Kategorie: EU-Datenschutzgrundverordnung

Leitlinien zur Interpretation des Art. 6 Abs. 1 lit. b DSGVO

10. April 2019

Der Europäische Datenschutzausschuss (EDSA) hat am 09. April „Leitlinien zur Verarbeitung personenbezogener Daten auf Grundlage des Artikels 6 Abs. 1 b DSGVO im Kontext von Online-Dienstleistungen“ beschlossen.

Bei dieser Rechtsgrundlage stellt sich das Problem, dass insbesondere im Internet viele Dienstleister dazu übergegangen sind, umfangreich Datenverarbeitungen in Verträge mit Nutzern aufzunehmen. Diese Datenverarbeitungen (z.B. zum Zwecke der personenbezogenen Onlinewerbung) stehen zwar nicht in Verbindung mit der Hauptleistung, sind aber von Art. 6 Abs. 1 lit. b DSGVO gedeckt, weil sie objektiv zur Erfüllung des Vertrages erforderlich sind.  In dem Informationspapier begrenzt die europäische Behörde die Möglichkeit, solche Verarbeitungen auf diese Rechtsgrundlage zu stützen. Zur Beurteilung der Erforderlichkeit solle nicht mehr nur auf den Vertragstext abgestellt werden. Vielmehr müssten auch die datenschutzrechtlichen Grundsätze aus Art. 5 DSGVO berücksichtigt werden.

Der Bundesbeauftragte für Datenschutz und Informationsfreiheit Ulrich Kleber zeigte sich zufrieden: „Die DSGVO stellt zu Recht strenge Voraussetzungen an die Zulässigkeit einer Einwilligung auf. Es kann nicht sein, dass Unternehmen, wie beispielsweise die Anbieter sozialer Netzwerke, dazu übergehen, dies zu umgehen, indem sie Datenverarbeitungen, die eigentlich nichts mit der Erbringung eines Online-Dienstes zu tun haben, in den Vertragstext mit aufnehmen. Die jetzt beschlossenen Leitlinien erschweren ein solches Vorgehen deutlich und stärken somit die datenschutzrechtliche Selbstbestimmung der Bürgerinnen und Bürger.

Facebook ändert die Nutzungsbedingungen

Kürzlich hat Facebook angekündigt, die Nutzungsbedingungen für das soziale Netzwerk nunmehr ändern zu wollen. Dies stehe nach intensiven Gesprächen mit der EU-Kommission und europäischen Verbraucherschutzbehörden fest. Dadurch soll es für den Nutzer nachvollziehbarer werden, wie das US-Unternehmen die Nutzerdaten einsetzt, um Profile über die Mitglieder zu erstellen und anschließend gezielte Werbeanzeigen zu schalten. Außerdem will Facebook darlegen, welche Dienste zusammen mit personenbezogenen Daten an Dritte verkauft werden, wie Verbraucher ihre Konten schließen können und aus welchen Gründen Nutzer ausgeschlossen werden können.

Aus den geänderten Allgemeinen Geschäftsbedingungen soll zudem hervorgehen, dass das Geschäftsmodell darauf beruht, unter Nutzung der Daten aus den Profilen der Nutzer, gezielte Werbeleistungen an Händler zu verkaufen. Falls die persönlichen Informationen missbräuchlich verwendet werden sollten, wolle der Betreiber seine Verantwortung dafür anerkennen.

Facebook soll die Nutzungsbedingungen nur noch in Ausnahmefällen einseitig abändern können und wahre dabei die Verhältnismäßigkeit sowie die Verbraucherinteressen. Die von Nutzern gelöschten Inhaltsdaten sollen nur noch gezielt etwa auf Anordnung einer Strafverfolgungsbehörde für maximal 90 Tage aufbewahrt werden. Daneben sollen die Widerrufsrechte der Nutzer konkreter gefasst werden.

