Kategorie: EU-Datenschutzgrundverordnung
3. Mai 2023
Der European Data Protection Board (EDPB) veröffentlichte einen neuen Leitfaden, dessen Inhalt die Umsetzung datenschutzrechtlicher Vorgaben in kleinen und mittleren Unternehmen ist. Neben allgemeinen Grundlagen zum Datenschutz, geht es u.a. auch um Themen wie der Umgang mit Betroffenenrechten und einem Datenschutzvorfall.
Videos, praktische Beispiele und Infographiken
Nach der Empfehlung 2003/361/EG ist ein kleines oder mittleres Unternehmen nach der Mitarbeiteranzahl und dem Jahresumsatz zu bestimmen. Demnach handelt es sich um kleines Unternehmen, dass eine Beschäftigtenanzahl von bis zu 49 Mitarbeitern hat und einem Jahresumsatz von bis zu 10 Millionen Euro erwirtschaftet. Für ein mittleres Unternehmen bedarf es einer Mitarbeiteranzahl von bis zu 249 Personen und einem Jahresumsatz bis zu 50 Millionen Euro.
Aus Sicht des EBPB sei es erforderlich kleine und mittlere Unternehmen über die Funktion der Datenschutz-Grundverordnung (DSGVO) zu informieren. Die EDPB vermittelt ihren Leitfaden nicht einem bloßen Informationstext, sondern verwendet ebenso Videos, praktische Beispiele und Infographiken. Der Leitfaden ist eingeteilt in unterschiedliche Themenkomplexen, die mit einfach zu verstehenden Informationen beginnen und darüber hinaus komplexere Anwendungsbereiche der DSGVO aufgreifen.
Um die praktische Umsetzung zu garantieren, sind in dem Leitfaden auch Checklisten und Fragebögen enthalten. Demnach kann jedes Unternehmen mit Hilfe mehrerer Fragen herausfinden, ob es Datenschutz-Folgeabschätzung (DSFA) durchführen muss. Außerdem kann das betreffende Unternehmen über eine Checkliste prüfen, ob es ausreichende Sicherheitsstandards zum Schutz personenbezogener Daten getroffen hat.
Fazit
Der neue Leitfaden des EDPB behandelt grundsätzlich keine neuen Themen rund um die DSGVO. Allerdings ist er optisch sehr ansprechend gestaltet und kann seinem Publikum, unabhängig von dessen Kenntnisstand komplexe Inhalte vereinfacht erklären.
Am 26. April 2023 erließ das Gericht der Europäischen Union sein Urteil in der Rechtssache T-557/20, SRB gegen EDSB. Das Gericht stellte dabei fest, dass pseudonymisierte Daten, die an einen Datenempfänger übermittelt werden, nicht als personenbezogene Daten gelten, wenn der Datenempfänger nicht über die Mittel zur Re-Identifizierung der betroffenen Personen verfügt. Das Gericht stellte auch klar, dass die Meinungen einer Person nicht als personenbezogene Daten angesehen werden können; vielmehr ist eine Einzelfallprüfung erforderlich.
Hintergrund
Der einheitliche Abwicklungsausschuss (Single Resolution Board – SRB) verwendete ein elektronisches Formular, mit dem interessierte Parteien ihre Meinung äußern konnten, und gab die eingegangenen Antworten an ein Beratungsunternehmen weiter. Bevor die Antworten weitergegeben wurden, ersetzte der SRB den Namen jedes Befragten durch einen Code. Nach einer Reihe von Beschwerden entschied der Europäische Datenschutzbeauftragte (EDSB), dass der SRB pseudonymisierte personenbezogene Daten an das Beratungsunternehmen weitergegeben hatte, ohne die betroffenen Personen über diese Weitergabe zu informieren. Der SRB vertrat die Auffassung, dass diese Information nicht notwendig war, da die übermittelten Daten anonymisiert waren und folglich nicht als personenbezogene Daten für den Datenempfänger angesehen werden konnten.
Pseudonyme oder anonyme Daten?
Das Gericht betonte, dass im Einklang mit der Entscheidung des Gerichtshofs in der Rechtssache Breyer bei der Feststellung, ob pseudonymisierte Informationen, die an einen Datenempfänger übermittelt werden, personenbezogene Daten darstellen, die Perspektive des Datenempfängers zu berücksichtigen ist. Verfügt der Datenempfänger über keine zusätzlichen Informationen, die es ihm ermöglichen, die betroffenen Personen zu reidentifizieren, und hat er keine rechtlichen Möglichkeiten, auf solche Informationen zuzugreifen, können die übermittelten Daten als anonymisiert und somit nicht als personenbezogene Daten betrachtet werden. Die Tatsache, dass der Datenübermittler über die Mittel zur Re-Identifizierung der betroffenen Personen verfügt, ist irrelevant und bedeutet nicht, dass die übermittelten Daten automatisch auch personenbezogene Daten für den Empfänger sind.
