newsbox Datenschutz Ausgabe 3 2015 Editorial ..................................................................................................... 2 BGH zur konkludenten Einwilligung in die Veröffentlichung eines Bildnisses ....................................... 3 LG Frankfurt konkretisiert Anforderungen an Einwilligung in Telefonwerbung ................................................ 3 Kleine Anfrage zu Gesundheitsdaten und Apps ........................ 4 Anwendungsfälle zum Thema Big Data......................................... 4 ULD übt Kritik am Entwurf zum IT-Sicherheitsgesetz............... 5 8. GDD-Fachtagung Datenschutz International ......................... 5 Dashcam-Aufnahmen nicht als Beweismittel verwertbar ...... 6 Erlischt die Einwilligung eines Arbeitnehmers in Videoaufnahmen mit Kündigung? ............................................. 6 Observation durch einen Detektiv mit heimlichen Videoaufnahmen............................................................ 7 Kontrolle von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung ....................................................... 7 „Meine Privatsphäre als Mieter“ – Neuer Ratgeber zum Datenschutz .................................................................................. 8 Verbraucherzentrale mahnt Facebook ab .................................... 9 Sicherheitsrahmen für öffentliche Clouds .................................10 Umsetzungsleitfaden der GDD zum Datenschutzstandard DS-BvD-GDD-01 ...................................................................................10 Gemeinsame Prüfaktion der Aufsichtsbehörden von Smart-TV Geräten........................................................................11 FREAK bedroht IT-Sicherheit ...........................................................12 Ratgeber "Datenschutzprüfung von Rechenzentren" veröffentlicht ........................................................................................13 newsbox Datenschutz Editorial Unter dem Hashtag #TheDress stritten sich in den letzten Wochen nicht nur Millionen Twitter-Nutzer darüber, ob es sich bei einem speziellen Kleid um eine weiß-goldenes oder um ein schwarz-blaues handelt. Es scheint so, dass je nach Betrachter die Wahrnehmung der selben Sache unterschiedlich ausfallen kann, was die Farbgebung angeht. Wahrnehmungspsychologen und andere Experten bemühten sich um eine eingängige Erklärung. Bei den Entwicklungen rund um die sog. Europäische Datenschutz-Grundverordnung kann man ein ähnliches Phänomen beobachten, wenn man sich die juristische Blogosphäre mit datenschutzrechtlichem Einschlag anschaut. Je nach dem welche Nachrichten oder in welchem Blog man liest, kann man den Eindruck gewinnen, dass es sich bei den Arbeiten an der EU-Datenschutzreform um reine Farce handelt. Der Leser erfährt, dass die europäischen Staaten, allen voran Deutschland die Reform „aushöhlen“, und Prinzipien wie Datensparsamkeit oder gar Zweckbindung über Bord werfen wollen. Andernorts ist die Aufregung weniger groß und die Autoren rufen zu einer „seriöseren“ und weniger selektiven Berichterstattung auf. Bestehende Standards und Regelungen sieht man nicht gefährdet. „Schlimmstenfalls“ lasse sich ein Festhalten am deutschen Datenschutzniveau beobachten. Die als zu einseitig-kritisch gewertete Berichterstattung an den Arbeiten zur EU-Datenschutzreform und die eher negative Rolle Deutschland darin wird als „tendenziös“ empfunden. Es ist also tatsächlich wie bei dem eingangs erwähnten Kleid. Nicht nur Schönheit, sondern auch die Wahrheit scheinen im Auge des Betrachters zu liegen. Damit ist trotz all der Lektüre der Blogs und Studieren der Nachrichten und Aufsätze zum Thema offen, ob uns die Beteiligten der EU-Datenschutzreform, das Blaue vom Himmel versprechen, die Autoren der Blogs zu Recht alles grau in grau malen, ob wir uns am Ende grün und blau ärgern oder der Rest der Welt über unser europäisches Datenschutzrecht gelb vor Neid sein wird, meint Ihr Levent Ferik Impressum DATAKONTEXT GmbH Augustinusstraße 9d 50226 Frechen Tel.: 02234/98 94 9-30 Fax: 02234/98 94 9-32 [email protected] www.datakontext.com Geschäftsführer: Dr. Karl Ulrich Verlagsleitung: Hans-Günter Böse Handelsregister Amtsgericht Köln HRB 82299 news box 2 2 newsbox Datenschutz BGH zur konkludenten Einwilligung in die Veröffentlichung eines Bildnisses Es gibt bereits zahlreiche Urteile, die sich dazu äußern, unter welchen Voraussetzungen eine Einwilligung nach § 22 KunstUrhG auch konkludent erfolgen kann. An eine konkludente Einwilligung sind strenge Anforderungen zu knüpfen. Diese setzt voraus, dass das Schweigen die Einwilligung aus der Sicht des Erklärungsempfängers eindeutig zum Ausdruck gebracht hat. Nach § 22 Satz 2 KunstUrhG wird die Einwilligung vermutet, wenn der Abgebildete eine Entlohnung erhalten hat. Erhält der Abgebildete also ein Honorar für die Ablichtung, so wird von Gesetzes wegen vermutet, dass damit die Einwilligung zur Veröffentlichung erklärt wird. Jüngst hat sich der BGH mit einem Fall der konkludenten Einwilligung befasst. In diesem