Was können vor allem kleinere Vereine tun, um der neuen Verordnung gerecht zu werden?

Das neue Datenschutzrecht ist keine leichte Kost – aber der LfDI leistet Schützenhilfe:

Mit unseren Orientierungshilfen möchten wir den Vereinen zur Seite stehen und sie bei dieser Aufgabe unterstützen. Unter www.baden-wuerttemberg.datenschutz.de/ds-gvo  bietet das Team des LfDI eine Reihe von Informationen, Tipps und Beratungsangeboten, mit deren Hilfe Vereine sich Schritt für Schritt auf die neuen Abläufe umstellen können.

Gerade für kleinere Vereine empfehlen wir unseren Praxisratgeber für Vereine mit Beispielen aus der Praxis, Mustertexten, Tipps und Checklisten. Den Praxisratgeber kann hier abrufen werden.

 

Stand: 13.07.2018

ORIGINALQUELLE: DER LANDESBEAUFTRAGTE FÜR DEN
DATENSCHUTZ UND DIE INFORMATIONSFREIHEIT BADEN-WÜRTTEMBERG

Hinweise der DSK zum Verzeichnis von Verarbeitungstätigkeiten

Die Datenschutzkonferenz des Bundes und der Länder (DSK) hat Hinweise und Musterformulare zu Verarbeitungsverzeichnissen gem. Art. 30 DSGVO erstellt.

Die Hinweise können nachstehend im PDF-Format heruntergeladen werden; die Formularmuster stehen im RTF-Format zur Verfügung.

 

Stand: 12.07.2018

Kurzpapiere der DSK zur DSGVO

Die Europäische Datenschutz-Grundverordnung DSGVO wird nach der Übergangsphase von zwei Jahren am 25. Mai 2018 wirksam. Die Aufsichtsbehörden befassen sich zurzeit intensiv mit den neuen Rechtsgrundlagen und deren Anforderungen und stimmen eine einheitliche Sichtweise ab. Erste Ergebnisse dieses Prozesses sind gemeinsame Kurzpapiere zur DSGVO, die die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) ab sofort veröffentlicht.
Die Kurzpapiere können nachstehend im PDF-Format heruntergeladen werden.

 

  1. Verzeichnis von Verarbeitungstätigkeiten (PDF)
  2. Aufsichtsbefugnisse/Sanktionen (PDF)
  3. Verarbeitung personenbezogener Daten für Werbung (PDF)
  4. Datenübermittlung in Drittlaender (PDF)
  5. Datenschutz-Folgenabschaetzung nach Art. 35 DS-GVO (PDF)
  6. Auskunftsrecht der betroffenen Person, Art. 15 DS-GVO (PDF)
  7. Marktortprinzip: Regelungen für außereuropäische Unternehmen (PDF)
  8. Massnahmenplan DS-GVO für Unternehmen (PDF)
  9. Zertifizierung nach Art. 42 DS-GVO (PDF)
  10. Informationspflichten bei Dritt- und Direkterhebung (PDF)
  11. Recht auf Löschung/Recht auf Vergessenwerden (PDF)
  12. Datenschutzbeauftragte bei Verantwortlichen und Auftragsverarbeitern (PDF)
  13. Auftragsverarbeitung, Art. 28 DS-GVO (PDF)
  14. Beschäftigtendatenschutz (PDF)
  15. Videoüberwachung nach der Datenschutz-Grundverordnung (PDF)
  16. Gemeinsam für die Verarbeitung Verantwortliche, Art. 26 DS-GVO (PDF)
  17. Besondere Kategorien personenbezogener Daten (PDF)
  18. Risiko für die Rechte und Freiheiten natürlicher Personen (PDF)
  19. Unterrichtung und Verpflichtung von Beschäftigten auf Beachtung der datenschutzrechtlichen Anforderungen nach der DSGVO (PDF)
Stand: 12.07.2018

EuGH bestätigt die Datenschutzbehörden in Schleswig Holstein und Hamburg gegenüber Facebook und Fanpage-Betreibern

Mit seinem heutigen Urteil bestätigt der EuGH die Anordnung des ULD Schleswig-Holstein gegen die Betreiber von Facebook-Fanpages und weist diesen eine datenschutzrechtliche Verantwortung für die Verarbeitung der Daten durch Facebook zu. Gleichzeitig stellt der EuGH fest, dass gegenüber Facebook EU-weit nationales Datenschutzrecht durch die Aufsichtsbehörden in den Mitgliedstaaten vor Geltung der EU-Datenschutzgrundverordnung (DSGVO) Anwendung fand, soweit eine entsprechende Niederlassung betrieben wurde.

