25.7.2018

Bundesregierung zur DSGVO

 

Die Aufsichtsbehörden des Bundes und der Länder haben gemeinsame Kurzpapiere zur neuen Datenschutz-Grundverordnung (DSGVO) veröffentlicht, die als Auslegungshilfe bei der praktischen Anwendung und als Einführung in einzelne Themenkomplexe dienen (unter Vorbehalt einer zukünftigen Auslegung durch den Europäischen Datenschutzausschuss). Für kleine Vereine hat zum Beispiel das Bayerische Landesamt für Datenschutzaufsicht Handreichungen ins Netz gestellt. Zur viel diskutierten Veröffentlichung von Fotos stellt die Bundesregierung in ihrer Antwort auf den Seiten 8 bis 12 darauf ab, dass Artikel 85 DSGVO den Fortbestand nationaler Regelungen ermöglicht und daher die Vorschriften im Kunsturhebergesetz und in den Landespressegesetzen dazu nach wie vor gelten. 

 

Nachtrag vom 17.9."Recht auf Vergessen" überwiegt nicht das grundsätzliche öffentliche Informations­interesse, so das Oberlandesgericht Frankfurt am Main. 

 

Nachtrag vom 11.10.: "Die EU will bis Jahresende die ersten Strafen gegen Unternehmen verhängen, die gegen die Datenschutzverordnung verstoßen."


6.6.2018

DSGVO: Der Entsolidarisierungseffekt

 

Manche wissen es vielleicht noch aus der Jugend: Man engagiert sich im Turnverein oder im Schachclub und schaut am Tag nach einem Turnier ganz gespannt aufs Schwarze Brett oder in die Zeitung, wer wie viele Punkte erreicht hat und kommt darüber in regen Austausch mit den anderen Mitgliedern. Oder am Schauplatz Seniorenheim: Über die Hauszeitung erfahren die Bewohner, wer gerade 90 Jahre alt wird oder wer gestorben ist und nimmt dies zum Anlass zu gratulieren respektive zu kondolieren. Es fördert konstruktiv die gedankliche und emotionale Beteiligung am Gruppengeschehen; das Umfeld stimuliert so die zwischenmenschliche Kommunikation und wirkt einem Rückzugsverhalten entgegen. 

 

Was die neue Datenschutzgrundverordnung (DSGVO) im Vereinsbereich bewirkt, lässt sich jetzt am Landeskinderturnfest in Gießen ablesen: Nur fünf von elf Wettkämpfen am Sonntagabend waren überhaupt online zu finden – „viele Listen davon allerdings völlig unbrauchbar, da Vor- und Nachname häufig vollständig anonymisiert waren“.  Die Maßgabe: Jene, die keine von den Erziehungsberechtigten unterschriebene Datenschutzerklärung eingereicht hatten, wurden anonymisiert. Der Hessische Turnverband habe sich in Absprache mit einer Anwaltskanzlei auf diese Vorgehensweise geeinigt, um „nach Inkrafttreten des neuen Gesetzes den absolut sicheren Weg“ zu gehen. Kinder, Eltern und Veranstalter seien „unglücklich“. Und die Gießener Allgemeine, in der das zu lesen ist, erklärt: „Der Grund, warum vom Landeskinderturnfest keine Ergebnisse in dieser Zeitung zu finden sind, hat einen Namen: Datenschutzgrundverordnung. Ja, Datenschutz ist ... wichtig. Nein, Datenschutz bei öffentlichen Sportveranstaltungen ist völliger Unfug, denn es führt die Berichterstattung darüber – für Medienvertreter, aber auch für Zeitungsleser, Sportler und Angehörige – ad absurdum.“ Es bleibe zu hoffen, dass für die Zukunft mehr Sicherheit durch eine sinnvolle Rechtsprechung seitens der Gerichte entsteht.

