Newsletter Archiv

Januar 2017

Sehr geehrte Damen und Herren,

ein spannendes Datenschutzjahr beginnt. In diesem Jahr werden wir sorgar noch intensiver mit Datenschutzthemen beschäftigen, das wird großartig.

Den nächsten Newsletter wird es im März 2017 geben, ich erhöhe den Takt, damit Sie sich nicht zu viele Sorgen zur Umsetzung der GVO machen. Sie schaffen das!

So, jetzt aber einiges wieder zum Lesen und Verwenden:

1. GVO und Anpassungsgesetz zur GVO

Jetzt geht es los! Das Bundesministerium des Innern (BMI) hat einen zweiten Entwurf eines Gesetzes zur Umsetzung der Europäischen Datenschutz-Grundverordnung (DSGVO) veröffentlicht. Mal sehen, wie viele Entwürfe noch kommen.

https://www.gdd.de/downloads/aktuelles/stellungnahmen/2.%20Entwurf_Stand_23.11.2016_DSAnpUG-EU.pdf

Natürlich bleibt die Bestellpflicht erhalten, auch der besondere Kündigungsschutz. Ach ja, nach der ersten Stellungnahme zum Amt des DSB von der Artikel29-Gruppe besteht KEINE persönliche Haftung des DSB

http://www.cedpo.eu/wp-content/uploads/2015/01/CEDPO-Follow-Up_Letter_on_WP_29_DPO-Guidelines_20170215.pdf

Anbei auch die GDD-Arbeitshilfe DSB nach der GVO

https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_1.pdf

Sehr guter einführender Aufsatz zur Personaldatenverarbeitung unter der EU-DS-GVO

http://www.jurpc.de/jurpc/show?id=20160075

Aktuell wie nie, das Standarddatenschutzmodell, jetzt vom Düsseldorfer Kreis im November nochmals Freigegeben. Lesen Sie Details zur Risikobewertung und Datenschutzfolgenabschätzung im Detail:

https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2013/02/SDM-Methode_V_1_0.pdf

Anbei auch die ersten Leitlinien der Artikel-29-Gruppe (da sollten Sie sich fast verlinken)

(http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083)

zur Datenübertragbarkeit nach der GVO:

http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp242_en_40852.pdf

http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp242_annex_en_40854.pdf

zur Tätigkeit des DSB nach der GVO:

http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf

http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_annex_en_40856.pdf

Übrigens auch hier die Feststellung, kein Schadensersatz oder Vertragsstrafe (Bestrafung) oder Kündigung bei Ausübung der Tätigkeiten des DSB, vgl. Ziff. 9

zur Stellung der Aufsichtsbehörden

http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp244_en_40857.pdf

http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp244_annexii_en_40858.pdf

2. Aktuelle Prüfung der Datentransfers durch Aufsichtsbehörden

Seit Mitte November versenden Datenschutzaufsichtsbehörden an Unternehmen Prüfungsfragen, ob und wie Datentransfers ins Nicht-EU-Ausland stattfinden. Checken Sie doch mal, ob Sie im grünen Bereich sind!

https://www.lda.bayern.de/de/international_audit.html

3. Schulungsideen zur GVO

Videos zur Datenschutzgrundverordnung finden Sie von Prof. Thomas Horen unter

http://www.uni-muenster.de/Jura.itm/hoeren/kategorie/podcasts/podcast-eu-dsgvo

Das ist eine coole Idee. Dies hat sich auf Weka gedacht, wir haben einigen Wochen ebenfalls 5 Podcast aufgenommen mit einzelnen Themen zur GVO. Demnächst mehr dazu.

4. Überblick zum Privacy-Shield

Es gibt keinen Grund, Datentransfers in die USA rechtlich in Frage zu stellen.

http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/20160726_wp29_wp_statement_eu_us_privacy_shield_en.pdf

Moralisch oder Angesichts der Sorge, dass Geheimdienste rechtlich jederzeit berechtigt sind, zuzugreifen, sicher. Ist Ihr Datenimporteur in den USA und Privacy-Shield-Listed, dann sind die Transfers legitim. Standardvertragsklauseln sorgen auf jeden Fall für mehr Transparenz.

Einen Überblick zu den Veröffentlichungen finden Sie unter

ttps://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzrecht/Inhalt/InternationalerDatenverkehr/Inhalt/Eingangsseite/EU_US_Privacy_Shield_Text_komplett.pdf

oder

https://www.gdd.de/aktuelles/startseite/eu-u-s-privacy-shield-verabschiedet

Zum internationalen Datentransfer hat die GDD eine Übersicht im Juli 2016 veröffentlicht.

https://www.gdd.de/downloads/aktuelles/whitepaper/gdd-whitepaper_drittlandstransfers_dsgvo_v0

5. Sehr abstrakt: Hinweise zur Rechtmäßigkeitsprüfung einer Videoüberwachung nach der DS-GVO

In der DS-GVO gibt es keine Regelung zur Videoüberwachung, wohl ist eine Datenschutz-Folgenabschätzung erforderlich. Wir werden mal sehen, auf jeden Fall gibt es ein kleines Dokument von der bay. Datenschutzaufsicht.

https://www.lda.bayern.de/media/baylda_ds-gvo_3_video_surveillance.pdf

Weitere Dokumente zur GVO unter

https://www.lda.bayern.de/de/datenschutz_eu.html

6. Brexit und Datentransfers nach UK

Hier warten wir ab. Entweder war England total clever, wenn die Vorteile des EWR weiter genutzt werden und die Pflichten aus der Mitgliedschaft in der EU wegfallen, damit sind Datentransfers völlig unproblematisch… oder es gibt einen Angemessenheitsbeschluss durch die Kommission. Also, egal, was kommt, Datentransfers werden nicht problematisch werden. Näheres unter

http://www.hiig.de/der-brexit-und-das-datenschutzrecht/

7. Stand der Technik bei der Absicherung der Telemediendienste (§ 13 Abs. 7 TMG)

Das Papier des BSI schlägt Maßnahmen vor, wie Telemediendienste gegen unerlaubten Zugriff auf technische Einrichtungen, Verletzung des Schutzes personenbezogener Daten sowie Störungen abgesichert werden können. Bei den vorgeschlagenen Maßnahmen wird jeweils der Stand der Technik berücksichtigt, d.h. dass die Eignung der Maßnahmen sich in der Praxis bewährt hat.

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/IT_SiG/Diskussionspapier_Absicherung_Telemediendienste.html;jsessionid=9017CA080C7F3759A2B1EFF2E99EABED.2_cid359

Dazu hat auch TeleTrusT ein Dokument 'Stand der Technik' veröffentlicht als Referenz für Vereinbarungen zu Sicherheitsmaßnahmen bzw. für die Einordnung implementierter Sicherheitsmaßnahmen.

https://www.teletrust.de/fileadmin/docs/fachgruppen/ag-stand-der-technik/TeleTrusT-Handreichung_Stand_der_Technik.pdf

8. Social Media Guideline

Die Gesellschaft für Informatik e.V. (GI) hat eine Leitlinie zum verantwortungsbewussten Umgang mit Social Media veröffentlicht.

https://www.gi.de/fileadmin/redaktion/Download/Social_Media_Leitlinie2016.pdf

9. Prüfkatalog Apps

Wer ihn noch nicht kennt: BayLDA hat einen Prüfkatalog für Apps veröffentlicht, stolze 17 Seiten zum Versand an die Designer und Entwickler.

Mit der Orientierungshilfe, die schon länger auf dem Markt ist, können Sie nun Ihre Marketingabteilung und deren Zulieferer ordentlich mit Arbeit versorgen. Angesichts der Vorgaben Privacy by Design oder Privacy by Default nach der GVO so aktuell wie selten.

https://www.lda.bayern.de/media/baylda_pruefkatalog_apps.pdf

10. Connected Car, Industrie 4.0 und rechtliche Fragen

Von der Bitkom gibt es einen wunderbaren Überblick:

Für welche Zwecke dürfen Produkt- und Produktionsdaten von wem und unter welchen Bedingungen genutzt werden?

Welche Datenschutzbestimmungen müssen im Umgang mit personenbezogenen Daten beachtet werden?

Welche Pflichten hat der Betreiber einer vernetzten Anlage in puncto IT-Sicherheit?

Und wer haftet im Falle einer Cyberattacke?

Diese Fragen werden beantwortet unter

https://www.bitkom.org/Presse/Presseinformation/Bitkom-veroeffentlicht-Leitfaden-zu-rechtlichen-Aspekten-von-Industrie-40.html

11. Datenschutzrechtliche Einwilligung mit Textbausteinen

Das ist schon älter, aber nochmal zur Wiederholung:

https://www.datenschutz-mv.de/datenschutz/publikationen/informat/formular/OH_Formular.pdf

12.

Die Datenschutzbeauftragten der Länder und des Bundes informieren über das Thema Cybermobbing und geben zahlreiche Datenschutztipps für die Nutzung von Facebook, YouTube, WhatsApp, Smartphones und Spielekonsolen.

http://www.youngdata.de/

13. Gleich weitergeben vor der Weihnachts-Urlaubszeit: Smartphone reisetauglich einrichten, Tipps unter

https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/IT-Sicherheit_Urlaubsvorbereitung.html

So, hoffentlich auf bald, Viele Grüße,

Ihr Wolfgang A. Schmid

Februar 2016

1. EU-DS-GVO

Die nächsten beiden Jahre werden von Halbwahrheiten und Statements zur Datenschutzgrundverordnung dominiert werden. Bleiben Sie hier bitte gelassen.

Die nunmehr ausgehandelte und finale Fassung finden Sie hier:

http://www.emeeting.europarl.europa.eu/committees/download.do?docUrl=http%3A%2F%2Fwww.europarl.europa.eu%2Fmeetdocs%2F2014_2019%2Fplmrep%2FCOMMITTEES%2FLIBE%2FDV%2F2015%2F12-17%2F3_consolidated_text_EN.pdf

Das Wichtigste gleich zu allererst:

In der DS-GVO ist Art. 35 Abs. 4 wieder, drin, also kann ein EU-Mitgliedstaat, z.B. Deutschland festlegen, wann die Bestellpflicht besteht. Sie werden damit nicht arbeitslos. Klar haben das bestimmte Verbände in Frage gestellt, um Aufmerksamkeit zu erhaschen. Dies ist jetzt geklärt.

Übrigens: Im Erwägungsgrund 81b und Art. 41 Abs. 3 und 4a der EU-DS-GVO ist die Forderung des EuGH nach einer regelmäßigen Überprüfung von Angemessenheitsentscheidungen bei Drittstaatentransfers eingearbeitet. Nur Standardvertragsklauseln wird spätestens ab 2018 ohne eigenständige Prüfung nicht mehr funktionieren.

