Kategorie: EU-Datenschutzgrundverordnung

Datenschutzaufsichtsbehörden verhängten bislang 75 Bußgelder wegen Datenschutzverstößen

13. Mai 2019

Laut einem Bericht der Welt am Sonntag haben die Datenschutzaufsichtsbehörden der Länder seit Inkrafttreten der DSGVO im Mai 2018 in mindestens 75 Fällen Bußgelder gegen Unternehmen wegen des Verstoßes gegen datenschutzrechtliche Regelungen verhängt. Dabei soll die Summe der Bußgelder insgesamt 449.000 Euro betragen und sich auf Vorfälle in sechs Bundesländern beziehen.

Die Bußgelder gliedern sich wie folgt:

  • Baden-Württemberg: 7 Fälle / 203.000 Euro
  • Rheinland-Pfalz: 9 Fälle / 124.000 Euro
  • Berlin: 18 Fälle / 105.600 Euro
  • Hamburg: 2 Fälle / 25.000 Euro
  • Nordrhein-Westfalen: 36 Fälle / 15.600 Euro
  • Saarland: 3 Fälle / 590 Euro

An der Befragung der Welt am Sonntag nahmen 14 von 16 Bundesländer teil. Mecklenburg-Vorpommern und Thüringen machten keine Angaben.
Das mit 80.000 Euro höchste Bußgeld in einem einzelnen Fall hatte Baden-Württemberg verhängt.

Datenschutz vs. Informationsfreiheit

3. Mai 2019

Gemäß Art. 85 Abs. 1 DSGVO sind die nationalen Gesetzgeber aufgefordert, Regelung zu erlassen, die das Recht auf freie Meinungsäußerung und Informationsfreiheit mit dem Schutz personenbezogener Daten in Einklang bringen. In Deutschland wurde hierzu der Rundfunkstaatsvertrag (RStV) neu gefasst. Nach § 9c RStV unterliegen private Rundfunkveranstalter und ihre Hilfsunternehmen dem Medienprivileg, sofern personenbezogene Daten zu journalistischen Zwecken verarbeitet werden.

Der Begriff „journalistische Zwecke“ ist in diesem Zusammenhang weit zu verstehen (Erwägungsgrund 153 DSGVO). Tätigkeiten können als journalistisch eingestuft werden, wenn sie zum Zweck haben, „Informationen, Meinungen oder Ideen, mit welchem Übertragungsmittel auch immer, in der Öffentlichkeit zu verbreiten“ (EuGH Urteil vom 14.02.2019, C‑345/17). Darüber hinaus muss die „Absicht einer Berichterstattung“ (BGH Urteil vom 01.02.2011, Az. VI ZR 345/09) gegeben sein. „Informationen“ sind nach § 2 Abs. 2 Nr. 15 RStV insbesondere Nachrichten und Zeitgeschehen, politische Information, Wirtschaft, Auslandsberichte, Religiöses, Sport, Regionales, Gesellschaftliches, Service und Zeitgeschichtliches. Darüber hinaus ist eine redaktionelle Verantwortung erforderlich. Das bedeutet, es bedarf einer wirksamen Kontrolle über die Zusammenstellung und die Bereitstellung der Inhalte. Unschädlich ist, wenn mit der journalistischen Tätigkeit eine Gewinnerzielungsabsicht verbunden ist oder die Sendung auch unterhaltenden Charakter hat. Unter die journalistische Tätigkeit fällt die Recherche, Redaktion, Veröffentlichung, Dokumentation und Archivierung.

Das Medienprivileg besagt, wenn personenbezogenen Daten zu journalistischen Zwecken verarbeitet werden, ist nur ein kleiner Auszug der Regelungen aus der DSGVO zu berücksichtigen. Dazu zählen insbesondere das Datengeheimnis und eine sichere Verarbeitung von personenbezogenen Daten durch angemessene technische und organisatorische Maßnahmen. Nach dem Medienprivileg nicht zu berücksichtigen ist insbesondere die Einholung einer Einwilligung zu der Verarbeitung von personenbezogenen Daten – das gilt auch für besondere Kategorien von personenbezogenen Daten – und die Information der Betroffenen über die Verarbeitung von personenbezogenen Daten. Darüber hinaus ist das Auskunftsrecht der Betroffenen gemäß § 9c Abs. 3 RStV erheblich eingeschränkt, da eine Auskunft nur nach einer Abwägung der schutzwürdigen Interessen erfolgen muss.

