Kategorie: EU-Datenschutzgrundverordnung

Österreichische Datenschutzbehörde: Löschung nicht gleich Vernichtung

13. Februar 2019

Die Datenschutz-Grundverordnung (DSGVO) räumt den Betroffenen in Art. 17 Abs. 1 ein Recht auf die Löschung ihrer Daten ein. Das bedeutet aber nicht, dass die Daten tatsächlich vernichtet werden müssen. Laut einer aktuellen Entscheidung kann es hinreichen, den Personenbezug durch Anonymisierung zu entfernen.

Die österreichische Datenschutzbehörde entschied im Dezember 2018, dass das sogenannte Recht auf Löschung personenbezogener Daten den Verantwortlichen nicht zu einer sofortigen Vernichtung der Daten in ihren Systemen verpflichte. Auf Grundlage der DSGVO reiche eine Anonymisierung der Daten aus, nach der eine Rekonstruktion des Personenbezugs „ohne unverhältnismäßigen Aufwand“ nicht mehr möglich ist. Allerdings verlangt die Behörde nicht, dass die Anonymisierung niemals rückgängig gemacht werden kann. Eine Löschung liege dann vor, wenn die Verarbeitung und Nutzung der personenbezogenen Daten nicht mehr möglich ist. Dass sich zu irgendeinem Zeitpunkt eine Rekonstruktion (etwa unter Verwendung neuer technischer Hilfsmittel) als möglich erweise, mache die „Löschung durch Unkenntlichmachung“ nicht unzureichend. Eine völlige Irreversibilität sei daher nicht notwendig.

Hintergrund des Streits war eine Anfrage eines österreichischen Betroffenen bei einer Versicherung. Unter Verweis auf Art. 17 DSGVO hatte dieser die unverzügliche Löschung seiner personenbezogenen Daten verlangt, da sie für den Zweck, für den sie erhoben worden waren, nicht mehr benötigt würden. Die Versicherung löschte E-Mail-Adresse, Telefonnummer sowie Angaben über ein einst erbetenes Versicherungsangebot und stoppte alle Werbezusendungen. Name und Adresse wurden allerdings durch „Max Mustermann“ mit einer Musteradresse ersetzt und Informationen über zwei frühere Versicherungsverträge blieben offenbar erhalten.

Die Versicherung setzte den Betroffenen in Kenntnis, dass sie die Daten „DSGVO-konform anonymisiert“ habe. Eine Rückführbarkeit auf seine Person sei unwiderruflich ausgeschlossen. Die anonymisierten Daten würden beim nächsten automatischen Löschlauf im März 2019 endgültig aus den Systemen gelöscht. Auch aus den Logdaten könne die ursprüngliche Anfrage nicht mehr mit dem Betroffenen verknüpft werden.

Das reichte dem Betroffenen jedoch nicht aus, sodass er sich bei der Datenschutzbehörde beschwerte. Diese hielt jedoch das Anonymisierungsverfahren der Versicherung für ausreichend. Denn nach Ansicht der Behörde macht die DSGVO keine konkreten Angaben darüber, wie eine Löschung von personenbezogenen Daten umgesetzt werden muss. In Art. 4 Nr. 2 DSGVO würden zudem Löschung und Vernichtung von Daten „als alternative Formen der Verarbeitung aufgeführt“, die nicht zwingend deckungsgleich seien. „Daraus erhellt, dass eine Löschung nicht zwingend eine endgültige Vernichtung voraussetzt“, schreibt die Behörde in ihrer Entscheidung.

Vielmehr stehe dem Verantwortlichen hinsichtlich der vorgenommenen Art und Weise der Löschung ein Auswahlermessen zu. Hinsichtlich des konkreten Mittels der Löschung bestehe somit „kein Wahlanspruch der betroffenen Person“.

