Datenschutz betrifft mich nicht! Oder doch?

Warum soll ich mich überhaupt als Privatperson für Datenschutz interessieren?

Der Datenschutz ist ein weites Feld. Was für Unternehmen häufig eine komplexe Aufgabe ist, um den hohen Bußgeldern zu entgehen, ist die Einstellung von Privatpersonen eine Frage der Gemütlichkeit.

Cookie-Banner erscheinen, ein Klick, alle Cookies sind akzeptiert und man kann ungestört weiter surfen. Deshalb die nicht unwichtige Frage, warum überhaupt Datenschutz als Privatperson?

“Berechtigte Frage”, könnte man denken. Schließlich spielt sich der Datenschutz in einer eigenen Blase ab. Diesem Irrtum unterliegen leider viele Leute.

Folgender Fall zeigt aber sehr schön, dass der Datenschutz Auswirkungen auf unseren Alltag haben und es sich dann vielleicht doch lohnen kann, diesen zu beachten. Ein Inkassounternehmen schickte einer Frau ein Schreiben wegen einer Forderung. Da die Forderung aus einem lange vergangenen Mietstreit stammte, wies die Frau die Forderung als unbegründet zurück. Viele Monate später kam es dann zu einer Sperrung ihrer Kreditkarte, sowie der Ablehnung einer Girokontoeröffnung. Das Inkassounternehmen hatte die Nichtzahlung der Forderung der Schufa gemeldet. Die Frau wandte sich mit einem Eilantrag an das Landgericht, welches das Inkassounternehmen verpflichtete, die Information der Nichtzahlung gegenüber der Schufa rückgängig zu machen.

Die einschlägige Rechtsgrundlage, in diesem Fall, Art. 6 Abs. 1 S. 1 lit. f DSGVO, wurde aber, im Hinblick der Interessenabwägung, zu wenig auf die Grundrechte und Grundfreiheiten der betroffenen Person geachtet.

Personen, welche einen negativen Eintrag haben, aber die Forderung bestreiten, müssen das Recht haben, sich rechtzeitig dagegen zur Wehr zu setzen, so die Kammer.

Der Fall zeigt ganz schön, dass Datenschutz starke Auswirkungen auf unseren Alltag haben kann. Gerade Daten bezüglich der Bonität sind häufig direkt mit Konsequenzen verknüpft.

Wer also den Datenschutz auf die leichte Schulter nimmt, sollte sich an den Fall erinnern und fragen, ob es sich nicht doch lohnt, ein wenig auf Datenschutz zu achten.

Q1: https://rsw.beck.de/aktuell/daily/meldung/detail/lg-frankenthal-datenschutz-schufa-eintrag-ist-bei-bestrittener-forderung-unzulaessig

Rechte der betroffenen Person

Es mag selten vorkommen, aber es besteht immer die Möglichkeit, dass die betroffenen Personen ihre Rechte geltend machen.

Mit unserer Unterstützung wird dein Unternehmen gut vorbereitet sein, wenn die Rechte der betroffenen Person geltend gemacht werden.

E-Rezepte – Utopie oder bald Realität?

Gesundheit! – Das E-Rezept hat Probleme mit dem Datenschutz

Die Diskussion um Datenschutz und Gesundheitsdaten ist nichts Neues. Richtig in den Fokus gerückt ist die Situation, als der Digitale Impfpass für die COVID-19 Impfung angekündigt wurde.

Berichtet wurde damals über die Chancen und Risiken, die eine Digitalisierung von Prozessen im Gesundheitssektor mit sich bringt. Während die Risiken von einigen Parteien unterschiedlich bewertet wurden, war sich die Mehrheit doch einig, dass die Chancen des Vorhabens nicht von der Hand zu weisen waren.

Das zweitgrößte Thema, neben dem digitalen Impfpass, waren die elektronischen Rezepte, welche Ende 2020 für einen frischen Wind im Gesundheitssektor sorgen sollten. Doch der aktuelle Umsetzungsstand ist enttäuschend. Statt der Neuerungen mit QR-Codes, werden immer noch größtenteils Rezepte auf Papier ausgestellt.