Stellungnahme des Gerichts
Das Gericht stellte ferner fest, dass persönliche Ansichten oder Meinungen zwar personenbezogene Daten darstellen können, dies aber nicht vorausgesetzt werden kann. Stattdessen ist eine Einzelfallbewertung erforderlich, “die auf der Prüfung der Frage beruht, ob eine Ansicht aufgrund ihres Inhalts, ihres Zwecks oder ihrer Wirkung mit einer bestimmten Person verbunden ist”.
19. April 2023
Ein Bürger hat eine gesetzliche Krankenkasse verklagt, da er der Meinung ist, dass ihm eine Datenauskunft nach Artikel 15 der Datenschutzgrundverordnung (DSGVO) zu spät erteilt wurde. Er verlangt eine Schadensersatzsumme von 2.000 EUR und reichte im Juni 2021 eine Klage beim Sozialgericht Frankfurt/Main ein. Das Sozialgericht wies die Klage jedoch zurück, da es sich nicht zuständig fühlte. Das Hessische Landessozialgericht bestätigte diese Entscheidung. Schließlich wurde der Fall beim Bundessozialgericht (BSG) landete, welches entschied, dass die Sozialgerichte für Schadensersatzklagen nach Artikel 82 DSGVO zuständig sein können. Das BSG begründete dies damit, dass es sich bei den gespeicherten Daten um Sozialversicherungsdaten handelte und somit um eine öffentlich-rechtliche Streitigkeit handelt. Es wurde klargestellt, dass nicht jede Schadensersatzklage gegen eine Krankenkasse als öffentlich-rechtliche Streitigkeit betrachtet wird. Im Falle eines Datenschutzverstoßes in Bezug auf eine Personalakte eines Mitarbeiters der Krankenkasse müssten beispielsweise Arbeitsgerichte entscheiden.
Regelung über Datenschutzverstößen in § 81b SGB X
Dass die Sozialgerichte zuständig sind, über die Folgen von Datenschutzverstößen zu entscheiden, ist in § 81b SGB X ausdrücklich geregelt:
„Für Klagen der betroffenen Person gegen einen Verantwortlichen oder einen Auftragsverarbeiter wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der Verordnung (EU) 2016/679 oder der darin enthaltenen Rechte der betroffenen Person bei der Verarbeitung von Sozialdaten im Zusammenhang mit einer Angelegenheit nach § 51 Absatz 1 und 2 des Sozialgerichtsgesetzes ist der Rechtsweg zu den Gerichten der Sozialgerichtsbarkeit eröffnet.“
Bei dem Schadensersatzanspruch nach Art. 82 DSGVO handelt es sich – so das BSG – um ein „Recht der betroffenen Person“ gemäß § 81b SGB X. Dieses Recht stehe den Rechten gleich, die in den Art. 12 ff. DSGVO ausdrücklich als „Rechte der betroffenen Person“ bezeichnet werden.
Bis hierhin ist der Argumentationsgang überzeugend. Es bleibt jedoch die Frage offen, ob Art. 82 DSGVO in Fällen, in denen es um Ansprüche aus öffentlich-rechtlichen Rechtsverhältnissen geht, als Amtshaftungsanspruch betrachtet werden kann. Gemäß Art. 34 Satz 3 GG sind für solche Ansprüche die ordentlichen Gerichte, also die Zivilgerichte, zuständig. Ein Amtshaftungsanspruch bezieht sich darauf, dass der Staat für einen Schaden haftbar gemacht wird, der einem Bürger durch das Handeln eines Amtsträgers zugefügt wurde. Es scheint auf den ersten Blick durchaus wahrscheinlich zu sein, dass Art. 82 DSGVO einen solchen Schaden abdeckt, da die Haftung gemäß Art. 82 Abs. 3 DSGVO eine “Verantwortlichkeit” erfordert und somit ein Verschulden voraussetzt.
Begründung des BSG
Das BSG meint dennoch (anders als die Vorinstanzen), es handele sich bei Art. 82 DSGVO auch im Bereich des öffentlichen Rechts nicht um einen Amtshaftungsanspruch, sodass Art. 34 Satz 3 GG nicht anwendbar ist. Die Begründung fällt kurz aus (Rn. 24 des Beschlusses):
„Der Schadenersatzanspruch aus Art 82 Abs 1 DSGVO ist schon deshalb kein Amtshaftungsanspruch iS des Art 34 Satz 1 und 3 GG, weil er sich nicht gegen einen Amtswalter richtet und sodann auf den Staat übergeleitet wird, sondern unmittelbar gegen den Verantwortlichen (ausführlich dazu auch BFH vom 28.6.2022 – II B 92/21 – BFHE 275, 571 = BStBl II 2022, 535, RdNr 18, 21). Dies ist hier die beklagte KK. Auf ein etwaiges Fehlverhalten der Amtswalter, die im Dienst des Verantwortlichen stehen, kommt es nicht an. Diese sind prinzipiell keine Verantwortlichen im Sinne der DSGVO (Bieresborn, ZFSH/SGB 2020, 436, 438; Leopold in BeckOGK, § 67 SGB X RdNr 54, Stand: 1.8.2022; Gola in Gola/Heckmann, DS-GVO/BDSG, 3. Aufl 2022, Art 4 DS-GVO RdNr 63).“
Fazit
Insgesamt dürfte die Entscheidung des BSG somit richtig sein. In Zukunft werden sich nicht nur Zivil-, Arbeits- und Finanzgerichte (siehe auch die Entscheidung des BFH vom 28.6.2022 – Az. II BB 92/21), sondern auch Sozialgerichte mit Schadensersatzansprüchen der Bürger gemäß Art. 82 DSGVO auseinandersetzen müssen.
