+49 228 2861 140 60 info@sicoda.de

Kennzeichnungspflicht bei Videoüberwachung

Die SICODA GmbH rät alle Bereiche, die videoüberwacht werden, ausreichend zu kennzeichnen.

Videoüberwachungsanlagen sind immer deutlich zu kennzeichnen. Auch wenn der mündige Bürger davon ausgehen kann, dass alle Verkaufsbereiche videoüberwacht sind, ist ihm dies trotzdem in geeigneter Weise deutlich zu machen. Auf eine Kennzeichnung kann nur in Ausnahmefällen verzichtet werden. Das ist z.B. dann der Fall, wenn die Videoanlage so positioniert ist, dass der Betroffene Sie vor Betreten der Geschäftsräume sieht. Von dieser Erkennbarkeit kann man aber nur ausgehen, wenn diese auf Augenhöhe angebracht wurde.

Wie der NDR berichtet, fordert der Hamburgische Beauftragte für Datenschutz Prof. Dr. Caspar eine deutlichere Kennzeichnung der Videoüberwachung in der Filiale Jungfernstieg des Unternehmens.

Interessant an dieser Diskussion ist, dass nicht die Menge der eingesetzten Kameras beanstandet wird, sondern nur die Kennzeichnung.

RSA Schlüsselpaare mehrfach vorhanden

Wissenschaftler der Universität Lausanne haben eine Sicherheitsgefahr für RSA Schlüssel ausmachen können. In dem Artikel Ron was wrong, Whit is right stellen die Wissenschaftler die Gefahr dar.

Das RSA Verschlüsselungsverfahren basiert auf dem Grundsatz der Komplexität. Insbesondere die Primfaktorzerlegung stellt in diesem Verfahren die besondere Herausforderung dar. Je größer und zufälliger die Primzahlen, um so schwieriger wird die Faktorzerlegung.

Die Forscher der Universität konnten feststellen, dass die Generierung der Schlüsselpaare nicht so zufällig erfolgte, wie angenommen. Die Wissenschaftler konnten in der Auswertung öffentlicher RSA Schlüssel feststellen, dass es öffentliche Schlüssel gibt, die mehr als einmal existieren. Nachrichten, die mit diesen, mehrfach existenten Schlüsseln verschlüsselt wurden, können auch von Besitzern der dann gleichen geheimen Schlüssel entschlüsselt werden.

Soweit man bei den geringen absoluten Zahlen von Kollisionen von besonders betroffenen Systemen sprechen kann, sind nach Aussage der Forscher Embedded-Geräte besonders betroffen.

Eines der Probleme kann die fehlende Zufälligkeit in der Generierung der Schlüssel sein. Gerade für solche Hardware Geräte ist es schwierig auf einen wirklichen Zufallsalgorithmus zugreifen zu können.

Die Konsequenz für Wirtschaft und Nutzer ist indes nicht ganz klar. Die Mechanismen der Schlüsselgenerierung sind nicht ohne weiteres beeinflussbar. Soweit das System aber Interaktion zur Zufälligkeit eines Schlüssels forder (z.B. Mausbewegung bei der Generierung), sollte diese Gelegenheit ernsthaft genutzt werden.

Einwilligung entsprechend der EU Datenschutzverordnung (General Data Protection Regulation Version 56)

Die SICODA GmbH empfiehlt die Einwilligung als Verarbeitungserlaubnis nur dann einzusetzen, wenn es keine wirtschaftlich adäquate Alternative gibt.

Entsprechend der Version 56 der General Data Protection Regulation soll es künftig genauere Regelungen zur Einwilligung im Datenschutz geben.

Artikel 7 fordert in sechs Punkten:

  1. Die Beweislast für das vorliegen einer Einwilligungserklärung liegt bei der verantwortlichen Stelle.
  2. Soweit eine Erklärung im Rahmen eines schriftlichen Dokumentes abgegeben wird muss die Datenschutzerklärung deutlich hervorgehoben werden.
  3. Der Betroffene kann die Einwilligungserklärung jederzeit mit Wirkung für die Zukunft zurückziehen.
  4. Soweit ein Ungleichverhältnis der Parteien besteht, soll einer Einwilligungserklärung unzulässig sein.
  5. Eine Einwilligung darf nicht die Verarbeitungsgrundlage darstellen soweit
    1. öffentliche Stellen hoheitlicher Aufgaben erfüllen oder
    2. es sich um Datenverarbeitungen aus dem Arbeitsverhältnis handelt.
  6. Die Einwilligung eines Kindes ist nur mit Genehmigung eines Erziehungs- oder Betreuungsberechtigten zulässig.

