Update: 17.01.2021, 19:30 Uhr

WhatsApp-Nutzer werden derzeit über eine Popup-Info darauf hingewiesen, dass die Datenschutzrichtlinie und die Nutzungsbedingungen für den WhatsApp Messenger angepasst wurden. Sie werden darin aufgefordert, bis zum 8. Februar 15. Mai 2021 ihre Zustimmung in die Änderung der Nutzungsbedingungen zu erteilen. Wer nicht zustimmt, wird den Messenger ab dem Stichtag nicht mehr nutzen können. 

Was machte die deutschsprachige Medienlandschaft daraus?

Die Popup-Meldung führte bei vielen Nutzern zur Verwirrung darüber, was genau die Änderungen der WhatsApp-AGB und Datenschutzhinweise zu bedeuten haben. Dabei haben leider nur sehr wenige Berichte der bekannten Medien zur Aufklärung beigetragen. Stattdessen haben sie mit klickträchtigen Headlines um sich geschmissen, ohne sich mit wichtigen Gesichtspunkten auseinanderzusetzen.

Die folgenden Punkte im Zusammenhang mit den neuen WhatsApp-AGB kamen dabei zu kurz oder wurden gar nicht erwähnt:

• Wenn Du in der “Region Europa” lebst, werden Deine WhatsApp Dienste von der WhatsApp Ireland Limited bereitgestellt. Welche Länder zur “Region Europa” gehören, erfährst Du weiter unten im Artikel.
• Wenn Du nicht in der Region Europa lebst, werden Deine WhatsApp Dienste von WhatsApp LLC bereitgestellt.
• Dementsprechend existieren zwei verschiedene Versionen der Nutzungsbedingungen und Datenschutzrichtlinien. Darauf wurde in vielen Berichten zunächst nicht oder nur unzureichend hingewiesen. Die neuen Nutzungsbedingungen für die Region Europa findest Du hier, die neue Datenschutzrichtlinie hier. Die neuen Nutzungsbedingungen für Nutzer außerhalb von Europa findest Du hier und die neue Datenschutzrichtlinie für diese Nutzer ist hier zu finden.
• Wie Niamh Sweeney, Director of Policy bei WhatsApp, unter anderem über Twitter (Link) mitteilte, ändere sich für Nutzer in der Region Europa im Vergleich zu früher nichts. Weiterhin nutze Facebook die WhatsApp Account-Informationen nicht zur Anzeige personalisierter Werbung oder zur Verbesserung der Produkte.
• Vorhandene Sicherheitsmechanismen werden im Falle von WhatsApp teilweise verschwiegen. Die gleichen Mechanismen werden von denselben Medien dagegen als Argument für alternative Messenger wie Signal & Co. angeführt.

WhatsApp verschiebt die Deadline

[Update: 17.01.2021, 19:30 Uhr] Am 15. Januar 2021 gab WhatsApp im eigenen Blog (Link) bekannt, dass die Deadline für die Zustimmung in die angekündigten AGB-Änderungen auf den 15. Mai 2021 verschoben wird. Angesichts der undifferenzierten Berichterstattung zu diesem Thema (siehe oben) war dieser Schritt zu erwarten.

Wir haben von zahlreichen Leuten gehört, dass unsere letzten Aktualisierungen viel Verwirrung hervorgerufen haben. Eine Menge Fehlinformationen befinden sich in Umlauf, die Bedenken verursachen. Wir möchten dazu beitragen, dass jeder unsere Prinzipien und die Fakten verstehen kann.

WhatsApp ist aus einer einfachen Idee entstanden: Was du mit deinen Freunden und deiner Familie teilst, bleibt privat zwischen euch. Das bedeutet, dass wir deine persönlichen Chats immer mit Ende-zu-Ende-Verschlüsselung schützen werden, was heißt, dass weder WhatsApp noch Facebook diese privaten Nachrichten lesen können. Aus demselben Grund bewahren wir keine Protokolle dazu auf, mit wem jeder Nachrichten austauscht oder wen er anruft. Außerdem können wir deinen geteilten Standort nicht sehen und teilen deine Kontakte auch nicht mit Facebook.

Mit diesen Aktualisierungen wird nichts daran geändert. Stattdessen enthalten diese Aktualisierungen neue Optionen, über die Personen mithilfe von WhatsApp Nachrichten an Unternehmen senden können. Die Änderungen erhöhen die Transparenz dazu, wie wir Daten erfassen und verwenden. Obwohl heute noch nicht viele über WhatsApp bei Unternehmen einkaufen, glauben wir daran, dass sich in Zukunft immer mehr dazu entschließen werden. Daher ist es wichtig, über diese Services zu informieren. Diese Aktualisierungen geben uns keinerlei zusätzliche Berechtigungen, Daten mit Facebook zu teilen.

Quelle: WhatsApp

Hintergrund ist, dass das Unternehmen jetzt zunächst einmal der “Verwirrung” entgegenwirken wolle, die in Bezug zu dem angeblichen Datenaustausch mit Facebook entstanden sei. Man werde “viel mehr unternehmen”, um Fehlinformationen aufzuklären:

Wir haben nun beschlossen, das Datum, an dem Benutzer gebeten werden, die Nutzungsbedingungen zu lesen und zu akzeptieren, weiter nach hinten zu verschieben. Kein Account wird am 8. Februar gesperrt oder gelöscht. Wir werden auch noch viel mehr unternehmen, um die Fehlinformationen rund um das Thema, wie Datenschutz und Sicherheit bei WhatsApp funktionieren, aufzuklären. Wir werden dann unsere Benutzer nach und nach bitten, die Richtlinie nach eigener Zeitvorgabe zu lesen, bevor die neuen Optionen für die Kommunikation mit Unternehmen am 15. Mai verfügbar werden.

WhatsApp hat dabei geholfen, Ende-zu-Ende-Verschlüsselung für Menschen auf der ganzen Welt einzuführen, und wir verteidigen diese Sicherheitstechnologie mit voller Hingabe – jetzt und auch in Zukunft. Wir möchten allen danken, die sich an uns gewendet haben, und auch den vielen Menschen, die dabei geholfen haben, Fakten zu verbreiten und Gerüchte zu stoppen. Wir werden weiterhin unsere ganze Kraft darin investieren, WhatsApp zur besten Option zu machen, vertraulich und privat zu kommunizieren.

Quelle: WhatsApp

Werden meine Daten durch Facebook für Werbung “weiterverarbeitet”?

Damit wären wir bei der Gretchenfrage angekommen, was mit den WhatsApp-Daten innerhalb des Facebook-Konzerns geschieht. Hierauf geht WhatsApp auf der eigenen FAQ-Seite recht umfassend ein und widerspricht zwei Behauptungen ausdrücklich:

1. “Facebook verarbeitet meine WhatsApp-Daten für Werbeanzeigen weiter” und
2. “Die Daten meiner Kontakte werden mit Facebook geteilt.”

Um den Rahmen dieses Beitrags nicht zu sprengen, folgen an dieser Stelle nur zwei wichtige Auszüge:

Wir teilen keine Daten, um sie für die Verbesserung der Facebook-Produkte auf Facebook zu nutzen oder relevantere Werbeerlebnisse auf Facebook zu bieten.

Derzeit nutzt Facebook deine WhatsApp Account-Informationen nicht dazu, deine Produkterlebnisse auf Facebook zu verbessern oder dir interessantere Facebook-Anzeigen zu zeigen. Das ist das Ergebnis von Diskussionen mit der irischen Datenschutzbehörde und anderen Datenschutzbehörden in Europa. Wir arbeiten ständig an neuen Möglichkeiten zur Verbesserung deines Nutzererlebnisses auf WhatsApp und anderen von dir verwendeten Produkten der Facebook-Unternehmen. Falls wir uns zukünftig entscheiden, solche Daten zu diesem Zweck mit den Facebook-Unternehmen zu teilen, erfolgt das nur dann, wenn der Leiter der irischen Datenschutzbehörde einem Mechanismus zustimmt, der eine solche Nutzung ermöglicht. Wir werden dich über neue Erlebnisse, die wir anbieten, sowie unsere Informationspraxis auf dem Laufenden halten.

Wessen WhatsApp Informationen werden zu diesen Zwecken mit den Facebook-Unternehmen geteilt?

Wir teilen Informationen jedes WhatsApp Benutzers, der unsere Dienste nutzen möchte. Dazu gehören unter Umständen auch die WhatsApp Benutzer, die Facebook nicht nutzen, da wir in der Lage sein müssen, Informationen zu all unseren Benutzern zu teilen, um nützliche Dienste von den Facebook-Unternehmen erhalten und die wichtigen Ziele erfüllen zu können, die in unserer Datenschutzrichtlinie und diesen FAQ näher beschrieben sind.

In jedem Fall teilen wir nur so wenig Informationen wie nötig, um diese Ziele erfüllen zu können. Wir stellen außerdem sicher, dass sich die von uns geteilten Informationen auf dem neuesten Stand befinden, sodass, wenn du beispielsweise beschließt, deine WhatsApp Telefonnummer zu aktualisieren, diese Nummer auch von den Mitgliedern der Facebook-Familie, die sie von uns erhalten haben, aktualisiert wird.

