Kategorie: DSGVO
13. Mai 2022
Die EU-Kommission hat am vergangenen Mittwoch einen Entwurf für eine neue Verordnung veröffentlicht. Die Verordnung soll die Verbreitung von Kindesmissbrauchsdarstellungen im Netz bekämpfen. Der Entwurf trifft jedoch vor allem bei Datenschützern auf große Kritik.
Um was für eine Verordnung handelt es sich?
Die Verordnung soll den steigenden Zahlen an Kindesmissbrauchsdarstellungen und “Grooming”- Attacken (bei dem Kinder im Internet zu Missbrauchszwecken kontaktiert werden) im Internet entgegen wirken. Vor allem im Zuge der COVID-19-Pandemie haben diese deutlich zugenommen. Zwar gibt es einige Dienstanbieter, wie z.B. Google, die auf ihren Plattformen gezielt nach solchen Inhalten suchen und diese bei den Behörden melden. Dies erfolgt aber auf freiwilliger Basis und zu größten Teilen von US-Anbietern. Die EU-Kommission sieht dies als nicht ausreichend an und will EU-weit einen gesetzlichen Rahmen und somit Pflichten zum Aufspüren und Melden von solchen Inhalten schaffen. Warum neue Regelungen notwendig sind, hat sie zudem in einem Q&A begründet.
Was genau sieht die Verordnung vor?
Die Verordnung sieht vor, dass Internetdienstanbieter zunächst analysieren, wie groß das Risiko ist, dass ihr Dienst für solche Missbrauchs-Zwecke genutzt wird. Dann soll der Anbieter dementsprechend notwendige Maßnahmen ergreifen. Sollte dies den zuständigen Behörden nicht ausreichen, können diese die Anbieter dazu verpflichten, ihre Dienste mit Hilfe von Softwares zu durchsuchen. Dabei soll entsprechendes Missbrauchs-Bildmaterial entdeckt und gemeldet werden.
Auch das “Grooming” soll dadurch aufgespürt werden. Dazu sollen die Internetdienstanbieter auch Textnachrichten scannen dürfen. Durch welche Technik genau dies geschehen soll, ist noch unklar.
Sollten sich die Anbieter nicht daran halten, sieht der Verordnungs-Entwurf empfindliche Geldstrafen von bis zu 6 Prozent ihres weltweiten Jahresumsatzes vor. Für die Meldungen zuständig soll eine neu einzurichtende EU-Zentralstelle sein, die bei der EU-Polizeibehörde in Den Haag angesiedelt werden soll.
Was genau wird an der Verordnung kritisiert?
Kritiker richten sich selbstverständlich nicht gegen die Zielsetzung der Verordnung, verstärkt gegen Kindesmissbrauchsdarstellungen im Internet vorzugehen. Die Verordnung wird jedoch als unverhältnismäßig kritisiert und bereits jetzt als “Chatkontrolle” betitelt. Kritiker befürchten, dass es durch diese Verordnung zur anlasslosen Massenüberwachung kommt und die Sicherheit der Nutzer nicht mehr gewährleistet werden kann. Privatsphäre und vertrauliche Kommunikation würden unmöglich gemacht. Von der Verordnung betroffen wären auch Dienste wie WhatsApp und Signal, die ihren Nutzern eine verschlüsselte Kommunikation anbieten.
Problematisch sei vor allem, dass durch das grundsätzliche Ermöglichen von Durchsuchungen der Dienste leicht Missbrauch stattfinden könne. Sollten solche Systeme gehackt oder anderweitig missbraucht werden, könne theoretisch jeglicher Inhalt gefunden werden. Auch Inhalte wie z.B. die Kommunikation von Journalisten, Whistleblowern, Ärztinnen und anwaltliche Kommunikation wären davon betroffen.
Weiterhin wird kritisiert, dass die Verbreitung von Kindesmissbrauchsdarstellungen häufig auf einschlägigen Foren stattfinde und die Verordnung dementsprechend nicht zielführend sei.
Wie geht es weiter?
