Wiesbadener-Kreis

In einem umfassenden Übersichtspapier stellt das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) unter der Federführung von Dr. Thilo Weichert das Thema „Big Data“  in Zusammenhang mit datenschutzrechtlichen Auswirkungen, Chancen und Risiken dar.
„Big Data“ bezeichnet große Datenmengen, die z. B. über Internet oder sonstige vielfältige Quellen gesammelt und verfügbar gemacht werden, mit dem Ziel, diese zu wirtschaftlichen Zwecken auszuwerten und zu analysieren.
Thilo Weichert setzt in seiner Grundlagenbetrachtung den Fokus auf die Analyse von „Big Data“ mit Blick auf das Recht der informationellen Selbstbestimmung. Er beleuchtet das Thema ebenso hinsichtlich Möglichkeiten, Chancen und Grenzen der Nutzung.

Wer das Grundsatzpapier einmal im Wortlaut nachlesen möchte, kann die folgende  Internetseite aufrufen.
Webseite des ULD https://www.datenschutzzentrum.de/bigdata/20130318-bigdata-und-datenschutz.pdf.

Mit Datum vom 10. Juli 2013 verweist das ULD in einer Pressemitteilung auf die Stellungnahme von Thilo Weichert zu „Big Data“ im Zusammenhang mit Prism.

Auch diese Stellungnahme kann auf der Internetseite des ULD unter https://www.datenschutzzentrum.de/bigdata/20130709-bigdata-und-prism.html nachgelesen werden.

Der Bundesgerichtshof urteilte in seiner Entscheidung vom 4. Juni 2013:
Eine Personen-Überwachung durch GPS-Geräte, die heimlich an den Fahrzeugen von Personen angebracht worden seien, verstoße gegen das Bundesdatenschutzgesetz BDSG und stelle eine strafbare Überwachung dar.

Gegen den Betreiber einer Detektei und einen ihrer Mitarbeiter hatte das Landgericht Mannheim am 18. Oktober 2012 Haftstrafen zur Bewährung ausgesprochen (Az. 4 KLs 408 Js 27973/08). Die Beklagten wurden vom Landgericht Mannheim wegen heimlicher Platzierung von GPS-Sendern in Fahrzeugen von Zielpersonen sowie Erstellung von Bewegungsprofilen dieser Personen verurteilt.
Daraufhin hatten die Beklagten Revision eingelegt.

In seiner Entscheidung gab der BGH der Revision nun nicht statt.

(BGH, 4. Juni 2013, Az. 1 StR 32/13)

In einer Pressemitteilung vom 22. April 2013 teilt der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Johannes Caspar mit, dass gegen Google Inc. ein Bußgeld in Höhe von EUR 145.000 verhängt worden ist.

In der Zeit von 2008 bis 2010 erfasste Google im Zusammenhang mit Fotoaufnahmen für den Dienst Google Street View nicht nur Straßen und Häuser, sondern auch Reichweiten von WLAN-Anschlüssen.

Nachdem ein von der Staatsanwaltschaft Hamburg eröffnetes Verfahren im November 2012 eingestellt wurde, hatte der Hamburgische Datenschutzbeauftragte den Vorgang wieder aufgegriffen (im Rahmen eines Ordnungswidrigkeitsverfahrens).

Der Hamburgische Datenschutzbeauftragte sah in der Foto-Datenerhebung von Google Inc. eine unbefugte Erhebung und Speicherung von personenbezogenen Daten. In seiner Pressemitteilung äußerte Johannes Caspar, dass es sich seiner Meinung nach um einen der größten bislang bekannt gewordenen Datenschutzverstöße handeln würde.

Unter www.datenschutz-hamburg.de können die Pressemitteilung sowie weitere Informationen zu dem Sachverhalt nachgelesen werden.

Das teilt das soziale Netzwerk mit. Bestehende Mitgliedschaften enden mit dem 30. April 2013. Eingestellte Bilder, Nachrichten, Links und sonstige Daten würden laut Angabe von SchülerVZ vollständig gelöscht.

Mit Urteil vom 10.10.2012 -3 Sa 644/12- hat das Landesarbeitsgericht Hamm die Kündigung eines Auszubildenden, der sich über Facebook negativ über seinen Arbeitgeber geäußert hat, bestätigt. Dieser hatte unter anderem den Arbeitgeber als „Menschenschinder“ und „Ausbeuter“ und die zu verrichtende Arbeit als „dämliche Scheiße“ bezeichnet.

