Kategorie: Aufsichtsbehördliche Maßnahmen
13. Februar 2019
Die Datenschutz-Grundverordnung (DSGVO) räumt den Betroffenen in Art. 17 Abs. 1 ein Recht auf die Löschung ihrer Daten ein. Das bedeutet aber nicht, dass die Daten tatsächlich vernichtet werden müssen. Laut einer aktuellen Entscheidung kann es hinreichen, den Personenbezug durch Anonymisierung zu entfernen.
Die österreichische Datenschutzbehörde entschied im Dezember 2018, dass das sogenannte Recht auf Löschung personenbezogener Daten den Verantwortlichen nicht zu einer sofortigen Vernichtung der Daten in ihren Systemen verpflichte. Auf Grundlage der DSGVO reiche eine Anonymisierung der Daten aus, nach der eine Rekonstruktion des Personenbezugs „ohne unverhältnismäßigen Aufwand“ nicht mehr möglich ist. Allerdings verlangt die Behörde nicht, dass die Anonymisierung niemals rückgängig gemacht werden kann. Eine Löschung liege dann vor, wenn die Verarbeitung und Nutzung der personenbezogenen Daten nicht mehr möglich ist. Dass sich zu irgendeinem Zeitpunkt eine Rekonstruktion (etwa unter Verwendung neuer technischer Hilfsmittel) als möglich erweise, mache die „Löschung durch Unkenntlichmachung“ nicht unzureichend. Eine völlige Irreversibilität sei daher nicht notwendig.
Hintergrund des Streits war eine Anfrage eines österreichischen Betroffenen bei einer Versicherung. Unter Verweis auf Art. 17 DSGVO hatte dieser die unverzügliche Löschung seiner personenbezogenen Daten verlangt, da sie für den Zweck, für den sie erhoben worden waren, nicht mehr benötigt würden. Die Versicherung löschte E-Mail-Adresse, Telefonnummer sowie Angaben über ein einst erbetenes Versicherungsangebot und stoppte alle Werbezusendungen. Name und Adresse wurden allerdings durch „Max Mustermann“ mit einer Musteradresse ersetzt und Informationen über zwei frühere Versicherungsverträge blieben offenbar erhalten.
Die Versicherung setzte den Betroffenen in Kenntnis, dass sie die Daten „DSGVO-konform anonymisiert“ habe. Eine Rückführbarkeit auf seine Person sei unwiderruflich ausgeschlossen. Die anonymisierten Daten würden beim nächsten automatischen Löschlauf im März 2019 endgültig aus den Systemen gelöscht. Auch aus den Logdaten könne die ursprüngliche Anfrage nicht mehr mit dem Betroffenen verknüpft werden.
Das reichte dem Betroffenen jedoch nicht aus, sodass er sich bei der Datenschutzbehörde beschwerte. Diese hielt jedoch das Anonymisierungsverfahren der Versicherung für ausreichend. Denn nach Ansicht der Behörde macht die DSGVO keine konkreten Angaben darüber, wie eine Löschung von personenbezogenen Daten umgesetzt werden muss. In Art. 4 Nr. 2 DSGVO würden zudem Löschung und Vernichtung von Daten „als alternative Formen der Verarbeitung aufgeführt“, die nicht zwingend deckungsgleich seien. „Daraus erhellt, dass eine Löschung nicht zwingend eine endgültige Vernichtung voraussetzt“, schreibt die Behörde in ihrer Entscheidung.
Vielmehr stehe dem Verantwortlichen hinsichtlich der vorgenommenen Art und Weise der Löschung ein Auswahlermessen zu. Hinsichtlich des konkreten Mittels der Löschung bestehe somit „kein Wahlanspruch der betroffenen Person“.
7. Februar 2019
Das Bundeskartellamt kritisiert Facebook und ist der Meinung, dass Facebook seine marktherrschende Stellung missbrauche.
Deshalb soll Facebook im Sammeln von Nutzerdaten beschränkt werden. Erhält Facebook Daten aus verschiedenen Quellen, etwa WhatsApp und Instagram, dürfen diese Daten nur mit Zustimmung der Nutzer zusammengeführt werden, teilte die Behörde mit. Auch die Verwendung des „Like“-Buttons auf Internetseiten anderer Anbieter soll eingeschränkt werden.
