Ist das Kunsturhebergesetz noch anwendbar?

Mit der Datenschutzgrundverordnung (DSGVO) kam nun im Mai 2018 das Problem auf, ob das Kunsturhebergesetz neben der DSGVO anwendbar bleibt. Das OLG Köln (15 W 27/18) entschied, dass es teilweise anwendbar ist.

Grundproblematik

Ein besonderes Datenschutzproblem stellt das Recht am eigenen Bild dar. Viele übersehen, dass es bei Abbildungen von natürlichen Personen um personenbezogene Daten im Sinne des Datenschutzrechts geht. Eine Person wird durch ein Foto, eine Zeichnung etc. identifizierbar und dadurch wird das Datenschutzrecht anwendbar.

Somit tritt auch der Grundsatz “Verbot mit Erlaubnisvorbehalt” in Kraft. Damit ist eine Verarbeitung von Daten grundsätzlich erstmal verboten, es sei denn, es liegt eine Einwilligung vor oder es besteht ein gesetzlich geregelter Erlaubnistatbestand.

Vor Wirksamwerden der DSGVO war dieser Grundsatz im Kunsturhebergesetz (KUG) geregelt. Das KUG ging dem BDSG-alt vor.

Das Kunsturhebergesetz

Die §§ 22, 23 KUG beinhalten Vorschriften für eine Veröffentlichung von Personenbildnissen. Dabei stellt § 22 S.1 KUG ebenfalls den Grundsatz des Verbots mit Erlaubnisvorbehalt auf. Nach erteilter Einwilligung wäre auch hier eine Verarbeitung möglich. Der Unterschied beim KUG liegt darin, dass eine Einwilligung i.S.d. § 22 KUG bei Landschafts-, Versammlungs- oder bestimmten Kunstbildern und Bildnissen aus dem Bereich der Zeitgeschichte entbehrlich sein soll, wenn nicht das Interesse des Betroffenen dieser Verarbeitung entgegensteht. Hier war immer eine Abwägung zwischen den Interessen des Abbildenden und Abgebildeten vorzunehmen.

Hat sich diese Handhabung mit dem Wirksamwerden der DSGVO geändert?

Datenschutz und das Recht am eigenen Bild

Mit der DSGVO hat es sich insoweit geändert, dass nun kein Vorrang des KUG mehr vorliegt. Durch sogenannte Öffnungsklauseln können Mitgliedsstaaten mit eigenen Vorschriften gemäß Art. 85 DSGVO handeln.

  1. Die Mitgliedstaaten bringen durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten gemäß dieser Verordnung mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken, in Einklang.
  2. Für die Verarbeitung, die zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt, sehen die Mitgliedstaaten Abweichungen oder Ausnahmen von Kapitel II (Grundsätze), Kapitel III (Rechte der betroffenen Person), Kapitel IV (Verantwortlicher und Auftragsverarbeiter), Kapitel V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), Kapitel VI (Unabhängige Aufsichtsbehörden), Kapitel VII (Zusammenarbeit und Kohärenz) und Kapitel IX (Vorschriften für besondere Verarbeitungssituationen) vor, wenn dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen.

Das OLG Köln musste nun entscheiden, ob das KUG eine Vorschrift im Sinne des Art. 85 Abs. 1 DSGVO darstellt.

KUG anwendbar

Im journalistischen Bereich sei eine Anwendung des KUG durchführbar, da eine Abwägung einerseits zwischen dem Datenschutz  und andererseits der Äußerungs- und Kommunikationsfreiheit nach § 23 Abs. 2 Kunsturhebergesetz stattfindet.

Fraglich bleibt da aber weiter die Anwendung des KUG für die Werbe- und Öffentlichkeitsarbeit von Unternehmen.

DSGVO oder KUG?

Es stellt sich die Frage, ob die Öffnungsklausel des Art. 85 DSGVO Sachverhalte wie die Werbe- und Öffentlichkeitsarbeiten von Unternehmen erfasst. Nach dem Wortlaut des Erwägungsgrundes 153 zur DSGVO soll sich Art. 85 Abs. 2 DSGVO also die Möglichkeit der Abweichung vom Verordnungstext, nur auf journalistische, wissenschaftliche, literarische oder künstlerische Zwecke beschränken. Für weitere Möglichkeiten bestehe daher kein weiterer Raum. Danach wäre für Werbe- und Öffentlichkeitsmaßnahmen von Unternehmen die DSGVO der rechtliche Rahmen. Die Einholung von Einwilligungen und die Anforderungen an Erlaubnistatbestände würden dann an Art. 6 und 7 DSGVO gemessen werden.

Dadurch wird eine Rechtsunsicherheit generiert, da es bislang keine Erfahrungen für die Praxis gibt und die über Jahre von BGH, EuGH und EGMR entwickelte Rechtsprechung zum Kunsturhebergesetz keine Anwendung findet.

Ergebnis

Um rechtssicher zu sein, sollten Unternehmen, die Bildnisse in Werbung und Öffentlichkeitsarbeit nutzen, sich an der DSGVO orientieren. Einwilligungen und Interessensabwägungen werden dabei an den Regelungen der Art. 6, 7 DSGVO gemessen.

 

 

Datenschutzreihe: Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DS-GVO

In den nächsten Wochen beginnen wir mit einer Reihe von Berichten, die sich an den ausgegebenen Kurzpapieren der Datenschutzkonferenz DSK orientieren. Starten werde wir unsere Beiträge mit dem Thema: Verzeichnis von Verarbeitungstätigkeiten (kurz: Verzeichnisse) nach Art. 30 DS-GVO.

BDSG zu DS-GVO

Grundsätzlich ist festzuhalten, dass jeder Verantwortliche (z.B. Unternehmen, Freiberufler und andere) und nun auch jeder Auftragsverarbeiter zur Führung eines solchen Verzeichnisses verpflichtet ist. Das alte Verfahrensverzeichnis aus dem BDSG wird durch ein schriftliches bzw. elektronisches Verzeichnis aller Verarbeitungstätigkeiten ersetzt. Diese Verzeichnisse betreffen automatisierte und auch nicht – automatisierte Verarbeitungen personenbezogener Daten.

Stellen mit weniger als 250 Mitarbeitern

Das Gesetz sieht für Unternehmen mit weniger als 250 Mitarbeitern keine Pflicht zum Führen der Verzeichnisse. Der Gesetzgeber definiert dazu wie immer Ausnahmen.

