Kategorie: Aufsichtsbehördliche Maßnahmen

Landgericht erklärt Facebook-Like-Button für unzulässig

9. März 2016

Über das Verfahren vor dem Landgericht Düsseldorf, das über die Zulässigkeit eines Facebook-Like-Buttons entscheiden muss(te), hatten wir bereits berichtet. Es ging um die Klage der Verbraucherzentrale NRW gegen den Bekleidungshändler Peek&Cloppenburg wegen der Einbindung des Facebook-Like-Buttons auf der Website des Unternehmens.

Der Like-Button, ein social Plug-In, leitet bei seiner Einbindung in eine Website Daten über das Surfverhalten des Besuchers  schon beim schlichten Aufrufen der Website unmittelbar an Facebook weiter, ohne dass der Besucher dies beeinflussen oder gar verhindern kann.

Wie ZEIT Online , die Süddeutsche Zeitung und die Verbraucherzentrale berichten, hat das Landgericht Düsseldorf nun der Verbraucherzentrale weitgehend Recht gegeben. Es erklärte am heutigen Mittwoch, dass Unternehmen die Besucher ihrer Websites über die Weitergabe der Daten aufklären müssen. Die Integration des Like-Buttons verletze Datenschutzvorschriften, weil dadurch unter anderem die IP-Adresse des Nutzers ohne ausdrückliche Zustimmung an Facebook weitergeleitet werde, so das Gericht.

Auf der Webseite “Fashion ID” von Peek&Cloppenburg, die Anlass der Klage war, findet sich inzwischen die sog. Zwei-Klick-Lösung, bei der der Besucher das social Plug-In explizit aktivieren muss und dabei in die Datenübertragung an Facebook einwilligt. Zur datenschutzrechtlichen Zulässigkeit dieser Zwei-Klick-Lösung hat das Landgericht nach bisherigem Erkenntnisstand keine Stellung bezogen. Das Urteil ist (noch) nicht rechtskräftig.

Unternehmen sollten das Urteil des Landgerichts zum Anlass nehmen und ihre Websites auf social Plug-Ins und deren Einbindung überprüfen.

 

EuGH beschäftigt sich mit Facebook-Fanpage

26. Februar 2016

Nachdem wir vor kurzem in diesem Blog berichtet haben, dass das Bundesverwaltungsgericht am 25.02.2016 ein Urteil bzgl. sog. Fanpages bei Facebook fällen wird, wollen wir nun natürlich berichten wie es weiter geht.

Aber zunächst kurz zur Erinnerung der Hintergrund: Das Unabhängige Landeszentrum für Datenschutz (ULD) hatte im November 2011 gegenüber der Wirtschaftsakademie Schleswig-Holstein GmbH die Deaktivierung deren Fanpage auf Facebook angeordnet. Nach Auffassung des ULD verletze der Betrieb der Facebook-Fanpage europäisches und nationales Datenschutzrecht.

Der Rechtsstreit zwischen dem ULD und der Wirtschaftsakademie beschäftigte seit 2011 das Schleswig-Holsteinische Verwaltungsgericht (09.10.2013) und das Schleswig-Holsteinische Oberverwaltungsgericht (04.09.2014). Im Wesentlichen geht es um die Frage der Verantwortlichkeit von Unternehmen für die Datenverarbeitung auf von ihnen betriebenen Facebook-Fanpages.

Die Frage ist deshalb so spannend, weil die Antwort weitreichende Konsequenzen haben kann. Wenn ein Unternehmen als verantwortliche Stelle für die Datenverarbeitung auf seiner Fanpage bei Facebook gilt, steht es vor der interessanten Frage, wie es diese Verantwortlichkeit innerhalb der Facebook-Umgebung, auf deren technische Ausgestaltung es faktisch keinen Einfluss hat, ausüben soll. In letzter Konsequenz müsste das Unternehmen seine Fanpage bei Facebook deaktivieren – oder Facebook seine technische und organisatorische Struktur ändern.

