Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 33/2021)“
Und wir haben den 16. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 33/2021)“…
Franks Anmerkung:
Die Ferien sind weiterhin nicht gut für die Pünktlichkeit der Veröffentlichung. Aber das wird sich ja bald erledigt haben mit den Sommerferien…
- Aufsichtsbehörden
- Rechtsprechung
- Gesetzgebung
- Veröffentlichungen
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 Hamburg: Warnung wegen Zoom
Ist der Einsatz von Zoom datenschutzkonform möglich? Darüber besteht zwischen der Hamburger Datenschutzaufsicht und der Senatskanzlei eine Differenz, die nun dazu führte, dass die Aufsicht eine Warnung aussprach. Meldungen zufolge will die Senatskanzlei diese Maßnahme gerichtlich überprüfen lassen.
Eine gerichtliche Klärung ist wünschenswert, um Rechtssicherheit zu gewinnen. Ich erhoffe mir auch dabei auch eine Befassung mit der Frage, inwieweit es sich hier auswirkt, dass es offensichtlich um ein Angebot in der Variante „Video on demand“ gehen soll („Streaming“?) und wie Videokonferenzen datenschutzrechtlich zu klassifizieren sind, gelten sie doch technisch gesehen als nichts anderes wie telefonieren, nur mit Bild. Es befassen sich natürlich auch schon die ersten Experten mit den Fragestellungen.
Auch wäre es schön, wenn dabei auch die Drittstaatenthemaik erörtert würde, inwieweit eine öffentliche Einrichtung auch darauf verwiesen werden kann das Angebot eines europäischen Anbieters zu nutzen, wie es z.B. dataport anbietet (die mit ihrem Projekt Phoenix übrigens auch die komplette Bürokommunikation abdecken wollen).
1.2 Hamburg: Interview mit neu benannten DSB in Hamburg
Und weil wir gerade in Hamburg sind: Mit dem neu benannten Datenschutzbeauftragten gibt es ein kurzes Interview, das über die Mediathek allerdings nur bis 17.09.2021 abrufbar ist.
1.3 Berlin: Angebot für Schulen
Im Rahmen ihrer Sensibilisierungsaufgabe veröffentlichte die Berliner Beauftragte für Datenschutz und Informationsfreiheit ein Workshop-Angebot für Schulen. Auf www.data-kids.de finden Grundschulkinder, Lehrkräfte und Eltern umfangreiche Materialien, die dabei helfen sich in der Welt des Datenschutzes besser zurechtzufinden.
1.4 Sachsen-Anhalt: FAQ zu Homeoffice
Auf insgesamt 16 Seiten werden über FAQs die Fragen rund um Homeoffice und mobiles Arbeiten durch die Datenschutzaufsicht beantwortet.
1.5 Italien: Einsatz eines Whistleblowing-Systems
In Italien gab es ein Bußgeld, weil die Einrichtung nicht den Anforderungen der DS-GVO entsprach. Die Datenschutzaufsicht bemängelte, dass in diesem Fall keine Datenschutz-Folgenabschätzung durchgeführt wurde und Daten unzureichend geschützt, d.h. in diesem Fall nicht verschlüsselt wurden.
1.6 Rheinland-Pfalz: Fallbörse (öffentliche Stellen)
Sie haben eine Frage und sucht passende Beispiele? Evtl. werden Sie hier fündig: Die Datenschutzaufsicht Rheinland-Pfalz hat eine Übersicht über verschiedene Bereiche. Nachfolgend finden sich Fallbeispiele aus den genannten Bereichen, die der Unterstützung der behördlichen Datenschutzbeauftragten kommunaler Verwaltungen dienen sollen. Behandelt werden Themen aus
- Organisation – Zentrale Dienste – Finanzen
- Bauen – Umwelt – Verkehr
- Bürgerdienste – Soziales – Gesundheit – Ordnungsverwaltung
Natürlich betreffen die Fälle nur Beispiele aus dem öffentlichen Recht in Rheinland-Pfalz, aber es lassen sich auch Argumentationshilfen für Fragestellungen im nicht-öffentlichen Bereich oder dem öffentlichen Bereich anderer Bundesländer ableiten. Besonders gefällt mir, dass die letzten Aktualisierungen gesondert dargestellt werden.
1.7 Lichtenstein: Aufbewahrungsfristen
Bevor Missverständnisse auftreten: Es ist keine Aufgabe des betrieblichen Datenschutzbeauftragten oder der Datenschutzaufsichten sich Gedanken über die Zeiträume einzelner Aufbewahrungsfristen zu machen oder diese zu veröffentlichen. Das muss immer noch der Verantwortliche machen, die Datenschutzbeauftragten überprüfen dies gegebenenfalls. Umso bemerkenswerter ist es, dass in Liechtenstein die dortige Aufsicht eine Übersicht veröffentlichte (ja mit Stand 2018 – aber immerhin).
