Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht


Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

fast jeder zweite Deutsche sorgt sich, dass seine personenbezogenen Daten unberechtigten Dritten zur Kenntnis gelangen und von diesen missbräuchlich genutzt werden können. Nur die Angst vor Terrorismus, Krieg und Epidemien ist in Deutschland stärker ausgeprägt. Dies ist das Ergebnis des Unisys Security Index 2017, der aktuellen Verbraucherbefragung des IT-Unternehmens Unisys, in dessen Rahmen Verbraucher aus 13 Staaten zu ihrem Sicherheitsempfinden befragt werden.

Diese Angst ist mit Hinblick auf eine neue Studie des Digitalverbands Bitkom wohl berechtigt. In der Studie, in dessen Rahmen 1.069 Geschäftsführer und Sicherheitsverantwortliche befragt wurden, kommt Bitkom zu dem Ergebnis, dass mehr als die Hälfte der Unternehmen in Deutschland im letzten Jahr Opfer von Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden ist. Der dadurch insgesamt verursachte Schaden beläuft sich nach Angaben von Bitkom auf ca. 55 Mio. Euro.

Zudem droht Unternehmen nicht nur der böswillige Zugriff auf Daten von außen: Auch durch menschliches Versagen können versehentlich Daten veröffentlicht werden. So hat die Deutsche Post vor wenigen Wochen versehentlich die Daten von 200.000 Kunden im Internet veröffentlicht.

Wir haben diese Entwicklung zum Anlass genommen, uns in diesem Monat in unserem Schwerpunktthema mit dem "Vorgehen bei Datenschutzverstößen unter der DSGVO" zu beschäftigen. Dabei gehen wir insbesondere darauf ein, welche Melde- und Informationspflichten Unternehmen treffen, deren Daten unberechtigten Dritten zur Kenntnis gelangen.

Zusätzlich berichten wir in gewohnter Weise auch über weitere aktuelle Entwicklungen im Datenschutzrecht, insbesondere über die Aktivitäten des Gesetzgebers, der Gerichte und der Aufsichtsbehörden.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters können Sie sich dabei an die E-Mail-Adresse datenschutz@brandi.net wenden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage; wir freuen uns auf Ihr Feedback. Viel Vergnügen bei der Lektüre dieser Ausgabe!

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

 

Thema des Monats: Meldepflichten bei Datenschutzverstößen unter der DSGVO

Einen absoluten Schutz gespeicherter Daten kann es nie geben. Solange Daten aufbewahrt werden, können diese durch ein Versehen oder kriminelle Handlungen abhandenkommen und veröffentlicht werden. Sollten Daten unberechtigten Dritten zur Kenntnis gelangen, löst dies regelmäßig umfangreiche Informations- und Meldepflichten aus. Der Hintergrund für die diesbezüglichen gesetzlichen Regelungen ist unter anderem der Grundsatz der datenschutzrechtlichen Transparenz, nach dem Betroffene über den Umfang und die Zwecke der Nutzung personenbezogener Daten informiert werden müssen. Ein Bestandteil dieser Transparenz ist auch die Aussage, ob Daten gegen den Zugriff Unbefugter ausreichend geschützt sind. Nur wenn ein Betroffener diesbezüglich informiert ist, kann er einer (weiteren) Datenverarbeitung informiert zustimmen oder widersprechen.

Mit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) und der Anwendung ihrer Regelungen im Mai 2018 wird das Datenschutzrecht europaweit vereinheitlicht. Durch diese Vereinheitlichung ergeben sich auch einige Änderungen in Bezug auf die Pflicht zur Meldung von Datenschutzverstößen bzw. Verletzungen personenbezogener Daten.

Auf unserer Internetseite finden Sie in gewohnter Weise ausführliche Hinweise und Erläuterungen zu unserem Schwerpunktthema, insbesondere auch eine Gegenüberstellung der geltenden und zukünftigen gesetzlichen Regelungen zur Meldepflicht bei Datenschutzverstößen.

 

Bundeskriminalamt findet Sammlung von 500 Mio. E-Mail-Adressen und Passwörtern

Das Bundeskriminalamt hat nach eigenen Angaben in einer "Underground-Economy-Plattform" im Internet eine Sammlung von ca. 500 Mio. ausgespähten Zugangsdaten gefunden. Die Daten bestehen aus Email-Adressen mit dazugehörigen Passwörtern und wurden vermutlich aus verschiedenen Hacking-Angriffen über einen längeren Zeitraum zusammengetragen.

Nutzer können durch den "Identity Leak Checker" des Hasso-Plattner-Instituts überprüfen, ob ihre E-Mail-Adressen und Passwörter betroffen sind.

Unternehmen und Privatpersonen sollten diese Meldung zum Anlass nehmen, ihre E-Mail-Adressen zu kontrollieren und gegebenenfalls ihre Passwörter zu ändern. Zudem sollte darauf geachtet werden, bei einer Nutzung identischer Daten für andere Dienste auch die dortigen Passwörter angepasst werden.

