Der datenschutzrechtlichen Auftragsdatenverarbeitung und der Funktionsübertragung sind gemein, dass in beiden Konstellationen ein Unternehmen personenbezogene Daten für ein anderes Unternehmen verarbeitet.
Die Unterschiede in der datenschutzrechtlichen Verantwortlichkeit und Haftung (siehe Teil 3 der Reihe) und die Konsequenzen für den Datenschutzbeauftragten (siehe Teil 4 der Reihe) sind allerdings gravierend.
Dumm nur, dass es in der Praxis oftmals gar nicht so einfach ist, im konkreten Fall zu entscheiden, ob nun eine Auftragsdatenverarbeitung oder eine Funktionsübertragung vorliegt (siehe Teil 2 der Reihe).
Gerade beim Outsourcing von diversen Leistungen steht man oft vor der Frage, ob entweder das eine oder das andere vorliegt.
Worum geht es bei der Auftragsdatenverarbeitung und der Funktionsübertragung nach Datenschutzrecht?
Fangen wir einmal ganz vorne an:
Szenario 1: Eine datenverarbeitende Stelle
Einfachster Fall, der letztendlich weder eine Auftragsdatenverarbeitung noch eine Funktionsübertragung darstellt, aber der Veranschaulichung dienen soll, ist, dass es ein Unternehmen gibt, das die personenbezogenen Daten selbst (für eigene Zwecke) verarbeitet. Hier existieren typischerweise verschiedene Abteilungen, zwischen denen personenbezogene Daten übertragen werden, beispielsweise zur Rechtsabteilung, Buchhaltung, Vertrieb oder IT-Abteilung/Server.
Da die Daten nur innerhalb des Unternehmens, also der verantwortlichen Stelle im Sinne des § 3 Abs. 7 BDSG, übertragen werden, stellt dies keine Datenübermittlung im datenschutzrechtlichen Sinne gem. § 3 Abs. 4 Nr. 3 BDSG dar.
Szenario 2: Funktionsübertragung/Datenübermittlung
Es bestehen zwei Unternehmen, wobei ein Unternehmen vom anderen beauftragt wird, bestimmte Leistungen zu erbringen. Hierzu werden auch personenbezogene Daten übertragen. Das datenverarbeitende Unternehmen erarbeitet und liefert ein bestimmtes Ergebnis oder eine bestimmte Leistung, erbringt beispielsweise eine Rechtsberatung oder eine Steuerberatung.
Liegt eine Funktionsübertragung vor, werden personenbezogene Daten an das verarbeitende Unternehmen im Sinne von § 3 Abs. 4 Nr. 3 BDSG übermittelt.
Szenario 3: Auftragsdatenverarbeitung
Auch hier bestehen zwei Unternehmen. Ein Unternehmen beauftragt das andere Unternehmen mit einer Datenverarbeitung. Hier greift § 11 BDSG mit der Konsequenz, dass so etwas wie ein „Mittelding“ zwischen Szenario 1 und Szenario 2 ensteht. Obwohl hier zwei Unternehmen wie in Szenario 2 bestehen, zwischen welchen personenbezogene Daten ausgetauscht werden, wird die Angelegenheit ähnlich wie in Szenario 1 gesehen, in welchem die Daten nicht im datenschutzrechtlichem Sinne von § 3 Abs. 4 Nr. 3 BDSG übermittelt (sondern nur „genutzt“ im Sinne des § 3 Abs. 5 BDSG) werden. Um im bildlichen Sinne eine ähnlich enge Bindung wie in Szenario 1 herzustellen, wird das datenverarbeitende Unternehmen – der Auftragnehmer bei der Auftragsdatenverarbeitung gem. § 11 BDSG – über eine notwendige vertragliche Vereinbarung ganz eng an den Auftraggeber gebunden. Letztendlich entscheidet in dieser Konstellation der Auftraggeber bis ins Detail, welche personenbezogene Daten in welcher Art und Weise zu verarbeiten sind. Das kann zum Beispiel der Fall sein, wenn ein Rechenzentrum statt der eigenen IT-Abteilung mit der Datenverarbeitung beauftragt wird oder statt die eigene Vertriebsabteilung ein externer Lettershop oder Callcenter mit der Kontaktierung der Kunden beauftragt wird.
