Home / Aktuelles & Termine / it.sec blog

Der Austritt von Großbritannien ist beschlossen. Neben zahlreichen Unklarheiten, blieb ebenso fraglich, in welcher Form das Land mit dem Datenschutz umgehen wird. Bis zum endgültigen Austritt besteht zwar auch für Großbritannien die Umsetzungspflicht der Datenschutzgrundverordnung (DSGVO), nicht aber danach.

In einer offiziellen Absichtserklärung vom 7. August dieses Jahres hat die Regierung des Landes erklärt, dass es die Bestimmungen der DSGVO in nationales Recht umsetzen will. Dabei erklärte die Regierung, dass mit der Reform des Datenschutzrechts der einzelnen Person mehr Kontrolle über seine Daten gegeben werden soll. Auch sollen die Bußgelder in gleicher Weise bemessen werden, wie es die DSGVO vorsieht, also in den schwerwiegendsten Fällen einer Datenschutzverletzung bis zu 20 Millionen Euro (oder hier bis zu 17 Millionen Pfund) oder bis zu 4% vom gesamten Jahresumsatz.

Weitere grundlegende Ziele und Pflichten aus der DSGVO sollen ebenfalls in britisches Recht umgesetzt werden (z.B. das Recht auf Vergessenwerden).

Oberster Zweck der Reform wird es wohl sein, dass sich Großbritannien als Drittland mit angemessenem Datenschutzniveau etablieren kann. um auch nach dem Brexit einen ungehinderten Fluss der personenbezogenen Daten zwischen dem Land und den EU-Staaten garantieren zu können.

Bisher konnte die Regierung noch keinen konkreten Gesetzesentwurf vorlegen, allerdings gibt es bereits Pläne, welche Reformen sich vollziehen sollen. Die Regierung hat hierzu ein PDF-Dokument veröffentlicht.

Ob und in welcher Form die Regierung garantieren kann, dass auch noch nach dem Austritt des Landes die neuen Regelungen in Kraft bleiben, ist abzuwarten.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Bereits im Bundesdatenschutzgesetz (BDSG) war eine Definition besonderer Arten personenbezogener Daten (gem. § 3 Abs. 9 BDSG-alt) festgelegt. Diese besonderen Arten stellten Daten dar, welche in besonders einschneidender Weise Auskunft über eine betroffene Person ermöglichten. Daher war eine Verarbeitung dieser Daten nur eingeschränkt möglich.

Die im BDSG enthaltenen Regelungen finden sich auch in der DSGVO wieder.

Laut der DSGVO sind gem. Art. 9 Abs. 1 DSGVO besondere Kategorien personenbezogener Daten Angaben über rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben, sexuelle Orientierung sowie genetische oder biometrische Daten.

Genetische und biometrische Daten wurden in die Definition besonderer Kategorien personenbezogener Daten aufgenommen. Genetische Daten sind solche, die die ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person enthalten (Art. 4 Abs. 13 DSGVO). Biometrische Daten sind die physischen, physiologischen oder verhaltenstypischen Merkmale einer natürlichen Person, die mit speziellen technischen Verfahren gewonnen wurden (gem. Art. 4 Abs. 14 DSGVO).

Eine Datenpanne mit besonderen Kategorien personenbezogener Daten kann einen sehr viel erheblicheren Schaden bei der betroffenen Person bewirken. Sofern also das Unternehmen mit diesen Daten umgeht, sollte eine besondere Sorgfalt bezüglich der Sicherheit dieser Daten zukommen.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Gestern ist im Bahnhof Berlin-Südkreuz das angekündigte Pilotprojekt zur 6-monatigen Testphase zur Gesichtserkennung mittels Videoüberwachungssystems angelaufen.

