Zur Zulässigkeit der Erhebung, Speicherung und Übermittlung von personenbezogenen Daten im Rahmen eines Arztsuche- und Arztbewertungsportals im Internet (www.jameda.de).

BGH URTEIL VI ZR 358/13 vom 23. September 2014 – jameda.de (Arztbewertung)

BDSG § 29; ZPO § 559

Zur Zulässigkeit der Erhebung, Speicherung und Übermittlung von personenbe-zogenen Daten im Rahmen eines Arztsuche- und Arztbewertungsportals im Internet (www.jameda.de).

BGH, Urteil vom 23. September 2014 – VI ZR 358/13 – LG München I “Zur Zulässigkeit der Erhebung, Speicherung und Übermittlung von personenbezogenen Daten im Rahmen eines Arztsuche- und Arztbewertungsportals im Internet (www.jameda.de).” weiterlesen

Sind IP-Adressen personenbezogene Daten?

Der Kläger verlangt von der beklagten Bundesrepublik Deutschland Unterlassung der Speicherung von dynamischen IP-Adressen. Dies sind Ziffernfolgen, die bei jeder Einwahl vernetzten Computern zugewiesen werden, um deren Kommunikation im Internet zu ermöglichen. Bei den meisten allgemein zugänglichen Internetportalen des Bundes werden alle Zugriffe in Protokolldateien festgehalten mit dem Ziel, Angriffe abzuwehren und die strafrechtliche Verfolgung von Angreifern zu ermöglichen. Dabei werden unter anderem der Name der abgerufenen Seite, der Zeitpunkt des Abrufs und die IP-Adresse des zugreifenden Rechners über das Ende des jeweiligen Nutzungsvorgangs hinaus gespeichert. Der Kläger rief in der Vergangenheit verschiedene solcher Internetseiten auf.

Mit seiner Klage begehrt er, die Beklagte zu verurteilen, es zu unterlassen, ihm zugewiesene IP-Adressen über das Ende des jeweiligen Nutzungsvorgangs hinaus zu speichern. Das Amtsgericht hat die Klage abgewiesen. Auf die Berufung des Klägers hat das Landgericht dem Kläger den Unterlassungsanspruch nur insoweit zuerkannt, als er Speicherungen von IP-Adressen in Verbindung mit dem Zeitpunkt des jeweiligen Nutzungsvorgangs betrifft und der Kläger während eines Nutzungsvorgangs seine Personalien angibt. Gegen dieses Urteil haben beide Parteien die vom Berufungsgericht zugelassene Revision eingelegt.

Der Bundesgerichtshof hat beschlossen, das Verfahren auszusetzen und dem Europäischen Gerichtshof zwei Fragen zur Auslegung der EG-Datenschutz-Richtlinie zur Vorabentscheidung vorzulegen. “Sind IP-Adressen personenbezogene Daten?” weiterlesen

Hamburgische Beauftragte für Datenschutz erlässt als Datenschutzaufsicht Anordnung gegen Google zur Selbstorganisation des Schutzes durch Nutzer

Der Hamburgische Beauftrage für Datenschutz und Informationsfreiheit hat in der vergangenen Woche gegenüber der Google Inc. zur Beseitigung von Verstößen gegen das Telemediengesetz und das Bundesdatenschutzgesetz eine Verwaltungsanordnung erlassen. Das US-Unternehmen wird darin verpflichtet, Daten, die bei der Nutzung unterschiedlicher Google-Dienste anfallen, nur unter Beachtung der gesetzlichen Vorgaben zu erheben und zu kombinieren. Nach Auffassung der Datenschutzbehörde greift die bisherige Praxis der Erstellung von Nutzerprofilen weit über das zulässige Maß hinaus in die Privatsphäre der Google-Nutzer ein. Google wird verpflichtet, technische und organisatorische Maßnahmen zu ergreifen, die sicherstellen, dass deren Nutzer künftig selbst über die Verwendung der eigenen Daten zur Profilerstellung entscheiden können.

Die Google Inc. erhält umfängliche Informationen über die Nutzungsgewohnheiten ihrer Kunden. Viele setzen die unterschiedlichen vom Unternehmen angebotenen Dienste in ihrem täglichen Leben regelmäßig und umfassend ein. Dies betrifft sowohl die bei Google registrierten Personen (z.B. Gmail-Nutzer und die meisten Besitzer eines Android-Smartphones) als auch Personen, die Google-Dienste (z.B. die Suchmaschine) unangemeldet verwenden. Die Inhalts- und Nutzungsdaten, die dabei anfallen, verraten bereits viel über den Einzelnen und dessen Interessen, Gewohnheiten und Lebensweise.