Das Gericht entschied, dass die daraufhin ausgesprochene fristlose Kündigung des Ausbildungsvertrages auch ohne vorherige Abmahnung gerechtfertigt sei, da es sich hierbei um massiv ehrverletzende Äußerungen handele, die den Arbeitgeber in einem extrem schlechten Licht erscheinen ließe. Dabei sei es ohne Bedeutung, dass der Auszubildende nicht verbal sondern im Netz getätigt habe. Die Lesbarkeit im Netz habe insoweit die gleiche Wertigkeit.

Es wurde ausdrücklich festgestellt, dass grobe Beleidigungen und Schmähkritik auch nicht durch das Grundrecht auf freie Meinungsäußerung gedeckt sind. Wer derartige Äußerungen tätige müsse sich bewusst sein, dass mit der Billigung seines Verhaltens nicht zu rechnen sei und er sein Vertragsverhältnis aufs Spiel setze. Eine vorherige Abmahnung sei daher in dem hier vorliegenden Fall vor Ausspruch einer Beendigungskündigung entbehrlich.

Der Berliner Datenschutzbeauftragte Dr. Alexander Dix hat seinen Jahresbericht 2012 vorgelegt.
Schwerpunktthema in dem über 200  Seiten langen Bericht ist unter anderem BYOD, „Bring your own device“. Der Datenschützer weist hinsichtlich der privaten Endgeräte zum einen auf Anforderungen wie eine notwendige schriftliche Vereinbarung zur Verwendung und zum anderen auf Gefahren hin, die durch neue Betriebssystemplattformen und den Einsatz von „Apps“ entstehen können.

Folgende weitere Themen stellt Dix zu Beginn des Berichtes in den Fokus:
– Funkzellenabfragen durch Strafverfolgungsbehörden
– Zehn Vorschläge zur Verbesserung der EU-Datenschutz-Grundverordnung
– Datenweitergabe durch Apothekenrechenzentren
– Vermeidbare Fehler bei Prüfungen durch die Aufsichtsbehörden.

Der vollständige Bericht kann unter folgendem Link eingesehen werden:

http://www.datenschutz-berlin.de/content/veroeffentlichungen/jahresberichte/bericht-12

Infolge der mittlerweile berühmten „Raucherpause” waren aus einem Klinikum in Baden-Baden über 200 000 Datensätze von Patienten verschwunden, so dass das Klinikum gemäß § 42a BDSG entsprechende Anzeigen in zwei überregionalen Tageszeitungen („Die Welt“, „Frankfurter Rundschau“) schalten musste (vgl. http://kurzlink.de/raucherpause). Es handelte sich um drei Datensicherungskassetten, die ein Mitarbeiter vom Serverraum zum Tresor bringen sollte, und die er nach einer Zigarettenpause schlichtweg vergessen hatte. Hier stellt sich nun die Frage, was wäre gewesen, wenn diese Daten verschlüsselt gespeichert worden wären? In der Tat ist es so, dass es sich nach dem jetzigen BDSG für den „Empfänger“, wer auch immer dies sein mag,  nicht um personen­bezogene Daten gehandelt hätte, da dieser keine Möglichkeit hätte, einen Personenbezug herzustellen (subjektive Betrachtungsweise des BDSG, vgl. Art.-29-Gruppe, Arbeitspapier 136). Damit wäre § 42a BDSG nicht anwendbar, man hätte sich viele Kosten erspart! Dies ist auch dann der Fall, falls z. B. ein USB-Stick oder ein Laptop mit verschlüsselten personen­bezogenen Daten verlorengeht: Hier besteht zunächst keine Anzeigepflicht nach § 42a BDSG. Schaut man allerdings auf das Europarecht (z. B. Art. 4 (1) des Entwurfs der Europäischen Daten­schutz-Grund­verord­nung), sieht es anders aus: Hier sind alle Mittel des Verant­wor­tlichen oder eines Dritten heranzuziehen; damit wären dann die Daten wieder zu entschlüsseln und also personenbezogen.

Interessant ist in diesem Zusammenhang die Frage, ob es bei verschlüsselten personenbezogenen Daten zum sicheren Löschen dieser Daten ausreichend ist, den Schlüssel sicher zu löschen, da dann niemand mehr die Möglichkeit hätte,  die Daten zu entschlüsseln und einen Personenbezug herzustellen. Das wäre auch eine bequeme Lösung, falls die Daten an verschiedenen Stellen redundant aufbewahrt werden: Mit dem (verhältnismäßig einfachen) Löschen des Schlüssels wären alle Daten gelöscht! Einen Haken gibt es hierbei aber doch: es ist nämlich nicht klar, ob nicht etwa schlaue Mathematiker in naher oder ferner Zukunft einen Algorithmus zum „Knacken“ dieser Verschlüsselung finden, ganz ausge­schlossen ist das jedenfalls nicht!