17. April 2023
Am 4. April 2023 hat der Europäische Datenschutzausschuss (EDSA) die überarbeiteten Richtlinien zur Meldung von Datenschutzverletzungen veröffentlicht. Die Aktualisierung betrifft Unternehmen, die zwar nicht in der EU ansässig sind, aber dennoch gemäß der Datenschutz-Grundverordnung (DSGVO) in deren Anwendungsbereich fallen. Dieser Beitrag gibt einen Überblick über die Updates des EDSA und beleuchtet die rechtlichen Aussagen.
Die ehemaligen WP29 Leitlinien
Vor dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) hatte die damalige Artikel-29-Datenschutzgruppe (WP29) am 3. Oktober 2017 allgemeine Richtlinien zur Meldung von Datenschutzverletzungen verabschiedet, in denen die relevanten Abschnitte der DSGVO analysiert wurden. WP29 empfahl darin, dass Datenschutzverletzungen der Aufsichtsbehörde im Mitgliedstaat gemeldet werden sollten, in dem der Vertreter des Verantwortlichen in der EU niedergelassen ist. Als Nachfolger der WP29 bestätigte der EDSA diese Richtlinien am 25. Mai 2018 formell.
EDSA: Aktualisierung zu Meldepflichten
Der Europäische Datenschutzausschuss (EDSA) hat seine Leitlinien zur Meldung von Datenschutzverletzungen für nicht in der EU niedergelassene Unternehmen aktualisiert. Das Feedback für diese Aktualisierung wurde im Rahmen einer öffentlichen Konsultation bis zum 29. November 2022 eingeholt. Der EDSA hat klargestellt, dass die bloße Anwesenheit eines Vertreters in der EU nicht das “One-Stop-Shop”-Prinzip auslöst, sondern nicht in der EU niedergelassene Unternehmen sich bei Datenschutzverletzungen, die Personen in mehreren Mitgliedsstaaten betreffen, an alle zuständigen Aufsichtsbehörden der jeweiligen Mitgliedsstaaten wenden müssen. Nach der öffentlichen Konsultation wurde dieser Abschnitt nun angenommen. Es sollten jedoch auch einige Klarstellungen des EDSA berücksichtigt werden, die zwar nicht direkt mit dieser Aktualisierung zusammenhängen, aber dennoch relevant sind.
Meldung an Aufsichtsbehörde
Nach Artikel 33 Absatz 1 DSGVO ist der Verantwortliche verpflichtet, im Falle einer Datenschutzverletzung unverzüglich und möglichst innerhalb von 72 Stunden nach Kenntnis der Verletzung diese der zuständigen Aufsichtsbehörde gemäß Artikel 55 DSGVO zu melden, es sei denn, dass die Verletzung voraussichtlich kein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt.
Meldepflicht beim Verantwortlichen
Der Verantwortliche ist für die Meldepflicht bei Datenschutzverletzungen verantwortlich. Bei gemeinsam Verantwortlichen sollten die vertraglichen Vereinbarungen gemäß Artikel 26 der DSGVO klarstellen, welcher Verantwortliche die führende Rolle bei der Meldung von Datenschutzverletzungen übernimmt. Auftragsverarbeiter müssen Datenschutzverletzungen unverzüglich dem Verantwortlichen melden, jedoch nicht direkt bei der Aufsichtsbehörde.
Risikobewertung
Bei einer Datenschutzverletzung ist eine Risikobewertung wichtig. Gemäß EDSA-Leitlinien sollten dabei verschiedene Faktoren berücksichtigt werden, wie die Art der Verletzung, die Art und Sensibilität der betroffenen Daten, Identifizierbarkeit der betroffenen Personen, Schwere der Folgen, besondere Eigenschaften von betroffenen Personen und dem Verantwortlichen, sowie die Anzahl der betroffenen Personen und allgemeine Aspekte wie Empfehlungen von ENISA. In den Leitlinien 9/2022 werden auch Beispiele für Risikobewertungen genannt, z.B. könnte eine Verletzung als Risiko betrachtet werden, wenn sensible personenbezogene Daten betroffen sind, während eine Verletzung als kein Risiko betrachtet werden könnte, wenn die Daten verschlüsselt waren und Datensicherungen existieren.
