Sehr geehrte Damen und Herren,

bereits zum 20. Mal wurden im September 2020 die „Big Brother Awards“ in Deutschland verliehen. Mit dem Big Brother Award macht der Bielefelder Datenschutzverein Digitalcourage jedes Jahr auf einen seiner Ansicht nach problematischen Umgang mit Technik und Daten von Behörden und Unternehmen aufmerksam. Den Negativpreis erhielt dieses Mal beispielsweise das Unternehmen Tesla aufgrund der umfassenden Datenerfassung durch eingebaute Kameras in den Elektroautos des Unternehmens. Auch H&M erhielt einen Award wegen der umfangreichen Ausspionierung von Mitarbeitern. Über diesen Fall, in dem gegen H&M das bisher höchste Bußgeld für datenschutzrechtliche Verstöße in Deutschland in Höhe von 35,3 Millionen Euro verhängt wurde, berichten wir neben weiteren Themen ausführlicher in unserem Datenschutz-Newsletter.

In unserem Schwerpunktthema beschäftigen wir uns mit datenschutzrechtlichen Besonderheiten bei der geschäftlichen Nutzung von Instagram.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Datenschutz bei Instagram

Mehr als eine Milliarde Instagram-Konten weltweit werden nach Angaben von Facebook, dem Betreiber des sozialen Netzwerks, jeden Monat aktiv genutzt. 90 Prozent der Konten folgen einem Unternehmen auf Instagram; mehr als 200 Millionen Instagram-Nutzer besuchen täglich mindestens ein Unternehmensprofil. Die Zahlen basieren auf internen Daten von Facebook aus der Zeit zwischen November 2017 und Oktober 2019 und sind auf dessen Internetseite in den Informationen über Instagram for Business sowie in dem dortigen Leitfaden für Unternehmen abrufbar.

Angesichts dieser Zahlen verwundert es nicht, dass immer mehr Unternehmen Instagram für die Darstellung ihrer Produkte und zur Kundenansprache nutzen. Die wesentlichen Punkte, die bei der geschäftlichen Nutzung von Instagram in datenschutzrechtlicher Hinsicht zu beachten sind, haben wir diesen Monat in unserem Schwerpunktthema zusammengefasst.

Zum vollständigen Schwerpunktthema

Datenschutzbeauftragter Hamburg: 35,3 Millionen Euro Bußgeld gegen H&M

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat wegen Datenschutzverstößen im Servicecenter von H&M einen Bußgeldbescheid in Höhe von 35.258.707,95 Euro gegen die H&M Hennes & Mauritz Online Shop A.B. & Co. KG erlassen. Darüber berichtet die Aufsichtsbehörde auf ihrer Internetseite.

Vorgeworfen wird dem Unternehmen die Überwachung von mehreren hundert Mitarbeitern des H&M Servicecenters in Nürnberg durch die Center-Leitung. Mindestens seit dem Jahr 2014 seien in großem Umfang private Lebensumstände von einem Teil der Beschäftigten erfasst worden. Durch Gespräche mit den Mitarbeitern seien durch Vorgesetzte Urlaubserlebnisse, Krankheitssymptome, Diagnosen und weitere Informationen zu dem Privatleben der Mitarbeiter, unter anderem über familiäre Probleme und religiöse Bekenntnisse, erfasst worden. Entsprechende Notizen seien auf einem Netzlaufwerk dauerhaft gespeichert und mitunter für bis zu 50 weitere Führungskräfte lesbar gewesen. Die Daten seien neben einer Auswertung der individuellen Arbeitsleistung genutzt worden, um ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten.

Bekannt geworden sei die Datenerhebung dadurch, dass die Notizen infolge eines Konfigurationsfehlers im Oktober 2019 für einige Stunden unternehmensweit abrufbar waren. Nach Aufdeckung der Verstöße sei dem HmbBfDI nach dessen Angaben ein umfassendes Konzept von dem Unternehmen vorgelegt worden, wie ab jetzt an dem Standort Nürnberg Datenschutz umgesetzt werden solle. Die Unternehmensleitung habe sich bei den Betroffenen ausdrücklich entschuldigt und folge der Anregung, den Beschäftigten einen unbürokratischen Schadensersatz in beachtlicher Höhe auszuzahlen.

