Mirko Tasch, Autor auf DatenschutzProfi24.de

Ulrich Kelber neuer Bundesdatenschutzbeauftrager auf Januar 2019

Ulrich Kelber wird im Januar 2019 die Nachfolge von Andrea Voßhoff als Bundesdatenschutzbeauftragter antreten. Die Amtszeit beträgt dabei 5 Jahre. Ulrich Kelber ist seit 18 jahren Abgeordneter für die SPD. Von 2013 bis März 2018 war Herr Kelber parlamentarischer Staatssekretär im Bundesverbraucherministerium. Wir wünschen ihm viel Glück bei der schweren Aufgabe.

erstes Bußgeld nach EU-DSGVO verhängt

Nun ist es passiert. Das erste Bußgeld nach der EU-DSGVO wurde in Deutschland verhängt, nachdem die EU-Datenschutzgrundverordnung bereits am 25.05.2018 ihre Wirkung entfaltet hat. Dabei hat es die Chatplattform knuddels.de getroffen. Das Online-Portal wurde im Sommer gehackt, weil lt. Berichten die Kundenpasswörter im Klartext gespeichert wurden. Durch diesen Hack wurden dann hundertausende Email-Adressen mit Passwörtern ins Internet gestellt.

Der Landesdatenschutzbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg verhängte nun gegen den Betreiber ein Bußgeld on Höhe von 20.000,- € wegen des Verstoßes gegen die vorgeschriebene Datensicherheit in Art.32 EU-DSGVO. Das Bußgeld ist dabei sicher auch so gering ausgefallen, da sich das Unternehmen an die entsprechenden Meldefristen gehalten hat und mit der Aufsichtsbehörde in vollen Umfang zusammen gearbeitet hat statt den Vorfall oder Einzelheiten zu vertuschen.

Das neue Datenschutzrecht am Beispiel IoT (Internet of Things)

IoT und der Datenschutz: Am 16. Juli 2018 trafen sich etwa 25 Mitglieder des Vereins Deutscher Ingenieure (VDI) des Arbeitskreises „Technischer Vertrieb & Produktmanagement“ am Standort Garching der TUM, um sich über die neuen Datenschutz-Regelungen am Beispiel einer echten Zukunftsbranche: dem „Internet of Things“ zu informieren.

Der Referent Florian G. Padberg, seines Zeichens Diplom-Kaufmann, Vertriebs-Consultant und Datenschutz-Experte der ituso GmbH, schuf zunächst die nötigen Grundlagen, um das Thema „Datenschutz“ richtig einordnen und von anderen Disziplinen wie etwa der IT-Sicherheit sauber abgrenzen zu können. Denn im Datenschutz geht es um die Missbrauchsvermeidung bzgl. sog. „Personenbezogener Daten“ (pbD) wie etwa Namen, Adress- und Kontaktdaten, aber auch Gesundheitsdaten oder Daten zur politischen Gesinnung. Im Sinne des Datenschutzrechts dürfen diese Daten durch Unternehmen nur auf Basis definierter Rechtsgrundlagen und unter Einhaltung bestimmter technischer und organisatorischer Maßnahmen verarbeitet werden – wobei die „Verarbeitung“ bereits bei der Erfassung anfängt und erst mit der Vernichtung der Daten endet.

Die neue EU-Datenschutzgrundverordnung (EU-DSGVO), die seit 25. Mai 2018 ihre Wirkung entfaltet, schafft einen stärker vereinheitlichten Datenschutz-Rechtsraum. Dieser gilt – und das ist eine der Kern-Neuerungen – nach dem „Marktortprinzip“ auch für Nicht-EU-Konzerne, sobald sie in Europa aktiv sind. Die EU-DSGVO bringt insbesondere höhere Transparenz- und Informationspflichten sowie einen verschärften Strafkatalog mit sich. Saubere Einwilligungen zur Verarbeitung personenbezogener Daten einholen, die Dienstleister vertraglich einbinden sowie die Geschäftsprozesse (insbesondere den Akquise- & Vertriebsprozess) auf Datenschutz-relevante Aspekte prüfen sind die Hauptaufgaben, die ein Unternehmen nun priorisiert angehen muss.

IoT Definition: Was bedeutet “Internet of Things”?

