• Kündigungsschutzstreitigkeiten: Das Druckmittel Datenschutz, um Abfindungen rauszuschlagen oder zu erhöhen. Der Dreh mit dem Auskunftsanspruch – ist doch noch nicht vorbei. | Management-Blog
    https://blog.wiwo.de/management/2021/05/03/kuendigungsschutzstreitigkeiten-das-druckmittel-datenschutz-um-abfindungen

    3. Mai 2021, Autor: Claudia Tödtmann - Das Bundesarbeitsgericht (BAG) wollte wohl einen Trick vermasseln, den Anwälte von Gekündigten oder Kandidaten für Aufhebungsverträge anwenden: Den Wink mit dem Datenschutz, um in Wirklichkeit die Abfindung zu erhöhen oder überhaupt eine Abfindung zu bekommen, die einem gar nicht zusteht. Wie es aussieht, war der Versuch der BAG-Richter nur halbherzig.

    Das Bundesarbeitsgericht hat Arbeitnehmern eine Waffe aus der Hand geschlagen, vielleicht. Denn wenn man genau hinsieht, dann doch wieder nicht. Nicht so richtig. Eher nur ein bisschen. Denn: Das nächste Schlupfloch für clevere Anwälte von Angestellten, Führungskräften und Managern ist wahrscheinlich direkt daneben. Das werden die Juristen erkennen, es nutzen und dann ist wieder alles beim Alten. Die Waffe bleibt ihnen erhalten. Schluss ist jetzt zumindest mit dem „offensichtlichen Anspruch von Querulanten“, urteilt Philipp Byers, Arbeitsrechtler bei Watson Farley & Williams.

    Das probate Druckmittel gegen Arbeitgeber: Der DSGVO-Auskunftsanspruch

    Verwirrend? Nix verstanden? Kein Wunder, die Sache ist auch kompliziert. Aber das ist offenbar das Fazit. Die Waffe der Anwälte der Angestellten ist ein Anspruch auf Auskunft gegen ihren Arbeitgeber nach der Datenschutzgrundverordnung. Was scheinbar harmlos daher kommt und auf erstes Blick nichts zu tun hat mit Kündigungen, hat sich in den vergangenen ein, zwei Jahren zu einem probaten Druckmittel in Kündigungsstreitigkeiten entwickelt. Unternehmern ärgert dieser Auskunftsanspruch so sehr, dass sich die meisten lieber gleich freikaufen und eine Abfindung oder mehr Abfindung zu zahlen – statt ihn zu erfüllen.

    Doch der Reihe nach. Vor wenigen Tagen veröffentlichte das BAG eine Pressemitteilung mit der Überschrift „Erteilung einer „Datenkopie“ nach Art. 15 Abs. 3 DSGVO“. Es geht darin um einen Wirtschaftsjuristen aus Niedersachsen, der nicht das Recht habe auf einen voll umfassenden Auskunftsanspruch gegen seinen – sehr kurzzeitigen – Ex-Arbeitgeber nach der Datenschutzgrundverordnung (DSGVO).

    Geld – auch ohne Anspruch auf Abfindung

    Dieses Ansinnen, der Auskunftsanspruch nach der DSGVO, bringt Arbeitgeber nämlich an den Rand ihrer Nerven. Denn der Arbeitsaufwand dafür ist enorm – und enorm teuer. Alles aufzuspüren, wo der Name des Betreffenden auftaucht, jede einzelne Mail, kann Wochen dauern. Zumal Unternehmen ihrem Mitarbeiter nicht selbst noch zusätzliches Futter, Beweise, für einen Arbeitsrechtsstreit liefern wollen. Und sowieso weiß niemand, wie umfangreich der Anspruch auf Auskunft ist – sprich: wie viel Datensuche der Arbeitgeber auf sich nehmen muss.

    Teure Leute mit der aufwändige Suchen nach E-Mails beschäftigen
    Im Klartext: Was der Anwalt des Angestellten alles fordern kann, darüber streiten sich die Geister. Bislang ohne Ergebnisse. Im zweiten Schritt bemängeln die Betroffenen, dass das Unternehmen ihnen zu wenig ausgehändigt habe. Zumal: Gehört der Mitarbeiter schon zehn Jahre und länger zur Belegschaft, umso öfter kommt sein Name vor und umso länger dauert die Suche. Ganz abgesehen davon, dass nicht jeder Praktikant die Aufgabe übernehmen kann. Das müsse mindestens jemand mit rechtlichen Kenntnissen sein, der erkennt, wann etwas brisant ist, urteilt Philipp Byers, Arbeitsrechtler bei Watson Farley & Williams.

    Verhandlungsmasse ergattern mit dem Auskunftsanspruch

    Gewiefte Anwälte von Angestellten machen diesen DSGVO-Auskunftsanspruch schon automatisch geltend, um von vornherein den Druck auf den Arbeitgeber zu erhöhen. Als Verhandlungsmasse. Schließlich setzte man so die Unternehmen unter Zeitdruck und – wenn sie nicht pünktlich reagieren – droht ihnen obendrein ein Schadenersatzzahlung. Im Fall eines Düsseldorfers musste ein Unternehmen bereits 5000 Euro Schadenersatz an den Betroffenen zahlen – und trotzdem weiter Daten suchen und aushändigen (Arbeitsgericht Düsseldorf, Urteil vom 05.03.2020, Aktenzeichen 9 Ca 6557/18).

