Blog
Gerne informieren wir Sie über einzelne Aspekte der DSGVO
Datenlöschung
Löschkonzept
Erwägungsgrund 39 der DSGVO sieht vor, daß der Verantwortliche Fristen für die Löschung personenbezogener Daten beachtet um sicherzustellen, dass diese nicht länger als nötig gespeichert werden.
Was bedeutet die nun in der Praxis? Zunächst sind die gesetzliche und vertraglichen Regelungen zu analysieren. Steuerlich relevante Daten sind danach regelmäßig 10 Jahre aufzubewahren, nach dem Handelsgesetzbuch gilt etwa meist eine Aufbewahrungsfrist von 6 Jahren. Andere Daten, etwa Bewerberdaten, sind nach Beendigung des Bewerbungsverfahrens sofort zu löschen, sofern keine weitergehende Einwilligung zur Speicherung etwa in einem Bewerberpool eingeholt wurde. Sofern Ansprüche nach dem AGG in Betracht kommen, dürfen die Daten zur Anspruchsabwehr noch etwa ein halbes Jahr gespeichert werden.
Doch was ist Löschung? Dies ist für die Vielzahl der verwendeten Datenträger nicht einheitlich zu beantworten. Bei Festplatten (HDD oder SSD), CDs, USB-Sticks, Magnetbändern, der Speicherung auf Ihrem Server, auf NAS-Systemen oder in der Cloud ist jeweils sicherzustellen, daß die Daten nicht mehr lesbar sind. Sofern Sie sich hierzu nicht spezieller Dienstleister bedienen, müssen Sie sich selbst mit der Speichertechnik und der möglichen Wiederherstellung der Daten befassen. Eine Entsorgung über den Restmüll scheidet jedenfalls aus. Oft wird die physische Zerstörung der einzige Weg sein, die Daten sicher zu entfernen.
Hashwert
Hashwert anonym?
ine Hashfunktion bildet eine große Eingabemenge auf eine kleinere Zielmenge so ab, dass eine Rückrechnung unmöglich ist. Neben der Prüfsummenbildung finden diese Funktionen vor allem in der Kryptologie Anwendung. Wohl am häufigsten verwendet ist dabei der MD5-Hash.
Da die DSGVO nicht auf anonyme Daten anwendbar ist, stellt sich die Frage, ob durch die Verarbeitung von Hashwerten eine solche Anonymisierung erreicht werden kann.
Ein Beispiel, bei dem diese Frage verneint werden kann, ist die Kennzeichenerkennung. Diese findet in vielfältiger Weise Anwendung, etwa bei Verkehrszählungen oder in Parkhäusern zur Erfassung der Parkdauer.
Nicht umsonst hat daher das Bundesverfassungsgericht schon in seinem Beschluss vom 18.12.18 – 1 BvR 142/15 – festgestellt, dass diese einen Eingriff in das Grundrecht auf informationelle Selbstbestimmung aller Personen darstellt, deren Kennzeichen in die Kontrolle einbezogen wird.
Denn die Struktur von Kraftfahrzeugkennzeichen ist einfach: Bis zu 4 Zahlen folgen auf zwei bis 5 Buchstaben. Leicht lässt sich eine sogenannte „Rainbow Table“ mit allen denkbaren Kombinationen erzeugen. Eine Rückrechnung ist dann nicht mehr erforderlich, es reicht ein bloßes Nachschlagen oder Vergleichen. Bei heutiger Rechenleistung vergehen dabei allenfalls wenige Minuten.
Eine Anonymisierung kann nur erreicht werden, wenn die Eingabewerte nach Struktur und Länge unbekannt sind oder – wie im Falle des Kfz-Kennzeichens – diese mit einem „Salt“, einer langen ergänzenden Zeichenkette – aufgefüllt werden, bevor der Hashwert errechnet wird.
ISO 27001
Datenschutz braucht Datensicherheit
Nach Art. 32 DSGVO treffen Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Beispielhaft nennt die DSGVO Pseudonymisierung und Verschlüsselung personenbezogener Daten, die Fähigkeit die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen und die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.
Die getroffenen technischen und organisatorischen Maßnahmen (TOM) sollen regelmäßig überprüft, bewertet und evaluiert werden.
Das Bundesamt für Sicherheit in der Informationstechnik hat einen Leitfaden zur Umsetzung des IT-Grundschutzes veröffentlicht.
Strafen
Strafen in der DSGVO
20 Millionen Euro oder 4% des weltweiten Jahresumsatzes als Bußgeld – das ist nicht die Höchststrafe! Der Gesetzgeber hat in § 42 BDSG für bestimmte Verstöße gegen die DSGVO auch Freiheitsstrafen bis zu 3 Jahren vorgesehen, etwa wenn wissentlich und gewerbsmäßig nicht allgemein zugängliche personenbezogene Daten einer großen Zahl von Personen zugänglich gemacht werden, ohne daß hierzu eine Berechtigung vorliegt.
About us
Unserer Expertise können Sie vertrauen.
