[datensicherheit.de, 27.03.2025] Der Bundesgerichtshof (BGH) hat am 27. März 2025 abschließend festgestellt, dass Meta in seinem App-Center für kostenlose Spiele gegen Datenschutzrecht verstoßen hat. Hintergrund dieses Urteils ist eine Klage des Verbraucherzentrale Bundesverbands (vzbv), „bei der es aus auch um die Klagebefugnis von Verbraucherverbänden bei Datenschutzverstößen ging“. Jutta Gurkmann, Geschäftsbereichsleiterin „Verbraucherpolitik“ des vzbv, kommentiert das Urteil in ihrer aktuellen Stellungnahme.

Im „facebook“-App-Center laut BGH Verbraucher-Datenschutzrechte missachtet

Nun stehe fest, dass Meta in seinem „facebook“-App-Center Datenschutzrechte von Verbrauchern missachtet habe. „Das BGH-Urteil stärkt den Verbraucherschutz im digitalen Verbraucheralltag“, betont Gurkmann. Viel zu oft stünden Verbraucher „datenhungrigen Anbietern im Internet“ hilflos gegenüber.

Immer wieder ignorierten Anbieter Datenschutzpflichten und damit -rechte der Verbraucher. Hier würden neben den Datenschutzbehörden „starke klagebefugte Verbraucherschutzverbände“ an der Seite der Verbraucher benötigt.

Vom BGH eingebundener EuGH bestätigte vzbv-Klagebefugnis

Der hatte Facebook Ireland (jetzt Meta Platforms Ireland) bereits im Jahr 2012 verklagt – dabei ging es um Datenschutzverstöße im Spiele-Center dieses Sozialen Netzwerks. Meta (Facebook) habe sich beispielsweise das Recht herausgenommen, Nutzerdaten wie die E-Mail-Adresse und weitere private Account-Informationen an Spieleanbieter weiterzugeben.

„Die Vorinstanzen bejahten den Verstoß. Jedoch wurde vom BGH hinterfragt, ob der vzbv in solchen Fällen klagebefugt ist.“ Dies habe der vom BGH eingebundene EuGH dann im Juli 2024 auch für Fälle bestätigt, in denen es um die Verletzung von Informationspflichten aus der Datenschutzgrundverordnung (DSGVO) geht. „Bereits 2022 bestätigte der EuGH die Klagebefugnis bei Verstößen gegen die DSGVO.“ Mit dem aktuellen Urteil habe der BGH nun die vorangegangenen Urteile des EuGH auf den konkreten Fall angewendet.

Weitere Informationen zum Thema:

Bundesgerichtshof, 27.03.2025
Verbraucherschutzverbände und Mitbewerber sind befugt, Verstöße gegen das Datenschutzrecht im Wege einer wettbewerbsrechtlichen Klage vor den Zivilgerichten zu verfolgen / Nr. 059/2025 / Urteil vom 27. März 2025 – I ZR 186/17

datensicherheit.de, 09.12.2024
Verbraucherzentrale reicht nach BGH-Urteil zu facebook-Datenleck Sammelklage ein / Mit der vzbv-Sammelklage gegen „facebook-“Betreiber können Ansprüche teilnehmender Betroffener vor Verjährung bewahrt werden

datensicherheit.de, 10.12.2018
Datenschutz: Verbraucherverbände brauchen laut vzbv starkes Verbandsklagerecht / verbraucherzentrale Bundesverband publiziert Stellungnahme „ZU EINEM FAIREN WETTBEWERB GEHÖRT AUCH DER DATENSCHUTZ“

[datensicherheit.de, 24.03.2025] Laut einer aktuellen Meldung des eco – Verband der Internetwirtschaft e.V. wurde – nachdem der Europäische Datenschutzausschuss (EDSA) und die Datenschutz-Aufsichtsbehörde LDI NRW bereits im Juni 2024 „AUDITOR“ als Datenschutzzertifizierung gemäß Artikel 42 DSGVO anerkannt haben – jetzt der letzte Schritt zum Einsatz am Markt vollzogen: Die Deutsche Akkreditierungsstelle (DAkkS) hat demnach die datenschutz cert GmbH als erste Zertifizierungsstelle akkreditiert. Diese Akkreditierung soll bestätigen, dass die datenschutz cert GmbH die Anforderungen für die Konformitätsbewertung von „Cloud“-Diensten erfüllt und somit berechtigt ist, die Datenschutz-Zertifizierung „AUDITOR“ zu vergeben.

Andreas Weiss, eco, Foto: eco – Verband der Internetwirtschaft e.V.

Andreas Weiss sieht in „AUDITOR“ Stärkung der europäischen Datenhoheit und mehr Rechtssicherheit

„AUDITOR“-Zertifizierung im Rahmen eines BMWK-Projektes gefördert

Diese „AUDITOR“-Zertifizierung wurde laut eco im Rahmen eines vom Bundesministerium für Wirtschaft und Klimaschutz (BMWK) geförderten Projektes von einem Expertenkonsortium unter der Führung des Karlsruher Instituts für Technologie (KIT) und der Universität Kassel entwickelt und stellt die erste speziell auf „Cloud“-Dienste zugeschnittene Zertifizierung gemäß Art. 42 der Datenschutzgrundverordnung (DSGVO) dar.

Das Verfahren sei bereits in der Praxis anhand mehrerer „Use-Cases“ erprobt und validiert und von der DAkkS, der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) und dem Europäischen Datenschutzausschuss (EDSA) geprüft worden. „Cloud“-Dienst-Anbieter können jetzt das „AUDITOR“-Zertifikat nutzen, um die Einhaltung der Vorgaben der DSGVO am Markt nachzuweisen.