Donnerstag, 21. Juni 2012
Mittwoch, 16. Mai 2012
Facebook erneut im Visir der Aufsichtsbehörden
PRESSEMITTEILUNG DES ULD VOM
16.05.2012
Am 11. Mai 2012 ist Facebook erneut mit Vorschlägen für
die Änderung seiner Datenverwendungsregeln an die Öffentlichkeit getreten. Zwei
solcher Versuche des einseitigen Festlegens der Verarbeitungsbestimmungen waren
schon erfolglos, weil jeweils über 7000 Nutzende den Vorschlägen widersprochen
hatten. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD)
hat die geplanten Änderungen gesichtet und musste feststellen, dass erneut
keine wesentlichen Verbesserungen und sogar weitere Verschlechterungen aus
Datenschutzsicht vorgesehen sind, z. B. Ermächtigungen für eine noch längere
Speicherung und Nutzung der Daten. Wenn wirklich etwas mehr Transparenz
hergestellt wird, dann dadurch, dass die unzulässigen Verarbeitungen genauer
beschrieben werden.
Die vom irischen Datenschutzbeauftragten vor fünf Monaten
geäußerte Kritik in einem Auditbericht wird zwar aufgegriffen, aber die dort
geforderten tatsächlichen Änderungen nicht umgesetzt. Der Leiter des ULD ´Thilo
Weichert kommentiert:
„Facebook nervt, indem es die Öffentlichkeit mit immer
wieder neuen Scheinmanövern hinhält. Facebook muss nicht einfach sein
Kleingedrucktes ändern, sondern seine Geschäftspolitik und seine
Datenverarbeitung.
Hierüber muss dann Transparenz hergestellt werden. Reale
Optionsmöglichkeiten sind für die Betroffenen einzurichten, wobei die
Grundeinstellung auf weitestgehende Vertraulichkeit ausgerichtet sein muss. Die
Übermittlung von Nutzungsdaten in die USA ist zu stoppen.
Reale Transparenz könnte Facebook herstellen, indem das
Unternehmen uns Aufsichtsbehörden aussagekräftige Dokumentationen vorlegen
würde. Dies wurde dem ULD im September 2011 versprochen. Bis heute haben wir
aber nichts erhalten.
Wir können Facebook-Nutzenden nur ein weiteres Mal
empfehlen, gegen die geplanten Datenverwendungsrichtlinien Einspruch
einzulegen. Forderungen dazu finden sich unter www.our-policy-org. Würden diese
umgesetzt, wäre Facebook zwar noch nicht in der Rechtskonformität angelangt,
aber auf dem Weg dorthin. Jedem, der meint, Facebook behördlich oder
kommerziell nutzen zu müssen, empfehle ich die Lektüre der bisherigen und der
geplanten Datenverwendungsregelungen, um zu erfahren, mit welchem windigen
Unternehmen er kooperiert. Und wer meint, mit Datenschutzverstößen reich werden
zu können und gefasst ist, sich hierbei zu täuschen, dem ist nach Börsengang
von Facebook der Aktienkauf zu empfehlen. Das ULD hofft, dass das
Verwaltungsgericht Schleswig jetzt bald die Termine für die Verfahren gegen
unsere Facebook-Verfügungen festlegt, auch wenn zwei Kläger ihre
Klagebegründungen immer noch nicht vorgelegt haben.“
Die geplanten Änderungen der Datenverwendungsrichtlinien
finden sich unter
Freitag, 11. Mai 2012
Analytics-Nutzer im Visier des Bayerischen Landesamt für Datenschutzaufsicht
Das BayLDA hat in einem ersten Durchgang 13.404
Webseiten auf den datenschutzkonformen Einsatz von Google Analytics hin
überprüft.
Hierfür hat es eine eigene Software entwickelt, mit der
automatisiert festgestellt werden kann, ob Google Analytics entsprechend
den o.g. Vorgaben eingesetzt wird.
Geplant ist, in absehbarer Zeit auch
die datenschutzkonforme Nutzung anderer Programme zur
Reichweitenmessung zu überprüfen.
Die Prüfung hatte zum Ergebnis, dass auf den
geprüften 13.404 Webseiten bei 10.955 Google Analytics nicht eingesetzt
wird und bei den 2.449 Webseiten bayerischer Anbieter, die Google
Analytics nutzen, nur 78 (d.h. 3%) das Tracking-Programm
datenschutzkonform einsetzen.
Soweit der Einsatz nicht
datenschutzkonform erfolgt, wird das BayLDA an die übrigen 2.371
Webseitenbetreiber herantreten, sie über das Ergebnis der Prüfung
informieren und auffordern, den Einsatz des Programms gemäß den o.g.
Vorgaben datenschutzkonform zu gestalten.
"Die Webseitenbetreiber in Bayern, die noch
Defizite bei der Umsetzung der datenschutzrechtlichen Vorgaben
aufweisen, werden von uns angeschrieben und in einem ersten Schritt
aufgefordert, diese zu beheben. Wir sehen dies als Beitrag zur
Qualitätssicherung für die Unternehmen einerseits und Sicherstellung des
Schutzes des allgemeinen Persönlichkeitsrechts der Nutzer andererseits
an“ so Thomas Kranig, Präsident des Bayerischen Landesamtes für Datenschutzaufsicht.
