close
  • Da chevron_right

    BfDI begrüßt EuGH-Urteil zur Vorratsdatenspeicherung

    news.movim.eu / Datenschutz · 5 days ago - 04:59 · 1 minute

Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 20.09.2022

Der BfDI, Professor Ulrich Kelber, begrüßt die Entscheidungen des Europäischen Gerichtshofes (EuGH) zur deutschen Vorratsdatenspeicherung: „Der EuGH hat noch einmal sehr deutlich gemacht, dass eine anlasslose Speicherung von Verkehrs- und Standortdaten, wie sie im deutschen Recht vorgesehen ist, mit dem europäischen Recht nicht vereinbar ist.“

Die präventive, allgemeine und unterschiedslose Speicherung der Verkehrs- und Standortdaten stellt einen schwerwiegenden Eingriff in die Grundrechte dar. Dazu sagte der BfDI: „Mein großer Wunsch: Ab heute muss endgültig Schluss sein mit den Debatten über anlasslose Vorratsdatenspeicherungen. Wie oft sollen denn die maßgeblichen Gerichte noch ein Stopp-Signal setzen?“

Der EuGH hat nochmals betont, dass die Vorratsdatenspeicherung tiefe Einblicke in die Persönlichkeit eines jeden Einzelnen ermöglicht, bis hin zur Erstellung von persönlichen Netzwerken und Profilen von einzelnen Personen. Damit wird die Bedeutung eines freien und offenen Internets gestärkt.

Eine anlasslose und umfassende Datenspeicherung darf es nicht geben. Sie ist aus Sicht des BfDI auch gar nicht erforderlich. Natürlich braucht Freiheit Sicherheit, aber eine effektive Strafverfolgung im Internet ist auch ohne die Vorratsdatenspeicherung möglich. Denn es gibt längst wirkungsvolle Alternativen, wie die „Login-Falle“ oder das vom EuGH erwähnte „Quick Freeze-Verfahren“. In beiden Fällen geht es darum, erst bei einem konkreten Verdacht relevante Informationen zur Strafverfolgung zu erfassen.

Das Gericht hat die Grenzen nun erneut klar festgelegt. Ob der Gesetzgeber den vom EuGH vorgegebenen engen Korridor ausnutzen wird, bleibt abzuwarten. Der BfDI wird diesen Prozess kritisch begleiten und steht zur Beratung jederzeit bereit.

Die Pressemitteilungen des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit können hier abgerufen werden.


  • Da chevron_right

    Pressemitteilung: Interessenkonflikt des betrieblichen Datenschutzbeauftragten: 525.000 Euro Bußgeld gegen die Tochtergesellschaft eines Berliner E-Commerce-Konzerns

    news.movim.eu / Datenschutz · 6 days ago - 08:59 · 2 minutes

Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat gegen die Tochtergesellschaft eines Berliner Handelskonzerns ein Bußgeld in Höhe von 525.000 Euro wegen eines Interessenkonflikts des betrieblichen Datenschutzbeauftragten verhängt. Das Unternehmen hatte einen Datenschutzbeauftragten benannt, der Entscheidungen unabhängig kontrollieren sollte, die er selbst in einer anderen Funktion getroffen hatte. Das Bußgeld ist noch nicht rechtskräftig.

Betriebliche Datenschutzbeauftragte haben eine wichtige Aufgabe: Sie beraten das Unternehmen hinsichtlich der datenschutzrechtlichen Pflichten und kontrollieren die Einhaltung der Datenschutzvorschriften. Diese Funktion dürfen gemäß Art. 38 Abs. 6 Satz 2 Datenschutz-Grundverordnung (DS-GVO) ausschließlich Personen ausüben, die keinen Interessenkonflikten durch andere Aufgaben unterliegen. Das wäre zum Beispiel bei Personen mit leitenden Funktionen im Unternehmen der Fall, die selber maßgebliche Entscheidungen über die Verarbeitung von personenbezogenen Daten im Unternehmen treffen. Die Aufgabe darf demnach nicht von Personen wahrgenommen werden, die sich dadurch selbst überwachen würden.