Nach Auffassung des HmbBfDI handele es sich in dem Fall um eine schwere Missachtung des Beschäftigtendatenschutzes, weshalb das verhängte Bußgeld in seiner Höhe angemessen und geeignet sei, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken. Das gegen H&M ausgesprochene Bußgeld ist das höchste in Deutschland und das zweithöchste in Europa, das bisher wegen Datenschutzverstößen verhängt wurde.

Hacker-Angriff auf die Uniklinik Düsseldorf

Die Uniklinik Düsseldorf ist Opfer eines Hacker-Angriffs geworden, bei dem 30 Server der Uniklinik verschlüsselt wurden. Berichten zufolge hätten die Angreifer dafür gesorgt, dass Systeme ausfielen und ein Zugriff auf gespeicherte Daten nicht mehr möglich war.

Offenbar war eigentlich ein Angriff auf die Düsseldorfer Universität geplant. Es wird von einem Erpresserschreiben berichtet, das an die Düsseldorfer Heinrich-Heine-Universität gerichtet war und in dem die Hacker zur Kontaktaufnahme aufforderten. Nach Mitteilung des mutmaßlichen Fehlers und der daraus folgenden Gefährdung von Patienten durch die Polizei an die Hacker hätten die Angreifer einen digitalen Schlüssel ausgehändigt, mit dem die Daten wieder entschlüsselt werden konnten.

Eine Patientin hätte wegen des Angriffs auf die Server der Klinik in ein weiter entferntes Krankenhaus gebracht werden müssen und sei deshalb erst mit einstündiger Verspätung behandelt worden. Sie sei kurze Zeit später gestorben. Gegen die Angreifer wird nun wegen des Verdachts fahrlässiger Tötung ermittelt.

Dass Hacker-Angriffe zunehmend eine Bedrohung darstellen, zeigt auch ein Bericht des Bundeskriminalamts, das in seinem Bundeslagebild Cybercrime 2019 vom 30.09.2020 einen Anstieg an Cyberkriminalität verzeichnet.

Neue Vorgaben für die Barrierefreiheit von Websites

Seit dem 23.09.2020 gelten neue Vorgaben für die Barrierefreiheit von Websites. Öffentliche Stellen müssen danach ihre Websites und zukünftig (ab dem 23.06.2021) auch mobile Anwendungen zugänglicher, wahrnehmbarer, verständlich und leichter bedienbar gestalten sowie eine Barrierefreiheitserklärung veröffentlichen. Öffentliche Stellen sind in dem Kontext nicht nur klassische Behörden, sondern auch Stellen, die von der öffentlichen Hand kontrolliert werden.

Die Regelungen gehen zurück auf die EU-Richtlinie vom 26.10.2016 über den barrierefreien Zugang zu den Websites und mobilen Anwendungen öffentlicher Stellen (RL (EU) 2016/2102). Die Anforderungen der Richtlinie sind in Nordrhein-Westfalen durch das Behindertengleichstellungsgesetz NRW (BGG NRW) sowie die Verordnung zur Schaffung barrierefreier Informationstechnik nach dem BBG NRW vom 18.06.2019
(BITV-NRW) umgesetzt worden.

Das BBG NRW und die BITV-NRW stellen sowohl technische als auch inhaltliche und gestalterische Anforderungen an den barrierefreien Betrieb einer Online-Anwendung. Zur Umsetzung der neuen Anforderungen sieht die BITV-NRW eine Umsetzungsfrist für Websites bis zum 23.09.2020 vor. Sofern dies noch nicht geschehen ist, ist Unternehmen zu empfehlen, ihre Website und in naher Zukunft auch ihre mobilen Anwendungen dahingehend zu überprüfen, ob die neuen Anforderungen eingehalten werden.