Laut dem Nachrichtensender n-tv wurden bereits sechsseitige Schreiben an die besagten Unternehmen versandt.
Bußgeldverfahren wollen die Bayern vorerst allerdings vorerst nur für
den Fall einleiten, wenn ein Webseitenbetreiber sich nach
entsprechender Aufforderung durch das BayLDA nachhaltig weigert, sein
Programm anzupassen.
Dann könnten Strafen von bis zu 50.000
Euro fällig werden.
Montag, 26. März 2012
Mitarbeiterfotos im Internet
Die Veröffentlichung von Fotos seiner Mitarbeiter auf der Website und einem News-Blog kann die Persönlichkeitsrechte der abgebildeten Person verletzen, wenn diese aus dem Unternehmen zwar ausgeschieden ist, die Informationen über diese Person aber weiterhin im Internet auf der Firmenseite abrufbar sind.
Dies hat das LAG Hessen in seinem Urteil vom 24.01.2012 - Az. 19 SaGa 1480/11 entschieden.
Eine Rechtsanwältin war auf der Website der Kanzlei abgebildet, bei welcher sie angestellt war. Ferner fand sich im News-Blog der Kanzlei ein Hinweis, dass die Anwältin das Anwaltsteam in einem bestimmen Rechtsgebiet unterstütze nebst Angaben zu ihrem Profil mit einem Foto. Die dort veröffentlichten Informationen stammten von der beschäftigten Rechtsanwältin selbst.
Nachdem das Arbeitsverhältnis von Seiten des Arbeitgebers gekündigt wurde, versäumte es die Kanzlei trotz entsprechender Aufforderung, die genannten Informationen und das Foto ihrer ehemaligen Arbeitnehmerin aus dem Blog zu entfernen. Die Aufführung auf der Kanzleiwebsite wurden hingegen entfernt.
Dies verletze die ehemalige Arbeitnehmerin in ihrem Persönlichkeitsrecht, insbesondere an ihrem Recht am eigenen Bild - so das LAG Hessen, welches das Urteil des Arbeitsgerichts Frankfurt am Main vom 05. Oktober 2011 – 13 Ga 160/11 - bestätigte.
Es fehle an der erforderliche Einwilligung zur Darstellung dieser Informationen und des Bildnisses. Eine Einwilligung, welche die ehemalige Arbeitnehmerin durch die Mitarbeit an der Veröffentlichung erteilt habe, sei inzwischen wirksam widerrufen worden. Als Widerrufsgrund genüge das Ausscheiden aus dem Arbeitsverhältnis.
Zudem könne der Eindruck entstehen, dass auf den Webseiten dargestellte Person noch in dem Unternehmen arbeite, da ein Nutzer davon ausgehen könne, dass eine professionell geführte Homepage aktualisiert werde.
Es sei, so das Gericht, der ehemaligen Arbeitnehmerin nach Beendigung des Arbeitsverhältnisses nicht mehr zuzumuten, dass der ehemalige Arbeitgeber mit ihrem Profil werbe. Denn es sei evident, dass die Einwilligung der ehemaligen Mitarbeiterin in die Veröffentlichung nur für die Dauer der Beschäftigung gelten solle. Damit konnte sie ihre Einwilligung nach Beendigung des Arbeitsverhältnisses wirksam widerrufen.
Link zum vollständigen Urteil
Dies hat das LAG Hessen in seinem Urteil vom 24.01.2012 - Az. 19 SaGa 1480/11 entschieden.
Eine Rechtsanwältin war auf der Website der Kanzlei abgebildet, bei welcher sie angestellt war. Ferner fand sich im News-Blog der Kanzlei ein Hinweis, dass die Anwältin das Anwaltsteam in einem bestimmen Rechtsgebiet unterstütze nebst Angaben zu ihrem Profil mit einem Foto. Die dort veröffentlichten Informationen stammten von der beschäftigten Rechtsanwältin selbst.
Nachdem das Arbeitsverhältnis von Seiten des Arbeitgebers gekündigt wurde, versäumte es die Kanzlei trotz entsprechender Aufforderung, die genannten Informationen und das Foto ihrer ehemaligen Arbeitnehmerin aus dem Blog zu entfernen. Die Aufführung auf der Kanzleiwebsite wurden hingegen entfernt.
Dies verletze die ehemalige Arbeitnehmerin in ihrem Persönlichkeitsrecht, insbesondere an ihrem Recht am eigenen Bild - so das LAG Hessen, welches das Urteil des Arbeitsgerichts Frankfurt am Main vom 05. Oktober 2011 – 13 Ga 160/11 - bestätigte.
