EuGH bestätigt die Datenschutzbehörden in Schleswig Holstein und Hamburg gegenüber Facebook und Fanpage-Betreibern

Mit seinem heutigen Urteil bestätigt der EuGH die Anordnung des ULD Schleswig-Holstein gegen die Betreiber von Facebook-Fanpages und weist diesen eine datenschutzrechtliche Verantwortung für die Verarbeitung der Daten durch Facebook zu. Gleichzeitig stellt der EuGH fest, dass gegenüber Facebook EU-weit nationales Datenschutzrecht durch die Aufsichtsbehörden in den Mitgliedstaaten vor Geltung der EU-Datenschutzgrundverordnung (DSGVO) Anwendung fand, soweit eine entsprechende Niederlassung betrieben wurde.

Das Urteil hat zunächst einmal Folgen für alle Stellen, die Facebook-Fanpages betreiben. Diese können sich künftig nicht mehr darauf berufen, für die Datenverarbeitung insbesondere von Personen, die diese Fanpages aufrufen und dadurch von Facebook getrackt werden, datenschutzrechtlich keine Verantwortung zu haben. Laut EuGH liegt hier eine gemeinsame Verantwortung vor, so dass Unternehmen und Behörden, die Fanpages betreiben, den Nutzern ihrer Fanpage gegenüber datenschutzrechtlich in ähnlicher Weise verpflichtet wie den Nutzern einer eigenen Homepage. Sie müssen von Facebook nun sowohl die volle Transparenz über die Verarbeitung der Nutzerdaten in diesem Zusammenhang gegenüber den Fanpage-Besuchern einfordern und, insoweit diese mit geltendem Datenschutzrecht nicht vereinbar ist, Änderungen durch Facebook erwirken oder das Angebot beenden. Andernfalls kann dies im Einzelfall zu behördlichen Anordnungen ebenso wie zu der Verhängung von Bußgeldern führen, zumal die rechtmäßige Datenverarbeitung durch Facebook mit Blick auf das Setzen von Cookies oder die Speicherung der IP-Adresse des Webseitenbesuchers ohne Einwilligung betroffener Webseitenbetreiber und entsprechende Informationen überaus fraglich sind. Dies wurde zuletzt auch durch die Gerichte in Belgien bestätigt.

Die Anwendbarkeit des nationalen Rechts betrifft in der vom EuGH behandelten Sache die Rechtslage vor Inkrafttreten der DSGVO. Es bestätigt damit auch die Anwendung des nationalen Rechts durch den HmbBfDI. Dieser hatte eine Anordnung gegen Facebook wegen des Massenaustausches von Daten mit WhatsApp erlassen. Die hiergegen seitens Facebook eingelegten Rechtsbeschwerden wurden in zwei Instanzen im einstweiligen Rechtsschutzverfahren durch das VG Hamburg und das OVG Hamburg abgewiesen.

Hierzu Johannes Caspar, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit: “Das Urteil des EuGH bestätigt unsere langjährige Rechtsauffassung zur Anwendbarkeit des nationalen Datenschutzrechts. Damit ist klar: Gerade in der Frage der Übermittlung von Daten zwischen Facebook und WhatsApp werden wir uns weiter dafür einsetzen, dass die Pläne des Facebook-Konzerns, nach Inkrafttreten der DSGVO den Datenaustausch wieder aufzunehmen und damit das Rad datenschutzrechtlich zurückzudrehen, gestoppt werden. Betreiber von Facebook-Fanpages müssen erkennen, dass sie rechtlich mit Facebook in einem Boot sitzen und sich damit ihrer datenschutzrechtlichen Verantwortung nicht weiter entziehen können. Das gilt gerade auch für die vielen öffentlichen Stellen, die in besonderer Weise an Recht und Gesetz gebunden sind. Die Aufsichtsbehörden des Bundes und der Länder werden nun entscheiden, wie das Urteil des EuGH umzusetzen ist.“

Stand: 09.07.2018

Bundesregierung erwägt strenge Facebook-Regulierung

 Angesichts des Datenskandals bei Facebook erwägt die Bundesregierung eine strenge gesetzliche Regulierung.

