Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht

Rechtsüberblick 05/19 – Datenschutzgrundverordnung (DSGVO) – Einwilligung, Auskunft, Sprachassistenten, IT-Sicherheit

Sie werden sich jetzt sicherlich fragen: „Huch, bin ich auf der falschen Internetseite? Wo sind die langen Blogartikel zu einem Thema, die Diercks-Digital-Recht normalerweise veröffentlicht?“.

Keine Angst, Sie sind hier schon ganz richtig. Wir machen nur einfach mal etwas Neues neben dem Alten. Mit dem „Rechtsüberblick“ wird es an dieser Stelle künftig  in mehr oder weniger regelmäßigen Abständen zusätzlich Hinweise zu aktuellen und/oder schlicht interessanten Artikeln, Themen und/oder Rechtsentwicklungen aus dem Datenschutz-, IT- und Arbeitsrecht geben. Kuratiert von allen in der Kanzlei, aufbereitet von mir, Hannah Zink, der neuen studentischen Mitarbeiterin der Anwaltskanzlei Diercks. (An dieser Stelle sage ich, Nina Diercks: Herzlich Willkommen Hannah!)

Viel Spaß beim Lesen!

 

Einwilligung bei Datenverarbeitungen

Seit der Umsetzung der DSGVO im Mai letzten Jahres treibt sich der Irrtum rum, es müsse in jegliche Fälle von Datenverarbeitung eingewilligt werden. Doch um sie aufzuklären: Es ist nicht immer die Einwilligung in die Datenverarbeitung erforderlich!

Schließlich kennt die DSGVO neben der Einwilligung noch weitere Erlaubnisgrundlagen. So ist unter anderem eine Verarbeitung von Daten im Rahmen von berechtigten Interessen (Art. 6 I f) oder zur Erfüllung von Vertragszwecken (Art. 6 I b) gesetzlich erlaubt.

Insbesondere mit der letzteren Norm sowie mit Art. 9 Abs. 2 h) DSGVO sollten sich Ärzte, Physiotherapeuten und andere Angehörige der Heilberufe näher auseinandersetzen. Diese sind nämlich von Gesetzes wegen selbstverständlich aufgrund von Gesetz befugt, Gesundheitsdaten ihrer Patienten zu verarbeiten – der Einwilligungswahnsinn dem man als Patient in den allermeisten Praxen ausgesetzt ist, müsste also nicht sein. Hierauf weist auch der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg in seinem (LfDI).

Wenig überraschend urteilte dem entsprechend auch der VGH Baden-Württemberg „Auch die DSGVO knüpft, wie sich aus Art. 6 Abs. 1 DSGVO eindeutig ergibt, die Rechtmäßigkeit der Datenverarbeitung nicht ausschließlich an eine Einwilligung der betroffenen Personen in die Datenverarbeitung an.“

(Eigentlich könnte man auch sagen: Hello Captain Obvious!)

Mehr dazu:

LfDI Baden-Württemberg – Tätigkeitsbericht 2018

Datenschutz.org – Volksverwirrung: Einwilligung in Datenverarbeitung nicht immer erforderlich!

VGH Baden-Württemberg, Beschluss vom 02.05.2019, Az. 1 S 552/19

 

Art. 15 DSGVO wird unter die Lupe genommen – wie groß ist die Reichweite des Auskunftsrechts?

Das Auskunftsrecht nach Art. 15 Abs. 1 DSGVO kann von betroffenen Personen geltend gemacht werden, wenn Unternehmen personenbezogene Daten verarbeiten. Auf Anfrage ist das Unternehmen also verpflichtet, unter anderem Auskunft über die Kategorien von Daten, die Verarbeitungszwecke sowie die Empfänger der Daten zu erteilen.

Über den konkreten Umfang dieses Auskunftsanspruchs herrscht noch keine Einigkeit. Das LAG Baden-Württemberg entschied erstmalig zum Rahmen des Auskunftsanspruchs im Arbeitsverhältnis.  Es legte fest, dass Arbeitnehmer nach Art. 15 Abs.3 Satz 1 DSGVO eine Kopie ihrer personenbezogenen Daten von ihren Arbeitgebern verlangen können. Diese Entscheidung zeugt einer weiten Auslegung des in dem Artikel kodifizierten Artikels.

Mehr dazu:

Fgvw.de – Auskunftsrecht eines Arbeitnehmers nach Art. 15 DS-GVO, Dr. Sabine Schröter

efarbeitsrecht.net – Auskunftsrecht nach DSGVO: LAG verpflichtet Unternehmen zur Auskunft und Erteilung von Kopien, Tim Wybitul

 

Sprachassistenten wie Alexa und Co. und die DSGVO – passt das?

Jeder kennt sie; Alexa, Siri und wie sie nicht alle heißen. Diese Sprachassistenten sollen uns den Alltag erleichtern, einen schnellen, mündlichen Zugriff auf das Wetter oder die Zeit geben, oder einfach nur unser Lieblingslied spielen. Alle Hände voll und der Wecker für die Lasagne muss noch gestellt werden? Auch das ist kein Problem. Aber wie stehen diese auf den ersten Blick hilfreichen Sprachassistenten zur DSGVO?

Alexa reagiert auf ihr Aktivierungswort. Dies bedeutet – nach Angabe des Anbieters Amazon -, dass alle Worte und Geräusche, zunächst nur lokal aufgenommen und erst mit dem Aktivierungswort ins Netz und zu Amazon weitergeleitet werden. Dies soll sowohl den notwendigen Datenschutz gewährleisten als auch die Datensicherheit erhöhen.