Hierbei zeichnen die Videokameras nicht mehr „nur“ einfache Bilddaten der Passanten auf, sondern ermitteln auch die physiologischen Eigenschaften ihrer Gesichter. Die so erhobenen biometrischen Daten werden dann mithilfe einer Datenbank, die derzeit noch biometrische Daten ausgewählter Testpersonen enthält, abgeglichen. Während der Testphase soll ermittelt werden, ob eine Identifizierung der Testpersonen damit faktisch möglich ist. Funktioniert die Identifizierung, soll die Technik zukünftig für die frühzeitige Erkennung von Terroristen und gesuchten Straftätern eingesetzt werden. Den Passanten, die nicht als Testpersonen involviert sind, wird durch Kenntlichmachung der videoüberwachten Bereiche die Möglichkeit gegeben, dem Projekt auszuweichen.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit äußerte sich zu diesem Projekt mit äußerster Skepsis. In der entsprechenden Pressemitteilung teilte sie mit, dass der Einsatz einer solchen Technik nur unter strengen Voraussetzungen möglich sein darf, da die Erweiterung der Videoüberwachung um die biometrische Gesichtserkennung ein tiefgreifender Einschnitt in das Persönlichkeitsrecht der Menschen sei. Insbesondere schaffe der Gebrauch dieser Technik erhebliche Risiken für die betroffenen Personen (Testpersonen und Passanten). Sollten die biometrischen Informationen an Unbefugte gelangen, wären die Betroffenen lebenslang von Identitätsdiebstahl bedroht, da biometrische Daten nicht einfach abänderbar sind.

Biometrische Daten gehören zu den besonderen Kategorien personenbezogener Daten. Diese unterliegen noch strikterem Schutz, denn im Fall einer unbefugten Offenlegung dieser besonders sensiblen Angaben kann dies weitreichende Schäden für die betroffenen Personen erzeugen.

Näheres zu den besonderen Kategorien personenbezogener Daten finden Sie in unserem nächsten Blogbeitrag.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Das Prinzip der datenschutzfreundlichen Technik (Privacy by Design und Privacy by Default) dient der Erhöhung der Datensicherheit der von einer Datenerhebung betroffenen Person. Die Datenschutzgrundverordnung (DSGVO) legt dieses Datenschutzprinzip als Schutzmaßnahme personenbezogener Daten in Art. 25 Abs. 1 DSGVO (Privacy by Design) und Art. 25 Abs. 2 DSGVO (Privacy by Default) fest.

Der Schutz der personenbezogenen Daten soll zum einen schon bei Entwicklung eines Datenverarbeitungssystems erreicht werden (Privacy by Design). Zum anderen sollen durch geeignete Voreinstellungen nur die absolut notwendigen Datenverarbeitungen mit der eingesetzten Technik getätigt werden (Privacy by Default).

Die Pflicht, diese zwei Prinzipien umzusetzen, gilt für jeden Verantwortlichen, der eine Software einsetzt bzw. nutzt. Das heißt, wenn ein Unternehmen beispielsweise einen Auftrag zur Erstellung einer mobilen Applikation erteilt, muss es dafür Sorge tragen, dass der Auftragnehmer sich bereits bei der Programmierung nach den Prinzipien Privacy by Design und Default richtet. Tut es dies nicht, droht ein Bußgeld von bis zu 10 Millionen Euro oder bis zu 2% des gesamten Jahresumsatzes des vergangenen Geschäftsjahres.

Doch eine Umsetzung der Prinzipien kann nicht nur ein Bußgeld verhindern, sondern auch tatsächliche Vorteile für ein Unternehmen generieren. Sofern bereits im Vorhinein die Prinzipien Privacy by Design und by Default berücksichtigt werden, muss nicht im Nachhinein eine ggf. kostspielige Anpassung des Systems erfolgen.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Das heutige Urteil des Bundesarbeitsgerichts (BAG, Urteil vom 27. Juli 2017, 2 AZR 681/16) befasste sich mit der Frage, ob personenbezogene Daten, die mittels Überwachungssoftware auf einem Arbeitsplatz-Rechner erhoben wurden, auch zur Beendigung eines Beschäftigungsverhältnisses verarbeitet werden dürfen.

