• Kündigungsschutzstreitigkeiten: Das Druckmittel Datenschutz, um Abfindungen rauszuschlagen oder zu erhöhen. Der Dreh mit dem Auskunftsanspruch – ist doch noch nicht vorbei. | Management-Blog
    https://blog.wiwo.de/management/2021/05/03/kuendigungsschutzstreitigkeiten-das-druckmittel-datenschutz-um-abfindungen

    3. Mai 2021, Autor: Claudia Tödtmann - Das Bundesarbeitsgericht (BAG) wollte wohl einen Trick vermasseln, den Anwälte von Gekündigten oder Kandidaten für Aufhebungsverträge anwenden: Den Wink mit dem Datenschutz, um in Wirklichkeit die Abfindung zu erhöhen oder überhaupt eine Abfindung zu bekommen, die einem gar nicht zusteht. Wie es aussieht, war der Versuch der BAG-Richter nur halbherzig.

    Das Bundesarbeitsgericht hat Arbeitnehmern eine Waffe aus der Hand geschlagen, vielleicht. Denn wenn man genau hinsieht, dann doch wieder nicht. Nicht so richtig. Eher nur ein bisschen. Denn: Das nächste Schlupfloch für clevere Anwälte von Angestellten, Führungskräften und Managern ist wahrscheinlich direkt daneben. Das werden die Juristen erkennen, es nutzen und dann ist wieder alles beim Alten. Die Waffe bleibt ihnen erhalten. Schluss ist jetzt zumindest mit dem „offensichtlichen Anspruch von Querulanten“, urteilt Philipp Byers, Arbeitsrechtler bei Watson Farley & Williams.

    Das probate Druckmittel gegen Arbeitgeber: Der DSGVO-Auskunftsanspruch

    Verwirrend? Nix verstanden? Kein Wunder, die Sache ist auch kompliziert. Aber das ist offenbar das Fazit. Die Waffe der Anwälte der Angestellten ist ein Anspruch auf Auskunft gegen ihren Arbeitgeber nach der Datenschutzgrundverordnung. Was scheinbar harmlos daher kommt und auf erstes Blick nichts zu tun hat mit Kündigungen, hat sich in den vergangenen ein, zwei Jahren zu einem probaten Druckmittel in Kündigungsstreitigkeiten entwickelt. Unternehmern ärgert dieser Auskunftsanspruch so sehr, dass sich die meisten lieber gleich freikaufen und eine Abfindung oder mehr Abfindung zu zahlen – statt ihn zu erfüllen.

    Doch der Reihe nach. Vor wenigen Tagen veröffentlichte das BAG eine Pressemitteilung mit der Überschrift „Erteilung einer „Datenkopie“ nach Art. 15 Abs. 3 DSGVO“. Es geht darin um einen Wirtschaftsjuristen aus Niedersachsen, der nicht das Recht habe auf einen voll umfassenden Auskunftsanspruch gegen seinen – sehr kurzzeitigen – Ex-Arbeitgeber nach der Datenschutzgrundverordnung (DSGVO).

    Geld – auch ohne Anspruch auf Abfindung

    Dieses Ansinnen, der Auskunftsanspruch nach der DSGVO, bringt Arbeitgeber nämlich an den Rand ihrer Nerven. Denn der Arbeitsaufwand dafür ist enorm – und enorm teuer. Alles aufzuspüren, wo der Name des Betreffenden auftaucht, jede einzelne Mail, kann Wochen dauern. Zumal Unternehmen ihrem Mitarbeiter nicht selbst noch zusätzliches Futter, Beweise, für einen Arbeitsrechtsstreit liefern wollen. Und sowieso weiß niemand, wie umfangreich der Anspruch auf Auskunft ist – sprich: wie viel Datensuche der Arbeitgeber auf sich nehmen muss.

    Teure Leute mit der aufwändige Suchen nach E-Mails beschäftigen
    Im Klartext: Was der Anwalt des Angestellten alles fordern kann, darüber streiten sich die Geister. Bislang ohne Ergebnisse. Im zweiten Schritt bemängeln die Betroffenen, dass das Unternehmen ihnen zu wenig ausgehändigt habe. Zumal: Gehört der Mitarbeiter schon zehn Jahre und länger zur Belegschaft, umso öfter kommt sein Name vor und umso länger dauert die Suche. Ganz abgesehen davon, dass nicht jeder Praktikant die Aufgabe übernehmen kann. Das müsse mindestens jemand mit rechtlichen Kenntnissen sein, der erkennt, wann etwas brisant ist, urteilt Philipp Byers, Arbeitsrechtler bei Watson Farley & Williams.

    Verhandlungsmasse ergattern mit dem Auskunftsanspruch

    Gewiefte Anwälte von Angestellten machen diesen DSGVO-Auskunftsanspruch schon automatisch geltend, um von vornherein den Druck auf den Arbeitgeber zu erhöhen. Als Verhandlungsmasse. Schließlich setzte man so die Unternehmen unter Zeitdruck und – wenn sie nicht pünktlich reagieren – droht ihnen obendrein ein Schadenersatzzahlung. Im Fall eines Düsseldorfers musste ein Unternehmen bereits 5000 Euro Schadenersatz an den Betroffenen zahlen – und trotzdem weiter Daten suchen und aushändigen (Arbeitsgericht Düsseldorf, Urteil vom 05.03.2020, Aktenzeichen 9 Ca 6557/18).

    Viele Unternehmen zahlen dann lieber gleich eine höhere Abfindung, um Ruhe zu haben vor langwierigen Streitereien. Denn klar ist ja auch: Es ist ja nicht einmal damit getan, vier Mitarbeiter eine Woche lang dafür abzustellen, um den Auskunftsanspruch zu erfüllen. Denn danach geht der Streit beim Gericht weiter nach dem Motto: Das Unternehmen habe aber nicht alle Daten rausgerückt. Das kann locker ein halbes Jahr dauern, denn das Gesetz verrät nichts Genaues und ein höchstrichterliches Urteil gibt es – noch immer – nicht, erzählt auch Arbeitsrechtler Sebastian Frahm von Frahm Kuckuk in Stuttgart schon hier im Management-Blog.