    Viele Unternehmen zahlen dann lieber gleich eine höhere Abfindung, um Ruhe zu haben vor langwierigen Streitereien. Denn klar ist ja auch: Es ist ja nicht einmal damit getan, vier Mitarbeiter eine Woche lang dafür abzustellen, um den Auskunftsanspruch zu erfüllen. Denn danach geht der Streit beim Gericht weiter nach dem Motto: Das Unternehmen habe aber nicht alle Daten rausgerückt. Das kann locker ein halbes Jahr dauern, denn das Gesetz verrät nichts Genaues und ein höchstrichterliches Urteil gibt es – noch immer – nicht, erzählt auch Arbeitsrechtler Sebastian Frahm von Frahm Kuckuk in Stuttgart schon hier im Management-Blog.

    Scheuklappen-Denken statt Unternehmen und Arbeitnehmern Orientierung zu geben

    Genau deshalb hatten die Anwälte, die typischerweise nur Unternehmen vertreten und aus Großkanzleien kommen, auf ein BAG-Urteil gehofft, das für Klarheit sorgt. Doch tatsächlich wirft die Pressemitteilung – die Urteilsbegründung wird erfahrungsgemäß noch Monate dauern – mehr Fragen auf, als dass sie Antworten gibt, kritisiert Byers. Wo beispielsweise die Geschäftsgeheimnisse beginnen und die Dokumente nicht herausgegeben werden brauchen, bleibe eine große Frage. Die BAG-Richter haben es sich – einmal mehr – leicht gemacht und nur eine einzige Frage beantwortet. Statt für umfassende Klarstellung zu sorgen, Arbeitnehmern wie Arbeitgebern Klarheit zu bieten und ihrer Aufgabe, für Rechtsfortbildung zu sorgen, nachzukommen.

    Führen sie dann noch aus, „das brauchten wir hier nicht beantworten“ wirkt das für die Praktiker wie Spott und Hohn. Denn Arbeitsrecht ist Richterrecht und wenn die Richter sich auf ihre Scheuklappen berufen und damit zu immer neuen, teuren und mühsamen Prozessen auffordern, wirkt das nicht nur arrogant, sondern ist für Bürger – die mit ihren Steuergeldern die Arbeitsgerichte finanzieren – auch nicht mehr verstehbar.

    Praktische Probleme: Durchforsten von E-Mail-Fächern der Arbeitskollegen

    Immerhin ist der Arbeitsaufwand langwierig und sehr kleinteilig. Denn mit einer einfachen Volltextsuche nach dem Namen des Betroffenen sei es ja nicht getan, sagt Arbeitsrechtler Byers. Die Sucherei produziert neue Datenschutzprobleme, wenn die Postfächer von den Kollegen durchforstet werden müssen und damit in deren Persönlichkeitsrechte eingegriffen wird, erzählt der Münchner. Denn der Auskunftsanspruch darf kein Einfallstor fürs Durchforsten aller Kollegen-Mails sein. Sein Fazit nach der BAG-Entscheidung: Das Einzige was jetzt definitiv nicht mehr funktioniert, ist die Forderung „ich begehre Auskunft über alles mit meinem Namen“, stellt Byers klar. Oder: „Alle in meinem Postfach eingegangenen und verschickten E-Mails, inklusive Kundenkorrespondenz“. Denn dieses Ansinnen sei zu pauschal und unbegrenzt. Das zumindest brauchen Unternehmen nicht mehr erfüllen.

    Welche Versuche weiter laufen dürften, weil die Richter uns im Unklaren lassen

    Verlangen werden Arbeitnehmeranwälte immer noch dies: Zum Beispiel alle E-Mails mit dem Namen des Betroffen und Schlüsselbegriffen wie zum Beispiel Pflichtverstoß, Compliance oder Kündigung, wo es etwa um seine Position als Arbeitnehmer geht, wenn er Compliance-Vorwürfe bekam. Zum Beispiel wenn ihm sexuelle Belästigung vorgeworfen wird, aber nicht mehr, um Hinweisgeber zu schützen und die Aufklärung nicht zu erschweren. Byers Fazit: Die Forderung nach gezielten Informationen mit Suchbegriffen kann durchaus „hinreichend bestimmt“ sein, wie es das BAG verlangt. Sicher ist aber auch das nicht.

    Eine weitere Möglichkeit, die Arbeitnehmeranwälte nun probieren werden: Die Suche zeitlich einzugrenzen, beispielsweise vom 1.Januar 2019 bis 31. Dezember 2020. Oder auch diese Variante dürfte eine Strategie der Arbeitnehmeranwälte werden, so Byers: Wenn der Betroffene erfahren will, was andere über ihn geschrieben haben wie Kollegen, der Vorgesetzte oder die Personalabteilung. Denn das würde womöglich ihm Munition im Kündigungsschutzprozess liefern.

    Im Klartext: Arbeitnehmer-Anwälte brauchen nur ihren Text ändern und haben immer noch ein formidables Druckmittel, nur weil die BAG-Richter zu wenige Antworten geben. Die Unternehmen stehen dann immer noch vor der Entscheidung: Lassen sie es auf einen jahrelangen Gerichtsstreit vielleicht durch mehrere Instanzen ankommen oder zahlen sie, damit Ruhe ist? „Arbeitgeber haben die Wahl zwischen Pest und Cholera“, meint Byers. Geben sie alles heraus, ist die Menge groß und das Risiko hoch, wenn etwas fehlt, dann begehen sie einen Datenschutzverstoß und der Arbeitnehmer kann Schadenersatz verlangen.

