Kategorie: DSGVO

Deutschland, Griechenland, Finnland und Schweden müssen bei Datenschutz nachbessern

7. April 2022

In ihren Entscheidungen über Vertragsverletzungsverfahren hat die Europäische Kommission die Länder Deutschland, Griechenland, Finnland und Schweden dazu aufgefordert ihren Meldepflichten aus der Datenschutzgrundverordnung (DSGVO) und der Richtlinie zum Datenschutz bei der Strafverfolgung nachzukommen.

Aus der Entscheidung der Kommission geht hervor, dass Deutschland noch keine Maßnahmen zur Umsetzung der Richtlinie zum Datenschutz bei der Strafverfolgung in Bezug auf die Tätigkeiten der Bundespolizei mitgeteilt habe. Auch Griechenland habe einige Bestimmungen nicht ordnungsgemäß umgesetzt. Betroffen sind hier insbesondere Festsetzungen hinsichtlich des Anwendungsbereichs der Richtlinie zum Datenschutz bei der Strafverfolgung und die Fristen für die Speicherung von Daten. Neben Deutschland und Griechenland bemängelte die Kommission ebenfalls die mangelhafte Umsetzung datenschutzrechtlicher Verpflichtungen in den Ländern Finnland und Schweden. Im Rahmen der Durchsetzung von Betroffenenrechten wären die Länder in bestimmten Fällen dem Recht auf einen wirksamen gerichtlichen Rechtsbehelf nicht nachgekommen.

Die Länder haben nun innerhalb von zwei Monaten die Möglichkeit auf das Schreiben zu reagieren und die für das Abstellen der von der Kommission festgestellten Verstöße notwendigen Maßnahmen zu ergreifen. Kommen die Länder diesem Erfordernis nicht nach, so kann die Kommission eine begründete Stellungnahme übermitteln.

Privacyshield 2.0 – Bald eine neue Rechtsgrundlage für Datenübermittlungen in die USA?

31. März 2022

Am 25. März 2022 haben sich die Vereinigten Staaten und die Europäische Kommission mit einer gemeinsamen Erklärung im Grundsatz auf einen neuen transatlantischen Datenschutzrahmen geeinigt. Dieser soll möglicherweise bald den vom Europäischen Gerichtshof verworfenen Privacy-Shield-Rahmen ablösen.

Die Entscheidung ist das Ergebnis von mehr als einem Jahr intensiver Verhandlungen zwischen den USA und der EU. Die Hoffnungen sind groß, dass dieser neue Rahmen eine dauerhafte und rechtssichere Grundlage für den Datenverkehr zwischen der EU und den USA bildet.

Das Weiße Haus erklärte, dass der transatlantische Datenschutzrahmen „den transatlantischen Datenverkehr fördern und die Bedenken ausräumen wird, die der Gerichtshof der Europäischen Union geäußert hat, als er im Jahr 2020 die Angemessenheitsentscheidung der Kommission, die dem EU-US-Datenschutzschild zugrunde lag, für ungültig erklärte“.

Wie das Privacy Shield ist die Grundlage dieses neuen Rahmens die Selbstzertifizierung gegenüber dem US-Handelsministerium. Für Datenexporteure in der EU ist es dann von entscheidender Bedeutung sicherzustellen, dass ihre Datenimporteure in den USA nach dem neuen Rahmenwerk zertifiziert sind.

Durch den Rahmen soll außerdem neben einer effektiveren Aufsicht über die Geheimdienste ein mehrstufiges Rechtsbehelfssystem eingerichtet werden. Dieses schließt einen „Independent Data Protection Review Court“ ein, der die Befugnis haben soll, von EU-Bürgern erhobene Ansprüche gegen Überwachungsmaßnahmen der Geheimdienste zu beurteilen und erforderlichenfalls Abhilfemaßnahmen in rechtlich bindender Weise anzuordnen.