Facebook möchte diese Einschränkungen nicht hinnehmen und kündigte an, gegen den Beschluss Beschwerde einzulegen. Facebook ist der Meinung, dass sie zwar ein populäres Netzwerk seien, allerdings keine marktherrschende Stellung einnehmen. Zudem läge kein Verstoß gegen die DSGVO vor und könne auch nicht vom Kartellamt beurteilt werden. Für die Aufsicht über die Einhaltung der DSGVO seien Datenschutzbehörden zuständig.
Zwölf Monate hat Facebook Zeit, um sein Verhalten zu ändern und muss innerhalb der nächsten vier Monate Lösungsvorschläge machen. Gegen diese Entscheidung des Kartellamts kann Facebook innerhalb eines Monats beim Oberlandesgericht Düsseldorf Beschwerde einlegen.
Beschäftigte des Polizei- und Justizdienstes in Berlin stehen unter dem Verdacht, im Winter 2017 Drohbriefe an verschiedene Einrichtungen der linksautonomen Szene versendet zu haben. Inhalt der Drohbriefe seien Lichtbilder und weitergehende Informationen von 21 Personen, die angeblich ausschließlich aus polizei- und justizbehördlichen Quellen stammten. Die Drohbriefe seien Reaktionen auf Veröffentlichungen von linksautonomen Gruppen gewesen, die anlässlich des G20-Gipfels Lichtbilder von mehreren Berliner Polizeibeamten beinhalteten.
Als Folge des Verdachts stellte die Berliner Datenschutzbeauftragte Maja Smoltczyk damals einen Antrag auf Strafverfolgung gegen Unbekannt wegen Verstößen gegen das Berliner Datenschutzgesetz. Da die Vorfälle allerdings bislang – bis auf einen Fall, indem im August 2018 ein Polizeibeamter wegen unbefugtem Datenzugriff verurteilt wurde – noch nicht aufgeklärt wurden, forderte die Berliner Datenschutzbeauftragte die Staatsanwaltschaft nun erneut auf, ihr umfassende Informationen zukommen zu lassen. So sei bis heute unklar, wie die Täter an die personenbezogenen Daten gekommen sind und wo diese gespeichert wurden.
Da anders als z.B. in Hessen (wir berichteten kürzlich über einen ähnlichen Fall) die Datenschutzbeauftragte des Landes Berlin gemäß des Berliner Datenschutzgesetzes über keine Anordnungsbefugnis verfügt und so keine gerichtliche Klärung herbeiführen, sondern lediglich Beanstandungen aussprechen kann, ist sie auf die behördliche Zusammenarbeit angewiesen.
28. Januar 2019
Das Unternehmen Google scheint gegen die kürzlich ergangene Entscheidung der Commission Nationale de l’Informatique et des Libertés (CNIL) vorzugehen. So sei Google weiterhin der Meinung, den Informatonspflichten genügt zu haben und beruft sich überdies darauf, diese in Absprache mit den Behörden vorgenommen zu haben.
Die CNIL hatte gegenüber Google eine Strafe in Höhe von 50 Millionen Euro ausgesprochen. Ob diese Bestand hat, wird sich nun zeigen. Es bleibt die Entscheidung des obersten Verwaltungsgerichtes – dem Staatsrat – abzuwarten.
25. Januar 2019
In der ersten Sitzung des Europäischen Datenschutzausschusses (EDSA) im neuen Jahr wurden unter anderem folgende Punkte aufgegriffen: der EU-US Privacy Shield, Leitlinien zur Zertifizierung und die Verbesserung der Kommunikation mit Social-Media-Anbietern bei Datenschutzvorfällen. Vor allem die Überprüfung des EU-US Privacy Shield und der dazugehörige Berichtsbeschluss waren wichtige Tagesordnungspunkte der Sitzung. Trotz Überprüfung durch US-Behörden bestehen weiterhin gewichtige Kritikpunkte. Einer dieser Kritikpunkte ist das Fehlen einer dauerhaften Besetzung der Ombudsperson und die Offenlegung ihrer Befugnisse gegenüber den Sicherheitsbehörden.