Ach ja: Die Regelung des Arbeitnehmerdatenschutzes überlässt die DS-GVO weitgehend den Mitgliedstaaten. So können diese nach Art. 82 Abs. 1 DS-GVO "durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Arbeitnehmerdaten im Beschäftigungskontext" vorsehen. Wusste das eigentlich der Gesetzgeber, als er das Beschäftigtendatenschutzgesetz gestrichen hat, weil ja die DS-GVO in den Startlöchern war…?

Die aktuelle Fassung der EU-DS-GVO in deutscher Fassung finden Sie unter

https://www.bvdnet.de/fileadmin/BvD_eV/pdf_und_bilder/bvd-allgemein/EU-DSGVO/280116GRV-politische_Einigung_pdf.pdf

Eine abgestimmte Fassung wird im EU-Ministerrat am 21.4. zur Abstimmung kommen und danach durch das Europäische Parlament bestätigt werden. Das bedeutet, die GVO wird am 21.4.2018 Gültig werden.

2. EuGH zu SafeHarbor und wo stehen Sie gerade bei Ihrer Auditierung?

Wichtig sind zwei Überlegungen:

- Der EuGH hat nur über die Safe Harbor Grundsätze entschieden, so dass die Entscheidung keine direkte Auswirkung auf die Standardvertragsklauseln/Binding Corporate Rules haben kann, deren Gültigkeit durch diese Entscheidung grundsätzlich nicht in Frage gestellt ist.

- Weiter hat der EuGH klargestellt, dass die Kontrollstellen der Unionsmitgliedstaaten nicht befugt sind, die Ungültigkeit von Unionsrechtsakten festzustellen, wozu auch die Standardvertragsklauseln gehören.

BCR will kein Mensch vereinbaren, das liegt aber daran, dass bekanntermaßen zu wenig Erfahrung bei den Beratern hierin liegt, wird aber dadurch erledigt, da Aufsichtsbehörden ebenso wenig umfangreich Erfahrung haben und Standardvertragsklauseln vorschlagen.

Es kommen also derzeit nur Standardvertragsklauseln in Betracht, obwohl diese explizit dem Datenimporteur einräumen, wenn Dritte ihm die Bekanntgabe des Zugriffs untersagen, er dem Datenexporteur auch nichts mitteilen darf. Na klasse!

Über Facebook, Google Analytics etc. brauchen Sie derzeit nicht zu umfangreich nachdenken, das ist anderweitig zu lösen, über den unbekannten § 4c BDSG. Ob die Vertragsklauseln wirksam sind, braucht wenigstens nicht entschieden werden. Google Analytics gibt an, dass die Anonymisierung noch in Europa stattfindet.

Die Artikel 29 Gruppe will von der Kommission ab Februar Klarheit haben:

http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2015/20151016_wp29_statement_on_schrems_judgement.pdf

Das Positionspapier des ULD

https://www.datenschutzzentrum.de/uploads/internationales/20151014_ULD-Positionspapier-zum-EuGH-Urteil.pdf

erklärt, wegen der Schwachstelle in den Standardvertragsklauseln müssten diese sogar aufgekündigt werden… Das ULD übertreibt es mal wieder. Nachdem der EuGH bloße Erklärungen von ULDs nicht akzeptieren würde, müsste ein kompletter Instanzenweg abgearbeitet werden, bevor dies gilt.

Dennoch wollen die deutschen Datenschutz-Aufsichtsbehörden bis Ende Januar darüber entscheiden, ob die EU-Standardvertragsklauseln sowie die Binding Corporate Rules hinfällig sind. Bis dahin wollen sie gegen Unternehmen nicht gemeinsam vorgehen, haben die Behörden nun vereinbart, so berichtet Heise unter

http://www.heise.de/newsticker/meldung/Deutsche-Datenschutzbehoerden-pruefen-Safe-Harbor-Beschwerden-schon-jetzt-2852683.html

Also, zwei Dokumente sind wesentlich:

a. Zur erforderlichen Vorgehensweise in Ihrem Unternehmen lesen Sie bitte den Hinweis aus Hamburg

https://www.datenschutz-hamburg.de/uploads/media/Information_zum_Safe-Harbor-Urteil_des_Europaeischen_Gerichtshofs.pdf

b. Der Düsseldorfer Kreis hat sein Positionspapier veröffentlicht unter:

https://www.datenschutz.hessen.de/ft-europa.htm

Sie sollten jetzt wenigstens einen Überblick haben, wo Datentransfers stattfinden.

Nur noch der Vollständigkeit halber die Kommission vom 6.11.2015

http://europa.eu/rapid/press-release_IP-15-6015_de.htm

Privacy Shield

Mittlerweile haben sich die EU und USA auf ein "EU-US-Privatsphäre-Schild" geeinigt. Das Wort "Einigung" ist nach meiner Auffassung hier völlig unpassend.

"Erstmals hätten die USA der EU nun versprochen, den Zugriff ihrer Sicherheitsbehörden auf Daten von Europäern in amerikanischen Rechenzentren zu begrenzen.

Dazu werde es schriftliche Zusagen des nationalen Geheimdienstdirektors geben. Die USA würden einen Ombudsmann einführen, der beim Außenministerium angesiedelt sei."

Also, nichts weiter als Absichtserklärungen. Die EU-Kommission hatte lediglich versichert, dass das Büro des US-Geheimdienstkoordinators schriftlich zusichern wolle, dass die europäischen Daten nicht massenüberwacht würden.

Darüber hinaus hat Amerika ein Gesetz verabschiedet, dass es verbietet, die Arbeit der Geheimdienste zu erschweren.

Fristverlängerung für internationale Datentransfers - Warten auf's "Privacy Shield"

Am 3.2.2016 hat die Artikel 29 Datenschutzgruppe in ihrem Statement zu den Konsequenzen der "Safe Harbor"-Entscheidung des Gerichtshof der Europäischen Union zur Zulässigkeit internationaler Datentransfers bis zum Abschluss des "EU-US Privacy Shield" Abkommens geäußert. Danach sind die Verwendung von EU Standardvertragsklauseln oder von Binding Corporate Rules zumindest bis zum 29. Februar 2016 zulässig.

Die deutsche Fassung kann abgerufen werden unter

https://www.lda.bayern.de/media/a29wp-schrems_judgement_de.pdf

Diese Auffassung teilen auch deutsche Aufsichtsbehörden.

3. Datenschutzmodell passend zur EU-DS-GVO

Unter https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Standard-Datenschutzmodell/Standard-Datenschutzmodell.php

laden Sie mal das „Standard-Datenschutzmodell (SDM)“ als pdf runter. Dieses wurde am 1. Oktober 2015 von der Konferenz der Datenschutzbeauftragten des Bundes und der Länder verabschiedet und zur Anwendung empfohlen. Es soll einen systematischen und nachvollziehbaren Vergleich ermöglichen zwischen Sollvorgaben, die sich aus Normen, Verträgen, Einwilligungserklärungen und Organisationsregeln ableiten, und ihrer Umsetzung sowohl auf organisatorischer wie auch informationstechnischer Ebene in IT-Verfahren und -Systemen.

Interessant ist vor allem folgendes: Die EU-DS-GVO wird als Haupttätigkeitsbereich von Datenschützern mehr Dokumentation, mehr Risikobewertung abverlangen. Um hier eine Vorstellung zu erhalten, kann das Datenschutzmodell als Inspiration dienen.

Das Standard-Datenschutzmodell überführt datenschutzrechtliche Anforderungen in einen Katalog von Gewährleistungszielen,

gliedert die betrachteten Verfahren in die Komponenten Daten, IT-Systeme und Prozesse,

berücksichtigt die Einordnung von Daten in drei Schutzbedarfsabstufungen,

ergänzt diese um entsprechende Betrachtungen auf der Ebene von Prozessen und IT-Systemen und

bietet einen hieraus systematisch abgeleiteten Katalog mit standardisierten Schutzmaßnahmen.

4. Drohnen

Jetzt gibt es sogar einen Beschluss des Düsseldorfer Kreises zum Umgang mit Kameradrohnen für Private:

https://www.datenschutz-mv.de/datenschutz/publikationen/informat/drohnen/Drohnen.pdf

Informieren Sie Ihre Mitarbeiter, dass alle Weihnachtsgeschenke in dieser Richtung auf rechtliche Grenzen im grenzenlosen Himmel haben.

5. Google Einwilligungsverfahren

Dies hat nichts mit der EUGH-Rechtsprechung zu tun, vielmehr hat Google sein Einwilligungsverfahren in allen EU-Staaten schrittweise eingeführt. Spätestens seit Oktober erfasste es alle Nutzer von Google-Diensten. Kritisiert wurde, dass die Besitzer von Google-Accounts mit der Einwilligungserklärung unvorbereitet konfrontiert wurden. Mit der Einwilligung dürfen endlich rechtmäßig Nutzungsdaten in ein Profil zusammengeführt werden.

Ich hoffe, Sie schaffen es, außerhalb der Google Suche, die nicht betroffen ist, zu arbeiten. Viel Glück!

6. Für Ihre Marketingabteilung

Der BGH 15.12.2015, VI ZR 134/15 zur Unzulässigkeit von "No-Reply"-Bestätigungsmails mit Werbezusätzen:

"No-Reply"-Bestätigungsmails mit werblichem Inhalt können eine Verletzung des allgemeinen Persönlichkeitsrechts darstellen. Das gilt jedenfalls dann, wenn die Zusendung der E-Mail gegen den erklärten Willen des Verbrauchers geschieht.

7. Für Ihre Mitarbeiter

Unter https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Supervision/Guidelines/15-12-16_eCommunications_EN.pdf und

https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Supervision/Guidelines/15-12-17_Mobile_devices_EN.pdf

hat die Behörde des europäischen Datenschutzbeauftragten (European Data Protection Supervisor, EDPS) hat zwei Richtlinien für EU-Institutionen und -gremien herausgegeben: eine für persönliche Daten und elektronische Kommunikation und eine für mobile Geräte. Sie sollen den Verantwortlichen praktische Hinweise geben, wie sie ihre Kommunikationsprozesse organisieren und ihre E-Mail-Systeme, Internetanwendungen und Telefonie sicher betreiben können.

Wird es bald auch in Deutsch geben.

8. Für die Kinder Ihrer Mitarbeiter

Eine neue Seite des BundesFam http://www.surfen-ohne-risiko.net/materialien/

hat nützliches rund um „Gutes Aufwachsen mit Medien - Ein Netz für Kinder“

9. Datenschutzeinstellungen unter Windows 10

http://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2015/11/2015_okt-leitfaden-win-10.pdf

10. Neues zur Videoüberwachung:

Der Düsseldorfer Kreis hat eine Aktualisierung Orientierungshilfe „Videoüberwachung in öffentlichen Verkehrsmitteln“ veröffentlicht, es geht um den datenschutzgerechten Einsatz von optisch-elektronischen Einrichtungen in Verkehrsmitteln des öffentlichen Personennahverkehrs und des länderübergreifenden schienengebundenen Regionalverkehrs, Stand: 16.09.2015

https://www.datenschutz-mv.de/datenschutz/publikationen/informat/video/OH_Video_OEPNV.pdf

Oktober 2015

Sonderteil: EUGH erklärt Safe Harbor Regelung für ungültig – Was tun Sie jetzt als Datenschützer mit Ihrem Unternehmen, mit Kunden, die Datentransfers in die USA vornehmen?

