News 26.04.2019 - Die Datenschutzexperten - Seminare zum Datenschutz und zur EU-DSGVO, Bestellung des externen Datenschutzbeauftragten, Gutachten zum Datenschutz

Seit 1998 für Sie da.

Der KEDUA-Datenschutztag 2020

Jetzt neu - Datenschutzfolgenabschätzung

Direkt zum Seiteninhalt
Erneute Datenschutzpanne bei Facebook – 1,5 Millionen Nutzer sind betroffen
 
Technikriese Facebook erklärt in einem Statement selbst die E-Mail Kontakte von ungefähr 1,5 Millionen Nutzer ohne deren Wissen oder Zustimmung gesammelt zu haben.
 
Dank eines neuen Verifizierungsverfahrens, bei dem der Nutzer seine Identität bestätigen sollte, indem er das Passwort seines E-Mail Accounts eingab, wurden von Mai 2016 bis März 2019 Nutzerdaten gesammelt. Der Betroffene erhielt eine Nachricht, dass seine Kontakte durch das Netzwerk importiert werden, ohne nach einer Einwilligungserklärung gefragt zu werden. Der Betroffene wurde nicht darüber informiert, was mit den gesammelten Daten gemacht wurde. Weiterhin unklar bleibt, ob Facebook die Daten zur Schaltung von Werbung verwendet hat oder nicht.
 
Wie Facebook selbst mitteilte passierte alles „unabsichtlich“. Alle Betroffenen sollen innerhalb der nächsten Tage informiert werden und die Kontakte sollen aus dem System gelöscht werden. Auch wenn Facebook darauf hinweist die Daten mit niemandem geteilt zu haben, so leidet das Image des sozialen Netzwerkes unter einer erneuten Datenschutzpanne sehr stark.


Anwendbarkeit der datenschutzrechtlichen Vorschriften des Telemediengesetzes (TMG) bei der Verarbeitung von personenbezogenen Daten

Angesprochen fühlen sollten sich vor allem Webseitenbetreiber, Online-Shops, E-Mail und Chat Dienstleister, sowie alle, die Dienstleistungen im Internet anbieten und dabei Nutzerdaten verarbeiten.
 
Das Telemediengesetz (TMG) regelt in Deutschland die rechtlichen Rahmenbedingungen für sogenannte Telemedien und ist somit eines der wichtigsten nationalen Gesetze im Bereich des Internetrechts.
 
Seit dem 25.05.2018 gilt die Datenschutz-Grundverordnung (DSGVO) und auch nach Einführung der DSGVO ist das Telemediengesetz mit all seinen Normen weiterhin in Kraft. Die datenschutzrechtlichen Normen des TMG, welche im 4. Abschnitt niedergeschrieben sind, wurden jedoch seitens des Gesetzgebers weder an die, seit dem 25.05.2018 gültige, neue Rechtlage angepasst, noch wurden die Regelungen der ePrivacy- Richtlinie im TMG umgesetzt. Besonders elementar ist, dass Art. 5 Abs. 3 der ePrivacy- Richtlinie, der die Speicherung von und den Zugriff auf Informationen und damit auch personenbezogene Daten regelt, in Deutschland nicht in eine nationale Regelung überführt wurde.
 
Da weder eine richtlinienkonforme Auslegung, noch eine unmittelbare Anwendung des Art. 5 Abs. 3 ePrivacy- Richtlinie möglich ist und sich auch keine Öffnungsklausel in der DSGVO findet, die eine Anwendbarkeit der datenschutzrechtlichen Vorschriften des TMG rechtfertigen würde, gibt es für Anbieter von Telemedien die Nutzerdaten verarbeiten nur die Möglichkeit, die generellen Erlaubnistatbestände des Art. 6 DSGVO heranzuziehen.
 
 
Für die Verarbeitung von personenbezogenen Daten durch nicht-öffentliche Verantwortliche bei der Erbringung von Telemediendiensten, sind vor allem folgende Erlaubnistatbestände heranzuziehen:
 

1.       die Einwilligung - Art. 6 Abs. 1 lit. a) DSGVO
 
2.       das berechtigte Interesse Art. 6 Abs. 1 lit. f) DSGVO
 
3.       der Vertrag – Art. 6 Abs. 1 lit. b) DSGVO
 
 

1) Die Einwilligung
 
Bei der Einwilligung kommt es vor allem darauf an, das die betroffenen Personen über die jeweiligen Datenverarbeitungsvorgänge und die jeweils mit einbezogenen Dritten informiert werden müssen, um dann auf Grundlage dieser Informationen selbstbestimmt entscheiden zu können, in welche Formen der Datenverarbeitung sie einwilligen. Eine Einwilligungserklärung ohne ausreichende Information an die betroffenen Personen ist unwirksam. Des Weiteren muss die Abgabe der Einwilligung freiwillig, also ohne Zwang, erfolgen. Das bedeutet, dass die betroffenen Personen auch die Möglichkeit haben müssen, die Einwilligung zu verweigern, ohne das ihnen dadurch Nachteile entstehen. Der Besuch einer Website sollte somit auch möglich sein, wenn sich die betroffenen Personen gegen das Setzen von Cookies entscheiden, und somit nicht in die Verarbeitung personenbezogener Daten eingewilligt hat.
 