Beispielsweise können damit

• detaillierte Bewegungsmuster durch Standortdaten erstellt,
• Rückschlüsse auf spezifische Interessen und Vorlieben durch Auswertung der Nutzung der Google-Suchmaschine getroffen,
• der soziale und der finanzielle Status, der Aufenthaltsort und viele weitere Gewohnheiten des Nutzers durch Analyse der Daten ermittelt und
• etwa Freundschaftsbeziehungen, sexuelle Orientierung sowie der Beziehungsstatus abgeleitet werden. “Hamburgische Beauftragte für Datenschutz erlässt als Datenschutzaufsicht Anordnung gegen Google zur Selbstorganisation des Schutzes durch Nutzer” weiterlesen

Kein Anspruch eines Arztes auf Löschung seiner Daten aus einem Ärztebewertungsportal

Bundesgerichtshof lehnt den Anspruch eines Arztes auf Löschung seiner Daten aus einem Ärztebewertungsportal ab

Der Kläger ist niedergelassener Gynäkologe. Die Beklagte betreibt ein Portal zur Arztsuche und Arztbewertung. Internetnutzer können dort kostenfrei der Beklagten vorliegende Informationen über Ärzte und Träger anderer Heilberufe abrufen. Zu den abrufbaren Daten zählen unter anderem Name, Fachrichtung, Praxisanschrift, Kontaktdaten und Sprechzeiten sowie Bewertungen des Arztes durch Portalnutzer. Die Abgabe einer Bewertung erfordert eine vorherige Registrierung. Hierzu hat der bewertungswillige Nutzer lediglich eine E-Mail-Adresse anzugeben, die im Laufe des Registrierungsvorgangs verifiziert wird.

Der Kläger ist in dem genannten Portal mit seinem akademischen Grad, seinem Namen, seiner Fachrichtung und der Anschrift seiner Praxis verzeichnet. Nutzer haben ihn im Portal mehrfach bewertet. Gestützt auf sein allgemeines Persönlichkeitsrecht verlangt er von der Beklagten, es zu unterlassen, die ihn betreffenden Daten – also “Basisdaten” und Bewertungen – auf der genannten Internetseite zu veröffentlichen, und sein Profil vollständig zu löschen.

Amts- und Landgericht haben die Klage abgewiesen. Der unter anderem für den Schutz des allgemeinen Persönlichkeitsrechts zuständige VI. Zivilsenat des Bundesgerichtshofs hat die Revision des Klägers zurückgewiesen. “Kein Anspruch eines Arztes auf Löschung seiner Daten aus einem Ärztebewertungsportal” weiterlesen

Der Betreiber einer Facebook-Fanpage ist für die allein von Facebook vorgenommene Verarbeitung personenbezogener Daten von Besuchern der Fanpage datenschutzrechtlich nicht verantwortlich

Wirtschaftsakademie kann vom ULD nicht zur Abschaltung ihrer Facebook-Fanpage verpflichtet werden

Der Betreiber einer Facebook-Fanpage ist für die allein von Facebook vorgenommene Verarbeitung personenbezogener Daten von Besuchern der Fanpage datenschutzrechtlich nicht verantwortlich, denn er hat keinen Einfluss auf die technische und rechtliche Ausgestaltung der Datenverarbeitung durch Facebook. Dass er von Facebook anonyme Statistikdaten über Nutzer erhält, begründet keine datenschutzrechtliche Mitverantwortung. Das ULD als Datenschutzaufsichtsbehörde darf den Fanpagebetreiber deshalb nicht zur Deaktivierung seiner Fanpage verpflichten. “Der Betreiber einer Facebook-Fanpage ist für die allein von Facebook vorgenommene Verarbeitung personenbezogener Daten von Besuchern der Fanpage datenschutzrechtlich nicht verantwortlich” weiterlesen

SCHUFA Betroffener hat gemäß § 34 Abs. 4 BDSG Anspruch auf Auskunft, welche personenbezogenen, insbesondere kreditrelevanten Daten dort gespeichert sind

a) Ein durch eine Bonitätsauskunft der SCHUFA Betroffener hat gemäß § 34 Abs. 4 Satz 1 Nr. 4 BDSG einen Anspruch auf Auskunft darüber, welche personenbezo-genen, insbesondere kreditrelevanten Daten dort gespeichert sind und in die den Kunden der Beklagten mitgeteilten Wahrscheinlichkeitswerte (Scorewerte) einflie-ßen.