EU-Justizkommissarin Vera Jourová bemerkte, dass der Betreiber „endlich ein Bekenntnis zu mehr Transparenz und klarer Sprache in den Nutzungsbedingungen“ zeige. Eine Firma, die das Vertrauen der Verbraucher nach dem Skandal mit Cambridge Analytica wiederherstellen wolle, „sollte sich nicht hinter komplizierten, juristischen Fachausdrücken darüber verstecken“, wie sie „Milliarden mit den Daten von Menschen verdient“.

Die Implementierung der Neuerungen soll bis Ende Juni 2019 erfolgen.

Kategorien: EU-Datenschutzgrundverordnung
Schlagwörter: ,

Voreingestellte Einwilligung für das Setzen von Cookies ist unzulässig

9. April 2019

Am 21.03.2019 hat der Europäische Gerichtshof die Schlussanträge des Generalanwalts in dem Verfahren des VZBV (Verbraucherzentrale Bundesverbandes) gegen den Werbedienstleister Planet49 veröffentlicht.

Unter anderem liegt dem Verfahren die Frage zugrunde, wie eine Einwilligungserklärung in das Setzen von Online-Cookies durch Webseiten gestaltet sein muss, um datenschutzrechtlich zulässig zu sein.

Der EuGH-Generalanwalt ist der Ansicht, die Praxis einer voreingestellten Einwilligung für das Setzen von Cookies verstoße gegen die bisherige ePrivacy-Richtlinie und die Datenschutzgrundverordnung. Zudem haben die jeweiligen Dienstanbieter den Nutzer klar und umfassend darüber zu informieren, wie lange die Funktionsdauer der Cookies ist und ob Dritte Zugriff auf die Cookies haben.

Klaus Müller, Vorstandsmitglied des Verbraucherzentrale Bundesverbands äußerte sich zu den Schlussanträgen wie folgt: „Cookie-Banner auf Webseiten geben Verbrauchern oft keine aussagekräftigen Informationen und keine rechtskonformen Wahlmöglichkeiten. Verbraucher werden somit online verfolgt, ohne die Hintergründe verstehen zu können und ohne eine gültige Einwilligung erteilt zu haben. Die heutige Stellungnahme des Generalanwalts bestätigt, dass dies inakzeptabel ist. Damit unterstützt der Generalanwalt auch die jahrelange Auffassung des vzbv, dass die deutsche Bundesregierung die bisherige ePrivacy-Richtlinie nicht konform in deutsches Recht umgesetzt hat. Umso drängender ist nun eine strenge Durchsetzung der Datenschutzgrundverordnung sowie die zügige Annahme einer strikten ePrivacy-Verordnung, die derzeit in Brüssel verhandelt wird. Es darf keine Verfolgung der Interessen von Verbrauchern ohne deren vorherige Einwilligung geben und diese Einwilligung muss freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich erteilt werden. Praktiken wie vorgeklickte Kästchen, Tracking Walls und die Vermutung, dass ein Benutzer eine Einwilligung durch einfaches Surfen auf einer Website erteilt, müssen beendet werden.“

Niedersachsen schlägt Änderung datenschutzrechtlicher Bestimmungen im Bundesrat vor

Die niedersächsische Landesregierung hat am 03.04.2019 den Entwurf eines Entschließungsantrages in den Bundesrat eingebracht (BR Drs 144/19). Hintergrund des Antrages ist, dass das Ziel der DSGVO, den Schutz personenbezogener Daten sicherzustellen, nicht erreicht werden kann, wenn Unternehmen, Behörden und weitere Einrichtungen, die personenbezogene Daten verarbeiten, die neuen Regelungen nicht anwenden (können). Niedersachsen gibt in seinem Antrag an, dass laut einer Studie des Verbands Bitkom nur etwa ein Viertel der deutschen Unternehmen angeben, die DSGVO vollständig umgesetzt zu haben. Eine der größten Hürden sei die hohe Rechtsunsicherheit, welche sich durch die Flut von Anfragen bei den Datenschutzbehörden abzeichne.