Die EU-Kommission wies die Kritik zurück und verwies darauf, dass die Internetdienstanbieter in der Verordnung angehalten werden, Methoden anzuwenden, die einen möglichst geringen Eingriff in die Privatsphäre der Nutzer darstellen. Als nächstes müssen das EU-Parlament und der Ministerrat über den Verordnungs-Entwurf beraten und die Verordnung dann gemeinsam erlassen. Hierbei kann es durchaus noch zu inhaltlichen Änderungen kommen, ob die Verordnung in ihrer jetzigen Form verabschiedet wird, dürfte also abzuwarten sein. Wenn sie verabschiedet wird, gilt sie als EU-Verordnung in jedem Mitgliedsstaat unmittelbar.
11. Mai 2022
Ob Wahlwerbung oder Rabattcodes – die eigenen Adressdaten und Daten zu Vorlieben haben die werbenden Unternehmen mit großer Wahrscheinlichkeit von Adresshändlern. Sie tragen Daten zusammen, verkaufen sie an ihre Werbekunden und nehmen so eine integrale Rolle im Direktmarketing ein. Mehr als tausend Adresshändler soll es allein in Deutschland geben, sagt der Deutsche Dialogmarketing-Verband (DDV). Deren Praxis wird nun gefährdet von einem Vorhaben der Datenschutzbeauftragten des Bundes und der Länder, die darin einen Verstoß gegen die DSGVO sehen.
Kritik aus datenschutzrechtlicher Sicht
Bislang konnte sich die Praxis auf ein “berechtigtes Interesse” gemäß Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage stützen, was nun laut einigen Datenschutzbeauftragten nicht mehr ausreichen soll. Dieser Gedanke ist nicht neu (wir berichteten ausführlich hier). Stattdessen brauche es eine Einwilligung, die informiert und freiwillig abgegeben worden sein muss. Der Verbraucher müsste also im Vorhinein darüber informiert werden, was mit seinen Daten passiert, wer der Empfänger welcher Daten ist und was wiederum beim Empfänger mit seinen Daten geschieht. Diese unaufgeforderte Aufklärung vorab ist für den Adresshändler de facto kaum umsetzbar. Die Aufklärungspflicht könnte damit eine echte Hürde für die gesamte Branche werden.
Ausblick
Diese Ansicht vertreten auf Anfrage der Süddeutschen Zeitung aktuell die Datenschutzbeauftragten von zehn Bundesländern. Man arbeite an einem Beschluss, um hier bundesweit einheitlich aufzutreten. Quer stellt sich allerdings vor allem die Landesbeauftragte für Datenschutz und Informationsfreiheit des Landes Nordrhein-Westfalen, Bettina Gayk, die das Stützen auf ein berechtigtes Interesse der Adresshändler an den Daten weiterhin für zulässig hält. Hierbei ist allerdings zu beachten, dass in Nordrhein-Westfalen mit Bertelsmann und der Deutschen Post immerhin zwei der größten Branchenvertreter ihren Sitz haben.
Ein Beschluss der Datenschutzkonferenz wird wohl noch etwas auf sich warten lassen. Aufgrund der großen Mehrheit der Datenschutzbehörden, die diese Ansicht vertreten, ist es jedoch wahrscheinlich, dass sich die Rechtslage für Adresshändler und damit für die gesamte Branche schon bald empfindlich spürbar verändert.
6. Mai 2022
Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat am 04.05.2022 ihre Forderung nach einem Beschäftigtendatenschutzgesetz veröffentlicht. In ihrer Ende April gefassten Entschließung begründen sie ihre Forderung nach einem Beschäftigtendatenschutzgesetz damit, dass die sich “dynamisch entwickelnde Digitalisierung zu tiefgreifenden Veränderungen der Arbeitswelt führt, die neue Möglichkeiten von Verhaltens- und Leistungskontrollen” ermögliche. Geregelt werden müsse u.a. der Einsatz von algorithmischen Systemen einschließlich Künstlicher Intelligenz (KI).
Der Vorsitzende der DSK, Professor Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) äußerte sich dazu: „Die gegenwärtigen Regelungen zum Beschäftigtendatenschutz reichen bei Weitem nicht aus. Der Gesetzgeber muss ein eigenständiges Beschäftigtendatenschutzgesetz schaffen.”
Ein Beispiel für Sachverhalte, die Regelungsgegenstand eines Beschäftigtendatenschutzgesetz werden können, ist die GPS-Überwachung von Firmenfahrzeugen. Dies ist bisher gesetzlich nicht reguliert und führt daher regelmäßig zu Gerichtsverfahren. Aber auch Regelungen über die Datenverarbeitung auf Grundlage von Kollektivvereinbarungen oder die Grenzen der Verhaltens- und Leistungskontrolle bedürfen gesetzlicher Klarstellungen.