Über einen Software-Keylogger, der auf dem vom Arbeitgeber zur Verfügung gestellten PC eines Mitarbeiters installiert wurde, wurden die Tastatureingaben des Mitarbeiters protokolliert sowie in regelmäßigen Abständen Screenshots vom Bildschirm angefertigt. Diese Maßnahme des Arbeitgebers erfolgte wohl heimlich oder zumindest gab der Arbeitgeber einen anderen Zweck für eine solche Datenverarbeitung an.

Anschließend wurden die Daten jedoch zum Zwecke der Verhaltenskontrolle des Mitarbeiters verwendet und das dadurch aufgedeckte Fehlverhalten des Mitarbeiters als Anlass zur Kündigung genommen.

Zwar besteht grundsätzlich ein berechtigtes Interesse des Arbeitgebers, die Begehung von Vertragsverletzungen zu seinen Lasten oder gar Straftaten durch den Mitarbeiter im Arbeitsverhältnis aufzudecken. Nach Sicht des Bundesarbeitsgerichts hatte der Arbeitgeber jedoch vor Einsatz der Überwachungssoftware keinen „auf Tatsachen beruhenden Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung“ (Pressemitteilung Nr. 31/17 des Bundesarbeitsgerichts). Das Bundesarbeitsgericht hat daher bereits die mit dieser anlass- und lückenlosen Überwachung einhergehende Datenerhebung als unzulässig erachtet, da dies gegen das Datenschutzprinzip der Verhältnismäßigkeit verstoße.

Somit dürfen die in unzulässiger Weise erhobenen Daten nicht zur Beendigung des Beschäftigungsverhältnisses verarbeitet werden. Und ohne die Daten lässt sich die Kündigung des Mitarbeiters nicht rechtfertigen.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Das zwischen der EU und Kanada geplante Abkommen zur Übermittlung von Fluggastdaten ist nach heutigem Urteil des EuGHs nicht mit den Grundsätzen der Datenschutzgrundverordnung (DSGVO) zu vereinbaren.

Das Abkommen sollte festlegen, dass sensible Daten der Fluggäste (Kreditkartendaten, Essenswünsche, Angaben zum Gepäck und Kommentare des Flugpersonals) ohne Anlass oder Verdacht für einen Zeitraum von 5 Jahren gespeichert und an Kanada übermittelt werden dürfen. Darüber hinaus hätte Kanada die Daten ebenfalls speichern, verarbeiten und sogar an andere Drittländer übermitteln dürfen.

Eine solche Regelung hätte die angestrebte Datenhoheit einer jeden betroffenen Person in hohem Maße beschnitten, wenn nicht ganz ausgesetzt.

Sofern die EU und Kanada weiterhin ein solches Abkommen anstreben, wird eine umfangreiche Anpassung der enthaltenen Regelungen notwendig. Es ist jedoch fraglich, ob eine Anpassung wirklich möglich ist. Denn um mit der DSGVO konform zu sein, müssen alle Grundsätze beachtet werden. Damit würde wohl aber der angestrebte Zweck des ursprünglichen Abkommens kaum noch erreicht werden können.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Auch im Rahmen der Datenschutzgrundverordnung (DSGVO) sollte der Arbeitgeber die Nutzung der betrieblichen Arbeitsmittel (Firmentelefon, dienstlicher PC oder mobile Endgeräte) und elektronischen Kommunikationsmedien (betrieblicher E-Mail-Account & Internetzugang, Internet-Telefonie) durch seine Mitarbeiter regeln. Denn die bereichsspezifischen datenschutzrechtlichen Vorschriften des TKG und TMG, welche die E-Privacy-Richtlinie (Richtlinie 2009/136/EG als Neufassung der Richtlinie 2002/58/EG) umsetzen, bleiben auch weiterhin gültig.

Sofern der Arbeitgeber seinen Mitarbeitern verbietet, dass die von ihm zur Verfügung gestellten Arbeitsmittel und Kommunikationsmedien auch privat genutzt werden, finden die Vorschriften des TKG und des TMG wegen § 3 Nr. 10 TKG und § 11 Abs. 1 Nr. 1 TMG keine Anwendung. Maßgeblich für die Verarbeitung von Beschäftigtendaten durch den Arbeitgeber, die anfallen, wenn die Mitarbeiter die betrieblichen Arbeitsmittel und Kommunikationsmedien nutzen, ist dann allein die Datenschutzgrundverordnung (DSGVO).

