Vorratsdatenspeicherung: Verbraucherzentralen unterstützen Aussetzung

Der Verbraucherzentrale Bundesverband (VZBV) unterstützt die Aussetzung der Vorratsdatenspeicherung durch die Bundesnetzagentur. „Eine Speicherung von Daten ohne jeden Anlass ist aus Verbrauchersicht ein massiver Eingriff in das Grundrecht auf informationelle Selbstbestimmung“, sagte VZBV-Chef Klaus Müller dem „Handelsblatt“. „Verbraucher müssen die Kontrolle über ihre Daten behalten.“

Die Bundesnetzagentur hatte am Mittwoch die Pflicht zur Vorratsdatenspeicherung für Internet-Provider und Telefonanbieter ausgesetzt und sich dabei auf einen Beschluss des Oberverwaltungsgerichts Münster aus der vergangenen Woche berufen. Nach Auffassung der Richter verstößt die deutsche Rechtslage zur Vorratsdatenspeicherung nach einem Urteil des Europäischen Gerichtshofs vom Dezember 2016 gegen europäische Datenschutzrichtlinien.

Wachsende Diskrepanz zwischen digitalen Grundrechten und staatlicher Sicherheitspolitik

Die gestrigen Nachrichten zu rechtspolitisch drängenden Fragen der digitalen Welt könnten kaum widersprüchlicher sein: einerseits wird mit dem Beschluss des OVG Münster die Vorratsdatenspeicherung rechtlich in Frage gestellt, andererseits beschließt der Bundestag eine Regelung, die künftig die Online-Durchsuchung und Quellen-TKÜ zu polizeilichen Standardmaßnahmen macht und damit massiv in die Grundrechte eingreift.

 

Der Beschluss des OVG Münster kam mit deutlicher Ansage: der EuGH hat sich in der Vergangenheit wiederholt mit der Vorratsdatenspeicherung auseinandergesetzt. Insbesondere nach seiner Entscheidung aus dem Jahr 2016 zur verpflichtenden Speicherung von Kommunikationsdaten auf Vorrat in anderen Mitgliedstaaten war klar vorhersehbar, dass die deutsche Regelung dem vorrangigen Recht der EU nicht entspricht. Der Beschluss des OVG dürfte damit das Ende der Vorratsdatenspeicherung in Deutschland einläuten. Als Konsequenz sollte nun eine Nichtanwendung der Speicherpflichten das rechtsstaatliche Gebot der Stunde sein.

 

Die Signale weisen jedoch in eine andere Richtung: parallel hat der Bundestag gestern eine Änderung der Strafprozessordnung zur Ausdehnung staatlicher Eingriffe in die Integrität und Vertraulichkeit informationstechnischer Systeme beschlossen. Diese sind rechtsstaatlich fragwürdig, gefährden die IT-Sicherheit und wurden in einem wenig transparenten Verfahren in das Parlament eingebracht. Am Ende droht dieser Regelung vor dem Bundesverfassungsgericht absehbar das, was mit der Vorratsdatenspeicherung schrittweise geschieht.

 

Hierzu Prof. Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Statt immer wieder neue rechtsstaatliche Korrekturen durch die Gerichte herauszufordern, sollte die Politik mit Augenmaß und Einsicht ihrer Verantwortung für die Grundrechte der Bürger nachkommen.“

Quelle: (hmbbfdi, 23.6.2017)

Verbot des Datenaustauschs durch den HmbBfDI zwischen WhatsApp und Facebook vorerst bestätigt

Das Verwaltungsgericht Hamburg hat mit seiner heutigen Entscheidung im vorläufigen Rechtsschutzverfahren bestätigt, dass WhatsApp die Daten deutscher Nutzer nicht an Facebook übermitteln darf. Dies ist Gegenstand einer Anordnung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit. Der Facebook Ireland Ltd. wurde untersagt, die Telefonnummer sowie weitere personenbezogene Daten von WhatsApp-Nutzern zu erheben und zu speichern, wenn die Betroffenen nicht wirksam eingewilligt haben.

Facebook und WhatsApp sind selbstständige Unternehmen, die die Daten ihrer jeweiligen Nutzer auf Grundlage ihrer eigenen Nutzungs- und Datenschutzbedingungen verarbeiten. Nach dem Kauf von WhatsApp durch Facebook 2014 haben die Unternehmen öffentlich zugesichert, dass die Daten der Nutzer nicht ohne deren wirksame Einwilligung ausgetauscht werden. Durch Einführung neuer Nutzungsbedingungen teilte WhatsApp den Nutzern im August 2016 jedoch mit, dass ihre Daten nun auch an Facebook übermittelt würden. Eine Wahl für die Nutzer besteht dabei nicht.