 

Bundesarbeitsgericht: Keylogger zur Mitarbeiterüberwachung ohne begründeten Verdacht einer Straftat unzulässig

Der Einsatz eines Software-Keyloggers, mit dem alle Tastatureingaben an einem dienstlichen Computer für eine verdeckte Überwachung und Kontrolle des Arbeitnehmers aufgezeichnet werden, ist nach Auffassung des BAG unzulässig, wenn kein auf den Arbeitnehmer bezogener, durch konkrete Tatsachen begründeter Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung besteht. Die durch einen unzulässigen Keylogger-Einsatz gewonnenen Erkenntnisse sind in einem gerichtlichen Verfahren nicht verwertbar. Dies hat das Bundesarbeitsgericht (BAG) vergangene Woche entschieden (Urteil vom 27.07.2017, Az: 2 AZR 681/16), wie aus einer Pressemitteilung des Gerichts hervorgeht.

Im konkreten Fall hatte ein Arbeitgeber einen angestellten Web-Entwickler verdächtigt, seinen PC-Arbeitsplatz während der Arbeitszeiten verbotenerweise privat zu nutzen. Deswegen hatte der Arbeitgeber unter anderem mit einem Keylogger sämtliche Tastatureingaben am Arbeitsplatz des Arbeitnehmers protokolliert und regelmäßig über eine installierte Software Bildschirm-Screenshots anfertigen lassen. Die so erfassten Informationen bestätigten den Verdacht des Arbeitgebers, wobei das letztliche Ausmaß der Privatnutzung zwischen den Parteien strittig war. Der Arbeitgeber kündigte dem Arbeitnehmer daraufhin fristlos aus wichtigem Grund.

Nach Auffassung des Bundesarbeitsgerichts verstieß die Überwachung des Mitarbeiters gegen das Recht des Mitarbeiters auf informationelle Selbstbestimmung. Die Zulässigkeit der Überwachung durch den Arbeitgeber sei mit Hinblick auf die Anforderungen des § 32 BDSG zu beurteilen. Danach sei eine derartige Überwachungsmaßnahme nur dann zulässig, wenn der Mitarbeiter einer Straftat oder schwerwiegenden Pflichtverletzung gegenüber dem Arbeitgeber verdächtig sei. Da diese Voraussetzung nicht erfüllt sei, sei die in diesem Fall gewählte Maßnahme "unverhältnismäßig" gewesen. Zudem stellt das Gericht klar, dass die Privatnutzung allein keine Kündigung ohne Abmahnung rechtfertig.

Das BAG erkennt in dem Urteil richtigerweise, dass sich die Überwachungsmaßnahmen nicht über § 32 Abs. 1 S. 2 BDSG rechtfertigen lässt, da keine Straftat zugrunde liegt. Fälschlicherweise lehnt das Gericht aber eine Anwendung von § 32 Abs. 1 S. 1 BDSG ab, obwohl die Regelung ausweislich der Gesetzesbegründung (BT-Drucks. 16/13657 S. 21) gerade in den Fällen vertragswidrigen Verhaltens einschlägig sein soll (vgl. Riesenhuber, Beck-OK Datenschutzrecht, 18. Edition 2016, § 32 Rn. 115 m.w.N.). Prinzipiell ließe sich eine Überwachung damit - zumindest aus datenschutzrechtlicher Sicht - sehr wohl rechtfertigen.

Es kann im vorliegenden Fall aber diskutiert werden, ob die konkrete Form der Überwachung (Keylogger und Screenshots) mit Hinblick auf die vermeintliche Pflichtverletzung gemessen an den Voraussetzungen des § 32 Abs. 1 S. 1 BDSG verhältnismäßig war. Insoweit sind möglicherweise andere, weniger eingriffsintensive Maßnahmen denkbar, mit denen die Pflichtverletzung hätte nachgewiesen werden können, wie beispielsweise eine Auswertung der auf dem Arbeitsrechner aufgerufenen Internetseiten.

Angesichts der unterschiedlichen Auffassungen, die zu der Frage der verdeckten Überwachung von Mitarbeitern vertreten werden, ist es empfehlenswert, entsprechende Maßnahmen jedenfalls nicht ohne vorherige rechtliche Prüfung zu veranlassen.

 

OLG Köln: Schadenersatz wegen Bildveröffentlichung von Patienten

Ein Fotojournalist kann sich strafbar machen, wenn er Fotos eines Krankenhauspatienten gegen dessen Willen fertigt und diese an eine Redaktion weitergibt, ohne auf eine Unkenntlichmachung der Bilder hinzuwirken. Zu diesem Urteil kommt das OLG Köln (Urteil vom 02.06.2017r, Az: III-1 RVs 93/17). In konkreten Fall hatte ein Journalist in einem Krankenhaus das Wort "Ebola" aufgeschnappt und daraufhin ungefragt Fotos eines Patienten gemacht, auf den sich die Aussage zuvor bezogen hatte. Obwohl sowohl der Patient als auch die Ärzte und die hinzugerufene Polizei ausdrücklich wünschten, dass die Fotos noch vor Ort gelöscht werden, bot der Journalist die Aufnahmen später mehreren Redaktionen an. Eine Redaktion nahm die Aufnahmen an und veröffentlichte das unverpixelte Gesicht des Patienten mit der Bildunterschrift "Ebola-Verdächtiger".