    Scheuklappen-Denken statt Unternehmen und Arbeitnehmern Orientierung zu geben

    Genau deshalb hatten die Anwälte, die typischerweise nur Unternehmen vertreten und aus Großkanzleien kommen, auf ein BAG-Urteil gehofft, das für Klarheit sorgt. Doch tatsächlich wirft die Pressemitteilung – die Urteilsbegründung wird erfahrungsgemäß noch Monate dauern – mehr Fragen auf, als dass sie Antworten gibt, kritisiert Byers. Wo beispielsweise die Geschäftsgeheimnisse beginnen und die Dokumente nicht herausgegeben werden brauchen, bleibe eine große Frage. Die BAG-Richter haben es sich – einmal mehr – leicht gemacht und nur eine einzige Frage beantwortet. Statt für umfassende Klarstellung zu sorgen, Arbeitnehmern wie Arbeitgebern Klarheit zu bieten und ihrer Aufgabe, für Rechtsfortbildung zu sorgen, nachzukommen.

    Führen sie dann noch aus, „das brauchten wir hier nicht beantworten“ wirkt das für die Praktiker wie Spott und Hohn. Denn Arbeitsrecht ist Richterrecht und wenn die Richter sich auf ihre Scheuklappen berufen und damit zu immer neuen, teuren und mühsamen Prozessen auffordern, wirkt das nicht nur arrogant, sondern ist für Bürger – die mit ihren Steuergeldern die Arbeitsgerichte finanzieren – auch nicht mehr verstehbar.

    Praktische Probleme: Durchforsten von E-Mail-Fächern der Arbeitskollegen

    Immerhin ist der Arbeitsaufwand langwierig und sehr kleinteilig. Denn mit einer einfachen Volltextsuche nach dem Namen des Betroffenen sei es ja nicht getan, sagt Arbeitsrechtler Byers. Die Sucherei produziert neue Datenschutzprobleme, wenn die Postfächer von den Kollegen durchforstet werden müssen und damit in deren Persönlichkeitsrechte eingegriffen wird, erzählt der Münchner. Denn der Auskunftsanspruch darf kein Einfallstor fürs Durchforsten aller Kollegen-Mails sein. Sein Fazit nach der BAG-Entscheidung: Das Einzige was jetzt definitiv nicht mehr funktioniert, ist die Forderung „ich begehre Auskunft über alles mit meinem Namen“, stellt Byers klar. Oder: „Alle in meinem Postfach eingegangenen und verschickten E-Mails, inklusive Kundenkorrespondenz“. Denn dieses Ansinnen sei zu pauschal und unbegrenzt. Das zumindest brauchen Unternehmen nicht mehr erfüllen.

    Welche Versuche weiter laufen dürften, weil die Richter uns im Unklaren lassen

    Verlangen werden Arbeitnehmeranwälte immer noch dies: Zum Beispiel alle E-Mails mit dem Namen des Betroffen und Schlüsselbegriffen wie zum Beispiel Pflichtverstoß, Compliance oder Kündigung, wo es etwa um seine Position als Arbeitnehmer geht, wenn er Compliance-Vorwürfe bekam. Zum Beispiel wenn ihm sexuelle Belästigung vorgeworfen wird, aber nicht mehr, um Hinweisgeber zu schützen und die Aufklärung nicht zu erschweren. Byers Fazit: Die Forderung nach gezielten Informationen mit Suchbegriffen kann durchaus „hinreichend bestimmt“ sein, wie es das BAG verlangt. Sicher ist aber auch das nicht.

    Eine weitere Möglichkeit, die Arbeitnehmeranwälte nun probieren werden: Die Suche zeitlich einzugrenzen, beispielsweise vom 1.Januar 2019 bis 31. Dezember 2020. Oder auch diese Variante dürfte eine Strategie der Arbeitnehmeranwälte werden, so Byers: Wenn der Betroffene erfahren will, was andere über ihn geschrieben haben wie Kollegen, der Vorgesetzte oder die Personalabteilung. Denn das würde womöglich ihm Munition im Kündigungsschutzprozess liefern.

    Im Klartext: Arbeitnehmer-Anwälte brauchen nur ihren Text ändern und haben immer noch ein formidables Druckmittel, nur weil die BAG-Richter zu wenige Antworten geben. Die Unternehmen stehen dann immer noch vor der Entscheidung: Lassen sie es auf einen jahrelangen Gerichtsstreit vielleicht durch mehrere Instanzen ankommen oder zahlen sie, damit Ruhe ist? „Arbeitgeber haben die Wahl zwischen Pest und Cholera“, meint Byers. Geben sie alles heraus, ist die Menge groß und das Risiko hoch, wenn etwas fehlt, dann begehen sie einen Datenschutzverstoß und der Arbeitnehmer kann Schadenersatz verlangen.

    Sowieso steht der Arbeitgeber dann vor immer neuen Detailfragen: Gibt er alles raus, wie E-Mails mit Preisen für bestimmte Kunden, die andere nicht bekommen sollen – darf er die Informationen schwärzen? Welche anderen vertraulichen Textteile darf er überhaupt schwärzen, ehe er sie herausgibt? Byers: „Ich rate immer, absolut vertrauliche Dokumente nicht herauszugeben und sich lieber auf Geheimhaltungsbedürfnisse zu berufen.“ Oder, wenn es nur der letzte Absatz ist, das Dokument rauszugeben und den Teil zu schwärzen. Hin wie her: es macht eine Höllenarbeit. Und sichert Wirtschaftskanzleien weiterhin für erfreuliche Mehrarbeit.
    Hier die Pressemeldung des BAG:

    https://juris.bundesarbeitsgericht.de/cgi-bin/rechtsprechung/document.py?Gericht=bag&Art=pm&Datum=2021&nr=25141&pos=3&

    #Arbeit #Recht #Datenschutz #DSGVO

  • Bundestag: Neue Regeln gegen Abmahnmissbrauch verabschiedet - Golem.de
    https://diasp.eu/p/11631553

    Bundestag: Neue Regeln gegen Abmahnmissbrauch verabschiedet - Golem.de

    Das neue Gesetz soll vor allem kleine Unternehmen vor Abzocke mit Abmahnungen schützen, beispielsweise beim Verstoß gegen die DSGVO. Bundestag: Neue Regeln gegen Abmahnmissbrauch verabschiedet - Golem.de #Abmahnung #Bundesregierung #ChristineLambrecht #DSGVO #Datenschutz #Datensicherheit #EU #Internet #PolitikRecht #Security

