Kategorie: EU-Datenschutzgrundverordnung
12. August 2020
Eine Behörde darf einen Bescheid, der sensible personenbezogener Daten enthält, nicht per Telefax übermitteln, wenn der Bescheid stattdessen auf sicherem Weg zum Empfänger gelangen kann. Das entschied jedenfalls das OVG Lüneburg in seinem Beschluss vom 22.07.2020.
Wie es zu der Entscheidung kam
Der Kläger vertrieb explosionsgefährliche Stoffe an nationale Sicherheitsbehörden. Für den Transport der Stoffe nutzte er Fahrzeuge, für die er regelmäßig Übermittlungssperren bei der zuständigen Behörde beantragte. Eine Übermittlungssperre begrenzt die sonst nach dem Straßenverkehrsgesetz vorgesehenen Übermittlungen personenbezogener Daten aus den Fahrzeugregistern an Behörden, Institutionen und Privatpersonen, wenn für eine Sperre erhebliche öffentliche Interessen sprechen.
Der Kläger widersprach Ende 2015 gegenüber der für die Erteilung der Genehmigung der Übermittlungssperren zuständigen Behörde der Übersendung von Faxen mit unverschlüsselten Daten. Er wies auf die Gefahren hin, wenn Kriminelle von den Sprengstofflieferungen erführen. Die Behörde bestätigte Anfang 2016, dass sie beim Umgang mit personenbezogenen Daten die Vorgaben des Datenschutzrechts einhalte und keine personenbezogenen Daten unverschlüsselt übermittle.
Trotz dessen erhielt der Anwalt des Klägers 2017 einen Bescheid der Behörde per Fax. Das Fax enthielt unter anderem Name und Anschrift des Klägers sowie die Fahrzeugidentifikationsnummer und das amtliche Kennzeichen des Fahrzeuges.
Die Entscheidung des OVG Lüneburg
Auf Antrag des Klägers hin stellt das VG Osnabrück fest, dass die unverschlüsselte Kommunikation dieser Daten rechtswidrig war. Der Antrag der Behörde auf Zulassung der Berufung vor dem OVG Lüneburg blieb erfolglos.
Zur Begründung führte das OVG Lüneburg aus, die Behörde habe angesichts der besonderen Schutzbedürftigkeit des Klägers und seiner personenbezogenen Daten bei der Übermittlung dieser Daten ein erhöhtes Schutzniveau einzuhalten. Die unverschlüsselte Übermittlung per Telefax genüge den Anforderungen an ein angemessenes Schutzniveau nicht. In seinem Urteil verweist das OVG Lüneburg auf eine Äußerung des Landesbeauftragten für Datenschutz und Informationssicherheit Nordrhein-Westfalen auf seiner Internetseite, wonach der Versand per Telefax mit dem einer Postkarte vergleichbar sei. Bei der unverschlüsselten Übermittlung könnten unberechtigte Dritte jederzeit zugreifen. Zudem sei die Gefahr eines Irrläufers durch falsche Eingaben hoch.
Die Beklagte hätte nach Ansicht des OVG Lüneburg eine andere verfügbare und zumutbare Übermittlungsart nutzen müssen, wie etwa den Versand per Post oder per Bote an die nur 150 m von der Behörde entfernte Kanzlei. Die Nutzung eines Faxgeräts könne in Ausnahmefällen zulässig sein, wenn Verschlüsselungsgeräte verwendet würden. Entscheidungserheblich sei nicht, ob die Benutzung von Faxgeräten dem Stand der Technik entspricht, sondern ob Sicherungsmaßnahmen verfügbar sind und dem Stand der Technik entsprechen.
Folgen der Entscheidung
Die Entscheidung wurde zwar nach altem Datenschutzrecht und nicht nach der Datenschutz-Grundverordnung entschieden, die Rechtslage hat sich diesbezüglich aber nicht wesentlich geändert. Die Entscheidung kann sicherlich im Hinblick auf die Sicherheit von Faxservern kritisiert werden und auch die Übersendung per Post oder Bote bürgt gewisse Risiken. Trotz dessen kann die Entscheidung nicht nur für Behörden, sondern etwa auch für Anwälte oder Ärzte relevant sein. Es muss in jedem Einzelfall abgewogen werden, ob eine unverschlüsselte Übermittlung personenbezogener Daten unter Abwägung der Interessen der betroffenen Person zulässig ist.