Ausnahmen liegen vor, wenn der Verantwortliche und nun auch der Auftragsverarbeiter Verarbeitungen personenbezogener Daten durchführt,

  • die ein Risiko für Rechte und Freiheiten der Betroffenen bedingen, so z.B. Überwachungsmaßnahmen oder
  • die besondere Datenkategorien gemäß Art. 9 DS-GVO wie Gesundheitsdaten oder auch strafrechtliche Verurteilungen und Straftaten nach Art. 10 DS-GVO berühren oder
  • die im häufigsten Fall die nicht nur gelegentliche Verarbeitung von beispielsweise Kunden- oder Beschäftigtendaten betrifft.

Trifft eine dieser Fallgruppen für Sie zu, so sind Sie verpflichtet, diese Verarbeitungsverzeichnisse nach Art. 35 DS-GVO zu führen.

Änderungen zum BDSG

Es bestand bis jetzt nach dem BDSG die Pflicht, ein Verzeichnis für jedermann öffentlich bereit zu halten. Jeder hatte die Möglichkeit, dies anzufordern und eine grundlegende Sicht in die Verarbeitungen eines Unternehmens etc. zu bekommen. Das ist nach der DS-GVO nicht mehr erforderlich.

Auch entfällt die Meldepflicht mancher Unternehmen nach § 4d und § 4e BDSG. Nach der DS-GVO sind Unternehmen nicht mehr verpflichtet, diese Meldungen vorzunehmen.

Inhalt eines Verzeichnisses für Verantwortliche nach Art. 30 Abs. 1 DS-GVO

Nach wie vor müssen die Verzeichnisse wesentliche Angaben wie beispielsweise der Zweck der Verarbeitung oder auch die Kategorien der personenbezogenen Daten bzw. der betroffenen Personen bereithalten. Dies ist nun in Art. 30 Abs. 1 DS-GVO geregelt.

Bereits bestehende Verzeichnisse eines Unternehmens erfordern keine allzu großen Umformulierungen.

Inhalt eines Verzeichnisses für Auftragsverarbeiter nach Art. 30 Abs. 2 DS-GVO

Nach Art. 30 Abs. 2 DS-GVO müssen Auftragsverarbeiter nun im Gegensatz zum BDSG ein Verzeichnis der von ihm im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten erstellen.

Beschreibung der TOMs

Art. 30 Abs. 1 lit. g und Art. 30 Abs. 2 lit. d DS-GVO verlangen, dass Aufsichtsbehörden durch die angehängten technisch-organisatorischen Maßnahmen gemäß Art. 32 Absatz 1 DS-GVO eine erste Rechtmäßigkeitsentscheidung durchführen können. Wie detailliert diese auszufüllen sind, gibt die DS-GVO nicht vor.

Rechenschaftspflicht

Nach der DS-GVO müssen aber noch weitere Dokumentationspflichten erfüllt werden:

  • Vorhandensein von Einwilligungen (Art. 7 Abs. 1)
  • die Ordnungsmäßigkeit der gesamten Verarbeitung (Art. 24 Abs. 1)
  • Ergebnis von Datenschutz-Folgenabschätzungen (Art. 35 Abs. 7)

Rolle der Verzeichnisse ab dem 25. Mai 

Auch mit der Umstellung auf die DS-GVO werden die Verzeichnisse eine große Rolle in der Rechtfertigung der Verarbeitung der personenbezogenen Daten spielen. Durch sie können einerseits die gesetzlichen Vorgaben überhaupt nur eingehalten werden und andererseits können Unternehmen die Anforderungen der Aufsichtsbehörden nur mit Vorhalten der Verzeichnisse bei einer Kontrolle erfüllen.

 

Falls Sie Fragen haben oder Hilfe beim Ausfüllen der Verarbeitungsverzeichnisse brauchen, dann fragen Sie uns. Wir helfen gerne.

Datenschutz-Folgenabschätzung nach der DSGVO

Die Datenschutzgrundverordnung (DSGVO) nutzt ab dem 25. Mai die Datenschutz-Folgenabschätzung zur Überprüfung von Verarbeitungen. Diese müssen Sie dann durchzuführen, wenn eine Verarbeitung personenbezogener Daten möglicherweise mit Risiko für die Rechte und Freiheiten natürlicher Personen nach Art. 35 Abs. 1 DSGVO zur Folge hat. Die Datenschutz-Folgenabschätzung fordert vor der erstmaligen Einführung eines Datenverarbeitungsverfahrens eine durchgeführte Risikoeinschätzung und eine Dokumentation. Dabei geht es um eine Pflicht zur vorherigen Analyse der Folgen der Datenverarbeitung, welche diese für den Schutz personenbezogener Daten mit sich bringt. Schon jetzt haben Sie die Pflicht, mit der Vorabkontrolle in § 4 d Abs. 5 BDSG bestimmte Verfahren einer Prüfung zu unterziehen.

Warum wird eine Datenschutz-Folgenabschätzung durchgeführt?

Der Grundsatz “privacy by design” führt die Datenschutz-Folgenabschätzung ein. Durch datenschutzfreundliche Technikeinstellungen sollen die Gefahren für die personenbezogenen Daten gemindert werden. Bei der Thematik geht es um das informationelle Selbstbestimmungsrecht der betroffenen Personen. Die Datenschutz-Folgenabschätzung soll somit wie die Vorabkontrolle durch organisatorische Maßnahmen die Risiken für die personenbezogenen Daten mindern.

Sie ist also als Instrument für die Risikoerkennung sowie die Risikobewertung zu werten. Es soll die Risiken für die personenbezogenen Daten der betroffenen Person erkennen, die durch die einzelnen Individuen des Unternehmens in der Nutzung der Techniken entstehen. Durch die Abschätzung können wirksame Maßnahmen entwickelt werden, damit die Gefahren für die Betroffenen möglichst gering sind.

Wann ist eine Datenschutz-Folgenabschätzung durchzuführen?

Sie ist stets dann durchführen, wenn das Verfahren für personenbezogene Daten von Betroffenen ausgelegt ist und dabei ein hohes Risiko für deren Rechte und Freiheiten besteht.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Diese kann durch direkte und indirekte Merkmale wie beispielsweise den Namen, Kontonummer, Adresse oder auch Zugangsdaten bestimmt werden. Der Begriff “personenbezogene Daten” wird dabei sehr weit ausgelegt, um einen möglichst hohen Schutz für die Rechte Betroffener zu erreichen. Je höher ein zu erwartender Schaden ist, desto geringer darf die Eintrittswahrscheinlichkeit nur sein.

Die DSGVO nennt einige Beispiele, in denen die Datenschutz-Folgenabschätzung grundsätzlich zu erfolgen hat.

