Kategorie: DSGVO

BVerfG wendet Unionsgrundrechte an und konkretisiert das „Recht auf Vergessen“

5. Dezember 2019

Das Bundesverfassungsgericht beschäftigte sich in zwei in vieler Hinsicht spannenden Beschlüssen vom 6. November 2019 mit dem Recht auf Vergessen (1 BvR 16/13 – Recht auf Vergessen I und 1 BvR 276/17, Recht auf Vergessen II). Darin setzt sich das Verfassungsgericht wohl erstmals mit der Frage auseinander, ob und wann es die Charta der Grundrechte der Europäischen Union anwendet und nicht das deutsche Grundgesetz.

Das BVerfG kommt zu dem Ergebnis, dass allein die Unionsgrundrechte anwendbar sind, wenn sich der Rechtsstreit nach Regelungen richtet, die durch das Unionsrecht vollständig vereinheitlicht sind. Dies sei im Datenschutzrecht bereits durch die EU-Datenschutzrichtlinie, erst recht aber durch die Datenschutz-Grundverordnung grundsätzlich erfolgt. Eine Ausnahme gelte für Bereiche, in denen das Unionsrecht den Mitgliedstaaten die Schaffung abweichender Regelungen ermögliche. Ob eine Regelung gestaltungsoffen ist müsse durch Auslegung der konkreten Vorschrift ermittelt werden. Es komme darauf an, ob die Norm auf die Ermöglichung von Vielfalt und die Geltendmachung verschiedener Wertungen angelegt ist.

Im zugrundeliegenden Fall des Beschlusses „Recht auf Vergessen II“ begehrte die Beschwerdeführerin die Unterlassung der Anzeige eines Suchergebnisses von Google. Bei der Eingabe ihres Namens erschien als Suchergebnis ein Transkript eines Beitrags des Fernsehmagazins „Panorama“ von 2010. Der Beschwerdeführerin wurde darin ein unfairer Umgang mit ihren Mitarbeitern vorgeworfen. Das Landgericht verurteilte Google dazu den Link zu entfernen. Das OLG wies die Berufung ab.

Der Rechtsstreit betreffe eine unionsrechtlich vereinheitlichte Materie, weswegen die Unionsgrundrechte anwendbar seien. Dies sei Konsequenz der Übertragung von Hoheitsbefugnissen auf die EU, die Anwendung deutscher Grundrechte würde das Ziel der Rechtsvereinheitlichung konterkarieren. Dem Grundgesetz komme insofern nur eine Reservefunktion zu. Während der EuGH für die letztverbindliche Auslegung des Unionsrechts zuständig sei, habe das BVerfG die Kompetenz über die richtige Anwendung der Unionsgrundrechte.

Das Recht auf Achtung des Privatlebens aus Art. 7 und 8 CRC beschränke sich nicht auf höchstpersönliche oder besonders sensible Sachverhalte, sondern schließe auch geschäftliche und berufliche Tätigkeiten ein. Zwar könne sich Google selbst nur auf die unternehmerische Freiheit berufen, jedoch seien in der Abwägung zwischen Betroffenen und Google auch die Grundrechte der Inhalteanbieter einzustellen, um deren Veröffentlichung es geht. Zudem müssten Zugangsinteressen der Internetnutzer berücksichtigt werden. Das BVerfG arbeitet sodann detailliert heraus, dass ein Schutzanspruch gegenüber einem Suchmaschinenbetreiber weiter reichen kann als gegenüber dem Inhalteanbieter, wenn im Verhältnis zwischen zwischen Betroffenen und Inhalteanbieter nach innerstaatlichem Fachrecht allein die inhaltliche Richtigkeit eines Beitrags ohne Berücksichtigung seiner Verbreitungswirkungen im Internet maßgeblich ist und deshalb der hierdurch entstehende Schutzbedarf der Betroffenen auf dieser Ebene noch nicht erfasst wird.

Die klageabweisende Entscheidung des OLG beanstandet das BVerfG nicht. Die Beschwerdeführerin habe damals ihre Zustimmung zu dem Beitrag gegeben. Ein Zeitablauf könne zwar dazu führen, dass die Verbreitung von Beiträgen durch Suchmaschinen unzumutbar wird, denn es müsse die Chance eines In-Vergessenheit-Geratens belastender Informationen geben. Allerdings sie die Beschwerdeführerin weiterhin unternehmerisch tätig und der Zeitraum von sieben Jahren nicht übermäßig lang.

Zum Beschluss „Recht auf Vergessen I“ folgt ein weiterer Blogeintrag.