b) Die sogenannte Scoreformel, also die abstrakte Methode der Scorewert-berechnung, ist hingegen nicht mitzuteilen.

c) Zu den als Geschäftsgeheimnis geschützten Inhalten der Scoreformel zählen die im ersten Schritt in die Scoreformel eingeflossenen allgemeinen Rechengrößen, wie etwa die herangezogenen statistischen Werte, die Gewichtung einzelner Be-rechnungselemente bei der Ermittlung des Wahrscheinlichkeitswerts und die Bil-dung etwaiger Vergleichsgruppen als Grundlage der Scorekarten.

BGH URTEIL VI ZR 156/13 vom 28. Januar 2014 – SCHUFA

BDSG § 34 Abs. 4

“SCHUFA Betroffener hat gemäß § 34 Abs. 4 BDSG Anspruch auf Auskunft, welche personenbezogenen, insbesondere kreditrelevanten Daten dort gespeichert sind” weiterlesen

Schufa hat Auskunft darüber zu erteilen, welche personenbezogenen, insbesondere kreditrelevanten Daten bei ihr gespeichert und in die Berechnung der Wahrscheinlichkeitswerte (Score) eingeflossen sind

Die Klägerin hat gegen die beklagte Wirtschaftsauskunftei SCHUFA einen datenschutzrechtlichen Auskunftsanspruch geltend gemacht.

Die Beklagte sammelt und speichert im Rahmen ihrer Tätigkeit personenbezogene Daten, die für die Beurteilung der Kreditwürdigkeit der Betroffenen relevant sein können. Darüber hinaus erstellt sie, u.a. auch unter Berücksichtigung der hinsichtlich des jeweiligen Betroffenen vorliegenden Daten, sog. Scorewerte. Ein Score stellt einen Wahrscheinlichkeitswert über das künftige Verhalten von Personengruppen dar, der auf der Grundlage statistisch-mathematischer Analyseverfahren berechnet wird. Die von der Beklagten ermittelten Scores sollen aussagen, mit welcher Wahrscheinlichkeit der Betroffene seine Verbindlichkeiten vertragsgemäß erfüllen wird. Ihren Vertragspartnern stellt die Beklagte diese Scorewerte zur Verfügung, um ihnen die Beurteilung der Bonität ihrer Kunden zu ermöglichen.

Nachdem die Finanzierung eines Automobilkaufs der Klägerin zunächst aufgrund einer unrichtigen Auskunft der Beklagten gescheitert war, wandte sich die Klägerin an die Beklagte. Diese übersandte ihr nachfolgend eine Bonitätsauskunft sowie mehrfach eine “Datenübersicht nach § 34 Bundesdatenschutzgesetz”. Die Klägerin ist der Ansicht, die von der Beklagten erteilte Auskunft genüge nicht den gesetzlichen Anforderungen. “Schufa hat Auskunft darüber zu erteilen, welche personenbezogenen, insbesondere kreditrelevanten Daten bei ihr gespeichert und in die Berechnung der Wahrscheinlichkeitswerte (Score) eingeflossen sind” weiterlesen

VG: Keine Verantwortlichkeit des Facebook-Users für Facebook-Fanpages bei eventuellen datanschutzrechtlichen Verstössen der Fanpages

Das Unabhängige Landeszentrum für Datenschutz (ULD) ist nicht berechtigt, von den Betreibern von Facebook-Fanpages zu verlangen, diese Seiten wegen etwaiger datenschutzrechtlicher Verstöße zu deaktivieren.

Zu diesem Ergebnis ist das Schleswig-Holsteinische Verwaltungsgericht nach mündlicher Verhandlung vom heutigen Tage gekommen. Drei schleswig-holsteinische Unternehmen, die bei Facebook eine Fanpage betreiben, hatten gegen die Anordnung des ULD, diese zu deaktivieren, geklagt.

Das ULD hatte diese Anordnung damit begründet, dass die Erfassung von Daten der Besucher der Seite durch Facebook gegen Vorschriften des Datenschutzes verstoße, weil über diese Datenerfassung von Facebook nicht ausreichend informiert werde und daher keine wirksame Einwilligung vorliege. Außerdem sei eine Widerspruchsmöglichkeit nicht vorgesehen. Die Kläger als Betreiber einer Facebook-Fanpage seien hierfür mitverantwortlich. “VG: Keine Verantwortlichkeit des Facebook-Users für Facebook-Fanpages bei eventuellen datanschutzrechtlichen Verstössen der Fanpages” weiterlesen

Auf Facebook ist das deutsche Datenschutzrecht nicht anwendbar, sondern das irische.

