Datenschutzberatung

Das Bayerische Landesamt für Datenschutzaufsicht hat am 10.10.2017 per Pressemitteilung [https://www.lda.bayern.de/media/pm2017_08.pdf], auf seinen Webseiten [https://www.lda.bayern.de/de/pressemitteilungen.html] und per
RSS-Feed [https://www.lda.bayern.de/de/rss.xml] über die neueste Prüfaktion informiert.

Unter Online-Services, HTTPS-Check [https://www.lda.bayern.de/de/httpscheck.html] bietet das BayLDA einen neuen Online-Service mit der Möglichkeit an, dass konkrete Webseiten zur Überprüfung mitgeteilt werden. Unternehmen, die ihre Website prüfen lassen möchten, erhalten ein schriftliches Feedback, Bürger, die Websites zur Prüfung mitteilen, erhalten kein Feedback, können sich „allerdings sicher sein, dass wir die Einhaltung der Mindestanforderungen an die HTTPS-Verschlüsselung bei den gemeldeten Webseiten sicherstellen werden.“.

Was passiert nach der Prüfung? Hier geben die Hinweise [https://www.lda.bayern.de/de/httpscheckhinweis.html] und auch die oben genannte Pressemitteilung Auskunft:

Das BayLDA prüft sowohl vom BayLDA selbst erhobene Webseiten als auch solche, die von Betroffenen bzw. Webseitenbesuchern per Mail oder über die Seite HTTPS-Check bekanntgegeben worden sind.

Das BayLDA prüft, ob die Webseite auf Grund der angebotenen Dienste verschlüsselt sein muss und ob die sie betreibende Stelle aus Bayern ist, sprich im Zuständigkeitsbereich des BayLDA.

Wenn dieses der Fall ist, wird geprüft, ob der Stand der Technik eingehalten wird. Zitat:
"Anhand eines eigenhändig erstellten Prüfskripts auf Basis der OpenSSL-Bibliothek werden die Webseiten automatisiert daraufhin überprüft, ob die HTTPS-Transportverschlüsselung dem Stand der Technik entspricht. Unter anderem werden folgende Kriterien dabei berücksichtigt:

• Priore Verwendung von Perfect Forward Secrecy (PFS)
• Kein Einsatz veralteter Verschlüsselungsprotokolle (SSL2, SSL3)
• Zertifikate mit mindestens 2048-Bit Schlüssellänge
• HTTP Strict Transport Security (HSTS) zur Eindämmung der Risiken von Man-in-the-Middle-Angriffen
• Keine Verwendung von unsicheren Kryptoalgorithmen (z. B. RC4, SHA-1)"

Was sind die Konsequenzen der Prüfung? Dazu ein weiteres Zitat:
"Alle Unternehmen, deren Webseiten von uns überprüft wurden, erhalten einen kurzen automatisch generierten Prüfbericht. Soweit die Webseiten über eine ausreichende Verschlüsselung verfügen, wird dies entsprechend schriftlich bestätigt. Sollten jedoch Mängel durch die Prüfung erkannt werden, so werden diese dem Betreiber mit der Aufforderung mitgeteilt, innerhalb einer Frist die erforderlichen Maßnahmen zur Verschlüsselung umzusetzen.
Sofern Betreiber von Webseiten ohne ausreichende Begründung der Verpflichtung, eine angemessene Verschlüsselung vorzusehen, nicht nachkommen, wird das BayLDA durch eine entsprechende Anordnung die Betreiber verpflichten, die Verschlüsselung zu implementieren und, falls dieser Anordnung nicht nachgekommen wird, gegebenenfalls ergänzend einen Bußgeldbescheid gegen den Verantwortlichen erlassen."

Das BayLDA kündigt außerdem in der Pressemitteilung an, dass diese Prüfaktion nur die erste in einer geplanten Serie von Prüfzenarien sein wird. Es soll demnächst auch eine Prüfaktion zum Patch-Management durchgeführt werden. Sobald dieses der Fall ist, wird das BayLDA über die bekannten Kanäle darüber informieren.