Das Bundesverwaltungsgericht hat nun gestern (25.02.2016) kein Urteil gesprochen, sondern die wesentlichen Fragen dem EuGH zum Vorabentscheid vorgelegt. Bis zu deren Beantwortung wird das Revisionsverfahren ausgesetzt.

Marit Hansen, die Leiterin des ULD, bedauert einerseits, dass nun immer noch keine Entscheidung vorliegt, freut sich aber gleichzeitig darüber, “dass das Bundesverwaltungsgericht in der Verhandlung die Wirksamkeit der Grundrechte auch in komplexen Verarbeitungszusammenhängen im Internet betont hat“.

Für die Unternehmen bedeutet die Vorlage der Fragen an den EuGH, dass nun noch einige Zeit vergehen wird, bis über die Verantwortklichkeit der Datenverarbeitung bei Facebook-Fanpages endgültig entschieden wird.

Gleichzeitig zeigt sich auch hier wieder, dass beim Thema Datenschutz auf europäischer und nationaler Ebene momentan sehr viel Bewegung herrscht und jedes Unternehmen gut beraten ist, einen Schwerpunkt auf Datenschutz (und dessen praktische Umsetzung) in der Unternehmensstrategie zu setzen.

 

 

Datenschtz als Verbraucherschutz – Änderung des UKlaG (oder: warum man sich von langen Gesetzesnamen nicht abschrecken lassen sollte)

25. Februar 2016

Schon seit einiger Zeit kursieren Meldungen, dass das Unterlassungsklagegesetz (UKlaG) geändert wird, auch wir haben darüber berichtet. Warum das uns als Datenschützer interessiert? Weil mit dieser recht unscheinbar wirkenden Änderung, die vor allem Verbraucherschutzverbände betrifft, ein weiterer Schritt zur Stärkung des Datenschutzes getan wird.

Hier nun kurz die Hintergründe: Am 29.01.2016 hat der Bundesrat beschlossen, “zu dem vom Deutschen Bundestag am 17. Dezember 2015 verabschiedeten Gesetz einen Antrag gemäß Artikel 77 Absatz 2 des Grundgesetzes nicht zu stellen”. Das wiederum heißt, dass das “Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts” ohne weiteren Zwischenschritt vom Bundespräsidenten ausgefertigt und im Bundesgesetzblatt verkündet werden kann. Die Ausfertigung geschah letzte Woche, die Verkündung im Bundesgesetzblatt vorgestern (23.02.2016).

Was sehr lang und umständlich klingt, heißt übersetzt folgendes: Seit gestern (24.02.2016) können auch Verbraucherschutzverbände Datenschutzverstöße abmahnen und gerichtlich gegen sie vorgehen.

Dass Datenschutz auch dem Verbraucherschutz dient, schien manch einem zwar logisch und richtig, war aber keineswegs klar geregelt sondern vielfach umstritten. Das seit gestern geltende Gesetz regelt (unter anderem) Änderungen im UKlaG, sodass auch verbraucherschützenden Verbänden Klagebefugnis zukommt. Nach dem nunmehr neuen § 2 Abs. 2 Nr. 11 UKlaG können unter anderem solche Datenschutzverstöße abgemahnt und gerichtlich verfolgt werden, die Datensammlungen zu Werbezwecken, für das Erstellens von Persönlichkeits- und Nutzungsprofilen, den sonstigen Datenhandel oder zu vergleichbaren kommerziellen Zwecken betreffen.

Dies dürfte vor allem die Verbraucherzentrale Bundesverband und die Wettbewerbszentrale freuen, die beide als sog. qualifizierte Einrichtungen gelten und damit klagebefugt sind (um eine Abmahnwelle zu vermeiden, ist nämlich nicht jeder ohne Weiteres klagebefugt). Die Wichtigkeit von Datenschutz wird damit einmal mehr betont.