EU-Parlament bestätigt den neuen EU-Datenschutzbeauftragten

2. Dezember 2019

Der polnische Jurist, Wojciech Wiewiórowski ist der neue EU-Datenschutzbeauftragte. Er war seit Dezember 2014 stellvertretender Europäischer Datenschutzbeauftragter. Der Ausschuss für Justiz und Bürgerrechte im EU-Parlament bestätigte Wojciech Wiewiórowski nun für eine fünfjährige Amtszeit als Europäischer Datenschutzbeauftragter. Wiewiórowski hatte das Amt zuvor bereits übergangsweise übernommen, nachdem sein Amtsvorgänger Giovanni Buttarelli diesen Sommer gestorben war.

Der neue EU-Datenschutzbeauftragte will eine „intelligente, innovative öffentliche EU-Verwaltung“ aufbauen. Wojciech Wiewiórowski nennt als große Herausforderung seiner Amtszeit den Umgang mit Künstlicher Intelligenz oder Quantum Computing und deren Auswirkung auf die Privatsphäre. Zudem kündigte der neue Amtsträger im Rahmen der Strafverfolgung neue Richtlinien zum Datenschutz an.

„Ich schätze die Freiheit und Würde des Einzelnen aufgrund meiner eigenen Erfahrungen, und mir ist bewusst, wie wertvoll und zerbrechlich sie sind“, betont der neue Datenschutzbeauftragte in einer öffentlichen Stellungnahme.

BMJV-Studie zur DSGVO-Umsetzung von Online-Diensten

29. November 2019

Das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) hat in der Zeit von Juli bis September 2019 eine Untersuchung zur Umsetzung der DSGVO durch Online-Dienste durchgeführt und die Ergebnisse der Studie am heutigen Tag (29.11.2019) veröffentlicht.

Die Studie wurde von Wissenschaftlern der Universität Göttingen durchgeführt. Gegenstand der Untersuchung war wie 35 große Online-Dienste, unter anderem Amazon, Google, WhatsApp, Zalando und ARD, die Voraussetzungen der DSGVO umgesetzt haben. Ein besonderes Augenmerk wurde dabei auf die Verbraucherrechte gelegt. Die Auswahl der getesteten Dienste ist breit gefächert und reicht von Onlineshops, über Bewertungsportale bis hin zu Newsseiten und sozialen Netzwerken sowie Messengerdiensten.

Das Ergebnis der Studie bezeichnet der Verbraucherschutz-Staatssekretär Gerd Billen als „ermutigend und ernüchternd zugleich“. Einerseits sei zu erkennen, dass es Verbesserungen für Verbraucherinnen und Verbraucher gäbe und einige Dienste bereits viele DSGVO-Voraussetzungen umgesetzt haben, andererseits bei vielen Diensten noch Luft nach oben ist. Eine 100%ige Umsetzung der DSGVO konnte bei keinem Online-Dienst festgestellt werden.

Als größte Probleme wurden die Anwendung personalisierter Werbung und der Umgang mit sensiblen Daten festgestellt.

Positiv hervorgehoben werden von der Studie einzelne Best-Practice-Beispiele, wie:

  • die Datenschutzerklärungen von Zalando, eBay Kleinanzeigen und Focus Online,
  • der datenschutzfreundlich voreingestellte Cookie Banner von Volkswagen,
  • der verbraucherfreundliche Registrierungsprozess von Spiegel Online.

Die gesamte Studie können Sie hier nachlesen.

Thüringer Datenschutzaufsichtsbehörde veranlasst Hausdurchsuchung nach potentiellem Verstoß gegen die DSGVO

18. November 2019

Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) hat die polizeiliche Durchsuchung einer Wohnung veranlasst. Den Beschluss der Hausdurchsuchung stellte das Amtsgericht Erfurt aus.

Anlass hierfür war eine in der Nachbarschaft herumfliegende Drohne. Ein Nachbar des Drohnenbesitzers hatte sich scheinbar beschwert, dass der Pilot das Fluggerät mit einem Videomonitor steuere. Da die Drohne auch über andere Gärten fliege und sie dabei in die Nähe von Schlafzimmerfenstern komme, sei mithin eine massive Beeinträchtigung der Rechte und Freiheiten der Nachbarn wahrscheinlich.

In der Wohnung des Drohnenbesitzers hat man Datenträger sichergestellt. Diese würden nun ausgewertet.