Zur Motivation der Prüfaktion Andreas Sachs, Vertreter des Präsidenten und gleichzeitig Leiter des Referats für IT- Sicherheit und technischen Datenschutz im BayLDA (Zitat aus der Pressemitteilung):
"Wir wollen auch künftig unseren Teil dazu beitragen, dass die Anzahl kritischer Vorfälle in Bayern möglichst gering bleibt und im Zweifelsfall, wenn es doch dazu kommt, dass der Schaden durch eine gezielte Aufarbeitung minimiert wird."
Und weiter Andreas Sachs:
"Prävention bleibt auch im technischen Datenschutzumfeld das A und O. […] Sollten wir jedoch bei unseren Prüfungen auf 'schwarze Schafe' treffen, die sich weigern, den gesetzlichen Anforderungen an den Datenschutz nachzukommen, werden wir diese mit Anordnungen oder Bußgeldern zwingen, den Grundrechtsschutz ihrer Beschäftigten, Kunden und/oder Interessenten zu wahren.“

Diese Prüfaktion wird voraussichtlich mindestens zwei Konsequenzen haben:

• Es werden sicherlich reichlich Webseiten gemeldet werden, da sich dieses Formular ja auch ausdrücklich an Privatpersonen wendet.
• Da das BayLDA auch in der Vergangenheit bereit war, Prüfmechanismen anderen Aufsichtsbehörden für den Datenschutz zur Verfügung zu stellen, liegt die Vermutung nahe, dass bald auch andere Bundesländer diese oder eine ähnliche Art der Prüfung anbieten werden. Deswegen sollte diese Prüfaktion über die Landesgrenzen Bayerns hinaus aufmerksam durch deutsche Webseitenbetreiber beobachtet werden und diese sollten sich die Frage stellen, ob sie, falls die für sie zuständige Aufsichtsbehörde ähnliche Prüfaktionen startet, diese gut überstehen würden.

Als fazit bleibt festzuhalten:
Jedermann kann ab sofort Webseiten bayerischer Unternehmen zur Prüfung beim BayLDA einmelden (mit der Folge, dass sich dann das BayLDA meldet, ganz ohne dass der Betroffene gegenüber dem Unternehmen auch nur in Erscheinung treten muss).

Haben Sie Fragen zur angemessenen Verschlüsselung von Webseiten? Wir informieren Sie gerne umfassend zu diesem Thema!

Die Datenschutzkonferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) veröffentlicht seit Anfang Juli 2017 in lockerer Folge Kurzpapiere als erste Orientierung, wie nach Auffassung der DSK die Datenschutz-Grundverordnung (DS-GVO) im praktischen Arbeiten angewendet werden sollte (siehe dazu DS-GVO - Neues Kurzpapier der Datenschutzkonferenz veröffentlicht und DS-GVO - Weitere Kurzpapiere der Datenschutzkonferenz veröffentlicht).

Hier geht es zum 9. Kurzpapier (Zertifizierung nach Art. 42 DS-GVO).
Hier geht es zum 10. Kurzpapier (Informationspflichten bei Dritt- und Direkterhebung).
Hier geht es zum 11. Kurzpapier (Recht auf Löschung / „Recht auf Vergessenwerden“).

Die neuen Kurzpapiere beschäftigen sich mit der Möglichkeit der Zertifizierung von Datenachutz gemäß Art. 42 DS-GVO (wie kann der Verantwortliche oder der Auftragsverarbeiter die Einhaltung der DS-GVO bei Verarbeitungsvorgängen nachweisen), mit den Informationspflichten bei Dritt- und Direkterhebung und mit dem Recht auf Löschung / „Recht auf Vergessenwerden“.

Sie finden die elf bisher veröffentlichten Kurzpapiere (u.a. auch) auf der Seite des Landesbeauftragten für den Datenschutz Sachsen-Anhalt:
https://datenschutz.sachsen-anhalt.de/informationen/internationales/datenschutz-grundverordnung/auslegungshilfen-zum-neuen-datenschutzrecht/

Diese Kurzpapiere stehen alle unter dem Vorbehalt einer zukünftigen – möglicherweise abweichenden – Auslegung des Europäischen Datenschutzausschusses. Dennoch bieten sie für den Moment wertvolle Auslegungshinweise.

Haben Sie Fragen zur Auslegung der Anforderungen aus der DS-GVO? Sprechen Sie uns an, wir beraten Sie gerne dazu.

Am 27.08.2017 hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) auf seiner Webseite einen Leitfaden zum Swiss-US Privacy Shield veröffentlicht.

Der in drei Teile gegliedert Leitfaden soll „einfach und verständlich“ über folgende Themenbereiche informieren:

• Verpflichtungen der für Privacy Shield zertifizierten Unternehmen und Rechte der betroffenen Personen.
• Wie kann Beschwerde gegen ein für Privacy Shield zertifiziertes Unternehmen erhoben werden?
• Die Ombudsstelle: Anlaufstelle für Beschwerden betreffend Personendatenbearbeitungen durch US Behörden.

Der EDÖB hatte im Vorfeld schon Hinweise zum Swiss-US Privacy Shield veröffentlicht.