2 Rechtsprechung
2.1 Konsequenzen fehlender Rechtsgrundlagen
„Was passiert, wenn wir es trotzdem machen?“
Wer kennt diesen Satz in der Beratung nicht? Dann murmelt man irgendwas von Compliance, Abmahnrisiken und Möglichkeiten der Sanktionierung durch Aufsichtsbehörden. Im Strafrecht ist auch ein Beweisverwertungsverbot denkbar, wie sich nun die Kölner Polizei belehren lassen musste. Aber auch ins Datenschutzrecht schwappt die „Lehre der Früchte des vergifteten Baumes“. Die Früchte der Verarbeitungen ohne Rechtsgrundlage sollen selbst anonymisiert nicht genutzt werden dürfen, so zuletzt z.B. der BfDI (auf Seite 17 des Bescheides).
2.2 BVerfG und Instagram
Nein, das BVerfG hat nicht dazu geurteilt. Aber kennen Sie auch die über 50-jährigen, die sich anziehen wie 15-jährige und möglichst hipp rüberkommen wollen?
Das BVerfG ist nun 70 Jahre alt und startet einen Instagram-Account. Zwei Fragen die sich der leidlich vorgebildeten Leserin aufdrängen dürften:
Dürfen die das und wer überprüft das?
Natürlich gelten auch für das BVerfG die Vorgaben der DS-GVO, allerdings geht die DS-GVO davon aus, dass die Aufsicht im Rahmen der gerichtlichen Aufgaben gesondert geregelt wird.
Nun ist eine Instagram-Account sicherlich keine Wahrnehmung einer gerichtlichen Aufgabe, so dass der BfDI jetzt konsequenterweise die gleichen Maßstäbe an eine rechtskonforme Umsetzung legen müsste wie bei den Facebook Fanpages. Für die Beratung einer Umsetzung, die die Vorgaben des EuGH beachtet, ist es natürlich alles andere als „Rückenwind“, wenn selbst das BVerfG hier anders agiert.
2.3 Vertragsverletzungsverfahren Spanien
Parallel zur DS-GVO wurde auf europäischer Ebene eine Richtlinie verabschiedet, die den Umgang mit personenbezogenen Daten bei der Strafverfolgung regelt und in das Recht der Mitgliedsstaaten umsetzen muss. Spanien hat das bislang nicht getan und sieht sich nun einem Vertragsverletzungsverfahren ausgesetzt. In Deutschland erfolgte die Umsetzung im Dritten Teil des BDSG und dessen Regelungen berühren die Anwendung der DS-GVO daher nicht.
3 Gesetzgebung
3.1 Änderungen im BGB und UWG
Natürlich sind es keine rein datenschutzrechtlichen Regelungen, sollten aber nicht unbekannt sein: Die Änderungen im BGB und UWG, in § 327 k BGB (Kündigung von Verbraucherverträgen im elektronischen Geschäftsverkehr) und in § 7a UWG (Einwilligung in Telefonwerbung), welche im „Gesetz über faire Verbraucherverträge“ im BGBl. 2021 Teil 1 Nr. 53, 3433 vom 17. August 2021 veröffentlicht wurden.
3.2 Änderung der VO zu Kritis
Neben all den Entscheidungen, die durch Ereignisse in Afghanistan erforderlich wurden, beschloss das Bundeskabinett diese Woche auch die „Zweite Verordnung zur Änderung der BSI-Kritisverordnung“.
3.3 Berlin: Wo wir sind, ist vorne … Umsetzung der RL 2016/680
Da Polizeirecht auch Landesrecht ist, muss die Richtlinie 2016/680 auch in bundesdeutsches Landesrecht umgesetzt werden. Was Spanien bislang nicht schaffte, muss auch das Land Berlin nicht schaffen, wenn es darum geht, landesrechtliche Befugnisnormen für die Datenverarbeitung personenbezogener Daten bei der Strafverfolgung umzusetzen.
4 Veröffentlichungen
4.1 Konkretisierungen der Bafin zu MaRisk und weiteren Sicherheitsanforderungen
Die BaFin konkretisierte die Mindestanforderungen an Risikomanagement und IT-Sicherheit. Damit nachfolgender Text leichter eingeordnet werden kann, hier ein paar kurze Erläuterungen:
- „BaFin“ steht für Bundesanstalt für Finanzdienstleistungsaufsicht,
- „BAIT“ steht für Bankaufsichtlichen Anforderungen an die IT,
- „EBA“ ist die Europäische Bankenaufsicht,
- „IKT“ steht für Informations- und Kommunikationstechnologie,
- „MaRisk“ steht für Mindestanforderungen an das Risikomanagement der Banken und
- „ZAIT“ steht für Zahlungsdiensteaufsichtliche Anforderungen an die IT.
