Beiträge

Der Europäische Datenschutzausschuss (EDSA) hat am 5. Mai die Leitlinien zur Einwilligung in die Nutzung von Internetseiten aktualisiert. Der EDSA stellt klar, dass der Zugang zu einem Web-Service nicht abhängig von der Erlaubnis in das Setzen von sogenannten Cookies sein darf. Auch die bloße Weiternutzung einer Seite wird nicht als wirksame Einwilligung angesehen.

 

Als Mitglied des EDSA befürwortet der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber die Aktualisierung: „Es gibt immer noch Internetseiten, die durch Ihren Aufbau den Nutzenden Tracking aufdrängen. Die aktualisierten Leitlinien machen erneut deutlich, dass Einwilligungen nicht erzwungen werden können. Die meisten Cookie-Walls und die Annahme, dass das Weitersurfen eine Einwilligung bedeutet, widersprechen dem Aspekt der Freiwilligkeit und verstoßen gegen die Datenschutz-Grundverordnung. Ich wünsche mir, dass Verantwortliche daraus die richtigen Schlüsse ziehen und endlich datenschutzfreundliche Alternativen anbieten.“

Als „Cookie-Wall“ wird ein Verfahren bezeichnet, das von Nutzenden eines Online-Angebots einfordert Cookies zu akzeptieren, um das Angebot nutzen zu können. Ausnahmsweise sind Cookie-Walls dann zulässig, wenn ein vergleichbarer Dienst auch ohne Tracking angeboten wird, beispielsweise als bezahlter Dienst.

Das bloße Scrollen oder Weitersurfen auf einer Internetseite stellt dagegen in keinem Fall eine Einwilligung dar. Hier fehlt es gemäß den Leitlinien des EDSA an einer eindeutig bestätigenden Handlung.

Der EDSA hat die aktualisierten Leitlinien bereits in englischer Sprache veröffentlicht.

Unter Golem.de wird aktuell über die tickende Zeitbombe Windows 10 berichtet. Lt. Artikel überträgt Micosoft nach wie vor Benutzerdaten in die USA.

Welche Daten das sind, lässt sich nicht überprüfen, da diese Daten verschlüsselt sind.

Zitat Golem.de

Knackpunkt der Auseinandersetzung ist die regelmäßige Übertragung von Nutzerdaten in die USA. Aus diesem Grund verlangen die deutschen Datenschutzbehörden in einem in der vergangenen Woche veröffentlichten Prüfschema (PDF) für Windows 10, dass diese Datenübertragung von den Anwendern geprüft und gegebenenfalls unterbunden werden müsse.

So müssten „technische Maßnahmen zur Verhinderung einer unbefugten Übermittlung zum Einsatz kommen“. Gleichzeitig stellen die Aufsichtsbehörden mit Verweis auf mehrere Studien fest, dass eine vollständige Unterbindung des Datentransfers „aktuell nicht möglich“ sei. Auch könnten die Anwender nicht selbst untersuchen, ob und welche personenbezogenen Daten übertragen werden, da der Datentransfer verschlüsselt sei. Diese Rechtsauffassung bringen die Datenschützer auch im IT-Konsolidierungsprojekt und IT-Planungsrat ein.

Die Behörden überlassen nun den Anwendern/Verantwortlichen zu prüfen und sicher zu stellen, dass alles DSGVO-konform von statten geht.

Dazu wird ein Prüfschema bereitgestellt anhand dessen die Anwender bzw. Verantwortlichen vorgehen können. Dieses Prüfschema finden Sie hier.

Weiter wird darauf hingewiesen, dass evtl. bei jedem Update eine entsprechende Prüfung vorgenommen werden muss. Denn mit jedem Update kommen neue Funktionen hinzu, die evtl. Daten ins Ausland transferieren. Dieses ist dann ggf. zu unterbinden.

 

Den ganzen Artikel auf Golem.de lesen Sie hier.

 

Der Immobilienkonzern „Deutsche Wohnen“  soll im großen Umfang persönliche Daten seiner Mieter unerlaubt gespeichert haben. Die Berliner Datenschutzbeauftragte hat deswegen ein Bußgeld gegen den Konzern verhängt.

Wie der Spiegel am 05.11.2019 meldet, ist aktuell ein empfindliches Bußgeld ausgesprochen worden. Weiter kommentiert der Autor, dass die Manager des Konzern damit wohl nicht gerechnet hätten. Das Vergehen welches hier vorliegt, ist aus unserer Sicht vorsätzlich geschehen, denn die Aufsichtsbehörde hat seit 2017 mehrfach auf die Missstände in dem Unternehmen hingewiesen., passiert sei jedoch nichts. Wenn dem so ist, dürfte das Bußgeld auch einer gerichtlichen Prüfung standhalten, zudem ist es dafür eher moderat ausgefallen.