31. Juli 2020
Zeitnah nach Verkündung des EuGH-Urteils zur Wirksamkeit des EU-US-Privacy-Shields (Urteil v. 16.07.2020, C-311/18) hatten bereits die ersten deutschen Aufsichtsbehörden zu dieser Entscheidung Stellung bezogen (wir berichteten). Nunmehr haben sich mit der Datenschutzkonferenz (DSK, Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder) und dem Europäischen Datenschutzausschuss (EDSA) weitere “Big Player” unter den Aufsichtsbehörden zu Wort gemeldet.
Stellungnahme und FAQ des EDSA
Der EDSA hat diesbezüglich gleich zwei Dokumente (in englischer Sprache) veröffentlicht, eine Stellungnahme sowie ein FAQ zum Urteil des Gerichts mit Sitz in Luxemburg. Zunächst einmal wird das Urteil durch den EDSA begrüßt, verdeutliche es doch den Stellenwert des “right to privacy” auch im Hinblick auf den Datentransfer in Drittstaaten. Im Hinblick auf die Unwirksamkeit des Privacy Shields stellt der EDSA heraus, dass einige der nunmehr aufgegriffenen Kritikpunkte auch bereits durch den EDSA aufgeworfen worden waren, und dass ein neues Abkommen zwischen der EU und den USA erforderlich sei, welches sämtliche Rechte der Betroffenen schützt.
Hinsichtlich der Standardvertragsklauseln – welche durch den EuGH grundsätzlich als wirksam anerkannt wurden – obliege es im Wesentlichen den Verantwortlichen selbst, auf ein geeignetes Schutzniveau im betreffenden Drittstaat zu achten. Werde ein solches Schutzniveau nach Ansicht des verantwortlichen Datenexporteurs nicht erreicht, müsse in Betracht gezogen werden, über die in den Standardvertragsklauseln genannten Schutzmaßnahmen hinaus zusätzliche Maßnahmen zum Schutz der personenbezogenen Daten zu ergreifen. Wenn die vertraglichen Pflichten (aus den Standardvertragsklauseln) nicht eingehalten werden können – ausdrücklich werden hier die Informationspflichten hinsichtlich Rechtsänderungen in dem Drittstaat genannt – dann müsse in Betracht gezogen werden, den Datentransfer zu stoppen, die Standardvertragsklauseln zu kündigen oder die zuständige Aufsichtsbehörde zu informieren.
In seinen FAQs stellt der EDSA dann noch einmal klar, dass es hinsichtlich der Reaktion auf das Urteil und somit für die Anpassung der Datentransfers in Drittstaaten keine “Gnadenfrist” gebe und sich auf alle Übermittlungen in die USA beziehe. Des Weiteren ist interessant, dass der EDSA die im Urteil nicht erwähnten Binding Corporate Rules (BCRs) ebenfalls anspricht. Auch diese sollten nach Ansicht des EDSA – genauso wie die Standardvertragsklauseln – im Einzelfall daraufhin überprüft werden, ob sie einen hinreichenden Schutz bieten. Ist dies nicht der Fall, sollte hier genauso vorgegangen werden wie bei den Standardvertragsklauseln.
Presseerklärung der DSK
Die Presseerklärung der DSK stimmt mit den Äußerungen des EDSA im Wesentlichen überein. Die DSK stellt jedoch ausdrücklich fest, dass die bisher genutzten Standardvertragsklauseln bei einer Übermittlung in die USA ohne zusätzliche Maßnahmen grundsätzlich nicht ausreichend seien. Dies gelte auch für die weiteren Garantien nach Art. 46 DS-GVO – also auch für die Binding Corporate Rules. Eine Übermittlung nach Art. 49 DS-GVO sei hingegen weiterhin uneingeschränkt zulässig.
Schließlich weist die DSK noch einmal darauf hin, dass eine Schonfrist für laufende Übermittlungen in die USA nicht besteht. Sämtliche datenverarbeitende Akteure, die Übermittlungen in die USA vornehmen, sollten die datenschutzrechtliche Zulässigkeit ihrer Verarbeitungen also umgehend überprüfen.