  1. Systematische und weiträumige Überwachung öffentlich zugänglicher Bereiche
  2. Automatisierte Verarbeitungen und Profilbildungsmaßnahmen mit rechtlichen Folgen für Betroffene
    • Online-Einstellungsverfahren
    • Scoring
    • etc.
  3. Verarbeitung von personenbezogenen Daten über Straftaten und ähnliches
  4. Verarbeitung besonderer Daten nach Art. 9 Abs. 1 DSGVO
    • Gesundheitsdaten
    • genetische Daten
    • Biometrische Daten
    • Zugehörigkeit zu einer Gewerkschaft
    • Religiöse Überzeugung
    • Sexualleben und sexuelle Orientierung
    • Politische Meinung
    • Rassische oder ethnische Herkunft

Die Aufsichtsbehörden haben bereits angekündigt, dass sie Listen veröffentlichen werden, bei denen in jedem Fall eine Datenschutz-Folgenabschätzung durchzuführen ist. Auch ist eine Liste denkbar, in denen in jedem Fall eben keine Datenschutz-Folgenabschätzung durchzuführen wäre.

In jedem Falle sind bestehende Verfahren zu untersuchen, da mit der DSGVO eine erhöhte Dokumentationspflicht einhergeht.

Wie ist die Datenschutz-Folgenabschätzung durchzuführen?

Die Datenschutzgrundverordnung gibt in Art. 35 Abs. 7 DSGVO einen Mindestinhalt zur Datenschutz-Folgenabschätzung vor. Danach legt sie folgende schriftliche zu dokumentierende Schritte fest:

  1. Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung
  2. Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck
  3. Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
  4. Darstellung der geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren zum Schutz der personenbezogenen Daten
  5. sowie gegebenenfalls Einholung des Standpunkts der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge nach Art. 35 Abs.9 DSGVO

Pflicht zur Benachrichtigung der Aufsichtsbehörde

Wenn trotz der durchgeführten Folgenabschätzung und Einleitung von Gegenmaßnahmen potentielle Risiken für die Rechte Betroffener verbleiben, so ist die Aufsichtsbehörde nach Art. 36 Abs.1 DSGVO vor Beginn einer solchen Datenverarbeitung zu benachrichtigen. Bei Missachtung dieser Pflicht kann die Aufsichtsbehörde ein Bußgeld von bis zu 10 Millionen Euro oder bis zu 2 % des weltweit erzielten Jahresumsatzes verhängen.

Folgen einer Nichtdurchführung

Wird eine geforderte Datenschutz-Folgenabschätzung überhaupt nicht durchgeführt, so kann dies eine Geldbuße von bis zu 10 Millionen Euro oder bis zu 2% des weltweit erzielten Gesamtjahresumsatzes zur Folge haben.

Kurzzusammenfassung

Mit der Datenschutz-Folgenabschätzung nach der DSGVO führt man die bestehende Vorabkontrolle des BDSG weiter fort. Allerdings wird dabei die Verantwortlichkeit vom Datenschutzbeauftragten auf das Unternehmen bzw. den Verantwortlichen verlagert. Neu ist dabei, dass sämtliche Verarbeitungen dabei betrachtet werden und nicht nur automatisierte Verarbeitungen. Nach Art. 35 Abs. 2 DSGVO ist das Hinzuziehen eines Datenschutzbeauftragten auch weiterhin notwendig.

Wir bieten Ihnen unsere Hilfe als zertifizierte Datenschutzbeauftragte im Bereich der Erfüllung datenschutzrelevanter Aufgaben an. Nehmen Sie einfach Kontakt zu uns auf.

Rechtswidriger Einsatz von Bodycams

Die niedersächsische Datenschutzbeauftragte – Barbara Thiel – ist der Auffassung, dass in dem Pilotversuch der Bodycamnutzung bei der niedersächsischen Polizei eine Rechtsgrundlage fehle. Mit dieser Annahme wäre dieser Pilotversuch rechtswidrig. Diesbezüglich hat Frau Thiel eine förmliche Beanstandung eingereicht, da das Innenministerium den Pilotversuch noch nicht abgebrochen hat.

Was ist eine Bodycam?

Sogenannte Bodycams werden von den Polizisten während des Einsatzes getragen und bieten je nach Modell Ton- und Bildaufnahmen. Diese Bodycams werden meist an der Schulter befestigt und filmen das Gesicht des Gegenübers. Teilweise werden Bodycams auf Brusthöhe platziert.

Vorabkontrolle fehlt

Aus datenschutzrechtlicher Sicht fehle dem ganzen Pilotversuch schon die sog. Vorabkontrolle, die überprüft, ob die Datenverarbeitung angemessen und sicher ist. Diese müsse bei der Einführung einer neuen Technik in jedem Falle vorgenommen werden.

Folgen

Durch die Bodycams entstehen Bildaufnahmen, die einen Eingriff in das informationelle Selbstbestimmungsrecht bilden. Für diesen Eingriff benötigt es natürlich einer gesetzlichen Grundlage. Die Aufnahme der Bodycams von dem Gesicht des Gegenübers stellt einen besonders schwerwiegenden Eingriff in die informationelle Selbstbestimmung des Gefilmten. Infolgedessen wird gerade ein Gesetzesentwurf für den Einsatz der Bodycams diskutiert. Nach Inkrafttreten dieser Regelung dürften Bodycams eingesetzt werden.

Die Entwicklung der Rechtsprechung zum Thema Videoüberwachung bleibt also aus datenschutzrechtlicher Sicht spannend.

Wir halten Sie auf dem Laufenden.

Zeiterfassungssysteme

Viele Unternehmen bauen auf moderne Zeiterfassungssysteme. Diese erleichtern Abrechnungen und zeigen Überstunden der Mitarbeiter transparent auf. Dies kann aber auch dazu führen, dass einzelne Mitarbeiter detailliert kontrolliert und verglichen werden können. Dies sind die Bereiche, in denen der interne bzw. externe Datenschutzbeauftragte tätig wird.

Zeiterfassungssysteme bringen Vorteile

Heutzutage wird in den meisten Unternehmen genau verfolgt, wer zu welcher Uhrzeit auf der Arbeit erscheint und später den Arbeitsplatz wieder verlässt. Moderne Zeiterfassungssysteme lösen dabei die klassischen Stundenzettel oder die Stechuhr im Unternehmen ab.

Die Zeiterfassung bietet den großen Vorteil, die Überstunden der Arbeitnehmer ebenfalls aufzuzeichnen und für die Abrechnung zur Verfügung zu stellen. Für die Arbeitgeber bietet es den Vorteil, dass dadurch eine Produktivitätssteigerung hervorgerufen werden kann. Datenschützer sehen Zeiterfassungssysteme kritisch, da aus den Systemen gewonnene Informationen auch für andere Auswertungen herangezogen werden können. Bezüglich solcher Erfassungssysteme stellen Datenschützer schriftliche Regelungen für Unternehmen auf. Der Datenschutzbeauftragte eines Unternehmens berät die Unternehmensführung und die Arbeitnehmer rund um das Thema der Arbeitszeiterfassung.

