Kategorie: EU-Datenschutzgrundverordnung

Neue Leitlinien des Europäischen Datenschutzausschusses zur datenschutzrechtlichen Einwilligung

13. Mai 2020

Mit Wirkung zum 04. Mai 2020 hat der Europäische Datenschutzausschuss (EDSA) neue Richtlinien zur Einwilligung nach der Datenschutz-Grundverordnung erlassen und veröffentlicht (bisher liegen die neuen Leitlinien nur in englischer Sprache vor). Dabei handelt es sich um eine aktualisierte Fassung des „Working Papers“ WP 259 rev. 01 der Artikel-29-Datenschutzgruppe. Diese Aktualisierungen betreffen vor allem den Betrieb von Webseiten und dort einzuholende Einwilligungen der Nutzer.

Der EDSA sah sich zu einer Aktualisierung dieser Leitlinien veranlasst, da das Thema „Einwilligung“ noch immer zahlreiche praktische und rechtliche Schwierigkeiten mit sich bringt. Dabei geht es laut EDSA insbesondere um zwei Punkte, die weiterer Klarstellung bedürften: zum einen die Wirksamkeit von Einwilligung bei der Nutzung sog. „Cookie Walls“, zum anderen das im WP 259 rev. 01 dargestellte Beispiel 16 zum Scrollen und Wischen auf einer Website als mögliche Einwilligung.

„Cookie Walls“ unzulässig

Zunächst stellt der EDSA klar, dass eine Einwilligung dann nicht als „freiwillig“ abgegeben (im Sinne des Art. 4 Nr. 11 DS-GVO) angesehen werden könne, wenn der Verantwortliche die Nutzung eines Services von der Erteilung einer Einwilligung abhängig macht und darauf verweist, die betroffene Person könne den Service andernfalls auch bei einem anderen Anbieter nutzen (Rn. 38). Eine solche Einwilligung sei wegen einer fehlenden echten Wahlmöglichkeit nicht freiwillig, denn sie sei vom Verhalten anderer Marktteilnehmer sowie von der Beurteilung des Betroffenen abhängig, ob das andere Angebot als tatsächlich gleichwertig angesehen wird. Zudem würde dies den Verantwortlichen dazu verpflichten, Marktveränderungen zu beobachten, um Änderungen in Bezug auf gleichartige Angebote feststellen zu können. Im Ergebnis dürften Verantwortliche die Nutzung eines Services nicht davon abhängig machen, dass der Nutzer eine Einwilligung in die Verarbeitung seiner Daten für zusätzliche Zwecke erteilt. Sog. „Cookie Walls“ seien demnach unzulässig (Rn. 39).

Scrollen und Wischen nicht als Einwilligung geeignet

Die zweite Klarstellung des EDSA bezieht sich auf das Beispiel 16, welches die Artikel-29-Datenschutzgruppe im WP 259 rev. 01 gegeben hatte. Demnach stelle das Scrollen oder Wischen auf einer Webseite keine eindeutig bestätigende Handlung dar (Rn. 68). Der Hinweis durch den Verantwortlichen, das fortgesetzte Srollen oder Wischen würde durch den Verantwortlichen als Einwilligung aufgefasst, könne schwierig zu erkennen sein, sodass er durch den Betroffenen übersehen werden könne. Diese Auffassung hat der EDSA nun bestätigt und klargestellt, dass ein solches Scrollen oder Wischen „unter keinen Umständen“ eine unmissverständlich abgegebene Willensbekundung (siehe Art. 4 Nr. 11 DS-GVO) darstelle. Ein solches Verhalten könne deshalb nicht als Einwilligung angesehen werde, weil es sich nicht leicht von sonstigem Nutzerverhalten unterscheiden lasse. Zudem könne der Betroffene in einem solchen Fall seine Einwilligung nicht „so einfach wie die Erteilung der Einwilligung“ widerrufen, wie dies Art. 7 Abs. 3 S. 4 DS-GVO fordert.

Ulrich Kelber, Bundesdatenschutzbeauftragter und selbst Mitglied des EDSA, unterstützte diese Klarstellungen. Es sei problematisch, dass einige Internetseiten durch ihre Gestaltung den Nutzenden Tracking aufdrängten, und er hoffe, dass die Klarstellungen zu einem Umdenken bei solchen Anbietern sorgt. Es sei erforderlich, dass diese den Nutzenden endlich datenschutzfreundliche Alternativen anbieten.