  • Persönlichkeitsrecht: Pressearchive dürfen auch Unangenehmes lange ...
    https://diasp.eu/p/11615371

    Persönlichkeitsrecht: Pressearchive dürfen auch Unangenehmes lange vorhalten

    heise+ | Persönlichkeitsrecht: Pressearchive dürfen auch Unangenehmes lange vorhalten

    Nicht immer ist der Versuch erfolgreich, Inhalte per Klage aus dem Netz zu verbannen. Unter Umständen kann ein solches Vorgehen zum bösen Bumerang werden. https://www.heise.de/hintergrund/Persoenlichkeitsrecht-Pressearchive-duerfen-auch-Unangenehmes-lange-vorhalten- #DSGVO #EuGH #Google #Internet #Klage #Netz #Pressearchive #RechtaufVergessen #Urteil

  • DSGVO-Verstöße: Conseil d’Etat bestätigt 50-Millionen-Strafe gegen ...
    https://diasp.eu/p/11238783

    DSGVO-Verstöße: Conseil d’Etat bestätigt 50-Millionen-Strafe gegen Google

    Das oberste französische Verwaltungsgericht hat die Beschwerde von Google gegen das Bußgeldverfahren der Datenschutzbehörde CNIL zurückgewiesen. DSGVO-Verstöße: Conseil d’Etat bestätigt 50-Millionen-Strafe gegen Google #CNIL #DSGVO #Frankreich #Gerichtsurteil #Google

  • Uber muss wegen schlechtem Datenschutz Millionenstrafe zahlen
    https://www.faz.net/aktuell/wirtschaft/diginomics/uber-muss-wegen-schlechtem-datenschutz-millionenstrafe-zahlen-15911824.html

    27.11.2018 - Einen Hackerangriff vor zwei Jahren geheim zu halten, war keine gute Idee für Uber: Europäische Datenschützer bitten das Unternehmen zur Kasse. Sind seine Daten jetzt besser gesichert?

    Der Fahrdienst-Vermittler Uber muss eine Strafe zahlen, weil er einen Hackerangriff auf seine Kunden- und Fahrerdaten verheimlicht hat. Die Datenschutz-Behörden in Großbritannien und den Niederlanden verhängten gegen das amerikanische Unternehmen am Dienstag Strafen von zusammen mehr als einer Million Euro. Von der Attacke im Herbst 2016, die Uber ein Jahr lang verschwiegen hatte, waren insgesamt 57 Millionen Nutzer und Fahrer betroffen.

    Von den Betroffenen wurden persönliche Daten wie Namen, Handynummern und Email-Adressen gestohlen. Unter den Geschädigten befanden sich 2,7 Millionen Kunden in Großbritannien, was der Mehrheit der Kunden in dem Land entsprach. Zudem wurden Daten von und mehr als 80.000 Fahrern entwendet. Uber hielt den Angriff geheim und zahlte den Hackern 100.000 Dollar für das Versprechen, die Daten zu vernichten.
    Persönliche Daten zu wenig geschützt

    Öffentlich gemacht wurde der Datendiebstahl erst vor einem Jahr, nachdem der aktuelle Firmenchef Dara Khosrowshahi die Führung übernahm. Uber erklärte, seither seinen Datenschutz ausgebaut zu haben. Die Strafe wurde nun verhängt, weil das Unternehmen für schuldig befunden wurde, die persönlichen Daten von Kunden unzureichend geschützt zu haben. Zudem habe das Unternehmen die Öffentlichkeit zu spät informiert.

    Die niederländische Datenschutzbehörde verhängte eine Strafe von 600.000 Euro. In dem Land wurden demnach 174.000 Bürger Opfer des Hacks. In Großbritannien soll Uber 385.000 Pfund (rund 434 000 Euro) zahlen.

    #Uber #DSGVO #Europa

  • Datenleck verschwiegen: 600.000 Euro Strafe in den Niederlanden gegen Uber | heise online
    https://www.heise.de/newsticker/meldung/Datenleck-verschwiegen-600-000-Euro-Strafe-in-den-Niederlanden-gegen-Uber-4233

    Die niederländische Datenschutzbehörde hat eine Strafe von 600.000 Euro gegen den Fahrdienstvermittler Uber verhängt. Das US-Unternehmen habe den immensen Diebstahl von 57 Millionen Nutzerdaten nicht innerhalb der vorgegebenen Frist von 72 Stunden nach der Entdeckung gemeldet, begründet die Behörde die Entscheidung. Betroffen waren demnach auch 174.000 Niederländer. Abgegriffen worden waren Namen, E-Mail-Adressen und Telefonnummern von Uber-Nutzern.

    Fragwürdiger Umgang mit Datenleck
    Das massive Datenleck war im Dezember 2017 bekannt geworden, der Diebstahl hatte sich aber bereits 2016 ereignet und bei Uber war er damals auch bereits entdeckt worden. Der damals noch neue Uber-Chef Dara Khosrowshahi hatte das lange Schweigen nicht entschuldigen wollen und erklärt, „nichts davon hätte passieren dürfen“.

    Der Konzern war dann noch einmal in die Kritik geraten, als bekannt wurde, dass der verantwortliche Hacker 100.000 US-Dollar aus dem hauseigenen Bug-Bounty-Programm bekommen hatte, damit er im Gegenzug die Daten löscht. Das Programm ist eigentlich als Anreiz gedacht, damit Sicherheitsforscher von ihnen entdeckte Software-Lücken direkt an Uber melden, statt anderswo Kapital daraus zu schlagen.

    #Uber #Niederlande #DSGVO

  • 10 Fragen und Antworten zum Thema Datenschutz im Kfz | Die Landesbeauftragte für den Datenschutz Niedersachsen
    https://www.lfd.niedersachsen.de/themen/datenschutz_im_kfz/kfz-und-datenschutz-148981.html

    1) Was hat das Auto mit Datenschutz zu tun?

    Die Autobranche ist im Umbruch: In wenigen Jahren wird das „connected car“ Standard sein: es wird nicht nur über Internetverbindungen verfügen, sondern auch in der Lage sein, Verkehrszeichen zu erkennen und mit anderen Autos, z.B. zum Umfahren eines Staus oder zum Auffinden einer Parklücke, zu kommunizieren. Und autonom fahrende Autos fangen an, Marktreife zu erlangen. Die Zukunft hat schon begonnen.

