Datenschutz: Gibt es nun Bußgelder gegen Lehrer?

Zitat: „Wer geblitzt wird, bekommt ein Bußgeld, und so ist es in der Regel auch, wenn jemand gegen den Datenschutz verstößt.“

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Datenschutz: Gibt es nun Bußgelder gegen Lehrer?

Datenschutz: Gibt es nun Bußgelder gegen Lehrer?

Thüringen sorgt mal wieder für Aufsehen: Der Landesdatenschutzbeauftragte Dr. Lutz Hasse will Lehrer prüfen, die Corona-bedingt digital unterrichten. Ein Sturm der Entrüstung und eine nur auf den ersten Blick beruhigende Einigung mit dem Bildungsministerium – was ist da los?

Thüringer Datenschützer macht sich unbeliebt

Dass Datenschützer gemeinhin als langweilig gelten, ist bekannt. Zu Unrecht! Wie sonst ließe sich das Medienecho erklären, das Thüringens Landesdatenschutzbeauftragter vor kurzem hervorgerufen hat? Letzte Woche gab Herr Dr. Hasse bekannt, mögliche durch Lehrkräfte begangene Datenschutzverstöße im Rahmen des häuslichen, digitalen Lernens prüfen zu wollen – die Erteilung von Bußgeldern sei nicht ausgeschlossen.

Ein Riesen-Trara?

Das hat gesessen: Gewerkschaften, Lehrerverbände sowie Politiker reagierten empört und kritisierten den Datenschützer – der CDU-Landtagsabgeordnete Christian Tischner sprach sogar von einer „Hexenjagd auf Lehrerinnen und Lehrer“. Datenschutz, der Bad Boy deutschen Rechts?

Der Landesdatenschutzbeauftragte wirkt gelassen:

„Wo viel Rauch ist, da ist auch Feuer. Ich werde der Sache auf den Grund gehen.“

Wo brennt es denn? Während des zumindest Corona-virenfreien Online-Fernunterrichts könnte nach Angaben Herrn Dr. Hasses nicht datenschutzkonforme Software verwendet und Daten über unsichere Kanäle geflossen sein. Problematisch seien auch eventuell eingesetzte Cloudspeicher oder Kommunikationsplattformen wie beispielsweise WhatsApp.

Ob tatsächlich Bußgelder verhängt würden, stünde völlig in den Sternen – Summen bis zu 1.000 Euro seien denkbar, je nach Schwere des Verstoßes und Kooperation des Verantwortlichen. Zunächst aber werde er das Gespräch suchen, um den jeweiligen Sachverhalt aufzuklären. Habe der Lehrer mit Duldung der Schulleitung gehandelt, sei der Lehrer für den Datenschutzverstoß ggf. nicht verantwortlich.

Halb so schlimm?

Mittlerweile haben sich Dr. Lutz Hasse und das Bildungsministerium in Thüringen geeinigt: Man wolle Bußgelder gegen Lehrer vermeiden. Würden Datenschutzverstöße im Rahmen von E-Learning und Online-Unterricht offenkundig, solle sich die Datenschutzaufsicht zunächst an das Ministerium wenden. Dort werde dann im Einzelfall geprüft, ob man von Bußgeldern absehen könne.

Also Ende gut, alles gut? Märchen haben im Datenschutz nichts zu suchen. Nur weil ein Wille zur Vermeidung von Bußgeldern vorhanden ist, heißt das nicht, dass keine Bußgelder erteilt werden. Im Zweifel kann einen das Ministerium auch einfach fallen lassen wie eine heiße Kartoffel. Zumindest einen Haufen Scherereien dürfte es geben – nicht gerade beruhigend.

Mit Kanonen auf Spatzen schießen

Allerhand, nicht wahr? Das angekündigte Vorgehen gegen Lehrkräfte erweckt den Eindruck, die Datenschutzaufsicht wolle die Muskeln spielen lassen. Und sei es auch nur gegenüber Spatzen – die beißen wenigstens nicht.

An vorderster Front

Thüringens Lehrkräfte sahen sich mit Schließung der Schulen einem unvorstellbaren Chaos gegenüber, viele wussten nicht so richtig, wie sie ihre Schüler nun unterrichten sollten. In aller Not griff man auf altbekannte – aber leider häufig nicht gerade datenschutzkonforme – Software und Apps zurück. Laut dem thüringischen Bildungsminister Helmut Holter (Linke) hatte hier

„Priorität…, alle Schülerinnen und Schüler schnell und gut zu erreichen, und dabei stelle ich mich ausdrücklich hinter die Kolleginnen und Kollegen.“

Kathrin Vitzthum, Landesvorsitzende der Gewerkschaft Erziehung und Wissenschaft Thüringen, spricht von einem „Schlag ins Gesicht der Lehrkräfte“, die Eigeninitiative gezeigt hätten:

„Ich verstehe, dass geprüft wird. Ich will auch gar nicht ausschließen, dass es einzelne Verstöße gab. Aber diese Drohung sendet ein völlig falsches Signal an alle, die quasi über Nacht nach Möglichkeiten für Distanzunterricht gesucht haben.“

Zu diesem Zeitpunkt habe es noch keine landesweite Plattform für den digitalen Unterricht gegeben. Herr Dr. Hasse verweist jedoch auf eben diese Schulplattform, sowie auf E-Mail-Postfächer für Lehrer und ein Videokonferenzsystem, welche genutzt hätten werden sollen. Was stimmt nun? Laut Frau Vitzthum verkenne der Landesdatenschützer die tatsächliche Lage:

„Die HPI-Schulcloud war zunächst nur für die 25 Pilotschulen geöffnet, damit stand die DSGVO-konforme Plattform nur einem kleinen Teil der Lehrerschaft zur Verfügung.“

Wünscht die Lehrkraft eine andere Art und Weise des digitalen Lernens, werden ihr bürokratische Steine in den Weg gelegt. Das Genehmigungsverfahren bedarf der Konsultation der Schulleitung, des Ministeriums, des Datenschutzbeauftragten und des Schülers bzw. seiner Eltern. Zu Beginn der Schulschließungen war schnelles Handeln gefragt – kein stupides Beschreiten von Behördengängen, könnte man meinen.

Digitalisierung verpennt

Der Zug ist abgefahren. Das hat auch Herr Dr. Hasse erkannt – im Rahmen eines Interviews des bildungsklick TV im Jahr 2018 betonte er, wir müssten jetzt endlich anfangen, den Zug hinterherzufahren, um ihn noch zu erreichen. Besonders amüsant ist seine Aussage, die Lehrerausbildung bzw. -fortbildung und die Umsetzung von Lehrplänen (in Bezug auf Digitalisierung) seien – er sage es mal ein bisschen positiv – defizitär.

Hat das Land der Dichter und Denker in Sachen Digitalisierung an Schulen versagt? Eindeutig, geht aus einer Anfang 2020 durchgeführten, repräsentativen Mitgliederstudie der Gewerkschaft Erziehung und Wissenschaft hervor. Die Ergebnisse sind erschreckend:

  • 90 Prozent der Lehrer müssen ihre privaten Endgeräte für dienstliche Zwecke nutzen.
  • 58 Prozent der Befragten beteiligten sich in den vergangenen zwei Jahren an Fortbildungen zur Digitalisierung.
  • 82 Prozent gaben an, dass es nicht genügend Fortbildungsangebote gäbe.
  • Nur 20 Prozent sind mit dem technischen Support zufrieden.

Die Studie liefert auch Erkenntnisse zum Umgang mit Datenschutz im Rahmen der Digitalisierung an Schulen:

  • Lediglich die Hälfte der Befragten hält den Datenschutz für ausreichend geklärt, 39 Prozent sehen ihn als eher oder überhaupt nicht geregelt an.
  • Zwei Drittel der Lehrkräfte bewerten die Unterstützung des Arbeitgebers in Datenschutzfragen als unzureichend.

Und so wird sich in Sachen Digitalisierung auch in den nächsten Jahren nichts an Deutschlands Schulen ändern – wer nicht bereit ist, Lehrkräfte ausreichend auszubilden und lediglich Whiteboards in die Klassenzimmer stellt, braucht sich nicht zu wundern.

Um Herrn Dr. Hasses weise gewählte Worte aufzugreifen: Es gibt kein Licht am Ende des Tunnels. Und falls doch, ist es ein auf uns zu brausender Schnellzug.

Von Bären, Pandora und dem Mittelalter

Jedoch erweist Herrn Dr. Hasses Vorpreschen dem Datenschutz einen Bärendienst: Klarer Fall von gut gemeint, schlecht umgesetzt. Einfach ein Eigentor. Wer Datenschutz salonfähig machen möchte, hat Laien verständlich zu machen, was der ganze Aufwand eigentlich soll. Das angekündigte Prüfen von Lehrern bewirkt das komplette Gegenteil – datenschutzrechtliche Laien sind empört, das Bildungsministerium wettert gegen Datenschützer, die Datenschutz-Welt wird der Lächerlichkeit preisgegeben. Weiter so und das durchaus spannende Rechtsgebiet wird immer ein Schattendasein führen. Ungeliebt. Ignoriert.

Die Androhung von Bußgeldern öffnet zudem die Büchse der Pandora: Wer bisher online unterrichtet hat und nun Konsequenzen fürchten muss, überlegt es sich zweimal, ob er auch weiterhin digitale Angebote nutzt. No risk, no fun? Nö, danke. Viele Lehrkräfte verbleiben im technischen Mittelalter, wählen künftig den Papierweg und lehren analog, befürchtet Herr Stefan Wesselmann vom Verband Bildung und Erziehung Hessen. Also back to the roots?

Keine Unschuldslämmer

Können Sie sich noch an den Unterricht mit jahrzehntealten, verstaubten Folien auf Folienprojektoren erinnern? An wuchtige Fernseher, die auf Rollen in das Klassenzimmer geschoben wurden? Ich schon – und in meinem Fall war das damals schon gefühlt uralte Technik. Manche Pädagogen scheinen seit der Schul-Kreidezeit nichts dazugelernt zu haben. Internet ist Neuland, der Umgang mit Laptops, Software und Virenschutz ist an Deutschlands Schulen nicht jedermanns Sache. Infolge der Corona-Krise waren diese wenig technikaffinen Lehrerinnen und Lehrer gezwungen, digital zu unterrichten – da bekommt nicht nur der Datenschutz eine Gänsehaut.

Diese Pädagogen sind in Sachen Digitalisierung längst – manchmal eigenverschuldet – abgehängt. Vielleicht wäre ein Bußgeld oder schon die Androhung eines solchen ein Anreiz, die IT-Schulbank zu drücken.

Verstehen Sie mich nicht falsch, viele Lehrerinnen und Lehrer handhaben ihren digitalen Auftrag vorbildlich – die möchte ich an dieser Stelle auch gar nicht kritisieren. In den Schulen hierzulande läuft so einiges schief, aber nicht alles ist auf die Schulleitung oder das Ministerium zurückzuführen.