Betroffen ist im Grunde jeder, der Cloud-Angebote, Social Media oder Internet-Werbung nutzt oder schaltet, Services in Anspruch nimmt, die von den Dienstleistern im Konzern auch in die USA transferiert werden. Nutzer von Salesforce, Microsoft, Cisco, IBM, etc. etc. sind betroffen

Zum Urteil geht’s hier: http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117de.pdf

Im Ergebnis wird festgestellt, dass durch Entscheidung der Kommission vom 26. Juli 2000, also die Feststellung, angemessenes Datenschutzniveau würde über Safe-Harbor gewährleistet werden, eine nicht gerechtfertigte Einschränkung besteht, die jetzt nicht mehr aufrechterhalten werden kann! Aus all diesen Gründen erklärt der Gerichtshof die Entscheidung der Kommission vom 26. Juli 2000 für ungültig.

Verhandlungen zu einem neuem Safe-Harbor-Abkommen laufen!

Seit 2013 laufen Verhandlungen zu einem überarbeiteten Safe-Harbor-Abkommen mit einem System effektiver Überwachungsmaßnahmen insbesondere bei der Neuregistrierung. Hier würden zwar die Regelungen zur Weitergabe von Daten an Subunternehmer durch US Unternehmen konkretisiert und die Haftung erhöht werden, nicht geklärt ist aber die Handhabung geheimdienstlicher Überwachungstätigkeit.

Dies hat der EuGH jetzt präzisiert mit dem Inhalt, dass die derzeitige Handhabung illegal ist.

Ihre Vorgehenseise ab jetzt:

Natürlich können Sie den fahrenden Zug der Datentransfers nicht anhalten. Ihre Geschäftsführung würde Sie erst mal rauswerfen.
Aufsichtsbehörden auf nationaler und europäischer Seite werden vermutlich eilig Lösungsansätze suchen.
Der Weg wird in Richtung weitere Erklärungen in Ergänzung zu Safe-Harbor seitens der USA-Dienstleister oder Konzernmutter-Unternehmen gehen.
Nachdem schon vor vielen Jahren der Düsseldorfer Kreis als Präzisierung zu Safe-Harbor Ergänzungen gefordert hat und mittelbar Standardvertragsklauseln auf der Wunschliste hatte, wird eine weitere Absicherung mit TOMS, Verfahrensbeschreibungen das Ergebnis sein.

Bitte nehmen Sie mit mir Rücksprache auf! Wir ergänzen bestehende Safe-Harbor-Vertragsverhältnisse. Bezogen auf die NSA-Problematik werde ich Ihnen einige Sicherungsvorkehrungen und Vorgaben an den Dienstleister vorschlagen.

OK. Das Nachfolgende ist leider im Vergleich zur EUGH-Entscheidung nicht mehr so der Kracher, aber hilfreich gleichwohl.

Ich habe auch diesmal wieder Einiges zum Lesen und Verwenden gefunden. Viel Vergnügen!

1. Die bay. Datenschutzaufsicht hat neues Merkblatt zum Bereich Direktmarketing am 27.7.2015 veröffentlicht. Interessant ist die Information zur personalisierten Bannerwerbung im Internet. Interessant vor allem ist der Hinweis, dass die Einwilligung für E-Mail-Werbung bei Neukunden mit Opt-in reicht, nur bei Newsletter ist das Double-opt-in erforderlich.

https://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/BayLDA_Info_Datenverwendung_Werbung.pdf

2. Hier der jüngste Text aus Brüssel - neuester Entwurf Datenschutzgrundverordnung vom 26.6. - Vorbereitende Synopse zum Beginn der Trilog-Gesprächen zwischen den EU-Organen:

http://www.uni-muenster.de/Jura.itm/hoeren/itm/wp-content/uploads/Vorbereitende_Uebersicht_zum_Trilog_am_14.07.2015_zum_Erlass_der_Datenschutz-GVO_v._26.06.2015.pdf

Am 14. Juli 2015 hat der zweite Trilog zur Datenschutzgrundverordnung stattgefunden. Es werden damit bis zum Jahresende vermutlich alle offene Themen abschließend diskutiert sein.

Stellen Sie sich auf Folgendes ein: Da Kommission, dann Parlament und dann der Rat Vorschläge gemacht haben, ein Konsens gesucht wird, dürfte nach meiner Einschätzung im der Mehrzahl der Kommissionsvorschlag dann wieder als kleiner gemeinsamer Nenner gefunden werden. Das bedeutet, die Vorschläge der Kommission sollten die Basis Ihrer künftigen Überlegungen sein, was sollte im Unternehmen vorbereitet werden. Die EU-DS-GVO wird relativ sicher Ende 2017 dann Geltung erlangen. Bleiben Sie hier am Ball. Wir werden sicher nächstes Jahr konkreten Handlungsbedarf erarbeiten.

http://www.eppgroup.eu/de/news/Data-protection-reform-timetable

https://www.janalbrecht.eu/themen/datenschutz-und-netzpolitik/alles-wichtige-zur-datenschutzreform.html

3. Die GDD macht sich Sorgen, das Amt des DSB könnte über die EU-DS-GVO geschwächt werden. Ich hoffe nicht, bin aber zuversichtlich, da über Öffnungsklauseln zugunsten nationaler Regelungen schon gesprochen wird.

Interessant auf jeden Fall, wo Tätigkeiten künftig lokalisiert werden können:

o Aufgaben des DSB direkt in Art 37 Art. 34 EU-DS-GVO

o Vorherige Zurateziehung (Art. 34 EU-DS-GVO)

o Datenschutz-Folgenabschätzung (Art. 34 EU-DS-GVO)

o Sicherheitsvorfall (Art. 31 EU-DS-GVO)

3. Ein wunderbares Whitepaper zum E-Mail-Marketing. Bitte senden Sie dies an Ihre Marketingabteilung, damit das „generve“ endlich aufhört und auf einer konstruktiven Ebene kommuniziert werden kann.

http://www.bvdw.org/presseserver/WP_EMail_Marketing/bvdw_whitepaper_email_marketing_2015.pdf

4. Nicht nur für die Web2.0 Generation interessant, sondern auch in datenschutzrechtlicher Hinsicht in den hinteren Kapiteln gut dargeboten, ist die aktualisierte Fassung des Bitkom-Leitfadens zu Social Media. Vergessen Sie nicht, Bitkom als Favorit zu listen.

https://www.bitkom.org/Publikationen/2015/Leitfaden/Social-Media-Guidelines/150521_LF_Social_Media.pdf

5. Paris, Ostsee oder Alpen - egal wo und wie man den Urlaub genießt, das Mobiltelefon ist meist dabei. Für sichere Ferien gibt Deutschland sicher im Netz einige Grundregeln mit ins Gepäck: Die neue Postkarte mit Empfehlungen für den Urlaub stellt DsiN für Verbraucher zur Verfügung. Schicken Sie dies doch an Ihre Kollegen

https://www.sicher-im-netz.de/sites/default/files/download/2015_urlaubskarte_web.pdf

6. IT-Sicherheitsgesetz: Bitte Änderungen im TMG beachten

Völlig unbeachtet ist im heißen Sommer § 13 und § 15 TMG geändert worden. Es sind technische Verfahren zum Schutz von technischen Einrichtungen, die Telemediendienste ermöglichen, zwingend vorzusehen, Stand der Technik ist Verschlüsselung. Hammer!!! Das Beste kommt zum Schluss: Ein fahrlässiger Verstoß ist bußgeldbewährt.

http://www.rainer-gerling.de/PDF/Synopse_IT-Sicherheitsgesetz_2015_final.pdf

7. Endlich mal wieder ein weiter Wurf gelungen: Orientierungshilfe zur datenschutzgerechten Ausgestaltung und Kontrolle der Nutzung von Informations- und Kommunikationstechnik des Unternehmens durch Beschäftigte zu betrieblichen und zu privaten Zwecken, Fassung Mai 2015.

Die Empfehlung ist eindeutig: Wenn private Nutzung, dann nur Internet mit ausdrücklicher Einwilligungslösung in verhältnismäßige Kontrollen, besser keine private Nutzungsberechtigung des geschäftlichen Email-Accounts. Ach ja, und ein Beschäftigtendatenschutzgesetz über die EU-DS-GVO wird nicht kommen, da dort keine eigenständige spezifische Regelung enthalten sein wird. Desiderat bedeutet übrigens „erfleht und nicht erhört“

https://www.datenschutz.rlp.de/downloads/oh/oh_iuk_arbeitsplatz.pdf

8. Mitarbeiterschulung

Im Blog von Herrn Prof. Dr. Gerling wartet eine Zusammenstellung von öffentlich zugänglichen Materialien, die für Zwecke des IT-Security-Awarenes genutzt werden können.

Quelle: Der IT-Sicherheitsblog

http://rainergerling.online.de/archives/2015/06/entry_19.html

9. Der Europäische Datenschutzbeauftragte veröffentlicht App zur EU-DS-GVO veröffentlich. Wer noch nicht ganz den Überblick verloren hat, kann durch die Darstellung im Smartphone dies endlich erreichen. https://secure.edps.europa.eu/EDPSWEB/edps/lang/en/Consultation/Reform_package

Ich empfehle weiterhin die PDF Fassung der Bay. Aufsicht. Vielen Dank an dieser Stelle, das ist gute Arbeit!

http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/BayLDA_Synopse_DS-GVO_KOMM-EU-Parlament-Rat_160623TK.pdf

10. Kundendaten beim Unternehmensverkauf

Nach Angaben des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) scheint es im Rahmen von Unternehmenstransaktionen ein Defizit bei der Gewährleistung der einzuhaltenden Datenschutz-Vorschriften zu geben. So hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) im Zusammenhang mit einem Asset Deal (der Käufer kauft hier die Wert und nicht das Unternehmen) wegen eines Verstoßes gegen die datenschutzrechtlichen Vorschriften im Umgang mit Kundendaten mit einem erheblichen - mittlerweile unanfechtbaren - Bußgeld verhängt, nachdem E-Mail-Adressen der Kundendaten ohne Berechtigung weiterverkauft wurden.

https://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/150730%20-%20PM%20Unternehmenskauf.pdf

Newsletter Juni 2015

Sehr geehrte Damen und Herren,

ich habe wieder einiges zum Lesen für Sie zusammengestellt.

1. Anforderungen an das Amt des DSB

Sehr interessant die Stellungnahme des BFDI zum Amt des DSB. Hier können wertvolle Schlüsse gezogen werden für Ihre Tätigkeit. Bei zeitlichen Konflikten ist die Tätigkeit als DSB vorrangig, wenn dieser auch noch andere Funktionen im Unternehmen erfüllt. Vollständige Freistellung wird ab einer Mitarbeiterstärke von 1000 als sinnvoll erachtet.