Der Hamburgische Datenschutzbeauftragte hält diese Praxis für rechtswidrig und hat daher den Datenaustausch im Anordnungsweg untersagt. Um die Nutzer effektiv zu schützen, wurde der Sofortvollzug angeordnet. Sonst hätte die Gefahr bestanden, dass der Datenaustausch durchgeführt wird, solange Facebook Rechtsmittel zur Verfügung stehen.

Facebook hat gegen die Anordnung im vorläufigen Rechtsschutzverfahren das Verwaltungsgericht angerufen. Ziel war es, die sofortige Vollziehung aufheben zu lassen. Diesen Antrag hat das Gericht heute zurückgewiesen und inhaltlich klargestellt, dass es für den geplanten Datenaustausch keine rechtliche Grundlage sieht. Facebook kann sich nicht auf die Wahrung eigener Geschäftszwecke berufen, da der vollständige Datenaustausch weder zum Zweck der Netzsicherheit oder der Unternehmensanalyse noch zur Werbeoptimierung erforderlich ist. Ferner stellt das Gericht klar, dass keine wirksamen Einwilligungen der WhatsApp-Nutzer für einen Datenaustausch mit Facebook vorliegen. Im Ergebnis nimmt das Verwaltungsgericht im Rahmen des einstweiligen Rechtsschutzverfahren eine klare Abwägung vor: Danach werden die Interessen der ca. 35 Millionen deutschen WhatsApp-Nutzer höher gewichtet als das wirtschaftliche Interesse von Facebook an einer Aussetzung der sofortigen Vollziehbarkeit. Die Frage nach der Anwendbarkeit des nationalen Rechts lässt das Gericht dabei teilweise offen, denn selbst für den Fall, dass nur irisches Recht anwendbar sein sollte, müsse EU-Datenschutzrecht befolgt werden. Facebook sei daher ohnedies verpflichtet, ein rechtmäßiges Einwilligungsverfahren einzuführen.

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Nach diesem Beschluss wird es einen Massenabgleich der Daten inländischer Nutzerinnen und Nutzer zwischen WhatsApp und Facebook auch weiterhin nicht geben. Das ist eine gute Nachricht für die vielen Millionen Menschen, die täglich den Messenger-Dienst von WhatsApp in Deutschland nutzen. Sie sind nicht schutzlos. Das Gericht hat für eine im vorläufigen Rechtsschutzverfahren deutliche Weise herausgearbeitet, dass der geplante Datenaustausch dem nationalen Datenschutzrecht widerspricht. Die Entscheidung hat erhebliche Ausstrahlungswirkung auch in Richtung EU. Denn hier gilt ja bereits heute mit der EU-Datenschutzrichtlinie – und ab Mai 2018 mit der Datenschutzgrundverordnung erst recht – ein vergleichbares Datenschutzniveau. Damit wird auch der Kritik vieler meiner Kollegen aus den anderen Mitgliedstaaten an dem geplanten Datenaustausch Rechnung getragen. Einen Massenabgleich von Daten gegen den Willen Betroffener wird und darf es in der EU nicht geben. Ein ordnungsgemäßes und transparentes Einwilligungsverfahren, das die Rechte aller Betroffenen respektiert, ist der einzig gangbare Weg. Diese Linie werden wir auch im weiteren Verlauf des Verfahrens konsequent verfolgen.“

Quelle: (hmbbfdi, 25.4.2017)

Unzulässige Datenübermittlungen in die USA

Der EuGH hat die Safe Harbor-Entscheidung im Oktober 2015 aufgehoben und damit einen  wesentlichen Pfeiler für eine rechtmäßige Datenübermittlung an US-Unternehmen für unwirksam erklärt. Daraufhin wurden durch den Hamburgischen Datenschutzbeauftragten Prüfungen bei 35 international agierenden Hamburger Unternehmen durchgeführt.

Die Prüfungen haben ergeben, dass die überwiegende Mehrheit der Unternehmen den Datentransfer im Rahmen einer mehrmonatigen Umsetzungsfrist rechtzeitig auf sogenannte Standardvertragsklauseln umgestellt hat. Einige wenige Unternehmen hatten aber auch ein halbes Jahr nach Wegfall der Safe Harbor-Entscheidung keine zulässige Alternative geschaffen. Die Datenübermittlungen dieser Unternehmen in die USA erfolgten damit ohne rechtliche Grundlage und waren rechtswidrig.

Während einige der eingeleiteten Verfahren noch nicht abgeschlossen werden konnten und andere Prüfungen noch laufen, sind mittlerweile drei Bußgeldbescheide wegen der unzulässigen Übermittlung von Mitarbeiter- und Kundendaten in die USA rechtskräftig geworden. Die betroffenen Unternehmen haben nach Einleitung des Bußgeldverfahrens ihre Übermittlungen rechtlich auf Standardvertragsklauseln umgestellt.

