Kategorie: DSGVO

Das Auskunftsrecht nach Art. 15 DSGVO und § 83 SGB X im Fokus

21. August 2023

Das Recht auf Auskunft über die Verarbeitung personenbezogener Daten zählt zu den grundlegenden Betroffenenrechten, die in der DSGVO verankert sind. Es bildet oft den Ausgangspunkt für die wirksame Wahrnehmung anderer Datenschutzrechte. In diesem Artikel beleuchten wir genauer, wie sich dieses Recht im Kontext des Sozialdatenschutzes gemäß Art. 15 DSGVO und § 83 Zehntes Buch Sozialgesetzbuch (SGB X) manifestiert.

Der Ursprung des Auskunftsrechts

Das Auskunftsrecht ist das erste der Betroffenenrechte in Kapitel 3 der DSGVO. Es ermöglicht betroffenen Personen, Informationen über die Verarbeitung ihrer personenbezogenen Daten zu erlangen. Insbesondere dann, wenn vorausgegangene Datenschutzerklärungen unzureichend über Verarbeitungsvorgänge aufklären, erweist sich das Auskunftsrecht als entscheidendes Instrument. Dieses Recht spielt daher eine zentrale Rolle in der Interaktion zwischen Einzelpersonen und Datenverarbeitungsstellen.

Auskunftsrecht in der DSGVO: Die zwei Stufen

Das Auskunftsrecht nach Art. 15 DSGVO folgt einem zweistufigen Prozess. In der ersten Stufe besteht das Recht darauf zu erfahren, ob personenbezogene Daten bei einer bestimmten Stelle verarbeitet werden. Die zweite Stufe ermöglicht es, spezifische Informationen anzufordern. Dies umfasst Details zu Verarbeitungszwecken, Kategorien verarbeiteter Daten, Speicherdauer, Empfänger von Daten und deren Quellen. Falls Daten in Drittstaaten übertragen werden, muss die betroffene Person darüber und über die angemessenen Datenschutzgarantien informiert werden.

Ein wichtiger Aspekt des Auskunftsrechts ist das Urteil des Europäischen Gerichtshofs (EuGH) vom 12.01.2023 (Rs. C-154/21). Hier wurde festgestellt, dass, wenn möglich, konkrete Datenempfänger genannt werden sollten, anstatt nur die Kategorien von Empfängern anzugeben.

Einschränkungen im Sozialgesetzbuch

Im Bereich des Sozialdatenschutzes findet das Auskunftsrecht gemäß Art. 15 DSGVO Anwendung, jedoch unter Einbindung von § 83 SGB X. Dies ermöglicht dem deutschen Gesetzgeber, das Recht unter bestimmten Bedingungen zu begrenzen. Die Beschränkungen sind in § 83 SGB X definiert und können in fünf Fallgruppen zusammengefasst werden:

  1. Gefährdung gesetzlicher Aufgaben oder öffentlicher Ordnung: Das Auskunftsrecht kann beschränkt werden, wenn die ordnungsgemäße Erfüllung einer gesetzlichen Aufgabe gefährdet ist oder die öffentliche Ordnung beeinträchtigt wird.
  2. Geheimhaltungspflicht: Informationen können zurückgehalten werden, wenn Daten oder deren Speicherung geheim gehalten werden müssen, etwa aufgrund von gesetzlichen Vorschriften oder berechtigten Interessen Dritter.
  3. Erwartung der Übermittlung: Das Offenlegen von Empfängern kann eingeschränkt werden, wenn die betroffene Person damit rechnen muss, dass Daten an bestimmte Empfänger übermittelt werden.
  4. Zusammenarbeit zwischen Stellen: Auskünfte über Empfänger können begrenzt werden, wenn die Verarbeitung innerhalb einer verantwortlichen Stelle oder aufgrund gesetzlicher Zusammenarbeit zwischen verschiedenen Stellen erfolgt.
  5. Strafverfolgung und Sicherheit: Informationen an bestimmte Stellen wie Strafverfolgungsbehörden können nur mit Zustimmung erteilt werden.

Fazit: Datenschutz und öffentliche Interessen im Gleichgewicht

Die Kombination von Art. 15 DSGVO und § 83 SGB X im Sozialdatenschutz verdeutlicht das komplexe Wechselspiel zwischen individuellen Datenschutzrechten und öffentlichen Interessen. Während das Auskunftsrecht eine mächtige Waffe zur Gewährleistung von Transparenz und Kontrolle über persönliche Daten darstellt, müssen diese Rechte sorgfältig abgewogen werden, um die ordnungsgemäße Erfüllung öffentlicher Aufgaben und den Schutz der Gemeinschaft sicherzustellen.

Die vorgestellten Regelungen verdeutlichen, dass das Auskunftsrecht im Sozialdatenschutz eine wichtige Rolle spielt. Es ist jedoch in seinen Anwendungsbereichen beschränkt, um ein ausgewogenes Verhältnis zwischen individuellem Datenschutz und öffentlichen Belangen zu gewährleisten. So wird das Ziel verfolgt, sowohl die Rechte und Freiheiten betroffener Personen zu schützen als auch die Erfüllung wichtiger gesellschaftlicher Aufgaben zu ermöglichen. In dieser Balance liegt die Herausforderung und Verantwortung des modernen Datenschutzes.

Bußgeld wegen Negativliste über Angestellte

7. August 2023

Berliner Datenschutzbeauftragte verhängt Sanktionen

Ein Unternehmen steht in der Kritik, da es heimlich sensible Informationen über ihre Angestellten gesammelt hat. Die Berliner Datenschutzbeauftragte, Meike Kamp, hat dieses Vorgehen als rechtswidrig erachtet und Sanktionen verhängt.

