Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht


Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

in seiner Plenarsitzung vom 12. Mai 2017 hat der Bundesrat dem Datenschutz-Anpassungs- und Umsetzungsgesetz-EU (DSAnpUG-EU) und dem darin enthaltenen neuen Bundesdatenschutzgesetz (BDSG-neu) zugestimmt. Das BDSG-neu soll am 25. Mai 2018 gleichzeitig mit der Datenschutz-Grundverordnung in Kraft treten und ist Teil des kommenden neuen Datenschutzrechts. Die Verkündung des Gesetzes im Bundesgesetzblatt ist für Juni 2017 vorgesehen. Eine erste (nicht-amtliche) konsolidierte Fassung des BDSG-neu ist hier bereits im Internet verfügbar.

Damit Sie gut auf die kommenden Änderungen des Datenschutzrechts vorbereitet sind, fassen wir für Sie auch diesen Monat wichtige Neuerungen des zukünftigen Datenschutzrechts zusammen. Schwerpunktmäßig befassen wir uns in diesem Monat mit der "Auftragsdatenverarbeitung unter der Datenschutz-Grundverordnung". Dabei gehen wir unter anderem auch auf die Frage ein, inwieweit sich gegenüber den bisherigen Regelungen zur Auftragsdatenverarbeitung Veränderungen ergeben werden. Zusätzlich berichten wir Ihnen wie gewohnt von Aktivitäten der Aufsichtsbehörden, Gerichtsurteilen und sonstigen Neuigkeiten aus der Welt des Datenschutzes.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters können Sie sich dabei an die E-Mail-Adresse datenschutz@brandi.net wenden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage; wir freuen uns auf Ihr Feedback. Viel Vergnügen bei der Lektüre dieser Ausgabe!

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Auftragsdatenverarbeitung unter der Datenschutz-Grundverordnung

In einer vernetzten und globalisierten Welt arbeiten Unternehmen selten ohne externe Unterstützung. Oftmals schalten Unternehmen für Zwischenschritte und einzelne Vorgänge Dienstleister ein, die im Hintergrund spezielle Aufgaben übernehmen. Vielfach werden den Dienstleistern zur Erfüllung ihrer Aufgaben auch personenbezogene Daten übermittelt, die das Unternehmen zuvor von den Betroffenen erhoben hat. Für eine solche Datenweitergabe wäre grundsätzlich eine Einwilligung der Betroffenen notwendig. Wenn ein Unternehmen mit einem Dienstleister aber eine Vereinbarung zur Auftragsdatenverarbeitung abschließt, ist eine Datenweitergabe vom Unternehmen an den Dienstleister auch ohne Einwilligung des Betroffenen möglich. Bei der Auftragsdatenverarbeitung handelt es sich insoweit um eine privilegierte Form der Datenverarbeitung. Der Hintergrund für diese Privilegierung liegt in der Tatsache, dass bei der Auftragsdatenverarbeitung die Kontrolle und Verantwortung für die Datenverarbeitung durch den Dienstleister bei dem Auftraggeber verbleibt.

Mit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 wird das Datenschutzrecht europaweit vereinheitlicht. Durch diese Vereinheitlichung ergeben sich auch einige Änderungen in Bezug auf die Auftragsdatenverarbeitung. Auf unserer Internetseite finden Sie in gewohnter Weise ausführliche Hinweise und Erläuterungen zu unserem Schwerpunktthema, insbesondere auch eine Antwort auf die Frage nach der zukünftigen Wirksamkeit von Vereinbarungen zur Auftragsdatenverarbeitung, die auf Grundlage der bisherigen Regelungen abgeschlossen wurden.

Schadprogramm "Wannacry" schädigt Computer in über 150 Ländern

Im Mai 2017 erfolgte ein großer Cyber-Angriff, bei dem über 200.000 Rechner in über 150 Ländern infiziert und verschlüsselt wurden. Die eingesetzte Schadsoftware "Wannacry" nutzte eine Sicherheitslücke im Netzwerkprotokoll von Microsoft und verbreitete sich auf alle erreichbaren vernetzten Rechner in einem Netzwerk und über IP-Anfragen ins Internet. Zwar hatte Microsoft bereits im März ein kritisches Sicherheitsupdate veröffentlicht, das die Infizierung mit Wannacry verhindert, dennoch konnte sich Wannacry aufgrund der Vielzahl der ungepatchten Systeme aber massiv und weltweit verbreiten.

Der Vorfall sollte als erneuter Aufruf verstanden werden, stets die aktuellsten Sicherheitsupdates einzuspielen. Auf diese Weise wird effektiv verhindert, dass Angreifer bekannte Sicherheitslücken ausnutzen. Systeme, die über Wochen hinweg nicht mit kritischen Sicherheitsupdates aktualisiert werden, sind verwundbar für Cyber- und Hacker-Angriffe, weil sie ein einfaches und lohnendes Ziel darstellen.