Das Urteil hat zunächst einmal Folgen für alle Stellen, die Facebook-Fanpages betreiben. Diese können sich künftig nicht mehr darauf berufen, für die Datenverarbeitung insbesondere von Personen, die diese Fanpages aufrufen und dadurch von Facebook getrackt werden, datenschutzrechtlich keine Verantwortung zu haben. Laut EuGH liegt hier eine gemeinsame Verantwortung vor, so dass Unternehmen und Behörden, die Fanpages betreiben, den Nutzern ihrer Fanpage gegenüber datenschutzrechtlich in ähnlicher Weise verpflichtet wie den Nutzern einer eigenen Homepage. Sie müssen von Facebook nun sowohl die volle Transparenz über die Verarbeitung der Nutzerdaten in diesem Zusammenhang gegenüber den Fanpage-Besuchern einfordern und, insoweit diese mit geltendem Datenschutzrecht nicht vereinbar ist, Änderungen durch Facebook erwirken oder das Angebot beenden. Andernfalls kann dies im Einzelfall zu behördlichen Anordnungen ebenso wie zu der Verhängung von Bußgeldern führen, zumal die rechtmäßige Datenverarbeitung durch Facebook mit Blick auf das Setzen von Cookies oder die Speicherung der IP-Adresse des Webseitenbesuchers ohne Einwilligung betroffener Webseitenbetreiber und entsprechende Informationen überaus fraglich sind. Dies wurde zuletzt auch durch die Gerichte in Belgien bestätigt.

Die Anwendbarkeit des nationalen Rechts betrifft in der vom EuGH behandelten Sache die Rechtslage vor Inkrafttreten der DSGVO. Es bestätigt damit auch die Anwendung des nationalen Rechts durch den HmbBfDI. Dieser hatte eine Anordnung gegen Facebook wegen des Massenaustausches von Daten mit WhatsApp erlassen. Die hiergegen seitens Facebook eingelegten Rechtsbeschwerden wurden in zwei Instanzen im einstweiligen Rechtsschutzverfahren durch das VG Hamburg und das OVG Hamburg abgewiesen.

Hierzu Johannes Caspar, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit: “Das Urteil des EuGH bestätigt unsere langjährige Rechtsauffassung zur Anwendbarkeit des nationalen Datenschutzrechts. Damit ist klar: Gerade in der Frage der Übermittlung von Daten zwischen Facebook und WhatsApp werden wir uns weiter dafür einsetzen, dass die Pläne des Facebook-Konzerns, nach Inkrafttreten der DSGVO den Datenaustausch wieder aufzunehmen und damit das Rad datenschutzrechtlich zurückzudrehen, gestoppt werden. Betreiber von Facebook-Fanpages müssen erkennen, dass sie rechtlich mit Facebook in einem Boot sitzen und sich damit ihrer datenschutzrechtlichen Verantwortung nicht weiter entziehen können. Das gilt gerade auch für die vielen öffentlichen Stellen, die in besonderer Weise an Recht und Gesetz gebunden sind. Die Aufsichtsbehörden des Bundes und der Länder werden nun entscheiden, wie das Urteil des EuGH umzusetzen ist.“

Stand: 09.07.2018

Oberverwaltungsgericht bestätigt Verbot des Datenaustauschs zwischen WhatsApp und Facebook

Anordnung zum Schutz der Daten von WhatsApp-Nutzern vor Weitergabe wirksam.

(hmbbfdi, 2.3.2018) Die für sofort vollziehbar erklärte Anordnung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, die Facebook untersagt, Daten von WhatsApp-Nutzern massenhaft für eigene Zwecke zu nutzen, wurde vom OVG Hamburg gestern als rechtmäßig bestätigt. Eine entsprechende Beschwerde Facebooks gegen die vorangegangene Entscheidung des Verwaltungsgerichts Hamburg blieb erfolglos. Damit darf Facebook auch weiterhin keinen Datenabgleich von Millionen von Nutzerdaten des konzerneigenen Messenger-Dienstes WhatsApp vornehmen.