Meldung an Aufsichtsbehörde
Gemäß Artikel 33 Absatz 1 DSGVO ist der Verantwortliche verpflichtet, im Falle einer Verletzung des Schutzes personenbezogener Daten die Meldung unverzüglich und möglichst innerhalb von 72 Stunden nach Kenntnis der Verletzung an die gemäß Artikel 55 zuständige Aufsichtsbehörde zu erstatten. Es sei denn, es ist wahrscheinlich, dass die Verletzung des Schutzes personenbezogener Daten keine Risiken für die Rechte und Freiheiten natürlicher Personen mit sich bringt.
Wann wird eine Datenpanne “bekannt”?
Gemäß Leitlinie 9/2022 gilt eine Datenschutzverletzung einem Verantwortlichen als “bekannt”, wenn er ausreichend sicher ist, dass ein Sicherheitsvorfall eingetreten ist, der zu einer Beeinträchtigung des Schutzes personenbezogener Daten geführt hat. Es ist nicht erforderlich, dass die Datenschutzverletzung tatsächlich stattgefunden hat. Zum Beispiel wird einem Verantwortlichen der Verlust eines unverschlüsselten USB-Sticks, auf dem personenbezogene Daten gespeichert sind, bekannt, wenn er den Verlust bemerkt. Wenn ein Dritter dem Verantwortlichen mitteilt, dass er versehentlich personenbezogene Daten erhalten hat und Belege für die unbefugte Offenlegung vorliegen, ist der Vorfall zweifelsfrei bekannt.
Empfehlung: Interne Richtlinien
Es wird empfohlen, dass nicht in der EU ansässige Unternehmen, die unter den Anwendungsbereich der DSGVO fallen, interne Richtlinien und Prozesse zur Meldung von Datenschutzverletzungen gemäß den Vorgaben des EDSA beachten. Die Meldung von Datenschutzverletzungen an mehrere Behörden kann zeitaufwändig sein. Interne Richtlinien und Prozesse zur Handhabung von Datenschutzvorfällen sind daher ratsam, um den Melde- und Benachrichtigungspflichten rechtzeitig nachzukommen. Effektive und regelmäßig überprüfte Prozesse zur Bewältigung von Datenschutzvorfällen sind entscheidend für eine schnelle Meldung von Datenschutzverletzungen und die Einhaltung von Fristen.
12. April 2023
Vor knapp einem Monat startete die europaweite Prüfaktion der europäischen Datenschutzaufsichtsbehörden, in welcher die zahlreichen Datenschutzbeauftragten inspiziert werden sollen. Mehr als 500.000 Organisationen in ganz Europa haben laut IAPP Datenschutzbeauftragte im Rahmen der Datenschutz-Grundverordnung registriert. Koordiniert durch den Europäischen Datenschutzausschuss widmet sich die Prüfaktion der Stellung und den Aufgaben der Datenschutzbeauftragten. Diese stellen einen der Eckpfeiler des Datenschutzes in Unternehmen und Behörden dar, der sich als zentrale Neuerung mit der Datenschutz-Grundverordnung nun auch in den übrigen Mitgliedstaaten etabliert hat.
Der europäische Datenschutzbeauftragte erklärte, dass 26 Datenschutzbehörden an der koordinierten Aktion teilnehmen werden. Es soll sich primär auf die Benennung und Stellung von Datenschutzbeauftragten konzentriert werden. Grundsätzlich wird beurteilt, ob die behördlichen Datenschutzbeauftragten über die in den Artikeln 37-39 der EU-Datenschutzgrundverordnung geforderte organisatorische Stellung und die für ihre Arbeit erforderlichen Ressourcen verfügen.
Die Prüfung soll mit Hilfe von Fragebögen der teilnehmenden Behörden erfolgen. In diesen sollen unter anderem Fragen zur Benennung, zum Wissen und zur Erfahrung der Datenschutzbeauftragten, zu ihren Aufgaben und Ressourcen oder zu ihrer Rolle sowie der Position in ihrer jeweiligen Organisation enthalten sein.
Es bleibt abzuwarten zu welchen Ergebnissen die Überprüfungen führen werden. In Einzelfällen könnten gegebenenfalls auch Sanktionen zu erwarten sein. Hauptziel dieser Aktion soll jedoch stets ein Mehrwert für die Stellung von Datenschutzbeauftragten sein.