Wie bereits im Mai 2021 bekannt wurde, sammelte das Unternehmen während der Probezeit sensible Daten über seine Angestellten, darunter Informationen darüber, ob sich Mitarbeiterinnen und Mitarbeiter einer Psychotherapie unterzogen oder Interesse an der Gründung eines Betriebsrats zeigten. Diese Informationen wurden auf einer sogenannten Negativliste erfasst, die dazu diente, die Angestellten zu bewerten und darüber zu entscheiden, wem nach Ablauf der Probezeit gekündigt wird.

Verstöße gegen die DSGVO

Die Berliner Datenschutzbeauftragte hat in ihrer Untersuchung massive Verstöße gegen den Datenschutz festgestellt. Eine Vorgesetzte hatte die sensiblen Daten ohne Wissen der betroffenen Angestellten gesammelt, um diese bei der Entscheidung über eine Weiterbeschäftigung zu berücksichtigen. Insbesondere Angestellte, die eine gewerkschaftliche Organisation unterstützen oder ein erhöhtes Risiko für krankheitsbedingte Ausfälle aufwiesen, wurden als “kritisch” oder sogar “sehr kritisch” eingestuft.

Aufgrund dieser schwerwiegenden Verstöße hat die Berliner Datenschutzbeauftragte Bußgelder in Höhe von insgesamt 215.000 Euro gegen das Unternehmen verhängt. Die Negativliste wurde offenbar im März 2021 auf Anweisung der Geschäftsführung erstellt. Als eine betroffene Angestellte die Presse und die Datenschutzbeauftragte informierte, reagierte das Unternehmen und meldete sich noch am gleichen Tag bei der Behörde. Die Zusammenarbeit des Unternehmens mit den Behörden wurde als mildernder Umstand bei der Festsetzung der Bußgelder berücksichtigt.

Sensible Daten besonders schützenswert

Die Datenschutzbeauftragte betont, dass die Verarbeitung solch sensibler Daten stets im zulässigen Zusammenhang mit dem Beschäftigungsverhältnis erfolgen muss. Insbesondere Gesundheitsdaten zählen zu den besonders sensiblen Informationen und dürfen nur in engen Grenzen verarbeitet werden. Die DSGVO enthält in Art. 9 eine Liste mit “besonderen Kategorien personenbezogener Daten”, zu denen auch Gesundheitsdaten und Informationen über die Gewerkschaftszugehörigkeit zählen. Diese Daten dürfen nur in Ausnahmefällen und unter strengen Voraussetzungen gesammelt und verarbeitet werden, um die Rechte und die Privatsphäre der betroffenen Personen zu schützen.

Fazit

Die Verhängung dieser Bußgelder sendet ein wichtiges Signal an Unternehmen und Arbeitgeber, dass der Datenschutz eine hohe Priorität haben muss und Verstöße gegen die Datenschutzvorschriften konsequent geahndet werden. Angestellte haben ein Recht auf den Schutz ihrer persönlichen Daten, insbesondere wenn es um sensible Informationen wie den Gesundheitszustand geht.

Die Meta-Entscheidung des EuGH

2. August 2023

Am 4. Juli 2023 fällte der Europäische Gerichtshof (EuGH) sein Urteil bezüglich der Meta-Entscheidung des Bundeskartellamts. Der EuGH scheint  eine bislang offene juristische Frage geklärt zu haben: Kann eine alternative rechtliche Grundlage für die Datenverarbeitung herangezogen werden, wenn die ursprünglich angegebene Grundlage unwirksam ist, etwa wenn eine Einwilligung rechtswidrig erfolgt ist?

Das Verfahren

Der Hintergrund des Verfahrens liegt in der Praxis von Meta Platforms Ireland und Facebook Deutschland (Meta), Daten seiner Nutzer nicht nur auf Facebook selbst, sondern auch über seine Tochterfirmen und über Schnittstellen auf anderen Webseiten zu sammeln und diese zu detaillierten Nutzerprofilen zu verknüpfen. Das Bundeskartellamt (BKartA) sah darin einen Missbrauch der marktbeherrschenden Stellung von Meta. Deswegen erließ das Bundeskartellamt erließ 2019 einen Beschluss gegen Meta, der Gegenstand des vorliegenden Gerichtsverfahrens war. In diesem Beschluss untersagte das Bundeskartellamt Meta, sich durch Zustimmung zu den Allgemeinen Nutzungsbedingungen zur Nutzung von Facebook auch die Erhebung und Verarbeitung von sogenannten “Off-Facebook-Daten” genehmigen zu lassen.

Off-Facebook-Daten

Bei den Off-Facebook-Daten handelt es sich um Informationen, die Meta außerhalb von Facebook, Instagram oder WhatsApp sammelt. Diese Daten werden durch das Werbenetzwerk von Meta auf zahlreichen Webseiten und Apps sowie den zum Meta-Konzern gehörenden Online-Diensten erfasst. Mithilfe dieser Off-Facebook-Daten kann Meta das Konsumverhalten, die Interessen, die Kaufkraft und die Lebenssituation der Nutzer in Profilen erfassen. Auf dieser Grundlage können gezielte und personalisierte Werbenachrichten an die Facebook-Nutzer gesendet werden.

BKartA rügt Metas Nutzungsbedingungen

Die Nutzungsbedingungen müssten vielmehr klarstellen, dass diese Daten nur mit ausdrücklicher Einwilligung verarbeitet und mit dem Facebook-Nutzerkonto verknüpft werden. Darüber hinaus dürfe die Einwilligung nicht zur Voraussetzung für die Nutzung des sozialen Netzwerkes gemacht werden. Das Bundeskartellamt war der Ansicht, dass durch diese Gestaltung der Nutzungsbedingungen, die nicht den Marktverhaltensregeln und Werten der DSGVO entspricht, Meta seine marktbeherrschende Stellung missbrauche. Kurz darauf, noch im Jahr 2019, änderte Meta seine eigenen Nutzungsbedingungen dahingehend, dass die Nutzer bei der Nutzung von Facebook-Produkten in die Verarbeitung von Off-Facebook-Daten einwilligen müssen, da ansonsten für die Services keine Kosten entstehen würden.

