newsbox
Datenschutz
Ausgabe
3
2015
Editorial ..................................................................................................... 2
BGH zur konkludenten Einwilligung
in die Veröffentlichung eines Bildnisses ....................................... 3
LG Frankfurt konkretisiert Anforderungen
an Einwilligung in Telefonwerbung ................................................ 3
Kleine Anfrage zu Gesundheitsdaten und Apps ........................ 4
Anwendungsfälle zum Thema Big Data......................................... 4
ULD übt Kritik am Entwurf zum IT-Sicherheitsgesetz............... 5
8. GDD-Fachtagung Datenschutz International ......................... 5
Dashcam-Aufnahmen nicht als Beweismittel verwertbar ...... 6
Erlischt die Einwilligung eines Arbeitnehmers
in Videoaufnahmen mit Kündigung? ............................................. 6
Observation durch einen Detektiv mit
heimlichen Videoaufnahmen............................................................ 7
Kontrolle von Auftragnehmern im Rahmen
der Auftragsdatenverarbeitung ....................................................... 7
„Meine Privatsphäre als Mieter“ – Neuer Ratgeber
zum Datenschutz .................................................................................. 8
Verbraucherzentrale mahnt Facebook ab .................................... 9
Sicherheitsrahmen für öffentliche Clouds .................................10
Umsetzungsleitfaden der GDD zum Datenschutzstandard
DS-BvD-GDD-01 ...................................................................................10
Gemeinsame Prüfaktion der Aufsichtsbehörden
von Smart-TV Geräten........................................................................11
FREAK bedroht IT-Sicherheit ...........................................................12
Ratgeber "Datenschutzprüfung von Rechenzentren"
veröffentlicht ........................................................................................13
newsbox
Datenschutz
Editorial
Unter dem Hashtag #TheDress stritten sich in den letzten Wochen nicht nur Millionen Twitter-Nutzer darüber, ob es sich bei einem speziellen Kleid um eine weiß-goldenes oder um ein schwarz-blaues handelt.
Es scheint so, dass je nach Betrachter die Wahrnehmung der selben Sache unterschiedlich ausfallen kann, was die Farbgebung angeht.
Wahrnehmungspsychologen und andere Experten bemühten sich um eine eingängige Erklärung.
Bei den Entwicklungen rund um die sog. Europäische Datenschutz-Grundverordnung kann man ein ähnliches Phänomen beobachten, wenn
man sich die juristische Blogosphäre mit datenschutzrechtlichem Einschlag anschaut.
Je nach dem welche Nachrichten oder in welchem Blog man liest, kann man den Eindruck gewinnen, dass es sich bei den Arbeiten an der
EU-Datenschutzreform um reine Farce handelt. Der Leser erfährt, dass die europäischen Staaten, allen voran Deutschland die Reform „aushöhlen“, und Prinzipien wie Datensparsamkeit oder gar Zweckbindung über Bord werfen wollen.
Andernorts ist die Aufregung weniger groß und die Autoren rufen zu einer „seriöseren“ und weniger selektiven Berichterstattung auf. Bestehende Standards und Regelungen sieht man nicht gefährdet. „Schlimmstenfalls“ lasse sich ein Festhalten am deutschen Datenschutzniveau beobachten.
Die als zu einseitig-kritisch gewertete Berichterstattung an den Arbeiten zur EU-Datenschutzreform und die eher negative Rolle Deutschland darin wird als „tendenziös“ empfunden.
Es ist also tatsächlich wie bei dem eingangs erwähnten Kleid. Nicht nur Schönheit, sondern auch die Wahrheit scheinen im Auge des Betrachters zu liegen. Damit ist trotz all der Lektüre der Blogs und Studieren der Nachrichten und Aufsätze zum Thema offen, ob uns die Beteiligten der EU-Datenschutzreform, das Blaue vom Himmel versprechen, die Autoren der Blogs zu Recht alles grau in grau malen, ob wir
uns am Ende grün und blau ärgern oder der Rest der Welt über unser europäisches Datenschutzrecht gelb vor Neid sein wird, meint Ihr
Levent Ferik
Impressum
DATAKONTEXT GmbH
Augustinusstraße 9d
50226 Frechen
Tel.: 02234/98 94 9-30
Fax: 02234/98 94 9-32
[email protected]
www.datakontext.com
Geschäftsführer: Dr. Karl Ulrich
Verlagsleitung: Hans-Günter Böse
Handelsregister
Amtsgericht Köln HRB 82299
news box 2
2
newsbox
Datenschutz
BGH zur konkludenten Einwilligung in die Veröffentlichung eines Bildnisses
Es gibt bereits zahlreiche Urteile, die sich dazu äußern, unter welchen Voraussetzungen eine Einwilligung nach § 22 KunstUrhG auch konkludent erfolgen kann. An eine konkludente Einwilligung sind strenge Anforderungen zu knüpfen. Diese setzt voraus, dass das Schweigen
die Einwilligung aus der Sicht des Erklärungsempfängers eindeutig zum Ausdruck gebracht hat.
Nach § 22 Satz 2 KunstUrhG wird die Einwilligung vermutet, wenn der Abgebildete eine Entlohnung erhalten hat. Erhält der Abgebildete
also ein Honorar für die Ablichtung, so wird von Gesetzes wegen vermutet, dass damit die Einwilligung zur Veröffentlichung erklärt wird.
Jüngst hat sich der BGH mit einem Fall der konkludenten Einwilligung befasst. In diesem Fall ging es um eine Hostess, von der im Rahmen
ihrer Tätigkeit Fotos angefertigt wurden. Über diesen Umstand war die Hostess durch ihr zur Verfügung gestelltes Info-Material unterrichtet
worden. Dort befand sich u. a. der Hinweis, dass zwar keine Interviews gegeben werden dürfen, allerdings seien Fotos erlaubt, eventuelle
Kamerateams seien zudem freundlich an die Öffentlichkeitsabteilung ihres Arbeitgebers oder dessen Auftraggebers zu verweisen. Diesem
Informationsschreiben waren auch "Beispielbilder für die Fotodokumentation" beigefügt.