Zertifizierung „AUDITOR“ nach DSGVO-Maßgabe im Interesse aller Beteiligten

• „Cloud“-Anbieter können mit einer Zertifizierung Sicherheit und Transparenz bieten.
• „Cloud“-Kunden dürfen nur mit solchen „Cloud“-Anbietern zusammenarbeiten, die hinreichende Garantien zur Einhaltung des Datenschutzes vorweisen können.
• Der Schutz personenbezogener Daten von Endverbrauchern steht im Mittelpunkt der „AUDITOR“-Zertifizierung von „Cloud“-Diensten.

Unabhängige Prüfungen und Zertifizierungen lassen „Cloud“-Kunden gezielt mit Anbietern nachweislich hoher Datenschutzstandards zusammenarbeiten

Unabhängige Prüfungen und Zertifizierungen hätten sich weltweit etabliert, um einen objektiven Nachweis dafür zu erbringen, „dass Anforderungen zum Datenschutz und zur Informationssicherheit angemessen umgesetzt sind“. Andreas Weiss, Geschäftsführer des eco – Verband der Internetwirtschaft e.V. kommentiert abschließend:

„Mit ,AUDITOR’ haben wir endlich eine speziell für ,Cloud’-Dienste entwickelte Zertifizierung nach DSGVO-Standards. Das stärkt die europäische Datenhoheit und bietet Anwendern, Unternehmen und öffentlichen Institutionen mehr Rechtssicherheit. ,Cloud’-Kunden können so gezielt mit Anbietern zusammenarbeiten, die nachweislich hohe Datenschutzstandards erfüllen.“

Weitere Informationen zum Thema:

Trusted Cloud
Die Datenschutzzertifizierung des Kompetenznetzwerks Trusted Cloud e.V.

DAkkS, 25.02.2025
datenschutz cert GmbH

datensicherheit.de, 21.03.2025
US-Clouds: Erste Warnungen vor Gefährdung der Datensouveränität in Europa / Unternehmen und Organisationen speichern und verarbeiten sensible Daten bei US-basierten „Cloud“-Anbietern – mangels europäischer Alternativen

datensicherheit.de, 05.12.2024
Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe / Tiho Saric erörtert Cyber-Risiken des Finanzsektors im Rahmen der Digitalisierung und der oftmals damit einhergehenden Migration in die „Cloud“

datensicherheit.de, 14.09.2024
SANS Institute gibt eBook zur Cloud-Sicherheit heraus / Im Fokus: „Cloud“-Sicherheit mit „AWS“, „Google Cloud“ und „Microsoft Azure“

[datensicherheit.de, 07.03.2025] Laut einer aktuellen Meldung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP), Prof. Dr. Dieter Kugelmann, hat der Europäische Datenschutzausschuss (EDSA) am 5. März 2025 seine europaweite Prüfaktion „Coordinated Enforcement Framework“ (CEF) für das Jahr 2025 gestartet. Der LfDI RLP beteiligt sich demnach mit weiteren deutschen Datenschutzaufsichtsbehörden an dieser Initiative, „die in diesem Jahr die Umsetzung des Rechts auf Löschung in den Blick nimmt“. Insgesamt nähmen 32 Datenschutzaufsichtsbehörden aus Europa teil.

Recht auf Löschung nach Art. 17 DSGVO eines der am häufigsten ausgeübten Datenschutzrechte

Das Recht auf Löschung (Art. 17 DSGVO) sei eines der am häufigsten ausgeübten Datenschutzrechte und eines, zu dem bei den Datenschutzaufsichtsbehörden viele Beschwerden eingingen. Ziel dieser koordinierten Aktion sei es unter anderem, die Umsetzung dieses Rechts in der Praxis zu bewerten.

Dies werde anhand eines gemeinsam erarbeiteten Fragebogens – beispielsweise durch die Analyse und den Vergleich der von verschiedenen Verantwortlichen eingerichteten Verfahrensweisen – erfolgen. Dadurch sollten die wichtigsten Punkte bei der Einhaltung dieses Rechts ermittelt sowie ein Überblick über bewährte Verfahrensabläufe gewonnen werden.

Von Erkenntnissen und Empfehlungen der Aktion sollen Betroffene wie auch datenschutzrechtlich Verantwortliche profitieren

Professor Kugelmann gibt einen Ausblick auf die Aktion: „Gerade bei den Betroffenenrechten sind einheitliche Standards in ganz Europa wichtig, denn um deren Grundrechte geht es. Die letztjährige Aktion zum Auskunftsrecht hat gezeigt, dass das ,Coordinated Enforcement Framework’ für diese Kooperationsaufgabe ein hervorragendes Instrument ist.“

Deshalb beteilige sich der LfDI RLP gerne an diesen Aktionen. „Wir sind gespannt, wie die Verantwortlichen in Rheinland-Pfalz, die wir befragen werden, zum Recht auf Löschung aufgestellt sind.“ Von den Erkenntnissen und Empfehlungen aus der Aktion würden sowohl die Betroffenen als auch die datenschutzrechtlich Verantwortlichen in Rheinland-Pfalz profitieren.

