Sehr geehrte Damen und Herren,

passend zum "Safer Internet Day" wünschen wir Ihnen viel Vergnügen bei der Lektüre unseres Newsletters.

„Jedes dritte kleine oder mittelständische Unternehmen in Deutschland war schon einmal von Wirtschaftsspionage oder Konkurrenzausspähung betroffen“, teilte das Max-Planck-Institut für ausländisches und internationales Strafrecht Ende vergangenen Jahres mit. Neben Angriffen auf das Know-how versuchen Täter oftmals Zugriff auf Kunden- oder Geschäftspartnerdaten sowie Preislisten von Zulieferern zu erhalten. Von den im Rahmen der Studie untersuchten 392 Strafakten stammten 43 % der Straftäter selbst aus den angegriffenen Unternehmen, in weiteren 23 % der Fälle handelte ein Team aus Innen- und Außentätern. 

Um Straftäter und deren Verfolgung geht es in unserem Newsletter in diesem Monat auch an anderer Stelle. So besprechen wir ein Urteil des Bundesverfassungsgerichts (BVerfG) zur gerichtlich geforderten Speicherung von Täterdaten. Daneben berichten wir Ihnen wie gewohnt über andere Neuigkeiten aus der Welt des Datenschutzes, z.B. über 2,2 Milliarden gehackte Nutzerdaten, die in den vergangenen Wochen veröffentlicht wurden.

Das Schwerpunktthema in dieser Ausgabe befasst sich mit der Datenerhebung bei Unfällen und in Schadensfällen. Anlass für das Schwerpunktthema ist – wie bereits im letzten Monat – eine Vielzahl von Mandantenanfragen, die wir zu diesem Thema erhalten haben.

In eigener Sache können wir mitteilen, dass wir unser datenschutzrechtliches Team verstärkt haben. Zum 1. Februar 2019 hat Herr Félix Paul seine Stelle als wissenschaftlicher Mitarbeiter angetreten. Wir werden Herrn Paul in unserem nächsten Newsletter näher vorstellen und in den folgenden Ausgaben auch zukünftig nach und nach allen Mitarbeitern die Gelegenheit geben, sich noch einmal kurz vorzustellen.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters können Sie sich an die E-Mail-Adresse datenschutz@brandi.net wenden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage; wir freuen uns auf Ihr Feedback.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Datenverarbeitung bei Unfällen und Schadensfällen

Kommt es in Unternehmen zu (Arbeits-)Unfällen oder zu Sach- bzw. Personenschäden steht regelmäßig das Unfallgeschehen im Vordergrund. Erst nachgelagert wird dann die Frage aufgeworfen, inwieweit die Unternehmensabläufe mit den datenschutzrechtlichen Anforderungen der DSGVO und des BDSG vereinbar sind. Dabei ist offensichtlich, dass es sich bei den erhobenen Informationen zum Unfallgeschehen, zu den Beteiligten und zu etwaigen Verletzungen um personenbezogene Daten im Sinne der DSGVO handelt.

Da im Ernstfall zu Recht die Versorgung etwaiger Verletzter im Vordergrund steht, sollten Unternehmen bereits vorab die notwendigen Vorkehrungen zur Einhaltung des Datenschutzes treffen. Die nachfolgenden Ausführungen sollen dabei helfen, etwaige rechtliche Unsicherheiten aufzulösen und einen Überblick über die Maßnahmen zu geben, die der Datenschutz fordert.

Zunächst ist festzuhalten, dass Unternehmen verpflichtet sind, bei Arbeitsunfällen ihrer Mitarbeiter bestimmte personenbezogene Daten zu erheben. Die Erhebung von Informationen über Arbeitsunfälle ist für Unternehmen regelmäßig erforderlich, damit diese ihren Pflichten zur Anzeige des Versicherungsfalls an den Unfallversicherungsträger aus § 193 SGB VII nachkommen können. Eine solche Meldepflicht besteht zwar ausweislich des Gesetzeswortlauts nur dann, wenn Arbeitnehmer sterben oder so verletzt sind, dass diese länger als drei Tage arbeitsunfähig werden. Eine Dokumentation des Unfalls ist aber auch anderenfalls erforderlich, damit nachgewiesen werden kann, dass die gesetzlichen Anforderungen des § 193 SGB VII gerade nicht vorliegen. Insoweit ergibt sich eine datenschutzrechtliche Rechtfertigung für die Erhebung dieser Daten dann aus Art. 6 Abs. 1 S. 1 lit. c), 9 Abs. 2 lit. b) DSGVO.

