Kategorie: EU-Datenschutzgrundverordnung

Französische Datenschutzbehörde verhängt Bußgeld gegen Google

22. Januar 2019

Aufgrund von Verstößen gegen die DSGVO muss der Internetriese Google in Frankreich eine Strafe in Höhe von 50 Millionen Euro zahlen. Das Bußgeld verhängte die französische Datenschutzbehörde CNIL. Ausgelöst wurde das Verfahren gegen Google durch Beschwerden der Organisation NOYB von Max Schrems und der französischen Netzaktivisten La Quadrature du Net.

Zu dem Bußgeld sei es gekommen, da Google die Anforderungen der DSGVO hinsichtlich der Informationspflichten nur unzureichend erfülle. So seien die Informationen über die Datenverarbeitung im Rahmen verschiedener Google-Applikationen für die Nutzer nur schwerlich über mehrere Links und Buttons zugänglich und insgesamt intransparent. Aufgrund der, dem Nutzer, nur unzureichend zur Verfügungen gestellten Informationen über die Art und Weise der Verarbeitung personenbezogener Daten, seien auch die Einwilligungen zur Anzeige personalisierter Werbung nach Ansicht der französischen Datenschutzbehörde nicht rechtmäßig.

Mehr Transparenz im Datenschutz

21. Januar 2019

Laut dem Bundesdatenschutzbeauftragten Ulrich Kelber arbeitet seine Behörde an einem Konzept zu größerer Transparenz im Datenschutzrecht. Danach entwickelt die Bundesdatenschutzbehörde zurzeit ein Konzept im Hinblick auf die Veröffentlichung von amtlichen  Informationen, die die Ahndung von Verstößen gegen die DSGVO betreffen.

Dieses Konzept soll laut Kelber zum Ziel haben, dass grundsätzlich alle nach dem Informationsfreiheitsgesetz abfragbaren  Informationen auch veröffentlicht werden können. In der Konsequenz würde die Bundesdatenschutzbehörde folglich aktiv Informationen zu Ahndungen von Datenschutzverstößen veröffentlichen, wenn ein Anspruch des Bürgers auf amtliche Informationen nach dem Informationsfreiheitsgesetz (IFG) bestehen würde.

Damit will der Bundesdatenschutzbeauftragte dem aktuellen Zustand entgegenwirken, dass nur sehr vereinzelt Datenschutzverstöße und ihre Sanktionierung transparent veröffentlicht werden. Diesen Zustand kritisierte bereits der ehemalige Bundesdatenschutzbeauftragte Peter Schaar. Ebenso wurde von Niko Härting angemerkt, dass die meisten Ahndungen der breiten Öffentlichkeit unverständlicherweise nicht bekannt seien.

Zur Erläuterung: Nach § 1 IFG hat jeder Bürger einen Anspruch auf Zugang zu amtlichen Informationen, soweit kein besonderer öffentlicher Belang entgegensteht nach § 3 IFG und der Geheimnisschutz sowie der Schutz personenbezogener Daten gewahrt bleiben, §§ 4, 5, 6 IFG. Ein gesondertes berechtigtes Interesse muss der Bürger dafür gerade nicht nachweisen.

Auswirkungen des Brexit auf den Datenschutz

17. Januar 2019

Nachdem der von Premierministerin Theresa May vorgelegte Entwurf eines Vertrags zur Regelung des Brexit am 15. Januar durch eine deutliche Mehrheit der Parlamentarier abgelehnt wurde, rückt das Szenario eines ungeordneten Austritts des Vereinigten Königreichs aus der Europäischen Union wieder in greifbare Nähe. Neben vielfältigen wirtschaftlichen und europarechtlichen Fragestellungen besitzt der Brexit auch eine konkret datenschutzrechtliche Komponente.

Mit dem für den 29.03.2019 angekündigten Austritt des Vereinigten Königreichs aus der Europäischen Union ist das Vereinigte Königreich ohne entsprechende Übergangsregeln ab diesem Zeitpunkt als Drittland im Sinne der DSGVO anzusehen. Dies bestätigte auch Prof. Dr. Dieter Kugelmann, Landesdatenschutzbeauftragter für Rheinland-Pfalz: „Fakt ist, dass das Vereinigte Königreich nach Austritt aus der EU zu einem „Drittland“ im Sinne der Datenschutzgrundverordnung wird“.