Woran scheitert die Umsetzung, wenn die Chancen doch so vielzählig sind? Zunächst muss man feststellen, dass es das Patientendaten-Schutz-Gesetz (kurz PDSG) gibt, welches die Einführung des E-Rezepts regelt. Die Änderung, die das PDSG mit sich brachte, war eine Pflicht der Ausstellung von elektronischen Rezepten ab Januar 2022.

Kritische Stimmen aus der Praxis hatten allerdings dazu geführt, dass die Umsetzung verschoben wurde. Die Neuerung sei mit einem hohen Aufwand verbunden und störe bereits bestehende Prozesse, hieß es damals. Um diese Hürden zu überwinden, entschied man sich, die Einführung zunächst in Pilotprojekten zu testen, Erfahrungen zu sammeln und dann zu einem späteren Zeitpunkt die Einführung des elektronischen Rezepts zu starten.

Doch bevor das Pilotprojekt starten konnte, machte der erste Testkreis einen Rückzieher. Diesmal waren es Bedenken im Datenschutz, die eine Umsetzung des E-Rezepts erschweren. Insbesondere die Übermittlung des QR-Codes stelle bereits eine Übermittlung von Gesundheitsdaten dar. Eine Übermittlung ohne Verschlüsselung und die frei erhältlichen Apps führen zu einem erhöhten Risiko, dass die Gesundheitsdaten in die Hände unbefugter gelangen.

Ist das elektronische Rezept damit gescheitert?

Zumindest Westfalen-Lippe stellt sich für einen Testlauf bereit. Die gewonnenen Erfahrungen können dann vielleicht mit der Einbeziehung von Praktikern und Datenschützern ausgewertet werden und doch noch zu einer Einführung des E-Rezepts führen. Die geplante Einführung in der gesamten Bundesrepublik in 2023 scheint allerdings sehr unwahrscheinlich.

Daten besonderer Kategorie

Daten, welche unter Art. 9 DSGVO fallen, bedürfen eines besonderen Schutzes.

Wir helfen dir, die Verarbeitung rechtmäßig zu gestalten und das Datenschutzniveau in deinem Unternehmen anzuheben.

Sag´ mir, wie deine Freunde heissen!

Sensible Daten gemäß Art. 9 Abs. 1 DSGVO

Manche Daten sind schützenswerter als andere.

Die DSGVO bestätigt diese Annahme, indem sie eine Ausnahme der Verarbeitung besonderer Kategorien personenbezogener Daten in Art. 9 festhält. Im ersten Absatz werden Daten aufgelistet, bei welchen eine Datenverarbeitung untersagt ist. Der zweite Absatz bildet dann die Rückausnahme, in welchen Fällen eine Verarbeitung der im ersten Absatz genannten Daten doch erlaubt ist.

Bei der Umsetzung der DSGVO wird der Fokus meist auf Art. 6 gelegt, welcher die Rechtsgrundlagen der Verarbeitung regelt. Dem Art. 9 DSGVO wird häufig weniger Beachtung geschenkt. Lediglich bei einzelnen Verarbeitungstätigkeiten steht Art. 9 DSGVO immer wieder im Mittelpunkt, zum Beispiel bei derer im Kontext der Beschäftigung, wo Krankheitsdaten für Krankenversicherungen verarbeitet werden.

Aber wie weit reicht eigentlich Art. 9 DSGVO? Diese Frage hatte der EuGH kürzlich zu klären. In einem Fall aus Litauen musste ein Mitarbeiter einer Einrichtung Angaben zu privaten Beziehungen machen. Neben der Frage, ob die Norm des litauischen Rechts mit Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO in Einklang steht, ob die Angaben eines Namens indirekt zu einer Verarbeitung von sensiblen Daten im Sinne des Art. 9 DSGVO führt.