Das Verwaltungsgericht (VG) Ansbach hat mit Urteil vom 23.02.2022 entschieden, dass die Videoüberwachung eines Fitnessstudios unzulässig ist.
Die Klägerin betreibt ein Fitnessstudio, welches drei Trainingsräume hat. Alle Trainingsräume wurden auf der gesamten Fläche durchgehend während der Öffnungszeiten videoüberwacht (ohne Tonaufzeichnung). Die Aufzeichnungen wurden 48 Stunden lang gespeichert und anschließend gelöscht. Hinweisschilder zur Videoüberwachung befanden sich auf Innen- und Außenseite der Eingangstür.
Ein Kunde des Fitnessstudios wandte sich an die zuständige Datenschutzbehörde, das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) und schilderte die Videoüberwachung. Daraufhin sandte das BayLDA einen Fragebogen an das Fitnessstudio. Der Betreiber des Fitnessstudios erklärte die Überwachung damit, dass sie der Prävention und Aufklärung von Diebstählen und Sachbeschädigungen, welche es in der Vergangenheit mehrfach gegeben habe, diene. Das BayLDA sah jedoch keine Notwendigkeit, dafür die gesamte Trainingsfläche zu überwachen. Vielmehr würde bei einer Interessenabwägung der Eingriff in das Grundrecht auf informationelle Selbstbestimmung (Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 GG) der Trainierenden, das Interesse des Betreibers überwiegen. Kernpunkt der Streitigkeit ist die Frage, ob die umfassende Videoüberwachung auf eine Rechtsgrundlage der DSGVO gestützt werden kann. Das BayLDA geht nicht davon aus und ordnete deswegen an, die Videoüberwachung auf die konkret gefährdeten Bereiche zu beschränken, z.B. die Spiegelwände. Gegen diese Anordnung erhob der Fitnessstudiobetreiber Klage.
Dieser Klage hat das VG Ansbach aber nicht stattgegeben. Das Gericht geht davon aus, dass die Anordnung des BayLDA rechtmäßig war und die Videoüberwachung beschränkt werden muss. Es schließt sich der Ansicht des BayLDA an, dass keine Rechtsgrundlage für die Überwachung vorliege. So lag insbesondere keine Einwilligung der Betroffenen (Art. 6 Abs. 1 a) DSGVO) vor, die Videoüberwachung war nicht für die Erfüllung des Vertrages notwendig (Art. 6 Abs. 1 b) Alt. 1 DSGVO) und der Betreiber kann sich auch nicht auf ein überwiegendes, berechtigtes Interesse (Art. 6 Abs. 1 f) Alt. 1 DSGVO) stützen. Um Straftaten zu verhindern, muss der Betreiber zunächst auf mildere Mittel zurückgreifen, z.B. auf eine Aufstockung des Personals.
29. April 2022
Verbraucherschutzverbände können gegen Verletzungen des Schutzes personenbezogener Daten stellvertretend für einzelne Nutzer klagen. Demnach müssen sich Facebook und perspektivisch auch andere Digitalkonzerne nun in der Zukunft Verbandsklagen stellen. Nach Ansicht der Richter ist eine solche Klageunabhängig von einer Verletzung eines subjektiven Rechts einer bestimmten Person und ohne entsprechenden Auftrag zulässig. Dies hat der Europäische Gerichtshof (EuGH) am 28.04.2022 entschieden.
Hintergrund der Entscheidung
Der EuGH entscheidet auf Vorlage des deutschen Bundesgerichtshofes (BGH) hin. In dem Verfahren zwischen dem Bundesverband der Verbraucherzentralen (vzbv) und dem Konzern Meta geht es darum, ob ein potenzieller Datenschutzverstoß des Betreibers eines sozialen Netzwerks auch wettbewerbsrechtliche Unterlassungsansprüche begründet und dementsprechend von Verbraucherschutzverbänden durch eine Klage vor den Zivilgerichten verfolgt werden kann.
