Datenschutz

13
Jun

DSGVO Beschwerdestelle „Datasax“

DSGVO Beschwerdestelle „Datasax“

Aktuell sind E-Mails einer „DSGVO Beschwerdestelle“ im Umlauf, welche die Adressaten auf einen angeblichen Verstoß gegen die DSGVO und eine bevorstehende „Abmahnung oder Anzeige“ hinweisen. Natürlich wird der Verstoß nicht konkret benannt.

Abgesehen davon, dass es solche DSGVO Beschwerdestellen nicht gibt, dürfte man hier bereits schon bei der genauen Bezeichnung stutzig werden:

„DSGVO Beschwerdestelle & Meditation“

Zunächst könnte man annehmen, dass es sich hier um einen Tippfehler handelt, der sich dann aber bei dem Verweis auf das Gesetz „zur Förderung der Meditation und anderer Verfahren der außergerichtlichen Konfliktbeilegung in Deutschland“ wiederholt. Rund wird die Sache aber, wenn man die Website unter der Domain „datasax.de“ aufruft und nach einigem Suchen das Impressum gefunden hat: Websitebetreiber ist „datasax | Coaching & Meditation“.

Das Vorgehen von datasax ist – ebenso wie die Website von datasax selbst – unter verschiedenen rechtlichen Gesichtspunkten (etwa § 5 Abs. 1 TMG, § 7 Abs. 2, 3 UWG) zu beanstanden und damit als unseriös zu qualifizieren. Eine Gefahr, tatsächlich wegen der erfundenen Beschwerde ein Bußgeld auferlegt zu bekommen, besteht nicht.

Kurzum: Ob man die Mail als unzulässigen SPAM ansieht und mit einem Gegenangriff, wie von dem Kollegen Hansen-Oest (Link – bitte nur beim Namen hinterlegen, nicht vollständig anzeigen: https://www.datenschutz-guru.de/digitaler-ablasshandel-in-zeiten-der-dsgvo-die-vermeintliche-beschwerdestelle/) vorgeschlagen, reagiert oder sie schlicht ignoriert, ist dem Empfänger selbst überlassen.

10
Jun

Facebook-Fanpages und Verantwortliche nach dem Datenschutzrecht

Facebook-Fanpages und Verantwortliche nach dem Datenschutzrecht

 

Das Urteil des EuGH vom 5. Juni 2018 (Az.: C‑210/16) kam als donnernder Paukenschlag inmitten einer schon vor dem Inkrafttreten der DSGVO am 25. Mai 2018 bereits aufgeheizten Debatte um die Reichweite des Datenschutzes. Und es wird noch weitereichende Konsequenzen haben, denn es betrifft nicht nur Facebook und seine Nutzer, sondern jeden, der nicht nur privat auf einer Social Media-Plattform eine Seite oder ein Profil betreibt.

In dem Verfahren ging es um einen privaten Bildungsträger, der auf einer Facebook-Fanseite sein Angebot vermarktete. Hiergegen ging das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein vor und ordnete an, dass die Facebook-Fanseite deaktiviert werden muss.

Wichtigster Punkt im Vorgehen der Datenschutzbehörde und im dieses nun bestätigenden Urteil ist, wer für unzulässige Datenverarbeitungen durch Facebook im Rahmen bzw. auf Grundlage einer Facebook-Fanseite verantwortlich gemacht werden kann. Nach der vom EuGH zugrunde gelegten Richtlinie 95/46/EG (diese war die Grundlage für das BDSG bis zum Inkrafttreten der DSGVO) können mehrere gemeinsam Verantwortliche sein, sofern jeder von ihnen über Mittel und Zwecke der Datenverarbeitungen (mit-) entscheidet.

Da der Betreiber einer Facebook-Fanseite nach Ansicht des EuGH den Anlass dafür gibt, dass gerade über diese Seite Daten der Besucher erhoben und verarbeitet werden, wurde entschieden, dass er auch Mitverantwortlicher für die entsprechenden unzulässigen Datenverarbeitungen ist.

Dass die Datenschutzaufsichtsbehörde also (auch) gegen den Bildungsträger und nicht nur gegen Facebook vorging, war somit aus Sicht des EuGH richtig.