Wir möchten ausdrücklich betonen, dass WhatsApp deine WhatsApp Kontakte nicht mit Facebook oder anderen Mitgliedern der Facebook-Unternehmen teilt, damit diese sie für eigene Zwecke nutzen können, und auch nicht vorhat, das zu tun.

Alle weiteren Informationen sind auf der FAQ-Seite zu finden.

Nicht jeder alternative Messenger ist zwingend besser

Sowohl WhatsApp als auch Signal speichern übrigens nicht die Telefonnummern Deiner Kontakte, die WhatsApp noch nicht nutzen. Stattdessen bilden beide Dienste aus den Telefonnummern sogenannte einzigartige Hashwerte und legen (anstelle der Telefonnummern) diese Hashwerte auf dem Server ab.  Hashwerte sind Prüfsummen bzw. Buchstaben-Zahlen-Folgen, die jeweils aus dem zu prüfenden Inhalt selbst errechnet werden. WhatsApp beschreibt das Verfahren zum Hochladen der Kontakte wie folgt:

Wenn einer oder mehrere deiner Kontakte WhatsApp noch nicht verwenden, verwalten wir diese Informationen für dich in einer Form, in der sichergestellt ist, dass solche Kontakte nicht identifiziert werden können. Wir speichern diese Telefonnummern nicht und verarbeiten sie nur für kurze Zeit, um kryptografische Hash-Werte zu erstellen, mit denen wir effizienter eine Verbindung zwischen dir und diesen Kontakten herstellen können, wenn diese WhatsApp beitreten. Du kannst die Funktion zum Hochladen von Kontakten in den Einstellungen deines Geräts steuern.

Quelle: WhatsApp

Den Hinweis auf dieses Hash-Verfahren bei WhatsApp wirst Du in den wenigsten aktuellen Beiträgen finden. Dieselben Beiträge verweisen aber u.a. auf alternative Messenger wie Signal und heben das Hash-Verfahren dieser Anbieter besonders hervor, da es datenschutzfreundlich sei.

Allerdings wird die vermeintliche Sicherheit des Hash-Verfahrens seit Jahren kritisiert; auch hierzu wirst Du in den meisten Mainstream-Medien nichts lesen. Mike Kuketz war so nett, in einem seiner Beiträge aus dem Jahr 2017 zu berechnen, wie viel Zeit ein Angreifer mit acht GTX 1080 Grafikkarten und dem Tool Hashcat investieren müsste, um sog. Rainbow-Tabellen zu berechnen, mit deren Hilfe eine Zuordnung von Telefonnummern zum jeweiligen Hashwert vorgenommen werden kann:

• MD5: 83 Minuten
• SHA-1: 4 Stunden
• SHA-256: 12 Stunden
• SHA-512: 32 Stunden
• SHA-3: 42 Stunden
• scrypt: 9 Jahre
• PBKDF2-HMAC-SHA512: 9 Jahre

Wie definiert WhatsApp die “Region Europa”?

Zu Beginn der eiligen Berichterstattung vermittelten viele Online-Magazine den Eindruck, die Definition der “Region Europa” sei nicht ganz eindeutig, weil WhatsApp seine Nutzer hierüber im Unklaren lasse. Dem ist und war jedoch nicht so, tatsächlich grenzt WhatsApp die Region Europa auf ihrer eigenen Infoseite nachvollziehbar von dem Rest der Welt ab. Demnach gehören zur Region Europa die folgenden Länder:

Andorra, Azoren, Belgien, Bulgarien, Dänemark, Deutschland, Estland, Finnland, Frankreich, Französisch-Guayana, Griechenland, Großbritannien und souveräne britische Stützpunkte in Zypern (Akrotiri und Dhekelia), Guadeloupe, Irland, Island, Isle of Man, Italien, Kanalinseln, Kanarische Inseln, Kroatien, Lettland, Liechtenstein, Litauen, Luxemburg, Madeira, Malta, Martinique, Mayotte, Monaco, Niederlande, Norwegen, Österreich, Polen, Portugal, Republik Zypern, Réunion, Rumänien, Saint-Martin, San Marino, Schweden, Schweiz, Slowakei, Slowenien, Spanien, Tschechische Republik, Ungarn und Vatikanstadt.

Neue WhatsApp-AGB: Zustimmen oder nicht?

Dieser Beitrag soll weder die Datenschutzpolitik von WhatsApp (Facebook) relativieren noch eine konkrete Empfehlung für oder gegen den WhatsApp-Messenger aussprechen. Vor allem in Bezug auf die Transparenz und den Umgang mit Metadaten ist bei WhatsApp noch viel Luft nach oben. Du weißt nicht, was Metadaten sind? Hier eine kurze Erklärung: Metadaten sind Daten, die Informationen über “andere Daten” enthalten und diese quasi beschreiben. Nachrichten, E-Mails, Fotos oder Telefonate haben zum Beispiel Metadaten. Dabei geht es nicht um die Inhalte der Nachrichten oder Telefonate, weil sie verschlüsselt sind, sondern um die Infos wie etwa den Zeitpunkt oder Ort, zu die Nachricht verschickt wurde oder den Empfänger. Auch diese Art von Daten verraten eine Menge über uns!

Daher sollten Nutzer von Messenger-Diensten deren Datenschutzrichtlinien ganz grundsätzlich aufmerksamer lesen. Seien es die Richtlinien von WhatsApp, Signal, Telegram, Threema oder anderer Messenger. Hilfreich ist in diesem Zusammenhang übrigens auch die von Mike Kuketz bereitgestellte Matrix in Bezug auf alternative Messenger (Link).

Hast Du Dir eigentlich schon die Datenschutzhinweise von Instagram (ebenfalls ein Facebook-Unternehmen) näher angeschaut? Nicht? Hier ein ganz kleiner Vorgeschmack darauf, welche Deiner Daten in diesem Moment von Facebook verarbeitet werden:

Die Informationen, die wir von diesen Geräten erhalten, beinhalten:

• Geräteattribute: Informationen wie das Betriebssystem, Hardware- und Software-Versionen, Batteriestand, Signalstärke, verfügbarer Speicherplatz, Browsertyp, App- und Dateinamen und -arten sowie Plugins.
• Vorgänge auf dem Gerät: Informationen über die auf dem Gerät durchgeführten Vorgänge und Tätigkeiten, beispielsweise ob sich ein Fenster im Vordergrund oder Hintergrund befindet oder Mausbewegungen (das kann dabei helfen, Menschen von Robotern zu unterscheiden).
• Identifikatoren: Eindeutige Identifikatoren, Geräte-IDs und sonstige Identifikatoren, wie solche von Spielen, Apps oder Konten, die du nutzt, und Familiengeräte-IDs (oder sonstige Identifikatoren, die für die mit demselben Gerät oder Konto verknüpften Produkte der Facebook-Unternehmen eindeutig sind).
• Gerätesignale: Bluetooth-Signale und Informationen über WLAN-Zugangspunkte, Beacons und Funkzellentürme in der Nähe.
• Daten aus den Geräteeinstellungen: Informationen, deren Erhalt du uns durch die von dir aktivierten Geräteeinstellungen gestattest, wie den Zugriff auf deinen GPS-Standort, deine Kamera oder Fotos.
• Netzwerk und Verbindungen: Informationen wie der Name deines Mobilfunk- oder Internetanbieters, die Sprache, Zeitzone, Mobiltelefonnummer, IP-Adresse oder Verbindungsgeschwindigkeit und in einigen Fällen Informationen über andere in der Nähe oder in deinem Netzwerk befindliche Geräte, damit wir dich dabei unterstützen können, beispielsweise ein Video von deinem Telefon auf deinen Fernseher zu streamen.
• Cookie-Daten: Daten von auf deinem Gerät gespeicherten Cookies, einschließlich Cookie-IDs und ‑Einstellungen. Erfahre in der Facebook-Cookie-Richtlinie und der Instagram-Cookie-Richtlinie mehr darüber, wie wir Cookies verwenden.

Zusammenfassung

WhatsApp wird laut Aussage der WhatsApp-Verantwortlichen ab dem 8. Februar 2021 für Nutzer in der Region Europa datenschutzrechtlich weder schlimmer noch besser. Da die deutschsprachige Datenschutzerklärung von WhatsApp an einigen Stellen widersprüchlich bzw. ungenau ist, lässt sich dies aus der Sicht eines Außenstehenden aktuell schwierig beurteilen. Das heißt: WhatsApp wird für Dich nicht plötzlich “gefährlicher”, WhatsApp ist und bleibt datenschutzrechtlich bedenklich! 

Und: Nicht alle alternativen Messenger sind zwingend besser. Bevor Du also WhatsApp von Deinem Smartphone deinstallierst und z. B. Telegram installierst, solltest Du Dich zunächst über die Vor- und Nachteile der Alternativen informieren. 

Quellen: WhatsApp, Kuketz-Blog, eigene Recherche

Bildnachweis: HeikoAL, pixabay.com;  Alok Sharma von Pexels

Der Beitrag Neue WhatsApp-AGB: Zustimmen oder nicht? Es kommt darauf an… erschien zuerst auf dogan.legal // Vergaberecht, IT-Recht und Datenschutzrecht.