27. März 2023
Die Europäische Kommission plant im zweiten Quartal 2023 eine Gesetzesinitiative zur Änderung der Datenschutz-Grundverordnung (DSGVO) vorzulegen. Dabei handelt es sich jedoch nicht um eine umfassende Reform der DSGVO, sondern um gezielte Änderungen, um die Zusammenarbeit und Konfliktlösung zwischen den nationalen Datenschutzbehörden der EU-Mitgliedstaaten zu verbessern, insbesondere in Fällen, die grenzüberschreitend sind.
Die geplanten Änderungen sollen insbesondere die Zusammenarbeit und den Informationsaustausch zwischen den nationalen Datenschutzbehörden der EU-Mitgliedstaaten verbessern, um grenzüberschreitende Fälle von Datenschutzverstößen effektiver zu lösen. Bisher gab es einige Schwierigkeiten bei der Koordination und Zusammenarbeit zwischen den nationalen Datenschutzbehörden, insbesondere bei komplexen grenzüberschreitenden Fällen.
Grund der Reform
Die DSGVO sieht vor, dass bei grenzüberschreitenden Datenverarbeitungen die federführende Aufsichtsbehörde alleiniger Ansprechpartner des Verantwortlichen bzw. des Auftragsverarbeiters ist. Dies bedeutet, dass Unternehmen, die personenbezogene Daten in verschiedenen EU-Ländern verarbeiten, nur einen behördlichen Ansprechpartner haben. Die federführende Aufsichtsbehörde hat das Recht, verbindliche Beschlüsse über Maßnahmen nach der DSGVO zu erlassen und muss dabei mit anderen betroffenen Aufsichtsbehörden zusammenarbeiten.
Die Zusammenarbeit zwischen den Aufsichtsbehörden ist wichtig, um sicherzustellen, dass die Durchsetzung der DSGVO grenzüberschreitend und kohärent erfolgt. Die federführende Aufsichtsbehörde muss den anderen betroffenen Aufsichtsbehörden einen Beschlussentwurf zur Stellungnahme übermitteln. Wenn eine betroffene Aufsichtsbehörde Einwände gegen den Beschlussentwurf hat, kann sie Einspruch erheben. Wenn sich die federführende Aufsichtsbehörde dem Einspruch nicht anschließt, muss der Europäische Datenschutzausschuss (EDSA) einen verbindlichen Beschluss zur Sache fassen.
In Bezug auf große Technologieunternehmen wie Meta, Google, Apple, Twitter und Microsoft, haben diese Unternehmen ihren Sitz häufig in einem Land und verarbeiten personenbezogene Daten von Nutzern in vielen verschiedenen Ländern. Die irische Datenschutzbehörde (DPC) ist in vielen Fällen federführend zuständig, da viele dieser Unternehmen ihren europäischen Hauptsitz in Irland haben. Dies hat zu Kritik geführt, dass die DPC nicht schnell genug handelt und Beschwerden zu langsam bearbeitet.
Die Reform-Pläne
Die geplanten Veränderungen der DSGVO, die von der Europäischen Kommission angestrebt werden, haben hauptsächlich Auswirkungen auf die Zusammenarbeit bei grenzüberschreitenden Angelegenheiten, insbesondere auf die Artikel 60 bis 65 der DSGVO. Die Kommission reagiert damit auf Forderungen, die der Europäische Datenschutzausschuss (EDSA) im Oktober des vergangenen Jahres an sie gerichtet hatte. Basierend auf dieser Forderungsliste könnten die folgenden Änderungen möglich sein:
Fristenregelung
Die Einführung verbindlicher Fristen soll ein wichtiges Mittel zur Verfahrensbeschleunigung sein, insbesondere im Hinblick auf die grenzüberschreitende Zusammenarbeit und Art. 60 ff. der DSGVO. Obwohl einige Fristen in der DSGVO bereits vorgesehen sind, sind für viele weitere Prozesse im Rahmen der europäischen Zusammenarbeit von Aufsichtsbehörden keine Fristen festgelegt. Der EDSA schlägt daher vor, Fristen für die Weiterleitung von Beschwerden an die federführende Aufsichtsbehörde vorzusehen und eine generelle Bearbeitungsfrist für grenzüberschreitende Fälle einzuführen, die die federführende Aufsichtsbehörde einzuhalten hätte. Es wird auch vorgeschlagen, Art. 60 Abs. 3 DSGVO anzupassen, um den Begriff “unverzüglich” zu präzisieren und die Modalitäten der Zusammenarbeit zu verbessern. Die federführende Aufsichtsbehörde soll die anderen betroffenen Aufsichtsbehörden zukünftig über den Stand des Verfahrens informieren und es soll eindeutig geregelt werden, welche Dokumente standardmäßig zwischen den Aufsichtsbehörden auszutauschen sind.