Kategorien: Allgemein · Aufsichtsbehördliche Maßnahmen · DSGVO
Schlagwörter:

BfDI- personenbezogenes Webtracking nur mit Einwilligung

14. November 2019

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber erklärte in einer Pressemitteilung vom 14.11.19, dass Webtracking nur noch mit expliziter Einwilligung der User möglich ist.

Wenn Website-Betreiber Dritt-Dienste wie z.B. Google Analytics auf ihrer Internet-Seite mit einbinden und diese die personenbezogenen Daten für eigene Zwecke nutzen, benötigen sie eine Einwilligung des Betroffenen. Diese muss datenschutzkonform sein und kann nicht durch Cookie-Banner oder voraktivierte Kästchen ersetzt werden.

Daher rief Ulrich Kelber die Website-Betreiber dazu auf ihre Websites auf Dritt-Dienste zu kontrollieren. Für einen datenschutzkonformen Einsatz dessen sollte der Website-Betreiber die Einwilligung der User einholen. Andernfalls wird zur Löschung der Dritt-Dienste geraten.

Bundestagsabstimmung am 7.11.19 über das umstrittene Digitale-Versorgung-Gesetz

6. November 2019

Wie bereits am 10.07.2019 berichtet wurde, entwarf Bundesgesundheitsminister Spahn das Digitale-Versorgung-Gesetz.

Das neue Gesetz sieht eine digitale Speicherung der personenbezogenen Daten von 73 Millionen gesetzlich Versicherten vor. Das Einsehen einer digitalen Personenakte soll damit erleichtert werden.

Die Kritik am umstrittenen Gesetz beruht maßgeblich auf der Gefährdung des sensiblen Gesundheitsdatenschutzes. Insbesondere verzichtet das Gesetz auf eine Einwilligung für die Weitergabe der Patientendaten zu Forschungszwecken. Pseudonymisierte Abrechnungsdaten werden von den gesetzlichen Krankenkassen an den Spitzenverband weitergeleitet. Nach nochmaliger Pseudonymisierung können diese Daten dem Forschungsdatenzentrum zur Verfügung gestellt werden. Dieses leitet anonymisierte und zusammengefasste Ergebnisse auf Antrag an Wissenschaftlerinnen und Forscher weiter. Zusätzlich kritisiert wird der Ausschluss des Widerrufsrechts. Es bleibt abzuwarten, ob der Bundestag das Digitale-Versorgung-Gesetz in dieser Form morgen beschließt.

LDI Berlin verhängt Bußgeld in Höhe von 14,5 Millionen Euro gegen Wohnungsgesellschaft

5. November 2019

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat am 30.10.2019 den deutschlandweit bisher höchsten Bußgeldbescheid in Höhe von 14,5 Millionen Euro gegen die Deutsche Wohnen SE erlassen. Der Verstoß gegen die DSGVO bestand in der Verwendung eines rechtswidrigen Archivsystems. Dieses verhinderte das Entfernen von nicht mehr erforderlichen personenbezogenen Daten von Mieterinnen und Mietern. Dadurch wurden die personenbezogenen Daten ohne Überprüfung der Rechtmäßigkeit der Verarbeitung fortwährend gespeichert. Obwohl der Zweck zur Datenerhebung bereits entfallen war, konnten die Daten zu persönlichen und finanziellen Verhältnissen der Betroffenen noch jahrelang eingesehen werden. Nachdem die Aufsichtsbehörde bereits im Juni 2017 auf die Missstände hingewiesen hatte, waren die rechtswidrigen Speichermethoden bei erneuter Kontrolle im März 2019 noch nicht beseitigt. Es konnte weder eine Bereinigung des Archivs nachgewiesen, noch Rechtsgründe für die weitere Speicherung der Daten vorgebracht werden.

Die Aufsichtsbehörde stützt ihren Bußgelderlass auf einen Verstoß gegen Art. 25 I und Art. 5 DSGVO im Zeitraum von März 2018 bis März 2019. Der gesetzliche Bußgeldrahmen, bemessen an dem Jahresumsatz der Deutsche Wohnen SE von über einer Milliarde Euro, lag bei 28 Millionen Euro. Zur Bestimmung des Bußgeldbetrages wurde der Verantwortlichen das bewusste Anlegen des Archivsystems und der lange Zeitraum des Verstoßes zulasten gelegt. Positiv wurden die Mitwirkungsbereitschaft gegenüber der Aufsichtsbehörde und die Vorbereitungsmaßnahmen zur Verbesserung des Systems berücksichtigt. Zusätzlich konnte kein missbräuchlicher Zugriff auf die personenbezogenen Daten nachgewiesen werden. Aus einer Gesamtabwägung ergab sich der Mittelwert von 14,5 Millionen Euro Bußgeld. Der Bußgeldbescheid ist noch nicht rechtskräftig.