Ein weiteres wichtiges Thema war die Verabschiedung der Guidelines on Certification. Diese Leitlinien sollen eine Unterstützung für die Ausgestaltung von Zertifizierungsprozessen nach der DSGVO sein. Zusammen mit den bereits vergangenen Jahres verabschiedeten Guidelines on Accreditation dienen beide Papiere als wichtige Orientierungshilfen.
Um bei Datenschutzvorfällen im Social-Media-Bereich schneller reagieren zu können hat man sich in der Sitzung das Ziel gesetzt gemeinsam technische und organisatorische Maßnahmen zu erörtern, um in Eilfällen eine unmittelbare Kontaktaufnahme mit den verantwortlichen Stellen zu ermöglichen. Dazu werden deutsche Aufsichtsbehörden ein Vorschlag erarbeiten.
Der Bundesdatenschutzbeauftragte Ulrich Kelber betonte nach seiner ersten Teilnahme am EDSA noch einmal die Wichtigkeit dieses Gremiums: „Daten kennen schon lange keine Grenzen mehr. Daher muss auch ihr Schutz grenzübergreifend sein.“
22. Januar 2019
Das kleine Versandunternehmen Kolibri Image wurde von der Hamburger Datenschutzbehörde aufgefordert, ein Bußgeld in Höhe von 5000 Euro zuzüglich 250 Euro Gebühren zu zahlen. Grund hierfür war nach Art. 83 Abs. 4 lit. a Datenschutzgrundverordnung (DSGVO) das Fehlen eines Auftragsverarbeitungsvertrags mit einem spanischen Dienstleister des Versandunternehmens.
Ausgangspunkt für das Bußgeld war, dass Kolibri Image sich im Mai 2018 an den Hessischen Datenschutzbeauftragten gewandt hatte, weil der spanische Dienstleister trotz mehrfacher Aufforderung keinen Vertrag zur Auftragsverarbeitung übersandt hatte. Die Behörde erwiderte, dass die Pflicht zum Abschluss eines Auftragsverarbeitungsvertrages sowohl den Verarbeiter als auch den Verantwortlichen treffe. Das Unternehmen solle und müsse deshalb selbst eine entsprechende Vereinbarung verfassen und an den Auftragsverarbeiter zwecks Unterschrift übermitteln.
Als Kolibri Image daraufhin antwortete, dass man sich diese Arbeit, insbesondere wegen der teuren Übersetzung, nicht machen wolle, gab die hessische Behörde die Sache an die zuständigen Kollegen aus Hamburg ab. Der Hamburger Datenschutzbeauftragte sieht in dem Verhalten des Unternehmens einen Verstoß gegen Art. 28 Abs. 3 DSGVO und hatte deswegen die Geldbuße verhangen. Nach Ansicht der Behörde wurden schützenswerte Daten ohne Rechtsgrundlage an den Dienstleister übermittelt. Erschwerend wirke sich aus, dass man diese Praxis aufrechterhalten habe, obwohl dem Unternehmen die Datenverarbeitungsprozesse des Verarbeiters explizit nicht bekannt waren. Schließlich fehle es auch an einer Zusammenarbeit mit der Behörde, die sich strafmildernd auswirken könne.
Kolibri Image kündigte bereits an, gegen den Bescheid einen Widerspruch einzulegen. Zu Recht?
Zwar liegt der Bußgeldbescheid, und somit der genaue Sachverhalt, hier nicht vor, es drängen sich jedoch, insbesondere wegen der Diskussionen im Internet über diesen Fall, zwei Fragen auf.
Zum einen scheint die Frage, ob hier überhaupt ein Auftragsverarbeitungsverhältnis vorliegt, noch klärungsbedürftig, da dies von der Behörde bevor der Bescheid erlassen wurde gar nicht geprüft worden sei.