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit:
„Dass die Unternehmen schließlich doch noch eine rechtliche Grundlage für die Übermittlung geschaffen haben, war bei der Bemessung der Bußgelder positiv zu berücksichtigen. Für künftig festgestellte Verstöße wird sicherlich ein schärferer Maßstab anzulegen sein.

Im weiteren Verlauf bleibt nun abzuwarten, ob die Nachfolgeregelung zu Safe Harbor, der Privacy Shield, den die EU-Kommission Ende Februar vorgelegt hat, ein angemessenes Datenschutzniveau herstellt. Daran waren nicht zuletzt seitens der Art. 29-Datenschutzgruppe, dem gemeinsamen Gremium der Datenschutzbehörden der EU-Mitgliedstaaten und des Europäischen Datenschutzbeauftragten,  erhebliche Zweifel geäußert worden. EU-Kommission und US-Regierung sind hier aufgefordert, den Entwurf in wesentlichen Punkten nachzubessern. Vor diesem Hintergrund wird auch über die Zulässigkeit der derzeit nicht beanstandeten alternativen Übermittlungsinstrumente, insbesondere sogenannter Standardvertragsklauseln, zu entscheiden sein.“

Quelle: (hmbbfdi, 6.6.2016)

Datenschutz in Ihrem Unternehmen: Was Sie beachten sollten

In unserem fortgeschrittenen Informationszeitalter stellt Datenschutz eine wachsende Herausforderung dar. Dies gilt insbesondere für Unternehmen, und zwar nicht nur für Großunternehmen, bei denen Milliardensummen auf dem Spiel stehen, sondern auch für kleinere Unternehmen, für die digitale Datenlecks in gewissen Fällen sogar existenzgefährdend sein können. Um Ihre IT-Systeme sicher gegen Angriffe von außen zu halten, kostet es viel Zeit, Engagement, und nicht zuletzt Wissen. Wissen ist hier der springende Punkt, denn anders als man oftmals zu denken vermag, muss effektiver Datenschutz für Ihr Unternehmen nicht zwingend teuer oder ungeheuerlich kompliziert sein. Insbesondere wenn Ihr Unternehmen sich noch in Kinderschuhen befindet, könnte die vorliegende Übersicht über die Grundlagen des Datenschutzes für Unternehmen eine hilfreiche Stütze sein.

Was genau bedeutet Datenschutz für Unternehmen? Es lässt sich generell zwischen den wichtigsten sechs Teilbereichen des Datenschutzes für Unternehmen unterscheiden:

  • IT-Security-Personal einschließend Mitarbeitertraining
  • Firewalllösungen
  • Malwareschutz
  • Softwareupdates
  • Zugangsschutz
  • Datenverschlüsselung

IT-Security-Personal und Mitarbeitertraining

Idealerweise unterhält Ihr Unternehmen Personal, dass für die Sicherheit Ihrer IT-Systeme zuständig ist. Eine alternative Lösung wäre es, die IT-Sicherheit Ihres Unternehmens einem externen IT-Security-Dienstleiter zu überlassen. Viele kleinere Unternehmen verfügen allerdings nicht über die nötigen finanziellen Ressourcen sowohl für die eine, als auch für die andere Lösung. In jedem Fall sollten alle Ihre Mitarbeiter zu einem gewissen Grad in IT-Sicherheit geschult sein. Das bedeutet vor allem, dass es genügend Trainingsmaterial für Ihre Mitarbeiter gibt, das ihnen ihre Verantwortung für den Datenschutz Ihres Unternehmens deutlich macht.

Firewalllösungen

Firewalls dienen dazu, unerwünschte Eingriffe in Ihr Unternehmensnetzwerk zu unterbinden, und sind somit ein unerlässlicher Bestandteil Ihres Datenschutzkonzeptes. Firewalllösungen gibt es wie Sand am Meer, manche teuer und manche sogar vollkommen kostenfrei. Es liegt an Ihnen rauszufinden, welche Lösungen am besten zu Ihrem Unternehmen passen. Sie sollten dabei schauen, wie Ihre Prioritäten gelagert sind. Wenn, zum Beispiel, in Ihrem Unternehmen viele brisante Daten mit E-Mails versendet werden, sollten Sie sich nach der Firewall erkundigen, die den bestmöglichen Schutz Ihres E-Mailverkehrs bieten könnte.

