Kategorie: Aufsichtsbehördliche Maßnahmen

Zeitpunkt der Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten

19. Dezember 2018

Aus Art. 30 Abs. 1 DSGVO folgt für den Verantwortlichen von Datenverarbeitungsprozessen die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten. Welche Mindestangaben ein solches Verzeichnis enthalten muss, lässt sich aus Art. 30 Abs. 1 S. 2 DSGVO entnehmen. Ein eindeutiger Zeitpunkt, zu dem ein solches Verzeichnis vollständig vorliegen muss, lässt sich dem Wortlaut von Art. 30 DSGVO hingegen nicht direkt entnehmen.

Mögliche Zeitpunkte für das Erfordernis des Vorliegens einer vollständigen Dokumentation im Sinne von Art. 30 DSGVO können dabei vor dem Beginn der Verarbeitungstätigkeit oder danach liegen.

Für die Notwendigkeit der Durchführung einer (vollständigen) Dokumentation im Sinne von Art. 30 DSGVO vor Beginn der eigentlichen Verarbeitungstätigkeit lassen sich die systematische Stellung der Norm und teleologische Überlegungen anführen. Systematisch befindet sich Art. 30 DSGVO im ersten Abschnitt des vierten Kapitels der DSGVO. Innerhalb dieses Abschnitts werden die allgemeinen Pflichten des Verantwortlichen und des Auftragsverarbeiters geregelt. Über die allgemeine Pflicht zur Dokumentation mittels eines Verzeichnisses im Sinne von Art. 30 DSGVO soll der Verantwortliche sicherstellen, dass die Grundsätze einer rechtmäßigen Datenverarbeitung gewahrt sind. Demnach ist Art. 30 DSGVO von seinem Sinn und Zweck her im Zusammenhang mit Art. 5 DSGVO zu sehen, der die allgemeinen Grundsätze einer rechtmäßigen Datenverarbeitung statuiert. In Art. 5 Abs. 1 lit. a DSGVO wird der Grundsatz der Rechtmäßigkeit festgelegt. Art. 5 Abs. 1 lit. b DSGVO kodifiziert den Zweckbindungsgrundsatz und Art. 5 Abs. 1 lit. c DSGVO den Grundsatz der Datenminimierung. Zur Wahrung der Zweckbindung und zur Beachtung des Grundsatzes der Datenminimierung ist es erforderlich, dass der Verantwortliche schon vor Beginn der Verarbeitungstätigkeit diese Grundsätze mit in seine Planungen einbezieht und die Einhaltung sicherstellt. Aufgrund der zu nennenden Angaben kann das Erstellen eines vollständigen Verzeichnisses im Sinne von Art. 30 DSGVO den Verantwortlichen dabei unterstützen, schon im Vorfeld einer geplanten Verarbeitungstätigkeit sicherzustellen, dass diese rechtmäßig ist. Würde dem Verantwortlichen hingegen erst bei einer Dokumentation unmittelbar nach Inbetriebnahme einer neuen Verarbeitung bewusst, dass beispielsweise die verarbeiteten Daten zur Zweckerreichung nicht erforderlich sind, so wären die bis zu diesem Zeitpunkt durchgeführten Verarbeitungen regelmäßig als nicht rechtmäßig anzusehen.

Grundsätzlich bleibt jedoch anzumerken, dass die Wahrung der Rechtmäßigkeit einer Verarbeitungstätigkeit auch durch andere Vorfeldmaßnahmen als die Dokumentation mittels eines Verzeichnisses nach Art. 30 DSGVO gewahrt werden kann (bspw. durch die Durchführung einer Datenschutz-Folgenabschätzung oder auch durch lediglich allgemeine Erwägungen zur Zweckgebundenheit und Datenminimierung), sodass sich letztlich aus systematischen und teleologischen Erwägungen heraus keine unmittelbare Pflicht zur Durchführung einer Dokumentation im Sinne von Art. 30 DSGVO bereits vor Beginn der Verarbeitungstätigkeit ableiten lässt.