Darüber hinaus stellt sich die Frage, wann die Grenze zur Selbstbelastungsfreiheit überschritten ist. Das Unternehmen hat im vorliegenden Fall mit seiner initativen Anfrage bei der Datenschutzbehörde den Stein selbst ins Rollen gebracht. Sofern der Verantwortliche sich bezüglich seiner gesetzlichen Meldepflichten nicht ganz sicher ist, sollte er sich also stets datenschutzrechtlichen Rat einholen, bevor er sich an die Behörde wendet.
Aufgrund von Verstößen gegen die Datenschutzgrundverordnung (DSGVO) muss der Internetriese Google in Frankreich eine Strafe in Höhe von 50 Millionen Euro zahlen. Das Bußgeld verhängte die französische Datenschutzbehörde CNIL. Ausgelöst wurde das Verfahren gegen Google durch Beschwerden der Organisation NOYB von Max Schrems und der französischen Netzaktivisten La Quadrature du Net.
Zu dem Bußgeld sei es gekommen, da Google die Anforderungen der DSGVO hinsichtlich der Informationspflichten nur unzureichend erfülle. So seien die Informationen über die Datenverarbeitung im Rahmen verschiedener Google-Applikationen für die Nutzer nur schwerlich über mehrere Links und Buttons zugänglich und insgesamt intransparent. Aufgrund der, dem Nutzer, nur unzureichend zur Verfügungen gestellten Informationen über die Art und Weise der Verarbeitung personenbezogener Daten, seien auch die Einwilligungen zur Anzeige personalisierter Werbung nach Ansicht der französischen Datenschutzbehörde nicht rechtmäßig.
Update: Google hat inzwischen Berufung eingelegt.
7. Januar 2019
Bei der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW (LDI NRW) sind vermehrt Anfragen von Verbrauchern zu Datenverarbeitungen bei Inkassounternehmen eingegangen. Das LDI hat daraufhin eine Broschüre herausgegeben, in der auf die häufigsten Fragestellungen eingegangen wird. Diese ist auf den Seiten der LDI NRW unter dem folgenden Link abrufbar:
https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Inkassounternehmen-und-Datenschutz/Inkassounternehmen-und-Datenschutz.html
In der Broschüre wird unter anderem erläutert, dass Unternehmen zur Eintreibung ihrer nicht bezahlten Forderungen Inkassounternehmen beauftragen können. Hierzu dürfen auch die erforderlichen Daten an das Inkassounternehmen übermittelt werden. Einer Einwilligung des Schuldners bedarf es hierzu grundsätzlich nicht. Die Übermittlung der personenbezogenen Daten kann auf das Vertragsverhältnis und das berechtigte Interesse des Gläubigers gestützt werden.
Das Inkassounternehmen hat aber alle Betroffenenrechte des Schuldners, wie jedes andere datenverarbeitende Unternehmen auch, zu wahren. So können insbesondere Auskunfts- und Löschrechte dem Inkassounternehmen gegenüber geltend gemacht werden. Eine Löschpflicht besteht allerdings nur, wenn die Forderung nicht mehr besteht und keine gesetzlichen Aufbewahrungsfristen einer Löschung entgegenstehen.
Antworten zu weiteren Fragen im Zusammenhang mit der Datenverarbeitung bei Inkassounternehmen, bspw. ob Inkassounternehmen prüfen müssen, ob die Forderung tatsächlich besteht, ob sie auch bestrittene Forderungen eintreiben dürfen, was zu tun ist, wenn eine Forderung tatsächlich nicht besteht und vieles weitere, können Sie der Broschüre entnehmen.
Der Datenschutzbeauftragte Johannes Caspar forderte Twitter zur Sperrung von Links auf, welche im Zusammenhang mit der Veröffentlichung von Daten von Politikern im Internet auftauchten. Der für die Veröffentlichung genutzte Account ist zwar mittlerweile gesperrt, jedoch sind die auf anderen Plattformen befindlichen Daten noch über Links in Form von Retweets und Likes andere Nutzer frei und können somit noch weiterverbreitet werden. Caspar stellte Twitter deshalb auch eine Liste mit Shortlinks bereit, die gelöscht werden sollen. Bisher hat sich Twitter auf diese Aufforderung hin nicht gemeldet. In der deutschen Niederlassung in Hamburg war zudem kein Ansprechpartner erreichbar.