Der Rechtsstreit dreht sich um das von Facebook betriebene App-Zentrum, über das kostenlos Online-Spiele von Drittanbietern von Facebook bereitgestellt werden. Der Nutzer erteilt hier mit dem Button “Sofort spielen” den Anbietern der Spiele seine Einwilligung, viele persönliche Daten zu verarbeiten und auszuwerten. Nach Ansicht des Verbraucherverbands werde diese Einwilligung nicht auf Grundlage einer verständlichen und präzisen Information über die Datenverarbeitungen eingeholt. Der Verbraucherverband sieht deshalb keine wirksame Einwilligung in die Datenverarbeitung. Er sieht in diesem Vorgehen zudem einen wettbewerblichen Verstoß.
Der BGH hatte grundsätzlich keine Zweifel daran, dass ein Vorgehen mittels wettbewerbsrechtlicher Unterlassungsansprüche begründet sein könnte. Zweifel meldete der BGH an der Zulässigkeit der Geltendmachung durch den Verband an. Schließlich seien die Aufsichtsbehörden dafür zuständig, die Einhaltung der Europäischen Datenschutz-Grundverordnung (DGSVO) zu überprüfen.
Inhalt der Entscheidung
Der EuGH stellt nun fest, dass die DSGVO einer nationalen Regelung nicht entgegensteht, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Datenschutzverletzer eine Art Sammelklage erheben kann. Er urteilte, dass ein Verband zur Wahrung von Verbraucher:inneninteressen wie der vzbv unter den Begriff einer im Sinne der DSGVO klagebefugten Einrichtung falle, da er ein im öffentlichen Interesse liegendes Ziel verfolge. Ein Auftrag betroffener Nutzerinnen oder Nutzer sei hierfür nicht erforderlich. Es reiche aus, wenn die Rechte “identifizierbarer natürlicher Personen” betroffen und nach Überzeugung des Verbands verletzt sind. Nach dem Urteil des EuGH kann nun der BGH entscheiden und wird der Klage sehr wahrscheinlich in gewissem Umfang stattgeben.
Jedenfalls öffnet das Urteil des EuGH nun weiteren Verbandsklagen Tür und Tor, denen sich die Digitalkonzerne werden stellen müssen. Das bietet eine Chance für eine effektivere Durchsetzung der DSGVO.
28. April 2022
Nachdem bereits in der letzten Woche die Landesbeauftragte für den Datenschutz Niedersachsen Unternehmen und öffentliche Stellen zur Löschung von Corona-Daten aufgefordert hatte (wir berichteten), werden nun auch Arbeitgeber in Hamburg zur Löschung dieser Daten aufgefordert.
In einer entsprechenden Pressemitteilung teilte der Hamburgische Beauftragte für Datenschutz und Informationssicherheit (HmbBfDI) Thomas Fuchs mit, dass ab dem 1. Mai 2022 aufgrund des Wegfalls der Hotspot-Regelungen in Hamburg viele gesetzliche Grundlagen für die Verarbeitung von Corona-Daten wegfielen. Die Unternehmen und öffentlichen Stellen sollten diese neue Phase der Pandemie zum Anlass nehmen, eine Inventur der Corona-Datenbestände durchzuführen. Vorhandene Datenbestände müssten daher überprüft und nicht mehr erforderliche Daten gelöscht werden.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit kündigte nun an, aktiv auf Kammern und Verbände zuzugehen und diese darüber zu informieren, was im Rahmen des “digitalen Frühjahrsputzes” zu tun sei.
26. April 2022
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg Dr. Stefan Brink erwartet von Schulen, dass sie Schüler:innen bis zu den Sommerferien 2022 Alternativen zum Cloud-Dienst MS 365 für den Schulbetrieb anbieten.
Microsoft 365 ist ein Online- bzw. Cloud-Dienst des Anbieters Microsoft. Spätestens ab dem kommenden Schuljahr sei die Nutzung von MS 365 an Schulen zu beenden. Andernfalls müssten die Schulen den datenschutzkonformen Betrieb des Cloud-Angebots eindeutig nachweisen können.