BGH zum „Recht auf Vergessenwerden“

Zu der Entscheidung des Bundesgerichtshofs (BGH) vom 27.07.2020 zum „Recht auf Vergessenwerden“ wurde mittlerweile der Volltext veröffentlicht (BGH, Urt. v. 27.07.2020, VI ZR 405/18). Es liegt damit nun die vollständige Begründung der Entscheidung des Gerichts vor.

In dem Fall begehrte der Kläger von der Beklagten als der Verantwortlichen für die Internetsuchmaschine „Google“, es zu unterlassen, bestimmte Presseartikel bei einer Suche nach seinem Namen in der Ergebnisliste nachzuweisen. In den Vorinstanzen hatte dies keinen Erfolg.

Der BGH hat die Revision des Klägers zurückgewiesen. Der geltend gemachte Anspruch des Klägers ergebe sich nicht aus Art. 17 Abs. 1 DSGVO. Der Anspruch aus Art. 17 Abs. 1 DSGVO erfordere eine umfassende Abwägung der Grundrechte des Betroffenen, der Grundrechte der Beklagten, der Interessen ihrer Nutzer und der Öffentlichkeit sowie der Grundrechte der Anbieter der in den beanstandeten Ergebnislinks enthaltenen Inhalte. Die sich gegenüberstehenden Grundrechte seien gleichberechtigt miteinander abzuwägen. Daraus folge auch, dass der Verantwortliche einer Suchmaschine nicht erst dann tätig werden müsse, wenn er von einer offensichtlichen Rechtsverletzung des Betroffenen Kenntnis erlange. In dem konkreten Fall hätten die Grundrechte des Klägers hinter den Interessen der Beklagten und den Interessen der Nutzer, der Öffentlichkeit und der für die verlinkten Zeitungsartikel verantwortlichen Presseorgane zurückzutreten.

Revision des schweizerischen Datenschutzgesetzes

Da die Schweiz nicht Mitgliedstaat der EU ist, sind Unternehmen in der Schweiz nicht in gleicher Weise wie europäische Unternehmen von dem Anwendungsbereich der DSGVO umfasst. Nach Art. 3 Abs. 2 DSGVO findet die Verordnung aber auch auf die Datenverarbeitung durch nicht in der EU niedergelassene Stellen Anwendung, wenn die Datenverarbeitung im Zusammenhang damit steht, Betroffenen in der EU Waren oder Dienstleistungen anzubieten oder das Verhalten von Betroffenen in der EU zu beobachten. Durch die nationalen Gesetze in der Schweiz werden zudem zentrale Grundgedanken aus dem europäischen Datenschutzrecht übernommen.

Das Schweizer Parlament hat am 25.09.2020 die Revision des schweizerischen Datenschutzgesetzes (Bundesgesetz über den Datenschutz, DSG) verabschiedet. Durch die Revision wird das schweizerische Datenschutzgesetz modernisiert, ohne jedoch die Grundprinzipien des bestehenden Gesetzes zu kippen. Ziele der Revision sind es, den Schutz personenbezogener Daten zu stärken und dabei dem technologischen Fortschritt Rechnung zu tragen. Inhaltlich orientiert sich das neue DSG stark an der DSGVO, um das Datenschutzniveau in der Schweiz dem der EU anzupassen. Dies soll bewirken, dass die EU die Schweiz auch zukünftig als Drittstaat mit einem angemessenen Datenschutzniveau anerkennt, damit die grenzüberschreitende Datenübermittlung auch künftig möglich bleibt. Angesichts der Orientierung an der DSGVO und der Stärkung des Datenschutzes ist zunächst davon auszugehen, dass für Datenübermittlungen in die Schweiz auch nach der Revision von einem der EU vergleichbaren Schutzniveau in der Schweiz ausgegangen werden kann.

Das neue DSG stärkt unter anderem die Kompetenzen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) und verschärft die Sanktionen bei Verletzungen. Der Text ist auf der Internetseite des Schweizer Parlaments abrufbar.

Ob gegen das neue DSG ein öffentliches Referendum durchgeführt wird und wann es in Kraft treten wird, ist derzeit noch offen.