Der Bedarf an Notebooks und Multifunktionsgeräten steigt auch bei Ministerien, Behörden und öffentlichen Einrichtungen in Deutschland. Aufgrund vergaberechtlicher Entwicklungen und mit Blick auf den Fortschritt der Technik gibt es nun je einen neuen Leitfaden sowohl für

• “Notebooks produktneutral ausschreiben” (Download) wie auch für
• “Multifunktionsgeräte produktneutral ausschreiben” (Download).

Beide Überarbeitungen bringen den Anwendern respektive ausschreibenden Stellen Vorteile: so können die Ausschreibungen nun einfacher und schneller erfolgen und im Übrigen die technischen Entwicklungen der letzten Jahre berücksichtigen.

Wirtschaft und Behörden an Erstellung beteiligt

An den Neufassungen der Leifäden waren neben dem Digitalverband Bitkom das Beschaffungsamt des Bundesinnenministerium, das Bundesamt für Ausrüstung, Informationstechnik und Nutzung der Bundeswehr (BAAINBw) sowie die Bundesagentur für Arbeit beteiligt. Was ist überarbeitet worden? In beiden Papieren finden sich diverse Neuerungen: im Leitfaden für die Notbooks werden jetzt zwei Benchmarks empfohlen und ausführlich beschrieben. Dies ist vor allem deshalb wünschenswert, da der alte Leitfaden teilweise auf überholte Benchmarks verwies. Hinzu kommt eine Auflistung von allen relevanten Bewertungskriterien – in der alten Fassung fanden sich nur Mindestanforderungen.

“So können Behörden sicherstellen, dass Ausschreibung und Vergabe sowohl effizient als auch gesetzeskonform erfolgen. […] Viele Beschaffer im Ausland greifen beim Einkauf auf unsere Empfehlungen zurück.”

– Felicia Muffler (Bitkom)

Ganz wichtig: Umwelt- und Gesundheitsschutz sowie IT-Sicherheit werden ausreichend vorgestellt. In der Variante “Multifunktionsgeräte produktneutral ausschreiben” wurden nun die bestehenden Leitfäden für Drucker und Multifunktionsgeräte vereint.

Vergabeleitfäden helfen bei rechtskonformer Ausschreibung

Die beiden neuen Leitfäden Schaffen ein Mehr an Rechtssicherheit und erlauben es somit öffentliche Einkäufern, ihre Prozesse routinierter zu gestalten. Wie inzwischen bekannt, müssen die Vergabeunterlagen bzw. die Leistungsbeschreibung als Kern der Vergabeunterlage grundsätzlich produktneutral verfasst sein, damit ein fairer Wettbewerb unter den Anbietern gewährleistet ist (vgl. § 31 Abs. 6 VgV). Strikt untersagt ist in diesem Zusammenhang das Benennen von Hersteller- oder Produktnamen, da Produkte von Mitbewerbern in aller Regel gleichwertige Produkte anbieten. In der Folge kommt der korrekten Ausformulieren und Strukturieren technischer Kriterien ein besonders hoher Wert zu. Dabei sichern sog. Benchmark-Tools regelmäßig die Vergleichbarkeit der Produkte unterschiedlichster Hersteller und schaffen eine annähernd objektivierte Grundlage zur Definition und Auswertung von Kriterien. Die hier erläuterten und weitere Leitfäden können auf www.ITK-Beschaffung.de heruntergeladen werden und wurden auch schon ins Englische übersetzt.

Update: Aktualisierter Leitfaden zur produktneutralen Ausschreibung von Desktop-PCs

Inzwischen steht auch eine aktualisierte Fassung des Vergabeleitfadens für Desktop-PCs bereit und löst somit die Fassung vom 1. April 2015 ab. Zum Download geht es hier entlang.

(Bild-)Quellen: ITK-Beschaffung.de; © mohamed_hassan via pixabay

Der Beitrag Neue Leitfäden zur Ausschreibung von Notebooks und Multifunktionsgeräten erschien zuerst auf dogan.legal // Vergaberecht, IT-Recht und Datenschutzrecht.

Die Politik in Schleswig-Holstein hat im Koalitionsvertrag 2017 eine umfangreiche Neuordnung im Vergaberecht vereinbart und setzt diese jetzt Schritt für Schritt in geltendes Recht um. Ziel ist es, die Vergabeverfahren für den Mittelstand zu entbürokratisieren und zu vereinfachen. Dazu soll auch der vergabespezifische Mindestlohn des bisherigen Tariftreue- und Vergabegesetz (TTG) auf 9,99 EUR festgeschrieben werden, um im Endziel durch den allgemeinen bundesweiten Mindestlohn ersetzt zu werden. Dies allerdings nur für den Fall, dass der Bundesmindestlohn (derzeit bei 8.84 EUR) das Niveau des vergabespezifischen Mindestlohnes erreicht.

Erster Schritt mit neuer LHO und Beginn der Verbandsanhörung

Der Gesetzgeber hatte bereits mit Wirkung vom 2. März den § 55 LHO so novelliert, dass die Auftraggeber einer Ausschreibung sowohl zwischen der öffentlichen Ausschreibung als auch der beschränkten Ausschreibung gleichrangig wählen können. Dieses erleichtert und beschleunigt zukünftige Vergabeverfahren und gilt als wichtiger erster Schritt zur Umsetzung der Einführung der neuen Unterschwellenvergabeordnung (UVgO) in Schleswig-Holstein. Außerdem hat das zuständige Wirtschaftsministerium bereits am 9. April 2018 einen Entwurf für die Novelle des Vergabegesetzes Schleswig-Holstein (VGSH) in die dafür vorgesehene Verbandsanhörung eingebracht. Die Anhörung werde bis zum 17. Mai 2018 laufen. Ziel der gesetzlichen Neuordnung ist vorrangig auch, dass hinderliche Nachweispflichten und deklaratorische Hürden mit dem VGSH beseitigt werden. Weiterhin ist natürlich auch die Angleichung an das Recht der anderen Bundesländer Ziel der Gesetzesreform, die der Koalitionsvertrag 2017 gefordert hat.

Hohe Hemmnisse durch das alte Tariftreue- und Vergabegesetz (TTG)

Das alte TTG enthielt viele rein politisch motivierte Forderungen wie erhebliche Nachweispflichten und Vorschriften, rein deklaratorische Erklärungen bereits bei der Abgabe der Bewerbung einzureichen, die sich als bremsend für effektive Vergabeverfahren erwiesen hatten. Doch die Bindung an einen eigenen vergabespezifischen Mindestlohn in Schleswig-Holstein soll im neuen VGSH laut dem aktuellen Gesetzesentwurf fortgeführt werden. Die bisherigen Pläne sahen das Gegenteil vor. Eine wichtige Neuregelung ist zudem, dass die geforderten Nachweise von Bietern zum Zeitpunkt des Angebotes zunächst als Eigenerklärung anerkannt werden. Nachweise zum Beispiel in der Form von Bescheinigungen Dritter werden damit erst von demjenigen Bieter angefordert, der für de Zuschlag vorgesehen ist. Das ist eine wesentliche Erleichterung für den Mittelstand im Verfahren nach dem VGSH, wie im Koalitionsvertrag 2017 gefordert wurde. Auch wird das neue VGSH mit der UVgO keine sogenannten vergabefremden Kriterien mehr enthalten. Das war beim alten Tariftreue- und Vergabegesetz Schleswig-Holstein (TTG) ein ständiger Kritikpunkt. Vom Anwendungsbereich des VGSH werden im Übrigen auch Sektorenauftraggeber und Dienstleistungskonzessionen erfasst. Diesen beiden Gruppen kommen jedoch erhebliche Erleichterungen – wie das frei gestaltete Verfahren gem. § 3 Abs. 3 VGSH – zugute.

Update (11. April 2019): Änderungen in Kraft!

Inzwischen gilt das neue Vergaberecht in Schleswig-Holstein. Dazu sind insbesondere die folgenden Eckdaten relevant:

• Schleswig-Holsteinisches Vergabegesetz (VGSH) zum 01.04.2019 in Kraft
• Schleswig-Holsteinische Vergabeverordnung (SHVgVO) am 11.04.2019 bekannt gegeben und rückwirkend ab dem 01.04.2019 gültig
• Neben den Ausnahmen zur Unterschwellenvergabeordnung (UVgO) wird damit auch die neue VOB/A Abschnitt 1 vom 31.01.2019 in der Fassung der Bekanntmachung im BAnz vom 19.02.2019 für verbindlich erklärt

Note: There is a rating embedded within this post, please visit this post to rate it.

(Bild-)Quelle: ABST-SH (1 und 2) © vic_neo – pixabay.com

Der Beitrag Schleswig-Holstein: Neues Vergabegesetz (VGSH) führt UVgO ein erschien zuerst auf dogan.legal // Vergaberecht, IT-Recht und Datenschutzrecht.

Europaweit erstes hohes DSGVO-Bußgeld

Mit dem Verhängen der Geldstrafe über 400.000 Euro gegen das Krankenhaus “Barreiro Montijo” durch die in Portugal zuständige Datenschutzbehörde CNPD (Comissão Nacional de Protecção de Dados), wurde erstmals in Europa ein größeres Vergehen gegen die DSGVO substanziell geahndet. Dabei richtet sich der Vorwurf vor allem dahingehend, dass außer den zuständigen Ärzten zu viele weitere Personen Zugriff auf sensible Patientendaten hatten, wofür alleine eine Strafe von 300.000 Euro verhängt wurde. Der Rest des Bußgeldes ist für ein weiteres Vergehen gegen die EU-Datenschutz-Grundverordnung zu zahlen.

