Datenschutznachrichten

Datenschutznachrichten

Archiv Meldungen zum Thema Datenschutz

Hier finden Sie Berichte, Meldungen, Hintergrundinformationen zu datenschutzrelevanten Themen (Linksammlung).

Neuer BSI Prüfkatalog für Cloud-Computing

Das Bundesamt für Informationssicherheit hat einen aktualisierten Kriterienkatalog (=C5 Katalog) für das Cloud-Computing veröffentlicht. In dem Katalog sind die Kriterien an das interne Kontrollsystem eines Cloud-Anbieters benannt. Es wird beschrieben, welche Anforderungen der Cloud-Anbieter mindestens erfüllen muss. weiterlesen

Im Vergleich zur Version von 2019 ist ein neues Kapitel „Produktsicherheit“ hinzugekommen; diese neuen Anforderungen beruhen auf dem EU Cybersecurity Act. Die bestehenden Sicherheitskriterien wurden überarbeitet; u.a. gibt es nun zu jedem Sicherheitskriterium Hinweise, wie dieses geprüft werden kann.

Erleichtert wurde das Erstellen der Systembeschreibung, die der Cloud-Anbieter zur Prüfung liefern muss. Der neue Katalog schafft die Möglichkeit , dass ein Prüfer direkt prüfen kann und eine der Systembeschreibung vergleichbare Beschreibung während des Prüfvorganges erstellt.

VERDATA orientiert sich bei Prüfungen an diesem Katalog.

 

Zum Kriterienkatalog C5:2020

Neue Guideline des Europäischen Datenschutzausschusses zu Art. 6 Abs.1 (b) DSGVO veröffentlicht

Der Europäische Datenschutzausschuss hat die finale Version seiner Leitlinie zur Vertragsdatenverarbeitung (Verarbeitung nach Art. 6 Abs.1 (b) DSGV) veröffentlicht (= Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects). Darin werden Aussagen und Auslegungen zusammengefasst, unter welchen Voraussetzungen eine Datenverarbeitung der Erlaubnisnorm Art.6 Abs.1 (b) DSGVO entspricht.weiterlesen

U.a. stellt der Ausschuss klar, dass das Prinzip der Zweckbindung erfordert, dass bei einem Vertragabschluss genau festgelegt werden muss, wann eine Verarbeitung zum Zweck gehört und wann nicht. Der Datenschutzausschuss hält den Standpunkt der Artikel 29 Gruppe aufrecht, dass vage Zwecke wie „Verbesserung der Benutzererfahrung“, „Marketingzwecke“, „IT-Sicherheitszwecke“ oder „zukünftige Forschung“, nicht ausreichen.

Der Ausschuss empfiehlt, bei Zweifeln an der Erforderlichkeit zur Vertragserfüllung besser auf eine andere Rechtsgrundlage auszuweichen, z.B. die Einwilligung; die geeignete Rechtsgrundlage zu ermitteln, ist ein Gebot der Fairness und Zweckbindung.

Im Rahmen der Rechenschaftspflicht verlangt der Ausschuss, dass der Verantwortliche, der sich auf Art.6 Abs.1 (b) beruft, drei Dinge nachweisen kann:  a) ein Vertrag besteht, b) der Vertrag ist nach nationalen Vertragsgesetzen gültig c) die Verarbeitung ist objektiv für die Ausführung des Vertrags erforderlich ist. Für Punkt c) setzt der Ausschuss sehr strenge Maßstäbe an: Wörtlich heißt es „ Auch wenn diese Verarbeitungstätigkeiten im Kleingedruckten des Vertrages ausdrücklich erwähnt werden, macht diese Tatsache sie allein nicht „notwendig“ für die Vertragserfüllung.“ Vielmehr muss eine objekte Notwendigkeit belegt werden.

Darüber hinaus verlangt der Ausschuss, dass dann, wenn eine neue Technologie zur Erbringung des Dienstes eingeführt wird, neu bewertet wird, ob die Verarbeitung erforderlich ist oder nicht.