Betriebsvereinbarung als zentraler Punkt

Die Zeiterfassung bietet viele Möglichkeiten im Unternehmen:

  • Erfassung der Anzahl der Überstunden
  • Überprüfung der Auslastung der Mitarbeiter
  • direkter Vergleich zwischen den Angestellten
  • Zeitplanung der Mitarbeiter bei Projekten
  • Leerläufe zwischen Projekten

Um die Möglichkeiten der Datenverwendung gesetzeskonform zu gestalten, sollte in einer Betriebsvereinbarung die Zeiterfassung klar definiert sein. Dabei ist eine transparente Formulierung für die Mitarbeiter wichtig. Dies umfasst eine Information, welche Daten gespeichert werden und wozu das Unternehmen diese auswerten möchte. Je nach Definition dürfen die Daten später nicht anderweitig genutzt werden.

Zugriffsregelung für erfasste Daten

Die erfassten Daten dürfen nicht von jedem eingesehen werden. Es ist wichtig abzuklären, wer die Daten sehen und diese auch verwenden darf. Nach dem “Need to know Prinzip”  sollen nur diejenigen, die die Daten für ihre Auswertungen benötigen, auf Zeiterfassungssysteme Zugriff haben.

Besonders vertraulich zu behandelnde Daten liegen beispielsweise vor, wenn ein Mitarbeiter im Urlaub oder im Krankenstand ist. Diese Daten sollte nur der direkte Vorgesetzte kennen. Gewisse Projekte sollten nach Expertenmeinungen auch anonym ausgewertet werden. Beispielsweise ist es für die Mitarbeiterauslastung nicht nötig, einem gewissen Mitarbeiter bestimmte Zeiten zuzuordnen, sondern nur anonyme Informationen über die von der Arbeitsgruppe benötigte Zeit zu erhalten.

Die Speicherdauer solch erhobener Daten ist im Arbeitszeitgesetz geregelt. Überstunden dürfen zwei Jahre gespeichert werden. Bruttolohnlisten werden wegen der Abgabenverordnung sechs Jahre lang gesichert.

Webseiten und Onlineshops bei der DSGVO

Mit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) wird sich einiges in Deutschland nochmal in Sachen Datenschutz ändern. Zwar haben wir mit dem BDSG schon ein sehr gutes Datenschutzniveau, allerdings erweitern sich einige Anforderungen, die es zu erfüllen gilt. In diesem Artikel gehen wir darauf ein, was sich für Webseiten und Onlineshops bei der DSGVO in Zukunft ändern wird.

Was ändert sich durch die Datenschutzgrund-verordnung im Mai 2018

Generell kann man hierzu keine Aussage treffen. Es ändern sich viele Kleinigkeiten, so dass eigentlich alle Prozesse mit personenbezogenen Daten kontrolliert werden müssen. Wie bereits erläutert, stellen wir hier die Änderungen dar, die sich auf Webseiten und Onlineshops beziehen.

Insbesondere ist hier in Zukunft eine andere Herangehensweise bei folgenden Punkten zu beachten:

Grundsätze der DSGVO

Mit der DSGVO werden einige bisherige Grundsätze ein wenig verändert bzw. erweitert.

Datensicherheit

In der DSGVO ist in Artikel 32 die Datensicherheit als Grundsatz niedergeschrieben. Dieser umfasst, dass Verarbeiter von Daten unter Berücksichtigung des Stands der Technik, der Implementierung dieser Technik und der weiteren Umstände und Risikoanalyse geeignete technische und organisatorische Maßnahmen treffen, um ein angemessenes Schutzniveau für die Daten im Vergleich zum Risiko zu gewährleisten.

Dies bedeutet im Einzelnen, dass sich die geeigneten Maßnahmen für den Schutz der personenbezogenen Daten nach der Schutzbedürftigkeit dieser richten.

Rechenschaftspflicht

Vor drohenden Bußgeldern hilft nach Inkrafttreten der DSGVO nur ein effektives Datenschutzmanagement und eine stetige Dokumentierung der Einhaltung der Datenschutzanforderungen. So können Sie die datenschutzrechtliche Umsetzung gegenüber nationaler und europäischer Aufsichtsbehörden nachweisen.

Verbot mit Erlaubnisvorbehalt

Der uns schon bekannte Grundsatz des Verbots mit Erlaubnisvorbehalt lautet, dass die Erhebung, Verarbeitung und Nutzung personenbezogener Daten grundsätzlich verboten ist, es sei denn es erfolgt eine Erlaubnis aus

  • dem Gesetz, z.B. derzeit aus dem BDSG, aus dem TMG, aus der DSGVO oder
  • aus der Einwilligung der betroffenen Person.

Datensparsamkeit

Dieser Grundsatz bedeutet, dass Sie nur so viele Daten erheben und verarbeiten dürfen, wie Sie tatsächlich zur Erfüllung Ihrer Verpflichtung benötigen.

Zweckbindung

Wie auch bisher dürfen Daten unter dem Grundsatz der Zweckbindung nur zu dem Zweck verarbeitet werden, zu dem Sie erhoben wurden.

Was sind die nötigen Arbeitsschritte nach der DSGVO?

Nach dem Inkrafttreten der DSGVO im Mai 2018 müssen hinsichtlich einiger Bereiche ein paar Voraussetzungen beachtet werden.

Cookies

Bisher findet man die “Cookie-Bar” beim Aufruf einer Homepage. Dies hat sich bisher in der Anwendung des Rechts durchgesetzt. Bei einem Besuch auf der Webseite öffnet sich ein Feld, in dem der Besucher der Homepage über den Einsatz von Cookies informiert wird. In dieser Form wird derzeit das Einverständnis des Besuchers eingeholt.

Doch wie wird dies in Zukunft aussehen?

Im Mai nächsten Jahres werden die Vorschriften des Telemediengesetzes (TMG) nicht mehr anwendbar sein. Die DSGVO hält diesbezüglich aber keine Ausnahmeregelung für pseudonymisierte Daten bereit. Nach der neuen Rechtsprechung ist die Verarbeitung von personenbezogenen Daten erstmal unzulässig. Ausnahme bilden die Bedingungen aus Art. 6 DSGVO.

Sind für Cookies nun vorab immer Einwilligungen zuerst einzuholen ?

Art. 6 Abs. 1 Satz 1 lit. f DSGVO gibt eine Möglichkeit für eine zulässige Verarbeitung von personenbezogenen Daten. Im Hinblick auf Cookies wird dieser Vorschrift eine große Bedeutung zukommen. Nach dieser Vorschrift ist eine Verarbeitung zulässig, wenn sie zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten notwendig ist. Dies ist allerdings nur möglich,

 

sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“

 

Dies führt bei der DSGVO dazu, dass in jedem Fall eine Interessensabwägung durchgeführt werden muss.