Viel Spaß beim Verhandeln mit Ihrem Arbeitgeber!

http://www.bfdi.bund.de/SharedDocs/Publikationen/Arbeitshilfen/MindestanforderungBehoerdlicheDs

B.pdf;jsessionid=CD83DB7AB0F2F164E7CB383A08770BEC.1_cid354?__blob=publicationFile&v=2

2. Dash-Cam Aufzeichnung

Das Amtsgericht Nienburg, Urteil v. 20.01.2015 - Az.: 4 Ds 155/14, 4 Ds 520 Js 39473/14 (155/14), geht davon aus, dass Kameraaufzeichnungen im Strafverfahren verwertet werden dürfen. Aufsichtsbehörden für den Datenschutz kommen hier zu einer anderen Entscheidung. Mal sehen wie es hier weiter geht. Es bleibt bei einer Vorratsdatenspeicherung. Wie der EuGH unlängst festgestellt hat, wird bei der Verwendungsabsicht zu Beweiszwecken ja gerade der private familiäre Bereich verlassen.

Gegen eine zulässige Aufzeichnung haben entschieden das LG Heilbronn am 23.2.2015, das AG München am 15.8.2015 und das VG Ansbach am 14.8.2014.

http://www.rdv-online.com/aktuelles/gericht-bejaht-verwertbarkeit-von-dashcam-aufnahmen

3. Cloud Computing

Sie werden kaum mehr Dienstleister finden, die nicht Cloud Services im Hintergrund nutzen.

Umfangreichen Prüfungsstoff, Aktualisierte Unterlagen zu Cloud Computing mit Ausführungen zum Datenschutz, Geheimhaltungsvereinbarungen, Schutzklassen der Datenschutz-Klassifizierung, etc. finden Sie beim Bundeswirtschaftsministerium:

http://www.trusted-cloud.de/369.php

4. Einwilligung des Arbeitnehmers grundsätzlich wirksam!

Beruhigend ist die neue Entscheidung des BAG vom 11.12.2014, 8 AZR 1010/13, dass eine unbefristete Einwilligung auch unbefristet gilt, zumindest nicht mit dem Ende des Arbeitsvertragsverhältnisses automatisch endet sondern eine Gesamtabwägung vorzunehmen ist. Die Begründung ist mutig: Wenn schon nach § 32 BDSG ohne Einwilligung eine Datenverarbeitung zulässigerweise möglich ist, dann muss schon gesondert vorgetragen werden, dass eine erteilte Einwilligung unfreiwillig war. Dies kann man auch anders sehen. Jedenfalls sorgt das BAG für Klarheit, wenn hier festgestellt wird, dass auch im Arbeitsvertragsverhältnis eine Einwilligung grundsätzlich als freiwillig zu gelten hat. Alles andere muss der Arbeitnehmer vortragen.

http://juris.bundesarbeitsgericht.de/cgi-

bin/rechtsprechung/document.py?Gericht=bag&Art=en&nr=18001

5. Information zur EU-DS-GVO

Von Jan Philip Albrecht, Mitglied des Europäischen Parlaments kommt eine nette Veröffentlichung zur Reform des Datenschutzrechts auf EU-Ebene, der Datenschutz-Grundverordnung. Diese PDF ist lesenswert. Die Ausführungen sind sehr allgemein, aufgrund der politischen Richtung zum Teil eingefärbt. Herr Albrecht ist aber einer der wenigen auf EU-Ebene, dem Transparenz wichtig ist, der regelmäßig zum Stand der Diskussion veröffentlicht.

http://www.janalbrecht.eu/fileadmin/material/Dokumente/20150403-JPA-Datenschutzreform-09-

web.pdf

6. Super interessante Umfrage der GDD zum Konzerndatenschutz Klarer Trend im internationalen Datenaustausch sind Standardvertragsklauseln https://www.gdd.de/downloads/aktuelles/studien/datenschutz-studie-konzerninterner-datenaustausch

7. Also doch: Wirtschaftsspionage durch die NSA!

Heise.de berichtet, dass die NSA auch Siemens ausspionieren wollte. Dies ergibt sich aus der Liste der Ziele, die die NSA an den BND zum Ausforschen weitergab, Begründung: wegen angeblichen Geschäften von Siemens mit einem russischen Geheimdienst. Das glaube ich aber nicht. Wer betreibt denn so einen Aufwand, wenn nicht dabei ganz entspannt auch die eigene Wirtschaft angeschoben werden könnte.

8. Für Ihre Marketingabteilung Teil 1

Eine Autoreply-E-Mail mit Werbung im Footer ist nicht rechtswidrig hat das Landgericht Stuttgart im Urteil v. 04.02.2015 - Az.: 4 S 165/14 entschieden. Eine Autoreply-E-Mail ist nicht vergleichbar mit dem klassischen Fall einer unverlangt zugesandt Spam-Mail. Eine Autoreply-E-Mail mit Werbung im Footer verletzt den Empfänger nicht in seinem allgemeinen Persönlichkeitsrecht, denn es fehlt hierfür an der notwendigen Erheblichkeit des Eingriffs.

9. Für Ihre Marketingabteilung Teil 2

Blöderweise hat das AG Düsseldorf in Bezug auf Direktmarketing einen strengen Weg eingeschlagen. Im Urteil v. 27.10.2014 - Az.: 20 C 6875/14 wurde festgestellt, dass per E-Mail versandte Feedback-Anfragen als unzulässige Werbung (Spam) einzustufen sind.

10. Für Ihre Marketingabteilung Teil 3

Die Berliner Wettbewerbszentrale hält "Warenkorb-Erinnerungen" für wettbewerbsrechtlich unzulässig und datenschutzrechtlich mehr als bedenklich.

In wettbewerbsrechtlicher Hinsicht liegt hier ein Fall der unzulässigen und belästigenden E-Mail- Werbung vor (§ 7 Abs. 1, Abs. 2 Nr. 3 UWG), wenn der Verbraucher zuvor keine Einwilligung erteilt hat.

Der Verbraucher entscheidet sich in solchen Fällen üblicherweise bewusst gegen eine Bestellung und möchte deshalb auch nicht an den Bestellabbruch erinnert werden. Sofern er die Bestellung dennoch abschließen will, besteht für Ihn die Möglichkeit, den Bestellvorgang erneut zu durchlaufen, weshalb es keiner Erinnerung bedarf. Auch ein Ausnahmetatbestand, der zur erlaubten E-Mail-Werbung führen würde, liegt bei der gegebenen Konstellation regelmäßig nicht vor. Insbesondere ist die E-Mail-Adresse nicht im Zusammenhang mit dem Verkauf einer Ware zum Unternehmer gelangt (vgl. § 7 Abs. 3 Nr. 1 UWG), da dies einen abgeschlossenen Kauf voraussetzen würde.

Dies ist von gerichtlicher Seite noch nicht bestätig nach meinem Kenntnisstand. Hier halte ich Sie auf dem Laufenden.

https://www.wettbewerbszentrale.de/de/home/_news/?id=1493

11. Klagerecht auch für "Datenschutz"-Verbände beschlossen Bislang konnten Verbraucherzentralen nur gegen unwirksame Klauseln und Geschäftsbedingungen vorgehen. Dies wird sich ändern. Im neuen Gesetzentwurf der Bundesregierung sollen Verbraucherverbände und vergleichbare Institutionen künftig per Unterlassungsklage und Abmahnungen gegen Unternehmen vorgehen können, die in für Konsumenten relevanten Bereichen gegen Bestimmungen zum Absichern der Privatsphäre verstoßen. Dies gilt vor allem in den Sektoren Werbung, beim Erstellen von Persönlichkeitsprofilen etwa mit Scoring zur Bonitätsprüfung durch Auskunfteien sowie im sonstigen Adress- und Datenhandel.

So, hoffentlich auf bald, Viele Grüße,

Newsletter Februar 2015

So, ich habe wieder einiges zum Lesen und Verwenden gesammelt.

1.

Interessant zunächst eine neue Rubrik mit Fällen zum Datenschutz von der niedersächsischen Aufsicht für den Datenschutz

http://www.lfd.niedersachsen.de/portal/live.php?navigation_id=12981&_psmand=48

Ich hoffe, dass hier noch mehr Inhalt nach und nach erscheinen wird. Alternativ verbleibt meine Lieblingsseite www.zaftda.de mit sämtlichen Tätigkeitsberichten der Aufsichtsbehörden mein Favorit.

2.

Sollten sie Jugendliche kennen im Alter zwischen 13 und 17 Jahren, alle anderen haben hier sicher auch Nachholbedarf, dann gibt es eine gelungene Ausarbeitung zur Sensibilisierung für das www!

http://www.klicksafe.de/service/materialien/broschueren-ratgeber/the-web-we-want

Übrigens von Google mitgestaltet, was hier aber mal positiv zu bewerten ist.

3.

Ziemlich gelungen ist der Fragebogen der GDD, der die Vorgaben der Aufsichtsbehörden zur Ergänzung bei „safeharbor“ gelisteten Unternehmen umsetzt.

https://www.gdd.de/downloads/safe-harbor-questionnaire

4.

Es gibt eine weitere Plattform, die Datenschutzverstöße auflistet. Einige von Ihnen kennen diese sicher schon

http://projekt-datenschutz.de/datenschutzvorfaelle

5.

Aktuelles zur Datenschutzgrundverordnung, welcher Stand, finden Sie auf einer Seite des EU-Abgeordneten Dr. Piltz

http://www.delegedata.de/datenschutz-grundverordnung-konsolidierte-fassung/

6.

Von der Bitkom wurde das wunderbare Skript zur Auftragsdatenverarbeitung aktualisiert, eine MusterVereinbarung gibt es in Deutsch und in Englisch, voilà der Link http://www.bitkom.org/de/publikationen/50792_78385.aspx

7.

Beim Anwaltverlag gibt es eine EBorschüre zum Datenschutz in Rechtsanwaltskanzleien. Dies ist für jeden Bereich interessant, wenn Berufsgeheimnisträger betroffen sind. http://www.anwaltverlag.de/datenschutz

8.

Eine sinnvolle Veröffentlichung zum Direktmarketing und zur Zulässigkeit von E-Mail-Marketing gibt es vom Eco Verband. Gut gemacht!

https://certified-senders.eu/wp-content/uploads/2014/03/Marketing-Richtlinie.pdf

9.

Betreibt Ihre Firma eine FacebookPräsenz zu gewerblichen Zwecken, dann bitte jetzt zur Sicherheit mit Impressum.

