An dieser Stelle veröffentlichen oder kommentieren wir aktuelle (Rechts)Fälle im Bereich des Datenschutzes. Auch zeigen wir an ausgewählten Beispielen einige Tücken im Umgang mit dem Datenschutz oder bei der Organisation des betrieblichen Datenschutzes auf; ebenso informieren wir über aktuelle Entwicklungen im Datenschutz sowie prominente Stimmen dazu .

BDSG (Neu): Bundestag beschließt noch vor Sommerpause die erste Änderung

Am 27.06. hat der Bundestag Änderungen zum seit 25.05. vergangenen Jahres geltenden BDSG (Neu) beschlossen. Die wohl die meiste Aufmerksamkeit erregende Neuerung ist die Heraufsetzung des Schwellwertes zur Bestellung eines betrieblichen Datenschutzbeauftragten von ursprünglich 10 Beschäftigten auf nunmehr 20 Personen, die mit der Verarbeitung personenbezogener Daten befasst sein müssen. Wir halten diese Veränderung für eher symbolisch, da die inhaltliche Verpflichtung zur Umsetzung der DSGVO in Unternehmen und Institutionen unverändert für alle Verantwortlichen identisch ist. Naturgemäß haben gerade aber die kleineren Einheiten die größeren Probleme, entsprechende kapazitive und tlw. auch fachliche Ressourcen ohne in- bzw. externe fachliche Unterstützung vorzuhalten.

Weitere Änderungen betreffen die Betroffenenrechte in Bezug auf das Bundesamt für Sicherheit und Informationstechnik (BSI) und datenschutzrechtliche Anpassungen in Bezug auf Sicherheits- und Strafverfolgungsbehörden, der Weitergabe personenbezogener Daten von Behörden an Behörden in Nicht-EU-Staaten (Drittstaaten gem. DSGVO) und … (weiterlesen)

Der BREXIT und der DATENSCHUTZ …

Nun sieht es ganz nach einem harten „BREXIT“ aus. Damit gilt zumindest das Szenario unter Pkt. 2 weiter; auch, wenn der Termin nunmehr im Oktober liegt. Leider ist damit die von der DSK verfasste Stellungnahme zum Austritt des VEREINIGTEN KÖNIGREICHES nach wie vor aktuell.  Hier noch einmal schnell nachlesen: Information vom 8. März .

Die DSGVO in der Praxis: Frankreich vs. GOOGLE …

Die Magdeburger VOLKSSTIMME berichtet in ihrer Ausgabe vom am 22. Januar 2019, dass Frankreichs Datenschutzbehörde GOOGLE zur Zahlung einer 50 Mio. Euro Geldstrafe verpflichtet hat. Grund: Die Information der Nutzer zum Datenschutz war der Behörde nicht „klar und verständlich“ genug.

Erwägungsgrund (32) DSGVO zu diesem Thema:

„Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwil­lig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einver­standen ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung. Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informations­gesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die be­troffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen. Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenomme­nen Verarbeitungsvorgänge beziehen. Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden. Wird die betroffene Per­son auf elektronischem Weg zur Einwilligung aufgefordert, so muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, für den die Einwilligung ge­geben wird, erfolgen.

Datenpannen stets der Aufsichtsbehörde melden …

Die DSGVO verpflichtet Verantwortliche zu einer entsprechenden Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden. Dass ein diesbezügliches Versäumnis zu erheblichen Sanktionen führen kann, musste der Fahrdienst Uber gerade erfahren. Auch die amerikanischen Behörden reagieren auf die versäumte Information empfindlich:

New York (dpa) l Dem US-Fahrdienstvermittler Uber kommt ein verschwiegenes Datenleck teuer zu stehen. Im Rahmen eines Vergleichs mit US-Behörden hat das Unternehmen eine Strafe in Höhe von 148 Millionen Dollar (126 Mio. Euro) akzeptiert, wie New Yorks Generalstaatsanwältin Barbara Underwood mitteilte. Uber hatte im November 2017 eingeräumt, seit Oktober 2016 einen Cyberangriff verschwiegen zu haben, bei dem Hacker Daten zu rund 50 Millionen Fahrgästen und 7 Millionen Fahrern erbeutet hatten. Statt Betroffene und Behörden zu informieren, hatte Uber den Hackern 100 000 Dollar gezahlt und darauf vertraut, dass sie die Daten vernichten.