17. Juli 2020
In Kalifornien wurde durch die US-amerikanische Anwaltskanzlei Boies Schiller Flexner eine Klage gegen Google eingereicht.
Google wird vorgeworfen, Smartphone-Nutzer ohne deren Einwilligung getrackt zu haben. Über Google-Firebase, eine Entwicklungs-Plattform für Apps und Webanwendungen, sollen Daten gesammelt worden sein. Die Anwendung von Google-Firebase in einer App ist üblicherweise für die App-Nutzer nicht ersichtlich.
Wie es in der Klage weiterhin heißt, fängt Google insbesondere Daten über die Nutzung der App, sowie persönliche Daten des App-Nutzers und dessen Kommunikation ab. Android-Nutzer willigen üblicherweise bei einer Neu-Registrierung für ein Google-Konto darin ein, dass ihre Smartphone-Aktivitäten zur Verbesserung des Angebots an Google gesendet werden dürfen. In den Google-Einstellungen besteht die Möglichkeit, diese Einwilligung später zu widerrufen. Hierzu kann der Smartphone-Nutzer unter dem Menüpunkt “Web & App Activity” (“Nutzung & Diagnose”) das Tracking ausschalten. Entgegen der Angaben von Google hierzu, sollen trotz Ausschaltens des Trackings über Firebase Daten gesammelt und an Server von Google gesendet werden.
Google soll die gesammelten Daten verwenden, um Produkte zu verbessern und Anzeigen und andere Inhalte für die Verbraucher zu personalisieren.
Im Rahmen der eingereichten Klage fordert die Kanzlei Boies Schiller Flexner hierfür eine Summe in Höhe von fünf Milliarden Dollar.
Google selbst hat hinsichtlich der Vorwürfe bisher kein offizielles Statement veröffentlicht. Eine Entscheidung durch das Gericht wird innerhalb der nächsten Monate erwartet.
8. Juli 2020
Am morgigen Donnerstag – den 09.07.2020 – entscheidet der EuGH in Luxemburg über ein Vorabentscheidungsersuchen des VG Wiesbaden (Rechtssache C-272/19). Dabei hat der EuGH zwei Vorlagefragen zu beantworten. Die erste Frage befasst sich mit dem Anwendungsbereich der DSGVO, konkret auf Petitionsausschüsse eines Landtags. Die zweite Vorlagefrage hat keinen expliziten datenschutzrechtlichen Hintergrund, ist aber auch für die Belange des Datenschutzes nicht ohne Belang. Das VG Wiesbaden stellt nämlich in Frage, ob es überhaupt als ein “Gericht” im europarechtlichen Sinne angesehen werden kann. Dabei geht es vor allem um die Frage, ob die deuschen Gerichte bzw. Richterinnen und Richter unabhängig genug sind, oder ob eine insitutionelle Abhängigkeit gegeben ist. Diese Entscheidung könnte für sämtliche Gerichte Deutschlands enorme Bedeutung haben.
Erste Vorlagefrage: Anwendbarkeit der DSGVO
Die erste Frage betrifft die Anwendbarkeit der DSGVO auf den Petitionsausschuss als Teil des Hessischen Landtags, und ob dieser als Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO zu qualifizieren ist. Dabei ist der Hessische Landtag – vertreten durch seinen Präsidenten – der Auffassung, es handle sich beim Petitionsverfahren um eine parlamentarische Aufgabe, sodass der Ausschuss nicht in den (sachlichen) Geltungsbereich der DSGVO falle (Rn. 3). Dieser Ansicht folgend enthalten das Hessische Datenschutz- und Informationsfreiheitsgesetz (HDSIG, § 30 Abs. 1), die Geschäftsordnung des Hessischen Landtags (§ 112 Abs. 6) sowie deren Datenschutzordnung und weitere Richtlinien entsprechende Regelungen, welche die Anwendbarkeit der DSGVO unter anderem für den Petitionsausschuss verneinen bzw. wegen eines erforderlichen Geheimnisschutzes Auskunftsansprüchen wie Art. 15 DSGVO entgegenstehen. Diese Regelungen seien anzuwenden, wenn der Petitionsausschuss nicht unter die DSGVO fällt (Rn. 13).