Europaweit abgestimmter Fragebogen zur Umsetzung des Rechts auf Löschung durch Verantwortliche

Kerninstrument der gemeinsamen Initiative sei ein europaweit abgestimmter Fragebogen zur Umsetzung des Rechts auf Löschung durch Verantwortliche. „In Deutschland nehmen die Landesdatenschutzaufsichtsbehörden aus Baden-Württemberg, Brandenburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz sowie die Bundesbeauftragte teil.“

Die Ergebnisse der gemeinsamen Initiative würden im Rahmen des EDSA analysiert und nach Abschluss in einem Bericht veröffentlicht. Die koordinierte Aktion zum Recht auf Löschung sei die vierte Initiative im Rahmen des CEF, welches darauf abziele, die Durchsetzung der Datenschutz-Grundverordnung und die Zusammenarbeit zwischen Datenschutzbehörden innerhalb der EU zu verbessern. Frühere koordinierte Aktionen hätten sich mit dem Recht auf Auskunft (2024), der Benennung und der Rolle von Datenschutzbeauftragten (2023) sowie der Nutzung von „Cloud“-Diensten durch den öffentlichen Sektor (2022) befasst.

Weitere Informationen zum Thema:

edpb European Data Protection Board, 10.10.2024
CEF 2025: EDPB selects topic for next year’s Coordinated Action

[datensicherheit.de, 24.01.2025] Die irische Datenschutzbehörde bleibt mit 3,5 Milliarden Euro an verhängten DSGVO-Bußgeldern weiterhin der größte Durchsetzer in Europa – dies ist eine Erkenntnis aus der siebten Ausgabe des „GDPR Fines and Data Breach Survey“ der Wirtschaftskanzlei DLA Piper, welche ein weiteres „bedeutsames Jahr in der Durchsetzung des Datenschutzes“ beleuchtet habe. Mit europaweit verhängten Bußgeldern in Höhe von 1,2 Milliarden Euro im Jahr 2024 summierten sich die seit Inkrafttreten der DSGVO im Mai 2018 verhängten Strafen auf insgesamt 5,88 Milliarden Euro. Irland bleibe eben mit großem Abstand weiterhin der führende Durchsetzer mit Geldbußen – das höchste jemals nach der DSGVO verhängte Bußgeld sei weiterhin die Rekordahndung mit über 1,2 Milliarden Euro gegen Meta Platforms Ireland Limited im Jahr 2023.

Große Technologiekonzerne und Social-Media-Giganten Hauptziele für DSGVO-Rekordbußgelder

Die vorliegende Studie von DLA Piper weist demnach für den Zeitraum seit dem 28. Januar 2024 einen Rückgang von 33 Prozent gegenüber den DSGVO-Bußgeldern des Vorjahres aus: Der über sieben Jahre anhaltende Trend zunehmender Durchsetzung sei damit erstmals gebrochen worden. Gleichwohl bleibe die Tendenz über die Jahre steigend, denn der Rückgang 2024 sei fast ausschließlich auf die Rekordforderung von 1,2 Milliarden Euro gegenüber Meta im Jahr 2023 zurückzuführen gewesen – im Jahr 2024 habe es keine vergleichbare Rekordstrafe gegeben.

Große Technologiekonzerne und Social-Media-Giganten blieben die Hauptziele für Rekordbußgelder: Fast alle der zehn höchsten seit 2018 verhängten Geldbußen beträfen die sogenannte Tech-Branche, darunter in 2024 die von der irischen Datenschutzbehörde verhängten Bußgelder in Höhe von 310 Millionen Euro gegen LinkedIn und 251 Millionen Euro gegen Meta.

DSGVO-Durchsetzung hat sich 2024 auch auf weitere Branchen erstreckt

2024 habe sich die DSGVO-Durchsetzung auch auf weitere Branchen erstreckt, darunter Finanzdienstleistungen und Energie. „So verhängte die spanische Datenschutzbehörde zwei Bußgelder in Höhe von insgesamt 6,2 Millionen Euro gegen eine große Bank wegen unzureichender Sicherheitsmaßnahmen. Die italienische Datenschutzbehörde sprach ein Bußgeld über fünf Millionen Euro gegen einen Energieversorger für die Nutzung veralteter Kundendaten aus.“

Deutschland bleibe ebenfalls ein wichtiger Akteur bei der Durchsetzung europäischen Datenschutzrechts: Seit Inkrafttreten der DSGVO seien hierzulande Bußgelder im Gesamtvolumen von 89,1 Millionen Euro verhängt worden. Ein Fokus der deutschen Datenschutzbehörden liege dabei auf Verstößen gegen die Integrität und Vertraulichkeit sowie die Sicherheit der Datenverarbeitung.

DSGVO bleibt starkes Instrument – insbesondere auch in Deutschland

Dr. Jan Geert Meents, Partner der deutschen Praxisgruppe „Intellectual Property & Technology“ (IPT) bei DLA Piper, kommentiert die aktuelle Studie so: „Die diesjährigen Ergebnisse zeigen, dass die Datenschutzbehörden in Europa weiterhin eine klare Linie verfolgen. Der Rückgang des Gesamtvolumens der Bußgelder ist auf außergewöhnliche Ereignisse im Vorjahr zurückzuführen und bedeutet keine Abschwächung der regulatorischen Aktivitäten.“ Die DSGVO bleibe ein starkes Instrument, um den Datenschutz zu gewährleisten und die Einhaltung zu fördern. Dies gelte insbesondere auch für Deutschland.

Der verstärkte Fokus auf „Governance“ und Aufsicht habe zu mehreren Entscheidungen geführt, in denen Versäumnisse bei der Unternehmensleitung festgestellt worden seien. So habe die niederländische Datenschutzbehörde angekündigt, zu überprüfen, „ob die Geschäftsführer von Clearview AI persönlich für zahlreiche DSGVO-Verstöße haftbar gemacht werden können, nachdem ein Bußgeld in Höhe von 30,5 Millionen Euro gegen das Unternehmen verhängt wurde“. Diese Untersuchung könnte einen möglichen Wandel im Fokus der Regulierungsbehörden hin zu einer persönlichen Haftung und mehr individueller Verantwortlichkeit signalisieren.

