Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht


Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

im Rahmen einer Studie des Software-Unternehmens Varonis wurden 500 internationale IT-Entscheidungsträger, davon 100 Deutsche, zur Umsetzung und den Auswirkungen der Datenschutz-Grundverordnung befragt. 81% der befragten Entscheidungsträger aus Deutschland zweifeln an einer fristgerechten Umsetzung der Anforderungen der Datenschutz-Grundverordnung in ihrem Unternehmen. Zugleich gehen über 85% der deutschen Befragten und 75% aller Befragten IT-Entscheidungsträger davon aus, dass die Datenschutz-Grundverordnung in Deutschland besonders streng umgesetzt wird.

Damit Sie gut auf die Anforderungen der Datenschutz-Grundverordnung vorbereitet sind, greifen wir mit unserem Newsletter jeden Monat ein datenschutzrechtliches Thema auf und erläutern im Rahmen des Schwerpunktthemas die zukünftigen Änderungen genauer. In diesem Monat befassen wir uns mit "Technischen und organisatorischen Maßnahmen unter der Datenschutz-Grundverordnung". Dabei vergleichen wir unter anderem die zukünftigen Anforderungen an Unternehmen mit dem bisherigen Konzept unter dem Bundesdatenschutzgesetz. Zusätzlich berichten wir in gewohnter Weise auch über weitere aktuelle Entwicklungen im Datenschutzrecht, insbesondere über die Aktivitäten des Gesetzgebers, der Gerichte und der Aufsichtsbehörden.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters können Sie sich dabei an die E-Mail-Adresse datenschutz@brandi.net wenden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage; wir freuen uns auf Ihr Feedback. Viel Vergnügen bei der Lektüre dieser Ausgabe!

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

 

Thema des Monats: Technische und organisatorische Maßnahmen unter der Datenschutz-Grundverordnung

Zur Einhaltung der datenschutzrechtlichen Vorschriften müssen Unternehmen Vorkehrungen zum Schutz der von ihnen gespeicherten personenbezogenen Daten treffen. Nach den gesetzlichen Vorgaben ist es erforderlich, geeignete technische und organisatorische Maßnahmen zu treffen, die die Sicherheit der Datenverarbeitung gewährleisten. Im Wesentlichen geht es darum, die personenbezogenen Daten vor einem Zugriff durch unberechtigte Dritte oder vor versehentlicher Löschung zu schützen.

Welche konkreten technischen und organisatorischen Maßnahmen ein Unternehmen ergreift, um die Sicherheit der Verarbeitung zu gewährleisten, steht im Ermessen des Unternehmens. Der Gesetzgeber hat die insoweit einschlägigen Bestimmungen bewusst abstrakt formuliert. Entscheidend ist letztlich, dass die Summe der getroffenen Maßnahmen einem der Verarbeitung angemessenen Datenschutzniveau entspricht.

Mit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 wird das Datenschutzrecht europaweit vereinheitlicht. Durch diese Vereinheitlichung ergeben sich auch einige Änderungen in Bezug auf die Vorgaben zu den technischen und organisatorischen Maßnahmen.

Auf unserer Internetseite finden Sie in gewohnter Weise ausführliche Hinweise und Erläuterungen zu unserem Schwerpunktthema, insbesondere auch eine Gegenüberstellung der geltenden und zukünftigen Anforderungen, nach denen Unternehmen technische und organisatorische Maßnahmen etablieren müssen.

 

Beschluss des OVG NRW: Vorratsdatenspeicherung verstößt gegen Unionsrecht

Das Oberverwaltungsgericht NRW (OVG NRW) hat mit Beschluss vom 22.06.2017 entschieden, dass die ab dem 01.07.2017 geltende Pflicht zur Vorratsspeicherung von Verkehrsdaten bei der Nutzung von Telefon- und Internetdiensten durch Telekommunikationsdienste gemäß § 113b ff. TKG nicht mit dem EU-Recht vereinbar ist (Az. 13 B 238/17). Der Beschluss erging im Rahmen eines Verfahrens im einstweiligen Rechtsschutz.