Die erste Vorlagefrage bezieht sich daher darauf, ob die DSGVO auf Petitionsausschüsse als Teil des Parlaments eines Gliedstaates (Hessen) eines Mitgliedsstaats (Deutschland) Anwendung findet und insoweit als eine Behörde im Sinne des Art. 4 Nr. 7 DSGVO zu behandeln ist. Der Petitionsausschuss sei zwar eine Behörde im organisationsrechtlichen Sinne, fraglich sei aber ob ihre Aufgaben dem Bereich der öffentlichen Verwaltung unterliegen. Jedenfalls sei der Ausschuss weder der Judikative noch der Legislative zuzuordnen (Rn. 42ff). Für die Definition der “Behörde” im Sinne des Art. 4 Nr. 7 DSGVO sei von einem weiten Verständnis der Verwaltung und somit einem umfassenden Behördenbegriff auszugehen (Rn. 48). Auch erschließe sich nicht, warum Behörden – gegenüber denen nach hessischem Recht ebenfalls eine Petition eingereicht werden kann – der DSGVO unterliegen, diese auf den Petitionsausschuss hingegen keine Anwendung finden sollte; das VG Wiesbaden geht deshalb davon aus, dass der Petitionsausschuss unter Art. 4 Nr. 7 DSGVO zu subsumieren ist (Rn. 51).
Zweite Vorlagefrage: Unabhängikeit deutscher Gerichte
Die zweite Vorlagefrage des VG Wiesbaden befasst sich ebenfalls mit europarechtlichen Vorschriften, konkret mit Art. 267 Abs. 2 AEUV und der Frage, ob das VG Wiesbaden – und mittelbar sämtliche deutsche Gerichte – überhaupt als ein “Gericht” im Sinne dieser Norm zu qualifizieren und somit vorlagebefugt sind. Im Fokus steht hier insbesondere die institutionelle Unabhängigkeit der Gerichte.
In dem Vorabentscheidungsersuchen setzt sich das Gericht diesbezüglich zunächst ausführlicher mit den rechtlichen Grundlagen der richterlichen und gerichtlichen Unabhängigkeit auseinander (Rn. 17ff.). Das VG Wiesbaden kommt dabei zu dem Schluss, dass die deutsche Verfassungslage nur die funktionale richterliche Unabhängigkeit, aber keine institutionelle Unabhängigkeit der Gerichte gewährleiste (Rn. 59). Grund dafür sei, dass die Richterinnen und Richter durch den jeweiligen Justizminister der Länder ernannt, beurteilt und befördert werden und das Beamtenrecht auf die Richterinnen und Richter Anwendung findet. Erforderlich sei jedoch eine “völlige Unabhängigkeit”, wonach keinerlei Einflussnahme irgendeiner Art – mit Ausnahme von Kontrollstellen -, weder unmittelbar noch mittelbar, bestehen dürfe (Rn. 64). Es sei nun aber fraglich, ob Richterinnen und Richter von einer solchen Einflussnahme ausgenommen sind, jedenfalls in solchen Streitigkeiten, in denen das jeweilige Justizministerium beteiligt ist (Rn. 65). Aber auch grundsätzlich sieht das VG Wiesbaden eine äußere Einflussnahme durch das Justizministerium gegeben, indem es über Planstellen, Anzahl des nichtrichterlichen Personals und Ausstattung der Gerichte – und somit letztlich auch über die Verarbeitung personenbezogener Daten durch entsprechende EDV – entscheidet (Rn. 67). Auch durch die bloße Gefahr einer politischer Einflussnahme werde die institutionelle Unabhängigkeit beeinträchtigt (Rn. 73). Demgemäß sieht das VG Wiesbaden sich selbst nicht als unabhängig und unparteiisch im Sinne des Art. 47 Abs. GrCH (Rn. 74).
Einschätzung
Es wird spannend sein zu sehen, wie der EuGH mit den beiden Vorlagefragen umgehen wird. Die Frage der Auslegung des Art. 4 Nr. 7 DSGVO, konkret in Bezug auf “Behörde, Einrichtung oder andere Stelle”, dürfte für einige Insitutionen relevant sein, die sich nicht eindeutig der öffentlichen Verwaltung zuordnen lassen und somit davon ausgehen, nicht den Regelungen der DSGVO zu unterliegen.