Wir empfehlen allen Unternehmen sich datenschutztechnisch professionell aufzustellen. Ignoriert man die Anforderungen und Umsetzungspflichten, drohen nun tatsächlich unangenehme Strafen. Im Übrigen möchten wir an dieser Stelle darauf aufmerksam machen, dass auch private Vermieter der DSGVO mit seinen Pflichten unterliegen.

Hier lesen Sie den ganzen Artikel im Spiegel.

Wie die Onlineplattform AutoFlotte am heutigen Tag mitteilt, können sich Fahrzeugnutzer Ordnungswidrigkeitenverfahren nicht dadurch entziehen, indem der Arbeitgeber sich gegenüber der Bußgeldbehörde oder der ermittelnden Polizei auf die Datenschutz-Grundverordnung beruft.

Seit dem Start der Datenschutz-Grundverordnung DSGVO im Mai vergangenen Jahres schwelt unter vielen Dienstwagennutzern die Ansicht, dass deren Privatdaten (Name, Anschrift) nicht herausgegeben werden dürfen, da es sich hierbei um einen Datenschutzverstoß handeln würde. Genau über einen solchen Fall hat das Verwaltungsgericht (VG) Regensburg mit Urteil vom 17. April 2019 (Az. RN 3 K 19.267) entschieden.

Die Bußgeldbehörde hatte einen Fuhrpark in seiner Haltereigenschaft als Zeugen aufgefordert, den Fahrzeugführer aufgrund einer Geschwindigkeitsüberschreitung zu benennen und dessen Personalien mitzuteilen. Das Untenrehmen teilte nach mehreren Anläufen nur mit, man kenne die Personalien der Fahrerin, gebe sie aber aufgrund Datenschutzrechts nicht heraus.

Da die Fahrzeugführerin nicht binnen der gesetzlichen Verjährung festgestellt werden konnte, verhängte das Landratsamt für das Auto sowie ein etwaiges Ersatzfahrzeug eine zwölfmonatige Fahrtenbuchauflage. Hiergegen wandte sich nun der Fuhrparkbetreiber. Die Fahrerin sei bekannt gewesen und hätte nach Erfüllung der rechtlichen Vorschriften auch bekannt gegeben werden können. Nach den Maßgaben der EU-DSGVO, die verbindlich durchzusetzen sei, dürften die Mitarbeiterdaten auch in einem Ordnungswidrigkeitenverfahren nur nach ausdrücklicher schriftlicher Genehmigung an Dritte weitergegeben werden.

Das VG Regensburg bestätigte die Rechtmäßigkeit der Fahrtenbuchauflage, ein Datenschutzverstoß bestehe nicht. Nach § 31a Straßenverkehrs-Zulassungs-Ordnung (StVZO) kann die zuständige Behörde gegenüber einem Fahrzeughalter für ein oder mehrere auf ihn zugelassene oder künftig zuzulassende Fahrzeuge die Führung eines Fahrtenbuchs anordnen, wenn die Feststellung eines Fahrzeugführers nach einer Zuwiderhandlung gegen Verkehrsvorschriften nicht möglich war. Diese Voraussetzungen sah das Gericht hier als erfüllt.

Bei Firmenfahrzeugen ist im Wesentlichen maßgeblich, dass es in der Sphäre der Leitung des Betriebs liegt und deren Aufgabe ist sicherzustellen, dass im Falle einer Verkehrszuwiderhandlung ermittelt werden kann, welcher Person zu einem bestimmten Zeitpunkt das betreffende Fahrzeug überlassen worden ist. Die DSGVO findet für die Verarbeitung personenbezogener Daten durch die Polizei im Bereich der Ermittlung, Verfolgung, Ahndung und Vollstreckung von Ordnungswidrigkeiten von vornherein wohl schon keine unmittelbare Anwendung. Selbst bei Anwendbarkeit der DSGVO wäre ein Fahrzeughalter zur Herausgabe personenbezogener Daten auch ohne Einwilligung der betroffenen Person berechtigt, wenn dies zur Erfüllung seiner rechtlichen Verpflichtung zur Mitwirkung bei der Feststellung des Fahrzeugführers erforderlich ist; die Datenschutz-Grundverordnung steht demzufolge dem präventiv angeordneten Führen eines Fahrtenbuches nicht entgegen.