Zum vollständigen Schwerpunktthema

BVerfG zur gerichtlich angeordneten Speicherung von Täterdaten

Das BVerfG hat mit Beschluss vom 20.12.2018 (Az. 2 BvR 2377/16) entschieden, dass Anbieter von E-Mail-Diensten gerichtlichen Anordnungen zur Speicherung von Täterdaten auch dann zu folgen haben, wenn eine Speicherung von personenbezogenen Daten aus Datenschutzgründen im normalen Geschäftsbetrieb systembedingt verhindert wird.

Im konkreten Fall hatte der E-Mail-Provider Posteo ein System für besonders effektiven Kundendatenschutz entworfen, bei dem systemseitig nur besonders wenige Informationen zu den eigenen Kunden gespeichert werden. Insbesondere speicherte Posteo unter Berufung auf den Grundsatz der Datensparsamkeit bisher keine IP-Adressen der Kunden, sondern anonymisierte bzw. löschte diese bereits während der Abwicklung von Serveranfragen frühestmöglich.

Als Ermittlungsbehörden wegen des Verdachts von Verstößen gegen das Betäubungsmittel- und Kriegswaffenkontrollgesetz auf die IP-Adresse eines Posteo-Nutzers zugreifen wollten, wollte und konnte Posteo mangels einer Speicherung keine Daten herausgeben. Aus diesem Grund wurde gegen Posteo ein Ordnungsgeld erlassen, gegen das sich Posteo nach längerem Rechtsstreit mit einer Verfassungsbeschwerde vor dem BVerfG wehren wollte.

Das BVerfG erklärte, die Speicherung der IP-Adressen des fraglichen Nutzers könne von einem E-Mail-Provider verlangt werden. Zum einen ergebe sich dies bereits aus § 100a StPO, §§ 3 Nr 30, 96 Abs. 1 Nr. 1 TKG sowie § 7 Telekommunikationsüberwachungsordnung. Zum anderen seien entsprechende Maßnahmen auch zum Erhalt einer „funktionstüchtigen Strafrechtspflege“ erforderlich. Im konkreten Fall könne sich ein E-Mail-Provider also in Erwiderung auf eine gerichtliche Anordnung nicht auf die Unmöglichkeit der Datenspeicherung berufen, wenn die Unmöglichkeit durch den E-Mail-Provider bewusst selbst voreingestellt worden ist. Allein die Wahl eines datenschutzoptimierten Geschäftsmodells könne insoweit nicht von der Pflicht zur Mitwirkung bei der Strafverfolgung befreien.

In seinem Beschluss hat das BVerfG eindeutige Grenzen des Grundsatzes der Datensparsamkeit aufgezeigt. Damit hat das BVerfG erneut bestätigt, dass das Datenschutzrecht nicht als alleiniges Recht „über allem“ steht, sondern stets auch andere Rechtsvorschriften, die Grundrechte anderer und auch staatliche Interessen das Datenschutzrecht einzuschränken vermögen. Angesichts der Schwere der im konkreten Fall zugrundeliegenden Straftaten, insbesondere der Verstöße gegen das Kriegswaffengesetz, kann die Entscheidung des BVerfG nur begrüßt werden.

Das Urteil des BVerfG ist auch nicht als ein Aufruf zur verdachtsunabhängigen Vorratsdatenspeicherung zu verstehen. Das BVerfG hat vielmehr entschieden, dass E-Mail-Provider sich eine gerichtlich angeordneten Datenspeicherung nicht selbst unmöglich machen dürfen. Insoweit ist insbesondere auch denkbar, dass E-Mail-Provider anlassbezogene Speicherungen  vornehmen und in Bezug auf die übrigen Kunden weiter mit systemseitiger Datensparsamkeit agieren.

