e-privacy vo vorgelegt

Am 04.11.2020 wurde ein Entwurf für eine E-Privacy Verordnung von der EU-Ratspräsidentschaft den Mitgliedsstaaten vorgelegt. Diesem zufolge sind die Verarbeitung etwa von Standort- und Zugriffsdaten / das Setzen von cookies, die auf den Endgeräten von `visitors´ gespeichert werden, unter dem pauschalen Verweis auf berechtigtes Interesse und ohne fundierte(re) Rechtsgrundlage nicht zulässig. 

Ausnahmen dieser E-Privacy Aspekte 

Für vertretbare Verarbeitungen, die aus Sicht der Entwerfenden ohne Rechtsgrundlage zulässig bleiben müssten, sind Erlaubnistatbestände in den E-Privacy Entwurf eingeflossen. Hier kamen etwa IT-Sicherheitfraud preventionDirektwerbung in Betracht. Auch für messaging- und (andere) Telekommunikationsanbieter ist die Verarbeitung der Daten ihrer Nutzer unter Einwilligung weiterhin eingeräumt. Wenn Inhalte auf einer website unentgeltlich angeboten werden und die Finanzierung dessen über Werbebanner erfolgt, dürfe die Nutzung durch die visitors weiterhin an das Setzen von cookies ohne Einwilligung / Genehmigung gekoppelt werden, soweit ihm verschiedene Optionen mittels `präziser Informationen´ aufgezeigt würden. In seinem Beitrag zu diesem Thema führt heise.de ein Beispiel dieser Praxis mit „Spiegel Online“ an, wonach man der Verarbeitung seiner Daten im vorgenannten Sinne nur durch Abonnement entgehen könne. 

Integrität und Vertraulichkeit

Im Fokus steht auch die mit der geplanten E-Privacy Verordnung den Mitgliedstaaten einzuräumende Möglichkeit der `rechtmäßigen Überwachung´ elektronischer Kommunikation, d.h. Telekommunikationsanbieter entsprechend in die Pflicht zur Herausgabe von Standort- und Verbindungsdaten nehmen zu können. Gesetzen zur Vorratsdatenspeicherung auf nationaler Ebene soll in bestimmten Grenzen ebenfalls Raum gegeben werden. 

E-Privacy und das Nutzerverhalten 

Hand aufs Herz – wer kennt die `do not track´ Funktionalität und wer nutzt sie? Lassen Sie es uns im Kommentarfeld wissen und was Sie davon halten. Der Ansatz, die Verarbeitung von Userdaten einzugrenzen scheiterte, u.a. weil Werbeindustrie & Co. ihn nicht anerkannte. Wie kann man nur so gemein sein? 🙂 Auch in der vorliegenden E-Privacy Verordnung in spe ist eine ersetzende oder verbessernde Regelung nicht enthalten. Indes wurde der EDSA (Europäischer Datenschutzausschuss) ersucht, entsprechende Richtlinien sowie Empfehlungen zu fassen. 

Weitere Ausnahmen von dem Einwilligungsgebot könnten sich bei Warenkörben, der im Hintergrund ablaufenden Prüfung der Identität von Personen bei online Transaktionen und zum Zwecke des Webdesigns und der Werbung ergeben. 

Die vorgeschlagene E-Privacy Verordnung erstreckt sich auch auf das IoT über öffentliche Netze. Intelligente Habseligkeiten wie medizinische Geräte, Autos, Waschmaschinen etc dürfen auch weiterhin in Datenverarbeitungen durch Anbieter involviert werden, ohne dass eine Einwilligung / Kenntnis des Besitzers notwendig wäre. Indes dürfen die `Funktionalitäten´ der hard– und softwares nicht abgeändert werden. Das ist schon eine Beruhigung, wenn man die Futurama Folge kennt, in der die (Nutz-)Roboter rebellieren 😉 Liebe Verschwörungstheoretiker – dies ist ein Scherz und bitte nutzen Sie diesen nicht weiter. 

BfDI legt Berichte vor

An diesem Mittwoch, den 17.06.2020 legte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) seine Tätigkeitsberichte für beide Bereiche vor. Wichtige Themen darin sind unter anderem Gesundheitsdaten und Dialog in der Gesetzgebung. Die oberste Datenschutzbehörde ist derzeit mit über 250 Planstellen besetzt, in diesem Jahr sollen es über 300 werden. 