    Was hat diese Entwicklung mit Datenschutz zu tun? Sehr viel: Schon zum jetzigen Zeitpunkt werden in einem durchschnittlichen Kfz dutzende Datenkategorien erhoben und verarbeitet. Das Kfz der Zukunft wird – in jeder seiner Entwicklungsstufen - massive Datenströme verarbeiten. Nicht nur die Datenmenge und die Übertragungsgeschwindigkeit, sondern auch die Anzahl an erhobenen personenbezogenen Daten wird enorm ansteigen. Hierbei muss man sich klarmachen, dass das vernetzte Kfz wie kaum ein anderes Produkt in der Lage sein wird, ein umfassendes Persönlichkeitsprofil zu erstellen: Tagesrhythmus, Bewegungsprofile, emotionale Komponenten (vorausschauender oder abrupter Fahrer?), Körpergröße (Sitzeinstellungen), Anzahl an Mitfahrern (Anzahl geschlossener Gurte), Telefonlisten, Musikgeschmack… Aus der Zusammenlegung mehrerer Profile ließen sich sodann gemeinsame Treffen herauslesen etc.

    2) Wem „gehören“ alle diese Daten?

    Sind die Daten anonymisiert und damit in keiner Weise, auch nicht durch Verknüpfungen, rückverfolgbar, so dürfen sie ohne Einschränkung genutzt werden. Ein Beispiel wären Fehlermeldungen, die vom Hersteller anonymisiert für Statistikzwecke und Produktverbesserungen verwendet werden.

    Anders ist es bei personenbezogenen Daten, die im Zusammenhang mit dem Kfz anfallen. Daten sind dann personenbezogen, wenn sie sich auf eine „bestimmte Person“ oder zumindest auf eine „bestimmbare Person“ beziehen. Eine Person ist dann „bestimmbar“, wenn sie z.B. über die Fahrgestellnummer oder weiteres Zusatzwissen identifizierbar ist. In diesen Fällen liegen also „personenbezogene Daten“ vor. Damit gilt in diesen Fällen das Bundesdatenschutzgesetz (BDSG). Das BDSG wiederum enthält eine klare Aussage: Die Daten „gehören“ dem Betroffenen. Auf das Kfz bezogen: Die Daten „gehören“ dem Fahrer bzw. Halter des Kfz.

    Dem BDSG unterfallen insbesondere auch „rein technische Daten“, die auf den ersten Blick „weniger interessant“ erscheinen, aber personenbeziehbar sind. Beispielsweise erscheint die Anzahl der Bremsvorgänge auf den ersten Blick „weniger spannend“. Auf einen konkreten Zeitraum bezogen gibt diese Information jedoch Aufschluss darüber, ob der – identifizierbare – Fahrer ein Stadtfahrer ist oder ob er auf dem Land wohnt etc. Sofern diese Informationen ohne Zeitbezug gespeichert werden und regelmäßig wieder überschrieben werden, lassen sie sich zumindest durch ein enges Ausleseintervall einem konkreten Zeitraum zuordnen. Somit könnten bereits mit relativ wenigen Informationen einfache Persönlichkeits­profile gebildet werden.

    Ein weiteres Beispiel: Fahrprofile, die durch Erfassen der Lenkbewegung (Kurven) und der Geschwindigkeit (Landstraße? Autobahn?) gebildet werden können, könnten mit Landkarten abgeglichen und so einem Start- und Endziel zugeordnet werden. Auf diese Weise könnten aus nicht-geobezogenen Daten die Geobezüge (Standortdaten) nachträglich generiert werden.

    Die Begehrlichkeiten für solche potentiellen Datensammlungen sind groß. Kreditkartenfirmen, Scoringunternehmen, potentielle Arbeitgeber, Versicherungen… die Liste von möglichen Interessenten ließe sich problemlos fortsetzen.

    Das BDSG sorgt dafür, dass personenbezogene Fahrdaten nicht zu einem „freien Wirtschaftsgut“ werden: Gemäß § 4 Abs. 1 BDSG dürfen diese Daten nur dann genutzt werden, wenn entweder eine gesetzliche Regelung dies erlaubt oder wenn der Betroffene (Fahrer/Halter) durch Einwilligung bzw. Vertrag wirksam zugestimmt hat.

    3) was machen die Datenschutz Aufsichtsbehörden?

    Auf der Konferenz der Datenschutzbeauftragten des Bundes und der Länder im Oktober 2014 wurde eine Entschließung verabschiedet, die konkrete Forderungen an die Automobilindustrie richtet. Hierbei wurde klargestellt, dass Datenverarbeitungen entweder vertraglich vereinbart sein müssen oder eine ausdrückliche Einwilligung vorliegen muss. Hierzu gehört zumindest vollständige und praxisnahe Transparenz. Aber auch bei einer vertraglich vereinbarten oder von einer Einwilligung getragenen Datenübertragung muss der Fahrer bzw. Halter vom Hersteller in die Lage versetzt werden, eine solche Datenübermittlung zu erkennen, zu kontrollieren und ggf. zu unterbinden. Zudem muss Wahlfreiheit für datenschutzfreundliche Systemeinstellungen und die umfangreiche Möglichkeit zum Löschen eingeräumt werden.

    Aufbauend auf diesen Forderungen haben die Datenschutzbehörden des Bundes und der Länder sowie der Verband der Automobilindustrie (VDA) eine Gemeinsame Erklärung zu „Datenschutzrechtlichen Aspekten bei der Nutzung vernetzter und nicht vernetzter Fahrzeuge" erarbeitet.

    4) Worum geht es in dieser gemeinsamen Erklärung?

    In der Gemeinsamen Erklärung der Datenschutzbehörden des Bundes und der Länder mit dem Verband der Automobilindustrie (VDA) wurden gemeinsame Positionen festgelegt zu folgenden Themen:

    Personenbezogenheit der im Fahrzeug anfallenden Daten
    Festlegung des Zeitpunkts der Datenerhebung
    Bestimmung der verantwortlichen Stelle
    Rechtsgrundlagen für den Datenumgang im Kfz
    Datenschutzrechtliches Auskunftsrecht gegenüber dem Hersteller
    Hoheit über die Datenverarbeitungsvorgänge im Fahrzeug

    5) Was ist der „Dreh -und Angelpunkt“ in der gemeinsamen Erklärung?