Persönliche Haftung von Führungskräften markiert neue Phase in der DSGVO-Durchsetzung

„Die zunehmende Fokussierung auf die persönliche Haftung von Führungskräften markiert eine neue Phase in der DSGVO-Durchsetzung“, betont Verena Grentzenberg, Partnerin der Praxisgruppe IPT von DLA Piper in Deutschland mit Fokus auf Datenschutz. Dies setze ein klares Signal an Unternehmen, dass Verstöße gegen den Datenschutz nicht ohne Konsequenzen blieben – „auch nicht auf der Ebene der handelnden Personen!“.

Die durchschnittliche Anzahl der gemeldeten Datenschutzverletzungen pro Tag sei 2024 nur leicht auf 363 von 335 Meldungen im Vorjahr gestiegen. Dies entspreche dem Trend der Vorjahre und sei mutmaßlich darauf zurückzuführen, dass Unternehmen vorsichtiger geworden seien und angesichts des Risikos von behördlichen Ermittlungen, Geldbußen und möglichen Schadenersatzforderungen Datenschutzverletzungen eher meldeten.

DSGVO dient zunehmend auch als Leitplanke für neue Bereiche wie KI-Regulierung

Hinsichtlich der Gesamtzahl der gemeldeten Datenschutzverletzungen habe es seit Inkrafttreten der DSGVO und auch im jüngsten Berichtszeitraum kaum Veränderungen an der Spitze der Rangliste gegeben: Die Niederlande (33.471 Meldungen), Deutschland (27.829) und Polen (14.286) blieben die Länder mit den höchsten Zahlen gemeldeter Datenschutzverletzungen.

Jan Pohle, ebenfalls IPT-Partner mit Spezialisierung im Bereich Datenschutz, unterstreicht in seinem abschließenden Kommentar: „Auch wenn die diesjährige Umfrage keine neuen Rekorde zeigt, bedeutet das keineswegs, dass das Interesse oder die Aktivität der europäischen Datenschutzbehörden nachgelassen haben.“ Im Gegenteil: Die Durchsetzung habe sich weiterentwickelt, mit wachsender Regulierung in Sektoren außerhalb von „Big Tech“ und Sozialen Medien. „Die DSGVO dient zudem zunehmend als Leitplanke für neue Bereiche wie die KI-Regulierung und Grundlage für die Durchsetzung von Datenschutz im Zusammenhang mit KI“, so Pohle.

Weitere Informationen zum Thema:

DLA PIPER, Ross McKean & John Magee & Rachel de Souza
DLA Piper GDPR Fines and Data Breach Survey: January 2025

[datensicherheit.de, 09.01.2025] Zum Jahresbeginn 2025 biete sich nun wieder einmal die Gelegenheit, Aktenordner und digitale Archive von Altlasten zu befreien. Viele Unternehmen und Privatpersonen stellten sich indes die Frage, welche Dokumente entsorgt werden könnten, bei denen die gesetzliche Aufbewahrungsfrist abgelaufen ist: „Unterlagen mit einer Aufbewahrungsfrist von zehn Jahren aus dem Jahr 2014 und mit einer Frist von sechs Jahren aus dem Jahr 2018 dürfen nun vernichtet werden – vorausgesetzt, es bestehen keine anderen Aufbewahrungsgründe“, erläutert Harald Krekeler, Geschäftsführer des Softwarebüros Krekeler, in seiner Stellungnahme. Er betont: „Genauso wichtig wie eine rechtssichere Aufbewahrung ist aber auch eine rechtssichere Dokumentenvernichtung, bei der vor allem der Datenschutz nach DSGVO im Fokus steht!“

Foto: Softwarebüro Krekeler

Harald Krekeler: Die Unterlagen- bzw. Datenträger-Vernichtung sollte lückenlos dokumentiert werden!

Fristende für viele Unterlagen aus dem Jahr 2014

In Deutschland regelten vor allem die Abgabenordnung (AO) und das Handelsgesetzbuch (HGB) die Aufbewahrungspflichten von geschäftlichen Unterlagen. Je nach Art der Dokumente gälten dabei unterschiedliche Fristen, wobei die häufigsten Zeiträume sechs Jahre und zehn Jahre seien. Nach Ablauf dieser Fristen dürften die entsprechenden Unterlagen datenschutzkonform vernichtet werden. Es sei jedoch entscheidend, den Stichtag korrekt zu berechnen.

Krekeler stellt klar: „Die Aufbewahrungsfrist beginnt immer mit dem Ende des Kalenderjahres, in dem das jeweilige Dokument erstellt wurde. Ein Beleg, der beispielsweise im Mai 2014 erstellt wurde, ist ab dem 31. Dezember 2014 aufbewahrungspflichtig. Die Aufbewahrungsfrist von zehn Jahren für dieses Dokument endet somit am 31. Dezember 2024 und es darf ab Januar 2025 vernichtet werden.“

Vorzeitige Vernichtung von Unterlagen kann schwerwiegende Konsequenzen haben

Doch Vorsicht: Die richtige Berechnung des Fristbeginns und -endes sei wichtig, da eine vorzeitige Vernichtung von Dokumenten schwerwiegende Konsequenzen haben könne. Denn im Falle einer Betriebsprüfung oder bei Rechtsstreitigkeiten könnten fehlende Unterlagen erhebliche finanzielle oder rechtliche Nachteile nach sich ziehen.

Nämlich: „Wenn an einem Dokument aus 2014 im Jahr 2015 noch einmal eine nachträgliche Änderung erfolgte, dann beginnt die Aufbewahrungsfrist für dieses Dokument erst im Dezember 2015 und es darf folglich auch erst im Januar 2026 vernichtet werden“, unterstreicht Krekeler.