Die Regelungen zur Verantwortlichkeit in der DSGVO sind unverändert zur alten Rechtslage, sodass diese Einschätzung auch für das neue Recht von höchster Relevanz ist. Und sie betreffen nicht nur Facebook: Die Grundsätze, nach denen die Mitverantwortlichkeit angenommen wird, gelten für jedes Social Media-Profil, das ein Unternehmer betreibt. Nur ausschließlich persönliche und familiäre Tätigkeiten sind allgemein von der DSGVO ausgenommen. Wenn ein Social Media-Netzwerk unzulässige Datenverarbeitungen vornimmt, so kann nach diesem Urteil jeder nicht-private Nutzer hierfür mit in die Verantwortung genommen werden, wenn er dort ein Profil unterhält, über das entsprechende Datenverarbeitungen passieren.

Insofern sollte jeder gewerbliche Betreiber einer Facebook-Fanseite eine genaue Risiko-Nutzen-Analyse durchführen und – sollte er sich für den Erhalt der Facebook-Seite entscheiden – die weiteren Entwicklungen genau beobachten. Facebooks Datenschutz entspricht nicht den Vorgaben der DSGVO und nach diesem Urteil kann jeder, der dort eine Seite betreibt, mit dafür verantwortlich gemacht werden.

28
Mai

Informationspflichten nach Art. 13 DSGVO

Informationspflichten nach Art. 13 DSGVO

Als Hauptanwendungsbereich der DSGVO wurde bislang vorrangig die Datenerhebung über das Internet betrachtet, was jedoch eine ebenso unzulässige wie gefährliche Verkürzung wäre.

Art. 13 DSGVO verlangt, dass bei jeder Erhebung persönlicher Daten über den Verantwortlichen der Datenerhebung sowie deren Zweck informiert wird; wenn bestimmte andere Voraussetzungen erfüllt sind, auch über mehr. Diese Norm diente bisher überwiegend als Anhaltspunkt dafür, welche zwingenden Inhalte die Datenschutzerklärung einer Website enthalten muss. Doch in ihrer allgemeinen Formulierung beschränkt sich die Norm nicht auf Websites. Vielmehr muss bei jeder Datenerhebung – auch in der Offline-Welt – eine derartige Information erfolgen.

Da persönliche Daten schon bei der Frage nach dem Namen erhoben werden, oft lange bevor einem Kunden Dokumente ausgehändigt werden können, ist fraglich, wie die „bei Erhebung der persönlichen Daten“ erforderliche Information am besten erfolgen kann. Ähnlichen Informationspflichten wurde in der Vergangenheit oft mittels Aushängen in den Geschäftsräumen genüge getan, z.B. im Gaststättenbereich. In ähnlicher Weise werden auch AGB in Geschäften ausgehängt, um den Kunden eine Kenntnisnahme vor Vertragsschluss zu ermöglichen.

Aktuell sollte man einen Informationsaushang vorsehen, um den Anforderungen des Art. 13 DSGVO nachzukommen. Inhaltlich wird man in weiten Teilen auf die (hoffentlich anwaltlich geprüfte) Datenschutzerklärung von der eigenen Website zurückgreifen können. Ob in formeller Hinsicht etwa ein QR-Code anstelle eines Aushangs den Vorgaben des Art. 13 DSGVO genügt, muss derzeit noch bezweifelt werden, selbst wenn dieser auf eine um die nötigen Elemente ergänzte Datenschutzerklärung verlinkt.

27
Jan

Unzulässige Drohung mit SCHUFA-Eintrag

Die in einer Mahnung an einen Verbraucher gerichtete Drohung mit einem Eintrag bei der SCHUFA, falls dieser eine Mobilfunkrechnung nicht begleicht, muss sich nach einer Entscheidung des OLG Düsseldorf (Urt. v. 9.7.2013 – I-20 U 102/12) an enge Vorgaben halten, um zulässig zu sein.  Continue reading “Unzulässige Drohung mit SCHUFA-Eintrag” »

26
Nov

Cloud Computing

Um den Begriff „Cloud Computing“ rechtlich greifbar zu machen, muss zunächst geklärt sein, was sich hinter diesem Schlagwort verbirgt. Eine wirklich verbindliche Definition gibt es allerdings nicht. Nach der Definition des Bundesamts für Sicherheit in der Informationstechnik (BSI) bezeichnet der Begriff Cloud Computing jedenfalls „das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Angebot und Nutzung dieser Dienstleistungen erfolgen dabei ausschließlich über definierte technische Schnittstellen und Protokolle. Die Spannbreite der im Rahmen von Cloud Computing angebotenen Dienstleistungen umfasst das komplette Spektrum der Informationstechnik und beinhaltet unter anderem Infrastruktur (z. B. Rechenleistung, Speicherplatz), Plattformen und Software.“ Continue reading “Cloud Computing” »