Für die Notwendigkeit zur Durchführung einer (vollständigen) Dokumentation gem. Art. 30 DSGVO erst nach Beginn der Verarbeitungstätigkeit könnte der Sinn und Zweck der Norm herangezogen werden. Zum einen soll dem Verantwortlichen durch ein Verzeichnis nach Art. 30 DSGVO die Struktur und der Umfang der Datenverarbeitung vor Augen geführt und so die Rechtmäßigkeit der Verarbeitung sichergestellt werden. Zum anderen liegt der Zweck der Verzeichnisse nach Art. 30 DSGVO aber auch darin, dass die zuständigen Aufsichtsbehörden mit Hilfe dieser Verzeichnisse erste Anhaltspunkte für die Überprüfung der Rechtmäßigkeit der jeweiligen Datenverarbeitung erhalten. Demnach kann der Verantwortliche mit Hilfe der vollständigen Verzeichnisse gegenüber der zuständigen Aufsichtsbehörde seine sich aus Art. 5 Abs. 2 DSGVO ergebende Rechenschaftspflicht erfüllen und die Rechtmäßigkeit der Verarbeitung nachweisen und dokumentieren. Dokumentationen oder Kontrollen durch Aufsichtsbehörden von Verarbeitungen oder Verfahren erfolgen jedoch üblicherweise erst, nachdem diese Verfahren oder Verarbeitungen in Betrieb genommen wurden. Demnach wäre es notwendig, aber wohl auch ausreichend, dass man die Rechtmäßigkeit der Verarbeitung durch die vollständige Dokumentation mittels eines Verzeichnisses im Sinne von Art. 30 DSGVO unmittelbar nach Inbetriebnahme der Verarbeitungstätigkeit nachweisen kann.

Zusammenfassend lässt sich somit festhalten, dass sich unmittelbar aus Art. 30 DSGVO selbst keine explizite Aussage zum Zeitpunkt der Durchführung der Dokumentation mittels eines entsprechenden Verzeichnisses entnehmen lässt. Aus dem Sinn und Zweck der Norm und im Zusammenhang mit der sich aus Art. 5 Abs. 2 DSGVO ergebenden Rechenschaftspflicht ergibt sich jedoch, dass ein Verzeichnis nach Art. 30 DSGVO jedenfalls unmittelbar nach Beginn der Verarbeitungstätigkeit vorliegen muss. Da jedoch schon vor Beginn einer neuen Verarbeitungstätigkeit durch den Verantwortlichen Überlegungen zur Rechtmäßigkeit der Verarbeitung vorzunehmen sind, empfiehlt es sich, insbesondere auch zur Wahrung eines ganzheitlichen Datenschutzkonzepts, schon vor Beginn einer neuen Verarbeitungstätigkeit eine Dokumentation mittels eines Verzeichnisses nach Art. 30 DSGVO durchzuführen. Weil sich die inhaltlichen Anforderungen an ein Verzeichnis nach Art. 30 DSGVO in weiten Teilen mit den im Vorfeld durchzuführenden Rechtmäßigkeitserwägungen überschneiden, ist dies insbesondere auch aus prozessökonomischen Erwägungen sinnvoll. Weiterhin lässt sich durch ein im Vorfeld der Verarbeitungstätigkeit erstelltes Verzeichnis nach Art. 30 DSGVO auch sicherstellen, dass ein bußgeldbewährter Verstoß gegen die Dokumentationspflicht vermieden wird. Eine Verletzung der sich aus Art. 30 DSGVO ergebenden Pflichten kann dabei nach Art. 83 Abs. 4 lit. a DSGVO mit einem Bußgeld von bis zu 10 Millionen Euro oder bei Unternehmen mit bis zu 2 % des Jahresumsatzes sanktioniert werden.

Facebook – 10 Millionen Euro Strafe in Italien

11. Dezember 2018

Facebook ist in Italien zu einer Datenschutzstrafe von zehn Millionen Euro verurteilt worden. Die Wettbewerbsbehörde AGCM störte sich an der Weitergabe von Nutzerdaten bei der Anmeldung mit einem Facebook-Account bei anderen Websites und Apps. Facebook wird eine aggressive Geschäftspraxis vorgeworfen, wenn Daten ohne ausdrückliche Zustimmung der Nutzer an andere Plattformen weitergegeben werden. Die vorgesehenen Abwahl-Möglichkeiten für die Funktion seien nicht ausreichend.

Zudem sei es irreführend, wenn vor der Kontoeröffnung darauf hingewiesen wird, dass die Nutzung kostenlos sei. Denn, dass Nutzerdaten für kommerzielle Zwecke gesammelt werden, sei für den Nutzer nicht klar ersichtlich. Daher sei zu befürchten, die Nutzer könnten sich anders entscheiden, wenn sie vorher – also vor der Kontoeröffnung – angemessen auf diese Aspekte hingewiesen worden wären.

Facebook selbst erklärte, man prüfe die Entscheidung und hoffe, die Bedenken der Behörde ausräumen zu können. Denn eine Teilung der Nutzerdaten mit anderen Apps oder Websites ohne eine vorherige Zustimmung würde nicht praktiziert.