Folgende Unterlagen können laut Krekeler ab Januar 2025 vernichtet werden:

Unterlagen mit zehn-jähriger Aufbewahrungsfrist
Unterlagen aus dem Jahr 2014 – mit Fristbeginn 31. Dezember 2014 – könnten ab dem 1. Januar 2025 datenschutzgerecht vernichtet werden. Hierzu zählten vor allem steuerrechtlich relevante Dokumente, wie Jahresabschlüsse und Eröffnungsbilanzen, Buchungsbelege, Steuerbescheide und Steuererklärungen, Handelsbücher und Rechnungen (Ein- und Ausgang).

Unterlagen mit sechs-jähriger Aufbewahrungsfrist
Für Geschäftsbriefe und andere steuerlich weniger relevante Dokumente gelte eine kürzere Frist. So könnten Handels- und Geschäftsbriefe – dazu zählten zum Beispiel Angebote, Bestellungen und Schriftverkehr – sowie Lohnunterlagen aus dem Jahr 2018 ab Januar 2025 entsorgt werden.

Aber bloß nicht einfach in den Müll: DSGVO-konforme Entsorgung der Unterlagen bzw. Datenträger!

Schriftverkehr und Dokumente nach ihrer Aufbewahrungsfrist einfach in den Müll oder den digitalen Papierkorb zu entsorgen, funktioniere jedoch nicht. Die Vernichtung von Unterlagen erfordere stattdessen besondere Sorgfalt, insbesondere im Hinblick auf den Datenschutz. Unternehmen wie Privatpersonen müssten sicherstellen, dass Daten vollständig und unwiderruflich vernichtet werden.

„Nach der Datenschutz-Grundverordnung müssen personenbezogene Daten so vernichtet werden, dass sie nicht mehr rekonstruierbar sind. Für Papierdokumente bedeutet es, dass sie durch einen geeigneten Aktenvernichter vernichtet werden müssen, der den Anforderungen nach DIN 66399 entspricht. Für personenbezogene Daten gilt dabei mindestens die Sicherheitsstufe P-4, nach der die Papierstreifen so klein sind, dass eine Rekonstruktion praktisch unmöglich ist.“ Bei sensiblen Daten, wie Gesundheitsdaten, sei eine noch höhere Sicherheitsstufe erforderlich. Hierbei sollten Unternehmen erwägen, einen zertifizierten Aktenvernichtungsdienstleisters zu beauftragen, denn diese erfüllten die hohen Datenschutzstandards.

Vernichtung digitaler Unterlagen durch nicht-reversible Löschung oder physische Zerstörung der Datenträger

Die Vernichtung digitaler Unterlagen erfolge durch Löschung oder physische Zerstörung der Datenträger. Eine einfache Löschung, beispielsweise durch Verschieben in den Papierkorb, reiche nicht aus. „Die Daten müssen durch spezielle Software unwiderruflich gelöscht werden, etwa mit Programmen wie ,Eraser’ oder ,DBAN’, die mehrfaches Überschreiben der Speicherbereiche ermöglichen.“ Bei Datenträgern wie Festplatten, CDs oder USB-Sticks sei die physische Zerstörung eine weitere Option. Hierfür kämen Schreddergeräte für digitale Medien oder spezialisierte Dienstleister zum Einsatz. „Allerdings muss auch hier die Vernichtung nach DIN 66399 erfolgen“, sagt Krekeler.

Abschließend rät Krekeler noch: „Die Dokumenten-Vernichtung sollte lückenlos dokumentiert werden. Das schützt nicht nur vor Datenschutzverstößen, sondern ist auch ein Nachweis für die ordnungsgemäße Entsorgung. Zudem sollte vor der Entsorgung überprüft werden, ob es besondere Gründe gibt, bestimmte Unterlagen über die gesetzlichen Fristen hinaus aufzubewahren.“ Beispiele hierfür seien laufende Prüfungen durch das Finanzamt oder Rechtsstreitigkeiten – in solchen Fällen sei eine längere Aufbewahrung ratsam.

Weitere Informationen zum Thema:

datensicherheit.de, 18.12.2023
Tipp zu Archivierungsfristen: Welche Unterlagen ab Januar 2024 vernichtet werden dürfen / Geschäfts- und Buchhaltungsunterlagen müssen unabhängig von ihrer Form über einen festgelegten Zeitraum aufbewahrt werden

datensicherheit.de, 20.10.2010
Datenlöschung durch Vernichtung des Datenträgers: Die oft unterschätzten Aktenvernichter / Ein Praxisbericht auf der it-sa 2010 über die Brisanz von Zufallsfunden sensibler Altpapiere

datensicherheit.de, 27.07.2009
Das ds Interview: „Skandal-Prävention durch sichere Daten-Löschung“ / Carsten Pinnow im Gespräch mit Hanno Fischer

[datensicherheit.de, 27.11.2024] Die Verbraucherzentrale NRW geht in ihrer aktuellen Stellungnahme auf die zweifelhafte Beantragung kostenfreier Schufa-Auskünfte gegen Entgelt ein – sie ist nach eigenen Angaben erfolgreich gegen den Betreiber der Website „selbstauskunft.de“ vorgegangen – deren Anbieter habe Entgelt für die Beantragung einer Schufa-Datenkopie verlangt, „die es bei der Auskunftei laut Gesetz kostenfrei gibt“. Zudem seien die Preise nicht ausreichend gekennzeichnet worden. Es gebe zahlreiche Verbraucherbeschwerden über Online-Dienste, „die für viel Geld ihre Hilfe bei Antragstellungen anbieten“.