Gegen diesen Beschluss des Bundeskartellamts legte Meta gerichtlichen Widerspruch ein. Im Laufe dieses Verfahrens wandte sich das Oberlandesgericht (OLG) Düsseldorf in einem sogenannten Vorlageverfahren an den EuGH. Bei einem Vorlageverfahren entscheidet der EuGH nicht als höhere Instanz über den jeweiligen Rechtsstreit, sondern beantwortet spezifische Fragen zur Auslegung des Europäischen Rechts, wie beispielsweise der DSGVO.

Die Vorlage an den EuGH

Der EuGH hat ausschließlich zu den spezifischen Fragen des vorlegenden Gerichts Stellung genommen, und die Antworten des EuGH sind für das OLG Düsseldorf bindend, wenn es seine eigene Entscheidung in der Sache trifft. Letztendlich liegt die endgültige Entscheidung in der Zuständigkeit des OLG Düsseldorf.

Das Urteil hat auch erhebliche Auswirkungen auf zukünftige Bewertungen im Bereich des Datenschutzes. Die Tatsache, dass ein soziales Netzwerk kostenlos ist, bedeutet nicht automatisch, dass die Daten des Nutzers ohne dessen Einwilligung zur Personalisierung von Werbung verarbeitet werden können. Daher kann das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO keine rechtliche Grundlage dafür sein. Jedoch hat der EuGH wiederholt betont, dass Marketing weiterhin auf das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann, sofern die Nutzungsbedingungen von Meta transparent und für den Nutzer verständlich geändert werden. Somit wird auch in Zukunft Werbung ohne Einwilligung möglich sein.

Das Urteil scheint auch eine bisher ungeklärte Frage zu beantworten, nämlich ob alternative Rechtsgrundlagen aus Art. 6 Abs. 1 lit. b-f DSGVO überhaupt herangezogen werden können, wenn eine zuvor erteilte Einwilligung als rechtswidrig erachtet wird. Der EuGH betont jedoch, dass solche alternativen Rechtsgrundlagen in solchen Fällen eng auszulegen sind.

BfDI Professor Ulrich Kelber äußerte sich dazu wie folgt: “Ich bin erfreut darüber, dass der EuGH anerkennt, wie wichtig die Einhaltung von Datenschutzanforderungen für den Wettbewerb ist und dass Kartellbehörden befugt sind, die Vereinbarkeit des Verhaltens von Unternehmen mit dem Datenschutzrecht zu überprüfen. Mein Glückwunsch geht an das Bundeskartellamt für diesen Erfolg.”

Zusammenarbeit zwischen Datenschutz- und Kartellbehörden

Der EuGH klärte auch, dass Verstöße gegen die DSGVO vorrangig von Datenschutzaufsichtsbehörden festgestellt werden sollten. Das bedeutet, dass das Bundeskartellamt die zuständigen Datenschutzaufsichtsbehörden in datenschutzrechtliche Fragen einbeziehen muss, bevor es eigene Entscheidungen trifft.

Hierzu kommentierte der BfDI: “Kartell- und Datenschutzaufsichtsbehörden können datengetriebene Geschäftsmodelle nur erfolgreich regulieren, wenn sie eng zusammenarbeiten. Das bestätigt die Praxis in Deutschland, wo Bundeskartellamt und der Bundesdatenschutzbeauftragte entsprechend kooperieren. Gemeinsam mit unseren europäischen Kolleginnen und Kollegen werde ich die Entscheidung in der Task Force des Europäischen Datenschutzausschusses zum Zusammenspiel von Datenschutz, Wettbewerb und Verbraucherschutz auswerten und Best Practices für eine effiziente Zusammenarbeit festlegen, damit Bürgerinnen und Bürger besser vor rechtswidrigen und missbräuchlichen Datenverarbeitungen geschützt werden. Die Erfahrungen der Zusammenarbeit in Deutschland sind dafür eine gute Grundlage.”

Fazit

Zusammenfassend lässt sich festhalten, dass Onlinemarketing auch in Zukunft weiterhin möglich sein wird. Obwohl diese Entscheidung sich speziell auf den Einzelfall Meta konzentriert hat, enthält sie dennoch neue und wertvolle Erkenntnisse, die auch für die Bewertung anderer Social Media Dienste relevant sein könnten, die keine marktbeherrschende Position innehaben und weniger Daten sammeln oder andere Techniken verwenden.

BGH: Löschen von Suchergebnissen

24. Juli 2023

Mitte Mai setzt sich der Bundesgerichtshof (BGH), in einer jetzt veröffentlichten Entscheidung (Az. VI ZR 476/18) mit der Frage auseinander, wann ein Anspruch auf Löschung von Sucherergebnisse bei einer Suchmaschine bestehen. Insbesondere wenn eine entsprechenden Suche negative Ergebnisse anzeigt, kann die betroffene Person ein Interesse auf Löschung der Ergebnisse haben.

Die Hintergründe

Der Kläger ist als Leitungsorgan verschiedener Unternehmen tätig, die zusammen eine Gesellschaftsgruppe bilden. Über die in Anspruch genommene Suchmaschine ließen sich verschiedene Berichte über die einzelnen Gesellschaften der Gruppe sowie über den Kläger in seinen unternehmensinternen Funktionen selbst, finden. Zu großen Teilen handelte es sich dabei um Artikel, die negativ über die Geschäftspraktiken der Gesellschaften berichteten.

Der Kläger wandte sich daraufhin an die Suchmaschine, um Unterlassungsansprüche durchzusetzen. Sein Ziel war es, bei einer Suche nach seinem Namen die oben genannten Artikel nicht mehr zu finden sein würden.