 

2) Das berechtigte Interesse
 
Neben der Einwilligung haben Anbieter von Telemediendiensten die Möglichkeit, sich bei der Verarbeitung personenbezogener Daten auf ein berechtigtes Interesse zu stützen. Hierbei muss jedoch eine dreistufige Prüfungsreihenfolge beachtet werden.
 
Zuerst muss ein berechtigtes Interesse des Verantwortlichen oder eines Dritten dargelegt werden. Hierbei steht der Begriff des berechtigen Interesses für das wesentliche Motiv für die Verarbeitung und zeigt den Nutzen auf, den der Verantwortliche aus der Verarbeitung der personenbezogenen Daten zieht. Beispiele für ein berechtigtes Interesse können unter anderem sein:
 
  • Bereitstellung besonderer Funktionalitäten, wie z. B. die Warenkorbfunktion unter Verwendung eines sog. Session-Identifiers,
  • Integrität und Sicherheit der Website; IT-Security-Maßnahmen sind bspw. das Speichern von Log-Dateien und insbesondere IP-Adressen für einen längeren Zeitraum, um Missbrauch erkennen und abwehren zu können,
  • Reichweitenmessung und statistische Analysen,
  • Optimierung des jeweiligen Webangebots und Personalisierung/Individualisierung des Angebots abgestimmt auf die jeweiligen Nutzer.
 
Zweitens muss die jeweilige Datenverarbeitung zur Wahrung des berechtigten Interesses erforderlich sein. Das bedeutet, dass die Verarbeitung geeignet sein muss, das Interesse, also das Motiv/den Nutzen der Verarbeitung, des Verantwortlichen zu erreichen, wobei kein milderes, gleich effektives Mittel zur Verfügung stehen darf. Der Verantwortliche muss die Verarbeitung also auf das notwendige Maß beschränken.
 
Drittens muss eine Abwägung mit den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person durchgeführt werden. Dazu zählt zum Beispiel das Recht auf Vertraulichkeit der Kommunikation, die Freiheit der Meinungsäußerung, das Recht auf freie Informationsgewinnung sowie das Interesse keine wirtschaftlichen Nachteile zu erleiden. Bei der Abwägung, dem Kern der Interessenabwägung, muss die Ausgestaltung der Verarbeitung personenbezogener Daten sowie die konkreten Auswirkungen der Verarbeitung auf die betroffenen Personen gegeneinander abgewogen werden.
 
 

3) Der Vertrag
 
Darüber hinaus gibt es für Anbieter von Telemediendiensten auch die Möglichkeit, personenbezogene Daten auf vertraglicher Grundlage zu verarbeiten, jedoch nur, wenn die Verarbeitung auf Anfrage der betroffenen Person erfolgt. Inwieweit dieser Erlaubnistatbestand tatsächlich Anwendung finden kann, wird auf europäischer Ebene aktuell diskutiert.
 
  
 Nähere Informationen und Konkretisierungen zu den einzelnen Erlaubnistatbeständen sowie Rastschläge zur technischen Umsetzung können Sie der „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“, Stand März 2019, entnehmen.

 

Der KEDUA Datenschutztag

Am 28. Mai 2019 ist es wieder so weit - unser alljährlicher Datenschutztag findet statt. Der Kedua-Datenschutztag ist unsere jährliche Fachkonferenz, in der sich alles um den Datenschutz dreht. Es erwarten Sie viele interessante und verschiedene Vorträge von renommierten Datenschutz-Experten, sowie Live-Vorführungen. Dieses Jahr freuen wir uns besonders Frau Maja Smoltczyk, die Berliner Beauftragte für Datenschutz und Informationsfreiheit begrüßen zu dürfen, ebenso wie Herrn Alexander Dörsam zum Thema "Aktuelle Bedrohungslagen in der IT" mit einer Live-Hacking Vorführung.
 
Wir hoffen und freuen uns darauf, Sie beim diesjährigen Datenschutztag in Berlin begrüßen zu dürfen. Den Link zur Anmeldung finden sie HIER. Achtung: Es stehen aktuell weniger als 10 freie Plätze zur Verfügung.




Zurück zum Seiteninhalt