Der Datenschutz-Blitzer

Ist also all die Aufregung umsonst? Sicherlich jein. Den Schwarzen Peter nun den Lehrern zuzuschieben, die versuchten, etwas Ordnung ins Chaos zu bringen, ist ehrlich gesagt schon ein bisschen fies. Andererseits ist Datenschutz und damit die Verfolgung von Datenschutzverstößen geltendes Recht – da kann man kein Auge zudrücken. Seiner Aufgabe ist sich Herr Dr. Hasse durchaus bewusst:

„Wer geblitzt wird, bekommt ein Bußgeld, und so ist es in der Regel auch, wenn jemand gegen den Datenschutz verstößt.“

Wollen wir hoffen, dass bei Prüfung des Einzelfalls die Notsituation und die Digitalisierungseinöde Deutschlands berücksichtigt wird – alles andere wäre unfair.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Datenschutz: Gibt es nun Bußgelder gegen Lehrer?.

YouTuber deckt auf: Tausende Krankenhausakten frei zugänglich

Liebe Leser! Leider deckt dieser Artikel wieder auf, dass der Schutz unserer wichtigsten Daten immer und weiterhin in Gefahr ist. Achten Sie auf sich – immer!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: YouTuber deckt auf: Tausende Krankenhausakten frei zugänglich

YouTuber deckt auf: Tausende Krankenhausakten frei zugänglich

Verlassene, heruntergekommene Krankenhäuser sorgen regelmäßig für Gänsehaut und Popcornkino. In einem kürzlich veröffentlichten YouTube-Video zeigt sich nun der wahre (Datenschutz-)Horror: Patientenakten liegen offen herum – und zehn Jahre lang hat es keinen interessiert.

Investigativ unterwegs vor gruseliger Kulisse

Als YouTuber ItsMarvin die unverschlossene Tür zum ehemaligen St. Nikolaus Hospital der Stadt Büren bei Paderborn öffnete, hat er wohl noch nicht ahnen können, welche Folgen dies für ihn haben würde. Doch von Anfang an:

Marvin W. ist leidenschaftlicher YouTuber, besonders faszinierend findet er Lost Places – verlassene Orte, an denen die Zeit still gestanden scheint. Am 10. Mai besuchte er zusammen mit mehreren Begleitern das alte, schon lange nicht mehr genutzte Krankenhaus, um seinen Abonnenten und Fans auf YouTube ein neues gruseliges Stück Geschichte zeigen zu können. Das 23-minütige Video dazu ging letzten Freitag, am 29. Mai, online – mittlerweile hat es bereits über 300.000 Aufrufe. Nicht ohne Grund!

Keine 30 Sekunden nach Betreten des problemlos zugänglichen Gebäudes erreichten die Filmer einen im Dunkeln liegenden Raum. Das Taschenlampenlicht offenbart Unglaubliches: Tausende Patientenakten befinden sich in offenen Metallschränken bzw. –regalen. Die Männer lesen in den Unterlagen, zitieren daraus, betrachten sogar Röntgenbilder. Die Akten werden in die Kamera gehalten, der Inhalt ist jedoch verpixelt.

Das Video schlug ein wie eine Bombe: Die Stadt weist jede Schuld von sich. Die Polizei ermittelt nun – gegen Marvin W., wegen Hausfriedensbruchs. Was zum Teufel ist da los?

Ganz schön skandalös

In Büren herrscht Chaos, keiner will es gewesen sein, im Übrigen habe die Stadt von nichts gewusst. Den Schwarzen Peter schiebt man Marvin W. zu – ein Bauernopfer, um vom eigentlichen Skandal abzulenken?

Wer die Wahrheit sagt, braucht ein schnelles Pferd

Die Überbringer schlechter Nachrichten sind den Empfängern stets ein Dorn im Auge. Daher stellt sich die Frage, ob Marvin W. hier tatsächlich zu weit ging oder ob man ihn ganz und gar unschuldig in den Fokus stellt.

In Betracht käme die Verwirklichung eines Hausfriedensbruchs nach § 123 Abs. 1 StGB:

„Wer in die Wohnung, in die Geschäftsräume oder in das befriedete Besitztum eines anderen oder in abgeschlossene Räume, welche zum öffentlichen Dienst oder Verkehr bestimmt sind, widerrechtlich eindringt, oder wer, wenn er ohne Befugnis darin verweilt, auf die Aufforderung des Berechtigten sich nicht entfernt, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.“

Nach Ansicht des Rechtsanwalts Christian Solmecke ist die Strafbarkeit wegen Hausfriedensbruchs eher abzulehnen. Zu bezweifeln sei bereits, dass das Gebäude unter den Begriff des befriedeten Besitztums falle. Dieser setze voraus, dass beispielsweise Zäune oder Hecken vorhanden seien, die äußerlich erkennbar jeden Betrachter darüber aufklären, dass das Gelände nicht betreten werden darf. Vorliegend waren die Eingangstüren des Krankenhauses nicht einmal abgeschlossen. Laut dem YouTuber standen sie am 02. Mai sogar noch „sperrangelweit offen“. Unklar ist allerdings, ob es andere Einzäunungen gab, die den Zutritt äußerlich erkennbar verhindern sollten.

Interessant ist auch folgende Überlegung: Der Hausfriedensbruch ist ein reines Antragsdelikt, § 123 Abs. 2 StGB. Ohne Strafantrag wird also nicht ermittelt. Mit einem solchen äußert der Antragsteller seinen Wunsch nach Strafverfolgung. Doch Vorsicht! Strafanträge sind nicht mit Strafanzeigen zu verwechseln, bei welchen das Opfer oder ein Zeuge die Behörde lediglich über die Straftat informiert. Den Strafantrag kann nach § 77 Abs. 1 StGB grundsätzlich nur der Verletzte stellen, in diesem Fall also der Eigentümer des Grundstücks. Dumm nur: Die Eigentumsverhältnisse sind derzeit unklar. Wer Strafantrag stellt, gibt zu, das Hausrecht über das Krankenhaus inne zu haben – und damit wohl auch die datenschutzrechtliche Verantwortlichkeit. Freiwillig wird keiner zugeben, die Schuld an der Misere zu tragen…

Die Staatsanwaltschaft kann daher so viel ermitteln sie will – ohne Strafantrag muss sie das Verfahren nach § 170 Abs. 2 S. 1 StGB einstellen.

Fast für die Ewigkeit

Strafrecht ist nicht ganz mein Steckenpferd, aber hin und wieder lohnt es sich, einen Blick darauf zu werfen. Nun aber zum Datenschutzrecht:

Wieso werden in einem seit 2010 geschlossenen Krankenhaus noch Akten aufbewahrt?

Zurückzuführen ist das zum einen auf bestimmte Normen – das Transfusionsgesetz und die Röntgenverordnung verpflichten dazu, die Akten bis zu dreißig Jahre aufzubewahren. Zwar verweist die Kassenärztliche Vereinigung Nordrhein auf die grundsätzlich mindestens zehn Jahre bestehende Aufbewahrungspflicht für Patientenakten nach § 630 f Abs. 3 BGB, es gäbe jedoch die unterschiedlichsten Aufbewahrungsfristen zwischen einem Jahr und dreißig Jahren Dauer.

Aha. Das ewig und drei Tage dauernde Vergammeln sensibler Dokumente in irgendeiner dunklen Ecke hat aber nicht wirklich viel mit datenschutzkonformer Lagerung zu tun, nicht wahr? Für den Geschäftsführer des Sankt Franziskus Hospitals in Bielefeld, Herrn Dr. Georg Rüter, ist der Fall klar:

„Unseriöse Unternehmensführung würde ich sagen, oder aber wirtschaftliches Chaos. Wahrscheinlich hat der letzte Betreiber nicht einmal das Geld gehabt ordentlich aufzuräumen.“

Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO sind äußerst sensibel und nicht ohne Grund besonders geschützt: Arbeitgeber, Krankenkassen & Co. würden sicher gerne einen Blick darauf werfen. Von angemessenen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten kann hier nicht die Rede sein. In Büren lebt man Transparenz:

Nur hereinspaziert zum alltäglichen Tag der offenen Tür! Lassen Sie sich vom Sicherheitsdienst nicht irritieren – der guckt sowieso nur auf sein Smartphone. Vom Totenschein bis zur Diagnose, wir haben alles, was Ihr Herz begehrt. Doch beeilen Sie sich – von Zeit zu Zeit verschwinden ein paar Akten.

Schuld sind immer die anderen

Wer hat das Ganze nun zu verantworten? Bürens Bürgermeister Burkhard Schwuchow (CDU), der den Vorfall in einer Stellungnahme als „in keinster Weise akzeptabel“ bezeichnet, betont, nicht die Stadt sei verantwortlich, sondern „in jedem Fall Marseille“. Das Gebäude gehöre einer Tochterfirma der Marseille Kliniken AG mit Sitz in Hamburg, die das Krankenhaus 2005 vom kirchlichen Träger übernommen und bis 2010 zusammen mit einer anderen Tochtergesellschaft geführt habe. Die Konzernmutter weist allerdings alle Vorwürfe zurück – infolge der Insolvenz der Betreibergesellschaft sei der Insolvenzverwalter verantwortlich. Ganz schön verworren…

Die Stellungnahme liest sich wie eine vorweggenommene Verteidigungsschrift: Der Stadt seien die desaströsen Zustände nicht bekannt gewesen, bei vereinzelten Auskunftsanfragen Betroffener habe man stets auf die Marseille Kliniken AG verwiesen. Ach, tatsächlich? Marvin W. berichtet, eine Frau aus Büren habe sich mit einem Hilferuf an ihn gewandt: Sie habe die Stadt auf den unversperrten Zugang hingewiesen, diese habe jedoch nicht reagiert.

Wie von der Tarantel gestochen

Nach Bekanntwerden des Videos handelt die Stadt plötzlich – soll ja keiner sagen, dass man nichts tue: In Absprache mit Ordnungsämtern und Polizei wurde das Krankenhaus endlich abgesperrt. Dank baulicher Sicherung gelangt man nicht mehr so einfach in die Räume mit den Akten. Außerdem wird verstärkt kontrolliert.

Bürens Bürgermeister erklärt seine Motivation:

„Ich habe in dem Gebäude und auf dem Gelände eigentlich nichts zu suchen und wenn man so will selbst Hausfriedensbruch begangen, aber ich musste dafür sorgen, dass die Daten geschützt werden und niemand mehr Zugriff darauf hat.“

Bravo, oder? Ein fader Beigeschmack bleibt.

Kein Einzelfall

Leider kommt es trotz der Sensibilität von Gesundheitsdaten häufiger zu derartigen Datenpannen. 2016 wurde bekannt, dass im ehemaligen Kursanatorium Wiedemann zehn Jahre lang frei zugänglich Krankenakten herumlagen – auch von prominenten Patienten. Im Evangelischen Krankenhaus Zweibrücken nahm man die Aufbewahrung sensibler Daten ebenfalls nicht allzu ernst – so waren z.B. die Ergebnisse von Rektal-Abstrichen einsehbar, selbstverständlich mitsamt Patientennamen und Geburtsdaten. Was für ein Service!