DSGVO-Sanktion gegen Tennisverband wegen Datenverkauf

10. März 2020

Die niederländische Aufsichtsbehörde verhängte gegen den Tennisverband „Koninklijke Nederlandse Lawn Tennisbond“ (KNLTB) eine Geldbuße von 525.000 EUR, weil er die personenbezogenen Daten seiner Mitglieder verkauft hatte. Im Jahr 2018 stellte KNLTB unrechtmäßig die personenbezogenen Daten einiger tausend seiner Mitglieder zwei Sponsoren zur Verfügung.

Darunter waren der Name, das Geschlecht und die Adresse der Mitglieder. Die Sponsoren nutzten die Daten dazu um an die betroffenen Personen heranzutreten und ihnen tennisbezogene und andere Angebote unterbreiten zu können. Ein Sponsor erhielt personenbezogene Daten von 50.000, der andere von mehr als 300.000 Mitgliedern. Die Sponsoren wandten sich per Post oder Telefon an einige dieser KNLTB-Mitglieder.

Der Tennisverband hat sich auf das berechtigte Interesse am Verkauf der Daten berufen. Die niederländischen Aufsichtsbehörden waren anderer Ansicht und entschieden, dass KNLTB keine Grundlage für die Weitergabe dieser personenbezogenen Daten an die Sponsoren hatte. Daher war die Übermittlung der personenbezogenen Daten rechtswidrig. Das verhängte Bußgeld von 525.000 Euro ist allerdings noch nicht rechtskräftig, weil der Tennisverband Rechtsmittel eingelegt kann.

Google verlegt aufgrund der Unsicherheiten des Brexit die Verantworltichkeit für UK-Betroffenendaten in die USA

5. März 2020

Google verlegt die Verantwortlichkeit für ihre britischen Nutzerdaten von Irland in die USA. Damit unterstellt Google die Daten der Zuständigkeit der US-Regulierungsbehörden.

Dieser Wechsel könnte Auswirkungen auf den Umfang des rechtlichen Schutzes der britischen Nutzerdaten von Google haben. Denn im Gegensatz zu Irland, unterliegen die USA nicht den strengen Anforderungen der DSGVO.

Die Verlegung der Verantwortlichkeit erfolgt aufgrund des Ausstiegs Großbritanniens aus der Europäischen Union und den damit geschaffenen Unsicherheiten über die Zukunft der Datenschutzbestimmungen des Landes.

Am 24. Januar 2020 hat die EU das Austrittsabkommen mit Großbritannien unterzeichnet. Das Austrittsabkommen beinhaltet eine Übergangsfrist bis zum 31.12.2020. Während dieser Übergangsfrist wird Großbritannien weiterhin wie ein EU-Mitgliedsstaat behandelt. Die DSGVO findet dementsprechend weiter Anwendung.

Was nach der Übergangszeit wird, bleibt abzuwarten. Falls kein weiteres internationales Abkommen geschlossen wird, würde Großbritannien spätestens dann zu einem Drittland im Sinne der DSGVO werden. Möglich wäre aber auch der Erlass eines Angemessenheitsbeschlusses gem. Art. 45 DSGVO durch die EU-Kommission.

Das Datenschutzrecht in Großbritannien wird durch das Datenschutzgesetz von 2018 (Data Protection Act) geregelt, dass die Umsetzung der DSGVO im Vereinigten Königreich darstellt.

Darüber hinaus plant die britische Regierung, laut britischer Datenschutzbehörde, mit dem Ende der Übergangsfrist, die DSGVO als „UK DSGVO“ in das britische Recht zu übernehmen.

Google selbst teilte mit, dass sich die Datenschutzstandards für britische Nutzer mit der Verlegung der Verantwortlichkeit nicht ändern sollen.

Arztpraxen brauchen erst ab 20 Mitarbeitern einen Datenschutzbeauftragten

16. Januar 2020

Bereits im Juni 2018 berichteten wir über die Verpflichtung von Arztpraxen zur Bestellung von Datenschutzbeauftragten (DSB) nach der DSGVO. Grundsätzlich durfte man zu diesem Zeitpunkt davon ausgehen, dass bei einer Beschäftigtenanzahl von 10 Personen häufig eine Bestellpflicht vorlag, wenn wenn diese 10 Mitarbeiter ständig personenbezogene Daten verarbeiteten.