In den Entscheidungsgründen führt der BGH, dass der Zedentin (der Hostess) durch die vorherige Unterrichtung, durch die Art der Veranstaltung als auch durch die Art ihrer Tätigkeit bewusst gewesen sein muss, dass mit Fotos auch ihrer Person und deren Veröffentlichung zu
rechnen war und dies aus Werbegründen von ihrem Arbeitgeber und dessen Auftraggeber durchaus erwünscht waren. Der BGH geht aufgrund der äußeren Umstände davon aus, dass auch Medienvertreter, die auf der Veranstaltung anwesend waren, von einem Einverständnis der Betroffen ausgehen konnten. Diese hätten die Tätigkeit der Betroffenen unter den Umständen des Streitfalles nur dahin verstehen
können, dass sie mit Fotos und deren Veröffentlichung im Interesse des Auftraggebers einverstanden war.
Quelle: Bundesgerichtshof
LG Frankfurt konkretisiert Anforderungen an Einwilligung in Telefonwerbung
Will sich ein Unternehmen eine Einwilligung für telefonische Werbung einholen, muss es sich bei der Einholung des Einverständnisses an
klare Vorgaben halten. Die Transparenz darüber, welche Daten erhoben und verarbeitet werden, darf nicht erst über den Abruf eines Links
zu Tage treten. Die für eine bewusste Entscheidung notwendigen Informationen dürfen nicht hinter einem Link versteckt werden.
Nicht nur UWG-Vorschriften, sondern auch Normen des BDSG können berührt sein, wenn eine vorformulierte Erklärung im Spiel ist. Im vorliegenden Fall befand das Landgericht Frankfurt nach einer Klage des Verbraucherzentrale Bundesverbands (vzbv) gegen die Werbefirma
Planet 49 GmbH, dass eine vorformulierte Einverständniserklärung zur Nutzung persönlicher Daten für Werbezwecke unwirksam ist, wenn
Verbraucher erst nach einem Klick auf einen Link darüber informiert werden, welche Daten erhoben und verarbeitet werden.
Die Werbefirma Planet 49 hatte die Teilnahme an einem Gewinnspiel von der Einwilligung zur Werbung abhängig gemacht. Wer teilnehmen wollte, musste sich nach Eingabe seiner persönlichen Daten damit einverstanden erklären, dass ihn „einige“ Sponsoren und Kooperationspartner am Telefon, per Post, E-Mail oder SMS über ihre Angebote informieren. Erst nach Klick auf einen weiterführenden Link gab
es Informationen zu Anzahl, Namen und Branchen der Unternehmen.
Obwohl Telefonwerbung nur nach ausdrücklicher Zustimmung der Verbraucher zulässig ist, sind ungebetene Werbeanrufe noch immer ein
großes Ärgernis. In einer Online-Umfrage der Verbraucherzentralen gaben 84 Prozent der 2.800 Teilnehmer an, niemals oder zumindest
nicht bewusst in einen Werbeanruf eingewilligt zu haben. Die Frage, ob sie privat Werbeanrufe erhalten, beantworteten trotzdem fast 93
Prozent der Befragten mit „Ja“.
Quelle: Verbraucherzentrale Bundesverband e.V. (vzbv) (Urteil des LG Frankfurt am Main vom 10.12.2014, Az. 2-06 O 030/14 – nicht rechts-kräftig)
news box 2
3
newsbox
Datenschutz
Kleine Anfrage zu Gesundheitsdaten und Apps
Etwa jeder dritte Deutsche (32 Prozent) kann sich grundsätzlich vorstellen, gesundheits- und fitnessbezogene Daten zu messen und mit der
Krankenversicherung zu teilen, um dadurch Vorteile zu erhalten. Für 39 Prozent kommt das allerdings nicht in Frage. Dies geht aus der aktuellen Studie „Quantified Health“ des internationalen Marktforschungs- und Beratungsinstituts YouGov hervor, für die insgesamt rund
1.000 Personen im Dezember 2014 repräsentativ befragt wurden.
Dennoch haben viele Bundesbürger hinsichtlich dieser Tarifierung Befürchtungen: Die Mehrheit (73 Prozent) hätte Sorge, dass bei einer
Verschlechterung des Gesundheitszustandes plötzlich mehr als vorher für die Krankenversicherung bezahlt werden müsste. Aber auch das
Thema Datenschutz beschäftigt die Befragten: So glauben rund drei Viertel (81 Prozent), dass die einmal erfassten Daten auch für andere
Zwecke verwendet werden.
Eine Kleine Anfrage der Abgeordneten Harald Weinberg, Kathrin Vogler, Jan Korte, weiterer Abgeordneter und der Fraktion DIE LINKE
(– Drucksache 18/3633 –) befasst sich ebenfalls mit den rechtlichen Fragstellungen und den Befürchtungen rund um das Missbrauchsrisiko,
welches mit der Erhebung von Gesundheitsdaten durch Apps einher gehen kann.
Die Verfasser der Kleinen Anfrage zum Thema "Datensammlungen über Versicherte in der privaten Krankenversicherung" sehen bereits in
dem Umstand, dass einige Versicherte bereit sind den Versicherern Gesundheitsdaten zu übermitteln und andere hingegen nicht, eine Art
der Selektion, die im Endeffekt diskriminierende Folgen haben könne.
Den gesamten Fragenkatalog und die Antworten des Bundesregierung können hier nachlesen.
Quelle: Bundestag.de
Anwendungsfälle zum Thema Big Data
Ob es um die bessere Wartung von Maschinen geht, um Fortschritte in der Krebsbehandlung oder bloße Retouren-Optimierung im Versandhandel:
Mit dem Thema Big Data werden verschiedenste Erwartungen verknüpft. Unter der Prämisse der datenschutzkonformen Einsatzmöglichkeit scheint die Technologie Heilsbringer für verschiedenste Probleme zu sein.