    Sowieso steht der Arbeitgeber dann vor immer neuen Detailfragen: Gibt er alles raus, wie E-Mails mit Preisen für bestimmte Kunden, die andere nicht bekommen sollen – darf er die Informationen schwärzen? Welche anderen vertraulichen Textteile darf er überhaupt schwärzen, ehe er sie herausgibt? Byers: „Ich rate immer, absolut vertrauliche Dokumente nicht herauszugeben und sich lieber auf Geheimhaltungsbedürfnisse zu berufen.“ Oder, wenn es nur der letzte Absatz ist, das Dokument rauszugeben und den Teil zu schwärzen. Hin wie her: es macht eine Höllenarbeit. Und sichert Wirtschaftskanzleien weiterhin für erfreuliche Mehrarbeit.
    Hier die Pressemeldung des BAG:

    https://juris.bundesarbeitsgericht.de/cgi-bin/rechtsprechung/document.py?Gericht=bag&Art=pm&Datum=2021&nr=25141&pos=3&

    #Arbeit #Recht #Datenschutz #DSGVO

  • Fremdes Auto: Gekoppeltes Smartphone hinterlässt Spuren
    https://www.berliner-zeitung.de/zukunft-technologie/fremdes-auto-gekoppeltes-smartphone-hinterlaesst-spuren-li.151230

    Komfortable neues Entertainement-System im Taxi? Klasse, aber aufpassen, dass der Chef nicht alle Kontakte, Termine und Anrufe mitlesen kann.Im Übrigen muss bei EInführung solcher System eine gesonderte Vereinbarung über Datenschutz und zulässige Nutzung geschlossen werden, zumindest wenn es einen Betriebsrat im Unternehmen gibt.

    8.4.2021 - Carsharing nutzen und die Musik der eigenen Playlist hören? Kein Problem. Die persönlichen Daten später löschen ist auch möglich. Allerdings nicht ganz leicht.

    Wer sein Smartphone mit dem Infotainment-System eines gemieteten Autos koppelt, muss wissen: Dabei werden meist persönliche Daten wie das Telefonbuch im Fahrzeug gespeichert. Auch wenn die Daten von nachfolgenden Fahrerinnen und Fahrern nicht ohne weiteres ausgelesen werden können, sollte man darauf achten, sie zu löschen, bevor man den Wagen zurückgibt, rät der Autoclub ADAC.

    Denn automatische Löschroutinen haben etwa Autovermietungen oder Carsharing-Anbieter bislang nur teilweise eingeführt. Am praktikabelsten löscht man, indem das Infotainment-System des jeweiligen Fahrzeugs auf die Werkseinstellungen zurücksetzt wird. Dabei braucht man allerdings Geduld: Je nach Automodell muss man tief in die Einstellungsmenüs vordringen, um diese Funktion zu finden. Es gibt sie aber fast immer. Der Nachteil dabei: Das lange Suchen erhöht den Mietpreis. 

    Wer nicht fündig wird, sollte laut ADAC wenigstens die Funktion „Entkoppeln des Smartphones“ aufrufen, die meist recht einfach in den Menüs zu finden sei. Dabei wird nach Angaben des Clubs nur die Verbindung zwischen Auto und Smartphone getrennt. Ansonsten bleiben Teildaten – wie Ziele im Navigationsgerät – im Wagen gespeichert.

    In Berlin war StattAuto (heute Greenwheels) der erste Anbieter für Carsharing
    Autofahrer, die im gemieteten Fahrzeug native Apps wie Spotify nutzen, sollten sich gesondert von diesen Diensten abmelden. Native Apps sind Anwendungen klassischer Smartphone-Apps, die bereits im Infotainment-System des Fahrzeugs vorinstalliert sind. Verbrauchern, denen nur die telefonische Erreichbarkeit wichtig ist, rät der Club, die Datenübermittlung bei der Kopplung des Smartphones mit dem Infotainment-System des Autos abzulehnen.

    In Deutschland ging es mit dem Carsharing-Angebot übrigens 1988 los, in Berlin war StattAuto (heute Greenwheels) der erste Anbieter. Inzwischen gibt es den Unterschied zwischen stationsbasierten Fahrzeugen und dem Geschäftsmodell, dass Autos innerhalb eines festgelegten Gebiets einer Stadt gemietet und abgestellt werden können. Die Zahl der Anbieter ist in den vergangenen Jahren kontinuierlich gestiegen, auch das Angebot wurde erweitert. So können längst nicht nur Autos für einen gewissen Zeitraum gemietet werden. Dabei, das zeigen Befragungen, sind die Bundesbürger allerdings noch skeptisch, was die Nutzung des Angebots angeht. Nur 12 Prozent der Bevölkerung haben sich dafür entschieden, an Carsharing teilzunehmen, die große Mehrheit der Nutzer (91 Prozent) ist mit dem Angebot zufrieden oder sogar sehr zufrieden. 

    Der Branchenverband Bitkom ließ in einer Umfrage auch herausfinden, was die Leute antreibt, auf Sharing-Angebote zu setzen. Das Ergebnis: Insgesamt meinen drei Viertel (75 Prozent), dass neue Mobilitätsangebote einen Beitrag zum Umweltschutz leisten, gut zwei Drittel (64 Prozent) sagen, dass man mit ihnen für weniger Geld als bisher ans Ziel kommt.

    #Datenschutz #Privatsphäre #Überwachung

  • Portland beschließt Verbot von Gesichtserkennung auch durch private...
    https://diasp.eu/p/11633561

    Portland beschließt Verbot von Gesichtserkennung auch durch private Firmen

    Von Januar an darf biometrische Gesichtserkennung in der größten Stadt Oregons in Geschäften, Banken, Restaurants oder Arztpraxen nicht mehr genutzt werden. Portland beschließt Verbot von Gesichtserkennung auch durch private Firmen #Datenschutz #Gesichtserkennung #Verbot #Videoüberwachung

  • Bundestag: Neue Regeln gegen Abmahnmissbrauch verabschiedet - Golem.de
    https://diasp.eu/p/11631553