Für Unternehmen ist diese Neuerung ein weiterer Anreiz, sich (noch) stärker mit dem Datenschutz zu befassen. Neben den Bewegungen im internationalen Datenverkehr nach der “Safe-Harbour”-Rechtsprechung des EuGH und dem künftigen“Privacy Shield” sowie der 2018 in Kraft tretenden EU-Datenschutzgrundverordnung ist durch die Änderung des UKlaG ein weiterer Grund hinzugekommen, das Thema Datenschutz in der Unternehmensstrategie als Priorität zu behandeln.

 

Zwei Männer, ein Thema, zwei Welten

24. Februar 2016

Es ist ein Zufall, wie er manchmal in der Berichterstattung vorkommt, und er verdeutlicht, wie unterschiedlich die Welten und Ansichten sind wenn es um das Thema Datenschutz geht.

Innerhalb von 5 Stunden veröffentlichte heise online gestern erst die Nachricht über das “düstere Fazit” des Datenschutzbeauftragten von Sachsen-Anhalt, Harald von Bose, und anschließend die Forderung des Kanzleramtsministers Peter Altmaier (CDU), die Grenzen der Datensparsamkeit zu erkennen und das Konzept der informationellen Selbstbestimmung neu zu denken.

Beide Männer haben somit dasselbe Thema, nämlich Datenschutz, aber die Ansichten und Forderungen könnten unterschiedlicher nicht sein.

Während Peter Altmaier die (in solchen Fällen gerne genannte) Terror-Bedrohung als Allzweck-Argument für die massenhafte Erhebung, Verarbeitung und Speicherung von Meta- wie auch persönlichen Daten (und deren Verknüpfung untereinander) heranzieht, sieht Harald von Bose in genau jenem Argument lediglich einen Vorwand, der vor allem dazu diene, den Sicherheitsbehörden (noch) mehr Befugnisse zu geben.

In seinem Tätigkeitsbericht sieht der sachsen-anhaltische Datenschutzbeauftragte Widersprüche zwischen Anspruch und Wirklichkeit. Zwar habe der Europäische Gerichtshof in seinen Entscheidungen zum “Recht auf Vergessen” und zum Verhältnis von EU und USA als nicht sicherem Datenhafen die Grundrechte gestärkt. Umsetzungen in der Praxis ließen aber vielfach auf sich warten. Stattdessen würden die Menschen immer gläserner, ob als Bürger, als Verbraucher, als Kunde, im Verhältnis zum Staat, zu Unternehmen und zu anderen Menschen, auch als Autofahrer, als Patient, zu Hause, am Arbeitsplatz oder in der Öffentlichkeit. Algorithmen erfassen und steuern zunehmend das Verhalten bis hinein in die Gedankenfreiheit, so Harald von Bose in seiner Pressemitteilung vom 23.02.2016.

Im Verhältnis von Freiheit und Sicherheit sieht er den Staat eindeutig auf der Seite der (vermeintlichen) Sicherheit und in der Übermacht. Das, was Harald von Bose also als Gefährdung der Privatsphäre und damit der freien Gesellschaft insgesamt sieht, stellt für Peter Altmaier den aus seiner Sicht wohl wünschenswerten Anfang des Endes der Datensparsamkeit dar. Nach seinen Forderungen sollten sämtliche Daten von sämtlichen Stellen den Sicherheitsbehörden zur Verfügung gestellt und das Konzept der informationellen Selbstbestimmung neu gedacht werden. Man darf davon ausgehen, dass ein solches “neu denken” des Konzepts der informationellen Selbstbestimmung wohl kaum zu mehr Datenschutz für die Bürger führen würde.