Der Ausschuss vertritt außerdem die Auffassung, dass es unfair und damit niciht zulässig ist, eine Verarbeitung von Daten, die auf Basis von Art. 6 Abs.1 (b) DSGVO erfolgte, nach Beendigung des Vertrages auf eine andere Rechtsgrundlage zu stützen. Wenn hingegen Aufzeichnungen (Speicherungen) für rechtliche Zwecke erfolgen (siehe Art.17), dann ist die zulässig, wenn einige Bedingungen erfüllt werden. Die Verantwortlichen „müssen sie zu Beginn der Verarbeitung eine Rechtsgrundlage dafür ermitteln, und sie müssen von Anfang an klar kommunizieren, wie lange sie planen, Aufzeichnungen für diese nach Beendigung des Vertrages. Wenn sie dies tun, müssen sie die Daten bei Beendigung des Vertrages nicht löschen.“

Der Ausschuss bezieht außerdem Stellung zu verschiedenen Verarbeitungen und sieht diese nicht über Art. 6 Abs. 1 (b) DSGVO legitimierbar: Beispielweise „ kann die Erhebung von organisatorischen Kennzahlen im Zusammenhang mit einer Dienstleistung oder Einzelheiten des Nutzerengagements nicht als notwendig für die Erbringung der Dienstleistung angesehen werden“. Auch die  Verarbeitung zum Zwecke der Verbesserung einer Dienstleistung oder der Entwicklung neuer Funktionen innerhalb eines bestehenden Dienstes, ebenso die Verarbeitung zum Zwecke der Betrugsprävention, sind mit Art.6 Abs.1 (b) DSGVO legitimierbar. Hier sieht er allerdings ein überwiegendes berechtigtes Interesse.

Auch die Erstellung von Profilen bzw. das Auswerten von Nutzerverhalten zur werbefinanzierten Bezahlung/Gegenleistung hält der Ausschuss nicht mit Art. 6 Abs.1 (b) DSGVO legitimierbar. Der Ausschuss sieht die Finanzierung nur als unterstützend an, der Verantwortliche müsse hingegen beweisen, dass diese Verarbeitung tatsächlich notwendig ist.

Zur Leitlinie: (guideline 2/2019)

Urteil: Das Setzen von Cookies erfordert die aktive Einwilligung des Internetnutzers

EuGH vom 01.10.2019 – C-673/17

Es liegt keine wirksame Einwilligung des Internetnutzers in das Speichern von Cookies vor, wenn der Anbieter der Web-Seite ein Ankreuzkästchen mit einem voreingestellten Häkcken verwendet. Die Erlaubnis zum Setzen von Cookies erfordere vielmehr die aktive Einwilligung des Internetnutzers, betonte der Gerichtshof der Europäischen Union in seinem Urteil vom 01.10.2019.

zum Urteil 

150.000 Euro Bußgeld wegen falscher Rechtsgrundlage einer Verarbeitung

Die griechische Aufsichtsbehörde hatte im Juli ein Bußgeld in Höhe von 150.000 Euro gegen PwC verhangen, weil nach Ansicht der Behörde Daten von Beschäftigten ohne ausreichende Rechtsgrundlage verarbeitet wurden. Das Unternehmen hatte die Verarbeitung von Beschäftigtendaten auf eine Einwilligung gestützt; die Behörde war der Ansicht, dass die Einwilligung nicht die korrekte Rechtsgrundlage darstellt. weiterlesen

Die Behörde bewertete die Einwilligung als eine Erlaubnis, die nur dann eingesetzt werden sollte, wenn die anderen Erlaubnisnormen nicht angewendet werden. Wörtlich heißt es: „Die Grundsätze der rechtmäßigen, fairen und transparenten Verarbeitung personenbezogener Daten gemäß Artikel 5 Absatz 1 Buchstabe a DSGVO erfordern, dass die Zustimmung als Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO nur dann verwendet wird, wenn die anderen Rechtsgrundlagen nicht anwendbar sind“.

Für den Fall, dass die betroffene Person ihre Einwilligung widerruft, ist es nicht gestattet, die Verarbeitung personenbezogener Daten unter einer anderen Rechtsgrundlage durchzuführen. Die Einwilligung setzt andere Rechtsgrundlagen faktisch außer Kraft, weil nur so der Widerruf der Einwilligung und damit das Recht des Betroffenen beachtet und berücksichtigt werden.