Wenn das der Fall sein sollte, dann ist der Bereich des Art. 9 DSGVO sehr weit zu verstehen. Der EuGH bejahte das weite Verständnis des Art. 9 DSGVO, mit Hinblick auf den Schutz der betroffenen Person. Das Urteil zeigt aber erneut das Spannungsverhältnis zwischen Art. 6 und Art. 9 auf und wie unklar die Grenzen dieser beiden Normen doch verlaufen. Für die Praxis ist es daher unerlässlich, dass man sich Gedanken macht, ob verarbeitete Daten nicht doch unter die besondere Kategorie fallen, wenn man einzelne Daten mit einem anderen Blick auf die Sache untersucht. Somit sollte aus praktischer Perspektive zukünftig verstärkt auf diese Möglichkeit geachtet werden.

Q1: EuGH Urt. v. 01.08.2022 – C-184/20 

Verzeichnis von Verarbeitungstätigkeiten

Das Verzeichnis von Verarbeitungstätigkeiten ist das A und O im Datenschutz. Artikel 30 DSGVO stellt hohe Anforderungen an das Verzeichnis von Verarbeitungstätigkeiten.

Wir unterstützen bei der Erstellung des Verzeichnis von Verarbeitungstätigkeiten.

Telegram und der Hass im Netz

Telegram erneut im Visier

Das Bundesamt für Justiz hat ein Bußgeld gegen den Messengerdienst Telegram erlassen. Grund für das Bußgeld waren Verstöße gegen das Netzwerkdurchsetzungsgesetz.

Das Netzwerkdurchsetzungsgesetz war eine Maßnahme, um Hasskriminalität und strafbare Inhalte im Netz einzudämmen. Die Betreiber von sozialen Medien sind nach dem Netzwerkdurchsetzungsgesetz verpflichtet, ein System einzurichten, bei dem sich die Nutzer beschweren können und die Inhalte melden.

Telegram stand in den vergangenen Jahren immer wieder im Mittelpunkt der Medien, weil innerhalb Telegram-Gruppen strafbare Inhalte und Hasskriminalität verbreitet wurden. Das Bundesamt für Justiz mahnt an, dass Telegram keinen ordentlichen Meldeweg eingerichtet hat.

Außerdem habe Telegramm keinen Zustellungsbevollmächtigten benannt und keine ladungsfähige Anschrift. Die Rechtsdurchsetzung sei dadurch gehindert.

Dass die Betreiber der Dienste eine wichtige Rolle in der Bekämpfung von Hasskriminalität spielen, ist hinlänglich bekannt.

Welche weiteren Konsequenzen der Messengerdienst zu befürchten hat ist fraglich. Die Bundesinnenministerin Nancy Faeser drohte Telegram anfang des Jahres bereits mit der Abschaltung des Dienstes in Deutschland.

Datenschutzmanagement-System

Um stets einen Überblick zu behalten, empfiehlt sich ein Datenschutzmanagement-System.

Wir unterstützen hier gerne, damit du immer einen Überblick über den Datenschutz im Unternehmen hast.

Auch schon abgemahnt worden?

Stolperfalle Google Fonts

Einige Monate sind ins Land gegangen seit dem Urteil des Landgerichts München vom 20.01.2022. Die gut informierten Datenschützer wissen wahrscheinlich schon Bescheid.

Anfang des Jahres hatte das Landgericht München entschieden, dass die Einbindung von Google Fonts über die Fonts API nicht datenschutzkonform ist.

Google Fonts ist, wie der Name schon vermuten lässt, ein Produkt des Google Konzern. Nutzer können auf ihrer Webseite Schriftarten verwenden und ändern, ohne dass diese dafür auf den eigenen Server hochgeladen werden müssen.

Und hier liegt auch die Problematik, welche das LG München damals untersuchte. Beim Aufrufen der Webseite werden Daten an den Google Server übermittelt und dieser steht nunmal in den Vereinigten Staaten von Amerika.

Das Urteil ist insoweit also wenig überraschend. Interessant ist jedoch, dass nun Monate später eine Welle von Abmahnungen über Deutschland rollt.