Das „Internet of Things“ oder kurz IoT genannt (übersetzt “Internet der Dinge”) ermöglicht durch Vernetzung und Anbindung von Geräten und Gegenständen an das World Wide Web einen intensiven Datenaustausch. Alltagsgeräte wie beispielsweise Fernseher, die Waschmaschine oder Kühlschränke werden damit zunehmend zu “intelligenten Gegenständen”. Smarte Anwendungen rund um zeitlich und/oder lokal abgestimmte, individualisierte Dienste werden effizient machbar. Der Anwendungsbereich ist vielfältig: es können Informationen eingeholt werden, automatische Bestellungen ausgelöst werden bis hin zu definierten Notfallfunktionen. In einer immer technisierteren und nach Individualität strebenden Welt ist IoT damit einer DER potenzialstärksten Märkte überhaupt.

“Internet of Things” und der Datenschutz

Dass Datenschutz auch und gerade im hochvernetzten und dynamisch wachsenden IoT-Markt immer relevanter wird, zeigen nicht nur die Bedenken der Konsumenten, bei denen die Gefährdung der Privatsphäre weit oben rangiert. Auch die immanenten Komplexitätstreiber des Geschäftsmodells wie zahlreiche Marktbeteiligte, die Menge an möglichen Datenquellen, -transportwegen und –zielen, oder (noch) nicht vollständig geklärte Verantwortlichkeiten zeugen davon, dass in diesem Markt die eine oder andere „Stolperfalle“ droht.

Beim Smart Car beispielsweise müssen die unterschiedlichen Interessen der beteiligten Player (Autohersteller, Versicherungen, Location-based-Services-Anbieter usw.) in Einklang gebracht werden mit den Transparenz- und Schutzanforderungen der Konsumenten: Was wird mit MEINEN Daten angestellt, wo werden sie verarbeitet, wer bekommt welchen Teil davon? Hier ist bspw. ein klares, umfassendes und dennoch einfach handhabbares Einwilligungs-Management nötig. Im Smart Home hängt es davon ab, wie genau die Verbrauchsinformationen der schlauen Zähler auf einzelne Personen zurückführbar sind. Die damit möglichen Ableitungen aus den erhobenen Daten sieht man als Verbraucher ggf. nicht gerne.

Der Abend wurde nach intensiver Diskussion mit dem Fazit geschlossen, dass gerade der Vertrieb durch einen offensiven und transparenten Umgang mit dem Thema Vertrauen aufbauen und so langfristige Kundenbeziehungen und damit auch Umsatzpotenziale schaffen kann.

Das Magazin “Technik in Bayern8” veröffentlichte dazu in der Ausgabe 06/2018 einen Bericht. Zum Auszug des Magazins hier klicken.

Weitere Informationen zum Referenten Florian Padberg über LinkedIn, Xing

Datenschutz im Online-Marketing: Erste Auswirkungen der neuen Datenschutzgrundverordnung

Am 24.05.2018 ist die Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Schon im Vorfeld hat sie für viel Wirbel und Unsicherheit bei Website-Betreibern gesorgt. Tatsächlich wurden bereits erste Abmahnungen verschickt, eine große Abmahnwelle ist bisher jedoch ausgeblieben. Ob die aktuellen Abmahnungen berechtigt sind, lässt sich derzeit noch nicht in Gänze beurteilen, da die DSGVO noch neu ist und es noch keine Urteile existieren.

Abgemahnt wurde bisher aus folgenden Gründen:

Website verfügt über keine Datenschutzerklärung

Die Datenschutzerklärung auf der Website war schon vor der DSGVO Pflicht. Sie muss nun an die Vorgaben dieser Verordnung angepasst werden. Die neuen Informationspflichten sind in Art. 13 DSGVO festgelegt. Sie gelten, sobald personenbezogene Daten natürlicher Personen verarbeitet werden. Außerdem wird gefordert, dass die Datenschutzerklärung verständlich, also in einer klaren, einfachen Sprache verfasst und leicht zugänglich ist.

Fehlerhafte Einbindung von Google Analytics

Bei einer Abmahnung in Zusammenhang mit dem Nutzeranalyse-Tool Google Analytics werden z. B. die fehlende IP-Anonymisierung, fehlende Opt-Out-Möglichkeiten moniert und dass die Nutzung von Google Analytics in der Datenschutzerklärung nicht erwähnt wird.

Seitenbetreiber müssen auf eine rechts- und datenschutzkonforme Einbindung von Tools und Plugins achten. Hierbei sind beispielsweise folgende Punkte zu beachten: Wer als Betreiber einer Webseite Google Analytics datenschutzkonform nutzen will, muss mit Google einen schriftlichen Vertrag über die „Auftragsdatenverarbeitung“ abschließen. Des Weiteren ist eine Anonymisierung der IP-Adressen aller Nutzer erforderlich. Vergessen Sie bitte nicht, Ihre Datenschutzerklärung auf der Website entsprechend anzupassen und darin über die Speicherung und Verarbeitung von Nutzer-Daten via Google Analytics hinzuweisen.