    Bundestag: Neue Regeln gegen Abmahnmissbrauch verabschiedet - Golem.de

    Das neue Gesetz soll vor allem kleine Unternehmen vor Abzocke mit Abmahnungen schützen, beispielsweise beim Verstoß gegen die DSGVO. Bundestag: Neue Regeln gegen Abmahnmissbrauch verabschiedet - Golem.de #Abmahnung #Bundesregierung #ChristineLambrecht #DSGVO #Datenschutz #Datensicherheit #EU #Internet #PolitikRecht #Security

  • Warum es bei künftigen Datenpannen in der Medizin keine Schuldigen ...
    https://diasp.eu/p/11560235

    Warum es bei künftigen Datenpannen in der Medizin keine Schuldigen geben wird

    Bald entscheidet der Bundesrat über das Patientendatenschutzgesetz. Doch die aktuelle Fassung schützt vorallem die Verantwortlichen möglicher ­Datenpannen. Warum es bei künftigen Datenpannen in der Medizin keine Schuldigen geben wird #Bundesregierung #Datenschutz #Datenschutzrecht #Digitalisierung #Partientendatenschutzgesetz #Politik #Recht #eHealth #elektronischeGesungheitskarte

  • Komplettüberwachung aus der Taxi-Zentrale: Datenkrake Taxi-Ruf - taz.de
    https://taz.de/Komplettueberwachung-aus-der-Taxi-Zentrale/!5070913

    So sah es vor der DSGVO aus. Und jetzt?

    20. 3. 2013 - BREMEN taz | Bremer TaxifahrerInnen werfen ihrer Zentrale „grobe Verstöße“ gegen Datenschutzbestimmungen vor. Sie erstellt lückenlose Bewegungsprofile der Taxen, speichert ohne Einwilligung Gespräche mit den Kunden und den Fahrern und gibt Daten weiter. Der Taxi-Ruf Bremen ermögliche dadurch „die totale Überwachung“, heißt es in einer Stellungnahme der Interessensgemeinschaft Bremer TaxifahrerInnen (IG). Rückendeckung bekommt die IG vom Bremer Landesdatenschutzbeauftragten für Beschäftigte, Harald Stelljes.

    „Die lückenlose Überwachung ist unzulässig“, sagt Stelljes. Konkret geht es um ein computergestütztes Fahrvermittlungssystem, das der Taxi-Ruf Bremen seit drei Jahren einsetzt. Über das Ortungssystem GPS kann die Zentrale damit den Standort der Taxe in Echtzeit nachvollziehen, die genaue Route wird 20 Wochen lang gespeichert.

    Auch wird alles protokolliert, was der Fahrer in sein Display eingibt, ob er eine Pause macht, das Fahrzeug frei oder mit einem Fahrgast besetzt ist. Ebenso Adressen und Fahrziele der Kunden. Und: Alle diese Informationen können auch „Dritte“, also die Taxi-Unternehmer jederzeit online abrufen. Ihnen gehören die Fahrzeuge, sie sind die Arbeitgeber der TaxifahrerInnen.

    Für Datenschützer Stelljes ist es durchaus einsichtig, dass für die Fahrvermittlung die GPS-Daten genutzt werden. Er aber schlägt vor, dass der Taxi-Ruf die Routen nur noch eine Stunde lang speichert. Gespräche, ob mit Kunden oder Fahrern, dürften nur nach ausdrücklicher Einwilligung der Sprechenden aufgenommen werden.

    Und: Den Taxi-Unternehmern selbst sollte als Arbeitgebern der Zugriff auf die Daten komplett entzogen werden. „Es übt einen unzumutbaren Überwachungsdruck auf die Arbeitnehmer aus.“ Denn die Fahrer wüssten nicht, wann sie wie beobachtet werden und müssten jederzeit damit rechnen. „Das ist gesetzlich nicht zulässig“, so Stelljes.

    Ganz offen spricht Wolfgang Verbeek, zweiter Vorsitzender des Taxi-Rufs, darüber, dass die Daten gespeichert werden. Dies zu ändern allerdings, ist für ihn „nicht vorstellbar“. Die Routen-Speicherung sei „ein alter Hut“: „Der Unternehmer muss gegenüber dem Finanzamt belegen, wie er sein Unternehmen führt“, so Verbeek. „Früher lief das eben mit einem Fahrtenbuch.“ Die Speicherung der Taxibewegungen in der Zentrale sei wichtig, um noch im Nachhinein Quittungen ausstellen zu können, Reklamationen zu bearbeiten und auch praktisch, wenn ein Fahrgast zum Beispiel sein Handy verloren habe und sich nur an die Strecke erinnert.

    Dass alle Gespräche aufgezeichnet werden, sei Anrufern tatsächlich teilweise nicht mitgeteilt worden – ein „technischer Defekt“, so Verbeek, in den nächsten Tagen solle der behoben werden. Erst die Einwilligung eines jeden Anrufers abzuwarten, würde allerdings „zu viel Zeit“ kosten.

    „Wer mit der Aufzeichnung nicht einverstanden ist, kann ja auflegen“, so Verbeek. Das System schütze den Fahrer vor Straftätern, und: „Wir sind die einzige Taxi-Ruf-Zentrale mit eigenem Datenschutzbeauftragtem und Datenschutzbericht“, so Verbeek.

    Für Marco Bark, Vorsitzender der Interessensgemeinschaft Bremer TaxifahrerInnen, ist die Sache klar: „Das ist alles kein Argument, um Straftaten zu begehen.“

    #Taxi #Datenschutz #Bremen

  • Im Rausch der #Daten
    https://diasp.eu/p/8461105

    Im Rausch der #Daten

    Sehr sehenswerter Film, die Zitate hier beschreiben ganz gut worum es geht, zwei Aspekte werden besonders beleuchtet, zum einen der lange Weg zur #Datenschutzgrundverordnung und zum anderen der Einblick darin wie Politik in der EU funktioniert und wie #Lobbyismus auf die Gesetzgebung stattfindet.