Pilotprojekt gescheitert
Die Entscheidung deutete sich schon länger an, der LfDI begleitete und beriet zuvor das Kultusministerium Baden-Württemberg über einen längeren Zeitraum in einem umfangreichen Pilotprojekt zum möglichen Einsatz von MS 365. Auch eine eigens modifizierte Version von Microsofts Programmpaket konnte Baden-Württembergs Datenschutzbeauftragten nicht überzeugen. Im Zuge dessen gab es weitere Sicherheitsfunktionen und Accounts ausschließlich für Lehrkräfte, nicht jedoch für Schüler:innen. Trotz der funktionell eingeschränkten und möglichst datenschutzkonformen Konfiguration von MS 365 sei eine datenschutzkonforme Nutzung kaum möglich. Nach dem Test kam Stefan Brink zu dem Ergebnis, dass die Schulen keine vollständige Kontrolle über das Gesamtsystem und den Auftragsverarbeiter in den Vereinigten Staaten hätten. Sie könnten nicht ausreichend nachvollziehen, welche personenbezogenen Daten wie und zu welchen Zwecken verarbeitet würden. Auch könne man nicht nachweisen, dass die Verarbeitung auf das notwendige Minimum reduziert sei. Die Ergebnisse der Prüfung sind hier abrufbar.
Alternativen vorhanden
Man werde in Kürze auf etwa 40 Schulen zugehen, die den Cloud-Dienst Microsoft 365 oder MS Teams verwenden und sie über seine rechtliche Bewertung zur Nutzung dieses Online-Dienstes informieren. Darüber hinaus werde man die Schulen um einen verbindlichen Zeitplan für den Umstieg auf Alternativen bitten. Zusammen mit dem Kultusministerium sollen die Schulen dann bei der Implementierung neuer Systeme unterstützt werden. Der Landesbeauftragte für den Datenschutz verweist dabei auf bereits erprobte Alternativen. Dazu gehören beispielsweise Moodle, itslearning oder das Web-Konferenzsystem BigBlueButton.
Umstieg kaum zu vermeiden
Sollten die Schulen dennoch den Cloud-Dienst weiter nutzen möchten, so müssten sie begründen, wie sie den datenschutzkonformen Betrieb garantieren und dies entsprechend ihrer Rechenschaftspflicht nach Artikel 5 Absatz 2 Datenschutz-Grundverordnung eindeutig nachweisen könnten. Dabei würde insbesondere die Drittstaatenübermittlung in die Vereinigten Staaten die Schulen vor größere Probleme stellen.
20. April 2022
In seinem Tätigkeitsbericht für das Jahr 2021 informierte das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) über den Missbrauch von Kundendaten zu privaten Zwecken.
Hintergrund waren die Beschwerden mehrerer Kunden, die sich an das ULD gewendet hatten. Sie wiesen darauf hin, dass verschiedene Unternehmen ihre personenbezogenen Daten nicht nur zu den vorgesehenen geschäftlichen Zwecken verwendeten. So kam es vor, dass ein Kunde beispielsweise in einem Kontaktformular seine Handynummer angab, um leichter erreichbar zu sein. Einige Mitarbeiter nutzten die angegebenen Handynummern allerdings nicht ausschließlich für geschäftliche Zwecke. Stattdessen kontaktierten sie die Kunden, um ein persönliches Kennenlernen oder privates Treffen zu arrangieren.
Beim Umgang mit Kundendaten sind die datenschutzrechtlichen Vorgaben der DSGVO zu beachten. Insbesondere sind die Grundsätze der „Integrität und Vertraulichkeit“ nach Art. 5 Abs. 1 lit. f DSGVO beachtet. Demzufolge müssen personenbezogene Daten in einer Weise verarbeitet werden, „(…) die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich [dem] Schutz vor unbefugter oder unrechtmäßiger Verarbeitung (…)“. Laut dem ULD hat das Unternehmen die Aufgabe geeignete technische und organisatorische Maßnahmen zu ergreifen, um diesen Grundsatz bei der Datenverarbeitung zu garantieren. Dazu zählt es Mitarbeiterschulungen durchzuführen, die über den datenschutzkonformen Umgang mit Kundendaten informieren.
Das ULD stellte fest, dass in den zur Beschwerde gebrachten Fällen eine unrechtmäßige Verarbeitung personenbezogener Daten stattfand. Daraufhin erteilte sie den Verantwortlichen einen Hinweis nach Art. 58 Abs. 1 lit. d DSGVO. Obwohl die betroffenen Unternehmen ihre Mitarbeiter bereits vor den Missbräuchen im Datenschutzrecht geschult hatten, fand eine erneute Sensibilisierung der Mitarbeiter statt. Als weitere Sanktion verhängten einige Unternehmen arbeitsrechtliche Konsequenzen.