Verbraucherschützer kritisierten zudem falsch platzierte Preisangabe

„Wir besorgen Ihre SCHUFA-Auskunft“ heiße es auf der Website „selbstauskunft.de“ – in „unter 1 Minute“ sei der Antrag gestellt. Die Kosten für diese Dienstleistung seien jedoch nicht deutlich gekennzeichnet worden. Die Verbraucherzentrale NRW sei daher gegen den Betreiber dieser Website vorgegangen. „Die Preisangabe war zudem nicht an der richtigen Stelle.“ Denn laut Gesetz müsse der Preis unmittelbar bevor Verbraucher ihre Bestellung abgeben, deutlich genannt werden.

Das Landgericht Düsseldorf habe den Betreiber mit sogenanntem Anerkenntnisurteil vom 2. Oktober 2024 verpflichtet, die Gestaltung der Website in dieser Form zu unterlassen (Aktenzeichen 14c O 70/24). Mittlerweile habe das Unternehmen seine diese angepasst und den Preis für seine Dienstleistung in unmittelbarer Nähe zum Bestellbutton und deutlich hervorgehoben platziert. „Allerdings verlangt die Firma mittlerweile sogar 39,90 Euro für ihr Angebot“, berichtet Carolin Semmler, Juristin bei der Verbraucherzentrale NRW.

Anbieter fordern Gebühren von Verbrauchern für oftmals kostenfreie Dienstleitungen

Inzwischen gebe es zahlreiche kommerzielle Anbieter, welche „mit der kostenpflichtigen Beantragung von Urkunden, Führungszeugnissen oder anderen öffentlichen Leistungen werben, obwohl die direkte Beantragung bei der Behörde in vielen Fällen kostenlos wäre“. Auch eine Kopie der bei der Schufa gespeicherten Daten könnten Verbraucher kostenfrei direkt bei der Schufa beantragen.

Die Schufa nenne die kostenlose Auskunft „Daten-Kopie nach Art. 15 DSGVO“. Viele Verbraucher stießen über Suchmaschinen auf diese Anbieter, welche durch das Schalten von Werbeanzeigen ganz oben in der Ergebnisliste platziert seien. Manchen Verbrauchern sei gar nicht bewusst, „dass sie sich nicht auf der offiziellen Seite für die Antragstellung befinden oder dass es auch einen kostenfreien Weg gibt“.

Verbraucher sollten Daten bei Unternehmen direkt anfragen

Wer sich einen Überblick darüber verschaffen möchte, welche Informationen Unternehmen und Auskunfteien über die eigene Person gespeichert haben, könne eine kostenlose Auskunft verlangen. Insbesondere bei Auskunfteien lohne sich ein kontrollierender Blick:

Kredite oder der Online-Kauf auf Rechnung scheiterten immer wieder an falsch gespeicherten Daten. Daher sollten Verbraucher regelmäßig eine kostenlose Auskunft nach Art. 15 DSGVO bei Auskunfteien wie Schufa, CRIF, Creditreform Boniversum, infoscore Comsumer Data und anderen einholen, um die Richtigkeit der dort gespeicherten Daten zu überprüfen.

Weitere Informationen zum Thema:

verbraucherzentrale Nordrhein-Westfalen, 26.11.2024
Scoring mit Kundendaten: So verlangen Sie Auskunft bei Schufa & Co. / Auskunfteien betreiben „Scoring“ mit personenbezogenen Daten und ziehen daraus Rückschlüsse auf Kreditwürdigkeit und Zahlungsfähigkeit. Diese Daten können Sie abfragen – und korrigieren lassen

[datensicherheit.de, 26.08.2024] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat eine Zwischenbilanz für das laufende Jahr, 2024, gezogen: Demnach wurden bislang (d.h. bis einschließlich Juli 2024) Bußgelder in Höhe von 130.000 Euro verhängt. Die Verstöße gegen die Datenschutzgrundverordnung (DSGVO) betrafen demnach beispielsweise die Nichteinhaltung von Löschpflichten, technische Sicherheitslücken bei Kundenservice-Systemen, verspätete Auskünfte eines Inkassounternehmens und heimliche Badezimmeraufnahmen im privaten Kontext.

HmbBfDI-Bußgelder gegen Unternehmen

So sei wegen „verletzter Löschpflichten“ ein Bußgeld in Höhe von 11.500 Euro gegenüber einem Unternehmen aus der Werbewirtschaft festgesetzt worden, „dessen IT-System zudem technische Sicherheitslücken aufwies“. Gegenüber einem Hotel sei ein Bußgeldbescheid in Höhe von 16.000 Euro erlassen worden, „weil es Personalausweisdaten ohne rechtliche Grundlage erhoben und gespeichert hatte“.

Zwei Bußgelder in einer Höhe von insgesamt 45.000 Euro hätten Unternehmen zu zahlen, „deren Support-Ticket-Systeme technische Sicherheitslücken aufwiesen“. Ein Logistikunternehmen habe wegen der fehlerhaften Entsorgung von Zustellerlisten 32.000 Euro zahlen müssen und ein Online-Händler wegen der deutlich verspäteten Meldung einer Datenpanne 6.000 Euro.

Auch Polizisten und Privatpersonen wurden vom HmbBfDI mit Bußgeldern belegt

Gegen zwei Angehörige der Polizei seien Bußgelder verhängt worden, „weil sie für private Zwecke dienstliche Datenbankabfragen durchgeführt hatten“. Fünf Bußgelder mussten laut HmbBfDI Privatpersonen entrichten, „weil sie Fotografien von Personen ohne deren Einverständnis gemacht oder gespeichert hatten“. In einem Fall habe ein Mann seiner Nachbarin nachgestellt und ein Video von ihr im Badezimmer angefertigt.