Zuvor hatte der Europäische Gerichtshof im Dezember 2016 Regelungen zur anlasslosen Vorratsdatenspeicherung durch Telekommunikationsunternehmen in Schweden und Großbritannien für rechtswidrig erklärt (Urteil vom 21.12.2016, Az: C‑203/15 und C‑698/15). Eine "allgemeine und unterschiedslose" Speicherung der Kommunikationsmetadaten ermöglicht nach Ansicht der EuGH-Richter eine Auswertung von privaten Verhaltensweisen, Lebensäußerungen, Bewegungen, Aktivitäten und Beziehungen der betroffenen Personen. Diese Informationen seien deswegen ebenso schutzwürdig wie der eigentliche Inhalt der Kommunikation. Eine Überwachung dürfte somit nicht flächendeckend, sondern nur gezielt für bestimmte Zeiträume, geografische Gebiete oder bestimmte Personenkreise erfolgen, die im Zusammenhang mit schweren Straftaten stehen könnten. Auch müssen die materiell- und verfahrensrechtlichen Voraussetzungen für den Zugang der zuständigen nationalen Behörden zu den gespeicherten Daten konkret festgelegt werden.

Diese Argumentation übertrug das OVG NRW nun auf den vorliegenden Fall, in dem ein Münchener IT-Unternehmen sich mit einer Klage und gleichzeitigem Antrag auf Erlass einer einstweiligen Anordnung in erster Instanz an das Verwaltungsgericht Köln (Beschluss vom 25.01.2017, Az: 9 L 1009/16) gewandt hatte. Anders als das VG Köln war das OVG NRW der Ansicht, dass die für deutsche Telekommunikationsanbieter bestehende Speicherpflicht ebenfalls eine allgemeine und unterschiedslose Speicherung von Verkehrsdaten sei, die nicht mit den Anforderungen des Art. 15 Abs. 1 der europäischen Datenschutzrichtlinie für elektronische Kommunikation (RL 2002/58/EG vom 12. Juli 2002) vereinbar ist.

Formell gilt der Beschluss des Gerichts nur gegenüber dem klagenden IT-Unternehmen und nur im einstweiligen Rechtsschutz. Als Reaktion auf das Urteil und mit Hinblick auf die "über den Einzelfall hinausgehende Begründung" hat die Bundesnetzagentur jedoch bekannt gegeben, dass sie die Durchsetzung der Vorratsdatenspeicherung bis zum rechtskräftigen Abschluss des Hauptverfahrens aussetzen wird. Dies bedeutet für alle Provider, dass bis dahin auch keine Bußgelder wegen einer nicht-erfolgten Umsetzung verhängt werden.

 

Datenschutzvorfall: Persönliche Daten von 198 Mio. US-Wählern online abrufbar

Wie die IT-Sicherheitsfirma UpGuard berichtet, ist eine 1,1 TB große Datenbank des US-Unternehmens "Deep Root Analytics" online in einem ungeschützten Verzeichnis des Unternehmens verfügbar gemacht worden. Die Datenbank enthielt personenbezogene Daten zu über 198 Mio. US-Wählern, was fast der gesamten wahlberechtigten Bevölkerung in den USA entspricht. Neben den Namen, Geburtsdaten, Adressen, Telefonnummern, geographischen Koordinaten seien auch Informationen zur Rasse, Religion und den jeweiligen politischen Ausrichtung der Betroffenen, etwa zum Waffenbesitz, Obamacare, Staatsschulden, Einwanderung und auch den Präsidentschaftskandidaten gespeichert worden. Die Daten, die bis in das Jahr 2008 zurückreichen, seien das Ergebnis einer 100 Mio. Dollar Daten-Kampagne des Republican National Committee, der Dachorganisation der Republikanischen Partei der USA.