Das OVG bestätigt die Auffassung des VG Hamburg, wonach für den geplanten Massendatenaustausch keine wirksame Einwilligung der Nutzer vorlag. Ferner bestätigt sich auch die Annahme, dass eine gesetzliche Grundlage den Austausch von Nutzerdaten nicht rechtfertigt. Das gilt nicht nur für Zwecke wie die Reichweitenmessung und die Werbungsoptimierung, sondern auch für die Plattform- und Nutzersicherheit, die Facebook als Grund für die geplante Datenweitergabe zumindest angegeben hatte. Zwar kann diese im Einzelfall durchaus aus Sicherheitszwecken zulässig sein. Für die geplante Übermittlung auf Vorrat, die alle Nutzer anlasslos betrifft und für die WhatsApp eine Einwilligung einholen wollte, ist eine gesetzliche Grundlage jedoch nicht vorhanden.

Hierzu Prof. Dr. Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Auch wenn das OVG die Frage der Anwendbarkeit des nationalen Rechts letztlich offen gelassen hat und in der Sache eine Interessenabwägung vornimmt, ist der Beschluss ein deutlicher Erfolg für den Datenschutz. Über die Geltung nationalen Rechts wird in absehbarer Zeit der EuGH entscheiden. Die Stellungnahme des Generalanwalts hierzu liegt bereits vor und bestätigt unsere Auffassung. Ob die im Eilverfahren offen gebliebene Frage vor den Hamburgischen Verwaltungsgerichten noch in einem Hauptsacheverfahren geklärt werden wird, erscheint indes fraglich. Denn das Bundesdatenschutzgesetz tritt im Zuge der Geltung der Europäischen DSGVO bereits Ende Mai außer Kraft. Die federführende Aufsichtsbehörde für Facebook wird dann die irische Datenschutzaufsicht sein. Deren Entscheidungen können von den anderen europäischen Behörden in einem neuartigen Verfahren vor dem Europäischen Datenschutzausschuss überprüft werden. Der jetzt vorliegende Beschluss setzt dem konzerninternen Datenaustausch von Nutzerdaten klare Grenzen. Künftig wird er im europäischen Kontext auch unter der EU-Datenschutzgrundverordnung Beachtung finden. Ich gehe davon aus, dass ein massenhafter Datenabgleich, wie von Facebook mit der Konzerntochter WhatsApp geplant, künftig ohne die informierte Einwilligung der Nutzer in der EU vom Tisch sein dürfte.“

Das Urteil kann über die Pressemitteilung des OVG Hamburg als PDF heruntergeladen werden: justiz.hamburg.de/aktuelles/10550476/pressemitteilung/

 

Stand: 24.05.2018

Datenschutz am Beginn einer neuen Zeitrechnung

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit legt seinen 26. Tätigkeitsbericht Datenschutz für die Jahre 2016/2017 vor.

 

(hmbbfdi, 21.2.2018) Im Vorfeld der ab Mai 2018 europaweit geltenden Datenschutzgrundverordnung (DSGVO) werfen die gesetzlichen Neuerungen längst ihre Schatten voraus. Datenschutzaufsichtsbehörden, aber auch die gesamte öffentliche Verwaltung sowie die Unternehmen in Europa stellen sich intensiv auf diesen Wandel ein. Diese Umstellung und Neujustierung war auch für die Behörde des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) in den letzten beiden Jahren ein bestimmender Faktor.

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Im Datenschutz bleibt in 2018 kein Stein auf dem anderen. Ob und inwieweit es Unternehmen, aber auch Aufsichtsbehörden gelingt, die neuen Regelungen und die daraus erwachsenden Aufgaben und Pflichten zeitgerecht umzusetzen, wird sich zeigen. In Hamburg bleibt die Situation der Aufsichtsbehörde auch weiterhin sehr angespannt. Nach einem erneuten Anstieg der Eingabenzahlen in 2017 auf ein neues Jahreshoch wird es sehr schwer werden, die mit der DSGVO verbundenen Aufgaben zeitgerecht zu bewältigen. Das alles darf aber nicht von der positiven Tatsache ablenken, dass mit Geltung der neuen Regelungen im Datenschutz auf EU-Ebene eine neue Zeitrechnung beginnt. Datenschutz ist kein Selbstzweck zur Aufblähung von Behördenstrukturen, sondern dient direkt dem Schutz der Privatsphäre von Bürgerinnen und Bürgern. Dass dieser immer schwerere und komplexere Anforderungen stellt, zeigen die vielen Baustellen der letzten beiden Jahre: Die Durchsetzung der Anforderungen der Datensicherheit in den Behörden, die Kontrolle der rechtmäßigen Datenhaltung der Polizei oder zahlreiche gerichtliche Verfahren mit Beteiligung von internationalen Konzernen, die ihren Hauptsitz in der Hansestadt haben – Datenschutz ist längst zu einem Mega-Thema in Staat und Gesellschaft geworden, das unser aller Zukunft betrifft.“

