Moderation:
Was ist in der KW 36 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:
Empfehlungen & Veranstaltungen:
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/305-mio-e-bussgeld-gegen-clearview-datenschutz-news-kw-36-2024/
#TeamDatenschutz #TeamInfoSec #DSTalk
Transkript zur Folge:
Herzlich willkommen zum Datenschutztalk, eurem wöchentlichen Datenschutz ab,
Mein Name ist Natalia und bei mir ist mein Kollege.
Lothar Sumanowski.
Hi Lothar.
Hi Natalia, grüß dich.
Hi. So, wir beide gemeinsam schauen wieder auf die Woche des Datenschutzes zurück,
Wie immer behalten wir bei den während der Woche im Blick, um uns und euch hier auf dem Laufenden zu halten. Heute ist Freitag, der sechste neunte zwanzig vierundzwanzig,
Und unser Redaktionsschluss war heute wie gewohnt um zehn Uhr. So Lothar, wir beide wieder, was hast du mitgebracht?
Die erste Meldung geht in Richtung Frau Luisa, Spechtriehmschneider. Es geht um den Amtsantritt der neuen BFDI.
Wir schauen auf ein Urteil des Oberlandesgerichts München zu einem Datenschutzverstoß, was zu einer fristlosen Kündigung geführt hat.
Und wir schauen mal auf Best of Datenschutz. Das beste und lebensnahe Berichtswesen vom Landesbeauftragten in Rheinland-Pfalz.
Klingt gut
Ich habe zwei Bußgelder mitgebracht, einmal die niederländische Aufsichtsbehörde mit einem Bußgeld in Höhe von 30 Millionen, 500.000 Euro und diversen Auflagen gegen Clear View
und ich habe ein vergleichsweise kleineres Bußgeld in Höhe von 100.000 Euro für eine Auskunft, die nach 14 Monaten erst erteilt wurde.
Dann habe ich auch noch etwas aus der Rubrik Veröffentlichung und Veranstaltungen. Ich würde sagen, wir können. Wir legen los.
Deine Themen, die hören sich auch sehr spannend an. Ich bin gespannt. Die erste Meldung, zu der wir heute kommen
geht an die neue Bundesbeauftragte für den Datenschutz und Informationsfreiheit.
Am 16.5. diesen Jahres wurde sie gewählt und am 39. übernimmt sie ihr Abend. Herzlichen Glückwunsch Frau Professor Doktor Luisa Specht-Riebenschneider zu ihrem Amt als neue Bundesbeauftragte für den Datenschutz und die Informationsfreiheit.
Luisa Spechtriemschneider ist parteilos, voraus eine gute Kooperation mit verschiedenen Personen aus unterschiedlichen Parteien erwartbar sein kann, also da,
man sich auch eine deutlich bessere Kommunikation und es gibt eine Pressemitteilung zu ihrem Amtsantritt, wo sie ihre Schwerpunkte beschreibt. Sie sieht ihre Schwerpunkte bei der Sicherheit, der Verarbeitung, bei Gesundheit und.
Zum Thema künstliche Intelligenz. Sie selber sagt dazu, dass Sie für einen Datenschutz mit klar aufgezeigt
Linien wird, aber unterhalb dieser roten Linien auf konstruktive Lösung und einen Korridor des Möglichen abzielt und anbietet
Ferner forciert sie einen früheren und intensiveren Dialog
Gesellschaft, Gesetzgeber, Forschung und Wirtschaft, um eine Grundrechtssensible Digitalisierung zu ermöglichen. Sie möchte früh in Erfahrung bringen, wo die Beteiligten ihre Herausforderung sehen, um dann frühzeitig
Datenschutz konforme Lösungen anbieten,
Also ließ sich sehr, sehr gut. Sie konzentriert sich auf die richtigen Themen meines Erachtens, gerade in den benannten Bereichen ist sehr viel zu tun und vor allem auch zügig zu tun, ne, an seine Zeit einer Umsetzung wäre wünschenswert. Ich bin aber auch
ob und in welcher Ausprägung ein Wechsel von einem ja technisch ausgebildeten BFTI, Herrn Professor Kälber, der ist ja Informatiker, Frau ist Volljuristin, aber mit einer sehr Datenschutz äh intensiven WT. Sie lehrten
nur an der Uni Bonn die Themen zum Zivilrecht, sondern eben auch Datenschutzrecht und sie leitet dort auch eine Forschungsstelle für Rechtsfragen bei Einsatz neuer Technologien und Datenrecht
Sie hat auch darüber hinaus Bundesministerien und Parteien beraten, unter anderem als Vorsitzende des Sachverständigenrats für Verbraucherfragen. Also alles in allem gute Voraussetzungen, die von ihr genannten Schwerpunktthemen zu entwickel
Viel Erfolg, liebe Frau Schwächtriebenschneider.