Wie so oft lassen sich Mehrwerte einer (neuen) Technologie am anschaulichsten am Anwendungsfall darstellen. Der BITKOM versucht mit
einer neuen Publikation mit dem Namen "Big Data und Geschäftsmodell-Innovationen in der Praxis“ anhand von 40 verschiedenen Anwendungfällen darzustellen, welche Mehrwerte Big Data, gerade auch dem Mittelstand bieten kann.
Anhand der vorstellten Praxisfälle wird demonstriert, wie vielfältig einsetzbar Big Data ist. Der Leitfaden soll den Mangel an Best-PracticeBeispielen und Praxiserfahrungen, den der BITKOM als Barriere für die verstärkte Nutzung von Big Data erkannt hat, ausmerzen. Es werden insbesondere Entscheider aus dem Mittelstand adressiert, die aus den Praxisbeispielen Impulse und Anregungen erhalten sollen, um
in ihren Unternehmen das innovative Potenzial von Big Data zu heben.
Quelle: BITKOM Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V.
news box 2
4
newsbox
Datenschutz
ULD übt Kritik am Entwurf zum IT-Sicherheitsgesetz
In einer aktuellen Stellungnahme sieht das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein
(ULD) an einigen Stellen Nachbesserungsbedarf am Entwurf des sog. IT-Sicherheitsgesetzes. Das ULD bezieht
sich dabei auf den Entwurf vom 29.12.2014.
Nicht ganz folgen kann das ULD offensichtlich der in dem Entwurf
zu Tage tretenden Einsicht, dass es sich bei den Daten, die bei der
Detektion von Sicherheitsvorfällen und deren aussagekräftiger Meldung an zentrale Stellen anfallen, lediglich um Daten rein technischer Natur handelt.
Einzeldaten wie gescannte Port-Nummern, IP-Adressen, URLs, Routing-Tabellen in BGP-Routern oder Zeitpunkte der Ereignisse seien
zwar zunächst als technische Daten zu bewerten. Handele es sich jedoch hierbei nicht um aggregierte Daten, so enthielten diese Daten
zugleich Angaben über die Nutzenden, bei denen es sich in der Regel
oder zumindest sehr oft um natürliche Personen handele. Auch bei
Datensätzen von Institutionen ließen sich oft natürliche Personen,
die beispielsweise dort tätig sind, zuordnen. In diesen Fällen handele
es sich dann um personenbezogene Daten i. S. d. Datenschutzrechts
(vgl. § 3 Abs. 1 BDSG). So könnten bspw. das sog. Device-Fingerprinting ermöglichen, aus „Meta-Daten“ des Internetverkehrs weitreichende Erkenntnisse über Personen abzuleiten. Da es das Ziel des
IT-Sicherheitsgesetzes sei, Korrelation von Anomalien festzustellen,
müssten zwangsläufig Daten verarbeitet werden, die vielfach einen
Personenbezug haben.
Außerdem sieht das ULD eine Schwäche des Entwurfs darin, dass datenschutzkonform mögliche Techniken zur Datensparsamkeit (vgl.
3a BDSG) nicht maximal ausgeschöpft würden. Der Entwurf lasse
die Gelegenheit ungenutzt, die Fragen von verbundenen technisch
komplexen Monitoring-Netzen tatsächlich und rechtlich anzugehen.
Grundlegende Werkzeuge wie Pseudonymisierung und Anonymisierung würden nicht berücksichtigt, und die daraus folgenden Herausforderungen für die effiziente Umsetzung von derartigen datensparsamen Monitoring-Netzen blieben ungelöst.
Kritik übt das ULD auch an dem Umstand, dass Betreibern von IT
zwar eine Vielzahl sinnvoller Pflichten auferlegt werde, dass aber
diese im Nichtbeachtensfall vom BSI nicht sanktioniert werden können. Das ULD schlägt vor, dass Sanktionsmöglichkeiten, etwa als Ordnungswidrigkeiten oder Anordnungsverfügungen, bei der Verletzung von Meldepflichten oder beim Versäumen der unverzüglichen
Beseitigung von Sicherheitsmängeln vorgesehen werden sollten.
Quelle: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD)
Anzeige
8. GDD-Fachtagung Datenschutz International
am 23. – 24. April 2015 in Berlin
Die 8. GDD-Fachtagung Datenschutz International ist die Jahrestagung für alle, die sich im Bereich Datenschutz International über aktuelle Fragestellungen informieren und austauschen möchten.
Die 8. GDD-Fachtagung Datenschutz International hat folgende Zielsetzung:
••
8. GDD-Fachtagung
Datenschutz
International
23. – 24.04.2015 in Berlin
www.datakontext.com
••
••
Übersicht und Diskussion aktueller Fragestellungen des internationalen Datenschutzes mit Experten des betrieblichen Datenschutzes und Vertretern der Aufsichtsbehörden sowie der Politik
Vorstellung von Lösungsvorschlägen und Benchmarkmodellen
Länderspecial Irland: Vorstellung der landesspezifischen Datenschutzregelungen und vielen weiteren aktuellen Themen
Diskutieren Sie mit einem hochrangigen Expertenteam und zahlreichen Kollegen am Puls der Zeit! Am Abend zwischen den beiden Veranstaltungstagen haben Sie zusätzlich Gelegenheit, Ihre Fragen individuell mit den Referenten zu diskutieren.
Weitere Infos zu dieser Veranstaltung finden Sie unter www.datakontext.com
news box 2
5
newsbox
Datenschutz
Dashcam-Aufnahmen nicht
als Beweismittel verwertbar
Bereits im August letzten Jahres hatte das Amtsgericht München
mit Hinweisbeschluss klargestellt, dass Videoaufzeichnungen, die
mit Hilfe von Dashcams erstellt wurden, in einem Prozess nicht als
Beweismittel verwendet werden dürfen und lehnte eine Verwertung und Verwendung der Videoaufzeichnungen als Beweismittel ab. Der PKW Fahrer musste in dem Fall mit anderen Mitteln
seine Unschuld beweisen, um den Prozess nicht zu verlieren. Der
zuständige Richter führt datenschutzrechtliche Erwägungen für
seine Ablehnung an.