Fall ging es um eine Hostess, von der im Rahmen ihrer Tätigkeit Fotos angefertigt wurden. Über diesen Umstand war die Hostess durch ihr zur Verfügung gestelltes Info-Material unterrichtet worden. Dort befand sich u. a. der Hinweis, dass zwar keine Interviews gegeben werden dürfen, allerdings seien Fotos erlaubt, eventuelle Kamerateams seien zudem freundlich an die Öffentlichkeitsabteilung ihres Arbeitgebers oder dessen Auftraggebers zu verweisen. Diesem Informationsschreiben waren auch "Beispielbilder für die Fotodokumentation" beigefügt. In den Entscheidungsgründen führt der BGH, dass der Zedentin (der Hostess) durch die vorherige Unterrichtung, durch die Art der Veranstaltung als auch durch die Art ihrer Tätigkeit bewusst gewesen sein muss, dass mit Fotos auch ihrer Person und deren Veröffentlichung zu rechnen war und dies aus Werbegründen von ihrem Arbeitgeber und dessen Auftraggeber durchaus erwünscht waren. Der BGH geht aufgrund der äußeren Umstände davon aus, dass auch Medienvertreter, die auf der Veranstaltung anwesend waren, von einem Einverständnis der Betroffen ausgehen konnten. Diese hätten die Tätigkeit der Betroffenen unter den Umständen des Streitfalles nur dahin verstehen können, dass sie mit Fotos und deren Veröffentlichung im Interesse des Auftraggebers einverstanden war. Quelle: Bundesgerichtshof LG Frankfurt konkretisiert Anforderungen an Einwilligung in Telefonwerbung Will sich ein Unternehmen eine Einwilligung für telefonische Werbung einholen, muss es sich bei der Einholung des Einverständnisses an klare Vorgaben halten. Die Transparenz darüber, welche Daten erhoben und verarbeitet werden, darf nicht erst über den Abruf eines Links zu Tage treten. Die für eine bewusste Entscheidung notwendigen Informationen dürfen nicht hinter einem Link versteckt werden. Nicht nur UWG-Vorschriften, sondern auch Normen des BDSG können berührt sein, wenn eine vorformulierte Erklärung im Spiel ist. Im vorliegenden Fall befand das Landgericht Frankfurt nach einer Klage des Verbraucherzentrale Bundesverbands (vzbv) gegen die Werbefirma Planet 49 GmbH, dass eine vorformulierte Einverständniserklärung zur Nutzung persönlicher Daten für Werbezwecke unwirksam ist, wenn Verbraucher erst nach einem Klick auf einen Link darüber informiert werden, welche Daten erhoben und verarbeitet werden. Die Werbefirma Planet 49 hatte die Teilnahme an einem Gewinnspiel von der Einwilligung zur Werbung abhängig gemacht. Wer teilnehmen wollte, musste sich nach Eingabe seiner persönlichen Daten damit einverstanden erklären, dass ihn „einige“ Sponsoren und Kooperationspartner am Telefon, per Post, E-Mail oder SMS über ihre Angebote informieren. Erst nach Klick auf einen weiterführenden Link gab es Informationen zu Anzahl, Namen und Branchen der Unternehmen. Obwohl Telefonwerbung nur nach ausdrücklicher Zustimmung der Verbraucher zulässig ist, sind ungebetene Werbeanrufe noch immer ein großes Ärgernis. In einer Online-Umfrage der Verbraucherzentralen gaben 84 Prozent der 2.800 Teilnehmer an, niemals oder zumindest nicht bewusst in einen Werbeanruf eingewilligt zu haben. Die Frage, ob sie privat Werbeanrufe erhalten, beantworteten trotzdem fast 93 Prozent der Befragten mit „Ja“. Quelle: Verbraucherzentrale Bundesverband e.V. (vzbv) (Urteil des LG Frankfurt am Main vom 10.12.2014, Az. 2-06 O 030/14 – nicht rechts-kräftig) news box 2 3 newsbox Datenschutz Kleine Anfrage zu Gesundheitsdaten und Apps Etwa jeder dritte Deutsche (32 Prozent) kann sich grundsätzlich vorstellen, gesundheits- und fitnessbezogene Daten zu messen und mit der Krankenversicherung zu teilen, um dadurch Vorteile zu erhalten. Für 39 Prozent kommt das allerdings nicht in Frage. Dies geht aus der aktuellen Studie „Quantified Health“ des internationalen Marktforschungs- und Beratungsinstituts YouGov hervor, für die insgesamt rund 1.000 Personen im Dezember 2014 repräsentativ befragt wurden. Dennoch haben viele Bundesbürger hinsichtlich dieser Tarifierung Befürchtungen: Die Mehrheit (73 Prozent) hätte Sorge, dass bei einer Verschlechterung des Gesundheitszustandes plötzlich mehr als vorher für die Krankenversicherung bezahlt werden müsste. Aber auch das Thema Datenschutz beschäftigt die Befragten: So glauben rund drei Viertel (81 Prozent), dass die einmal erfassten Daten auch für andere Zwecke verwendet werden. Eine Kleine Anfrage der Abgeordneten Harald Weinberg, Kathrin Vogler, Jan Korte, weiterer Abgeordneter und der Fraktion DIE LINKE (– Drucksache 18/3633 –) befasst sich ebenfalls mit den rechtlichen Fragstellungen und den Befürchtungen rund um das Missbrauchsrisiko, welches mit der Erhebung von Gesundheitsdaten durch Apps einher gehen kann. Die Verfasser der Kleinen Anfrage zum Thema "Datensammlungen über Versicherte in der privaten Krankenversicherung" sehen bereits in dem Umstand, dass einige Versicherte bereit sind den Versicherern Gesundheitsdaten zu übermitteln und andere hingegen nicht, eine Art der Selektion, die im Endeffekt diskriminierende Folgen haben könne. Den gesamten Fragenkatalog und die Antworten des Bundesregierung