    „Dreh -und Angelpunkt“ in der gemeinsamen Erklärung ist die Personenbezogenheit. Es ist ausdrücklich festgehalten, dass die bei der Kfz-Nutzung anfallenden Daten jedenfalls dann personenbezogen im Sinne des BDSG sind, wenn eine Verknüpfung mit der Fahrzeugidentifikationsnummer oder dem Kfz- Kennzeichen vorliegt.

    6) Wer ist ausweichlich der Gemeinsamen Erklärung „Verantwortliche Stelle“?

    Hierbei ist zu differenzieren, und zwar nach dem Zeitpunkt der Datenerhebung. Dieser Zeitpunkt ist unterschiedlich je nachdem, ob es sich um Kraftfahrzeuge handelt, bei denen eine Datenspeicherung nur innerhalb des Fahrzeuges stattfindet („offline“), oder ob eine Übermittlung von Daten aus dem Fahrzeug heraus erfolgt („online“), wie etwa bei der Übermittlung und Speicherung von Fahrzeugdaten auf Backend-Servern: Bei „Online“-Autos sind diejenigen als verantwortliche Stellen anzusehen, die personenbezogene Daten erhalten, d. h. in der Regel die Hersteller und gegebenenfalls dritte Dienste-Anbieter. Insbesondere wenn Hersteller Zusatzdienstleistungen für das Kfz anbieten und dabei in ihren Backend-Servern Daten speichern, sind sie verantwortliche Stelle für diese Datenverarbeitung. Bei „Offline“-Autos wird derjenige, der personenbezogene Fahrzeugdaten aus dem Fahrzeug ausliest (d.h. erhebt) und anschließend verarbeitet, zur verantwortlichen Stelle. Hierbei wird es sich in der Regel um Werkstätten handeln.

    7) Besteht bei „Offline-Kfz“ ein Schutz der Daten schon vor dem ersten Werkstattbesuch?

    Bei „Offline-Kfz“ ist bereits vor dem ersten Werkstattbesuch - ohne vorherige Erhebung - von einer Datenspeicherung im Sinne des BDSG auszugehen. Eine Erhebung liegt mangels Erfüllung des Tatbestandes des § 3 Abs. 3 BDSG noch nicht vor; gleichwohl fallen anlässlich der Kfz-Nutzung Daten an, die im Fahrzeug abgelegt werden. Diese Daten müssen geschützt werden und machen auch eine Sicherung des Rechts auf informationelle Selbstbestimmung erforderlich. Auch wenn die Hersteller hierbei nicht bereits beim „Entstehen“ der Daten verantwortliche Stelle sind, trifft diese unter anderem nach dem Gedanken „Privacy by Design“ dennoch eine Verantwortung im Hinblick auf den Datenschutz. Dies gilt insbesondere, weil der Hersteller im Rahmen seiner technischen Gestaltungsmöglichkeiten (Art und Umfang von Schnittstellen, Zugriffsmöglichkeiten, Verfolgung der in § 3a BDSG niedergelegten Grundsätze von Datenvermeidung und -sparsamkeit) Einfluss auf die zeitlich nach hinten verlagerte Erhebung und Verarbeitung hat. Sofern es um die technischen Gestaltungsmöglichkeiten geht, sind daher die Hersteller auch bei dieser Fahrzeugkategorie als Ansprechpartner für die Datenschutzaufsichtsbehörden anzusehen.

    8) Wann ist Datenerhebung -und Verarbeitung zulässig?

    Die Zulässigkeit der Datenerhebung und -verarbeitung kann sich insbesondere aus Vertrag (§ 28 Abs. 1 S. 1 Nr. 1 BDSG) oder aus einer Einwilligung ergeben, die den Voraussetzungen des § 4a BDSG genügt. Wie die Informationen über Datenerhebungs- und -verarbeitungsvorgänge aufbereitet sein müssen, um Teil des Vertrags oder Grundlage für eine ggf. relevante informierte Einwilligung sein zu können (ausführliche Informationen im Sinne eines Verfahrensverzeichnisses oder strukturierte, überblicksartige Informationen), bleibt Frage des Einzelfalls. Der Erstkäufer kann die notwendigen Informationen jedenfalls vom Verkäufer (Hersteller oder herstellergebundener Händler) erhalten. Grundsätzlich sind die wichtigsten Informationen zur Datenverarbeitung in allgemein verständlicher Form auch in der Borddokumentation nachlesbar vorzuhalten. Sie wird vom Hersteller erstellt.Die Borddokumentation ist nicht nur für den Erstbesitzer wichtig. Sie erlangt gerade auch für Zweitbesitzer, also die Käufer von Gebrauchtwagen, eine besondere Bedeutung. Denn bei Zweitbesitzern besteht keine individuelle rechtliche Beziehung (Einwilligung oder Vertrag) zum Hersteller. Eine hinreichende Information in der Borddokumentation ist daher essentiell. Generell gilt: Wichtig ist vor allem Transparenz. Transparenz bedeutet, dass auch der technische Laie nachvollziehbare Erläuterungen zur Verfügung gestellt bekommt.

    9) Habe ich als Autofahrer ein Auskunftsrecht?

    Gegenüber dem Hersteller besteht ein unentgeltliches Auskunftsrecht des Halters über seine durch den Hersteller erhobenen und gespeicherten personenbezogenen Daten nach § 34 BDSG. Vor allem beim „Online-Kfz“ ist das relevant. Demgegenüber besteht beim „Offline-Kfz“ kein solches Auskunftsrecht nach § 34 BDSG gegenüber dem Hersteller, da der Hersteller nicht über diese Daten verfügt. Die Fahrzeughalter von „Offline“-Autos haben die Möglichkeit des Auslesens von Daten, ggf. mithilfe von Sachverständigen, was nicht zwingend unentgeltlich sein muss. Allerdings verlangt das Transparenzgebot, dass auch bei Offline-Kfz der Betroffene sich unentgeltlich und ohne sachverständige Hilfe über die Grundsätze der Datenverarbeitungsvorgänge einschließlich zumindest der Art der verarbeiteten personenbezogenen Daten beim Hersteller informieren kann.

    10) Was können die Verbraucher tun?