    Der #Film öffnet die Türen zu einer undurchdringlichen Welt und begleitet den politischen Kampf für ein neues #Datenschutzgesetz in der #EU. Eine fesselnde und hochbrisante Geschichte über eine Handvoll Politiker, #Lobbyisten, Diplomaten und Bürgerrechtler, die um den Schutz der Privatsphäre in der digitalen Welt ringen. Zweieinhalb Jahre hat David Bernet den Gesetzgebungsprozess der EU-Datenschutzreform begleitet und zu einem abendfüllenden Dokumentarfilm verdichtet, der die (...)

  • 10 Fragen und Antworten zum Thema Datenschutz im Kfz | Die Landesbeauftragte für den Datenschutz Niedersachsen
    https://www.lfd.niedersachsen.de/themen/datenschutz_im_kfz/kfz-und-datenschutz-148981.html

    1) Was hat das Auto mit Datenschutz zu tun?

    Die Autobranche ist im Umbruch: In wenigen Jahren wird das „connected car“ Standard sein: es wird nicht nur über Internetverbindungen verfügen, sondern auch in der Lage sein, Verkehrszeichen zu erkennen und mit anderen Autos, z.B. zum Umfahren eines Staus oder zum Auffinden einer Parklücke, zu kommunizieren. Und autonom fahrende Autos fangen an, Marktreife zu erlangen. Die Zukunft hat schon begonnen.

    Was hat diese Entwicklung mit Datenschutz zu tun? Sehr viel: Schon zum jetzigen Zeitpunkt werden in einem durchschnittlichen Kfz dutzende Datenkategorien erhoben und verarbeitet. Das Kfz der Zukunft wird – in jeder seiner Entwicklungsstufen - massive Datenströme verarbeiten. Nicht nur die Datenmenge und die Übertragungsgeschwindigkeit, sondern auch die Anzahl an erhobenen personenbezogenen Daten wird enorm ansteigen. Hierbei muss man sich klarmachen, dass das vernetzte Kfz wie kaum ein anderes Produkt in der Lage sein wird, ein umfassendes Persönlichkeitsprofil zu erstellen: Tagesrhythmus, Bewegungsprofile, emotionale Komponenten (vorausschauender oder abrupter Fahrer?), Körpergröße (Sitzeinstellungen), Anzahl an Mitfahrern (Anzahl geschlossener Gurte), Telefonlisten, Musikgeschmack… Aus der Zusammenlegung mehrerer Profile ließen sich sodann gemeinsame Treffen herauslesen etc.

    2) Wem „gehören“ alle diese Daten?

    Sind die Daten anonymisiert und damit in keiner Weise, auch nicht durch Verknüpfungen, rückverfolgbar, so dürfen sie ohne Einschränkung genutzt werden. Ein Beispiel wären Fehlermeldungen, die vom Hersteller anonymisiert für Statistikzwecke und Produktverbesserungen verwendet werden.

    Anders ist es bei personenbezogenen Daten, die im Zusammenhang mit dem Kfz anfallen. Daten sind dann personenbezogen, wenn sie sich auf eine „bestimmte Person“ oder zumindest auf eine „bestimmbare Person“ beziehen. Eine Person ist dann „bestimmbar“, wenn sie z.B. über die Fahrgestellnummer oder weiteres Zusatzwissen identifizierbar ist. In diesen Fällen liegen also „personenbezogene Daten“ vor. Damit gilt in diesen Fällen das Bundesdatenschutzgesetz (BDSG). Das BDSG wiederum enthält eine klare Aussage: Die Daten „gehören“ dem Betroffenen. Auf das Kfz bezogen: Die Daten „gehören“ dem Fahrer bzw. Halter des Kfz.

    Dem BDSG unterfallen insbesondere auch „rein technische Daten“, die auf den ersten Blick „weniger interessant“ erscheinen, aber personenbeziehbar sind. Beispielsweise erscheint die Anzahl der Bremsvorgänge auf den ersten Blick „weniger spannend“. Auf einen konkreten Zeitraum bezogen gibt diese Information jedoch Aufschluss darüber, ob der – identifizierbare – Fahrer ein Stadtfahrer ist oder ob er auf dem Land wohnt etc. Sofern diese Informationen ohne Zeitbezug gespeichert werden und regelmäßig wieder überschrieben werden, lassen sie sich zumindest durch ein enges Ausleseintervall einem konkreten Zeitraum zuordnen. Somit könnten bereits mit relativ wenigen Informationen einfache Persönlichkeits­profile gebildet werden.

    Ein weiteres Beispiel: Fahrprofile, die durch Erfassen der Lenkbewegung (Kurven) und der Geschwindigkeit (Landstraße? Autobahn?) gebildet werden können, könnten mit Landkarten abgeglichen und so einem Start- und Endziel zugeordnet werden. Auf diese Weise könnten aus nicht-geobezogenen Daten die Geobezüge (Standortdaten) nachträglich generiert werden.

    Die Begehrlichkeiten für solche potentiellen Datensammlungen sind groß. Kreditkartenfirmen, Scoringunternehmen, potentielle Arbeitgeber, Versicherungen… die Liste von möglichen Interessenten ließe sich problemlos fortsetzen.

    Das BDSG sorgt dafür, dass personenbezogene Fahrdaten nicht zu einem „freien Wirtschaftsgut“ werden: Gemäß § 4 Abs. 1 BDSG dürfen diese Daten nur dann genutzt werden, wenn entweder eine gesetzliche Regelung dies erlaubt oder wenn der Betroffene (Fahrer/Halter) durch Einwilligung bzw. Vertrag wirksam zugestimmt hat.

    3) was machen die Datenschutz Aufsichtsbehörden?