Entscheidungsgründe des BGH

Aus Sicht des BGH sei für einen Teil der Suchergebnisse die Datenschutz-Grundverordnung (DSGVO) bereits sachlich nicht anwendbar. Grund hierfür sei, dass die Suchergebnisse gerade nicht bei der Suche nach dem Namen des Klägers vorgeschlagen würden. Viel mehr müsse ein interessierter Nutzer nach den Namen der Gesellschaften suchen, damit eine Suche die kritischen Artikel zeige. Demnach fehle es an einem Personenbezug.

Ein anderes gelte aber für einen anderen Teil der Suchergebnisse. Diese ließen den Bezug zum Kläger als natürliche Person zu, sodass die DSGVO grundsätzlich anwendbar sei. Dennoch habe der Kläger keinen Anspruch auf eine sog. Auslistung. Demnach könne nach Art. 17 Abs. 1 DSGVO (Recht auf Vergessen) eine betroffene Person einen Anspruch auf Löschen der Entsprechenden Artikel bei einer Suche geltend machen.

Dieser Anspruch bestehe allerdings nur insofern, dass die im angezeigten Artikel enthaltenen Informationen tatsächlich unwahr seien. Hinsichtlich des konkreten Inhalts der entsprechenden Artikel müsse die betroffene Person nachzuweisen, dass „(…) die in diesem Inhalt enthaltenen Informationen offensichtlich unrichtig sind oder zumindest ein für diesen gesamten Inhalt nicht unbedeutender Teil diese Informationen offensichtlich unrichtig ist“ (BGH, Urteil vom 23.5.23, VI ZR 476/18, Rn. 33). Nur dann könne sie eine Auslistung von der Suchmaschine verlangen.

Für den erforderlichen Nachweis seien insbesondere zwei Umstände von Bedeutung. Einerseits seien keine zu strengen Anforderungen diesen zu stellen. Die konkret erforderlichen Voraussetzungen richteten sich nach den Umständen des Einzelfalls. Andererseits sei kein Mitwirken der Suchmaschine bei dem Nachweis erforderlich.

Fazit  

Hie habe der Kläger die Unwahrheit gerade nicht nachweisen können. Demnach müsse Art. 17 Abs. 1 DSGVO hinter der Meinungs- und Informationsfreiheit zurücktreten. Das Urteil zeigt vor allem, dass auch bei unerwünschter Berichterstattung die DSGVO möglicherweise Abhilfe schaffen kann.

Fotos im Internet veröffentlichen: Was ist zu beachten?

10. Juli 2023

Unternehmen nutzen die Veröffentlichung von Fotos und Videos im Internet aus verschiedenen Gründen. Datenschutzrechtliche Aspekte werden relevant, sobald Personen auf den Aufnahmen erkennbar sind, beispielsweise in Marketingvideos, bei der Mitarbeitergewinnung oder in Erklärungs- und Anleitungsvideos für Produkte. Diese Veröffentlichungen können sowohl auf Websites als auch über soziale Medien oder in Apps erfolgen.

Einwilligung als Rechtsgrundlage unsicher

Ein häufig gewählter Ansatz zur rechtlichen Absicherung ist die Einholung einer Einwilligung von den abgebildeten Personen. Solange diese Einwilligung freiwillig erfolgt und die betreffenden Personen angemessen über die Art und Weise der Veröffentlichung informiert werden, ist dies rechtlich akzeptabel. Allerdings hat die Verwendung von Einwilligungen als Rechtsgrundlage einen entscheidenden Nachteil: Einwilligungen können jederzeit und ohne Angabe von Gründen widerrufen werden.

Im Falle eines solchen Widerrufs muss die Veröffentlichung unverzüglich beendet werden. Die betroffene Person muss aus den Aufnahmen entfernt oder unkenntlich gemacht werden. Für Unternehmen kann dies sehr unangenehm sein, insbesondere wenn hohe Produktionskosten für die Aufnahmen angefallen sind oder die Veröffentlichung der Aufnahmen von großer Bedeutung ist.

Datenschutzrechtliche Einordnung

Die Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO dient als rechtliche Grundlage für die Verarbeitung personenbezogener Daten. Allerdings ist gemäß Art. 7 Abs. 3 Satz 1 DSGVO eine solche Einwilligung frei widerruflich. Kommentare zur DSGVO stellen klar, dass Einschränkungen des Widerrufsrechts nicht zulässig sind. Folglich entfällt ab dem Zeitpunkt des Widerrufs die rechtliche Grundlage für die Veröffentlichung von Aufnahmen der widerrufenden Person. Bis zum Zeitpunkt des Widerrufs bleibt die Verwendung der Aufnahmen rechtmäßig, danach dürfen sie nicht mehr verwendet werden. Argumente wie hohe Produktionskosten, unverhältnismäßige Rechtsfolgen oder sonstige negative Auswirkungen auf das Unternehmen können nicht als Grund für die Aufrechterhaltung der Veröffentlichung angeführt werden.

Vor Inkrafttreten der DSGVO wurde für die Veröffentlichung von Aufnahmen das Kunsturheberrechtsgesetz herangezogen, insbesondere § 22 KunstUrhG, der die Einwilligung regelt. In der Rechtsprechung wurde anerkannt, dass diese Einwilligung nur bei Vorliegen eines wichtigen Grundes widerrufen werden konnte.

Das Verhältnis zwischen dem Kunsturheberrechtsgesetz und der DSGVO ist nach wie vor umstritten. Jedoch kann mit Gewissheit gesagt werden, dass die DSGVO und ihre Bestimmungen zur Einwilligung und ihrem Widerruf Vorrang haben. Das bedeutet, dass nun kein wichtiger Grund mehr für einen Widerruf erforderlich ist, da die DSGVO eine solche Einschränkung nicht vorsieht.