26
Nov

Cloud Computing und Urheberrecht

Urheberrechtliche Fragen stellen sich beim Cloud Computing insbesondere bei „Software as a Service“ („SaaS“) – Angeboten. Hierbei wird die nötige Software nicht mehr vom Nutzer selbst erworben und auf seinen Systemen installiert, sondern der Anbieter des Cloud-Services installiert die Software auf seinen Systemen und gewährt dem Nutzer über das Netzwerk – etwa mittels eines Browsers oder einer speziellen Client-Software – Zugriff auf die benötigte Software. Übertragen wird nicht die Software selbst, sondern nur noch die dem Nutzer anzuzeigenden Bildschirminhalte und Daten.

Aus urheberrechtlicher Sicht müssen sowohl der Cloud-Anbieter als auch der Cloud-Nutzer sicher sein, die zur jeweiligen Nutzung der Software erforderlichen Rechte des Urhebers der Software zu besitzen. Zu unterscheiden ist das Lizenzverhältnis zwischen Cloud-Anbieter und dem Schöpfer der Software (Softwareentwickler) einerseits und zwischen Cloud-Anbieter und Cloud-Nutzer andererseits. Nachdem der Cloud-Anbieter mit seinem Service regelmäßig urheberrechtlich relevante Vervielfältigungs- und Verbreitungshandlungen vornimmt, sollte die ihm eingeräumte Lizenz die für den Service benötigten Handlungen auch möglichst maßgeschneidert einräumen, wie etwa das Recht zur Unterlizenzierung. Continue reading “Cloud Computing und Urheberrecht” »

12
Okt

“Bring your own device” und Datenschutz

BYOD ist ein zunehmend wichtiger Faktor im Wettbewerb um Mitarbeiter, die gerne ihr schickes neues Notebook oder ihr multifunktionales Smartphone für die Erledigung ihrer beruflichen Aufgaben hernehmen möchten. Immer mehr Unternehmen geben diesen Forderungen nach und nehmen dafür rechtliche Risiken in Kauf. Ein wesentlicher Aspekt ist in diesem Zusammenhang der Datenschutz, da das Unternehmen als verantwortliche Stelle im Sinne des Bundesdatenschutzgesetzes (BDSG) auch dann für die Einhaltung der Datenschutz-Standards haftet, wenn im geschäftlichen Umfeld personenbezogene Daten auf dem privaten Endgerät des Mitarbeiters verarbeitet werden.

Continue reading ““Bring your own device” und Datenschutz” »

1
Aug

Datenschutz-Grundverordnung der EU-Kommission

Der im Januar 2012 vorgelegt Entwurf für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung – DS-GVO) ist zwischenzeitlich vom Europäischen Wirtschafts- und Sozialausschuss (EWSA) kommentiert worden (Stellungnahme des EWSA) und es zeichnet sich ab, dass eine Verabschiedung in weite Ferne gerückt ist.

Continue reading “Datenschutz-Grundverordnung der EU-Kommission” »

30
Jul

Ortung von Mitarbeitern

Es gibt mittlerweile verschiedene technische Möglichkeiten, den Aufenthaltsort eines Mitarbeiters oder zurückgelegte Strecken zu ermitteln, auszuwerten und zu speichern. Sofern der betreffende Mitarbeiter über diese Datenerhebung und -speicherung informiert wurde und ihr freiwillig und nachweisbar zugestimmt hat, dürften sich datenschutzrechtlich keine Probleme ergeben. Sofern die Standortermittlung (z.B. per GPS oder Handyortung) aber verdeckt und ohne Kenntnis des Mitarbeiters – z.B. zu Kontrollzwecken – erfolgt, gibt der Gesetzgeber hier enge Voraussetzungen vor, die beachtet werden müssen.

Continue reading “Ortung von Mitarbeitern” »

13
Jul

Computer-Grundrecht

Ein weiterer markanter Zwischenpunkt in der fortlaufend voranschreitenden Entwicklung des Datenschutzes ist das Urteil des BVerfG zur Frage der Verfassungsmäßigkeit von Online-Durchsuchungen und anderer verdeckter Ermittlungsmaßnahmen in Datennetzen. Mit dieser Entscheidung schafft das Gericht das Grundrecht auf „Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme” (sog. Computer-Grundrecht) als eine besondere Ausprägung des allgemeinen Persönlichkeitsrechts.

Continue reading “Computer-Grundrecht” »