Aus mehreren Gründen steht diese Entscheidung jedoch auf wackeligen Beinen. Erstens handelt es sich bei der Entscheidung zunächst nur um eine politische Entscheidung im Grundsatz. Weder sind Details geklärt noch hat die Europäische Kommission den Prozess zu einer Angemessenheitsentscheidung anlaufen lassen. Entsprechend der Ankündigungen des Datenschutzaktivisten Max Schrems und noyb dürfte sich zudem auf Klagen vor den EU-Gerichten einzustellen sein. Es bleibt daher abzuwarten, ob dieser neue Rahmen den erhofften Abschluss zum Thema transatlantische Datenströme bringen wird. Bis dahin müssen Unternehmen weiterhin auf die Standardvertragsklauseln und zusätzliche Maßnahmen für ein angemessenes Datenschutzniveau setzen.

Großteil der EU-Onlineapotheken verstößt gegen die DSGVO

30. März 2022

Spätestens seit Einsetzen der Corona-Pandemie erfreuen sich Online-Apotheken immer größerer Beliebtheit. Nun hat eine Marktanalyse des Münchner Unternehmens „Usercentrics“ ergeben, dass 89 % der 150 beliebtesten Arzneimittelversender in der EU rechtswidrig Cookies einsetzen. Besonders brisant daran ist, dass gerade in diesem Geschäftsbereich sensible Gesundheitsdaten ohne Einwilligung der Betroffenen abgefragt werden.

Hintergrund

„Cookies“ sind Datensätze, die bei dem Besuch fast jeder Website gespeichert und oft an Dritte übermittelt werden. Wer eine Website betreibt und dabei Cookies verwendet, muss nach Art. 6 Abs. 1 lit. a, 7 DSGVO die Einwilligung der Besucher in die Verarbeitung ihrer personenbezogenen Daten einholen. Ausgenommen davon sind lediglich solche Cookies, die technisch notwendig sind, um den Besuch der Website zu ermöglichen. Die Einwilligung in Cookies erfolgt über Cookie-Banner, deren oft fehlerhafte Ausgestaltungen immer wieder Gegenstand von Busgeldverfahren sind (wir berichteten zuletzt hier).

Ergebnis der Marktanalyse

„Usercentrics“ ist genau auf diesem Gebiet tätig und entwickelt Software, mithilfe derer Einwilligungen in Cookies rechtskonform eingeholt werden sollen. Für das Unternehmen selbst hat sich die Marktanalyse als äußerst ergiebig erwiesen: Es besteht großer Nachholbedarf beim Cookie-Management.

So setzten 89% der gescannten Apotheken mindestens ein Cookie, ohne die hierzu erforderliche Einwilligung der Nutzer einzuholen. In Deutschland waren es sogar 100 % der untersuchten Anbieter.

62 % dieser rechtswidrig gesetzten Cookies waren solche, die Marketingzwecken von Drittanbietern dienten.

Außerdem aktivierten die Website-Betreiber 55 % der nicht notwendigen Cookies sofort beim Besuch der Website, ohne eine Einwilligung der Nutzer abzuwarten.

Missbrauch von Gesundheitsdaten

Im Einzelnen heißt das: Ein Großteil der Online-Apotheken speichert ohne die Einwilligung ihrer Besucher Datensätze, die Rückschlüsse auf die Gesundheit des Nutzers zulassen. Darunter sind personenbezogene Daten wie die IP-Adresse, die gesuchten Produkte, angesehene Produkte und Browserverlauf. Diese Daten können dazu genutzt werden, ein Profil des Kunden zu erstellen, um gezielt Produkte zu bewerben. Bei den Marketing-Unternehmen handelt es sich oft nicht über den Apothekenhändler selbst, sondern Drittanbieter. So werden sensible Daten über individuelle Krankheiten -völlig außer Kontrolle der Betroffenen- rechtswidrig erhoben, zweckentfremdet und weitergegeben.