können hier nachlesen. Quelle: Bundestag.de Anwendungsfälle zum Thema Big Data Ob es um die bessere Wartung von Maschinen geht, um Fortschritte in der Krebsbehandlung oder bloße Retouren-Optimierung im Versandhandel: Mit dem Thema Big Data werden verschiedenste Erwartungen verknüpft. Unter der Prämisse der datenschutzkonformen Einsatzmöglichkeit scheint die Technologie Heilsbringer für verschiedenste Probleme zu sein. Wie so oft lassen sich Mehrwerte einer (neuen) Technologie am anschaulichsten am Anwendungsfall darstellen. Der BITKOM versucht mit einer neuen Publikation mit dem Namen "Big Data und Geschäftsmodell-Innovationen in der Praxis“ anhand von 40 verschiedenen Anwendungfällen darzustellen, welche Mehrwerte Big Data, gerade auch dem Mittelstand bieten kann. Anhand der vorstellten Praxisfälle wird demonstriert, wie vielfältig einsetzbar Big Data ist. Der Leitfaden soll den Mangel an Best-PracticeBeispielen und Praxiserfahrungen, den der BITKOM als Barriere für die verstärkte Nutzung von Big Data erkannt hat, ausmerzen. Es werden insbesondere Entscheider aus dem Mittelstand adressiert, die aus den Praxisbeispielen Impulse und Anregungen erhalten sollen, um in ihren Unternehmen das innovative Potenzial von Big Data zu heben. Quelle: BITKOM Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. news box 2 4 newsbox Datenschutz ULD übt Kritik am Entwurf zum IT-Sicherheitsgesetz In einer aktuellen Stellungnahme sieht das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) an einigen Stellen Nachbesserungsbedarf am Entwurf des sog. IT-Sicherheitsgesetzes. Das ULD bezieht sich dabei auf den Entwurf vom 29.12.2014. Nicht ganz folgen kann das ULD offensichtlich der in dem Entwurf zu Tage tretenden Einsicht, dass es sich bei den Daten, die bei der Detektion von Sicherheitsvorfällen und deren aussagekräftiger Meldung an zentrale Stellen anfallen, lediglich um Daten rein technischer Natur handelt. Einzeldaten wie gescannte Port-Nummern, IP-Adressen, URLs, Routing-Tabellen in BGP-Routern oder Zeitpunkte der Ereignisse seien zwar zunächst als technische Daten zu bewerten. Handele es sich jedoch hierbei nicht um aggregierte Daten, so enthielten diese Daten zugleich Angaben über die Nutzenden, bei denen es sich in der Regel oder zumindest sehr oft um natürliche Personen handele. Auch bei Datensätzen von Institutionen ließen sich oft natürliche Personen, die beispielsweise dort tätig sind, zuordnen. In diesen Fällen handele es sich dann um personenbezogene Daten i. S. d. Datenschutzrechts (vgl. § 3 Abs. 1 BDSG). So könnten bspw. das sog. Device-Fingerprinting ermöglichen, aus „Meta-Daten“ des Internetverkehrs weitreichende Erkenntnisse über Personen abzuleiten. Da es das Ziel des IT-Sicherheitsgesetzes sei, Korrelation von Anomalien festzustellen, müssten zwangsläufig Daten verarbeitet werden, die vielfach einen Personenbezug haben. Außerdem sieht das ULD eine Schwäche des Entwurfs darin, dass datenschutzkonform mögliche Techniken zur Datensparsamkeit (vgl. 3a BDSG) nicht maximal ausgeschöpft würden. Der Entwurf lasse die Gelegenheit ungenutzt, die Fragen von verbundenen technisch komplexen Monitoring-Netzen tatsächlich und rechtlich anzugehen. Grundlegende Werkzeuge wie Pseudonymisierung und Anonymisierung würden nicht berücksichtigt, und die daraus folgenden Herausforderungen für die effiziente Umsetzung von derartigen datensparsamen Monitoring-Netzen blieben ungelöst. Kritik übt das ULD auch an dem Umstand, dass Betreibern von IT zwar eine Vielzahl sinnvoller Pflichten auferlegt werde, dass aber diese im Nichtbeachtensfall vom BSI nicht sanktioniert werden können. Das ULD schlägt vor, dass Sanktionsmöglichkeiten, etwa als Ordnungswidrigkeiten oder Anordnungsverfügungen, bei der Verletzung von Meldepflichten oder beim Versäumen der unverzüglichen Beseitigung von Sicherheitsmängeln vorgesehen werden sollten. Quelle: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) Anzeige 8. GDD-Fachtagung Datenschutz International am 23. – 24. April 2015 in Berlin Die 8. GDD-Fachtagung Datenschutz International ist die Jahrestagung für alle, die sich im Bereich Datenschutz International über aktuelle Fragestellungen informieren und austauschen möchten. Die 8. GDD-Fachtagung Datenschutz International hat folgende Zielsetzung: •• 8. GDD-Fachtagung Datenschutz International 23. – 24.04.2015 in Berlin www.datakontext.com •• •• Übersicht und Diskussion aktueller Fragestellungen des internationalen Datenschutzes mit Experten des betrieblichen Datenschutzes und Vertretern der Aufsichtsbehörden sowie der Politik Vorstellung von Lösungsvorschlägen und Benchmarkmodellen Länderspecial Irland: Vorstellung der landesspezifischen Datenschutzregelungen und vielen weiteren aktuellen Themen Diskutieren Sie mit einem hochrangigen Expertenteam und zahlreichen Kollegen am Puls der Zeit! Am Abend zwischen den beiden Veranstaltungstagen haben Sie zusätzlich Gelegenheit, Ihre Fragen individuell mit den Referenten zu diskutieren. Weitere Infos zu dieser Veranstaltung finden Sie unter www.datakontext.com news box 2 5 newsbox