Nach dem Verbot von GhatGPT in Italien wollen die deutschen Aufsichtsbehörden nun reagieren. Mit Hessen und Nordrhein-Westfalen haben mindestens zwei deutsche Behörden eine Prüfung angekündigt, die von der Datenschutzkonferenz koordiniert werden soll. Die Prüfung dürfte in enger Abstimmung mit einer neu ins Leben gerufenen Taskforce des EDPB erfolgen.
Verbot von ChatGPT in Italien: Die italienische Datenschutzaufsichtsbehörde untersagte OpenAI die Datenverarbeitung via ChatGPT vorlüfig und beruft sich auf Art. 58 Abs. 2 lit. f DSGVO. Demnach ist den Datenschutzaufsichtsbehörden erlaubt, bei Verstößen gegen die DSGVO die Datenverarbeitung vorübergehend einzuschränken.
Die Behörde stützt ihren Bescheid im Wesentlichen auf folgende Erwägungen:
- Es fehle eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten zum Training des Algorithmus.
- Die Betroffenen seien nicht angemessen über die Verarbeitung informiert worden.
- Da ChatGPT bei manchen Antworten Dinge über Betroffene erfindet, sei das Gebot der Richtigkeit der Daten verletzt.
- Die Altersverifikation von ChatGPT sei unzureichend; auch Kinder unter 13 Jahren könnten mit ungeeigneten Inhalten in Kontakt kommen.
Das European Data Protection Board (EDPB) veröffentlichte die endgültige Fassung seiner Leitlinien zum Umgang mit Datenschutzverletzungen mit den Anforderungen der Art. 33, 34 DSGVO an die Meldung, Benachrichtigung und Dokumentation von Datenschutzverletzungen veröffentlicht. Hinweise zur Umsetzung für Verantwortliche und Auftragsverarbeiter und Beispiele für verschiedene Arten von Datenschutzverletzungen bieten hilfreiche Orientierung.
2022/06/15 Checkliste der Datenschutzbehörde Sachsen-Anhalt
Die Datenschutzaufsichtsbehörde in Sachsen-Anhalt veröffentlichte einen Leitfaden für kleine und mittlere Unternehmen„Datenschutz ist Chefsache!“. Ab der Seite 87 (von 95) finden sie einen Fragenkatalog, anhand dessen überprüft werden kann, wie gut man bisher im Bereich Datenschutz aufgestellt ist und wo noch Handlungsbedarf besteht. Der Leitfaden enthält viele praktische und theoretische Themen zum betrieblichen Datenschutz.
2022/01/20 Urteil zum Einsatz von Google Webfonts
Das LG München entschied, dass der nicht DSGVO konforme Einsatz von Google-Webfonts einen Unterlassungsanspruch und Schadensersatz in Höhe von 100 € für den Kläger wegen Weitergabe der IP-Adresse an Google durch Nutzung von Google Fonts auf der Unternehmensseite nach sich zieht. „Der Einsatz von Schriftartendiensten wie Google Fonts kann nicht auf Art. 6 Abs. 1 S.1 lit. f DSGVO gestützt werden, da der Einsatz der Schriftarten auch möglich ist, ohne dass eine Verbindung von Besuchern zu Google Servern hergestellt werden muss.“
Unser Tip: Binden Sie Google Webfonts lokal auf Ihrem Server ein.
2022/01/13 Einsatz von Google Analytics
Die österreichische Datenschutzaufsicht erklärte den Einsatz von Google Analytics für unzulässig und auch die niederländische Behörde scheint man sich dieser Auffassung anschließen zu wollen, vorrausgegangen war eine Beschwerde der Datenschutzaktivisten von nyob, der Organisation um Max Schrems. Die Entscheidung der Behörde ist noch nicht rechtskräftig, kann aber Auswirkungen auch auf Entscheidungen aller anderen europäischen Aufsichtsbehörden haben.
Was sollten Sie beachten: wenn Sie kein Risiko eingehen möchten, dann sollten Sie Google Analytics nicht nutzen und auf andere Dienstleister, am Besten selbstgehostete Dienste, wie z.B. Matomo, nutzen. Wenn Sie jedoch Google Analytics weiterhin nutzen möchten, achten Sie auf die Einholung einer wirksamen Einwilligung über einen „Cookie-Banner“, bevor Sie diesen Dienst und seine Cookies einsetzen und die Akualität der Verträge.