Auf Facebook ist das deutsche Datenschutzrecht nicht anwendbar, sondern das irische.

Schleswig-Holsteinisches OVG vom 22. April 2013 zu 4 MB 10/13

§ 13 Abs. 6 TMG; §§ 3 Abs. 7, 1 Abs. 5 Satz 1 BDSG; Artt. 4 Abs. 1, 4 Abs. 2, 2 RL46_95

Tenor

Die Beschwerde des Antragsgegners gegen den Beschluss des Schleswig-Holsteinischen Verwaltungsgerichts – 8. Kammer – vom 14. Februar 2013 wird zurückgewiesen.

Der Antragsgegner trägt die Kosten des Beschwerdevertahrens.

Der Wert des Streitgegenstandes wird für das Beschwerdeverfahren auf 20.000,– Euro festgesetzt.
“Auf Facebook ist das deutsche Datenschutzrecht nicht anwendbar, sondern das irische.” weiterlesen

Die Regelung der Zulässigkeit der Datenerhebung, Datenverarbeitung und Datennutzung im Bundesdatenschutzgesetz (§ 4 BDSG)

§ 4 BDSG Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung

(1) Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.
(2) Personenbezogene Daten sind beim Betroffenen zu erheben. Ohne seine Mitwirkung dürfen sie nur erhoben werden, wenn

1.
eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt oder
2.
a)
die zu erfüllende Verwaltungsaufgabe ihrer Art nach oder der Geschäftszweck eine Erhebung bei anderen Personen oder Stellen erforderlich macht oder
b)
die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde
und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden. “Die Regelung der Zulässigkeit der Datenerhebung, Datenverarbeitung und Datennutzung im Bundesdatenschutzgesetz (§ 4 BDSG)” weiterlesen

ULD unterliegt vor VG Schleswig gegenüber Facebook: Deutsches Recht nicht anwendbar

Mit zwei Beschlüssen vom 14.02.2013 entschied das Verwaltungsgericht (VG) Schleswig im vorläufigen Rechtsschutzverfahren der Facebook Inc./USA und der Facebook Ireland Ltd. gegen das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) wegen der von Facebook durchgesetzten Klarnamenpflicht, dass ausschließliche Niederlassung von Facebook in Europa die Facebook Ltd. in Irland und deshalb auch in Deutschland nur irisches Datenschutzrecht anzuwenden sei (Az. 8 B 61/12, 8 B 60/12). Die Anordnungen des ULD auf Entsperrung von Facebook-Konten solcher Personen in Schleswig-Holstein, die ausschließlich und alleine wegen Nichtangabe oder nicht vollständiger Angabe von Echtdaten bei der Registrierung gesperrt worden sind, wurden vom Verwaltungsgericht zurückgewiesen. Die Klarnamenpflicht steht unzweifelhaft im Widerspruch zu § 13 Abs. 6 des deutschen Telemediengesetzes. Im irischen Recht besteht dagegen kein expliziter gesetzlicher Anspruch auf anonyme oder pseudonyme Nutzung von Telemedien. Das ULD beruft sich auf deutsches Recht. “ULD unterliegt vor VG Schleswig gegenüber Facebook: Deutsches Recht nicht anwendbar” weiterlesen

Die Einwilligung des § 4a BDSG: Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht.

§ 4a Einwilligung

(1) Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben. “Die Einwilligung des § 4a BDSG: Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht.” weiterlesen

Datenschutzbeauftragte in Österreich und in Deutschland genügen nicht der rechtlich 1995 zugrunde gelegten “Unabhängigkeit”; sie sind nicht unabhänig

1.      Die Republik Österreich hat dadurch gegen ihre Verpflichtungen aus Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr verstoßen, dass sie nicht alle Vorschriften erlassen hat, die erforderlich sind, damit die in Österreich bestehende Rechtslage in Bezug auf die Datenschutzkommission dem Kriterium der Unabhängigkeit genügt, und zwar im Einzelnen dadurch, dass sie eine Regelung eingeführt hat, wonach

–        das geschäftsführende Mitglied der Datenschutzkommission ein der Dienstaufsicht unterliegender Bundesbediensteter ist,

–        die Geschäftsstelle der Datenschutzkommission in das Bundeskanzleramt eingegliedert ist und

–        der Bundeskanzler über ein unbedingtes Recht verfügt, sich über alle Gegenstände der Geschäftsführung der Datenschutzkommission zu unterrichten.