Es bleibt zu hoffen, dass die Online-Arzneimittelhändler spätestens jetzt ihre Cookie-Banner überprüfen und aktualisieren, um Bußgelder zu vermeiden.

VG Wiesbaden: Dauerhafte Speicherung von GPS-Daten verstößt gegen DSGVO

Mit Urteil vom 17.01.2022 (6 K 1164/21.WI) hat sich das Verwaltungsgericht Wiesbaden zur GPS-Überwachung von Fahrzeugen geäußert.

Ein Unternehmen der Logistikbranche hatte seit April 2020 GPS-Systeme in ihre 55 Firmenfahrzeuge eingebaut. Diese Systeme erheben und speichern Daten zum Tracking dieser Fahrzeuge. So sind u.a. die Bestimmung des Live-Standorts der Fahrzeuge, die Speicherung der Standortdaten und die Messung des Benzinverbrauchs möglich. Das Unternehmen begründet dies damit, dass das Geo-Tracking der Ortung einzelner Fahrzeuge diene, um bei Missbrauch und Diebstahl eingreifen zu können. Zudem sollen der Benzinverbrauch und der jeweilige Kraftstoffbestand in den Tanks überwacht werden, um Kraftstoffdiebstahl zu verhindern. Teilweise fanden auch Zuordnungen zum Inhaber der Fahrerkarte statt. Die Daten der Fahrerkarten wurden für 28 Tage gespeichert, alle übrigen Daten für 400 Tage.

Eine Information der Mitarbeiter über die Einführung des GPS-Trackings erfolgte nicht. Der hessische Datenschutzbeauftragte erfuhr von diesem Vorgehen und meldete sich bei dem Unternehmen. Letztlich forderte er das Unternehmen auf, das GPS-Tracking zukünftig zu unterlassen und erhobene Daten zu löschen. Gegen diesen Bescheid erhob das Unternehmen Klage.

Die Klage wies das VG Wiesbaden nun ab. Im Ergebnis ging das Gericht davon aus, dass für die Datenverarbeitung des Unternehmens keine Rechtsgrundlage existiere, sodass die Verarbeitung nicht rechtmäßig sei, Art. 5 Abs. 1 lit. a) DS-GVO. Eine Einwilligung der betroffenen Beschäftigten lag nicht vor. Auch seien die berechtigten Interessen des Unternehmens gem. Art. 6 Abs. 1 lit. f) DS-GVO nicht gegenüber den berechtigten Interessen der Betroffenen vorrangig. Dazu führt das Gericht u.a. aus: „Die danach vorzunehmende Abwägung der Interessen der Klägerin einerseits und der betroffenen Mitarbeiter andererseits fällt zu Lasten der Klägerin aus, weil die Datenspeicherung des Standorts, zumal über 400 Tage lang, nicht verhältnismäßig ist. […] Die Zulässigkeit der Datenerhebung und erst recht der Speicherung scheitert nach Auffassung des Gerichts schon daran, dass sie geheim erfolgt, ohne dass erkennbar ist, warum die Mitarbeiter der Klägerin nicht wissen dürfen, dass ihr Arbeitgeber sie bei Fahrten konstant überwacht.“

Das Urteil verdeutlicht einmal mehr, dass Unternehmen mit den Daten ihrer Beschäftigten sehr bedacht umgehen sollten.

Niederländische Aufsichtsbehörde verhängt Bußgeld in Höhe von 525.000 €

22. März 2022

Aus einer Pressemitteilung der niederländischen Aufsichtsbehörde Autoriteit Persoonsgegevens („AP“) geht hervor, dass gegen die DPG Media Magazines B.V. eine Geldstrafe in Höhe von 525.000 Euro verhängt wurde.