So ein Interessenkonflikt lag nach Auffassung der BlnBDI im Falle eines Datenschutzbeauftragten einer Tochtergesellschaft eines Berliner E-Commerce-Konzerns vor. Die Person war gleichzeitig Geschäftsführer von zwei Dienstleistungsgesellschaften, die im Auftrag genau jenes Unternehmens personenbezogene Daten verarbeiteten, für die er als Datenschutzbeauftragter tätig war. Diese Dienstleistungsgesellschaften sind ebenfalls Teil des Konzerns; stellen den Kund:innenservice und führen Bestellungen aus.

Der Datenschutzbeauftragte musste somit die Einhaltung des Datenschutzrechts durch die im Rahmen der Auftragsverarbeitung tätigen Dienstleistungsgesellschaften überwachen, die von ihm selbst als Geschäftsführer geleitet wurden. Die BlnBDI sah in diesem Fall einen Interessenkonflikt und damit einen Verstoß gegen die Datenschutz-Grundverordnung.

Die Aufsichtsbehörde erteilte daher im Jahr 2021 zunächst eine Verwarnung gegen das Unternehmen. Nachdem eine erneute Überprüfung in diesem Jahr ergab, dass der Verstoß trotz der Verwarnung weiterbestand, verhängte die BlnBDI das Bußgeld, das noch nicht rechtskräftig ist.

Volker Brozio, kommissarischer Dienststellenleiter der BlnBDI: „Dieses Bußgeld unterstreicht die bedeutende Rolle der Datenschutzbeauftragten in Unternehmen. Ein Datenschutzbeauftragter kann nicht einerseits die Einhaltung des Datenschutzrechts überwachen und andererseits darüber mitentscheiden. Eine solche Selbstkontrolle widerspricht der Funktion eines Datenschutzbeauftragten, der gerade eine unabhängige Instanz sein soll, die im Unternehmen auf die Einhaltung des Datenschutzes hinwirkt.“

Bei der Bußgeldzumessung berücksichtigte die BlnBDI den dreistelligen Millionenumsatz des E-Commerce-Konzerns im vorangegangen Geschäftsjahr und die bedeutende Rolle des Datenschutzbeauftragten als Ansprechpartner für die hohe Zahl an Beschäftigten und Kund:innen. Berücksichtigung fand auch die vorsätzliche Weiterbenennung des Datenschutzbeauftragten über fast ein Jahr trotz der bereits erteilten Verwarnung. Als bußgeldmindernd wurde u. a. eingestuft, dass das Unternehmen umfangreich mit der BlnBDI zusammengearbeitet und den Verstoß während des laufenden Bußgeldverfahrens abgestellt hat.

„Zur Vermeidung von Datenschutzverstößen sollten Unternehmen etwaige Doppelrollen der betrieblichen Datenschutzbeauftragten in Konzernstrukturen auf Interessenkonflikte hin prüfen“, sagt Brozio. „Das gilt insbesondere dann, wenn Auftragsverarbeitungen oder gemeinsame Verantwortlichkeiten zwischen den Konzerngesellschaften bestehen.“


  • wifi_tethering open_in_new

    This post is public

    www.datenschutz.de /pressemitteilung-interessenkonflikt-des-betrieblichen-datenschutzbeauftragten-525-000-euro-bussgeld-gegen-die-tochtergesellschaft-eines-berliner-e-commerce-konzerns/

Hey everyone!

I’m back from AniManGaki! Thank you to everyone who came to visit! I hope you had a good time and, if you attended my panel, that you enjoyed that as well!

Unfortunately I’ve tested positive for COVID-19 on Thursday, and for the past couple of days, it’s been really bad.
Some of my friends have mentioned that the symptoms can be mild, however, I’m very certain the one I have is anything but mild.