Insbesondere kleine und mittlere Unternehmen sowie ehrenamtliche Einrichtungen seien in ihrem Arbeitsalltag stärker durch die Anforderungen der DSGVO eingeschränkt und müssen entlastet werden. Das Land Niedersachsen schlägt deshalb vor, § 38 BDSG, also die Anforderungsschwelle zur Benennung eines Datenschutzbeauftragten, anzupassen. Der Bundesrat soll die Bundesregierung auffordern, „hier nachzubessern und die in § 38 Abs. 1 S. 1 BDSG genannte Mindestanzahl von zehn Personen deutlich anzuheben“. Ein Vorschlag für eine neue Schwelle wird nicht gemacht. Diese Forderung könnte jedoch dem Missverständnis zu Grunde liegen, dass viele kleinere Unternehmen oder Verbände denken, dass eine Pflicht zur Benennung gleichbedeutend mit der Pflicht zur Einhaltung des Datenschutzrechts an sich ist. Sollte die Schwelle angehoben werden, besteht eventuell die Gefahr, dass kleinere Einheiten davon ausgehen, dass, wenn sie keinen Datenschutzbeauftragten benennen müssen, auch die übrigen Anforderungen der DSGVO für sie nicht verpflichtend sind.

Zudem schlägt die Landesregierung vor, die Meldefrist für Datenpannen nach Art. 33 Abs. 1 DSGVO auf ihre Angemessenheit zu prüfen. „Der Bundesrat bittet die Bundesregierung daher, zu evaluieren, ob diese Frist tatsächlich angemessen ist. Sofern die Frist sich in der Praxis als unangemessen kurz erweisen sollte, bittet der Bundesrat die Bundesregierung auf eine Verlängerung der Frist hinzuwirken“.

Außerdem verlangt die niedersächsische Landesregierung, insbesondere für KMUs gesetzlich auszuschließen, dass Datenschutzverstöße wettbewerbsrechtlich abgemahnt werden können. Die Geltendmachung von Datenschutzverstößen durch zugelassene Verbraucherschutzvereinigungen nach dem Unterlassungsklagegesetz soll laut des Antrags jedoch davon unberührt bleiben.

Schließlich möchte Niedersachsen eine Ausnahmeregelung bzw. Erleichterung für die vorübergehende Datennutzung zu Erprobungs- und Testzwecken erwirken. „Der Bundesrat bittet die Bundesregierung vor diesem Hintergrund zu prüfen, ob und wie Ausnahmen bzw. Erleichterungen für die Verarbeitung personenbezogener Daten für Erprobungs- und Testzwecke in die datenschutzrechtlichen Bestimmungen implementiert werden können und dies entsprechend umzusetzen.“

Wie verträgt sich die Blockchain mit dem Datenschutz?

8. April 2019

Bei Blockchain liegen Daten nicht auf einem zentralen Server, sondern sind dezentral auf Rechnern gespeichert, die sich zu diesem Zweck zu einem Netzwerk zusammengeschlossen haben. Veränderungen an den Daten bzw. Transaktionen müssen von den Rechnern bestätigt werden. Dieses Verfahren sichert die abgelegten Daten besonders gut gegen Manipulationen ab. Damit hat die Blockchain vielfältige Anwendungsmöglichkeiten.

Die Transparenz ist das Kernelement der Blockchain-Technologie. Daraus ergibt sich, dass „sicher“ in Bezug auf den Manipulationsschutz nicht gleichzeitig „sicher“ hinsichtlich des Datenschutzes bedeutet. Denn alle Teilnehmer innerhalb eines Netzwerks haben die Möglichkeit, die in der Blockchain gespeicherten Daten abzurufen. Allerdings ist diese absolute Transparenz nicht immer gewünscht. Kein Unternehmen will Zugang zu sensiblen Daten gewähren.