Der Bundestag hat mit Beschluss des sogenannten Zweiten Datenschutzanpassungs- und Umsetzungsgesetzes im Juni 2019 diese Anforderungen für Kleinunternehmen gelockert und die Zahl der Beschäftigen auf 20 angehoben. Das Gesetz wurde am 25.11.2019 im Bundesgesetzblatt verkündet. Insgesamt wurden dadurch Anpassungen in rund 150 Gesetzen erforderlich.

Aufgrund des geänderten § 38 BDSG besteht seitdem für Ärzte, die eine eigene Praxis betreiben, erst ab einer Mitarbeiterzahl von 20 Personen eine erhöhte Bestellpflicht. Mit der Veränderung wolle man „vor allem eine Entlastung kleiner und mittlerer Unternehmen sowie ehrenamtlich tätiger Vereine“ erreichen, heißt es in der Gesetzesbegründung. Kritisiert wurde an der Gesetzesänderung vor allem der Umstand, dass lediglich die Pflicht zur Bestellung eines DSB erleichert worden wäre, alle anderen datenschutzrechtlichen Verpflichtungen für kleinere Unternehmen aber nicht angetastet wurden, sodass die Änderung den Unternehmen deswegen nicht viel nütze.

Zu beachten ist allerdings, dass die Mitarbeiterzahl in Arztpraxen ist im Hinblick auf die Bestellpflicht dann irrelevant ist, wenn dort Datenschutzfolgenabschätzungen vorgenommen werden. Dann besteht die Pflicht zur Bestellung eines DSB unabhängig von der Anzahl der Beschäftigten. Datenschutzfolgenabschätzungen sind beispielsweise dann durchzuführen, wenn eine systematische Videoüberwachung der Praxisräume erfolgt oder wenn Daten besonderer Kategorien umfangreich verarbeitet werden (z.B. Gesundheitsdaten). Wann letzteres in Arztpraxen genau der Fall ist, wird bislang noch diskutiert. Vieles spricht dafür, dass eine Verarbeitung von Daten durch einen einzelnen Arzt keine „umfangreiche Verarbeitung“ darstellt, somit noch keine Pflicht zur Datenschutzfolgenabschätzung auslösen soll und dann auch die Pflicht zur Bestellung eines Datenschutzbeauftragten in Einzelpraxen entfallen lässt, sofern die Mitarbeiterzahl ohnehin unter 20 liegt.

BVerfG wendet Unionsgrundrechte an und konkretisiert das „Recht auf Vergessen“

5. Dezember 2019

Das Bundesverfassungsgericht beschäftigte sich in zwei in vieler Hinsicht spannenden Beschlüssen vom 6. November 2019 mit dem Recht auf Vergessen (1 BvR 16/13 – Recht auf Vergessen I und 1 BvR 276/17, Recht auf Vergessen II). Darin setzt sich das Verfassungsgericht wohl erstmals mit der Frage auseinander, ob und wann es die Charta der Grundrechte der Europäischen Union anwendet und nicht das deutsche Grundgesetz.

Das BVerfG kommt zu dem Ergebnis, dass allein die Unionsgrundrechte anwendbar sind, wenn sich der Rechtsstreit nach unionsrechtlich vollständig vereinheitlichten Regelungen richtet. Dies sei im Datenschutzrecht bereits durch die EU-Datenschutzrichtlinie, erst recht aber durch die Datenschutz-Grundverordnung grundsätzlich erfolgt. Eine Ausnahme gelte für Bereiche, in denen das Unionsrecht den Mitgliedstaaten die Schaffung abweichender Regelungen ermögliche. Ob eine Regelung gestaltungsoffen ist müsse durch Auslegung der konkreten Vorschrift ermittelt werden. Es komme darauf an, ob die Norm auf die Ermöglichung von Vielfalt und die Geltendmachung verschiedener Wertungen angelegt sei.