Weitreichendere Bedeutung könnte aber die Vorlagefrage zur Unabhängigkeit deutscher Gerichte haben. Geht der EuGH hier ebenfalls davon aus, dass die institutionelle Unabhänigkeit deutscher Gerichte und ihrer Richterinnen und Richter nicht gegeben ist, wird sich die Frage stellen müssen, wie diese Unabhängigkeit künftig sichergestellt werden kann. Jedenfalls dürfte die Entscheidung des EuGH dazu dienen, der durch die Richtervereinigungen geführten Diskussion zur Selbstverwaltung der Justiz neue Aufmerksamkeit zu verschaffen.
13. Mai 2020
Mit Wirkung zum 04. Mai 2020 hat der Europäische Datenschutzausschuss (EDSA) neue Richtlinien zur Einwilligung nach der Datenschutz-Grundverordnung erlassen und veröffentlicht (bisher liegen die neuen Leitlinien nur in englischer Sprache vor). Dabei handelt es sich um eine aktualisierte Fassung des “Working Papers” WP 259 rev. 01 der Artikel-29-Datenschutzgruppe. Diese Aktualisierungen betreffen vor allem den Betrieb von Webseiten und dort einzuholende Einwilligungen der Nutzer.
Der EDSA sah sich zu einer Aktualisierung dieser Leitlinien veranlasst, da das Thema “Einwilligung” noch immer zahlreiche praktische und rechtliche Schwierigkeiten mit sich bringt. Dabei geht es laut EDSA insbesondere um zwei Punkte, die weiterer Klarstellung bedürften: zum einen die Wirksamkeit von Einwilligung bei der Nutzung sog. “Cookie Walls”, zum anderen das im WP 259 rev. 01 dargestellte Beispiel 16 zum Scrollen und Wischen auf einer Website als mögliche Einwilligung.
“Cookie Walls” unzulässig
Zunächst stellt der EDSA klar, dass eine Einwilligung dann nicht als “freiwillig” abgegeben (im Sinne des Art. 4 Nr. 11 DS-GVO) angesehen werden könne, wenn der Verantwortliche die Nutzung eines Services von der Erteilung einer Einwilligung abhängig macht und darauf verweist, die betroffene Person könne den Service andernfalls auch bei einem anderen Anbieter nutzen (Rn. 38). Eine solche Einwilligung sei wegen einer fehlenden echten Wahlmöglichkeit nicht freiwillig, denn sie sei vom Verhalten anderer Marktteilnehmer sowie von der Beurteilung des Betroffenen abhängig, ob das andere Angebot als tatsächlich gleichwertig angesehen wird. Zudem würde dies den Verantwortlichen dazu verpflichten, Marktveränderungen zu beobachten, um Änderungen in Bezug auf gleichartige Angebote feststellen zu können. Im Ergebnis dürften Verantwortliche die Nutzung eines Services nicht davon abhängig machen, dass der Nutzer eine Einwilligung in die Verarbeitung seiner Daten für zusätzliche Zwecke erteilt. Sog. “Cookie Walls” seien demnach unzulässig (Rn. 39).
Scrollen und Wischen nicht als Einwilligung geeignet
Die zweite Klarstellung des EDSA bezieht sich auf das Beispiel 16, welches die Artikel-29-Datenschutzgruppe im WP 259 rev. 01 gegeben hatte. Demnach stelle das Scrollen oder Wischen auf einer Webseite keine eindeutig bestätigende Handlung dar (Rn. 68). Der Hinweis durch den Verantwortlichen, das fortgesetzte Srollen oder Wischen würde durch den Verantwortlichen als Einwilligung aufgefasst, könne schwierig zu erkennen sein, sodass er durch den Betroffenen übersehen werden könne. Diese Auffassung hat der EDSA nun bestätigt und klargestellt, dass ein solches Scrollen oder Wischen “unter keinen Umständen” eine unmissverständlich abgegebene Willensbekundung (siehe Art. 4 Nr. 11 DS-GVO) darstelle. Ein solches Verhalten könne deshalb nicht als Einwilligung angesehen werde, weil es sich nicht leicht von sonstigem Nutzerverhalten unterscheiden lasse. Zudem könne der Betroffene in einem solchen Fall seine Einwilligung nicht “so einfach wie die Erteilung der Einwilligung” widerrufen, wie dies Art. 7 Abs. 3 S. 4 DS-GVO fordert.