Alternative zur Einwilligung

Unternehmen können die rechtlich ungünstige Situation bei der Verwendung von Fotos oder Videos vermeiden, indem sie mit den betroffenen Personen, wie Mitarbeitenden oder Testimonials, sogenannte Modelverträge abschließen. In diesem Fall dient der Modelvertrag als rechtliche Grundlage für die Verwendung der Aufnahmen (gemäß Art. 6 Abs. 1 lit. b DSGVO) und nicht eine Einwilligung. Der entscheidende Unterschied besteht darin, dass ein Vertrag nicht einfach widerrufen werden kann, im Gegensatz zu einer Einwilligung. Ein Modelvertrag gibt dem Nutzer der Aufnahmen die Gewissheit, dass es keinen Widerruf geben kann.

Es ist jedoch wichtig zu beachten, dass im Modelvertrag den betroffenen Personen eine Gegenleistung für die Einräumung der Verwendungsrechte an den Aufnahmen gewährt wird. Diese Gegenleistung besteht oft in Form einer Geldzahlung. Die Höhe der Gegenleistung sollte in angemessenem Verhältnis zu den eingeräumten Verwendungsrechten stehen, insbesondere bei umfangreichen und weitreichenden Veröffentlichungen sollte die Gegenleistung entsprechend höher ausfallen.

Fazit

Bei Foto- und Videoaufnahmen, bei denen ein Widerruf einer Einwilligung besonders unerwünscht wäre, beispielsweise im Rahmen einer Werbekampagne, sollten Unternehmen besser auf Modelverträge anstelle von Einwilligungen setzen. Fotos von Weihnachtsfeiern, Betriebsausflügen, Firmenläufen oder ähnlichen Veranstaltungen können natürlich weiterhin mit Einwilligung der Personen veröffentlicht werden, beispielsweise im Intranet, da ein Widerruf in der Regel keine größeren Auswirkungen hätte.

Kategorien: DSGVO · Online-Datenschutz
Schlagwörter: ,

CNIL: 40 Mil. EUR Bußgeld

4. Juli 2023

Vor rund zwei Wochen veröffentlichte die französische Datenschutzbehörde „Commission Nationale de l’Informatique et des Libertés“ (CNIL), dass sie eine Geldstrafe in Höhe von 40 Mil. EUR verhängt habe. Adressat der Strafe sei „Criteo“, ein Unternehmen, dass Softwarelösungen für Werbeanzeigen im Bereich des Online-Marketings anbiete.

Hintergründe

Der Grund für das Bußgeld sei gewesen, dass Criteo nicht überprüft habe, ob Personen, deren Daten es verarbeitet habe, eine Einwilligung erteilt hätten. Anlass für die Untersuchungen der Behörde bei Criteo seien Beschwerden der Organisationen Privacy International und „None of your business“ gewesen,

Das Unternehmen Criteo habe sich auf das sog. „Retargeting“ spezialisiert. Dies sei eine bestimmte Methode des Online-Marketings. Auf Webseiten von Partnern setzt Criteo eigene Cookies ein. Diese könnten Navigationsdaten der Nutzers tracken. Über die gesammelten Daten ließen sich anschließend personalisierte Werbeanzeigen schalten. Insbesondere könne dem Nutzer Werbeanzeigen zu Produkten angezeigt werden, für die er sich wahrscheinlich interessieren würde.

Verstöße

CNIL stellte zunächst fest, dass bei der Verwendung von Cookies zu Werbezwecke eine Einwilligung der betroffenen Person eingeholt werden müsse. Wenn ein Unternehmen auf seiner Webseite die Cookies von Criteo einsetze, müsse es eine solche Einwilligung einholen. Criteo müsse sicherstellen, dass die entsprechenden Unternehmen diese Einwilligung tatsächlich einholten und dies dokumentieren. Die Pflicht zur Einholung einer Einwilligung sei allerdings nie Vertragsbestandteil im Rahmen der Geschäftsbeziehungen zu Criteo. Damit verstoße das Marketingunternehmen gegen die Datenschutz- Grundverordnung (DSGVO).

Außerdem verstoße Criteo gegen seine Informationspflichten. Das Unternehmen informiere nicht vollständig über die Zwecke der Datenverarbeitungsvorgänge.

Zusätzlich hätten betroffene Person nicht hinreichend Gebrauch von ihrem Recht auf Widerruf der Einwilligung und Löschung personenbezogener Daten nach Art. 7 Abs. 3 und Art. 17 Abs. 1 DSGVO machen können. Den betroffenen Person seien lediglich keine Werbeanzeigen mehr gezeigt worden. Allerdings habe das Unternehmen Kennungsdaten der Nutzer weiter behalten.

Abschließend stellte die CNIL fest, dass Criteo mit seinen Geschäftspartnern keine Vereinbarung über eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO abgeschlossen habe.

Bußgeld

Die CNIL bewertete bei der Bestimmungen der Höhe des Bußgeldes negativ, dass das Unternehmen über die Daten einer sehr großen Personenanzahl verfüge. Außerdem sei, laut CNIL negativ in die Bewertung mit eingeflossen, dass das Unternehmen sich ausschließlich darauf spezialisiert habe, für eine bestimmte Zielgruppe relevante Werbung anzuzeigen. Demnach sei es das Geschäftsmodell des Unternehmens gerade personenbezogene Daten zu sammeln und zu verarbeiten.

Fazit

Alle angesprochenen Kritikpunkte konnte Criteo nach den Untersuchungen der CNIL einstellen. Dabei ist auffällig, dass das Thema Cookies weiterhin Grund für Datenschutzverstöße ist (hier berichten wir über weitere Cookie-Verstöße).

EuGH entscheidet über Auskunftsanspruch

3. Juli 2023

Vergangene Woche entschied der Europäische Gerichtshof (EuGH) im Rahmen eines Vorabentscheidungsverfahrens (Az. C-579/21) über die Reichweite des Auskunftsanspruchs. Nach Art. 15 Datenschutz-Grundverordnung (DSGVO) habe die betroffene Person auch das Recht zu erfahren, zu welchem Zeitpunkt und aus welchen Gründen die Mitarbeiter eines Verantwortlichen ihre personenbezogenen Daten abfragten.