Diese Interessensabwägung führt zu folgenden Fragestellungen, die es zu klären gilt:

  1. Hat der Online Händler ein berechtigtes Interesse an einem Einsatz von Cookies ?
  2. Wird der Cookieseinsatz zur Wahrung dieses Interesses wirklich benötigt ?
  3. Überwiegen in der Interessensabwägung die Interessen des Betroffenen am Schutz seiner Rechte oder die Interessen des Online Händlers ?

Konsequenz aus der Interessensabwägung

Der Einsatz von Cookies zur Webseitenanalyse kann in der DSGVO über eine Interessensabwägung aus Art. 6 Abs. 1 Satz 1 lit. f DSGVO gerechtfertigt werden. Genau wie nach bisheriger Rechtssprechung sollten hier die Interessen des Händlers dem Schutz den Interessen des Betroffenen überwiegen.

Ebenso wird dies wohl bei Cookies zu sehen sein, die der Bedienerfreundlichkeit auf der Webseite dienen. Dies kann beispielsweise eine Spracheinstellung sein, die es dem Online Händler ermöglicht, dem Besucher der Webseite per Cookie eine beim ersten Besuch ausgewählte Sprache nicht erst erneut wieder auswählen zu müssen. In die schutzwürdigen Interessen des Besuchers wird nicht so stark eingegriffen, wenn eine pseudonymisierte Datenerhebung stattfindet.

Wenn in den Fällen somit der Einsatz der Cookies über die Interessensabwägung gerechtfertigt ist, muss keine gesonderte Einwilligung erfolgen. Mithin muss die oben angesprochene Cookie-Bar nicht mehr angewendet werden.

Aber es ist Vorsicht geboten. Bisher haben die Gerichte und die Behörden noch keine eindeutige Stellungnahme zum Thema Cookies abgegeben.

 

Derzeit wird vor allem an einer ePrivacy Verordnung gearbeitet. Diese Verordnung der europäischen Union kann dann in diesem Bereich nochmal alles neu gestalten. Geplant ist dort eine Cookie-Richtlinie.

 

Datenschutzerklärung

Es wird weiterhin notwendig sein, dass Webseitenbetreiber eine Datenschutzerklärung führen müssen. Es gibt nun über die DSGVO in Art. 13 Abs.1 DSGVO inhaltliche Punkte, die dem Besucher als Informationen definitiv zur Verfügung gestellt werden müssen.

 

Datenschutzerklärungen müssen für jeden leicht verständlich sein. Es muss für jeden ersichtlich sein, welche Erhebung von Daten stattfindet, welcher Zweck hinter der Erhebung steht und wie diese Daten weiterverarbeitet werden. Webseiten, die sich an Kinder richten, müssen in einer kindgerechten Sprache abgefasst sein.

 

Art. 13 Abs. 1 DSGVO enthält folgende Informationen, die in jeder Datenschutzerklärung aufgelistet sein müssen:

  1. den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
  2. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
  3. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
  4. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
  5. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
  6. gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

Formulare, wie z.B. das Kontaktformular

Bei Formularen werden auch jetzt häufig noch viele Angaben von Besuchern der Webseite gefordert. Dies wird sich mit der DSGVO ändern. Für die Kontaktaufnahme zu einem Besucher reicht die Angabe der Email aus. Um gegebenenfalls eine persönlichere Ansprache zu ermöglichen, sollte neben der Email Adresse maximal noch der Nachname als Pflichtangabe hingenommen werden. Alle anderen Angaben sollten im Ermessen des Besuchers liegen. Es sollte also gemäß dem Grundsatz der Datensparsamkeit und der Zweckbindung nur die nötigsten Daten erhoben werden. Formulare, die personenbezogene Daten erheben, sollten über eine SSL Absicherung verfügen.

Login-Bereichen

Nach bisheriger Rechtsprechung wird häufig bei Login-Bereichen mit Emails, Benutzernamen und Passwörtern gearbeitet. Aufgrund der strengeren Datenschutzvorschriften sollte auf einen Gebrauch von Benutzernamen umgestellt werden, da diese meist anonymisiert sind. Aus dem Grundsatz der Datensparsamkeit sollte auch hier dazu angeraten werden, die Pflichtangaben auf das Nötigste zu minimieren. Des Weiteren sollte auch hier der Login Bereich zwingend über eine SSL Funktion abgesichert sein. Daten, die der Besucher freiwillig gibt, dürfen auch weiterhin genutzt werden.

Newsletter

Um sich für einen Newsletter anmelden zu können, sollte auch eine SSL Funktion genutzt werden. Bei der SSL gesicherten Übertragung sollte für eine Newsletteranmeldung lediglich die Email als Pflichtangabe herangezogen werden. Weitere Informationen wären nicht mehr vom Zweck umfasst und somit eine überflüssige Erhebung von Daten, die dem Grundsatz der Datensparsamkeit widersprechen.

Social Media Plugins

Heutzutage stellen Social Media Plugins schon ein Problem dar. Niemand weiß, wie Facebook etc. arbeiten und was für Informationen bei einem Besuch über die Plugins erfolgen. Nach der DSGVO muss für die Erhebung von Daten ohne Einwilligung letztendlich eine Rechtfertigung zur Datenerhebung vorliegen. Bei Social Media Plugins werden keine rechtfertigenden Gründe zu finden sein. Demnach sollte vor dem Anzeigen der Plugins eine Einwilligung vom Besucher der Webseite eingeholt werden. Aber diese Einwilligung zur Datenerhebung wird man nicht einholen können, da dem Besucher keine Information über die Datenverarbeitung gemacht werden kann.

 

Wer rechtlich hierbei sicher auftreten möchte, sollte nach Inkrafttreten der DSGVO auf die Social Media Plugins verzichten. Eine derzeit sichere Lösung ist die Shariff-Lösung. Genauere Informationen zu dieser Lösung finden Sie unter diesem Link, der auf die Seite heise.de führt.

 

Fazit

Mit dem Wirksamwerden der DSGVO treten einige Neuerungen auf. Durch die uns bekannte Rechtslage im Hinblick auf das BDSG treten nicht zu viele Neuigkeiten auf. Die Stellschrauben werden lediglich ein wenig anders angesetzt. Falls Sie Hilfe für Ihre Stellschrauben im Unternehmen haben, so schreiben Sie uns eine Email an dsb@anka.eu oder rufen Sie uns an.

IT-Sicherheitstips

Am 25. Mai 2018 tritt die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Daher geben wir Ihnen gerne ein paar IT-Sicherheitstips.