Beschwerdeverfahren
Der ESDA bemängelt außerdem Verbesserungsbedarf im Hinblick auf das Beschwerdeverfahren. Eine Harmonisierung der formalen Anforderungen für Beschwerden soll stattfinden, da in einigen Mitgliedstaaten eine Beschwerde per E-Mail möglich ist, während in anderen Mitgliedstaaten eine eigenhändige Unterschrift erforderlich ist. Wenn in einem Mitgliedstaat die formalen Anforderungen an eine Beschwerde erfüllt sind, soll die federführende Aufsichtsbehörde des anderen Mitgliedstaats die Zulässigkeit der Beschwerde nicht erneut prüfen müssen. Obwohl dies bereits den internen Richtlinien des EDSA entspricht, könnte die DSGVO dies ausdrücklich gesetzlich regeln.
Ermittlungsbefugnisse
Der ESDA schlägt Verbesserungen im Zusammenhang mit der Zuständigkeit der Datenschutzbehörden vor. Die Hauptniederlassung des Verantwortlichen bestimmt, welche Datenschutzbehörde innerhalb der EU federführend ist. Die Bestimmung der Hauptniederlassung kann jedoch kompliziert sein, da geprüft werden muss, in welchem Mitgliedstaat der Verantwortliche die Entscheidungen über die Zwecke und Mittel der Datenverarbeitung trifft. Um den Prozess der Vorprüfung zu standardisieren, schlägt der ESDA vor, die Vorprüfung und die Ermittlungsbefugnisse der Aufsichtsbehörden in der DSGVO festzulegen.
Unabhängig davon müssen sich alle Datenschutzbehörden mit Beschwerden befassen, die in ihrem Hoheitsgebiet erhoben werden. Die Untersuchung des Beschwerdegegenstands soll in angemessenem Umfang erfolgen, was jedoch unterschiedlich interpretiert werden kann. Der ESDA schlägt vor, gesetzlich geregelte Beispiele zu verwenden, um den Umfang der Untersuchung zu spezifizieren, anstatt starre Vorgaben zu Untersuchungstiefe und Dauer zu machen.
Beteiligtenrechte
Falls das Beschwerdeverfahren in Deutschland durchgeführt wird, hat der Beschwerdeführer bestimmte Rechte gemäß dem Verwaltungsverfahrensgesetz des Bundes oder der Länder. Dies beinhaltet das Recht auf Akteneinsicht und rechtliches Gehör, da er als Beteiligter des Verfahrens angesehen wird. Des Weiteren sind die Behörden laut den Verwaltungsverfahrensgesetzen dazu verpflichtet, insbesondere Betriebs- und Geschäftsgeheimnisse geheimzuhalten. Zudem müssen sie ihre schriftlichen Entscheidungen begründen.
Im Gegensatz dazu hat der Beschwerdeführer in anderen Mitgliedstaaten lediglich ein Beschwerderecht und ist nicht am weiteren Verfahren beteiligt. Daher schlägt der ESDA vor, einheitliche Beteiligtenrechte zu schaffen und auf EU-Ebene zu klären, welche Geheimhaltungspflichten gelten und welche Dokumente davon betroffen sind.
17. März 2023
Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI), Professor Ulrich Kelber hat am 15. März 2023 den Tätigkeitsbericht für das Jahr 2022 vorgelegt. Darin spricht er insgesamt zehn Empfehlungen aus und befasst sich mit den verschiedenen Schwerpunktthemen.
Zahl der gemeldeten Verstöße nimmt zu
2022 gingen 10.658 Meldungen beim BfDI ein, das sind gut fünf Prozent mehr als im Vorjahr. Bürgerinnen und Bürger wendeten sich mit 6.619 Beschwerden und Anfragen an die Behörde. Seit Einführung der Datenschutz-Grundverordnung (DSGVO) sei eine leicht fallende Tendenz in dieser Hinsicht zu beobachten. Der BfDI führt dies „auch auf die intensive Beratung z. B. bei Jobcentern und Finanzämtern zurück, die zur Verbesserung der Verarbeitungsprozesse und damit zu weniger Beschwerden geführt haben“ (S. 111).
Elektronische Patientenakte, Facebook-Fanpage, künstliche Intelligenz und mehr
Der Tätigkeitsbericht deckt zahlreiche Themenfelder ab. Viele davon sind und waren auch Teil der öffentlichen Debatte. So hält der BfDI das viel diskutierte Opt-Out-Verfahren bei der elektronischen Patientenakte grundsätzlich für möglich, sieht allerdings keine Erforderlichkeit, von der derzeitigen Opt-In-Lösung abzuweichen.
Auch die Anweisung gegenüber dem Bundespresseamt, den Betrieb von Facebook-Fanpages einzustellen, ist Teil des Tätigkeitsberichts. Nach Ansicht des BfDI ist ein datenschutzkonformer Betrieb nicht möglich. Inzwischen hat das Bundespresseamt beim Verwaltungsgericht Köln erhoben. Es ist der Auffassung, „dass allein Facebook für seine Datenverarbeitung datenschutzrechtlich verantwortlich ist und insoweit datenschutzrechtliche Fragen allein im Verhältnis zu Facebook zu klären sind“.