Sachverhalt

Das Verfahren findet seinen Ursprung bei einem Bankmitarbeiter. Dieser hatte, neben der arbeitsvertraglichen Beziehung auch ein Konto bei der betroffenen Bank. Er erfuhr, dass andere Mitarbeiter der Bank seine Kundendaten mehrmals abgefragt hatten. Daraufhin wollte die betroffene Person wissen, welcher Mitarbeiter seine Kundendaten abgefragt hatten.

Das vorlegende Gericht wollte nun vom EuGH wissen, ob Art. 15 DSGVO den Zugang zu Informationen darüber umfasse, wer die personenbezogenen Daten der betroffenen Person wann und zu welchem Zweck verarbeitet habe.

Weiter Umfang des Art. 15 DSGVO

Ausgangspunkt der Entscheidung über diese Vorlagefrage ist Art. 4 Abs. 1 DSGVO. Die Norm definiert „personenbezogene Daten“ als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (…)“. Laut des Gerichtshofs habe der Unionsgesetzgeber im Rahmen seiner Definition „personenbezogenen Daten“ eine weite Bedeutung beimessen wollen. Demnach umfasse das Auskunftsrecht nach Art. 15 DSGVO die weite Vielfalt aller Informationen, die ein Verantwortlicher verarbeiten könne. Das Ziel des Auskunftsrechts sei es dabei eine faire und transparente Verarbeitung zu gewährleisten. Die betroffene Person solle sich über den Verarbeitungsvorgang als solchen informieren können. Das Informationsrecht umfasse auch solche Informationen, die notwendig seien, um die transparente Verarbeitung zu gewährleisten.

Der EuGH stellte klar, dass zu den notwendigen Informationen auch der Zeitpunkt der Verarbeitung zähle. Zusätzlich sei es ggf. erforderlich, dass ein Verantwortlicher der betroffenen Personen auch Auszüge aus Dokumenten oder Datenbanken zur Verfügung stelle. Damit könne die betroffene Person auch Informationen über den Kontext der Verarbeitung erhalten, die möglicherwiese erforderlich seien, um die Datenverarbeitung richtig einordnen zu können.

Demnach könne sich aus den zur Verfügung gestellten Dokumenten bereits ergeben, wann und in welchem Umfang Mitarbeiter personenbezogene Daten abfragen würden.

Einschränkungen

Es sei aber wichtig zu erkennen, dass Mitarbeiter eines Verantwortlichen keine Empfänger im Sinne des Art. 15 Abs. 1 lit. c DSGVO seien. Nur auf letztere beziehe sich das Auskunftsrecht einer betroffenen Person. Mitarbeiter dürften personenbezogene Daten nach Art. 29 DSGO gerade nur auf Weisung des Verantworltichen verarbeiten.

Welcher Mitarbeiter konkret personenbezogene Daten verarbeite, sei eine Frage, die nur beantwortet werde könne, wenn die Rechte Anderer nicht beeinträchtigt würden. Einerseits könne die Information über den konkreten Mitarbeiter die Transparenz fördern. Andererseits seien die Rechte und Freiheiten der Mitarbeiter zu beachten. Demnach könne die betroffene Person in der Regel nach Art. 15 DSGVO keine Informationen zur Identität eines Mitarbeiters erhalten, der personenbezogene Daten auf Weisung des Verantwortlichen verarbeite.

Fazit

Mit seiner Entscheidung nuanciert der EuGH das Auskunftsrecht der DSGVO und zeigt auf, dass auch die DSGVO keine Gesetzestext ist, der hierarchisch an erster Stelle steht.

Neue Leitlinien zur Bußgeld-Berechnung

19. Juni 2023

Der Europäische Datenschutzausschuss (EDSA) veröffentlichte vor kurzem überarbeitete Leitlinien zur Berechnung von Bußgeldern (Guidelines 04/2022). Danach legte die EDSA ein fünfstufiges System zur Berechnung von Bußgeldern fest.

Schwere des Verstoßes bestimmt Bußgeld

Nach Art. 83 Abs. 1 Datenschutz-Grundverordnung (DSGVO) sollen Bußgelder wirksam, verhältnismäßig und abschreckend sein. Demzufolge seien die Bußgelder unter anderem anhand der Schwere des Verstoßes zu bemessen. Den Schweregrad eines Verstoßes teilte die EDSA aufgrund ihrer Auswirkungen in drei Niveaus ein, niedrig, mittel und schwer. Zu Verstößen mit einem niedrigen Schweregrad zählt zum Beispiel die Überschreitung der nach Art. 12 Abs. 3 DSGVO vorgesehenen Monatsfrist zur Beantwortung von Betroffenenanfragen. Zu einem Verstoß auf mittlerem Niveau zählten beispielsweise fehlende Sicherheitsvorkehrungen vor dem unautorisierten Zugriff auf Gesundheitsdaten. Dies sei der Fall, wenn in einem Unternehmen, die Mitarbeitenden Gesundheitsdaten von Kunden einzusehen könnten, ohne eine Autorisierung für diesen Zugriff zu haben. Auf der letzten Ebene des schwerwiegendsten Grades eines Verstoßes stünden beispielsweise ungefragte Telefonanrufe. So bei Anrufen eines Unternehmens bei seinen Kunden zu Werbezwecken, ohne dass eine Rechtsgrundlage für die Datenverarbeitung bestehe. Die Schwere des Verstoßes diene als Richtwert für das zu verhängende Bußgeld.

Zusätzlich sei der Verstoß seiner Art nach, zu kategorisieren und der Umsatz des Unternehmens bei der Berechnung zu beachten.