    Auf der Konferenz der Datenschutzbeauftragten des Bundes und der Länder im Oktober 2014 wurde eine Entschließung verabschiedet, die konkrete Forderungen an die Automobilindustrie richtet. Hierbei wurde klargestellt, dass Datenverarbeitungen entweder vertraglich vereinbart sein müssen oder eine ausdrückliche Einwilligung vorliegen muss. Hierzu gehört zumindest vollständige und praxisnahe Transparenz. Aber auch bei einer vertraglich vereinbarten oder von einer Einwilligung getragenen Datenübertragung muss der Fahrer bzw. Halter vom Hersteller in die Lage versetzt werden, eine solche Datenübermittlung zu erkennen, zu kontrollieren und ggf. zu unterbinden. Zudem muss Wahlfreiheit für datenschutzfreundliche Systemeinstellungen und die umfangreiche Möglichkeit zum Löschen eingeräumt werden.

    Aufbauend auf diesen Forderungen haben die Datenschutzbehörden des Bundes und der Länder sowie der Verband der Automobilindustrie (VDA) eine Gemeinsame Erklärung zu „Datenschutzrechtlichen Aspekten bei der Nutzung vernetzter und nicht vernetzter Fahrzeuge" erarbeitet.

    4) Worum geht es in dieser gemeinsamen Erklärung?

    In der Gemeinsamen Erklärung der Datenschutzbehörden des Bundes und der Länder mit dem Verband der Automobilindustrie (VDA) wurden gemeinsame Positionen festgelegt zu folgenden Themen:

    Personenbezogenheit der im Fahrzeug anfallenden Daten
    Festlegung des Zeitpunkts der Datenerhebung
    Bestimmung der verantwortlichen Stelle
    Rechtsgrundlagen für den Datenumgang im Kfz
    Datenschutzrechtliches Auskunftsrecht gegenüber dem Hersteller
    Hoheit über die Datenverarbeitungsvorgänge im Fahrzeug

    5) Was ist der „Dreh -und Angelpunkt“ in der gemeinsamen Erklärung?

    „Dreh -und Angelpunkt“ in der gemeinsamen Erklärung ist die Personenbezogenheit. Es ist ausdrücklich festgehalten, dass die bei der Kfz-Nutzung anfallenden Daten jedenfalls dann personenbezogen im Sinne des BDSG sind, wenn eine Verknüpfung mit der Fahrzeugidentifikationsnummer oder dem Kfz- Kennzeichen vorliegt.

    6) Wer ist ausweichlich der Gemeinsamen Erklärung „Verantwortliche Stelle“?

    Hierbei ist zu differenzieren, und zwar nach dem Zeitpunkt der Datenerhebung. Dieser Zeitpunkt ist unterschiedlich je nachdem, ob es sich um Kraftfahrzeuge handelt, bei denen eine Datenspeicherung nur innerhalb des Fahrzeuges stattfindet („offline“), oder ob eine Übermittlung von Daten aus dem Fahrzeug heraus erfolgt („online“), wie etwa bei der Übermittlung und Speicherung von Fahrzeugdaten auf Backend-Servern: Bei „Online“-Autos sind diejenigen als verantwortliche Stellen anzusehen, die personenbezogene Daten erhalten, d. h. in der Regel die Hersteller und gegebenenfalls dritte Dienste-Anbieter. Insbesondere wenn Hersteller Zusatzdienstleistungen für das Kfz anbieten und dabei in ihren Backend-Servern Daten speichern, sind sie verantwortliche Stelle für diese Datenverarbeitung. Bei „Offline“-Autos wird derjenige, der personenbezogene Fahrzeugdaten aus dem Fahrzeug ausliest (d.h. erhebt) und anschließend verarbeitet, zur verantwortlichen Stelle. Hierbei wird es sich in der Regel um Werkstätten handeln.

    7) Besteht bei „Offline-Kfz“ ein Schutz der Daten schon vor dem ersten Werkstattbesuch?

    Bei „Offline-Kfz“ ist bereits vor dem ersten Werkstattbesuch - ohne vorherige Erhebung - von einer Datenspeicherung im Sinne des BDSG auszugehen. Eine Erhebung liegt mangels Erfüllung des Tatbestandes des § 3 Abs. 3 BDSG noch nicht vor; gleichwohl fallen anlässlich der Kfz-Nutzung Daten an, die im Fahrzeug abgelegt werden. Diese Daten müssen geschützt werden und machen auch eine Sicherung des Rechts auf informationelle Selbstbestimmung erforderlich. Auch wenn die Hersteller hierbei nicht bereits beim „Entstehen“ der Daten verantwortliche Stelle sind, trifft diese unter anderem nach dem Gedanken „Privacy by Design“ dennoch eine Verantwortung im Hinblick auf den Datenschutz. Dies gilt insbesondere, weil der Hersteller im Rahmen seiner technischen Gestaltungsmöglichkeiten (Art und Umfang von Schnittstellen, Zugriffsmöglichkeiten, Verfolgung der in § 3a BDSG niedergelegten Grundsätze von Datenvermeidung und -sparsamkeit) Einfluss auf die zeitlich nach hinten verlagerte Erhebung und Verarbeitung hat. Sofern es um die technischen Gestaltungsmöglichkeiten geht, sind daher die Hersteller auch bei dieser Fahrzeugkategorie als Ansprechpartner für die Datenschutzaufsichtsbehörden anzusehen.

    8) Wann ist Datenerhebung -und Verarbeitung zulässig?

