11. September 2023
In einer Entscheidung vom 1. April 2022 beschäftigte sich die schwedische Datenschutzbehörde (IMY) mit der Beschwerde eines Kunden eines Online-Dienstes für den digitalen Vertrieb von Zeitungen und Zeitschriften. Die Entscheidung wirft ein Licht auf die Bedeutung des Datenschutzes in Bezug auf solche Dienste und könnte Auswirkungen auf ähnliche Geschäftsmodelle haben.
Der Sachverhalt
Ein Kunde meldete sich bei dem Online-Dienst an und lehnte gleichzeitig ab, in Zukunft E-Mails von dem Unternehmen zu erhalten. Trotz dieser Ablehnung erhielt er mehrere E-Mails von dem Unternehmen. Nachdem er sich an den Kundendienst des Unternehmens gewandt hatte, wurde der Versand von E-Mails eingestellt. Das Unternehmen argumentierte, dass es einen Unterschied zwischen E-Mails gibt, die auf einem Vertrag beruhen, und Marketing-E-Mails, die auf einem berechtigten Interesse basieren. Die E-Mails, die der Kunde erhielt, sollten dazu dienen, den Nutzer über den Dienst zu informieren und hatten den Vertrag als Rechtsgrundlage. Das Unternehmen behauptete, dass die persönlichen Daten nicht zu Marketingzwecken verarbeitet wurden.
Die Entscheidung der IMY
Die IMY hatte zu prüfen, ob die Verarbeitung der persönlichen Daten auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden konnte. Dies erfordert, dass die Verarbeitung zur Erfüllung eines Vertrags erforderlich ist, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen. Die IMY stellte fest, dass einige der E-Mails Informationen darüber enthielten, wie der Kunde den Dienst personalisieren und personalisierte Empfehlungen basierend auf seinem Leseverhalten erhalten könne. Das Unternehmen informierte auch darüber, dass es personalisierte Inhalte anbietet. Die IMY argumentierte jedoch, dass ein durchschnittlicher Nutzer dies nicht als notwendigen Bestandteil des Dienstes verstehen würde.
Ein weiteres Argument der IMY war, dass das Unternehmen die Möglichkeit bietet, sich von solchen E-Mails abzumelden. Dies legte nahe, dass die Verarbeitung der persönlichen Daten nicht zur Vertragserfüllung notwendig war.
Die IMY verlangte, dass der für die Verarbeitung Verantwortliche nachweist, dass die Verarbeitung tatsächlich erforderlich ist, um den Hauptzweck des Vertrags zu erfüllen. Die IMY argumentierte, dass die E-Mails, die der Kunde erhielt, nicht notwendig waren, um den Hauptzweck des Vertrags zu erfüllen, nämlich das Lesen digitaler Zeitungen und Zeitschriften.
Fazit und Auswirkungen
Diese Entscheidung der IMY könnte Auswirkungen auf ähnliche Geschäftsmodelle haben, wenn andere Datenschutzbehörden eine ähnlich strenge Auslegung des Erforderlichkeitsmerkmals in Art. 6 Abs. 1 lit. b DSGVO verfolgen. Unternehmen, die personalisierte Dienste anbieten und die Verarbeitung auf dieser Grundlage begründen möchten, sollten sicherstellen, dass ihre Begründung konsistent ist und die Betroffenenrechte angemessen berücksichtigt werden.
Die Entscheidung zeigt auch, wie wichtig es ist, Datenschutzrichtlinien und -praktiken sorgfältig zu prüfen und sicherzustellen, dass sie den Anforderungen der DSGVO entsprechen. Datenschutz ist ein wesentlicher Aspekt des Vertrauens zwischen Unternehmen und Kunden, und Unternehmen sollten sicherstellen, dass sie die Privatsphäre ihrer Kunden respektieren und schützen.
8. September 2023
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 4. September 2023 Anwendungshinweise zum Angemessenheitsbeschluss des EU-US Data Privacy Frameworks herausgegeben. Diese Hinweise sind von Bedeutung für Organisationen und Unternehmen, die personenbezogene Daten in Drittländer, insbesondere in die USA, übermitteln.
Allgemeines zu Drittstaatenübermittlungen
Die Anwendungshinweise geben zunächst einen allgemeinen Überblick über die Angemessenheitsentscheidung.
Unter Drittstaatenübermittlungen versteht man die Übertragung von personenbezogenen Daten aus dem Europäischen Wirtschaftsraum (EWR) in Länder, in denen die Datenschutz-Grundverordnung (DSGVO) nicht unmittelbar gilt. Dies betrifft beispielsweise die USA. Die DSGVO regelt solche Übermittlungen, um ein gleichwertiges Datenschutzniveau sicherzustellen.
Zweistufige Prüfung der Rechtmäßigkeit der Übermittlung an Drittländer
Die Übermittlung personenbezogener Daten an Drittländer ist gemäß Art. 44 Abs. 1 DSGVO nur unter bestimmten Bedingungen zulässig. Zunächst muss geprüft werden, ob eine Rechtsgrundlage für die Datenverarbeitung besteht. Darüber hinaus müssen die Grundsätze aus Art. 5 DSGVO eingehalten werden (1. Stufe). Erst danach kann die Übermittlung nach einem der Mechanismen des Kapitels V DSGVO legitimiert werden (2. Stufe).
Kapitel V – Übersicht zu den Übermittlungsinstrumenten
Ein Angemessenheitsbeschluss gemäß Art. 45 DSGVO ermöglicht eine Datenübermittlung an ein Drittland, wenn die Europäische Kommission feststellt, dass ein gleichwertiges Datenschutzniveau wie in der EU gegeben ist. Hierbei muss auch die Existenz von Rechtsbehelfen für betroffene Personen geprüft werden. Das EU-US Data Privacy Framework ist ein solcher Angemessenheitsbeschluss, der auf zertifizierte Stellen beschränkt ist.
Geeignete Garantien gemäß Art. 46 DSGVO sind weitere Mechanismen zur Legitimierung von Drittstaatenübermittlungen. Hierzu gehören beispielsweise Standardvertragsklauseln (Standard Contractual Clauses) und Verhaltensregeln. Diese sollen ein gleichwertiges Datenschutzniveau sicherstellen. Dabei sollte stets beachtet werden, dass zusätzliche Maßnahmen erforderlich sein können, um das geforderte Schutzniveau zu erreichen.
Informationen für Daten übermittelnde Stellen (Datenexporteure)
US-Organisationen, die der Aufsicht der FTC oder des DOT unterliegen, können sich selbst im Rahmen des DPFs zertifizieren. Die Zertifizierung erfordert die Übermittlung von Informationen an das US-Handelsministerium, und zertifizierte Organisationen verpflichten sich zur Einhaltung der EU-US DPF-Vorgaben. Das US-Handelsministerium führt eine Liste zertifizierter Organisationen, auf die EU-Datenexporte gestützt werden können. Jährliche Überprüfungen sind erforderlich. Dabei sollte beachtet werden, dass die Zuständigkeiten der FTC und des DOT begrenzt sind, und nicht alle Branchen abdecken.
Umfassende Erläuterungen
Auch wenn die Erläuterungen auf der Webseite des DPFs recht umfangreich sind, so sind sie nicht sehr übersichtlich gestaltet. Die Anwendungshinweise der DSK sind deutlich übersichtlicher und verschaffen somit einen guten Überblick über dieser Thematik. Neben den allgemeinen Informationen und den Informationen für Daten übermittelnde Stellen werden auch Informationen für betroffene Personen zu Rechtsschutzmöglichkeiten zur Verfügung gestellt.
Fazit
Die Anwendungshinweise bieten eine gute Orientierungshilfe für Organisationen, die mit Drittstaatenübermittlungen zu tun haben. Das Dokument bietet sowohl Datenexporteuren als auch betroffenen Personen Informationen zum Datenschutz bei der Übermittlung von Daten in die USA. Es verweist auf weitere Ressourcen und Materialien für zusätzliche Informationen, einschließlich solcher vom Europäischen Datenschutzausschuss.
In Bezug auf die Zukunft des Angemessenheitsbeschlusses EU-US Data Privacy Framework, der vor dem Hintergrund früherer Aufhebungen von Angemessenheitsbeschlüssen für die USA erlassen wurde, kann die Datenschutzkonferenz keine Vorhersagen treffen. Zum aktuellen Zeitpunkt ist dieser Beschluss jedoch geltendes EU-Recht. Die DSK weist darauf hin, dass regelmäßige Evaluierungen durch die EU-Kommission vorgesehen sind, die zu Anpassungen oder Aufhebungen führen könnten. Darüber hinaus bestehe auch die Möglichkeit einer gerichtlichen Überprüfung dieses neuen Angemessenheitsbeschlusses.
Weitere Informationen und detaillierte Empfehlungen sind in den Anwendungshinweisen der Datenschutzkonferenz verfügbar.
6. September 2023
Die Datenschutzorganisation Noyb und ihr Gründer Max Schrems haben ihre Kräfte mobilisiert und Beschwerden gegen einen US-amerikanischen Fitness-Tracker-Hersteller eingereicht. Die Beschwerden wurden bei den nationalen Datenschutzbehörden in Österreich, den Niederlanden und Italien eingereicht. Das Hauptanliegen der Beschwerden besteht darin, dass der Hersteller angeblich sensible Gesundheitsdaten seiner Nutzer ohne ausreichende rechtliche Grundlage in die ganze Welt transferiert, ohne die Betroffenen angemessen zu informieren oder um ihre Zustimmung zu bitten.
Verstoß gegen die DSGVO
Die Datenschutzorganisation Noyb behauptet, dass der Hersteller die Nutzer seiner App dazu zwingt, der Übertragung ihrer Daten in die USA und andere Länder mit unterschiedlichen Datenschutzbestimmungen als die EU zuzustimmen. Dies geschieht angeblich, ohne klare Informationen über die möglichen Konsequenzen oder die spezifischen Zielorte bereitzustellen. Diese Art der Zustimmung wird als “nicht frei, informiert oder spezifisch” angesehen und verstößt eindeutig gegen die Anforderungen der DSGVO.
Umfang der Datenweitergabe
Die von dem Hersteller weitergegebenen Daten, wie in den Datenschutzrichtlinien des Unternehmens angegeben, umfassen nicht nur grundlegende Informationen wie E-Mail-Adresse, Geburtsdatum und Geschlecht, sondern auch äußerst persönliche Gesundheitsdaten. Dies umfasst Aufzeichnungen über Essgewohnheiten, Gewicht, Schlafmuster, Wasserkonsum, weibliche Gesundheit und vieles mehr. Der Hersteller behält sich sogar das Recht vor, diese Informationen an nicht genannte Dritte weiterzugeben. Für die Nutzer ist es nahezu unmöglich zu erfahren, welche ihrer Daten betroffen sind.
Mangelnde Transparenz und Einwilligung
Noyb kritisiert auch die mangelnde Transparenz seitens des Herstellers und betont, dass die Nutzer keine klaren Informationen darüber erhalten, welche Daten wohin übertragen werden. Diese Praxis verhindert effektiv die Möglichkeit für die Nutzer, eine informierte Einwilligung zu geben. Darüber hinaus weist Noyb darauf hin, dass der Hersteller den Nutzern nur die Möglichkeit bietet, ihre Einwilligung zu widerrufen, indem sie ihr Konto löschen. Dies bedeutet, dass Nutzer, die diese Option wählen, alle zuvor aufgezeichneten Trainings- und Gesundheitsdaten verlieren.
Forderung nach mehr Kontrolle und Datenschutz
Die Datenschutzaktivisten bei Noyb betonen, dass die Nutzung der Fitbit-App auch ohne verpflichtende Datentransfers möglich sein sollte. Sie kritisiert den “take it or leave it”-Ansatz und die Tatsache, dass Nutzer ihre Daten nicht kontrollieren können, ohne das Produkt unbrauchbar zu machen. Die Datenschutzaktivisten argumentieren, dass Nutzer die Kontrolle über ihre eigenen Daten behalten sollten, ohne auf die Nutzung des Produkts verzichten zu müssen.
Potenzielle Geldstrafen
Abschließend weist Noyb darauf hin, dass die zuständigen Datenschutzbehörden, basierend auf dem Umsatz der Muttergesellschaft, Geldstrafen von bis zu 11,28 Milliarden Euro verhängen könnten. Dies zeigt, wie ernst die Datenschutzverletzungen genommen werden und welches finanzielle Risiko für Unternehmen besteht, die gegen die Datenschutzbestimmungen verstoßen.
Die Beschwerden gegen den Hersteller markieren einen weiteren Schritt in Richtung strengerer Durchsetzung der Datenschutzgesetze und unterstreichen die Bedeutung der Einhaltung der DSGVO-Vorschriften für Unternehmen, die personenbezogene Daten verarbeiten. Unternehmen sollten diese Entwicklungen aufmerksam verfolgen und sicherstellen, dass ihre Datenschutzpraktiken den gesetzlichen Anforderungen entsprechen.
4. September 2023
Ein bedeutender Aspekt der DSGVO ist das Recht auf Auskunft, das in Art. 15 der DSGVO verankert ist. Dieses Recht ermöglicht es den betroffenen Personen, Informationen über die Verarbeitung ihrer personenbezogenen Daten zu erhalten. In der Praxis hat sich dabei eine interessante Frage ergeben: Kann dieses Auskunftsrecht missbraucht werden, um Informationen zu erhalten, die zwar legitime Zwecke verfolgen, aber nicht unmittelbar mit dem Datenschutz zu tun haben? Zum Beispiel könnten Personen Auskunft über ihre Daten verlangen, um unrechtmäßig erhobene Bankgebühren oder zu Unrecht gezahlte Versicherungsprämien zurückzufordern. Diese Frage des sogenannten “Rechtsmissbrauchs” in Bezug auf Auskunftsansprüche beschäftigt die Rechtsprechung und hat in jüngster Zeit zu verschiedenen Urteilen geführt.
Die Vorlage des BGH an den EuGH
Der Bundesgerichtshof hat diese Frage in einem Beschluss vom 29. März 2022 dem EuGH zur Vorabentscheidung vorgelegt (BGH, EuGH-Vorlage vom 29. März 2022 – VI ZR 1352/20 –). Der BGH äußerte auch Zweifel, ob in solchen Fällen tatsächlich ein Rechtsmissbrauch vorliegt, da der Wortlaut von Art, 15 der DSGVO keine solche Beschränkung vorsieht.
In einem aktuellen Urteil hat sich auch das Oberlandesgericht Hamm (Urteil vom 03.05.2023, Az. 20 U 146/22) mit der Frage des Rechtsmissbrauchs im Zusammenhang mit Auskunftsansprüchen nach Art. 15 DS-GVO befasst. Der Fall drehte sich um Prämienanpassungen in einer privaten Krankenversicherung. Das Gericht kam zu dem Schluss, dass der geltend gemachte Auskunftsanspruch nicht aus Art. 15 Abs. 1 DS-GVO abgeleitet werden kann. Das Gericht erkannte zwar an, dass einige der angeforderten Informationen personenbezogene Daten im Sinne von Art. 4 Abs. 1 DS-GVO darstellen. Dennoch stand der Beklagten nach Art. 12 Abs. 5 S.2 lit. b DSGVO ein Weigerungsrecht zu. Obwohl die Vorschrift häufige Wiederholungen als Beispiel für “exzessive” Anträge nennt, betonte das Gericht, dass sie auch andere rechtsmissbräuchliche Anträge abdecken soll.
Schutzzweck des DSGVO
Bei der Beurteilung, was als rechtsmissbräuchlich anzusehen ist, ist der Schutzzweck der DSGVO zu berücksichtigen. Der Sinn und Zweck des Auskunftsrechts nach Art. 15 DSGVO besteht darin, betroffenen Personen die Möglichkeit zu geben, sich bewusst zu werden, wie ihre personenbezogenen Daten verarbeitet werden, und die Rechtmäßigkeit dieser Verarbeitung zu überprüfen. In diesem Fall verfolgte der Kläger jedoch nicht dieses datenschutzrechtliche Interesse. Vielmehr diente seine Auskunftsanfrage ausschließlich der Überprüfung von möglichen formellen Mängeln in Bezug auf Prämienanpassungen. Ein solcher Zweck entspricht nicht dem Schutzzweck der DSGVO.
Fazit
Es bleibt abzuwarten, wie der Europäische Gerichtshof auf die Vorlage des BGH reagieren wird und ob weitere Klarstellungen zu diesem Thema erwartet werden können. Bis dahin sollten Unternehmen und Betroffene gleichermaßen die Entwicklungen aufmerksam verfolgen und sich bewusst sein, dass das Auskunftsrecht nach der DSGVO nicht grenzenlos ist, sondern bestimmten Schutzzwecken dient.
30. August 2023
Das Bundesgesundheitsministerium (BMG) schlägt einen bedeutenden Paradigmenwechsel in der Datenschutzaufsicht im Gesundheitswesen vor. Im Referentenentwurf des Gesetzes zur verbesserten Nutzung von Gesundheitsdaten (Gesundheitsdatennutzungsgesetz – GDNG) wird eine Neuregelung des § 9 des Bundesdatenschutzgesetzes (BDSG) vorgeschlagen, die auf eine Zentralisierung der Datenschutzaufsicht abzielt.
Ein neuer Absatz für eine breitere Zuständigkeit
Der Referentenentwurf des GDNG sieht vor, einen neuen Absatz 3 in § 9 BDSG einzuführen. In diesem Absatz wird dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) die exklusive Zuständigkeit für die Aufsicht über Stellen übertragen, die gesundheitsbezogene Sozialdaten im Sinne des § 67 SGB X verarbeiten. Diese Zuständigkeit erstreckt sich auch auf die Kranken- und Pflegekassen, den Spitzenverband Bund der Krankenkassen, die Kassenärztlichen Vereinigungen und weitere relevanten Einrichtungen.
Die Motivation für diese Änderung liegt laut der Begründung des Entwurfs darin, eine einheitliche Datenschutzpraxis sicherzustellen. Die unterschiedliche Auslegung durch verschiedene Aufsichtsbehörden hat bisher die Entwicklung einer konsistenten Datenschutzpraxis erschwert.
Ausbau der Zuständigkeit des BfDI
Mit dieser vorgeschlagenen Änderung würde der BfDI eine erweiterte Zuständigkeit erhalten. Bisher war der BfDI nur für bundesunmittelbare Krankenkassen verantwortlich, die in mehreren Bundesländern tätig sind. Doch nun würde der BfDI die Aufsicht über sämtliche Krankenkassen übernehmen, einschließlich derjenigen, die nur in einem Bundesland tätig sind, sowie Betriebskrankenkassen von Unternehmen.
Dies hätte zur Konsequenz, dass die Aufsicht innerhalb eines Konzerns oder einer Unternehmensgruppe fragmentiert würde. Eine Übersicht aller gesetzlichen Krankenkassen findet man beim GKV. Der BfDI wäre somit für sämtliche gesetzliche Krankenkassen alleinig zuständig.
Brisante Ausweitung der Zuständigkeit
Besonders brisant ist nicht nur die geplante Ausweitung der Zuständigkeit auf Krankenkassen, sondern auch der Vorschlag zur alleinigen Zuständigkeit für „Stellen, die gesundheitsbezogene Sozialdaten im Sinne des § 67 Zehntes Buch Sozialgesetzbuch verarbeiten“. Diese Definition schließe eine Vielzahl von Einrichtungen ein, wie Jobcenter, Rentenversicherungen, Unfallversicherungen und Jugendämter, wie die Landesdatenschutzbehörden in ihrer Stellungnahme darauf hinweisen.
Fazit: Weitreichende Änderungen in der Datenschutzaufsicht
Die vorgeschlagene Neuregelung des § 9 BDSG im Referentenentwurf des GDNG signalisiert einen bedeutsamen Wandel in der Datenschutzaufsicht im Gesundheitswesen. Die Zentralisierung der Zuständigkeit beim BfDI könnte dazu beitragen, eine einheitlichere Datenschutzpraxis zu etablieren. Allerdings stellen sich auch Fragen bezüglich der praktischen Umsetzbarkeit und der Fragmentierung der Aufsicht innerhalb von Konzernen und Unternehmensgruppen. Die geplante Ausweitung der Zuständigkeit auf Stellen, die gesundheitsbezogene Sozialdaten verarbeiten, erweitert den Einflussbereich des BfDI erheblich. Die genauen Auswirkungen und Implikationen dieser Änderungen auf die Datenschutzaufsicht im Gesundheitswesen bleiben abzuwarten.
28. August 2023
Seit bereits fünf Jahren steht Meta wegen der praktizierten Datenverarbeitung auf dem Prüfstand. Nun kündigte das Unternehmen, dass mehrere Social-Media-Plattformen betreibt, an, dass es künftig personenbezogene Daten der Nutzer zu Werbezwecken auf der Grundlage einer Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO verarbeiten werde. Bisher erfolgte die Datenverarbeitung zu diesem Zweck auf der Grundlage des berechtigten Interesses nach Art. 6 Abs. 1 lit. f) DSGVO.
Hintergründe
Laut Meta selbst sei Grund für die Änderung der Rechtsgrundlage, die zur Verarbeitung personenbezogener Daten herangezogen werde, dass die irische Aufsichtsbehörde die DSGVO verändert auslege. Diese ist im Gefüge der europäischen Aufsichtsbehörde zuständig für Meta. Aufgrund der jüngsten Rechtsprechung des Europäischen Gerichtshofs (EuGH) habe, so Meta die irische Aufsichtsbehörde die Auslegung der DSGVO verändert. Außerdem wolle Meta damit auf die bevorstehenden Änderungen, die durch Digital Markets Act eintreten werden, begegnen.
Im Juli dieses Jahres hatte der EuGH zu der Frage entschieden, ob Meta eine alternative rechtliche Grundlage anwenden könne, wenn die Rechtsgrundlage, die zur Datenverarbeitung gedacht war, nicht wirksam sei (wir berichteten). Aus Sicht des Gerichtshofes war es demnach rechtmäßig, dass das Bundeskartellamt (BKA) Meta das Speichern personenbezogener Daten ohne Zustimmung der Nutzer untersagt habe. Dabei stellte der Gerichtshof auch klar, dass eine alternative Verwendung einer Rechtsgrundlage nur unter engen Voraussetzungen möglich sei. Meta müsse seine Nutzer jedenfalls vor der Datenverarbeitung über die einschlägige Rechtsgrundlage informieren.
Aufgrund der neuen Rechtspraxis des US-Konzern dürften diese Rechtsfragen vorerst geklärt sein. Dabei bestehen bereits seit Jahren Bedenken gegen den Umgang des Unternehmens mit den personenbezogenen Daten von Nutzer. Die österreichische NGO None of your business (noyb) betonte in einem Artikel, dass die Tragweite der Entscheidung von Meta hinsichtlich der veränderten Rechtsgrundlage noch abzuwarten sei. Aus Sicht der Organisation bereite insbesondere die von Meta gewählte Formulierung, nach der nur für „bestimmte Daten für verhaltensbezogene Werbung“ eine Einwilligung eingeholt werden, Grund zur Annahme, dass weiterhin Lücken bei der Datenverarbeitung bestehen werden.
Fazit
Wie sich die Datenschutzpraxis des omnipräsenten US-Konzern Meta künftig ändern wird, bleibt insgesamt abzuwarten. Besonderes Augenmerk ist dabei auf die Frage zu legen, ob und wie Meta künftig personenbezogene Daten der Nutzer sammelt und ggf. weiterverwendet.
Mit der Inkraftsetzung des Hinweisgeberschutzgesetzes am 2. Juli 2023 wurde eine neue rechtliche Landschaft für betroffene Unternehmen, öffentliche und kirchliche Stellen geschaffen. Im Zentrum dieser Entwicklung steht die Verpflichtung zur Etablierung interner Meldestellen. Dieser Beitrag beleuchtet die datenschutzrechtlichen Implikationen dieser Verpflichtung und erörtert die Notwendigkeit einer Datenschutz-Folgenabschätzung gemäß DSGVO.
Datenschutzrechtliche Herausforderungen
Die Einrichtung einer internen Meldestelle, durch die potenziell personenbezogene Daten von Hinweisgebern über vermeintlich strafbares Verhalten von Beschuldigten gemeldet werden können, wirft datenschutzrechtliche Fragen auf. Besonders dann, wenn die Meldungen nicht anonym erfolgen, kann dies zur Verarbeitung sensibler personenbezogener Daten führen. Hierdurch wird der Anwendungsbereich der DSGVO eröffnet, was die Verantwortlichen dazu verpflichtet, die Datenschutzrechte und -pflichten entsprechend zu beachten.
Datenschutz-Folgenabschätzung nach Art. 35 DSGVO
Die zentrale Frage, die sich hier stellt, ist, ob vor Einführung einer internen Meldestelle eine Datenschutz-Folgenabschätzung gemäß Art. 35 Abs. 1 DSGVO durchzuführen ist. Diese Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung entsteht, wenn die Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt.
Schwellenwertanalyse und Anwendungsfälle
Um diese Frage zu beantworten, wird eine Schwellenwertanalyse durchgeführt, um festzustellen, ob die genannten Voraussetzungen erfüllt sind. Zunächst sind die Regelbeispiele in der von Aufsichtsbehörden festgelegten “Muss-Liste” nicht relevant. Weiterhin sind die Anwendungsfälle des Art. 35 Abs. 3 DSGVO nicht einschlägig. Insbesondere der Abs. 3 lit. b DSGVO, der eine Datenschutz-Folgenabschätzung bei umfangreicher Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten vorschreibt, trifft hier nicht zu.
In Bezug auf den vorliegenden Fall wird deutlich, dass keine “umfangreiche” Verarbeitung sensibler Daten vorliegt. Die Meldungen betreffen Einzelpersonen oder kleine Personengruppen, was gemäß Erwägungsgrund 75 der DSGVO keine umfangreiche Verarbeitung darstellt.
Europäischer Datenschutzausschuss und hohe Risiken
Die Durchführungspflicht einer Datenschutz-Folgenabschätzung kann jedoch auf das Vorliegen der Kriterien des Arbeitspapiers 248 des Europäischen Datenschutzausschusses gestützt werden. Diese Kriterien sind in nahezu allen internen Meldesystemen erfüllt und deuten insgesamt auf ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen gemäß Art. 35 Abs. 1 DSGVO hin. Dabei wird betont, dass aufgrund des erhöhten Risikos für die Betroffenen bei der Meldung von Missständen eine Datenschutz-Folgenabschätzung erforderlich ist.
Fazit
Angesichts der potenziell sensiblen Natur der gemeldeten Verstöße und der möglichen schwerwiegenden Konsequenzen für die Beschuldigten, inklusive strafrechtlicher Relevanz, erscheint die Durchführung einer Datenschutz-Folgenabschätzung unausweichlich. Die Notwendigkeit ergibt sich aus den anwendbaren Vorschriften der DSGVO und den Empfehlungen des Europäischen Datenschutzausschusses, insbesondere unter Berücksichtigung der Orientierungshilfe der DSK. Unternehmen und Organisationen sollten daher bei der Einführung einer internen Meldestelle sorgfältig die datenschutzrechtlichen Aspekte prüfen und eine Datenschutz-Folgenabschätzung durchführen, um die Rechte und Freiheiten der betroffenen Personen angemessen zu schützen.
23. August 2023
Ein aktueller Bescheid der österreichischen Datenschutzbehörde wirft Licht auf eine interessante Fragestellung: Sind Verantwortliche, insbesondere Arbeitgeber, dazu verpflichtet, bei unberechtigter Datenverarbeitung durch Mitarbeiter sowohl die Meldung nach Art. 33 als auch die Benachrichtigung nach Art. 34 DSGVO durchzuführen?
Der Fall und die Fragestellung
Der Bescheid der österreichischen Datenschutzbehörde vom 1. Januar 2023 betraf einen Vorfall, bei dem Gesundheitsdaten einer betroffenen Person durch eine Mitarbeiterin des Verantwortlichen in einem Social-Media-Beitrag veröffentlicht wurden. Die Mitarbeiterin, die sich in einem Ausbildungsverhältnis zur Verantwortlichen befand, hatte unberechtigt auf elektronisch vorhandene Patientendaten zugegriffen und den Krankheitsverlauf der betroffenen Person auf einer Plattform veröffentlicht. Die Verantwortliche meldete den Vorfall vorsorglich nach Art. 33 DSGVO, da sie Zweifel an ihrer eigenen Verantwortlichkeit und somit an der Meldepflicht hatte.
Die zentrale Fragestellung des Falls war, ob der Verantwortliche, in diesem Fall der Arbeitgeber, den Melde- und Benachrichtigungspflichten gemäß Art. 33 und 34 DSGVO unterliegt, wenn ein Mitarbeiter unberechtigt auf personenbezogene Daten zugreift und diese verwendet. Der Verantwortliche argumentierte, dass er für den unberechtigten Zugriff der Mitarbeiterin nicht datenschutzrechtlich verantwortlich sei und daher keine Meldepflicht bestehe. Die Datenschutzbehörde hatte hier eine andere Auffassung.
Die Entscheidung der Datenschutzbehörde
Die Datenschutzbehörde entschied, dass der Verantwortliche sehr wohl der Meldepflicht nach Art. 33 DSGVO unterliegt, auch wenn eine unberechtigte Datenverarbeitung durch einen Mitarbeiter stattfindet. Die Behörde unterschied zwischen den Verantwortlichkeiten auf zwei Ebenen:
- Arbeitgeber (Verantwortlicher): Verpflichtung zur Implementierung angemessener technischer und organisatorischer Maßnahmen, um unberechtigte Datenverarbeitungen zu verhindern.
- Mitarbeiterin (als eigene Verantwortliche): Unberechtigter Zugriff und Veröffentlichung von Patientendaten.
Die Behörde stellte klar, dass die Meldepflicht gemäß Art. 33 Abs. 1 DSGVO ausdrücklich an den jeweiligen Verantwortlichen gerichtet ist. Obwohl die Behörde anerkannte, dass in Einzelfällen eine eigenständige datenschutzrechtliche Verantwortlichkeit der Mitarbeiterin abgeleitet werden kann, war der Gegenstand des Verfahrens nicht die Verantwortlichkeit der Mitarbeiterin, sondern die Melde- und Benachrichtigungsverpflichtungen des Verantwortlichen.
Die Datenschutzbehörde stützte ihre Ansicht auch auf die Leitlinien 07/2020 des Europäischen Datenschutzausschusses (EDSA) zu den Begriffen “Verantwortlicher” und “Auftragsverarbeiter”. Diese Leitlinien betonen, dass die Organisation als Verantwortlicher angemessene technische und organisatorische Maßnahmen umsetzen muss, um die Einhaltung der DSGVO sicherzustellen, auch wenn ein Mitarbeiter seine Befugnisse in Bezug auf die Datenverarbeitung überschreitet.
Die Behörde verwies auch auf eine Entscheidung des österreichischen Bundesverwaltungsgerichts, in der betont wurde, dass die dahinterstehende Organisation (Behörde) weiterhin für die Verarbeitungsweise durch ihre Mitarbeiter verantwortlich bleibt, auch bei sorgfaltswidriger Verwendung oder überschießender Akteneinsicht.
Fazit: Verantwortliche tragen Verantwortung
Der Bescheid der österreichischen Datenschutzbehörde verdeutlicht, dass Verantwortliche auch bei unberechtigter Datenverarbeitung durch Mitarbeiter gemäß Art. 33 und 34 DSGVO verpflichtet sind, sowohl eine Meldung als auch eine Benachrichtigung durchzuführen. Die klare Trennung zwischen den Verantwortlichkeiten von Arbeitgebern und Mitarbeitern sorgt für Klarheit in einer komplexen rechtlichen Landschaft. Dieser Bescheid unterstreicht die Bedeutung, dass Organisationen angemessene technische und organisatorische Maßnahmen ergreifen, um die Einhaltung der DSGVO sicherzustellen und Datenschutzverletzungen zu minimieren. In Zeiten steigender Datenschutzanforderungen ist es unerlässlich, dass Verantwortliche ihre Pflichten ernst nehmen und für Transparenz und Sicherheit in der Datenverarbeitung sorgen.
21. August 2023
Vergangene Woche erschienen vermehrt Berichte, derer zufolge eine Cyberattacke auf die Online-Plattform LinkedIn verübt wurde. Demnach konnten die Nutzer des Portals nicht mehr auf ihre Accounts zugreifen.
Hintergründe
Es seien zwei verschiedene Angriffsmethoden auf LinkedIn erkennbar gewesen. Teilweise habe LinkedIn selbst die Konten seiner Nutzer gesperrt. Grund hierfür seien verdächtige Handlungen auf den Konten der betroffenen Nutzer gewesen. Dabei hätten die Hacker versuch die Zwei-Faktor-Authentifizierung, mit der die Konten der Nutzer gesichert werde, zu entschlüsseln. Alle betroffenen Personen seien im Anschluss durch LinkedIn über die vorübergehende Sperrung des Kontos informiert worden.
Hinzu käme eine zweite Form des Hackerangriffs. Bei diesem drängen die Angreifer in die Konten der betroffenen Nutzer ein und änderten dort die zur Verfügung gestellte E-Mail-Adresse. Die Folge dieses Vorgehens sei, dass die betroffenen Personen keine Möglichkeit hätten auf ihr Konto zuzugreifen. Teilweise hätten die Angreifer Lösegeld zur Widerherstellung der Konten verlangt.
Die Folgen für die Konten
Derzeit bleibt eine Stellungnahme von LinkedIn selbst noch aus. Die Motivation der Hacker kann sich demnach auch lediglich erahnen lassen. Teilweise könnte es dazu kommen, dass die betroffenen Konten genutzt werden würde, um über diese Kontakt zu anderen Nutzern aufzunehmen und so schädliche Handlungen vorzunehmen. Zusätzlich biete der Zugang zu einem LinkedIn Konto immer auch Zugang zu sensiblen Unterhaltungen im LinkedIn Profil der betroffenen Personen.
Fazit
Sofern man selbst von einem Angriff betroffen sein sollte, sollte man sich zunächst an den Support von LinkedIn wenden. Insbesondere E-Mails von LinkedIn, in denen die Nutzer darüber informiert werden, dass dem bestehenden Konto eine neue E-Mail-Adresse hinzugefügt worden sei, können ein ersten Anzeichens eines Cyberangriffs sein.
Grundsätzlich gilt es ein langes, aufwändiges und somit sicheres Passwort zu wählen. Außerdem empfiehlt es sich die Zwei-Faktor-Authentifizierung für das Benutzerkonto. Aus Sicht der Verantwortlichen ist zu empfehlen ausreichende Technischen und Organisatorischen Maßnahmen zu wählen, um gegen Cyberattacken präventiv vorzugehen und ihnen adäquat zu begegnen.
Das Recht auf Auskunft über die Verarbeitung personenbezogener Daten zählt zu den grundlegenden Betroffenenrechten, die in der DSGVO verankert sind. Es bildet oft den Ausgangspunkt für die wirksame Wahrnehmung anderer Datenschutzrechte. In diesem Artikel beleuchten wir genauer, wie sich dieses Recht im Kontext des Sozialdatenschutzes gemäß Art. 15 DSGVO und § 83 Zehntes Buch Sozialgesetzbuch (SGB X) manifestiert.
Der Ursprung des Auskunftsrechts
Das Auskunftsrecht ist das erste der Betroffenenrechte in Kapitel 3 der DSGVO. Es ermöglicht betroffenen Personen, Informationen über die Verarbeitung ihrer personenbezogenen Daten zu erlangen. Insbesondere dann, wenn vorausgegangene Datenschutzerklärungen unzureichend über Verarbeitungsvorgänge aufklären, erweist sich das Auskunftsrecht als entscheidendes Instrument. Dieses Recht spielt daher eine zentrale Rolle in der Interaktion zwischen Einzelpersonen und Datenverarbeitungsstellen.
Auskunftsrecht in der DSGVO: Die zwei Stufen
Das Auskunftsrecht nach Art. 15 DSGVO folgt einem zweistufigen Prozess. In der ersten Stufe besteht das Recht darauf zu erfahren, ob personenbezogene Daten bei einer bestimmten Stelle verarbeitet werden. Die zweite Stufe ermöglicht es, spezifische Informationen anzufordern. Dies umfasst Details zu Verarbeitungszwecken, Kategorien verarbeiteter Daten, Speicherdauer, Empfänger von Daten und deren Quellen. Falls Daten in Drittstaaten übertragen werden, muss die betroffene Person darüber und über die angemessenen Datenschutzgarantien informiert werden.
Ein wichtiger Aspekt des Auskunftsrechts ist das Urteil des Europäischen Gerichtshofs (EuGH) vom 12.01.2023 (Rs. C-154/21). Hier wurde festgestellt, dass, wenn möglich, konkrete Datenempfänger genannt werden sollten, anstatt nur die Kategorien von Empfängern anzugeben.
Einschränkungen im Sozialgesetzbuch
Im Bereich des Sozialdatenschutzes findet das Auskunftsrecht gemäß Art. 15 DSGVO Anwendung, jedoch unter Einbindung von § 83 SGB X. Dies ermöglicht dem deutschen Gesetzgeber, das Recht unter bestimmten Bedingungen zu begrenzen. Die Beschränkungen sind in § 83 SGB X definiert und können in fünf Fallgruppen zusammengefasst werden:
- Gefährdung gesetzlicher Aufgaben oder öffentlicher Ordnung: Das Auskunftsrecht kann beschränkt werden, wenn die ordnungsgemäße Erfüllung einer gesetzlichen Aufgabe gefährdet ist oder die öffentliche Ordnung beeinträchtigt wird.
- Geheimhaltungspflicht: Informationen können zurückgehalten werden, wenn Daten oder deren Speicherung geheim gehalten werden müssen, etwa aufgrund von gesetzlichen Vorschriften oder berechtigten Interessen Dritter.
- Erwartung der Übermittlung: Das Offenlegen von Empfängern kann eingeschränkt werden, wenn die betroffene Person damit rechnen muss, dass Daten an bestimmte Empfänger übermittelt werden.
- Zusammenarbeit zwischen Stellen: Auskünfte über Empfänger können begrenzt werden, wenn die Verarbeitung innerhalb einer verantwortlichen Stelle oder aufgrund gesetzlicher Zusammenarbeit zwischen verschiedenen Stellen erfolgt.
- Strafverfolgung und Sicherheit: Informationen an bestimmte Stellen wie Strafverfolgungsbehörden können nur mit Zustimmung erteilt werden.
Fazit: Datenschutz und öffentliche Interessen im Gleichgewicht
Die Kombination von Art. 15 DSGVO und § 83 SGB X im Sozialdatenschutz verdeutlicht das komplexe Wechselspiel zwischen individuellen Datenschutzrechten und öffentlichen Interessen. Während das Auskunftsrecht eine mächtige Waffe zur Gewährleistung von Transparenz und Kontrolle über persönliche Daten darstellt, müssen diese Rechte sorgfältig abgewogen werden, um die ordnungsgemäße Erfüllung öffentlicher Aufgaben und den Schutz der Gemeinschaft sicherzustellen.
Die vorgestellten Regelungen verdeutlichen, dass das Auskunftsrecht im Sozialdatenschutz eine wichtige Rolle spielt. Es ist jedoch in seinen Anwendungsbereichen beschränkt, um ein ausgewogenes Verhältnis zwischen individuellem Datenschutz und öffentlichen Belangen zu gewährleisten. So wird das Ziel verfolgt, sowohl die Rechte und Freiheiten betroffener Personen zu schützen als auch die Erfüllung wichtiger gesellschaftlicher Aufgaben zu ermöglichen. In dieser Balance liegt die Herausforderung und Verantwortung des modernen Datenschutzes.
Pages: 1 2 ... 12 13 14 15 16 ... 274 275 