Die Datenschutzkonferenz der Länder (DSK) hat im April 2019 eine neue Orientierungshilfe zum Webtracking veröffentlicht. Danach kann nicht mehr jede Trackingmaßnahme nach Art. 6 Abs. 1 Satz 1 Lit. f mit dem berechtigten Interesse legitimiert werden; in vielen Fällen bedarf es vielmehr einer ausdrücklichen Einwilligung des Website-Nutzers, insbesondere bei Website-übergreifenden Analysen.
Wird eine individuelle Nutzer-ID oder Browser-Fingerprinting verwendet, muß der Nutzer einwilligen. Wird nur allgemein die Website-Nutzung analysiert, etwa durch Zähl-Pixel oder oder sonstige anonymisierten Datenerfassungen, ist eine Einwilligung nicht erforderlich.
Analysieren Sie daher sorgfältig, welche Tracking-Verfahren bei Ihnen zum Einsatz kommen.
Facebook und DSGVO
Es gibt Unternehmen, die sich ausschließlich mit Social Media Monitoring beschäftigen. Offenbar ein lohnender Markt – auch für die Kunden, die ihren Umsatz optimieren.
Datenschutzrechtlich wird insbesondere die Facebook-Fanpage kritisch bewertet. Der EuGH hat im Juni 2018 (C 210/16) entschieden, daß die Betreiber der Fanpages gemäß Art. 26 DSGVO gemeinsam mit Facebook für die Datenverarbeitung verantwortlich sind.
Mit Beschluss vom 01.04.19 hat die Datenschutzkonferenz sich zur Verantwortlichkeit und Rechenschaftspflicht bei Facebook-Fanpages positioniert. Ein datenschutzkonformer Betrieb der Fanpages sei nicht möglich, da nicht einem eine hinreichende Kenntnis der Verarbeitungstätigkeiten durch Facebook seitens der Seitenbetreiber gewährleistet sei.
Mit Urteil vom 11.09.19 (6 C 15.18) hat das Bundesverwaltungsgericht schließlich entschieden, dass die Datenschutzbehörde den Betrieb einer Facebook Fanpage untersagen kann.
Unternehmen sollten folglich ihre Fanpages abschalten, um Bußgelder zu vermeiden.
Auch die Verwendung des Facebook-Like-Buttons ist keine gute Idee: Der EuGH (C-40/17 – Fashion-ID) hat hierzu entschieden, dass auch hier der Websitebetreiber mitverantwortlich ist, wenn das Plugins die IP-Adresse der Nutzer und deren Browser-String automatisch übermittelt.
Hier besteht immerhin die Möglichkeit, sich die Einwilligung des Nutzers durch entsprechende Tools wie etwa die Sheriff-Lösung des Heise-Verlages einzuholen.
Immer wieder gibt es auch Meldungen über Datenlecks: So sollen Handynummern und Profil-Identifikationsnummern einer beachtliche Zahl von Nutzern zweiteilig offen im Netz abrufbar gewesen sein. Solche Vorfälle sind der Aufsichtsbehörde binnen 72 Stunden zu melden.
Bei der Verarbeitung von Daten auch andere Social Media Unternehmen liegt meist eine Datenübertragung in das außereuropäische Ausland vor. Diese ist nur zulässig, wenn das Unternehmen etwa nach dem Privacy-Shield-Abkommen zertifiziert ist oder EU-Standardvertragsklauseln vereinbart werden. Zusätzlich ist die Einwilligung des Nutzers und ein Auftragsverarbeitungsvertrag erforderlich.
Videoüberwachung
Die technischen Möglichkeiten der Videoüberwachung sind verlockend: Hohe Kameraauflösungen, billiger Speicherplatz, Selektion von Videosequenzen über Bewegungsmelder oder Bilderkennungssoftware ermöglichen nahezu unbegrenzte Kontrollmöglichkeiten.
Datenschutzrechtlich ist natürlich bei weitem nicht alles erlaubt, was möglich ist:
Als Rechtsgrundlage für die Videoüberwachung wird mangels ausdrücklicher Einwilligung des Betroffenen in der Regel Art. 6 Abs 1 Lit. f DSGVO herangezogen.
Die Verarbeitung ist danach rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Neben der Interessenabwägung, die wegen Art. 5 Abs. 2 DSGVO unbedingt zu dokumentieren ist, ist regelmäßig zusätzlich eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich. Hierzu hat die Datenschutzkonferenz das Kurzpapier Nr. 5 veröffentlicht.
Der Europäische Datenschutzausschuss hat zum Thema Videoüberwachung eine ausführliche Guideline veröffentlicht.
Die Verletzung datenschutzrechtlicher Vorschriften kann im übrigen auch zivilrechtliche Ansprüche auslösen. So hat etwa das Landesarbeitsgericht Mecklenburg-Vorpommern einem Arbeitnehmer, der über eine verdeckte Videokamera während seiner Tätigkeit überwacht wurde, ohne dass der Verdacht einer Straftat bestand, eine Geldentschädigung in Höhe von € 2.000 zugesprochen.