Die BaFin hat die 6. Novelle ihrer MaRisk veröffentlicht. Darin hat sie insbesondere die Leitlinien EBA zu notleidenden und gestundeten Risikopositionen sowie zu Auslagerungen umgesetzt. Daneben wurden auch einzelne Anforderungen aus den EBA-Leitlinien zum Management von IKT- und Sicherheitsrisiken einbezogen. Die neue Fassung der MaRisk ist mit Veröffentlichung in Kraft getreten. Unmittelbar anwenden müssen die Institute aber nur die Konkretisierungen. Die Umsetzungsfristen für neue Regelungen gehen aus dem Übersendungsschreiben hervor.
Über den obigen Link sind die entsprechenden Infos auch nachvollziehbar.
4.2 Teletrust: Leitfaden Cloud-Security
Nicht nur für Anbieter von „Cloud only“ bietet der Leitfaden Orientierung, seit sich die Bedrohungslage verändert hat:
Der Leitfaden „Cloud Security“ richtet sich vorwiegend an kleine und mittlere Unternehmen. Er umfasst eine systematische Betrachtung der Risiken bei der Nutzung von Cloud-Diensten, gegliedert nach allgemeinen IT-Risiken, Cloud-spezifischen Risiken und rechtlichen Anforderungen. Hervorgehoben werden auch die Sicherheitsvorteile von Cloud Services.
4.3 Bitkom: Umfrage zur Blockchain
Unternehmen setzen bei Blockchain auf Zusammenarbeit, so die kernaussage einer Bitkom-Umfrage, nach der drei Viertel derjenigen, die sich mit der Technologie beschäftigen, mit Partnern kooperieren und 3 von 4 hoffen mit der Blockchain neue Geschäftsmodelle entwickeln zu können. Gegenstand der Umfrage war offensichtlich leider nicht die Umsetzung datenschutzrechtlicher Betroffenenrechte, die sonst gerne auch als noch offene Herausforderung bezeichnet werden.
4.4 Algorithmus und Justiz
Im Yale Journal of Law & Technology wurde ein Beitrag zu „Algorithmen und wirtschaftliche Gerechtigkeit“ veröffentlicht, der für die Federal Trade Commission Gestaltungswege aufzeigen soll.
4.5 Veranstaltungen
4.5.1 Ferienzeit 😉
5 Gesellschaftspolitische Diskussionen
5.1 Google sperrt GeoDaten-Firma
Es ist ja eher ungewöhnlich, wenn man Google mit „Datensparsamkeit“ in Verbindung bringt. So wohl auch hier. Mit Standortdaten lassen sich Nutzern de-anonymisieren und Rückschlüsse über deren Leben ziehen. Wenn Google laut Berichten nun Apps aus seinem Store verbannt, die über ihren Quellcode der Firma SafeGraph die Sammlung von Ortsdaten der Nutzer ermöglichten, wird es sicher nicht am erwachten Datenschutzbewusstsein bei Google liegen.
6 Sonstiges/Blick über den Tellerrand
6.1 Fotos zur Einschulung
Jetzt ist wieder die Zeit der Einschulung oder der Start in das Kindergartenphase. Gerne macht man dabei Lichtbildabzüge oder digitale Abbildung. Und schon schreit das Heer der Halbwissenden: Nein, das darf man nicht, die DS-GVO!
Ganz so ist es nicht: Bilder für den familiären Gebrauch dürfen gemacht werden, beim Hochladen ins Netz verlässt man diesen familiären Gebrauch jedoch und bedarf dann der Einwilligung der Abgebildeten.
Auch die Versendung über Messenger hängt davon ab, ob sich der Dienst über die Nutzungsbedingungen eigene Zweck an den Bildern vorbehält.
So viel als Faustregel, detaillierter finden sich die Ausführungen z.B. auf der Seite des LfDI BW. Zwar könne eine Schule auch über ihr Hausrecht die Nutzung von Kameras untersagen, aber auch hier sollte man maßvoll damit umgehen, es gibt bessere Möglichkeiten Haftungsfragen zu vermeiden.
6.2 iPhone, das Image und ein Test
Apples Tracking-Schutz auf den Smartphones wurde einem Test unterzogen. Währenddessen sieht sich das Unternehmen immer mehr Protesten ausgesetzt hinsichtlich der Ankündigung durch Scannen von Bilddateien Tätern sexualisierter Gewalt gegen Kinder auf die Spur kommen zu wollen.
6.3 Biometrische Daten – alles gut?
Was kann man nicht alles mit biometrischen Daten machen: Zugangslösungen gestalten, Identifikationen sicherstellen – ein Traum! Der allerdings zum Alptraum werden kann, wenn man eben nicht identifiziert werden will – was nun in Afghanistan bei denjenigen passiert, die z.B. für die US-Streitkräfte tätig waren. Nachdem die Taliban in Besitz der biometrischen Daten gelangten, fürchten viele, dass sie dadurch identifiziert werden können. Die Beseitigung digitaler Spuren soll nun das Schlimmste verhindern.
7. Franks Zugabe
Any day now…