Datenübermittlungen innerhalb eines Konzerns

7. Februar 2019

Die Datenschutz-Grundverordnung (DSGVO) kennt kein Konzernprivileg. Eine Übermittlung von personenbezogenen Daten von einem Konzernunternehmen an ein anderes bedarf einer Rechtsgrundlage wie jede andere Übermittlung an einen Dritten auch. Als Rechtsgrundlage kommen sämtliche Tatbestände des Art. 6 Abs. 1 DSGVO in Betracht.

Werden bestimmte Prozesse / Aufgaben in einem Konzernverbund zentral von einer Stelle wahrgenommen, wie bspw. die Verwaltung der Mitarbeiterdaten, kann in der Regel das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage herangezogen werden. Erwägungsgrund 48 bietet in Rahmen der nach Art. 6 Abs. 1 lit. f DSGVO durchzuführenden Interessenabwägung eine Hilfestellung. Er lautet:

„Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln.“

Danach kann eine Übermittlung von personenbezogenen Daten innerhalb eines Konzernverbunds zur Verwaltungsoptimierung und -vereinfachung ein berechtigtes Interesse für einen Datenaustausch innerhalb des Konzerns darstellen.

Die Auslagerung von bestimmten Tätigkeiten auf eine Konzerngesellschaft in einem Konzernverbund stellt darüber hinaus eine Auftragsverarbeitung gemäß Art. 28 DSGVO dar. Es bedarf daher des Abschlusses eines Vertrages über eine Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO.

Datenschutzverstöße durch Berliner Polizei- und Justizbeamte?

Beschäftigte des Polizei- und Justizdienstes in Berlin stehen unter dem Verdacht, im Winter 2017 Drohbriefe an verschiedene Einrichtungen der linksautonomen Szene versendet zu haben. Inhalt der Drohbriefe seien Lichtbilder und weitergehende Informationen von 21 Personen, die angeblich ausschließlich aus polizei- und justizbehördlichen Quellen stammten. Die Drohbriefe seien Reaktionen auf Veröffentlichungen von linksautonomen Gruppen gewesen, die anlässlich des G20-Gipfels Lichtbilder von mehreren Berliner Polizeibeamten beinhalteten.

Als Folge des Verdachts stellte die Berliner Datenschutzbeauftragte Maja Smoltczyk damals einen Antrag auf Strafverfolgung gegen Unbekannt wegen Verstößen gegen das Berliner Datenschutzgesetz. Da die Vorfälle allerdings bislang – bis auf einen Fall, indem im August 2018 ein Polizeibeamter wegen unbefugtem Datenzugriff verurteilt wurde – noch nicht aufgeklärt wurden, forderte die Berliner Datenschutzbeauftragte die Staatsanwaltschaft nun erneut auf, ihr umfassende Informationen zukommen zu lassen. So sei bis heute unklar, wie die Täter an die personenbezogenen Daten gekommen sind und wo diese gespeichert wurden.

Da anders als z.B. in Hessen (wir berichteten kürzlich über einen ähnlichen Fall) die Datenschutzbeauftragte des Landes Berlin gemäß des Berliner Datenschutzgesetzes über keine Anordnungsbefugnis verfügt und so keine gerichtliche Klärung herbeiführen, sondern lediglich Beanstandungen aussprechen kann, ist sie auf die behördliche Zusammenarbeit angewiesen.

Datenschutz versus Social Media – Nimmt man den Datenschutz ernst genug?

30. Januar 2019

Seit Anwendung der Datenschutzgrundverordnung (DSGVO) werden mehr und mehr Verstöße gegen den Datenschutz sowie Fehler bei der Sicherheit personenbezogener Daten in Social-Media Kanälen publik (zuletzt beispielsweise bei der Apple Inc.).

Passend hierzu war am Montag, den 28.01.2019 der Europäische Datenschutztag. Diesen zum Anlass genommen lässt sich festhalten, dass das Verhalten vieler Nutzer und das Verständnis von Datenschutz – mithin auch Unternehmen! – keineswegs mit den Vorstellungen der DSGVO korrelieren.