Neuer Bundesdatenschutzbeauftragter (BfDI) gewählt

30. November 2018

Neuer Bundesdatenschutzbeauftragter ist Ulrich Kelber, der seit dem Jahr 2000 für die Partei SPD im Bundestag vertreten ist. Mit seiner Wahl, bei der er 444 Stimmen der Abgeordneten bekam, folgt er auf Andrea Voßhoff.

Der neue Leiter der höchsten deutschen Datenschutzbehörde war unter anderem als parlamentarischer Staatssekretär für Verbraucherschutz, Mietrecht und Digitales zuständig. Kelber bringt darüber hinaus einschlägige Berufserfahrung als IT-Experte mit sich.

Interessanter Nebenaspekt ist dabei der in den einschlägigen Fachforen bereits diskutierte Auswahlprozess des neuen Bundesbeauftragten für Datenschutz. In ihrem Art. 53 bestimmt die Datenschutz-Grundverordnung (DSGVO) eigentlich folgendes:
„Die Mitgliedstaaten sehen vor, dass jedes Mitglied ihrer Aufsichtsbehörden im Wege eines transparenten Verfahrens ernannt wird (…).“

Die Wahl Kelbers dagegen verlief, wie bislang üblich, auf Vorschlag der Bundesregierung. Entsprechend gab es keine Ausschreibung, die womöglich die von der DSGVO intendierte Transparenz gefördert hätte. Ob und welche Auswirkungen dies haben könnte, ist dabei unklar.
Über die fachliche und persönliche Qualifikation des IT-erfahrenen Kelber sei damit selbstverständlich keine Aussage getroffen.

Wunschzetteltradition auf dem Weihnachtsmarkt in Roth endet

19. November 2018

In der fränkischen Stadt Roth haben jahrelang über 4.000 Kinder ihre Wünsche an einen Christbaum gehängt. Nun soll mit dieser Tradition aus Datenschutzgründen gebrochen werden. Das Problem dabei ist, dass bisher Name und Adresse der Kinder auf dem Wunschzettel stand, damit dieser an den „Wunscherfüller“ weitergeleitet werden konnte. Hat sich beispielsweise ein Kind gewünscht, dass er mal Bürgermeister sein möchte, organisierte die Stadt einen Tag mit dem Bürgermeister von Roth.

Aufgrund der DSGVO müssten dafür nun Einwilligung von den Eltern eingeholt werden. Gemäß Art. 8 Abs. 1 Satz 2 DSGVO heißt es nämlich: „Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird.“

Dieser bürokratische Aufwand und die Gefahr vor Bußgeldern hielt die Stadt davon ab die Tradition weiterzuführen. Nach Angaben der Stadt wird jedoch nach einem anderen Weg gesucht die Wünsche und die „Wunscherfüller“ zusammen zu bringen. Die Wunschzettelaktion sei ein Herzstück der zahlreichen Aktionen auf dem Weihnachtsmarkt.

DSGVO-Umsetzung bei DAX-30-Unternehmen

7. November 2018

Die Consent-Management-Plattform Usercentrics hat einem Bericht des Presseportals zu Folge kürzlich die Webseiten von mehreren DAX-30-Konzernen analysiert um diese auf ihre Konformität mit den Anforderungen der DSGVO zu überprüfen. Dabei stellte sich heraus, dass die Webseiten aus datenschutzrechtlicher Sicht teilweise erhebliche Mängel aufweisen. Dies obwohl in der heutigen Zeit die Webseite eines Unternehmens als Aushängeschild und erste Visitenkarte des jeweiligen des jeweiligen Unternehmens gilt.

Mängel bestehen insbesondere hinsichtlich des Einsatzes von Cookies und anderen Webseiten-Ressourcen, die Informationen über das Internetverhalten des Nutzers erheben und für die Unternehmen zu betrieblichen Zwecken ausgewertet werden. Im Rahmen der Cookienutzung kommen wiederrum oftmals Dienstleister zum Einsatz, die aus datenschutzrechtlicher Sicht Dritte sind und Einblick in die Informationen – als sog. Auftragsverarbeiter – erhalten. Hier fehlt es oft an einer transparenten Information der Nutzer, die aufgrund der Informationspflichten der DSGVO auf den Umstand der Übermittlung hinzuweisen sind. Auch über die Möglichkeit des Nutzers, dem Einsatz der Cookies zu widersprechen wird, laut Analyse von Usercentrics, häufig nicht in hinreichender und transparenter Weise informiert.