Multilaterale Verwaltungsvereinbarung zum Datentransfer zwischen Finanzaufsichtsbehörden genehmigt

30. April 2019

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) genehmigte am 24. April 2019 erstmals eine multilaterale Verwaltungsvereinbarung entsprechend der Regelung des Art. 46 Abs. 3 lit. b) DSGVO.

Art. 46 Abs. 3 lit. b) DSGVO lautet: Vorbehaltlich der Genehmigung durch die zuständige Aufsichtsbehörde können die geeigneten Garantien gemäß Absatz 1 auch insbesondere bestehen in Bestimmungen, die in Verwaltungsvereinbarungen zwischen Behörden oder öffentlichen Stellen aufzunehmen sind und durchsetzbare und wirksame Rechte für die betroffenen Personen einschließen.

Hierbei geht es um eine Musterverwaltungsvereinbarung zwischen den EU Wertpapier- und Marktaufsichtsbehörden, vertreten durch die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) und ihren internationalen Partnerbehörden, vertreten durch die Internationale Organisation der Wertpapieraufsichtsbehörden (IOSCO).

Diese Vereinbarung enthält geeignete Datenschutzgarantien sowie Betroffenenrechte und unterliegt der fortlaufenden Kontrolle des BfDI. Fehlt eine solche Vereinbarung, fehlt auch die Voraussetzung für den rechtmäßigen Datenaustausch mit Finanzaufsichtsbehörden in Drittstaaten.

Keine Abschaffung des Datenschutzbeauftragten

29. April 2019

Die Datenschutzkonferenz lehnt die Forderung ab, die Pflicht zur Benennung von Datenschutzbeauftragten aufzuweichen.

In dem Entschließungsantrag des Landes Niedersachsen vom 02. April 2019 war nachfolgende Forderung angeführt:

„Der Bundesrat fordert eine deutliche Entlastung von kleinen und mittleren Unternehmen von zusätzlichen Bürokratiekosten, die durch das neue Datenschutzrecht entstehen. Gemäß § 38 Abs. 1 S. 1 BDSG haben nichtöffentliche Stellen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden. Zwar ist diese Regelung nicht neu, sondern an den § 4 f Abs. 1 S. 4 BDSG a. F. angelehnt, sie stellt jedoch eine nationale Besonderheit dar, durch die in Deutschland ansässige Unternehmen gegenüber Unternehmen in anderen Mitgliedsstaaten mit mehr Bürokratie belastet werden. Der Bundesrat fordert die Bundesregierung daher auf, hier nachzubessern und die in § 38 Abs. 1 S. 1 BDSG genannte Mindestanzahl von zehn Personen deutlich anzuheben. Dies würde insbesondere kleine und mittlere Unternehmen deutlich entlasten, da die Kosten für die Bestellung eines Datenschutzbeauftragten sowie ggfs. dessen Aus- und Fortbildung gerade für diese Unternehmen eine hohe finanzielle aber auch bürokratische Belastung darstellen.“

Dieser Forderung kommt die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) in einem Beschluss nicht nach.

Nach der DSK habe sich diese Pflicht seit vielen Jahren bewährt und sei auch deshalb bei der Datenschutzreform im deutschen Recht beibehalten worden. Aufgrund einer betrieblichen Selbstkontrolle sorgen die Datenschutzbeauftragten für eine kompetente datenschutzrechtliche Beratung, um Datenschutzverstöße schon im Vorfeld zu vermeiden und das Sanktionsrisiko gering zu halten.

Ein Wegfall der nationalen Benennungspflicht von Datenschutzbeauftragten würde dem nicht entgegenkommen.
Mittelfristig ginge interne Kompetenz verloren.