IT-Sicherheit ist für Unternehmen unerlässlich

Heutzutage ist ein Unternehmen ohne die Nutzung von Informations- und Kommunikationstechnologien (IKT) nicht mehr vorstellbar. Dabei spielen die Größe und die Tätigkeit des Unternehmens keine Rolle. Jeder nutzt sie. Und genau deswegen ist der Aufbau und vor allem aber auch der Ausbau sicherer IKT-Systeme eine lohnenswerte Investition in die Zukunft eines Unternehmens.

Das Sicherheitsniveau muss passen

Damit auch kleine und mittelständische Unternehmen für das Thema IT-Sicherheit sensibilisiert und unterstützt werden, hat das Bundesministerium für Wirtschaft eine Abteilung zum Thema “IT-Sicherheit in der Wirtschaft” eingerichtet. Diese soll durch IT-Sicherheitstips helfen, das Niveau zu steigern.

Schutz der Unternehmensdaten durch IT-Sicherheitstips

Daten sind die Währung in unserer Zeit. Und um Ihr Unternehmen ausreichend zu schützen, sind hier 10 Punkte von führenden Sicherheitsexperten für den sicheren Umgang mit Unternehmensdaten im Netz zusammengefasst:

  1. Stellen Sie für Ihre Mitarbeiter Richtlinien für den Social Media Umgang mit den Regelungen auf, welche Daten dort veröffentlicht werden dürfen.
  2. Es sollten verständliche Sicherheitsrichtlinien für Bereiche wie Datenträger, Schnittstellen und weitere erlassen werden. Stellen Sie Notfallpläne für Ihre IT-Systeme auf. Regeln Sie dabei insbesondere auch relevante Dinge für Mobile Devices.
  3. Erstellen Sie ein klares Berechtigungskonzept für Ihre IT-Systeme. Dort muss genau geregelt sein, welche Zugriffsbefugnisse einzelne Mitarbeiter haben.
  4. Führen Sie regelmäßige Updates auf Ihren IT-Systemen, mobilen Geräten und Diensten aus. Dabei ist eine regelmäßige Virenprüfung vorteilhaft.
  5. Sensibilisieren Sie Ihre Mitarbeiter in regelmäßigen Schulungen zum Thema IT-Sicherheit
  6. Seien Sie besonders vorsichtig beim Versand oder bei der Speicherung von Daten. Nutzen Sie nur die qualifizierte elektronische Signatur. Verschlüsseln Sie sensible Daten. Darunter zählen vor allem Ihre Geschäftsgeheimnisse.
  7. Bei der Auswahl von IT-Dienstleistern oder Softwareanbietern achten Sie auf seriöse und vertrauenswürdige Angebote. In den Allgemeinen Geschäftsbedingungen sollte auf die Einhaltung des europäischen Datenschutzstandard hingewiesen sein.
  8. Bei der Benutzung von IT-Geräten sollten stets verschlüsselte Übertragungswege wie VPN, Proxy-Server oder auch Metasuchmaschinen genutzt werden, die keine Nutzerdaten speichern.
  9. Daten müssen nach Ihrer Sensibilität eingestuft werden und wie hoch das Risiko für diese Daten ist. Danach sollte die Organisationsform der Cloud ausgewählt werden. Zusätzlich sollten Daten verschlüsselt werden. Für die Cloudauswahl spielt daher der Standort der Cloudanbieter eine wichtige Rolle und die Umsetzung der EU-Datenschutzgrundsätze. Bei Cloud-Service-Providern außerhalb der EU muss durch einen Vertrag das angemessene Datenschutzniveau gewährleistet sein.
  10. Lagern Sie Ihre Daten räumlich getrennt voneinander. Es ist wichtig, dass die Datenverfügbarkeit garantiert ist. Sichern Sie daher Ihre Daten regelmäßig und archivieren Sie diese. Bei einem Fehler im System müssen die Daten schnell wiederherstellbar sein.

Gerade jetzt, wo die DSGVO in der Umsetzungsphase ist, stoßen viele Unternehmen auf die ersten Probleme. Fangen Sie daher früh an, Ihre IT an die kommende DSGVO anzupassen. Es drohen empfindliche Bußgelder, wenn Sie die Regelungen der DSGVO nicht einhalten.

Datenschutz beim Carsharing

Carsharing ist gerade in großen Ballungsräumen und mit wenig Parkmöglichkeiten der Renner. Jedoch werden diese Fahrzeuge per Tracking genauestens im Bewegungsprofil analysiert. Somit stellt sich die Frage, ob dem Datenschutz in Sachen Carsharing entsprochen werden kann.

Carsharing – Was ist das genau ?

In einer Stadt platziert ein Anbieter eine gewisse Anzahl an Fahrzeugen. Dieses Autovermietungsmodell gibt dem Nutzer die Möglichkeit, per Handyapp ein für ihn in seiner Nähe verfügbares Fahrzeug zu finden. Über die Handyapp kann der Nutzer dieses Auto dann bezahlen und für sich freischalten. Nach dem Ende des Mietzeitraums stellt man das Auto einfach am Straßenrand ab, wo der nächste Nutzer das Fahrzeug an dieser Stelle dann abholt. Durch diese Flexibilität werden natürlich spezielle Fahrzeuge benötigt, die der Nutzer dann nicht an dem Sitz des Vermieters abholen muss, sondern je nach geparkter Lage.

In diesen Fahrzeugen sind sog. E- Steuerungsmodule eingebaut, die sämtliche Daten protokollieren, die während des Führens des Fahrzeugs auslesbar sind. Dazu gehört z.B. die aktuelle GPS Position des Autos.

Rekonstruktion der Fahrt führt zu Verurteilungen

Ein Nutzer erzeugte während der Mietzeit einen Verkehrsunfall. Der andere Unfallbeteiligte verstarb nach dem Unfall im Krankenhaus. Das LG Köln verurteilte in seinem Urteil vom 23.05.2016 den Nutzer aufgrund einer Bewertung der Log-Dateien durch einen Sachverständigen. Durch das genaue Aufzeichnen aller verfügbaren Daten konnte der Sachverständige den Geschehensablauf genau wiederherstellen. Die Urteilsbegründung überzeugt durch eine genaue Darstellung des Ablaufs.

Der Angeklagte befuhr zunächst die P-Straße, wo er sein Fahrzeug auf 57,8 km/h beschleunigte, bevor er – nach Verringerung der Geschwindigkeit auf rund 25 km/h – an der grünes Licht zeigenden Lichtzeichenanlage nach links auf die zweispurige S-Straße abbog. Dort beschleunigte er das Fahrzeug auf der rechten Spur bis zum Erreichen einer Geschwindigkeit von 95,5 km/h um 20:12:19 Uhr wiederum stark. […] Um 20:12:28 Uhr kamen der Angeklagte und der Zeuge S1 nebeneinander an einer Rotlicht zeigenden Lichtzeichenanlage an der Kreuzung S-Straße/G-Straße zum Stehen. Nach Beendigung der Rotphase fuhr der Angeklagte auf die Kreuzung S-Straße/E-Straße (F-Platz) zu, wobei er um 20:12:58 Uhr kurzzeitig eine Geschwindigkeit von 72,9 km/h erreichte, die er vor Erreichen des F-Platzes auf rund 30 km/h verringerte.