2.      Die Republik Österreich trägt die Kosten der Europäischen Kommission.

3.      Die Bundesrepublik Deutschland und der Europäische Datenschutzbeauftragte tragen ihre eigenen Kosten.

“Datenschutzbeauftragte in Österreich und in Deutschland genügen nicht der rechtlich 1995 zugrunde gelegten “Unabhängigkeit”; sie sind nicht unabhänig” weiterlesen

“Vollständige” Gesetzessammlung zum Datenschutz (Stand August 2012)

Gesetzessammlung des ULD Schleswig Holstein mit den nachfolgenden Gesetzen:

Bundesdatenschutzgesetz (BDSG) 1
Landesdatenschutzgesetz (LDSG) 61
Datenschutzverordnung (DSVO) 91
Informationszugangsgesetz (IZG-SH) 97
Geodatenzugangsgesetz (GeoZG) 107 ““Vollständige” Gesetzessammlung zum Datenschutz (Stand August 2012)” weiterlesen

Schon § 1 BDSG belegt eindrucksvoll, dass unser Bundesdatenschutzrecht erneuert werden muss.

Schon § 1 BDSG belegt eindrucksvoll, dass unser Bundesdatenschutzrecht erneuert werden muss.

§ 1 Zweck und Anwendungsbereich des Gesetzes
(1) Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.
(2) Dieses Gesetz gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch

1.
öffentliche Stellen des Bundes,
2.
öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist und soweit sie

a)
Bundesrecht ausführen oder
b)
als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt,

3.
nicht-öffentliche Stellen, soweit sie die Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben, es sei denn, die Erhebung, Verarbeitung oder Nutzung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten.

(3) Soweit andere Rechtsvorschriften des Bundes auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes vor. Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt. “Schon § 1 BDSG belegt eindrucksvoll, dass unser Bundesdatenschutzrecht erneuert werden muss.” weiterlesen

Das Volkszählungsurteil bleibt wegweisend für die Hintergründe des heutigen Datenschutzrechts

BUNDESVERFASSUNGSGERICHT Urteil 1 BvR 209, 269, 362, 420, 440, 484/83 vom 15.12.1983 – Volkszählungsurteil

1. § 2 Nummer 1 bis 7 sowie §§ 3 bis 5 des Gesetzes über eine Volks-, Berufs-, Wohnungs- und Arbeitsstättenzählung (Volkszählungsgesetz 1983) vom 25 März 1982 (Bundesgesetzbl. I S. 369) sind mit dem Grundgesetz vereinbar; jedoch hat der Gesetzgeber nach Maßgabe der Gründe für ergänzende Regelungen der Organisation und des Verfahrens der Volkszählung Sorge zu tragen.

2. § 9 Absatz 1 bis 3 des Volkszählungsgesetzes 1983 ist mit Artikel 2 Absatz 1 in Verbindung mit Artikel 1 Absatz 1 des Grundgesetzes unvereinbar und nichtig.

3. Die Beschwerdeführer werden durch das Volkszählungsgesetz 1983 in dem aus Nummer 1 und 2 ersichtlichen Umfang in ihren Grundrechten aus Artikel 2 Absatz 1 in Verbindung mit Artikel 1 Absatz 1 des Grundgesetzes verletzt.

Im übrigen werden die Verfassungsbeschwerden zurückgewiesen.

4. Die Bundesrepublik Deutschland hat den Beschwerdeführern die notwendigen Auslagen zu erstatten.

“Das Volkszählungsurteil bleibt wegweisend für die Hintergründe des heutigen Datenschutzrechts” weiterlesen

Datenschutzrechtliche Aspekte des Cloud Computing (Orientierungshilfe Cloud Computing)

Orientierungshilfe Cloud Computing

Für das Cloud Computing ergeben sich dabei sowohl aus Sicht
des Datenschutzes als auch der Datensicherheit folgende Besonderheiten:

· Vermeintlich als anonymisiert angesehene Daten (vgl. § 3 Abs. 6 BDSG) können
durch ihre Verarbeitung in der Cloud reidentifizierbar werden, weil verschiedene
Beteiligte über Zusatzwissen verfügen, mit dem eine Reidentifizierung möglich
ist.7 Für die verantwortliche Stelle (§ 3 Abs. 7 BDSG) muss daher deutlich werden,
in welchem Rahmen Datenschutzbestimmungen einzuhalten sind.