    Die Kunden sind mächtiger, als sie glauben. Wichtig ist, dass sie im jetzigen Entwicklungsstadium den Autoherstellern gegenüber deutlich machen, dass sie – beim vernetzten Fahren oder wenn sie beim künftigen autonomen Auto gar das Lenkrad aus der Hand geben – die Kontrolle über ihre Fahrdaten behalten wollen. Autos werden nicht für Labore, sondern für Kundenwünsche hergestellt. Die Verbraucher müssen deutlich machen, dass sie eine Datenschleuder nicht akzeptieren, dass eine Datenschleuder also unverkäuflich sein wird. Nur dann werden praxisnahe, verbraucherfreundliche Konzepte für den Datenschutz im Kfz angeboten werden, die über die – für sämtliche Produkte geltenden - gesetzlichen Regelungen hinausgehen.
    Die Landesbeauftragte für den Datenschutz Niedersachsen
    Prinzenstraße 5
    30159 Hannover
    Telefon 0511 120-4500
    Fax 0511 120-4599
    poststelle@lfd.niedersachsen.de

    #Deutschland #Datenschutz #DSGVO #Verkehr #big_data

  • Hilfestellungen für Datenschutz in EU-Institutionen | iX
    https://www.heise.de/ix/meldung/Hilfestellungen-fuer-Datenschutz-in-EU-Institutionen-4004648.html

    Der erste Leitfaden „Guidelines on the protection of personal data in IT governance and IT management of EU institutions“ erklärt, wie die bei der Durchführung operativer und administrativer Aufgaben verarbeiteten personenbezogenen Daten angemessen und rechtskonform geschützt werden. Das umfasst sowohl den Datenschutz „by default“ und „by design“ in den Informationssystemen als auch die Etablierung von IT-Governance unter Einhaltung der Berichts- und Rechenschaftspflichten. Die Liste der vorgeschlagenen Maßnahmen ist weder erschöpfend noch verpflichtend. EU-Institutionen können alternative Mittel wählen, etwa unter Berücksichtigung ihrer spezifischen Bedürfnisse. Sie müssen allerdings nachweisen, dass diese Maßnahmen einen gleichwertigen Schutz der personenbezogenen Daten bedeuten.

    Die Tücken der Cloud
    Der zweite Leitfaden „Guidelines on the use of cloud computing services by the European institutions and bodies“ beinhaltet eine Analyse spezieller Risiken für personenbezogene Daten in Cloud-Umgebungen sowie rechtliche, technische und organisatorische Maßnahmen, wie man mit diesen Risiken umgehen kann. Besondere Aufmerksamkeit gilt den Anforderungen an die Beschaffungsprozesse der öffentlichen Hand. Für die beiden Richtlinienwerke haben sich die europäischen Datenschützer mit IT-, IT-Sicherheitsexperten sowie Managern von EU-Institutionen beraten. Berücksichtigt haben sie außerdem mehrere Hundert Kommentare und Vorschläge.

    Wie die Datenschutzbeauftragten sich auf die DSGVO und die ebenfalls in naher Zukunft kommende E-Privacy-Regulierung vorbereiten, zeigt auch der aktuelle EU-Datenschutzbericht, der am 19. März erschienen ist. Auch die deutschen Aufsichtsbehörden sind mit der Umsetzung befasst. Welche konkreten Maßnahmen geplant sind, beleuchtet etwa der ebenfalls gerade veröffentlichte Jahresbericht der Berliner Datenschutzbeauftragen Maja Smoltczyk.

    https://edps.europa.eu/sites/edp/files/publication/it_governance_management_en.pdf
    https://edps.europa.eu/sites/edp/files/publication/18-03-16_cloud_computing_guidelines_en.pdf

    https://edps.europa.eu/data-protection/our-work/our-work-by-type/annual-reports_en
    https://www.datenschutz-berlin.de/pdf/publikationen/jahresbericht/BlnBDI-Jahresbericht-2017-Web.pdf

    #GDRP #RGPD #DSGVO

  • How to make Matomo GDPR compliant in 12 steps
    https://matomo.org/blog/2018/04/how-to-make-matomo-gdpr-compliant-in-12-steps

    InnoCraft, April 3, 2018 in Privacy
    Important note: this blog post has been written by digital analysts, not lawyers. The purpose of this article is to briefly show you where Matomo is entering into play within the GDPR process. This work comes from our interpretation of the UK privacy commission: ICO. It cannot be considered as professional legal advice. So as GDPR, this information is subject to change. We strongly advise you to have a look at the different privacy authorities in order to have up to date information.

    The General Data Protection Regulation (EU) 2016/679, also referred to RGPD in French, Datenschutz-Grundverordnung, DS-GVO in German, is a regulation on data protection and privacy for all individuals within the European Union. It concerns organizations worldwide dealing with EU citizens and will come into force on the 25th May 2018.

    The GDPR applies to ‘personal data’ meaning any information relating to an identifiable person who can be directly or indirectly identified in particular by reference to an identifier. It includes cookies, IP addresses, User ID, location, and any other data you may have collected.

    We will list below the 12 steps recommended by the UK privacy commissioner in order to be GDPR compliant and what you need to do for each step.

    The 12 steps of GDPR compliance according to ICO and how it fit with Matomo
    As mentioned in one of our previous blog post about GDPR, if you are not collecting any personal data with Matomo, then you are not concerned about what is written below.

    If you are processing personal data in any way, here are the 12 steps to follow along with some recommendations on how to be GDPR compliant with Matomo:

    1 – Awareness
    Make sure that people within your organization know that you are using Matomo in order to analyze traffic on the website/app. If needed, send them the link to the “What is Matomo?” page.

    2 – Information you hold
    List all the personal data you are processing with Matomo within your record of processing activities. We are personally using the template provided by ICO which is composed of a set of 30 questions you need to answer regarding your use of Matomo. In the near future, we will write a blog post specifically for this. Please be aware that personal data may be also tracked in non-obvious ways for example as part of page URLs or page titles.

    3 – Communicating privacy information
    a – Add a privacy notice
    Add a privacy notice wherever you are using Matomo in order to collect personal data. Please refer to the ICO documentation in order to learn how to write a privacy notice. In the near future, we will write a blog post about this part. Make sure that a privacy policy link is always available on your website or app.

    b – Add Matomo to your privacy policy page
    Add Matomo to the list of technologies you are using on your privacy policy page and add all the necessary information to it as requested in the following checklist.