Extrem leichter Zugang zu empfindlichen Daten

Auf seiner Webseite verspricht das Centro Hospitalar Barreiro Montijo in seiner Datenschutzerklärung, dass nur ausgewiesene Fachleute einen Zugang zu Informationen über den Gesundheitszustand seiner Patienten haben sollen. Doch gemäß der CNPD wurde das Krankenhaus in Wirklichkeit den Anforderungen der DSGVO nicht einmal ansatzweise gerecht: So hätten insgesamt 985 Personen über einen Ärztezugang Zugriff auf die Patientendaten, obwohl das Krankenhaus lediglich 296 Ärzte beschäftigte.

Wie die Zeitung Público ferner erläutert, habe der Betreiber des Krankenhauses laut der CNDP außerdem absichtlich dafür gesorgt, dass Nutzer mit dem Profil “Techniker” im Computersystem auf Daten zugreifen konnten, welche jedoch ausschließlich für Ärzte einsehbar sein dürften. Ermittelt wurde dies in einem Test, in dessen Rahmen ein derartiges Zugangsprofil mit unbegrenztem Datenzugriff erstellt werden konnte. Überhaupt auf den Fall aufmerksam wurde die portugiesische Datenschutzbehörde durch eine Warnung der Ärztekammer.

Datenschützer sehen keine Rechtfertigung für den Verstoß

Die Untersuchung durch die in Portugal zuständige Datenschutzbehörde fand bereits vier Monate zuvor statt, jetzt führte sie zur ersten massiven Sanktion seit dem Inkrafttreten der DSGVO. Gegen die Entscheidung der Aufsichtsbehörde wolle das Krankenhaus nun juristisch vorgehen. So zweifle man die Befugnis der Datenschutzbehörde an, eine solche Strafe überhaupt verhängen zu dürfen. Ferner erklärten die Krankenhausbetreiber in einer Stellungnahme, dass die rund 700 überzähligen Profile lediglich angelegt wurden, um einen kurzzeitigen Zugang im Rahmen von Dienstleistungsverträgen für befristet beschäftigte Ärzte möglich zu machen.

Die CNDP lässt diese Begründung jedoch nicht als Rechtfertigung gelten. So hätten diese Accounts unmittelbar nach dem Ausscheiden der Mediziner gelöscht werden müssen. Darüber hinaus sei es nicht zu rechtfertigen, dass sich etwa Techniker umfassende Informationen zum Gesundheitszustand der Patienten verschaffen konnten.

Fazit

Der Umfang der Vorwürfe und die Konsequenz des verhängten Bußgeldes im Falle der portugiesischen Klinik führen Datenschützern und Unternehmen in ganz Europa eindrucksvoll vor Augen, wie wichtig die sorgfältige Umsetzung der DSGVO ist. Etwaige “historisch gewachsene” Muster und Maßnahmen genießen auch unseres Erachtens keinen generellen Bestandsschutz und sind fortwährend auf den Prüfstand zu stellen.

Note: There is a rating embedded within this post, please visit this post to rate it.

(Bild-)Quellen: Público; scanrail – depositphotos

Der Beitrag DSGVO-Bußgeld: Krankenhaus in Portugal soll 400.000 Euro zahlen erschien zuerst auf dogan.legal // Vergaberecht, IT-Recht und Datenschutzrecht.

ElektroG 2018 nimmt Händler in die Pflicht

Gemäß dem ElektroG (Gesetz aufrufen) sind Hersteller und – unter gewissen Voraussetzungen auch – Vertreiber (vgl. § 3 Nr. 9 u. 11 ElektroG) von Elektronikgeräten dazu verpflichtet, ihre elektronischen Produkte vor dem Verkauf in Deutschland bei der zuständigen Stiftung EAR zu registrieren. Die Registrierung umfasst die Einordnung des Produkts zu einer bestimmten Geräteart und zu einer bestimmten Marke (vgl. § 6 Abs. 1 ElektroG).

Primär sind somit zwar Hersteller von Elektronikprodukten verpflichtet, ihre Produkte zu registrieren. Doch auch Händler bzw. “Vertreiber” i.S.d. ElektroG können neben ihren Vertreiberpflichten gleichzeitig auch die Verpflichtungen als Hersteller von Elektro- und Elektronikgeräten treffen. Dies kann in folgenden Konstellationen der Fall sein:

• Ein Vertreiber ist zugleich Hersteller, wenn er als Wiederverkäufer oder Einzelhändler solche Elektrogeräte anbietet, auf denen lediglich seine Eigenmarke angebracht ist, § 3 Nr. 9 lit. b) ElektroG.
• Ein Vertreiber ist gleichzeitig Hersteller, wenn er Elektrogeräte aus einem anderen Mitgliedstaat der EU oder aus einem Drittland erstmals auf dem deutschen Markt anbietet, § 3 Nr. 9 lit. c) ElektroG.
• Ein Vertreiber gilt außerdem zugleich als Hersteller im Sinne des ElektroG, wenn er schuldhaft (d.h. vorsätzlich oder fahrlässig) Elektrogeräte nicht oder nicht ordnungsgemäß registrierter Hersteller oder von Herstellern, deren Bevollmächtigte nicht oder nicht ordnungsgemäß registriert sind, zum Verkauf anbietet, § 3 Nr. 9 ElektroG a.E.

Den Begriff des Herstellers legt der Gesetzgeber, wie unschwer erkennbar ist, also funktional aus und schränkt ihn nicht künstlich ein.

Welche Änderungen gelten seit dem 15.08.2018?

Dreh- und Angelpunkt der Änderungen ist eine Ausweitung des Anwendungsbereiches der registrierungspflichtigen Produkte. Das bedeutet, dass ab dem 15.08.2018 mehr Elektrogeräte bei der Stiftung EAR angemeldet werden müssen. Der sogenannte offene Anwendungsbereich (“open scope”) sieht nämlich vor, dass jegliche elektrisch bzw. elektronisch betriebenen Geräte in den sachlichen Anwendungsbereich des Elektrogesetzes fallen, außer diese sind ausdrücklich in einem der gesetzlich festgelegten Ausnahmetatbestände benannt. Das bislang geltende Prinzip, dass nur die explizit aufgezählten Arten von Geräten vom ElektroG erfasst werden, hat sich also praktisch umgekehrt. Textilien oder Möbelstücke, die über elektronische Komponenten verfügen, werden zukünftig dadurch vom sachlichen Anwendungsbereich des Gesetzes erfasst.

In der Folge werden mit der Gesetzesänderung die bisher 32 Gerätearten auf 17 und die ehemals zehn Kategorien auf sechs reduziert. Doch im Gegensatz zur bisherigen Regelung definieren die neuen Kategorien den sachlichen Anwendungsbereich des ElektroG nicht mehr abschließend. Das Gesetz erfasst folglich auch jene elektrischen bzw. elektronischen Geräte, die sich keiner der folgenden neuen Kategorien nach § 2 Abs. 1 ElektroG zuordnen lassen:

• Wärmeüberträger
• Bildschirme, Monitore und Geräte, die Bildschirme mit einer Oberfläche von mehr als 100 cm² enthalten
• Lampen
• Geräte, bei denen mindestens eine der äußeren Abmessungen mehr als 50 cm beträgt (Großgeräte)
• Geräte, bei denen keine der äußeren Abmessungen mehr als 50 cm beträgt (Kleingeräte)
• Kleine Geräte der Informations- und Telekommunikationstechnik, bei denen keine der äußeren Abmessungen mehr als 50 cm beträgt

Belanglos sind die Kategorien auch trotz des offenen Anwendungsbereichs nicht. Sie sind der Bezugspunkt für die zu erreichenden Verwertungsquoten (§ 22 Abs. 1 ElektroG).

Wie ist im Angesicht des Registrierungsvorganges vorzugehen?

Überprüfen Sie in einem ersten Schritt das Sortiment, das Sie zum Verkauf anbieten und stellen Sie fest, welche Produkte registrierungspflichtig sind oder sein könnten. Ordnen Sie die betreffenden Produkte nun in die passende Kategorie ein. Möglicherweise ist es hierfür notwendig, dass sie das Gerät vermessen. Damit Sie das Produkt bei der Stiftung EAR registrieren können, müssen Sie ggf. den Dienstleister benennen, der die Entsorgung der Produkte für Sie vornimmt. Auch Beschreibungen sowie Bilder der Produkte sollten Sie bereithalten, falls Sie die betreffenden Produkte beispielsweise keiner Kategorie eindeutig zuordnen können. Zu den weiteren notwendigen Angaben wie die insolvenzsichere Garantie bietet die Stiftung EAR auf dieser Seite nützliche Informationen.

Die hier im Wesentlichen dargestellte Registrierungspflicht ist allerdings nur ein Bruchteil der Anforderungen, die Hersteller bzw. Händler zur Vermeidung von Abmahnungen und empfindlichen Bußgeldern beachten sollten.

Welche Elektrogeräte sind von der Registrierungspflicht ausgeschlossen?