    Die Zulässigkeit der Datenerhebung und -verarbeitung kann sich insbesondere aus Vertrag (§ 28 Abs. 1 S. 1 Nr. 1 BDSG) oder aus einer Einwilligung ergeben, die den Voraussetzungen des § 4a BDSG genügt. Wie die Informationen über Datenerhebungs- und -verarbeitungsvorgänge aufbereitet sein müssen, um Teil des Vertrags oder Grundlage für eine ggf. relevante informierte Einwilligung sein zu können (ausführliche Informationen im Sinne eines Verfahrensverzeichnisses oder strukturierte, überblicksartige Informationen), bleibt Frage des Einzelfalls. Der Erstkäufer kann die notwendigen Informationen jedenfalls vom Verkäufer (Hersteller oder herstellergebundener Händler) erhalten. Grundsätzlich sind die wichtigsten Informationen zur Datenverarbeitung in allgemein verständlicher Form auch in der Borddokumentation nachlesbar vorzuhalten. Sie wird vom Hersteller erstellt.Die Borddokumentation ist nicht nur für den Erstbesitzer wichtig. Sie erlangt gerade auch für Zweitbesitzer, also die Käufer von Gebrauchtwagen, eine besondere Bedeutung. Denn bei Zweitbesitzern besteht keine individuelle rechtliche Beziehung (Einwilligung oder Vertrag) zum Hersteller. Eine hinreichende Information in der Borddokumentation ist daher essentiell. Generell gilt: Wichtig ist vor allem Transparenz. Transparenz bedeutet, dass auch der technische Laie nachvollziehbare Erläuterungen zur Verfügung gestellt bekommt.

    9) Habe ich als Autofahrer ein Auskunftsrecht?

    Gegenüber dem Hersteller besteht ein unentgeltliches Auskunftsrecht des Halters über seine durch den Hersteller erhobenen und gespeicherten personenbezogenen Daten nach § 34 BDSG. Vor allem beim „Online-Kfz“ ist das relevant. Demgegenüber besteht beim „Offline-Kfz“ kein solches Auskunftsrecht nach § 34 BDSG gegenüber dem Hersteller, da der Hersteller nicht über diese Daten verfügt. Die Fahrzeughalter von „Offline“-Autos haben die Möglichkeit des Auslesens von Daten, ggf. mithilfe von Sachverständigen, was nicht zwingend unentgeltlich sein muss. Allerdings verlangt das Transparenzgebot, dass auch bei Offline-Kfz der Betroffene sich unentgeltlich und ohne sachverständige Hilfe über die Grundsätze der Datenverarbeitungsvorgänge einschließlich zumindest der Art der verarbeiteten personenbezogenen Daten beim Hersteller informieren kann.

    10) Was können die Verbraucher tun?

    Die Kunden sind mächtiger, als sie glauben. Wichtig ist, dass sie im jetzigen Entwicklungsstadium den Autoherstellern gegenüber deutlich machen, dass sie – beim vernetzten Fahren oder wenn sie beim künftigen autonomen Auto gar das Lenkrad aus der Hand geben – die Kontrolle über ihre Fahrdaten behalten wollen. Autos werden nicht für Labore, sondern für Kundenwünsche hergestellt. Die Verbraucher müssen deutlich machen, dass sie eine Datenschleuder nicht akzeptieren, dass eine Datenschleuder also unverkäuflich sein wird. Nur dann werden praxisnahe, verbraucherfreundliche Konzepte für den Datenschutz im Kfz angeboten werden, die über die – für sämtliche Produkte geltenden - gesetzlichen Regelungen hinausgehen.
    Die Landesbeauftragte für den Datenschutz Niedersachsen
    Prinzenstraße 5
    30159 Hannover
    Telefon 0511 120-4500
    Fax 0511 120-4599
    poststelle@lfd.niedersachsen.de

    #Deutschland #Datenschutz #DSGVO #Verkehr #big_data

  • Via Piratenpartei Hessen: "Die #Schufa sollte in einem ersten Schri...
    https://diasp.eu/p/7138256

    Via Piratenpartei Hessen: „Die #Schufa sollte in einem ersten Schritt gesetzlich verpflichtet werden, jede Datensatzänderung den Betroffenen kostenlos mitteilen zu müssen. Dann hat sich der Spuk bald beendet... https://t.co/KbQ5f2EdlC #Piraten #Schrems #Banken #Scoring #Finanzen #Politik #Datenschutz MW“ Scoring: Hessischer Datenschützer deckt Pannen bei der Schufa auf

  • Cloud Act: Die Gefahr des grenzenlosen Datenzugriffs (http://www.ze...
    https://diasp.eu/p/7050768

    Cloud Act: Die Gefahr des grenzenlosen Datenzugriffs

    US-Ermittler erhalten durch ein neues Gesetz Zugriff auf die Server von amerikanischen Unternehmen im Ausland. Firmen wie Microsoft wollten das ursprünglich vermeiden.

    #datenschutz #cloud #act #gefahr #datenzugriff #us-ermittler #ermittler #usermittler #gesetz #zugriff #server #unternehmen #ausland #news #bot #rss

  • Bayern führt die Unendlichkeitshaft ein!! Personen, die keine Straf...
    https://diasp.eu/p/6967870

    Bayern führt die Unendlichkeitshaft ein!!

    Personen, die keine Straftat begangen haben, aber im Verdacht stehen, dies zu tun, können in Zukunft präventiv in Gewahrsam genommen werden!

    http://www.sueddeutsche.de/bayern/bayern-gefaehrder-gesetz-verschaerft-1.3595274

    #Staatstrojaner #Bundeskriminalamt #Online-Durchsuchungen #Telekommunikationsüberwachung #Überwachung #Trojaner #datenschutzrecht #Strafverfolgung #Internet-Telefonate IT-Unsicherheit #Bundestrojaner #Quellen-TKÜ #FinFisher-Hersteller Gamma #Informationstechnik #Sicherheitsbehörden #durchsuchen #Rechtsgrundlagen #Netzpolitik #BND #NSA #IT-Security #Malware #Firewall (...)

