Duty-Free-Shop und die Boardkarte

Wer in einem Duty-Free-Shop einkauft, muss seine Boardkarte vorzeigen; diese wird dann gescannt. Ein Datenschützer, der in den Urlaub fliegen will, hat dann ein Problem: Er sucht nach der Rechtsgrundlage für die Datenverarbeitung.

Die Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO) scheidet aus: Es ist für den Kauf einer Zahnbürste nicht erforderlich, Flugdaten zu erfassen.

In Betracht kämen noch die berechtigten Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO). Solche sind aber nicht ersichtlich und müssten ohnehin von dem Shopbetreiber gegenüber dem Käufer dargelegt und eine Interessenabwägung vorgenommen werden. Es müsste also gemäß Art. 13 DSGVO informiert und auf das Widerspruchsrecht (Art. 21 DSGVO) hingewiesen werden.

Auch eine Einwilligung, die ja immer freiwillig sein muss, liegt nicht vor. Dies sieht man daran, wenn man die Boardkarte nicht zeigt: Man bekommt dann keine Zahnbürste.

Es ist aber einfacher: Rechtsgrundlage ist die rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c) DSGVO). Im Duty-Free-Shop kommt man ggf. in den Genuss von umsatzsteuer- und/oder zollfreier Waren. Diese sind abhängig vom Reiseziel. Die Duty-Free-Shop-Betreiber sind verpflichtet, gegenüber den Finanzämtern bestimmte Nachweispflichten zu erfüllen.

Was allerdings auffällt: Eine Information über die Datenverarbeitung nach Art. 13 DSGVO erfolgt nicht. Eine Erklärung könnte darin liegen, dass nach Angaben des Flughafenverbandes ADV keine personenbezogenen Daten verarbeitet werden sollen. Dann wäre eine Information nach Art. 13 DSGVO auch nicht erforderlich. Dies geht rechtlich aber nur, wenn der Personenbezug komplett aufgehoben wird, also keine Zuordnung zu der konkreten Person möglich ist (Art. 4 Nr. 1 DSGVO). Nach der weiten Definition des Personenbezugs dürfte also niemand mehr mit wahrscheinlichen Mitteln den Personenbezug herstellen können. Wenn nur für eine Millisekunde aufgrund des Scans der Boardkarte ein Personenbezug vorhanden war, ist auch nach einer etwaigen Anonymisierung eine Information nach Art. 13 DSGVO erforderlich. Es wäre also spannend, sich einmal den genauen Datensatz anzuschauen, der beim Scannen der Karte erfasst und gespeichert wird.

Happy Birthday, Grundgesetz!

Heute vor 70 Jahren ist das Grundgesetz in Kraft getreten. Was ursprünglich nur als Provisorium gedacht war (daher auch der Name Grundgesetz und nicht Verfassung), gilt heute als eine der besten Verfassungen der Welt und als Vorbild für die Verfassung vieler anderer Staaten.

Bereits der erste Artikel ist eine Botschaft:

“Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt.” (Art. 1 Abs. 1 GG).

Niemals sollten nochmals solche Verbrechen wie in der Nazizeit geschehen.

Dem Bundesverfassungsgericht kommt bis heute die Aufgabe zu, über die Einhaltung des Grundgesetzes, vor allem der Grundrechte, zu wachen. Auch das Bundesverfassungsgericht ist heute Vorbild in aller Welt. Es hat die Mammutaufgabe geschafft, den wenigen Text der in Art. 1 bis 19 GG niedergelegten Grundrechte mit Leben zu füllen. Einen sehr guten Eindruck hierzu gibt das hervorragende und äußerst lesenwerte Buch von Thomas Darnstädt, Verschlusssache Karlsruhe: Die internen Akten des Bundesverfassungsgerichts.

Die Lektüre des Grundgesetzes lohnt sich immer. Gerade jetzt. Und wer Herrenchiemsee besucht, sollte unbedingt die Verfassungskonventaustellung besuchen.

Herzlichen Glückwunsch, Grundgesetz!

Die Anwaltschaft braucht das beA

Der Anwaltsgerichtshof (AGH) Berlin hat im Rahmen eines einstweiligen Verfügungsverfahrens entschieden, dass die BRAK das beA (besonderes elektronische Anwaltspostfach) nicht wie geplant am 29. September 2016 freischalten darf.