Malwareschutz

Der Begriff „Malware“ schließt alle Computerschädlinge mit ein, so auch Viren, Trojaner, und Rootkits. Effektiver Malwareschutz mit nur einer einzelnen Softwarelösung ist eine Utopie. Es ist besser, für jede Art von Schädling eine spezialisierte Software parat zu haben. Auch hier haben Sie die Qual der Wahl über eine Vielzahl an wertiger Software. Mittlerweile gibt es eine Reihe von Onlineressourcen, die es sich zur Aufgabe gemacht haben, verschiedene Malwareschutzprogramme zu vergleichen und ausgiebig zu testen. Hervorzuheben von diesen Onlineressourcen sind AV-Comparatives und AV-Test, die beide aufgrund ihrer fachlichen Qualität und Benutzerfreundlichkeit sehr populär in der Onlinegemeinde sind.

Softwareupdates

Softwareupdates können lästig sein, aber Ihre Software immer auf dem neuesten Stand zu halten, sollte für Sie höchste Priorität haben, denn ältere Softwareversionen, insbesondere von vielgenutzter Software wie PDF-Lesern oder E-Mailclients, können signifikante Sicherheitslecks aufweisen.

Zugangsschutz

Alle Ihre Computer sollten mindestens mit einem Benutzernamen und einem Passwort von unbefugten Zugang geschützt werden. Dabei sollten Sie beachten, dass für jede Mitarbeiterposition ein Account mit angemessenen Befugnissen besteht. Ein Administratoraccount sollte nur benutzt werden, wenn es absolut notwendig ist; so zum Beispiel, um Softwareupdates durchzuführen.

Datenverschlüsselung

Datenverschlüsselung dient ähnlich wie der Zugangsschutz dazu, Unbefugten dem Zugang zu geschützten Informationen zu verwehren. Anders als beim Zugangsschutz werden bei der Datenverschlüsselung jedoch in der Regel nicht ganze Computersysteme, sondern gewisse Dateien geschützt. Auch bei der Datenverschlüsselung wird mit Passwörtern gearbeitet. Bei der Wahl zwischen verschiedener Datenverschlüsselungssoftware kommt es vor allem darauf an, wie schwer es die Software Unbefugten macht, Passwörter zu knacken.

Verbot des Datenaustauschs durch den HmbBfDI zwischen WhatsApp und Facebook vorerst bestätigt

Kein Massendatenabgleich zwischen Facebook und WhatsApp

Das Verwaltungsgericht Hamburg hat mit seiner heutigen Entscheidung im vorläufigen Rechtsschutzverfahren bestätigt, dass WhatsApp die Daten deutscher Nutzer nicht an Facebook übermitteln darf. Dies ist Gegenstand einer Anordnung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit. Der Facebook Ireland Ltd. wurde untersagt, die Telefonnummer sowie weitere personenbezogene Daten von WhatsApp-Nutzern zu erheben und zu speichern, wenn die Betroffenen nicht wirksam eingewilligt haben.

 

Facebook und WhatsApp sind selbstständige Unternehmen, die die Daten ihrer jeweiligen Nutzer auf Grundlage ihrer eigenen Nutzungs- und Datenschutzbedingungen verarbeiten. Nach dem Kauf von WhatsApp durch Facebook 2014 haben die Unternehmen öffentlich zugesichert, dass die Daten der Nutzer nicht ohne deren wirksame Einwilligung ausgetauscht werden. Durch Einführung neuer Nutzungsbedingungen teilte WhatsApp den Nutzern im August 2016 jedoch mit, dass ihre Daten nun auch an Facebook übermittelt würden. Eine Wahl für die Nutzer besteht dabei nicht.

 

Der Hamburgische Datenschutzbeauftragte hält diese Praxis für rechtswidrig und hat daher den Datenaustausch im Anordnungsweg untersagt. Um die Nutzer effektiv zu schützen, wurde der Sofortvollzug angeordnet. Sonst hätte die Gefahr bestanden, dass der Datenaustausch durchgeführt wird, solange Facebook Rechtsmittel zur Verfügung stehen.

 

Facebook hat gegen die Anordnung im vorläufigen Rechtsschutzverfahren das Verwaltungsgericht angerufen. Ziel war es, die sofortige Vollziehung aufheben zu lassen. Diesen Antrag hat das Gericht heute zurückgewiesen und inhaltlich klargestellt, dass es für den geplanten Datenaustausch keine rechtliche Grundlage sieht. Facebook kann sich nicht auf die Wahrung eigener Geschäftszwecke berufen, da der vollständige Datenaustausch weder zum Zweck der Netzsicherheit oder der Unternehmensanalyse noch zur Werbeoptimierung erforderlich ist. Ferner stellt das Gericht klar, dass keine wirksamen Einwilligungen der WhatsApp-Nutzer für einen Datenaustausch mit Facebook vorliegen. Im Ergebnis nimmt das Verwaltungsgericht im Rahmen des einstweiligen Rechtsschutzverfahren eine klare Abwägung vor: Danach werden die Interessen der ca. 35 Millionen deutschen WhatsApp-Nutzer höher gewichtet als das wirtschaftliche Interesse von Facebook an einer Aussetzung der sofortigen Vollziehbarkeit. Die Frage nach der Anwendbarkeit des nationalen Rechts lässt das Gericht dabei teilweise offen, denn selbst für den Fall, dass nur irisches Recht anwendbar sein sollte, müsse EU-Datenschutzrecht befolgt werden. Facebook sei daher ohnedies verpflichtet, ein rechtmäßiges Einwilligungsverfahren einzuführen.