  • Vortrag zur Datenschutzgrundverordnung (EU DSGVO) (https://www.host...
    https://diasp.eu/p/6926479

    Vortrag zur Datenschutzgrundverordnung (EU DSGVO)

    Am Wochenende des 10. und 11. März 2018 fanden die zwanzigsten Chemnitzer Linux Tage statt. Einige tausend Besucher fanden den Weg zu über 90 #Vorträgen und #Workshops. Für die Linux-Community war die Konferenz ein wichtiges und erfolgreiches Jubiläum. Hostsharing eG war an dem Ereignis mit einem virtuellen Infostand auf Twitter unter dem Hashtag #vCLT2018 und einem Vortrag zur EU #Datenschutzgrundverordnung #DSGVO beteiligt.

    Hostsharing-Vorstandsmitglied Dr. Martin Weigele ging im Vortrag nach einem kurzen Überblick über #Hostsharing zunächst auf die Frage ein, warum die EU DSGVO z.B. bei Hostsharing anwendbar ist, wie das Zusammenspiel zwischen EU und deutschem Recht funktioniert, und was die grundlegende Konfliktlage zwischen technischen (...)

  • OpenSchufa: Schufa, öffne dich! (http://www.zeit.de/digital/datensc...
    https://diasp.eu/p/6878176

    OpenSchufa: Schufa, öffne dich!

    Kein guter Schufa-Score, keine Wohnung? Die private Firma ist mächtig und wie sie die Bonität genau berechnet, ist geheim. Ein Crowdsourcing-Projekt will das ändern.

    #schufa #datenschutz #openschufa #kein #schufa-score #score #schufascore #wohnung #firma #bonität #crowdsourcing-projekt #crowdsourcing #projekt #news #bot #rss

  • Uber: iPhone-Fingerprinting flog auf – Rüffel vom Apple-Chef | Mac & i
    https://www.heise.de/mac-and-i/meldung/Uber-iPhone-Fingerprinting-flog-auf-Rueffel-vom-Apple-Chef-3691517.html

    24.04.2017
    Die App des Fahrdienstes hat auf eine Fingerprinting-Technik gesetzt, um einzelne iPhones trotz Löschens der App weiter identifizieren zu können. Ein Geofence sollte sicherstellen, dass Apple-Mitarbeiter das regelwidrige Verhalten nicht entdecken.

    Uber hat Apple vor über zwei Jahren ausgetrickst, um einzelne iPhones permanent zu identifizieren: Eine Fingerprinting-Technik sollte sicherstellen, dass sich die Smartphones auch nach Deinstallation der App und dem Löschen des Gerätes weiter einzeln erkennen lassen, wie die New York Times berichtet. Ein Geofence um Apples Firmenzentrale im kalifornischen Cupertino habe die verwendete Technik zudem vor den Mitarbeitern und App-Store-Prüfern des iPhone-Konzerns verbergen sollen – das Fingerprinting sei aber letztlich dennoch aufgeflogen.

    Rauswurf aus dem App Store angedroht

    Apple-Chef Tim Cook hat deshalb dem Bericht zufolge Uber-CEO Travis Kalanick Anfang 2015 einbestellt und damit gedroht, die Uber-App wegen des Verstoßes gegen die App-Richtlinien aus dem App Store zu werfen – Kalanick habe sich gefügt. Die Zeitung schrieb ursprünglich, Uber habe die iPhones auch nach der Deinstallation der App “getrackt”, die Passage wurde inzwischen aber in “identifiziert und getaggt” korrigiert.

    Der Fahrdienst Uber ist bekannt für seine aggressiven Praktiken.
    Welche Technik zur permanenten Identifikation einzelner Geräte eingesetzt wurde, bleibt unklar – vermutlich kamen private Frameworks in iOS zum Einsatz, die Apps von Dritt-Entwicklern nicht nutzen dürfen. Apple versucht seit längerem, verschiedene Methoden zu unterbinden, um Geräte eindeutig zu identifizieren: Den Unique Device Identifier (UDID) – ein feste Hardware-ID – dürfen Apps schon seit Jahren nicht mehr nutzen.

    Uber setzt weiterhin auf Fingerprinting

    Laut Uber sollte das Fingerprinting Betrugsfälle verhindern: Mit einem gestohlenen iPhone und geklauten Kreditkartendaten hätten Betrüger teure Uber-Fahrten gebucht und das Gerät anschließend gelöscht und neu aufgesetzt, um die Masche erneut vorzunehmen. Auch dem Klau von Benutzer-Accounts solle dies vorbeugen. Man setze deshalb weiterhin eine Art von Geräte-Fingerprinting ein, erklärte ein Uber-Sprecher gegenüber Techcrunch.

    Anfang des Jahres wurde bekannt, dass Uber die mit der App erfassten Metadaten auch verwendet hat, um etwa Polizisten und andere Beamte zu erkennen, die gegen illegale Uber-Dienste vorgehen könnten. In jenen Städten, in denen Uber-Chauffeure ohne Genehmigung tätig sind, werden die Ordnungshüter dann nicht von Uber befördert, hieß es.

    [Update 24.04.2017 13:30 Uhr] Die alte Uber-App habe wohl mit Hilfe eines privaten Frameworks die Seriennummer des iPhones ausgelesen, erklärt der Sicherheitsforscher Will Strafach auf Twitter. Uber konnte dann bei erneuter Installation feststellen, ob die App zuvor bereits schonmal auf diesem Gerät verwendet wurde. Ein derartiger Zugriff von Apps auf die Seriennummer sei von Apple entweder mit iOS 8 oder iOS 9 unterbunden worden, so Strafach.

    #Uber #Sicherheit #Datenschutz #Disruption