Die Summe der Bußgelder, die bis Juli 2024 vom HmbBfDI erhoben wurden, ergebe sich aus insgesamt 14 Ordnungswidrigkeitsverfahren. „Zum Vergleich: Im gesamten Jahr 2023 gab es beim HmbBfDI acht abgeschlossene Bußgeldverfahren, im Jahr 2022 waren es 15.“

[datensicherheit.de, 12.04.2024] Die Noerr Partnerschaftsgesellschaft mbB – Rechtsanwälte Steuerberater Wirtschaftsprüfer – hat am 11. April 2024 gemeldet, dass Unternehmen auch für Datenschutzverstöße durch weisungswidriges Verhalten ihrer Mitarbeiter haften: Der Europäische Gerichtshof (EuGH) hat demnach am selben Tag entschieden, „dass ein Unternehmen grundsätzlich für Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) haftet, wenn der Verstoß durch ein weisungswidriges Verhalten von Beschäftigten verursacht wurde“. Für eine mögliche Schuldbefreiung („Exkulpation“) des Unternehmens reiche es nicht aus, dass das Unternehmen nachweist, dass es seine Beschäftigten zu datenschutzkonformem Verhalten angewiesen hat. Vielmehr müsse sich das Unternehmen auch vergewissern, dass seine Weisungen von den Beschäftigten auch korrekt ausgeführt werden.

Unternehmen benötigen robuste Datenschutz-Governance

„Für Unternehmen bedeutet dies, dass sie eine datenschutzrechtliche Haftung nicht allein durch interne Richtlinien und andere Weisungen vermeiden können“, kommentiert Sebastian Dienst, „Associated Partner“ der Kanzlei Noerr.

Diese müssten somit weitere organisatorische und ggf. sogar technische Maßnahmen (TOM) ergreifen, um die Einhaltung ihrer Anweisungen auch tatsächlich sicherzustellen. Noerr erläutert: „Dies erfordert eine robuste Datenschutz-Governance, also eine wirksame Aufbau- und Ablauforganisation zur Umsetzung der datenrechtlichen Vorgaben mit klar definierten Verantwortlichkeiten und praktikablen Prozessen.“

Unternehmen sollten Datenschutz-Richtlinien durch Schulungen und Sensibilisierungsmaßnahmen verständlich vermitteln

Dr. Lea Stegemann, „Senior Associate“ der Kanzlei Noerr, berichtet: „Unserer Erfahrung nach haben viele Unternehmen bereits interne Richtlinien zum Datenschutz formuliert. Häufig sind diese Richtlinien jedoch eher realitätsfern und für Beschäftigte teilweise schwer verständlich.“

Umso wichtiger sei es in der Praxis, „die Inhalte solcher Richtlinien durch regelmäßige Schulungen und andere Sensibilisierungsmaßnahmen verständlich zu vermitteln und die Einhaltung der Datenschutzvorgaben auch tatsächlich zu kontrollieren“, so Dr. Stegemann abschließend.

Weitere Informationen zum Thema:

InfoCuria Rechtsprechung
URTEIL DES GERICHTSHOFS (Dritte Kammer) / 11. April 2024 / In der Rechtssache C-741/21

[datensicherheit.de, 14.03.2024] Laut einer Meldung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) vom 13. März 2024 hat das Europäische Parlament an diesem Tag die Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (KI-Verordnung) der EU verabschiedet. Der BfDI begrüßt demnach die europäische KI-Verordnung „als Ergänzung zur Datenschutz-Grundverordnung (DSGVO)“.

Foto: Bundesregierung/Kugler

Prof. Ulrich Kelber rät aber auch der Bundesregierung, die Öffnungsklausel für striktere nationale Verbote zu nutzen

Durch die KI-Verordnung wird der Schutz der Grundrechte, insbesondere der Datenschutz, gestärkt

Der BfDI, Professor Ulrich Kelber, kommentiert: „Es freut mich, dass der europäische Gesetzgeber eine Einigung bei der KI-Verordnung erzielen konnte. Die darin formulierten Anforderungen ergänzen bestehende Anforderungen und unterstützen deren Einhaltung. Dadurch wird der Schutz der Grundrechte, insbesondere der Datenschutz, gestärkt.“

Insbesondere begrüßt der BfDI nach eigenen Angaben, „dass die Datenschutzaufsichtsbehörden als Aufsicht für diverse Hochrisiko-KI-Systeme vorgesehen sind“.

Viele Vorgaben für Hochrisiko-KI-Systemeh haben engen Bezug zum Datenschutz

Viele der Vorgaben für Hochrisiko-KI-Systeme in der Verordnung hätten einen „engen Bezug zum Datenschutz“. So werde beispielsweise der Schutz vor automatisierter Entscheidung aus der DSGVO gestärkt und durch das Erfordernis menschlicher Aufsicht bei KI-unterstützten Entscheidungsfindungen erweitert.