Problematisch in diesem Fall war, dass die Log-Dateien auch nach über einem Jahr von BMW noch vorhanden waren und von der Staatsanwalt herausverlangt wurden.

Bei dieser Problematik stellt sich somit die Frage, ob die Erhebung und Speicherung durch BMW datenschutzrechtlich überhaupt zulässig ist.

Gibt es im BDSG einen passenden Erlaubnistatbestand ?

Um Daten in dieser Form nach § 4 Abs. 1 BDSG erheben, speichern und nutzen zu dürfen, bedarf es eines Erlaubnistatbestandes nach BDSG oder einer Einwilligung des Betroffenen.

Erlaubnistatbestand § 28 Abs. 1 S. 1 Nr. 2 BDSG

Als Erlaubnistatbestand kommt § 28 Abs. 1 S. 1 Nr. 2 BDSG in Betracht. Er erlaubt das Erheben, Verarbeiten und Nutzen zur Erfüllung eigener Geschäftszwecke, wenn

  • es zur Wahrung berechtigter Interessen BMWs als verantwortliche Stelle erforderlich ist und
  • kein überwiegendes schutzwürdiges Interesse des Betroffenen vorliegt, die Daten nicht verarbeiten zu dürfen.

Der Erlaubnistatbestand zur Erfüllung eigener Geschäftszwecke mag zwar Daten umfassen, die für die Berechnung der Preise oder z.B. den Standort des Fahrzeugs notwendig sind, jedoch spätestens mit einer umfassenden Bewegungsanalyse wird dies zu verneinen sein. Dort wird in der Abwägung der erhobenen Daten zu dem schutzwürdigen Interesse des Nutzers (Betroffenen) stets das Interesse des Betroffenen überwiegen. Der Betroffene muss nicht mit der umfassenden Bewegungserfassung rechnen, da dies nicht zur Abwicklung des Mietvertrages erforderlich ist.

Einwilligung aufgrund der AGB

Allerdings könnte durch die Vertrags-AGB eine informierte Einwilligung vorliegen. Durch die Unterschrift unter dem Vertrag könnte der Nutzer der umfassenden Bewegungsanalyse zugestimmt haben. Ein Blick in die AGB von BMW zeigte keine Informationen umfassenden Bewegungserfassung.

AGB Auszug Stand: 13.06.2017

15.1. DriveNow ist berechtigt, Ihre personenbezogenen Daten einschließlich der kundenbezogenen Nutzungs- und Fahrzeugdaten (einschließlich Daten zur Lokalisierung des Fahrzeugs) zu erheben, zu verarbeiten und zu nutzen, soweit dies zum Zweck der Durchführung des DriveNow Rahmenvertrages und der Einzelmietverhältnisse erforderlich ist. Die einzelnen Mietvorgänge werden mit Start- und Zielort, Start- und Zielzeitpunkt, Dauer der Nutzung erfasst und in der Rechnung aufgeführt.

15.2. DriveNow behält sich vor, Nutzungs- und Fahrzeugdaten (einschließlich Daten zur Lokalisierung des Fahrzeugs) zu erheben, zu verarbeiten und zu nutzen, soweit dies zum Zweck der Ermittlung und Behebung von Fehlern oder Störungen, zur Ermittlung und Abwicklung von Regressansprüchen oder zur Weiterentwicklung der DriveNow Dienste erforderlich ist. Soweit möglich, werden die Nutzungs- und Fahrzeugdaten zu vorgenannten Zwecken getrennt von Ihren Vertragsdaten verarbeitet, so dass nur in begründeten Ausnahmefällen […] ein Rückschluss auf Sie als Fahrer möglich ist. […]

15.6. Die anzumietenden Fahrzeuge werden durch den Einsatz von Floating Car Data (FCD) als „mobile Verkehrsmelder“ eingesetzt. Die während der Fahrt ermittelten, individuellen Positions- und Sensordaten der Fahrzeuge werden zusammen mit den aktuellen Zeitangaben anonymisiert an die BMW ConnectedDrive Zentrale und einen Verkehrsservice Provider übertragen. […]

15.8. DriveNow schaltet im Zusammenhang mit den in Ziffer 15 genannten Datenverwendungen beauftragte Dienstleister ein, welche personenbezogene Daten ausschließlich nach Weisungen und unter Kontrolle von DriveNow verarbeiten.

Sind Datenschutz und Carsharing vereinbar?

BMW informiert in dem Auszug der AGB vom 13.06.2017 zwar über die Positions- und Sensordaten, jedoch lässt sich aus den oben aufgezeigten Angaben nicht herleiten, dass eine umfassende Bewegungsanalyse einfach herstellbar ist. Weiterhin ist auch nicht ersichtlich, wielange Daten von BMW gespeichert bzw. kombiniert werden können. In einer informierten Einwilligung muss aber gerade darüber Auskunft gegeben werden.

Durch die lange Speicherung der Daten ist die bisherige Form rechtswidrig. Dabei wäre sowohl ein unverzügliches Löschen der Daten nach Ablauf der Mietvertragszeit als auch eine Trennung der Datensätze ohne weiteres möglich. Die Speicherung der Daten von einem Jahr war hier jedenfalls unverhältnismäßig.

Falls Sie auch Fragen zur Speicherung von Daten haben, können Sie sich gerne jederzeit an uns wenden.

Dashcams als Beweismittel

Deutsche Richter lassen Dashcams als Beweismittel erstmals in einem Schadensersatzprozess zu. Bisher war eine Verwertung solcher Kameras, die den Verkehr durch die Windschutzscheibe filmen, eher umstritten. Das Oberlandesgericht Stuttgart ließ in seinem Urteil nun die Bilder einer sog. Dashcam zur Ermittlung des Schadensersatzes zu.

Der Fall:

Es ging um eine Schadensregulierung bei einem Zusammenstoß zweier Autos an einer Engstelle:

Der Kläger fuhr an rechts parkenden Autos links vorbei. Die entgegenkommende Fahrzeugführerin bemerkte ihn zu spät, so dass es folglich zu einer Kollision und einem Blechschaden kam. Die Dashcam lieferte Bilder, auf denen im Gerichtssaal zu sehen war, wie die Frau kurz vor Aufprall das Lenkrad nach rechts riss. Zudem ließ sich die Geschwindigkeit des Autos aus den Aufzeichnungen ablesen. Ein Sachverständiger stellte im Verfahren fest, dass eine Aufklärung des Unfalls ohne die Bilder der Dashcam nicht möglich gewesen wäre.

