein, so Jaspers.


Zur GDD:
Die GDD wurde 1977 in Bonn gegründet und unterstützt seitdem Unternehmen, insbesondere deren Datenschutzbeauftragte, bei der Lösung der vielfältigen mit Datenschutz und Datensicherheit verbundenen technischen, rechtlichen und organisatorischen Fragen. Sie tritt als gemeinnütziger eingetragener Verein für einen sinnvollen, vertretbaren und technisch realisierbaren Datenschutz ein. Zusammen mit DATAKONTEXT (über das Onlinelernportal UNIVADO) richtet die GDD in diesem Jahr die Datenschutzfachtagung DAFTA aus. 

BfDI zum Urteil im Verfahren gegen 1&1

/in /von

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, sieht sich durch die Entscheidung des Landgerichts Bonn bestätigt: „Das LG Bonn hat heute geurteilt, dass 1&1 für seinen Verstoß haftet. Das zeigt: Datenschutzverstöße bleiben nicht ohne Folgen.“

Für den BfDI ist es das erste große Gerichtsverfahren seit Inkrafttreten der DSGVO. Dabei wurden wichtige und grundsätzliche Fragestellungen geklärt. Das Gericht folgte der Auffassung des BfDI in wesentlichen Punkten: Die 1&1 Telecom GmbH hat durch unzureichende Sicherheitsmaßnahmen im Callcenter einen Datenschutzverstoß begangen. Sie muss als Unternehmen nach den Maßstäben der DSGVO dafür haften: „Ich bin überzeugt, dass diese Entscheidung in den Chefetagen von Unternehmen wahrgenommen wird. Ich warte noch auf die schriftliche Begründung des Urteils, aber klar ist schon jetzt: Kein Unternehmen kann es sich mehr leisten den Datenschutz zu vernachlässigen.“

Der BfDI hatte den Telekommunikationsdienstleister 1&1 Telecom GmbH im Dezember 2019 mit einer Geldbuße belegt. Aufgrund eines unzureichenden Authentifizierungsverfahrens bei der telefonischen Kundenbetreuung der 1&1 Telecom GmbH konnten Anrufer allein mit Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Daten dieser Person erhalten. Hierin sah der BfDI einen Verstoß gegen die Datenschutzgrundverordnung.

Die Pressemitteilungen des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit können hier abgerufen werden.

Download BfDI zum Urteil im Verfahren gegen 1&1 als PDF

BayLDA: Checkliste der technischen und organisatorischen Maßnahmen (TOMS) nach Art. 32 DSGVO

/in /von

Das Bayerische Landesamt für Datenschutzaufsicht (Datenschutz-Aufsichtsbehörde für Unternehmen in Bayern) hat eine lesenswerte Checkliste für kleine und mittlere Unternehmen veröffentlicht, welche technischen und organisatorischen Maßnahmen zur Erfüllung der DSGVO-Vorgaben an die Informationssicherheit (Art. 32 DSGVO – Sicherheit der Verarbeitung) geprüft werden sollten.

Die Datenschutzgrundverordnung fordert von Unternehmen an sich, die eigenen technischen und organisatorischen Maßnahmen im Rahmen eines strukturierten Prozesses laufend auf ihre Tauglichkeit gemessen an der Risiko-Situation zu prüfen und anzupassen. Neben der in der Unternehmenspraxis dazu bei größeren Organisationen weit verbreiteten Norm zur Informationssicherheit (ISO 27001/27002 und der darauf aufbauenden Norm ISO27701 für das Datenschutz-Management) steht kleineren Unternehmen und Kommunen der Zertifizierungs-Standard ISIS12 zur Verfügung. Der öffentliche Bereich im Bund orientiert sich am IT-Grundschutz-Kompendium des BSI (und dem daran methodisch angelehnten Standard-Datenschutzmodell SDM, dessen Ansatz im Gegensatz zur ISO27001/27002 nicht die Risiko-Perspektive des Unternehmens sondern des Betroffenen einnimmt).

Die Checkliste kann also kein strukturiertes Informationssicherheits-Management ersetzen (und will dies explizit auch nicht), gibt aber gerade kleineren (mit der Befassung beim Thema Informationssicherheit fachlich häufig überforderten) Unternehmen eine praxistaugliche Übersicht an die Hand, welche Themen im Bereich Informationssicherheit adressiert bzw. geprüft werden sollten.

Die Checkliste des Bayerischen Landesamts für Datenschutzaufsicht zu den technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO können Sie hier einsehen.