Die beiden konträren Ansichten zweier Männer über ein Thema an einem Tag zeigen Fragen auf, die sich Viele stellen:

In welcher digitalen Welt wollen wir leben? Können und wollen wir die digitale Zukunft (und Gegenwart) mitbestimmen? Es sind auch grundsätzliche und persönliche Fragen, die manchen vielleicht an die ein oder andere Schulstunde erinnern: War ich Fan oder Gegner von George Orwells “1984” und Aldous Huxleys “Brave New World”?

Hier geht es um Fragen, die in Form von verschiedenen Themen immer wieder in den Nachrichten oder Foren auftauchen. So z.B. die Übertragung von Gesundheitsdaten an Krankenkassen durch sog. Wearables, die Übertragung des Fahrverhaltens an Autohersteller oder auch die Einschränkung von Suchergebnissen in Internetsuchmaschinen.

Es sind Fragen und Entscheidungen, die möglichst frei und informiert beantwortet und getroffen werden sollten. Sowohl von Jedem einzelnen als auch der Gesellschaft als Ganzem.

 

Fanpages auf Facebook bald vor dem Aus?

11. Februar 2016

Viele Unternehmen nutzen Facebook um sich dort den Facebooknutzern zu präsentieren, neue Kunden zu gewinnen, bestehende Kunden zu binden, Umfragen zu starten und generell im sozialen Netzwerk präsent zu sein. Diese sogenannten Fanpages von Unternehmen stehen seit einiger Zeit in der Kritik des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (i.F.: ULD).

Nun findet noch diesen Monat die Verhandlung über die Zulässigkeit solcher Fanpages vor dem Bundesverwaltungsgericht statt.

Der Hintergrund stellt sich wie folgt dar:

Im November 2011 hat das ULD gegenüber einer GmbH aus Schleswig-Holstein die Deaktivierung der Fanpage der GmbH angeordnet. Gegen diese Anordnung hat die GmbH Klage vor dem Verwaltungsgericht Schleswig erhoben. Im Wesentlichen ging es um die Frage, ob die GmbH als verantwortliche Stelle i.S.d. § 3 VII BDSG zu sehen ist.

Das Verwaltungsgericht Schleswig hat diese Frage verneint und die Anordnung des ULD in der Fassung des Widerspruchsbescheides aufgehoben.
Auch das Oberverwaltungsgericht Schleswig als Berufungsinstanz hat festgestellt, dass die GmbH weder einen rechtlichen noch tatsächlichen Einfluss auf die Datenverarbeitung durch facebook.com innerhalb der Umgebung von facebook.com hat und somit keine verantwortliche Stelle i.S.v. § 3 VII BDSG ist.
Wegen der grundsätzlichen Bedeutung der Sachfrage hat das Oberverwaltungsgericht jedoch die Revision beim Bundesverwaltungsgericht zugelassen.

Die Gerichtsverhandlung findet am 25.02.2016 statt und wird mit Spannung erwartet.

 

Datenschutzkonforme Vernichtung von Akten und der Karneval

Das vergangene Wochenende stand nahezu deutschlandweit ganz im Zeichen des Karnevals. Ob Fasching, Fastnacht oder der Fastelovend, die Republik feierte, verkleidete sich und traf sich zu unzähligen kleinen und großen Umzügen. Einer dieser beschäftigt nun den Landesdatenschutzbeauftragten des Landes Thüringen Lutz Hasse. Eine Anwohnerin in Dermbach (Wartburgkreis) hatte beim Zusammenfegen des Konfettis nach dem dortigen Umzug festgestellt, dass es sich dabei um zerschredderte Patientenakten aus dem Klinikum Bad Salzungen handelte. Sie schaltete die Aufsichtbehörde ein die feststellte, dass es sich tatsächlich um unsachgemäß geschredderte Akten samt Namen, Adressen und Telefonnummern handelte. Das betroffene Klinikum zeigte sich kooperativ in der Aufklärung und erklärte, dass es sich offensichtlich um geschreddertes Material aus dem der Klinik angeschlossenem Versorgungszentrum in Kaltennordheim handele, welches nicht bis auf die vorgeschriebene Endgröße zerkleinert und aus den Praxisräumen entfernt worden sei. «Die Vermutung liegt nahe, dass dieses von dort den Weg auf die Dermbacher Straßen fand», heißt es in der Erklärung.