Die Lösung der Problematik liegt aber näher als man denkt. Denn Google Fonts kann auch heruntergeladen und dann auf der eigenen Webseite hochgeladen werden. Somit fällt die Übermittlung in die USA weg und Google Fonts sind datenschutzkonform eingebunden.

Für Webseitenbetreiber die Google Fonts nutzen, aber noch nicht auf den datenschutzkonformen Weg umgestiegen sind, ist es jetzt Zeit zu handeln, um den Abmahnungen und eventuellen Bußgeldern aus dem Weg zu gehen.

Q1: LG München , Urteil v. 20.01.2022 – 3 O 17493/20

Übermittlung in ein Drittland

Die Übermittlung in ein Drittland ist, nicht zuletzt durch das „Schrems-II“ Urteil des EuGH, kniffliger als viele denken.

Wir helfen ihnen sicherzustellen, dass die Datenübermittlung DSGVO-konform abläuft.

 

Mein iPhone ist SAFE!

iPhones und iPads durch BSI in Sicherheit bestätigt

Der BSI hat sich Smartphones und Tablets angesehen, um die Sicherheitseigenschaften zu testen. Das Thema der Informationssicherheit ist deutlich einfacher umzusetzen, wenn bei der Entwicklung der Produkte schon voraus gedacht wurde.

Die Software iOS und iPadOS sind nach der Prüfung des BSI als sicher eingestuft.

In gemeinsamer Zusammenarbeit zwischen Apple und dem BSI wurde das System auf Herz und Nieren geprüft. Nicht nur die Sicherheitsmaßnahmen des Betriebssystems, sondern auch die vorinstallierten Anwendungen konnten den BSI überzeugen.

Als Ergebnis gab der BSI die Produkte für den staatlichen Einsatz frei. Angemerkt wurde aber, dass VPN und ein Gerätemanagement System trotzdem eingehalten werden müssten.

Das positive Ergebnis hat den BSI und Apple veranlasst, auch in der Zukunft zu kooperieren. Aus der Perspektive des Datenschutzes sind die Entwicklungen, die das Unternehmen aus Kalifornien macht, durchaus positiv zu bewerten.

Für Apple scheint es mehr als eine Marketingstrategie zu sein, einen Fokus auf die Thematik des Datenschutzes zu legen.

Q1: https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2022/221005_Apple_Sicherheitsfunktionen.html

 

Sicherheit der Verarbeitung

Datenschutz und IT-Sicherheit gehen Hand in Hand. Verantwortliche und Auftragsverarbeiter haben technische und organisatorische Maßnahmen zu ergreifen, um ein angemessenes Schutzniveau zu gewährleisten.

Wir unterstützen bei der Ausarbeitung der sogenannten TOM.

Engel links, Teufel rechts – Der DSB im Dilemma

Interessenkonflikt beim Datenschutzbeauftragten

 

Die Rolle des Datenschutzbeauftragten ist ein Kernpunkt im Datenschutz.

Es gibt interne und externe Datenschutzbeauftragte. Manche kommen aus der IT, andere hingegen aus der Juristerei.

Häufig wird die Rolle auch missverstanden, als derjenige, der sich um den Datenschutz kümmert. Eine Sache ist dabei aber immer essentiell wichtig: Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten übernehmen, aber diese dürfen nicht zu einem Interessenkonflikt führen.

Diese Anforderung stellt die DSGVO in Art. 38 Abs. 6 S. 2 klar auf. Diese Anforderung findet in der Praxis wenig Beachtung. Häufig sind Kompetenzen oder Motivation im Bereich entscheidender, um diese Rolle zu bekleiden. Übergeht man die Anforderung, kann das aber harte Konsequenzen nach sich ziehen.

Eine Tochtergesellschaft eines Berliner E-Commerce-Konzerns hatte einen Datenschutzbeauftragten benannt, der als Geschäftsführer von Dienstleistern, die wiederum auch Teil des Konzerns waren, tätig war.

Ein Bußgeld in Höhe von 525.000 € wurde verhängt. Dies ist allerdings noch nicht rechtskräftig.