In diesem Beitrag wird zunächst nur auf den Datenschutzbericht eingegangen und hierbei einige „Schwerpunkte“ gesetzt. Die Gewichtung erhebt nicht den Anspruch repräsentativ für die inhaltliche Gewichtung des zugrundeliegenden Berichts zu sein oder auf Grund des Umfangs allen – jeweils sehr wichtigen – Themen durch Erwähnungen gerecht zu werden. 

Zu den Schwerpunktthemen gehörte insb. die Digitalisierung im Gesundheitswesen und Evaluierung der DSGVO. Kernthemen sind  

  • Alltagserleichterung und Praxistauglichkeit, 
  • Datenpannenmeldungen,
  • Zweckbindung, 
  • Data Protection by Design, 
  • Befugnisse der Aufsichtsbehörden und Sanktionspraxis, 
  • Zuständigkeitsbestimmung, Zusammenarbeit und Kohärenz, 
  • Direktwerbung,
  • Profiling und 
  • Akkreditierung. 

Ferner lag das Augenmerk auf Aspekten der Datenminimierung, Umsetzung der KI, der Einwilligung als Rechtsgrundlage  und Stellungnahmen der Datenethikkommission. 

Einige Zahlen zur Tätigkeit des BfDI 

Im Berichtszeitraum, dem Jahr 2019, wurden dem BfDI über 3.200 Beschwerden zugetragen, davon 44 nach § 60 BDSG, Direktanrufung des Bundesbeauftragten, und 44 gegen Nachrichtendienste. Über 10.000 Anliegen von betroffenen Personen / Bürgern wurden auf schriftlichem oder telefonischem Wege behandelt. Die Meldungen von Datenpannen beliefen sich auf rund 15.000. Insgesamt kam es zu 6 Verwarnungen, 8 Beanstandungen und 2 Geldbußen. 51 Besuchstermine bei Verantwortlichen wurden zur Information und Beratung genutzt, 73 weitere außerdem zu datenschutzrechtlichen Kontrollen. 

Empfehlungen des BfDI für Einrichtungen und Bürger 

10 Empfehlungen werden schriftlich ausgeführt. Dazu gehören brisante Themen wie die elektronische Patientenakte, Mailverschlüsselung und biometriegestützte Videoüberwachung. Des weiteren wurden die Umsetzungsstatus von Empfehlungen des vorigen BfDI Datenschutzberichts in 20 Punkten resümiert. 

Gremienarbeit und Gesetzgebung 

Im ersten der hier gemeinsam zusammengefassten Kapitel geht der Bericht auf die Gremienarbeit bei der DSK, der Internationalen Datenschutzkonferenz, dem Europäischen Datenschutzausschuss sowie dem Datenschutz-Ausschuss des Europarats (Konvention 108) ein. 

Im Bereich der Gesetzgebung werden u.a. die Anhebung auf 20 Mitarbeiter bei der DSB Bestellpflicht, Regelungslücken bei der Datenverarbeitung gesetzlicher Krankenkassen und die Ausstehende Anpassung des TKG moniert. Auch im Rahmen der Sicherheitsgesetzgebung – wie etwa StPOZollfahndungsdienst und der geplanten Darknet Gesetzgebung – gebe es Überarbeitungsbedarf. Auch wurde auf das ZensG 2021, das Projekt der Registermodernisierung und die Gesetzgebung im Gesundheits-­ und Sozialwesen eingegangen. 

Der BfDI Datenschutzbericht zum Thema Sicherheitsbereich 

.. behandelte u.a. den CLOUD Act über den weitreichenden Zugriff US amerikanischer Strafverfolgungsbehörden auf Daten bei Internet-Unternehmen. Stellung bezog der BfDI ebenfalls zum Vorschlag der e-Evidence-Verordnung über das geplante Recht europäischer Strafverfolgungsbehörden, Bestands, Verkehrs- und Inhaltsdaten unmittelbar bei Providern EU grenzübergreifend zu erheben sowie das Projekt „Polizei 2020“. Dabei wurden u.a. Datenspeicherungen und Transparenz der sowie Kontrollen bei Sicherheitsbehörden thematisiert. 

Zu weiteren Themen gehörten Drittstaatentransfers, auch hinsichtlich der Auswirkungen des Brexit, Standardvertragsklauseln und der Datenschutz in weiteren grundlegenden Organisationen wie Postwesen und Arbeitsämtern. 

Zusammenfassung 

Der große Umfang und das vielschichtige Spektrum der im Berichtsjahr 2019 behandelten Themen in prägnantem Dokumentationsstil machen deutlich, dass Inhalte, Neutralität und Transparenz von dieser Behörde sehr ernst genommen werden. Mit klaren Worten und aufgelockert durch Karikaturen (wie etwa auf Seite 49) Vermittelt der vorliegende Bericht Themen, die an Stammtischen gerne als Verschwörungstheorien abgetan werden, auf sachliche und konstruktive Weise. 