Mit Blick auf die DSGVO hat Art. 6 DSGVO eine besondere Blockchain-Relevanz, da bei öffentlichen Chains die gesamten Daten öffentlich zugänglich sind. Folglich bedarf der Schutz einer besonderen Beachtung. Das Recht auf Datenaktualisierung in Art. 16 DSGVO beschreibt die Möglichkeit, Daten zu aktualisieren. Es muss möglich sein, einen alten Datensatz durch einen neuen zu ersetzen. Dies könnte auch die Löschung der alten Daten bedeuten. Das wirft Schwierigkeiten innerhalb der Blockchain auf, was besonders im Hinblick auf Art. 17 DSGVO deutlich wird. Art. 17 DSGVO beschreibt das Recht auf Vergessenwerden. Es wird gerne herangezogen, um die Unmöglichkeit einer DSGVO-konformen Blockchain-Anwendung zu belegen; schließlich ist die Manipulationssicherheit der Daten eines der Hauptargumente für Blockchain-Techniken. Jedoch gibt es einige Lösungsmöglichkeiten dieser Problematik wie zum Beispiel die Hash-Funktion, wonach keine personenbezogenen Daten direkt auf der Blockchain gespeichert werden. Durch diese Konstruktion lässt sich die Korrektheit der Daten beweisen, ohne dass Dritte ungewünscht Zugang erhalten.

In heutigen Zeiten, in denen Daten immer stärker zum zentralen Bestandteil von Innovationen werden, stellt die DSGVO einen fundamental wichtigen Rahmen dar, wodurch verdeutlicht wird, dass nicht jede Art von Innovation auch wünschenswert ist. Innovation darf somit nicht ausschließlich dem Wunsch nach Wirtschaftswachstum unterliegen, sondern muss gleichzeitig auch nachhaltig sein und die Grundsätze unserer Demokratie respektieren. Somit bildet die DSGVO ein wichtiges Gegengewicht zur Datenökonomie. Datenwirtschaft und Datenschutz schließen sich nicht aus, sondern sind viel eher komplementär zueinander. Daher ist anzuraten die Technologien so zu gestalten, dass sie nicht nur wirtschaftlich, sondern auch gesellschaftlich sinnvoll sind.

Speicherung von Bodycam-Daten in Cloud

Polizeiaufnahmen mit Hilfe von Bodycams werden teilweise in einer Amazon-Cloud gespeichert. Über die Rechtswidrigkeit dieser Verfahrensweise sind das Bundesinnenministerium und der Bundesdatenschutzbeauftragte geteilter Meinung.

Der Bundesdatenschutzbeauftragte Ulrich Kelber kritisiert die Speicherung von Bodycam-Daten von Polizeieinsätzen in der Amazon-Cloud. Nunmehr hat das Bundesinnenministerium dazu Stellung bezogen.

Laut Kelber sei es rechtswidrig, die Bildaufnahmen der Bundespolizei auf Servern des amerikanischen Konzerns Amazon zu speichern. Vielmehr habe die Speicherung solch sensibler Daten bei einem deutschen Cloud-Anbieter zu erfolgen. „Wir haben bereits 2018 der Bundespolizei und dem Bundesinnenministerium mitgeteilt, dass wir die Speicherung der Bodycam-Daten in der Amazon-Cloud für rechtswidrig halten“, sagte Kelber. Ein Zugriff von amerikanischen Behörden auf die Daten könne nicht ausgeschlossen werden.

Indes teilt das Bundesinnenministerium diese Meinung nicht. Grund für den Einsatz solcher Bodycams sei es einerseits, mögliche Angreifer abzuschrecken sowie andererseits, Straftäter im Nachhinein besser identifizieren zu können. Die derzeitige Lösung gelte nur übergangsweise bis bundeseigene und für diesen Zweck geeignete Clouds zur Verfügung stünden, sagte der Sprecher des Bundespolizeipräsidiums, Gero von Vegesack. Die gefundene Lösung mit der  Amazon-Cloud sei im Vorfeld über mehrere Monate gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) geprüft worden. Laut einer Sprecherin des Bundesinnenministeriums entspreche die Speicherung der Daten bei Amazon deutschen Datenschutz-Standards, da man die Daten „auf deutschen Servern in Deutschland nach deutschem Recht“ speichere. Trotzdem werde derzeit geprüft, „ob es noch andere Möglichkeiten gibt“, etwa eine Speicherung auf der Bundescloud.