Vorausgegangen waren mehrere Beschwerden gegenüber der AP über die Art und Weise, wie Sanoma Media Netherlands B.V. (jetzt DPG Media Magazines B.V.) mit dieser Art von Anfragen umging. Die Personen, die sich beschwerten, hatten z. B. ein Abonnement für eine Zeitschrift. Das Medienunternehmen wurde infolgedessen zu der Geldstrafe verurteilt, weil Personen, die ihre Daten einsehen oder löschen lassen wollten, zunächst einen Identitätsnachweis hochladen mussten. Darüber hinaus wurden die Betroffenen nicht darüber informiert, dass sie Daten aus dem Dokument sperren dürfen. Laut der AP sei dies in dieser Situation jedoch nicht notwendig. Das Medienunternehmen fordere somit zu viele personenbezogene Daten an.

Hinsichtlich der behördichen Entscheidung äußerte sich Monique Verdier, Vizepräsidentin der AP: „Man darf nie einfach einen Identitätsnachweis verlangen. Er enthält eine Menge personenbezogener Daten. Selbst wenn Teile eines Ausweises geschützt sind, ist es oft zu schwierig, anhand einer Kopie festzustellen, ob jemand derjenige ist, der er vorgibt zu sein. Auch Kopien von Ausweispapieren müssen mit großer Sorgfalt aufbewahrt werden.“

Die DPG Media Magazines B.V. legte gegen den Bußgeldbescheid der Autoriteit Persoonsgegevens Widerspruch ein.

Finanzamt kann das pauschale Verlangen auf Zurverfügungstellung einer Kopie der gesamten Steuerakte verweigern

18. März 2022

Nach Art. 15 Abs. 1 DSGVO hat jede betroffene Person das Recht, von dem Verantwortlichen Auskunft darüber zu verlangen, ob und wenn ja, welche personenbezogene Daten von dieser Person verarbeitet werden. Nach Art. 15 Abs. 3 DSGVO hat der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen.

Mit Urteil vom 27.10.2021 (Az. 16 K 5148/20) verneinte das Finanzgericht Berlin-Brandenburg den Anspruch eines Steuerpflichtigen gegen ein Finanzamt auf Zurverfügungstellung einer physischen oder elektronischen Kopie der Steuerakten jedoch. Begründet wurde dies damit, dass das pauschale Auskunftsverlangen des gesamten Inhalts der vom Finanzamt geführten Steuerakten zu exzessiv sei. Zwar sei, so das Gericht, der Anwendungsbereich der DSGVO auch im Bereich der Steuerverwaltung eröffnet. Auch die weiteren Voraussetzungen der DSGVO seien gegeben, insbesondere stellten alle in einer Steuerakte erfassten Informationen personenbezogene Daten des Steuerpflichtigen dar. Das Recht auf eine umfassende Zurverfügungstellung der gesamten Steuerakte verneinte das FG Berlin-Brandenburg dennoch.

Zur Begründung führte es aus, dass das Recht auf Auskunft und das Recht auf Kopie aus Art. 15 Abs. 1 und Abs. 3 DSGVO einen einheitlichen Anspruch darstelle und das Recht auf Erhalt einer Kopie daher auf die Kataloginformationen des Art. 15 Abs. 1 lit. a bis h DSGVO beschränkt sei, ohne weitere Ansprüche der Betroffenen zu begründen. Insbesondere sei nicht erforderlich eine betroffene Person über sämtliche beim Finanzamt gespeicherte Dokumente oder Dateien zu informieren. Das Ziel des Steuerpflichtigen, eine Überprüfung zu ermöglichen würde erreicht, wenn man ihm die Informationen aus Art. 15 Abs. 1 DSGVO zur Verfügung stelle, d.h. grundlegende Informationen zur Verarbeitung.