Nach Auffassung des OLG Köln machte sich der Journalist durch sein Verhalten gemäß § 33 KunstUrhG strafbar, indem er die Aufnahmen ohne Einwilligung des Betroffenen verbreitete. Etwas anderes ergebe sich auch nicht aus der Pressefreiheit. Vielmehr seien die Rechte des Betroffenen in jedem Stadium der Veröffentlichung zu berücksichtigen. Der Journalist hätte somit der Redaktion den entgegenstehenden Willen des Patienten mitteilen und auf eine Unkenntlichmachung hinweisen müssen. Das Urteil ist rechtskräftig.

 

Schadenersatz für Nutzer nach Hack auf Seitensprung-Portal

Im Sommer 2015 war der Betreiber des Seitensprung-Portals Ashley Madison gehackt worden. Kurze Zeit darauf waren unter anderem die Namen, E-Mail-Adressen, Angaben über sexuelle Vorlieben und die im Portal versendeten Nachrichten der über 32 Mio. Nutzer online verfügbar gemacht worden. Unter den veröffentlichten Daten waren auch Informationen über Nutzer enthalten, die zuvor einen von Ashley Madison angebotenen, kostenpflichtigen Service zur Löschung ihrer Daten genutzt hatten. Offenbar hatte das Portal die Löschung nicht wie versprochen durchgeführt. Auf die Veröffentlichung der Daten folgten Erpressungsversuche sowie - nach Angaben von Online-Medien - Fälle von Selbstmord bloßgestellter Nutzer.

Nun haben die Betreiber des Portals bekannt gegeben, sich mit Nutzern auf die Zahlung von Schadenersatz in Höhe von 11,2 Mio. US-Dollar (ca. 9,8 Mio. Euro) geeinigt zu haben. Um Schadenersatz zu erhalten, müssen die Nutzer ihren jeweiligen Schaden nachweisen.

 

Datenaustausch zwischen EU und Japan soll erleichtert werden

Die Europäische Union und Japan haben am 6. Juli 2017 eine grundsätzliche Einigung über die wesentlichen Elemente eines Wirtschaftshandelsabkommens erzielt. Das Handelsabkommen, das voraussichtlich den Namen "JEFTA" (Japanese-European Free Trade Agreement) tragen wird, soll auch eine Bestätigung enthalten, dass in Japan ein der EU entsprechendes Datenschutzniveau vorliegt. Damit wird JEFTA für den Datenaustausch mit Japan wohl ähnliche Wirkungen haben wie das umstrittene "EU-US Privacy Shield" für den Datenaustausch mit den USA.

Im Rahmen der Einigung wurde auch eine gemeinsame Erklärung zum Thema Datenschutz abgegeben. Danach haben sich die europäischen und japanischen Datenschutzbestimmungen mit ihren jüngsten Reformen "noch stärker angenähert".

Unternehmen, die Datenaustausch mit Japan betreiben, dürften von einer entsprechenden Einigung profitieren. Bisher ist Japan noch kein der EU entsprechendes Datenschutzniveau bescheinigt worden. Eine aktuelle Liste der Staaten, für die eine solche Bestätigung vorliegt, kann auf der Seite der EU-Kommission abgerufen werden.

 

Beschwerdeformular für EU-US Privacy Shield veröffentlicht

Seit dem 01.08.2016 ist das EU-US Privacy Shield eine Grundlage für den Datenaustausch zwischen Unternehmen in der Europäischen Union und den USA. Das EU-US Privacy Shield ermöglicht EU-Bürgern unter anderem, ihre Rechte auf Information, Auskunft, Berichtigung und Löschung direkt gegenüber den US-Unternehmen und bei den nationalen Aufsichtsbehörden geltend zu machen.

Das Datenschutzbehörden aus Bayern und Hessen haben nun ein einheitliches Beschwerdeformular veröffentlicht, dass Betroffene verwenden können, um von diesem Recht Gebrauch zu machen. Auf dem Internetauftritt der Datenschutzbehörde Bayern finden sich umfassende Informationen, wie mit den verschiedenen Beschwerdefällen im Weiteren umgegangen wird.

 

Österreich beschließt neues Datenschutzgesetz

Nach Deutschland nutzt nun auch Österreich die Öffnungsklauseln in der Datenschutzgrundverordnung. Der Nationalrat hat am 29.06.2017 das Datenschutz-Anpassungsgesetz 2018 beschlossen, das im Wesentlichen aus dem neuen österreichischen Datenschutzgesetz (DSG) besteht. Der Text des neuen österreichischen DSG kann direkt von der Homepage des österreichischen Parlaments heruntergeladen werden.