Angelegt wird das Impressum über den Link "Seiteninfo aktualisieren". Dessen Inhalt ist auf eine maximale Anzahl von 1500 Zeichen beschränkt. Private Profile benötigen kein Impressum. Das OLG Düsseldorf hat vor einigen Monaten entschieden, dass die Verlinkung eines Impressums unter dem Button "Info" nicht ausreicht. Die Beschriftung sei nicht als Synonym für ein Impressum geläufig, so die Richter. Der Linktext müsse deutlicher sein und etwa "Impressum" oder "Kontakt" lauten.

10.

Verhaltensregeln zur Informationssicherheit

Am 25.6.2014 haben die DATEV eG und der Deutschland sicher im Netz e.V. (DsiN) einen neuen Leitfaden mit Verhaltensregeln für Mitarbeiter zu IT-Sicherheit veröffentlicht. Die Broschüre kann als Grundlage für die Entwicklung eines eigenen Sicherheits-Gesamtkonzeptes dienen. Außerdem kann sie zur Schulung der Mitarbeiter genutzt oder auch als Nachschlagewerk zu Sensibilisierungsmaßnahmen im Bereich Informationssicherheit eingesetzt werden. Versenden Sie diesen doch mal an Ihre Mitarbeiter! http://www.datev.de/portal/ShowContent.do?pid=dpi&cid=230520

11.

Schmerzensgeld in Höhe von 3500,00 Euro wegen rechtswidriger Videoüberwachung
Nach dem Arbeitsgericht Frankfurt am Main, Az.: 22 Ca 9428/12, war eine für alle erkennbare Videoüberwachung im AppleShop hier Werkstattbereich installiert. Da war unverhältnismäßig. Wow, 3500,00 ist eine neue Dimension.

12.

Neues IT-Sicherheitsgesetz berechtigt wieder zur Vorratsdatenhaltung!!
Interessant ist der Entwurf des Gesetzes zur Erfüllung der Sicherheit informationstechnischer Systeme, das sogenannte IT Sicherheitsgesetz. Datenschutzrechtlich deswegen sehr interessant, weil Befugnisse von Webseiten Betreibern nunmehr diesen erlauben, Nutzungsdaten vor allem IP-Adressen zu nehmen und zu verwenden. Problematisch ist die Tatsache, dass Dauer der Speicherung und Umfang an den Kriterien der Erforderlichkeit festgemacht ist. Der unbestimmte Rechtsbegriff der Erforderlichkeit ist bekanntermaßen unerträglich. Weder sind Anonymisierungspflichten noch Maximalspeicherfristen festgelegt. Handelt es sich bei Ihrem Unternehmen oder Dienstleistern um Betreiber kritischer Infrastrukturen, besteht auch eine Pflicht zur Selbstanzeige bei Datenpannen. Betroffen sind Unternehmen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen. Mir fallen nicht viele Branchen ein, die nicht betroffen sind. Bitte prüfen Sie also ob hier weitere Speichervorgaben für Ihr Unternehmen gelten. Da derzeit weitere PlenarSitzungen geplant sind, gehe ich davon aus, dass das Gesetz dieses Jahr spätestens im Sommer verabschiedet werden dürfte.

13.

Mobile Datenträger auf Reisen
Das BSI hat sehr schöne Checklisten und Unterlagen veröffentlicht zum Thema. Diese bieten eine herrliche Grundlage für Policies oder Richtlinien mobile Datenträger https://www.bsi-fuer-buerger.de/BSIFB/DE/Wissenswertes_Hilfreiches/Service/Aktuell/Meldungen/IT-Sicherheit-und-Reisen_14072014.html?https=1

14.

Nachfolgend eine Pressemitteilung des Bayerischen Landesamtes für Datenschutzaufsicht vom 12.12.2014
„Datenschutzaufsichtsbehörden aus der ganzen Welt fordern App-Store-Betreiber dazu auf, eine Verlinkung zu Datenschutzhinweisen von App-Anbietern innerhalb des App-Stores zu verlangen. Dies soll zu mehr Transparenz für die Nutzer führen und diesen eine Entscheidung für oder gegen eine App in Kenntnis des Datenumgangs ermöglichen.“
Hört sich blöd an, ist aber so. Dies führt dazu, dass wir in Deutschland davon ausgehen müssen, dass Aufsichtsbehörden verstärkt fehlerhafte oder nicht vorhandene Verlinkungen bemängeln werden. Da Sie immer mehr App-Vorhaben Ihres Unternehmens zu tun haben werden, hier also aufpassen
http://www.lda.bayern.de/lda/datenschutzaufsicht/p_archiv/2014/pm014.html

15.

Thema Direktmarketing

Auch das noch: „Nachdem trotz intensiver Informationsarbeit durch alle Datenschutzaufsichtsbehörden (siehe: Anwendungshinweise zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten für werbliche Zwecke (pdf-Dokument) ) und auch guten Hinweisen aus den Verbänden der Werbewirtschaft selbst die Zahl der begründeten Eingaben und Beschwerden wegen unzulässiger Werbung nicht zurückgegangen ist, wird das BayLDA die in der letzten Zeit eher zurückhaltende Praxis der Ahndung dieser Verstöße durch Bußgeldverfahren aufgeben und schwerpunktmäßig in der nächsten Zeit die „Missachtung von Werbewidersprüchen“ und die unzulässige „E-Mail-Werbung zur Neukundengewinnung“ mit Bußgeldern sanktionieren.

Newsletter Juli 2014

So, ich hoffe, es geht Ihnen gut. Nachfolgend wieder einiges zum Lesen und schmunzeln.

Nicht nur, dass die Berliner Verbraucherzentrale großartig Internetriesen abmahnt und AGB, die auf Datenschutzvorgaben verzichten, für unwirksam erklären lassen, es gibt auch spannendes Material zu Lesen und Verwendung für Vorträge, zur Sensibilisierung Ihrer Mitarbeiter. Das begeistert.

http://www.surfer-haben-rechte.de/cps/rde/xchg/digitalrechte/hs.xsl/10.htm

Eine sehr brauchbare Übersicht Videoüberwachung durch nicht öffentliche Stellen hat die Aufsicht von BW veröffentlich am 20.12.2013

http://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2013/02/Video%C3%BCberwachung-durch-nicht-%C3%B6ffentliche-Stellen.pdf

Aktuelle Pressemeldungen zum Datenschutz werden jetzt auch auf der Internetseite der Aufsicht von BW gepostet

http://www.baden-wuerttemberg.datenschutz.de/

Wer von Ihren Unternehmen auf Empfehlungswerbung setzt, bitte das Urteil des BGH auswerten und beachten, nachdem hier wieder mal ein strengerer Maßstab für die Versendung von Werbemails durch Dritte angelegt wurde und eine sogenannte Tell-a-friend-Funktion mit Zusendung an einen Rechtsanwalt als unzulässige Werbung abgeurteilt wurde. BGH vom 12.9.2013, Az.: I ZR 208/12

http://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&Datum=Aktuell&Sort=12288&nr=65732&pos=7&anz=501

Das Urteil, das die Verbraucherzentrale Berlin gegen Google in erster Instanz erreicht hat, ist aufschlussreich. Zahlreiche Klauseln, wie Daten verarbeitet werden sollten, sind unwirksam. Anbei der Link, interessant für all diejenigen unter Ihnen, die umfangreiche Datenverarbeitungsprozesse mit Trackingvarianten von Nutzerdaten durchführen.

http://www.vzbv.de/cps/rde/xbcr/vzbv/Urteil-Google-vzbv-LG_Berlin-2013_11_19.pdf

Nach dem Landesarbeitsgericht Mainz dürfen Fotos eines krankgeschriebenen Mitarbeiters, der in aller Entspannung Auto in der Öffentlichkeit wäscht, gemacht werden. Hier wird anschaulich Abgewogen zwischen den Interessen. http://www3.mjv.rlp.de/rechtspr/DisplayUrteil_neu.asp?rowguid={1A203D5B-1FD1-4E09-B8BE-5F7BC1B5553A}

Ich muss zugeben, wenn ich ein Verband oder Verein wäre, manchmal rede ich schon im Plural, hätte ich auch einen neuen Standard entwickelt, so der BVD und GDD gemeinsam. Nicht schlecht, hier auf 48 Seiten richtig Infos rund um die Auftragsdatenverarbeitung. Da lässt sich Geld verdienen, für Akkreditierungsstellen und Auditor…

http://www.dsz-audit.de/wp-content/uploads/GDD-BvD-DATENSCHUTZSTANDARD-DS-BVD-GDD-01-V1-0.pdf

Aus aktuellem Anlass der Hinweis, dass nach dem OLG Hamburg sehr wohl das Fehlen einer Datenschutzerklärung einen Wettbewerbsverstoß darstellt. Bisher, vor allem wegen dem KG Berlin, war die Nation lediglich von einem Verstoß gegen TMG ausgegangen. Also bitte spätestens jetzt aktualisieren.

http://medien-internet-und-recht.de/volltext.php?mir_dok_id=2475

Newsletter Juli 2013

Sehr geehrte Datenschützer,

nachfolgend einiges lesenswertes zum Datenschutz. Viel Vergnügen.

À propos: Wenn Sie mögen, schauen Sie sich auch das Angebot in der Anlage an. Coaching-Angebot zum Sommerpreis…

1. Über das Thema NSA und Prism usw. werde ich kein Wort verlieren. Es ist gut, dass diese mediale Wirkung auch mittelständische Unternehmen dazu bringt, über Informationssicherheit nachzudenken.

Problematisch ist, und das muss dringend verfolgt werden:

Die Aufsichtsbehörden für den Datenschutz gehen derzeit davon aus, dass ein Datentransfer in die USA nicht mehr sicher ist. Es werden erstmal keine neue Genehmigungen für Datentransfers erteilt!!!

Siehe die Pressemitteilung vom 24.7.2013

http://www.bfdi.bund.de/DE/Home/homepage_Kurzmeldungen2013/PMDerDSK_SafeHarbor.html?nn=408908

2. Die bay. Datenschutzaufsicht hat erstmals ein Bußgeld verhängt, nachdem statt über die Funktion BCC im Email-Programm an CC verschickt wurde, vgl. folgenden Link. Bitte sensibilisieren Sie hier Ihre Mitarbeiter. Jetzt wird es ernst.

http://www.lda.bayern.de/lda/datenschutzaufsicht/p_archiv/2013/pm004.html

3. Das Thema BYOD geistert weiter durch die Rubriken der Verlage und Veranstalter für Seminar. Im Frühling hat das Bundesamt für Sicherheit und Informationstechnik ein Überblickspapier zu BYOD veröffentlicht, siehe nachfolgenden Link. Was Sie kaum lesen werden ist die lizenzrechtliche Problematik. Sollte „bring your own device“ bei Ihnen Thema sein, prüfen Sie, ob die privaten mobilen Devices entsprechende Lizenzberechtigung haben für gewerbliche Nutzung.

https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2013/Ueberblickspapier_IT-Consumerisation_und_BYOD_04022013.html

4. Wenn Sie sich mit Internet und E-Mailnutzung privater Art für Arbeitnehmer beschäftigen, so hat im Juni die Bayer. Aufsicht für Datenschutz in verschiedenen Prüfungsverfahren empfohlen, als Orientierungshilfe Tätigkeitsbericht Nr. 1 der Bayer. Aufsicht für den Datenschutz aus dem Jahr 2002, 2003 zu verwenden. In diesem Kontext wird auch differenziert nach den Problematiken der Kontrolle bei erlaubter privater Nutzung. Ebenfalls wird verwiesen auf eine Veröffentlichung des Bundesbeauftragten für Datenschutz unter www.dfd.de/information/leitfaden.