Der Arbeitgeber sollte jedoch seine Mitarbeiter über das Privatnutzungsverbot einschließlich der Folgen bei Zuwiderhandlung informieren (z.B. als Passus im Arbeitsvertrag) und diese über die Aufrechterhaltung des Privatnutzungsverbots regelmäßig belehren.

Sofern der Arbeitgeber die Privatnutzung gestattet, erbringt er nach Auffassung der Aufsichtsbehörden Telekommunikationsdienste i.S.v. § 3 Nr. 6 TKG bzw. Telemediendienste i.S.v. § 2 Nr. 1 TMG. Die dabei anfallenden Verkehrs- bzw. Nutzungsdaten sowie die Inhalte der Kommunikationsvorgänge unterliegen damit dem Fernmeldegeheimnis des § 88 TKG (§ 7 Abs. 2 S. 3 TMG verpflichtet auch Telemediendienstleister auf das Fernmeldegeheimnis).

Ein Zugriff auf Daten, die dem Fernmeldegeheimnis unterliegen, ist dem Arbeitgeber dann grundsätzlich nur noch mit Einwilligung der betreffenden Mitarbeiter erlaubt. Ausnahmen gelten nur gemäß §§ 88 Abs. 3, 100, 107 TKG.

Daher sollte der Arbeitgeber die Erlaubnis zur Privatnutzung möglichst beschränken (z.B. lediglich auf die private Nutzung des betrieblichen Internetzugangs) und vorab entsprechende Nutzungsregeln (über eine Betriebsvereinbarung oder Richtlinie) erstellen sowie Einwilligungen der Mitarbeiter wirksam einholen. Entsprechende Muster hierzu hat it.sec bereits für ihre Kunden erstellt.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Am 05.07.2017 wurde das Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) verkündet.

Mit Art. 1 DSAnpUG-EU wurde das Bundesdatenschutzgesetz (BDSG-Neu) neu beschlossen, um Regelungsaufträge und Handlungsoptionen (Öffnungsklauseln) aus der Datenschutzgrundverordnung (DSGVO) umzusetzen. Das BDSG-Neu wird am 25.05.2018 in Kraft treten.

Art. 7 DSAnpUG-EU tritt gemäß Art. 8 Abs. 2 DSAnpUG-EU jedoch bereits einen Tag nach Verkündung in Kraft und sieht bis zum 25.05.2018 noch eine Änderung des bisherigen Bundesdatenschutzgesetzes (BDSG) vor: Der nun neu eingeführte § 42b BDSG sieht einen Rechtsbehelf vor, welcher es den Aufsichtsbehörden für den Datenschutz bereits jetzt ermöglicht, gegen Angemessenheitsbeschlüsse oder Beschlüsse der Europäischen Kommission über die Anerkennung von Standardvertragsklauseln (zukünftig: „Standarddatenschutzklauseln“) vorzugehen: So können die Aufsichtsbehörden ab sofort das Bundesverwaltungsgericht veranlassen, beispielsweise den Durchführungsbeschluss zum EU-US Privacy Shield ((EU) 2016/1250 vom 12.07.2016) oder den Beschluss der EU-Kommission vom 05.02.2010 (2010/87/EU), der im Annex die Standardvertragsklauseln enthält, einer gerichtlichen Überprüfung zu unterziehen bzw. die Frage zur Gültigkeit eines solchen Beschlusses dem EuGH zur Entscheidung vorzulegen.

Die Einführung des § 42b BDSG ist damit die Konsequenz aus dem Safe Harbor-Urteil des EuGH vom 06.10.2015, in dem der EuGH festgestellt hat (vgl. Urteil im Volltext, insbesondere Rn 65, unter http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d2dc30dd54db4a4232764d349fe6a58e115fe8fb.e34KaxiLc3qMb40Rch0SaxuRbx10?text=&docid=169195&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=199052), dass es der nationalen Kontrollstelle an der Befugnis fehlte, die von ihr für begründet erachteten Beschwerden betroffener Personen gegen die Übermittlung ihrer personenbezogenen Daten in die USA auf Basis von Safe Harbor vor den nationalen Gerichten geltend machen zu können.