Gleichzeitig bedauert der BfDI aber, dass einige der vom Europäischen Datenschutzausschuss (EDSA) und dem Europäischen Datenschutzbeauftragten (EDSB) in einer gemeinsamen Stellungnahme von 2021 geäußerten Kritikpunkte nicht umgesetzt worden seien: „Es ist ein Versäumnis, dass es kein klares Verbot biometrischer Fernerkennung im Öffentlichen Raum gibt. Die Bundesregierung sollte die Öffnungsklausel für striktere nationale Verbote nutzen.“

Weitere Informationen zum Thema:

edpb European Data Protection Board, 18.06.2021
EDPB-EDPS Joint Opinion 5/2021 on the proposal for a Regulation of the European Parliament and of the Council laying down harmonised rules on artificial intelligence (Artificial Intelligence Act)

datensicherheit.de, 04.10.2022
KI: Bitkom kommentiert EU-Haftungsrichtlinie / EU-Kommission hat Entwurf zur Haftungsrichtlinie zu Künstlicher Intelligenz (AI Liability Directive) veröffentlicht

datensicherheit.de, 24.05.2022
KI-Whitepaper als Beitrag für kommende Umsetzung gesetzlicher Regulierung Künstlicher Intelligenz in der EU / TÜV-Verband, BSI und Fraunhofer stellen gemeinsames KI-Whitepaper „Towards Auditable AI Systems – From Principles to Practice“ vor

[datensicherheit.de, 15.01.2024] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat nach eigenen Angaben ein Jahr nachdem die irische Datenschutzaufsichtsbehörde DPC einen Beschluss in Sachen „WhatsApp“ erlassen hat gefordert, „dass die offenen Fragen des Verfahrens endlich abschließend geklärt werden“.

BfDI hatte Beschwerde in der Sache WhatsApp an die zuständige irische Aufsichtsbehörde DPC weitergeleitet

In einer Beschwerde – mit Geltung der DSGVO am 25. Mai 2018 gegen den Messengerdienst eingereicht – hatte sich die Beschwerdeführerin demnach dagegen gewandt, dass Nutzer die im Zuge der DSGVO-Einführung geänderten Nutzungsbedingungen und die damit verbundene Datenschutzrichtlinie akzeptieren müssen, um diesen Messengerdienst nutzen zu können: Dies sei eine erzwungene Einwilligung und es sei nicht klar, auf welche Rechtsgrundlage „WhatsApp“ einzelne Verarbeitungsvorgänge stütze.

Als innerdeutsch für Telekommunikationsdienste (zu denen auch „WhatsApp“ zählt) zuständige Datenschutzaufsichtsbehörde hatte der BfDI diese Beschwerde an die für das Unternehmen mit Sitz in Dublin federführend zuständige irische Aufsichtsbehörde DPC weitergeleitet.

EDSA: WhatsApp hatte in unzulässiger Weise personenbezogene Daten verarbeitet

Nach fast vier Jahren Verfahrensgang habe die DPC am 1. April 2022 den europäischen Datenschutzaufsichtsbehörden einen Beschlussentwurf übermittelt. Gegen diesen Beschlussentwurf hätten die deutschen sowie die finnische, französische, italienische, niederländische und die norwegische Danteschutzaufsichtsbehörden Einsprüche eingelegt. Da über wesentliche Punkte dieser Einsprüche keine Einigung mit der DPC habe hergestellt werden können, sei ein sogenanntes Streitbeilegungsverfahren vor dem Europäischen Datenschutzausschuss (EDSA) eingeleitet worden.

Auf dieses Streitbeilegungsverfahren hin habe der EDSA am 5. Dezember 2022 den verbindlichen Beschluss 5/2022 verabschiedet und darin die DPC angewiesen, ihren Beschluss zu ändern und festzustellen, dass „WhatsApp“ in unzulässiger Weise personenbezogene Daten seiner Nutzer zu Zwecken der Serviceverbesserungen und der Sicherheit verarbeite. Dem sei die DPC dann mit ihrem am 12. Januar 2023 erlassenen Beschluss nachgekommen.

Abschließende Bewertung der von WhatsApp getroffenen Maßnahmen noch offen

„Eine abschließende Bewertung, ob die auf den Beschluss seitens ,WhatsApp’ getroffenen Maßnahmen hinreichend sind, um den DPC-Beschluss umzusetzen und den Dienst datenschutzkonform nutzen zu können, steht derzeit aus“, so der BfDI.

Zudem habe der EDSA der DPC aufgegeben, zu untersuchen, ob „WhatsApp“ (sensible) personenbezogene Daten für Zwecke der verhaltensbezogenen Werbung, für Marketingzwecke sowie für die Bereitstellung von Statistiken an Dritte und den Austausch von Daten mit verbundenen Unternehmen verarbeitet und ob dies im Einklang mit der DSGVO geschieht. Auch diese Untersuchungen stehen laut BfDI derzeit noch aus. Er setze sich gegenüber der DPC und im EDSA für eine vollständige Klärung der offenen Fragestellungen und einen zügigen Abschluss dieses Verfahrens ein.

Weitere Informationen zum Thema:

DPC Data Protection Commission, 12.01.2023
In the matter of the General Data Protection Regulation DPC Inquiry Reference: IN-18-5-6 / In the matter of JG, a complainant, concerning a complaint directed against WhatsApp Ireland Limited in respect of the WhatsApp Service / Decision of the Data Protection Commission made pursuant to Section 113 of the Data Protection Act, 2018 and Articles 60 and 65 of the General Data Protection Regulation / Further to a complaint-based inquiry commenced pursuant to Section 110 of the Data Protection Act 2018

edpb European Data Protection Board, 05.12.2022
Binding Decision 5/2022 on the dispute submitted by the Irish SA regarding WhatsApp Ireland Limited (Art. 65 GDPR)

datensicherheit.de, 14.05.2021
Kein Grund zur Beruhigung: Neue WhatsApp-Datenschutzrichtlinien treten in Kraft / Angebot von WhatsApp wird zu einem unlösbaren Widerspruch

datensicherheit.de, 13.04.2021
Neue WhatsApp-Nutzungsbedingungen: Dringlichkeitsverfahren gegen Facebook / Facebook erhält im Rahmen einer Anhörung Gelegenheit zur Stellungnahme

BfDI Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Messengerdienste

BfDI Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Zusammenarbeit der Aufsichtsbehörden in Deutschland und Europa nach der DSGVO