Das Vorliegen eines Fernabsatzvertrags mit gesetzlichem Widerrufsrecht setzt organisiertes Fernabsatzsystem mit Versand von Ware voraus Immer häufiger bieten Fahrzeughändler heute ihre Fahrzeuge im Internet auf entsprechenden Plattformen an. Der Kontakt mit dem Verbraucher, der sich für ein Fahrzeug interessiert, läuft häufig über E-Mails und das Telefon. Das Landgericht Osnabrück hat in diesem Zusammenhang entschieden, dass […]

25 Klauseln in Daten­schutz­erklärung und Nutzungsbedingungen von Google unzulässig

Google darf sich keine willkürlichen Leistungsänderungen vorbehalten

Die von Google im Jahr 2012 verwendete „Daten­schutz­erklärung“ ist zum großen Teil rechtswidrig. Das hat das Kammergericht in Berlin nach einer Klage des Bundesverbands der Verbraucher­zentralen entschieden. Nach Auffassung des Gerichts sind außerdem zahlreiche Klauseln in den Nutzungsbedingungen des Konzerns unwirksam. Einige der untersagten Klauseln verwendet Google bis heute in gleicher oder ähnlicher Form.

In seiner Datenschutzerklärung von 2012 hatte sich Google umfangreiche Rechte zur Erhebung und Nutzung der Kundendaten eingeräumt. Das Unternehmen hatte sich unter anderem vorbehalten, gerätespezifische Informationen und Standortdaten zu erfassen sowie personenbezogene Daten aus den verschiedenen Google-Diensten miteinander zu verknüpfen. Auch eine Weitergabe persönlicher Daten an andere Unternehmen sollte in bestimmten Fällen möglich sein. Vor der Anmeldung bei Google mussten Kundinnen und Kunden durch Ankreuzen eines Kästchens erklären, dass sie mit den Nutzungsbedingungen einverstanden sind und die Datenschutzerklärung gelesen haben.

Verstoß gegen Datenschutzgrundverordnung

Nach Auffassung des Kammergerichts verstoßen die beanstandeten Teile der Datenschutzerklärung gegen die Datenschutzgrundverordnung (DSGVO). Google erwecke den Eindruck, als sei die beschriebene Datenverarbeitung ohne Zustimmung der Kunden erlaubt. Tatsächlich sei für die Nutzung personenbezogener Daten in den vom Bundesverband der Verbraucherzentralen beanstandeten Fällen jedoch eine informierte und freiwillige Einwilligung erforderlich. Die einfache Bestätigung von Verbrauchern, die Datenschutzerklärung gelesen zu haben, reiche hierfür nicht aus. Für das Gericht sind Teile der Datenschutzerklärung auch deshalb unwirksam, weil sie „so verschachtelt und redundant ausgestaltet“ seien, dass durchschnittliche Leser sie kaum noch durchschauen könnten. Diese müssten davon ausgehen, dass letztlich jede Nutzung der personenbezogenen Daten erlaubt ist, die Google für zweckmäßig hält.

Nutzungsbedingungen unwirksam

Für unwirksam erklärte das Gericht auch eine Reihe von Klauseln in den Google-Nutzungsbedingungen. Das Unternehmen behielt sich zum Beispiel vor, einzelne Dienste nach eigenem Ermessen einzustellen oder zu ändern. Darin sah das Kammergericht einen gesetzlich nicht zulässigen Änderungsvorbehalt. Google könne die versprochenen Leistungen nur ändern, wenn dies für die Verbraucher auch zumutbar sei. Eine solche Einschränkung enthielt die Klausel nicht. Insgesamt erklärte das Kammergericht 13 Klauseln in der Datenschutzerklärung und 12 Klauseln in den Nutzungsbedingungen für unwirksam. Damit gab das Gericht der Klage des Bundesverbands der Verbraucherzentralen in vollem Umfang statt – wie zuvor schon das Landgericht Berlin in erster Instanz. Das Unternehmen hat inzwischen Nichtzulassungsbeschwerde beim Bundesgerichtshof eingelegt.

Bedienung des Infotainmentsystems bei 200 km/h auf der Autobahn stellt grob fahrlässiges Handeln dar

Verkehrs­erforderliche Sorgfalt in ungewöhnlich hohem Maße verletzt

Das Oberlandesgericht Nürnberg hat entschieden, dass ein Pkw Fahrer, der die Autobahn mit ca. 200 km/h befährt, grob fahrlässig handelt, wenn er sich nicht voll auf das Verkehrsgeschehen konzentriert, sondern seine Aufmerksamkeit – wenn auch nur kurz – auch auf das Infotainmentsystem richtet.

Die Klägerin des zugrunde liegenden Streitfalls, eine Autovermieterin, vermietete dem Beklagten einen Mercedes Benz CLS 63 AMG. Zwischen der Klägerin und dem Beklagten war eine Haftungsbeschränkung ohne Selbstbeteiligung für den Fall einer Beschädigung des Mietfahrzeuges vereinbart worden. In den AllgemeinenVersicherungsbedingungen der Klägerin ist jedoch geregelt, dass diese berechtigt ist, zumindest teilweise Regress zu nehmen, wenn der Schaden am Mietfahrzeug grob fahrlässig herbeigeführt wurde.