Standing hurts, sitting hurts, hell, even lying down hurts. I’ve been trying to work on the next animation and the MMO series, but I can’t even sit down for 15 mins before my back and chest starts hurting. It gets hard to breathe sometimes, so I’m being extra careful with my posture!

I’ll be taking a break as I recover, and once I start feeling better, I’ll be sure to start working on more content!
Til then, please take care!

Love you much much, and I’ll see you in the next post!
-RandoWis

The post I got Covid. first appeared on RandoWis .

  • Da chevron_right

    Schriftarten sind nicht so banal, wie viele denken: Google Fonts löst Abmahnwelle aus

    news.movim.eu / Datenschutz · Monday, 22 August - 06:07 · 2 minutes

Pressemitteilung des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit vom 18.08.2022

Erfurt, 18. August 2022: Aus aktuellem Anlass möchte der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI), Dr. Lutz Hasse über Folgendes informieren:
Drohende Abmahnwelle? Laut Medienquellen soll es aktuell zu einer Abmahnwelle gegen tausende von Websites-Betreibern kommen. Grund ist die dynamische Einbettung von Google Fonts auf deren Website, ohne vorab die Einwilligung der Besucher der Website einzuholen. Auch beim TLfDI gehen regelmäßig Beschwerden dieses Inhalts gegen Seitenbetreiber ein. Bei einer dynamischen Einbindung werden die Schriftarten von Servern des US-Konzerns in den Browser des Besuchers geladen und dabei personenbezogene Daten, wie z. B. die IP-Adresse der Benutzer, in die USA übermittelt. Dies verstößt laut dem Urteil des Landgerichtes München v. 20. Januar 2022, Az. 3 O 17493/20, gegen das allgemeine Persönlichkeitsrecht und die Datenschutz-Grundverordnung. Details finden sich in den Urteilsgründen, abrufbar unter: https://www.gesetze-bayern.de/Content/Document/Y-300-Z-BECKRS-B-2022-N-612?hl=true
Worum geht es genau bei Google Fonts? Google Fonts sind kostenlose Schriftarten des US-Konzern Google, welche zur freien Verfügung stehen. Dabei ist es nicht jedem Website-Betreiber bekannt, dass Google Fonts auch durch eingebettete Google-Dienste (z. B. Google Maps, reCAPTCHA) automatisch mitgeladen werden. Der Europäische Gerichtshof entschied bereits in seinem Urteil vom 16. Juli 2020 (C-311/18 „Schrems II“), dass das US-Recht derzeit den Schutz personenbezogener Daten von Bürgern aus der EU nicht angemessen gewährleistet und erklärte den sog. „Privacy Shield“ für ungültig. Demnach gelten die USA im datenschutzrechtlichen Sinne als „unsicherer Drittstaat“, der nicht ohne weiteres Zugang zu personenbezogenen Datenströmen aus Europa erhalten darf. Näheres kann auf der Website des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit nachgelesen werden: https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Europa-Internationales/Auswirkungen-Schrems-II-Urteil.html

Empfehlungen des TLfDI zu Google Fonts zur Vermeidung von Abmahnungen: Der TLfDI empfiehlt Betreibern von Websites zu prüfen, ob sie Google Fonts einsetzen und wenn ja, wie der Dienst in die Website eingebunden wird. Wer dynamische Google Fonts nutzt, sollte diese Schriftarten lokal speichern und von dort in den eigenen Internetauftritt einbinden. Wer nicht weiß wie das geht, keine Anleitungen im Internet findet, sollte sich an seinen Web-Diensteanbieter wenden. Strato hat bspw. eine Anleitung veröffentlicht: https://www.strato.de/blog/google-fonts-in-wordpress-lokal-hosten/ .

Bei Fragen verantwortlicher Betreiber von Websites können sich diese gern an den TLfDI wenden.