Das Landgericht Heilbronn hat in einem aktuellen Urteil die Verwertbarkeit von Dashcam-Aufnahmen als Beweismittel ebenfalls
verneint. Aufzeichnungen einer in einem Pkw installierten Dashcam können im Zivilprozess nicht als Beweismittel zum Hergang
eines Unfalls verwertet werden, so der Leitsatz des Urteils vom
17.02.2015 (Az.:I 3 S 19/14).
Aus der Urteilsbegründung gehen folgende Erwägungen hervor:
"Eine weitere Aufklärung des Unfallhergangs ist nicht möglich.
Erlischt die Einwilligung eines Arbeitnehmers
in Videoaufnahmen mit Kündigung?
Nach § 22 KUG dürfen Bildnisse von Arbeitnehmern nur mit ihrer
Einwilligung veröffentlicht werden. Diese muss schriftlich erfolgen.
Eine ohne Einschränkung erteilte Einwilligung des Arbeitnehmers
erlischt nicht automatisch mit dem Ende des Arbeitsverhältnisses.
Sie kann aber widerrufen werden, wenn dafür ein plausibler Grund
angegeben wird.
In einem aktuellen Fall, den der BAG entschieden hat, widerrief
der Kläger, der ehemals in den Diensten des Beklagten stand seine damals schriftlich erteilte Einwilligung, die es dem Beklagten
erlaubte von ihm als Teil der Belegschaft Filmaufnahmen zu machen und diese für ihre Öffentlichkeitsarbeit zu verwenden sowie
den Imagefilm auszustrahlen. Das Video konnte von der InternetHomepage der Beklagten aus angesteuert und eingesehen werden. Das Arbeitsverhältnis endete vier Jahre nach Erteilung dieser
Einwilligung. Nach Beendigung des Arbeitsverhältnisses erklärte
der Kläger den Widerruf seiner „möglicherweise“ erteilten Einwilligung und forderte die Beklagte auf, das Video binnen 10 Tagen
Zwar hat der Ehemann der Klägerin den Unfallhergang offenbar
mit einer im Fahrzeug installierten Dashcam des Modells F 900
LHD, einer 2,5`` FullHD Videokamera mit Nachtsichtmodus und
HDMI- Anschluss, aufgenommen und die Klägerin hat sich zum
Beweis für den von ihr behaupteten Unfallhergang auf die Inaugenscheinnahme dieser Videoaufzeichnung berufen. Auch hat der
Sachverständige nicht ausgeschlossen, dass unter Berücksichtigung
dieser Videoaufzeichnung weitere Erkenntnisse für die technische
Rekonstruktion des Unfalls gewonnen werden könnten. Jedoch
hat das Amtsgericht zu Recht eine Verwertung dieses Beweismittels nicht zugelassen. Denn Videoaufzeichnungen, die ohne Kenntnis des Betroffenen angefertigt wurden, sind lediglich nach den
Grundsätzen über die Verwertbarkeit rechtswidrig erlangter Beweismittel ausnahmsweise zulässig. Über die Verwertbarkeit ist
nach ständiger Rechtsprechung und mangels einer ausdrücklichen
Regelung in der ZPO aufgrund einer umfassenden Interessen- und
Güterabwägung zu entscheiden (BVerfG NJW 2002, 3619 [3624];
BGH NJW 2003, 1123 [1124 f.]).
Mehr dazu: RDV-Online
Quelle: Landesrechtsprechung Baden-Württemberg
aus dem Netz zu nehmen. Dem folgte die Beklagte – unter Vorbehalt. Der Kläger verlangte die Unterlassung weiterer Veröffentlichung und Schmerzensgeld.
Die Klage war vor dem Arbeitsgericht teilweise, vor dem Landesarbeitsgericht zur Gänze erfolglos geblieben. Die Revision des Klägers hatte vor dem Achten Senat keinen Erfolg. Unterstellt, die
Abbildungen vom Kläger in dem Video bedurften seiner Einwilligung nach § 22 KUG, so hatte die Beklagte diese erhalten. Auch
das Erfordernis einer schriftlichen Einwilligung, das sich aus dem
Recht des Arbeitnehmers auf informationelle Selbstbestimmung
ergibt, war im Falle des Klägers erfüllt. Seine ohne Einschränkungen gegebene schriftliche Zustimmung erlosch nicht automatisch
mit dem Ende des Arbeitsverhältnisses. Ein späterer Widerruf war
grundsätzlich möglich, jedoch hat der Kläger für diese gegenläufige Ausübung seines Rechts auf informationelle Selbstbestimmung
keinen plausiblen Grund angegeben. Er kann daher eine weitere
Veröffentlichung nicht untersagen lassen und würde durch diese
in seinem Persönlichkeitsrecht nicht verletzt werden.
Quelle: Bundesarbeitsgericht, Urteil vom 19. Februar 2015 - 8 AZR 1011/13 –
news box 2
6
newsbox
Datenschutz
Observation durch einen Detektiv mit heimlichen Videoaufnahmen
Keineswegs unproblematisch ist das heimliche Beobachten der Arbeitnehmer durch Detektive, das u. a. zum Schutz gegen Diebstahl oder
zur Krankenkontrolle in der Privatwirtschaft erfolgt und keine absolute Seltenheit bildet. Zulässig ist der damit verbundene Eingriff in das
Persönlichkeitsrecht nur bei begründetem Verdacht eines schweren unkorrekten Verhaltens (Unterschlagung, Diebstahl etc.). Auch im Bereich der Krankenkontrolle kann die Beauftragung einer Detektei gemäß § 32 Abs. 1 S. 2 BDSG nur als »ultima ratio« in Betracht kommen
(vgl. Peter Gola, Datenschutz am Arbeitsplatz, 4. Auflage, Rdnr. 664).