    4 – Individuals’ rights
    Make sure that your Matomo installation respects all the individuals’ rights. To make it short, you will need to know the features in Matomo that you need to use to respect user rights (right of access, right of rectification, right of erasure…). These features are currently in development and will be released soon.

    5 – Subject access requests
    Make sure that you are able to answer an access request from a data subject for Matomo. For example, when a person would like to access her or his personal data that you have collected about her or him, then you will need to be you able to provide her or him with this information. We recommend you design a process for this like “Who is dealing with it?” and check that it is working. If you can answer to the nightmare letter, then you are ready. The needed features for this in Matomo will be available soon.

    6 – Lawful basis for processing personal data
    There are different lawful basis you can use under GDPR. It can be either “Legitimate interest” or “Explicit consent”. Do not forget to mention it within your privacy policy page.

    7 – Consent
    Users should be able to remove their consent at any time. By chance, Matomo is providing a feature in order to do just that: add the opt-out feature to your privacy policy page.
    We are currently also working on a feature that allows you optionally to require consent. This will be useful if a person should be only tracked after she or he has given explicit consent to be tracked.

    8 – Children
    If your website or app is targeted for children and you are using Matomo, extra measures will need to be taken. For example you will need to write your privacy policy even more clear and moreover getting parents consent if the child is below 13. As it is a very specific case, we strongly recommend you to follow this link for further information.

    9 – Data breaches
    As you may be collecting personal data with Matomo, you should also check your “data breach procedure” to define if a leak may have consequences on the privacy of the data subject. Please consult ICO’s website for further information.

    10 – Data Protection by Design and Data Protection Impact Assessments
    Ask yourself if you really need to process personal data within Matomo. If the data you are processing within Matomo is sensitive, we strongly recommend you to make a Data Protection Impact Assessment. A software is available from the The open source PIA software helps to carry out data protection impact assessment, by French Privacy Commissioner: CNIL.

    11 – Data Protection Officers
    If you are reading this article and you are the Data Protection Officer (DPO), you will not be concerned by this step. If that’s not the case, your duty is to provide to the DPO (if your business has a DPO) our blog post in order for her or him to ask you questions regarding your use of Matomo. Note that your DPO can also be interested in the different data that Matomo can process: “What data does Matomo track?” (FAQ).

    12 – International
    Matomo data is hosted wherever you want. So according to the location of the data, you will need to show specific safeguard except for EU. For example regarding the USA, you will have to check if your web hosting platform is registered to the Privacy Shield: privacyshield.gov/list
    Note: our Matomo cloud infrastructure is based in France.

    That’s the end of this blog post. As GDPR is a huge topic, we will release many more blog posts in the upcoming weeks. If there are any Matomo GDPR topic related posts you would like us to write, please feel free to contact us.

    #GDRP #RGPD #DSGVO #WWW

  • Exclusive: Facebook to put 1.5 billion users out of reach of new EU privacy law
    https://www.reuters.com/article/us-facebook-privacy-eu-exclusive/exclusive-facebook-to-put-1-5-billion-users-out-of-reach-of-new-eu-privacy-

    Facebook members outside the United States and Canada, whether they know it or not, are currently governed by terms of service agreed with the company’s international headquarters in Ireland.

    Next month, Facebook is planning to make that the case for only European users, meaning 1.5 billion members in Africa, Asia, Australia and Latin America will not fall under the European Union’s General Data Protection Regulation (GDPR), which takes effect on May 25.

    The previously unreported move, which Facebook confirmed to Reuters on Tuesday, shows the world’s largest online social network is keen to reduce its exposure to GDPR, which allows European regulators to fine companies for collecting or using personal data without users’ consent.

    That removes a huge potential liability for Facebook, as the new EU law allows for fines of up to 4 percent of global annual revenue for infractions, which in Facebook’s case could mean billions of dollars.

    #internet #vie_privée #GDRP #RGPD #DSGVO

  • Vortrag zur Datenschutzgrundverordnung (EU DSGVO) – Hostsharing eG – die Hosting-Genossenschaft
    https://www.hostsharing.net/blog/2018/03/20/vortrag-zur-datenschutzgrundverordnung-dsgvo

    Hostsharing-Vorstandsmitglied Dr. Martin Weigele ging im Vortrag nach einem kurzen Überblick über Hostsharing zunächst auf die Frage ein, warum die EU DSGVO z.B. bei Hostsharing anwendbar ist, wie das Zusammenspiel zwischen EU und deutschem Recht funktioniert, und was die grundlegende Konfliktlage zwischen technischen und juristischen Normen im internationalen Umfeld auszeichnet. Die EU DSGVO schafft hierfür erstmals einen einheitlichen Rechts- und Durchsetzungsraum innerhalb der EU, allerdings zu dem Preis oftmals sehr unbestimmter, stark auslegungsbedürftiger Rechtstexte als Ergebnis eines langwierigen politischen Kompromisses.
    EU-DSGVO Checkliste

    Im Anschluss daran wies Martin Weigele auf einige Punkte hin, die in einer Datenschutz-Checkliste nicht fehlen sollten.
    Gültigkeit klären

    Zunächst ist zu klären, ob die Datenverarbeitung überhaupt von der EU DSGVO betroffen ist. Denn die Verordnung gilt grundsätzlich für personenbezogene Daten im Zusammenhang mit Waren- und Dienstleistungsangeboten innerhalb der EU.

    Bei rein privaten Zwecken ist eine Gültigkeit nicht von vorne herein anzunehmen. Eine genaue Abgrenzung muss die Rechtsprechung übernehmen.
    Rollen prüfen

    Wichtig ist bei der konkreten Anwendung vor allem, sich die jeweiligen Rollen bei der Verarbeitung personenbezogener Daten, wie etwa Betroffener, oder Verantwortlicher, je nach konkretem Datenverarbeitungsvorgang klar zu machen. Daneben kennt die Verordnung auch den Auftragsverarbeiter und die gemeinsam Verantwortlichen.

    Eine Definition dieser Rollen findet man in der Verordnung selbst, u.a. in Artikel 4 EU DSGVO
    Erlaubte Rechtfertigungsgründe prüfen
    Martin Weigele nach dem Vortrag im Gespräch mit Zuhörern
    Martin Weigele nach dem Vortrag im Gespräch mit Zuhörern

    Ausgehend von der Klärung dieser Rollen ist der Grundsatz, wie schon beim Bundesdatenschutzgesetz, das Verbot der Verarbeitung personenbezogener Daten. Es müssen deshalb stets die erlaubten Rechtfertigungsgründe abgeprüft werden.