Frankreich: 50 Mio. Euro Bußgeld gegen Google

Die französische Datenschutzbehörde CNIL hat gegen das US-Unternehmen Google wegen Verstößen gegen die DSGVO seit Ende Mai 2018 ein Bußgeld in Höhe von 50 Mio. Euro verhängt. Die Aufsichtsbehörden kritisierte insbesondere die unzureichenden bzw. nur schwer zugänglichen Informationen zur Speicherdauer und zur Verwendung der erhobenen Daten. Außerdem sei die von Google eingeholte Einwilligung in die Verwendung von personenbezogenen Daten zu Werbezwecken unwirksam, weil die Betroffenen nicht ausreichend informiert wurden. Die Behörde betonte ausdrücklich, dass es sich nicht nur um Verstöße aus der Vergangenheit handelt, sondern die beanstandeten Datenverarbeitungen „bis heute“ andauern.

Bei dem Bußgeld gegen Google handelt es sich um das erste Bußgeld wegen Verstößen gegen die DSGVO in Frankreich. Zugleich ist es das bisher höchste verhängte Bußgeld unter der DSGVO insgesamt.

Der Bußgeldbescheid der Behörde erging am 21. Januar 2019, genau einen Tag bevor Google seinen europäischen Hauptsitz der Datenverarbeitung von den USA nach Irland verschiebt. Ab dem 22. Januar 2019 hätte sich die französische Aufsichtsbehörde in einem Bußgeldverfahren mit der irischen Aufsichtsbehörde abstimmen müssen, da diese unter der DSGVO für Google zuständig wird. Google hat bereits angekündigt, Rechtsmittel gegen den Bußgeldbescheid einzulegen.

BMWi veröffentlicht Orientierungshilfe zum Gesundheitsdatenschutz

Das Bundesministerium für Wirtschaft und Energie (BMWi) hat eine Orientierungshilfe zum Datenschutz für Gesundheitsdaten veröffentlicht. Das 100-seitige PDF-Dokument richtet sich vornehmlich an Unternehmen und datenverarbeitende Stellen in der deutschen Gesundheitswirtschaft, enthält aber auch Hinweise für alle anderen Unternehmen, die Gesundheitsdaten verarbeiten.

Passwort-Sammlung im Internet: 2,2 Milliarden Nutzerdaten veröffentlicht

Eine gewaltige Sammlung von gehackten Nutzerdaten wurde im Internet veröffentlicht: Insgesamt ca. 2,2 Milliarden Kombinationen aus E-Mail-Adressen und Passwörtern wurden offenbar zunächst über Online-Foren gehandelt und sind nun allgemeinzugänglich verfügbar. Die Daten stammen scheinbar aus früheren erfolgreichen Hackerangriffen auf große Webdienste.

Nutzer können überprüfen, ob ihre E-Mail-Adressen betroffen sind. Das Hasso-Plattner-Institut hat hierfür einen „Identity Leak Checker“ bereitgestellt. 

Technische Störung: Sechs Wochen keine Beschwerdemeldungen bei Aufsichtsbehörde Niedersachsen eingegangen

Aufgrund einer technischen Störung sind alle Datenschutzbeschwerden, die über das Online-Portal der Datenschutz-Aufsichtsbehörde in Niedersachsen eingegeben wurden, nicht bei der Behörde eingegangen. Betroffen ist der Zeitraum vom 06.12.2018 bis 21.01.2019. Das Problem besteht nach Aussage der Behörde auch dann, wenn die Absender eine Versandbestätigung erhalten haben. Alle Betroffenen werden gebeten, ihre Beschwerde erneut per Post, Fax oder E-Mail abzugeben. 

Betroffen sind soweit ersichtlich lediglich die Beschwerdemeldungen. Insbesondere sein die Meldungen der Kontaktdaten der Datenschutzbeauftragten bei der Behörde vollständig eingegangen.