Es fehle an der erforderliche Einwilligung zur Darstellung dieser Informationen und des Bildnisses. Eine Einwilligung, welche die ehemalige Arbeitnehmerin durch die Mitarbeit an der Veröffentlichung erteilt habe, sei inzwischen wirksam widerrufen worden. Als Widerrufsgrund genüge das Ausscheiden aus dem Arbeitsverhältnis.
Zudem könne der Eindruck entstehen, dass auf den Webseiten dargestellte Person noch in dem Unternehmen arbeite, da ein Nutzer davon ausgehen könne, dass eine professionell geführte Homepage aktualisiert werde.
Es sei, so das Gericht, der ehemaligen Arbeitnehmerin nach Beendigung des Arbeitsverhältnisses nicht mehr zuzumuten, dass der ehemalige Arbeitgeber mit ihrem Profil werbe. Denn es sei evident, dass die Einwilligung der ehemaligen Mitarbeiterin in die Veröffentlichung nur für die Dauer der Beschäftigung gelten solle. Damit konnte sie ihre Einwilligung nach Beendigung des Arbeitsverhältnisses wirksam widerrufen.
Link zum vollständigen Urteil
Dienstag, 6. März 2012
Facebooks "Freundefinder" verstößt gegen deutsches Datenschutzrecht
Keine Freundschaftsanfragen ohne Einwilligung des kontaktierten Verbrauchers, kein unzureichender Hinweis bei der Registrierung eines neuen Facebook-Nutzers auf den Import von E-Mail-Adressen sowie Vertragsklauseln u.a. zur Nutzung von IP-Inhalten, Werbung und den „Facebook-Datenschutzrichtlinien“ unwirksam: Auf Klage des Bundesverbandes der Verbraucherzentralen und Verbraucherverbände hat das Landgericht Berlin heute der Facebook Ireland Limited die Versendung entsprechender Anfragen an Dritte und die Verwendung eines unzureichenden Hinweises auf Datenimport bei der Registrierung sowie die Verwendung verschiedener Vertragsklauseln untersagt.
Nach Auffassung des Landgerichts sind die entsprechende Werbepraxis von Facebook und die verwendeten Klauseln mit wettbewerbsrechtlichen Grundsätzen sowie den Regeln über Allgemeine Geschäftsbedingungen nicht vereinbar.
Landgericht Berlin, Urteil vom 6. März 2012
- 16 O 551/10 -
Quelle: Pressemitteilung des LG Berlin
Nach Auffassung des Landgerichts sind die entsprechende Werbepraxis von Facebook und die verwendeten Klauseln mit wettbewerbsrechtlichen Grundsätzen sowie den Regeln über Allgemeine Geschäftsbedingungen nicht vereinbar.
Landgericht Berlin, Urteil vom 6. März 2012
- 16 O 551/10 -
Quelle: Pressemitteilung des LG Berlin
Mittwoch, 1. Februar 2012
Rechtliche Klärung zum datenschutzkonformen Betrieb von Facebook-Fanseiten in Aussicht
Wie bekannt, gibt es seit geraumer Zeit eine gewisse Rechtsunsicherheit, ob ein datenschutzgerechter Betrieb einer Facebook-Fanseite möglich ist.
Das Unabhängige Landeszentrum Schleswig-Holstein (ULD) spricht hierbei eine klare Sprache: Der Betrieb von Facebook-Fanpages und auch der Einsatz von facebook Social-Plugins verstößt gegen datenschutzrechtliche Bestimmungen, insbesondere der datenschutzrechtlichen Vorschriften des Telemediengesetzes (TMG).
Konsequenterweiser versendete das ULD an mehrere private und öffentliche Stellen in Schleswig-Holstein Aufforderungen, die von diesen betriebenen Facebook-Fanpages abzuschalten bzw. zu deaktivieren.
Kern der rechtlichen Fragestellung ist die nach wie vor hochumstrittene Frage, ob es sich bei IP-Adressen (insbesondere bei dynamischen IP-Adressen) um personenbezogene Daten handelt, somit der Anwendungsbereich des Datenschutzrechts eröffnet ist. Hier ist die Rechtsprechung bisher - wohlgemerkt ohne Facebook-Bezug - uneinheitlich (keine personenbezogene Daten: OLG Hamburg, Entscheidung vom 3.11.2010, Az: 5 W 126/10; AG München, Entscheidung vom 30.09.2008, Az. 133 C 5677/08; den Personebezug bejahend: LG Berlin, Entscheidung vom 14.03 2011, Az. 91 O 25/11; AG Darmstadt, Entscheidung vom 30.06.2005, Az. 300 C 397/04).
Wie nunmehr die IHK Schleswig-Holstein verkündet, sei man in die "rechtliche Auseinandersetzung" über die Frage der datenschutzrechtlichen Zulässigkeit des Betriebs von eigenen Facebook-Fanpages mit dem ULD eingetreten.