Dem kann ich mich nur anschließen. Da ist alles gesagt, würde ich genauso unterschreiben.
Gut, dann komme ich zu meinem ersten Thema, nämlich dem Bußgeld gegen Clear View,
Die Entscheidung ist zwar schon vom 16. Mai, wurde aber diese Woche erst durch den EDP, also Europäische Board, veröffentlicht
Die niederländische Aufsichtsbehörde hat hier ein Bußgeld in Höhe von 30 Millionen, 500.000 Euro gegen Clearview verhängt
Cleovetet den Service Clearvio for law in Forcement and Public Defenders. Mit diesem Service es ist also eine Datenbank, die hier im Hintergrund ist,
Strafverteidigern komprimierter Hinweise mit mehr als 50 Milliarden Gesichtsbildern, die aus öffentlich zugänglichen Webquellen stammen, darunter auch Nachrichten, Medienverhandlungswebsites, öffentliche, soziale Medien und viele andere offene Quellen.
Bei diesem Service hat die Aufsichtsbehörde mehrere Datenschutzverstöße bemängelt. Zum einen,
Dass eine Rechtsgrundlage für diese Verarbeitung eben nicht vorliegt, zum anderen,
Also zweitens, dass hierbei auch biometrische Daten und damit Artikel neun, Absatz eins, DSGVO-Daten verarbeitet werden.
Und auch insofern eine Rechtsgrundlage nicht vorhanden ist. Dann hat die Aufsichtsbehörde auch einen Verstoß gegen Artikel zwölf, Absatz 1 und 4zehn, Absatz eins bemängelt.
Da keine angemessen Informationen der Betroffenen vorhanden sind oder gegeben werden, sowie einen Verstoß gegen Artikel zwölf, Absatz drei und Artikel 5zehn, DSGVO,
Da es konkret zwei betroffenen Anfragen gab, also zwei Auskunftsersuchen und diese nicht beantwortet wurden. Auch wird darüber hinaus die Ausübung des Auskunftsrechts nicht erleichtert.
Letztlich als fünften Punkt, der bemängelt wurde, ist, dass Clear-View kein Vertreter in der EU benannt hat, obwohl eine entsprechende Pflicht gemäß Artikel 27 gegeben sei.
Das Bußgeld beruht auf diesen Verstößen. Zusätzlich zum Bußgeld hat die Aufsichtsbehörde dem Unternehmen aber auch Anordnung erteilt oder beziehungsweise auferlegt,
Die sich auf die Beendigung den noch andauernden Verstöße beziehen.
Dies ist insofern nur konsequent, denn ansonsten, es kann ja nicht nur mit einem Bußgeld getan sein und die Verstöße weiterhin laufen gelassen werden, sondern natürlich sind die auch zu beenden.
Ich meine diese Fall zeigt, dass die Bußgeldhöhe
die in der DSGVO ja vorgesehen ist. 20 Millionen ist ja immer das, was man hört, dass da eben nicht das Ende der Fahnenstange ist, sondern je nachdem auch die andere Option, nämlich die
4 Prozent vom Umsatz auch gezogen werden und das ist ein gutes Beispiel dafür. Wir haben hier eine Vielzahl der Verstöße,
ist besonders bei den Grundlagen, bei den Rechtsgrundlagen oder auch bei den betroffenen Rechten und möglicherweise hat ja auch der Zweck der Verarbeitung und die damit einhergehenden möglichen Auswirkungen auf die Betroffenen auch zu der Bußgeldhöhe mit beigetragen. Das wissen wir nicht.
