Archiv des Autors: Oliver Gönner

Bundestag: TKG-Novelle 2011 beschlossen

Veröffentlicht am von
Kommentar

Der Deutsche Bundestag hat am 27. Oktober 2011 die Novelle zum Telekommunikationsgesetz (TKG) beschlossen.

Eine der wesentlichen Regelungsfelder war die Speicherung der Verkehrsdaten. Dementsprechend ist der Antrag auf Netzneutralität gescheitert. die bisherige Regelung zur so genannten Vorratsdatenspeicherung der Paragraphen 113 a und 113 b TKG wurden vom Bundesverfassungsgericht im März 2010 als nichtig erklärt. Da die gesetzliche Regelungen aufgrund des Urteils des Bundesverfassungsgerichts nichtig sind, hat der Gesetzgeber keine Notwendigkeit gesehen die Paragraphen aus dem Gesetz zu streichen.

Der Bundestag hat auch darauf verzichtet die EU-Richtlinie 2009/136/EG zum online Recht umzusetzen. Hiermit besteht für Unternehmen in der Bundesrepublik weiterhin eine Rechtsunsicherheit Im Hinblick auf den Onlinehandel. Einzelne Aufsichtsbehörden im Datenschutz vertreten die Auffassung das besagte EU Richtlinie direkt anwendbar sein. Diese horizontale Bindungswirkung EU Richtlinien ist in der rechtlichen Praxis stark umstritten.

BGH: Verantwortlichkeit eines Hostproviders für einen das Persönlichkeitsrecht verletzenden Blog-Eintrag

Veröffentlicht am von
Kommentar

Der BGH bestätigt die Verantwortlichkeit des Hostproviders für das Persönlichkeitsrecht verletzenden Blogeinträge.

Der Geschädigte wendete sich in der Unterlassungsklage gegen den amerikanischen Blog Betreiber. Die Anwendbarkeit deutschen Rechts und die Zuständigkeit deutscher Gerichte wurde gerügt, aber vom BGH anerkannt.

Der Hostprovider wird in Verantwortung genommen, wenn folgende Voraussetzungen erfüllt sind:

“Ein Tätigwerden des Hostproviders ist nur veranlasst, wenn der Hinweis so konkret gefasst ist, dass der Rechtsverstoß auf der Grundlage der Behauptungen des Betroffenen unschwer – das heißt ohne eingehende rechtliche und tatsächliche Überprüfung – bejaht werden kann.”

Im Ergebnis sind somit auch Anbieter von Plattformen verantwortlich für von Nutzern veröffentlichte rechtswidrige Inhalte.

Die Pressemeldung und das Urteil sind unter juris.bundesgerichtshof.de zu finden.

Eine genauere Analyse des Urteils mit weiteren Handlungsempfehlungen folgt in einer späteren Meldung.

Gutachten des Wissenschaftlichen Dienstes des Bundestages zu Facebook

Veröffentlicht am von
1

Der Wissenschaftliche Dienst des Bundestages wurde mit der Frage konfrontiert, ob Facebook gegen deutsches Datenschutzrecht verstößt. Dieser Auffassung ist unter Anderem das ULD Schleswig Holstein.

Der Wissenschaftliche Dienst – Die Verletzung datenschutzrechtlicher Bestimmungen durch sogenannte Facebook Fanpages und Social-Plugins – Zum Arbeitspapier des Unabhängigen Landeszentrums für Datenschutz
Schleswig-Holstein des Bundestages kommt zu dem Ergebnis, dass die Bewertung des ULD einige Praktiken von Facebook würden eindeutig gegen geltendes Datenschutzrecht verstoßen, zumindest in dieser Eindeutigkeit nicht gegeben sei.

Auch in der Bewertung dieses Falles zeigt, dass es in der Frage des Online Datenschutzes eine Reihe von Auffassungen von Aufsichtsbehörden gibt, die aber alle noch nicht gerichtlich festgestellt worden sind. So stellt das Gutachten auch die Bewertung der IP Adresse als personenbezogenes Datum in Frage.

Datenschutzkonforme Installation von Google Analytics möglich

Veröffentlicht am von
Kommentar

Der Berliner Beauftragter für Datenschutz und Informationsfreiheit  stellt in seiner heutigen Pressemledung fest, dass ein “Beanstandungsfreier Betrieb von Google Analytics ab sofort möglich” ist

Mit gleichlautender Meldung stellt auch der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit gleiches fest.

Die Aufsichtsbehörde Hamburg stellt konkrete Handlungesempfehlungen bereit.

Wesentliche Forderungen sind:

  1. Vertrag zur Auftragsdatenverarbeitung
  2. Auftragskontrolle
  3. Datenschutzerklärung auf der eigenen Webseite
  4. Widerspruchsmöglichkeit (Opt-Out)
  5. Gekürzte IP (anonymizeIP())
  6. Löschung möglicher Altdaten

Die Aufsichtsbehörden weisen ausdrücklich darauf hin, dass mit einer möglichen Umsetzung der ePrivacy Directive ins Deutsche Recht sich diese Rechtslage ändern kann.