2021/12/20 Neue Orientierungshilfe der DSK
Die deutsche Datenschutzkonferenz (DSK) veröffentlichte den Entwurf einer neuen „Orientierungshilfe für Anbieter*innen von Telemedien“, die sich mit der Rechtslage nach der Einführung des Telekommunikations-Telemedien-Datenschutz-Gesetzes (TTDSG) befasst.
Das Einwilligungsbanner soll so gestaltet sein, dass dem Endnutzer zwei gleichwertige Handlungsmöglichkeiten mit demselben Kommunikationseffektoffenstehen. Kann der Nutzer eine freiwillige und informierte Entscheidung nur mit einem Mehraufwand an Klicks und/oder Aufmerksamkeit treffen, steht das nach Ansicht der DSK einer wirksamen Einwilligung entgegen.
Was ist zu beachten: Es sollten zwei gleichwertige Handlungs – möglichkeiten auf der Einwilligungsplattform „Cookie-Banner“ – eine „alles akzeptieren“ und eine „ablehnen“– oder „jetzt nicht akzeptieren“-Schaltfläche als Optionen angeboten werden. Überprüfen Sie die Online-Auftritte Ihres Unternehmens (Website, Social Media Seiten etc.) dahingehend, welche Webtrackingmaßnahmen, wie Cookies, Sie einsetzen (z.B. Analysetools für die Reichweitenmessung, Werbetracker für verhaltensbasierte Werbung, etc.)
2021/12/09 Urteil zur Zahlung von 2.500 € Schadensersatz wegen unzureichender technisch-organisatorischer Maßnahmen (TOMs)
Ein Finanzdienstleistungsunternehmen wurde vom Landgericht München I (Urteil vom 09.12.2021, 31 O 16606/20) zur Zahlung eines Schadensersatzes in Höhe von 2.500 EUR verurteilt, weil es keine ausreichenden und geeigneten technischen und organisatorischen Maßnahmen gem. Art. 32 DSGVO für die Sicherheit der Daten seiner Kunden gewährleistete und es dadurch zu einem unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten kam. Die Beklagte muss dem Kläger außerdem alle materiellen künftigen Schäden ersetzen, die dem Kläger durch den unbefugten Zugriff Dritter auf das Datenarchiv entstehen bzw. entstanden.
Achtung: Überprüfen Sie Ihre technisch-organisatorischen Maßnahmen mindestens einmal jährlich auf Ihre Wirksamkeit und Aktualität und dokumentieren Sie dies in Ihren Unterlagen.
2021/11/25 TTDSG kommt am 01.12.2021: neue Regelungen für Cookies
Ab dem 1.Dezember gilt das Telemommunikation-Telemedien-Datenschutzgesetz (TTDSG), welches die Datenschutzbestimmungen des TKG und TMG nun in einem Gesetz zusammenfasst.
Für wen gilt des TTDSG?
Nach § 2 Abs. 2 lit. 1 TTDSG ist jede natürliche oder juristische Person, die eigene oder fremde Telemedien erbringt, an der Erbringung mitwirkt oder den Zugang zur Nutzung von eigenen oder fremden Telemedien vermittelt, „Anbieter von Telemedien“.
Da der Begriff Telemedien selbst ist nicht im TTDSG geregelt, greift man deshalb auf § 1 TMG zurück. Dieses TMG gilt für alle „elektronischen Informations- und Kommunikationsdienste“. Insbesondere fallen Webseiten und Mobile-Apps unter diesen Begriff.
Was ist mit Cookies?
Eine Erleichterungen bei Cookie-Bannern und beim Einsatz von Tracking-Cookies wurde erhofft. Die wesentlichen Regelungen verweisen auf die bestehende Rechtslage:
§ 25 Absatz 1 TDDSG regelt die bisher durch die Rechtsprechung vorgesehene Verpflichtung, vor Setzen eines dauerhaften Cookies oder ähnlicher Methoden zur Speicherung von Informationen das Einverständnis des Nutzers einzuholen.