Dies entspräche insoweit auch den Vorgaben der DSGVO, wonach grundsätzlich nur diejenigen Daten verarbeitet werden dürfen, die für den Verwendungszweck notwendig sind. Des Weiteren müssen nach Maßgabe von Art. 17 DSGVO auf Wunsch alle personenbezogenen Daten gelöscht werden.

Über die Alexa-App ist es zum Beispiel möglich, die eigene Historie zu löschen. Es ist aber zum jetzigen Zeitpunkt nicht klar, ob diese Aufnahmen tatsächlich auch auf den Servern von Amazon gelöscht werden. Daneben ist auch fraglich, ob tatsächlich nur die Daten an die Amazon-Server weitergeleitet werden, die nach den Aktivierungswörtern fallen.

Mehr dazu:

consetto.com – Alexa und der Datenschutz (DSGVO)

Heise erklärt direkt, wie bei Amazon Auskunft verlangt werden kann:

DSGVO-Auszug der Amazon-Daten anfordern und lesen

Zur „Datenpanne“ bei Alexa im vorherigen Jahr: Amazon klärt auf:

So kam es zur Echo-Datenpanne mit Alexa-Aufnahmen

 

BSI warnt erneut vor Ransomware Angriffen und den gravierenden Folgen für Unternehmen

Der Das BSI warnt erneut vor gezielten Angriffen mittels sogenannter Verschlüsselungstrojaner. Mit derartiger Ransomware verschafft sich der Angreifer Zugang zu den Unternehmensnetzwerken. Dies erfolgt beispielsweise dadurch, dass Schadsoftware in einer vermeintlichen Bewerbung versteckt wird. Beim Öffnen des Bewerbungs-pdf durch einen Mitarbeiter wird die Software unbemerkt auf dem Rechner implementiert. Ist der Zugang vorhanden, können die Angreifer sodann Netzwerk und System erforschen. Im schlimmsten Fall, wenn aus Sicht der Angreifer ein lohnenswertes Ziel erkannt wurde, werden unmittelbar (oder zu einem späteren Zeitpunkt) alle Dateien unleserlich verschlüsselt. In diesem Fall wenden sich die Angreifer an das betroffene Unternehmen und verlangen ein Lösegeld. Die Betriebsabläufe werden meist massiv, oft bis zum Stillstand des Betriebes, gestört

Der BSI beobachtet wieder ansteigende Zahlen von solchen Übergriffen. Diese führen teils zu existenzbedrohenden Datenverlusten. Deshalb rät das BSI erneut: Schützen sie sich vor Primär-Infektionen. Dies erfordert zum einen technische wie aber auch organisatorische Maßnahmen. Organisatorische Maßnahmen sind etwa Schulungen sowie verbindliche IT-Richtlinien für Ihre Mitarbeiter. Darüber hinaus muss sichergestellt sein, dass regelmäßig geeignete Backups erstellt werden, die im Fall der Fälle zur Wiederherstellung der Systeme verwendet werden können.

Wenn Sie betroffen sind gilt: Informieren sie unmittelbar Ihre Mitarbeiter sowie ggf. Geschäftspartner oder Kunden, vor alle um zukünftige, weitere Angriffsversuche zu vermeiden. Denken Sie unbedingt auch an Ihre Meldepflichten nach Art. 33 DSGVO. Und: Bevor Sie schlicht auf die Forderung der Täter eingehen, prüfen Sie den Fall und eruieren Sie alle weiteren Möglichkeiten. Schließlich sind auch Fälle bekannt, in denen zwar gezahlt wurde, sich aber die Daten trotzdem nicht wiederherstellen ließen.

Mehr dazu:

 datensicherheit.de – Ransomware: BSI warnt vor gezielten Angriffen auf Unternehmen

 

So. Geschafft. Vielleicht denken Sie zukünftig nun doch lieber zwei Mal nach, was Sie alles in Gegenwart von Alexa äußern oder wenn sie eine Mail eines Unbekannten mit einer vermeintlichen Bewerbung bekommen und öffnen wollen.

In dem Sinne,

meistern Sie Ihren, nun doch schon etwas von der neuen DSGVO beeinflussten, Alltag! 🙂

 

 

Schreibe einen Kommentar

Die Datenverarbeitung im Zusammenhang mit der Nutzung der Kommentierungsfunktion erfolgt auf Grundlage von Art. 6 I b) und Art. 6 I f) DSGVO wie in den Informationen zur Datenverarbeitung dargelegt.

Diercks Digital Recht

 

Nina Diercks (M.Litt, University of Aberdeen) arbeitet seit 2010 als Rechtsanwältin. Sie führt die Anwaltskanzlei Diercks in Hamburg. Die Anwältin berät und vertritt Unternehmen bundesweit, ist jedoch ausschließlich im IT-| Medien-| Datenschutz und Arbeitsrecht tätig. Daneben steht die Nina Diercks gern und oft als Referentin auf der Bühne sowie als Interviewpartnerin und Gastautorin zur Verfügung. Dazu hat sie im Jahr 2010 diesen Blog (früher: Social Media Recht Blog) ins Leben gerufen. Mehr

Anmeldung zum Blog-Newsletter

LinkedIn

Wenn Sie an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, dann folgen Sie mir gerne auch auf LinkedIn oder stellen Sie mir eine Vernetzungsanfrage.

Bluesky

Wenn Sie nicht nur an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, sondern auch persönliche Meinungen zu Themen wie Politik, HR, Sport oder auch einfach mal Nonsense von mir lesen möchten, dann folgen Sie mir gerne auch auf Bluesky.