Was sind sog. Dashcams?

Der Begriff “Dashcam” wird aus mehreren englischen Worten zusammengesetzt. Bestandteile sind die englischen Worte “dash board” – das Armaturenbrett –  und das Wort “camera” –  die Kamera an sich. Dashcam bezeichnet eine Videokamera, die meist die Fahrt vorne auf dem Armaturenbrett oder an der Windschutzscheibe eines Fahrzeugs aufzeichnet.

Bei einer Dashcam werden fortlaufend Aufnahmen in einer Schleife gespeichert, die nach dem Verstreichen einer programmierbaren Zeit oder bei Erreichen der Speicherkapazität des Speichermediums werden ältere Aufnahmen überschrieben. Für Gerichtsprozesse können unter anderem Dashcams eine entscheidende Rolle spielen, die über einen integrierten GPS-Empfänger verfügen. Daten, die die aktuelle Position und die Geschwindigkeit wiedergeben, können dabei je nach Typ mit in die Aufnahmen integriert oder zur späteren Auswertung genutzt werden.

Wo liegt das Problem bei Dashcams?

Durch eine permanente Beobachtung des Straßenverkehrs mittels einer Dashcam werden ständig personenbezogene Daten erhoben. Somit besteht stets der Konflikt zwischen dem beobachtender Person und den schutzwürdigen Interessen der betroffenen Verkehrsteilnehmer.

Entgegen oftmals vorgebrachter Argumente, dass Dashcams für den privaten Gebrauch sind und somit nicht dem Datenschutzrecht unterliegen, teilte das VG Ansbach diese Ansicht nicht.

Werden Erhebung und Verarbeitung personenbezogener Daten unter dem erklärten Zweck vorgenommen, sich Beweismittel in möglichen straf- oder zivilgerichtlichen Verfahren zu beschaffen und die Aufnahmen im Bedarfsfall bei Behörden vorzulegen, wird dadurch der persönliche und familiäre Bereich verlassen.

Auch würde es in einer etwaigen Interessenabwägung oftmals zu Problemen kommen, wenn nun jeder grundlos alles mitfilmt und so als “Hilfspolizei” fungiert. Aus datenschutzrechtlicher Sicht ist stets ein Zweck bzw. die Wahrnehmung berechtigter Interessen gefordert. Diesen bei den Dashcams festzulegen, wurde von den Gerichten bisher nicht akzeptiert.

Das Problem mit den Dashcams ist die „totale Überwachung“ bei dauerhaft eingeschalteter Kamera.

Zusammenfassung

In dem Urteil des Oberlandesgerichts Stuttgart sieht man, dass Dashcams nicht nur dem Fahrer helfen, sondern auch den Betroffenen. In diesem Fall musste der Fahrer ein Drittel des Schadens selbst übernehmen, da er vorsichtiger an den parkenden Autos hätte vorbeifahren müssen. Es bleibt aber abzuwarten, wie der Bundesgerichtshof so eine Sache entscheiden wird. Durch die permanente Überwachung durch Dashcams im Straßenverkehr drohen deutliche Datenschutzlücken. In diesem Fall schlossen die Parteien unter Einbeziehung der Dashcamaufnahmen einen Vergleich.

Datenschützer rügen Online-Ausweisfunktion

Nach der Änderung des Personalausweisgesetzes rügen Datenschützer die Online-Ausweisfunktion, da der integrierte Chip nicht mehr deaktivierbar ist. Die Datenschutzbeauftragte Bremens Imke Sommer sieht darin eine Gefahr.

Entsprechende Behörden und Geheimdienste können sich bei Bedarf jegliche Informationen aus dem Ausweis ziehen. Dazu gehören nicht nur die Informationen, die wirklich benötigt werden.

Was ist anders?

Die Bürger konnter bisher den integrierten Chip im Ausweis deaktivieren. Bei Abholung deaktivierten sie direkt diese Funktion und damit war abgesichert, dass die Informationen nicht abgerufen werden können. Durch die Änderung des Gesetzes ist der Chip aber nun von vornherein aktiviert.

Was macht dieser Chip genau?

Nach dem Erhalt des PIN-Briefes durch das Amt, stellt der Bürger sich zunächst eine eigene PIN ein. Er benötigt nun noch den Ausweis, einen PC und eine entsprechende App. Von nun an funktioniert der aktive Chip. Der Bürger kann mit der Online-Ausweisfunktion beispielweise Meldebescheinigungen beantragen, viele formelle Verfahren durchführen oder auch ein Bankkonto eröffnen.

Welches Probleme sehen Frau Sommer und andere Datenschützer?

Niemand hat sicherlich ein Problem damit, wenn “Behördengänge” insoweit vereinfacht werden, dass man vieles von Zuhause aus erledigen kann. Problematisch hingegen ist die Tatsache, dass der Chip dauerhaft eingeschaltet und somit immer eine Missbrauchsgefahr gegeben ist. Die Frage ist stets, welche Daten vom Ausweis genommen werden, wenn eine Anfrage geschickt wird. Der Bürger hat keine Entscheidungsmöglichkeit mehr, zu entscheiden, welche Daten er aushändigen möchte.

Welche Daten kann man auslesen?

Mit dem aktivierten Chip können immer alle Daten ausgelesen werden. Das sind diese Daten, die auch auf dem Personalausweis zu sehen sind.

  • Name
  • Adresse
  • Geburtsdatum
  • Geburtsort
  • das biometrische Foto
  • Augenfarbe

Gibt es Sicherheitsbedenken beim Online-Ausweisfunktion?

IT Experten formulieren ebenfalls ihre Sicherheitsbedenken. Selbst wenn der Ausweis mit Chip nach Aussagen des Bundesinnenministeriums sicher ist, ist es das Umfeld mit dem PC/Smartphone nicht. Die Onlinefunktionen arbeiten aber nur mit PC/Smartphone. Einen hohen Sicherheitsgrad bieten dabei nur teure Kartenleser. Ebenfalls liegt eine höhere Gefahr vor, wenn jemand an den PIN gelangt. Somit hätte der Unbefugte dann ebenfalls die Möglichkeit, an die Daten zu gelangen. Und wer elektronische Daten erlangt, kann diese auch gegen andere Menschen benutzen.

Es bleibt abzuwarten, wie sich die Rechtsprechung in dieser Hinsicht vielleicht noch verändern wird. Dem Anspruch der Datenschützer bezüglich der Rechtssicherheit wird es so nicht genügen.