Landesdatenschutzbeauftragter von Sachsen-Anhalt bearbeitet aktuell ca. 20 Bußgeldverfahren, wie die VOLKSTIMME am 26.9. (Seite 2) berichtete:

Magdeburg (dpa) l Fragen, Beschwerden, Bußgeldverfahren: Die Umsetzung der Europäischen Datenschutz-Grundverordnung (DSGVO)hält Sachsen-Anhalts obersten Datenschützer Harald von Bose auf Trab. Die Zahl der konkreten Beschwerden allein im Unternehmensbereich habe in diesem Jahr bis September schon 300 erreicht nach 229 im Jahr 2016 und 203 im Jahr 2017, sagte von Bose gestern in Magdeburg. „Dazu kommen Hunderte von Informations- und Beratungsanfragen auch telefonisch, die auch schon vor dem Mai 2018 bedient werden mussten.“ Seine Behörde führe aktuell rund 20 Bußgeldverfahren.

Im Einzelfall kann Presse- und Informationsfreiheit vor Datenschutz gehen …

Links zu negativen Presseberichten müssen von Google nicht automatisch gelöscht werden, wenn sich ein Betroffener auf den Löschungsanspruch nach der Datenschutzgrundverordnung (DSGVO) beruft, hat das Oberlandesgericht (OLG) Frankfurt am Main entschieden (Az. 16 U 193/17 – das Urteil ist noch nicht rechtskräftig, da das Oberlandesgericht die Revision beim Bundesgerichtshof (BGH) zugelassen hat).

Der Kläger – ein ehemaliger Geschäftsführer einer gemeinnützigen Organisation – hatte sich, als diese in finanzielle Schieflage geriet 2011 krankschreiben lassen. Dieses war in mehreren Medienberichten aufgegriffen worden und von Google auf entsprechende Suchanfragen angezeigt worden. Nun hatte der Kläger unter Berufung auf das „Recht auf Vergessen“ gem. DSGVO versucht, Google zum Löschen dieser Presseartikel zu erzwingen.

Eine entsprechende Klage hierzu haben die Richter abgewiesen. In der Begründung verwiesen die Richter auf das nach deren Ansicht höherwertige Recht des öffentlichen Informationsinteresses.

Niedersachsen befragt Unternehmen zum Datenschutz …

Im Juli hat der Landesbeauftragte für Datenschutz für Niedersachsen 50 Unternehmen zum Datenschutz bzw. zur Umsetzung der Anforderungen der seit 25. Mai 2018 in Kraft getretenen Datenschutz-Grundverordnung (DSGVO) befragt. Die Landesdatenschutzbeauftragte für Niedersachsen, Frau Barbara Thiel, hat dazu einen 10 Fragen umfassenden Fragenkatalog versendet. Wenn Sie sich einer Selbstbewertung unterziehen wollen, finden Sie diesen Katalog hier zum Download.

Urteil zu Facebook und dem Betreiber sogenannter Fan-Seiten

Der Europäische Gerichtshof (EUGH) hat am 5. Juni diesen Jahres eine wegweisende Entscheidung zu Verpflichtungen der Betreiber von sozialen Medien und zu Betreibern sogenannter Fan-Seiten getroffen.

Neben der herausgestellten Verantwortung des Sozialen Mediums – im Urteil wird ausdrücklich Facebook erwähnt – ist jedoch auch der Inhaber der Fanpage Verantwortlicher im Sinne der Datenschutzgrundverordnung (DSGVO). Damit sind sowohl Facebook als auch der Betreiber der Fanpage als gemeinsam Verantwortliche im Sinne Art. 26 DSGVO einzustufen. Weiterlesen …