Schließlich stünde dem Begehren des Steuerpflichtigen nach Ansicht des Gerichts auch Art. 12 Abs. 5 S. 2 DSGVO entgegen. Danach kann der Verantwortliche bei offenkundig unbegründeten oder exzessiven Anträgen einer betroffenen Person, entweder ein angemessenes Entgelt verlangen oder sich weigern, aufgrund des Antrags tätig zu werden. Im vorliegenden Fall habe der auskunftsbegehrende Steuerpflichtige mit seinem pauschalen Auskunftsverlangen auf Überlassung sämtlicher Akten des Finanzamt in Bezug auf seine Person offensichtlich überschießend gehandelt. Daher konnte das Finanzamt ohne Nachweis für den exzessiven Charakter des Begehrens dieses verneinen. Außerdem diente das Bestreben des Steuerpflichtigen nach Einschätzung des Gerichts auch nicht den Zielen der DSGVO, d.h. dem Schutz seiner Privatsphäre. Auch weitere Anspruchsgrundlagen verneinte das Gericht.

Irische Datenschutzbehörde verhängt Bußgeld gegen Meta in Höhe von 17 Mio. EUR

16. März 2022

Die irische Datenschutzkommission (DPC) hat am 15.03.2022 eine Pressemitteilung veröffentlicht, in der sie mitteilte, dem Konzern Meta Platforms (ehem. Facebook) ein Bußgeld von 17 Mio. EUR auferlegt zu haben. Grund dafür seien insgesamt zwölf Datenschutzverstöße zwischen Juni und Dezember 2018. In diesen Fällen habe es keine angemessenen technischen und organisatorischen Maßnahmen gegeben, um Daten von EU-Nutzern zu schützen. Konkret habe Meta Platforms gegen Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO verstoßen.

Da die Datenverarbeitung von Meta Platforms eine (EU-) grenzüberschreitende ist, waren die anderen europäischen Datenschutzbehörden ebenfalls in diese Entscheidung involviert. Meta Platforms hat seinen Hauptsitz in Dublin (Irland), deshalb ist die irische Datenschutzbehörde gem. Art. 56 DSGVO ‚federführend‘. Dies bedeutet, dass sie hauptzuständiger, zentraler Ansprechpartner in dieser Angelegenheit ist und das Verfahren leitet.

Meta Platforms bzw. Facebook stand in der Vergangenheit für seinen Umgang mit Daten wiederholt in der Kritik. Erst kürzlich hatte Facebook verkündet, die automatische Gesichtserkennung auf ihrer Plattform abzuschaffen. Die irische Datenschutzbehörde hatte zudem gegen die Facebook-Tochter WhatsApp erst im September 2021 ein Rekord-Bußgeld in Höhe von 225 Mio. EUR erlassen. Grund dafür war u.a. die Weitergabe von Nutzerdaten an andere Facebook-Unternehmen.

Angemessenheitsbeschlüsse nach Art. 45 DSGVO

9. März 2022


Die Europäische Kommission kann sogenannte Angemessenheitsbeschlüsse fassen. Aus dem Angemessenheitsbeschluss der Kommission hat sich gemäß Art. 45 Abs. 3 S. 1 DSGVO ergeben, dass ein Drittland, das nicht an die DSGVO gebunden ist, ein angemessenes Schutzniveau aufweist und dies förmlich von der Kommission festgestellt wird. Die diesbezüglichen Erkenntnisse und Begründungen der Kommission, die ihre Feststellung untermauern, finden sich in den Erwägungsgründen des Beschlusses wieder. Wird ein entsprechender Angemessenheitsbeschluss für ein Drittland von der Europäischen Kommission unter der Prämisse gefasst, dass dieses Drittland auch sonstige Bestimmungen der DSGVO einhält, so dürfen personenbezogene Daten ohne weitere Genehmigung an das jeweilige Land übermittelt werden. Datentransfers auf der Grundlage eines Angemessenheitsbeschlusses genießen das Privileg, dass sie Datentransfers innerhalb der EU gleichgestellt werden. Ende letzten Jahres hatte die Europäische Kommission am 17. Dezember 2021 einen Angemessenheitsbeschluss für die Übermittlung personenbezogener Daten aus der EU nach Südkorea im Rahmen der Datenschutzgrundverordnung angenommen.