Datenschutz Dashcam-Aufnahmen nicht als Beweismittel verwertbar Bereits im August letzten Jahres hatte das Amtsgericht München mit Hinweisbeschluss klargestellt, dass Videoaufzeichnungen, die mit Hilfe von Dashcams erstellt wurden, in einem Prozess nicht als Beweismittel verwendet werden dürfen und lehnte eine Verwertung und Verwendung der Videoaufzeichnungen als Beweismittel ab. Der PKW Fahrer musste in dem Fall mit anderen Mitteln seine Unschuld beweisen, um den Prozess nicht zu verlieren. Der zuständige Richter führt datenschutzrechtliche Erwägungen für seine Ablehnung an. Das Landgericht Heilbronn hat in einem aktuellen Urteil die Verwertbarkeit von Dashcam-Aufnahmen als Beweismittel ebenfalls verneint. Aufzeichnungen einer in einem Pkw installierten Dashcam können im Zivilprozess nicht als Beweismittel zum Hergang eines Unfalls verwertet werden, so der Leitsatz des Urteils vom 17.02.2015 (Az.:I 3 S 19/14). Aus der Urteilsbegründung gehen folgende Erwägungen hervor: "Eine weitere Aufklärung des Unfallhergangs ist nicht möglich. Erlischt die Einwilligung eines Arbeitnehmers in Videoaufnahmen mit Kündigung? Nach § 22 KUG dürfen Bildnisse von Arbeitnehmern nur mit ihrer Einwilligung veröffentlicht werden. Diese muss schriftlich erfolgen. Eine ohne Einschränkung erteilte Einwilligung des Arbeitnehmers erlischt nicht automatisch mit dem Ende des Arbeitsverhältnisses. Sie kann aber widerrufen werden, wenn dafür ein plausibler Grund angegeben wird. In einem aktuellen Fall, den der BAG entschieden hat, widerrief der Kläger, der ehemals in den Diensten des Beklagten stand seine damals schriftlich erteilte Einwilligung, die es dem Beklagten erlaubte von ihm als Teil der Belegschaft Filmaufnahmen zu machen und diese für ihre Öffentlichkeitsarbeit zu verwenden sowie den Imagefilm auszustrahlen. Das Video konnte von der InternetHomepage der Beklagten aus angesteuert und eingesehen werden. Das Arbeitsverhältnis endete vier Jahre nach Erteilung dieser Einwilligung. Nach Beendigung des Arbeitsverhältnisses erklärte der Kläger den Widerruf seiner „möglicherweise“ erteilten Einwilligung und forderte die Beklagte auf, das Video binnen 10 Tagen Zwar hat der Ehemann der Klägerin den Unfallhergang offenbar mit einer im Fahrzeug installierten Dashcam des Modells F 900 LHD, einer 2,5`` FullHD Videokamera mit Nachtsichtmodus und HDMI- Anschluss, aufgenommen und die Klägerin hat sich zum Beweis für den von ihr behaupteten Unfallhergang auf die Inaugenscheinnahme dieser Videoaufzeichnung berufen. Auch hat der Sachverständige nicht ausgeschlossen, dass unter Berücksichtigung dieser Videoaufzeichnung weitere Erkenntnisse für die technische Rekonstruktion des Unfalls gewonnen werden könnten. Jedoch hat das Amtsgericht zu Recht eine Verwertung dieses Beweismittels nicht zugelassen. Denn Videoaufzeichnungen, die ohne Kenntnis des Betroffenen angefertigt wurden, sind lediglich nach den Grundsätzen über die Verwertbarkeit rechtswidrig erlangter Beweismittel ausnahmsweise zulässig. Über die Verwertbarkeit ist nach ständiger Rechtsprechung und mangels einer ausdrücklichen Regelung in der ZPO aufgrund einer umfassenden Interessen- und Güterabwägung zu entscheiden (BVerfG NJW 2002, 3619 [3624]; BGH NJW 2003, 1123 [1124 f.]). Mehr dazu: RDV-Online Quelle: Landesrechtsprechung Baden-Württemberg aus dem Netz zu nehmen. Dem folgte die Beklagte – unter Vorbehalt. Der Kläger verlangte die Unterlassung weiterer Veröffentlichung und Schmerzensgeld. Die Klage war vor dem Arbeitsgericht teilweise, vor dem Landesarbeitsgericht zur Gänze erfolglos geblieben. Die Revision des Klägers hatte vor dem Achten Senat keinen Erfolg. Unterstellt, die Abbildungen vom Kläger in dem Video bedurften seiner Einwilligung nach § 22 KUG, so hatte die Beklagte diese erhalten. Auch das Erfordernis einer schriftlichen Einwilligung, das sich aus dem Recht des Arbeitnehmers auf informationelle Selbstbestimmung ergibt, war im Falle des Klägers erfüllt. Seine ohne Einschränkungen gegebene schriftliche Zustimmung erlosch nicht automatisch mit dem Ende des Arbeitsverhältnisses. Ein späterer Widerruf war grundsätzlich möglich, jedoch hat der Kläger für diese gegenläufige Ausübung seines Rechts auf informationelle Selbstbestimmung keinen plausiblen Grund angegeben. Er kann daher eine weitere Veröffentlichung nicht untersagen lassen und würde durch diese in seinem Persönlichkeitsrecht nicht verletzt werden. Quelle: Bundesarbeitsgericht, Urteil vom 19. Februar 2015 - 8 AZR 1011/13 – news box 2 6 newsbox Datenschutz Observation durch einen Detektiv mit heimlichen Videoaufnahmen Keineswegs unproblematisch ist das heimliche Beobachten der Arbeitnehmer durch Detektive, das u. a. zum Schutz gegen Diebstahl oder zur Krankenkontrolle in der Privatwirtschaft erfolgt und keine absolute Seltenheit bildet. Zulässig ist der damit verbundene Eingriff in das Persönlichkeitsrecht nur bei begründetem Verdacht eines schweren unkorrekten Verhaltens (Unterschlagung, Diebstahl etc.). Auch im Bereich der Krankenkontrolle kann die Beauftragung einer Detektei gemäß § 32 Abs. 