Witzig, also ob es keine neuen Veröffentlichungen gibt:

https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzrecht/Inhalt/Personalwesen/Inhalt/3_E-Mail_am_Arbeitsplatz/E-mail_am_Arbeitsplatz.pdf

http://www.bitkom.org/files/documents/BITKOM_Leitfaden_E-mail_und_Internet_im_Unternehmen_V.1.5_2008.pdf

5. Etwas Bewegung kommt in die Verabschiedung der Datenschutzgrundverordnung. Ehrenhaft ist der Vorschlag, den gestrichenen Anti-FISA-Artikel wieder einzuführen um Datenübermittlung an US-Behörden von US-Unternehmen zu verbieten.

http://www.heise.de/newsticker/meldung/EU-Parlament-Datenschutz-Paket-nicht-vor-Herbst-1914778.html

6. Ebenfalls im Juni hat das Bundesamt für Sicherheit in der Informationstechnik angekündigt, den Grundschutzkatalog um den Bereich Cloud Management zu ergänzen. An dieser Stelle nochmals der Hinweis auf eine sehr umfangreiche und brauchbare Sicherheitsempfehlung des BSI zum Cloud Computing aus dem Jahr 2011, vgl. nachfolgenden Link.

https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2013/IT-Grundschutz-Bausteine_Cloud_Computing_25062013.html

7. Das OLG Hamburg sieht in einer fehlenden Datenschutzbelehrung auf Webseite einen Wettbewerbsverstoß

Fehlt die nach § 13 TMG erforderliche Datenschutzbelehrung auf einer Webseite, handelt es sich um hierbei um einen abmahnfähigen Wettbewerbsverstoß, so die Hamburger Richter im Urteil vom 27.06.2013 - Az.: 3 U 26/12. Wesentlich ist, dass nach dem Gericht § 13 als Marktverhaltensregelung betrachtet wird, deren Verstoß eine Wettbewerbsverletzung begründet.

8. Wenn Dokumente gescannt werden und Papier ersetzen sollen, sind einige Vorgaben zu beachten. Das BSI hat hier eine Richtlinie erarbeitet, die ziemlich Klarheit schafft

https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03138/index_htm.html

9. Übrigens noch ein toller Link mit Infomaterial für Schulungen und Sensibilisierung

http://www.enisa.europa.eu/activities/cert/security-month/material/material-de

10 Weitere Rechtsprechung:

LAG Urteil vom 10.07.2012, Az.: 14 Sa 1711/10: Beweisverwertungsverbot bei Chatprotokollen

Ein Arbeitgeber kann Chatprotokolle auf einem Arbeitsplatzrechner gegen den Arbeitnehmer verwenden. Ein Beweisverwertungsverbot auch bei rechtwidrigem Einsicht in Chatprotokolle greift nicht, wenn der AG bei nur erlaubter geringfügiger privaten Nutzung darauf hingewiesen hat, dass keine Vertraulichkeit besteht.

Ändern Sie bitte Ihre Nutzungs-Policy dahingehend, dass im internen UnternehmensBlogs, MediaPlattformen keine Vertraulichkeit gewährleistet werden kann.

OLG Dresden 5.9.2012: Vorsicht bei der ungefragten Löschung eines E-Mail-Accounts

Nach einer Entscheidung des OLG Dresden, darf der Arbeitgeber, der seinen Beschäftigten auch die private Internet/Mail Nutzung gestattet hatte, weder die Emails noch den Email-Account eines Arbeitnehmers nach Beendigung des Vertragsverhältnisses ungefragt löschen.

Informieren Sie Ihre Admins, dass hier Schadensersatzpflicht im Raum steht, wenn eine Herausgabe nicht mehr möglich ist und gegebenenfalls mit dem Arbeitnehmer Kontakt aufgenommen werden muss

Interessant auf jeden Fall auch das Urteil des Bundessozialgerichts vom 13.11.2012, Az. B1 KR 13/12 R wonach das Bundessozialgericht entschieden hat, dass eine Auskunft von Betroffenen, die die Anfrage einigermaßen konkretisiert haben, auch auf Übermittlungswege sich bezieht. Soll heißen, ein Auskunftsanspruch besteht auch darüber wen wie welche Daten übermittelt wurden.

Dies kann im Einzelfall zu einer höheren Dokumentationspflicht führen.

http://dejure.org/dienste/vernetzung/rechtsprechung?Text=B%201%20KR%2013/12%20R

Und endlich die vielerwartete Entscheidung, dass Eltern nicht haften für minderjährige Kinder, die mp3 im Internet anbieten unter bestimmten Bedingungen.

Übrigens ganz interessant, da künftig auch Hotspots in Gaststätten etc. eine Entspannung insoweit erleben dürften.

http://m.heise.de/newsticker/meldung/BGH-Eltern-muessen-Kinder-im-Internet-nicht-dauerhaft-ueberwachen-1840573.html?from-classic=1

Interessant auch das Urteil des ArbG Cottbus zu Ihrem Amt als DSB. Bei einem Betriebsübergang sind Sie nicht automatisch im neuen Unternehmen DSB. Dies deshalb, da grundsätzlich das Amt nicht mit dem Anstellungsverhältnis zusammenhängt.

ArbG Cottbus • Urteil vom 14. Februar 2013 • Az. 3 Ca 1043/12

Gute Anmerkungen zur zulässigen Gestaltung von Direktmarketingmaßnahmen von der bay. Aufsichtsbehörde für Datenschutz.

http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/Anwendungshinweise_Werbung.pdf

http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/Persoenliche_Werbung2012.pdf

Newsletter Dezember 2012

Anbei wieder einige Informationen rund um den Datenschutz. Bitte beachten Sie auch die teilweise geänderten Kontaktdaten in der Signatur.

Viel Spaß beim Lesen, herzliche Grüße aus Augsburg,

Wolfgang Schmid

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Neuer Beleidigungsfall im Unternehmen und rechtfertigende Kündigung

Das Arbeitsgericht Duisburg hat unter dem Aktenzeichen 5 Ca 949/12 entschieden, dass es sich bei einer Veröffentlichung, einem „Post“ über Kollegen, worin diese als Speckrollen und Klugscheißer betitelt wurden, um eine Beleidigung handelt und eine Kündigung keiner Abmahnung im Vorfeld bedarf.

Dabei hat das Gericht festgestellt, dass es egal ist, ob das Post öffentlich sichtbar ist oder nur für Kontakte. Solange ein größerer Teil der Arbeitskollegen die Information abrufen kann, reicht dies nach der Auffassung des Gerichts aus für eine fristlose Kündigung. Etwas anderes gilt nur, wenn das Posting durch ein Post des Beleidigten provoziert wurde, also eine Kommunikation in Facebook stattfand zwischen beiden Betroffenen.

Keine Erhebung von Daten von Minderjährigen bei Gewinnspielen.

Das OLG Hamm hat unter dem Az. 4 U 85/12, vgl. Pressemitteilung des OLG Hamm vom 09.11.2012 mitgeteilt, dass eine Krankenkasse es zu unterlassen hat, ohne Zustimmung von Eltern bei Gewinnspielen persönliche Daten von minderjährigen Verbrauchern ab 15 Jahren zu erheben, um diese als Kunden bewerben zu dürfen. Sollten Sie also über Facebook oder sonstigen Plattformen, Jobmessen Gewinnspiele anbieten, bei denen nicht ausgeschlossen werden kann, dass minderjährige Verbraucher teilnehmen, so sichern Sie sich ab in dem eine Unterschrift der Erziehungsberechtigten eingeholt wird. Soll eine Einwilligungserklärung zur Datenverwendung zu Werbezwecken eingeholt werden, so dürfte ein 15jähriger die nötige Reife zur Beurteilung der Tragweite seiner Erklärung nicht haben, so das OLG. Möglicherweise sichern Sie sich ab, in dem der betreffende Einwilligende erklärt, dass er das 18. Lebensjahr vollendet hat.

Bundesarbeitsgericht: Kein Fragerecht nach eingestelltem Ermittlungsverfahren.

Das Bundesarbeitsgericht hat im Urteil vom 15.11.2012, Az. 6a ZR 339/11 entschieden, dass der Arbeitgeber einen Stellenbewerber grundsätzlich nicht nach eingestellten strafrechtlichen Ermittlungsverfahren befragen darf.

Eine ohne ausreichende Gründe unspezifizierte Frage verstößt gegen Datenschutzrecht und die Wertentscheidung des § 53 BZRG. Beantwortet der Bewerber in Wahrnehmung seines informationellen Selbstbestimmungsrechts wahrheitswidrig, kann das zwischenzeitlich begründete Arbeitsverhältnis nicht wegen dieser wahrheitswidrig erteilten Auskunft gekündigt werden. Zum Ganzen www.bundesarbeitsgericht.de Pressemitteilung vom 15.11.2012.

Aufatmen:

Der Bundesgerichtshof hat entschieden, dass Eltern für von ihren Kindern die minderjährig sind, begangenen P2P Urheberrechtsverletzungen unter bestimmten Umständen nicht haften.

Für Sie als Datenschutzbeauftragter und gleichzeitig als Elternteil interessant, möglicherweise geben Sie diese Information an Ihre Mitarbeiter und Kollegen im Betrieb weiter, hat der Bundesgerichtshof nun endlich Klarheit geschaffen:

In der Entscheidung vom 15.11.2012, Az. I ZR 74/12 „Morpheus“ hat der BGH entschieden, dass Eltern ihrer Aufsichtspflicht über ein normal entwickeltes 13jähriges Kind genügen, wenn dieses Ihre grundlegenden Verbote und Gebote befolgt, dadurch, dass Sie das Kind über das Verbot einer rechtswidrigen Teilnahme an Internettauschbörsen belehren. Eine Verpflichtung der Eltern, die Nutzung des Internets durch das Kind zu überwachen, den Computer des Kindes zu überprüfen oder dem Kind den Zugang zum Internet (teilweise) zu versperren besteht grundsätzlich nicht. Zu derartigen Maßnahmen sind Eltern, so der BGH, erst verpflichtet, wenn sich konkrete Anhaltspunkte für eine rechtsverletzende Nutzung des Internetanschlusses durch das Kind haben.

Klären Sie also Ihr Kind darüber auf, dass die Teilnahme an entsprechenden Tauschbörsen rechtswidrig ist. Wenn Sie davon ausgehen, und dies zu Recht, dass sich Ihr Kind grundsätzlich an Verbot und Gebot hält, haben Sie nichts weiteres zu unternehmen.