Die Herbeiführung einer gerichtlichen Entscheidung ist auf alle Fälle zu begrüßen. Es bleibt hierbei zu hoffen, dass eine solche Entscheidung klar und eindeutig ausfällt und insoweit geeignet ist, Unternehmen die erforderliche Rechtssicherheit beim Einsatz von Marketing-Maßnahmen auf facebook oder anderer social media zu geben.
Das Unabhängige Landeszentrum Schleswig-Holstein (ULD) spricht hierbei eine klare Sprache: Der Betrieb von Facebook-Fanpages und auch der Einsatz von facebook Social-Plugins verstößt gegen datenschutzrechtliche Bestimmungen, insbesondere der datenschutzrechtlichen Vorschriften des Telemediengesetzes (TMG).
Konsequenterweiser versendete das ULD an mehrere private und öffentliche Stellen in Schleswig-Holstein Aufforderungen, die von diesen betriebenen Facebook-Fanpages abzuschalten bzw. zu deaktivieren.
Kern der rechtlichen Fragestellung ist die nach wie vor hochumstrittene Frage, ob es sich bei IP-Adressen (insbesondere bei dynamischen IP-Adressen) um personenbezogene Daten handelt, somit der Anwendungsbereich des Datenschutzrechts eröffnet ist. Hier ist die Rechtsprechung bisher - wohlgemerkt ohne Facebook-Bezug - uneinheitlich (keine personenbezogene Daten: OLG Hamburg, Entscheidung vom 3.11.2010, Az: 5 W 126/10; AG München, Entscheidung vom 30.09.2008, Az. 133 C 5677/08; den Personebezug bejahend: LG Berlin, Entscheidung vom 14.03 2011, Az. 91 O 25/11; AG Darmstadt, Entscheidung vom 30.06.2005, Az. 300 C 397/04).
Wie nunmehr die IHK Schleswig-Holstein verkündet, sei man in die "rechtliche Auseinandersetzung" über die Frage der datenschutzrechtlichen Zulässigkeit des Betriebs von eigenen Facebook-Fanpages mit dem ULD eingetreten.
Die Herbeiführung einer gerichtlichen Entscheidung ist auf alle Fälle zu begrüßen. Es bleibt hierbei zu hoffen, dass eine solche Entscheidung klar und eindeutig ausfällt und insoweit geeignet ist, Unternehmen die erforderliche Rechtssicherheit beim Einsatz von Marketing-Maßnahmen auf facebook oder anderer social media zu geben.
Donnerstag, 3. November 2011
Deutsche Datenschutzorganisationen fordern europäische Mindeststandards beim Beschäftigtendatenschutz
Gemeinsame Presseerklärung des Berufsverbandes der Datenschutzbeauftragten Deutschlands e.V., der Deutschen Vereinigung für Datenschutz e.V. und der Gesellschaft für Datenschutz und Datensicherheit e.V.:
Im Europäischen Parlament in Brüssel erörterten gestern Datenschutzverbände mit Europäischen Abgeordneten die Möglichkeiten der Einbindung des Beschäftigtendatenschutzes in europäische Regelungen. Die Veranstaltung fand auf Initiative der Deutschen Vereinigung für Datenschutz e.V. (DVD) und auf Einladung der Europaabgeordneten Cornelia Ernst statt.
Der Berufsverband der Datenschutzbeauftragten Deutschlands e.V. (BvD), die DVD und die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) diskutierten dabei neben der Einladerin mit den Abgeordneten Birgit Sippel und Jan-Phillip Albrecht, Armin Duttine als Vertreter des Europäischen Wirtschafts- und Sozialausschusses und dem für Datenschutz zuständigen Direktor der Generaldirektion Justiz der Europäischen Kommission, Herrn Paul Nemitz.
Anlässlich dieses Expertengesprächs betonten alle drei großen deutschen Datenschutzvereinigungen gemeinsame Positionen.
GDD, BvD und DVD forderten übereinstimmend, dass grundlegende Mindeststandards zum Schutz von Beschäftigten auf europäischer Ebene verbindlich verankert werden müssten. Sie setzten sich außerdem dafür ein, dass nationale Verbesserungen darüber hinaus möglich sein sollen, ohne jedoch hinter die Mindeststandards zurückzufallen.
Beispielhaft wurden in diesem Sinne Mindeststandards diskutiert, die nach übereinstimmender Meinung in vielen weiteren Bereichen entwickelt und etabliert werden müssen:
Im Europäischen Parlament in Brüssel erörterten gestern Datenschutzverbände mit Europäischen Abgeordneten die Möglichkeiten der Einbindung des Beschäftigtendatenschutzes in europäische Regelungen. Die Veranstaltung fand auf Initiative der Deutschen Vereinigung für Datenschutz e.V. (DVD) und auf Einladung der Europaabgeordneten Cornelia Ernst statt.