Im Kontext des Safe Harbor-Urteils des EuGH stellten die Aufsichtsbehörden ebenso die Zulässigkeit des alternativen Rechtsinstruments der Standardvertragsklauseln für Datenübermittlungen in die USA in Frage und kritisierten den nachfolgenden Angemessenheitsbeschluss basierend auf den Abreden zum EU-US Privacy Shield als unzureichend (vgl. ULD Schleswig-Holstein zum Urteil des Gerichtshofs der Europäischen Union vom 6. Oktober 2015, S. 4, https://www.datenschutzzentrum.de/uploads/internationales/20151014_ULD-Positionspapier-zum-EuGH-Urteil.pdf bzw. die Stellungnahme der Artikel-29-Gruppe (zukünftig: Europäischer Datenschutzausschuss), die aus Vertretern der Aufsichtsbehörden der Mitgliedstaaten besteht, abrufbar unter http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/20160726_wp29_wp_statement_eu_us_privacy_shield_en.pdf).

Es bleibt daher spannend, inwiefern die deutschen Aufsichtsbehörden nun diese Möglichkeit, die ihnen § 42b BDSG eröffnet, ausschöpfen und Feststellungsklage beim Bundesverwaltungsgericht einreichen werden.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Sofern Microsoft-Kunden mit Sitz in der EU/EWR die Online-Dienste der Microsoft Corporation (z.B. Office 365) nutzen, werden personenbezogene Daten, für die sie verantwortlich sind, von Microsoft im Auftrag verarbeitet und in Rechenzentren gespeichert, die sich u.a. auch in Drittstaaten befinden.

Die von Microsoft zur Verfügung gestellten Online Services Terms (OST) in ihrer jeweils aktuellen Form müssen daher den Vorgaben der Artikel 28 sowie 44 ff Datenschutzgrundverordnung (DSGVO) entsprechen.

Was ist dabei für die Verantwortlichen als schwierig anzusehen?

Der Aufbau des Textes ist eher undurchsichtig gestaltet:
Zum einen ist der Aufbau der OST insgesamt recht unübersichtlich gestaltet. Dies zeigt sich einmal dadurch, dass die einzelnen Bestandteile der notwendigen Bestimmungen im Sinne von Art. 28 Abs. 3 DSGVO nicht zusammenstehen, sondern im gesamten Text oder über Verweise zu anderen Verträgen, einzelnen Abschnitten oder Anhängen eher versatzstückhaft zu finden sind. So ergeben der eigentliche Volumenlizenzvertrag sowie die Data Processing Terms (DPT) (S. 11 ff der OST in der Version vom Juli 2017) den Vertrag zur Auftragsverarbeitung. Gleichzeitig sieht die Erfüllung des Volumenlizenzvertrags die Erfüllung der Standardvertragsklauseln (Anhang 3 zu den OST in der Version vom Juli 2017, auf welchen in den DPT verwiesen wird) vor (vgl. S. 11 ff der OST in der Version vom Juli 2017). Das erschwert eine schnelle Übersicht aller Regelungen erheblich. Alle wichtigen Bestimmungen müssen also aus verschiedenen Passagen und Bestimmungen herausgelesen und vom Verantwortlichen erst zu einem Gesamtbild zusammengesetzt werden. Zudem gelten die DPT nur für bestimmte Online-Dienste.

