Category Archive: Datenschutzrecht

  1. OVG Lüneburg: Videoüberwachung in öffentlichen Verkehrsmitteln ist zulässig

    Leave a Comment

    Die ÜSTRA Hannoversche Verkehrsbetriebe AG (ÜSTRA) hat in ihren Fahrzeugen feststehende Videokameras installiert, mit denen durchgehend der Fahrzeuginnenraum aufgezeichnet wird. Die Aufnahmen werden nach 24 Stunden wieder gelöscht. Die Aufzeichnung dient unter anderem zur Beweissicherung bei Vandalismusschäden und zur Verfolgung von Straftaten.

    Nach Ansicht des Oberverwaltungsgerichts Lüneburg ist das Bundesdatenschutzgesetz (BDSG) auf diesen Fall anwendbar. Die Videoüberwachung diene der Wahrnehmung berechtigter Interessen der ÜSTRA, insbesondere der Verfolgung von Straftaten gegen ihre Einrichtungen und der Verhütung solcher Straftaten. Die erforderliche Abwägung mit den schutzwürdigen Interessen des von den Überwachungsmaßnahmen betroffenen Personenkreises fällt zugunsten der von der ÜSTRA geltend gemachten Belange aus.

    Die Aufzeichnungen erfolgen somit rechtmäßig.

    Urteil des OVG Lüneburg vo. 7. September 2017, Aktenzeichen 11 LC 59/16

    Pressemitteilung des OVG Lüneburg

  2. OVG Schleswig-Holstein: Kein datenschutzrechtlicher Verstoß durch Betrieb einer Facebook-Fanpage

    Leave a Comment

    Das OVG Schleswig-Holstein sieht im Urteil vom 04.09.2014, Az. 4 LB 20/13, den Inhaber einer Facebook-Fanpage nicht als den datenschutzrechtlich Verantwortlichen.

    Die Klägerin, ein in Form einer gemeinnützigen Gesellschaft mit beschränkter Haftung betriebenes Bildungsunternehmen, wandte sich gegen die per Bescheid gemäß § 38 Abs. 5 S. 1 Bundesdatenschutzgesetz (BDSG) ergangene Anordnung der Datenschutzaufsichtsbehörde Schleswig Holstein (ULD), die Facebook-Fanpage zu deaktivieren.

    Das OVG Schleswig-Holstein gab der Klage vollumfassend statt. Da die Klägerin nicht nach § 3 Abs. 7 1. Alt. BDSG personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt, ist sie nicht verantwortliche Stelle.

    Die Klägerin ist auch nicht datenverarbeitende Stelle, da sie nicht Daten durch Facebook in ihrem Auftrag verarbeiten lässt (§ 3 Abs. 7 2. Alt. BDSG).

    Mangels Eigenschaft als datenverarbeitende Stelle liegt kein datenschutzrechtlicher Verstoß durch den Betrieb der Facebook-Fanpage vor.

    Die Revision zum Bundesverwaltungsgericht (BVG) wurde zugelassen.

    Urteil des OVG Schleswig-Holstein vom 04.09.2014, Az. 4 LB 20/13, im Volltext

  3. OVG Lüneburg: Zulässige Videoüberwachung in Bürogebäude

    Leave a Comment

    Das OVG Lüneburg hat mit Urteil vom 29. September 2014, Az. 11 LC 114/13, entschieden, dass im Eingangsbereich und Treppenaufgang eines privaten Bürogebäudes die Videoüberwachung zulässig ist, sofern ein berechtigtes Interesses vorliegt.

    Die Videoüberwachung im Geschäftsgebäude der Klägerin und die Speicherung der dabei gewonnenen Daten unterfällt dem OVG Lüneburg zufolge dem Regelungsbereich des Bundesdatenschutzgesetzes (BDSG). Die Videoüberwachung im öffentlich zugänglichen Teil des Gebäudes der Klägerin ist nach § 6b Abs. 1 Nr. 2 (Wahrnehmung des Hausrechts) und Nr. 3 BDSG (Wahrnehmung berechtigter Interessen) gerechtfertigt und für diese Zwecke erforderlich. Es war in der Vergangenheit zu Sachbeschädigungen im Gebäude der Klägerin gekommen, so dass ein berechtigtes Interesse vorlag, weitere Schäden durch das Überwachen der öffentlichen Räume zu verhindern.