Insgesamt ist es aber zu empfehlen, personenbezogene Daten generell zu verschlüsseln (häufig ist es ohnehin vorgeschrieben, z. B. bei E-Mails), soweit das möglich ist, jedenfalls ist eine Verlangsamung aufgrund der erhöhten Rechenleistung heute kaum mehr ein Argument. Allerdings lassen sich verschlüsselte Daten (heute noch) nicht verarbeiten, dazu müssen sie jeweils wieder entschlüsselt werden, was gerade beim Cloud-Computing ein erheblicher Nachteil ist. Werden die Daten aber nur zum Speichern und/oder Verteilen in die Cloud geschickt (z. B. mit „Dropbox“), sollten sie in jedem Fall verschlüsselt werden!

Auf eine Umfrage zu Internet-Passwörtern weist das BSI Bundesamt für Sicherheit in der Informationstechnik von Januar 2013 hin. Laut dieser Umfrage, in der ca. 1.000 Befragte ihre Gewohnheiten äußerten, haben nur ca. 40 % der Befragten für jede Internet-Anwendung ein eigenes Passwort. Hinsichtlich der Passwortqualität äußerten die 70 % der Befragen, ein sicheres Passwort (Kombination aus Sonderzeichen, Groß- und Kleinbuchstaben, Zahlen, Länge mindestens 8 Zeichen, bei WLAN-Verschlüsselung mindestens 20 Zeichen) zu verwenden.

Die Pressemitteilung des BSI kann nachgelesen werden unter:

https://www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2013/Internetnutzer_zu_bequem_beim_Passwort_29012013.html

Der TüV Nord seinerseits rät dazu, das Passwort möglich lang zu wählen. 10 Zeichen, bei denen der oben genannte Zeichenvorrat ausgenutzt werden sollte, seien sicherer als Passwörter, die nur 8 Zeichen lang wären.

Dr. Thilo Weichert, Landesdatenschutzbeauftragter von Schleswig-Holstein, hat den
Tätigkeitsbericht 2013 des Unabhängigen Landeszentrums für Datenschutz vorgestellt.

Dies teilt das ULD in seiner Pressemitteilung vom 19.03.2013 mit. Anlässlich der Vorstellung des Tätigkeitsberichtes warnte Thilo Weichert, dass Funktechnik bei EC- und Kreditkarten nicht datenschutzkonform eingesetzt würde.

Dieses und andere Themen können im Tätigkeitsbericht nachgelesen werden.

Link:
https://www.datenschutzzentrum.de/material/tb/tb34/uld-34-taetigkeitsbericht-2013.pdf

Auf ihrer Tagung vom 13. und 14. März 2013 in Bremerhaven haben sich die Datenschutzbeauftragten des Bundes und der Länder für eine Stärkung des Datenschutzes in Europa eingesetzt.
Die Konferenz wendet sich gegen alle solchen Änderungsvorschläge zum vorliegenden Entwurf der Datenschutz-Grundverordnung, die – sollten sie umgesetzt werden – das Grundrecht auf Datenschutz schwächen könnten.

Im Grundsatz fordern die Datenschutzbeauftragten des Bundes und der Länder:

• Personenbezogene Daten sind zu schützen, darunter fallen auch pseudonyme Daten oder Identifizierungsmermale wie IP-Adressen
• Keine grundrechtsfreien Räume, was bedeutet, dass es abzulehnen sei, bestimmte Datenkategorien und bestimmte Berufs- und Unternehmensgruppe aus den Regelungen herauszunehmen
• Pflicht der ausdrücklichen Einwilligung in die Verarbeitung von personenbezogenen Daten, wobei die Einwilligung auf der eindeutigen, freiwilligen und informierten Willensbekundung des Betroffenen beruhen müsse
• Keine Veränderung der Zweckbestimmung zur Verwendung von personenbezogenen Daten durch Datenverarbeiter
• Beschränkung der Profilbildung, Begrenzung der Möglichkeit der Zusammenführung und Auswertung von Personendaten
• Stärkung der Eigenverantwortung von Datenverarbeitern durch betriebliche Datenschutzbeauftragte
• Datenverarbeiter dürfen sich die zuständige Aufsichtsbehörde nicht aussuchen, auch nicht durch die Festlegung ihrer Hauptniederlassung
• Unabhängigkeit der Aufsichtsbehörden gegenüber der Kommission
• Grundrechtsschutz benötigt effektive Kontrolle und Sanktionsmöglichkeiten
• Hoher Datenschutzstandard für ganz Europa im Sinne, dass neben der Datenschutz-Grundverordnung noch Gestaltungsspielraum für weitergehenden Datenschutz ermöglicht werden soll.

Auf der Website des Bundesbeauftragten für den Datenschutz finden sich nähere Einzelheiten und Informationen zu diesem Thema.