Der Sachverhalt

Im zugrundeliegenden Fall des Beschlusses „Recht auf Vergessen II“ begehrte die Beschwerdeführerin die Unterlassung der Anzeige eines Suchergebnisses von Google. Bei der Eingabe ihres Namens erschien als Suchergebnis ein Transkript eines Beitrags des Fernsehmagazins „Panorama“ von 2010. Der Beschwerdeführerin wurde darin ein unfairer Umgang mit ihren Mitarbeitern vorgeworfen. Das Landgericht verurteilte Google dazu den Link zu entfernen. Das OLG wies die Berufung ab.

Die rechtliche Würdigung

Nach den Ausführungen des BVerfG betrifft der Rechtsstreit eine unionsrechtlich vereinheitlichte Materie, weswegen die Unionsgrundrechte anwendbar seien. Dies sei Konsequenz der Übertragung von Hoheitsbefugnissen auf die EU. Die Anwendung deutscher Grundrechte würde das Ziel der Rechtsvereinheitlichung konterkarieren. Dem Grundgesetz komme insofern nur eine Reservefunktion zu. Während der EuGH für die letztverbindliche Auslegung des Unionsrechts zuständig sei, habe das BVerfG die Kompetenz über die richtige Anwendung der Unionsgrundrechte.

Das Recht auf Achtung des Privatlebens aus Art. 7 und 8 CRC beschränke sich nicht auf höchstpersönliche oder besonders sensible Sachverhalte, sondern schließe auch geschäftliche und berufliche Tätigkeiten ein. Zwar könne sich Google selbst nur auf die unternehmerische Freiheit berufen. In der Abwägung seien jedoch auch die Grundrechte der Inhalteanbieter einzustellen, um deren Veröffentlichung es geht. Zudem müssten Zugangsinteressen der Internetnutzer berücksichtigt werden. Das BVerfG arbeitet sodann detailliert heraus, dass ein Schutzanspruch gegenüber einem Suchmaschinenbetreiber weiter reichen kann als gegenüber dem Inhalteanbieter, wenn im Verhältnis zwischen zwischen Betroffenen und Inhalteanbieter nach innerstaatlichem Fachrecht allein die inhaltliche Richtigkeit eines Beitrags ohne Berücksichtigung seiner Verbreitungswirkungen im Internet maßgeblich ist und deshalb der hierdurch entstehende Schutzbedarf der Betroffenen auf dieser Ebene noch nicht erfasst wird.

Das Ergebnis

Die klageabweisende Entscheidung des OLG beanstandet das BVerfG nicht. Die Beschwerdeführerin habe damals ihre Zustimmung zu dem Beitrag gegeben. Ein Zeitablauf könne zwar dazu führen, dass die Verbreitung von Beiträgen durch Suchmaschinen unzumutbar wird, denn es müsse die Chance eines In-Vergessenheit-Geratens belastender Informationen geben. Allerdings sie die Beschwerdeführerin weiterhin unternehmerisch tätig und der Zeitraum von sieben Jahren nicht übermäßig lang.

Zum Beschluss „Recht auf Vergessen I“ folgt ein weiterer Blogeintrag.

Bundestagsabstimmung am 7.11.19 über das umstrittene Digitale-Versorgung-Gesetz

6. November 2019

Wie bereits am 10.07.2019 berichtet wurde, entwarf Bundesgesundheitsminister Spahn das Digitale-Versorgung-Gesetz.

Das neue Gesetz sieht eine digitale Speicherung der personenbezogenen Daten von 73 Millionen gesetzlich Versicherten vor. Das Einsehen einer digitalen Personenakte soll damit erleichtert werden.

Die Kritik am umstrittenen Gesetz beruht maßgeblich auf der Gefährdung des sensiblen Gesundheitsdatenschutzes. Insbesondere verzichtet das Gesetz auf eine Einwilligung für die Weitergabe der Patientendaten zu Forschungszwecken. Pseudonymisierte Abrechnungsdaten werden von den gesetzlichen Krankenkassen an den Spitzenverband weitergeleitet. Nach nochmaliger Pseudonymisierung können diese Daten dem Forschungsdatenzentrum zur Verfügung gestellt werden. Dieses leitet anonymisierte und zusammengefasste Ergebnisse auf Antrag an Wissenschaftlerinnen und Forscher weiter. Zusätzlich kritisiert wird der Ausschluss des Widerrufsrechts. Es bleibt abzuwarten, ob der Bundestag das Digitale-Versorgung-Gesetz in dieser Form morgen beschließt.