Ulrich Kelber, Bundesdatenschutzbeauftragter und selbst Mitglied des EDSA, unterstützte diese Klarstellungen. Es sei problematisch, dass einige Internetseiten durch ihre Gestaltung den Nutzenden Tracking aufdrängten, und er hoffe, dass die Klarstellungen zu einem Umdenken bei solchen Anbietern sorgt. Es sei erforderlich, dass diese den Nutzenden endlich datenschutzfreundliche Alternativen anbieten.
10. März 2020
Die niederländische Aufsichtsbehörde verhängte gegen den Tennisverband „Koninklijke Nederlandse Lawn Tennisbond“ (KNLTB) eine Geldbuße von 525.000 EUR, weil er die personenbezogenen Daten seiner Mitglieder verkauft hatte. Im Jahr 2018 stellte KNLTB unrechtmäßig die personenbezogenen Daten einiger tausend seiner Mitglieder zwei Sponsoren zur Verfügung.
Darunter waren der Name, das Geschlecht und die Adresse der Mitglieder. Die Sponsoren nutzten die Daten dazu um an die betroffenen Personen heranzutreten und ihnen tennisbezogene und andere Angebote unterbreiten zu können. Ein Sponsor erhielt personenbezogene Daten von 50.000, der andere von mehr als 300.000 Mitgliedern. Die Sponsoren wandten sich per Post oder Telefon an einige dieser KNLTB-Mitglieder.
Der Tennisverband hat sich auf
das berechtigte Interesse am Verkauf der Daten berufen. Die niederländischen
Aufsichtsbehörden waren anderer Ansicht und entschieden, dass KNLTB keine
Grundlage für die Weitergabe dieser personenbezogenen Daten an die Sponsoren
hatte. Daher war die Übermittlung der personenbezogenen Daten rechtswidrig. Das
verhängte Bußgeld von 525.000 Euro ist allerdings noch nicht rechtskräftig,
weil der Tennisverband Rechtsmittel eingelegt kann.
5. März 2020
Google verlegt die Verantwortlichkeit für ihre britischen Nutzerdaten von Irland in die USA. Damit unterstellt Google die Daten der Zuständigkeit der US-Regulierungsbehörden.
Dieser Wechsel könnte Auswirkungen auf den Umfang des rechtlichen Schutzes der britischen Nutzerdaten von Google haben. Denn im Gegensatz zu Irland, unterliegen die USA nicht den strengen Anforderungen der DSGVO.
Die Verlegung der Verantwortlichkeit erfolgt aufgrund des Ausstiegs Großbritanniens aus der Europäischen Union und den damit geschaffenen Unsicherheiten über die Zukunft der Datenschutzbestimmungen des Landes.
Am 24. Januar 2020 hat die EU das Austrittsabkommen mit Großbritannien unterzeichnet. Das Austrittsabkommen beinhaltet eine Übergangsfrist bis zum 31.12.2020. Während dieser Übergangsfrist wird Großbritannien weiterhin wie ein EU-Mitgliedsstaat behandelt. Die DSGVO findet dementsprechend weiter Anwendung.
Was nach der Übergangszeit wird, bleibt abzuwarten. Falls kein weiteres internationales Abkommen geschlossen wird, würde Großbritannien spätestens dann zu einem Drittland im Sinne der DSGVO werden. Möglich wäre aber auch der Erlass eines Angemessenheitsbeschlusses gem. Art. 45 DSGVO durch die EU-Kommission.
Das Datenschutzrecht in Großbritannien wird durch das Datenschutzgesetz von 2018 (Data Protection Act) geregelt, dass die Umsetzung der DSGVO im Vereinigten Königreich darstellt.
Darüber hinaus plant die britische Regierung, laut britischer Datenschutzbehörde, mit dem Ende der Übergangsfrist, die DSGVO als „UK DSGVO“ in das britische Recht zu übernehmen.
Google selbst teilte mit, dass sich die Datenschutzstandards für britische Nutzer mit der Verlegung der Verantwortlichkeit nicht ändern sollen.