Da viele Unternehmen aktuell Kunden- oder Beschäftigtendaten in das Vereinigte Königreich übermitteln und dort ansässige Rechenzentren zu den eigenen Dienstleistern zählen, ergibt sich nach der Datenschutzgrundverordnung durch den Brexit Anpassungsbedarf. Unternehmen mit Vertragspartnern im Vereinigten Königreich müssen im Falle eines Datentransfers sicherstellen, dass es auch nach dem Brexit noch eine hinreichende Rechtsgrundlage für die entsprechenden Datenübermittlungen gibt. Weiterhin sind die Informationspflichten nach Artt. 13, 14 Datenschutzgrundverordnung bezüglich eines Datentransfers in ein Drittland zu ergänzen. Gleiches gilt für Datenschutzerklärungen im Internet. Im Falle eines Auskunftsersuchens einer betroffenen Person ist diese nach Art. 15 Datenschutzgrundverordnung auch über den Datentransfer in ein Drittland zu unterrichten. Darüber hinaus dürften bei Datenübermittlungen in das Vereinigte Königreich als Drittland vielfach die Verzeichnisse von Verarbeitungstätigkeiten nach Art. 30 Datenschutzgrundverordnung anzupassen sein. Gegebenenfalls ist nach dem Brexit auch das Durchführen von Datenschutzfolgenabschätzungen notwendig.

Es empfiehlt sich, dass sich Unternehmen, die personenbezogene Daten in das Vereinigte Königreich übermitteln, bereits jetzt auf entsprechende Anpassungen und Änderungen vorbereiten, um weiterhin eine rechtlich konforme Datenverarbeitung gewährleisten zu können. Da die Datenschutzgrundverordnung kein Konzernprivileg kennt, gelten die zuvor dargestellten Anmerkungen prinzipiell auch für Datenströme innerhalb einer Konzerngruppe.

Neuer Gesetzesentwurf zur Kontrolle von Dieselfahrverboten mit verbessertem Datenschutz

9. Januar 2019

Zum Zwecke der Durchsetzung eines Dieselfahrverbotes ist zur Zeit ein Gesetzesentwurf im Umlauf, der automatisierte Kontrollmöglichkeiten vorsieht. Die Kontrolle sieht dabei vor, das Autos, die in eine Verbotszone fahren, automatisiert fotografiert werden sollen um, das Kennzeichen mit den Daten der Zentralen Fahrzeugregister abgleichen zu können und so zu ermitteln, ob das Befahren der Zone erlaubt oder verboten war. Nachdem der Bundesrat den ersten Entwurf an verschiedenen Punkten, insbesondere aufgrund datenschutzrechtlicher Bedenken, kritisierte, besserte Bundesverkehrsminister Andreas Scheuer (CSU) nun nach.

Im alten Gesetzesentwurf war noch vorgesehen, dass die durch die automatisierten Kontrollen gewonnenen Daten spätestens sechs Monate nach ihrer erstmaligen Erhebung zu löschen sind. Im neuen Entwurf wurde diese Frist nun auf zwei Wochen verkürzt, um dem datenschutzrechtlichen Prinzip der Datenminimierung zu entsprechen. Selbst wenn die frühzeitige Löschung bedeuten würde, dass dies die Verfolgung eines etwaigen Verstoßes verhindern könnte, soll die Frist eingehalten werden.

Im Falle eines Verstoßes gegen das Dieselfahrverbot sollen die Daten unverzüglich an die zuständige Behörde weitergeleitet werden. Die Kontrollen sollen dabei allerdings nur stichprobenartig sowie ohne Videoaufzeichnungen oder verdeckte Kontrollen erfolgen.

Es bleibt abzuwarten, wie der Bundesrat auf den neuen Gesetzesentwurf reagiert.

Twitter soll Links sperren

7. Januar 2019

Der Datenschutzbeauftragte Johannes Caspar forderte Twitter zur Sperrung von Links auf, welche im Zusammenhang mit der Veröffentlichung von Daten von Politikern im Internet auftauchten. Der für die Veröffentlichung genutzte Account ist zwar mittlerweile gesperrt, jedoch sind die auf anderen Plattformen befindlichen Daten noch über Links in Form von Retweets und Likes andere Nutzer frei und können somit noch weiterverbreitet werden. Caspar stellte Twitter deshalb auch eine Liste mit Shortlinks bereit, die gelöscht werden sollen. Bisher hat sich Twitter auf diese Aufforderung hin nicht gemeldet. In der deutschen Niederlassung in Hamburg war zudem kein Ansprechpartner erreichbar.