Wie das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein in seinem Tätigkeitsbericht für das Jahr 2019 schildert, stand im Januar letzten Jahres ein unverschlossener Container voll mit mehreren Kubikmetern Patientenunterlagen mitten in Kiel. Wieso? Man habe kein Schloss gehabt. Ohne Worte.

Den Schuss nicht gehört

Kann ja mal passieren, oder? Klar, irren ist menschlich, aber manchmal drängt sich der Gedanke auf, für den ein oder anderen Verantwortlichen wäre Datenschutz absolutes Neuland. Wie sonst ist diese Achtlosigkeit zu erklären? Nach über zwei Jahren DSGVO ist es doch sicherlich nicht zu viel verlangt, zumindest ein kleines Quäntchen Datenschutzbewusstsein aufzuweisen. Vielleicht haben derartige Skandale ja dennoch ihr Gutes: Sie rütteln auf. Wollen wir es hoffen – die Hoffnung stirbt bekanntlich zuletzt.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: YouTuber deckt auf: Tausende Krankenhausakten frei zugänglich.

Der Auskunftsanspruch – praktische Tipps aus Liechtenstein – Und: Liechtenstein? Ist doch gar nicht EU? (Stichwort: Marktorprinzip)

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Der Auskunftsanspruch – praktische Tipps aus Liechtenstein

Der Auskunftsanspruch – praktische Tipps aus Liechtenstein

Die Reichweite des Auskunftsanspruchs ist nach wie vor ein umstrittenes Thema. In Deutschland wurde bereits von verschiedenen Gerichten uneinheitlich entschieden. Die Datenschutzstelle Fürstentum Liechtenstein geht pragmatisch an die Frage heran und gibt „ihren“ Unternehmen praxistaugliche Tipps im aktuellen Tätigkeitsbericht. Grund genug, einmal einen Blick darauf zu werfen.

Lage in Deutschland

Die Lage in Deutschland ist nicht leicht zu durchschauen. Wie bereits kurz angedeutet, sind zur Reichweite des Auskunftsanspruchs bereits mehrere Urteile ergangen. Die Chance, dadurch etwas Licht ins Dunkel zu bringen, wurde aber leider verpasst. Im Gegenteil – was der Auskunftsanspruch umfasst und was nicht, ist fraglicher denn je.

Auskunft mit Einschränkungen

Das LG Köln sah durchaus Grund zur Beschränkung und sprach sich dafür aus, dass sich der Anspruch nicht auf

„sämtliche internen Vorgänge der Beklagten, wie z.B. Vermerke, oder darauf, dass die betreffende Person sämtlichen gewechselten Schriftverkehr, der dem Betroffenen bereits bekannt ist, erneut ausgedruckt und übersendet erhalten kann (…)“

beziehen könne (Urteil v. 18. März 2019 – 26 O 25/18). Auch rechtliche Bewertungen oder Analysen des Verantwortlichen stellen nach Ansicht des LG Köln keine Daten dar, die beauskunftet werden müssen.

In einer weiteren Entscheidung stellte wiederum das LG Köln klar, dass Art. 15 DSGVO nicht der „vereinfachten Buchführung“ des Betroffenen diene (Urteil v. 19. Juni 2019 – 26 S 13/18). Dieser Auffassung schloss sich auch das AG München mit Urteil vom 4. September 2019 an (155 C 1510/18).

Auch dieses Jahr erging bereits ein einschränkendes Urteil. Das Landgericht Heidelberg lehnt den Auskunftsanspruch eines Arbeitnehmers insoweit ab, als sich seine personenbezogenen Daten lediglich in Backup-Dateien seines E-Mail-Kontos befinden. Die Wiederherstellung solcher Daten stelle für den Verantwortlichen im Einzelfall einen unverhältnismäßigen Aufwand dar (Urteil v. 06.02.2020 – 4 O 6/19).

Der Auskunftsanspruch – ein umfassendes Recht

Dagegen sprach sich das OLG Köln im Juli 2019 für eine weite Auslegung des Umfangs des Auskunftsrechts aus (Urteil v. 26. Juli 20019 – 20 U 75/18, nicht rechtskräftig – Nichtzulassungsbeschwerde beim BGH, Az. IV ZR 213/19).

Der Kläger begehrte Auskunft über alle im System der Beklagten erfassten Daten, insbesondere auch Gesprächsnotizen und Telefonvermerke.

In diesem Fall gab das OLG Köln dem Kläger recht. Eine Begrenzung auf die Stammdaten sei unvereinbar mit dem weit gefassten Datenbegriff der DSGVO. Aussagen des Klägers bzw. Aussagen über den Kläger in Gesprächsnotizen und Telefonvermerken stellten dabei ohne Weiteres personenbezogene Daten dar, über die Auskunft erteilt werden müsse.

Auch das Landesarbeitsgerichts Baden-Württemberg ging in seinem Urteil vom 20. Dezember 2018 (17 Sa 11/18) den Weg der weiten Auslegung. Das Gericht hatte entschieden, dass dem Betroffenen nicht nur die Kategorien von Empfängern offengelegt werden müssten, sondern konkret jeder einzelne Empfänger. Gerade in solchen Beziehungen zwischen Betroffenen und Unternehmen, die über längere Zeit bestehen, ist eine Auskunftserteilung in dieser Tiefe jedoch oftmals nicht zu realisieren.

Bußgelder lassen grüßen

Dass die Missachtung von Betroffenenrechten regelmäßig zu Bußgeldern führt, macht die Sache nicht einfacher. Die Nichtbearbeitung von Auskunftsanfragen war unter anderem Grund für das Rekordbußgeld gegen die Delivery Hero SE mit Sitz in Berlin.

Tipps aus Liechtenstein

Die uneinheitliche Rechtsprechung macht nicht nur deutschen Unternehmen zu schaffen. Auch Unternehmen anderer Länder, die dem Anwendungsbereich der DSGVO unterfallen, lassen sich durch deutsche Urteile verunsichern. Dies führte unter anderem zu einem erhöhten Beratungsaufwand in diesem Bereich bei der Datenschutzstelle Fürstentum Liechtenstein.

Die Datenschutzstelle spricht sich nun gegen eine extensive Auslegung des Auskunftsrechts aus. Folgende Grundsätze stellt sie auf:

  • Auskünfte dienen der Ermöglichung der Wahrnehmung weiterer Betroffenenrechte
  • Bei einer begrenzten Anzahl von Empfängern sind diese namentlich zu benennen, bei einer großen Anzahl genügt die Auflistung von Kategorien (bspw. Fluggesellschaften, Hotels, usw.)
  • Kopie umfasst nicht die Herausgabe einer Fotokopie sämtlicher Schriftstücke, Kopie bedeutet vielmehr „geordnete Darstellung der personenbezogenen Daten“
  • es sind nur jene Kopien herauszugeben, die notwendig sind, damit die betroffene Person die Rechtmäßigkeit der Verarbeitung ihrer Daten überprüfen und gegebenenfalls ihre Rechte wahrnehmen kann

„Folglich müssen unternehmensinterne Gesprächsnotizen oder Sitzungsprotokolle, rechtliche oder andere spezifische Beurteilungen eines Sachverhalts in Bezug auf die betroffene Person, Telefonnotizen, Vertragsentwürfe (im Überarbeitungsmodus), sämtlicher E-Mailverkehr mit der betroffenen Person bzw. mit Dritten in Bezug und unter Erwähnung (einzelner) personenbezogener Daten der betroffenen Person nicht in Form einer (Foto-) Kopie herausgegeben werden.“

Hilft uns das weiter?

Vielleicht fragen Sie sich, was das nun deutschen Unternehmen bringt und – Liechtenstein – ist das überhaupt EU?

Die Datenschutz-Grundverordnung gilt über die Grenzen der EU hinaus. Das sagt bereits Artikel 3 der DSGVO, der dem räumlichen Anwendungsbereich definiert. Und seit dem 20. Juli 2018 gilt die DSGVO darüber hinaus auch in den EWR-Staaten Norwegen, Island und Liechtenstein. Die DSGVO ist europäisches Recht und auch, wenn hierzulande letztendlich deutsche Gerichte entscheiden, macht ein Blick in andere Länder gerade bei umstrittenen Themen durchaus Sinn.

Es ist zu hoffen, dass der Ansatz der Datenschutzstelle Fürstentum Liechtenstein in Zukunft viele Unterstützer finden wird und der Auskunftsanspruch nicht zu einem Mittel verkommt, das verärgerte Betroffene nur nutzen, um Unternehmen zu belasten. Schon jetzt mausert sich der Auskunftsanspruch zum prozesstaktischen Mittel.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Der Auskunftsanspruch – praktische Tipps aus Liechtenstein.

Velociraptor: Die Jagd nach wertvollen Spuren – Ein tolles Instrument für die IT-Sicherheit

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Velociraptor: Die Jagd nach wertvollen Spuren

Velociraptor: Die Jagd nach wertvollen Spuren

Aktuell ist die Möglichkeit, Daten aus der Ferne zu sichern, so begehrt wie nie zuvor. Bei der Jagd nach Spuren ermöglicht das Tool Velociraptor, per remote Endgeräte zu überwachen und Daten zu extrahieren. Wir klären auf, was das Tool genau kann und für wen es geeignet ist.

Für wen ist dieses Tool nützlich?

Stellen wir uns folgendes Szenario vor: In Flensburg meldet ein Unternehmen das Auftauchen unbekannter Programme auf ihren Arbeitsplatzrechnern. Ein IT-Forensiker aus Hamburg bräuchte mindestens zwei Stunden mit dem Auto, um bei dem Betroffenen einzutreffen. Anschließend müsste ein Image erstellt werden, ehe der Heimweg zum Labor aufgenommen werden kann, wo dann eine IT-forensische Analyse durchgeführt werden würde. Mit Hilfe von Velociraptor können Zeit und Geld eingespart und die Daten direkt akquiriert werden. Dabei kann zunächst der Computer aus der Ferne betrachtet werden, im Anschluss daran sind die Daten herunterladbar.

Außerdem ist es möglich, direkt mehrere Systeme auf Spuren zu untersuchen, wodurch ebenfalls Zeit eingespart werden kann. Anschließend wäre eine Analyse direkt durchführbar. Dabei können zum Beispiel Informationen aus der Windows-Registry oder dem Browser verwendet werden. Welche Daten besonders interessant sind, können Sie unter anderem in unserer Reihe „Daten verraten“ nachlesen.

Velociraptor ist ein IT-Forensik-Tool, welches hauptsächlich von Mike Cohen entwickelt wurde. Der ein oder andere hat diesen Namen vielleicht schon einmal im Zusammenhang mit Volatility oder Rekall Forensics gehört, welche er ebenfalls mit entwickelt hat.