Im vorliegenden Fall hatte das Unternehmen die Einwilligung für Verarbeitungen eingeholt, obwohl die Verarbeitung tatsächlich aufgrund einer anderen Rechtsgrundlage durchgeführt wurde. Die Behörde urteilt:
„In diesem Fall war die Wahl der Einwilligung als Rechtsgrundlage unangemessen, da die Verarbeitung der personenbezogener Daten dazu bestimmt war, Handlungen auszuführen, die in direktem Zusammenhang mit der Erfüllung von Arbeitsverträgen standen, die zur Einhaltung einer gesetzlichen Verpflichtung erfolgten, der der für die Verarbeitung Verantwortliche unterliegt und die einer reibungslosen Abwicklung eines effektiver Betrieb des Unternehmens – und damit einem berechtigtes Interesse – dienten.“

Daraus zog die Behörde den Schluss, dass vor allem auch der Grundsatz der Transparenz nicht eingehalten wird: „Darüber hinaus vermittelte das Unternehmen den Mitarbeitern den falschen Eindruck, dass es ihre personenbezogenen Daten unter der Rechtsgrundlage der Einwilligung verarbeitete, während es in Wirklichkeit ihre Daten auf einer anderen Rechtsgrundlage verarbeitete, über die die Mitarbeiter nie informiert worden waren. Dies verstieß gegen den Grundsatz der Transparenz und damit gegen die Informationspflicht nach den Artikeln 13 Absatz 1 Buchstabe c und 14 Absatz 1 Buchstabe c der DSGVO.“

Die Entscheidung der Behörde ist hier abrufbar 

Thüringen: Personalrat muss Datenschutzbeauftragten unabhängig von Größe benennen

Das Thüringer Parlament hat am 9.5.19 eine wegweisende Änderung des Landespersonalvertretungsgesetzes beschlossen: Der Personalrat hat, unabhängig von der Größe, einen Datenschutzbeauftragten zu benennen. Der Thüringer Gesetzgeber sieht damit als der erster Landesgesetzgeber den Personalrat (Betriebsrat) als eigene verantwortliche Stelle im Sinne der DSGVO.weiterlesen

Gemäß einer Ergänzung zu § 80 ThürPersVG ist Personalrat verpflichtet, einen Datenschutzbeauftragten zu benennen. Bemerkenswert daran ist, dass das Gesetz nicht ausdrücklich besagt, dass der Personalrat eine verantwortliche Stelle ist – sondern wie selbstverständlich voraussetzt. Das Gesetz verpflichtet, dass der Personalrat die Vorschriften zum Datenschutz zu beachten und dass er dazu einen Datenschutzbeauftragten benennen muss. Durch diese Ergänzung zur Benennung des DSB wird (lediglich) die ansonsten gültige Grenze zur Benennung ab 10 Personen verschoben. Damit wird klargestellt, dass diese variable Pflicht eines Verantwortlichen immer zu beachten ist. Da darüber hinaus der Personalrat verpflichtet ist, die Vorschriften des Datenschutzes einzuhalten (Absatz 1), ergibt sich konsequenterweise, dass er Pflichten wie Information nach Art.13 DSGVO oder die Wahrung der Betroffenenrechte nach Kapitel 2 DSGVO oder Sicherheitsmaßnahmen nach Art.32 DSGVO beachten muss.

Das Gesetz befindet sich hier:

Uganda: Datenschutzgesetz in Kraft

Datenschutz ist ein internationales Thema: Nun hat auch Uganda ein Datenschutzgesetz verabschiedet. Das „Data protection and privacy act“ ist am 25.02.2019 in Kraft getreten. Das Gesetz trifft Festlegungen, unter welchen Bedingungen Daten in Uganda, aber auch Daten von ugandischen Staatsbürgern außerhalb Ugandas, verarbeitet werden dürfen.weiterlesen

In dem Gesetz sind Pflichten an den Verantwortlichen aufgestellt, die auch aus der DSGVO bekannt sind, wie z.B. die Erfüllung von Datenschutzgrundsätzen, die Transparenz der Datenverarbeitung oder die Gewährleistung von Sicherheit. Interessant: Art.6 des Gesetzes enthält die Pflicht, einen Datenschutzbeauftragten zu bestellen!
Das Gesetz hat nicht die Tiefe und den Umgang der Pflichten der DSGVO, jedoch erstaunliche Parallelen, wie z.B. die Mitteilungspflicht bei Sicherheitsverletzungen , ein Kapitel zu den Rechten eines Betroffenen, detaillierte Vorgaben zur Herstellung der Transparenz oder Anforderungen an Einwilligungen.

Das Gesetz ist hier aufrufbar.