LDI Berlin verhängt Bußgeld in Höhe von 14,5 Millionen Euro gegen Wohnungsgesellschaft

5. November 2019

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat am 30.10.2019 den deutschlandweit bisher höchsten Bußgeldbescheid in Höhe von 14,5 Millionen Euro gegen die Deutsche Wohnen SE erlassen. Der Verstoß gegen die DSGVO bestand in der Verwendung eines rechtswidrigen Archivsystems. Dieses verhinderte das Entfernen von nicht mehr erforderlichen personenbezogenen Daten von Mieterinnen und Mietern. Dadurch wurden die personenbezogenen Daten ohne Überprüfung der Rechtmäßigkeit der Verarbeitung fortwährend gespeichert. Obwohl der Zweck zur Datenerhebung bereits entfallen war, konnten die Daten zu persönlichen und finanziellen Verhältnissen der Betroffenen noch jahrelang eingesehen werden. Nachdem die Aufsichtsbehörde bereits im Juni 2017 auf die Missstände hingewiesen hatte, waren die rechtswidrigen Speichermethoden bei erneuter Kontrolle im März 2019 noch nicht beseitigt. Es konnte weder eine Bereinigung des Archivs nachgewiesen, noch Rechtsgründe für die weitere Speicherung der Daten vorgebracht werden.

Die Aufsichtsbehörde stützt ihren Bußgelderlass auf einen Verstoß gegen Art. 25 I und Art. 5 DSGVO im Zeitraum von März 2018 bis März 2019. Der gesetzliche Bußgeldrahmen, bemessen an dem Jahresumsatz der Deutsche Wohnen SE von über einer Milliarde Euro, lag bei 28 Millionen Euro. Zur Bestimmung des Bußgeldbetrages wurde der Verantwortlichen das bewusste Anlegen des Archivsystems und der lange Zeitraum des Verstoßes zulasten gelegt. Positiv wurden die Mitwirkungsbereitschaft gegenüber der Aufsichtsbehörde und die Vorbereitungsmaßnahmen zur Verbesserung des Systems berücksichtigt. Zusätzlich konnte kein missbräuchlicher Zugriff auf die personenbezogenen Daten nachgewiesen werden. Aus einer Gesamtabwägung ergab sich der Mittelwert von 14,5 Millionen Euro Bußgeld. Der Bußgeldbescheid ist noch nicht rechtskräftig.

In Berlin werden vom 5.-7.11. KFZ-Kennzeichen erfasst.

Die Stadtverwaltung Berlin analysiert mit Beginn des heutigen Tages den Schadstoffausstoß von Kraftfahrzeugen. Dies gab die Stadtverwaltung in einer Pressemitteilung bekannt.

So würden zu Zwecken des Umweltschutzes Kennzeichen der Fahrzeuge mittels Videokameras erfasst und einem Schadstoffausstoß zugeordnet. Die Kennzeichenerhebung würde jedoch ausdrücklich nicht zur Ahndung von Verstößen gegen die Umweltzone genutzt. Vielmehr würden ausschließlich das Kennzeichen, nicht aber ein Bild des Fahrzeugs oder gar der Insassen registriert und der Zulassungsbehörde ohne Ortsangaben mitgeteilt. Auch eine Abfrage der Halterdaten würde nicht erfolgen.

Diese Form der Kennzeichenerhebung sei im Vorfeld mit der Berliner Beauftragten für Datenschutz und Informationsfreiheit abgestimmt worden. Die automatisierte Auswertung der Kennzeichen erfolge unter Berücksichtigung der Datenschutzgrundverordnung und des Berliner Datenschutzgesetzes.

Facebook-Fanpage-Betreiber für Verstöße verantwortlich

16. September 2019

Die Betreiber von gewerblichen Fanpages auf Facebook sind mitverantwortlich für die Datenverarbeitung. Datenschutzbehörden dürfen Unternehmen verpflichten, ihre Seiten bei Facebook abzuschalten, wenn Facebook den Datenschutz missachtet. Das entschied jetzt das Bundesverwaltungsgericht in einem Grundsatzurteil.