Einbindung von Facebook-Like- und Share-Buttons

Ein weiterer heikler Punkt ist die Einbindung z. B. von Facebook-Buttons zum Liken oder Teilen von Inhalten und Seiten. Plugins von Unternehmen, die sofort bei Seitenaufruf Daten übertragen, sollten daher vermieden werden. Stattdessen bietet sich eine Verlinkung auf die entsprechende Social Media Plattform oder die Nutzung datenschutzkonformer Tools wie shariff an.

Fazit

Noch sind viele Fragen zur neuen DSGVO nicht abschließend geklärt. Auch bleibt abzuwarten, wie sich die Rechtsprechung zu Einzelfragen positioniert. Hiervon und auch von den jeweiligen Umständen hängt es ab, ob Seitenbetreiber eine Abmahnung bezahlen müssen oder nicht. Bis dahin gilt es, Ruhe zu bewahren. Unterschreiben Sie eine Unterlassungserklärung nicht voreilig. Vielmehr ist im Falle einer Abmahnung eine juristische Beratung durch einen Spezialisten empfehlenswert.

Weitere Informationen zum Datenschutz im Onliner-Marketing finden Sie im folgenden Ratgeber: https://www.datenschutz.org/online-marketing/

Ein Textbeitrag des Berufsverbands der Rechtsjournalisten e.V.

Einsatz von Dashcams im öffentlichen Straßenverkehr

Dashcams werden von Straßenverkehrsteilnehmer zunehmend unter dem Gesichtspunkt der Beweiskraft im Falle eines Verkehrsunfalles benutzt. Fraglich ist jedoch, ob Dritte, welche gefilmt werden, in ihrem Persönlichkeitsrecht beeinträchtigt werden und ob möglicherweise datenschutzrechtliche Verstöße gegeben sind.

Urteile mit unterschiedlicher Ausage

Zu diesem Thema gab es in der letzten Zeit drei Gerichtsurteile mit unterschiedlichem Tenor. Sowohl das Oberlandesgericht Stuttgart mit Urteil vom 17.07.2017, Aktenzeichen 10 U 41/17, als auch das Oberlandesgericht Nürnberg mit Urteil vom 07.09.2017, Aktenzeichen 13 U 851/17 kommen übereinstimmend zu dem Ergebnis, dass Aufnahmen mit Hilfe von Dashcams zumindest dann zulässig sind, wenn sie schwerwiegende Verkehrsordnungswidrigkeiten aufzeichnen. Denn letztlich überwiege das Interesse des Geschädigten an einem effektiven Rechtsschutz und seinem Anspruch auf rechtliches Gehör das Interesse des Unfallgegners an dessen Persönlichkeitsrechten, gemäß Art. 2 Abs. I GG.

Dem Urteil der beiden Oberlandesgerichte gegenüber steht das Urteil des Amtsgerichtes München vom 09.08.2017, Aktenzeichen 1112 OWI 300 Js 121012/17, welches entschied, dass nach Auffassung des Gerichts im hier vorliegenden Fall das Recht der gefilmten Personen auf informationelle Selbstbestimmung überwiege und entsprechend das Interesse der Betroffenen an der Aufdeckung von einer potenziellen Straftat hierbei zurückstehen muss. Zudem führt das Amtsgericht München weiter aus, dass das permanente anlasslose Filmen des vor und hinter dem geparkten Fahrzeug befindlichem Straßenraums verletzt das Recht auf informationelle Selbstbestimmung und stellt einen schwerwiegenden Eingriff in dieses Recht dar.

Stellungname eines Juristen

Rechtsanwalt Sebastian Einbock von www.juraforum.de sagt dazu:  „Aktuell tendieren das OLG Stuttgart und Nürnberg für die Zulässigkeit von Dashcam-Videos als Beweismittel, dennoch wird nur ein BGH-Urteil irgendwann bundesweit Klarheit schaffen.“

Datenschutz

Als datenschutzrechtliche Norm kommt aktuell bei diesen Fällen § 6b Abs. 1 S. 1 Nr. 3 BDSG – alt zur Geltung, welcher besagt, dass optisch-elektronische Einrichtungen (Videoüberwachung, Dashcams) dann nur zulässig ist, soweit sie zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Diese Abwägung ist wie bereits erwähnt, noch nicht einheitlich juristisch geklärt und bedarf weiterer Entscheidungen.