Das Tool ist vor allem dann nützlich, wenn Spuren, zum Beispiel nach einem Angriff, gesichert werden sollen. Dafür ist, insbesondere bei Vorfällen, welche eine schnelle Reaktion benötigen, meist nicht viel Zeit. Deshalb ist es praktisch, nicht erst zum Betroffenen fahren zu müssen, sondern direkt aus dem Büro die Daten aus der Ferne sichern zu können.

Voraussetzungen für die Inbetriebnahme

Alles, was dafür benötigt wird, ist: Ein Gerät, auf dem der Velociraptor-Server läuft und die Installation der Velociraptor.exe auf Server und Client-Seite. Die ausführbare Datei kann einfach auf GitHub heruntergeladen werden. Anschließend muss auf dem Analyse-Gerät der Server konfiguriert werden. Dies geschieht durch ein Installationsskript, welches den Anwender auffordert, bestimmte Angaben, wie beispielsweise den zu verwendenden Port, oder die Speicherorte für die Konfigurationsdateien, anzugeben. Somit ist der Server in weniger als zehn Minuten startbereit und die Velociraptor Jagd nach Spuren kann beginnen. Nun muss dem Client nur noch eine Konfigurationsdatei übermittelt werden, mithilfe derer er sich automatisch mit dem Server verbinden kann. Diese Datei wird bei der Server-Konfiguration bereits automatisch erstellt.

Sammeln von Informationen

Von einem der verbundenen Clients sollen nun Informationen gesammelt werden. Dies ist durch sogenannte „Hunts“ möglich. Dabei extrahiert der Server automatisch die gewünschten Informationen von dem betroffenen Zielsystem. Dafür existiert eine bereits vorinstallierte Liste mit Artefakten, welche verwendet werden können. Diese beinhalten zum einen die zu erhebenden Informationen, wie zum Beispiel die Benutzer-ID und Gruppen-ID, und zum anderen die Quelle, von wo die Information gesammelt wird. Dies kann beispielsweise ein Registry-Hive oder ein Ordner im System sein. Für diejenigen, denen die angebotenen Artefakte nicht ausreichend sind, ist es möglich, eigene Informationsabfragen zu formulieren. Nachdem das gewünschte Artefakt ausgewählt wurde, muss noch der zu analysierende Client bestimmt werden ehe die Analyse startet.

Nutzerprofile ermitteln

Mit Hilfe des Windows.Sys.Users Artefakts können alle auf dem System gespeicherten Nutzerprofile ermittelt werden. Dazu extrahiert Velociraptor die vorhandenen Security Identifiers (SIDs) und wandelt diese in den Benutzernamen um. Die erhaltenen Ergebnisse können direkt als CSV-Datei heruntergeladen werden.

Prozesse extrahieren

Das Artefakt Windows.System.Pslist listet alle Prozesse und deren Speicherorte auf. Dadurch können unerwünschte Aktivitäten aufgedeckt werden.

Virtuelles Dateisystem

Wer nicht direkt nach konkreten Spuren suchen möchte, kann das virtuelle Dateisystem nutzen. Damit ist es möglich, durch das Dateisystem zu navigieren, als wäre es das eigene. Außerdem können interessante Dateien, wie beispielsweise Dokumente oder ausführbare Programme, direkt heruntergeladen werden.

Interaktive Kommandozeile

Ein weiteres Feature ist die interaktive Kommandozeile. Mit dieser ist es möglich, Abfragen auf dem Client auszuführen. Dazu wird das Kommandozeilenprogramm Windows Management Instrumentation Command-line (WMIC) genutzt. Mittels WMI kann, sowohl lesend als auch schreibend, auf nahezu alle Einstellungen eines Windows-Computers zugegriffen werden. Die WMIC wird auch zur generellen Administration von Windows-Infrastrukturen verwendet. Im Beispiel (siehe nachfolgende Abbildung) wurde überprüft, welche Programme im Autostart eingetragen sind. Dies sind die Programme, welche automatisch gestartet werden, wenn sich der Benutzer am Computer anmeldet. Der Befehl im Beispiel berücksichtigt sowohl den Autostart-Ordner, als auch den Registry-Schlüssel „Run“.

Weitere Vorteile

Velociraptor wurde erst 2019 veröffentlicht, daher befindet sich das Tool zur Jagd nach digitalen Spuren noch in den Anfängen. Jedoch zeigt es bereits jetzt viel Potenzial und bietet eine Menge Features. Aufgrund der aktiven Entwicklungscommunity sind weitere Features bereits in Planung.

Des Weiteren kann der Server auch für andauernde Analysen eingesetzt werden. So kann Velociraptor zum Beispiel genutzt werden, um Endgeräte zu überwachen und in Echtzeit zu alarmieren, sollten Auffälligkeiten entdeckt werden. Dabei kann es sich beispielsweise um DNS-Abfragen oder ungewöhnliche Kontoaktivitäten handeln. Hierbei sollte jedoch beachtet werden, dass eine ständige Überwachung eng mit den Datenschutzbeauftragten abgestimmt werden muss.

Ein weiterer Vorteil ist die Möglichkeit sowohl Windows, Linux, als auch macOS-Geräte überwachen zu können. Außerdem können Tausende Clients gleichzeitig beaufsichtigt werden.

Ein paar Gedanken zum Schluss

Velociraptor bietet ein hohes Maß an Funktionen und Möglichkeiten bei der Jagd nach digitalen Spuren. Vor allem für die IT-Forensik und IT-Sicherheit bietet es viele Einsatzmöglichkeiten. Zum einen können Systeme überwacht werden, zum anderen, nach einem Cyber-Angriff, schnell relevante Spuren aus der Ferne gesammelt und anschließend direkt vor Ort oder im Labor analysiert werden.

Es sollte jedoch stets im Hinterkopf behalten werden, dass jedes Tool auch für kriminelle Zwecke genutzt werden kann. Sollte es einem Angreifer gelingen, das Opfer dazu zu bringen, eine Verbindung aufzubauen, was wie bereits beschrieben nicht sehr aufwendig ist, kann er eine Menge Informationen sammeln oder gar auf den Client zugreifen. Für das Opfer wäre die bestehende Verbindung auf den ersten Blick nicht sichtbar.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Velociraptor: Die Jagd nach wertvollen Spuren.

Synergien im Datenschutz und beim Schutz von Geschäftsgeheimnissen – So wird ein Schuh daraus…

Synergien im Datenschutz und beim Schutz von Geschäftsgeheimnissen

In diesem Beitrag werden die Überschneidungen und Synergien zwischen dem Schutz der Geschäftsgeheimnisse durch das Geschäftsgeheimnisgesetz und dem Datenschutz in der DSGVO beschrieben.

Worin liegen die Überschneidungen zwischen Datenschutz und dem Schutz von Geschäftsgeheimnissen?

Grundsätzlich schützt die DSGVO personenbezogene Daten nach Art. 4 Nr. 1 DSGVO Dritter, wohingegen das GeschGehG den Schutz von unternehmenseigenen Geschäftsgeheimnissen im Blick hat.

Überschneidungen zwischen Datenschutz und dem Schutz von Geschäftsgeheimnissen gibt es unter anderem immer dann,

  • wenn personenbezogene Daten Teil des Geschäftsgeheimnisses sind, wie bei einer Kunden- und Lieferantenliste,
  • wenn es um die angemessenen Geheimhaltungsmaßnahmen geht.

Was sind Geschäftsgeheimnisse?

Bei Geschäftsgeheimnissen handelt es sich um Informationen, deren nachfolgende Merkmale kumulativ vorliegen müssen:

  • wirtschaftlicher Wert, der sich aus der Geheimheit gem. § 2 Nr. 1 lit. a GeschGehG ergibt
  • die geheim oder nicht offenkundig sind, d.h. nicht allgemein bekannt oder zugänglich gem. § 2 Nr. 1 lit. a GeschGehG
  • berechtigtes Geheimhaltungsinteresse des Geheimnisinhaber, d.h. derjenige, der die rechtmäßig die Kontrolle über das Geheimnis ausübt
  • Schutz mit angemessenen Geheimhaltungsmaßnahmen gem. § 2 Nr. 1 lit. b GeschGehG.

Typische Geschäftsgeheimnisse sind, z.B. Formeln, Rezepte, Herstellungsverfahren, Geschäftsstrategien, Marktanalysen, Kosteninformation und Geschäftsstrategien.

Der Schutz von Geschäftsgeheimnissen der Unternehmen ist Ausfluss der Eigentumsgarantie nach Art. 14 Abs.1 GG bzw. der Berufsfreiheit nach Art. 12 Abs. 1 GG aber auch der gesetzlichen Verpflichtung der Geschäftsleitung, z.B. nach § 42 Abs. 2 GmbHG im Rahmen der Risikovorsorge für einen unternehmensinternen Geheimnisschutz zu sorgen. Dieser Schutz der Geschäftsgeheimnisse steht bei Personenbezug, z.B. bei einer Kunden- oder Lieferantenliste, im Spannungsfeld mit dem Recht auf informationelle Selbstbestimmung des Betroffenen.

Das unternehmensinterne Geheimnisschutzkonzept

Seit dem GeschGehG reicht ein erkennbarer subjektiver Geheimhaltungswille allein, der sich nach außen z.B. in Form einer Kennzeichnung mit „Vertraulich“ zeigt, nicht mehr aus. Vielmehr müssen von der Person, die rechtmäßig die Kontrolle über das Geheimnis ausübt, angemessene Geheimhaltungsmaßnahmen § 2 Nr. 1 lit. b GeschGehG getroffen werden. Hierzu gehört ein unternehmensinternes Geheimnisschutzkonzept, welches zum einen

  1. eine für den Geheimnisschutz im Unternehmen verantwortliche Person,
  2. den Schutzbedarf der Informationen und die Klassifizierung der Informationen (Geheimhaltungsstufen),
  3. geeignete
    • vertragliche Maßnahmen: Vertraulichkeitsvereinbarungen mit unterschiedlicher Reichweite
    • organisatorische Maßnahmen: Berechtigungskonzept für Zugriff (Need-to-Know-Prinzip)
    • angemessene technische und organisatorische Geheimhaltungsmaßnahmen § 2 Nr. 1 lit. b GeschGehG

festlegt.

Wichtig ist, dass die angemessene technische und organisatorische Maßnahme nicht nur allgemein im Unternehmen besteht, sondern die schützenswerte Information genau dieser Schutzmaßnahme im Schutzkonzept unterworfen ist.

Angemessene technische und organisatorische Geheimhaltungsmaßnahmen

In Bezug auf diese angemessenen Geheimhaltungsmaßnahmen nach § 2 Nr. 1 lit. b GeschGehG, die immer auch der Datensicherheit und im Fall von Personenbezug der geheimen Information auch dem Datenschutz dienen, ist zu klären, ob diese angemessenen Geheimhaltungsmaßnahmen den Vorgaben nach Art. 32, 24 DSGVO entsprechen, d.h. in Ihrer Schutzwirkung identisch sind.