So hat auch das Bundesarbeitsgericht aktuell festgestellt, dass ein Arbeitgeber, der wegen des Verdachts einer vorgetäuschten Arbeitsunfähigkeit einem Detektiv die Überwachung eines Arbeitnehmers überträgt rechtswidrig handelt, wenn sein Verdacht nicht auf konkreten
Tatsachen beruht. Für dabei heimlich hergestellte Abbildungen gelte dasselbe. Eine solche rechtswidrige Verletzung des allgemeinen Persönlichkeitsrechts könne einen Geldentschädigungsanspruch («Schmerzensgeld») begründen.
Die Klägerin war bei der Beklagten seit Mai 2011 als Sekretärin der Geschäftsleitung tätig. Ab dem 27. Dezember 2011 war sie arbeitsunfähig erkrankt, zunächst mit Bronchialerkrankungen. Für die Zeit bis 28. Februar 2012 legte sie nacheinander sechs Arbeitsunfähigkeitsbescheinigungen vor, zuerst vier eines Facharztes für Allgemeinmedizin, dann ab 31. Januar 2012 zwei einer Fachärztin für Orthopädie. Der
Geschäftsführer der Beklagten bezweifelte den zuletzt telefonisch mitgeteilten Bandscheibenvorfall und beauftragte einen Detektiv mit
der Observation der Klägerin.
Diese erfolgte von Mitte bis Ende Februar 2012 an vier Tagen. Beobachtet wurden ua. das Haus der Klägerin, sie und ihr Mann mit Hund vor
dem Haus und der Besuch der Klägerin in einem Waschsalon. Dabei wurden auch Videoaufnahmen erstellt. Der dem Arbeitgeber übergebene Observationsbericht enthält elf Bilder, neun davon aus Videosequenzen. Die Klägerin hielt die Beauftragung der Observation einschließlich der Videoaufnahmen für rechtswidrig und forderte ein Schmerzensgeld, dessen Höhe sie in das Ermessen des Gerichts gestellt hatte. Sie
hielt 10.500 Euro für angemessen. Die Klägerin habe erhebliche psychische Beeinträchtigungen erlitten, die ärztlicher Behandlung bedürften.
Quelle: Bundesarbeitsgericht, Urteil vom 19. Februar 2015 - 8 AZR 1007/13 –
Anzeige
Kontrolle von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung
am 14. April 2015 in Stuttgart
Vorgehensweisen für die Organisation der Kontrolltätigkeit bei
einer Vielzahl von zu kontrollierenden Dienstleistern-Lieferanten-(2nd Party)-Audits
Anhand einer risikoorientierten Vorgehensweise bei der Planung und Durchführung von Prüfhandlungen zur Erfüllung der Kontrollpflichten des Auftraggebers wird ein Ansatz für ein angemessenes Management der Auftragsdatenverarbeitungsverhältnisse vermittelt. Insbesondere im Hinblick auf die Vermeidung von Bußgeldern stehen folgende Aspekte im Fokus:
•• Kontrolle von Auftragnehmern als effektives Risikomanagement im Unternehmensinteresse
•• Anforderungen an die Kontrolle
•• Vertragsmanagement als Voraussetzung für die Kontrolle von Auftragnehmern
•• Risikoklassifizierung von Dienstleistungsverhältnissen
•• Darstellung und Bewertungskriterien unterschiedlicher Prüfmethoden
•• Risikoorientierte Planung und Durchführung von Auftragnehmerkontrollen
Weitere Infos zu dieser Veranstaltung finden Sie unter www.datakontext.com
news box 2
7
newsbox
Datenschutz
„Meine Privatsphäre als Mieter“ – Neuer Ratgeber zum Datenschutz
Die Zahl der in Deutschland pro Jahr abgeschlossenen Mietverträge beläuft sich auf ca. 3 Millionen. Bereits im Vorfeld
des Abschlusses eines Mietvertrages werden von Maklern und Vermietern personenbezogene Daten von Mietinteressenten und zukünftigen Mietern erhoben, verarbeitet und genutzt.
Oftmals ist für die involvierten Parteien nicht zu jedem Zeitpunkt klar, in wie weit sich die Erhebung und die weitere Verarbeitung der Daten noch im zulässigen Rahmen befinden. Es ist nicht ungewöhnlich, dass vielfach Angaben zu den Einkommensverhältnissen, dem Familienstand und sogar Familienplanung zu machen sind.
Datenschutz gewinnt jedoch auch im Mietverhältnis und bei der Wohnungssuche zunehmend an Bedeutung. Immer öfter fragen sich Mieterinnen und Mieter, wie sie ihre Privatsphäre schützen können und welche persönlichen Informationen und Daten sie überhaupt preisgeben müssen. Der Berliner Beauftragte für Datenschutz und Informationsfreiheit, Dr. Alexander Dix, und der Berliner Mieterverein haben
nun einen Ratgeber zum Datenschutz im Mietverhältnis und bei der Wohnungssuche herausgegeben. Thematisiert werden u. a. die Wohnungsbesichtigung, die Installation von Videokameras und der Umfang der Auskunftsansprüche des Vermieters. Außerdem erhalten die
Leserinnen und Leser Tipps und Hinweise auf weitere Informationen.
Die Broschüre ist ab sofort in der Geschäftsstelle des Berliner Mietervereins und beim Berliner Beauftragten für Datenschutz und Informationsfreiheit kostenlos erhältlich. Sie kann auch im Internet abgerufen werden unter www.berliner-mieterverein.de und www.datenschutzberlin.de
Zu diesem Themenbereich existiert auch vom Hamburgischen Datenschutzbeauftragten die Hinweisschrift „Fragerecht des Vermieters“
aus dem Jahre 2013. Die umfangreichen Informationen und rechtlichen Beurteilungen stehen ebenfalls zum kostenlosen Download zur
Verfügung. Darin wird dargelegt, was nach dem Bundesdatenschutzgesetz noch zulässig ist und was zu weit geht. Liegen die Angaben im
berechtigten Interesse des Vermieters oder greift er unzulässig in das informationelle Selbstbestimmungsrecht der Mietinteressenten ein?