Thema: Künstliche Intelligenz bei der 97. Datenschutzkonferenz

5. April 2019

Bei der 97. Datenschutzkonferenz im Hambacher Schloss haben sich die Datenschutzaufsichtsbehörden des Bundes und der Länder unter anderem auch mit dem Thema der künstlichen Intelligenz auseinandergesetzt.

Dabei wurde betont, dass der Einsatz Künstlicher Intelligenz stets unter Beachtung der freiheitlichen Grundrechte der Menschen zu erfolgen hat.

Hierzu erklärt Ulrich Kelber, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: “Ich freue mich, dass die Bundesregierung dafür sorgen möchte, den Grundrechten auch beim Einsatz Künstlicher Intelligenz weiterhin die prägende Rolle zukommen zu lassen. Die Menschenwürde und das in ihr verankerte Grundrecht auf informationelle Selbstbestimmung müssen auch bei der Nutzung solcher Systeme Maßstab unseres Handelns bleiben. Mit der Hambacher Erklärung setzen wir als Datenschutzaufsichtsbehörden ein klares Signal für einen grundrechtsorientierten Einsatz künstlicher Intelligenz.”

So werden vor allem folgende sieben datenschutzrechtliche Anforderungen genannt, die beim Einsatz von künstlicher Intelligenz erfüllt sein müssen. Dazu gehören unter anderem ein hohes Maß an Transparenz und Nachvollziehbarkeit der Ergebnisse und der Prozesse maschinengesteuerter Entscheidungen, der Grundsatz der Datenminimierung, die Einhaltung der Zweckbindung, aber auch die Vermeidung von Diskriminierungen und die klare Zurechnung von Verantwortlichkeiten.

Künstliche Intelligenz darf Menschen nicht zum Objekt machen, sie haben deshalb einen Anspruch auf das Eingreifen einer Person.

Anmerkung: Dementsprechend rückt beispielsweise Art. 22 DSGVO in den Fokus.

Danach haben betroffene Personen das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Die Vorschriften von Art. 22 Abs. 1 DSGVO gelten nicht, wenn die Entscheidung für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist, Art. 22 Abs. 2, lit. a) DSGVO, oder aufgrund von Rechtsvorschriften der EU zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten, Art. 22 Abs. 2, lit. b) DSGVO, oder wenn die betroffene Person ausdrücklich eingewilligt hat, Art. 22 Abs. 2, lit. c) DSGVO. Der Verantwortliche hat in solchen Fällen des Art. 22 Abs. 2 lit a) und b) DSGVO angemessene Maßnahmen zu ergreifen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört (Art. 22 Abs. 3 DSGVO).

LAG Baden-Württemberg zum Umfang der Auskunftsrechte gem. Art. 15 DSGVO

4. April 2019

Mit Urteil vom 20.12.2018 (Az. 17 Sa 11/18) hat sich das Landesarbeitsgericht (LAG) Baden-Württemberg als erstes deutsches Gericht unter Anderem mit der Frage beschäftigt, wie weit das in der DSGVO in Art. 15 Abs. 3 Satz 1 verankerte Recht auf Erteilung einer datenschutzrechtlichen Kopie reicht. In dem zu entscheidenden Kündigungsschutzverfahren hatte ein gekündigter Arbeitnehmer einen Auskunftsanspruch nach Art. 15 DSGVO geltend gemacht sowie beantragt, dass die beklagte Arbeitgeberin ihm eine Kopie seiner personenbezogenen Leistungs- und Verhaltensdaten zur Verfügung stellt. Zudem forderte er das Unternehmen auf, ihm Einsicht in das Whistleblowingsystems zu ermöglichen, dass die Beklagte zum Zwecke der Untersuchung von etwaigen Compliance-Verstößen und möglichen sonstigen Regelverletzungen betreibt.