Nun wird versucht, mittels einer an Twitter gerichteten Anordnung, die rechtsverbindliche Sperrung der Links zu erzielen.

Dies wurde in Zusammenarbeit mit der irischen Datenschutzbehörde erwirkt, da sich dort der europäische Hauptsitz von Twitter befindet.

Dorothee Bär: Datenschutz soll für das Gesundheitswesen gelockert werden

4. Januar 2019

Die Staatsministerin für Digitalisierung Dorothee Bär möchte datenschutzrechtliche Regelungen für das Gesundheitswesen lockern bzw. streichen, damit die Digitalisierung im Gesundheitssektor, insbesondere die elektronische Gesundheitskarte samt elektronischer Patientenakte voranschreiten kann. „Wir haben in Deutschland mit die strengsten Datenschutzgesetze weltweit und die höchsten Anforderungen an den Schutz der Privatsphäre“, sagte sie im Interview. Dies blockiere viele Entwicklungen im Gesundheitswesen.

Sie setzt sich dafür ein, dass die elektronische Gesundheitskarte dieses Jahr definitiv kommen wird. Die elektronische Patientenakte soll bis 2021 in den Regelbetrieb gehen. Sie bevorzugt jedoch statt einer Karte eine digitale Anwendung, am besten für das Smartphone.

Auch die Bundesärztekammer hat die Datenschutzregelungen für das Projekt einer elektronischen Gesundheitskarte als übertrieben bezeichnet.

Letztendlich liegt dieses Thema eher in den Händen des Gesundheitsministers Jens Spahn. Dieser hat sich jedoch auch für eine zeitgemäße Lösung für die elektronische Gesundheitskarte ausgesprochen.

Herzlichen Dank

20. Dezember 2018

Liebe Leserinnen und Leser,

wir bedanken uns recht herzlich für Ihr Interesse an unserem Datenschutzblog in diesem Jahr.
Das Jahr 2018 war durch den Eintritt der Datenschutz-Grundverordnung sehr ereignisreich.

Wir hoffen, Sie auch im kommenden Jahr mit vielen interessanten Themen und Beiträgen über datenschutzrechtlichen Nachrichten auf dem Laufenden zu halten.

Hiermit verabschieden wir uns für dieses Jahr und wünschen Ihnen eine schöne Weihnachtszeit sowie einen guten Rutsch in das Jahr 2019.

Ihr Kinast-Team.

Like-Button – Webseitenbetreiber könnten mithaften

Der zuständige Generalanwalt am Europäischen Gerichtshof (EuGH), Michael Bobek, hat sich nun für die Verantwortlichkeit von Webseitenbetreibern bei der Einbindung von „Gefällt-Mir“-Knöpfe ausgesprochen. Diese sind für die damit verknüpfte Datenübertragung mitverantwortlich.

In der Auseinandersetzung zwischen der Verbraucherzentrale NRW und einem Online-Händler handelte es sich unter anderem um die Frage, ob der Webseitenbetreiber, der ein Plug-In eines Dritten wie den „Gefällt-mir“-Knopf integriert auch für die dadurch ausgelöste Datenübertragung mitverantwortlich ist. Diese Frage hat Michael Bobek nun wie folgt beantwortet:
„Eine Person, die ein von einem Dritten bereitgestelltes Plug-In in ihre Webseite eingebunden hat, welches die Erhebung und Übermittlung der personenbezogenen Daten des Nutzers veranlasst, ist als ein für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 anzusehen. Die (gemeinsame) Verantwortlichkeit des betreffenden für die Verarbeitung Verantwortlichen ist jedoch auf die Verarbeitungsvorgänge beschränkt, für die er tatsächlich einen Beitrag zur Entscheidung über die Mittel und Zwecke der Verarbeitung der personenbezogenen Daten leistet.“

Demnach soll der Seitenbetreiber nicht für die „Gesamtkette“ der Prozesse mitverantwortlich sein, sondern nur für diejenigen Prozesse bei denen der Webseitentreiber und in diesem Fall Facebook gemeinsame Zwecke verfolgen.