Das Unternehmen Deep Root Analytics hatte kurz nach dem Bekanntwerden des Datenschutzvorfalls seinen Fehler in einem Datenschutz-Statement eingestanden. Dieses Statement ist allerdings mittlerweile nicht mehr abrufbar.

 

Bundestag schafft Rechtsgrundlage für heimliche Online-Durchsuchungen durch Strafverfolgungsbehörden

Der Bundestag hat am 22. Juni den Entwurf eines Gesetzes zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens angenommen und damit unter anderem eine Rechtsgrundlage für heimliche Online-Durchsuchungen zur Strafverfolgung in der Strafprozessordnung geschaffen. Zukünftig können Behörden bei einem Verdacht auf "besonders schwere Straftaten" heimlich die Computer und Smartphones von Verdächtigen ausspähen.

Die Entscheidung des Bundestages ist nicht unumstritten und wird unter anderem vom ehemaligen Bundesdatenschutzbeauftragten Peter Schaar kritisiert. Insbesondere die technische Durchsetzung dieser neuen rechtlichen Möglichkeiten durch Strafverfolgungsbehörden wird hinterfragt. Soweit bewusst Lücken im Softwareschutz für den externen Zugriff durch die Behörden gelassen werden, erhöhe sich auch die Wahrscheinlichkeit, dass unberechtigte Dritte, insbesondere Hacker, diese Schutzschwachstellen ausnutzen. Die Gesellschaft für Freiheitsrechte hat bereits eine Verfassungsbeschwerde gegen das Gesetz angekündigt.

 

Netzwerkdurchsetzungsgesetz vom Bundestag beschlossen

Am 30. Juni hat der Bundestag den Gesetzentwurf zur Verbesserung der Rechtsdurchsetzung in sozialen Netzwerken ("Netzwerkdurchsetzungsgesetz") angenommen. Das Gesetz verpflichtet Betreiber von sozialen Netzwerken ein wirksames und transparentes Verfahren zum Umgang mit Nutzerbeschwerden einzuführen. Der Gesetzentwurf war während des Gesetzgebungsverfahrens mehrfach massiv kritisiert worden, da Plattformbetreiber unter anderem bußgeldbedroht verpflichtet werden, "offensichtlich rechtswidrige Inhalte" innerhalb einer 24-Stunden-Frist zu löschen. Nach Ansicht der Kritiker animiere eine derartige Verpflichtung Betreiber sozialer Netzwerke zu einer übermäßigen Löschung in Zweifelsfällen, da die fälschlicherweise vorgenommene Löschung von rechtmäßigen Inhalten nicht mit Bußgeldern geahndet werden kann.

 

Ex-Mitarbeiter vernichtet alle Kundendaten von niederländischem Provider

Ein ehemaliger Administrator des niederländischen Hosting-Providers Verelox hat nach dem Ende seines Arbeitsverhältnisses alle Kundendaten und die meisten Server des Unternehmens gelöscht. Zunächst hieß es in einer ersten Mitteilung des Unternehmens, es können nicht alle Daten wiederhergestellt werden. Letztlich gab das Unternehmen aber bekannt, dass keine wichtigen Daten verloren gegangen seien. Detail dazu, wie und aus welchem Grund der Ex-Admin die Löschung vorgenommen hat, sind nicht bekannt. Unternehmen sollten die Meldung zum Anlass nehmen, beim Einsatz von Hosting-Dienstleistern im Rahmen der Auftragsdatenverarbeitung auch das Backup-Konzept kritisch zu überprüfen.