Beklagte bedient Infotainmentsystem bei Fahrzeuggeschwindigkeit von 200 km/h

Nach Überzeugung des Oberlandesgerichts Nürnberg befuhr der Beklagte im April 2015 mit dem gemieteten Fahrzeug mit einer Geschwindigkeit von 200 km/h die Autobahn auf der linken Spur, während er gleichzeitig das Infotainment System des Fahrzeugs bediente, um dort Informationen abzurufen. Er geriet währenddessen mit dem Fahrzeug nach links von der Fahrbahn ab und stieß gegen die Mittelleitplanke, wodurch das Fahrzeug stark beschädigt wurde. Die Klägerin war der Auffassung, dass der Beklagte grob fahrlässig handelte und nahm daher in Höhe von 50 % des entstandenen Unfallschadens bei diesem Regress.

Klägerin steht aufgrund grob fahrlässigen Verhaltens des Beklagten Schadensersatz zu

Nachdem das Landgericht Nürnberg-Fürth die Klage zunächst abwies, verurteilte das Oberlandesgericht Nürnberg den Beklagten, an die Klägerin 11.947,69 Euro zu zahlen. Das Oberlandesgericht war der Auffassung, dass der Beklagte grob fahrlässig gehandelt habe und der Klägerin daher ein Schadensersatzanspruch zustehe. Die vereinbarte Haftungsfreistellung schließe die Haftung des Beklagten nicht aus, da diese für den Fall grob fahrlässigen Verhaltens jedenfalls in dem von der Klägerin geltend gemachten Umfang nicht greife.

Befahren der Autobahn mit einer Geschwindigkeit von 200 km/h birgt hohes Gefahrenpotential

Der Beklagte habe die verkehrserforderliche Sorgfalt in ungewöhnlich hohem Maße verletzt. Er habe die Autobahn mit einer Geschwindigkeit von 200 km/h befahren; dies beinhalte ein sehr hohes Gefahrenpotential. Der Anhalteweg und die kinetische Energie bei einer Kollision sind gegenüber einer Geschwindigkeit von 130 km/h mehr als verdoppelt. Schon minimale Fahrfehler können typischerweise zu schweren Unfällen führen. In nahezu allen anderen Staaten der Welt seien derartige Geschwindigkeiten auf öffentlichen Straßen daher verboten. In Deutschland fehle zwar ein derartiges klares Verbot, es gelte aber die Autobahn-Richtgeschwindigkeits-Verordnung, die vorgibt, dass bei höheren Geschwindigkeiten die Unfallgefahren selbst unter Idealbedingungen so erheblich zunehmen, dass sie bei verantwortungsbewusster Teilnahme am öffentlichen Straßenverkehr dort nicht gefahren werden sollten.

Anforderungen an Konzentration des Fahrzeugführers steigen bei Überschreitung der Richtgeschwindigkeit

Ein Verkehrsteilnehmer, welcher sein Fahrzeug mit höherer Geschwindigkeit als 130 km/h führt, müsse daher in besonderer Weise seine volle Konzentration auf das Führen des Fahrzeuges richten. Je stärker die Richtgeschwindigkeit überschritten werde, desto höher seien die Anforderungen an die Konzentration des Fahrzeugführers. Trotz der bei 200 km/h erforderlichen vollsten Konzentration auf das Fahrgeschehen und der drohenden schweren Unfallfolgen schon bei geringfügiger kurzzeitiger Ablenkung habe der Kläger das Infotainment System bedient; dies habe seine Aufmerksamkeit zumindest für Sekunden voll gebunden. Sein Verhalten stelle daher eine objektiv schwere und unentschuldbare Pflichtverletzung dar und sei grob fahrlässig.

15.04.2019

Einiger Artikel auf dem Portal Heise.de ist zu entnehmen, dass Office365 es nach wie vor nicht so genau nimmt mit der Einhaltung der DSGVO. Ebenfalls kann man dort lesen:

„Die EU-Datenschutzbehörde EDPS untersucht, ob die Verträge der EU-Dienststellen mit Microsoft der seit Ende 2018 geltenden Datenschutzgrundverordnung (DSGVO) entsprechen. Das teilte die Behörde, die für die Überwachung und Durchsetzung des Datenschutzes in der Europäischen Union zuständig ist, am Montag in Brüssel mit.“

Einmal mehr dürfen wir gespannt sein welche Ergebnisse diese Untersuchungen zu Tage fördern.

Wir wunderten uns schon bei Facebook, dass abermillionen von Kennwörten unverschlüsselt abgelegt wurden oder werden. Offensichtlich sind die Dinge bei Microsoft nicht wesentlich besser gelöstals bei Facebook, denn auch dort sollen unverschlüsselte Kennwörter über das Netz transportiert oder gespeichert werden.