Die Angaben zu den Verarbeitungsstandorten sind teilweise widersprüchlich:
Zum einen gibt Microsoft an, dass die Daten in den USA, aber eben auch in allen Ländern verarbeitet werden können, in welchen das Unternehmen einen Standort bzw. eine Tochtergesellschaft hat (vgl. S. 9 der OST in der Version vom Juli 2017). Zum anderen wird je nach Online-Dienst ein gesonderter Ort genannt, an denen die Daten physisch gespeichert werden, entweder begrenzt auf ein sog. „Geo“ (z.B. Europäische Union oder Vereinigtes Königreich), die USA, das Land, in dem der Kunde seinen Mandanten-Account bereitstellt oder den Dienst konfiguriert, wo er bereitgestellt werden soll (vgl. S. 12 der OST in der Version vom Juli 2017), wenn nicht bei dem jeweiligen Online-Dienst zusätzliche Standorte gelten. Gleichzeitig wird über die Webseite http://www.microsoft.com/online/legal/v2/?docid=25&langid=de-DE der Speicherort am Sitz des Microsoft-Kunden festgemacht, also z.B., wenn der Sitz in der Europäische Union ist, werden Daten in Irland, den Niederlanden, Österreich, Finnland und den USA gespeichert. Die Standortangaben begrenzen sich zudem auf das Land, genaue Adressen werden nicht bekannt gegeben.
Zusammen mit den Standorten der zahlreichen eingesetzten Auftragsverarbeiter, sämtlichen Microsoft-Gesellschaften und den Rechenzentren an unbestimmten Orten eröffnet sich zugleich ein sehr großes wie auch für den Verantwortlichen undurchsichtiges Gebiet, in dem eine Verarbeitung stattfinden kann.

Ein Einspruch gegen den Einsatz weiterer Auftragsverarbeiter ist faktisch nicht möglich:
Weiterhin ist auch beachtlich, dass mit Abschluss des Vertrags der Verantwortliche in den OST zustimmt, dass Microsoft weitere Auftragsverarbeiter einsetzen darf, ohne die eingesetzten Dienstleister zu benennen oder auf die Webseite zu verlinken, wo die Liste der Auftragsverarbeiter bereitgestellt wird.
Microsoft stellt spätestens 6 Monate vor Bestimmung eines neuen Auftragsverarbeiters eine Liste mit den konkreten Daten dieser weiteren Verarbeiter zur Verfügung. Allerdings kann ein Einspruch des Verantwortlichen gegen einen dieser Verarbeiter dann nur durch eine Kündigung des Dienstes, welcher durch den weiteren Auftragsverarbeiter umgesetzt werden soll, wirksam gemacht werden. Sollte dieser Dienst ein Teil einer größeren Anwendung sein, stellt die Teilkündigung dann sogar eine Kündigung der gesamten Anwendung dar.
Sofern der Dienst also noch weiter genutzt werden soll, ist faktisch ein wirksamer Einspruch gegen den weiteren Auftragsverarbeiter nicht möglich.
Ob diese Auslegung des Einspruchs des Verantwortlichen mit der DSGVO konform ist, ist doch wenigstens fraglich.

Das Schriftformerfordernis wird nicht gewahrt:
Mit Art. 28 Abs. 9 DSGVO ist ein Abschluss des Vertrags zur Auftragsverarbeitung in Schriftform nicht mehr zwingend. In den OST werden jedoch auch die Standardvertragsklauseln zum Bestandteil des Vertrages, um insbesondere die mit der Nutzung der Online-Dienste verbundene Datenübermittlung in Drittstaaten abzusichern. Die Standardvertragsklauseln sind aber nur wirksam, wenn sie, wie im Annex zum Beschluss der EU-Kommission vom 05.02.2010 (2010/87/EU) vorgegeben, verwendet und nicht verändert werden. Durch die Unterschriftsfelder und in den Anhängen durch den Satz "Dieser Anhang ist Bestandteil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden“ deutet vieles darauf hin, dass der Abschluss der Standardvertragsklauseln der Schriftform bedarf. Es bleibt also fraglich, ob Standardvertragsklauseln mit der aufgedruckten Unterschrift durch den Corporate Vice President von Microsoft und ohne Unterschrift des Microsoft-Kunden in letzter Konsequenz wirksam einbezogen werden können.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Zum 18.06.2017 hat Twitter seine Datenschutzrichtlinie angepasst und damit sowohl Positives als auch Negatives für seine Nutzer erzeugt.