Zeitpunkt der Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten

19. Dezember 2018

Aus Art. 30 Abs. 1 DSGVO folgt für den Verantwortlichen von Datenverarbeitungsprozessen die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten. Welche Mindestangaben ein solches Verzeichnis enthalten muss, lässt sich aus Art. 30 Abs. 1 S. 2 DSGVO entnehmen. Ein eindeutiger Zeitpunkt, zu dem ein solches Verzeichnis vollständig vorliegen muss, lässt sich dem Wortlaut von Art. 30 DSGVO hingegen nicht direkt entnehmen.

Mögliche Zeitpunkte für das Erfordernis des Vorliegens einer vollständigen Dokumentation im Sinne von Art. 30 DSGVO können dabei vor dem Beginn der Verarbeitungstätigkeit oder danach liegen.

Für die Notwendigkeit der Durchführung einer (vollständigen) Dokumentation im Sinne von Art. 30 DSGVO vor Beginn der eigentlichen Verarbeitungstätigkeit lassen sich die systematische Stellung der Norm und teleologische Überlegungen anführen. Systematisch befindet sich Art. 30 DSGVO im ersten Abschnitt des vierten Kapitels der DSGVO. Innerhalb dieses Abschnitts werden die allgemeinen Pflichten des Verantwortlichen und des Auftragsverarbeiters geregelt. Über die allgemeine Pflicht zur Dokumentation mittels eines Verzeichnisses im Sinne von Art. 30 DSGVO soll der Verantwortliche sicherstellen, dass die Grundsätze einer rechtmäßigen Datenverarbeitung gewahrt sind. Demnach ist Art. 30 DSGVO von seinem Sinn und Zweck her im Zusammenhang mit Art. 5 DSGVO zu sehen, der die allgemeinen Grundsätze einer rechtmäßigen Datenverarbeitung statuiert. In Art. 5 Abs. 1 lit. a DSGVO wird der Grundsatz der Rechtmäßigkeit festgelegt. Art. 5 Abs. 1 lit. b DSGVO kodifiziert den Zweckbindungsgrundsatz und Art. 5 Abs. 1 lit. c DSGVO den Grundsatz der Datenminimierung. Zur Wahrung der Zweckbindung und zur Beachtung des Grundsatzes der Datenminimierung ist es erforderlich, dass der Verantwortliche schon vor Beginn der Verarbeitungstätigkeit diese Grundsätze mit in seine Planungen einbezieht und die Einhaltung sicherstellt. Aufgrund der zu nennenden Angaben kann das Erstellen eines vollständigen Verzeichnisses im Sinne von Art. 30 DSGVO den Verantwortlichen dabei unterstützen, schon im Vorfeld einer geplanten Verarbeitungstätigkeit sicherzustellen, dass diese rechtmäßig ist. Würde dem Verantwortlichen hingegen erst bei einer Dokumentation unmittelbar nach Inbetriebnahme einer neuen Verarbeitung bewusst, dass beispielsweise die verarbeiteten Daten zur Zweckerreichung nicht erforderlich sind, so wären die bis zu diesem Zeitpunkt durchgeführten Verarbeitungen regelmäßig als nicht rechtmäßig anzusehen.

Grundsätzlich bleibt jedoch anzumerken, dass die Wahrung der Rechtmäßigkeit einer Verarbeitungstätigkeit auch durch andere Vorfeldmaßnahmen als die Dokumentation mittels eines Verzeichnisses nach Art. 30 DSGVO gewahrt werden kann (bspw. durch die Durchführung einer Datenschutz-Folgenabschätzung oder auch durch lediglich allgemeine Erwägungen zur Zweckgebundenheit und Datenminimierung), sodass sich letztlich aus systematischen und teleologischen Erwägungen heraus keine unmittelbare Pflicht zur Durchführung einer Dokumentation im Sinne von Art. 30 DSGVO bereits vor Beginn der Verarbeitungstätigkeit ableiten lässt.