Zur Zeit existieren für insgesamt 14 Staaten Angemessenheitsbeschlüsse:

  • Andorra
  • Argentinien
  • Kanada
  • Färöer-Inseln
  • Guernsey
  • Israel
  • Isle of Man
  • Japan  
  • Jersey
  • Neuseeland
  • Republik Korea (Südkorea)
  • Schweiz
  • Uruguay
  • Vereinigtes Königreich  

Die Angemessenheitsbeschlüsse von Andorra, Argentinien, Kanada, Färöer-Inseln, Guernsey, Israel, Isle of Man, Jersey, Nueseeland, Schweiz und Uruguay hat die Europäische Kommission noch auf Grundlage von Art. 25 Abs. 6 der Richtlinie 95/46/EG („EU-Datenschutzrichtlinie“) erlassen. Sie gelten auch nach Inkrafttreten der DSGVO zum 25.05.2018 fort, solange die Europäische Kommission nicht gemäß Art. 45 Abs. 9 DSGVO ihre Änderung, Ersetzung oder Aufhebung beschließt. Von dieser Möglichkeit hat die Europäische Kommission bislang jedoch keinen Gebrauch gemacht.
Zu beachten ist außerdem, dass sich die jeweiligen Angemessenheitsbeschlüsse in ihrer inhaltlichen Reichweite von Land zu Land unterscheiden können.

Die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zweck der Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, lässt sich generell nicht auf einen Angemessenheitsbeschluss stützen. Hierfür ist auf folgende Richtlinie (EU) 2016/680 hinzuweisen (Richtlinie Justiz/Inneres, sog. JI-Richtlinie).

Ferner sollte bei dem Transfer von Daten, auf der Grundlage einer Adäquanzentscheidung der Europäischen Kommission, dringend geprüft werden, ob der konkret geplante Transfer auch von der Tragweite des Angemessenheitsbeschlusses umfasst ist. Fällt diese Prüfung positiv aus, können Daten ohne weitere Vorkehrungen zur Absicherung eines angemessenen Datenschutzniveaus im Empfängerland übertragen werden.

Wichtig ist indes zu beachten, dass Verantwortliche und Auftragsverarbeiter trotz eines vorhandenen Angemessenheitsbeschlusses in einem Drittland selbstverständlich nicht von der Verpflichtung entbunden sind, weitere sonstige Voraussetzungen an eine rechtmäßige Datenverarbeitung, die sich aus den geltenden Datenschutzgesetzen ergeben (wie bspw. das Erfordernis, einen Vertrag zur Auftragsdatenverarbeitung abzuschließen), zu erfüllen!

Datenschutzaufsichtsbehörde verhängt ein Millionenbußgeld gegen eine Wohnungsbaugesellschaft

8. März 2022

Wegen umfangreicher Verstöße gegen die DSGVO hat Bremens Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Anfang März ein Bußgeld von rund 1,9 Millionen Euro gegen eine Bremer Wohnungsbaugesellschaft verhängt.

Hintergrund des Bußgeldverfahrens war, dass die Wohnungsbaugesellschaft Daten von über 9.500 Mietinteressenten erhob, ohne dafür eine Rechtsgrundlage zu haben. Nach Angaben der LfDI Bremen wurden dabei Daten über die ethnische Herkunft, Hautfarbe, Religionszugehörigkeit, die sexuelle Orientierung und den Gesundheitszustand der potentiellen Mieter unzulässig verarbeitet. Auch Daten über das persönliche Auftreten der Interessenten wie z.B. die Frisur o.ä. wurden in großem Umfang gesammelt, ohne für den Abschluss eines Mietvertrags erforderlich zu sein. Besonders problematisch an der Erhebung der Daten war, dass es sich bei einem Großteil der gesammelten Daten um besonders sensible und damit von der DSGVO besonders schützenswerte Daten handelte. Diese dürfen nur in Ausnahmefällen und mit einer entsprechenden rechtlichen Grundlage (Art. 9 DSGVO) verarbeitet werden. Eine solche lag nicht vor.