 

Nur: Wer will denn der erste Verein sein, der nicht in vorauseilendem Gehorsam übervorsichtig reagiert und damit das Risiko kostenpflichtiger Abmahnungen eingeht, damit die Gerichte überhaupt Anlass haben tätig zu werden? Die absehbare Reaktion ist zum Beispiel in einem Forum ersichtlich: „Unser Schachverein betreibt eine kleine Webpräsenz mit Wordpress und es liegen keinerlei kommerzielle Belange (Werbung, Nutzerdatenerfassung) vor. Trotzdem ist mir die rechtssichere Herangehensweise unter der neuen DSGVO ziemlich unklar. Eine rechtliche Überprüfung ist aus Kostengründen nicht darstellbar. Allerdings erscheint mir ein Argumentieren mit ‚Ist ja mehr oder weniger privat, keine kommerziellen Interessen‘ allein nicht abmahnsicher genug. Da keiner der rechtlich Verantwortlichen in (%) unserem Verein das Kostenrisiko tragen kann und will, steht hier unter Umständen durchaus die Abschaltung des Webauftritts im Raum.“ 

 

In Bezug auf Veröffentlichung von Daten in Senioren-Heimzeitungen ergab eine Anfrage beim schleswig-holsteinischen Landesdatenschutzzentrum in Kiel folgende Antwort: „Eine Veröffentlichung entsprechender Geburtstagsdaten bedarf grundsätzlich der Einwilligung der Geburtstagskinder (...). Einer Verarbeitung dieser Daten auf rein gesetzlicher Basis können schutzwürdige Belange der betroffenen Personen entgegen stehen (Einzig in Betracht kommende gesetzliche Grundlage wäre § 28 … BDSG. Allerdings scheidet auch diese Grundlage aus dem genannten Grund aus.). Die personenbezogenen Daten Verstorbener werden nicht von den Vorgaben des Bundesdatenschutzgesetzes erfasst. Die Regelungen gelten nur für lebende natürliche Personen. Allerdings kann aus dem postmortalen Persönlichkeitsrecht heraus von den Erben bzw. Angehörigen (theoretisch) noch ein Interesse bestehen, von einer Veröffentlichung dieser Daten abzusehen. Daher müssten Sie sich mit diesen Angehörigen entsprechend einigen.“ 

 

Der zu erwartende Aufwand hierfür bestimmt die Entscheidung besser gar nichts mehr über die Bewohner zu veröffentlichen; was den Zweck einer Hauszeitung – Information und geselligen Austausch untereinander zu fördern – konterkariert. Die Datenschutzbeauftragten der Bundesländer  pflegen je eine eigene Sicht auf die datenschutzrechtliche Lage. Vom baden-württembergischen Landesbeauftragten für den Datenschutz ist in der Broschüre „Datenschutz im Verein“ nach der DSGVO zu lesen: „In vielen Vereinen ist es üblich, personenbezogene Informationen an einem ‚Schwarzen Brett‘ oder in Vereinsblättern bekannt zu geben. Obwohl sich das ‚Schwarze Brett‘ meist auf dem Vereinsgelände befindet und das ‚Vereinsnachrichtenblatt‘ in erster Linie für Vereinsmitglieder bestimmt ist, handelt es sich hier um die Übermittlung dieser Angaben an einen nicht überschaubaren Kreis von Adressaten, die davon Kenntnis nehmen können, weil nie ausgeschlossen werden kann, dass auch Fremde die Anschlagtafeln auf dem Vereins-gelände oder das Mitteilungsblatt lesen. Personenbezogene Daten dürfen ... nur offenbart werden, wenn es für die Erreichung des Vereinszwecks unbedingt erforderlich ist - was etwa bei Mannschaftsaufstellungen oder Spielergebnissen angenommen werden kann - oder wenn der Verein oder die Personen, die davon Kenntnis nehmen können, ein berechtigtes Interesse an der Veröffentlichung haben und Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Letzteres ist stets bei Mitteilungen mit ehrenrührigem Inhalt der Fall, etwa bei Hausverboten, Vereinsstrafen und Spielersperren.“

 