Für die Notwendigkeit zur Durchführung einer (vollständigen) Dokumentation gem. Art. 30 DSGVO erst nach Beginn der Verarbeitungstätigkeit könnte der Sinn und Zweck der Norm herangezogen werden. Zum einen soll dem Verantwortlichen durch ein Verzeichnis nach Art. 30 DSGVO die Struktur und der Umfang der Datenverarbeitung vor Augen geführt und so die Rechtmäßigkeit der Verarbeitung sichergestellt werden. Zum anderen liegt der Zweck der Verzeichnisse nach Art. 30 DSGVO aber auch darin, dass die zuständigen Aufsichtsbehörden mit Hilfe dieser Verzeichnisse erste Anhaltspunkte für die Überprüfung der Rechtmäßigkeit der jeweiligen Datenverarbeitung erhalten. Demnach kann der Verantwortliche mit Hilfe der vollständigen Verzeichnisse gegenüber der zuständigen Aufsichtsbehörde seine sich aus Art. 5 Abs. 2 DSGVO ergebende Rechenschaftspflicht erfüllen und die Rechtmäßigkeit der Verarbeitung nachweisen und dokumentieren. Dokumentationen oder Kontrollen durch Aufsichtsbehörden von Verarbeitungen oder Verfahren erfolgen jedoch üblicherweise erst, nachdem diese Verfahren oder Verarbeitungen in Betrieb genommen wurden. Demnach wäre es notwendig, aber wohl auch ausreichend, dass man die Rechtmäßigkeit der Verarbeitung durch die vollständige Dokumentation mittels eines Verzeichnisses im Sinne von Art. 30 DSGVO unmittelbar nach Inbetriebnahme der Verarbeitungstätigkeit nachweisen kann.

Zusammenfassend lässt sich somit festhalten, dass sich unmittelbar aus Art. 30 DSGVO selbst keine explizite Aussage zum Zeitpunkt der Durchführung der Dokumentation mittels eines entsprechenden Verzeichnisses entnehmen lässt. Aus dem Sinn und Zweck der Norm und im Zusammenhang mit der sich aus Art. 5 Abs. 2 DSGVO ergebenden Rechenschaftspflicht ergibt sich jedoch, dass ein Verzeichnis nach Art. 30 DSGVO jedenfalls unmittelbar nach Beginn der Verarbeitungstätigkeit vorliegen muss. Da jedoch schon vor Beginn einer neuen Verarbeitungstätigkeit durch den Verantwortlichen Überlegungen zur Rechtmäßigkeit der Verarbeitung vorzunehmen sind, empfiehlt es sich, insbesondere auch zur Wahrung eines ganzheitlichen Datenschutzkonzepts, schon vor Beginn einer neuen Verarbeitungstätigkeit eine Dokumentation mittels eines Verzeichnisses nach Art. 30 DSGVO durchzuführen. Weil sich die inhaltlichen Anforderungen an ein Verzeichnis nach Art. 30 DSGVO in weiten Teilen mit den im Vorfeld durchzuführenden Rechtmäßigkeitserwägungen überschneiden, ist dies insbesondere auch aus prozessökonomischen Erwägungen sinnvoll. Weiterhin lässt sich durch ein im Vorfeld der Verarbeitungstätigkeit erstelltes Verzeichnis nach Art. 30 DSGVO auch sicherstellen, dass ein bußgeldbewährter Verstoß gegen die Dokumentationspflicht vermieden wird. Eine Verletzung der sich aus Art. 30 DSGVO ergebenden Pflichten kann dabei nach Art. 83 Abs. 4 lit. a DSGVO mit einem Bußgeld von bis zu 10 Millionen Euro oder bei Unternehmen mit bis zu 2 % des Jahresumsatzes sanktioniert werden.

Google ändert Nutzungsbedingungen sowie Datenschutzerklärung

18. Dezember 2018

Am 22. Januar 2019 treten aktualisierte Nutzungsbedingungen sowie eine mit Änderungen versehene Datenschutzerklärung bei Google in Kraft. Die bedeutsamste und rechtlich weitreichendste Änderung ist der Wechsel des Verantwortlichen. Momentan werden die Dienste von Google LLC in den USA angeboten. Dies ändert sich nunmehr bald. Künftig werden alle Dienste in der europäischen Union sowie in der Schweiz  von der Google Ireland Limited angeboten. Damit wird das europäische Unternehmen der neue Verantwortliche, der sich um die datenschutzrechtliche Belange der Betroffenen kümmern muss.

Den Wechsel begründet Google mit der einfacheren Umsetzbarkeit der DSGVO. Somit wird auch die „One Stop Shop“-Regelung der EU eingehalten, dass es nur einen einzigen Ansprechpartner für Nutzer und Unternehmen geben soll.

Wichtig ist nun für alle Websitebetreiber, die in ihrer Datenschutzerklärung Google LLC als Verantwortlichen beispielsweise bei Google Analytics genannt haben, dies entsprechend zu ändern. Die Einstellungen und Dienste von Google erhalten keine Änderungen.

1 2 3 17