Dr. Lutz Hasse<
Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (TLfDI)
Häßlerstraße 8<
99096 Erfurt

www.tlfdi.de <http://www.tlfdi.de>


  • wifi_tethering open_in_new

    This post is public

    www.datenschutz.de /schriftarten-sind-nicht-so-banal-wie-viele-denken-google-fonts-loest-abmahnwelle-aus/

  • Ra chevron_right

    Special Guest Appearance @ AniManGaki 2022

    comics.movim.eu / RandoWis · Sunday, 21 August - 07:30

Hey everyone!

Just would like to announce that I’ll be a special guest at the AniManGaki 2022 Convention in Kuala Lumpur, Malaysia, next weekend on the 28th August 2022 (Sunday)!

I’ll be hosting a live-drawing panel with QnA, followed by a signing session at 12.30pm to 2pm ! If you’re nearby, feel free to drop by and say hello!

*Image courtesy of the AniManGaki team.

The post Special Guest Appearance @ AniManGaki 2022 first appeared on RandoWis .

  • Da chevron_right

    Kontrolle der LfDI bewirkt Stopp unzulässiger Veröffentlichungen von personenbezogenen Insolvenzdaten

    news.movim.eu / Datenschutz · Tuesday, 16 August - 12:26 · 1 minute

Pressemitteilung der bremischen Landesbeauftragten für Datenschutz und Informationsfreiheit vom 16.08.2022

Auf Drängen der bremischen Landesbeauftragten für Datenschutz und Informationsfreiheit (LfDI) haben mit Insolvenzverwaltungen betraute Kanzleien darauf hingewirkt, dass die Suchmaske in dem von ihnen verwendeten digitalen Gläubigerinformationssystem datenschutzkonform umprogrammiert wurde.

Im Zusammenhang mit einem Beschwerdeverfahren hatte die LfDI Kenntnis darüber erhalten, dass die Daten der Insolvenzschuldner:innen auf Internetseiten der Kanzleien voraussetzungslos öffentlich zugänglich waren. Die LfDI überprüfte daraufhin die Veröffentlichung dieser Daten in den Gläubigerinformationssystemen der meistbestellten deutschlandweit tätigen Insolvenzkanzleien mit Standort in Bremen. Dabei stellte sie die mangels ausreichender gesetzlicher Grundlage datenschutzwidrigen Veröffentlichungen fest. Die betroffenen Kanzleien zeigten sich größtenteils kooperativ und wirkten erfolgreich auf den Softwareanbieter ein. Die angepasste Software wird nun bundesweit auch von nicht überprüften Kanzleien eingesetzt.

Ab jetzt können die Daten der Insolvenzschuldner:innen in den öffentlich zugänglichen Gläubigerinformationssystemen derjenigen Insolvenzkanzleien, die die Software des betreffenden Anbieters verwenden, nur noch erfragt werden, wenn deren Vor- und Nachname, das Insolvenzgericht und das gerichtliche Aktenzeichen in die Suchmaske eingegeben werden.

Die bremische Landesbeauftragte für Datenschutz und Informationsfreiheit, Frau Dr. Sommer, zeigt sich zufrieden, dass die erreichte technische Lösung die festgestellten rechtswidrigen Veröffentlichungen künftig verhindert: „Wieder einmal zeigt sich, dass in einer digitalisierten Welt Datenschutz durch Technik das A und O ist. Insolvenzkanzleien sind grundsätzlich gesetzlich verpflichtet, digitale Informationssysteme bereitzuhalten, die die Daten von Insolvenzschuldner:innen enthalten. Dies muss selbstverständlich datenschutzkonform erfolgen. Hierzu gehört neben der eingeschränkten Auffindbarkeit der personenbezogenen Daten auch, dass die gesetzlichen Löschfristen beachtet werden. Dies werden wir auch zukünftig insbesondere deshalb kontrollieren, weil die Veröffentlichungen dieser Daten für die Betroffenen eine erhebliche wirtschaftliche Stigmatisierung bedeuten kann.“

Die Webseite der bremischen Landesbeauftragten für Datenschutz und Informationsfreiheit kann hier abgerufen werden.