Dashcams im Straßenverkehr und der Datenschutz

Wer hat nicht schon einmal mit einer solchen geliebäugelt? Der Komfort und die Rechtssicherheit der Dashcams, kleine Kameras hinter der Windschutzscheibe, am Lenker oder welche Vehikel auch immer bevorzugt werden, erscheinen als eindeutiges Verhältnismäßigkeitskriterium. Allerdings sind sie durchaus nicht uneingeschränkt und in jedem Land erlaubt. Was zu beachten ist, erklärt dieser Beitrag. 

Die Funktionsweise  

Dashcams sollen insbesondere das Verkehrsgeschehen und -unfälle aufzeichnen, um tatsachenwidrigen bzw. parteiischen Aussagen entgegenzuwirken und eine eindeutige Beweisführung zu ermöglichen. Dass die Videos jeden Aufgenommenen belasten können – einschließlich des Dashcam Besitzers, muss nicht gesondert erwähnt werden. Angeschlossen an die Bordelektronik und / oder per Akku sind sie in der Lage, auf Micro SD Karten im Gigabyte Bereich in Endlosschleife aufzuzeichnen. Diverse Modelle haben auch Bewegungssensoren und Infrarotsicht. 

Dashcams in der praktischen Anwendung 

Die Aufzeichnung amtlicher Kennzeichen und Personen ist eine Verarbeitung personenbezogener Daten. Das online Stellen kenntlicher Inhalte ist selbstverständlich eindeutig ein Verstoß gegen die informationelle Selbstbestimmung. Aus behördlicher Datenschutzsicht geht der Tenor dahin, dass der Betrieb von Dashcams auch dann als unzulässig zu betrachten ist, wenn kurz und anlassbezogen aufgezeichnet wird, da naturgemäß keine Informationspflichten über Zweck etc. mitgeteilt werden können. Nicht umsonst achtet man bei Videoüberwachung in Firmen und anderen Einrichtungen auf Beschilderung außerhalb des Erfassungsbereichs u.a. mit den Zwecken und den Daten des Aufzeichnenden. 

Die Kriterien einer datenschutzkonformen Videoaufzeichnung sind nicht in Stein gemeißelt, aber klar definierbar. Generell geht es um die Kenntnis der konkreten Umstände und einer sachgerechten Abwägung der Rechtsgüter. 

Auch Generell Iin Fragen der richtigen Beurteilung und der rechtssicheren datenschutzkonformen Prozessgestaltung steht Ihnen unser Team als externe Datenschutzbeauftragte und Informationssicherheitsbeauftragte zur Seite

Die Frage zur Zulässigkeit von Dashcams vor dem BGH 

In seiner Entscheidung VI ZR 233/17 vom 15.05.2018 entschied der Bundesgerichtshof, dass Dashcam-Aufzeichnungen im Unfallhaftpflichtprozess aus zivilrechtlicher Sicht verwertbar sein können. Im Einzelfall sei jedenfalls eine Interessen- und Güterabwägung vorzunehmen.  

Überwiegende Interessen beim Einsatz von Dashcams 

Grundsätzlich wird man wohl das Interesse des Dashcam Betreibers den schutzwürdigen Interessen anderer Verkehrsteilnehmer unterordnen müssen, insbesondere dann, wenn permanente und nicht anlassbezogene Aufzeichnungen vorgenommen werden. Anderenfalls wäre das Rechtsgut der informellen Selbstbestimmung gefährdet. Allerdings ist die Anwendung von Dashcams auch hinsichtlich der Verwertungsfrage weiterhin umstritten. 

Das BayLDA kündigte an, dass Übermittlungen von Dashcam-Aufzeichnungen an Polizei und Versicherungen als Verstoß gewertet und mit einem Bußgeld geahndet werden könnten. 

Smart Home

Smart Home klingt erst mal nur nach Vernetzung im Privathaushalt. In Wirklichkeit aber bringt Smart Home auch Risiken für geschäftliche Daten mit sich. Gerade jetzt in Zeiten vermehrter Nutzung von Home-Office.

Smart Home: Bald auch bei Ihnen daheim?

Der deutsche Smart-Home-Markt boomt und wird sich bis 2022 auf 4,3 Milliarden Euro verdreifachen, so die Studie „Der deutsche Smart-Home-Markt 20172022. Zahlen und Fakten“ des Verbands der Internetwirtschaft (eco) anlässlich der Internationalen Funkausstellung (IFA) 2017 in Berlin.