Zum Einen gibt es für den Benutzer nun in den Einstellungen der Anwendung die Möglichkeit, in höherem Maß über die von Twitter erhobenen Daten sowie deren Nutzung zu bestimmen. Und darüber hinaus auch die Möglichkeit, zu bestimmen, in welcher Form durch den Anbieter geworben und auf Daten auf dem Handy, sofern der Dienst mobil genutzt wird, zugegriffen werden darf. Also ob die geschaltete Werbung personalisiert werden soll oder nicht. Damit wird dem Nutzer eine höhere Kontrolle im Umgang mit seinen Daten ermöglicht.

Daneben wird aber die ‚Do-Not-Track‘-Funktion, welche von verschiedenen Browsern angeboten wird, nicht mehr unterstützt bzw. durch den Dienst überhaupt nicht mehr zugelassen. Mit dieser Funktion konnte der Nutzer ursprünglich in seinem Browser einstellen, dass er durch keinen Dienst nachverfolgt werden möchte. Eine solche klare Entscheidung für oder gegen das Tracking über den Browser erscheint benutzerfreundlich und gut verständlich. Alternativ bietet Twitter jetzt sehr detaillierte Einstellungen zur Privatsphäre in der Anwendung an. Dies birgt aber für den Nutzer ein höheres Risiko, aus den vielen gebotenen Wahlmöglichkeiten möglicherweise nicht die für ihn Vorteilhafteste auszuwählen. Zudem könnte dies dem Prinzip von Privacy by Default widersprechen, wenn die Nutzer die Einstellungen zum Schutz ihrer Daten erst noch vornehmen müssen und diese nicht schon voreingestellt sind.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

ADCERT Anwendbarkeit Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 9 DSGVO Audit Aufsichtsbehörde Auftragsverarbeitung Auskunftsrecht Automatisierte Einzelentscheidung Autsch BAG BDSG-Neu Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betrieblicher E-Mail-Account betrieblicher Internetzugang Betroffenenrechte BfDI BGH biometrische Daten Biometrische und genetische Daten Brexit Bundesarbeitsgericht Bußgeld Cloud CNIL Compliance Cookie Datenlöschung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutzgrundverordnung Datenschutzprinzipien Datenschutzverletzung Datenübermittlung Datenübermittlung in Drittstaaten Datenverarbeitung Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO dynamische IP-Adresse eCall-Technologie Einwilligung Einwilligungserklärung Entsorgung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative EU-Datenschutz-Grundverordnung EuGH Facebook Fahrzeugdaten Fahrzeuge Fernmeldegeheimnis Fluggastdaten Gemeinsam Verantwortliche Home Office Informationspflichten Informationssicherheit IP-Adresse IT-Forensik IT-forensische Untersuchung IT-Sicherheit Joint Control Kanada Konzern konzerninterner Datentransfer Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Marktortprinzip Meldepflicht Meldescheine Microsoft One Stop Shop Passwörter. 2016 Personalausweiskopien personenbezogene Daten Privacy by Default Privacy by Design Privacy Shield Privatnutzung Privatnutzungsverbot Profiling Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte der betroffenen Person Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Siegel Sony PSN Standardvertragsklauseln Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telemediendienst Telemediengesetz TKG TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe USA Vereinbarung Vernichtung von Datenträgern Verordnung (EU) 2015/758 Vertrag zur Auftragsverarbeitung Videoüberwachung Vorteile Webseite Webseiten Webtrecking Werbung Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 42a BDSG § 42b BDSG § 88 TKG

An dieser Stelle wollen wir von Zeit zu Zeit unsere Web-Logs ("blogs") pflegen und unsere Meinung zu bestimmten Themen kundtun.

Die einzelnen Posts stellen jeweils die Meinung des Autors dar und nicht zwangsläufig jene der it.sec. Die Inhalte sind stellen keine Beratung dar und übernehmen für die Inhalte keine Haftung.

Tags

Mon Tue Wed Thu Fri Sat Sun
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31