1 S. 2 BDSG nur als »ultima ratio« in Betracht kommen (vgl. Peter Gola, Datenschutz am Arbeitsplatz, 4. Auflage, Rdnr. 664). So hat auch das Bundesarbeitsgericht aktuell festgestellt, dass ein Arbeitgeber, der wegen des Verdachts einer vorgetäuschten Arbeitsunfähigkeit einem Detektiv die Überwachung eines Arbeitnehmers überträgt rechtswidrig handelt, wenn sein Verdacht nicht auf konkreten Tatsachen beruht. Für dabei heimlich hergestellte Abbildungen gelte dasselbe. Eine solche rechtswidrige Verletzung des allgemeinen Persönlichkeitsrechts könne einen Geldentschädigungsanspruch («Schmerzensgeld») begründen. Die Klägerin war bei der Beklagten seit Mai 2011 als Sekretärin der Geschäftsleitung tätig. Ab dem 27. Dezember 2011 war sie arbeitsunfähig erkrankt, zunächst mit Bronchialerkrankungen. Für die Zeit bis 28. Februar 2012 legte sie nacheinander sechs Arbeitsunfähigkeitsbescheinigungen vor, zuerst vier eines Facharztes für Allgemeinmedizin, dann ab 31. Januar 2012 zwei einer Fachärztin für Orthopädie. Der Geschäftsführer der Beklagten bezweifelte den zuletzt telefonisch mitgeteilten Bandscheibenvorfall und beauftragte einen Detektiv mit der Observation der Klägerin. Diese erfolgte von Mitte bis Ende Februar 2012 an vier Tagen. Beobachtet wurden ua. das Haus der Klägerin, sie und ihr Mann mit Hund vor dem Haus und der Besuch der Klägerin in einem Waschsalon. Dabei wurden auch Videoaufnahmen erstellt. Der dem Arbeitgeber übergebene Observationsbericht enthält elf Bilder, neun davon aus Videosequenzen. Die Klägerin hielt die Beauftragung der Observation einschließlich der Videoaufnahmen für rechtswidrig und forderte ein Schmerzensgeld, dessen Höhe sie in das Ermessen des Gerichts gestellt hatte. Sie hielt 10.500 Euro für angemessen. Die Klägerin habe erhebliche psychische Beeinträchtigungen erlitten, die ärztlicher Behandlung bedürften. Quelle: Bundesarbeitsgericht, Urteil vom 19. Februar 2015 - 8 AZR 1007/13 – Anzeige Kontrolle von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung am 14. April 2015 in Stuttgart Vorgehensweisen für die Organisation der Kontrolltätigkeit bei einer Vielzahl von zu kontrollierenden Dienstleistern-Lieferanten-(2nd Party)-Audits Anhand einer risikoorientierten Vorgehensweise bei der Planung und Durchführung von Prüfhandlungen zur Erfüllung der Kontrollpflichten des Auftraggebers wird ein Ansatz für ein angemessenes Management der Auftragsdatenverarbeitungsverhältnisse vermittelt. Insbesondere im Hinblick auf die Vermeidung von Bußgeldern stehen folgende Aspekte im Fokus: •• Kontrolle von Auftragnehmern als effektives Risikomanagement im Unternehmensinteresse •• Anforderungen an die Kontrolle •• Vertragsmanagement als Voraussetzung für die Kontrolle von Auftragnehmern •• Risikoklassifizierung von Dienstleistungsverhältnissen •• Darstellung und Bewertungskriterien unterschiedlicher Prüfmethoden •• Risikoorientierte Planung und Durchführung von Auftragnehmerkontrollen Weitere Infos zu dieser Veranstaltung finden Sie unter www.datakontext.com news box 2 7 newsbox Datenschutz „Meine Privatsphäre als Mieter“ – Neuer Ratgeber zum Datenschutz Die Zahl der in Deutschland pro Jahr abgeschlossenen Mietverträge beläuft sich auf ca. 3 Millionen. Bereits im Vorfeld des Abschlusses eines Mietvertrages werden von Maklern und Vermietern personenbezogene Daten von Mietinteressenten und zukünftigen Mietern erhoben, verarbeitet und genutzt. Oftmals ist für die involvierten Parteien nicht zu jedem Zeitpunkt klar, in wie weit sich die Erhebung und die weitere Verarbeitung der Daten noch im zulässigen Rahmen befinden. Es ist nicht ungewöhnlich, dass vielfach Angaben zu den Einkommensverhältnissen, dem Familienstand und sogar Familienplanung zu machen sind. Datenschutz gewinnt jedoch auch im Mietverhältnis und bei der Wohnungssuche zunehmend an Bedeutung. Immer öfter fragen sich Mieterinnen und Mieter, wie sie ihre Privatsphäre schützen können und welche persönlichen Informationen und Daten sie überhaupt preisgeben müssen. Der Berliner Beauftragte für Datenschutz und Informationsfreiheit, Dr. Alexander Dix, und der Berliner Mieterverein haben nun einen Ratgeber zum Datenschutz im Mietverhältnis und bei der Wohnungssuche herausgegeben. Thematisiert werden u. a. die Wohnungsbesichtigung, die Installation von Videokameras und der Umfang der Auskunftsansprüche des Vermieters. Außerdem erhalten die Leserinnen und Leser Tipps und Hinweise auf weitere Informationen. Die Broschüre ist ab sofort in der Geschäftsstelle des Berliner Mietervereins und beim Berliner Beauftragten für Datenschutz und Informationsfreiheit kostenlos erhältlich. Sie kann auch im Internet abgerufen werden unter www.berliner-mieterverein.de und www.datenschutzberlin.de Zu diesem Themenbereich existiert auch vom Hamburgischen Datenschutzbeauftragten die Hinweisschrift „Fragerecht des Vermieters“ aus dem Jahre 2013. Die umfangreichen Informationen und rechtlichen Beurteilungen stehen ebenfalls zum kostenlosen Download zur Verfügung. Darin wird dargelegt, was nach dem Bundesdatenschutzgesetz noch zulässig ist