Geeignete technische-organisatorische Maßnahmen

Art. 24 Abs. 1 S. 1 DSGVO legt dem Verantwortlichen (Art. 4 Nr. 7 DSGVO) die Pflicht auf, geeignete technisch-organisatorische Maßnahmen (TOM) nach Art. 32 Abs. 1 DSGVO zum Schutz personenbezogener Daten zu treffen, damit die Datenverarbeitung datenschutzkonform erfolgt. Diese datenschutzrechtlich erforderlichen TOMs stellen immer auch eine Geheimhaltungsmaßnahme nach § 2 Nr. 1 lit. b GeschGehG dar. Nach Art. 32 Abs. 2 DSGVO, der Beurteilungskriterien für Art. 32 Abs. 1 Hs.1 aufstellt, muss ein angemessenes Schutzniveau erreicht werden. Hierbei ist einzelfallbezogen auf die Risiken der Datenverarbeitung abzustellen. Bei betroffenen natürlichen Personen ist zu klären, inwieweit sich ein Schadensrisiko (physisch, materiell, immateriell) für diese Person aus der Verarbeitung ergibt.

Angemessene Geheimhaltungsmaßnahmen

Bleibt zu klären was eine angemessene Geheimhaltungsmaßnahme im Sinne des GeschGehG ist. Ein 100%iges Schutzniveau für die Daten muss weder im Sinne der DSGVO noch im Sinne des GeschGehG erreicht werden. Das Schutzniveau der Informationen richtet sich nach dem konkreten Risiko für das Unternehmen, z.B. bei essentiellen Geschäftsgeheimnissen ist das Risiko größer und daher auch die zu treffenden Geheimhaltungsmaßnahmen höher. Sowohl nach der DSGVO als auch nach dem GeschGehG wird somit der Einzelfall in Bezug auf angemessene Maßnahmen betrachtet.

Unterschiedliche Schutzziele und -niveau

Das angemessene Schutzniveau in Art. 32 Abs. 2 DSGVO ist in der Ergänzung des Art. 32 Abs. 1 Hs. 1 DSGVO jedoch nicht identisch mit den angemessenen Schutzmaßnahmen nach dem GeschGehG. In Art. 32 Abs. 2 DSGVO sind als mögliche Risiken der Datenverarbeitung, die unbeabsichtigte oder unrechtmäßige Vernichtung, Verlust oder Veränderung oder die unbefugte Offenlegung bzw. der unbefugte Zugang benannt.

Eine unbeabsichtigte oder unrechtmäßige Beeinträchtigung durch Verlust, Vernichtung oder Veränderung des Betroffenen liegt bereits dann vor, wenn die Beeinträchtigung aus Versehen erfolgt und hierbei gegen risikomindernde gesetzliche Vorschriften verstoßen wird. Im Falle des Schutzes von Geschäftsgeheimnissen geht es meist um die unbefugte Offenlegung oder den unbefugten Zugang zu den geschützten Informationen. Bei der Frage, ob der Verantwortliche unbefugt war, die personenbezogenen Daten zu übermitteln oder den Zugang zu gewähren, wird im Hinblick auf einheitliche Bedingungen im Binnenmarkt nur auf die datenschutzrechtliche Befugnis abgestellt. Andere Pflichten zur Geheimhaltung, wie das GeschGehG bleiben hierbei außer Betracht. Für das angemessene Schutzniveau in Art. 32 Abs. 1 DSGVO und die angemessenen Geheimhaltungsmaßnahmen in § 2 Nr. 1 lit. b GeschGehG gelten daher unterschiedliche Regelungsziele und Bedingungen. Zwar haben diese eine gemeinsame Schnittmenge, sind aber nicht identisch.

Auf bestehende Datenschutzmaßnahmen kann einzelfallbezogen mit weiteren angemessenen Schutzmaßnahmen zum Schutz der Geschäftsgeheimnisse aufgesetzt werden. Es kommt daher darauf an, die geschaffenen Datenschutzstrukturen zu nützen und Synergien mit dem Geheimnisschutz zu realisieren.


Gefällt Ihnen der Beitrag?

Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING

Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Synergien im Datenschutz und beim Schutz von Geschäftsgeheimnissen.

BGH: Das gilt nun beim Einsatz von Cookies für Websitebetreiber

Liebe Leser! Das gestrige Urteil kann ein Game-Changer im Marketing werden. Zumindest stärkt es deutlich die Rechte der Besucher von Internetseiten und schützt diese jetzt deutlich besser. Und, liebe Marketer: Wenn Ihr die Internetnutzer nett fragt, dann geben diese auch die Erlaubnis für Marketing – es muss halt eine freie Entscheidung sein. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: BGH: Das gilt nun beim Einsatz von Cookies für Websitebetreiber

BGH: Das gilt nun beim Einsatz von Cookies für Websitebetreiber

Der Bundesgerichtshof (BGH) hat das lang erwartete Urteil in der Rechtssache Planet 49 gesprochen. Nicht nur die Datenschutzwelt hat kurz den Atem angehalten, sondern auch das digitale Marketing blickte mit Spannung nach Karlsruhe. Denn ob und vor allem wie Cookies zukünftig eingesetzt werden können, stand auf dem Prüfstand.

Was bisher geschah…

Wie wir bereits berichteten legte der BGH dem EuGH Fragen aus dem Verfahren der Verbraucherzentrale Bundesverband (vzbv) gegen den Adresshändler und Gewinnspielbetreiber Planet 49 im Rahmen eines Vorabentscheidungsverfahrens vor. Im Fokus stand die Wirksamkeit einer Einwilligung in die Speicherung von Informationen auf dem Endgerät, welche durch ein voreingestelltes Ankreuzkästchen abgegeben wurde (Besteht eine opt-in Pflicht?).

Planet 49 wollte sich in Form von Hinweistexten das Recht einräumen lassen, Cookies im Browser des Nutzers zu setzen, damit Dienstleister „interessengerichtete Werbung“ ausspielen könnten. Das Kästchen war bereits vorangekreuzt und erst mit einem zusätzlichen Klick konnten die Nutzer diese Zustimmung widerrufen.

Der EuGH entschied am 1. Oktober 2019 (Rs. C-673/17), dass u.a. die durch Planet 49 eingeholte Einwilligung schon den Anforderungen der Datenschutzrichtlinie nicht genügte.

Seine Entscheidung begründete der EuGH damit, dass in einem Unterlassen, die vorangekreuzte Einwilligung zu widerrufen (opt-out), keine aktive Willenserklärung gesehen werden könne. Das viel zitierte „Cookie-Urteil“ sollte daher eher Einwilligungs-Urteil heißen, da der EuGH klarmachte, unter welchen Umständen die Anforderungen an die Einwilligung nicht erfüllt sind. Zudem arbeitete der EuGH heraus, dass von dieser Pflicht nicht nur personenbezogene Daten im Endgerät des Nutzers betroffen sind.

Alles für die Einwilligung

Seither ist man sich überwiegend einig, dass einfache Cookie-Banner den Anforderungen des EuGHs nicht mehr gerecht werden (können). Gemeint sind dabei diejenigen Cookie-Banner, die voreingestellte Häkchen für jede Art von Tracking vorsehen oder reine Hinweis-Banner, die überhaupt keine Auswahlmöglichkeit anbieten. Seitdem „verschönern“, insbesondere auf Smartphones besonders lesefreundlich, größere und natürlich bessere Banner die Websites. Getreu nach dem Motto: alles für die (datenschutzkonforme) Einwilligung.

Was sagt nun der BGH?

Ließ der BGH jetzt die Cookie-Bombe fallen oder handelt es sich hier eher um ein zu erwartendes „Bömbchen“? Viel Neues bringt das heutige Urteil aus Karlsruhe nicht. Zwar liegt bisher nur die Pressemitteilung vor und die vollständige Urteilsbegründung wird wohl noch etwas auf sich warten lassen, aber wir wissen bereits Folgendes:

„Die Einholung der Einwilligung mittels eines voreingestellten Ankreuzkästchens war nach der bis zum 24. Mai 2018 geltenden Rechtslage – also vor Geltung der Verordnung (EU) 2016/679 [DSGVO] – im Sinne von § 307 Abs. 2 Nr. 1 BGB mit wesentlichen Grundgedanken des § 15 Abs. 3 Satz 1 TMG unvereinbar.“

„§ 15 Abs. 3 Satz 1 TMG ist mit Blick auf Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG in der durch Art. 2 Nr. 5 der Richtlinie 2009/136/EG geänderten Fassung dahin richtlinienkonform auszulegen, dass für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist.“

Eine nationale Norm richtlinienkonform auszulegen heißt, dass bei mehreren möglichen Deutungsmöglichkeiten eines Gesetzestextes diejenige gewählt wird, die dem dahinter stehenden europäischen Recht – in diesem Fall der Art. 5 Abs. 3 der RL 2002/58/EG – zur vollen Wirksamkeit verhilft. Zur Erinnerung dieser fordert von den EU-Mitgliedsstaaten sicherzustellen, dass der Nutzer für das Speichern von und Zugreifen auf Informationen in seinem Endgerät (es geht also nicht nur um Cookies) aufgrund von klaren und umfassenden Informationen seine Einwilligung erteilt hat. Dies ist ausnahmsweise entbehrlich, wenn das Speichern und Zugreifen unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen.

Durch den „Trick“ der richtlinienkonformen Auslegung sind die Vorgaben der europäischen Richtlinie und das eingangs beschriebene EuGH-Urteil nun auch in Deutschland wirksam, ohne das der Gesetzgeber tätig werden muss. Unter Juristen herrschte seit langem Streit darüber, ob dies möglich ist oder der § 15 Abs. 3 Satz 1 TMG nicht vielmehr als europarechtswidrig einzustufen ist, weil er scheinbar dem Art. 5 Abs. 3 der RL 2002/58/EG widerspricht. So heißt es auch weiter in der Pressemitteilung:

„Der richtlinienkonformen Auslegung des § 15 Abs. 3 Satz 1 TMG steht nicht entgegen, dass der deutsche Gesetzgeber bisher keinen Umsetzungsakt vorgenommen hat. Denn es ist anzunehmen, dass der Gesetzgeber die bestehende Rechtslage in Deutschland für richtlinienkonform erachtete. Mit dem Wortlaut des § 15 Abs. 3 Satz 1 TMG ist eine entsprechende richtlinienkonforme Auslegung noch vereinbar.“

Demnach ist § 15 Abs. 3 Satz 1 TMG richtlinienkonform auszulegen und auslegbar. Der BGH positioniert sich hier mit einer Auffassung, die man nur noch als pragmatisch bezeichnen kann. Zu unterstellen, dass der deutsche Gesetzgeber davon ausgegangen ist, § 15 TMG sei richtlinienkonform, wenngleich der Wortlaut der Norm im Vergleich zur Richtlinie kaum in Einklang gebracht werden kann, ist schon sportlich.