Die komplexe Thematik ist umfassend aufbereitet, und den Betroffenen wird im Rahmen eines typischen 3-Stufen-Verfahrens ein Leitfaden an die Hand gegeben, der künftig strittige Fragen bereits im Grundsatz beantwortet.
Parallel dazu wurde ebenfalls eine Kurzfassung der Hinweise als Flyer veröffentlicht. Der Flyer wird den Hamburger Wohnungsunternehmen übersandt, kann aber auch von interessierten und betroffenen Bürgerinnen und Bürgern kostenlos angefordert werden.
Quellen:
Berliner Beauftragter für Datenschutz und Informationsfreiheit
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
news box 2
8
newsbox
Datenschutz
Verbraucherzentrale mahnt Facebook ab
Nach einem von der Verbraucherzentrale Bundesverband e.V. (vzbv) eingeleiteten Unterlassungsverfahren liegen 19 Klauseln von Facebook
auf dem rechtlichen Prüfstand. Nach Meinung des vzbv verstoßen diese Klauseln aus den Nutzungsbedingungen und der Datenrichtlinie
gegen geltendes Recht. So wird bspw. in der Aussage "Facebook ist und bleibt kostenlos" bereits eine Irreführung des Nutzers gesehen, da
dieser sehr wohl für die Nutzung des Dienstes "bezahle". Die genutzte Währung wird hierbei in dem Überlassen der eigenen personenbezogenen Daten gesehen, die Facebook dann in bare Münze verwandle, in dem das Soziale Netzwerk die ausgewerteten Daten und die daraus generierten Werbeplätze gewinnbringend an Werbekunden verkaufe.
Hier mangele es daran, dass dem einzelnen Verbraucher nicht vor Augen geführt werde, dass es sich bei seinen Daten um ein kostbares und
eigentlich unbezahlbares Gut handelt.
Aus Sicht der vzbv rechtswidrig sind auch die Klarnamenpflicht oder fehlende Einwilligungen in die Datenverwendung personenbezogener
Daten in Verbindung mit Werbung. Vor allem die Bestimmungen in der Datenrichtlinie sind aus Sicht des vzbv intransparent. Für den Verbraucher erschließe sich nicht auf den ersten Blick, wann welche Daten für welche Zwecke verwendet werden.
Ein Dorn im Auge der vzbv sind auch die Voreinstellungen im Zusammenhang mit der Privatsphäre, Markierungen und Werbeanzeigen, die
nicht datenschutzfreundlich sind. Das Auffinden durch externe Suchmaschinen sei bereits voreingestellt. Auch die Entscheidung darüber,
ob soziale Handlungen wie das „Liken“ in Verbindung mit dem Namen des Verbrauchers für Werbung genutzt werden dürfen, nimmt Facebook seinen Nutzern zunächst ab. Wer das nicht möchte, der muss die Voreinstellung deaktivieren. Eine bewusste Einwilligung in solche
Nutzungen erfolgt aus Sicht der vzbv damit nicht, vielmehr wird die Einwilligung zunächst vorausgesetzt und Nutzer müssen diese Einstellungen selbstständig ändern. Das Vorgehen von Facebook ist nach Ansicht des vzbv mit der deutschen und europäischen Rechtsordnung
nicht vereinbar und auch kartellrechtlich bedenklich.
Das Unterlassungsverfahren wird im Rahmen des vom Bundesministerium der Justiz und für Verbraucherschutz (BMJV) finanziell geförderten vzbv-Projekts „Verbraucherrechte in der digitalen Welt“ durchgeführt. So positioniert sich Heiko Maas, Bundesminister der Justiz und
für Verbraucherschutz, auf der Seite des BMJV auch eindeutig für die Abmahnung durch den vzbv.
Quellen:
Verbraucherzentrale Bundesverband e.V.
Bundesministerium der Justiz und für Verbraucherschutz
news box 2
9
newsbox
Datenschutz
Sicherheitsrahmen für öffentliche Clouds
Der von der ENISA (European Union Agency for Network and Information Security) vorgestellte Sicherheitsrahmen für Regierungsclouds
beschreibt eine Schritt-für-Schritt-Anleitung für die EU Mitgliedstaaten (MS) zur Beschaffung und sicheren Nutzung von Cloud-Services.
Dieses Rahmenwerk befasst sich mit der Notwendigkeit eines gemeinsamen Sicherheitsrahmens für die Nutzung von Regierungsclouds und
baut dabei auf die Ergebnisse zwei vorangegangener ENISA-Studien auf. Es wird empfohlen, an der Toolbox der öffentlichen Verwaltungen
zu bedienen, wenn eine Nutzung der Cloud und die Bewertung der eingesetzten Sicherheitskontrollen und Verfahren geplant werden. Das
vorgeschlagene Rahmenwerk ist in vier Phasen, neun Sicherheitsaktivitäten und 14 Schritten strukturiert, die ein Bündel von Maßnahmen
beschreiben, welchem die Mitgliedstaaten folgen sollten um eine sichere Regierungscloud zu definieren und umzusetzen.
Darüber hinaus wird das Modell empirisch geprüft, durch die Analyse von vier Fallstudien über Regierungsclouds – Estland, Griechenland,
Spanien und Großbritannien –, die ebenfalls als Muster für Die Umsetzung von Regierungsclouds dienen. Das Rahmenwerk konzentriert
sich auf folgende Aktivitäten: Risikoprofile, Architekturmodelle, Sicherheits- und Datenschutzanforderungen, Sicherheitskontrollen, Implementierung, Bereitstellung, Akkreditierung, log/Überwachung, Rechnungsprüfung, Änderungsverwaltung und Exit-Management.