Der Einsatz von künstlicher Intelligenz (KI) wird im Tätigkeitsbereich an verschiedenen Stellen aufgegriffen. So empfiehlt der BfDI der Bundesregierung den Erlass eines Beschäftigtendatenschutzgesetzes, „in dem etwa der Einsatz von KI im Beschäftigungskontext, die Grenzen der Verhaltens- und Leistungskontrolle sowie typische Datenverarbeitungen im Bewerbungs- und Auswahlverfahren klar geregelt werden“. Zudem äußert er sich kritisch gegenüber der von der Europäischen Union geplanten Chat-Kontrolle. Diese biete „kaum Schutz für Kinder, wäre aber Europas Einstieg in eine anlasslose und flächendeckende Überwachung der privaten Kommunikation“ (S. 45).
13. März 2023
In der Entscheidung C-460/20 vom 8.12.2022 hat der Europäische Gerichtshof (EuGH) darüber entschieden, wer die Beweislast trägt, wenn eine Person die Entfernung von Links zu Webseite-Beiträgen aus der Liste der Suchergebnisse im Internet beantragt. Mit anderen Worten, die Entscheidung klärt, wer beweisen muss, ob ein solcher Antrag gerechtfertigt ist oder nicht.
Die Entscheidung des EuGH
Die Argumente des EuGH zur Beweislast in Bezug auf Artikel 17 der Datenschutz-Grundverordnung (DSGVO) sind von großer Bedeutung für die Praxis. Insbesondere ging es darum, wer die Beweislast im Rahmen der Ausnahmevorschrift des Artikels 17 Absatz 3 Buchstabe a DSGVO trägt, wenn eine betroffene Person die Löschung von bestimmten Daten beantragt und behauptet, dass diese unrichtig seien.
Der EuGH stellte fest, dass die betroffene Person den Nachweis erbringen muss, dass die Informationen offensichtlich unrichtig sind oder zumindest ein nicht unbedeutender Teil davon offensichtlich unrichtig ist, um den Löschungsantrag zu rechtfertigen. Jedoch darf die Beweislast nicht zu einer übermäßigen Belastung führen, die das Recht auf Löschung beeinträchtigt. Die betroffene Person kann daher nicht gezwungen werden, eine gerichtliche Entscheidung gegen den Betreiber der Website zu erlangen.
Auf der anderen Seite kann der Verantwortliche für die Datenverarbeitung nicht dazu verpflichtet werden, den Sachverhalt zu ermitteln und eine kontradiktorische Debatte mit dem Anbieter der Inhalte zu führen. Der EuGH ist der Meinung, dass der Verantwortliche nicht aktiv an der Suche nach Tatsachen mitwirken muss, die den Löschungsantrag nicht unterstützen, um zu prüfen, ob der Antrag gerechtfertigt ist.
Auf Art. 16 DSGVO übertragbar?
Die Entscheidung des Bundesverwaltungsgerichts (BVerwG) im März 2022 betraf einen Fall, in dem eine betroffene Person die Berichtigung von Daten nach Artikel 16 DSGVO beantragt hatte. Das Gericht betonte, dass die objektive Wirklichkeit der Maßstab für die Qualifizierung eines Datums als “richtig” oder “unrichtig” im Sinne von Artikel 16 Satz 1 DSGVO ist. Es wurde auch festgestellt, dass Artikel 5 Absatz 2 DSGVO eine spezifische Bestimmung enthält, wer die Beweislast für die Richtigkeit des neu einzutragenden Datums trägt, wenn die Einhaltung der Grundsätze des Artikels 5 Absatz 1 DSGVO in einem Rechtsstreit zwischen dem Verantwortlichen und der betroffenen Person im Streit steht.
Das Gericht entschied, dass im Falle eines Berichtigungsanspruchs, bei dem die Richtigkeit des Datums umstritten ist, die Nichterweislichkeit der Richtigkeit des Datums zu Lasten der betroffenen Person geht. Wenn die Beweislast für die Richtigkeit des Datums beim Verantwortlichen liegt, muss er zukünftig nachweisen, dass ein von ihm verarbeitetes Datum richtig ist. Wenn jedoch die betroffene Person nicht nachweisen kann, dass das Datum unrichtig ist, kann der Verantwortliche nicht verpflichtet werden, das von der betroffenen Person genannte Datum einzutragen und weiterzuverarbeiten.
Fazit
Beide Entscheidungen enthalten relevante Klarstellungen zur Beweislast in der Praxis, wenn es um die Bearbeitung von Betroffenenansprüchen geht. Unternehmen, die häufig mit solchen Anfragen konfrontiert sind, können sich bei der Beurteilung der Frage, ob sie die Daten berichtigen oder löschen müssen, an den Gründen dieser Entscheidungen orientieren.