Nicht zuletzt um den neuen Herausforderungen Rechnung zu tragen, wurde auch das Konzept des Tätigkeitsberichts des HmbBfDI erneuert. Der vorliegende 26. Tätigkeitsbericht stellt die Arbeit der Hamburger Datenschutzaufsichtsbehörde nun nach rein output-orientierten Kriterien vor. So bilden Prüfungen, Berichte, rechtsverbindliche Anordnungen und Bußgelder, Beratungen und Datenschutz-kommunikation sowie Informationen zur Behörde (u.a. Statistiken) die Hauptkapitel.

Die elektronische Fassung des 26. Tätigkeitsberichts Datenschutz 2016/2017 kann nachstehend am Ende dieser Seite im PDF-Format abgerufen werden.

Pressekontakt:

Martin Schemm

Telefon: 040/42854-4044

E-Mail: presse@datenschutz.hamburg.de

Nachstehend einige ausgewählte Themen des aktuellen Tätigkeitsberichts:

Polizei und G20-Gipfel (S. 22ff): Die Überprüfungen von Datenspeicherungen bei der Polizei Hamburg haben ergeben, dass häufig die rechtlichen Anforderungen für die Speicherung personenbezogener Daten nicht erfüllt waren. So musste bei den Speicherungen sowohl in landeseigenen Dateien als auch in Verbunddateien u.a. festgestellt werden, dass es an der Erforderlichkeit bzw. einer notwendigen Negativprognose fehlte, dass nachfolgende Erkenntnisse wie z.B. Strafverfahrensausgänge nicht oder nicht zeitnah berücksichtigt wurden und dass Daten nicht rechtzeitig gelöscht wurden. In einer der geprüften Dateien führte die Löschung von 3.794 Datensätzen bzw. von 87 % des Datenbestandes zu einem datenschutzkonformen Zustand. Die Ankündigung der Polizei Hamburg, den gesamten Datenbestand von ca. 900.000 Datensätzen zu etwa 160.000 Personen zu bereinigen, ist daher zu begrüßen. Auch die aufwendige datenschutzrechtliche Aufarbeitung der polizeilichen Arbeit während des G20-Gipfels ergab, dass es hierbei ebenfalls organisatorischen Mängeln geschuldet war, dass unbefugte Dritte Kenntnis von denjenigen Namen von Journalisten erlangen konnten, die auf einer Liste zwecks Entziehung der Akkreditierung genannt waren. Insgesamt muss die Polizei ihre Anstrengungen verstärken, um in Zukunft die Datenhaltung und den Datenumgang datenschutzkonform auszugestalten.

E-Mail-Verschlüsselung bei Sozialdaten (S. 41 ff.): Eine Prüfung im Jugendamt ergab, dass durchweg Sozialdaten per E-Mail ohne erforderliche Ende-zu-Ende-Verschlüsselung versendet werden, die die Kenntnisnahme der Inhalte durch Unbefugte ausschließt. Es ist zwingend erforderlich, dass den Jugendämtern die Möglichkeit der E-Mail-Kommunikation erhalten bleibt; anderenfalls würde gerade in Krisensituationen, in denen es auf eine schnelle Hilfegewährung ankommt, das Kindeswohl durch Zeitverlust zusätzlich gefährdet. Allerdings muss auch der hohe Schutzbedarf der Sozialdaten angemessen berücksichtigt werden. Ein Bruch der Vertraulichkeit würde insbesondere für die betroffenen Kinder und Jugendlichen zu einer erheblichen Beeinträchtigung ihrer gesellschaftlichen Stellung und ihres Ansehens führen. Eine Transportverschlüsselung reicht hier nicht aus. Die Behörde für Arbeit, Soziales, Familie und Integration wurde gebeten, kurzfristig entsprechende Maßnahmen zu ergreifen, die dem Schutzbedarf der Daten der Kinder und Jugendlichen entsprechen. Zwischenzeitlich wurde mit der Erarbeitung eines erhöhten E-Mail-Schutzes begonnen.