Bei Veröffentlichungen in Verbandszeitschriften oder Pressemitteilungen sei „darauf zu achten, dass die schutzwürdigen Belange der betroffenen Vereinsmitglieder gewahrt werden“. Das schutzwürdige Interesse Betroffener überrage stets das Informationsinteresse der Allgemeinheit. Auffällig an der Sache ist: Dort, wo seit September 2015 das Schutz-bedürfnis der Bevölkerung für Leib und Leben berechtigterweise gestiegen ist, quittiert das die Medienpolitik mit rabenschwarzer Verachtung in Form des Stigmas „besorgte Bürger“. Während nun an jener Stelle, wo etwa Vereinsmitglieder – jedenfalls bisher – in der Regel gar kein Schutzinteresse haben, der Rechtsstaat die absurdesten Geschütze auffährt. Der psychologische Effekt wird das zwischenmenschliche Miteinander in gemeinschaftlichen Bezügen belasten – letztlich aufgrund der blockierenden wie Misstrauen verursachenden Rechtsunsicherheit auch auf Kosten von kreativem Ideenreichtum.  

 

Siehe auch: "Die Kommunen üben an der Verordnung Kritik – wie etwa die Stadtverwaltung von Schwalmstadt, die einen riesigen Dokumentationsaufwand beklagt. Verunsichert sind auch die Vereine. Ihre Vertreter 'tappen im Dunkeln' und fragten sich ständig, ob sie schon einen Fehler gemacht hätten." Der deutschstämmige Paypal-Mitgründer Peter Thiel: Die DSGVO ist die "Chinesische Mauer von Europa". (Quelle: DWN)

 

Aus einer Leserzuschrift zu diesem Artikel: "Die Datenschützer aus Baden-Würtemberg sehen nur Gefahren. Sie sehen nicht, dass die Veröffentlichung von Siegerlisten und Siegerfotos der Motivation dient und damit das Selbstbewusstsein von Kindern stärkt ... Wenn die Baden-Würtemberger Datenschützer Eltern wären, würden sie ihren Kindern jeden Sport verbieten, denn eigentlich ist ja alles gefährlich und kann zum Ertrinken, Brüchen, Muskelzerrungen usw. führen. Das Problem mit solcher Art 'Schützern' ist, dass sie das Kind mit dem Bade ausschütten, weil sie das Risiko nicht betrachten, das man eingeht, wenn man jedes Risiko vermeidet. Und diese 'Schützer' findet man in Deutschland überall." 

 

Nachtrag vom 12.6.: "Im Düsseldorfer Stadtteil Kaiserswerth bekommen die Grundschüler dieses Jahr handschriftliche Zeugnisse" - wegen der DSGVO. Und: "Mittelständler und Vereine geben dem wachsenden Druck scharfer Datenschutzregeln nach und schließen ihre Präsenzen im Internet, vor allem bei Facebook. Es bestehe 'erhebliche Rechtsunsicherheit'."

 

Nachtrag vom 3.8.: "Wegen des Datenschutzes hat die Kita St. Katharina in Dormagen-Hackenbroich Erinnerungsmappen an die Vorschulkinder verteilt, in denen alle anderen Kinder-Gesichter unkenntlich gemacht wurden." 


1.6.2018

Yahoo sperrt User aus

 

Unverschämter geht's überhaupt nicht mehr - folgende Beschwerde wurde gerade der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW übersandt: 

 

Beschwerde im Sinne der DSGVO

 

hiermit reiche ich Beschwerde ein gegen den Telekommunikationskonzern Verizon Deutschland (Sitz: Dortmund). Es handelt sich um eine Niederlassung der GmbH Verizon Communications Inc. mit Hauptsitz in New York City. Ich bitte um Ihre Unterstützung zur Beseitigung eines gravierenden Verstoßes gegen die DSGVO.