    Urteil des OVG Lüneburg vom 29. September 2014, Az. 11 LC 114/13, im Volltext

  4. BayLDA: Automatisierte Suche nach Datenschutzverstößen

    Leave a Comment

    Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) überprüfte im September 2014 stichprobenartig die Mailserver bayerischer Unternehmen automatisiert auf das Vorhandensein von Verschlüsselung. Verschlüsselung der E-Mailkommunikation soll die Erfüllung der Voraussetzungen des § 9 Bundesdatenschutzgesetz (BDSG) sicherstellen.

    Das BayLDA überwacht als Datenschutzaufsichtsbehörde nach § 38 BDSG die Einhaltung des Datenschutzrechts ausschließlich im nicht-öffentlichen Bereich im Bundesland Bayern.

    Im Juni 2013 hat das BayLDA die datenschutzrechtskonforme Einbindung von Adobe Analytics in Internetauftritten geprüft. Im April/Mai 2012 wurden Websites hinsichtlich der Einbindung von Google Analytics automatisiert überprüft.

    Informationen des BayLDA zu automatisierten Prüfungen datenschutzrechtlicher Vorschriften

  5. VG Berlin: Werbe-Opt-Ins im Rahmen telefonischer Service-Calls nicht zulässig

    Leave a Comment

    Im Rahmen telefonischer Service-Calls dürfen Opt-Ins für Werbe-Kontakte nicht eingeholt werden, da keine ausreichende datenschutzrechtliche Grundlage für die Verwendung der Kunden-Telefonnummer besteht (VG Berlin, Urteil vom 07.05.2014, Az. VG 1 K 253.12).

    Ein von der Klägerin beauftragtes Service-Callcenter führte regelmäßig telefonische Zufriedenheitsabfragen zur Qualität des Lieferservices bei Kunden durch, sog. Service-Calls. Im Rahmen dieser Service-Calls wurden die Kunden gefragt:

    „Darf ich oder ein netter Kollege von der A/U Sie noch einmal telefonisch oder auch per E-Mail oder SMS ansprechen, sobald wir wieder ein besonders schönes Medienangebot für Sie haben?“.

    Der Berliner Beauftragte für Datenschutz und Informationsfreiheit untersagte „die telefonische Einholung von Einwilligungen in Werbung per Telefon, E-Mail oder SMS zu Medienangeboten der A/U innerhalb von ihr veranlasster Zufriedenheitsnachfragen (Service-Calls) gegenüber Kunden, die bisher nicht in Werbeanrufe eingewilligt haben“. Gegen diese Verfügung erhob das Unternehmen Klage.

    Das VG Berlin hat die Klage abgewiesen. Nach Auffassung des Gerichts wurden die Daten des Kunden während des Servicegesprächs zu Werbezwecken genutzt, wozu es an einer Rechtsgrundlage ermangele. Das Unternehmen sei lediglich berechtigt, die Daten des Kunden zur Durchführung des Service-Calls zu nutzen. Weitergehende Zwecke seien hiervon nicht umfasst.

    Das Unternehmen hat demnach datenschutzwidrig gehandelt.

    Urteil des VG Berlin vom 07.05.2014, Az. VG 1 K 253.12, im Volltext

  6. BayLDA: Bußgeld bis zu 300.000 € für DashCam-Aufnahmen

    Leave a Comment

    Ein Autofahrer hatte alle seine Fahrten mittels einer auf dem Armaturenbrett angebrachten Kamera (DashCam) aufgezeichnet. Von ihm dokumentierte verkehrsrechtliche Verstöße wurden von ihm als Videoaufnahmen der Polizei übergeben und zur Anzeige gebracht.

    Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) verbot dem Fahrer daraufhin, weitere Aufnahmen anzufertigen und die bestehenden zu löschen. Das VG Ansbach hob mit Urteil vom 12.08.2014 den Bescheid auf. Die Aufhebung wurde dadurch begründet, dass das BayLDA keine hinreichend bestimmte Regelung hinsichtlich der Nutzung von DashCams getroffen hatte.