  • wifi_tethering open_in_new

    This post is public

    www.datenschutz.de /kontrolle-der-lfdi-bewirkt-stopp-unzulaessiger-veroeffentlichungen-von-personenbezogenen-insolvenzdaten/

  • Da chevron_right

    BfDI fordert Einhaltung der Grundrechte bei Chatkontrolle

    news.movim.eu / Datenschutz · Monday, 1 August - 06:41 · 1 minute

Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 29.07.2022

Der BfDI, Prof. Ulrich Kelber, kritisiert den aktuellen Verordnungsentwurf der EU-Kommission zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern: „Die sogenannte Chatkontrolle bietet kaum Schutz für Kinder, wäre aber Europas Einstieg in eine anlasslose und flächendeckende Überwachung der privaten Kommunikation.“

Der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDPS) haben den Verordnungsentwurf in einer Gemeinsamen Stellungnahme sehr scharf kritisiert. Dazu sagte BfDI Professor Kelber: „Gemeinsam mit meinen europäischen Kolleginnen und Kollegen setze ich mich für eine deutliche Nachbesserung der Verordnung ein. Ich werde mich weiterhin dafür stark machen, dass die Chatkontrolle in dieser Form nicht realisiert wird. Deutschland und die beteiligten Bundesministerien müssen jetzt zeigen, dass sie die Grundrechte wahren und sich dies auch beim Datenschutz und dem Schutz des Fernmeldegeheimnisses zeigt.“

EDSA und, EDPS weisen in ihrer Stellungnahme auf die schwerwiegenden Probleme durch die geplante Chatkontrolle hin: Eine Überwachung der privaten Kommunikation durch flächendeckende Eingriffe in das Fernmeldegeheimnis. Das Durchbrechen von verschlüsselter Kommunikation, die zum Risiko für alle werden, weil Sicherheitslücken beispielsweise von Kriminellen genutzt werden können. Die Fehlerquoten bei den einzusetzenden Technologien sind zu hoch, was zu einer Vielzahl unrechtmäßiger Verdächtigungen führen wird. Außerdem verstößt der Verordnungsentwurf der EU-Kommission gegen die europäische Grundrechte-Charta.

Dazu sagt BfDI Professor Kelber: „Zur Bekämpfung des sexuellen Kindesmissbrauchs sollten effektive und zielgerichtete Maßnahmen umgesetzt werden. Eine anlasslose Massenüberwachung gehört nicht dazu. So etwas kennen wir ansonsten nur aus autoritären Staaten.“

EDSA und EDPS haben zum Thema ebenfalls eine Pressemitteilung herausgegeben.

Die Pressemitteilungen des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit können hier abgerufen werden.


  • wifi_tethering open_in_new

    This post is public

    www.datenschutz.de /bfdi-fordert-einhaltung-der-grundrechte-bei-chatkontrolle/

  • Da chevron_right

    900.000 Euro Bußgeld gegen Kreditinstitut wegen Profilbildung zu Werbezwecken

    news.movim.eu / Datenschutz · Thursday, 28 July - 12:46 · 2 minutes

Pressemitteilung der Landesbeauftragten für den Datenschutz Niedersachsen vom 28.07.2022

Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat gegen ein Kreditinstitut eine Geldbuße in Höhe von 900.000 Euro festgesetzt. Der Bußgeldbescheid ist noch nicht rechtskräftig.