und was zu weit geht. Liegen die Angaben im berechtigten Interesse des Vermieters oder greift er unzulässig in das informationelle Selbstbestimmungsrecht der Mietinteressenten ein? Die komplexe Thematik ist umfassend aufbereitet, und den Betroffenen wird im Rahmen eines typischen 3-Stufen-Verfahrens ein Leitfaden an die Hand gegeben, der künftig strittige Fragen bereits im Grundsatz beantwortet. Parallel dazu wurde ebenfalls eine Kurzfassung der Hinweise als Flyer veröffentlicht. Der Flyer wird den Hamburger Wohnungsunternehmen übersandt, kann aber auch von interessierten und betroffenen Bürgerinnen und Bürgern kostenlos angefordert werden. Quellen: Berliner Beauftragter für Datenschutz und Informationsfreiheit Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit news box 2 8 newsbox Datenschutz Verbraucherzentrale mahnt Facebook ab Nach einem von der Verbraucherzentrale Bundesverband e.V. (vzbv) eingeleiteten Unterlassungsverfahren liegen 19 Klauseln von Facebook auf dem rechtlichen Prüfstand. Nach Meinung des vzbv verstoßen diese Klauseln aus den Nutzungsbedingungen und der Datenrichtlinie gegen geltendes Recht. So wird bspw. in der Aussage "Facebook ist und bleibt kostenlos" bereits eine Irreführung des Nutzers gesehen, da dieser sehr wohl für die Nutzung des Dienstes "bezahle". Die genutzte Währung wird hierbei in dem Überlassen der eigenen personenbezogenen Daten gesehen, die Facebook dann in bare Münze verwandle, in dem das Soziale Netzwerk die ausgewerteten Daten und die daraus generierten Werbeplätze gewinnbringend an Werbekunden verkaufe. Hier mangele es daran, dass dem einzelnen Verbraucher nicht vor Augen geführt werde, dass es sich bei seinen Daten um ein kostbares und eigentlich unbezahlbares Gut handelt. Aus Sicht der vzbv rechtswidrig sind auch die Klarnamenpflicht oder fehlende Einwilligungen in die Datenverwendung personenbezogener Daten in Verbindung mit Werbung. Vor allem die Bestimmungen in der Datenrichtlinie sind aus Sicht des vzbv intransparent. Für den Verbraucher erschließe sich nicht auf den ersten Blick, wann welche Daten für welche Zwecke verwendet werden. Ein Dorn im Auge der vzbv sind auch die Voreinstellungen im Zusammenhang mit der Privatsphäre, Markierungen und Werbeanzeigen, die nicht datenschutzfreundlich sind. Das Auffinden durch externe Suchmaschinen sei bereits voreingestellt. Auch die Entscheidung darüber, ob soziale Handlungen wie das „Liken“ in Verbindung mit dem Namen des Verbrauchers für Werbung genutzt werden dürfen, nimmt Facebook seinen Nutzern zunächst ab. Wer das nicht möchte, der muss die Voreinstellung deaktivieren. Eine bewusste Einwilligung in solche Nutzungen erfolgt aus Sicht der vzbv damit nicht, vielmehr wird die Einwilligung zunächst vorausgesetzt und Nutzer müssen diese Einstellungen selbstständig ändern. Das Vorgehen von Facebook ist nach Ansicht des vzbv mit der deutschen und europäischen Rechtsordnung nicht vereinbar und auch kartellrechtlich bedenklich. Das Unterlassungsverfahren wird im Rahmen des vom Bundesministerium der Justiz und für Verbraucherschutz (BMJV) finanziell geförderten vzbv-Projekts „Verbraucherrechte in der digitalen Welt“ durchgeführt. So positioniert sich Heiko Maas, Bundesminister der Justiz und für Verbraucherschutz, auf der Seite des BMJV auch eindeutig für die Abmahnung durch den vzbv. Quellen: Verbraucherzentrale Bundesverband e.V. Bundesministerium der Justiz und für Verbraucherschutz news box 2 9 newsbox Datenschutz Sicherheitsrahmen für öffentliche Clouds Der von der ENISA (European Union Agency for Network and Information Security) vorgestellte Sicherheitsrahmen für Regierungsclouds beschreibt eine Schritt-für-Schritt-Anleitung für die EU Mitgliedstaaten (MS) zur Beschaffung und sicheren Nutzung von Cloud-Services. Dieses Rahmenwerk befasst sich mit der Notwendigkeit eines gemeinsamen Sicherheitsrahmens für die Nutzung von Regierungsclouds und baut dabei auf die Ergebnisse zwei vorangegangener ENISA-Studien auf. Es wird empfohlen, an der Toolbox der öffentlichen Verwaltungen zu bedienen, wenn eine Nutzung der Cloud und die Bewertung der eingesetzten Sicherheitskontrollen und Verfahren geplant werden. Das vorgeschlagene Rahmenwerk ist in vier Phasen, neun Sicherheitsaktivitäten und 14 Schritten strukturiert, die ein Bündel von Maßnahmen beschreiben, welchem die Mitgliedstaaten folgen sollten um eine sichere Regierungscloud zu definieren und umzusetzen. Darüber hinaus wird das Modell empirisch geprüft, durch die Analyse von vier Fallstudien über Regierungsclouds – Estland, Griechenland, Spanien und Großbritannien –, die ebenfalls als Muster für Die Umsetzung von Regierungsclouds dienen. Das Rahmenwerk konzentriert sich auf folgende Aktivitäten: Risikoprofile, Architekturmodelle, Sicherheits- und Datenschutzanforderungen, Sicherheitskontrollen, Implementierung, Bereitstellung, Akkreditierung, log/Überwachung, Rechnungsprüfung, Änderungsverwaltung und Exit-Management. Der Bericht ist Teil des Beitrags der Behörde zur EU-Cloud-Strategie, die sich an nationale Experten, Regierungsbehörden und