Im Ergebnis wird in dem neuen Art. 7 der Datenschutzverordnung nur gesetzlich festgelegt, was bereits § 4 BDSG geregelt ist. Auch hier wird die freiwillige schriftliche Einwilligung bereits gesetzlich vorgeschrieben.

Soweit Art. 7 Abs. 5b auf die Einwilligung im Arbeitsverhältnis eingeht, bleibt abzuwarten, inwieweit diese Regelung mit den geplanten Änderungen des § 32ff BDSG in Einklang zu bringen ist, die jedenfalls in einzelnen aufgezählten Fällen die Einwilligung im Arbeitsverhältnis zu lassen. Art. 8 dieser Verordnung schränkt die Regelungen zur Datenverarbeitung im Arbeitsverhältnis insofern ein, dass hier nationale Gesetze mit besonderen Sicherheitsmaßnahmen für die Betroffenen unter dem Schutzrahmen dieser Datenschutzverordnung bleiben können. Inwieweit diese Erleichterung auch auf Art. 7 anwendbar ist, bleibt abzuwarten.

In den Entscheidungsgründen zu Art. 7 wird ausgeführt dass eine Einwilligung im Arbeitsverhältnis niemals eine gültige Rechtsgrundlage bilden dürfe.

Cookies und das TKG

Die Bundesregierung vertagt die Entscheidung über eine Ausgestaltung Regelung zur Verwendbarkeit von Cookies.

Entwurf:

„Einzelfragen der Umsetzung der Änderung von Art. 5 Abs. 3 der Richtlinie 2002/58/EG sind derzeit Gegenstand umfangreicher Konsultationen auf europäischer Ebene, die auch Selbstregulierungsansätze  der betroffenen Werbewirtschaft umfassen. Das Ergebnis dieses Prozesses wird vor einer Entscheidung über weitergehenden gesetzgeberischen Handlungsbedarf zunächst abgewartet. “

Auf Grund obiger Richtline müßte nach aktuellem Stand für jedes Cookie eine Einwilligung durch den Nutzer erteilt werden.

Die praktischen Auswirkungen einer solchen Regelung könnte in einer wahren Pop Up Flut enden. Zudem ist nicht klar inwieweit das Kopplungsverbot, dass mit Gesetzesänderung aus dem TMG in das BDSG gewandert ist, weiterhin für die Nutzung von Telemedien besteht. In der alten TMG Regelung war klar, dass Mediendienste nicht an Einwilligungen in Datenverarbeitungen gekoppelt werden durften. Die neue BDSG Regelung die ausweislich der Gesetzesbegründung auch für das TMG als Lex Generalis gelten soll, bezieht sich im Hinblick auf das Kopplungsverbot allerdings nur auf das Verbot der Kopplung von Einwilligung in eine Datenverarbeitung mit einen Vertragsschluss.

Im Extremfall könnte also Webseitenbetreiber die Nutzung ihrer Webseite von der Einwilligung in das Setzen von Cookies abhängig machen.
Da in dieser Frage noch keine Rechtsprechung existiert, bleibt die Rechtslage unklar.

Personenbezug von IP Adressen

Der Personenbezug von IP Adressen wird von Aufsichtsbehörden generell angenommen. Dieser Auffassung ist auch das Amtsgericht Berlin gefolgt.

Das Oberlandesgericht Hamburg stellt diese seit langem geltende Prämisse jetzt in Frage. In der Entscheidung 5W126/10 äußern sich die Richter bezüglich des generellen Personenbezugs von IP Adressen sehr kritisch.

„Dass das Ermitteln der IP-Adressen nach deutschem Datenschutzrecht rechtswidrig sein könnte, ist nicht ersichtlich, da bei den ermittelten IP-Adressen ein Personenbezug mit normalen Mitteln ohne weitere Zusatzinformationen nicht hergestellt werden kann. Der Personenbezug wird erst durch die seitens der Staatsanwaltschaft nach §§ 161 Abs. 1 S. 1 und 163 StPO angeforderte oder gem. § 101 Abs. 9 UrhG gerichtlich angeordnete Auskunft des Providers ermöglicht. Das Erteilen derartiger Auskünfte hat der BGH in der vorerwähnten Entscheidung „Sommer unseres Lebens“ (dort. Tz. 29) ausdrücklich als rechtmäßig angesehen.“

Mit dieser Oberlandesgerichtsrechtsprechung kann nicht uneingeschränkt an der bisherigen Prämisse festgehalten werden.

Der Gesetzgeber ist hier gefragt, in der anstehenden Änderung des TMG eine endgültige Entscheidung in der Frage des Personenbezugs von IP Adressen zu treffen.