Kategorie: EU-Datenschutzgrundverordnung

Europäisches Parlament verabschiedet Entwurf für die ePrivacy-Verordnung

6. November 2017

Am 26.10.2017 hat das Europäische Parlament einen Entwurf für die ePrivacy – Verordnung beschlossen. Anders als die EU-Datenschutzgrundverordnung (DSGVO), die sich im Wesentlichen auf die Verarbeitung personenbezogener Daten bezieht, bezieht sich die ePrivacy – Verordnung auf die Verarbeitung von Kommunikationsdaten. Die beiden Verordnungen sollen gleichranging nebeneinander stehen und so einen möglichst ganzheitlichen Datenschutz gewährleisten. Die ePrivacy – Verordnung soll, wie auch die DSGVO, am 25.05.2018 in Kraft treten.

In dem vom Europäischen Parlament verabschiedeten Entwurf haben sich die Parlamentarier unter anderem dafür ausgesprochen, dass auch internetbasierte Kommunikationsdienste wie beispielsweise Whatsapp oder Skype von der Verordnung erfasst werden sollen. Darüber hinaus soll die Datenweitergabe an Dritte, etwa zu Werbezwecken, nur noch nach ausdrücklicher Zustimmung erlaubt sein und Webbrowser standardmäßig so voreingestellt werden, dass das Tracking von Webseiten einfacher zugelassen oder abgelehnt werden kann. Weiterhin sprechen sich die Parlamentarier in ihrem Entwurf der ePrivacy – Verordnung dafür aus, dass es ein Recht auf Ende – zu – Ende – Verschlüsslung geben soll.

Auf der Grundlage des nun verabschiedeten Entwurfs wird es in einem nächsten Schritt zu Verhandlungen zwischen dem Europäischen Parlament, der Europäischen Kommission und den Mitgliedstaaten kommen. Im Zuge dieser Trilog-Verhandlungen kann sich der Inhalt der ePrivacy – Verordnung durchaus noch grundlegend ändern. Aufgrund der noch ausstehenden Verhandlungsrunden ist davon auszugehen, dass eine endgültige Fassung der ePrivacy – Verordnung erst kurz vor dem eigentlichen Inkrafttreten im Mai 2018 verabschiedet werden wird. Für betroffene Unternehmen hätte dies zur Folge, dass ihnen nur eine kurze Zeitspanne zur Vorbereitung und Umsetzung der notwendigen Maßnahmen bleiben würde.

Social-Media-Nutzung in Behörden: Datenaufsichtsbehörde Baden-Württemberg veröffentlicht Richtlinie

2. November 2017

Die baden-württembergische Datenaufsichtsbehörde hat heute eine erste Richtlinie für die Nutzung von Social Media durch öffentliche Stellen herausgegeben. Sie regelt Nutzungsauflagen, die vor allem die Öffentlichkeitsarbeit und Bereitstellung allgemeiner Informationen betreffen. Dabei geht es vor allem um die Nutzung von Social-Media-Plattformen wie Twitter und Facebook, auf denen z.B. Sicherheitsbehörden aktuelle Kurzinformationen an Versammlungsteilnehmer veröffentlichen, Kommunen ihr touristisches Angebot bewerben oder einige Behörden zu besetzende Stellen ausschreiben wollen. Bislang wurde eine solche Nutzung von den Datenaufsichtsbehörden der Bundesländer eher kritisch beäugt und äußerst destriktiv behandelt. An konkreten Vorgaben für einen datenschuztkonformen Umgang mit Social-Media fehlte es bislang allerdings. Da die Vorbehalte bei den Behörden selbst allerdings ohnehin auf „erschreckend geringe Resonanz“ stießen, wie der Landesdatenschutzbeauftrage Baden-Württembergs Stefan Brink erklärte, hat seine Behörde nun die oben genannte Richtlinie erstellt, „um sich der Realitität anzunähern“.

Laut Brink tragen die Behörden eine datenschutzrechtliche Mitverantwortung. So müssen sie vor der Erstellung eines Accounts ein klares Nutzungskonzept festlegen. Es muss Zweck, Art und Umfang der Nutzung beschreiben, Verantwortlichkeiten für die redaktionelle und technische Betreuung und für die Wahrnehmung der Betroffenenrechte festlegen. Auch die Datenschutzgrundverordnung (DSGVO) sollen die Behörden bereits beachten und so eine Datenschutzfolgenabschätzung vornehmen. Zwar besteht nach der Richtlinie keine Meldepflicht gegenüber der Datenschutzaufsichtsbehörde, das datenschutzrechtliche Nutzungskonzept soll aber allgemein zugänglich sein und als Grundlage für künftige Prüfungen dienen.

Brink legt den Behörden zudem auf, die Pflichten des Telemediengesetzes zu beachten. Darunter fallen vor allem das Stellen eines Impressums und das Zugänglichmachen spezifischer Datenschutzerklärungen, die den jeweiligen Nutzer umfassend über der Verarbeitung seiner personenbezogenen Daten informieren sollen.

Er kündigte an, die Einhaltung dieses vorgegebenen Handlungsrahmens insbesondere ab Januar 2018 verstärkt zu überprüfen, wies zeitgleich aber bereits daraufhin, dass mit der DSGVO ab Mai 2018 weitere Anpassungen notwendig werden, um den Anforderungen der DSGVO zu entsprechen. Interessant ist unterdessen die Tatsache, dass sich die Datenschutzaufsichtsbehörden der Länder selbst bisher der Nutzung von Social-Media-Plattformen verwehren, während auf der europäischen Ebene etwa die französische Aufsichtsbehörde CNIL, die den Vorsitz der europäischen Artikel-29-Gruppe innehat, einen englischen und einen französischen Twitter-Account betreibt.

39. Internationale Datenschutzkonferenz beschließt grundlegende Anforderungen für vernetzte und automatisierte Fahrzeuge

24. Oktober 2017

Die Internationale Datenschutzkonferenz ist ein globales Forum von unabhängigen Datenschutzbehörden, unabhängigen Datenschutzkontrollorganen, internationalen Organisationen, Nichtregierungsorganisationen sowie Vertretern aus Wissenschaft und Industrie. Sie findet seit ihrer Gründung im Jahr 1979 jährlich an immer wechselnden Orten statt. Derzeit gehören ihr 120 Mitglieder aus 78 Staaten weltweit an.

Auf der diesjährigen Konferenz vom 25. bis 29. September 2017 in Hongkong mit dem Thema „Connecting West with East in Respecting Data Privacy“ wurde – angestoßen durch die deutsche Bundesdatenschutzbeauftrage (BfDI) – eine Resolution zur Stärkung des Rechts der Fahrzeugnutzer auf Privatsphäre und den Schutz ihrer personenbezogenen Daten verabschiedet.

Hintergrund der Resolution ist die voranschreitende Digitalisierung des Straßenverkehrs, die auch datenschutzrechtlich große Veränderungen mit sich bringt. Vor allem in den Bereichen Verkehrsoptimierung, Unfallvermeidung, Notfallhilfe und Unfallaufklärung entstehen hier enorme Vorteile. Als Beispiel sei hier das Vorhaben von VW genannt, ab 2019 eine erste Modellreihe serienmäßig mit der Funktechnik Public WLAN (pWLAN) auszurüsten, um eine Kommunikation der Fahrzeuge untereinander zu ermöglichen.  

Datenschutzrechtlich bedenklich sind allerdings vor allem das immense Datenvolumen, das hierbei ausgetauscht wird, sowie die lange Speicherdauer. Beispielsweise sind in vielen Carsharing Fahrzeugen E-Steuerungsmodule eingebaut, die sämtliche Daten protokollieren und sogenannte Log-Dateien erzeugen, die bis zu einem Jahr lang gespeichert werden.

In Ihrer Pressemitteilung äußerte die Bundesdatenschutzbeauftragte Andrea Voßhoff Ihre Bedenken: „… Das Auto ist Symbol von Freiheit und Unabhängigkeit. Die Digitalisierung des Straßenverkehrs könnte dies grundlegend verändern. In modernen Fahrzeugen sammeln bereits heute unzählige Sensoren Daten zum Fahrverhalten und den zurückgelegten Wegen. Daraus lassen sich detaillierte Persönlichkeitsprofile erstellen. Fahrerinnen und Fahrer müssen daher jederzeit die volle Hoheit über die Verwendung personalisierbarer Fahrzeugdaten haben. Grundsätzlich sollten sie über jede Datenverwendung vollständig und transparent unterrichtet werden. Dafür sind datenschutzgerechte Technologien und Voreinstellungen notwendig…“

Die von der Konferenz erlassene Resolution enthält einen 16 Punkte-Plan, der sich direkt an Automobilhersteller und -Zulieferer, Gesetzgeber und Behörden sowie an Anbieter fahrzeugbezogener Internetdienste richtet.

Bereits im Juni 2017 hatte die BfDI ​eine 13 Punkte umfassende Empfehlungsliste für den Datenschutz in automatisierten und vernetzten Fahrzeugen veröffentlicht, in denen sie u.a. gemäß dem Grundsatz „Privacy by default“ die Etablierung datenschutzfreundlicher Voreinstellungen forderte.

 

Datenschutzkonferenz: Forderungen für die neue Legislaturperiode

18. Oktober 2017

Anlässlich des frisch gewählten Bundestags formulierten alle unabhängigen deutschen Datenschutzbehörden einen Katalog mit Grundsatzpositionen für die neue Legislaturperiode. Die diesjährige Vorsitzende der Datenschutzkonferenz, die niedersächsische Landesbeauftragte Barbara Thiel, legte das Dokument allen im Bundestag vertretenen Fraktionen vor. Die Aufsichtsbehörden von Bund und Ländern formulierten elf Forderungen an den deutschen Gesetzgeber.

Die Datenschutzbehörden warnen davor, Daten zu einer „rein wirtschaftlichen Größe“ zu machen und fordern, dass das Verbotsprinzip nach der Datenschutzgrundverordnung (DSGVO) nicht unter dem modernen Schlagwort „Datensouveräntität“  zurückweichen darf. Das Grundprinzip der Datenminimierung müsse weiterhin an vorderer Stelle stehen. Diese Forderungen seien nach Ansicht der Konferenzvorsitzenden Thiel kein Hindernis für die Digitalisierung. Vielmehr sei Datenschutz als Grundrechtsschutz und „integraler und förderlicher Bestandteil“ von Fortschritt in Politik, Wirtschaft und Gesellschaft.

Die Grundsatzpositionen der Datenschutzkonferenz heben auch die Bedeutung von Privacy by Design und Privacy by Default hervor. Datenschutz muss im gesamten Lebenszyklus von Produkten und Dienstleistungen bedacht und implementiert werden. Nach den Aufsichtsbehörden soll die Bundesregierungen solche Projekte und Innovationen fördern, auch indem sie sich mit Vertretern aus Wirtschaft, Forschung und Entwicklung austauscht.

Weiter fordern die Aufsichtsbehörden ein eigenständiges Gesetz zum Beschäftigtendatenschutz, das den Anforderungen der Arbeitswelt 4.0 entspricht. § 26 BDSG-neu sei den aktuellen Herausforderungen wie z.B. durch verdeckte technische Überwachung, nicht gewachsen. Im Bereich von E-Health fordern die Datenschutzbehörden strenge Vorgaben, damit z.B. Patienten, die eine laufende Erfassung von Gesundheitsdaten via Wearables und Fitness-Apps nicht zustimmen, bei Versicherungstarifen nicht benachteiligt werden. Big-Data-Projekte im Gesundheitswesen sollten per Gesetz mit der zuständigen Datenschutzaufsichtsbehörde abzustimmen sein. Schließlich sehen die Aufsichtsbehörden das Thema Vorratsdatenspeicherung weiterhin kritisch, jene sei „in all ihren Ausprägungen auf den Prüfstand zu stellen“.

 

E-Privacy Verordnung aus Sicht von Politik und Wirtschaft

20. September 2017

Im Mai 2018 tritt neben der europäischen Datenschutzgrundverordnung (DSGVO) auch die sog. E-Privacy-Verordnung in Kraft. Sie ergänzt die DSGVO in Hinsicht auf elektronische Kommunikation. Bereits im Januar berichteten wir über den Entwurf der E-Privacy-Verordnung („Proposal for a Regulation on Privacy and Electronic Communications„, offizieller Entwurfstext) vom 10. Januar 2017.
Im März stellten wir das Wesen, den Anwendungsbereich und wesentliche Neuerungen (z.B. bei Cookies) in einem weiteren Beitrag zur E-Privacy-Verordnung dar.

Ein zentraler Regelungsbereich der E-Privacy-Verordnung betrifft Cookies. Zukünftig sollen die für Verbraucher störenden und für Webseitenbetreiber unansehnlichen Cookie-Warn-Banner obsolet werden.
Mozilla Firefox, Google Chrome oder der Internet Explorer holen ab Mai 2018 die Einwilligungen für das Erheben der Browserdaten ein – und zwar durch „benutzerfreundliche Voreinstellungen“ im Einklang mit den DSGVO-Grundsätzen Privacy by Design und Privacy by Default.
Führende Verlage Deutschlands, so DIE ZEIT, die Süddeutsche und die F.A.Z., äußerten sich kritisch gegenüber der geplanten Cookie-Einstellungen im Browser, wie wir im Mai schilderten. Die Neuregelung begünstige US-Konzerne zu Lasten des Werbefinanzierungsmodells im Nachrichtenmarkt.

Auf der Privacy-Konferenz des Digitalverbands Bitkom am 19. September äußerten sich Vertreter aus Wirtschaft und Politik zur Thematik. Jan Philipp Albrecht, stellvertretender Vorsitzender für Inneres und Justiz der Grünen im EU-Parlament, betonte die Notwendigkeit eines Europäischen Binnenmarkts für elektronische Kommunikation. Die Politik stehe in der Pflicht, nachdem die bisherige Cookie-Einwilligung und Do-Not-Track gescheitert seien. Er begrüßte die geplanten Browser-Voreinstellungen für Cookies grundsätzlich, soweit sie datenschutzfreundlich ausgestaltet werden. Auch Lokke Moerel von der Kanzlei Morrison & Foerster begrüßte die Cookie-Einwilligung durch Browsereinstellungen und fordert vom Gesetzgeber lange Umsetzungsfristen für die Browseranbieter. Da große Datenmengen in der Hand weniger US-Browseranbieter seien, schlug Dirk Woywod von der Bundesdruckerei eine Zertifizierung der Browser vor. Jan Lichtenberg von der Deutschen Telekom bemängelte das Fehlen von Möglichkeiten zur Pseudonymisierung im E-Privacy-Entwurf.

Es bleibt abzuwarten wie die endgültige Fassung der E-Privacy-Verordnung aussehen wird. Das Tracking von Nutzerdaten ist und bleibt ein wichtiges Thema nicht nur für den E-Commerce, da es jeden Webseitenbetreiber betrifft. Bei Neuigkeiten werden wir Sie gerne an dieser Stelle informieren.

 

Windows 10 Enterprise kann datenschutzkonform im Unternehmen eingesetzt werden

19. September 2017

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat die Datenströme in Microsofts Betriebssystem Windows 10 untersucht. Im 19-seitigen Prüfbericht kommen die Datenschützer zu dem Ergebnis, dass die Enterprise-Version des Betriebssystems mit gewissen Einstellungen an den Gruppenrichtlinien datenschutzkonform eingesetzt werden kann.

Im Mittelpunkt der Prüfung stand die automatisierte Übermittlung von Nutzerdaten an Microsoft. Auch sog. Telemetrie-Daten sorgten im Vorfeld für Kritik an Windows 10. Die Windows-Telemetrie ist meist voreingestellt und übermittelt im Hintergrund Daten über die Art der Nutzung an Microsoft. Dazu gehören technische Daten wie z.B. Absturzberichte oder Typ der verwendeten Hardware. Die vom Betriebssystem ermittelten Daten kann Microsoft u.a. für Werbung oder Produktverbesserungen verwenden.

Die Prüfer des BayLDA stellten fest, dass die Unternehmensversion von Windows 10 mit wenig Aufwand datenschutzkonform konfiguriert werden kann. Kritische Datenübertragungen lassen sich mit gezielten Einstellungen in den Windows Gruppenrichtlinien unterbinden. Die Prüfung des BayLDA fand in Abstimmung mit anderen europäischen Aufsichtsbehörden statt. Vorgaben der europäischen Datenschutzgrundverordnung (DSGVO) wie z.B. „Privacy by Design“ bewerteten die Prüfer nicht.

Bis Mai 2018 plant Microsoft zwei neue Betriebssystem-Updates. Wie die Aufsichtsbehörden das aktualisierte Windows 10 mit Blick auf den Datenschutz und eventuell der DSGVO bewerten, bleibt abzuwarten.

BITKOM: Jedes dritte Unternehmen hat sich noch nicht mit der EU-Datenschutzgrundverordnung beschäftigt!

Am 25.05.18 müssen die Vorgaben der EU-Datenschutzgrundverordnung (DSGVO) umgesetzt sein. Doch nur eine Minderheit der Unternehmen wird diesen Termin einhalten können. 15 Prozent der Unternehmen mit 20 oder mehr Mitarbeitern gehen davon aus, dass sie die Vorgaben der DSGVO zu diesem Datum vollständig umgesetzt haben. Weitere 15 Prozent erwarten, dass sie die Anforderungen zum größten Teil erfüllen werden. Rund jedes zweite Unternehmen (54 Prozent) sagt, in acht Monaten werde die Umsetzung teilweise erfolgt sein, jedes zehnte (10 Prozent) räumt aber ein, zu diesem Zeitpunkt noch gar nicht oder gerade erst mit der Umsetzung begonnen zu haben. Dies ist das Ergebnis einer repräsentativen Befragung unter mehr als 500 Unternehmen, die der Bitkom heute im Rahmen seiner Privacy Conference in Berlin vorgestellt hat. „Die Zeit drängt, um die Vorgaben der Datenschutzgrundverordnung umzusetzen. Unternehmen, die bis jetzt abgewartet haben, müssen das Thema schnellstmöglich aufarbeiten“, so Susanne Dehmel, Geschäftsleiterin Recht & Sicherheit beim Bitkom.

Urteil zur Datenschutzgrundverordnung

10. September 2017

Verwaltungsgericht Karlsruhe Urteil vom 6.7.2017 – 10 K 7698/16

Das Verwaltungsgericht Karlsruhe ist der Auffassung, dass die Datenschutzbehörde Baden-Württemberg sich nicht auf eine Rechtsvorschrift der DSGVO vor dem 25. Mai 2018 berufen kann.

Der Sachverhalt bezieht sich auf einen Bescheid der Datenschutzbehörde vom 25.11.2016, mit der die Behörde von der Klägerin, die eine Auskunftei ist, verlangte Forderungen nach § 28a Bundesdatenschutzgesetz (BDSG) und die damit zusammenhängenden Informationen über eine Person nach Ablauf von drei Jahren, beginnend mit dem Zeitpunkt der Fälligkeit der Forderung, zu löschen, es sei denn, dass der Betroffene zu diesem Zeitpunkt zahlungsunfähig oder zahlungsunwillig sei.

Zur Begründung führte die Behörde aus, dass aktuell zwar kein BDSG relevanter Datenschutzverstoß vorliege, aber mit der Datenschutzgrundverordnung (DSGVO) Anpassungen vorgenommen werden müssten, die einen zukünftigen Datenschutzverstoß verhindern sollen. Darauf erwiderte die Klägerin, dass sie ihre Löschkonzepte an die DSGVO anpassen werde.

Die Datenschutzbehörde legte diese Erklärung jedoch nicht als eine vollstreckbare Zusicherung, sondern lediglich als eine Absichtserklärung aus. Gegen die daraufhin erlassene Anordnung wehrte sich die Klägerin mit Erfolg. Das Verwaltungsgericht Karlsruhe hob den entsprechenden Bescheid wieder auf.

Zur Begründung führte das Gericht folgendes aus:

Dem Bescheid fehlt die Rechtsgrundlage. Er kann weder auf das BDSG noch auf die DSGVO gestützt werden. Die Klägerin verstößt nicht gegen das BDSG. Auf die DSGVO kann sich die Behörde zum jetzigen Zeitpunkt nicht berufen, da die Datenschutz-Grundverordnung noch nicht bzw. erst ab dem 25.05.2018 anwendbar ist. Daher ergibt sich hieraus keinerlei Handhabe für die Behörde. Inhaltlich betont das Gericht, dass künftig Art. 6 Abs. 1 lit. f DSGVO bei der Frage nach Löschfristen heranzuziehen ist. Art. 6 Abs. 1 lit. f DSGVO schreibe allerdings nur vor, dass über Löschfristen im Rahmen der berechtigten Interessen abzuwägen ist. Eine feste Vorgabe durch die Behörde wird diesen Voraussetzungen nicht gerecht.

Das Urteil zeigt zweierlei ganz deutlich. Einerseits wird ersichtlich, dass die Behörden inhaltlich noch nicht alle Feinheiten der DSGVO durchdacht haben und andererseits wird die Wichtigkeit einer sauberen Umsetzung der DSGVO deutlich. Die zuständigen Behörden werden sich nicht lange Zeit lassen bis sie auf die Verantwortlichen zugehen werden.

Unterschätzen Unternehmen die „Gefahren“ der DSGVO?

8. September 2017

Den allermeisten Unternehmen dürfte dieser Einleitungssatz bekannt vorkommen: Bis zum 25.05.2018 sind die Anforderungen der Datenschutz-Grundverordnung (DSGVO) umzusetzen.

Der Studie Veritas 2017 GDPR Report zufolge sind viele (31%) Unternehmen der Meinung, die von der  DSGVO normierten Pflichten bereits abzudecken. Als diese Unternehmen im Rahmen der Studie allerdings zur konkreten Umsetzung der Maßnahmen befragt wurden, trat häufig ein deutlich anderes Bild verbunden mit der Einsicht zutage, eine Compliance mit dem Regelwerk sei nun doch noch nicht erreicht. Nach Abzug dieser Fälle ist ein Ergebnis der Studie, dass letztlich nur 2% der Unternehmen tatsächlich auf die DSGVO vorbereitet sind.

Die befragten Unternehmen sehen bei sich unter anderem in den folgenden Bereichen akuten Nachholbedarf:

  • Etablierung eines Prozesses zur Meldung von Datenverlusten innerhalb von 72 Stunden,
  • Regelungen zur Löschung (jetzt auch „Recht auf Vergessenwerden“),
  • Neue Rechtslage zur Auftragsdatenverarbeitung (künftig nur „Auftragsverarbeitung“).

Angesichts der respektablen Bußgelder der DSGVO bleibt es wohl weiterhin bei dem gebetsmühlenartigen Verweis auf die „Stunde Null“: Stellen Sie bis zum 25.05.2018 sicher, dass Sie auf die Anforderungen der DSGVO (tatsächlich) vorbereitet sind.

Datenverarbeitung für Werbung nach der Datenschutzgrundverordnung

24. August 2017

Die Datenschutz-Grundverordnung (DSGVO) bringt an vielen Stellen beachtenswerte Änderungen mit sich. Dazu gehört auch die Frage, was im Bereich des Marketings und im Umgang mit personenbezogenen Daten zum Zwecke der Werbung zu beachten ist. Zu dieser Thematik ist auf den Seiten der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zuletzt ein Kurzpapier der „Datenschutzkonferenz“ mit diesbezüglichen Einschätzungen veröffentlich worden. Dreh- und Angelpunkt der neuen Rechtslage in Sachen Werbung ist die Tatsache, dass mit der DSGVO jegliche Detailregelungen dieses Bereichs entfallen. In Form des
§ 28 Abs. 3 BDSG hat es bislang noch spezifische Vorgaben für den Umgang mit Daten zum Zweck der werblichen Ansprache gegeben.

Die sicherste Grundlage einer Datenverarbeitung für Werbemaßnahmen ist und bleibt die Einwilligung der betroffenen Person. Wo eine solche aber nicht eingeholt werden kann oder dies aus praktischen Gründen nicht sinnvoll ist, wird künftig auf einen allgemeinen Erlaubnistatbestand der DSGVO zurückgegriffen werden müssen. Daher wird die Zulässigkeit der Werbung an einer Interessenabwägung nach Art. 6 Abs. 1 f) DSGVO zu messen sein. Demnach gilt es für die Frage der Zulässigkeit der Maßnahme die Interessen des Werbetreibenden und der betroffenen Personen im Einzelfall zu gewichten.
Der Erwägungsgrund 47 zur DSGVO trägt für diese Abwägung auf, die „vernünftigen Erwartungen der betroffenen Person zu berücksichtigen, die auf ihrer Beziehung zu dem Verantwortlichen (Werbetreibenden) beruhen“.

Aus Sicht werbetreibender Unternehmen müssen im Zuge entsprechender Vorhaben die Informationspflichten aus den Artikeln 13 u. 14 DSGVO berücksichtigt werden. Der Verantwortliche muss transparent und umfassend über die vorgesehene Werbemaßnahme informieren.

Durch die neue Rechenschaftspflicht der DSGVO (Art. 5 Abs. 2) kommen die Werbetreibenden in die Situation, die Rechtmäßigkeit von Datenverarbeitungen künftig beweisen können zu müssen. Daher wird es sich nicht umgehen lassen, getroffene Interessenabwägungen gründlich zu dokumentieren und auf Anfrage der Aufsichtsbehörde vorlegen zu können. Diese Aufgabe wird regelmäßig durch die Datenschutzbeauftragten der Unternehmen ausgefüllt werden.

1 2 3 7