16. Januar 2020
Bereits im Juni 2018 berichteten wir über die Verpflichtung von Arztpraxen zur Bestellung von Datenschutzbeauftragten (DSB) nach der DSGVO. Grundsätzlich durfte man zu diesem Zeitpunkt davon ausgehen, dass bei einer Beschäftigtenanzahl von 10 Personen häufig eine Bestellpflicht vorlag, wenn wenn diese 10 Mitarbeiter ständig personenbezogene Daten verarbeiteten.
Der Bundestag hat mit Beschluss des sogenannten Zweiten
Datenschutzanpassungs- und Umsetzungsgesetzes im Juni 2019 diese Anforderungen
für Kleinunternehmen gelockert und die Zahl der Beschäftigen auf 20 angehoben. Das
Gesetz wurde am 25.11.2019 im Bundesgesetzblatt verkündet. Insgesamt wurden
dadurch Anpassungen in rund 150 Gesetzen erforderlich.
Aufgrund des geänderten § 38 BDSG besteht seitdem für Ärzte, die eine eigene Praxis betreiben, erst ab einer Mitarbeiterzahl von 20 Personen eine erhöhte Bestellpflicht. Mit der Veränderung wolle man „vor allem eine Entlastung kleiner und mittlerer Unternehmen sowie ehrenamtlich tätiger Vereine“ erreichen, heißt es in der Gesetzesbegründung. Kritisiert wurde an der Gesetzesänderung vor allem der Umstand, dass lediglich die Pflicht zur Bestellung eines DSB erleichert worden wäre, alle anderen datenschutzrechtlichen Verpflichtungen für kleinere Unternehmen aber nicht angetastet wurden, sodass die Änderung den Unternehmen deswegen nicht viel nütze.
Zu beachten ist allerdings, dass die Mitarbeiterzahl in Arztpraxen ist im Hinblick auf die Bestellpflicht dann irrelevant ist, wenn dort Datenschutzfolgenabschätzungen vorgenommen werden. Dann besteht die Pflicht zur Bestellung eines DSB unabhängig von der Anzahl der Beschäftigten. Datenschutzfolgenabschätzungen sind beispielsweise dann durchzuführen, wenn eine systematische Videoüberwachung der Praxisräume erfolgt oder wenn Daten besonderer Kategorien umfangreich verarbeitet werden (z.B. Gesundheitsdaten). Wann letzteres in Arztpraxen genau der Fall ist, wird bislang noch diskutiert. Vieles spricht dafür, dass eine Verarbeitung von Daten durch einen einzelnen Arzt keine „umfangreiche Verarbeitung“ darstellt, somit noch keine Pflicht zur Datenschutzfolgenabschätzung auslösen soll und dann auch die Pflicht zur Bestellung eines Datenschutzbeauftragten in Einzelpraxen entfallen lässt, sofern die Mitarbeiterzahl ohnehin unter 20 liegt.
5. Dezember 2019
Das Bundesverfassungsgericht beschäftigte sich in zwei in vieler Hinsicht spannenden Beschlüssen vom 6. November 2019 mit dem Recht auf Vergessen (1 BvR 16/13 – Recht auf Vergessen I und 1 BvR 276/17, Recht auf Vergessen II). Darin setzt sich das Verfassungsgericht wohl erstmals mit der Frage auseinander, ob und wann es die Charta der Grundrechte der Europäischen Union anwendet und nicht das deutsche Grundgesetz.
Das BVerfG kommt zu dem Ergebnis, dass allein die Unionsgrundrechte anwendbar sind, wenn sich der Rechtsstreit nach unionsrechtlich vollständig vereinheitlichten Regelungen richtet. Dies sei im Datenschutzrecht bereits durch die EU-Datenschutzrichtlinie, erst recht aber durch die Datenschutz-Grundverordnung grundsätzlich erfolgt. Eine Ausnahme gelte für Bereiche, in denen das Unionsrecht den Mitgliedstaaten die Schaffung abweichender Regelungen ermögliche. Ob eine Regelung gestaltungsoffen ist müsse durch Auslegung der konkreten Vorschrift ermittelt werden. Es komme darauf an, ob die Norm auf die Ermöglichung von Vielfalt und die Geltendmachung verschiedener Wertungen angelegt sei.