Der Test habe aber auch einige positive Beispiele gezeigt. So haben fünf der analysierten Unternehmen auf ihrer Webseiten ein sog. Cookie-Consent-Management implementiert, im Rahmen dessen der Nutzer dem Einsatz der jeweiligen Cookies einzeln zustimmen oder widersprechen kann.

Die Analyse zeigt einmal mehr, dass auch fünf Monate nach Inkrafttreten der DSGVO hinsichtlich der Einhaltung der datenschutzrechtlichen Anforderungen noch bei vielen Unternehmen Nachbesserungspotential besteht, um etwaige Sanktionen wie Bußgelder oder andere aufsichtsbehördliche Maßnahmen sowie Ansprüche von Betroffenen zu vermeiden.

DSGVO Abmahnungen von Wettbewerbern-rechtmäßig?

6. November 2018

Immer noch umstritten ist die Frage, ob Verstöße gegen das Datenschutzrecht von Wettbewerbern abgemahnt werden können. Mittlerweile haben sich zwei Gerichte mit unterschiedlichen Ergebnissen damit auseinandergesetzt. Im Gegensatz zu den Richtern des Landgerichts Bochum bejahen die Richter am Landgericht Würzburg die Abmahnfähigkeit von Datenschutzrechtsverstößen.

Das Landgericht Würzburg entschied dies im Falle einer Rechtsanwältin, die mit ihrer Datenschutzerklärung auf ihrer Homepage nicht den gesetzlichen Anforderungen der DSGVO gerecht wurde. Eben dieser Verstoß führe weiterhin zu einem Wettbewerbsverstoß, der abmahnfähig sei.

Im Falle eines Online-Händlers, der seinen Informationspflichten auf seiner Website nicht nachgekommen war, hat das Landgericht Bochum entschieden, dass der Wettbewerber trotz des Verstoßes gegen Artikel 13 DSGVO keinen Anspruch auf Unterlassung habe. Begründet wurde dies damit, dass die DSGVO in den Artikeln 77 bis 84 eine die Ansprüche von Mitbewerbern ausschließende, abschließende Regelung enthalte. Ein Argument dafür sei, dass die DSGVO eine detaillierte Regelung des anspruchsberechtigten Personenkreises enthalte. Danach stehe nicht jedem Verband ein Recht zur Wahrnehmung der Rechte einer betroffenen Person zu, sondern nur bestimmten Einrichtungen, Organisationen und Vereinigungen ohne Gewinnerzielungsabsicht unter weiteren Voraussetzungen. Daraus sei zu schließen, dass der Unionsgesetzgeber wohl eine Erstreckung auf Mitbewerber des den Bestimmungen nicht eingehaltenen Wettbewerbers nicht zulassen wolle.

Empfindliches Bußgeld für Portugiesisches Krankenhaus

23. Oktober 2018

Die Portugiesische Datenschutzaufsichtsbehörde CNPD (Comissão Nacional de Protecção de Dados) hat kürzlich bekanntgegeben, dass das Krankenhaus Barreiro Montijo ein Bußgeld in Höhe von 400.000 Euro für Verstöße gegen die DSGVO zahlen soll. Damit ist in Europa erstmals eine hohe Geldstrafe aufgrund der neuen Bußgeldrahmen der DSGVO verhängt worden.

Wie die Portugiesische Zeitung Público berichtet, hat das Krankenhaus gegen die DSGVO verstoßen, indem es zugelassen hat, dass zu viele Nutzer in dem Patientenverwaltungssystem des Krankenhauses Zugriff auf Patientendaten gehabt haben, obwohl diese nur für die Ärzte hätten einsehbar sein dürfen. Zudem seien in dem Krankenhaussystem zu viele Profile mit den Zugriffsberechtigungen eines Arztes erstellt worden – von insgesamt 985 aktiven Benutzern ist hier die Rede – obwohl 2018 nur 296 Ärzte angestellt waren.

Das Krankenhaus will nun gerichtlich gegen die Geldstrafe vorgehen.