Es gibt nur eng gefasste Ausnahmen zur Registrierungspflicht von elektronischen Produkten. Eine “Whitelist” der Geräte, die nicht in den Anwendungsbereich des Gesetzes fallen, zählt § 2 Abs. 2 ElektroG auf. Ausgenommen sind hiernach z. B. Glühlampen, Ausrüstungsgegenstände für einen Einsatz im Weltraum, ortsfeste industrielle Großwerkzeuge, medizinische Geräte etc.

Note: There is a rating embedded within this post, please visit this post to rate it.

Bildquelle: Nikin, pixabay

Der Beitrag ElektroG 2018: Was gilt seit dem 15.08.2018 für Elektro-/Elektronikgeräte? erschien zuerst auf dogan.legal // Vergaberecht, IT-Recht und Datenschutzrecht.

Falls sich diese Auffassung durchsetzt, müssten Betriebsräte für die von ihnen verarbeiteten Daten selbständig Maßnahmen zur Umsetzung der DSGVO umsetzen. Verstöße könnten Bußgelder von bis zu 20 Millionen Euro bzw. bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes nach sich ziehen. Damit hätten Betriebsräte in ihrer Eigenschaft als Verantwortliche aber noch nicht das Ende der Fahnenstange erreicht: Sie müssten u. a. einen eigenen Datenschutzbeauftragten bestellen, eigene DSGVO-Umsetzungsprojekte vollziehen und in eigener Verantwortung Betroffenenrechte von Arbeitnehmern entsprechend der DSGVO erfüllen. Die Kosten für all diese Maßnahmen würden wiederum beim Arbeitgeber anlaufen.

Wie kommen die Aufsichtsbehörden zu ihrer Einschätzung?

Die neue DSGVO hat am 25. Mai 2018 das bis dahin gültige BDSG abgelöst. Die bisherige Rechtsprechung war der Meinung, dass lediglich natürliche oder juristische Personen, Personenvereinigungen des privaten Rechts oder Gesellschaften für die Einhaltung der Vorschriften verantwortlich sind. Geregelt wurde das in den §§ 2 Abs. 4 BDSG a.F. und 3 Abs. 7 BDSG a.F. In der neuen DSGVO werden die Verantwortlichen im Art. 4 Nr. 7 anders definiert (vgl. aber auch § 2 BDSG-neu). Entscheidend ist in diesem Zusammenhang der Zusatz “oder andere Stellen”. Damit könnten künftig prinzipiell alle Stellen in der Pflicht stehen, die personenbezogene Daten verarbeiten und darüber entscheiden, welche Zwecke und Mittel der Verarbeitung eingesetzt werden.

„Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; […]

Die DSGVO weitet die Grenzen des Begriffs also aus und beinhaltet grundsätzlich keine Beschränkung mehr auf bestimmte Stellen.

Von Belang ist demnach nur, wer über die Mittel und Zwecke der Verarbeitung entscheidet, sprich: das Sagen hat. Da der Betriebsrat laut Betriebsverfassungsgesetz (BetrVG) unabhängig ist, ist eine Schlussfolgerung der Datenschutzbehörden dahingehend, dass der Betriebsrat eigenständig über die Mittel und Zwecke der Verarbeitung persönlicher Daten bestimmt, durchaus möglich. Damit würde dem Betriebsrat die Pflicht entstehen, für die Einhaltung der Datenschutzvorschriften einzustehen.

Wie sieht die rechtliche Lage aus?

Laut der DSGVO ist derjenige für die Einhaltung des Datenschutzes verantwortlich, der über die Mittel und Zwecke der Verarbeitung der Daten auch bestimmt. In der Praxis ist das Ganze allerdings nicht so einfach. Bei der Zusammenarbeit zwischen Betriebsrat und Unternehmen kann der Betriebsrat die personenbezogenen Daten nicht in vollständiger Eigenverantwortlichkeit verarbeiten. Das liegt zum Teil daran, dass die Betriebsräte in aller Regel die IT-Landschaft des Unternehmens mitnutzen und sich dabei nach den technisch-organisatorischen Maßnahmen des Unternehmens richten. Das Unternehmen ist dementsprechend gem. § 40 Abs. 2 BetrVG dazu verpflichtet, dem Betriebsrat die benötigte Informations- und Kommunikationstechnik zur Verfügung zu stellen. Daher ist es m. E. gut vertretbar, dem Betriebsrat nicht die alleinige Entscheidungshoheit über die Mittel der Verarbeitung personenbezogener Daten zuzusprechen. Dies deckt sich mit der bisherigen Rechtsprechung des Bundesarbeitsgerichts, wonach der Betriebsrat stets Teil des Arbeitgebers als datenschutzrechtlich verantwortliche Stelle anzusehen sei.¹

Ähnlich dürfte es sich auch bei dem Zweck der Verarbeitung personenbezogener Daten verhalten. Den Rahmen der Befugnisse des Betriebsrats bildet das BetrVG. Dieser Rahmen ist grundsätzlich eng gesetzt, so dass der Betriebsrat über seine Maßnahmen und damit auch über die Zwecke der Verarbeitung personenbezogener Daten nur in diesem sehr engen Rahmen entscheiden kann. Es könnte natürlich auch vertreten werden, dass diesbezüglich nur das finale “Ob” der alleinigen Entscheidungskraft des Betriebsrats maßgeblich ist, nicht dagegen Umstände wie z. B. der gesetzliche Rahmen in Form des Betriebsverfassungsgesetzes. Doch auch in diesem Fall fehlte m. E. die erste kumulative Voraussetzung der alleinigen Entscheidungsfindung des Betriebsrats über die Mittel der Verarbeitung personenbezogener Daten.

Im Übrigen verlangen Stimmen in der Literatur eine “eigene Rechtspersönlichkeit” vom Verantwortlichen, die im Falle des Betriebsrats zu verneinen sein dürfte.

Exkurs: Verhältnis zwischen Betriebsrat und Datenschutzbeauftragten

Wie bereits erwähnt, sieht das BAG den Betriebsrat seit jeher als Teil des Arbeitgebers als verantwortliche Stelle an. Andererseits habe der Datenschutzbeauftragte des Unternehmens jedoch keine Kontrollmöglichkeit zur Einhaltung der Datenschutzvorschriften durch den Betriebsrat.² Begründet wird diese ambivalente Wertung damit, dass der Datenschutzbeauftragte als “verlängerter Arm des Arbeitgebers” handele, der Betriebsrat laut Betriebsverfassungsgesetz jedoch unabhängig sei. Aus diesem Grund war eine Kontrolle des Betriebsrats durch den betrieblichen Datenschutzbeauftragten bis zum 25. Mai 2018 unzulässig.

Mit Ablauf der Schonfrist stellt sich die Situation diesbezüglich ein wenig anders dar: Das Verhältnis des Datenschutzbeauftragten zum Betriebsrat wird in der DSGVO nicht angesprochen. Auf Grundlage der BAG-Rechtsprechung und der DSGVO können somit aktuell zwei Grundannahmen getroffen werden:

1. Der Datenschutzbeauftragte ist für den Verantwortlichen zuständig.
2. Der Betriebsrat ist Teil der Verantwortlichen Stelle.

Da die DSGVO aber Vorrang gegenüber nationalen Vorschriften genießt, kann die Unabhängigkeit des Betriebsrats nach dem BetrVG diesen m. E. nicht mehr vor der Kontrollzuständigkeit des betrieblichen Datenschutzbeauftragten schützen. Eine weitere potenzielle Folge dieser Wertung könnte darin bestehen, dass ein Betriebsratsmitglied – aufgrund einer Interessenkollision – nicht zugleich der betriebliche Datenschutzbeauftragte sein darf.

Wie bindend sind Beschlüsse der Aufsichtsbehörde?

Die Beschlüsse der Aufsichtsbehörde sind nicht bindend. Die Aufsichtsbehörden haben keine rechtsgebende und auch keine rechtsfortbildende Wirkung. Aus diesem Grund sind Unternehmen oder Gerichte nicht gezwungen, sich an die Auslegungen der Aufsichtsbehörde zu halten. Allerdings haben die Beschlüsse Vorbildcharakter. Richter nehmen die Auslegungen der Aufsichtsbehörde oft als Grundlage für ihre Urteile, auch wenn sie andere Entscheidungen treffen können.

Wenn die Verantwortlichen den Beschlüssen der Aufsichtsbehörden nicht folgen, müssen sie – wie in Art. 83 DSGVO vorgesehen – ein “wirksames, verhältnismäßiges und abschreckendes” Bußgeld zumindest in Betracht ziehen. Das Bußgeld kann zwar gerichtlich angefochten werden, aber dieser regelmäßig langwierige Weg ist im Prinzip ergebnisoffen und vom jeweiligen Richter abhängig.

Welche Möglichkeiten haben Unternehmen?

Um es gar nicht erst so weit kommen zu lassen, sollten Betriebsrat und Unternehmen einige Maßnahmen treffen, um sich rechtlich abzusichern. Dazu gehört zum Beispiel eine eindeutige Regelung der Überlassung der IT-Systeme und deren Nutzung. Eine weitere Möglichkeit ist es zu vereinbaren, dass der Datenschutzbeauftragte nicht nur für das Unternehmen arbeitet, sondern seine Expertise auch dem Betriebsrat zur Verfügung stellt.