Bußgelder bei unerlaubter Videoüberwachung (S. 71ff): Im Berichtszeitraum wurde ein Bußgeldverfahren gegen das Betreiben mehrerer Video-Kameras in den Gasträumen eines Restaurants verhängt. Das AG Hamburg sieht die Videoüberwachung von Gasträumen ebenso wie die Datenschutzaufsicht grundsätzlich als unzulässig an und folgte unserer Begründung des Bußgeldbescheids im Wesentlichen. Die verantwortliche Stelle wurde wegen vorsätzlich unbefugter Erhebung und Verarbeitung personenbezogener Daten verurteilt. Zu unserem Bedauern – nicht aber zu unserer Überraschung – wurde das Bußgeld trotz einer jahrelangen rechtswidrigen Überwachungspraxis der Gäste und einer komfortablen Einkommenslage des Gastronomieunternehmens von ursprünglich 5000 Euro auf 1000 Euro herabgesetzt. Leider ist dies kein Einzelfall. Mit der ab Mai 2018 geltenden Datenschutzgrundverordnung wird der Bußgeldrahmen bei vorsätzlichen Datenschutzverletzungen von 300.000,- € auf 20 Millionen € (oder 4% des weltweiten Jahreskonzernumsatzes) ganz wesentlich angehoben. Es ist zu erwarten, dass Datenschutzverletzungen künftig nicht mehr als Bagatellvergehen angesehen werden, die mit Bußgeldern belegt werden, von denen keinerlei Abschreckungseffekt ausgeht. Das gilt nicht nur für die Datenschutzaufsicht, sondern auch für die Gerichte.

Das Verfahren HERAKLES der Kasse.Hamburg (S. 39f): Im Februar 2016 war es rund 6.600 Beschäftigten der Behörden und Ämter möglich, mittels freier Suche im Buchhaltungsprogramm HERAKLES der Stadt Hamburg auf über 2 Millionen Kontenstammdatensätze der Kasse.Hamburg zuzugreifen. Somit waren u.a. personenbezogene Daten wie Name, Anschrift und Kontoverbindungen aufgrund des unzureichenden Zugriffsberechtigungskonzepts frei zugänglich. Bereits 2015 wurde die verantwortliche Finanzbehörde vom HmbBfDI auf die mangelhaften Zugriffsregelungen hingewiesen (vgl. 25. TB, VIII 2.2). Dennoch ist es dem HmbBfDI erst nach fast drei Jahren gelungen, angemessene Zugriffsberechtigungen zu vereinbaren, die jedoch aufgrund fehlender Funktionen wie u.a. Protokollierungen noch immer nicht vollumfänglich zufriedenstellen können.

Verschlüsselung von Funkdaten bei der Feuerwehr (S. 36ff): Das Digitale Alarmierungssystem der Feuerwehren in der Stadt überträgt die Daten unverschlüsselt, wodurch deren Inhalte mitgeschnitten werden können, obwohl seit den 2000er Jahren grundsätzlich die technischen Voraussetzungen für eine Verschlüsselung erfüllt sind. Nachdem wir im September 2016 über diese Missstände informiert worden sind, sah die Feuerwehr keinerlei Handlungsbedarf, ihr System anzupassen. Erst nachdem Angaben zu Einsätzen (z.B. Anschriften, Namen, Diagnosen) im Frühjahr 2017 mehrmals illegal im Internet veröffentlicht wurden, erkannte die Polizei die Problematik und arbeitet seitdem mit den Herstellern der Geräte an einer Lösung. Unter anderem sollen so bis Mitte 2018 neue Geräte beschafft werden, die auch mit dem nachfolgenden Alarmierungssystem TETRA-BOS-Digitalfunk kompatibel sind.

Smart Meter Rollout in Hamburg (S. 107ff): Die Digitalisierung der Energiewende erreicht in den kommenden Jahren jeden Hamburger Haushalt. Mit dem Messstellenbetriebsgesetz hat der Gesetzgeber die Weichen für ein intelligentes Stromnetz gestellt. Ziel ist die Harmonisierung des zunehmenden Anteils erneuerbarer Energien mit der Stromnachfrage. Dazu ersetzen ‚intelligente Messsysteme‘ und ‚moderne Messeinrichtungen‘ bis 2032 die derzeit verwendeten analogen Messgeräte. Das Grundrecht auf informationelle Selbstbestimmung wird insbesondere durch die selbstständig kommunizierenden intelligenten Messsysteme auf die Probe gestellt. Denn aus Verbrauchsmenge und -zeitpunkt können Rückschlüsse auf die private Lebensführung gezogen werden. Zwar hat der Gesetzgeber die Gefahren weitgehend erkannt und ein enges Maßnahmenkorsett normiert. Ob dieses ausreichend sein wird, muss in den kommenden Jahren kritisch beobachtet werden. Diesem Auftrag wird der Hamburgische Beauftragte nachkommen.