Zur datenschutzkonformen Vernichtung personenenbezogener Daten im geschäftlichen Bereich ist ein Schredder der DIN 66399 mit mindestens der Stufe 3 notwendig. Alternativ kann ein zertifziertes Entsorgungsunternehmen zur Vernichtung herangezogen werden. Doch auch dann raten Datenschützer von der Verwendung als Konfetti ab.

CNIL: Formelle Rüge für Facebook

9. Februar 2016

Die französische Commission National de l´informatique et des libertés (CNIL) hat Facebook Medienberichten zufolge insbesondere wegen Datenübermittlungen in die USA auf Grundlage von Safe Harbor formal gerügt. Damit ist sie die erste europäische Datenschutzaufsichtsbehörde, die in Sachen Safe Harbor rechtliche Schritte einleitet. Eine Übermittlung von personenbezogenen Daten der europäischen Nutzer auf Basis des Safe Harbor-Abkommens in die USA wird seit der Entscheidung des Europäischen Gerichtshofs als unzulässig angesehen. Die Rüge sei sowohl dem US-Mutterkonzern, als auch der europäischen Tochter Facebook Ireland Limited zugestellt worden. Facebook habe eine dreimonatige Frist erhalten, alle gerügten Umstände zu beseitigen. Sollte dies nicht geschehen, werde die französische Datenschutzbeauftragte Isabelle Falque-Pierrotin einen “Berichterstatter” beauftragen, der über Sanktionen gegenüber Facebook entscheiden soll.

Datenschutz beim Wintersport auf der Piste geblieben?

29. Januar 2016

Wer sich jetzt in der Winterzeit am Wochenende früh morgens von München auf den Weg zum Sudelfeld, einem der zahlreichen Münchener Hausberge, macht, kann sich vermutlich über zahlreiche Dinge den Kopf zerbrechen. Wird die Autobahn voll sein? Wird man einen Parkplatz finden? Passen die Kinder noch in die Skisachen vom letzten Jahr? Was (hoffentlich) bei den meisten Naturverliebten und Wintersportlern in diesem Zusammenhang kein Thema sein dürfte, ist der Schutz Ihrer personenbezogenen Daten.

Doch seit einigen Jahren hat in Europas Skigebieten, so auch am Sudelfeld, ein datenschutzrechtlich fragwürdiger Trend bei den Liftbetreibern Einzug gehalten. Um Liftkartenbetrug zu verhindern, entschließen sich immer mehr von diesen nämlich, massenhaft Fotos Ihrer Kunden zu machen und auszuwerten. Die durchaus nicht unbeliebte Methode, einen Skipass bei Nichtbenutzung zu übertragen, entspricht nämlich – nun ja –  nicht ganz den Beförderungsbedingungen der Betreiber. Naheliegend scheint es da, jeden Skifahrer einfach zu fotografieren und die Bilder zu vergleichen um dann Schwarzfahrer schnell identifizieren können. Insbesondere die österreichische Firma SkiData bietet das passende Werkzeug hierfür. Jedes Mal wenn das Drehkreuz am Lifteingang freigegeben wird, wird ein Foto des Skipass-Tragenden gemacht. Mitarbeiter des Liftbetreibers können dann prüfen, ob tatsächlich immer die gleiche Person zur Bergfahrt antritt. Diese Erfahrung musste auch eine deutsche Skifahrerin in der Schweiz machen, die vom Liftbetreiber beim „Kartentausch“ erwischt wurde. Sie hatte sich mit anderen Eltern beim Kinder-Beaufsichtigen abgewechselt und wollte dann selbst noch mit der Karte, die ein anderer gelöst hatte, ein paar Schwünge machen.