Die Konferenz spricht sich daher gegen eine Abschaffung oder Auflockerung der die Datenschutzgrundverordnung ergänzenden nationalen Regelungen (§ 38 BDSG) aus.

Kategorien: Allgemein · EU-Datenschutzgrundverordnung
Schlagwörter: , , ,

Einwilligung (Opt-In, Opt-Out, Double-Opt-In)

18. April 2019

Sofern keine gesetzliche Regelung die Verarbeitung von personenbezogenen Daten ausdrücklich erlaubt, bedarf es einer Einwilligung des Betroffenen in die Verarbeitung der personenbezogenen Daten. Damit diese rechtskonform erteilt werden kann, müssen verschiedene Voraussetzungen erfüllt sein.
Eine Einwilligung ist nur dann rechtmäßig erteilt, wenn sie freiwillig (ohne Druck oder Zwang), spezifiziert (für eine bestimmte Verarbeitung), informiert (durch transparente Aufklärung) und ausdrücklich (also unmissverständlich) erfolgt. Im Zusammenhang mit der Einwilligung fallen häufig die Begriffe Opt-In, Opt-Out und Double-Opt-In. Nachfolgend werden diese Begrifflichkeiten erläutert.


Mit der Voraussetzung, dass die Einwilligung „ausdrücklich“ abgegeben werden muss, ist der sogenannte Opt-Out unvereinbar. Bei einem Opt-Out gilt die Einwilligung als erteilt, wenn der Einwilligende dem nicht widerspricht. Die Einwilligung wird also vorausgesetzt/fingiert, ohne dass der Einwilligende diese tatsächlich aktiv erteilt hat. Ein solches Vorgehen ist nicht datenschutzkonform und die darauf gestützte Verarbeitung personenbezogener Daten rechtswidrig.
Es ist erforderlich, dass der Einwilligende selbst aktiv in die Verarbeitung von personenbezogener Daten einwilligt (Opt-In). Beispielsweise darf eine Checkbox daher niemals vorausgefüllt sein (Opt-Out). Der Betroffene muss die Checkbox selbst aktiv anklicken.
Hiervon zu unterscheiden ist der Double-Opt-In. Bei diesem wird an die E-Mail-Adresse des Betroffenen ein Bestätigungslink versendet. Der Double-Opt-In dient damit der Verifizierung einer Person, so dass sich die verarbeitende Stelle sicher sein kann, dass die Daten nicht missbräuchlich verwendet wurden, sondern tatsächlich von der angegebenen Person stammen.

Die neue Datenbank der EU

17. April 2019

Im Europäischen Parlament wurde am Dienstag der Weg für eine zentrale Suchmaschine eröffnet, mithilfe in Zukunft jeder Polizeibeamte und Fahnder feststellen kann, ob sich eine zu überprüfende Person legal oder illegal in der EU aufhält. Dieses Vorhaben ist datenschutzrechtlich nicht ganz unproblematisch.

Es soll keine neue Informationssammlung erstellt werden, sondern eine Art Suchmaschine, mit der die Sicherheitsbehörden alle vorhandenen Informationen schneller abrufen können. Bislang waren die Speicher strikt voneinander getrennt.

Es handelt sich vor allem um folgende Datenbanken: Visa-Informationssystem VIS, Schengen-Staaten Angaben über Kurzzeit-Visa, Eurodac (Datei, in der Fingerabdrücke und Daten von Asylsuchenden erfasst werden), Schengen-Informationssystem (SIS) und das Europäische Strafregisterinformationssystem ECRIS. 2021 kommt noch das Europäische Reiseinfomrationssystem- und -genehmigungssystem ETIAS und das Ausreisesystem EES hinzu.

Der Bundesbeauftragte für den Datenschutz, Ulrich Kelber, sieht die Datenbank äußerst kritisch. Es entstehen erhebliche Risiken für die Betroffenen, denn nach der DSGVO müssen Betroffene im Zeitpunkt der Datenerhebung über die Verarbeitung informiert werden. Dies würde jedoch nicht geschehen. Auch Unbeteiligte werden erfasst, die beispielsweise auf Einladung eines EU-Bürgers ein Kurzzeit-Visum benötigen. Der frühere Bundesdatenschutzbeauftragte Peter Schaar spricht deshalb sogar von einer „umfassenden Massenüberwachung, die sich nicht auf diejenigen beschränkt, die über die EU-Außengrenze einreisen“.