Digitale Stadt (S. 93ff): Der Senat der FHH treibt Hamburgs Rolle als „Digitale Stadt“ voran. Mit diesem Stichwort verbunden sind weitreichende Planungen und Visionen für eine Stadt von morgen, in der Bürger ihre Behördengänge online erledigen oder sich gänzlich ersparen können (antraglose Verwaltung), in der E-Government die Regel und Papier die Ausnahme ist, in der Sensoren im Straßenraum energie- und zeitsparend den automatisierten öffentlichen Verkehr lenken. Solche Visionen sind wichtig und für den Fortschritt unerlässlich. Gleichzeitig werfen sie viele Datenschutzfragen auf, die beantwortet werden müssen, damit solche Vorhaben rechtskonform aufgestellt werden und am Ende auch gelingen können. Wir sind auf verschiedenen Ebenen mit den beteiligten Behörden im Gespräch. Neben vielen praktischen Fragen der technischen Konzeptionierung und Umsetzung zeigt sich, dass auch das Recht weiterentwickelt werden muss, um solche neuen Konzepte möglich zu machen. Gerade hier tut sich Hamburg allerdings schwer. Noch immer wird vom Senat offenbar kein Bedarf gesehen, durch ein E-Government-Gesetz den rechtlichen Rahmen für die Digitalisierung von Verwaltungsverfahren zu schaffen, wie dies im Bund und in den meisten anderen Ländern bereits erfolgt ist. Wir werden weiter auf entsprechende Regelungen drängen.

Google-Suchergebnisse – „Recht auf Vergessenwerden“ (S. 82): Nach wie vor erreichen uns viele Beschwerden über die Praxis von Google im Zusammenhang mit Anträgen von Betroffenen, Suchergebnisse sperren zu lassen, die bei der Eingabe ihres Namens in die Google-Suchmaschine angezeigt werden. Häufig können wir den Betroffenen zur Durchsetzung ihrer Rechte verhelfen, allerdings besteht auch aus unserer Sicht nach Abwägung der Umstände nicht immer ein Anspruch auf Sperrung der unerwünschten Ergebnisse. In einzelnen Fällen haben sich Betroffene, die mit unserer Entscheidung nicht zufrieden waren, an das Verwaltungsgericht gewandt, um ein entsprechendes Vorgehen gegen Google durch uns zu erzwingen. Dies hat das VG allerdings abgelehnt und Ansprüche der Betroffenen, die über die Entgegennahme, Prüfung und Ergebnismitteilung ihrer Beschwerde hinausgehen, verneint. In zwei Fällen wird sich das Verfahren beim OVG fortsetzen.

Safe Harbor und Privacy Shield (S. 75ff): Nachdem der Europäische Gerichtshof das Safe-Harbor-Abkommen zwischen der EU und den USA für ungültig erklärt hatte, hat der HmbBfDI etliche Unternehmen zunächst darauf aufmerksam gemacht. Damit hatten diese die Gelegenheit, ihre Datenübermittlungen in die USA der veränderten Rechtslage anzupassen. Das überprüfte der HmbBfDI einige Monate später bei mehr als 30 großen Unternehmen. Lediglich in drei Fällen mussten wegen Datenschutzverstößen in diesem Bereich Bußgelder verhängt werden. Nach Inkrafttreten des Privacy Shield prüfte der HmbBfDI gleichzeitig mit 9 anderen Bundesländern die Datenübermittlungen in Drittländer in Hamburg erneut. Hierzu wurden 11 sehr unterschiedliche Unternehmen ausgesucht, die einen Fragenkatalog zu beantworten hatten. Keines der Unternehmen hatte sich datenschutzwidrig verhalten, so dass auf weitere Maßnahmen verzichtet werden konnte.

 

Stand: 24.05.2018

Oberverwaltungsgericht bestätigt Verbot des Datenaustauschs zwischen WhatsApp und Facebook

Anordnung zum Schutz der Daten von WhatsApp-Nutzern vor Weitergabe wirksam.

 

(hmbbfdi, 2.3.2018) Die für sofort vollziehbar erklärte Anordnung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, die Facebook untersagt, Daten von WhatsApp-Nutzern massenhaft für eigene Zwecke zu nutzen, wurde vom OVG Hamburg gestern als rechtmäßig bestätigt. Eine entsprechende Beschwerde Facebooks gegen die vorangegangene Entscheidung des Verwaltungsgerichts Hamburg blieb erfolglos. Damit darf Facebook auch weiterhin keinen Datenabgleich von Millionen von Nutzerdaten des konzerneigenen Messenger-Dienstes WhatsApp vornehmen.