Bei Verstößen gegen die Grundsätze der datenschutzrechtlichen Verarbeitung sieht die DSGVO in Art. 83 DSGVO Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes vor.

Obwohl die LfDI aufgrund der „außerordentliche Tiefe“ der Verletzung des Datenschutzes ein höheres Bußgeld für angemessen hielt, reduzierte sie das Bußgeld auf rund 1,9 Millionen Euro. Grund dafür war, dass die Wohnungsbaugesellschaft im datenschutzrechtlichen Aufsichtsverfahren mit der Behörde umfangreich zusammenarbeitete und sich um Schadensminderung und Sachverhaltsermittlung bemühte.

Immobilien- und Hausverwaltungen sollten diesen aber auch vergangene Bußgeldbescheide beispielsweise gegen die Deutsche Wohnen nun unbedingt zum Anlass nehmen, ihre Unterlagen wie z.B. Mieterselbstauskünfte auf Datenschutzkonformität zu überprüfen.

Sozialdatenschutz verstorbener Personen

4. März 2022

Auskunftsanspruch nach Art. 15 DS-GVO iVm § 83 SGB X

Wird der Nachlass einer Person geregelt, wird häufig außer Acht gelassen, dass auch analoge oder digitale Daten vererbt werden können. Dies führt dazu, dass Erben häufig nicht wissen, ob und wie sie auf die Daten einer verstorbenen Person zugreifen dürfen. Die DSGVO hat ermöglicht, dass die nationalen Gesetzgeber zum Datennachlass eigene Regelungen treffen dürfen. Der deutsche Gesetzgeber hat diese Möglichkeit im Bereich des Sozialdatenschutzes genutzt, was den Umgang mit den vererbten Daten somit erleichtert.

1. Rechtslage unter der DSGVO

In Art. 15 DSGVO wird der Auskunftsanspruch der betroffenen Person gegenüber dem Verantwortlichen geregelt. Hiernach steht der betroffenen Person das Recht zu, erfahren zu dürfen, welche personenbezogenen Daten von ihr durch die Verantwortlichen verarbeitet werden. Verstirbt eine Person, stellt sich für die Hinterbliebenen jedoch die Frage, ob sie nach aktueller Rechtslage ein Auskunftsbegehren geltend machen können. Das könnte beispielsweise für Hinterbliebene von Interesse sein, wenn es darum geht, ein rechtliches Interesse im Namen der verstorbenen Person durchzusetzen.

Grundsätzlich ist die Datenschutz-Grundverordnung gemäß Erwägungsgrund 27 S.1 DSGVO nicht auf Verstorbene anwendbar. Verstirbt die betroffene Person, wären die Erben nach Satz 1 nicht dazu berechtigt, das Auskunftsbegehren in Hinblick auf die Daten der verstorbenen betroffenen Person geltend zu machen. Satz 2 des Erwägungsgrundes 27 DSGVO ermöglicht es den Mitgliedstaaten jedoch, Vorschriften für die Verarbeitung personenbezogener Daten von Verstorbenen zu erlassen. Der deutsche Gesetzgeber hat im Sozialdatenschutz von dieser Möglichkeit Gebrauch gemacht. In § 35 Abs. 5 SGB I ist folglich ausdrücklich geregelt, dass die DSGVO auch für den Sozialdatenschutz Verstorbener gelten soll. Personenbezogene Daten gemäß Art. 3 Abs.1 DSGVO sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Weder Art. 4 Nr. 1 DSGVO noch Art. 9 DSGVO enthalten den Begriff der Sozialdaten. Allerdings wird dieser in § 67 Abs. 2 S. 1 SGB X genannt, wonach Sozialdaten: personenbezogene Daten gem. Art. 4 Nr. 1 DS-GVO sind, die von einer in § 35 SGB I genannten Stelle im Hinblick auf ihre Aufgaben verarbeitet werden. Die Aufgaben werden in § 67 Abs. 3 SGB X näher definiert.