Die Datenschutzbehörden lassen durchblicken, dass es Betriebsräten und Arbeitgebern freistehen wird, die datenschutzrechtliche Einordnung des Betriebsrats als als Teil des Arbeitgebers oder als eigener Verantwortlicher im Rahmen einer Betriebsvereinbarungen verbindlich zu regeln. Art. 88 Abs. 1 DSGVO ermöglicht es, durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Datenschutzes im Beschäftigungskontext vorzusehen. Dies hat zur Folge, dass Arbeitgeber und Betriebsrät in Betriebsvereinbarungen zur Umsetzung der DSGVO einschlägige Regelungen vorsehen können, demzufolge der Arbeitgeber ungeachtet der grundsätzlichen Position der Datenschutzaufsichtsbehörden für die datenschutzrechtlichen Pflichten des Betriebsrats einsteht.

Zum Zeitpunkt der Veröffentlichung dieses Artikels hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder noch keinen Beschluss veröffentlicht, der die hier diskutierte Sichtweise bestätigt. Der Artikel wird aber selbstverständlich aktualisiert, sobald eine entsprechende Stellungnahme vorliegt.

Note: There is a rating embedded within this post, please visit this post to rate it.

Erläuterung:
¹: BAG, Beschl. v. 7.2.2012, Az.: 1 ABR 46/10.
²: BAG, Beschl. v. 11.11.1997, Az.: 1 ABR 21/97.

(Bild-)Quellen: © SergeyNivens, depositphotos

Der Beitrag DSGVO: Betriebsrat bald “eigener Verantwortlicher”? erschien zuerst auf dogan.legal // Vergaberecht, IT-Recht und Datenschutzrecht.

Werden Rechte und Freiheiten einer oder mehrerer Personen einem hohen Risiko durch die Verarbeitung ihrer Daten ausgesetzt, greift Art. 35 DSGVO. Demnach ist die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) unerlässlich. Absatz 4 desselben Artikels verpflichtet die Aufsichtsbehörden darüber hinaus dazu, eine sog. Blacklist (“Muss-Liste”) auf Basis von Artikel 29-Datenschutzgruppe zu erstellen. Das Veröffentlichen von sog. Whitelists¹ steht dagegen im Ermessen der Datenschutzaufsichtsbehörden.

Die Notwendigkeit einer Datenschutz-Folgenabschätzung

Die Notwendigkeit einer DSFA für Verarbeitungsvorgänge von Daten basiert pauschal auf der Annahme eines hohen Risikos. Die DSGVO benennt hierzu in Art. 35 Abs. 3 explizit Anwendungsfälle, welche die Durchführung eines DSFA zwingend erfordern:

• Handelt es sich um eine automatisierte Verarbeitung von Daten einschließlich Profiling, welche eine Rechtswirkung auf natürliche Personen entfaltet oder deren Rechte und Freiheiten beeinträchtigt, geht die DSGVO von einem hohen Risiko aus. Dem übergeordnet ist eine umfassende und systematische Bewertung von persönlichen Aspekten des Betroffenen.
• Werden besondere Kategorien von personenbezogenen Daten gemäß Artikel 9 Abs. 1 DSGVO oder Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DSGVO umfangreich verarbeitet, muss von einem hohen Risiko ausgegangen werden.
• Im letzten Fall beschreibt Art. 35 Abs. 3 DSGVO die umfangreiche und zugleich systematische Überwachung von öffentlich zugänglichen Bereichen.

Landesdatenschutzaufsichtsbehörden haben bereits Blacklist veröffentlicht

Zahlreiche Landesdatenschutzaufsichtsbehörden im ganzen Land haben bereits eine Muss-Liste erstellt und auf ihren Webseiten zur Einsicht veröffentlicht. Wenn auch die jeweiligen Unterschiede teilweise geringfügig sein mögen, sollten entsprechende Details von Verantwortlichen nicht unterbewertet werden.

Weitaus auffälliger ist, dass die eine oder andere Aufsichtsbehörde ausschließlich eine Blacklist für den öffentlichen Sektor veröffentlicht hat. Andere Listen beziehen sich wiederum nur auf den nicht-öffentlichen Bereich. Vergleichsweise viele Muss-Listen geben über beide Bereiche eine zusammenfassende Auskunft.

Nach Auskunft einiger Behörden basiert die jeweils erstellte Blacklist auf einer Ausarbeitung der Berliner Datenschutzbeauftragten. Diese orientierten sich wiederum an Mietgliederbeiträgen, welche durch den Arbeitskreis “Grundsatz der Datenschutzkonferenz” die Datenschutz-Folgenabschätzung aufgegriffen haben. Ein erster ursprünglicher Entwurf stammt vom Landesamt für Datenschutzaufsicht aus Bayern.

Update: Die Bundesländer im Einzelnen (inkl. Links)

• Baden-Württemberg: Blacklist für den nicht-öffentlichen Bereich (Link).
• Bayern: Beteiligte sich an der Erstellung der Baden-Württembergischen Blacklist, verlinken inzwischen aber auf gemeinsame (?) Liste für den öffentlichen und nicht-öffentlichen Bereich der DSK (Link).
• Berlin: Eine Liste für den öffentlichen Bereich (Link).
• Brandenburg: Gemeinsame Liste für den öffentlichen und nicht-öffentlichen Bereich (Link).
• Bremen: Liste für den nicht-öffentlichen Bereich (Link).
• Hamburg: Eine Liste für den öffentlichen Bereich (Link) sowie eine für den nicht-öffentlichen Bereich (Link).
• Hessen: Gemeinsame Liste für den öffentlichen und nicht-öffentlichen Bereich (Link).
• Mecklenburg-Vorpommern: Eine Liste für den öffentlichen Bereich (Link) sowie eine für den nicht-öffentlichen Bereich (Link).
• Niedersachsen: Eine Liste für den öffentlichen Bereich (Link) sowie eine für den nicht-öffentlichen Bereich (Link).
• Nordrhein-Westfalen: Eine Liste für den öffentlichen Bereich (Link) sowie eine für den nicht-öffentlichen Bereich (Link).
• Rheinland-Pfalz: Eine Liste für den öffentlichen Bereich (Link) sowie eine für den nicht-öffentlichen Bereich (Link).
• Saarland: Auch hier liegt eine gemeinsame Liste für den öffentlichen und nicht-öffentlichen Bereich vor (Link).
• Sachsen: Eine gemeinsame Liste für den öffentlichen und nicht-öffentlichen Bereich (Link).
• Sachsen-Anhalt: Eine gemeinsame Liste für den öffentlichen und nicht-öffentlichen Bereich (Link).
• Schleswig-Holstein: Eine gemeinsame Liste für den öffentlichen und nicht-öffentlichen Bereich (Link).
• Thüringen: Schließlich liegt auch hier eine gemeinsame Liste für den öffentlichen und nicht-öffentlichen Bereich vor (Link).

Muss-Liste: Kleine Unterschiede wecken Abstimmungsbedarf

Aufgrund der geringen – aber dennoch wichtigen – Unterschiede planen die Mitglieder der DSK eine Abstimmung. Während beispielsweise in Baden-Württemberg keine Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung bei der Verarbeitung von Daten besonderer Kategorien gem. Art. 9 Abs. 1 sowie Art. 10  DSGVO in Drittländern besteht, erachten Hamburg sowie andere Bundesländer dies als ein unbedingtes Muss im Rahmen der DSGVO. Ein weiterer “föderaler Flickenteppich” also, den es zu zeitnah vereinheitlichen gilt…

Update: DSK veröffentlicht Blacklist

Kürzlich legte die Konferenz für unabhängige Datenschutz-Aufsichtsbehörden des Bundes sowie der Länder (DSK) eine abgestimmte Blacklist für den nicht-öffentlichen Bereich vor (Link). Für den öffentlichen Bereich existiert eine abgestimmte Liste noch nicht ausdrücklich, allerdings verweisen einige Landesdatenschutzbehörden auf eine augenscheinlich “gemeinsame” Liste (Link) der DSK, die also keine Einschränkung auf den öffentlichen oder nicht-öffentlichen Bereich vornimmt.

Dementsprechend verlinken einige Landesdatenschutzbehörden – wie z.B. in NRW – nunmehr auf die DSK-Liste, während andere Länder jedoch noch auf ihre eigenen Listen verweisen. Die obige Auflistung der einzelnen Bundesländer wurden entsprechend angepasst.

Bundesdatenschutzbeauftragte Voßhoff verzichtet auf Fallbeispiele

Eine Blacklist wurde von der Bundesdatenschutzbeauftragten Andrea Voßhoff ebenfalls vorgelegt (Link). Im Gegensatz zu den Listen der Länder verzichtet diese jedoch auf eine Konkretisierung durch Fallbeispiele. Die ehemalige Bundestagsabgeordnete berücksichtigt lediglich die Kriterien aus der Artikel 29-Gruppe für die Einordnung von Verarbeitungsvorgängen nach WP 248 (Link).