 

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Nach diesem Beschluss wird es einen Massenabgleich der Daten inländischer Nutzerinnen und Nutzer zwischen WhatsApp und Facebook auch weiterhin nicht geben. Das ist eine gute Nachricht für die vielen Millionen Menschen, die täglich den Messenger-Dienst von WhatsApp in Deutschland nutzen. Sie sind nicht schutzlos. Das Gericht hat für eine im vorläufigen Rechtsschutzverfahren deutliche Weise herausgearbeitet, dass der geplante Datenaustausch dem nationalen Datenschutzrecht widerspricht. Die Entscheidung hat erhebliche Ausstrahlungswirkung auch in Richtung EU. Denn hier gilt ja bereits heute mit der EU-Datenschutzrichtlinie – und ab Mai 2018 mit der Datenschutzgrundverordnung erst recht – ein vergleichbares Datenschutzniveau. Damit wird auch der Kritik vieler meiner Kollegen aus den anderen Mitgliedstaaten an dem geplanten Datenaustausch Rechnung getragen. Einen Massenabgleich von Daten gegen den Willen Betroffener wird und darf es in der EU nicht geben. Ein ordnungsgemäßes und transparentes Einwilligungsverfahren, das die Rechte aller Betroffenen respektiert, ist der einzig gangbare Weg. Diese Linie werden wir auch im weiteren Verlauf des Verfahrens konsequent verfolgen.“

Quelle: (hmbbfdi, 25.4.2017)

Wesentliche Änderungen bei der Datenverarbeitung von Google notwendig – Datenschutzaufsicht erlässt Anordnung

Der Hamburgische Beauftrage für Datenschutz und Informationsfreiheit hat in der vergangenen Woche gegenüber der Google Inc. zur Beseitigung von Verstößen gegen das Telemediengesetz und das Bundesdatenschutzgesetz eine Verwaltungsanordnung erlassen. Das US-Unternehmen wird darin verpflichtet, Daten, die bei der Nutzung unterschiedlicher Google-Dienste anfallen, nur unter Beachtung der gesetzlichen Vorgaben zu erheben und zu kombinieren. Nach Auffassung der Datenschutzbehörde greift die bisherige Praxis der Erstellung von Nutzerprofilen weit über das zulässige Maß hinaus in die Privatsphäre der Google-Nutzer ein. Google wird verpflichtet, technische und organisatorische Maßnahmen zu ergreifen, die sicherstellen, dass deren Nutzer künftig selbst über die Verwendung der eigenen Daten zur Profilerstellung entscheiden können.

Die Google Inc. erhält umfängliche Informationen über die Nutzungsgewohnheiten ihrer Kunden. Viele setzen die unterschiedlichen vom Unternehmen angebotenen Dienste in ihrem täglichen Leben regelmäßig und umfassend ein. Dies betrifft sowohl die bei Google registrierten Personen (z.B. Gmail-Nutzer und die meisten Besitzer eines Android-Smartphones) als auch Personen, die Google-Dienste (z.B. die Suchmaschine) unangemeldet verwenden. Die Inhalts- und Nutzungsdaten, die dabei anfallen, verraten bereits viel über den Einzelnen und dessen Interessen, Gewohnheiten und Lebensweise.

Beispielsweise können damit

• detaillierte Bewegungsmuster durch Standortdaten erstellt,

• Rückschlüsse auf spezifische Interessen und Vorlieben durch Auswertung der Nutzung der Google-Suchmaschine getroffen,

• der soziale und der finanzielle Status, der Aufenthaltsort und viele weitere Gewohnheiten des Nutzers durch Analyse der Daten ermittelt und

• etwa Freundschaftsbeziehungen, sexuelle Orientierung sowie der Beziehungsstatus abgeleitet werden.

In den Privatsphärebestimmungen schließt Google die Verknüpfung besonders sensibler personenbezogener Daten lediglich zu Werbezwecken aus. Nichtsdestotrotz kann die Verknüpfung all dieser Informationen aus den verschiedenen Einzeldiensten aussagekräftige und nahezu umfassende Persönlichkeitsbilder entstehen lassen. Die Bildung solcher diensteübergreifender Profile behält sich Google durch die seit März 2012 geltenden Privatsphärebestimmungen ausdrücklich vor. Da für eine derartig massive Profilbildung unter Zusammenführung aller Daten weder im nationalen noch im europäischen Recht eine Rechtsgrundlage existiert, ist dies nur dann zulässig, wenn der Nutzer ausdrücklich und informiert in eine derartige Verarbeitung seiner Daten eingewilligt hat oder – soweit dies gesetzlich vorgesehen ist – er dagegen widersprechen kann.