    Was sind solche Gründe neben der (widerruflich) erklärten Einwilligung des Betroffenen?

    Hier kommen zunächst einmal gesetzliche Regelungen oder geschlossene Verträge in Frage.

    In einem Vertragsverhältnis dürfen die für seine Erfüllung erforderlichen Daten natürlich auch verarbeitet werden.

    Beispiele für gesetzliche Gründe sind gesetzliche Pflichten zur Erhebung oder Aufbewahrung von Sozialversicherungs- oder steuerlichen Daten oder Aufbewahrungspflichten zu geschäftlicher Korrespondenz, also auch E-Mails, nach dem Handelsgesetzbuch.

    Zur Gefahrenabwehr dürfte in der dritten Erlaubniskategorie, dem Vorliegen eines berechtigten Interesses, das gegenüber den Interessen des Betroffenen überwiegt, die zeitweise Speicherung von IP-Adressen von Webseitenbesuchern zulässig sein.

    Der Bundesgerichtshof hat im vergangenen Jahr entschieden, dass IP-Adressen von Webseitenbesuchern personenbezogene Daten sind, weil die dazugehörigen Betroffenen im Rahmen von rechtlichen Verfahren ans Tageslicht kommen können. Somit bedarf es für Logfiles einer rechtlichen Rechtfertigung.
    Auftragsdatenverarbeitung bzw. Auftragsverarbeitung

    Eine Besonderheit stellt die DGSVO-Auftragsverarbeitung (früher: Auftragsdatenverarbeitung) dar, die es prinzipiell ermöglicht, auch ohne Vorliegen solcher Gründe personenbezogene Daten zu verarbeiten. Dafür müssen beim Auftraggeber die genannten Rechtfertigungsgründe vorliegen. Allerdings treffen den Auftragsverarbeiter erweiterte Sorgfalts- und Haftungspflichten gegenüber der früheren Regelung.

    Diese Spielart dürfte aber bei selbstgestaltetem Hosting, bei dem die Datenverarbeitungstätigkeit auch technisch weitgehend selbst kontrolliert wird, meist keine große Rolle spielen. Hier muss allerdings die Entwicklung der Rechtsprechung genau beobachtet werden.
    Betroffenenrechte

    Im Anschluss erläuterte Weigele die Rechte der Betroffenen. Diese sind vor Informationsrechte (Art. 13 und 14 DSGVO) , Werbe-Einwilligungerklärungen (Art. 7 und 13 DSGVO), die Einrichtung eines Auskunftsverfahren für Betroffene (Art. 15 in Verbindung mit Art. 12 DSGVO), das Recht auf eine Berichtigung von Daten und ihre Löschung (Art. 16 und 17 DSGVO), das Recht einer Speicherung zu widersprechen (Art. 21 DSGVO) und das Recht auf Datenübertragbarkeit (Art. 20 DSGVO).
    Risikomanagement, Datenschutz-Folgenabschätzung, Meldepflichten

    Ferner erklärte er, welche Faktoren in einem datenschutzrechtlichen Risikomanagement beachtet werden müssen. Hier gilt es vor allem den Nachweispflichten zu entsprechen.

    In bestimmten Fällen sind Datenverarbeiter sogar zu einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO verpflichtet.

    Und schließlich müssen Prozesse implementiert werden, durch die sichergestellt wird, dass Datenschutzverletzungen erkannt und rechtzeitig der zuständigen Datenschutzbehörde gemeldet werden.

    Règlement européen sur la protection des données : ce qui change pour les professionnels | CNIL
    https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-profess

    Microsoft : EU-Datenschutz-Grundverordnung : Sind Sie vorbereitet ?
    https://www.microsoft.com/de-de/aktion/IT-Sicherheit/eu-datenschutz-grundverordnung.aspx

    Ab dem 25. Mai 2018 findet die EU-Datenschutz-Grundverordnung (DSGVO) Anwendung (international bezeichnet als General Data Protection Regulation, kurz GDPR). Die EU-Datenschutz-Grundverordnung beinhaltet neue Regeln für Unternehmen, Behörden, gemeinnützige und andere Organisationen, die Waren und Dienstleistungen für Menschen in der EU anbieten oder Daten im Zusammenhang mit Personen in der Union erfassen und analysieren.

    Durch den neuen gemeinsamen und gemeinschaftlichen Datenschutzstandard soll das Schutzniveau insgesamt angehoben und länderübergreifend verbessert werden; zudem bietet er Vorteile im EU-weiten Warenverkehr. Das Ziel hinter der DSGVO ist ein EU-weit einheitliches Schutzniveau für personenbezogene Daten natürlicher Personen in der Union.

    Organisationen sollten jetzt die erforderlichen Schritte einleiten, um ihre Compliance mit der DSGVO zu sichern.

    #SPIP et le RGPD
    https://contrib.spip.net/SPIP-et-le-RGPD

    #RGDP #DSGVO

  • Vortrag zur Datenschutzgrundverordnung (EU DSGVO) (https://www.host...
    https://diasp.eu/p/6926479

    Vortrag zur Datenschutzgrundverordnung (EU DSGVO)

    Am Wochenende des 10. und 11. März 2018 fanden die zwanzigsten Chemnitzer Linux Tage statt. Einige tausend Besucher fanden den Weg zu über 90 #Vorträgen und #Workshops. Für die Linux-Community war die Konferenz ein wichtiges und erfolgreiches Jubiläum. Hostsharing eG war an dem Ereignis mit einem virtuellen Infostand auf Twitter unter dem Hashtag #vCLT2018 und einem Vortrag zur EU #Datenschutzgrundverordnung #DSGVO beteiligt.

    Hostsharing-Vorstandsmitglied Dr. Martin Weigele ging im Vortrag nach einem kurzen Überblick über #Hostsharing zunächst auf die Frage ein, warum die EU DSGVO z.B. bei Hostsharing anwendbar ist, wie das Zusammenspiel zwischen EU und deutschem Recht funktioniert, und was die grundlegende Konfliktlage zwischen technischen (...)