Am Inhalt dieser Norm wird sich auch mit Einführung des BDSG – neu nichts ändern, gemäß § 4 Abs. 1 S. 1 Nr. 3 BDSG -neu. Da die Datenschutz-Grundverordnung (DSGVO) keine explizite Regelung zur Videoüberwachung trifft, greift der grundsätzliche Anwendungsbereich der DSGVO hier nicht. Dafür sieht die DSGVO in Art. 6 Abs. 2, 3 für Abs. 1 S. 1 lit. C und e vor, dass die Mitgliedsstaaten einen Kompetenztitel zur Ausfüllung diese Lücke (sogenannte Öffnungsklausel) erhalten. Der deutsche Gesetzgeber ist dem mit § 4 BDSG -neu nachgekommen.

Aus juristischer Sicht ist also keine einheitliche Rechtsprechung erkennbar und es wohl letztlich auf eine höchstrichterliche Rechtsprechung seitens des BGH ankommen wird.

IT’ler oder Rechtsanwalt für den Datenschutz?

Auf diese Frage kann man nicht so einfach antworten und muss verschiedene Aspekte betrachten ob man eher einen IT’ler oder Rechtsanwalt für den Datenschutz nehmen sollte.

Will man den Datenschutz im Unternehmen ernsthaft betreiben und sich entsprechend datenschutz-konform aufstellen, ist es wichtig einen Experten für den Datenschutz an der Hand zu haben.

Hierbei ist es erst einmal egal, ob der Experte von der IT-Seite oder der Rechtsseite kommt. Manchmal gibt es auch Datenschutz-Experten, die weder aus dem Fachgebiet der IT noch aus dem Fachgebiet des Rechts kommen.

Wichtig ist dabei nur, dass eine entsprechende Praxis und Knowhow im Datenschutz vorhanden ist und sich die Person des Vertrauens auf beiden Gebieten sehr gut auskennt und den Datenschutz auch richtig umsetzen kann um das Unternehmen in einen datenschutz-konformen Stand zu bringen und dieses Niveau auch zu halten. Nur aufgrund dieser Qualifikationen können Geldbußen und Abmahnungen in der Regel ausgeschlossen werden.

Drei Arten von Datenschutzbeauftragten

In der Regel gibt es drei Arten von Datenschutzbeauftragten, die man findet. Natürlich kann es auch weitere Arten geben, aber diese sind die am häufigsten anzutreffenden:

  1. Der IT’ler

Datenschutzbeauftragte, die von der IT-Seite kommend sich weitergebildet haben, sind in der Regel mit der technischen Seite vertraut, welche ein wichtiger und großer Bestandteil des Datenschutzes ist und wissen wie man die technischen und organisatorischen Maßnahmen im Unternehmen aufbauen muss um datenschutz-konform zu sein. Sie können Risiken von der IT abschätzen und entsprechende Maßnahmen in Bezug auf die IT-Sicherheit beurteilen und ggf. Änderungen aufgrund Ihres Wissens einfließen lassen.

Ist ein entsprechender Datenschutzbeauftragter langjährig tätig, so ist er normalerweise in der Lage die entsprechenden Gesetze / Vorschriften zu lesen und zu interpretieren, so dass es kein Problem darstellt, dass er kein Jurist ist. Dabei ist zu beachten, dass der IT’ler keine Rechtsberatung durchführen darf.

  1. Der Rechtsanwalt

Datenschutzbeauftragte, die von der Rechtsseite kommen, sind oft bereits Fachanwälte für IT-Recht und haben eine weitere Zusatzqualifikation zum Datenschutzbeauftragten gemacht. Einen entsprechenden Fachanwalt für Datenschutz gibt es nach momentanen Stand noch nicht.

Diese Datenschutzbeauftragten können selbstverständlich Gesetze lesen und interpretieren und können aufgrund ihres Berufes auch rechtsberatend tätig sein. Rechtsanwälte, müssen sich meistens jedoch in die technische Welt der IT / IT-Sicherheit einarbeiten, was in der Regel einige Zeit benötigt. Ein langjähriger Datenschutzbeauftragter von der Rechtsseite kann normalerweise diesen Bereich aufgrund seiner Praxiserfahrung sehr gut abdecken.

Eine entsprechende Auswahl von Fachanwälten für IT-Recht kann man z.B. auf www.fachanwalt.de finden.