Die EU-Kommission hatte im Juli 2016 die Angemessenheitsentscheidung zum EU-US Privacy Shield getroffen. Dieses kann seitdem als Rechtsgrundlage für Datenübermittlungen in die USA dienen.

Die Schweiz ist ein von der EU-Kommission anerkannter sicherer Drittstaat, deswegen werden regelmäßig Anstrengungen unternommen, wesentliche Vereinbarungen ähnlich denen, die die EU vereinbart hat, abzuschließen, um diesen Status nicht zu verlieren.

Vom Aufbau, Inhalt und Layout her ähnelt der Leitfaden stark demjenigen Leitfaden (Guide for citizens, english), den die EU-Kommission zum EU-US Privacy Shield bereitgestellt hat.
Diesen Leitfaden zum EU-US Privacy Shield gibt es auch in einer (optisch nicht so ansprechenden) deutschen Übersetzung.

Haben Sie Fragen zu Datentransfers in Drittstaaten? Wir informieren Sie gerne umfassend zu diesem Thema!

Das Bundesministerium des Innern (BMI) hat am 15.08.2017 per Mail unter anderem Datenschutzverbänden die englische Übersetzung des Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) zukommen lassen - Act to Adapt Data Protection Law to Regulation (EU) 2016/679 and to Implement Directive (EU) 2016/680.

Am 05. Juli 2017 wurde das DSAnpUG-EU im Bundesgesetzblatt veröffentlicht, seitdem besteht die Möglichkeit, sich mit den speziellen Regelungen zum Datenschutz, die in Deutschland ab 25.05.2018 abweichend bzw. ergänzend zur DS-GVO gelten werden, zu beschäftigen.

Unternehmen sind mitunter Bestandteil internationaler Konzernstrukturen, hier ist es hilfreich, im englischsprachigen Ausland ein vergleichbares Dokument zur Hand zu haben. Umso begrüßenswerter ist die Übersetzung des BMI als Hilfestellung für die Praxis.

Wir informieren Sie gerne umfassend zu diesem Thema!

Homann: „Werden Kampf gegen telefonische Belästigung weiter intensivieren“
Die Bundesnetzagentur hat gegen die Energy2day GmbH laut Pressemitteilung vom 2. August 2017 das höchstmögliche Bußgeld von 300.000 Euro verhängt. Auslöser für das Bußgeld waren rechtswidrige Werbeanrufe für Energielieferverträge.
„Nur ärgern und auflegen bringt nichts, Verbraucher sollten unerlaubte Werbeanrufe bei uns melden. Wenn wir detaillierte Schilderungen haben, können wir konsequent dagegen vorgehen“ sagt Jochen Homann, Präsident der Bundesnetzagentur.

Telefonwerbung für Energielieferverträge
Bei der Bundesnetzagentur hatten sich rund 2.500 Verbraucher über Werbeanrufe der Energy2day GmbH beschwert. Zahlreiche Verbraucher berichteten, dass sich die Anrufer als ihr örtlicher Energieversorger ausgegeben oder behauptet haben, sie würden mit diesem zusammenarbeiten. Ziel war es, die Verbraucher zum Wechsel ihres Stromlieferanten zu bewegen.
Wettbewerber im Energiemarkt sahen sich wegen dieses Vorgehens der Energy2day GmbH bereits zu umfangreichen zivilrechtlichen Rechtsstreitigkeiten im gesamten Bundesgebiet gezwungen.

Verantwortung für Verhalten von Subunternehmern
Die Energy2day GmbH hatte eine kaskadenartige Vertriebsstruktur aufgebaut und mit einer Vielzahl an Untervertriebspartnern u.a. auch im Ausland zusammengearbeitet, die als Subunternehmer Anrufe in Deutschland getätigt haben.
„Der aktuelle Fall macht klar: Rechtliche Verantwortung kann nicht an Subunternehmer wegdelegiert werden“, betont Homann. Wer Subunternehmen mit telefonischen Marketingkampagnen beauftragt, dem obliegen als Auftraggeber umfangreiche Aufsichtspflichten. Ist es in einer Vertriebsstruktur bereits zu Rechtsstreitigkeiten wegen unlauterem Marktverhalten gekommen, bestehen erst recht gesteigerte Aufsichtspflichten.

Höchstes je verhängtes Bußgeld
Im aktuellen Verfahren wurde der gesetzlich vorgesehene Bußgeldrahmen von der Bundesnetzagentur erstmals voll ausgeschöpft. Das Unternehmen hat ausgesagt, kein Telefonmarketing gegenüber Verbrauchern mehr zu betreiben. Die Bundesnetzagentur wird dies beobachten.
Die Geldbuße ist noch nicht rechtskräftig. Über einen möglichen Einspruch entscheidet das Amtsgericht Bonn.