Bayerische Aufsichtsbehörde veröffentlicht aktualisierte Orientierungshilfe zur Auftragsverarbeitung

Mit Stand April 2019 hat der Bayerische Landesdatenschutzbeauftragte eine neue Orientierungshilfe zur Auftragsverarbeitung herausgegeben.weiterlesen

Darin wird u.a. auf die zwingenden Inhalte einer Vereinbarung verwiesen. Darüber hinaus nennt die Behörde Kriterien, um die Abgrenzung zwischen Auftragsverarbeiter und Verantwortlichen vorzunehmen. Sie stellt klar, dass die Auftragsverarbeitung erfordert, dass der Dienstleister keinen Spielraum hinsichtlich der Verarbeitung der Daten hat und dass die Datenverarbeitung im Vertrag durch Weisung vorgegeben ist. Gegen die Auftragsverarbeitung spricht, wenn der Dienstleister bereits über die Mittel der Verarbeitung entscheidet.
Darüber hinaus werden einige klassische Outsourcing-Dienste bewertet, wie die Aktenvernichtung, Systemadministration oder Backup-Dienstleistungen.
Die Orientierungshilfe kann  hier abgerufen werden.

Dänemark: 160.000 Euro Bußgeld gegen Taxiunternehmen wegen fehlender Datenlöschung

Die dänische Datenschutzaufsichtsbehörde hat gegen ein Taxiunternehmen ein Bußgeld von 1,2 Mio Dänischer Kronen ausgesprochen, weil das Unternehmen die Kundendaten nicht gelöscht hat. Das Taxiunternehmen speichert Telefonnummer, Standortdaten, gefahrene Strecke sowie Zeit für Beginn/Ende der Fahrt, außerdem die Adresse des Kunden.weiterlesen

Der Verarbeitungsbeschreibung zufolge sollten die Daten nach 2 Jahren gelöscht werden, es wurden aber lediglich die Namen gelöscht, Adressen und Telefonnummern blieben gespeichert. Das Unternehmen hatte diesen Vorgang als Anonymisierung bezeichnet. Nach weiteren 3 Jahren sollten die Telefonnummern gelöscht werden, die man für interne Geschäftszwecke noch verwenden wollte.

Aus aufsichtsbehördlicher Sicht liegt ein Verstoß gegen die Datenschutzgrundsätze nach Art. 5 Abs. 1 (c) und (e) DSGVO vor. Das Prinzip der befristeten Speicherung wird nicht eingehalten, aber auch der Grundsatz der Datenminimierung nicht erfüllt. Da über die Telefonnummern und auch über die Adressen der Personenbezug leicht herstellbar ist, wird mit der Löschung des Namens das Kriterium „unkenntlich machen“ nicht erfüllt und es werden weiterhin personenbezogene Daten gespeichert. Die Aufsichtsbehörde bezog hier mit ein, dass eine große Menge von Daten – 8,8 Mio – betroffen waren und dass das Unternehmen keine Dokumentationen zur Löschung nachweisen konnte, z.B. ein Löschkonzept.
Interessant ist dabei die inhaltliche Kritik der Behörde:
Nach Auffassung der Behörde muss der Verantwortliche nachweisen, wie und wann personenbezogene Daten in Systemen und Backup-Wiederherstellungsdateien gelöscht werden. Es sollte nachgewiesen werden, dass Datenlöschungen auf der Grundlage interner Vorgaben/Verfahren erfolgen und dass die Umsetzung nachweisbar ist.

Quelle: Dänische Datenschutzaufsichtsbehörde

Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten

Die DSK hat am 03.04.2019 folgende Entschließung zur Haftung des Unternehmens für Datenschutzverstöße der Beschäftigten gefasst:weiterlesen

„ Unternehmen haften im Rahmen von Art. 83 Datenschutz-Grundverordnung (DS-GVO) für schuldhafte Datenschutzverstöße ihrer Beschäftigten, sofern es sich nicht um einen Exzess handelt. Dabei ist nicht erforderlich, dass für die Handlung ein gesetzlicher Vertreter oder eine Leitungsperson verantwortlich ist. Zurechnungseinschränkende Regelungen im nationalen Recht würden dem widersprechen.
Diese Haftung für Mitarbeiterverschulden ergibt sich aus der Anwendung des sogenannten funktionalen Unternehmensbegriffs des europäischen Primärrechts. Der funktionale Unter-nehmensbegriff aus dem Vertrag über die Arbeitsweise der Europäischen Union (AEUV) besagt, dass ein Unternehmen jede wirtschaftliche Einheit unabhängig von ihrer Rechtsformund der Art ihrer Finanzierung ist. Erwägungsgrund 150 der DS-GVO weist für die Verhängung von Geldbußen wegen Datenschutzverstößen gegen Unternehmen klarstellend daraufhin. Nach der Rechtsprechung zum funktionalen Unternehmensbegriff haften Unternehmen für das Fehlverhalten sämtlicher ihrer Beschäftigten. Eine Kenntnis der Geschäftsführungeines Unternehmens von dem konkreten Verstoß oder eine Verletzung der Aufsichtspflicht ist für die Zuordnung der Verantwortlichkeit nicht erforderlich. Handlungen von Beschäftigten,die bei verständiger Würdigung nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zugerechnet werden können („Exzesse“), sind ausgenommen.“

Die Entschließung finden Sie hier

Steht eine andere Handhabung mit Cookies an?