„An dieser Rechtslage hat sich seit dem 25. Mai 2018, dem ersten Geltungstag der Verordnung (EU) 2016/679, nichts geändert, weil diese Verordnung nach ihrem Art. 95 die Fortgeltung des § 15 Abs. 3 Satz 1 TMG als den Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG umsetzende nationale Regelung unberührt lässt.“

Auch wenn das Verfahren gegen Planet 49 bereits 2014 begonnen hat und sich die Rechtslage auch durch die Anwendung der DSGVO seit Mai 2018 verändert hat, seien die rechtlichen Konsequenzen laut BGH unverändert. Diese fast nebenbei gemachte Feststellung könnte zumindest in diesem Bereich zur Rechtssicherheit beitragen.

Ist diese Entscheidung die #cookiecalypse?

Bereits nach dem Urteil des EuGHs proklamierte vor allem die Marketingbranche den Cookie-Tod. Aber scheinbar ist das Cookie resilienter als erwartet und das Online-Marketing ist bisher auch nicht untergegangen. Selbstverständlich erschweren erhöhte Einwilligungserfordernisse die Arbeit von Websitebetreibern, die versuchen ihre Inhalte durch Werbung zu refinanzieren. Erfreulich für die Branche ist, dass das Urteil zur Rechtssicherheit beträgt. Denn einerseits ist klar, wer zu Werbezwecken und zur Profilbildung umfangreich tracken möchte, benötigt nunmehr eine Einwilligung durch opt-in. Anderseits muss für unbedingt zur Erbringung der Dienste erforderliche Cookies keine Einwilligung eingeholt werden. Dies sind nach Ansicht der Aufsichtsbehörden auf jeden Fall: User-Input-Cookies, Authentifizierungscookies, nutzerorientierte Sicherheitscookies, Multimedia-Player-Sitzungscookies, Lastverteilungs-Sitzungscookies und Cookies zur Anpassung der Benutzeroberfläche. Aber bisher gibt es keine abschließende, verbindliche Liste über unbedingt erforderliche Cookies.

Das sich in diesem Bereich auch noch viel Gestaltungsspielraum finden lässt, zeigen die unterschiedlichen Ausformungen von Cookie-Bannern im Netz. Diese Taschenspielertricks beruhen z.T. auch auf der Tatsache, dass notwendige Cookies einwilligungsfrei bleiben und nicht geklärt ist, ob Webanalyse in engen Grenzen nicht als notwendig eingestuft werden kann. Insofern sich ein Verantwortlicher für das Einholen einer Einwilligung entscheidet, sollte er hierbei auf einer wirksame Umsetzung achten, da die Anforderungen der DSGVO hoch sind. Abschließend ist nochmals darauf hinzuweisen, dass obwohl die Pressemitteilung nur von Cookies spricht aufgrund des Wortlauts der Richtlinie, auch andere Technologien (z.B. Fingerprinting, Pixel, Tags oder auch Web-Beacons) von diesem Urteil tangiert sind.

Und auch wenn die Werbeindustrie nicht einfach so weitermachen kann wie zuvor (zumindest, wenn sie keine Konsequenzen befürchten möchten), stehen ihren Interessen nicht weniger als die Grundrechte der Betroffenen auf informationelle Selbstbestimmung gegenüber. Ein Schutzziel das es sich lohnt auch bei unbequemen Folgen zu vertreten, oder?


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: BGH: Das gilt nun beim Einsatz von Cookies für Websitebetreiber.

Verantwortung der Agenturen für den Datenschutz einer Website (Stichwort: Mängelfreiheit!)

Liebe Leser! Homepage-Betreiber sollten Dienstleister und Web-Agenturen gerne auch mal kritisch würdigen und verlassen sich leider manchmal zu sehr auf diese. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Verantwortung der Agenturen für den Datenschutz einer Website

Verantwortung der Agenturen für den Datenschutz einer Website

Eine Website muss den gesetzlichen Vorgaben und insbesondere der DSGVO genügen. Dieser Beitrag beleuchtet unter anderem die Verantwortung der Agenturen für die datenschutzkonforme Erstellung der Website.

Voraussetzungen für eine datenschutzkonforme Website

Immer wieder und gerade jetzt nach dem BGH-Cookie-Urteil muss man feststellen, dass bei manchen Agenturen das Verständnis für die DSGVO und den eigenen Verantwortungsbereich fehlt. Oftmals wissen diese gar nicht, welche Cookies, Tracking-Tools, Pixels, Web-Beacons etc. in den Websites verbaut werden. Diese Unkenntnis schlägt sich auf den Auftraggeber durch, er bleibt mit dem Problem eine rechtssichere, d.h. vollständige, Datenschutzerklärung auf der Website zu implementieren, allein zurück.

Voraussetzungen aus anderen Rechtsgebieten

Neben den rechtlichen Gesichtspunkten aus der DSGVO gibt es auch aus anderen Rechtsgebieten Voraussetzungen für eine rechtskonforme Umsetzung einer Website. Unter anderem ist zu klären,

  • ob es zu Kollisionen mit Dritten in Bezug auf den Domainnamen kommt?
  • ob die erforderlichen Lizenzen für die Inhalte Dritter vorhanden sind?
  • ob bei verwendeten Bildern die Urheberkennzeichnung existiert?

Datenschutzrechtliche Vorgaben

Zudem gibt es auch einige wesentliche Datenschutzvorgaben, die für eine rechtssichere Gestaltung der Website zu beachten sind.

1. Verschlüsselte Datenübermittlung

Auf der Website ist für eine verschlüsselte Übermittlung der Daten zu sorgen, wie dies in Art. 32 DSGVO als Sicherheitsmaßname ausdrücklich angeführt wird. Als Mindeststandard hat sich die Transportverschlüsselung mit HTTPS etabliert. Bei Kontaktformularen und ähnlichem ist eine Transport- und Inhaltsverschlüsselung geboten.

2. Rechtssicheres Impressum

Jede Website benötigt ein Impressum. Dies gilt grundsätzlich auch für Websites, die sich noch im Aufbau oder in der Wartung befinden. Die geschäftliche Tätigkeit, die die Impressumpflicht auslöst, kann auch darin gesehen werden, dass der Besucher nach dem Abschluss der Wartungsarbeiten, wieder auf die Seite zurückkehren soll.

Zu den Mindestvoraussetzungen eines rechtssicheren Impressums nach § 5 TMG gehören:

  • Name und ladungsfähige Anschrift des Verantwortlichen ggf.mit dem juristischen Vertreter bei juristischen Personen
  • Kontakt- bzw. Kommunikationsdaten, d.h. auch die elektronische Post
  • Handelsregister / Genossenschaftsregister / Partnerschafts- oder Vereinsregister
  • soweit vorhanden Umsatzidentifikations- oder Wirtschaftsidentifikationsnummer
  • ggf. auch berufsständische Informationen

3. Datenschutzerklärung

Diese muss den Vorgaben aus Art. 13 DSGVO entsprechen. Folgende Punkte sind jedoch zwingend enthalten:

  • Kontaktdaten des Verantwortlichen gem. Art. 4 Nr. 7 DSGVO und des Datenschutzbeauftragten
  • Informationen über die Daten, die verarbeitet werden
  • Zweck der Datenverarbeitung
  • Rechtsgrundlage hierfür aus Art. 6 DSGVO
  • Empfänger der Daten (hierunter fallen auch Cookies, Tracking Tools, Social Media Komponenten)
  • Übermittlung an Drittländer
  • Informationen zu den Rechten der Nutzer nach Art. 12 ff DSGVO

4. Cookie-Consent-Banner
Ein Cookie-Consent-Banner ist mittlerweile unabdingbar. Dieses muss gleich beim erstmaligen Öffnen der Website erscheinen und darf den Zugang zur Datenschutzerklärung und Impressum nicht verdecken oder behindern. Vor der aktiven und informiert erteilten Einwilligung des Betroffenen dürfen nur die für die Funktionsfähigkeit der Website essentiell erforderlichen Cookies gesetzt werden. Empfehlenswert sind bereits am Markt erhältliche Consent-Management-Plattformen, die die Einwilligung und den Widerruf rechtssicher dokumentieren.

Folgende Gesichtspunkte muss der Cookie-Consent-Banner zwingend enthalten:

  • Einholen der Einwilligung
  • Benennung des Verantwortlichen
  • Zweck der Datenverarbeitung
  • Information über die Rechte des Betroffenen: hierfür bietet sich ein Link auf die Datenschutzerklärung an
  • Widerrrufsmöglichkeit der Einwilligung, die so einfach sein muss, wie die Erteilung
  • Auflistung und Auswahlmöglichkeit der Dienste, die verwendet werden. Für jeden der Dienste muss eine eigene Einwilligung eingeholt werden.

Wer ist für die Website verantwortlich?

1. Verantwortlicher nach DSGVO

Datenschutzrechtlich ist die Sache klar. Verantwortlich für die Website ist gem. Art. 4 Nr. 7 i.V.m. Art. 25 DSGVO der Websitebetreiber, auch wenn die Website von der Agentur erstellt wird und diese die Cookies, Tracking- und Analyse-Tools, Zählpixel, Web-Beacons etc. über den Programmierer implementieren hat lassen.

Problematisch ist, dass der verantwortliche Betreiber gar nicht weiß, welche Cookies durch die Agentur und den Programmierer verwendet werden. Oft sind die Agenturen hier auch sehr flapsig und behaupten, ohne es eigentlich zu wissen, dass keine weiteren, außer die schon dem Betreiber bekannten Cookies/Tracking-Tools verwendet werden.

Blindes Vertrauen ist hier nicht angeraten. Kontrolle ist besser! Es gibt auf dem Markt etablierte Tools mit deren Hilfe die Website seitens des Verantwortlichen auf Cookies etc. geprüft werden kann und man stellt oft genug fest, dass die Angaben der Agenturen nicht mit den tatsächlichen Gegebenheiten übereinstimmen.

Als Verantwortlicher sollte man seine Website auch regelmäßig überprüfen, denn ein Verstoß kann gem. Art. 83 DSGVO teuer werden und oftmals übersieht man bei Änderungen an der Website, dass dies Auswirkungen auf den Cookie-Consent-Banner und die Datenschutzerklärung hat. Zum anderen gilt es, die Agenturen in die Pflicht zu nehmen, damit die Informationen hierzu dem Websitebetreiber gesammelt und vollständig zur Verfügung gestellt werden.

2. Vertragliche Verantwortung der Agentur?

Bliebe zu klären, ob die Agentur vom Websitebetreiber zur Verantwortung gezogen werden kann, wenn die Website nicht datenschutzkonform ist, weil die Datenschutzerklärung nicht alle Cookies, Tracking-Tools etc. umfasst oder Analyse-Tools ohne Kürzung der IP-Adresse eingebaut wurden bzw. keine notwendige Einwilligung eingeholt wurde, weil der Verantwortliche gar nicht wusste, dass ein einwilligungsbedürftiges Tool verwendet wurde.

In den meisten Fällen wird es sich bei dem Vertrag zur Erstellung einer Website zwischen dem Websitebetreiber und der Agentur um einen Werkvertrag und den sich hieraus ergebenden Verpflichtungen gem. §§ 631, 633 BGB handeln.