Der Fall zeigt, dass man bei der Bestellung des DSB die Interessenlage zumindest mal prüfen sollte, bevor man handelt.

DSB

Mit unserer Unterstützung als externer Datenschutzbeauftragter machen wir das Unternehmen fit im Thema Datenschutz.

Cookie-Banner Chaos

Cookie-Banner sind lästig?

Cookie-Banner sind notwendig! In diesem Zwiespalt befindet man sich als datenschutzaffiner Internetnutzer oder Webseitenbetreiber aktuell.

Beim Öffnen einer Seite sind sie meistens als Erstes zu sehen. Manche sind kurz und knapp gestaltet. Andere hingegen sind kompliziert, lang und nur mit mehreren Klicks zu bewältigen.

Abhilfe sollte in der Vergangenheit eine Regelung des „Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien“ (kurz TTDSG) schaffen, wodurch Consent-Management-Tools genutzt werden, um Cookies und Einwilligungen zu verwalten.

Leider führten diese Tools in der Praxis nicht zu dem gewünschten Erfolg, sodass sich nun das Bundesministerium für Digitales und Verkehr der Problematik angenommen hat. Neuerungen soll es in der inhaltlichen Gestaltung geben, wonach es den Unternehmen untersagt wird, durch Designtricks und Voreinstellungen den Nutzer zu beeinflussen.

Zudem soll die Masse an Bannern dadurch reduziert werden, dass generelle Einwilligungen in die Nutzung gegeben werden können. Da die Vorhaben aber bisher nicht offiziell geäußert wurden, bleibt abzuwarten in welcher konkreten Gestaltung diese präsentiert werden.

Das Spannungsverhältnis von Informiertheit der betroffenen Person und userfreundlicher Nutzung von Webseiten wird aber wohl weiterhin bestehen bleiben.

Cookie-Banner

Genau wie Cookies müssen Pixel über den Cookie-Banner eingebunden werden, um die betroffene Person zu informieren.

Wir helfen dir dabei, einen DSGVO-konformen Cookie-Banner zu erstellen.

Frist vertrödelt – 500 Euro Strafe!

Schadensersatz bei verspäteter Auskunft

Das Schadensrecht im Datenschutz steht immer wieder im Fokus. Eine der häufigsten Fallkonstellationen sind solche, in denen betroffene Personen ihre Rechte geltend machen und die Verantwortlichen diesen nicht oder nur teilweise nachkommen.

Das OLG Köln hat nun in einem Verfahren einer Klägerin einen Schadensersatzanspruch in Höhe von 500€ zugesprochen, weil ihr Auskunftsersuchen zu spät beantwortet worden ist.

Gemäß Art. 12 Abs. 3 S.1 DSGVO sind die betroffenen Personen innerhalb eines Monats zu informieren, um die Geltendmachung der Rechte aus Art. 15 bis 22 DSGVO zu beantworten. Im zugrunde liegenden Fall ist der ehemalige Anwalt der Klägerin nicht nachgekommen.

Durch die verspätete Auskunft litt die Klägerin unter psychischem Stress, da sie Sorge hatte, ob die Geltendmachung von Ansprüchen, um die es im ehemaligen Mandantenverhältnis ging, noch möglich sei.

Ungleich, wie man den vorliegenden Fall für sich einschätzt, ist dieses Urteil eine erneute spannende Entwicklung. Der immaterielle Schaden muss zwar in jedem Fall dargelegt werden können, aber es scheint so, als ob Gerichte diesen Begriff weit fassen.

Q1: OLG Köln, Urteil vom 14.7.2022 – 15 U 137/21

 

Rechte der betroffenen Person

Es mag selten vorkommen, aber es besteht immer die Möglichkeit, dass die betroffenen Personen ihre Rechte geltend machen.

Mit unserer Unterstützung wird dein Unternehmen gut vorbereitet sein, wenn die Rechte der betroffenen Person geltend gemacht werden.

Cookie Consent mit Real Cookie Banner