Aber wie ist diese Praxis aus rechtlicher Sicht zu bewerten? Eine gesetzliche Rechtfertigung gestützt auf die Vertragserfüllung wird sich kaum finden lassen. Für die Durchführung des Beförderungsvertrages ist diese Datenverarbeitung sicher nicht erforderlich. Für eine konkludente Einwilligung durch Benutzung des Liftes wäre aber erforderlich, dass hinreichend informiert wird. Ob dies immer im erforderlichen Maße umgesetzt wird, ist fraglich. Im betroffenen Skigebiet in der Schweiz war nicht einmal im „Kleingedruckten“ der AGB etwas hierzu zu finden.

Damit ist nicht gesagt, dass die Praxis unbedingt rechtswidrig sein muss. Insbesondere im Rahmen einer Interessenabwägung könnte sich hier eine Rechtfertigung ergeben. Von Seiten des bayerischen Landesamtes für Datenschutz bestehen jedenfalls keine Bedenken. Zu Bedenken ist, dass die Betreiber sehr wohl ein berechtigtes Interesse haben, Schwarzfahrer zu ermitteln und gegen diese vorzugehen. Zu beachten ist aber auch, dass die personenbezogenen aller Fahrgäste erhoben werden, obwohl sicherlich nur ein kleiner Teil von Ihnen ohne gültigen Skipass fährt. Dieser Bereich betrifft die Verhältnismäßigkeit und das Prinzip der Datensparsamkeit.

Bleibt also das Konstrukt, dass Skibegeisterte „freiwillig” den Schnappschüssen zustimmen. Insbesondere die Informationspflichten müssen dann aber eingehalten werden, um eine mutmaßliche Einwilligung der Betroffenen zu gewährleisten. Auch bedarf es eines durchdachten Löschkonzepts hinsichtlich der angefallenen Bilder.

Spätestens wenn, wie von SkiData geplant, die Auswertung nicht mehr durch Menschen, sondern durch automatische Gesichtserkennung, erfolgen soll, wird wohl das mediale Interesse an der Materie zunehmen. Momentan scheitern diese Versuche nämlich noch an der „Vermummung“ durch Helm und Schal der Skifahrer.

Einigung über Safe Harbor 2.0 bis Ende Januar nicht absehbar – Aufsichtsbehördliche Maßnahmen ab Februar?

21. Januar 2016

Mit dem Urteil vom 06. Oktober 2015 hat der EuGH das Safe Harbor Abkommen für ungültig erklärt. Die obersten Datenschutzbehörden (Artikel-29-Gruppe) haben daraufhin in ihrer Presseerklärung vom 16. Oktober 2016 den Unternehmen, die von der Entscheidung des EuGHs betroffen sind, eine Umsetzungsfrist bis Ende Januar 2016 eingeräumt, um Datenübermittlungen in Drittstaaten auf alternative Grundlagen zu stützen.

Gleichzeitig wurden die EU-Regierungen, die EU-Kommission sowie die US-Regierung aufgefordert, innerhalb dieser Frist ein neues Safe Harbor Abkommen zu verbschieden, das die vom EuGH ausgeurteilten Voraussetzungen erfüllt und als weitere Grundlage neben den Standardvertragsklauseln sowie den Binding Corporate Rules für den Datentransfer in die Vereinigten Staaten dienen kann.

Eine Einigung über ein neues Abkommen noch im Januar scheint nach derzeitigem Stand unwahrscheinlich.

Am 15. Januar 2016 habe die EU-Kommission die Mitgliedsstaaten darüber informiert, dass die Verhandlungen ins Stocken geraten seien. Teilnehmer der Sitzung hielten eine zeitnahe Einigung für “unrealistisch” und “unwahrscheinlich”, die Stimmung sei insgesamt pessimistisch.