· Bei der Anwendung von Cloud-Services und der Bereitstellung von ITDienstleistungen
werden regelmäßig mehrere Beteiligte tätig. Hier ist von Bedeutung,
wie deren Beziehungen zueinander datenschutzrechtlich zu bewerten sind
und wie vor allem die verantwortliche Stelle ihren Verpflichtungen nachkommt.

· Die verantwortliche Stelle hat die Rechtmäßigkeit der gesamten Datenverarbeitung
zu gewährleisten, insbesondere muss sie ihren Löschpflichten nachkommen
(§ 35 Abs. 2 BDSG), unrichtige Daten berichtigen (§ 35 Abs. 1 BDSG), für eine
Sperrung von Daten sorgen (§ 35 Abs. 3 BDSG) und dem Betroffenen (§ 3 Abs. 1
BDSG) u. a. Auskünfte über die zu seiner Person gespeicherten Daten, auch soweit
sie sich auf die Herkunft dieser Daten beziehen, erteilen (§ 34 Abs. 1 BDSG).
Zur Erfüllung der entsprechenden gesetzlichen Bestimmungen muss die verantwortliche
Stelle besondere Vorkehrungen treffen.

· Zu untersuchen ist die Zulässigkeit grenzüberschreitender Datenverarbeitungen.
Bei Clouds, die international verteilt sind und sich auch über Staaten außerhalb
des EWR erstrecken, ist eine Rechtsgrundlage für die Übermittlung personenbezogener
Daten in Drittstaaten erforderlich.

· Aus technisch-organisatorischer Sicht müssen vor allem besondere Vorkehrungen
für die ordnungsgemäße Löschung und Trennung von Daten sowie für die
Sicherstellung von Transparenz, Integrität und Revisionsfähigkeit der Datenverarbeitung
getroffen werden.
“Datenschutzrechtliche Aspekte des Cloud Computing (Orientierungshilfe Cloud Computing)” weiterlesen

Bundesdatenschutzbeauftragter: Hohe Zahl der Widersprüche gegen Google Street View unterstreicht Handlungsbedarf

Anlässlich der Veröffentlichung der Widerspruchszahlen zum Google-Dienst Street View erklärt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar:
Ich kenne kein vergleichbares System, bei dem so viele Menschen in so kurzer Zeit der Verwendung ihrer Daten widersprochen haben – und das sogar schon vor Inbetriebnahme des Dienstes. Die hohe Zahl der Widersprüche gegen Google Street View zeigt, dass die Bürgerinnen und Bürger selbst darüber entscheiden wollen, welche Daten über sie im Internet veröffentlicht werden. Diese Entscheidung der Bürgerinnen und Bürger darf aber nicht vom Good Will einzelner Unternehmen abhängen. Ein verbrieftes und allgemeines Widerspruchsrecht der Betroffenen gegen die Veröffentlichung ihrer Daten im Internet ist deshalb dringend erforderlich.

Schaar ist der Auffassung, dass es noch viel mehr Widersprüche gegeben hätte, wenn hierfür ein einfacheres Verfahren zur Verfügung stehen würde. Ihm liegen zahlreiche Beschwerden darüber vor, dass man Google weitere personenbezogene Daten geben muss, damit der Widerspruch berücksichtigt wird.

Schaar fordert: “Wichtig ist es, dass die Betroffenen nicht separat gegenüber allen Internetdiensteanbietern der Veröffentlichung widersprechen müssen. Daher brauchen wir ein unbürokratisches Widerspruchsregister, das von einer vertrauenswürdigen Stelle geführt wird. Nur so kann sichergestellt werden, dass ein einziger Widerspruch die Betroffenen gegen die Veröffentlichung ihrer personenbezogenen Daten im Internet schützt. Außerdem müssten die Unternehmen bei einem solchen Verfahren gar nicht erfahren, von welcher Person der Widerspruch stammt. Sie müssten sich lediglich darüber informieren, ob zu einer bestimmten Anschrift ein Widerspruch vorliegt.

Ich erwarte von der Internetwirtschaft entsprechende Vorschläge in ihrem Datenschutz-Kodex, den sie Anfang Dezember vorgelegen will. Sollte diese Selbstregulierung nicht gelingen, muss der Gesetzgeber entsprechende Vorgaben machen.”

Quelle