„Sofern persönliche Daten von Facebook-Nutzerinnen und -Nutzern ohne wirksame Einwilligung der Betroffenen und damit unter Verstoß gegen das geltende Datenschutzrecht weitergegeben wurden, um sie etwa für politische Zwecke zu verwenden, ist dieser Vorgang nicht hinnehmbar und muss Konsequenzen haben“, sagte der Parlamentarische Staatssekretär im Bundesinnenministerium, Stephan Mayer (CSU), in einer Antwort auf eine schriftliche Frage der Grünen-Bundestagsabgeordneten Tabea Rößner. Das „Handelsblatt“ (Donnerstagausgabe) berichtet darüber. Wie Mayer betonte, können demokratische Prozesse aber nicht alleine mithilfe des Datenschutzrechts sich sichern. Daher kämen zusätzliche gesetzgeberische Maßnahmen in Betracht. „Die Bundesregierung wird deshalb über das Datenschutzrecht und über das in 2017 verabschiedete Netzwerkdurchsetzungsgesetz hinaus genau prüfen, ob zur Sicherung demokratischer Prozesse noch weitere Maßnahmen erforderlich sind, etwa im Rahmen der Regulierung von Plattformen“, erklärte der CSU-Politiker. In diese Prüfung werde miteinbezogen, was der EU-Gesetzgeber an Initiativen plane.

Die Grünen-Politikerin Rößner hält einen Handlungsbedarf für überfällig. Seit Jahren werde in verschiedenen Kreisen über die Regulierung von sogenannten Intermediären wie Google, Facebook und Twitter gesprochen. Doch die Bund-Länder-Kommission zur Medienregulierung hat in der vergangenen Legislaturperiode keinerlei Vorschläge gemacht. Wie beispielsweise die Kontrolle von Algorithmen oder Verhinderung von Missbrauch, sagte Rößner dem „Handelsblatt“ (Donnerstagausgabe). „Völlig außen vor bleibt auch die Frage, wie mit Markt- und Meinungsmacht von Internetkonzernen umzugehen ist. Aber auch, durch welche Maßnahmen die Gefahr des Missbrauchs durch diese Stellung sich abwenden lässt. Oder inwieweit Intermediäre wie Facebook unter medienrechtliche Regulierungen fallen müssen.“

Von der Bundesregierung forderte Rößner daher, endlich ihrer „Schutzpflicht“ gegenüber den Bürgern gerecht zu werden. „Unternehmen alleine nur mit erhobenem Zeigefinger zum Gespräch zu bitten, ist eindeutig zu wenig“, fügte die Grünen-Politikerin mit Blick auf die Gespräche einzelner Facebook-Manager mit dem Bundesjustizministerium hinzu.

Originalquelle: dts

Oberverwaltungsgericht bestätigt Verbot des Datenaustauschs zwischen WhatsApp und Facebook

Anordnung zum Schutz der Daten von WhatsApp-Nutzern vor Weitergabe wirksam.

 

(hmbbfdi, 2.3.2018) Die für sofort vollziehbar erklärte Anordnung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, die Facebook untersagt, Daten von WhatsApp-Nutzern massenhaft für eigene Zwecke zu nutzen, wurde vom OVG Hamburg gestern als rechtmäßig bestätigt. Eine entsprechende Beschwerde Facebooks gegen die vorangegangene Entscheidung des Verwaltungsgerichts Hamburg blieb erfolglos. Damit darf Facebook auch weiterhin keinen Datenabgleich von Millionen von Nutzerdaten des konzerneigenen Messenger-Dienstes WhatsApp vornehmen.