die öffentlichen Verwaltung in der EU richtet, um eine nationale Cloud Sicherheitsstrategie zu definieren, mit der eine Analyse von Sicherheitsaspekten über den Einsatz von bestehenden Regierungsclouds geschaffen werden soll, oder sie beim Ausfüllen ihrer Beschaffungsanforderungen für Sicherheit unterstützt. EU-Politiker, EU-Privatwirtschaft Cloud Service Provider (CSP) und Cloud-Broker, können ebenfalls von den Inhalten profitieren. Im Wesentlichen dient das Rahmennetzwerk als Vor-Beschaffungsleitfaden und kann über den gesamten Lebenszyklus der Cloud-Nutzung verwendet werden. Quelle: ENISA (European Union Agency for Network and Information Security) Umsetzungsleitfaden der GDD zum Datenschutzstandard DS-BvD-GDD-01 Im September 2013 haben die Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. und der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. den ersten unabhängigen und offenen Datenschutzstandard DS-BvD-GDD-01 „Anforderungen an Auftragnehmer nach § 11 BDSG“ vorgestellt. Basierend auf diesem Datenschutzstandard haben GDD und BvD ein Zertifizierungsverfahren entwickelt, das einen Beleg durch eine unabhängige Stelle hinsichtlich eines rechtskonformen Umgangs mit personenbezogenen Daten im Rahmen der Auftragsda-tenverarbeitung ermöglicht. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) befürwortet die zugrunde liegende Gesamtkon-zeption aus Standard und Zertifizierungsablauf. Nachdem der Datenschutzstandard DS-BvD-GDD-01 als Hilfestel- lung für die Umsetzung der gesetzlichen Vorgaben zum Datenschutz entwickelt worden ist, gilt es nun in dem Umsetzungsleitfaden anhand von Vorschlägen für konkrete Umsetzungsmaßnahmen dessen Bedeutung für die unternehmerische Praxis zu beleuchten. Dies soll sich dabei nicht ausschließlich auf Auftragnehmer einer Auftragsdatenverarbeitung und der Definition und Ausgestaltung ihrer Dienstleistung erstrecken, sondern auch verantwortlichen Stellen eine „Übersetzungshilfe“ des Datenschutzstandards bieten.Der Leitfaden richtet sich an Geschäftsführer, Datenschutzbeauftragte, IT-Sicherheitsbeauftragte und Projektleiter von Unternehmen, die eine mit dem Datenschutzstandard konforme Dienstleistung auf dem Markt oder im Konzern anbieten oder Anregungen für einen rechtskonformen Umgang mit personenbezogen Daten erhalten möchten. Mitgliedern der GDD wird der Umsetzungsleitfaden kostenfrei zur Verfügung gestellt. Quelle: Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. news box 2 10 newsbox Datenschutz Gemeinsame Prüfaktion der Aufsichtsbehörden von Smart-TV Geräten Datenschutzrechtliche Problembereiche und Fragen tun sich auf, wenn smarte Alltagsgegenstände ihrerseits noch vernetzt sind und damit als Teil des „Internet der Dinge“ begriffen werden müssen. Nachdem das Smartphone sich längst als immerwährender und vernetzter Begleiter etabliert hat, ist dieser Trend momentan auch im Bereich des sog. Home-Entertainments zu beobachten. Innerhalb der eigenen Vier-Wände spielen die vernetzte Hausautomation und Geräte aus der Sparte der Unterhaltungselektronik einer immer wichtigere Rolle. Sowohl einzelne Aufsichtsbehörden für den Datenschutz als auch im Rahmen einer gemeinsamen Position haben diese bereits in der Vergangenheit festgestellt, dass moderne Fernsehgeräte (Smart-TV) neben dem Empfang des Fernsehsignals u. a. die Möglichkeit bieten, Internet-Dienste aufzurufen. Den Zuschauern ist es somit möglich, simultan zum laufenden TV-Programm zusätzliche Web-Inhalte durch die Sender auf dem Bildschirm anzeigen zu lassen (etwa durch den HbbTV-Standard). Auch Endgerätehersteller bieten über eigene Web-Plattformen für Smart-TV-Geräte verschiedenste Internet-Dienste an. Für die Zuschauer ist aufgrund der Verzahnung der Online- mit der TV-Welt oft nicht mehr erkennbar, ob sie gerade das TV-Programm oder einen Internet-Dienst nutzen. Überdies können sie vielfach nicht erkennen, um welchen Dienst es sich handelt. Durch die Online-Verbindung entsteht – anders als beim bisherigen Fernsehen – ein Rückkanal vom Zuschauer zum Fernsehsender, zum Endgerätehersteller oder zu sonstigen Dritten. Das individuelle Nutzungsverhalten kann über diesen Rückkanal erfasst und ausgewertet werden. In den letzten Wochen standen einzelne Hersteller von Smart TV im Fokus der Datenschutz-Interessierten, als ein Hersteller in den Lizenvereinbarungen darauf hinwies, dass ihre Geräte gesprochenen Worte ggf. aufzeichnen und an einen Drittanbieter schicken. In dem Unterpunkt "Drittanbieter" war dementsprechend zu lesen, dass der Hersteller nicht verantwortlich dafür sei, wie diese Drittanbieter Privatsphäre- und Sicherheits-Maßnahmen umsetzen. So ist es wenig verwunderlich, dass die Aufsichtsbehörden das Thema weiterhin fest im Fokus haben. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat im Rahmen einer bundesweit abgesprochenen technischen Prüfaktion Smart-TV Geräte von 13 Herstellern, die etwa 90 Prozent des Marktes in Deutschland abdecken, daraufhin untersucht, welche Daten bei Nutzung der Geräte fließen. Ergebnisse dieser Prüfung haben Dr. Alexander Dix, der Berliner Beauftragte für Datenschutz und Informationsfreiheit (BBfDI), und Thomas Kranig, der Präsident des BayLDA, mit seinen Mitarbeitern Dipl.