 

Über Verizon wird das Kerngeschäft von Yahoo unter der Dachmarke Oath betrieben. Beim jüngsten Versuch mich in meinen Yahoo-E-Mail-Account einzuloggen bekam ich Folgendes zu lesen: „Nach EU-Datenschutzgesetzen benötigen wir (Oath), unsere Anbieter und Partner Ihre Einwilligung, um auf Ihrem Gerät Cookies zu speichern, um Ihre Such-, Standort- und Browsing-Daten zu verwenden … Erhalten Sie personalisierte Werbung von Partnern unseres Vertrauens … Wenn Sie unseren Partnern gestatten, Cookies zu nutzen, um ähnliche Daten zu erfassen wie wir auf unseren Seiten, können diese … Ihre Interaktionen mit ihnen messen, melden und analysieren … Wählen Sie ‚OK‘, um unsere Produkte weiter zu nutzen, sonst können Sie nicht auf unsere Seiten und Apps zugreifen.“

 

Alternativ konnte man lediglich „Optionen verwalten“ anklicken und bekam dann dieses vorgesetzt: „Um Yahoo sowie weitere Webseiten und Apps von Oath weiterhin zu nutzen, müssen Sie uns das Setzen von Cookies gestatten, um Ihre Daten zu erfassen … Scrollen Sie nach unten und klicken Sie auf ‚OK‘, um fortzufahren, andernfalls können Sie unsere Webseiten und Apps nicht mehr nutzen.“

 

Zu den angepriesenen „Partnern unseres Vertrauens“  gehört das Medium „Huffington Post“, dem ich also gestatten muss auf meinem Gerät Cookies zu speichern, wenn ich Zugang zu meinem E-Mail-Account haben will. Da weder die „Huffington Post“ noch weitere Partner des Unternehmens mein Vertrauen genießen und ich folglich nicht auf den Button „OK“ geklickt habe, bin ich nun von meinem Account ausgeschlossen und kann weder meine E-Mails lesen noch diesen Account löschen. 

 

Dieses nötigende Vorgehen steht der von der Datenschutz-Grundverordnung beabsichtigten Stärkung der Verbraucherrechte, konkret insbesondere der Wahlfreiheit, konträr entgegen. Neben dem Nachgehen meiner Beschwerde bitte ich darum mich darüber aufzuklären, inwiefern via einstweiliger Verfügung der Zugang zu meinem E-Mail-Account wiederhergestellt werden kann, ohne dass ich diesen weitreichenden Eingriffen in meine Privatsphäre zustimmen muss. Da die Angelegenheit auch zahlreiche andere Yahoo-User betrifft, wird diese Beschwerde-Eingabe in geeigneter Weise von mir öffentlich gemacht.

 

Siehe zum Thema Verizon auch diesen Beitrag oder jenen Artikel aus 2014: "Obwohl die Kommunikationsinfrastrukturen des Bundestags und der Bundesregierung voneinander unabhängig sind, ist es kein Zufall, dass beide Verfassungsorgane mit Verizon zusammenarbeiten." Noch im selben Jahr sei der Vertrag gekündigt worden. 

 

Nachtrag vom 19.6.:

Gestern kam die Nachricht: "Bezüglich Ihres Anliegens hinsichtlich des Telekommunikationsdienstleisters Verizon Deutschland kann ich Ihnen leider nicht weiterhelfen, da ich nicht zuständige Aufsichtsbehörde bin. Diese ist Die Bundesbeauftragte für den Datenschutz." Meine Eingabe ist dorthin weitergeleitet. Der Vorgang ist korrekt, ich hatte diese Info übersehen: "Im nicht-öffentlichen Bereich ist die Bundesdatenschutzbeauftragte ausschließlich zuständig für Telekommunikations- und Postunternehmen."

 

Nachtrag vom 3.9.: 

Die Antwort von der Bundesdatenschutzbeauftragten:

Sehr geehrte Frau Baumstark,

hiermit bestätige ich den Eingang Ihres Schreibens vom 1.7.2018. Dieses wird unter dem o. g. Aktenzeichen geführt. Bitte entschuldigen Sie meine verzögerte Antwort.

Im Zuge der Bearbeitung Ihres Schreibens bei der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) werden personenbezogene Daten von Ihnen bei uns verarbeitet. Die Einzelheiten dazu können Sie der unten stehenden Datenschutzerklärung der BfDI entnehmen. 

Die seitens YAHOO (Teil der Oath Inc.) kommunizierten Änderungen ihrer AGB und ihrer Datenschutzbestimmungen sind mir bekannt. 