Der Bericht ist Teil des Beitrags der Behörde zur EU-Cloud-Strategie, die sich an nationale Experten, Regierungsbehörden und die öffentlichen Verwaltung in der EU richtet, um eine nationale Cloud Sicherheitsstrategie zu definieren, mit der eine Analyse von Sicherheitsaspekten über den Einsatz von bestehenden Regierungsclouds geschaffen werden soll, oder sie beim Ausfüllen ihrer Beschaffungsanforderungen für Sicherheit unterstützt. EU-Politiker, EU-Privatwirtschaft Cloud Service Provider (CSP) und Cloud-Broker, können ebenfalls von den
Inhalten profitieren.
Im Wesentlichen dient das Rahmennetzwerk als Vor-Beschaffungsleitfaden und kann über den gesamten Lebenszyklus der Cloud-Nutzung
verwendet werden.
Quelle: ENISA (European Union Agency for Network and Information Security)
Umsetzungsleitfaden der GDD zum
Datenschutzstandard DS-BvD-GDD-01
Im September 2013 haben die Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. und der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. den ersten unabhängigen
und offenen Datenschutzstandard DS-BvD-GDD-01 „Anforderungen an Auftragnehmer nach § 11 BDSG“ vorgestellt.
Basierend auf diesem Datenschutzstandard haben GDD und BvD
ein Zertifizierungsverfahren entwickelt, das einen Beleg durch eine
unabhängige Stelle hinsichtlich eines rechtskonformen Umgangs
mit personenbezogenen Daten im Rahmen der Auftragsda-tenverarbeitung ermöglicht. Der Landesbeauftragte für Datenschutz
und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) befürwortet die zugrunde liegende Gesamtkon-zeption aus Standard
und Zertifizierungsablauf.
Nachdem der Datenschutzstandard DS-BvD-GDD-01 als Hilfestel-
lung für die Umsetzung der gesetzlichen Vorgaben zum Datenschutz entwickelt worden ist, gilt es nun in dem Umsetzungsleitfaden anhand von Vorschlägen für konkrete Umsetzungsmaßnahmen dessen Bedeutung für die unternehmerische Praxis zu
beleuchten. Dies soll sich dabei nicht ausschließlich auf Auftragnehmer einer Auftragsdatenverarbeitung und der Definition und
Ausgestaltung ihrer Dienstleistung erstrecken, sondern auch verantwortlichen Stellen eine „Übersetzungshilfe“ des Datenschutzstandards bieten.Der Leitfaden richtet sich an Geschäftsführer, Datenschutzbeauftragte, IT-Sicherheitsbeauftragte und Projektleiter
von Unternehmen, die eine mit dem Datenschutzstandard konforme Dienstleistung auf dem Markt oder im Konzern anbieten oder
Anregungen für einen rechtskonformen Umgang mit personenbezogen Daten erhalten möchten.
Mitgliedern der GDD wird der Umsetzungsleitfaden kostenfrei zur
Verfügung gestellt.
Quelle: Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V.
news box 2
10
newsbox
Datenschutz
Gemeinsame Prüfaktion der Aufsichtsbehörden von Smart-TV Geräten
Datenschutzrechtliche Problembereiche und Fragen tun sich auf, wenn smarte Alltagsgegenstände ihrerseits noch vernetzt sind und damit als Teil des „Internet der Dinge“ begriffen werden müssen. Nachdem das Smartphone sich längst als immerwährender und vernetzter
Begleiter etabliert hat, ist dieser Trend momentan auch im Bereich des sog. Home-Entertainments zu beobachten. Innerhalb der eigenen
Vier-Wände spielen die vernetzte Hausautomation und Geräte aus der Sparte der Unterhaltungselektronik einer immer wichtigere Rolle.
Sowohl einzelne Aufsichtsbehörden für den Datenschutz als auch im Rahmen einer gemeinsamen Position haben diese bereits in der Vergangenheit festgestellt, dass moderne Fernsehgeräte (Smart-TV) neben dem Empfang des Fernsehsignals u. a. die Möglichkeit bieten, Internet-Dienste aufzurufen. Den Zuschauern ist es somit möglich, simultan zum laufenden TV-Programm zusätzliche Web-Inhalte durch die
Sender auf dem Bildschirm anzeigen zu lassen (etwa durch den HbbTV-Standard). Auch Endgerätehersteller bieten über eigene Web-Plattformen für Smart-TV-Geräte verschiedenste Internet-Dienste an. Für die Zuschauer ist aufgrund der Verzahnung der Online- mit der TV-Welt
oft nicht mehr erkennbar, ob sie gerade das TV-Programm oder einen Internet-Dienst nutzen. Überdies können sie vielfach nicht erkennen,
um welchen Dienst es sich handelt. Durch die Online-Verbindung entsteht – anders als beim bisherigen Fernsehen – ein Rückkanal vom Zuschauer zum Fernsehsender, zum Endgerätehersteller oder zu sonstigen Dritten. Das individuelle Nutzungsverhalten kann über diesen Rückkanal erfasst und ausgewertet werden.
In den letzten Wochen standen einzelne Hersteller von Smart TV im Fokus der Datenschutz-Interessierten, als ein Hersteller in den Lizenvereinbarungen darauf hinwies, dass ihre Geräte gesprochenen Worte ggf. aufzeichnen und an einen Drittanbieter schicken. In dem Unterpunkt "Drittanbieter" war dementsprechend zu lesen, dass der Hersteller nicht verantwortlich dafür sei, wie diese Drittanbieter Privatsphäre- und Sicherheits-Maßnahmen umsetzen.
So ist es wenig verwunderlich, dass die Aufsichtsbehörden das Thema weiterhin fest im Fokus haben. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat im Rahmen einer bundesweit abgesprochenen technischen Prüfaktion Smart-TV Geräte von 13 Herstellern, die
etwa 90 Prozent des Marktes in Deutschland abdecken, daraufhin untersucht, welche Daten bei Nutzung der Geräte fließen. Ergebnisse dieser Prüfung haben Dr. Alexander Dix, der Berliner Beauftragte für Datenschutz und Informationsfreiheit (BBfDI), und Thomas Kranig, der
Präsident des BayLDA, mit seinen Mitarbeitern Dipl.- Inf. Andreas Sachs und Regierungsrätin Miriam Meder im Rahmen einer Pressekonferenz am 27. Februar 2015 in München vorgestellt.