7. April 2022
Während der 103. Sitzung der Datenschutzkonferenz (DSK) stellte eine eigens eingerichtete Taskforce ihr Gutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook– Fanpages vor. Die DSK hatte diese Taskforce anlässlich eines Urteils des EuGH vom 05. Juni 2018 (C-210/16 „Wirtschaftsakademie“) eingerichtet. Der EuGH hatte festgestellt, dass der Betreiber einer Fanpage auf Facebook und Facebook gemeinsam Verantwortliche iSd Art. 26 DSGVO sind. Ausreichend für die gemeinsame Verantwortlichkeit war es, dass der Betreiber der Fanpage Kriterien festlegen kann, nach denen Facebook eine anonymisierte Statistik erstellt und somit „(…) an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt ist.“ (EuGH, Urteil v. 05.06.2018, C-210/16, Rn. 39)
Die Taskforce untersuchte in ihrem Gutachten, ob die Verwendung der sog. Insights durch die Betreiber von Fanpages vor dem Hintergrund der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO rechtmäßig ist. Insights sind von Facebook gesammelte Statistiken, mit denen das Nutzerverhalten auf Fanpages dokumentiert werden kann.
Es wurde festgestellt, dass Facebook keine ausreichenden Informationen zur Verfügung stelle, um bewerten zu können, ob die Datenverarbeitung im Zusammenhang mit Insights datenschutzkonform erfolge. Der Betreiber einer Fanpage müsse als gemeinsam mit Facebook Verantwortlicher eine für die Datenverarbeitung erforderliche Rechtsgrundlage nachweisen können.
Als Rechtsgrundlage komme weder die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO noch ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO in Betracht. Aufgrund der unzureichenden Informationslage stünden den Betreibern nicht die Informationen zur Verfügung, derer es für eine wirksame Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO bedarf. Aus dem gleichen Grund könne ebenfalls keine Interessenabwägung erfolgen, die für die Begründung eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO erforderlich sei. Außerdem sei es den Betreibern einer Fanpage demnach auch nicht möglich ihren Informationspflichten nach Art. 13 DSGVO nachzukommen.
Reaktion auf das Kurzgutachten
Als Reaktion auf dieses Gutachten hat die DSK beschlossen, dass alle den Datenschutzbeauftragten des Bundes und der Länder unterstehende Bundes- und Landesbehörden ihre Facebook-Fanpages auf datenschutzrechtliche Konformität überprüfen und ggf. abstellen sollten. Aufgrund ihrer Vorbildfunktion sollten zunächst die Facebook – Fanpages öffentlicher Stellen kontrolliert werden.
Daraufhin informierten u.a. die Datenschutzbeauftragten der Länder Bremen und Brandenburg die ihnen unterstehenden öffentlichen Behörden über die nun zu ergreifende Maßnahmen.
In ihren Entscheidungen über Vertragsverletzungsverfahren hat die Europäische Kommission die Länder Deutschland, Griechenland, Finnland und Schweden dazu aufgefordert ihren Meldepflichten aus der Datenschutzgrundverordnung (DSGVO) und der Richtlinie zum Datenschutz bei der Strafverfolgung nachzukommen.
Aus der Entscheidung der Kommission geht hervor, dass Deutschland noch keine Maßnahmen zur Umsetzung der Richtlinie zum Datenschutz bei der Strafverfolgung in Bezug auf die Tätigkeiten der Bundespolizei mitgeteilt habe. Auch Griechenland habe einige Bestimmungen nicht ordnungsgemäß umgesetzt. Betroffen sind hier insbesondere Festsetzungen hinsichtlich des Anwendungsbereichs der Richtlinie zum Datenschutz bei der Strafverfolgung und die Fristen für die Speicherung von Daten. Neben Deutschland und Griechenland bemängelte die Kommission ebenfalls die mangelhafte Umsetzung datenschutzrechtlicher Verpflichtungen in den Ländern Finnland und Schweden. Im Rahmen der Durchsetzung von Betroffenenrechten wären die Länder in bestimmten Fällen dem Recht auf einen wirksamen gerichtlichen Rechtsbehelf nicht nachgekommen.
Die Länder haben nun innerhalb von zwei Monaten die Möglichkeit auf das Schreiben zu reagieren und die für das Abstellen der von der Kommission festgestellten Verstöße notwendigen Maßnahmen zu ergreifen. Kommen die Länder diesem Erfordernis nicht nach, so kann die Kommission eine begründete Stellungnahme übermitteln.
Pages: 1 2 ... 13 14 15 16 17 ... 38 39 