Nun wird versucht, mittels einer an Twitter gerichteten Anordnung, die rechtsverbindliche Sperrung der Links zu erzielen.
Dies wurde in Zusammenarbeit mit der irischen Datenschutzbehörde erwirkt, da sich dort der europäische Hauptsitz von Twitter befindet.
19. Dezember 2018
Aus Art. 30 Abs. 1 DSGVO folgt für den Verantwortlichen von Datenverarbeitungsprozessen die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten. Welche Mindestangaben ein solches Verzeichnis enthalten muss, lässt sich aus Art. 30 Abs. 1 S. 2 DSGVO entnehmen. Ein eindeutiger Zeitpunkt, zu dem ein solches Verzeichnis vollständig vorliegen muss, lässt sich dem Wortlaut von Art. 30 DSGVO hingegen nicht direkt entnehmen.
Mögliche Zeitpunkte für das Erfordernis des Vorliegens einer vollständigen Dokumentation im Sinne von Art. 30 DSGVO können dabei vor dem Beginn der Verarbeitungstätigkeit oder danach liegen.
Für die Notwendigkeit der Durchführung einer (vollständigen) Dokumentation im Sinne von Art. 30 DSGVO vor Beginn der eigentlichen Verarbeitungstätigkeit lassen sich die systematische Stellung der Norm und teleologische Überlegungen anführen. Systematisch befindet sich Art. 30 DSGVO im ersten Abschnitt des vierten Kapitels der DSGVO. Innerhalb dieses Abschnitts werden die allgemeinen Pflichten des Verantwortlichen und des Auftragsverarbeiters geregelt. Über die allgemeine Pflicht zur Dokumentation mittels eines Verzeichnisses im Sinne von Art. 30 DSGVO soll der Verantwortliche sicherstellen, dass die Grundsätze einer rechtmäßigen Datenverarbeitung gewahrt sind. Demnach ist Art. 30 DSGVO von seinem Sinn und Zweck her im Zusammenhang mit Art. 5 DSGVO zu sehen, der die allgemeinen Grundsätze einer rechtmäßigen Datenverarbeitung statuiert. In Art. 5 Abs. 1 lit. a DSGVO wird der Grundsatz der Rechtmäßigkeit festgelegt. Art. 5 Abs. 1 lit. b DSGVO kodifiziert den Zweckbindungsgrundsatz und Art. 5 Abs. 1 lit. c DSGVO den Grundsatz der Datenminimierung. Zur Wahrung der Zweckbindung und zur Beachtung des Grundsatzes der Datenminimierung ist es erforderlich, dass der Verantwortliche schon vor Beginn der Verarbeitungstätigkeit diese Grundsätze mit in seine Planungen einbezieht und die Einhaltung sicherstellt. Aufgrund der zu nennenden Angaben kann das Erstellen eines vollständigen Verzeichnisses im Sinne von Art. 30 DSGVO den Verantwortlichen dabei unterstützen, schon im Vorfeld einer geplanten Verarbeitungstätigkeit sicherzustellen, dass diese rechtmäßig ist. Würde dem Verantwortlichen hingegen erst bei einer Dokumentation unmittelbar nach Inbetriebnahme einer neuen Verarbeitung bewusst, dass beispielsweise die verarbeiteten Daten zur Zweckerreichung nicht erforderlich sind, so wären die bis zu diesem Zeitpunkt durchgeführten Verarbeitungen regelmäßig als nicht rechtmäßig anzusehen.
Grundsätzlich bleibt jedoch anzumerken, dass die Wahrung der Rechtmäßigkeit einer Verarbeitungstätigkeit auch durch andere Vorfeldmaßnahmen als die Dokumentation mittels eines Verzeichnisses nach Art. 30 DSGVO gewahrt werden kann (bspw. durch die Durchführung einer Datenschutz-Folgenabschätzung oder auch durch lediglich allgemeine Erwägungen zur Zweckgebundenheit und Datenminimierung), sodass sich letztlich aus systematischen und teleologischen Erwägungen heraus keine unmittelbare Pflicht zur Durchführung einer Dokumentation im Sinne von Art. 30 DSGVO bereits vor Beginn der Verarbeitungstätigkeit ableiten lässt.