 

Das OVG bestätigt die Auffassung des VG Hamburg, wonach für den geplanten Massendatenaustausch keine wirksame Einwilligung der Nutzer vorlag. Ferner bestätigt sich auch die Annahme, dass eine gesetzliche Grundlage den Austausch von Nutzerdaten nicht rechtfertigt. Das gilt nicht nur für Zwecke wie die Reichweitenmessung und die Werbungsoptimierung, sondern auch für die Plattform- und Nutzersicherheit, die Facebook als Grund für die geplante Datenweitergabe zumindest angegeben hatte. Zwar kann diese im Einzelfall durchaus aus Sicherheitszwecken zulässig sein. Für die geplante Übermittlung auf Vorrat, die alle Nutzer anlasslos betrifft und für die WhatsApp eine Einwilligung einholen wollte, ist eine gesetzliche Grundlage jedoch nicht vorhanden.

 

Hierzu Prof. Dr. Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Auch wenn das OVG die Frage der Anwendbarkeit des nationalen Rechts letztlich offen gelassen hat und in der Sache eine Interessenabwägung vornimmt, ist der Beschluss ein deutlicher Erfolg für den Datenschutz. Über die Geltung nationalen Rechts wird in absehbarer Zeit der EuGH entscheiden. Die Stellungnahme des Generalanwalts hierzu liegt bereits vor und bestätigt unsere Auffassung. Ob die im Eilverfahren offen gebliebene Frage vor den Hamburgischen Verwaltungsgerichten noch in einem Hauptsacheverfahren geklärt werden wird, erscheint indes fraglich. Denn das Bundesdatenschutzgesetz tritt im Zuge der Geltung der Europäischen DSGVO bereits Ende Mai außer Kraft. Die federführende Aufsichtsbehörde für Facebook wird dann die irische Datenschutzaufsicht sein. Deren Entscheidungen können von den anderen europäischen Behörden in einem neuartigen Verfahren vor dem Europäischen Datenschutzausschuss überprüft werden. Der jetzt vorliegende Beschluss setzt dem konzerninternen Datenaustausch von Nutzerdaten klare Grenzen. Künftig wird er im europäischen Kontext auch unter der EU-Datenschutzgrundverordnung Beachtung finden. Ich gehe davon aus, dass ein massenhafter Datenabgleich, wie von Facebook mit der Konzerntochter WhatsApp geplant, künftig ohne die informierte Einwilligung der Nutzer in der EU vom Tisch sein dürfte.“

 

Das Urteil kann über die Pressemitteilung des OVG Hamburg als PDF heruntergeladen werden: justiz.hamburg.de/aktuelles/10550476/pressemitteilung/

 

Stand: 26.04.2018

Politik und Datenschützer nehmen Adresshandel ins Visier

Politiker und Datenschützer haben Zweifel an der Rechtmäßigkeit von Adresshandel einer Post-Tochterfirma.

Das berichtet das „Handelsblatt“ (Dienstagsausgabe). Denn entscheidend für den Datenschutz sei, ob die mithilfe spezieller Algorithmen aufgearbeiteten, kostenpflichtigen Datenpakete zu Wahlkampfzwecken von Parteien auf eine einzelne Person rückführbar sind. „Beim Zusammenführen von Adressdaten mit anderen Informationen handelt es sich ohne Zweifel auch um personenbezogene Daten und diese unterfallen dem Datenschutz“. Dies sagte der innen- und justizpolitische Sprecher der Grünen-Fraktion im Europäischen Parlament, Jan Philipp Albrecht, der Zeitung. Zwar sei Datennutzung für das Direktmarketing zugelassen. „Allerdings umfasst dies nicht umfassende Informationen zu den angeschriebenen Personen“, gab Albrecht zu bedenken. „Sobald diese verknüpft werden, ist die gesamte Datenverarbeitung kein Direktmarketing mehr, sondern ein individuelles Profiling, das der Zustimmung der Betroffenen bedarf.“ Die Aufsichtsbehörden müssten daher die „Grenze zwischen anonymisierten aggregierten Statistiken und individualisierten Profilen genau überprüfen“.