Die Ausnahme zur Einwilligung nach § 25 Absatz 2 TTDSG ist wie bisher sehr eng zu verstehen. Die Speicherung von Daten in Cookies muss für den Dienst „unbedingt erforderlich“ sein.
Das ist bei Tracking-Diensten nie der Fall. Dauerhafte Cookies, die bei einem erneuten Besuch der Webseite abgerufen werden können, sind nur dann unbedingt erforderlich, wenn sich der Nutzer registriert hat und das Wiedererkennen ausdrücklich wünscht. Die Zustimmung kann und sollte jedoch bei der Registrierung abgefragt werden. Ein Cookie-Banner benötigt man dafür nicht.
2021/11/24 3G am Arbeitsplatz Geimpft, Genesen oder Getestet
Nach § 28b Absatz 1 IfSG müssen Arbeitgeber und Beschäftigte beim Betreten der Arbeitsstätte entweder einen Impf- oder Genesenennachweis oder einen Testnachweis mit sich führen.
Für nicht Geimpfte bzw. nicht Genesene ist eine tägliche Überprüfung ihres negativen Teststatus Voraussetzung für den Zugang zur Arbeitsstätte.
Ausreichend ist es, zu dokumentieren, dass die vorgelegten Unterlagen geprüft wurden, und den jeweiligen Status zu einer bestimmten Person mit Datum zu vermerken.
Dabei sind die Vorgaben der Datensicherheit (Art. 32 DSGVO) einzuhalten. Nicht zulässig wäre es z.B., wenn der Arbeitgeber gegenüber den Beschäftigten verlangen würde, eingescannte Unterlagen über die Nachweise über eine ungesicherte Verbindung zu übersenden.
Wenn der Arbeitgeber den Genesenennachweis (mit Ablaufdatum) oder den Impfnachweis (ohne Ablaufdatum) einmal kontrolliert und diese Kontrolle dokumentiert hat, können Beschäftigte mit gültigem Impf- oder Genesenennachweis anschließend grundsätzlich von den täglichen Zugangskontrollen ausgenommen werden.
Allerdings müssen die Beschäftigten und auch Arbeitgeber selbst den Impf- /Genesenen-/Testnachweis für Kontrollen der zuständigen Behörde bereithalten.Diese Nachweise können von den Beschäftigten auch beim Arbeitgeber hinterlegt werden. Diese Hinterlegung ist jedoch freiwillig.
Weitere Informationen finden Sie in den FAQs des BMAS – Bundesministerium für Arbeit und Soziales
2021/11/25 HomeOffice
Das Bayrische Landesamt für Datenschutzaufsicht hat eine Handreichung verpöffentlicht, die einen Überblick über die wichtigsten Praxismaßnahmen im Homeoffice entsprechend den geltenden gesetzlichen Datenschutzvorgaben geben.
Im Sinne einer gezielten Präven-tion von Datenschutzverstößen soll damit im „neuen Alltag“ eine gesteigerte Sensibilisierung für dieses Thema erreicht und mit konkreten Prüffragen der eigene Stand der Umsetzung unterstützt werden.
Selbst-Check: Datenschutzrechtliche Regelungen bei Homeoffice
Bei der Arbeit zu Hause soll die Umgebung so ausgestaltet sein, dass vom Grundsatz her die Vertraulichkeit und Verfügbarkeit der Daten wie im Büro sichergestellt ist.
Das Homeoffice ist das virtuelle Büro – die Sicherheitsrisiken erhöhen sich durch die Anbindung an das Internet – hier sollte auf einen VPN Zugang Wert gelegt werden.