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Zwar konnten wir in zahlreichen Gesprächen mit Google Verbesserungen insbesondere bei der Information der Nutzer erreichen. Bei der wesentlichen Frage der Zusammenführung der Nutzerdaten war Google jedoch nicht bereit, die rechtlich erforderlichen Maßnahmen einzuhalten und substantielle Verbesserungen zugunsten der Nutzerkontrolle umzusetzen. Insoweit wird Google nun per Anordnung dazu verpflichtet. Unsere Anforderungen zielen auf einen fairen, gesetzlich vorgesehenen Ausgleich zwischen den Interessen des Unternehmens und denen seiner Nutzer. Der Ball liegt nun im Spielfeld von Google. Das Unternehmen muss die Daten von Millionen von Nutzern so behandeln, dass deren Recht auf informationelle Selbstbestimmung künftig bei der Nutzung der unterschiedlichen Dienste des Unternehmens hinreichend gewahrt wird.“

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat die Google-Privatsphärebestimmungen im Rahmen einer europäischen Task Force als Vertreter Deutschlands geprüft und bewertet. Dabei wurden die inhaltlichen Kriterien zwischen den darin vertretenen sechs EU-Mitgliedstaaten intensiv diskutiert, um eine möglichst einheitliche europäische Sichtweise zu gewährleisten. Die konkrete Durchsetzung der datenschutzrechtlichen Anforderungen erfolgt jedoch unabhängig und allein auf Grundlage des jeweiligen nationalen Rechts. Während zum Teil andere Länder aufgrund ihrer nationalen Bestimmungen Verstöße mit Bußgeldern sanktionierten, wurde nach deutschem Datenschutzrecht nun eine Verwaltungsanordnung erlassen.

Quelle: hmbbfdi, 30.9.2014

Pseudonyme Nutzung bei Facebook weiter ungeklärt

OVG Hamburg lässt Zuständigkeit des Hamburgischen Datenschutzbeauftragten weiter offen

Die Beschwerde des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit gegen den Beschluss des VG Hamburg hatte im Ergebnis keinen Erfolg. Die Entscheidung des Gerichts lässt aber weiterhin offen, ob die Aufsichtsbehörde gegen den Klarnamenzwang von Facebook erfolgreich vorgehen kann. Denn das Gericht folgte der Auffassung der Vorinstanz, dass das deutsche Datenschutzrecht offensichtlich keine Anwendung fände, ausdrücklich nicht.

Der Hamburgische Datenschutzbeauftragte hatte angeordnet, dass Facebook die Sperrung eines unter Pseudonym genutzten Accounts sofort aufzuheben hat. Dieser sogenannte Sofortvollzug war nicht durchsetzbar. Das Gericht wertete, dass das Interesse des Datenschutzbeauftragten und der Nutzerin, deren Facebook-Konto gesperrt wurde, an einem sofortigen Zugang unter einem Pseudonym nicht das Interesse von Facebook an einer Aussetzung der Anordnung überwiege.

Das Gericht sah es aber im Gegensatz zur Vorinstanz als offen an, ob nationales Datenschutzrecht auf die Konstellation, dass ein Mutterkonzern im Unionsgebiet mehrere Niederlassungen habe, anwendbar sei. Dies hänge maßgeblich von der Auslegung der EU-Datenschutzrichtlinie ab.

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Die Abwägungsentscheidung des OVG beruht auf dessen Zweifeln an der Anwendbarkeit der nationalen Datenschutzregelungen. Diese Frage liegt derzeit beim EuGH. Ein effizienter Schutz der Grundrechte Betroffener gegenüber Eingriffen in ihre Privatsphäre macht eine weite Auslegung der Bestimmung zur Anwendbarkeit nationalen Rechts erforderlich. Das hatte der EuGH bereits in zwei vorangegangenen Entscheidungen klargestellt. Ich gehe davon aus, dass das europäische Gericht die Auffassung aller europäischen Datenschutzbehörden bestätigt und seine bisherige Rechtsprechung weiter verfolgen wird. Das Verfahren zum Klarnamenzwang geht juristisch in die nächste Runde.“

Quelle: (hmbbfdi, 1.7.2016)

Anordnung gegen Massendatenabgleich zwischen WhatsApp und Facebook

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat eine Verwaltungsanordnung erlassen, die es Facebook ab sofort untersagt, Daten von deutschen WhatsApp-Nutzern zu erheben und zu speichern. Facebook wird ferner aufgegeben, bereits durch WhatsApp an das Unternehmen übermittelte Daten zu löschen.