Bei der Nutzung anonymisierter Gruppenanalysen sollte die Politik außerdem, „auch abseits des Datenschutzes über die Grenzen ihres Einsatzes diskutieren“. Schon jetzt werde offenbar, dass durch die Digitalisierung aller Lebensbereiche Diskriminierung und Manipulation für viele Menschen zum Alltag werde. Die nordrhein-westfälische Datenschutzbeauftragte Helga Block prüft derzeit, ob der Adresshandel der Post-Tochter im Einklang mit dem Bundesdatenschutzgesetz steht. Sie wies auf die Risiken solcher Dienstleistungen hin. „Unternehmen, die aus dem Handel mit anonymen Daten ein Geschäftsmodell machen, müssen wissen, dass Anonymität in Zeiten von Big Data leicht zur Illusion werden kann“, sagte Block der Zeitung.  „Die Anonymität des Einzelnen ist durch immer leistungsfähigere Rechner und durch den immer einfacher werdenden Zugriff auf Informationen schnell aufgehoben.“ Die Datenschutzbeauftragte von Schleswig-Holstein, Marit Hansen, glaubt, dass in diesem Bereich „gesetzgeberisch nachgeschärft“ werden muss.

„Zum Schutz vor Manipulation sollten nur solche Systeme zum Einsatz kommen, die von unabhängigen Instanzen geprüft sind. Also eine Art Check von Algorithmen und Datensammlungen“, sagte Hansen dem „Handelsblatt“. Daneben hält sie eine gesetzliche Transparenzpflicht für geboten. „Gegenüber allen Interessierten und in jedem Fall gegenüber den Datenschutzaufsichtsbehörden oder Verbraucherschützern ist offenzulegen, wie bestimmte Nachrichten oder die Reihenfolge von Informationen zustande kommen, auf welcher Basis Hausbesuche erfolgen und ob und welche Algorithmen oder Datensammlungen dafür verwendet werden“, sagte die Expertin.

Originalquelle: dts

Nationale Gewaltmelde-Datei für Schulen

Das fordert der Lehrerverband:

Der Deutsche Lehrerband fordert eine länderübergreifende Meldepflicht für Gewaltvorfälle an Schulen. „Es ist untragbar, dass die Bundesländer dazu bislang keine Auskunft geben können“, sagte Lehrerverbands-Präsident Heinz-Peter Meidinger den Zeitungen des „Redaktionsnetzwerks Deutschland“ (Freitagausgaben). Die Politik habe bisher bei bestimmten Vorgängen leider „systematisch weggeschaut – bei Antisemitismusvorfällen, bei religiösem Mobbing generell, aber auch bei der geringschätzigen, teilweise unerträglichen Behandlung weiblicher Lehrkräfte durch einzelne Schülergruppen mit Migrationshintergrund.“ Meidinger beklagte zugleich Defizite in der Lehrerausbildung und eine Resignation in Brennpunktschulen. In der Praxis stelle sich heraus, „dass Lehrkräfte, die beispielsweise Naturwissenschaften unterrichten, verunsichert sind, wie sie mit antisemitischen Äußerungen umgehen sollen, weil sie darauf nicht vorbereitet sind“. Das gelte auch für rechtspopulistische Einwürfe. „Ich glaube, da müsste man in der Lehrerausbildung mehr tun. Dass sich dabei der `Staatsbürgerunterricht` oft auf das Grundgesetz und auf Grundfragen der Demokratie beschränkt, ist wenig hilfreich.“ Es gebe inzwischen in Brennpunktschulen „eine Art Resignation, Vermeidungsstrategien, vielleicht auch Kapitulation bei einzelnen Lehrkräften“.