Erst wenn zwei oder mehr der insgesamt neun Kriterien bei der Verarbeitung von Daten zutreffend sind, ist nach Auffassung von Voßhoff eine DFAS unerlässlich. Zu diesen Merkmalen zählen unter anderem Datenkategorien wie Gesundheitsdaten, Betroffene wie Kinder und Arbeitnehmer oder der jeweilige Umfang der Datenverarbeitung. Medienberichten zufolge hat die Bundesdatenschutzbeauftragte ihre Blacklist bereits an den Europäischen Datenschutzausschuss weitergeleitet, ohne sie vorher mit den Bundesländern abgestimmt zu haben.

Geplant ist jedoch, dass der Europäische Datenschutzausschuss, welcher sich aus den Aufsichtsbehörden der Mitgliedstaaten zusammensetzt, eine EU-weite einheitliche und verbindliche Blacklist beschließt. Wann dieses im Kern richtige Stadium erreicht wird, steht allerdings in den Sternen.

Note: There is a rating embedded within this post, please visit this post to rate it.

Erläuterung: ¹Bei einer Whitelist gem. Art. 35 Abs. 5 DSGVO handelt es sich um eine Liste der Arten von Verarbeitungsvorgängen, für die keine Datenschutz-Folgenabschätzung erforderlich ist.

Quellen: Heise
Bildnachweis: maxkabakov, depositphotos.com

Der Beitrag Datenschutz-Folgenabschätzung: Deutsche Aufsichtsbehörden legen Blacklist vor erschien zuerst auf dogan.legal // Vergaberecht, IT-Recht und Datenschutzrecht.

Datenschutz ist wichtig und sinnvoll. Schließlich haben Ihre Kunden das gute Recht zu erfahren, inwiefern und ob überhaupt persönliche Daten wie E-Mail Adressen, Telefonnummern und unter Umständen die jeweilige IP-Adresse gespeichert und weiterverarbeitet werden. Haben Sie die richtigen Vorkehrungen bezüglich der DSGVO getroffen?

Das bedeutet die neue Datenschutz-Grundverordnung für Unternehmen

Nach einer Übergangsfrist von 2 Jahren, gelten seit dem 25. Mai 2018 in ganz Europa die neue einheitliche Verordnung in Sachen Datenschutz. Kurz: die DSGVO. Datenschutz wird groß geschrieben und Sie als Betreiber einer Webseite, eines Onlineshops oder dergleichen, müssen gewisse Pflichten Ihren Kunden gegenüber erfüllen. Nicht nur Webseitenbetreiber müssen sich bezüglich der DSGVO umstellen. Auch der Versand von Werbemails via Newsletter und die Verarbeitung von Kundendaten sorgen für Debatten.

Weil bereits am ersten Tag erste Mandatierungen im Hinblick auf Abmahnungen bei vielen Anwälten eingegangen sind, wird eine regelrechte Abmahnwelle befürchtet. Die Sorge vor spezialisierten Kanzleien, Privatpersonen und auch Datenschutzvereinen, die diese neue Situation ausnutzen, um auf großer Spur Konkurrenten wegen vermeintlicher Verstöße gegen die DSGVO abzumahnen, ist daher entsprechend ausgeprägt.

Politik will Missbrauch und eine Abmahnwelle der DSGVO unterbinden

Ein Impressum und eine Datenschutzerklärung sind absolute Pflicht, um die DSGVO wirksam umzusetzen. Diese bilden allerdings nur die Spitze des Eisbergs. Dazu kommen weitere Maßnahmen wie etwa ein Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) und technisch-organisatorische Maßnahmen (TOM) zum Schutz der verarbeiteten Daten. Zudem müssen Sie als Betreiber einer Webseite mit externen Anbietern, beispielsweise Analyseprogrammen wie Google Analytics und Ihrem Webhoster, einen Vertrag in Hinsicht auf die Auftragsverarbeitung (AVV) abschließen. Dabei gilt es stets im Auge zu behalten, welche Daten Ihrer Kunden und Besucher zu welchem Zweck, wo, wie lange, wie und durch wen verarbeitet werden.

Eine Abmahnwelle im erwarteten Ausmaß ist derzeit noch nicht eingetreten, kann aber grundsätzlich jederzeit ihren Anfang nehmen. Dämpfend wirkt gegenwärtig noch die ungeklärte Rechtslage: Es ist nämlich umstritten, ob Verstöße gegen die DSGVO überhaupt wettbewerbsrechtlich abmahnbar sind. Am Ende des Tages werden jedoch die zuständigen Gerichte mittel- bis langfristig die Marschrichtung vorgeben. Kurzfristig werden dagegen die besseren Argumente überzeugen müssen.

Die Politik schaltet sich jetzt ein und versucht, die Abmahnpraktiken auf Gesetzesebene zu unterbinden. Schließlich sollen kleine und mittelständige Unternehmen wettbewerbsfähig bleiben. Darüber hinaus sind trotz der Übergangsfrist der DSGVO von immerhin 2 Jahren viele kleine und mittelständige Unternehmen nach wie vor überfordert, die DSGVO-Vorgaben umzusetzen, um einer Abmahnwelle vorzubeugen.

Diese Maßnahmen will die Politik durchsetzen

Hierbei möchten die CDU/CSU-Fraktion und SPD durchgreifen und für ein zügiges Maßnahmenpaket sorgen, allerdings mit entscheidenden Differenzen. Auch Justizministerin Barley sagt jetzt offiziell der missbräuchlichen Abmahnwelle den Kampf an. Teure Abmahnungen der Konkurrenz und das Ausnutzen der neuen DSGVO als Geschäftsmodell für Abmahnungen müssten unterbunden werden. Kleine und mittelständische Unternehmen sowie Webseitenbetreiber und Onlineshops, die die DSGVO im Wesentlichen umsetzen oder diesbezüglich bemüht sind, sollen zukünftig einen wirksamen Schutz vor potenziell drohenden Abmahnwelle erhalten.

„Wir werden professionellen Abmahnern das Wasser abgraben. Dafür brauchen wir eine umfassende Lösung. […] Gerade kleine Unternehmen und Selbständige, aber auch Vereine und Privatpersonen, brauchen einen wirksamen Schutz vor dem Treiben von professionellen Abmahnern.“

– Katarina Barley (SPD)

Erstmals sind sich parteiübergreifend alle politischen Beteiligten einig, dass das Thema Abmahnmissbrauch so schnell wie möglich angegangen werden muss.

Seitens CDU/CSU war ursprünglich beabsichtigt, die DSGVO-Abmahngebühren vorübergehend – d.h. für 12 Monate – auszusetzen und diesbezüglich eine entsprechende Klausel in den Gesetzesentwurf zur sogenannten Musterfeststellungsklage einzufügen. Das “Abmahn-Schutzschild” hätte in diesem Fall bereits ab Juli 2018 seine Wirkung entfalten können. Zudem müsse laut Bundesinnenminister Horst Seehofer (CSU) das “Abmahnungswesen” beispielsweise wegen einer fehlerhaften Datenschutzerklärung “deutlich minimiert und zurückgefahren” werden. Auch die Deckelung von Anwaltsgebühren und weitere Kosten infolge fliegender Gerichtsstände sollten laut den Plänen der Unions-Fraktion angepasst werden. Nicht zuletzt die schärfere Kontrolle von Anwälten und Datenschutzvereinen sollte für eine Entlastung der angespannten Situation sorgen.

Diese „Soforthilfe“ für das Problem der missbräuchlichen Abmahnungen fand in der Form jedoch keinen Anklang beim Koalitionspartner SPD.

„Das war mit der SPD in dieser Form aber leider nicht möglich“,

äußerte sich die CDU-Rechtspolitikerin Elisabeth Winkelmeier-Becker hierzu.

„Allerdings sind wir uns in der Koalition einig, uns sehr schnell und umfassend um das Thema Abmahnmissbrauch zu kümmern, so wie im Koalitionsvertrag vereinbart.“

Fazit zur DSGVO-Abmahnwelle

Derzeit ist die DSGVO für sehr viele Unternehmen nur sehr schwierig umsetzbar. Schwammige Formulierungen sorgen dafür, dass trotz einer 2-jährigen Übergangsfrist zahlreiche Firmen immer noch ins Straucheln geraten. Bekanntlich führen viele Wege nach Rom, allerdings ist es erfreulich zu sehen, dass die Koalitionspartner sich im Kern einig sind und ebenso einheitlich einen dringenden Handlungsbedarf sehen. Bis es so weit ist, werden die jeweils zuständigen Gerichte an den richtigen Stellschrauben drehen müssen.

Note: There is a rating embedded within this post, please visit this post to rate it.

(Bild-)Quellen: welt.de, heise.de, handelsblatt.com; Photo by rawpixel on Unsplash

Der Beitrag Wird die Politik die DSGVO-Abmahnwelle mit “Schonfrist” verhindern? erschien zuerst auf dogan.legal // Vergaberecht, IT-Recht und Datenschutzrecht.

Der Beitrag EuGH: Betreiber von Facebook-Fanseiten tragen Mitverantwortung für Facebooks Datenverarbeitung erschien zuerst auf dogan.legal // Vergaberecht, IT-Recht und Datenschutzrecht.