 

Das OVG bestätigt die Auffassung des VG Hamburg, wonach für den geplanten Massendatenaustausch keine wirksame Einwilligung der Nutzer vorlag. Ferner bestätigt sich auch die Annahme, dass eine gesetzliche Grundlage den Austausch von Nutzerdaten nicht rechtfertigt. Das gilt nicht nur für Zwecke wie die Reichweitenmessung und die Werbungsoptimierung, sondern auch für die Plattform- und Nutzersicherheit, die Facebook als Grund für die geplante Datenweitergabe zumindest angegeben hatte. Zwar kann diese im Einzelfall durchaus aus Sicherheitszwecken zulässig sein. Für die geplante Übermittlung auf Vorrat, die alle Nutzer anlasslos betrifft und für die WhatsApp eine Einwilligung einholen wollte, ist eine gesetzliche Grundlage jedoch nicht vorhanden.

 

Hierzu Prof. Dr. Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Auch wenn das OVG die Frage der Anwendbarkeit des nationalen Rechts letztlich offen gelassen hat und in der Sache eine Interessenabwägung vornimmt, ist der Beschluss ein deutlicher Erfolg für den Datenschutz. Über die Geltung nationalen Rechts wird in absehbarer Zeit der EuGH entscheiden. Die Stellungnahme des Generalanwalts hierzu liegt bereits vor und bestätigt unsere Auffassung. Ob die im Eilverfahren offen gebliebene Frage vor den Hamburgischen Verwaltungsgerichten noch in einem Hauptsacheverfahren geklärt werden wird, erscheint indes fraglich. Denn das Bundesdatenschutzgesetz tritt im Zuge der Geltung der Europäischen DSGVO bereits Ende Mai außer Kraft. Die federführende Aufsichtsbehörde für Facebook wird dann die irische Datenschutzaufsicht sein. Deren Entscheidungen können von den anderen europäischen Behörden in einem neuartigen Verfahren vor dem Europäischen Datenschutzausschuss überprüft werden. Der jetzt vorliegende Beschluss setzt dem konzerninternen Datenaustausch von Nutzerdaten klare Grenzen. Künftig wird er im europäischen Kontext auch unter der EU-Datenschutzgrundverordnung Beachtung finden. Ich gehe davon aus, dass ein massenhafter Datenabgleich, wie von Facebook mit der Konzerntochter WhatsApp geplant, künftig ohne die informierte Einwilligung der Nutzer in der EU vom Tisch sein dürfte.“

 

Das Urteil kann über die Pressemitteilung des OVG Hamburg als PDF heruntergeladen werden: justiz.hamburg.de/aktuelles/10550476/pressemitteilung/

 

Stand: 26.04.2018

Google Analytics – Hinweise für Webseitenbetreiber in Hamburg

Die vom HmbBfDI veröffentlichte Handreichung zu den datenschutzrechtlichen Anforderungen an Webseitenbetreiber mit Sitz in Hamburg beim Einsatz von Google Analytics ist aktualisiert worden, nachdem aufgrund der Entscheidung des EuGH vom 06.10.2015 (Rechtssache C-362/14- Schrems) der HmbBfDI gemeinsam mit anderen deutschen Aufsichtsbehörden den Einsatz von Google Analytics datenschutzrechtlich überprüft hat. Die Google Inc. hat inzwischen die Zertifizierung nach dem aktuellen EU-US-Privacy Shield durchgeführt. (Stand: Februar 2017)

Stand: 12.02.2018

Verkehr

Bußgeldverfahren, Verkehrsordnungswidrigkeit

Zur Aufklärung des Sachverhalts bei der Begehung von Verkehrsordnungswidrigkeiten haben die Verfolgungsbehörden bestimmte Ermittlungspflichten und -befugnisse. Sie haben von Amts wegen „den Sachverhalt zu erforschen“. Ermittlungen sind auch ohne vorherige Halteranhörung möglich. Dies schließt gegebenenfalls die Zuhilfenahme des Melderegisters und des Personalausweisregisters bzw. des Passregisters ein. Bereits im 18. Tätigkeitsbericht 1997 ist dies im 4. Teil unter 6. (S. 80 f) dargestellt.