Originalquelle: dts

Auch Städte wollen mit Daten Geld verdienen

In der Debatte über den Datenhandel für zielgerichteten Wahlkampf hat der Städte- und Gemeindebund (DStGB) den Kommunen empfohlen, mit ihren Daten ebenfalls Geld zu verdienen. „Auch die Städte und Gemeinden müssen sich noch mehr klar machen, dass Daten das Öl des 21. Jahrhunderts sind und sich damit wichtige Einnahmen erzielen lassen“, sagte DStGB-Hauptgeschäftsführer Gerd Landsberg der „Rheinischen Post“ (Montagsausgabe). Die Kommunen verfügten über „wertvolle Datensätze“, die sie in anonymisierter Form nicht mehr nur kostenlos zur Verfügung stellen, sondern selbst zum Vorteil der Bürgerinnen und Bürger nutzen sollten, um die Lebenssituation in der Kommune zu verbessern, so Landesberg. Er schlug ein „Konzessionsmodell“ vor, wonach private Unternehmen mit den Daten der Kommunen arbeiten und dafür bezahlen könnten.

Originalquelle: dts

Bis zu 87 Millionen Facebook-Nutzer von Datenskandal betroffen

Vom jüngsten Skandal um missbrauchte Nutzerdaten der Internetseite Facebook könnten mehr Menschen betroffen sein als bislang bekannt. „In total, we believe the Facebook information of up to 87 million people — mostly in the US — may have been improperly shared with Cambridge Analytica“, teilte das Unternehmen am Mittwoch mit. Die Zahl wurde am Ende einer langen Mitteilung genannt, in der Facebook auf bereits durchgeführte Änderungen aufmerksam machen wollte. „Overall, we believe these changes will better protect people’s information while still enabling developers to create useful experiences“, hieß es dazu. Unter anderem werden alle Apps überprüft, die den Facebook-Login benutzen. Außerdem kann man andere Nutzer nicht mehr über die Eingabe einer Telefonnummer oder einer E-Mail-Adresse in der Facebook-Suche finden.

Originalquelle: dts

Datendiebstahl: Wirtschaft entsteht jährlich Schaden von 55 Milliarden Euro

Mehr als die Hälfte der Unternehmen in Deutschland (53 Prozent) sind in den vergangenen beiden Jahren Opfer von Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden. Dadurch ist ein Schaden von rund 55 Milliarden Euro entstanden. Das ist das Ergebnis einer Studie des Digitalverbands Bitkom.

Verglichen mit der ersten Studie vor zwei Jahren ist der Anteil der Betroffenen nur leicht von 51 auf 53 Prozent gestiegen, der Schaden ist zugleich um rund 8 Prozent von 51 auf 55 Milliarden Euro gewachsen. „Unternehmen müssen viel mehr für ihre digitale Sicherheit tun. Die Studie zeigt, dass die Gefahr für Unternehmen aller Branchen und jeder Größe real ist. Jeder kann Opfer von Spionage, Sabotage oder Datendiebstahl werden“, sagte Bitkom-Präsident Achim Berg am Freitag in Berlin. „Die Studie unterstreicht, dass wir in Zeiten von Digitalisierung und Industrie 4.0 unser besonderes Augenmerk auf die Abwehr von Spionageangriffen auf die deutsche Wirtschaft richten müssen.“

Datenschutzaufsichtsbehörden der Länder prüfen grenzüberschreitende Datenübermittlungen

In einer koordinierten schriftlichen Prüfungsaktion nehmen zehn deutsche Datenschutzaufsichtsbehörden Übermittlungen personenbezogener Daten in das Nicht-EU-Ausland genauer unter die Lupe. Die Prüfung soll dabei auch der Sensibilisierung von Unternehmen für gerade die Verarbeitungsprozesse dienen, bei denen personenbezogene Daten in Nicht-EU-Länder übermittelt werden – wie es bspw. bei Cloud Computing häufig der Fall ist.