Der Berufsverband der Datenschutzbeauftragten Deutschlands e.V. (BvD), die DVD und die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) diskutierten dabei neben der Einladerin mit den Abgeordneten Birgit Sippel und Jan-Phillip Albrecht, Armin Duttine als Vertreter des Europäischen Wirtschafts- und Sozialausschusses und dem für Datenschutz zuständigen Direktor der Generaldirektion Justiz der Europäischen Kommission, Herrn Paul Nemitz.
Anlässlich dieses Expertengesprächs betonten alle drei großen deutschen Datenschutzvereinigungen gemeinsame Positionen.
GDD, BvD und DVD forderten übereinstimmend, dass grundlegende Mindeststandards zum Schutz von Beschäftigten auf europäischer Ebene verbindlich verankert werden müssten. Sie setzten sich außerdem dafür ein, dass nationale Verbesserungen darüber hinaus möglich sein sollen, ohne jedoch hinter die Mindeststandards zurückzufallen.
Beispielhaft wurden in diesem Sinne Mindeststandards diskutiert, die nach übereinstimmender Meinung in vielen weiteren Bereichen entwickelt und etabliert werden müssen:
· Die Möglichkeit, eine Datenverarbeitung im Arbeitsverhältnis auf eine Einwilligung von Beschäftigten zu stützen, darf allenfalls in streng begrenzten Ausnahmefällen zugelassen werden.
· Die Durchführung medizinischer Untersuchungen von Beschäftigten muss sich streng an dem für den jeweiligen Arbeitsplatz erforderlichen Maß orientieren. Das Patientengeheimnis muss jederzeit gewahrt sein.
· Die behördlichen Kontrollmöglichkeiten müssen dem Gefährdungspotenzial entsprechen: je stärker grenzübergreifende Datentransfers erleichtert werden, desto größer muss die Kontrolldichte sein, damit systematischer Missbrauch vereinfachter europäischer Regelungen unterbunden werden kann.
· Die Europäisierung des Modells betrieblicher Datenschutzbeauftragter, der als fachkundiger, unabhängiger Experte das Unternehmen zu datenschutzgerechter Organisation und Umsetzung führen soll, wurde von allen Anwesenden begrüßt.
Hierzu Prof. Peter Gola, Vorsitzender der GDD: „ Dies ist zwar eine Lösung, mit der wir besonders in Deutschland sehr vertraut sind, aber gerade wegen der positiven Erfahrungen können wir sie uneingeschränkt für den gesamten europäischen Raum empfehlen.“ Wichtig sei, die in der EU-Datenschutzrichtlinie verankerte Unabhängigkeit der Datenschutzkontrollinstanzen für den Datenschutzbeauftragten EU-rechtlich zu konkretisieren und die Außerachtlassung von Vorabkontrollen zu sanktionieren.
Es wurde allgemein abgelehnt, Datenschutz hinter die Wirtschaftsförderung zurückzustellen.
Karin Schuler, Vorsitzende der DVD merkte hierzu an: „Solange ein Datenschutzverstoß gleichsam ‚aus der Portokasse‘ bezahlt werden kann, darf der europäische Gesetzgeber sich nicht auf die Einsicht der Unternehmen alleine verlassen. Thomas Spaeing, Vorsitzender des BvD, ergänzte: „Spätestens wenn Datenschutz als wirtschaftsfeindlich bezeichnet wird, ist es Zeit für den Gesetzgeber, Flagge zu zeigen und klarzustellen, dass es wirtschaftlichen Erfolg ohne Schutz der Beschäftigten nicht geben kann.“
Die anwesenden Experten sowie die Vertreter des Parlaments und der Kommission waren sich einig, dass die Diskussion fortgesetzt werden soll. Herr Nemitz betonte außerdem das fortbestehende Interesse der Kommission, die grundlegende Neugestaltung des europäischen Datenschutzrechtes mit den Verbänden der Zivilgesellschaft zu diskutieren und Anregungen aufzunehmen.
Die anwesenden Experten sowie die Vertreter des Parlaments und der Kommission waren sich einig, dass die Diskussion fortgesetzt werden soll. Herr Nemitz betonte außerdem das fortbestehende Interesse der Kommission, die grundlegende Neugestaltung des europäischen Datenschutzrechtes mit den Verbänden der Zivilgesellschaft zu diskutieren und Anregungen aufzunehmen.
Quelle: www.gdd.de (Gesellschaft für Datenschutz und Datensicherheit e.V.)