Beschaffenheitsvereinbarung im Werkvertrag
Wird zwischen dem Verantwortlichen und der Agentur in dem Werkvertrag vereinbart, dass die Website datenschutzkonform zu erstellen ist, dann dürfte für die rechtskonforme Einbindung von Tools die Agentur aufgrund der fehlenden Beschaffenheit nach § 633 Abs. 2 Nr. 1 BGB einzustehen haben. Eine Vereinbarung über die Datenschutzkonformität dürfte meist jedoch nicht explizit getroffen worden sein.

Übliche Beschaffenheit nach Art des Werkes
Häufiger hingegen wird vereinbart, dass die Website dem „Stand der Technik“ entsprechen soll. Darunter versteht man eine funktionale zweckgerichtete Qualitätsaussage zu einer technischen oder organisatorischen Maßnahme gem. Art. 25 Abs. 1 DSGVO. Keinesfalls ist hiermit der neueste und beste Entwicklungsstand der Technik gemeint, vielmehr jedoch muss zum Übergabezeitpunkt die Technik einen Stand aufweisen, der auf einem neuesten von Technik und Wissenschaft gesicherten Erkenntnisstand beruht und in der Praxis ausreichend verbreitet ist. Im Übrigen kann auch nur eine datenschutzkonforme Website von mittlerer Art und Güte, d.h. eine Beschaffenheit aufweisen, die üblicherweise von dem Besteller bei derartigen Werken gem. § 633 Abs. 2 S. 2 Nr. 2 BGB erwartet werden kann.

Wie oben dargelegt richtet sich die DSGVO an den Verantwortlichen als Normadressat, allerdings hat dieser oftmals gar keine Ahnung, was die Agentur und der Programmierer in der Website einbauen und kann so gar nicht einschätzen, ob Privacy by Design und Privacy by Default eingehalten sind. Die Agentur ist jedoch indirekt nach den Grundsätzen des Art. 25, 32 DSGVO i.V.m. ErwG 78 verpflichtet, grundsätzlich die Website nach dem Stand der Technik herzustellen d.h. den Datenschutz zu berücksichtigen, so dass sie im Einzelfall durchaus belangt werden kann.

Vertraglich vorausgesetzte Eigenschaft
Die nicht datenschutzkonforme Erstellung der Website könnte auch einen Mangel nach § 633 Abs. 2 S.2 Nr. 1 BGB darstellen, denn eine Website, die nicht der DSGVO entspricht, darf nicht betrieben werden. Lt. Rechtsprechung gehört es zu den Aufgaben der Agentur, die vorgeschlagene Werbung auf die Zulässigkeit zu prüfen und den Verantwortlichen auf bedenkliche Werbemaßnahmen hinzuweisen. In der Konsequenz und gedanklichen Fortführung fällt darunter auch die Ausgestaltung der Website, so dass nicht richtig eingebundene Tools, durchaus einen von der Agentur zu vertretenden Mangel darstellen können.

Was ist zu tun?

Die Agenturen sind daher gehalten Ihr Wissen und Know-How, auch auf gewisse datenschutzrechtliche Belange hin, auszubauen, ebenso wie die Verantwortlichen gehalten sind, bei der Auswahl und Vertragsgestaltung mit den Agenturen mehr das Augenmerk darauf zu legen, dass die Agenturen in diesem Bereich Hilfestellung bieten und den Verantwortlichen nicht im Regen stehen lassen.


Gefällt Ihnen der Beitrag?

Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING

Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Verantwortung der Agenturen für den Datenschutz einer Website.

Ein Foto und man ist sofort Sexualgefährder (?!?)

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Ein Foto und man ist sofort Sexualgefährder

Ein Foto und man ist sofort Sexualgefährder

Ein Foto wurde einem Rentner zum Verhängnis. Weil er ein Foto einer Hüpfburg schoss, geriet er ins Visier bayerischer Polizeibeamter. Das Einschreiten des Bayerischen Landesdatenschutzbeauftragten Prof. Thomas Petri beweist: Die bayerische Polizei hat es nicht so mit Datenschutz.

Ganz schön eskaliert

Auf dem Spielplatz war sicherlich die Hölle los: Auf der einen Seite besorgte Eltern, skeptische Polizisten – und auf der anderen ein völlig verblüffter älterer Herr. Was ihm zur Last gelegt wurde? Nein, nicht etwa Drogenschmuggel – um einen Sexualgefährder solle es sich handeln, der es auf Kinder abgesehen habe!

Zu dieser Erkenntnis kamen Besucher des gut besuchten Spielplatzes, nachdem der 78-jährige Rentner die dort aufgestellte Hüpfburg – auf welcher zu diesem Zeitpunkt Kinder sprangen – fotografierte. Beim Vorbeifahren mit seinem Fahrrad hatte er die Hüpfburg gesehen und wollte sie seinem Enkel zeigen. Ein Foto. Nicht mehr und nicht weniger. Aufgebrachte Eltern riefen die Polizei.

Als der Rentner die Polizeidienststelle nach mehreren Stunden und „eindringlicher Ansprache“ verließ, waren die Ermittler um einen Datensatz reicher: Sie hatten die Identität des angeblichen Gefährders festgestellt, seine Fingerabdrücke genommen und seine DNS mittels Mundhöhlenabstrich gewonnen. Die Polizeibeamten verfügten über seine Aussage sowie sein Mobiltelefon. All diese Informationen wurden unter der Prämisse gespeichert, der ältere Herr könne gegenüber Kindern ein sexuelles Interesse haben.

Doch noch nicht Ende Gelände: Die Polizisten leiteten den Datensatz an ein für Sexualdelikte zuständiges Kommissariat weiter, welches – Überraschung! – schlussfolgerte, dass keinerlei Hinweise auf eine sexuelle Motivation des Fotografierenden vorlagen. Grund genug, den Datensatz zu löschen, oder? Tja, nicht für die Polizei. Die Daten blieben auf Landes- sowie Bundesebene für die polizeiliche Gefahrenabwehr gespeichert, trotz Auskunfts- und Löschungsantrags des Betroffenen an das Bayerische Landeskriminalamt.

Verzweifelt wandte sich der betroffene Herr an den Bayerischen Landesbeauftragten für den Datenschutz, Prof. Thomas Petri. Dieser intervenierte – und siehe da, die bayerische Polizei schritt endlich löschend zur Tat!

Polizei – dein Freund und Helfer?

Meist ist nicht alles Gold was glänzt. So ist es auch hier: Die (bayerische) Polizei kann sich irren, manchmal fatal. Doch wenn sie es tut, dann sollte sie es zumindest zugeben, versuchen Wiedergutmachung zu leisten. Dazu gehört auch, Daten Betroffener zu löschen, deren Speicherung nicht mehr erforderlich ist.

Von Gefahrenabwehrrecht keine Ahnung

Die bayerische Polizei handhabt das Thema Datenschutz bei der Gefahrenabwehr auf spezielle Art und Weise – nämlich kreativ. Nicht lange ist es her, da nutzte sie ein DNA-Analyse-Schlupfloch, um die Strafprozessordnung zu umgehen. Im vorliegenden Fall gingen die Polizeibeamten etwas, sagen wir mal, unüberlegter vor: Sie verstießen nicht nur gegen eine datenschutzrechtliche Löschpflicht, sondern auch gegen Polizeirecht. Peinlich…

Bereits bei Aushändigung der Rechtsbelehrung für die Speichelentnahme tappte die bayerische Polizei ins Fettnäpfchen: Sie verwies auf eine nicht zutreffende Rechtsgrundlage nach der StPO. Für juristisch Geschulte ist der Fauxpas offensichtlich – die Polizei handelte präventiv, nicht repressiv, sodass nicht die StPO, sondern das BayPAG einschlägig ist. Hört sich unspektakulär an, da liegen aber Welten dazwischen! Die Strafprozessordnung ist nur dann heranzuziehen, wenn bezüglich einer im Raum stehenden, bereits vorliegenden Straftat ermittelt wird. Zu einer solchen ist es aber gar nicht gekommen, die Polizei wollte diese verhindern. Von einem Polizisten sollte man zumindest erwarten können, dass er den Unterschied zwischen Strafverfolgung und Gefahrenabwehr kennt…

Apropos Gefahrenabwehr – wie sieht es eigentlich damit aus? Haben sich die Ermittler an die Vorgaben des Bayerischen Polizeiaufgabengesetzes gehalten? Welch ein Wunder, nein! Erkennungsdienstliche Maßnahmen und Mundhöhlenabstriche dürfen nach Art. 14 Abs. 1, 2 und 3 BayPAG zur Abwehr einer Gefahr eingesetzt werden. Moment mal, welche Gefahr? Voraussetzung für die Abnahme eines Fingerabdrucks und der Speichelprobe ist die konkrete Gefahr, dass einem Rechtsgut bei ungehindertem Geschehensablauf in naher Zukunft ein Schaden zugefügt wird. Davon kann hier nicht die Rede sein!

Schneller als die Polizei erlaubt? Wohl kaum!

So geschwind, wie Lucky Luke seinen Revolver zieht, handeln die Polizeibeamten hierzulande nicht. Erst recht nicht, wenn es darum geht, Datensätze erfasster Personen zu löschen. Merkwürdig, da Art. 54 Abs. 1 und 2 BayPAG regeln, wann gelöscht werden muss:

(1) Die Polizei kann personenbezogene Daten in Akten oder Dateien speichern und anderweitig verarbeiten, soweit dies zur Erfüllung ihrer Aufgaben, zu einer zeitlich befristeten Dokumentation oder zur Vorgangsverwaltung erforderlich ist.

(2) 1Die Polizei kann insbesondere personenbezogene Daten, die sie im Rahmen strafrechtlicher Ermittlungsverfahren oder von Personen gewonnen hat, die verdächtig sind, eine Straftat begangen zu haben, speichern und anderweitig verarbeiten, soweit dies zur Gefahrenabwehr, insbesondere zur vorbeugenden Bekämpfung von Straftaten erforderlich ist. 2Entfällt der der Speicherung zugrunde liegende Verdacht, sind die Daten unverzüglich zu löschen…

Man könnte meinen, das wäre eindeutig. Ohne Verdacht keine Speicherung mehr, basta. Wie Herr Prof. Petri in seinem jüngst veröffentlichten Tätigkeitsbericht für das Jahr 2019 beschreibt, bewertete die Polizei ihre Pflicht zu seinem Erstaunen ganz anders: Man lösche auf Antrag – contra legem, da die Löschpflicht von Amts wegen besteht!

Doch damit nicht genug: Das Bayerische Landeskriminalamt wies das Löschbegehren des Rentners ab, weil Wiederholungsgefahr bestünde. Obwohl der Betroffene keine gezielten Aufnahmen von Kindern gefertigt hatte, nichts auf eine sexuelle Motivation hindeutete und von Anfang an keine konkrete Gefahr bestand, soll sich die nicht existente Gefahr wiederholen können?