2. Wo ist das Auskunftsbegehren geregelt?

Das Auskunftsbegehren ist auch für den Sozialdatenschutz in Art. 15 DSGVO geregelt. Gemäß § 35 Abs. 2 SGB I gibt es allerdings die Möglichkeit, Ausnahmen zum Auskunftsbegehren nach Art. 15 DSGVO zu regeln. Solche finden sich in § 83 SGB X. Anspruchsgrundlage für ein Auskunftsbegehren bezogen auf Sozialdaten ist demnach Art. 15 DS-GVO iVm § 83 SGB X.

3. Voraussetzungen für ein Anspruchsbegehren

Damit ein Anspruchsbegehren geltend gemacht werden kann, müssen die folgenden Anspruchsvoraussetzungen erfüllt sein:

a) Verantwortliche

Zunächst muss das Auskunftsbegehren gegenüber dem richtigen Verantwortlichen erfolgen. Dies folgt aus Art. 15 Abs. 1 DSGVO. Wer Verantwortlicher ist, definiert Art. 4 DSGVO, hier gilt jedoch § 67 Abs. 4 SGB X ergänzend.

b) Angehörige und Erbenstellung

In § 35 Abs. 5 SGB I geht nicht ausdrücklich hervor, wer Ansprüche der verstorbenen Person geltend machen darf. Erwähnt werden nur die schutzwürdigen Interessen der verstorbenen Person oder den schutzwürdigen Interessen der Angehörigen. Wer Angehörige sind, ist wiederum in § 16 Abs. 5 SGB X geregelt. Die Verwendung des Begriffs der Angehörigen in § 35 Abs. 5 SGB I ist nicht damit gleichzusetzen, dass diese automatisch auch Anspruchsberechtigte sind. Art. 15 DSGVO nennt nur die betroffene Person selbst, die das Begehren geltend machen kann. Verstirbt die Person jedoch, gehen ihre Daten nach § 1922 BGB in die Erbschaftsmasse über, sodass die Erben in die Rechtsstellung der betroffenen Person eintreten und die Ansprüche geltend machen können. Diese benötigen zum Beweis ihrer Stellung beispielsweise einen Erbschein. Anspruchsberechtigt sind also die Erben, die jedoch nicht unbedingt auch gleichzeitig die Angehörigen sein müssen.

c) Rechtsgrundlage für die Verarbeitung der Daten durch den Verantwortlichen

Aus § 35 Abs. 5 S. 2 SGB I folgt, dass eine Datenverarbeitung dann erfolgen kann, wenn schutzwürdige Interessen des Verstorbenen oder seiner Angehörigen dadurch nicht beeinträchtigt werden. Danach hat eine rechtliche Abwägung stattzufinden, um dadurch zu überprüfen, ob Interessen des Verstorbenen oder seiner Angehörigen gegenüber den Interessen der Verantwortlichen überwiegen.

d) Kein entgegenstehender -mutmaßlicher- Wille der verstorbenen Person

Aus der Formulierung des § 35 Abs. 5 S. 2 SGB I, dass eine Datenverarbeitung erfolgen kann, „wenn schutzwürdige Interessen des Verstorbenen … nicht beeinträchtigt werden“, kann entnommen werden, dass die Verarbeitung nicht gegen den Willen bzw. den mutmaßlichen Willen der verstorbenen Person erfolgen darf. Ob ein solcher Wille bzw. ein mutmaßlicher Wille vorlag, muss der Sozialträger beweisen. Dies ließe sich zB durch Zeugen oder einen Urkundenbeweis belegen, dass die verstorbene Person es ausdrücklich oder mutmaßlich nicht wollte, dass ihre Daten offengelegt werden.

Kategorien: Allgemein · DSGVO
Schlagwörter: , ,
1 2 3 4 25