Montag, 31. Oktober 2011
Google Analytics - datenschutzrechtlich unbedenklicher Einsatz nun möglich
Nach längeren Verhandlungen mit der Firma Google Inc. konnten die deutschen Datenschutzaufsichtsbehörden unter Federführung des Hamburger Datenschutzbeauftragten nun einen Erfolg für sich verbuchen: Die bisherigen datenschutzrechtlichen Mängel bei Google Analytics - einem Werkzeug zur Reichweitenanalyse im Internet - wurden von Google abgestellt. Dies gab der Landesbeauftragte für den Datenschutz Baden-Württemberg, Jörg Klingbeil, am Donnerstag, den 15. September 2011, in Stuttgart bekannt. Vor allem Webseiten-Betreiber, die Google Analytics einsetzen, um ihr Internet-Angebot zu optimieren, dürften jetzt aufatmen, weil für sie bis dato ungewiss war, ob die Aufsichtsbehörden gegen sie vorgehen werden.
Wie Jörg Klingbeil erläuterte, sei Stein des datenschutzrechtlichen Anstoßes gewesen, dass beim Besuch einer Webseite, die von Google Analytics erfasst wird, die vollständige IP-Adresse an Google übermittelt wird. Aufgrund der Personenbeziehbarkeit der IP-Adresse ist dies nach deutschem Datenschutzrecht nur mit bewusster, eindeutiger Einwilligung des Besuchers zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen bzw. zu anonymisieren, dass eine Personenbeziehbarkeit ausgeschlossen ist. Nach den jetzt vollzogenen Anpassungen durch Google soll künftig nur eine gekürzte IP-Adresse an Google übertragen werden; der einzelne Besucher einer Webseite kann mittels dieser Adresse nicht mehr identifiziert werden. Weiterhin wurde von Google ein sog. Add-On (http://tools.google.com/dlpage/gaoptout?hl=de) für die gängigen Internet-Browser entwickelt, mit dem das Setzen eines Cookies zum Zweck der Reichweitenanalyse unterbunden werden kann. Damit kann der Webseiten-Besucher wirksam die Analyse seines Surfverhaltens durch Google Analytics verhindern.
Außerdem hat Google seine Geschäftsbedingungen geändert. Auf der Grundlage eines Vertrags zur Auftragsdatenverarbeitung können sich Website-Betreiber nun datenschutzrechtlich sicher fühlen, wenn sie weiterhin Google Analytics einsetzen wollen. Näheres findet sich unter http://www.google.de/intl/de/analytics/tos.pdf. Außerdem können Webseiten-Betreiber wertvolle Hinweise einem Informationsblatt des Hamburgischen Datenschutzbeauftragten entnehmen, die auch für Betreiber in Baden-Württemberg zu empfehlen sind (http://www.datenschutz-hamburg.de/uploads/media/GoogleAnalytics_Hinweise_Webseitenbetreiber_in_Hamburg.pdf).
Jörg Klingbeil dankte seinem für Google in Deutschland zuständigen Hamburger Kollegen, Prof. Dr. Johannes Caspar, für dessen Hauptarbeit in einem mühsamen, aber letztlich erfolgreichen Abstimmungsprozess. Die rasante Entwicklung bei den mobilen Endgeräten wie Smartphones und Tablet-PCs lasse jedoch keinen Stillstand zu; auch in diesem Segment müssten die datenschutzrechtlich erforderlichen Anpassungen bei Google Analytics zeitnah umgesetzt werden. Erfreulich sei immerhin, dass sich ein international tätiges Unternehmen wie Google in Richtung auf mehr Datenschutz bewegt habe. Nun sei zu hoffen, dass auch andere globale Internet-Player wie z.B. Facebook mit seinen umstrittenen Angeboten hoffentlich diesem guten Beispiel folgen.
Quelle: www.baden-wuerttemberg.datenschutz.de
Wie Jörg Klingbeil erläuterte, sei Stein des datenschutzrechtlichen Anstoßes gewesen, dass beim Besuch einer Webseite, die von Google Analytics erfasst wird, die vollständige IP-Adresse an Google übermittelt wird. Aufgrund der Personenbeziehbarkeit der IP-Adresse ist dies nach deutschem Datenschutzrecht nur mit bewusster, eindeutiger Einwilligung des Besuchers zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen bzw. zu anonymisieren, dass eine Personenbeziehbarkeit ausgeschlossen ist. Nach den jetzt vollzogenen Anpassungen durch Google soll künftig nur eine gekürzte IP-Adresse an Google übertragen werden; der einzelne Besucher einer Webseite kann mittels dieser Adresse nicht mehr identifiziert werden. Weiterhin wurde von Google ein sog. Add-On (http://tools.google.com/dlpage/gaoptout?hl=de) für die gängigen Internet-Browser entwickelt, mit dem das Setzen eines Cookies zum Zweck der Reichweitenanalyse unterbunden werden kann. Damit kann der Webseiten-Besucher wirksam die Analyse seines Surfverhaltens durch Google Analytics verhindern.