(hmbbfdi, 3.11.2016) In den letzten Jahren haben grenzüberschreitende Übermittlungen von personenbezogenen Daten in der Privatwirtschaft weiter massiv zugenommen. Zu den Ursachen dieser Entwicklung zählen die wirtschaftliche Globalisierung wie auch die stetige Ausbreitung von Dienstleistungen und Produkten des sog. Cloud Computing. Selbst viele kleinere und mittlere Unternehmen in Deutschland verarbeiten personenbezogene Daten (z. B. von Kunden, Mitarbeitern oder Bewerbern) häufig auf Servern externer Dienstleister, oft außerhalb der Europäischen Union. Dies ist vor allem bei Angeboten wie dem sog. Software as a Service der Fall, die standortunabhängig und flexibel genutzt werden können. Viele dieser Dienste stammen von US-Unternehmen. Die bisherige Erfahrung der Datenschutzaufsichtsbehörden zeigt, dass sich Unternehmen bei Nutzung solcher Produkte nicht immer der Tatsache bewusst sind, dass dadurch eine Übermittlung personenbezogener Daten in die USA und/oder in andere Nicht-EU-Staaten stattfindet und entsprechende datenschutzrechtliche Konsequenzen daraus resultieren.

Möchte ein Unternehmen personenbezogene Daten in Länder außerhalb der Europäischen Union übermitteln, so muss es zuerst prüfen, ob überhaupt sichergestellt werden kann, dass die Daten auch nach der Übermittlung noch angemessen geschützt bleiben – andernfalls muss die Übermittlung unterbleiben. Entscheidend ist daher, im Unternehmen frühzeitig eine Sensibilisierung dafür zu erzeugen, ob und ggf. im Rahmen welcher Verarbeitungen das Unternehmen personenbezogene Daten in Nicht-EU-Staaten übermitteln möchte oder vielleicht sogar bereits übermittelt.

Vor diesem Hintergrund werden zehn deutsche Datenschutzaufsichtsbehörden (Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt) in den nächsten Wochen eine koordinierte schriftliche Prüfungsaktion zur Abfrage von Übermittlungen personenbezogener Daten durch nicht-öffentliche Stellen, d. h. insbesondere Unternehmen, in Nicht-EU-Staaten durchführen. Im Rahmen der Prüfung werden Unternehmen angeschrieben, die nach dem Zufallsprinzip ausgewählt wurden. Die Aufsichtsbehörden haben dabei Wert darauf gelegt, Unternehmen unterschiedlicher Größenordnungen und verschiedener Branchen einzubeziehen.

Ein wichtiges Ziel der Prüfung liegt in der Sensibilisierung der Unternehmen für Datenübermittlungen in Länder außerhalb der Europäischen Union. Um Unternehmen das Auffinden solcher Übermittlungen zu erleichtern, wird auch gezielt nach dem Einsatz von Produkten und Leistungen externer Anbieter gefragt, die – nach bisherigen Erfahrungen der Aufsichtsbehörden – mit einer Übermittlung personenbezogener Daten in Nicht-EU-Staaten verbunden sind. Gefragt wird zum Beispiel nach der Inanspruchnahme externer Leistungen und Produkte in Bereichen wie Fernwartung, Support, Ticketing-Bearbeitung, aber auch Customer Relationship Management oder Bewerbermanagement.

Sofern personenbezogene Daten in Nicht-EU-Staaten übermittelt werden, sind die kontrollierten Unternehmen darüber hinaus aufgefordert anzugeben, auf welcher datenschutzrechtlichen Grundlage die Übermittlungen erfolgen. Mitgeteilt werden muss bspw., ob für das Zielland durch Beschluss der Europäischen Kommission ein angemessenes Datenschutzniveau anerkannt ist (dazu zählt auch der sog. EU-U.S. Privacy Shield), ob Standardvertragsklauseln als Grundlage verwendet werden, ob die Übermittlungen auf Einwilligungen der Betroffenen gestützt werden o.a.

Quelle: HmbBfDI, 3.11.2016