 

Interessant ist, dass die Deutschen Aufsichtsbehörden damit eine Auftragsdatenverarbeitung mit einem Auftragnehmer ausserhalb des Europäischen Wirtschaftsraumes anerkennen. Die bisher herrschen Kommentarmeinerung hat die Defintion des Dritten so verstanden, dass jeder Datenverarbeiter ausserhalb des Europäischen Wirtschaftsraumes Dritter sein müsse und damit die Datenübertragung zwingend eine Übermittlung darstelle.
Inwieweit die Aufsichtbehörden durch die Forderung der IP Anonymisierung in der EU an dieser Forderung festhalten, kann nicht abgesehen werden.

Warum ist ein Vertrag zur Auftragsdatenverarbeitung notwendig?

Veröffentlicht am von
Kommentar

Viele Unternehmen bedienen sich Dienstleistern, wie Lettershops, Callcentern, IT Wartungsfirmen, externen Rechenzentren, externen Lohn- und Gehaltsabrechnung, Datenvernichtungsfirmen und Vielen mehr.

Diese Dienstleistungen sind typischerweise Auftragsdatenverarbeitungen (ADV) gem. § 11 BDSG. Die ADV ist ein gesetzliches Privileg, dass es Unternehmen

(Auftraggeber) erlaubt, personenbezogene Daten durch dritte Unternehmen

(Auftragnehmer) verarbeiten zu lassen. Für die mit der ADV verbundene Übermittlung von personenbezogenen Daten an den Auftragnehmer bedarf es keines gesonderten Erlaubnistatbestandes.

Liegt keine ADV gem. § 11 BDSG vor, müsste für die Übermittlung der Daten an den Dienstleister eine gesetzliche Erlaubnis oder eine Einwilligung jedes einzelnen Betroffenen vorliegen.

 

Der Gesetzgeber hat das Privileg der ADV mit einer Reihe von Auflagen verbunden, für deren Einhaltung vor allem der Auftraggeber verantwortlich ist. Werden diese Auflagen nicht eingehalten, kann ein Verstoß gegen das BDSG vorliegen, der als Ordnungswidrigkeit geahndet werden kann.

 

Zudem kann es sein, dass eine nicht ordnungsgemäß durchgeführte Auftragsdatenverarbeitung als Übermittlung im Sinne des Datenschutzrechtes angesehen werden kann, für dies  es möglicherweise keinen Erlaubnistatbestand gibt und die somit nicht zulässig ist bzw. war.

 

Eine unzulässige Übermittlung von Daten kann für die übermittelnde und verantwortliche Stelle und für die empfangende verantwortliche Stelle weit reichende Folgen haben, z.B. dass die gesamte Datenverarbeitung unzulässig ist und beispielsweise Geldbußen, Schadensersatz und andere Folgen für alle beteiligten verantwortlichen Stellen haben kann.

 

Auftraggeber und Auftragnehmer sollten daher stets darauf achten, dass die ADV entsprechend den rechtlichen Vorschriften durchgeführt wird.

Anforderungen an die ADV sind:

 

•             Weisungsbefugnis des Auftraggebers

•             Weisungsgebundenheit des Auftragnehmers

•             Schriftliche Beauftragung entsprechend den gesetzlichen Vorgaben

•             Vorgaben für die technischen und organisatorischen Maßnahmen des Auftragnehmers

•             Kontrolle des Auftragnehmers durch den Auftraggeber

 

Fehlen eine oder mehrere der genannten Anforderungen können die oben angeführten Folgen auftreten.

BuyVIP Hack

Veröffentlicht am von
Kommentar

Das deutsche Amazon Unternehmen BuyVIP das sich als “Private Sales Club” für Markenangebote versteht, wurde gehackt. Das Unternehmen hat unverzüglich alle Kunden über diesen Umstand informiert. Nach eigenen Angaben seien Bankdaten nicht betroffen und die Zugangsdaten seien verschlüsselt gewesen.

Trotzdem ist allen Kunden zu empfehlen, die Zugangsdaten zu wechseln. An diesem Beispiel zeigt sich wieder einmal eindrucksvoll, dass der Schutz von Daten im Internet gleich ob personenbezogene Daten oder Firmendaten eine sehr große Herausforderung darstellt.

Eine Informationspflicht nach § 42a BDSG hat nicht bestanden. Das Unternehmen hat mit der Information sehr vorbildlich auf den Hack reagiert.

Widerruf der Bestellung zum Datenschutzbeauftragten laut BAG nur schwer möglich

Veröffentlicht am von
Kommentar

Wie das Bundesarbeitsgericht in seiner Pressemitteilung zum Urteil vom 23. März 2011 – 10 AZR 562/09 – bekannt gegeben hat, kann der widerruf der Bestellung zum Datenschutzbeauftragten nur aus wichtigem Grund gemäß § 626 BGB erfolgen.

Weder die Mitgliedschaft des Datenschutzbeauftragten im Betriebsrat noch betrieblich geplante organisatorische Änderungen begründen den Widerruf der bestellung zum Datenschutzbeauftragten.