Wie wir bereits berichtet haben, liegt der Entscheidung ein Fall aus Schleswig-Holstein zugrunde. Das Landeszentrum für Datenschutz (ULD) forderte 2011 von der Wirtschaftsakademie Schleswig-Holstein die Deaktivierung der Fanpage. Bei Aufruf der Seite würden Daten der Nutzer erhoben, ohne dass diese darüber informiert würden. Das Oberverwaltungsgericht (OVG) Schleswig-Holstein hat eine datenschutzrechtliche Verantwortlichkeit der Klägerin abgelehnt, weil sie keinen Zugriff auf die erhobenen Daten habe. Das Bundesverwaltungsgericht legte den Fall schließlich dem Europäischen Gerichtshof (EuGH) vor.

Der EuGH hat im Juni 2018 dann entschieden, dass der Betreiber einer Fanpage für die durch Facebook erfolgende Datenverarbeitung mitverantwortlich ist. Er ermöglicht durch den Betrieb der Fanpage Facebook den Zugriff auf die Daten der Fanpage-Besucher. Das Bundesverwaltungsgericht hat auf Grundlage dieser bindenden Vorgabe das Berufungsurteil aufgehoben.

„Erweisen sich die bei Aufruf der Fanpage ablaufenden Datenverarbeitungen als rechtswidrig, so stellt die Deaktivierungsanordnung ein verhältnismäßiges Mittel dar“, weil dem ULD keine anderweitige Möglichkeit zur Herstellung datenschutzkonformer Zustände offensteht. Inwiefern die Datenverarbeitung im konkreten Fall tatsächlich rechtswidrig war, muss aber noch genauer geklärt werden, urteilten die Leipziger Richter. Sie verwiesen den Fall darum zur erneuten Verhandlung und Entscheidung an das OVG zurück.

Datentransfer in Zeiten des „no-deal Brexit“

27. August 2019

Boris Johnson sieht scheinbar „realistische Chancen“ auf erneute Verhandlungen mit den übrigen europäischen Staaten. Über diese Aussage hinaus hat er jedoch – ausweislich von Medienberichten – keine Aussage dahingehend getroffen, wie dies realisierbar wäre. Diese und andere Aussagen des britischen Premiers erhärten die Annahme, es könne im Oktober zu einem so betitelten „no-deal Brexit“ kommen. Dieser Beitrag soll den Fokus noch einmal auf diejenigen Aspekte lenken, die Unternehmen in diesem Kontext zwingend berücksichtigen sollten. Weitere Informationen werden von der Datenschutzkonferenz angeboten (wenn auch noch für das ehemalige Austrittsdatum).

Datenschutzrechtliche Einordnung des Vereinigten Königreichs

Künftig würde es sich bei dem Vereinigten Königreich um einen Drittstaat im Sinne der Artikel 44 bis 49 DSGVO handeln. Insoweit bestünden grundsätzlich keine Unterschiede zu anderen Staaten außerhalb der Europäischen Union, wie zum Beispiel den USA.

Voraussetzung eines Datentransfers

Unabhängig vom Status des Empfängerlandes muss die Datenübermittlung dem Grunde nach zulässig sein. Jedwede Verarbeitung personenbezogener Daten bedarf auch in diesem Kontext einer Rechtsgrundlage.

Darüber hinaus muss der Transfer in das Drittland selbst zulässig ist. Dies ist einerseits der Fall, wenn die Europäische Kommission das Datenschutzniveau im Rahmen eines Angemessenheitsbeschlusses bestätigt (sicheres Drittland).

Existiert andererseits kein Angemessenheitsbeschluss, so muss das datenverarbeitende Unternehmen auf andere Weise sicherstellen, dass die personenbezogenen Daten beim Empfänger ausreichend geschützt werden (unsicheres Drittland). Dies kann je nach Sachverhalt durch Standarddatenschutzklauseln, Binding Corporate Rules, vertragliche Verpflichtung zur Einhaltung von allgemein gültigen Verhaltensregeln oder durch die Zertifizierung des Verarbeitungsvorgangs realisiert werden. Wird ein angemessenes Schutzniveau nicht erreicht, so kann unter anderem die Einwilligung des Betroffenen einen Datentransfer legitimieren.

Um potentielle Verstöße zu vermeiden sollte jeder Datentransfer allerdings unabhängig von diesen Ausführungen ausschließlich anhand der Umstände des Einzelfalls beurteilt werden.

1 2 3 22