Facebook, Instagram, Twitter und weitere. Hier werden beispielsweise fleißig Bilder von Produktionswerken, von Arbeitnehmern oder aber (zu) private Videos und Fotos des eigenen Nachwuchses geteilt. Überdies werden Informationen zu allerlei privaten Dingen preisgegeben. Es liegt mithin in der Woche um den Europäischen Datenschutztag Nahe, den Umgang mit personenbezogen Daten im Kontext des Internets kritisch zu hinterfragen.

Jörg Schieb, bei ARD sowie WDR als Experte für den Bereich Internet tätig, vergleicht beispielsweise das Einkaufsverhalten in Online Shops mit einem Einkauf, bei dem der Kunde gänzlich überwacht würde. Er bedient sich hierfür eines Beispiels der Netzaktivistin Katharina Nocun und verglich den Online Einkauf mit einem Einkauf im Supermarkt, bei dem ein Mitarbeiter der Filiale ununterbrochen über die Schulter des Kunden schaut und dessen Einkauf genau beobachtet.

Der Umgang mit personenbezogenen Daten in diversen Social Media-Netzwerken stößt dennoch höchst selten sauer auf. Das mag daran liegen, dass der Account von Unternehmen kleinerer und mittlerer Größe weniger im Fokus der Öffentlichkeit erscheint. Gerade hier lassen sich jedoch Defizite im Umgang mit Datenschutz im Kontext Social-Media feststellen. Aus Erwägungen ordnungsgemäßer Unternehmens-Compliance sowie der Vermeidung potentieller Bußgelder ist jedoch gerade diesen Unternehmen ein sorgsamer Umgang mit dem Thema Datenschutz anzuraten.

Neue Gesetze verlangen die Verschlüsselung von Daten

25. Januar 2019

Grundsätzlich ist jedes Unternehmen und jede Behörde durch die neuen Gesetze dazu angehalten sensibel Daten zu verschlüsseln. Viele Unternehmen schätzen den Nachdruck, der hinter der Umsetzung steht, falsch ein. Erst wenn Daten verloren gehen oder durch Hacker gestohlen und veröffentlicht werden, wird die Bedeutung der Gesetze greifbar.

Auch wenn in der DSGVO nicht explizit das Wort „Verschlüsselung“ verwendet wird, ist es trotzdem zwingend, dass Daten spätestens bei Speicherung in einer Cloud oder bei Übermittlung via Internet verschlüsselt werden müssen.

Geheimnisträger wie beispielsweise Anwälte, Notare sowie Wirtschaftsprüfer sind zu dem noch an den im Jahr 2017 neugefassten § 203 StGB gebunden, der den Schutz von Informationen zusätzlich regelt. Im Falle eines Verstoßes drohen Bußgelder sowie Gefängnisstrafen.

Der Schutz von Daten wird in vielen Branchen durch zusätzliche Normen geschützt. Ärzte und Apotheker sind beispielsweise an das E-Health-Gesetz gebunden. Betreiber kritischer Infrastrukturen unterliegen dem IT-Sicherheitsgesetz, welches ausdrücklich eine Verschlüsselung vorschriebt.

Erstes Treffen der Europäischen Datenschutzbeauftragten in 2019

In der ersten Sitzung des Europäischen Datenschutzausschusses (EDSA) im neuen Jahr wurden unter anderem folgende Punkte aufgegriffen: der EU-US Privacy Shield, Leitlinien zur Zertifizierung und die Verbesserung der Kommunikation mit Social-Media-Anbietern bei Datenschutzvorfällen. Vor allem die Überprüfung des EU-US Privacy Shield und der dazugehörige Berichtsbeschluss waren wichtige Tagesordnungspunkte der Sitzung. Trotz Überprüfung durch US-Behörden bestehen weiterhin gewichtige Kritikpunkte. Einer dieser Kritikpunkte ist das Fehlen einer dauerhaften Besetzung der Ombudsperson und die Offenlegung ihrer Befugnisse gegenüber den Sicherheitsbehörden.