Videoüberwachung in Chemnitz

11. Oktober 2018

Die Chemnitzer Innenstadt wird seit Anfang Oktober mit mehreren Kameras videoüberwacht. Der sächsische Landesdatenschutzbeauftragte drohte mit der Abschaltung der Kameras. Es fehlten nämlich noch bestimmte Dokumente, die sich beispielsweise mit folgenden Fragen beschäftigen: Welche Bereiche filmen die Kameras? Warum ist dies nötig? Und wer hat Zugriff auf die Aufnahmen? Solange diese Fragen nicht beantwortet sind, dürfen die Kameras rein formell betrachtet nicht in Betrieb genommen werden. Ordnungsbürgermeister Miko Runkel verwunderten diese Forderungen, da im Sommer ein Entwurf der Stadtverwaltung dem Datenschutzbeauftragten vorgelegt wurde und die von ihm gegebenen Hinweise abgearbeitet wurden. Nach eigener Aussage habe sich die Stadt an die Datenschutzgrundverordnung gehalten, sodass ein weiteres Dokument nicht erforderlich sei, sondern lediglich der Rat des Landesdatenschutzbeauftragten eingeholt werden müsse.

Seit dem 1. Oktober zeichnen 31 Kameras das Geschehen von belebten Orten in Chemnitz auf. Dazu gehören beispielsweise Zentralhaltestelle und das Areal um den Stadthallenpark. Laut Stadtverwaltung werden die Aufzeichnungen 10 Tage gespeichert. Es wird nur anlassbezogen ausgewertet. Die Polizei hat bisher kein Zugriff darauf, dies ändert sich jedoch sobald die Erlaubnis vorliegt.

Ermittlungen gegen Google Plus – Datenpanne verschwiegen?

9. Oktober 2018

Nach Facebook räumt auch Google eine Datenpanne ein. Der Hamburger Datenschutzbeauftragte Johannes Caspar hat die Ermittlung gegen das Online-Netzwerk Google Plus aufgenommen.

Durch eine Software-Panne bei Google Plus sollen Basis-Profilinformationen wie Name, E-Mail-Adresse, Geschlecht oder das Alter der Nutzer jahrelang für die App-Entwickler ohne Erlaubnis abrufbar gewesen sein. Diese Datenpanne sei im März 2018 bei Google entdeckt worden, welche sie für ein halbes Jahr für sich behielt. Dies räumte Google am Montag ein. Andere Daten seien jedoch nicht betroffen. Der Fehler sei unmittelbar durch Google behoben worden.

Als Reaktion wird die 2011 als Konkurrenz zu Facebook gestartete Plattform für die Verbraucher dichtgemacht. Darüber hinaus sollen auch die Möglichkeiten für App-Entwickler, auf Nutzerdaten auf Smartphones mit dem Google-System Android zuzugreifen, zukünftig eingeschränkt werden,

Das „Wall Street Journal“ berichtete unter Berufung auf interne Unterlagen Googles, dass dieses Datenleck bereits seit 2015 bestand. Google habe zwar keine Hinweise auf einen Datenmissbrauch, jedoch auch nicht genug Informationen, um einen solchen vollständig auszuschließen. Aus Sorge vor Vergleichen mit Facebook habe sich der Konzern im März dazu entschieden, die Öffentlichkeit nicht über die Entdeckung zu informieren.

Google selbst hat bisher keine Angaben dazu gemacht, wie lange diese Lücke tatsächlich bestand. Es könnten potentiell Profile von bis zu 500 000 Konten bei Google Plus betroffen sein. Genauere Angaben könne der Konzern nicht machen, weil Nutzungslogs nur zwei Wochen lang gespeichert würden.

EU wird japanisches Datenschutzsystem anerkennen

27. Juli 2018

Im Rahmen vom neuen Freihandelsabkommen zwischen der EU und Japan (Japan-EU Free Trade Agreement, JAFTA) wird die EU das japanische Datenschutzsystem, durch einen Angemessenheitsbeschluss der EU-Kommission, als gleichwertig anerkennen. Somit wird Japan zu einem sicheren Drittland. Die geplante Adäquanzentscheidung geht weiter als der „umstrittene Privacy-Shield“ zwischen der EU und der USA. Erfasst wird nämlich auch der Bereich der Strafverfolgung, neben Messwerten und Informationen, die zu gewerblichen Zwecken übertragen werden sollen.

Die Entscheidung ist jedoch noch an zusätzliche Bedingungen geknüpft. So muss Japan zusätzliche Garantien zum Schutz der personenbezogenen Daten von Bürgern in der EU einführen. Auch die Betroffenenrechte sollen gestärkt werden. Weiterhin soll ein Verfahren festgesetzt werden,  welches Beschwerden über den Zugriff nationaler Behörden von Europäern bearbeiten, untersuchen und aufklären werde.

Den Datenschutzbeschluss will die Brüsseler Regierungseinrichtung im Herbst formell annehmen. Im Voraus muss das Kabinett ihn noch genehmigen und der neue Europäische Datenschutzausschuss Stellung nehmen.

1 2 3 4 5 18