- Inf. Andreas Sachs und Regierungsrätin Miriam Meder im Rahmen einer Pressekonferenz am 27. Februar 2015 in München vorgestellt. Quelle: Bayerisches Landesamt für Datenschutzaufsicht news box 2 11 newsbox Datenschutz FREAK bedroht IT-Sicherheit War es im Jahre 2014 unter anderem der sog. Heartbleed-Bug, der durch einen schwerwiegenden Programmfehler in älteren Versionen der Open-Source-Bibliothek OpenSSL dazu führte, dass über verschlüsselte TLS-Verbindungen private Daten von Clients und Servern ausgelesen werden konnten, ist es in diesen Tagen eine Schwachstelle im SSL bzw. TLS-Protokoll, der die Verantwortlichen für die IT-Sicherheit beschäftigt. Bei der sog. Freak Sicherheitslücke liegt der Fokus auf der Verwendung der sog. Cipher Suiten bei verschlüsselten Verbindungen. Bei dem Aufbau einer verschlüsselten Verbindung müssen zwischen Klient und Server die verwendeten Verschlüsselungsverfahren ausgehandelt werden. Dabei haben der Server und der Klient jeweils eine Liste der von ihnen unterstützen Verschlüsselungsverfahren. Der Klient macht eine Vorschlag und der Server akzeptiert diesen Vorschlag oder sagt "beherrsche ich nicht, wir müssen was anderes nehmen". Können die beiden sich nicht auf eine Cipher Suite einigen, kommt keine Verbindung zu Stande. Es müssen das Protokoll (SSL, TLS) und vier Algorithmen vereinbart werden: das Schlüsselaustauschverfahren (RSA, DH) das Authentifizierungsverfahren (RSA, DSA, ECDSA) das Verschlüsselungsalgorithmus inkl. Schlüssellänge (keine, RC4, DES, 3DES, IDEA, AES die verwendete Hashfunktion (MD5, SHA1, SHA2). Was muss ein Administrator tun, um seinen Server so zu konfigurieren, damit nur sichere Cipher Suiten verwendet werden? Die derzeit beste verfügbare Anleitung ist ein umfangreiches PDF-Dokument "Applied Crypto Hardening" von bettercrypto.org. Erfahrene Praktiker aus europäischen Certs und Hochschulen haben für die gängigsten Webserver (Apache, lighttpd, nginx und MS IIS) die sichere Konfiguration der Cipher Suiten beschrieben. Alle Beispiele können direkt per Copy & Paste übernommen werden. Darüber hinaus wird die Krypto-Konfiguration von SSH, Mail Server, VPNs, PGP, Instant Messaging Systemen Datenbanken und anderen Systemen beschrieben. Obwohl das Dokument noch den Status "draft" hat, gibt es derzeit wohl keine bessere Anleitung. Wer jetzt seine eigenen SSL/TLS fähigen Server überprüfen möchte, dem sei der Kommandozeilen SSL-Scanner SSLyze ans Herz gelegt. Das in Python geschriebene Programm ist für Windows, OS X und Linux verfügbar. Mehr Infos zu FREAK und dem Thema IT-Sicherheit finden Sie im IT-Sicherheitsblog. news box 2 12 newsbox Datenschutz Ratgeber "Datenschutzprüfung von Rechenzentren" veröffentlicht Die Auslagerung von Datenbeständen und die Auslagerung von komplexen Datenverarbeitungen (IT-Outsourcing) an externe Rechenzentrumsanbieter haben sich zu einem gängigen Schritt in der Wirtschaft und in der Verwaltung entwickelt. Dabei sind Datenschutz und Datensicherheit für den Auftraggeber die Qualitätsmerkmale und für den Anbieter Wettbewerbsfaktoren. Nun unterliegen Datenschutz, Datensicherheit und ordnungsgemäße Datenverarbeitung gesetzlichen Pflichten, die alle Unternehmen und Verwaltungseinheiten treffen, gleich welcher Größe und Branche. Das bedeutet für den Datenschutzbeauftragten eine große Herausforderung, da das Datenschutzmanagement der Datenauslagerung bzw. externen Datenverarbeitung lückenlos und vollständig abgearbeitet werden muss. Es beginnt mit der Bestimmung des Schutzniveaus der Daten, der Bestimmung der Anforderungskriterien und mit der Freigabe eines ausgewählten Rechenzentrums. Wenn die Datenauslagerung bzw. die externe Datenverarbeitung begonnen hat, erfolgt die erste Kontrolle als Dokumentensichtung und/oder als Datenschutzaudit im Rechenzentrum vor Ort. Es folgen ausführliche Dokumentationen nicht nur an die verantwortliche Stelle, sondern auch Dokumentationen im Rahmen eines guten Anforderungsmanagements für spätere Kontrollen. Die Prüf- und Kontrollfragen sollen über den gesamten ausgelagerten Bereich sinnvoll und angemessen verteilt sein. Das Anforderungsmanagement mit den Kontrollen soll das anfänglich, vertraglich definierte und vereinbarte Schutzniveau widerspiegeln und zeigen, dass es für die Dauer des IT-Outsourcings aufrechterhalten wird. Die 12 Autoren dieses Leitfadens haben diese Hilfestellung für sich und ihre Kolleginnen und Kollegen in ehrenamtlicher Arbeit als Arbeitskreis „Rechenzentrum“ des GDD-Erfa-Kreises Nord erarbeitet. Es ist die erste Zusammenstellung in dieser Qualität mit gut erklärten und tiefgreifenden Fragestellungen in den Checklisten. Quelle: Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. Möchten Sie bei Erscheinen der aktuellen Datenschutz Newsbox informiert werden und so keine Ausgabe mehr verpassen? Dann tragen Sie sich unverbindlich und kostenlos ein unter www.datakontext.com/newsletter news box 2 13
© Copyright 2024 ExpyDoc