Quelle: Bayerisches Landesamt für Datenschutzaufsicht
news box 2
11
newsbox
Datenschutz
FREAK bedroht IT-Sicherheit
War es im Jahre 2014 unter anderem der sog. Heartbleed-Bug, der durch einen schwerwiegenden Programmfehler in
älteren Versionen der Open-Source-Bibliothek OpenSSL dazu führte, dass über verschlüsselte TLS-Verbindungen private Daten von Clients und Servern ausgelesen werden konnten, ist es in diesen Tagen eine Schwachstelle im SSL bzw.
TLS-Protokoll, der die Verantwortlichen für die IT-Sicherheit beschäftigt.
Bei der sog. Freak Sicherheitslücke liegt der Fokus auf der Verwendung der sog. Cipher Suiten bei verschlüsselten Verbindungen. Bei dem
Aufbau einer verschlüsselten Verbindung müssen zwischen Klient und Server die verwendeten Verschlüsselungsverfahren ausgehandelt werden. Dabei haben der Server und der Klient jeweils eine Liste der von ihnen unterstützen Verschlüsselungsverfahren. Der Klient macht eine
Vorschlag und der Server akzeptiert diesen Vorschlag oder sagt "beherrsche ich nicht, wir müssen was anderes nehmen". Können die beiden sich nicht auf eine Cipher Suite einigen, kommt keine Verbindung zu Stande. Es müssen das Protokoll (SSL, TLS) und vier Algorithmen
vereinbart werden: das Schlüsselaustauschverfahren (RSA, DH) das Authentifizierungsverfahren (RSA, DSA, ECDSA) das Verschlüsselungsalgorithmus inkl. Schlüssellänge (keine, RC4, DES, 3DES, IDEA, AES die verwendete Hashfunktion (MD5, SHA1, SHA2).
Was muss ein Administrator tun, um seinen Server so zu konfigurieren, damit nur sichere Cipher Suiten verwendet werden?
Die derzeit beste verfügbare Anleitung ist ein umfangreiches PDF-Dokument "Applied Crypto Hardening" von bettercrypto.org. Erfahrene Praktiker aus europäischen Certs und Hochschulen haben für die gängigsten Webserver (Apache, lighttpd, nginx und MS IIS) die sichere
Konfiguration der Cipher Suiten beschrieben. Alle Beispiele können direkt per Copy & Paste übernommen werden. Darüber hinaus wird die
Krypto-Konfiguration von SSH, Mail Server, VPNs, PGP, Instant Messaging Systemen Datenbanken und anderen Systemen beschrieben. Obwohl das Dokument noch den Status "draft" hat, gibt es derzeit wohl keine bessere Anleitung.
Wer jetzt seine eigenen SSL/TLS fähigen Server überprüfen möchte, dem sei der Kommandozeilen SSL-Scanner SSLyze ans Herz gelegt. Das
in Python geschriebene Programm ist für Windows, OS X und Linux verfügbar.
Mehr Infos zu FREAK und dem Thema IT-Sicherheit finden Sie im IT-Sicherheitsblog.
news box 2
12
newsbox
Datenschutz
Ratgeber "Datenschutzprüfung von Rechenzentren" veröffentlicht
Die Auslagerung von Datenbeständen und die Auslagerung von komplexen Datenverarbeitungen (IT-Outsourcing) an
externe Rechenzentrumsanbieter haben sich zu einem gängigen Schritt in der Wirtschaft und in der Verwaltung entwickelt. Dabei sind Datenschutz und Datensicherheit für den Auftraggeber die Qualitätsmerkmale und für den Anbieter Wettbewerbsfaktoren.
Nun unterliegen Datenschutz, Datensicherheit und ordnungsgemäße Datenverarbeitung gesetzlichen Pflichten, die alle Unternehmen und
Verwaltungseinheiten treffen, gleich welcher Größe und Branche. Das bedeutet für den Datenschutzbeauftragten eine große Herausforderung, da das Datenschutzmanagement der Datenauslagerung bzw. externen Datenverarbeitung lückenlos und vollständig abgearbeitet
werden muss.
Es beginnt mit der Bestimmung des Schutzniveaus der Daten, der Bestimmung der Anforderungskriterien und mit der Freigabe eines ausgewählten Rechenzentrums. Wenn die Datenauslagerung bzw. die externe Datenverarbeitung begonnen hat, erfolgt die erste Kontrolle
als Dokumentensichtung und/oder als Datenschutzaudit im Rechenzentrum vor Ort. Es folgen ausführliche Dokumentationen nicht nur an
die verantwortliche Stelle, sondern auch Dokumentationen im Rahmen eines guten Anforderungsmanagements für spätere Kontrollen. Die
Prüf- und Kontrollfragen sollen über den gesamten ausgelagerten Bereich sinnvoll und angemessen verteilt sein. Das Anforderungsmanagement mit den Kontrollen soll das anfänglich, vertraglich definierte und vereinbarte Schutzniveau widerspiegeln und zeigen, dass es für die
Dauer des IT-Outsourcings aufrechterhalten wird.
Die 12 Autoren dieses Leitfadens haben diese Hilfestellung für sich und ihre Kolleginnen und Kollegen in ehrenamtlicher Arbeit als Arbeitskreis „Rechenzentrum“ des GDD-Erfa-Kreises Nord erarbeitet. Es ist die erste Zusammenstellung in dieser Qualität mit gut erklärten und
tiefgreifenden Fragestellungen in den Checklisten.
Quelle: Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V.
Möchten Sie bei Erscheinen der aktuellen Datenschutz Newsbox informiert werden und so keine Ausgabe mehr verpassen?
Dann tragen Sie sich unverbindlich und kostenlos ein unter www.datakontext.com/newsletter
news box 2
13