Für die Notwendigkeit zur Durchführung einer (vollständigen) Dokumentation gem. Art. 30 DSGVO erst nach Beginn der Verarbeitungstätigkeit könnte der Sinn und Zweck der Norm herangezogen werden. Zum einen soll dem Verantwortlichen durch ein Verzeichnis nach Art. 30 DSGVO die Struktur und der Umfang der Datenverarbeitung vor Augen geführt und so die Rechtmäßigkeit der Verarbeitung sichergestellt werden. Zum anderen liegt der Zweck der Verzeichnisse nach Art. 30 DSGVO aber auch darin, dass die zuständigen Aufsichtsbehörden mit Hilfe dieser Verzeichnisse erste Anhaltspunkte für die Überprüfung der Rechtmäßigkeit der jeweiligen Datenverarbeitung erhalten. Demnach kann der Verantwortliche mit Hilfe der vollständigen Verzeichnisse gegenüber der zuständigen Aufsichtsbehörde seine sich aus Art. 5 Abs. 2 DSGVO ergebende Rechenschaftspflicht erfüllen und die Rechtmäßigkeit der Verarbeitung nachweisen und dokumentieren. Dokumentationen oder Kontrollen durch Aufsichtsbehörden von Verarbeitungen oder Verfahren erfolgen jedoch üblicherweise erst, nachdem diese Verfahren oder Verarbeitungen in Betrieb genommen wurden. Demnach wäre es notwendig, aber wohl auch ausreichend, dass man die Rechtmäßigkeit der Verarbeitung durch die vollständige Dokumentation mittels eines Verzeichnisses im Sinne von Art. 30 DSGVO unmittelbar nach Inbetriebnahme der Verarbeitungstätigkeit nachweisen kann.
Zusammenfassend lässt sich somit festhalten, dass sich unmittelbar aus Art. 30 DSGVO selbst keine explizite Aussage zum Zeitpunkt der Durchführung der Dokumentation mittels eines entsprechenden Verzeichnisses entnehmen lässt. Aus dem Sinn und Zweck der Norm und im Zusammenhang mit der sich aus Art. 5 Abs. 2 DSGVO ergebenden Rechenschaftspflicht ergibt sich jedoch, dass ein Verzeichnis nach Art. 30 DSGVO jedenfalls unmittelbar nach Beginn der Verarbeitungstätigkeit vorliegen muss. Da jedoch schon vor Beginn einer neuen Verarbeitungstätigkeit durch den Verantwortlichen Überlegungen zur Rechtmäßigkeit der Verarbeitung vorzunehmen sind, empfiehlt es sich, insbesondere auch zur Wahrung eines ganzheitlichen Datenschutzkonzepts, schon vor Beginn einer neuen Verarbeitungstätigkeit eine Dokumentation mittels eines Verzeichnisses nach Art. 30 DSGVO durchzuführen. Weil sich die inhaltlichen Anforderungen an ein Verzeichnis nach Art. 30 DSGVO in weiten Teilen mit den im Vorfeld durchzuführenden Rechtmäßigkeitserwägungen überschneiden, ist dies insbesondere auch aus prozessökonomischen Erwägungen sinnvoll. Weiterhin lässt sich durch ein im Vorfeld der Verarbeitungstätigkeit erstelltes Verzeichnis nach Art. 30 DSGVO auch sicherstellen, dass ein bußgeldbewährter Verstoß gegen die Dokumentationspflicht vermieden wird. Eine Verletzung der sich aus Art. 30 DSGVO ergebenden Pflichten kann dabei nach Art. 83 Abs. 4 lit. a DSGVO mit einem Bußgeld von bis zu 10 Millionen Euro oder bei Unternehmen mit bis zu 2 % des Jahresumsatzes sanktioniert werden.