Zu diesem Datenschutzverständnis passt, dass fast ein Drittel der Bundesländer die Richtlinie zum Datenschutz in der Strafverfolgung noch nicht umgesetzt haben – weshalb die EU-Kommission nun ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet hat. Wieso sich auch an Datenschutz halten, wenn schon die Regierungen drauf pfeifen?

Warum uns das interessieren sollte

Wieso hier so ein Fass aufmachen? Ist doch nur ein Einzelfall – nein, eben nicht! Wer weiß, in welchen dunklen Ecken trotz Löschpflicht noch tausende von Datensätzen weiterhin vor sich hinschlummern. Der sorglose Umgang mit Daten könnte sich alltäglich wiederholen, für die Betroffenen unsichtbar, verborgen. Wem nicht bekannt ist, dass seine Daten von der Polizei gespeichert werden, der wird wohl kaum Anträge auf Löschung stellen.

Noch dazu handelt es sich um sensible Daten – werden diese aus Versehen öffentlich, leidet die Reputation, die berufliche Tätigkeit, das Privatleben darunter. Einmal als Pädophiler, Sexualstraftäter, Betrüger oder sonstiger Krimineller gebrandmarkt, Ende. Es gibt kein Zurück, der Schaden ist angerichtet.

Und nein, der Datenschutz zielt nicht darauf ab, Täter zu schützen. Das Datenschutzrecht gilt für alle, ob Heiland, unschuldig in Verdacht Geratener oder Straftäter. Würde „zum Wohle aller“ im Polizeialltag auf Datenschutz verzichtet, wüsste spätestens nach der nächsten Alkoholkontrolle das halbe Dorf, dass Sie gerne einen über den Durst trinken – da könnten Sie sich auch gleich ein Schild mit ihren privatesten Geheimnissen umhängen.

Außerdem: Wenn das Fotografieren von Kindern in völlig unverfänglichen Situationen ausreicht, um möglicherweise auf ewig als sexueller Gefährder gespeichert zu werden – darf man dann überhaupt noch Fotos auf Kindergeburtstagen machen? Klassenfotos? Oder müssen die Fotografen in ständiger Sorge leben, jederzeit abgeführt, bloßgestellt und dauerhaft als gefährlich erfasst zu werden? Sie haben ein Foto geknipst, her mit Ihrer DNA!

Wie Pippi Langstrumpf

Manchmal scheinen (bayerische) Polizeibeamte keinen Gedanken an das Datenschutzrecht zu verschwenden – wieso denn auch, wenn man tun und lassen kann was man will, solange man den Stempel „Gefahrenabwehr“ darauf drückt? Schon Pippi Langstrumpf wusste, wie es sich am besten leben lässt: kunterbunt, chaotisch, frei nach Schnauze.

Verstehen Sie mich nicht falsch, ich habe nichts gegen die Polizei und/oder Bayern, im Gegenteil. Ein Großteil der Polizisten verhält sich gesetzestreu. In einem Rechtsstaat sind der Polizei aus gutem Grund (Datenschutz-)Grenzen gesetzt – nun gilt es, diese stets und nicht nur in der Regel einzuhalten.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Ein Foto und man ist sofort Sexualgefährder.

iOS & Co: Apple schließt Sicherheitslücken – BSI gibt Entwarnung für Mail

Bild: Muhammad Ribkhan über Pixabay

Liebe Leser! Offenbar hat Apple seine Mail-App tatsächlich gefixt. Das BSI bestätigt dies. Viel Spaß beim Lesen des Artikels!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: iOS & Co: Apple schließt Sicherheitslücken – BSI gibt Entwarnung für Mail

iOS & Co: Apple schließt Sicherheitslücken – BSI gibt Entwarnung für Mail

Apple-Nutzer sollten die Betriebssystem- und App-Updates des Herstellers umgehend einspielen, sie beseitigen eine lange Liste teils kritischer Schwachstellen.

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: heise online (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: iOS & Co: Apple schließt Sicherheitslücken – BSI gibt Entwarnung für Mail.

Bild: Muhammad Ribkhan über Pixabay

DSGVO Zertifizierung – ein langer Weg! (und nicht immer aus der Abteilung “Lug und Trug”)

Zertifikate sind als “externes Prüfsiegel” ein guter Weg um Vertrauen zu generieren und Verlässlichkeit nach festgelegten Standards zu belegen. Der Weg ist oft weit und manchmal steinig um ein Zertifikat zu erlagen. Es wird sich auch im Datenschutz lohnen, wenn das Vorhandensein von Zertifikaten mehr und mehr zur “Einkaufsbedingung” wird. Und, es erleichtert auch die Auswahl der eigenen Dienstleister und Partner!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: DSGVO Zertifizierung – ein langer Weg!

DSGVO Zertifizierung – ein langer Weg!

Zertifikate bieten Sicherheit und Vertrauen. Sie ermöglichen einen schnellen, ersten Vergleich zwischen Unternehmen. In vielen Bereichen werden regelmäßig Zertifikate vergeben. Obwohl auch die DSGVO ausdrücklich ein Zertifizierungsverfahren vorsieht, lassen die DSGVO-Zertifikate bisher noch auf sich warten.

Chancen und Auswirkungen einer DSGVO Zertifizierung

Durch die Erlangung eines DSGVO-Zertifikats beweist ein Unternehmen, dass es bestimmte datenschutzrechtliche Anforderungen erfüllt.

Vorteile der Zertifizierung

Gemäß Art. 42 Abs. 1 DSGVO obliegt es den Mitgliedstaaten, Aufsichtsbehörden und dem Ausschuss der Europäischen Kommission, insbesondere auf Unionsebene, die Einführung von datenschutzspezifischen Zertifizierungsverfahren zu fördern. Die Vorteile einer Zertifizierung sind im Erwägungsgrund 100 treffend zusammengefasst: Mittels Zertifizierungen wird die Transparenz gefördert, die Einhaltung der DSGVO verbessert und ein rascher Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen geschaffen.

Durch Zertifizierungen gelingt es Unternehmen die Einhaltung der DSGVO für bestimmte Verarbeitungsvorgänge nachzuweisen und somit ihren Marktwert zu steigern. Da sich die Zertifizierung immer nur auf Verarbeitungstätigkeiten bezieht, kann durch sie jedoch nicht eine umfassende DSGVO-Konformität für ein Unternehmen bestätigt werden.

Rechtliche Konsequenzen einer Zertifizierung

Eine Zertifizierung begründet ein Vertragsverhältnis zwischen der Zertifizierungsstelle bzw. der Aufsichtsbehörde und dem zertifizierten Unternehmen. Neben der Verpflichtung eines Unternehmens sich im Allgemeinen an die Anforderungen der DSGVO zu halten, ist ein zertifiziertes Unternehmen ebenso verpflichtet die Anforderungen der Zertifizierung für die vorgesehene Dauer einzuhalten.

Ein Zertifikat ermöglicht es dem Verantwortlichen seine Nachweis- und Rechenschaftspflichten (Art. 24 Abs. 3, 5 Abs. 2 DSGVO) zu erfüllen oder dem Auftragsverarbeiter ein „Faktor“ vorzulegen, um hinreichende Garantien für eine ordnungsgemäße Durchführung einer Auftragsverarbeitung (Art. 28 Abs. 5 DSGVO) nachzuweisen. Auch bei der Festlegung der Höhe einer Geldbuße kann eine Zertifizierung Berücksichtigung finden (Art. 83 Abs. 2 lit. j DSGVO)

Ablauf eines Zertifizierungsverfahrens

Der Ablauf eines Zertifizierungsverfahrens ist sehr komplex und wird in Art. 42 und 43 DSGVO geregelt. Die Erteilung einer Zertifizierung erfolgt durch die Zertifizierungsstelle oder durch die zuständige Aufsichtsbehörde. In Deutschland werden die Zertifizierungsstellen von der deutschen Akkreditierungsstelle (DAkkS) akkreditiert und kontrolliert. Die Kriterien nach welchen eine Zertifizierung erteilt wird, werden von der zuständigen Aufsichtsbehörde oder dem EDSA genehmigt.

Eine bereits erteilte Zertifizierung wird regelmäßig überprüft und kann ggfs. widerrufen werden. Die Dauer einer Zertifizierung beträgt maximal drei Jahre. Eine Möglichkeit zur Verlängerung besteht immer dann, wenn die einschlägigen Kriterien weiterhin erfüllt sind.

Aktuelle Entwicklungen

Der europäische Datenschutzausschuss (EDSA) hat im Juni 2019 „Leitlinien 1/2018 zur Zertifizierung und zur Ermittlung von Zertifizierungskriterien gemäß Artikel 42 und 43 der Verordnung“ veröffentlicht. Die Leitlinien erläutern die Rollen am Zertifizierungsverfahren Beteiligten und legt Anforderungen und Kriterien für die Erteilung einer Zertifizierung fest.

Vor der DSGVO bestand auf Landesebene teilweise die Möglichkeit einer datenschutzrechtlichen Zertifizierung. Insbesondere die Datenschutzbehörde in Schleswig-Holstein (ULD) bot in der Vergangenheit die Möglichkeit einer Zertifizierung an. Seit Anwendbarkeit der DSGVO heißt es nun, dass geprüft werde, inwieweit eine Zertifizierung nach der DSGVO angeboten werden kann. Bisher gibt es in Deutschland noch keine Zertifizierungsstellen und noch keine DSGVO-Zertifikate i.S.v. Art 42 DSGVO, dies gilt auch für die Zertifizierung nach der ISO 27701 Norm.

Das ULD leitet aber auch seit der Anwendbarkeit der DSGVO weiterhin den Arbeitskreis Zertifizierung (AK Zertifizierung) der deutschen Datenschutzaufsichtsbehörden. In seinem Tätigkeitsbericht informierte man jüngst über dessen Arbeit und den Problemen bei der europäischen Koordination beim Verabschieden der Akkreditierungsregeln.

Ein langer Weg

Das Verfahren für die Erteilung von Zertifikaten ist sehr komplex. Insbesondere die Festlegung der Kriterien für die Zertifizierung ist äußerst zweischneidig. Einerseits müssen diese von Beginn an unmissverständlich und eindeutig sein und auf der anderen Seite noch genügend Flexibilität bieten, damit verschiedene Branchen und Unternehmen die Kriterien erfüllen können. Eine weitere Herausforderung stellen EU-weite Zertifizierungen dar, weil hier teilweise auch nationale Besonderheiten berücksichtigt werden müssen.

Sobald es für Unternehmen möglich ist, DSGVO-Zertifikate zu erlangen, wird sich zeigen, wie viele Unternehmen die datenschutzrechtlichen Anforderungen schon soweit implementiert haben, dass Ihnen ein Zertifikat tatsächlich erteilt wird. Für die Abgrenzung zu anderen Marktteilnehmern ist der Erhalt eines Zertifikats eine gute Möglichkeit.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: DSGVO Zertifizierung – ein langer Weg!.