    Im übrigen ist aber das VG Ansbach der Ansicht des BayLDA gefolgt. Werden Aufnahmen im Fahrzeug zum Zwecke der Veröffentlichung oder Übergabe an die Polizei angefertigt, ist der Bereich des Datenschutzrechts tangiert. Nur im Falle rein privater Aufnahmen ist das Bundesdatenschutzgesetz (BDSG) nicht einschlägig.

    Das BayLDA hat angekündigt, bei weiteren Vorfällen, in denen DashCam-Aufnahmen der Polizei oder Versicherungen übergeben werden, ein Bußgeld festzulegen. Der Rahmen hierfür beläuft sich auf bis zu 300.000 €.

    Pressemitteilung des BayLDA vom 06.10.2014

  7. EU-Rat: Abschwächung der Datenschutzreform empfohlen

    Leave a Comment

    Datenverarbeitende Stellen sollen weniger strengen datenschutzrechtlichen Auflagen unterliegen, so die Innen- und Justizminister der EU während der jüngsten Beratung der geplanten Datenschutz-Grundverordnung in Brüssel.

    Besondere Schutzanforderungen sollen nur dann für Unternehmen oder Behörden verpflichtend sein, wenn die verarbeiteten Daten in hohem Maße riskant sind. Als besonders gefährdet gelten dabei an sich besonders sensible personenbezogene Informationen wie Gendaten, Angaben zur ethnischen Herkunft, politischen Meinungen, religiösen oder philosophischen Überzeugungen, zum Sexualverhalten oder zur Mitgliedschaft in einer Gewerkschaft. Zudem sollen Daten, deren Nutzung zu Diskriminierungen, Ruf- und Finanzschädigung oder Vertrauensbrüchen führen könnten, dazugehören.

    Wer nicht den besonderen Schutzanforderungen unterliegt, soll etwa von der Vornahme kostenintensiver Datenschutzfolgeanalysen, der Meldung von Sicherheitspannen sowie vom Prinzip („Privacy by design and by default“) befreit sein. Die Bestellung von betrieblichen Datenschutzbeauftragten soll nur dann erforderlich sein, wenn dies vom nationalen Recht vorgesehen ist.

    Vorläufig verabschiedetes Kapitel zu technischen und organisatorischen Schutzmaßnahmen

  8. EU-Verkehrsminister: Datenschutz gilt auch für zivile Drohnen

    Leave a Comment

    Auf der 335. Tagung der europäischen Verkehrsminister wurde beschlossen, dass der Einsatz von Flugdrohnen europaweit einheitlich geregelt werden soll.

    Insbesondere der Datenschutz soll neben der Betriebssicherheit höchste Priorität haben bei der zukünftigen Regelung. Bis zur allgemeinen Zulassung von Drohnen ist von einem Inkrafttreten der europäischen Datenschutz-Grundverordnung auszugehen, so die Bundesregierung. Zu regeln sei die Flughöhe und die Auflösungsstärke von Kameraobjektiven, damit das Recht auf Privatheit beim Überfliegen von Privatbesitz gewahrt bleibe.

    Ergebnisse der 335. Tagung der europäischen Verkehrsminister im Volltext

  9. BGH: Speicherung von IP-Adressen für eine Woche ist für Provider zulässig

    Leave a Comment

    Mit Urteil vom 3.7.2014, Az. III ZR 391/13, hat der BGH erneut entschieden, dass Provider IP-Adressen für eine Woche speichern dürfen.

    Das Urteil bestätigt die bisherige Rechtsprechung des BGH. Zwar würden die IP-Adressen nicht zu Abrechnungszwecken benötigt werden, insbesondere nicht bei Flatratetarifen, aber es stehe den Providern frei, die IP-Adressen eine Woche lang zur Erkennung von technischen Störungen oder Angriffen gegen die technische Infrastruktur zu speichern.

    Die gesetzliche Begründung findet sich in § 100 TKG, wonach ein Provider berechtigt sein soll, zur Erkennung von Störungen oder Fehlern an Telekommunikationsanlagen die Bestandsdaten und Verkehrsdaten der Teilnehmer und Nutzer erheben und verwenden. Aus der EG-Richtlinie 2002/58/EG ergebe sich nichts Gegenteiliges.