Als Bundesbeauftragte für den Datenschutz und die Informationsfreiheit bin ich zuständig, soweit – wie bei E-Mail-Dienstleistern der Fall – für die geschäftsmäßige Erbringung von Telekommunikationsdiensten Daten von natürlichen oder juristischen Personen erhoben, verarbeitet oder genutzt werden (§ 115 Absatz 4 Satz 1 Telekommunikationsgesetz). Diese Zuständigkeit umfasst allerdings ausschließlich die Kontrolle datenschutzrechtlicher Vorschriften. Die Zulässigkeit von Klauseln in AGB sowie der Zugang zu E-Mail-Konten sind indes nicht nach Datenschutzrecht, sondern nach Zivilrecht zu beurteilen. Hierzu kann ich Sie nicht beraten. Gerne können Sie sich diesbezüglich an die Verbraucherzentralen wenden. 

Die datenschutzrechtliche Seite wird bereits von mir geprüft. Dies betrifft insbesondere die Frage, ob Oath seinen Mitteilungs- und Informationspflichten den Nutzern gegenüber nachgekommen ist und ob die von den Nutzern eingeholten Einwilligungen wirksam sind. Die Prüfung wird noch einige Zeit in Anspruch nehmen, da Oath seinen Sitz in Irland hat. Sobald meine Bewertung abgeschlossen ist, werde ich mich unaufgefordert wieder mit Ihnen in Verbindung setzen.

Können Sie mir bitte noch Ihre betroffene E-Mail-Adresse bei Yahoo mitteilen? 

Mit freundlichen Grüßen

 

Meine erneute Anfrage:

...wenn sich Ihre Prüfung auch dahingehend erstreckt, ob "die von den Nutzern eingeholten Einwilligungen wirksam sind", und sich herausstellen sollte, dass sie das nicht sind, dann muss doch Yahoo davon absehen und ich könnte mich wieder ohne Einwilligung einloggen? Ich warte Ihre Prüfung ab und hoffe, dass Sie nicht vergessen, mich über das Ergebnis zu informieren. Meine betroffene E-Mail-Adresse bei Yahoo ist: xxx Danke für Ihre Nachricht, S. Baumstark 


28.5.2018

Datenverkauf der Deutschen Post

 

Ein Fall für die DSGVO? Die Deutsche Post Direkt GmbH hat einzelnen Parteien vor der Bundestagswahl 2017 straßenbezogene Infos und Daten über die Parteiaffinität von bundes-deutschen Haushalten verkauft. "Das Unternehmen soll für ca. 20 Millionen Häuser mit rund 34 Millionen Haushalten in Deutschland über mehr als 1 Milliarde Einzeldaten verfügen. Es verarbeitet personenbezogene Informationen und Daten im Rahmen der Vorgaben des Bundesdatenschutzgesetzes und gibt diese nur anonymisiert weiter." Für besondere Ange-bote an politische Parteien arbeite man mit dem Meinungsforschungsinstitut dimap und einem Marketing-Institut zusammen. Alle Bürger sind mit Adresse automatisch in den Post-Direkt-Datenbanken gespeichert, es sei denn, sie widersprechen der Weitergabe ihrer Daten für Werbe-zwecke ausdrücklich. "Zudem kauft die Deutsche Post Direkt GmbH statistische Daten von Behörden." Die Datenschutzbehörde  NRW prüft diesen Adresshandel. 

 

Nachtrag vom 11.6.: DSGVO: "Behörde prüft Geschäftsgebaren der Schufa"


25.5.2018

Laufend Aktuelles zur DSGVO...

 

...bietet heise online unter diesem Link. Weiterführend dann zum Beispiel: "Dutzende Webseiten von vor allem regionalen US-Zeitungen sind für die meisten Europäer derzeit nicht zu erreichen. Mit einem Hinweis auf die DSGVO werden sie ausgesperrt." Oder zum DSGVO-Absurditätenkabinett: "Die Rechtsanwaltskammer Düsseldorf kapituliert vor der DSGVO und schaltet ihre Internetseite einfach ab."