  1. Kein IT’ler, kein Rechtsanwalt

Die dritte Art von Datenschutzbeauftragten, die man meist als interne Datenschutzbeauftragte im Unternehmen antrifft und nicht als externe Berater, sind aufgrund ihrer Ausbildung meistens keine IT’ler oder Rechtsanwälte. Diese Art hat es in der Regel schwieriger als die anderen beiden, da das Knowhow in beiden Gebieten aufgebaut werden muss. Hier ist es zumindest in der Anfangszeit ratsam sich durch die beiden anderen Experten unterstützen zu lassen, bis ein entsprechendes Knowhow aufgebaut worden ist.

Fazit

Für ein Unternehmen macht es in der Regel Sinn einen Experten für den Datenschutz zu nehmen, der aus den ersten beiden Bereichen kommt, da hier das Fachwissen zumindest in einem wichtigen Teilbereich von der Pike auf gelernt wurde. Hierbei macht es aber auch die Kombination. Viele Experten im Datenschutz arbeiten dabei Hand in Hand zusammen. Ein guter Datenschutzbeauftragter von der IT-Seite holt sich von Zeit zu Zeit Rat bei einem Rechtsanwalt um mit diesem Sachverhalte zu besprechen. Genauso holt ein Rechtsanwalt sich regelmäßigen Rat von einem IT-Kollegen ein, wenn es um die Technik geht.

Hilfe bei der Unterstützung im Datenschutz finden Sie unter:

Die Datenschutzprofis – www.datenschutzprofi24.de/ueber-uns

Rechtsanwälte – www.fachanwalt.de/rechtsanwalt/datenschutz

Die DSGVO kommt immer näher

Die DSGVO kommt immer näher. Der Umsetzungstermin für die EU-Datenschutzgrundverordnung liegt nun kein Jahr mehr in der Zukunft. Unternehmen müssen sich bis zum 25. Mai 2018 auf diese eu-weite Vereinheitlichung des Datenschutzes umgestellt haben, ansonsten drohen stark erhöhte Bußgelder.

Dies notwendigen Anpassungen bzw. den Aufbau des Datenschutzes falls er noch gar nicht vorhanden ist, sollten Unternehmen nun nicht mehr auf die lange Bank schieben, da es viele neue Regelungen und Anforderungen gegenüber der bisherigen deutschen Gesetzgebung gibt und sehr stark erhöhte Bußgelder in der EU-DSGVO drohen können. Die entsprechende verbleibende Übergangszeit sollte nun konstruktiv und effizient von Unternehmen genutzt werden um die eigenen Prozesse zu analysieren um sie an die neuen Gegebenheiten der Verordnung anzupassen.

Es gibt viel zu tun!

Viele Sachverhalten ändern sich oder bekommen einen anderen Stellenwert in der DSGVO. Diese Veränderungen müssen nun angegangen werden.

Hier ein kleiner Auszug aus den Veränderungen:

  • Erhöhung der Anforderungen an die informierte, freiwilligen Einwilligung
  • Anforderung an den Widerruf wurden gesenkt
  • Dokumentation der Risikoeinschätzung
  • Erweiterung der Informations- und Auskunftspflichten
  • Portabilitätsverpflichtung
  • Erhöhung der Verantwortung bei Auftragsverarbeitern
  • Ausweitung der Meldepflicht bei Datenpannen
  • Verschärftes Kopplungsverbot
  • Bußgelder wurden stark erhöht

Nicht die Dienstleister vergessen!

Bitte beachten Sie dabei auch, dass an einigen Stellen des Umstellungsprozesses gegebenenfalls Zuarbeiten von Ihren Dienstleistern erfolgen müssen bzw. eine Zusammenarbeit notwendig macht, wenn diese Dienstleister für Ihr Unternehmen personenbezogene Daten verarbeitet. Auch diese Zusammenarbeit wird Zeit in Anspruch nehmen, so daß schnell ein paar Wochen ins Land gehen. Setzen Sie sich entsprechend früh mit Ihren Dienstleistern in Verbindung um auftretende Probleme im Datenschutz weitestgehend aus dem Weg zu gehen.

Falls Sie selbst als Dienstleister für andere Unternehmen personenbezogene Daten verarbeiten, so sollten Sie sich die entsprechenden Passagen in der EU-DSGVO dringend anschauen, da auch für die als Auftragsverarbeiter neue Regelungen in Kraft treten.

Wir unterstützen Sie!

Falls Sie auf diesem Weg Unterstützung benötigen, setzen Sie sich mit uns in Verbindung. Wir unterstützen Sie bei der Umstellung bzw. dem Aufbau Ihres Datenschutzes mit unseren versierten und zertifizierten Datenschutzbeauftragten und Datenschutzauditoren.

Die DSGVO kommt immer näher

– jetzt agieren statt später reagieren zu müssen!