Grund: Es gebe zwar eine gesetzliche Grundlage für das beA mit § 31a BRAO, aber keine Grundlage, das beA für jeden in Deutschland zugelassenen Rechtsanwalt ab diesem Tag empfangsbereit zu schalten. Die BRAK hat nun entschieden, die Schaltung bis zum Hauptsacheverfahren auszusetzen.

Nachdem das beA aufgrund technischer Probleme schon einmal vom 01.01.2016 auf den 29.09.2016 verschoben wurde, ist diese Entwicklung sehr schade und gefährdet die dringnd notwendige Einführung des elektronischen Rechtsverkehrs in der Justiz und Anwaltschaft.

Die Anwaltschaft braucht das beA unbedingt, um in der Gegenwart anzukommen. Schriftsätze müssen heute noch per Fax versendet werden, damit diese frist- und formgerecht sind. Dies ist nicht mehr zeitgemäß. Die deutschen Rechtsanwälte sind damit eine der letzten Berufsgruppen auf der Welt, die ein Faxgerät nutzen. Dies ist unkomfortabel, unsicher und antiquiert.

Ursprünglich sollte das beA freigeschaltet werden, bevor der Zugang bei den meisten Gerichten eröffnet wird. Wenn das beA noch länger dauert, hängt sogar die oft in Sachen Technik nicht sehr fortschrittliche Justiz die Anwaltschaft ab.

Die Gegner des beA verzögern damit eine notwendige Entwicklung. Und novh eine Botschaft an die Gegner aus den Reihen der Syndikusanwälte: Man kann sich nicht nur die Rosinen rauspicken – Wer von den Rechten der Anwaltschaft profitieren möchte, muss auch an den Pflichten partizipieren.

In eigener Sache: Neues Blog-System und Design!

Aufmerksame Leser werden es bemerkt haben: Seit gestern Abend setze ich als neues Blog-System das weitverbreitete WordPress ein. Im Zuge dessen gibt es ein neues Design für diesen Blog. Die Seite ist responsive, d.h. sie passt sich an die unterschiedlichen Bildschirmgrößen an. Besonders schätze ich an dem neuen System, dass WordPress sehr offen und erweiterungsfähig ist. Der bisher eingesetzte Dienst Blogger ist hier deutlich geschlossener und nicht so flexibel.

Bitte beachten Sie: Die Adresse des RSS-Feeds hat sich geändert; eine Anpassung in JuraBlogs und JurUpdate, einem ähnlichen, neueren Dienst, ist bereits erfolgt.

Da das System nicht mehr auf der Google-Plattform läuft und von mir selbst gehostet wird, liegt sie nun nicht mehr auf US-amerikanischen Servern, sondern in Deutschland.

Ich freue mich auf Kommentare zu dem neuen Design. Verbesserungswünsche sind willkommen.

Glück gehabt LinkedIn?!

Der durch das IT-Sicherheitsgesetz (BGBl. I S. 1324) eingeführte Absatz 7 des § 13 TMG lautet wie folgt:

“Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.”

Wie wichtig diese Vorschrift ist, zeigt eine aktuelle Meldung: Im Jahr 2012 wurde LinkedIn Opfer eines Website-Hacks. Dabei wurden nicht nur wie damals behauptet 6.000.000 Passwörter geklaut, sondern es werden derzeit über 100.000.000 Passwörter im Untergrund, dem sogenannten Darknet, gehandelt. Wie sich herausstellte, waren die Passwörter damals zwar gehasht, dies aber ohne Salt, sodass ein Knacken des Passwortes relativ leicht ist. Dem Stand der Technik hat diese Passwortspeicherung bereits im Jahr 2012 nicht mehr entsprochen und es ist erschreckend, dass das größte berufliche soziale Netzwerk der Welt so schlampige Sicherheitsmaßnahmen einsetzt. Nach dem IT-Sicherheitsgesetz müssen die Vorkehrungen im Stand der Technik entsprechen. Bei LinkedIn war dies nicht der Fall.

Was ist die Konsequenz einer Verletzung dieser Vorschrift? Nach § 16 Abs. 2 Nr. 3, Abs. 3 TMG kann die Verletzung mit einer Geldbuße von bis zu 50.000 € geahndet werden. Gut so. Leider gilt die Regelung nur für deutsche Diensteanbieter. Glück gehabt, LinkedIn!