VERDATA_ teilt bisher den Standpunkt, dass Tracking auf Webseiten unter den Anforderungen des § 15 TMG bzw. Art. 6 Abs.1 (f) DSGVO auch ohne ausdrückliche Einwilligung zulässig ist. Dieser Standpunkt begründet sich auf den deutschen Sonderweg in Bezug auf die EU Cookie-Richtlinie (Richtlinie 2002/58 und der Richtlinie 2009/136).
In einem laufenden Verfahren vor dem EUGH (BGH Vorlage nach Beschluss vom 5. Oktober 2017, Az.: I ZR 7/16) lehnt der EUGH Anwalt Szunpar diese Auffassung ab. weiterlesen

Im Kern geht es um die Frage, ob für Cookies eine Einwilligung erforderlich ist und wie diese Einwilligung aussehen muss.
Im Streitfall war formularmäßig voreingestellt, dass der Nutzer der Webseite den Cookies der Webseite zustimmt.

Frage 1: Form der Einwilligung. In seinem Antrag (siehe hier) erläutert Szunpar  zunächst, dass eine Einwilligung immer ein aktives Handeln erfordert. Vorausgefüllte Ankreuzfelder, bei denen man aktiv werden muss, um seine Ablehnung auszudrücken, sind keine Einwilligung. Diese Auffassung ist unstrittig. Eine Einwilligung ist ein aktiver, kein passiver Vorgang nach ausreichender Information.
Szunpar führt hinsichtlich der Informationen, die man über zu setzende Cookies machen muss, weitere Details aus. Die EU Richtlinie verlangt auch die Angabe der Lebensdauer und die Erläuterung, ob Dritte auf diese Cookies zugreifen.

Frage 2: Einwilligung für Cookies setzen. Szunpar führt zunächst aus, dass es unerheblich ist, ob man Cookies als personenbezogene Daten einordnet oder nicht. Die Cookie-Richtlinie verlange die Einwilligung für die Verarbeitung der Informationen. Wörtlich:
„Es macht keinen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt. Art. 5 Abs. 3 der Richtlinie 2002/58 bezieht sich auf „die Speicherung von Informationen oder [den] Zugriff auf Informationen, die bereits … gespeichert sind“. Es ist klar, dass alle solchen Informationen einen den Datenschutz betreffenden Aspekt haben, unabhängig davon, ob sie „personenbezogene Daten“ im Sinne von Art. 4 Nr. 1 der Verordnung 2016/679 sind. Wie die Kommission zutreffend hervorhebt, zielt Art. 5 Abs. 3 der Richtlinie 2002/58 auf den Schutz des Nutzers vor Eingriffen in seine Privatsphäre ab, ungeachtet des Umstands, ob dabei personenbezogene Daten oder andere Daten betroffen sind.“

Nach Auffassung des Anwaltes ist daher nicht entscheidend, was das deutsche TMG festlegt, denn dies regelt nur die Verarbeitung personenbezogener Daten. Entscheidend sei, dass die EU Cookie-Richtlinie diese Einwilligung verlangt:
„Infolgedessen wurden die Anforderungen von Art. 5 Abs. 3 der Richtlinie 2002/58 durch § 15 Abs. 3 TMG offenbar nicht in vollem Umfang in deutsches Recht umgesetzt“.

Offen ist damit allerdings, was die fehlende Umsetzung der Richtlinienvorgabe für den User bedeutet. Da eine Richtlinie nicht unmittelbar gilt, kann einem Webseitenbetreiber die fehlende Einwilligung nicht vorgeworfen werden, da es keine unmittelbare rechtliche Pflicht dafür gibt. Da sich aber nach dem Standpunkt des EUGH Anwaltes die Einwilligung auf das Datenformat „Cookie“, nicht aber allein am Merkmal „personenbezogene Verarbeitung“ fest macht, besteht ein vom Datenschutz losgelöster Grund für das Einwiligungserfordernis.

VERDATA_
DATENSCHUTZ GMBH & CO. KG

© VERDATA_ DATENSCHUTZ GMBH & CO. KG  2018