Darf eine Verbraucherschutzzentrale gegen Datenschutzverstöße klagen?

15. April 2019

Mit dem Beschluss vom 11. April 2019 – I ZR 186/17 setzt der BGH das Verfahren zunächst aus und wartet auf eine Entscheidung des EuGH.

In dem Verfahren vor dem BGH klagt der Dachverband der Verbraucherzentralen der Bundesländer gegen Facebook. Der Verband ist der Ansicht, Facebook habe mit seinem „App-Zentrum“ gegen das Telemediengesetz (TMG) und das Bundesdatenschutzgesetz (BDSG) alter Fassung verstoßen. In der Version aus dem Jahr 2012 stimmten Nutzer mit ihrem Klick auf „Sofort spielen“ automatisch der Übermittlung ihrer Daten an den Spielebetreiber zu. Parallel berechtigten die Anwendungen dazu, im eigenen Namen Statusmeldungen und Fotos zu veröffentlichen. Weiterhin wirft der Verband Facebook vor, die Nutzer somit nicht ausreichend über die Erhebung und Verwendung der Daten aufgeklärt zu haben, sodass auch die notwendige Einwilligung nicht erfolgen könnte.

War der Verband in den ersten beiden Instanzen noch erfolgreich, soll nun vorab die Frage geklärt werden, ob die Verfolgung von Verstößen überhaupt durch Verbände oder ausschließlich durch die Datenschutzbehörden und die Betroffenen selbst erfolgen darf. Der Bundesgerichtshof (BGH) zieht die Möglichkeit in Betracht, dass dies den Datenschutzbeauftragten vorbehalten sein könnte.

Dazu will der BGH eine Entscheidung des EuGH abwarten. Auch in diesem Verfahren geht es um eine Klage der Verbraucherzentrale NRW gegen Facebook. Gestritten wird um die Einbindung des Like-Buttons in einem Online-Shop.

EU-Verträge mit Microsoft werden datenschutzrechtlich untersucht

11. April 2019

Zu Beginn der Woche teilte die EU-Datenschutzbehörde EDPS mit, dass nunmehr die Verträge der EU-Dienststellen mit Microsoft dahingehend untersucht werden, ob diese mit der DSGVO in Einklang zu bringen sind.

Auch die verschiedenen Institutionen der EU nutzen Microsofts Produkte und Dienstleistungen. Infolgedessen werden große Mengen an persönlichen Daten verarbeitet. Die EU-Datenschutzbehörde möchte deshalb in einem ersten Schritt alle eingesetzten Produkte und Dienstleistungen von Microsoft erfassen, um dann in einem nächsten Schritt die einzelnen vertraglichen Regelungen an den Maßstäben der DSGVO zu messen.

Nach der DSGVO sind Dienstleister selbst für den Datenschutz verantwortlich. „Allerdings bleiben die EU-Institutionen für Datenverarbeitungen in ihrem Namen verantwortlich, wenn sie auf Dienstleister zurückgreifen“, erklärte der stellvertretende EU-Datenschutzbeauftragte Wojciech Wiewiórowski. „Sie sind darüber hinaus verpflichtet sicherzustellen, dass die vertraglichen Abmachungen den Regeln entsprechen.“

Die EU-Datenschutzbehörde nimmt Bezug auf die Untersuchung des niederländischen Justizministeriums im November 2018. Dabei sind beim Einsatz der Enterprise-Version von Microsoft Office in Behörden zahlreiche Verstöße gegen die DSGVO festgestellt worden. (wir berichteten)

Leitlinien zur Interpretation des Art. 6 Abs. 1 lit. b DSGVO

10. April 2019

Der Europäische Datenschutzausschuss (EDSA) hat am 09. April „Leitlinien zur Verarbeitung personenbezogener Daten auf Grundlage des Artikels 6 Abs. 1 b DSGVO im Kontext von Online-Dienstleistungen“ beschlossen.