Unternehmen solten ihre Datenschutzbeauftragten mit Bedacht auswählen, da der Widerruf der Bestellung nur in Ausnahmefällen möglich ist.

Sollte aber durch eine Beförderung ein Interessenskonflikt zwischen der angebotenen neuen Stelle und der Funktion Datenschutzbeauftragten bestehen, dann wird die Entscheidung des BAG neu überdacht werden müssen.

Auch bei der Bestellung von externen Datenschutzbeauftragten wird in der Regel eine Ausstiegsklausel vereinbart. Mit Wegfall des Dienstleistungsvertrags verpflichtet sich der externe Datenschutzbeauftragte üblicher Weise zur Niederlegung des Amtes.

Vorratsdatenspeicherung

Veröffentlicht am von
Kommentar

Da der § 113a TKG vom Bundesverfassungsgericht als unzulässig eingestuft wurde, ist eine Neureglung der Vorratsdatenspeicherung dringend geboten. Der Bundestag beschäftigt sich mit der Frage des Umfangs der Vorratsdatenspeicherung seit längerem.

Das Bundesverfassungsgericht hat dem Bundestag die konkrete Umsetzung der Regelungen zur Vorratsdatenspeicherung offen gelassen und so ist der Gesetzgeber jetzt in besonderem Maße gefragt, eine den Umständen angemessene Regelung zu finden.

Die neue Regelung muss

  1. geeignet
  2. erforderlich und
  3. angemessen

sein.

Vor diesem Hintergrund wird aktuell der sogenannte QuickFreez diskutiert. Ermittlungsbehörden sollen Telekommunikationsdiensteanbieter auffordern können, die Verbindungsdaten im Einzelfall zu speichern bzw. längerfristig aufzubewahren.

 

Das kleine 1×1 der Auftragsdatenverarbeitung:

Veröffentlicht am von
Kommentar

Was muss in dem Vertrag geregelt sein?

  1. Gegenstand und Dauer des Auftrags
  2. Umfang der Datenverarbeitung
  3. Art und Zweck der Datenverarbeitung
  4. Technisch und organisatorische Maßnahmen
  5. Betroffenenrechte
  6. Unterauftragsverhältnisse
  7. Kontrollrechte des Auftraggebers
  8. Informationspflichten des Auftragnehmers
  9. Weisungsbefugnis des Auftraggebers
  10. Rückgabe und Löschung von Daten und Datenträgern nach Beendigung des Auftrags

Mustervertrag des Landesbeauftragten für Datenschutz Niedersachsen:

http://www.lfd.niedersachsen.de/download/32351

Neugestaltung der technisch organisatorischen Maßnahmen

Veröffentlicht am von
Kommentar

Der Bundesbeauftragte für Datenschutz fordert in seinem 23. Tätigkeitsbericht eine Abkehr von den konkret auf eine bestimmte technische Umgebung fixierte Sicherheitsmaßnahmen zugunsten allgemeinverbindlicher Schutzziele.

Diese Schutzziele sollen sein:

  1. Verfügbarkeit
    Es ist zu gewährleisten, dass personenbezogene Daten und Verfahren zu ihrer Verarbeitung zeitgerecht zur Verfügung stehen und ordnungsgemäß angewendet werden können.
  2. Vertraulichkeit
    Es ist zu gewährleisten, dass nur befugt auf personenbezogene Verfahren und Daten zugegriffen werden kann.
  3. Integrität
    Es ist zu gewährleisten, dass Daten aus personenbezogenen Verfahren unversehrt, zurechenbar und vollständig bleiben.
  4. Transparenz
    Es ist zu gewährleisten, dass die Erhebung und Verarbeitung personenbezogener Verfahren und die Nutzung mit zumutbarem Aufwand nachvollzogen, überprüft und bewertet werden können.
  5. Zweckbindung
    Es ist zu gewährleisten, dass personenbezogene Verfahren so eingerichtet sind, dass deren Daten nicht oder nur mit unverhältnismäßig großem Aufwand für einen Anderen als den ausgewiesenen Zweck erhoben, verarbeitet und genutzt werden können.
  6. Intervenierbarkeit
    Es ist zu gewährleisten, dass personenbezogene Verfahren so gestaltet werden, dass sie dem Betroffenen die Ausübung der ihm zustehenden Rechte wirksam ermöglichen.

Die klassischen IT – Sicherheitsschutzziele Verfügbarkeit, Unversehrtheit und Vertraulichkeit werden im Datenschutz um die Schutzziele Transparenz,  Zweckbindung und Intervenierbarkeit erweitert. Diese Erweiterung trägt den Anforderungen im Datenschutz Rechnung. Durch die Abkehr von konkret benannten Maßnahmen im Gesetz,  hin zu Schutzzielen wird erreicht, dass die gesetzliche Regelung nachhaltig bestehen bleibt.

So können die Maßnahmen, die die Schutzziele umsetzen, den konkreten Anforderungen und Einsatzbedingungen entsprechend weiterentwickelt werden.