Kann ich mir aber gut vorstellen. Insofern, 30 Millionen ist viel, aber zum Teilen, also ich denke mal, sicherlich auch gerechtfertigt.
Wir hoffen, dass Kleve das Bußgeld akzeptiert oder beziehungsweise sich dementsprechend verhält und die Anordnung auch zeitnah umsetzt.
Die haben auch ehrlich gesagt auch nichts dem Zufall überlassen. Also wenn man sich das mal auf der Zunge zergehen lässt und das Daten
Verarbeitung stattfindet, ohne eine entsprechende Rechtsgrundlage fairerweise die Betroffenen darüber informiert, was mache ich äh mit den Daten, ne? Wie erhebe ich? Das ist ja alles nicht ohne Grund, ne. Das ist ja genau der Fokus unseres Themas, ne, dass da
und es geht ja nicht darum, dass wir die Daten an sich schützen, sondern den Bürger und ich glaube, der hat echt ein Recht darauf, das so verfahren wird,
Nee, also von daher 30,5 Millionen, ja, hört sich viel an, ist aber aus meiner Sicht ebenfalls, ne, gerechtfertigt.
Ich denke auch grade, wenn man sich überlegt, wie wie groß die Datenbank ist, in welchen
welchen Zweck der Verarbeitung wir hier wirklich haben bei Strafverteidigern, welche Auswirkungen für die Betroffenen damit einhergehen können und vor allem, das sind jetzt fünf Punkte, fünf Verstöße, die hier benannt wurden, wenn man bei den Grundlagen schon wesentliche
Punkte nicht so ganz richtig sind wie die Rechtsgrundlagen. Wer weiß, was da noch im Detail noch mal nicht so ganz richtig läuft.
Ja, genau,
Wir kommen zum nächsten Thema und zwar haben wir ein Urteil des Oberlandesgerichts München auf dem Tisch. Ist auch relativ frisch vom einunddreißigsten Sieb. Das Aktenzeichen wie immer verlinken wir in den Shownotes.
Gericht entschieden, dass zwar nicht jeder Verstoß gegen die Vorgaben der Datenschutzgrundverordnung einen wichtigen Kündigungsgrund im Sinne des Paragraf 26 BGB darstelle
aber die Weiterleitung von E-Mails mit sensiblen Daten oder Daten Dritter an private E-Mail-Accounts können jedoch einen wichtigen Grund darstellen und dabei ist es die Auffassung des Gerichts nicht nur auf den Inhalt der E-Mail abgestellt, sondern auch auf die Häufigkeit der Weiterleitung
in den E-Mails bei diesem zugrunde liegenden Fall ging es um Provisionsansprüche und Gehaltsabrechnung von Mitarbeitern
Schauen wir uns das mal ein wenig detaillierter an, was ist passiert? Ein Vorstand eines Unternehmens hatte unbefugt auf sensible, personenbezogene Daten zugegriffen und dieser an sein privates E-Mail-Konto weitergeleitet
Nach Kenntniserlangen durch den Arbeitgeber wurde die fristlose Kündigung ausgesprochen, worauf der Vorstand Kündigungsschutzklage eingereicht hat, die das Oberlandes.
München allerdings nicht entsprochen hat, ne. Also die hat die Wirksamkeit der fristlosen Kündigung bestätigt und sich dabei sehr wohl auf Paragraph 26 Absatz 1 gestützt, äh BGB, der eine Kündigung aus wichtigem Grunde erlaubt
Konkret wurde vorgeworfen und auch vom Gericht angeführt, dass die Mail auf einen Freemal-Account gesendet wurde, bei der das Gericht keine ausreichenden Sicherheitsmaßnahmen festgestellt hat
Ja, das heißt, ähm alles, was so zum Thema Verschlüsselung, ein Transportverschlüsselung und so weiter angefordert ist, ist halt
gegeben gewesen und letztendlich hat das Gericht da festgestellt, dass der Datenschutzverstoßes vorstandes neben dem Vertrauensbruch gegenüber dem äh Arbeitgeber.