Das Unternehmen hatte Daten aktiver sowie ehemaliger Kundinnen und Kunden ohne deren Einwilligung ausgewertet. Dazu analysierte es das digitale Nutzungsverhalten und wertete unter anderem das Gesamtvolumen von Einkäufen in App-Stores, die Häufigkeit der Nutzung von Kontoauszugsdruckern sowie die Gesamthöhe von Überweisungen im Online-Banking im Vergleich zur Nutzung des Filialangebots aus. Hierzu bediente es sich eines Dienstleisters. Ergänzend wurden die Ergebnisse der Analyse mit einer Wirtschaftsauskunftei abgeglichen und von dort angereichert. Ziel war es, Kundinnen und Kunden mit einer erhöhten Neigung für digitale Medien zu identifizieren und diese adressatengerecht für vertragsrelevante oder werbliche Zwecke verstärkt auf elektronischen Kommunikationswegen anzusprechen. Den meisten Kundinnen und Kunden wurden zwar vorab zusammen mit anderen Unterlagen Informationen zugeschickt. Diese ersetzten die notwendigen Einwilligungen allerdings nicht.

Dem Unternehmen wird vorgeworfen, dass die vorgenommene Auswertung nicht mit Artikel 6 Absatz 1 Buchstabe f der Datenschutz-Grundverordnung (DS-GVO) vereinbar war. Danach kann ein Verantwortlicher personenbezogene Daten auf Grundlage einer Interessenabwägung verarbeiten. Die Interessen der betroffenen Person dürfen dabei nicht überwiegen. Bei der Festsetzung der Geldbuße wurde berücksichtigt, dass das Unternehmen die Ergebnisse seiner Auswertungen nicht weiterverwendet hatte. Zudem hat sich das Unternehmen im gesamten Verfahren kooperativ gezeigt.

Häufung ähnlicher Fälle

Der LfD Niedersachsen werden vermehrt Fälle bekannt, in denen Verantwortliche Daten von Kundinnen und Kunden, die zunächst rechtmäßig verarbeitet wurden, zur Profilbildung auswerten. Hierzu nutzen Sie teilweise externe Anbieter oder gleichen ihre Ergebnisse mit diesen ab.

„Die Verantwortlichen holen sich für solche Auswertungen häufig keine Einwilligung der Kundinnen und Kunden ein“, sagt die Landesdatenschutzbeauftragte Barbara Thiel. „Stattdessen berufen sie sich auf eine Interessenabwägung nach Artikel 6 Absatz 1 Buchstabe f DS-GVO. Diese Rechtsgrundlage erlaubt es aber nicht, Profile für Werbezwecke zu bilden, indem man große Datenbestände auswertet.“

Zwar liegt die werbliche Ansprache (potenzieller) Kundinnen und Kunden im Interesse der Verantwortlichen. Der Gesetzgeber stuft dieses Interesse aber als weniger gewichtig ein, indem er für die betroffenen Personen eine erleichterte Widerspruchsmöglichkeit vorsieht. Der Widerspruch muss nicht begründet werden. Bei der Interessenabwägung überwiegen zudem die Interessen der betroffenen Kundinnen und Kunden.

Vernünftige Erwartung maßgeblich

Verantwortliche müssen bei der Interessenabwägung unter anderem die vernünftigen Erwartungen der Kundinnen und Kunden berücksichtigten. „Die Betroffenen erwarten es aber in der Regel nicht, dass Verantwortliche im großen Umfang Datenbestände nutzen, um ihre Neigung zu bestimmten Produktkategorien oder Kommunikationswegen zu identifizieren“, so Barbara Thiel. Verantwortliche können sich in diesen Fällen deshalb nicht auf eine Interessenabwägung berufen und müssen stattdessen Einwilligungen einholen.

Werden zudem externe Stellen einbezogen (z. B. Wirtschaftsauskunfteien), können Daten aus unterschiedlichen Lebensbereichen verkettet und so genauere Profile erstellt werden. Hiermit müssen Kundinnen und Kunden erst recht nicht rechnen, weshalb auch hierfür Einwilligungen eingeholt werden müssen.

Die Pressemitteilungen der Landesbeauftragten für den Datenschutz Niedersachsen können hier abgerufen werden.


  • wifi_tethering open_in_new

    This post is public

    www.datenschutz.de /900-000-euro-bussgeld-gegen-kreditinstitut-wegen-profilbildung-zu-werbezwecken/