Außerdem hat Google seine Geschäftsbedingungen geändert. Auf der Grundlage eines Vertrags zur Auftragsdatenverarbeitung können sich Website-Betreiber nun datenschutzrechtlich sicher fühlen, wenn sie weiterhin Google Analytics einsetzen wollen. Näheres findet sich unter http://www.google.de/intl/de/analytics/tos.pdf. Außerdem können Webseiten-Betreiber wertvolle Hinweise einem Informationsblatt des Hamburgischen Datenschutzbeauftragten entnehmen, die auch für Betreiber in Baden-Württemberg zu empfehlen sind (http://www.datenschutz-hamburg.de/uploads/media/GoogleAnalytics_Hinweise_Webseitenbetreiber_in_Hamburg.pdf).
Jörg Klingbeil dankte seinem für Google in Deutschland zuständigen Hamburger Kollegen, Prof. Dr. Johannes Caspar, für dessen Hauptarbeit in einem mühsamen, aber letztlich erfolgreichen Abstimmungsprozess. Die rasante Entwicklung bei den mobilen Endgeräten wie Smartphones und Tablet-PCs lasse jedoch keinen Stillstand zu; auch in diesem Segment müssten die datenschutzrechtlich erforderlichen Anpassungen bei Google Analytics zeitnah umgesetzt werden. Erfreulich sei immerhin, dass sich ein international tätiges Unternehmen wie Google in Richtung auf mehr Datenschutz bewegt habe. Nun sei zu hoffen, dass auch andere globale Internet-Player wie z.B. Facebook mit seinen umstrittenen Angeboten hoffentlich diesem guten Beispiel folgen.
Quelle: www.baden-wuerttemberg.datenschutz.de
Donnerstag, 31. März 2011
Noch eine Zäsur - Datenschutz aus einer Hand in Baden-Württemberg
Nur wenige Tage nach der politischen Zäsur infolge der Landtagswahl kommt es in Baden-Württemberg schon wieder zu einer - allerdings ungleich weniger bedeutsamen - Veränderung; darauf hat der Landesbeauftragte für den Datenschutz, Jörg Klingbeil, am Donnerstag, den 31. März 2011, hingewiesen: "Die Aufgaben der baden-württembergischen Datenschutzbehörden werden zum 1. April 2011 neu geregelt. Meine Dienststelle wird dem Landtag zugeordnet und ist dann nicht mehr nur für die Datenschutzkontrolle im öffentlichen Bereich, sondern auch für die Datenschutzaufsicht im nichtöffentlichen Bereich zuständig, also zum Beispiel bei Auskunfteien, Banken und Versicherungen. Ein gewisser Wermutstropfen ist allerdings die beschränkte Durchschlagskraft; für die Verfolgung von Ordnungswidrigkeiten wegen Verstößen gegen das Datenschutzrecht ist künftig allein das Regierungspräsidium Karlsruhe zuständig." Jörg Klingbeil dankte den Abgeordneten des Landtags, dass die für die Zusammenlegung erforderliche Änderung des Landesdatenschutzgesetzes noch in der ablaufenden Legislaturperiode erfolgreich über die Bühne gebracht wurde. Von der neuen Landesregierung erwartet er weitere Fortschritte: "Ich gehe davon aus, dass der Datenschutz unter den neuen politischen Vorzeichen noch mehr Bedeutung als in der Vergangenheit erhalten wird. Es gibt durchaus einen gewissen Nachbesserungsbedarf, der bei der jüngsten Novellierung des Landesdatenschutzgesetzes nicht berücksichtigt wurde." Als Beispiel nannte Klingbeil die fakultative Bestellung behördlicher Datenschutzbeauftragter, die endlich - wie in den meisten Ländern - verpflichtend eingeführt werden sollte. Auch sollten die personellen Ressourcen stufenweise weiter verbessert und an das Niveau anderer Aufsichtsbehörden angepasst werden. Im Hinblick auf die Zusammenlegung der Datenschutzaufsichtsbehörden in Baden-Württemberg bat der Landesdatenschutzbeauftragte zugleich die Bürgerinnen und Bürger um Verständnis für vorübergehend längere Bearbeitungszeiten bei Eingaben: "Die organisatorischen Veränderungen werden in den nächsten Wochen und Monaten unsere Personalkapazitäten in erheblichem Umfang binden, zumal meine Dienststelle umziehen muss und noch einige Stellen neu zu besetzen sind; hierunter wird die Leistungsfähigkeit der Behörde unweigerlich leiden. Ich bin aber zuversichtlich, dass wir nach einer gewissen ‚Durststrecke' kompetente Beratung und Datenschutzkontrolle aus einer Hand bieten können."
Quelle: www.baden-wuerttemberg.datenschutz.de
Quelle: www.baden-wuerttemberg.datenschutz.de
Abonnieren
Posts (Atom)