Bundesnetzagentur schreitet ein
Im Jahr 2017 hat die Bundesnetzagentur bereits Bußgelder in Höhe von über 800.000 Euro wegen unerlaubter Telefonwerbung verhängt. Im Jahr 2016 waren es insgesamt 895.000 Euro, 2015 waren es rund 460.000 Euro. Im ersten Halbjahr 2017 gingen bei der Bundesnetzagentur rund 26.000 schriftliche Beschwerden über unerlaubte Telefonwerbung ein. Im vergangenen Jahr waren es rund 29.000 Fälle. Ein Teil der Beschwerden 2017 dürfte auch auf umfangreiche Berichterstattung und intensivere Kommunikation der Bundesnetzagentur zurückzuführen sein.
Quelle: Pressemitteilung der Bundesnetzagentur, Bonn, 2. August 2017, online abrufbar unter: https://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Allgemeines/Presse/Pressemitteilungen/2017/31072017_Bussgeld.pdf?__blob=publicationFile&v=4

Bedeutung für die Unternehmenspraxis:
Das von der Bundesnetzagentur verhängte Bußgeld macht klar, dass zukünftig noch härter seitens der Bundesnetzagentur gegen unerlaubte Telefonwerbung vorgegangen wird. Verbraucherinnen und Verbraucher ohne deren ausdrückliche vorherige Einwilligung zu Werbezwecken anzurufen, ist gemäß dem Gesetz gegen den unlauteren Wettbewerb (UWG) gesetzlich verboten. Fehlt eine solche Einwilligung, handelt es sich um einen unerlaubten Werbeanruf, einen sogenannten „Cold Call”.
Werbende sollten sich bereits im Vorfeld über die (wettbewerbs-)rechtlichen Erfordernisse an Werbemaßnahmen Gedanken machen. Zudem berührt die Verarbeitung von personenbezogenen Daten von Kunden zu Werbezwecken datenschutzrechtliche Aspekte, die es zu berücksichtigen gilt.

Haben Sie Fragen zur Verarbeitung personenbezogener Daten von Kunden zu Werbezwecken? Sprechen Sie uns an, wir beraten Sie gern dazu.

Die Datenschutzkonferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) veröffentlicht seit Anfang Juli 2017 in lockerer Folge Kurzpapiere als erste Orientierung, wie nach Auffassung der DSK die Datenschutz-Grundverordnung (DS-GVO) im praktischen Arbeiten angewendet werden sollte (siehe dazu auch DS-GVO - Neues Kurzpapier der Datenschutzkonferenz veröffentlicht).

Hier geht es zum 5. Kurzpapier (Datenschutz-Folgenabschätzung).
Hier geht es zum 6. Kurzpapier (Auskunftsrecht).
Hier geht es zum 7. Kurzpapier (Marktortprinzip).
Hier geht es zum 8. Kurzpapier (Massnahmenplan).

Die neuen Kurzpapiere beschäftigen sich mit der Datenschutz-Folgenabschätzung (DFSA) gemäß Art. 35 DS-GVO (was ist eine DSFA, wann ist sie durchzuführen, wie ist sie durchzuführen), mit dem Auskunftsrecht gemäß Art. 15 DS-GVO (Umfang des Auskunftsrechts, Prozess der Auskunftserteilung, Grenzen des Auskunftsrechts), mit dem Marktortprinzip gemäß Artikel 3 DS-GVO (wann finden Regelungen der DS-GVO auch für Unternehmen aus Drittländern Anwendung) und mit dem Maßnahmenplan (einige Tipps der Datenschutzkonferenz zum Projekt zur Umstellung auf die DS-GVO).

Sie finden die acht bisher veröffentlichten Kurzpapiere (u.a. auch) auf der Seite des Landesbeauftragten für den Datenschutz Sachsen-Anhalt:
https://datenschutz.sachsen-anhalt.de/informationen/internationales/datenschutz-grundverordnung/auslegungshilfen-zum-neuen-datenschutzrecht/

Diese Kurzpapiere stehen alle unter dem Vorbehalt einer zukünftigen – möglicherweise abweichenden – Auslegung des Europäischen Datenschutzausschusses. Dennoch bieten sie für den Moment wertvolle Auslegungshinweise.

Haben Sie Fragen zur Auslegung der Anforderungen aus der DS-GVO? Sprechen Sie uns an, wir beraten Sie gerne dazu.