Hinsichtlich des Antrags auf Auskunftserteilung urteilte das Gericht, dem Kläger die geforderten Auskünfte umfassend zu erteilen. Das Mindestmaß müsse folgende Informationen umfassen:

  • Zwecke der Datenverarbeitung,
  • Empfänger gegenüber denen personenbezogene Daten des Klägers/Anspruchstellers offengelegt werden,
  • Speicherdauer oder Kriterien zur Festlegung der Dauer,
  • Herkunft der personenbezogenen Daten, soweit diese nicht bei dem Kläger selbst erhoben wurden,
  • automatisierte Entscheidungsfindung (inkl. Profiling) sowie aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer Verarbeitung.

Im Grundsatz entsprechen die Informationen dem Wortlaut des Art. 15 Abs. 1 DSGVO. Konträr zu bisherigen Ansichten der Landesdatenschutzbehörden, die es im Rahmen der Auskunft über Empfänger personenbezogener Daten ausreichen lassen, dass die verantwortliche Stelle Empfänger-Kategorien mitteilt sowie dem Gesetzeswortlaut der DSGVO, verurteilte das LAG Baden-Württemberg die Beklagte allerdings auch darauf, dem Kläger Auskunft über jeden einzelnen Empfänger zu geben.
Diese weite Auslegung dürfte für Unternehmen in der Praxis nur mit sehr hohem Aufwand umzusetzen sein und ist insbesondere auch im Hinblick auf den insofern anders lautenden Wortlaut des Art. 15 Abs. 1 DSGVO kritisch zu sehen.

Das LAG Baden-Württemberg verurteilte die Beklagte auch dazu, dem Kläger eine Kopie seiner sämtlichen personenbezogenen Leistungs- und Verhaltensdaten, die Gegenstand der von ihr vorgenommenen Verarbeitung sind, zur Verfügung zu stellen. Offen ließ das Gericht dabei allerdings, aus welchen Systemen und in welchem Umfang Kopien zu erstellen sind. So ist fraglich, ob damit neben Informationen aus den im Unternehmen eingesetzten Systemen dem Anspruchsteller auch z.B. Kopien aller Mails zur Verfügung gestellt werden müssen, die personenbezogene Daten des Betroffenen beinhalten. Im Ergebnis ist der entsprechend weit formulierte Urteilstenor unter dem Gesichtspunkt der Bestimmbarkeit sowie den zu erwartenden Schwierigkeiten bei einer möglichen Vollstreckung daher eher zweifelhaft.
Da das Gericht hinsichtlich dieser Frage die Revision zum Bundesarbeitsgericht (BAG) zugelassen hat, bleibt abzuwarten, ob eine solche eingelegt wird und der Urteilstenor auch nach einer bundesarbeitsgerichtlichen Entscheidung Bestand haben wird.

Letztlich entschied das LAG Baden-Württemberg, dass dem Kläger auch Einsicht in das Hinweisgebersystem der Beklagten zur gewähren ist und stützte den Anspruch auf § 83 Abs. 1 S. 1 BetrVG. Danach habe der Arbeitnehmer im bestehenden Arbeitsverhältnis das Recht, in die über ihn geführten Personalakten Einsicht zu nehmen. Unter „Personalakte“ sei nach herrschender Meinung jede Sammlung von Unterlagen zu verstehen, die mit dem Arbeitnehmer in einem inneren Zusammenhang stehe, und zwar unabhängig von Form, Material, Stelle und Ort, an dem sie geführt werde. Daher seien auch die Informationen im Rahmen eines Hinweisgebersystems als Bestandteil der Personalakte zu verstehen und dem Arbeitnehmer Einsicht zu gewähren.
Dies gelte auch dann, wenn der Arbeitgeber es den jeweiligen Hinweisgebern ermögliche, Hinweise anonym zu berichten, da der Arbeitgeber dann dafür Sorge zu tragen habe, dass die herausverlangten Informationen keine Rückschlüsse auf Dritte zulassen.
Neben Fragen der Anwendbarkeit des § 83 Abs. 1 S. 1 BetrVG neben Art. 15 DSGVO ergeben sich aus dem Urteil auch Fragen hinsichtlich der technischen Machbarkeit solcher umfassenden Einsichtsrechte, gerade in Bezug auf die Wahrung der Anonymität Dritter.