Besondere der Verstoß gegen Artikel fünf. Also Grundsätze der Datenschutzgrundverordnung, Integrität und Vertraulichkeit sowie Artikel 6 Rechtmäßigkeit der Verarbeitung dermaßen verstoßen hat, dass diese Verstöße demnach so schwer wiegen, dass eine
Mahnung vorher nicht erforderlich war.
Das zeigt natürlich auch, wie wichtig es ist, die Mitarbeiter zu sensibilisieren, dass einfach keine Leitung an private E-Mails, Accounts erfolgen darf, einmal sensibilisieren, weil ich glaube, technisch ähm kann man das, glaube ich, nur ganz schwer oder kaum gar nicht
sicherstellen. Es geht wirklich nur daran, äh zu appellieren ans Verantwortungsbewusstsein und den Mitarbeitern auch zu erklären, warum das nicht gemacht werden soll. Das heißt organisatorische Maßnahmen ist hier, dass das Wort, was man ganz, ganz, ganz hoch halten sollte,
jedem Unternehmen.
Nur empfehlen, ne? Das, was du beschreibst,
darüber hinaus das Ganze regulatorisch noch abzubilden, ne, dass man entsprechende Datenschutzvereinbarungen hat mit den Mitarbeitenden, wie man umgeht, ne, mit ähm,
E-Mails, die man an private vielleicht weiterschickt, aber auch den E-Mail-Account, den man im Unternehmen hat, dass der nicht
privat genutzt werden darf, um das Thema eine eigene Hardware.
Es ist ein Thema, was sehr stark beleuchtet werden muss, ne. Also wir empfehlen tatsächlich und das sehen wir auch bei uns in der täglichen Praxis. Das sollte regulatorisch und auch organisatorisch und auch von der Akzeptanz her auf jeden Fall unterstützt werden.
Ist aber kein kleines Thema, sind wirklich viele Punkte, die man dabei im Unternehmen umsetzen könnte, um da einfach ein bisschen mehr Sicherheit reinzubringen. Und das sollte auch gemacht werden.
So, ich habe ein weiteres Bußgeld, wie am Anfang angekündigt, 00.000 Euro für eine Auskunft, die 14 Monate zu spät erteilt wurde und ohne Rücksprache mit dem DSB.
Die Entscheidung ist relativ frisch von Ende August. Hier hat die belgische Aufsichtsbehörde ein Bußgeld in der Höhe eben von 100.000 Euro gegen ein Telekommunikationsbetreiber verhängt.
Der Hintergrund ist, dass der Betroffene Kunde des TK-Betreibers war
Und im Anschluss an ein Schlichtungsverfahren auch noch mal von seinem Recht auf Auskunft Gebrauch gemacht hat
mit der Auskunft begehrte er Auskunft auch über die Zwecke der Verarbeitung.
Aber auch über die Identität der Mitarbeiter, die seine personenbezogenen Daten verarbeitet hatten und stellte zugleich auch den Antrag über den Messenger
Kanal der Beklagten gestellt hatte und in diesem Antrag bat er darum, ausdrücklich, dass seine Anfrage an den behördlichen Datenschutzbeauftragten weitergeleitet werden soll.
Obwohl seine Anfrage von zwei Mitarbeitern bearbeitet wurde, wurde sie weder erfüllt noch an den behördlichen Daten des Beauftragten weitergeleitet
Der Betroffene reichte daher eine Beschwerde bei der belgischen Aufsichtsbehörde ein. Im Rahmen der Bearbeitung oder des Austauschs zu dieser Beschwerde hat das Unternehmen 14 Monate nach dem Antrag die Auskunft erteilt
Und die belgische Aufsichtsbehörde sah darin die Forderung des Betroffenen hinsichtlich der Zwecke der Verarbeitung durch das Unternehmen als erfüllt.