 

Chinesischer Betrugsring verkaufte Apple-Nutzerdaten

Nach Berichten der South China Morning Post wurden in China 22 Personen verhaftet, die personenbezogene Daten von Apple-Nutzern verkauft haben sollen. Von den 22 Verhafteten sollen 20 im Direktmarketing und Outsourcing von Apple beschäftigt gewesen sein. Den Verdächtigen wird vorgeworfen, sie hätten über die Nutzerdatenbank von Apple Anfragen über verschiedene Nutzer gestellt und deren Daten, unter anderem Namen und Telefonnummern, verkauft. Für einen Datensatz sollen die vermeintlichen Täter zwischen 10 RMB (ca. 1,30 €) und 180 RMB (ca. 23,50 €) erhalten haben. Insgesamt habe die Gruppe damit gut 6,5 Mio. € eingenommen. Das chinesische Ministerium für öffentliche Sicherheit hatte bereits im letzten Jahr eine großangelegten Aktion initiiert, in dessen Rahmen ca. 15.000 Personen festgenommen, die im Verdacht stehen, Internetstraftaten wie beispielsweise den Verkauf von personenbezogenen Daten begangen zu haben.

 

Urteil des AG Bad Hersfeld zur Nutzung von WhatsApp

Das Amtsgericht Bad Hersfeld hat in einem Beschluss vom 15.05.2017, umfangreiche Anforderungen an den Umgang mit digitalen Medien im familiären Umfeld aufgestellt (Az. F120/17 EASO). Aus den erst jetzt vollständig veröffentlichten Beschlussgründen ergibt sich, dass das Gerichts die Auffassung vertritt, Eltern hätten die Pflicht, minderjährige Kinder bis zum 18. Lebensjahr bei der Nutzung von digitalen "smarten" Medien (Smartphones, Tablets, Apps, Messanger-Dienste) zu begleiten und zu beaufsichtigen. Dabei sei es insbesondere Aufgabe der Eltern, die Kinder bezüglich der Gefahren der Nutzung von WhatsApp und der Datenerhebung durch die WhatsApp Inc. aufzuklären. Im konkreten Fall wurde die Kindesmutter vom Gericht verpflichtet, mit ihrem Sohn eine schriftliche Medien-Nutzungsvereinbarung abzuschließen.

Das Gericht hat dabei die Auffassung vertreten, dass ein Nutzer durch die andauernde Datenweitergabe von WhatsApp zulässt, dass WhatsApp Informationen aus dem Adressbuch des Telefons ausliest. Nach Auffassung des Gerichts sei dies nur dann zulässig, wenn die Person, deren Nummer im Telefonbuch gespeichert wurde, auch in die diesbezügliche Datenweitergabe an WhatsApp eingewilligt hat; anderenfalls läge eine abmahnfähige unerlaubte Handlung vor. Inwieweit die Entscheidung rechtskräftig ist oder von dem zuständigen Berufungsgericht nochmals überprüft wird, ist nicht bekannt. Es bleibt in jedem Fall zunächst abzuwarten, ob sich diese sehr restriktive Auffassung zur Nutzung von WhatsApp durch Minderjährige durchsetzen wird.

 

GMail scannt E-Mails von Verbrauchern nicht mehr für Werbezwecke

Das Unternehmen Google hat angekündigt, dass Gmail-Konten von Verbrauchern zukünftig nicht mehr für Werbezwecke ausgewertet werden. Bislang waren die Inhalte der kostenlosen Gmail-Accounts von Verbrauchern, einschließlich der E-Mails, von dem US-Unternehmen zum Anbieten von personalisierter Werbung durchsucht worden. Auswertungsfrei war lediglich die kostenpflichtige Gmail-Variante des G Suite-Angebots. Durch die Umstellung werden normale Gmail-Konten bezüglich der Auswertung der Mail-Inhalte diesen G Suite-Gmail-Konten gleichgestellt.

Die Ankündigung von Google bezieht sich einzig auf die Auswertung der E-Mails zu Werbezwecken. Unternehmen, die Gmail für betriebliche Zwecke nutzen, benötigen daher weiterhin eine Vereinbarung zur Auftragsdatenverarbeitung mit Google.