Im Ergebnis ist abzuwarten, ob die Datenschutzaufsichtsbehörden zu den getroffenen Aussagen im Rahmen des Urteils Stellung beziehen. Stand jetzt sollte jede Auskunftsanfrage gewissenhaft und einzelfallbezogen geprüft und bewertet werden. Auch eine Nachfrage bei der jeweils zuständigen Datenschutzaufsichtsbehörde sollte stets in Betracht gezogen werden.

Bundesjustizministerin Barley sieht Zuckerberg Initiative kritisch

2. April 2019

Facebook-Chef Mark Zuckerberg hatte am vergangenen Wochenende eine Debatte über eine einheitliche, weltweit geltende Regulierung im Internet angestoßen. Als Vorbild hierfür hob er die Datenschutzgrundverordnung hervor und betonte „Ich bin überzeugt, dass anstelle nationaler Regulierungen ein gemeinsamer globaler Rahmen notwendig ist, um eine Fragmentierung des Internets zu verhindern, damit Unternehmer nützliche Produkte entwickeln können und alle Menschen den gleichen Schutz erhalten“

Bundesjustizministerin Barley zeigte sich nach einem Treffen in Berlin allerdings nicht überzeugt von dem Modell des Facebook-Chefs und sieht die Vorschläge kritisch: „Mark Zuckerberg spricht seit einem Jahr über die Verantwortung von Facebook für Gesellschaft, Demokratie und die Privatsphäre von mehr als zwei Milliarden Menschen. Doch zu spüren ist davon wenig.“ Facebook habe durch sein Verhalten und kontinuierlich bekannt werdende „Sicherheitsskandale“ viel Vertrauen verspielt.

Zudem kritisierte Barley auch, dass Facebook plane, die Infrastruktur hinter den Chatdiensten WhatsApp und Messenger sowie der Messengerfunktion von Instagram zusammenzulegen. Dies widerspreche den ursprünglichen Ankündigungen. Sie warnte: „Bei der Zusammenführung dieser Dienste bestehen ganz erhebliche kartellrechtliche und datenschutzrechtliche Fragen.“

Kursänderung der Aufsichtsbehörden

29. März 2019

Viele Unternehmen gingen kurz nach dem Inkrafttreten der DSGVO von einem strikten Verhalten der Datenschutzaufsichtsbehörden aus. Inzwischen wundern sich nun immer mehr über deren Zurückhaltung.

Obwohl München zu einem der beliebtesten IT-Standorten Europas gehört und viele Unternehmen der IT-Branche Zweigniederlassungen dort unterhalten, gestaltet sich das Hauptgeschäft des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) primär durch Beratungen. Sanktionen hingegen bildeten bis jetzt ehr die Ausnahme. Dieses Verhältnis soll sich durch die Landespolitik nun ändern.

Während 2017 noch ca. 3.700 Beratungsanfragen beim BayLDA zu verzeichnen waren, sind die Anfragen im Jahr 2018 inzwischen auf ca. 9.200 angestiegen. Das bedeutet ca. 384 Anfragen pro Personalstelle. Dies warf die Frage auf, ob eine Beratung überhaupt zu den Pflichtaufgaben der Behörden gehören.

Der Leiter des BayLDA Thomas Kranig sieht den Ansturm der Anfragen grundsätzlich positiv, da die Datenschutzaufsichtsbehörde somit Einblicke in die Umsetzung der DSGVO durch die Unternehmen erlangt. Aufgrund der Masse müssen Anfragen jedoch immer wieder aus Kapazitätsgründen abgelehnt werden. Der Grund für die Kapazitätsproblematik geht daraus hervor, dass die Personalstellen gegenwärtig nicht aufgestockt werden. Der BayLDA muss somit die Beratungstätigkeit „weitgehend einstellen“.

Anderen Datenschutzaufsichtsbehörden ergeht es ähnlich. Die niedersächsische Landesdatenschutzbeauftragte stellte die Beratung bereits im November weitgehend ein. Ausschließlich Vereine und Verbände werden mittels einer eigenen Hotline noch weiter beraten.

1 2 3 4 20