Facebook und WhatsApp sind selbstständige Unternehmen, die die Daten ihrer jeweiligen Nutzer auf Grundlage ihrer eigenen Nutzungs- und Datenschutzbedingungen verarbeiten. Nach dem Erwerb von WhatsApp durch Facebook vor zwei Jahren haben sie öffentlich zugesichert, dass die Daten der Nutzer nicht miteinander ausgetauscht werden. Dass dies nun doch geschieht, ist nicht nur eine Irreführung der Nutzer und der Öffentlichkeit, sondern stellt auch einen Verstoß gegen das nationale Datenschutzrecht dar. Denn ein solcher Austausch ist nur dann zulässig, wenn sowohl auf Seiten des Unternehmens, das Daten liefert (WhatsApp) als auch bei dem empfangenden Unternehmen (Facebook) eine Rechtsgrundlage dafür vorliegt. Facebook hat allerdings weder eine wirksame Einwilligung von den Nutzern von WhatsApp eingeholt, noch ist eine gesetzliche Grundlage für den Datenempfang vorhanden. Dass Facebook die Regelungen des deutschen Datenschutzrechts respektieren muss, ist klar, nachdem im Juli der EuGH in einem Urteil bestätigt hat, dass nationales Datenschutzrecht anwendbar ist, wenn ein Unternehmen im Zusammenhang mit einer nationalen Niederlassung Daten verarbeitet. Dies tut Facebook in Deutschland durch seine Niederlassung in Hamburg, die das deutschsprachige Werbegeschäft betreibt.

Hierzu der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Johannes Caspar:

„Die Anordnung schützt die Daten der ca. 35 Millionen WhatsApp-Nutzer in Deutschland. Es muss ihre jeweilige Entscheidung sein, ob sie eine Verbindung ihres Kontos mit Facebook wünschen. Dazu muss Facebook sie vorab um Erlaubnis fragen. Dies ist nicht geschehen.

Dazu kommen noch viele Millionen Personen, deren Kontaktdaten aus den Adressbüchern der Nutzer zu WhatsApp hochgeladen wurden, ohne dass diese etwas mit Facebook oder WhatsApp zu tun haben müssen. Diese gigantische Menge von Daten hat Facebook zwar nach eigenem Bekunden noch nicht erhoben. Die Antwort von Facebook, dass dies lediglich zur Zeit noch nicht erfolgt sei, gibt jedoch Anlass zur Sorge, dass das Ausmaß des Datenverstoßes noch massivere Auswirkungen nach sich ziehen wird.“

(hmbbfdi, 27.9.2016)

Hamburgs Datenschutz der Zukunft wird europäisch

Mit der Geltung der Vorschrift der Datenschutz-Grundverordnung (DSGVO) ab Ende Mai 2018 wird das Datenschutzrecht europaweit vereinheitlicht. Die Aufgaben und Pflichten sowie die Funktion und Bedeutung einer Aufsichtsbehörde wie die des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) werden durch die neuen Regelungen tiefgreifend verändert und gegenüber der bisherigen Situation massiv ausgeweitet. Einen wesentlichen Teil seiner Aufgaben wird der HmbBfDI künftig funktional quasi als eine europäische Behörde wahrnehmen müssen. Um hierfür adäquat gerüstet zu sein, bedarf es einer nachhaltigen Verstärkung der Hamburger Datenschutzbehörde.

 

Zur Ermittlung des Mehraufwands haben die Aufsichtsbehörden der Länder den renommierten Datenschutzexperten Prof. Dr. Alexander Roßnagel von der Universität Kassel mit einem Gutachten beauftragt. In seiner umfassenden Ausarbeitung hat er die künftigen Funktionen und die Bedeutung der Aufsichtsbehörden analysiert. Hinsichtlich der durchschnittlichen zusätzlichen Arbeitsbelastung anhand der Anforderungen der DSGVO hat Herr Prof. Dr. Roßnagel einen Mehrbedarf von jeweils 24 bis 33 Stellen für eine Behörde wie den HmbBfDI ermittelt. Zudem wird nach Auffassung des Gutachters auch die Behördenleitung einen Bedeutungszuwachs erfahren, der mit der Leitung von Rechnungshöfen bzw. der ministeriellen Verwaltung gleichzustellen ist. Die angemessene Ausstattung mit personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und Infrastrukturen ist eine Verpflichtung, die der europäische Gesetzgeber den Mitgliedsstaaten und – als Träger der Aufsichtsbehörden – gerade auch den Bundesländern gemäß DSGVO auferlegt. Der gestiegene Arbeitsaufwand ergibt sich aus folgenden Aufgaben und Pflichten:

 

1. Datenschutzprüfungen und -anordnungen

Die Aufsicht über Unternehmen und Behörden wird aufwändiger, da unbestimmte Rechtsbegriffe und widersprüchliche Regelungen der DSGVO höheren Interpretationsaufwand mit sich bringen werden. Künftig unterliegt der HmbBfDI engen Fristen für die Befassung mit Datenschutzbeschwerden; die Bürger können eine zeitnahe Bearbeitung ihrer Beschwerden gerichtlich erzwingen. Die Anzahl der Fälle wird deutlich ansteigen, da das sog. Marktortprinzip die Zuständigkeit des HmbBfDI auch auf Unternehmen ausweitet, die keine Niederlassung in Hamburg und der EU besitzen. Im öffentlichen Bereich werden erstmals Eingriffsbefugnisse gegen staatliche Behörden geschaffen, was zu einem fundamentalen Wandel der Behandlung von Missständen im öffentlichen Bereich führen wird.

 

2. Kooperation in der Europäischen Union

Die in der DSGVO vorgesehene Kooperation der europäischen Aufsichtsbehörden erfordert einen organisatorischen und personellen Neuaufbau innerhalb des HmbBfDI. Bei grenzüberschreitender Datenverarbeitung, die im Zuge der Europäisierung der Wirtschaft stetig zunehmen wird, ist künftig die Abstimmung mit den weiteren betroffenen Behörden innerhalb enger Fristen vorgeschrieben. Dies wird Stellungnahmen und teilweise Verhandlungen in fremden Sprachen nach sich ziehen, zudem die Einarbeitung in andere Rechtsordnungen erfordern und einen administrativen Mehraufwand bedeuten. Kommt es hierbei zu keiner Einigung, wird oftmals das Kohärenz-, Streitbeilegungs- und Dringlichkeitsverfahren vor dem Europäischen Datenschutzausschuss zu durchlaufen sein. Dessen Entscheidungen wirken präjudiziell für die eigene Aufsichtspraxis, sodass sie zu beobachten und in Abstimmung mit den Behörden der Länder zu beeinflussen sind.

 

3. Datenschutzkommunikation

Der präventiven Beratung von Unternehmen und Behörden sowie dem Bildungsauftrag zu Medienkompetenz und Datenschutzrisiken räumt die DSGVO einen hohen Stellenwert ein. Dafür ist der HmbBfDI künftig auch gesetzlich verpflichtet, permanent die technologische und praktische Entwicklung der Datenverarbeitung zu beobachten. Hinzu kommt die Pflicht, Unternehmen bei der Durchführung der Datenschutz-Folgenabschätzung zu unterstützen und hier geeignete Maßnahmen zu empfehlen – der Konsultationsbedarf wird voraussichtlich erheblich sein. Gleiches gilt für die Zertifizierung von Verfahren und Produkten, die der HmbBfDI anzuregen und zu fördern hat.

 

4. Verfahrensmanagement

Für die Aufsichtsbehörden ist auch die Funktion als Genehmigungs-, Akkreditierungs- und Zertifizierungsbehörde neu. Bei der Zertifizierung wird die Datenschutzkonformität eines Verarbeitungsvorgangs überprüft und beschieden. Die Akkreditierung betrifft die Zulassung von Überwachungsstellen bzw. Gutachtern, während die Genehmigung sich auf branchenweite Verhaltensregeln bezieht. Es sind dabei langwierige Abstimmungsprozesse bis zur abschließenden Einigung zu erwarten. Zuvor sind jeweils Verwaltungsverfahren zu konzipieren und Kriterien festzulegen.

 

5. Justiziariat, Beschwerde- und Sanktionsstelle

Das Risiko, Gerichtsverfahren zu führen, wird erheblich ansteigen, da die DSGVO eine Fülle von Verpflichtungen und Ermächtigungen enthält, rechtsmittelfähige Verwaltungsakte zu erlassen. Das gilt insbesondere gegenüber öffentlichen Stellen. Zudem erzeugt die teilweise Unbestimmtheit der DSGVO viele Auslegungsfragen, die Betroffene der Verwaltungsakte oft gerichtlich klären lassen werden. Die Zahl gerichtlicher Bußgeldverfahren wird zunehmen, da die DSGVO die Zahl der Bußgeldtatbestände ebenso wie die Bußgeldhöhe anhebt. Gemessen am bisherigen Bußgeldrahmen können sich die Bußgelder um das 67-fache erhöhen. Dies alles erfordert die Etablierung eines bisher nicht beim HmbBfDI eingerichteten Justiziariats.

Quelle: (hmbbfdi, 23.2.2017)