Der Sachverhalt
Im zugrundeliegenden Fall des Beschlusses „Recht auf Vergessen II“ begehrte die Beschwerdeführerin die Unterlassung der Anzeige eines Suchergebnisses von Google. Bei der Eingabe ihres Namens erschien als Suchergebnis ein Transkript eines Beitrags des Fernsehmagazins „Panorama“ von 2010. Der Beschwerdeführerin wurde darin ein unfairer Umgang mit ihren Mitarbeitern vorgeworfen. Das Landgericht verurteilte Google dazu den Link zu entfernen. Das OLG wies die Berufung ab.
Die rechtliche Würdigung
Nach den Ausführungen des BVerfG betrifft der Rechtsstreit eine unionsrechtlich vereinheitlichte Materie, weswegen die Unionsgrundrechte anwendbar seien. Dies sei Konsequenz der Übertragung von Hoheitsbefugnissen auf die EU. Die Anwendung deutscher Grundrechte würde das Ziel der Rechtsvereinheitlichung konterkarieren. Dem Grundgesetz komme insofern nur eine Reservefunktion zu. Während der EuGH für die letztverbindliche Auslegung des Unionsrechts zuständig sei, habe das BVerfG die Kompetenz über die richtige Anwendung der Unionsgrundrechte.
Das Recht auf Achtung des Privatlebens aus Art. 7 und 8 CRC beschränke sich nicht auf höchstpersönliche oder besonders sensible Sachverhalte, sondern schließe auch geschäftliche und berufliche Tätigkeiten ein. Zwar könne sich Google selbst nur auf die unternehmerische Freiheit berufen. In der Abwägung seien jedoch auch die Grundrechte der Inhalteanbieter einzustellen, um deren Veröffentlichung es geht. Zudem müssten Zugangsinteressen der Internetnutzer berücksichtigt werden. Das BVerfG arbeitet sodann detailliert heraus, dass ein Schutzanspruch gegenüber einem Suchmaschinenbetreiber weiter reichen kann als gegenüber dem Inhalteanbieter, wenn im Verhältnis zwischen zwischen Betroffenen und Inhalteanbieter nach innerstaatlichem Fachrecht allein die inhaltliche Richtigkeit eines Beitrags ohne Berücksichtigung seiner Verbreitungswirkungen im Internet maßgeblich ist und deshalb der hierdurch entstehende Schutzbedarf der Betroffenen auf dieser Ebene noch nicht erfasst wird.
Das Ergebnis
Die klageabweisende Entscheidung des OLG beanstandet das BVerfG nicht. Die Beschwerdeführerin habe damals ihre Zustimmung zu dem Beitrag gegeben. Ein Zeitablauf könne zwar dazu führen, dass die Verbreitung von Beiträgen durch Suchmaschinen unzumutbar wird, denn es müsse die Chance eines In-Vergessenheit-Geratens belastender Informationen geben. Allerdings sie die Beschwerdeführerin weiterhin unternehmerisch tätig und der Zeitraum von sieben Jahren nicht übermäßig lang.
Zum Beschluss „Recht auf Vergessen I“ folgt ein weiterer Blogeintrag.
6. November 2019
Wie bereits am 10.07.2019 berichtet wurde, entwarf Bundesgesundheitsminister Spahn das Digitale-Versorgung-Gesetz.
Das neue Gesetz sieht eine digitale Speicherung der personenbezogenen Daten von 73 Millionen gesetzlich Versicherten vor. Das Einsehen einer digitalen Personenakte soll damit erleichtert werden.
Die Kritik am umstrittenen Gesetz beruht maßgeblich auf der Gefährdung des sensiblen Gesundheitsdatenschutzes. Insbesondere verzichtet das Gesetz auf eine Einwilligung für die Weitergabe der Patientendaten zu Forschungszwecken. Pseudonymisierte Abrechnungsdaten werden von den gesetzlichen Krankenkassen an den Spitzenverband weitergeleitet. Nach nochmaliger Pseudonymisierung können diese Daten dem Forschungsdatenzentrum zur Verfügung gestellt werden. Dieses leitet anonymisierte und zusammengefasste Ergebnisse auf Antrag an Wissenschaftlerinnen und Forscher weiter. Zusätzlich kritisiert wird der Ausschluss des Widerrufsrechts. Es bleibt abzuwarten, ob der Bundestag das Digitale-Versorgung-Gesetz in dieser Form morgen beschließt.
Pages: 1 2 ... 12 13 14 15 16 ... 34 35 