Fazit

Nachdem der EDSA die neuen Leitlinien nach der öffentlichen Konsultation angenommen hatten, veröffentlichte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) eine Pressemitteilung. Darin sagte er, dass es mit den neuen Leitlinien erstmals „eine Vereinheitlichung der Bußgeldpraxis von Datenschutzbehörden in unterschiedlichen Mitgliedstaaten“ gebe.

Es bleibt folglich zu beachten, dass sich die Leitlinien an Aufsichtsbehörden richten. Demnach sollten Verantwortliche mögliche Bußgelder nicht im Vorfeld kalkulieren, sondern versuchen Verstöße gegen die DSGVO zu verhindern.

EuGH: Verstoß gegen Art. 26 und 30 DSGVO unrechtmäßige Verarbeitung?

8. Mai 2023

Vergangene Woche traf der Gerichtshof der Europäischen Union (EuGH) mehrere Entscheidungen im Rahmen eines Vorabentscheidungsverfahrens, die die Auslegung der Datenschutz-Grundverordnung (DSGVO) betrafen (Urteil immaterieller Schadensersatz bei DSGVO-Verstößen- wir berichteten -).

Unter anderem entschied der EuGH (Rs. Az. C-60/22) über die Frage, ob ein unrechtmäßige Datenverarbeitung iSd Art. 17 Abs. 1 lit. d und Art. 18 Abs. 1 lit. b DSGVO vorliege, soweit ein Verantwortlicher seiner Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nicht nachkomme. Dabei sei der Rechenschaftspflicht unzureichend nachgekommen worden, aufgrund einer fehlenden Vereinbarung über die gemeinsame Verantwortlichkeit (Art. 26 DSGVO) und einem unvollständigen Verzeichnis für Verarbeitungstätigkeiten (Art. 30 DSGVO).

Die Hintergründe

Dem Ausgangsverfahren lag der Antrag des Klägers auf internationalen Schutz beim zuständigen Bundesamt zu Grunde. Seine Entscheidung traf das Bundesamt unter Verwendung einer elektronischen Akten. Anschließend klagte der Betroffene vor dem Verwaltungsgericht gegen die Ablehnung auf internationalen Schutz. Im Rahmen des Prozesse übermittelte das Bundesamt dem Verwaltungsgericht die elektronische Akte des betroffenen Klägers, sodass Bundesamt und Verwaltungsgericht gemeinsam verantwortlich nach Art. 26 DSGVO waren. Aus Sicht des Klägers verstieß das Verwaltungsgericht gegen seine Rechenschaftspflicht aus der DSGVO, indem es weder einen Vertrag über die gemeinsame Verantwortlichkeit vorlegen konnte noch die Übermittlung in das Verzeichnis für Verarbeitungstätigkeiten aufgenommen hatte.

Keine unrechtmäßige Verarbeitung

Der EuGH äußerte sich dazu, ob die fehlende Vereinbarung über eine gemeinsame Verantwortlichkeit und das lückenhaft Verzeichnis für Verarbeitungstätigkeiten eine unrechtmäßige Verarbeitung iSd DSGVO sei. Danach richte sich, ob die betroffene Person ein Recht auf Löschung der verarbeiteten personenbezogenen Daten nach Art. 17 Abs. 1 lit. d und ein Recht auf Einschränkung der Verarbeitung nach Art. 18 Abs. 1 lit. b DSGVO habe.

Dazu führte der Gerichtshof erstens aus, dass ein Verantwortlicher nach Art. 5 Abs. 1 und 2 DSGVO sicherstellen müsse, dass die Datenverarbeitung rechtmäßig sei. Die Rechtmäßigkeit der Datenverarbeitung regele die DSGVO nach Art. 6. Demnach müsse eine der nach Abs. 1 lit. a bis f DSGVO alternativ aufgeführten Bedingungen erfüllt sein. Die nach Art. 26 und 30 DSGVO vorgesehenen Pflichten seien aber „(…) nicht zu den in nach Art. 6 Abs. 1 Unterabs. 1 genannten Gründen für die Rechtmäßigkeit der Verarbeitung [zu] zählen.“ (EuGH, Urteil vom 4.5.2023, C-60/22 Rn. 59) Die Pflichten nach Art. 26 und 30 DSGVO seien nicht dafür gedacht die Anforderungen an eine rechtmäßige Verarbeitung iSd nach Art. 6 Abs. 1 DSGVO genauer zu bestimmen.

Zweitens führte das Gerichts aus, dass die Rechtmäßigkeit zu den Grundsätzen der Datenverarbeitung zähle. Stattdessen seien die Vereinbarung über die gemeinsame Verantwortlichkeit und das Verzeichnis über Verarbeitungstätigkeiten allgemeine Pflichten des Verantwortlichen.

Außerdem führte der Gerichtshof drittens aus, dass bei einem Verstoß gegen Art. 26 und 30 DSGVO noch keine Verletzung des Grundrechts auf den Schutz personenbezogener Daten vorliege.

Fazit

Abschließend stellte der Gerichtshof fest, dass der Verstoß gegen Art. 26 und 30 DSGVO keine unrechtmäßige Verarbeitung nach Art. 17 Abs. I lit. d und Art. 18 Abs. 1 lit. b DSGVO sei. Da das Urteil erst vor kurzem erschienen ist, bleiben Reaktionen der Aufsichtsbehörden noch abzuwarten.

Vorzeitiges Löschen von personenbezogenen Daten als Verantwortlicher möglich?

Wenn man sich mit dem Thema Datenschutz auseinandersetzt, kommt man irgendwann auf die Frage, wann bestimmte Daten gelöscht werden müssen. Es ist allgemein bekannt, dass die langfristige Aufbewahrung von personenbezogenen Daten Konsequenzen haben kann. Aber ist es auch möglich, dass eine vorzeitige Löschung die Rechte der betroffenen Person verletzt?