35,3 Millionen Euro Bußgeld wegen Datenschutzverstößen im Servicecenter von H&M

/in /von

Im Fall der Überwachung von mehreren hundert Mitarbeiterinnen und Mitarbeitern des H&M Servicecenters in Nürnberg durch die Center-Leitung hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) einen Bußgeldbescheid in Höhe von 35.258.707,95 Euro gegen die H&M Hennes & Mauritz Online Shop A.B. & Co. KG erlassen.

Die Gesellschaft mit Sitz in Hamburg betreibt ein Servicecenter in Nürnberg. Mindestens seit dem Jahr 2014 kam es bei einem Teil der Beschäftigten zu umfangreichen Erfassungen privater Lebensumstände. Entsprechende Notizen wurden auf einem Netzlaufwerk dauerhaft gespeichert. Nach Urlaubs- und Krankheitsabwesenheiten – auch kurzer Art – führten die vorgesetzten Teamleader einen sogenannten Welcome Back Talk durch. Nach diesen Gesprächen wurden in etlichen Fällen nicht nur konkrete Urlaubserlebnisse der Beschäftigten festgehalten, sondern auch Krankheitssymptome und Diagnosen. Zusätzlich eigneten sich einige Vorgesetzte über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Mitarbeitenden an, das von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen reichte. Die Erkenntnisse wurden teilweise aufgezeichnet, digital gespeichert und waren mitunter für bis zu 50 weitere Führungskräfte im ganzen Haus lesbar. Die Aufzeichnungen wurden bisweilen mit einem hohen Detailgrad vorgenommen und im zeitlichen Verlauf fortgeschrieben. Die so erhobenen Daten wurden neben einer akribischen Auswertung der individuellen Arbeitsleistung u.a. genutzt, um ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten. Die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führte zu einem besonders intensiven Eingriff in die Rechte der Betroffenen.

Bekannt wurde die Datenerhebung dadurch, dass die Notizen infolge eines Konfigurationsfehlers im Oktober 2019 für einige Stunden unternehmensweit zugreifbar waren. Nachdem der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit über die Datensammlung durch Presseberichte informiert wurde, ordnete er zunächst an, den Inhalt des Netzlaufwerks vollständig „einzufrieren“ und verlangte dann die Herausgabe. Das Unternehmen kam dem nach und legte einen Datensatz von rund 60 Gigabyte zur Auswertung vor. Vernehmungen zahlreicher Zeuginnen und Zeugen bestätigten nach Analyse der Daten die dokumentierten Praktiken.

Die Aufdeckung der erheblichen Verstöße hat die Verantwortlichen zur Ergreifung verschiedener Abhilfemaßnahmen veranlasst. Dem HmbBfDI wurde ein umfassendes Konzept vorgelegt, wie von nun an am Standort Nürnberg Datenschutz umgesetzt werden soll. Zur Aufarbeitung der vergangenen Geschehnisse hat sich die Unternehmensleitung nicht nur ausdrücklich bei den Betroffenen entschuldigt. Sie folgt auch der Anregung, den Beschäftigten einen unbürokratischen Schadenersatz in beachtlicher Höhe auszuzahlen. Es handelt sich insoweit um ein bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß. Weitere Bausteine des neu eingeführten Datenschutzkonzepts sind unter anderem ein neu berufener Datenschutzkoordinator, monatliche Datenschutz-Statusupdates, ein verstärkt kommunizierter Whistleblower-Schutz sowie ein konsistentes Auskunfts-Konzept.

Hierzu Prof. Dr. Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Der vorliegende Fall dokumentiert eine schwere Missachtung des Beschäftigtendatenschutzes am H&M-Standort Nürnberg. Das verhängte Bußgeld ist dementsprechend in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken.

Ausdrücklich positiv ist das Bemühen der Konzernleitung zu bewerten, die Betroffenen vor Ort zu entschädigen und das Vertrauen in das Unternehmen als Arbeitgeber wiederherzustellen. Die transparente Aufklärung seitens der Verantwortlichen und die Gewährleistung einer finanziellen Kompensation zeigen durchaus den Willen, den Betroffenen den Respekt und die Wertschätzung zukommen zu lassen, die sie als abhängig Beschäftigte in ihrem täglichen Einsatz für ihr Unternehmen verdienen.“

https://datenschutz-hamburg.de/pressemitteilungen/2020/10/2020-10-01-h-m-verfahren