2021/11/01 Lohnfortzahlung im Quarantänefall
Mit wenigen Ausnahmen, wie beispielsweise in medizinischen Einrichtungen, können Arbeitgeber und Dienstherren momentan weder den Impf- oder Teststatus ihrer Beschäftigten erfragen oder irgendeine Art von Testungspflicht anordnen. Der BfDI Herr Kelber fordert eine rechtliche Klarstellung, zur Abfrage des Impf- und Teststatus von Beschäftigten: https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2021/14_Abfrage-Impfstatus.html?nn=252136
Vorraussetzung sind folgende, ins IfSG aufgenommenen Paragrafen:
§ 28a Abs. 1 Nr. 2a als Rechtsgrundlage, durch die eine Vorlagepflicht eines Impf-, Genesenen- oder Testnachweis bestimmt werden kann und
§ 36 Abs. 3 IfSG eng gefassten Voraussetzungen ein Fragerecht und damit eine Rechtsgrundlage für die zeitlich befristete Verarbeitung von Impf- und Serostatus
2021/09/27 Standardvertragsklauseln für den Datentransfer in Drittstaaten nur noch in der neuen Fassung gültig
Bei den SCC handelt es sich um Musterverträge, die eine geeignete Garantie nach Art. 46 DSGVO für den Transfer von personenbezogenen Daten in Drittstaaten darstellen können. Als Drittstaaten gelten solche, die sich außerhalb der EU/des europäischen Wirtschaftsraumes (EWR) befinden, z.B. die USA.
Seit 27. September sind neue Datentransfers ins EU-Ausland auf Grundlage von Standarddatenschutzklauseln nur noch in der neuen Fassung zulässig, deshalb ändern Google, Facebook, Amazon und andere US-Dienste ihre Datenschutzbedingungen entsprechend den Vorgaben der EU ab.
Für Bestandsübermittlungen in Drittländer gilt eine erweiterte Übergangsfrist bis zum 27.12.2022.
UPDATE: 2021/09/03 Änderung des Infektionsschutzgesetz (IfSG)
Zu diesem Zweck wird das Infektionsschutzgesetz (IfSG) geändert. Vorgesehen ist, dass künftig nur bestimmte Arbeitgeber nach dem Impfstatus fragen dürfen. Konkret geht es um diejenigen Berufsfelder, auf die in den ersten beiden Absätzen des § 36 IfSG verwiesen wird, also etwa Schulen, Kindertageseinrichtungen, Obdachlosenunterkünfte oder Justizvollzugsanstalten.
2021/08/31 BfDI zur Abfrage des Impf- und Teststatus durch Arbeitgeber
Mit wenigen Ausnahmen, wie beispielsweise in medizinischen Einrichtungen, können Arbeitgeber und Dienstherren momentan weder den Impf- oder Teststatus ihrer Beschäftigten erfragen oder irgendeine Art von Testungspflicht anordnen. Der BfDI Herr Kelber fordert eine rechtliche Klarstellung, zur Abfrage des Impf- und Teststatus von Beschäftigten: https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2021/14_Abfrage-Impfstatus.html?nn=252136
0/10/05 AG Hildesheim, Urteil vom 5. Oktober 2020 – 43 C 145/19, BeckRS 2020, 30107
Die Veräußerung eines zurückgegebenen Computers an einen Dritten durch ein Unternehmen ohne vorherige Festplattenformatierung, wodurch Dritter Einsicht in Datenreste des ehemaligen Nutzers erhielt (u.a. Rechnung mit Kontaktdaten, Fotos, Steuererklärung) führte zu einem DSGVO-Verstoß. Das AG Hildesheim (Az. 43 C 145/19; Link ist nicht frei zugänglich) hat entschieden, dass dem Kläger ein Anspruch auf Zahlung eines Schmerzensgeldes nach Art. 82 Absatz 1 und 2 DSGVO in Verbindung mit § 253 I BGB in Höhe von 800 Euro zusteht.
2021/09/02 Irische Datenschutzbehörde DPC verhängt eine Rekordstrafe gegen WhatsApp
Grund sind Verstöße gegen die europäische Datenschutz-Grundverordnung, wegen fehlender Transparenz bei der Weitergabe von persönlichen Daten muss die Facebook-Tochter 225 Millionen Euro zahlen, urteilte die Behörde. Die Aufsichtsbehörde wies den Messengerdienst außerdem an, seine Datenverarbeitung zu verändern. Da Facebook seinen Europa-Hauptsitz in Dublin hat, ist die DPC die verantwortliche Behörde für Datenschutzfragen. WhatsApp bezeichnete die Strafe dagegen als „vollkommen unangemessen“ und kündigte Berufung an.