Alte Dokumenten vor Nachfrage gelöscht

Ein Bankkunde wandte sich an die Aufsichtsbehörde, nachdem er von der Bank keinen Nachweis über eine vorübergehende Kontovollmacht erhalten hatte. Die Bank hatte die entsprechenden Unterlagen aufgrund von Aufbewahrungsfristen gelöscht. Der Kunde beschwerte sich darüber, dass die Bank ihre Aufbewahrungspflichten verletzt hatte, indem sie den Vollmachtsnachweis gelöscht hatte. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg beschäftigte sich mit diesem Fall und berichtet darüber in seinem Tätigkeitsbericht aus dem Jahr 2022 (S. 95).

Rechtsgrundlagen für vorzeitiges Löschen?

Gemäß Artikel 17 der Datenschutz-Grundverordnung (DSGVO) kann auch eine Bank dazu verpflichtet sein, personenbezogene Daten zu löschen, wenn dies von der betroffenen Person verlangt wird. Das Recht auf Löschung muss jedoch auch unter Berücksichtigung von Art. 17  Abs. 3 DSGVO betrachtet werden, der besagt, dass das Recht auf Löschung nicht besteht, wenn die Verarbeitung der Daten aus anderen, wichtigeren Gründen erforderlich ist, wie z. B.

• zur Ausübung des Rechts auf freie Meinungsäußerung und Information
• zur Erfüllung einer rechtlichen Verpflichtung
• aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit
• für im öffentlichen Interesse liegende Archivzwecke
• zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Banken sind gesetzlich verpflichtet, bestimmte Daten für einen bestimmten Zeitraum gemäß § 257 des Handelsgesetzbuchs und § 147 der Abgabenordnung aufzubewahren. Solange diese Aufbewahrungsfristen noch nicht abgelaufen sind, darf die Bank die Daten nicht freiwillig löschen.

Berechtigtes Interesse des Verantwortlichen

Falls die Bank nicht gemäß Art. 17 DSGVO verpflichtet ist, personenbezogene Daten zu löschen, kann sie möglicherweise gemäß Artikel 6 Abs. 1 lit. f DSGVO eine (freiwillige) Löschung in Betracht ziehen. Gemäß dieser Bestimmung ist die Verarbeitung von personenbezogenen Daten nur dann rechtmäßig, wenn sie erforderlich ist, um die berechtigten Interessen des Verantwortlichen oder eines Dritten zu wahren und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen.

Um die Daten vorzeitig löschen zu können, müsste die Bank ein berechtigtes Interesse an der Löschung haben. Allerdings besteht ein solches Interesse nicht, wenn die Unterlagen aufbewahrungspflichtig sind und die Aufbewahrungsfristen noch nicht abgelaufen sind.

Im konkreten Fall kam der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg zu dem Schluss, dass sowohl die Über- als auch die Unterschreitung der gesetzlichen Aufbewahrungsfristen gegen die DSGVO verstoßen hat. Er überlegte daraufhin, ob dieser Verstoß im Rahmen einer Betroffenenbeschwerde gemäß Art. 77 Abs. 1 DSGVO angegriffen werden kann. Denn der Anwendungsbereich dieser Bestimmung wird durch EG 141 Satz 1 Var. 1 dahingehend eingeschränkt, dass der Betroffene in seinen Rechten aus der DSGVO verletzt sein muss.

Kann zu frühes Löschen eine Rechtsverletzung sein?

Um beurteilen zu können, ob eine vorzeitige Löschung von Daten eine Verletzung der Rechte des Betroffenen darstellt, muss man zunächst den Schutzzweck der gesetzlichen Aufbewahrungsfristen betrachten. Diese Bestimmungen dienen in erster Linie dem Schutz der ordnungsgemäßen Buchführung, die als grundlegende Voraussetzung für eine ordnungsgemäße Wirtschaftsführung gilt. Die Buchführungspflicht gemäß § 238 Abs. 1 S. 1 HGB verpflichtet die Bank als Kaufmann im handelsrechtlichen Sinn dazu, Bücher zu führen und ihre Handelsgeschäfte sowie die Lage ihres Vermögens nach den Grundsätzen ordnungsmäßiger Buchführung darzustellen. Ziel ist dabei der Schutz des Wirtschaftsverkehrs. Darüber hinaus soll die Aufbewahrung von Unterlagen nach der Abgabenordnung eine ordnungsgemäße Besteuerung sicherstellen. Die Aufbewahrungspflichten dienen jedoch nicht den möglichen Beweisführungsinteressen der Bankkunden. Daher ist eine vorzeitige Löschung von Daten in diesem Zusammenhang keine Verletzung der Datenschutzrechte der betroffenen Person.

Nach Ablauf der Aufbewahrungspflichten

Der Datenschutz-Beauftragte von Baden-Württemberg stellt fest, dass eine betroffene Person nur bei einer Überschreitung von handels- und steuerrechtlichen Aufbewahrungspflichten eine Beschwerdebefugnis hat, nicht jedoch bei deren Unterschreitung. Obwohl dies für die betroffene Person unzufriedenstellend ist, zeigt der Fall, dass Verantwortliche für die Datenverarbeitung sich über den Sinn und Zweck von geltenden Pflichten und Fristen Gedanken machen sollten. Es stellt sich die Frage, wie im Unternehmen verfahren werden soll, wenn Aufbewahrungsfristen abgelaufen sind oder eine betroffene Person die Löschung ihrer Unterlagen verlangt. Dazu müssen Fragen wie der Löschprozess, die Art der Datenlöschung (Vernichtung oder Anonymisierung), und die Überwachung und Verantwortung geklärt werden. Eine mögliche Lösung ist die Dokumentation in einem Löschkonzept, das als Leitfaden für die Umsetzung im Unternehmen dient.

 

Kategorien: Allgemein · DSGVO
Schlagwörter: , ,
1 2 3 4 5 6 38