Allerdings der Anspruch auf Ausruf über die Identität der Mitarbeiter des Unternehmens besteht nach Ansicht der Aufsichtsbehörde nicht, sodass das Auskunftsrecht nun mehr als beantwortet
bewertet wurde durch die Aufsichtsbehörde. Folgerichtig, wie ich finde, weil natürlich hat äh jeder Betroffene nur ein Recht auf Auskunft über seine eigenen Daten, nicht über die Daten der der Mitarbeiter des Unternehmens.
Aufgrund des Zeitpunkts der Auskunft, also 14 Monate nach Antragstellung und weil die Beklagte den Antrag des Klägers nicht an den DSB weitergeleitet hat.
Die Aufsichtsbehörde jedoch einen Verstoß gegen Artikel zwölf, Absatz zwei und drei und Artikel 5zehn, DSGVO als gegeben und verhängte dementsprechend die Geldbuße in Höhe von hunderttausend Euro. Das ist noch nicht rechtskräftig
Die Parteien haben noch 30 Tage Zeit, Rechtsmittel gegen die Entscheidung einzulegen. Diese Rechtsmittelfrist läuft noch. Von daher mal schauen, ob da eine der Parteien sich dagegen noch verwehren möchte
Wie gesagt, bei 14 Monaten für eine Auskunftserteilung ist ein Bußgeld gut nachvollziehbar und von der Höhe denke ich auch irgendwo vertretbar. Wir werden schauen,
Ob das nochmal aufgegriffen wird das Thema
nicht so ganz klar ist allerdings oder beziehungsweise geht aus der Meldung des EDP nicht hervor, inwiefern die Nichtweiterleitung an den DSB hier ebenfalls zur Bußgeldverhängung beigetragen hat oder auch einen Verstoß darstellt, wäre vielleicht auch ein ein Thema fürs Wochenende.
Das ist das Stichwort. Wir sind schon ja,
doch nicht ganz für uns, aber wir sind schon bei dem Stichwort Wochenende, was mache ich da, was kann ich da lesen oder wo kann ich da hingehen. Wir sind in der Rubrik Veranstaltung und Veröffentlichung.
Und äh der erste Hinweis äh trägt den Titel.
Das ist schon mal ein sehr spannender Titel, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz Professor Doktor Dieter Kugelmann hat
am 409. eingeladen und zwar zu einem Pressegespräch unter dem Titel Best of
in dem er lebensnahe Datenschutzfälle aus den vergangenen zwölf Monaten vorgestellt hat, ne? Also wir beziehen uns auf zwanzig dreiundzwanzig und vierundzwanzig,
Diese Fälle gehen auf Beschwerden und Meldungen von Daten
Rheinland-Pfälzischer Bürgerinnen und Bürger äh sowie Unternehmen zurück und äh laut Herrn äh Professor Doktor Kugelmann geht die Behörde jährlich dabei, 1.500 Beschwerden nach. Ich hab’s mir angeschaut, äh es sind ähm ja es sind sechs Seiten
Dokument ist absolut sehr kurzweilig, äh liest sich sehr spannend. Sind einige ja Geschichten dabei zum Schmunzeln, aber auch äh natürlich mit mit ernstem Hintergrund.
So hat zum Beispiel ähm eine Mutter, eine VR-Brille für ihren Sohn gekauft. Das war
offensichtlichen Rückläufer in dem Geschäft und das Gerät hat noch die,
äh des Vorgängers äh gespeichert, äh wonach äh wonach jetzt ja alle Social Media Kunden, die man sich vorstellen kann, schon
aktiviert und äh immer noch online waren oder es geht hierbei um ein Telefonat einer Bankan,
die in der Filiale im Public Bereich dieses Gespräch geführt hat. Danach wussten alle Anwesenden über die finanzielle Situation, über eine namentlich angesprochene Kundin Bescheid, versehentlich ist die nächste Geschichte versehentlich veröffentliche Zeugnisse von.