Nachzulesen ist dieses Urteil in Kurzfassung der Pressemitteilung des BGH vom 15.11.2012 unter www.bundesgerichtshof.de

Zu guter Letzt:

Ab sofort können Sie im Timeline-Feature bei Facebook posten, in welchem Organspendestatus Sie sich befinden. Zwar warnt der Landesdatenschutzbeauftragte für Mecklenburg Vorpommern davon, entsprechend sensible Daten ins Netz zu stellen, möglicherweise bekommen Sie aber künftig von Unternehmen, die sich auf Organhandel spezialisiert haben, Kaufangebote und verbilligte Konditionen bei Krankenbehandlungen. Wer sich dafür interessiert: www.facebook.com

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Newsletter September 2012

Keine Auskunft gegenüber einem bestimmten Provider darüber, welcher User negative Werturteile über einen Psychotherapeuten postet!

Das Recht auf anonyme Äußerungen im Internet entspringt dem Grundrecht auf Meinungsfreiheit (Art. 5 Abs. 1 Grundgesetz). In seiner Beschlussentscheidung hat das Oberlandesgericht Hamm (Az.: I-3 U 196/10) festgestellt, "die Verpflichtung, sich namentlich zu einer bestimmten Meinung zu bekennen, würde allgemein die Gefahr begründen, dass der Einzelne aus Furcht vor Repressalien oder sonstigen negativen Auswirkungen sich dahingehend entscheidet, seine Meinung nicht zu äußern".

Dies gilt dann, wenn eine Schmähung nicht vorliegt, sondern lediglich subjektive Werturteile des Bewertenden gepostet werden Näheres unter:

http://www.justiz.nrw.de/nrwe/olgs/hamm/j20/I_3_U_196_10beschluss20110803.html

Betreiber eines Forums ist verantwortliche Stelle im Sinne des BDSG

Interessant ist das Urteil des OLG Hamburg vom 2.8.2011. Dies deshalb, weil sehr anschaulich und präzise geklärt wird, dass ein Betreiber eines Internetforums eine für die Übermittlung der Daten verantwortliche Stelle ist und zwar dann, wenn das Betreiben des Internetforums im eigenen unternehmerischen Interesse des Betreibers erfolgt.

Die im Forum veröffentlichen Informationen über natürlich Personen sind dann nach Einhaltung der Vorschriften des BDSG zu würdigen. Dies gilt auch, wenn der Forenbetreiber in den USA sitzt.

Zum Urteil: http://openjur.de/u/172758.html

Eine gute Übersicht, wann Services in der Cloud zulässig sein können gibt die bay. Datenschutzaufsichtsbehörde. Sowohl Dienste der Bereiche Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS) müssen den Anforderungen an Transparenz, Vertraulichkeit, Verfügbarkeit, Integrität und Verfügbarkeit genügen http://www.datenschutz-bayern.de/technik/orient/oh_cloud.pdf

Zulässige Vorschaubilder in Google

"Derjenige, der ein Werk selbst oder durch einen Lizenznehmer ins Netz stellt, muss damit rechnen, dass das Foto auch Gegenstand der Suche von Suchmaschinen sein wird, auch dann, wenn das Foto auch auf anderen Seiten gefunden wird, denen der Urheber keine Rechte übertragen hat. Wer die Veröffentlichung im Internet gestatte, erteile damit auch die Einwilligung, dass das Bild in der Vorschau von Suchmaschinen angezeigt wird, so die Begründung der Richter des BGH im Urteil vom 19.10.2011, Az. I ZR 140/10. Derzeit Pressemitteilung: http://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=pm&Datum=2011&Sort=3&nr=57881&pos=5&anz=170

Sensationell: Lex Schleswig von Facebook?

Facebook plant für Schleswig-Holstein eine Sonderregelung. Nach der Pressemeldung von heise könnten Daten von Facebook-Nutzern in Schleswig-Holstein bald von der Übermittlung in die USA verschont werden. Facebook überlege, anhand der IP-Adresse den Standort der Nutzer zu ermitteln. Daten von Nutzern in Schleswig-Holstein sollen dann nicht zur weiteren Verarbeitung in die Konzernzentrale in den USA weitergeleitet werden. Das wäre eine weltweit einmalige Ausnahmeregelung.

Näheres unter:

http://www.heise.de/newsticker/meldung/Bericht-Facebook-plant-fuer-Schleswig-Holstein-Sonderregelung-1364445.html

Zum Schluss:

Lassen Sie ruhig beim Fernsehschauen den Ofen an oder die Waschmaschine laufen. Andernfalls können über Smart Meter Recherchen ermittelt werden, ob Sie gerade DVDs schauen, Musik hören oder nur Fernsehen.

Mehr dazu:

http://www.heise.de/newsticker/meldung/Smart-Meter-verraten-Fernsehprogramm-1346166.html

Bis demnächst, Ihr Wolfgang Schmid

Newsletter September 2011

- ULD und Facebook: Jetzt wird es ernst um den Like-Button Das ULD hat Mitte am 19.8.2011 sämtliche Webseitenbetreiber aufgefordert, ihre Fanpages bei Facebook und "Social Plug-ins" auf ihren Homepages bis Ende September 2011 zu entfernen.
Rheinland-Pfalz, Mecklenburg-Vorpommern und Niedersachsen sind gleicher Meinung. Niedersachen hat sich bereits mit seiner eigenen Fanpage von Facebook wieder zurückgezogen. Peter Schaar ist ebenfalls für das Vorgehen des ULD.
Tilo Weichert will vermutlich den Druck auf den US-Konzern ausüben, der sich mit seinen Hauptniederlassungen in Kalifornien und in Irland bisher der Kontrolle durch hiesige Datenschützer entzogen hat.
Grund sind die Ergebnisse einer Reichweitenanalyse, die enorme datenschutzrechtliche Verstöße bei der Datenverarbeitung durch Facebook festgestellt hat.
Nach der Stiftung Warentest ist wohl sicher, dass der Internetkonzern Facebook "Aktionen der Facebook-Nutzer – vermutlich lückenlos – aufzeichnet". Jeder Besuch auf Webseiten mit "Gefällt mir"-Knopf werde nebst IP-Adresse registriert.
Wir funktioniert der Like-Button: Auch wer nicht bei Facebook angemeldet ist, sendet bei Aufruf von Seiten, die den Plugin verwenden, Daten, auch seine IP in die USA.
Näheres unter
https://www.datenschutzzentrum.de/presse/20110819-facebook.htm
https://www.datenschutzzentrum.de/facebook/facebook-ap-20110819.pdf
http://heise.de/-1230906

Warten Sie bitte noch ab, ob Sie wirklich den Like-Button entfernen.
Kritisch ist auf jeden Fall, wenn Sie in der Datenschutzerklärung keine Hinweise zur Funktion geben.

- ELENA
Ach ja, Elena wird eingestellt. Ihre Personalabteilung wird aufatmen, die mühsamen Gespräche ob und wie Datenschutz eingebaut werden kann, haben sich damit erledigt.
http://www.bmwi.de/BMWi/Navigation/Presse/pressemitteilungen,did%3D424742.html

- So viel zur sicheren Cloud!
US-Behörden dürfen auf europäische Cloud-Daten zugreifen.
Neben Google musste nun auch Microsoft erklären, dass sie US-Strafverfolgungsbehörden Zugriff auf von Kunden gespeicherte Daten gewähren müssen. Betroffen sind alle in der EU ansässige Firmen und in europäischen Rechenzentren liegende Daten. Eine Zusicherung, dass in seinen EU-Rechenzentren gespeicherte Daten Europa niemals verlassen könnten, kann damit nicht gegeben werden. Unternehmen, die ihren Firmensitz in den USA haben, müssen die dortigen Gesetze befolgen, dazu gehört der „Patriot Act“, der US-Strafverfolgern weitreichende Zugriffsrechte auf Daten gibt. Eine Garantie, das Betroffe, deren Daten herausgegeben werden, von der Datenübermittlung nachträglich informiert werden, gibt es nicht.
Eine Stellungnahme von der schleswig-holsteinischen Datenschutzaufsicht liegt vor, das ULD sieht eine Datenweitergabe aus dem EU-Gebiet heraus im Widerspruch zu europäischem Datenschutzrecht. Das Risiko einer Datenweitergabe stelle die Vertraulichkeit der auf Microsoft-Rechenzentren gehosteten Daten und Anwendungen infrage und entziehe bestehenden Verträgen zur Datenverarbeitungsdienstleistung die Grundlage.
http://heise.de/-1270455

Wenn Sie Cloud-Anbieter auswählen, sollten Sie sich fast besser auf rein europäische Firmen konzentrieren…

- Die Artikel29-Gruppe zu Cookies
Ziemlich eindeutig und gegen eine opt-out-Lösung hat sich in den vergangenen Wochen die "Artikel 29"-Gruppe der europäischen Datenschutzbeauftragten geäußert.
Die neuen EU-Datenschutzvorschriften verlangten eine "informierte Einwilligung" in eine Verfolgung der Online-Aktivitäten durch Cookies. Ein einmaliges Opt-in sei ausreichend und könne dann für den gesamten Vermarktungspartner gelten.
http://ec.europa.eu/justice/data-protection/article-29/documentation/other-d
ocument/files/2011/20110803_letter_to_oba_annexes.pdf

Hier müssen Sie abwarten...

- Verbesserungen in flickr.com
Nach aktuellen Meldungen (heise.de) sollten alle, die "Flickr", den Fotodienst nutzen, die Einstellmöglichkeiten überprüfen. Es gibt nunmehr eine neue Funktion eingeführt, mit der Datenschutzeinstellungen beim Geotagging eventuell verbessert werden können. Orte auf der Karte können mit Geofences umkreist und nur ausgewählten Kontaktgruppen zugänglich gemacht werden.
Auf jeden Fall eine Verbesserung gegenüber vorher! Sicher interessant für viele Ihrer Mitarbeiter

- Zu guter Letzt:
Nach Forsa sind 3/4 aller deutschen Internetnutzer in sozialen Netzwerken unterwegs. In den USA ungefähr die Hälfe aller erwachsenen Bürger. Poweruser sind bei den 18-29 Jährigen die Frauen mit 89% Anteil.
Da passt ein Zitat von sueddeutsche.de zum Zeitalter des Web2.0:
"ICH POSTE, ALSO BIN ICH"

Bis demnächst, Ihr Wolfgang Schmid

Newsletter Juni 2011

1. Genial und dennoch dreist ist die neue Machenschaft von Mark Zuckerberg & Co. - Facebooks Gesichtserkennung

Die Funktion ist datenschutzrechtlich insoweit vielleicht unbedenklich, da nur "Freunde", keine "Fremden" automatisch markiert werden können. Der Nutzer muss selbst aktiv werden um dem Gesicht einen Namen zuzuordnen. Getreu der Geschäftspolitik von Facebook muss der Nutzer die Funktion deaktivieren, sie ist zunächst seit wenigen Tagen automatisch aktiviert. Die heimliche Vorgehensweise ist ärgerlich, ohne Transparenz daher auch rechtlich fragwürdig.