8. März 2023
Seitdem im Jahr 2020, mit dem Urteil Schrems II, der bis dahin geltende Angemessenheitsbeschluss (Privacy Shield) für ungültig erklärt worden ist, gilt die USA als ein unsicheres Drittland für Datenübermittlungen. Ein großes Problem in diesem Kontext war unter anderem die nachrichtendienstliche Datenerhebung in den USA. Diese war gewissermaßen anforderungslos für Geheimdienste möglich. Nachdem die US-Regierung gezwungen war, im Oktober 2022 Maßnahmen zu ergreifen, folgte ein Beschlussentwurf der Europäischen Kommission. Die genannten Maßnahmen sollten die zwei Hauptprobleme der fehlenden Verhältnismäßigkeit und dem Fehlen wirksamer Rechtsbehelfe im Bezug auf Überwachungsmaßnahmen lösen. So soll insbesondere die Exekutivverordnung über die Verbesserung der Garantien für US-Signalspionagetätigkeiten nun in die Richtung eines neuen Angemessenheitsbeschlusses führen.
Der Europäische Datenschutzausschuss heißt die Einführung von Anforderungen an Notwendigkeit und Verhältnismäßigkeit für die nachrichtendienstliche Datenerhebung in den USA für gut. Außerdem begrüßt er den neuen Rechtsbehelfsmechanismus für betroffene Personen aus der EU. Dennoch liegt nicht nur ein reiner Zustimmungsgedanke vor. Zu bestimmten Rechten betroffener Personen, der Weiterübermittlung personenbezogener Daten, dem Umfang der Ausnahmen sowie der vorübergehenden Massenerfassung von Daten und der praktischen Funktionsweise des Rechtsbehelfsmechanismus bleiben Fragen offen. Auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder unterstützt die Position des Europäischen Datenschutzausschusses ausdrücklich.
Es bleibt nun lediglich abzuwarten, wie sich ein neuer Angemessenheitsbeschluss für die Übermittlung von Daten in die USA entwickeln wird.
28. Februar 2023
Wie der Europäische Datenschutzbeauftragte (EDSB) Wojciech Wiewiórowski bekanntgab, hat seine Behörde einen Rahmenvertrag mit einem in der EU ansässigen Dienstleister der Open Source-Software Nextcloud und LibreOffice geschlossen.
Datenschutzkonforme Gesamtlösung für EU-Einrichtungen
Mit Nextcloud und LibreOffice können in einer gesicherten Cloud-Umgebung beispielsweise Dateien ausgetauscht, Nachrichten versendet oder auch Videoanrufe getätigt werden. Der gewählte Dienstleister ist in der EU ansässig und nach Aussage des EDSB für alle Organe, Einrichtungen, Ämter und Agenturen der EU zugänglich. Dabei sei die Einhaltung des Datenschutzrechts sowie weiterer spezieller Vorschriften gewährleistet.
Vermeidung von Drittlandstransfers und Unterauftragsverarbeitern
Anders als bei anderen Anbietern sei hier gewährleistet, dass keine Datenübertragung in Nicht-EU-Länder stattfinde. Zudem werde der Einsatz von Unterauftragsverarbeitern vermieden. Der Rahmenvertrag soll damit eine bessere Kontrolle über personenbezogene Daten ermöglichen. Dabei möchten die EU-Institutionen mit gutem Beispiel vorangehen, um digitale Rechte zu schützen und Daten verantwortungsvoll zu verarbeiten.
Alternative zu Microsoft und co.
Bisher bestanden und bestehen vor allem Verträge mit Microsoft für die Office-Produkte in den EU-Institutionen. Bereits 2020 hatte der EDSB deren Einsatz als problematisch eingeordnet. Auch in Deutschland haben die Datenschutzbehörden erhebliche Bedenken gegenüber dem Einsatz der cloudbasierten Microsoft-Produkte geäußert und zuletzt im Rahmen der Datenschutzkonferenz einen datenschutzkonformen Einsatz von Microsoft 365 in öffentlichen Stellen für nicht möglich erachtet. Problematisch ist hier insbesondere, dass Verantwortliche unter Umständen keine Kontrolle über Datentransfers haben.
Vorbild für den nichtöffentlichen Bereich?
Auch im nichtöffentlichen Bereich stellt sich oft die Frage nach datenschutzkonformen Cloud-Lösungen. Hier könnte der Rahmenvertrag des EDSB ein Vorbild sein. Jeder nach dem Datenschutzrecht Verantwortliche muss sich schließlich damit auseinandersetzen, ob die von ihm gewählten Programme datenschutzkonform nutzbar sind. Dabei kann es helfen, solche zu nutzen, die vom EDSB als datenschutzkonform eingeordnet werden. Allerdings ist in jedem Fall eine Einzelfallabwägung erforderlich, die die eigenen Bedürfnisse und Risiken für die Daten berücksichtigt.
Pages: 1 2 3 4 5 6 7 ... 34 35 