Am 25.05.2018 endet die Übergangs- bzw. Schonfrist der von der Europäischen Union vor rund zwei Jahren beschlossenen Datenschutz-Grundverordnung (EU-DSGVO ). Die neue EU-Verordnung regelt vor allem die rechtlichen Grundlagen der Datenverarbeitung, definiert die Rechte der Betroffenen und legt allgemeingültige Leitlinien für die Pflichten der Verantwortlichen fest. Das hat zum Teil weitreichende Konsequenzen für Unternehmen. Bisher hat schon die Datenschutz-Reform vor allem im Bereich des E-Commerce für Aufregung gesorgt. Viele Dienstleister haben sich auf den Stichtag gründlich vorbereitet. Doch nun hat der Europäische Rat, quasi in letzter Sekunde, eine Berichtigung der EU-DSGVO nachgereicht. Mit seinem Corrigendum (Download) vom 19. April 2018 verursacht der Europäische Rat so kurz vor dem angstumwobenen Stichtag.

Darf die EU überhaupt ein Corrigendum nachreichen?

Bei europäischen Rechtsvorschriften, wie es bei der aktuellen EU-DSGVO der Fall ist, sind Korrekturen tatsächlich keine Seltenheit. Dabei handelt es sich in der Regel um die Nachbesserung von sprachlichen Ungenauigkeiten, die Verbesserung von Übersetzungsfehlern sowie die Korrektur von grammatikalischen Abweichungen. Immerhin gilt es, die beschlossene Datenschutz-Reform in alle Amtssprachen der Mitgliedstaaten der europäischen Union darzustellen. Nur so ist gewährleistet, dass zum Beispiel die neue EU-DSGVO als einheitliches Datenschutzrecht in der Europäischen Union allgemeingültig umgesetzt werden kann. Ganz nach der Devise: “Ein Recht für alle!”

Dementsprechend umfangreich ist das Berichtigungsdokument zur EU-DSGVO, das rund 386 Seiten umfasst. Davon betreffen jedoch nur 18 Seiten den Datenschutz der Bundesrepublik Deutschland. Doch handelt es sich bei der aktuellen Berichtigungsschrift zur EU-DSGVO um keine reine Korrektur im oben dargestellten Sinn, sondern enthält zudem eine kleine, aber grundlegende Änderung.

Welche Änderung enthält das Korrekturdokument zur EU-DSGVO?

Die EU-DSGVO basiert auf dem Grundsatz “Privacy by default” bzw. im DSGVO-Jargon: “Datenschutz durch datenschutzfreundliche Voreinstellungen”. Dieser Grundsatz findet Ausdruck in Art. 25 Abs. 2 S. 1 EU-DSGVO:

“Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.”

Demnach sind Betreiber von Webseiten entsprechend der neuen europäischen Datenschutzregelungen verpflichtet, bei der Verarbeitung von personenbezogenen Daten schon bei der Datenerhebung auf datenschutzfreundliche Voreinstellungen zu achten. “Ab Werk” sollten die Vorerinstellungen also auf das erforderliche Mindestmaß reduziert sein.

Wie im obigen Zitat ersichtlich wird, fiel das Wort “grundsätzlich” der Anpassung durch den Europäischen Rat zum Opfer. Und weil das Wort “grundsätzlich” im Vergleich zu anderen Rechtsbegriffen sehr unbestimmt ist, wurde kurzerhand aus einer “weichen” Vorschrift eine “harte”. Denn Platz für Ausnahmen lässt die neue Formulierung nicht mehr. Wegen ebendieses Ausmaßes der Korrektur muss gegenwärtig davon ausgegangen werden, dass es hierbei sich um ein bewusstes “Mehr” zur reinen sprachlichen Anpassung handelt.

Diese Regelung ist beispielsweise beim Formular zur Newsletter-Anmeldung bzw. auf diesen platzieren “optionalen Angaben” von Bedeutung. Richtig, es trifft einmal mehr besonders den E-Commerce.

Welche Bedeutung hat das Corrigendum am Beispiel der Newsletter-Anmeldung?

In der EU-DSGVO ist also geregelt, dass die Verantwortlichen durch die Gestaltung ihrer Voreinstellungen nur personenbezogene Daten verarbeiten dürfen, die für den jeweiligen Zweck erforderlich sind. Nicht mehr, aber gerne weniger…

Um sich etwa für Newsletter anzumelden, reicht die Angabe der E-Mail -Adresse völlig aus. Dennoch werden in der Regel auch Daten wie Name, Geburtsdatum und das spezifische Geschlecht des Nutzers abgefragt. Dabei handelt es sich um Angaben, die für die Anmeldung zum Newsletter-Versand nicht relevant sind, sondern mehr im Interesse der Marketingabteilung liegen. Dabei wird es in aller Regel dem Nutzer überlassen, diese personenbezogenen Daten freiwillig mitzuteilen.

Welche Konsequenzen das Streichen der Bezeichnung “grundsätzlich” für den Datenschutz?

Bisher war es dementsprechend auch erlaubt, neben der E-Mail-Adresse auch andere personenbezogene Daten abzufragen, sofern diese nicht als Pflichtfelder ausgelegt sind. Das bedeutet, dass eine Newsletter-Anmeldung auch dann funktionieren muss, wenn Sie ausschließlich ihre E-Mail-Adresse angeben. Durch die Formulierung “grundsätzlich” hatte der Gesetzgeber in Art. 25 EU-DSGVO zumindest Platz für Ausnahmen vom (harten) Grundsatz geschaffen und dem bisherigen Vorgehen damit den Weg geebnet.

1. Auffassung: Optionale Felder künftig nicht mehr zulässig

Die rechtliche Problematik, die sich mit dem Wegfall des Wortes “grundsätzlich” ergibt, besteht darin, dass das Abfragen von personenbezogenen Daten selbst auf freiwilliger Basis und ohne als Pflichtangabe ausgestattet zu sein, als datenschutzunfreundliche Voreinstellung im Sinne Der EU-DSGVO bewertet werden könnte.

Eine solche Auslegung wird vor allem dadurch untermauert, dass die optionalen Felder für sonstige personenbezogenen Daten grundsätzlich immer auf den Anmeldeformularen zu sehen sind. Ausnahmsweise könnte etwas anderes gelten, wenn optioale Felder durch technische Ausgestaltung erst durch eine weitere Betätigung des Nutzers zum Vorschein kommen. Es ist also vertretbar, dass auch freiwillige Felder entsprechend des Corrigendums zur neuen EU-DSGVO als Voreinstellung bezeichnet werden. Sollte sich diese Auslegung durchsetzen, wäre das das für die Onlineshop-Händler mit einen großen zeitlichen und technischen Aufwand verbunden. Denn das Newsletter-Formular wäre lediglich ein Puzzlestück des Ganzen: Hierzu zählen u. a. das Bestellformular, die Garantieabwicklung, Widerrufs- und Rückgabeformulare, das Kontaktformular und so weiter.

2. Auffassung: Optionale Felder bereits keine Voreinstellung, i. Ü. “datenschutzfreundlich”

Andererseits ist m. E. gut vertretbar, die reine Sichtbarkeit optionaler Felder noch nicht als “Voreinstellung” im Sinne des Art. 25 Abs. 2 S. 1 EU-DSGVO zu verstehen sind. Sowohl in technischer Hinsicht als auch mit Blick auf den Sinn und Zweck der Norm erscheint es fernliegend, freiwillige Felder als Voreinstellung zu deklarieren. Die Folge einer solchen Wertung wäre ein ausuferndes Verständnis des Begriffs der “Voreinstellung”.

Mit anderen Worten: Durch die Unterscheidung im Backend seines Systems zwischen Pflichtangaben und fakultativen Angaben trifft der Verantwortliche eine Konfiguration, welche den Nutzer vor die Wahl stellt, weitere personenbezogene Angaben preiszugeben. Wollte er dies, müsste er sie aktiv in die optionalen Felder eintragen. Der Betroffene wird also zum einen nicht im Wege einer Pflichtangabe dazu gezwungen, diese Daten anzugeben. Und zum anderen setzt die Verarbeitung dieser freiwilligen Daten das aktive Zutun des Betroffenen voraus.

Verträte man gleichwohl das Vorliegen von Voreinstellungen, müssten Sie in Ansehung des zuvor Gesamten jedenfalls zum Schluss kommen, dass diese Voreinstellung “datenschutzfreundlich” ist. Nicht dagegen datenschutzunfreundlich, wie Art. 25 Abs. 2 S. 1 der EU-DSGVO es fordert.

Ausblick

Die Meinungsbildung in Bezug auf die EU-DSGVO steckt noch in den Kinderschuhen. Deshalb wird sich wohl oder übel erst eine Rechtsprechung zu dem Begriff der “Voreinstellung” herausbilden müssen. Zumal eine Legaldefinition in Art. 4 EU-DSGVO nicht existiert. Bis dahin sollten Verantwortliche ein Höchstmaß an Transparenz in Bezug auf Pflichtfelder und freiwillige Angaben sicherstellen. Entsprechende Standards haben sich längst herausgebildet. Aufgrund der unterschiedlichen Meinungsstänkorrde verbleibt allerdings ein gewisses Restrisiko.

Note: There is a rating embedded within this post, please visit this post to rate it.

(Bild-)Quellen: EU; moritz320 – pixabay

Der Beitrag EU passt die DSGVO in letzter Minute an erschien zuerst auf dogan.legal // Vergaberecht, IT-Recht und Datenschutzrecht.