 

Weitere Folgen der DSGVO: "Mehrere freiwillige Feuerwehren haben ihre Blogs geschlossen, mit Hilfe derer sie ihren dringend benötigten Nachwuchs rekrutierten. Die Verantwortlichen haben Angst vor Klagen, weil Jugendliche unter 16 den Blog ohne Einwilligung ihrer Eltern nicht mehr lesen dürfen." Beispiele bei den DWN...


8.5.2018

Frage auf Abgeordnetenwatch an rechtspolitischen Sprecher der FDP

 

Sehr geehrter Herr Dr. Martens,  

in Ihrer Funktion als ehemaliger Staatsminister für Justiz und Europa sowie als aktueller rechtspolitischer Sprecher der FDP-Bundestagsfraktion schreibe ich Sie bezüglich der DSGVO an, die offiziell am 25. Mai in Kraft tritt. Zahlreiche private Blogger mit eigener Website sind verunsichert. Laut Presse in Print und Internet müssen auch sie den neuen Bestimmungen gerecht werden. Der Großteil davon hat aber weder die Zeit noch die juristische Hintergrundbildung, um hier Rechtssicherheit zu erlangen. Es kann auch nicht sein, dass Privatpersonen womöglich Hunderte von Euro investieren müssen, damit sie mit externer sachkundiger Hilfe gesetzliche Vorschriften umsetzen können. Meine Frage an Sie: Werden Sie dafür sorgen, dass bloggende Bürger in Kürze kompakte, leicht verständliche – also barrierefreie – und zuverlässige Erklärungen über die geforderten Änderungen auf der Website Ihrer Partei oder jener der Bundesregierung zu lesen bekommen?

31.5.2018

Antwort von Jürgen Martens (FDP)

Sehr geehrte Frau Baumstark, 

vielen Dank für Ihre Nachricht. Im Moment erreichen uns eine Reihe von Schreiben verschiedener Akteure, die im Hinblick auf die Anwendung der Datenschutz-Grundverordnung ab dem 25. Mai 2018 besorgt sind. Wir können ihre Besorgnis nachvollziehen. Es ist aus Sicht der Freien Demokraten erschreckend, warum es die Bundesregierung in den letzten zwei Jahren nicht geschafft hat, das deutsche Recht umfassend an die Datenschutz-Grundverordnung anzupassen und insbesondere die Frage zu klären, welche Regelungen für Betreiber von Websites Anwendung finden. Die Unsicherheit über die Rechtslage schadet allen, die mit dem neuen Recht zukünftig umgehen müssen, aber auch dem wichtigen Anliegen, die informationelle Selbstbestimmung heute und in Zukunft zu gewährleisten. Erst vor Kurzem hat das Bundesinnenministerium auf seiner Website hierzu eine Stellungnahme veröffentlicht. Wir werden uns als Freie Demokraten dafür einsetzen, dass die Umsetzung der DSGVO so unkompliziert wie möglich erfolgt und darüber hinaus die nötigen und erforderlichen Erklärungen zur Verfügung gestellt werden. 


8.5.2018

Im Würgegriff der Datenschutzverordnung

 

„Mit den Bürgern in Europa kann man offenkundig alles machen.“ Die DWN beziehen sich damit auf die neue Datenschutzverordnung der EU (DSGVO) und titeln: „Europas Bürger verhalten sich wie Untertanen in einer Diktatur.“ Über die absurden Vorschriften toben zwar alle: „aber man beugt sich“. Warum? Es drohen bei Nichtumsetzung Strafen bis zu 20 Millionen Euro. Auf zweifelhafter Grundlage – in der EU sei inzwischen die Kommission der eigentliche Gesetzgeber und nicht das Parlament – werde „eine üble Praxis“ in einen „rosaroten Nebel gehüllt“: Europaweit rätselt man nun, was mit dieser oder jener vagen Formulierung gemeint sein könnte und wie sie anzuwenden ist. Für Unternehmen sei die DSGVO ein „Würgegriff“. Andererseits wirke sie gerade dort nicht, wo Bürger einen Schutzbedarf haben, etwa bei der Abwehr von E-Mails obskurer Absender.  

 

Nachtrag vom 16.5.: Interview zur DSGVO mit EU-Kommissarin Věra Jourová.