Bei dieser Rechtsgrundlage stellt sich das Problem, dass insbesondere im Internet viele Dienstleister dazu übergegangen sind, umfangreich Datenverarbeitungen in Verträge mit Nutzern aufzunehmen. Diese Datenverarbeitungen (z.B. zum Zwecke der personenbezogenen Onlinewerbung) stehen zwar nicht in Verbindung mit der Hauptleistung, sind aber von Art. 6 Abs. 1 lit. b DSGVO gedeckt, weil sie objektiv zur Erfüllung des Vertrages erforderlich sind.  In dem Informationspapier begrenzt die europäische Behörde die Möglichkeit, solche Verarbeitungen auf diese Rechtsgrundlage zu stützen. Zur Beurteilung der Erforderlichkeit solle nicht mehr nur auf den Vertragstext abgestellt werden. Vielmehr müssten auch die datenschutzrechtlichen Grundsätze aus Art. 5 DSGVO berücksichtigt werden.

Der Bundesbeauftragte für Datenschutz und Informationsfreiheit Ulrich Kleber zeigte sich zufrieden: „Die DSGVO stellt zu Recht strenge Voraussetzungen an die Zulässigkeit einer Einwilligung auf. Es kann nicht sein, dass Unternehmen, wie beispielsweise die Anbieter sozialer Netzwerke, dazu übergehen, dies zu umgehen, indem sie Datenverarbeitungen, die eigentlich nichts mit der Erbringung eines Online-Dienstes zu tun haben, in den Vertragstext mit aufnehmen. Die jetzt beschlossenen Leitlinien erschweren ein solches Vorgehen deutlich und stärken somit die datenschutzrechtliche Selbstbestimmung der Bürgerinnen und Bürger.

Facebook ändert die Nutzungsbedingungen

Kürzlich hat Facebook angekündigt, die Nutzungsbedingungen für das soziale Netzwerk nunmehr ändern zu wollen. Dies stehe nach intensiven Gesprächen mit der EU-Kommission und europäischen Verbraucherschutzbehörden fest. Dadurch soll es für den Nutzer nachvollziehbarer werden, wie das US-Unternehmen die Nutzerdaten einsetzt, um Profile über die Mitglieder zu erstellen und anschließend gezielte Werbeanzeigen zu schalten. Außerdem will Facebook darlegen, welche Dienste zusammen mit personenbezogenen Daten an Dritte verkauft werden, wie Verbraucher ihre Konten schließen können und aus welchen Gründen Nutzer ausgeschlossen werden können.

Aus den geänderten Allgemeinen Geschäftsbedingungen soll zudem hervorgehen, dass das Geschäftsmodell darauf beruht, unter Nutzung der Daten aus den Profilen der Nutzer, gezielte Werbeleistungen an Händler zu verkaufen. Falls die persönlichen Informationen missbräuchlich verwendet werden sollten, wolle der Betreiber seine Verantwortung dafür anerkennen.

Facebook soll die Nutzungsbedingungen nur noch in Ausnahmefällen einseitig abändern können und wahre dabei die Verhältnismäßigkeit sowie die Verbraucherinteressen. Die von Nutzern gelöschten Inhaltsdaten sollen nur noch gezielt etwa auf Anordnung einer Strafverfolgungsbehörde für maximal 90 Tage aufbewahrt werden. Daneben sollen die Widerrufsrechte der Nutzer konkreter gefasst werden.

EU-Justizkommissarin Vera Jourová bemerkte, dass der Betreiber „endlich ein Bekenntnis zu mehr Transparenz und klarer Sprache in den Nutzungsbedingungen“ zeige. Eine Firma, die das Vertrauen der Verbraucher nach dem Skandal mit Cambridge Analytica wiederherstellen wolle, „sollte sich nicht hinter komplizierten, juristischen Fachausdrücken darüber verstecken“, wie sie „Milliarden mit den Daten von Menschen verdient“.

Die Implementierung der Neuerungen soll bis Ende Juni 2019 erfolgen.

Kategorien: EU-Datenschutzgrundverordnung
Schlagwörter: ,
1 2 3 4 21