Viele Neuheiten auf der IFA drehten sich um das vernetzte Zuhause. Für das hohe Interesse an Smart Home und die Vielfalt an neuen Angeboten gibt es gute Gründe: Die Vernetzung von Waschmaschine, Fernseher oder Heizung soll für mehr Komfort im Alltag sorgen und zudem zu Energieeinsparungen führen, wie das BSI (Bundesamt für Sicherheit in der Informationstechnik) ausführt.

Bequem, aber nicht ohne Risiko für ein Home-Office

Doch das BSI macht noch auf etwas Anderes aufmerksam: Smart-Home-Geräte werden per Software gesteuert und werden im Zweifel über das Internet mit der Außenwelt, dem Hersteller und auch untereinander vernetzt. Gerade das bringt neue Risiken mit sich, die Sie als Nutzer, aber auch als Organisation mit Nutzern im Home-Office im Blick haben sollten. 

Auch die Aufsichtsbehörden für den Datenschutz und die Verbraucherschützer machen auf die Risiken aufmerksam. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz, Prof. Dr. Kugelmann, zum Beispiel sagte:

„Es wird zunehmend deutlich, dass in einer digitalisierten Umwelt vermeintlich belanglose technische Daten wie zum Beispiel die Verbrauchswerte der Heizung geeignet sind, Dritten tiefe Einblicke in den Lebensalltag Einzelner zu verschaffen.“

Smart Home: Keine reine Privatsache

Nun scheinen diese Datenrisiken nur den Privathaushalt zu betreffen, also kein Problem für den betrieblichen Datenschutz zu sein. Dem ist aber nicht so: Durch die Nutzung privater Geräte zu betrieblichen Zwecken (BYOD = Bring Your Own Device), die private Nutzung betrieblicher Geräte und durch Telearbeit kommt es dazu, dass Firmengeräte oder betrieblich genutzte Geräte in das Smart Home eingebunden werden. Damit werden die Smart-Home-Risiken plötzlich zu Organisations-Risiken.

Wer ein Smart Home hat und darin ein Home-Office betreibt, verzichtet meist darauf, für das Home Office ein eigenes, getrenntes Netzwerk zu betreiben. Stattdessen arbeiten die vernetzte Heizung des Hauses und der Drucker im Home Office im gleichen Netzwerk. Die App zur Steuerung des Smart Home läuft auf dem gleichen Smartphone wie die betrieblichen Apps. Es ist deshalb entscheidend, dass die Datensicherheit im Smart Home stimmt – für den privaten Nutzer und für die betroffene Organisation.

Smart Home braucht mehr Datenschutz, auch aus Organisationssicht

Wie eine Studie des Digitalverbands Bitkom ergab, wünschen sich die Smart-Home-Nutzer und -Interessenten mehr Sicherheit: So sagen 92 Prozent derjenigen, die bereits Smart-Home-Anwendungen besitzen, dass ihnen unabhängige Zertifikate und Siegel zur Sicherheit vor Hacker-Angriffen sehr oder eher wichtig sind. Einen vom Hersteller garantierten Schutz vor Hacker-Angriffen finden 89 Prozent wichtig. 

Auch Datenschutz spielt eine große Rolle beim Kauf. So sagen 84 Prozent, dass ihnen ein hoher Datenschutzstandard wichtig ist, ein unabhängiges Siegel dafür wäre für 79 Prozent ein wichtiges Kaufargument. Zwei Drittel (68 Prozent) achten beim Kauf außerdem darauf, dass die Smart-Home-Daten nur in Deutschland gespeichert werden.

Diese Forderungen an Smart Home werden auch den Organisationen im Datenschutz helfen. Achten Sie deshalb auf sichere Smart-Home-Lösungen, für sich selbst und für den Datenschutz Ihrer Organisation!

Regelungen für das Home-Office um Smart Home ergänzen

Aus diesem Grund sollten Sie im Rahmen der Regelungen und Anweisungen für Home-Office bitte auch das Thema Smart Home berücksichtigen. Viele Router bieten heute schon an, zwei getrennte Netze (sowohl kabelgebunden, als auch per WLAN) zu betreiben. Die Funktion ist meist mit „Gastnetz“ beschrieben. Diese Netze laufen parallel nebeneinander und der Zugriff von einem Netz in das andere ist technisch unterbunden. So wäre es daher eine gute Lösung vorzuschreiben, dass für das Home-Office genutzte Geräte in einem anderen Netz laufen als die Smart Home Geräte.