Laut dem EU-Datenschutzbeauftragten Giovanni Buttarelli hätte eine Einigung im Januar allenfalls politische Bedeutung, ein rechstwirksames Abkommen mit Bindnungswirkung erfordere noch weitere Monate Verhandlung.

Am 2. Februar 2016 tritt die Artikel-29-Gruppe wieder zu einer Sitzung zusammen. Es ist zu erwarten, dass im Anschluss daran mitgeteilt wird, welche Maßnahmen die Aufsichtsbehörden gegen Unternehmen, die Daten auf Grundlage des für ungültig erklärten Safe Harbor Abkommens in die Vereinigten Staaten übermitteln, ergreifen werden.

Vor dem Hintergrund, dass der unzureichende Schutz vor einem Zugriff von US-Behörden auf Daten von EU-Bürgern wesentlicher Grund für die Ungültigerklärung des Safe Harbor Abkommens war, könnte ein aktueller Rechtsstreit zwischen der US-Regierung und Microsoft Bedeutung erlangen. Die US-Regierung begehrt hier Zugriff auf Daten, die sich auf einem Server von Microsoft in Irland befinden und zwar allein aufrund eines US-amerikanischen Gesetzes ohne Berücksichtigung andere Rechtsordnungen. Dass ein Einigungswille auf Seite der Vereinigten Staaten besteht, ein Abkommen zu schließen, dass die Daten von EU-Bürgern vor einem Zugriff schützt, scheint daher fraglich.

BfDI 2.0 – Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit wird oberste Bundesbehörde

7. Januar 2016

Seit dem 01.Januar 2016 ist die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) eine unabhängige oberste Bundesbehörde. Bislang stand die BfDI unter der Dienstaufsicht des Bundesministeriums des Inneren und unter der Rechtsaufsicht der Bundesregierung. Mit Beginn dieses Jahres entfällt die Verantwortlichkeit der BfDI gegenüber diesen Aufsichtsbehörden und die Bundesbeauftragte ist lediglich dem Parlament gegenüber rechenschaftspflichtig. Ihre Entscheidungen sind gerichtlich überprüfbar.
Bereits seit 1995 ist die Bundesrepublik gemäß europarechtlicher Vorgaben verpflichtet, eine unabhängige Datenschutzkontrolle auf Bundesebene einzurichten. Hierzu gehört auch, dass nicht einmal der Anschein einer Abhängigkeit der BfDI bestehen darf. Dieses Ziel soll durch die beschriebene Umgestaltung erreicht werden.
Wie die BfDI in einer Pressemitteilung bekannt gibt, beabsichtigt der Gesetzgeber mit der Neugestaltung der Behördenstruktur ein weiteres Signal in Sachen Datenschutz zu senden – nämlich, dass „eine starke, unabhängig agierende Aufsichtsbehörde ein wichtiges Anliegen ist“. Auch durch personelle Aufstockungen soll die BfDI zukünftig besser aufgestellt sein.
Zu den Tätigkeitsschwerpunkten der BfDI gehört nach eigenen Angaben vor allem die Anpassung des nationalen Datenschutzrechts an die voraussichtlich ab 2018 geltende Europäische Datenschutz-Grundverordnung (DSGVO). Die DSGVO enthält teilweise Öffnungsklauseln, deren Ausgestaltung den Mitgliedsstaaten obliegt. Beispielhaft sei hier der Themenbereich des Arbeitnehmerdatenschutzes genannt.
Ferner wird die neue Gestaltung des Datentransfers in Drittstaaten auf der Agenda der BfDI stehen. Seitdem der EuGH im Oktober 2015 den Datentransfer in die USA auf Grundlage des Safe-Harbor-Abkommens für unzulässig erklärt hat, besteht auch in dieser Angelegenheit noch Regelungsbedarf für die BfDI.
Welche Auswirkung die Umgestaltung der BfDI auf die Praxis haben und wie die BfDI ihre Vorhaben umsetzt, bleibt abzuwarten.

1 21 22 23 24 25 31