Millionenstrafe gegen Facebook

Die EU-Kommission hat gegen Facebook eine Geldbuße in Höhe von 110 Mio. Euro wegen irreführender Angaben zur Übernahme von WhatsApp verhängt. Die Kommission begründete ihre Entscheidung damit, dass Facebook bei der Anmeldung der Übernahme von WhatsApp falsche Angaben hinsichtlich der Übertragbarkeit von personenbezogenen Daten gemacht habe. Konkret ging es um die Möglichkeit zur Zusammenführung von Nutzerkonten bei Whatsapp und Facebook bzw. deren Abgleich. Die Höhe der Geldbuße sei bewusst gewählt, um andere Unternehmen von falschen Angaben bei Verfahren zur Fusionskontrolle abzuhalten.

Ein paar Tage zuvor hatte bereits die französische Datenschutzaufsicht ein Bußgeld in Höhe von 150.000 Euro gegen Facebook verhängt. Die Behörde begründete das Bußgeld damit, dass das Unternehmen auf fremden Internetseiten Daten von Personen erhebe, die selbst über kein Facebook-Nutzerkonto verfügen. Solche Personen hätten nie in die Datenverarbeitung eingewilligt. Ihnen sei in vielen Fällen gar nicht bewusst, dass Facebook auf anderen Internetseiten Informationen über sie sammelt. Das Bußgeld in Höhe von 150.000 Euro ist die Höchststrafe, die die französische Datenschutzbehörde nach geltendem Recht verhängen kann. Unter der Datenschutz-Grundverordnung können für Datenschutzverstöße Bußgelder von bis zu 20 Mio. Euro oder bis zu 4 % des weltweiten Jahresumsatzes verhängt werden. Die Frage der Auswertung von Daten solcher Nutzer, die nicht bei Facebook registriert sind, ist auch Gegenstand des Verfahrens bei dem Europäischen Gerichtshof (EuGH) über die Zulässigkeit der "Gefällt mir"-Funktion auf fremden Internetseiten.

BGH-Urteil: IP-Adressen sind personenbezogene Daten

Dynamische IP-Adressen sind personenbezogene Daten. Dies hat der Bundesgerichtshof mit Urteil vom 16. Mai 2017 entschieden (Az: BGH VI ZR 135/13). Mit dieser Entscheidung folgt das Gericht dem im Oktober 2016 ergangenen Urteil des Europäischen Gerichtshofs. Im konkreten Fall geht es um die Speicherung der IP-Adressen der Besucher auf Homepages, die von Bundesbehörden betrieben werden. Ob diese Speicherung zulässig ist, hat der BGH nicht abschließend entschieden. Vielmehr verwies das Gericht den Fall an das Berufungsgericht (LG Berlin) zurück, das nun unter anderem Feststellungen zum Gefahrenpotenzial von Angriffen auf die Homepage treffen soll. Letztlich seien Gesichtspunkt der Generalprävention und der Strafverfolgung mit den Interessen der Betroffenen im Rahmen einer Interessenabwägung in Einklang zu bringen.

Die Rechtslage ist auch nach dem Urteil des BGH weiterhin nicht vollständig geklärt. Betreiber von Internetseiten sollten das Urteil vielmehr zum Anlass nehmen, die Speicherung der IP-Adressen von Homepagebesuchern intern zu hinterfragen. Alternativen, wie etwa die Speicherung von gekürzten IP-Adressen, werden mittlerweile von den meisten Dienstleistern angeboten. Verbindlich ist die Vornahme solcher Maßnahmen aktuell aber nicht.

BSI formuliert Regelwerk für Mobile Device Management

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Regelwerk mit 40 Unterpunkten veröffentlicht, in dem die Anforderungen an den Einsatz von Systemen zur Überwachung von mobilen Endgeräten (Mobile-Device-Management-Systemen) in Bundesbehörden definiert werden. In dem Dokument werden vor allem Sicherheitseinstellungen beschrieben, die an den Geräten und der zugrundeliegenden Serverstruktur vorgenommen werden sollen. So ist beispielsweise geregelt, dass alle mobilen Endgeräte mit einem Kennwort oder Gerätecode geschützt und mit einer automatischen Bildschirmsperre ausgestattet sein sollen.

Das Regelwerk ist nur für Bundesbehörden verbindlich, kann aber auch für nicht-öffentlichen Unternehmen als Orientierungshilfe für die Verwaltung von mobilen Endgeräten dienen.

EU-Datenschutzbeauftragter fördert Austausch nationaler Behörden

Der Europäische Datenschutzbeauftragte möchte den Austausch von Verbraucher-, Datenschutz- und Wettbewerbsbehörden innerhalb der Europäischen Union fördern. Zu diesem Zweck wurden bereits im letzten Jahr Fragebögen an Behörden geschickt, deren Antwort nun ausgewertet werden sollen. Das sich durch den Zusammenschluss der Behörden bildende Netzwerk trägt den Namen "Digital Clearing House" und will sich insbesondere mit web-basierten Diensteanbietern wie Facebook und Big-Data-Geschäftsmodellen beschäftigen. Letztlich sollen so die Aktivitäten der Behörden innerhalb Europas abgestimmt und mögliche Synergieeffekte genutzt werden.

Die ersten öffentlichen Treffen des Digital Clearing House sollen im Herbst 2017 stattfinden. Bereits im Vorfeld findet ein intensiver Austausch zwischen den Beteiligten statt.