Bitte informieren Sie Ihre Mitarbeiter folgendes zu tun: Klick in den Privatsphären-Einstellungen, Bereich "benutzerdefinierte Einstellungen", Menü "Dinge, die andere Personen teilen", hier die Option "Freunden Fotos von mir vorschlagen" sperren.

http://www.heise.de/newsticker/meldung/Facebooks-Gesichtserkennung-schreckt-Datenschuetzer-auf-1257815.html

2. Die Landesregierung von Schleswig Hollstein hat mit Unterstützung des ULD einen Gesetzentwurf vorgelegt, durch die die Verbreitung persönlicher Informationen im Netz deutlich verschärft werden soll. Personenbezogene Daten im Internet sollen nur noch veröffentlicht werden dürfen, wenn der Betroffene eingewilligt hat oder dies eine Rechtsvorschrift ausdrücklich erlaubt.

Es ist durchaus möglich, dass andere Bundesländer hier nachziehen.

http://www.schleswig-holstein.de/IM/DE/Service/Presse/PI/2011/110524_im_landesdatenschutzgesetz.html

3. EU-Datenschützer stellen Richtlinien zur Nutzung von Ortungsdaten auf

Nutzer von ortsbezogenen Mobildiensten sollen nach dem Wunsch europäischer Datenschützer klar über die Verwendung ihrer Daten informiert werden, um dieser explizit zustimmen zu können. Das geht aus einer Stellungnahme der " Artikel 29"-Gruppe der EU-Datenschutzbeauftragten hervor. Anbieter ortsbezogener Dienste könnten einen "vertraulichen Überblick über Gewohnheiten und Handlungsmuster" von Smartphone-Besitzern gewinnen und "umfassende Profile erstellen", heißt es darin. Die Technik erlaube eine "ständige Überwachung von Standortdaten".

Die Datenschützer schlagen auf Basis der bestehenden einschlägigen EU-Richtlinien vor, dass Anwendungen, die Standortdaten verwenden wollen, den Nutzer zunächst "unmissverständlich" über Umfang und Zweck der Datenerhebung aufklären und dann die Zustimmung einholen.

http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2011/wp185_en.pdf

4. Für Apples Ortsdatenspeicherung wird es kein finanzielles Nachspiel geben. Schade eigentlich...

Nach Auffassung der Bay. Datenschutzaufsicht gilt das Problem mit iOS-Ortsdatenspeicherung als behoben.

Standortinformationen würden mittlerweile nach sieben Tagen automatisch gelöscht. Apple hat außerdem versprochen, dass sämtliche Standortinformationen in den Zwischenspeichern der Geräte in der nächsten iOS-Version verschlüsselt werden sollen.

Wichtig und interessant an der Entscheidung ist für Sie folgende Passage:

"Angesichts der umgehend ergriffenen Maßnahmen sieht das Landesamt derzeit keine Notwendigkeit für ein aufsichtliches Einschreiten. Für einen konkreten Missbrauch der Daten lägen keine Anhaltspunkte vor. Datensicherheitsrechtliche Verstöße als solche sind nach dem Bundesdatenschutzgesetz nicht bußgeldbewehrt."

Apple hatte wohl umgehend mit der Aufsicht Kontakt aufgenommen, die Umstände geschildert und mögliche Bedrohungen, also konkret § 42a BDSG berücksichtigt. Damit war die Aufsicht rechtzeitig informiert, eine etwaige Bedrohung eines Bußgeldes wegen Verletzung des § 42a BDSG konnte abgewendet werden.

http://www.heise.de/newsticker/meldung/Datenschuetzer-sehen-Problem-mit-iOS-Ortsdatenspeicherung-als-behoben-an-1254643.html

Bis demnächst, Ihr Wolfgang Schmid

Newsletter Mai 2011

Apple, Google und Co.

Apples „Locationgate“ aber auch die WLAN-Mitschnitte von Google führen auch in Amerika zu Konsequenzen. Eine Sammelklage ich gegen Apple schon vor einigen Wochen eingereicht worden, jetzt müssen beide vor dem Unterausschuss für Datenschutz, Technik und Recht im US-Senat aussagen.

Es ist nicht zu leugnen, dass auch die USA sich stärker im Rahmen des Verbraucherschutzes der Privatsphäre und deren Schutz widmen.

http://www.heise.de/newsticker/meldung/Ortsdaten-Apple-und-Google-muessen-erneut-vor-US-Senat-aussagen-1244207.html

Facebook-Like-Button kann zulässig sein!

Von mehreren Gerichten in Berlin nunmehr bestätigt: Wird auf die Verwendung des Liek-Buttons hingewiesen und dies erklärt, ist der Einsatz –zumindest wettbewerbsrechtlich - zulässig.
Bitte überprüfen Sie Ihre Webseiten, ob entsprechende Erklärungen in der Datenschutzerklärung enthalten sind LG Berlin, 14.3.2011, 91 O 25/11 „Es besteht kein wettbewerbsrechtlicher Unterlassungsanspruch gegen einen Konkurrenten dahingehend, dass dieser es zu unterlassen hat, bei Verkäufen im Internet den facebook-like-Button "Gefällt mir" zu verwenden, wenn er nicht zugleich ausdrücklich über die damit verbundene Datenübertragung an facebook informiert.“

IP-Adresse doch nicht personenbezogen?

Der Streit geht weiter!
Das Oberlandesgericht Hamburg hat sich in einer Entscheidung vom 3. November 2010 zu der Frage geäußert, ob IP Adressen personenbezogene Daten sind (5 W 126/10):
"Dass das Ermitteln der IP-Adressen nach deutschem Datenschutzrecht rechtswidrig sein könnte, ist nicht ersichtlich, da bei den ermittelten IP-Adressen ein Personenbezug mit normalen Mitteln ohne weitere Zusatzinformationen nicht hergestellt werden kann."

IP-Adresse darf für 7 Tage gespeichert werden Der BGH (Az.: III ZR 146/10, verkündet am 13.1.2011), die “Befugnis zur Speicherung von IP-Adressen zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern an Telekommunikationsanlagen gemäß § 100 Abs. 1 TKG. Die Datenerhebung und –verwendung muss geeignet, erforderlich und im engeren Sinn verhältnismäßig sein, um abstrakten Gefahren für die Funktionstüchtigkeit des Telekommunikationsbetriebs entgegenzuwirken.”

Datenschützer kritisieren neuen IP-Adressen-Standard

Der neue IPv6 speichert deutlich mehr Information über das Gerät.
Näheres siehe
http://www.spiegel.de/spiegel/vorab/0%2C1518%2C759876%2C00.html

Cookies bald nur mit Einwilligung?

Die Umsetzung der EU-Datenschutzrichtlinie für elektronische Kommunikationsdienste, „ePrivacy-Direktive“, 2002/58 EG wird derzeit beraten. In dieser wird ein Art. 5 Abs. 3 für Arbeit sorgen: die datenschutzrechtlichen Voraussetzungen bei „cookies“ werden neu geregelt, mit Datum 24.Mai 2011 muss eine opt-in-Lösung statt der bisherigen Praxis der opt-out-Variante in nationales Recht umgesetzt werden.

Newsletter März 2011

Unter dem Link:
http://www.heise.de/newsticker/meldung/Zunehmende-Beschwerden-ueber-mangelnden-Datenschutz-in-Bayern-1208590.html
finden Sie aktuelle Meldung zur bay. Datenschutzaufsicht. Der neue Tätigkeitsbericht ist Online, der Bayern stellen "deutlich gestiegene Sensibilität" bei Kunden, Beschäftigten fest.

Datenschutzkodex für Geodienste
Microsoft, Google, die Deutsche Telekom, Nokia, die Deutsche Post und auch kleinere Firmen wie Navteq, Encourage Directories, Panolife und Panogate haben sich auf einen Datenschutzkodex für Geodienste verständigt.
Dieser kann abgerufen werden unter: http://www.bitkom.org/de/themen/50792_66098.aspx

Sicherheitslücken auf Social Networking Plattformen Auf „Socialnetworksecurity.org“ finden sich auf einer Übersicht bekannte Social-Media-Betreiber und dazu deren Defizite. Wenn Sie mit der Marketingabteilung zum Thema SocialMedia diskutieren, ist dies sehr interessant.

Rechtsprechung

Wie lange dürfen IP-Adressen von Nutzern der Webseiten gespeichert werden?
BGH vom 13.1.2011: 7 Tage sind in Ordnung. “Es genügt, dass die Datenerhebung und -verwendung geeignet, erforderlich und im engeren Sinn verhältnismäßig ist, um abstrakten Gefahren für die Funktionstüchtigkeit des Telekommunikationsbetriebs entgegenzuwirken.”

Personenbezug der IP-Adresse: Neue Rechtsprechung gegen die Auffassung der Aufsichtsbehörden Das Oberlandesgericht Hamburg hat sich in einer Entscheidung vom 3. November 2010 zu der Frage geäußert, ob IP Adressen personenbezogene Daten sind (5 W 126/10):
…"Dass das Ermitteln der IP-Adressen nach deutschem Datenschutzrecht rechtswidrig sein könnte, ist nicht ersichtlich, da bei den ermittelten IP-Adressen ein Personen bezug mit normalen Mitteln ohne weitere Zusatzinformationen nicht hergestellt werden kann."

Newsletter vom Januar 2011

1. Sehr kritisch wird auch weiterhin von den dt. Aufsichtsbehörden der Einsatz von Google Analytics betrachtet. Offenbar auch trotz Nachbesserung. Lesen Sie hier eine Pressemitteilung der Datenschutzaufsicht aus Rheinland-Pfalz
http://www.datenschutz.rlp.de/de/presseartikel.php?pm=pm2011012401

2. Der bay. Datenschutzbeauftragte für den öffentlichen Bereich hat zahlreiche Behörden aufgefordert, Google Analytics zu entfernen.
http://www.datenschutz-bayern.de/tbs/tb24/tb24.pdf

3. Auf Heise.de wurde vor wenigen Tagen berichtet, erstmals ist eine Firma anwaltlich abgemahnt und aufgefordert worden, eine Unterlassungserklärung abzugeben, Facebook-Like-Button nicht mehr zu verwenden!!! Bitte beachten Sie, falls Sie Like-Buttons verwenden, wenigstens Hinweise hierzu einzubauen. Es ist allerdings klar, dass kaum ein rechtssicherer Hinweis erteilt werden kann zur Datenverarbeitung, wenn kein Mensch weiß, welche Daten an Facebook übermittelt werden. Dass ein datenschutzrechtlicher Verstoß wettbewerbsrechtlich abmahnbar ist, wünsche ich mir schon länger.
Der Trend ist auf jeden Fall interessant...