Fahrerlaubnis, Informationspflicht der Polizei

Der Polizeivollzugsdienst ist nach § 2 Absatz 12 des Straßenverkehrsgesetzes (StVG) gehalten, die Führerscheinbehörde über Tatsachen zu informieren, die auf nicht nur vorübergehende Mängel schließen lassen, die für die Eignung oder Befähigung eines Fahrerlaubnisinhabers oder potentiellen Bewerbers um eine Fahrerlaubnis von Bedeutung sein können. Die Führerscheinbehörde muss dann entscheiden, ob diese Informationen für die Beurteilung der Eignung oder Befähigung erforderlich sind. Wenn nicht, sind sie unverzüglich zu vernichten.

Entzug der Fahrerlaubnis, Information der Polizei durch die Fahrerlaubnisbehörde

Wenn einem Inhaber einer Fahrerlaubnis diese auf dem Verwaltungsweg oder durch eine gerichtliche Entscheidung entzogen oder gegen ihn ein Fahrverbot verhängt wird, darf die Fahrerlaubnisbehörde nach § 3 Absatz 5 StVG dies der Polizei übermitteln, soweit dies für deren Überwachung im Straßenverkehr erforderlich ist. Zumeist dürfte dies an die Polizeidienststelle erfolgen, in deren Bereich der Betroffene seinen regelmäßigen Aufenthalt hat.

Stand: 07.03.2018

ORIGINALQUELLE: DER LANDESBEAUFTRAGTE FÜR DEN
DATENSCHUTZ UND DIE INFORMATIONSFREIHEIT BADEN-WÜRTTEMBERG

Was sind personenbezogene Daten?

Nach dem Bundesdatenschutzgesetz und dem Datenschutzgesetz Nordrhein-Westfalen sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.

Einzelangaben über persönliche oder sachliche Verhältnisse…

sind beispielsweise:

  • Name, Alter, Familienstand, Geburtsdatum
  • Anschrift, Telefonnummer, E-Mail Adresse
  • Konto-, Kreditkartennummer
  • Kraftfahrzeugnummer, Kfz-Kennzeichen
  • Personalausweisnummer, Sozialversicherungsnummer
  • Vorstrafen
  • genetische Daten und Krankendaten
  • Werturteile wie zum Beispiel Zeugnisse

Kundendaten gehören ebenso zu den personenbezogenen Daten wie die Personaldaten von Beschäftigten. Personenbezogene Kundendaten sind beispielsweise Namen von Ansprechpartnern oder E-Mail-Kontaktdaten.

Dabei ist die technische Form dieser Angaben nicht von Bedeutung. Auch Fotos, Videoaufnahmen, Röntgenbilder oder Tonbandaufnahmen können personenbezogene Daten enthalten.

Entscheidend für die Aussagekraft einer Angabe ist dabei ihr Verwendungszusammenhang. Speichert zum Beispiel das Sozialamt ihren Namen und ihre Anschrift, enthält dies die Information, dass sie entweder in der Vergangenheit, gegenwärtig oder für die Zukunft eine Sozialleistung beantragt haben. Wird Ihr Name dem Gesundheitsamt gemeldet, so kann dies die Information beinhalten, dass Sie an einer meldepflichtigen Krankheit erkrankt sind. In diesem Verwendungszusammenhang wird die Angabe Ihres Namens zu einer Information.

… einer bestimmten oder bestimmbaren natürliche Person

Um Angaben über eine bestimmte Person handelt es sich, wenn die Daten mit dem Namen der betroffenen Person verbunden sind oder sich aus dem Inhalt bzw. dem Zusammenhang der Bezug unmittelbar herstellen lässt. Bestimmbar ist eine Person, wenn ihre Identität unmittelbar oder mittels Zusatzwissen festgestellt werden kann.

Die Angaben müssen sich auf einen lebenden Menschen beziehen. Einzelangaben über juristische Personen, wie zum Kapitalgesellschaften oder eingetragene Vereine, sind keine personenbezogenen Daten. Etwas anderes gilt nur, wenn sich die Angaben auch auf die hinter der juristischen Person stehenden Personen beziehen, das heißt auf sie „durchschlagen“. Dies kann beispielsweise bei der GmbH einer Einzelperson oder bei einer Einzelfirma der Fall sein, wenn enge finanzielle, persönliche oder wirtschaftliche Verflechtungen zwischen der natürlichen und der juristischen Person bestehen.

Stand: 07.03.2018

Originalquelle: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen