Kategorie: Allgemein

5 Jahre DSGVO: Nur „ausreichend“

11. Oktober 2023

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, die im Mai 2018 in Kraft trat, verlangt der Unternehmenswelt nun schon seit 5 Jahren einiges ab. Unternehmen ziehen eine durchwachsene Bilanz und vergeben im Rahmen einer repräsentativen Umfrage im Auftrag des Digitalverbunds Bitkom nur die Note „ausreichend“ (3,9). Bitkom befragte zwischen Juni und August 2023 503 Unternehmen ab 20 Beschäftigten in Deutschland.

Die Hauptaussagen sind wenig schmeichelhaft. Zwar haben mittlerweile zwei Drittel (65 %) wenigstens größtenteils die Vorschriften in ihre Geschäftsprozesse implementiert, jedoch beklagen sie, dass diese nicht praxisorientiert und zu kompliziert sind. Erschreckend ist, dass in fast jedem Unternehmen Innovationsprojekte in Folge zu hoher Datenschutzanforderungen gescheitert seien.

Die guten Nachrichten zuerst

Trotz dieser Herausforderungen erkennen die Unternehmen auch einige positive Aspekte an. Immerhin bestätigt die Mehrheit, dass die DSGVO zu einer Verbesserung der Datensicherheit im Unternehmen (61 %) und mehr Vertrauen in digitale Prozesse (51 %) geführt hat. Im Übrigen setze die DSGVO einheitliche Wettbewerbsbedingungen in der EU (45 %) und sogar weltweit Standards (61 %).

Komplexität und Praxisferne

Die Befragten beschweren sich jedoch, dass die DSGVO Unternehmensprozesse komplizierter macht (78 %) und praxisfern sind (77 %). Die meisten Unternehmen (86 %) haben Schwierigkeiten, die Entwicklungen im Datenschutz in der Rechtsprechung zu verfolgen. Das führe unteranderem zu einer Rechtsunsicherheit (82 %). Datenschutzverantwortliche in Unternehmen fänden es schwierig, Mitarbeiter über Datenschutz zu informieren (74 %). Diese Hürden führen dazu, dass sich 69 % der Unternehmen im internationalen Wettbewerb gegenüber Nicht-DSGVO-gebundenen Unternehmen benachteiligt sehen.

DSGVO als Innovationshemmnis

Fast alle Unternehmen (100 %) gaben an, dass in den letzten zwölf Monaten innovative Projekte entweder scheiterten oder erst gar nicht gestartet sind. Die meisten dieser Projekte betrafen den Aufbau von Datenpools (59 %) und die Prozessoptimierung in der Kundenbetreuung (47 %). Grund hierfür seien Unklarheiten in der Anwendung der Vorschriften (92 %) und konkrete DSGVO-Vorgaben (86 %). Allein die Umsetzung der DSGVO habe in viele Fällen zu Verzögerungen bei der Entwicklung neuer Produkte und Dienstleistungen geführt (56 %). Man hätte Innovationen aus Drittländern aufgrund der Regelungen in der EU nicht nutzen können (48 %).

Die Meinungen über den Einfluss der DSGVO auf die Entwicklung von künstlicher Intelligenz (KI) gehen auseinander. Während 44 % meinen, dass Datenschutz die Rechtssicherheit für die Entwicklung von KI-Tools schafft, sehen 56 % die DSGVO als Hindernis, dass Unternehmen der KI-Branche, aus der EU vertreiben könnte.

Verbesserungswünsche

Die deutliche Unzufriedenheit der Unternehmer legt es nahe, dass viele eine Verbesserung fordern. Immerhin 12 % der Unternehmen fordern eine Verschärfung der DSGVO, um die Bürgerinnen und Bürger besser zu schützen. Die Umfrageergebnisse zeigen allerdings, dass eine Mehrheit der Unternehmen sich eine Vereinfachung der Regelungen wünscht. Die vielen speziellen Datenschutzvorschriften sollen zusammengeführt (95 %) und die DSGVO angepasst werden (87 %). Außerdem sollen die Datenschutzvorgaben innerhalb der EU vereinheitlicht werden (79 %). Auch auf föderaler Ebene sollen die Gesetze angepasst werden (67 %).

Fazit

Die DSGVO hat in den letzten fünf Jahren sowohl Lob als auch Kritik von deutschen Unternehmen erhalten. Die Stimmung in der Unternehmenswelt tendiert allerdings in eine Richtung. Viele empfinden die Vorschriften als Hindernis, dass Nachteile in innovativer und finanzieller Hinsicht mit sich bringt. Aufgabe des Gesetzgebers ist es, die Forderungen der Unternehmen zu hören und Änderungen zu schaffen, die sowohl die Privatsphäre des Bürgers schützen als auch wirtschaftlich gesehen praxistauglich, verständlich und effizient sind. Bis dahin bleibt Datenschutz ein Thema, das die Geschäftswelt weiterhin herausfordert. Bei der Umsetzung der diversen Regeln helfen wir Ihnen als Externer-Datenschutzbeauftragter gerne weiter.

Kategorien: Allgemein · DSGVO

Debatte über VPN-Verbot

10. Oktober 2023

In Europa gewinnt die Diskussion über die Zukunft der Online-Anonymität an Bedeutung. Mit der zunehmenden Bedeutung von Virtual Private Networks (VPNs) rücken auch sie immer mehr in den Fokus. Sie sorgen für Anonymität im Internet. Wo staatlicher Datenschutz nicht effektiv funktioniert, können sie hilfreich sein. Ganz nach dem Grundsatz „offline Verbotenes soll auch online verboten sein“ wird aber immer häufiger ihre Legitimität in Frage gestellt. Konkret geht es aktuell in der französischen Nationalversammlung um einen Gesetzesentwurf zur Sicherung und Regulierung des digitalen Raums.

Einschränkungen für VPNs gefordert

Abgeordnete des liberalen und des Mitte-Rechts-Lagers stellten Anträge, nach denen der Einsatz von VPNs zur Verschleierung von Online-Spuren eingeschränkt oder ihr Download aus App Stores verboten werden sollte. Es wurde angebracht, dass VPNs die Verfolgung von Straftaten in den sozialen Medien erschweren. Eine Variante, in der der Nutzer online (nur) Pseudonymität innehat, würde eher den Umständen außerhalb des Internets entsprechen. Kritische Stimmen warnten hingegen vor einem solchen Vorgehen und verwiesen insbesondere auf hohe technische Hürden bei der Umsetzung und einen Verstoß gegen die EU-Grundrechtecharta.

VPN-Einschränkungen weltweit

In Russland sind VPN-Dienste, die nicht mit den russischen Behörden kooperieren, seit 2017 illegal. Das russische Regime ging laut Angaben des britischen Geheimdienstes zuletzt verstärkt gegen ihre Nutzung vor. Hierdurch will der Staat inländische Informationen vollständig kontrollieren. Ebenso brauchen VPN-Dienstleiter in China eine staatliche Genehmigung. In Nordkorea und Turkmenistan ist z. B. die Verwendung von VPNs sogar gänzlich untersagt.

Eine Betrachtung der Länder mit VPN-Verboten oder -Einschränkungen zeigt, welche einschneidenden Folgen die Einschränkung von VPNs mit sich bringen kann.

Fazit

Die Debatte über das Ende der Online-Anonymität nimmt auch in Europa an Fahrt auf. Die Frage nach dem richtigen Maß an Anonymität im Internet bleibt ein umstrittenes Thema, bei dem unterschiedliche Interessen aufeinanderprallen. Von einem VPN-Verbot sind wir zumindest noch weit entfernt. Trotzdem sollten insbesondere die weiteren Entwicklungen in Frankreich aufmerksam verfolgt werden. Klar ist, dass die Verwendung von VPNs nicht zwangsläufig mit dem Begehen von Straftaten verbunden ist, sondern auch lediglich dem allgemeinen Schutz der Privatsphäre dienen kann. Ein Verbot oder selbst eine Einschränkung ist deswegen höchst bedenklich.

Mehr Datenschutzoptionen für Google-Nutzer

9. Oktober 2023

Aufgrund eines vom Bundeskartellamt eingeleiteten Missbrauchsverfahren hat der Mutterkonzern von Google, Alphabet, im Rahmen einer Einigung zugesagt, den Nutzern mehr Wahlmöglichkeiten über die Sammlung ihrer Daten zu geben oder die Verarbeitungskonditionen zu präzisieren. Nutzer sollen laut der Verpflichtungszusage mehr Entscheidungsoptionen darüber haben, welche personenbezogenen Daten dienstübergreifend im Google-Konzern gesammelt, analysiert und möglicherweise zu Profilen verknüpft werden.

Die Änderungen: Mehr Auswahlmöglichkeiten und keine Manipulation

Google soll im Rahmen der Änderungen den Nutzern mehr Möglichkeiten bieten, um festzulegen, wie ihre Daten verwendet werden. Zuvor bestanden keine ausreichenden Entscheidungsmöglichkeiten hinsichtlich des Umstands, des Zwecks und der Art und Weise der dienstübergreifenden Datenverarbeitungen. Die Neuerungen betreffen insbesondere Vorgänge innerhalb der verschiedenen Dienste des Konzerns, wenn persönliche Informationen hieraus zusammengefasst oder verwendet werden sollen. Betroffen könnten mehr als 25 Funktionen sein, wie z. B. Google News oder Gmail. Dabei dürfen die Selektionsoptionen die Nutzer nicht durch einflussnehmende Designmechanismen (z. B. “Dark Patterns”) dazu verleiten, der Datenverarbeitung über verschiedene Dienste hinweg zuzustimmen.

Für größere von der EU-Kommission als Gatekeeper-Angebote bezeichnete Google-Dienste wie etwa Shopping, Maps oder Search gelten ‚nur‘ die Anforderungen des Digital Markets Act (DMA). Verarbeitet Google hingegen keine Daten dienstübergreifend und legen die Verarbeitungsbedingungen dies eindeutig fest, müssen lediglich die Datenschutz-Grundverordnung (DSGVO) und ihre Opt-in-Vorgaben beachtet werden.

Ziel der Anpassungen

Das Hauptziel des Kartellamts ist hierbei sicherzustellen, dass die Nutzer ihre Zustimmung zur Verarbeitung ihrer Daten über mehrere Dienste hinweg gemäß der DSGVO freiwillig, informiert und eindeutig für alle Fälle erteilen können.

Laut Andreas Mundt, der Präsident des Bundeskartellamtes, stärke dieser bedeutende Schritt das Selbstbestimmungsrecht der Nutzer und reduziere gleichzeitig Googles Marktmacht, die insbesondere auf der überlegenen Masse an verfügbaren Daten beruhe. Die Datensammlung und -verarbeitung sei das „Fundament der Marktmacht“ solcher „Internet-Riesen“. Hierin liege ein entscheidender wettbewerblicher Vorteil im Vergleich zu kleineren Unternehmen.

Fazit

Google wird nun dem Bundeskartellamt innerhalb von drei Monaten einen Umsetzungsplan vorlegen. Der Fall ist aber vor allem interessant für die Frage, inwieweit das Kartellamt bei der Kontrolle von Datenverarbeitungsmethoden zuständig ist. Erkennbar ist hier ein Zusammenspiel von DMA und den nationalen erweiterten Aufsichtsbefugnissen. Dort, wo keine Regulierung durch den DMA mangels Gatekeeper-Status greift, wurden nationale kartellrechtliche Vorschriften herangezogen. Dass in diesem Fall die nationalen Vorschriften nicht für die Gatekeeper gelten sollen, wurde im Verfahren von Google selbst vorgetragen. Insofern stellt sich die Frage, ob für ‘kleinere’ Unternehmen auf Grund nationaler Vorschriften höhere Anforderungen gestellt werden. Trotzdem stellt die Verpflichtungszusage allgemein einen weiteren Schritt hinsichtlich einer flexiblen Selbstbestimmung für Nutzer von Google-Diensten dar.

Grindr muss 5,8 Millionen Euro Strafe zahlen

Der Betreiber der Dating-App Grindr hatte mit seinem Einspruch gegen eine Strafe der norwegischen Datenschutzbehörde wegen illegalem Informationstransfer keinen Erfolg. Diese hat das Bußgeld in einer Rekordhöhe von 65 Millionen Norwegischen Kronen (rund 5,8 Millionen Euro) aufgrund von Datenschutzverletzungen aufrechterhalten. Im Fokus steht der Verstoß gegen die Anforderungen der Datenschutz-Grundverordnung (DSGVO) in Bezug auf eine klare und informierte Einwilligung der Nutzer.

Ohne ordnungsgemäße Einwilligung keine Datenweitergabe!

Die norwegische Datenschutzbehörde hatte Ende 2021 das Bußgeld gegen Grindr verhängt, nachdem eine Beschwerde des Norwegischen Verbraucherrats aus dem Jahr 2020 aufgedeckt hatte, dass Grindr persönliche Informationen, darunter Standortdaten, IP-Adressen, Werbe-IDs von Mobiltelefonen, Alter und Geschlecht der Nutzer, ohne ausreichende Einwilligung an Dritte weitergegeben hatte. Besonders besorgniserregend war die Übermittlung sensibler Informationen zur sexuellen Orientierung und anderen persönlichen Überzeugungen an Drittanbieter. Diese hatten wiederum das Recht, die Daten weiterzugeben, um gezielte Werbung zu schalten.

Bedeutung der Entscheidung für überwachungsbasierte Werbung:

Hierbei handelt es sich um ein klares Signal an Unternehmen, die auf überwachungsbasierte Werbung setzen. Die rechtswidrige Weitergabe von personenbezogenen Daten ohne ausreichende rechtliche Grundlage kann – wie man an diesem Fall sieht – ernsthafte Konsequenzen haben. Insbesondere Unternehmen in der digitalen Werbeindustrie und der mobilen App-Welt wird vor allem hinsichtlich Trackings und Profilings geraten, ihre Verhaltensweisen zu überprüfen. Erforderlich ist das Einholen einer Einwilligung, um den Nutzern die Kontrolle über ihre eigenen personenbezogenen Daten zu geben.

Fazit:

Die Entscheidung, Grindr mit einer Rekordstrafe zu belegen, sendet ein deutliches Signal an Unternehmen, die in ihrer Geschäftstätigkeit auf die unzulässige Verwendung von Nutzerdaten setzen. Diese Datenschutzentscheidung unterstreicht die Notwendigkeit einer transparenten Datenhandhabe und die Einholung entsprechender Einwilligung der Verbraucher.

Kategorien: Allgemein

Datenschutz bei Zyklusapps

3. Oktober 2023

Der Verbraucherzentrale Bundesverband e.V. (vzbv) teste, wie Anbieter von Zyklus-Apps mit Betroffenenanfragen nach Art. 15 DSGVO umgehen. Im Ergebnis besteht für die App-Anbieter bei Beantwortung von Auskunftsersuchen Nachholbedarf.

Die Verwendung von Zyklus-Apps

Mit Hilfe von Zyklus-Apps können die Nutzerinnen persönliche Informationen über den Start ihrer Periode, gesundheitlichen Begleiterscheinungen oder beispielsweise zu einem Kinderwunsch dokumentieren. Dabei handelt es sich regelmäßig um Gesundheitsdaten im Sinne des Art. 9 DSGVO, d.h. um besondere Kategorien personenbezogener Daten, die einem besonderem Schutz unterliegen.

Im Rahmen eines Tests untersuchte nun der vzbv, wie zwölf Zyklus-Apps mit dem Recht auf Auskunft der Betroffenen umgehen. Nach Art. 15 DSGVO haben die betroffenen Nutzerinnen die Möglichkeit zu erfahren, ob die App-Anbieter ihre personenbezogenen Daten verarbeiten und wenn ja, welche Datenkategorien verarbeitet werden, zu welchen Zwecken, wem die Daten ggf. übermittelt werden, wie lange die Daten gespeichert werden und ob die Verarbeitung mittels einer automatisierten Entscheidungsfindung erfolgt.  Dabei dient das Recht auf Auskunft u.a. dazu, den betroffenen Nutzern eine Informationsgrundlage zu bieten. Anschließend können sie weitere Rechte, wie das Recht auf Berichtigung oder Löschung nach Art. 16 und 17 DSGVO ausüben.

Ergebnisse der Untersuchung

Zur datenschutzrechtlichen Untersuchung der Apps sollten drei Verbraucherinnen alles zwölf Apps verwenden. Im Anschluss stellte der vzbv im Namen jeder Verbraucherin eine Auskunftsanfrage. Zum Abgleich stellte anschließend die Stiftung Warentest die gleichen Fragen offen an die App-Anbieter.

Im Ergebnis erkennbar sei, laut vzbv dass die App-Anbieter einen großer Teil der Auskunftsanfragen, d.h. 31 von 36 innerhalb der gesetzlichen Frist von einem Monat beantwortet hätten. Zu der Frage, ob eine Datenverarbeitung erfolge, hätten die App-Anbieter in 21 von 31 Fällen geantwortet.

Negativ aufgefallen seien vier Anbieter, deren Auskünfte den eigenen Datenschutzerklärungen widersprochen hätten. Dabei habe ein Anbieter auf die Auskunftsanfrage geantwortet, dass er keine Gesundheitsdaten verarbeite. Nach der eigenen Datenschutzerklärung sei dies aber gerade der Fall.

Hinzukäme, dass die App-Anbieter über die bloße Datenverarbeitung hinausgehende Fragen nur lückenhaft beantwortet hätten. Insbesondere die Fragen zu den Zwecken der Datenverarbeitung seien nur unzureichend beantwortet worden. Zu den Verarbeitungszwecken hätten die App- entweder keine, falsche oder unvollständige Antworten gegeben.

Fazit

Der durchgeführte Test erfolgte im Rahmen einer Untersuchung der Stiftung Warentest zu Zyklus-Apps. Die Anfragen zeigen, dass alle Nutzer achtsam mit der Abgabe personenbezogener Daten umgehen sollten.  Dabei zeigt sich auch, dass die Wahrung von Betroffenen Rechten ein wichtiger Bestandteil des Datenschutzes sind.

Nach Rechtsstreit: neuer Datenschutzbeauftragter für Niedersachsen

18. September 2023

Vergangene Woche verwarf das Oberverwaltungsgericht (OVG) Lüneburg per Beschluss eine Beschwerde (Az. 5 ME 55/23) der ehemaligen Landesdatenschutzbeauftragten Niedersachsen, Barbara Thiel. Mit ihrer Beschwerde hatte sie sich gegen die Entscheidung des Verwaltungsgerichts (VG) Hannovers (Az. 13 B 3358/23) gewendet. Per Verfahren vor dem VG Hannover wollte die ehemalige Datenschutzbeauftragte, Thiel die Ernennung des neuen Datenschutzbeauftragten des Landes Niedersachsen, Denis Lehmkemper verhindern.

Das Verfahren

Bereits im Mai hatte der Landtag Niedersachsen einen neuen Datenschutzbeauftragten des Landes gewählt. Mit der Entscheidung entschied sich der Landtag gegen Thiel, die sich für eine weitere Amtszeit offen zeigte.

Das VG Hannover sah in der Ernennung des neuen Landesdatenschutzbeauftragten keine Rechtsverletzung der ehemaligen Landesdatenschutzbeauftragten. Insofern habe kein Verstoß gegen das Transparenzgebot der DSGVO bestanden. Auch eine Ausschreibung für die Stelle als Landesdatenschutzbeauftragter sei nach den Regelungen der DSGVO nicht erforderlich gewesen. Dem fügte das OVG Niedersachsen hinzu, dass das nach Art. 53 DSGVO geltenden Transparentgebot für die Ernennung von Datenschutzbeauftragten keine subjektiven Rechte garantiere. Die Norm schütze allein das öffentliche Interesse an einem transparenten Benennungsverfahren.

Das OVG Niedersachsen stellte außerdem fest, dass auch eine Verletzung von Art. 33 Abs. 2 Grundgesetz (GG) nicht vorgelegen habe. Die Norm garantiert den Zugang zu öffentlichen Ämtern für „jeden Deutschen“. Laut dem OVG sei Art. 33 Abs. 2 GG allerdings in diesem Fall nicht anwendbar. Sofern eine Stelle durch eine Wahl besetzt werde, greife sie nicht. Das Demokratieprinzip und somit die Legitimität der Wal habe ihr Vorrang.

Fazit

Grundsätzlich verfügt jedes Bundesland über einen Datenschutzbeauftragten. Jeder Datenschutzbeauftragte erfüllt dabei zunächst eine beratende Funktion. Wenn der Landtag ein neues Gesetz verabschiedet, dass ggf. datenschutzrechtliche Belangen tangieren könnte, überwacht der Beauftragte die Einhaltung des Datenschutzes. Außerdem sind die Landesdatenschutzbeauftragten eine Anlaufstelle für die Bürger. Neben der Möglichkeit Beschwerden bei Datenschutzverstößen einzureichen, richtet sich der Service der Landesbeauftragten auch an Unternehmen, die Unterstützung bei der Umsetzung des Datenschutzes benötigen.

DSK veröffentlicht Anwendungshinweise zum EU‐US Data Privacy Framework

8. September 2023

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 4. September 2023 Anwendungshinweise zum Angemessenheitsbeschluss des EU-US Data Privacy Frameworks herausgegeben. Diese Hinweise sind von Bedeutung für Organisationen und Unternehmen, die personenbezogene Daten in Drittländer, insbesondere in die USA, übermitteln.

Allgemeines zu Drittstaatenübermittlungen

Die Anwendungshinweise geben zunächst einen allgemeinen Überblick über die Angemessenheitsentscheidung.

Unter Drittstaatenübermittlungen versteht man die Übertragung von personenbezogenen Daten aus dem Europäischen Wirtschaftsraum (EWR) in Länder, in denen die Datenschutz-Grundverordnung (DSGVO) nicht unmittelbar gilt. Dies betrifft beispielsweise die USA. Die DSGVO regelt solche Übermittlungen, um ein gleichwertiges Datenschutzniveau sicherzustellen.

Zweistufige Prüfung der Rechtmäßigkeit der Übermittlung an Drittländer

Die Übermittlung personenbezogener Daten an Drittländer ist gemäß Art. 44 Abs. 1 DSGVO nur unter bestimmten Bedingungen zulässig. Zunächst muss geprüft werden, ob eine Rechtsgrundlage für die Datenverarbeitung besteht. Darüber hinaus müssen die Grundsätze aus Art. 5 DSGVO eingehalten werden (1. Stufe). Erst danach kann die Übermittlung nach einem der Mechanismen des Kapitels V DSGVO legitimiert werden (2. Stufe).

Kapitel V – Übersicht zu den Übermittlungsinstrumenten

Ein Angemessenheitsbeschluss gemäß Art. 45 DSGVO ermöglicht eine Datenübermittlung an ein Drittland, wenn die Europäische Kommission feststellt, dass ein gleichwertiges Datenschutzniveau wie in der EU gegeben ist. Hierbei muss auch die Existenz von Rechtsbehelfen für betroffene Personen geprüft werden. Das EU-US Data Privacy Framework ist ein solcher Angemessenheitsbeschluss, der auf zertifizierte Stellen beschränkt ist.

Geeignete Garantien gemäß Art. 46 DSGVO sind weitere Mechanismen zur Legitimierung von Drittstaatenübermittlungen. Hierzu gehören beispielsweise Standardvertragsklauseln (Standard Contractual Clauses) und Verhaltensregeln. Diese sollen ein gleichwertiges Datenschutzniveau sicherstellen. Dabei sollte stets beachtet werden, dass zusätzliche Maßnahmen erforderlich sein können, um das geforderte Schutzniveau zu erreichen.

Informationen für Daten übermittelnde Stellen (Datenexporteure)

US-Organisationen, die der Aufsicht der FTC oder des DOT unterliegen, können sich selbst im Rahmen des DPFs zertifizieren. Die Zertifizierung erfordert die Übermittlung von Informationen an das US-Handelsministerium, und zertifizierte Organisationen verpflichten sich zur Einhaltung der EU-US DPF-Vorgaben. Das US-Handelsministerium führt eine Liste zertifizierter Organisationen, auf die EU-Datenexporte gestützt werden können. Jährliche Überprüfungen sind erforderlich. Dabei sollte beachtet werden, dass die Zuständigkeiten der FTC und des DOT begrenzt sind, und nicht alle Branchen abdecken.

Umfassende Erläuterungen

Auch wenn die Erläuterungen auf der Webseite des DPFs recht umfangreich sind, so sind sie nicht sehr übersichtlich gestaltet. Die Anwendungshinweise der DSK sind deutlich übersichtlicher und verschaffen somit einen guten Überblick über dieser Thematik. Neben den allgemeinen Informationen und den Informationen für Daten übermittelnde Stellen werden auch Informationen für betroffene Personen zu Rechtsschutzmöglichkeiten zur Verfügung gestellt.

Fazit

Die Anwendungshinweise bieten eine gute Orientierungshilfe für Organisationen, die mit Drittstaatenübermittlungen zu tun haben. Das Dokument bietet sowohl Datenexporteuren als auch betroffenen Personen Informationen zum Datenschutz bei der Übermittlung von Daten in die USA. Es verweist auf weitere Ressourcen und Materialien für zusätzliche Informationen, einschließlich solcher vom Europäischen Datenschutzausschuss.

In Bezug auf die Zukunft des Angemessenheitsbeschlusses EU-US Data Privacy Framework, der vor dem Hintergrund früherer Aufhebungen von Angemessenheitsbeschlüssen für die USA erlassen wurde, kann die Datenschutzkonferenz keine Vorhersagen treffen. Zum aktuellen Zeitpunkt ist dieser Beschluss jedoch geltendes EU-Recht. Die DSK weist darauf hin, dass regelmäßige Evaluierungen durch die EU-Kommission vorgesehen sind, die zu Anpassungen oder Aufhebungen führen könnten. Darüber hinaus bestehe auch die Möglichkeit einer gerichtlichen Überprüfung dieses neuen Angemessenheitsbeschlusses.

Weitere Informationen und detaillierte Empfehlungen sind in den Anwendungshinweisen der Datenschutzkonferenz verfügbar.

Rechtsmissbrauch in Auskunftsansprüchen nach Art. 15 DSGVO: Aktuelle Entwicklungen und Urteile

4. September 2023

Ein bedeutender Aspekt der DSGVO ist das Recht auf Auskunft, das in Art. 15 der DSGVO verankert ist. Dieses Recht ermöglicht es den betroffenen Personen, Informationen über die Verarbeitung ihrer personenbezogenen Daten zu erhalten. In der Praxis hat sich dabei eine interessante Frage ergeben: Kann dieses Auskunftsrecht missbraucht werden, um Informationen zu erhalten, die zwar legitime Zwecke verfolgen, aber nicht unmittelbar mit dem Datenschutz zu tun haben? Zum Beispiel könnten Personen Auskunft über ihre Daten verlangen, um unrechtmäßig erhobene Bankgebühren oder zu Unrecht gezahlte Versicherungsprämien zurückzufordern. Diese Frage des sogenannten “Rechtsmissbrauchs” in Bezug auf Auskunftsansprüche beschäftigt die Rechtsprechung und hat in jüngster Zeit zu verschiedenen Urteilen geführt.

Die Vorlage des BGH an den EuGH

Der Bundesgerichtshof hat diese Frage in einem Beschluss vom 29. März 2022 dem EuGH zur Vorabentscheidung vorgelegt (BGH, EuGH-Vorlage vom 29. März 2022 – VI ZR 1352/20 –). Der BGH äußerte auch Zweifel, ob in solchen Fällen tatsächlich ein Rechtsmissbrauch vorliegt, da der Wortlaut von Art, 15 der DSGVO keine solche Beschränkung vorsieht.

In einem aktuellen Urteil hat sich auch das Oberlandesgericht Hamm (Urteil vom 03.05.2023, Az. 20 U 146/22) mit der Frage des Rechtsmissbrauchs im Zusammenhang mit Auskunftsansprüchen nach Art. 15 DS-GVO befasst. Der Fall drehte sich um Prämienanpassungen in einer privaten Krankenversicherung. Das Gericht kam zu dem Schluss, dass der geltend gemachte Auskunftsanspruch nicht aus Art. 15 Abs. 1 DS-GVO abgeleitet werden kann. Das Gericht erkannte zwar an, dass einige der angeforderten Informationen personenbezogene Daten im Sinne von Art. 4 Abs. 1 DS-GVO darstellen. Dennoch stand der Beklagten nach Art. 12 Abs. 5 S.2 lit. b DSGVO ein Weigerungsrecht zu. Obwohl die Vorschrift häufige Wiederholungen als Beispiel für “exzessive” Anträge nennt, betonte das Gericht, dass sie auch andere rechtsmissbräuchliche Anträge abdecken soll.

Schutzzweck des DSGVO

Bei der Beurteilung, was als rechtsmissbräuchlich anzusehen ist, ist der Schutzzweck der DSGVO zu berücksichtigen. Der Sinn und Zweck des Auskunftsrechts nach Art. 15 DSGVO besteht darin, betroffenen Personen die Möglichkeit zu geben, sich bewusst zu werden, wie ihre personenbezogenen Daten verarbeitet werden, und die Rechtmäßigkeit dieser Verarbeitung zu überprüfen. In diesem Fall verfolgte der Kläger jedoch nicht dieses datenschutzrechtliche Interesse. Vielmehr diente seine Auskunftsanfrage ausschließlich der Überprüfung von möglichen formellen Mängeln in Bezug auf Prämienanpassungen. Ein solcher Zweck entspricht nicht dem Schutzzweck der DSGVO.

Fazit

Es bleibt abzuwarten, wie der Europäische Gerichtshof auf die Vorlage des BGH reagieren wird und ob weitere Klarstellungen zu diesem Thema erwartet werden können. Bis dahin sollten Unternehmen und Betroffene gleichermaßen die Entwicklungen aufmerksam verfolgen und sich bewusst sein, dass das Auskunftsrecht nach der DSGVO nicht grenzenlos ist, sondern bestimmten Schutzzwecken dient.

Datenschutz-Folgenabschätzung bei Einführung einer internen Meldestelle

28. August 2023

Mit der Inkraftsetzung des Hinweisgeberschutzgesetzes am 2. Juli 2023 wurde eine neue rechtliche Landschaft für betroffene Unternehmen, öffentliche und kirchliche Stellen geschaffen. Im Zentrum dieser Entwicklung steht die Verpflichtung zur Etablierung interner Meldestellen. Dieser Beitrag beleuchtet die datenschutzrechtlichen Implikationen dieser Verpflichtung und erörtert die Notwendigkeit einer Datenschutz-Folgenabschätzung gemäß DSGVO.

Datenschutzrechtliche Herausforderungen

Die Einrichtung einer internen Meldestelle, durch die potenziell personenbezogene Daten von Hinweisgebern über vermeintlich strafbares Verhalten von Beschuldigten gemeldet werden können, wirft datenschutzrechtliche Fragen auf. Besonders dann, wenn die Meldungen nicht anonym erfolgen, kann dies zur Verarbeitung sensibler personenbezogener Daten führen. Hierdurch wird der Anwendungsbereich der DSGVO eröffnet, was die Verantwortlichen dazu verpflichtet, die Datenschutzrechte und -pflichten entsprechend zu beachten.

Datenschutz-Folgenabschätzung nach Art. 35 DSGVO

Die zentrale Frage, die sich hier stellt, ist, ob vor Einführung einer internen Meldestelle eine Datenschutz-Folgenabschätzung gemäß Art. 35 Abs. 1 DSGVO durchzuführen ist. Diese Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung entsteht, wenn die Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt.

Schwellenwertanalyse und Anwendungsfälle

Um diese Frage zu beantworten, wird eine Schwellenwertanalyse durchgeführt, um festzustellen, ob die genannten Voraussetzungen erfüllt sind. Zunächst sind die Regelbeispiele in der von Aufsichtsbehörden festgelegten “Muss-Liste” nicht relevant. Weiterhin sind die Anwendungsfälle des Art. 35 Abs. 3 DSGVO nicht einschlägig. Insbesondere der Abs. 3 lit. b DSGVO, der eine Datenschutz-Folgenabschätzung bei umfangreicher Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten vorschreibt, trifft hier nicht zu.

In Bezug auf den vorliegenden Fall wird deutlich, dass keine “umfangreiche” Verarbeitung sensibler Daten vorliegt. Die Meldungen betreffen Einzelpersonen oder kleine Personengruppen, was gemäß Erwägungsgrund 75 der DSGVO keine umfangreiche Verarbeitung darstellt.

Europäischer Datenschutzausschuss und hohe Risiken

Die Durchführungspflicht einer Datenschutz-Folgenabschätzung kann jedoch auf das Vorliegen der Kriterien des Arbeitspapiers 248 des Europäischen Datenschutzausschusses gestützt werden. Diese Kriterien sind in nahezu allen internen Meldesystemen erfüllt und deuten insgesamt auf ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen gemäß Art. 35 Abs. 1 DSGVO hin. Dabei wird betont, dass aufgrund des erhöhten Risikos für die Betroffenen bei der Meldung von Missständen eine Datenschutz-Folgenabschätzung erforderlich ist.

Fazit

Angesichts der potenziell sensiblen Natur der gemeldeten Verstöße und der möglichen schwerwiegenden Konsequenzen für die Beschuldigten, inklusive strafrechtlicher Relevanz, erscheint die Durchführung einer Datenschutz-Folgenabschätzung unausweichlich. Die Notwendigkeit ergibt sich aus den anwendbaren Vorschriften der DSGVO und den Empfehlungen des Europäischen Datenschutzausschusses, insbesondere unter Berücksichtigung der Orientierungshilfe der DSK. Unternehmen und Organisationen sollten daher bei der Einführung einer internen Meldestelle sorgfältig die datenschutzrechtlichen Aspekte prüfen und eine Datenschutz-Folgenabschätzung durchführen, um die Rechte und Freiheiten der betroffenen Personen angemessen zu schützen.

Wie gegen illegale Müllablagerung vorgehen?

17. August 2023

Nach der Ansicht des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) nicht mittels Videoüberwachung.  Zu diesem Ergebnis kam der LfDI RLP im Rahmen einer Pressemitteilung, die der Datenschützer vergangene Woche auf der offiziellen Homepage der Behörde veröffentlichte.

Klarstellung von Zeitungsberichten

Anlass zu dieser Pressemitteilung gab ein Zeitungsbericht der Allgemeinen Zeitung Mainz. Unter der Überschrift „Waldalgesheim überwacht Bürger beim Müllentsorgen“ (nicht mehr aufrufbar) berichtete die Zeitung darüber, dass die Gemeinde der Stadt Waldalgesheim Kameras an zwei Glascontainern anbrachte. Ziel der Gemeinde sei es gewesen die illegale Müllentsorgung an den Glascontainern zu unterbinden und Personen, die ihren Müll dort entsorgt hätte, identifizieren zu können. Außerdem habe die Gemeinde herausfinden wollen, durch welche Personen der Bereich um die Container beschädigt und verunreinigt worden wäre.

Aus Sicht des LfDI RLP könne der Eindruck entstehen, dass die Landesdatenschutzbehörde den Einsatz der Videokameras genehmigt hätte. Dies sei gerade nicht der Fall. Die Datenschutzbehörde eröffnete gegen die Gemeinde nun ein förmliches Verfahren, um mögliche Datenschutzverstöße zu untersuchen. Der Datenschutzbeauftragte des Landes Rheinland-Pfalz stellte ferner klar, dass die Videoüberwachung von Glascontainern und anderen Müllablagerungsstätten durch Kommunen grundsätzlich nicht zulässig sei.

Wichtige Orientierungshilfen

Außerdem äußerte sich der Datenschutzbeauftragte auch klarstellend zur, im Zeitungsartikel zitierten „Orientierungshilfe für die Videoüberwachung in Kommunen“. Demnach sei die Datenschutzkonformität der Videoüberwachung immer eine Einzelfallentscheidung.

Für Nicht-Öffentliche Stellen hatte die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) 2020 eine Orientierungshilfe zur Videoüberwachung veröffentlicht. In dieser behandelte die DSK alle für eine Rechtmäßigkeit der Videoüberwachung einzuhaltenden Voraussetzungen. Dabei ist zu beachten, dass aus Sicht der DSK die Videoüberwachung regelmäßig ausschließlich auf der Grundlage eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO erfolgen könne. Wolle ein Verantwortlicher beispielsweise ein Gebäude überwachen, müsse er Tatsachen nachweisen können, aus denen sich eine konkrete Gefahrenlage ergeben würden. Dann könne die Kameraüberwachung ein adäquates Mittel zur Prävention und Repression vor dem Eintritt eines Schadens am Gebäude sein. Außerdem müsse jeder Verantwortliche im Rahmen der Kameraüberwachung die nach Art. 12 ff. DSGVO  bestehenden Informationspflichten beachten. Hierfür könne man ein Hinweisschild verwenden, welches aber nicht alle nach Art. 13 DSGVO erforderlichen Informationen beinhalten müsse. Stattdessen könnten auf einem Informationsblatt die vollständigen Informationen bereitgestellt werden.

Der Blick in die Orientierungshilfe kann sich lohnen, um die Kameraüberwachung, wenn sie notwendig ist, rechtssicher zu gestalten und um alle Anforderungen an die Datenschutzkonformität einzuhalten.

1 4 5 6 7 8 206