In Berlin werden vom 5.-7.11. KFZ-Kennzeichen erfasst.

Die Stadtverwaltung Berlin analysiert mit Beginn des heutigen Tages den Schadstoffausstoß von Kraftfahrzeugen. Dies gab die Stadtverwaltung in einer Pressemitteilung bekannt.

So würden zu Zwecken des Umweltschutzes Kennzeichen der Fahrzeuge mittels Videokameras erfasst und einem Schadstoffausstoß zugeordnet. Die Kennzeichenerhebung würde jedoch ausdrücklich nicht zur Ahndung von Verstößen gegen die Umweltzone genutzt. Vielmehr würden ausschließlich das Kennzeichen, nicht aber ein Bild des Fahrzeugs oder gar der Insassen registriert und der Zulassungsbehörde ohne Ortsangaben mitgeteilt. Auch eine Abfrage der Halterdaten würde nicht erfolgen.

Diese Form der Kennzeichenerhebung sei im Vorfeld mit der Berliner Beauftragten für Datenschutz und Informationsfreiheit abgestimmt worden. Die automatisierte Auswertung der Kennzeichen erfolge unter Berücksichtigung der Datenschutzgrundverordnung und des Berliner Datenschutzgesetzes.

Baden-Württemberg: Stand der Umsetzung des Datenschutzrechts in den Gemeinden

4. November 2019

Heute präsentierte Stefan Brink, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg, die Ergebnisse der diesjährigen Umfrage zum Stand der Umsetzung des Datenschutzrechts in den Gemeinden. Von den 1101 angefragten Gemeinden haben 986 (88 %) an der Online-Umfrage teilgenommen.  

Im Ergebnis fühlen sich viele Gemeinden durch die DSGVO stark belastet und es fehlen – insbesondere in kleinen Gemeinden – personelle und zeitliche Ressourcen für den Bereich Datenschutz. In vielen Fällen sind die Zustände im Bereich der Datensicherheit unzureichend. Die Gemeinden fordern vom LfDI mehr Unterstützung und Beratung. Bemängelt wird außerdem die fehlende Zusammenarbeit zwischen den Kommunen im Bereich des Datenschutzes.

In diesem Zusammenhang hat der LfDI heute eine aktuelle Broschüre zum Thema Datenschutz in den Gemeinden veröffentlicht. „Den Ruf nach mehr praxisorientierter Unterstützung habe ich gehört.“, führte Brink dazu aus. Darüber hinaus kündigte er an, dass das für nächstes Jahr geplante Schulungs- und Fortbildungszentrum beim LfDI „als Schwerpunkt auch bedarfsgerechte Veranstaltungen und Seminare für den kommunalen Bereich anbieten“ wird.

Die ausführliche Auswertung der Umfrage kann auf der Website des LfDI abgerufen werden.

Neues Implantateregister-Errichtungsgesetz schränkt Recht auf informationelle Selbstbestimmung ein

28. Oktober 2019

Das Gesetz soll die Sicherheit und Qualität von Implantationen verbessern. Abstriche werden beim Datenschutz gemacht. Das Gesetz enthält eine Beschränkung der Rechte der betroffenen Patientinnen und Patienten.

Der Deutsche Bundestag hat am 26. September 2019 in 2./3. Lesung das „Gesetz zur Errichtung eines Implantateregisters Deutschland und zu weiteren Änderungen des Fünften Buches Sozialgesetzbuch“ (Implantateregister-Errichtungsgesetz, EIRD) beschlossen. Es soll am 1. Januar 2020 in Kraft treten

Damit die Aussagefähigkeit des Registers gewährleistet werden könne, ist die Meldung an das Register für Gesundheitseinrichtungen, gesetzliche und private Krankenversicherungen und Patienten verpflichtend. Dadurch ist das Recht auf Widerspruch gegen die Datenverarbeitung, welches dem Patienten eigentlich nach Art. 21 DSGVO zusteht, ausgeschlossen. Ebenso verhält es sich mit dem Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, dieses wird ebenfalls durch den § 26 EIRD ausgeschlossen. Und das, obwohl es sich bei den Patientendaten um besonders sensible Daten im Sinne des Art. 9 DSGVO handelt, welche besonders schutzwürdig sind.

Die Registerstelle für die zentrale Datensammlung wird beim Deutschen Institut für Medizinische Dokumentation und Information (DIMDI) errichtet. 

1 2 3 4