Sowie Fotos von Polizeibeamten ähm wird beschrieben,
durch einen IT-Fehler in einer Polizeidienststelle, wo nicht nur konkrete Fahndungsfotos auf einer Webseite veröffentlicht wurden, sondern auch die oben genannten Daten, also alles in allem sehr spannend und lesenswert. Ähm
kann man sich sehr gut anschauen. Das Best of Datenschutz wird auch als Handout angeboten. Auf der Webseite des äh der Landesaufsicht in Rheinland-Pfalz kann das sechs Seiten Dokument downloaded werden.
Auch, wenn man sich das durchliest, mit absolutem Bezug zur Datenschutzpraxis im beruflichen Alltag, ne. So blicken Bürger letztendlich auf Verarbeitung beziehungsweise Datenpannen und auf
Konsequenzen und Maßnahmen, die letztendlich wir mit unseren Kunden entwickeln.
Apropos Bezug im beruflichen Alltag,
Dahin geht auch meine ähm Veröffentlichung und Veranstaltung beziehungsweise Veröffentlichung konkret. Es ist ein Beschluss des OLG Koblenz vom einunddreißigsten.
Diesen Jahres,
Hier geht es um die Veröffentlichung von Videos, insbesondere in sozialen Netzwerken und die damit einhergehende Einwilligung, beziehungsweise die Modalitäten der Möglichkeiten von der Renn-Wiederrufbarkeit,
Hier wurde die Einwilligung der Einwilligungstext der vom Betroffenen unterzeichnet wurde,
Nicht nur auf Artikel sieben, DSGVO gestützt, sondern auch das Kunsturhebergesetz wurde hier mit äh mit einbezogen,
und die Möglichkeit zum Widerruf der Einwilligung ausgeschlossen.
Ich habe mir diesen Satz angeschaut in dem Urteil, da stand drin, mir ist bewusst, dass ich diese Einwilligung nicht widerrufen kann. Das wandert dann ja, folgerichtig irgendwann, wollte dann der Betroffene, aber dass das Video gelöscht wird und wollte die Einmündung widerrufen
Euer G hat geurteilt, dass die Einwilligung wirksam ist und ein Widerrufsrecht nicht besteht. Ich denke, dass es auch für die Praxis ein
Relevantes Thema. Wir sehen das immer wieder bei unseren Beratungen, dass äh bei Unternehmen Videos aufgenommen werden, ob jetzt von Mitarbeitern oder äh von Veranstaltungen, die dann veröffentlicht werden sollen und dann ist natürlich die Frage, wie gehen wir damit um, wenn einer der
mit aufgenommenen Personen, eine der Betroffenen, dann ähm in der Zukunft ähm die Einwirkung widerrufen möchte,
Was machen wir dann mit dem Video? Wird das insgesamt gelöscht äh im im Internet? Ähm
nicht immer einfach. Vielleicht hat das Video auch Geld gekostet. Insofern glaube ich ein sehr lesenswertes Urteil. Ich hab’s mir auch nicht nicht durchgelesen. Das klingt nach einem busy busy Wochenende.
Ähm mal schauen ähm ich kann’s oder ja ich werd’s mir durchlesen.
Ich auch. Das hört sich echt sehr, sehr spannend an. Ich glaube, wir sind durch, ne, Natalia.
Wir sind durch. Wir sind fertig. Aber das Wochenende kommt noch nicht, noch ein bisschen.
Wir müssten auch, wir dürfen noch.
Wir freuen uns,
So, das heißt, ähm wir sind am Ende unserer Folge. Ich hoffe, es hat Ihnen gefallen. Wir wünschen Ihnen viel Spaß,
beim Zuhören. Ein schönes Wochenende, wenn Sie da heute noch reinhören und einen guten Start in die neue Woche, wenn Sie erst am Anfang der nächsten Woche,
hineinhören und das Neue vom Datenschutz mitnehmen möchten. Wir freuen uns, wenn Sie weiterhin dabei sind und sagen tschüss, bis zum nächsten Mal.
Danke dir, Notali, es hat Spaß gemacht. Tschüss, vielen Dank, alles Gute, bis dahin, ciao.