Ein weiteres wichtiges Thema war die Verabschiedung der Guidelines on Certification. Diese Leitlinien sollen eine Unterstützung für die Ausgestaltung von Zertifizierungsprozessen nach der DSGVO sein. Zusammen mit den bereits vergangenen Jahres verabschiedeten Guidelines on Accreditation dienen beide Papiere als wichtige Orientierungshilfen.

Um bei Datenschutzvorfällen im Social-Media-Bereich schneller reagieren zu können hat man sich in der Sitzung das Ziel gesetzt gemeinsam technische und organisatorische Maßnahmen zu erörtern, um in Eilfällen eine unmittelbare Kontaktaufnahme mit den verantwortlichen Stellen zu ermöglichen. Dazu werden deutsche Aufsichtsbehörden ein Vorschlag erarbeiten.

Der Bundesdatenschutzbeauftragte Ulrich Kelber betonte nach seiner ersten Teilnahme am EDSA noch einmal die Wichtigkeit dieses Gremiums: „Daten kennen schon lange keine Grenzen mehr. Daher muss auch ihr Schutz grenzübergreifend sein.“

Französische Datenschutzbehörde verhängt Bußgeld gegen Google

22. Januar 2019

Aufgrund von Verstößen gegen die Datenschutzgrundverordnung (DSGVO) muss der Internetriese Google in Frankreich eine Strafe in Höhe von 50 Millionen Euro zahlen. Das Bußgeld verhängte die französische Datenschutzbehörde CNIL. Ausgelöst wurde das Verfahren gegen Google durch Beschwerden der Organisation NOYB von Max Schrems und der französischen Netzaktivisten La Quadrature du Net.

Zu dem Bußgeld sei es gekommen, da Google die Anforderungen der DSGVO hinsichtlich der Informationspflichten nur unzureichend erfülle. So seien die Informationen über die Datenverarbeitung im Rahmen verschiedener Google-Applikationen für die Nutzer nur schwerlich über mehrere Links und Buttons zugänglich und insgesamt intransparent. Aufgrund der, dem Nutzer, nur unzureichend zur Verfügungen gestellten Informationen über die Art und Weise der Verarbeitung personenbezogener Daten, seien auch die Einwilligungen zur Anzeige personalisierter Werbung nach Ansicht der französischen Datenschutzbehörde nicht rechtmäßig.

Update: Google hat inzwischen Berufung eingelegt.

Mehr Transparenz im Datenschutz

21. Januar 2019

Laut dem Bundesdatenschutzbeauftragten Ulrich Kelber arbeitet seine Behörde an einem Konzept zu größerer Transparenz im Datenschutzrecht. Danach entwickelt die Bundesdatenschutzbehörde zurzeit ein Konzept im Hinblick auf die Veröffentlichung von amtlichen Informationen, die die Ahndung von Verstößen gegen die Datenschutzgrundverordnung (DSGVO) betreffen.

Dieses Konzept soll laut Kelber zum Ziel haben, dass grundsätzlich alle nach dem Informationsfreiheitsgesetz abfragbaren Informationen auch veröffentlicht werden können. In der Konsequenz würde die Bundesdatenschutzbehörde folglich aktiv Informationen zu Ahndungen von Datenschutzverstößen veröffentlichen, wenn ein Anspruch des Bürgers auf amtliche Informationen nach dem Informationsfreiheitsgesetz (IFG) bestehen würde.

Damit will der Bundesdatenschutzbeauftragte dem aktuellen Zustand entgegenwirken, dass nur sehr vereinzelt Datenschutzverstöße und ihre Sanktionierung transparent veröffentlicht werden. Diesen Zustand kritisierte bereits der ehemalige Bundesdatenschutzbeauftragte Peter Schaar. Ebenso wurde von Niko Härting angemerkt, dass die meisten Ahndungen der breiten Öffentlichkeit unverständlicherweise nicht bekannt seien.

Zur Erläuterung: Nach § 1 IFG hat jeder Bürger einen Anspruch auf Zugang zu amtlichen Informationen, soweit kein besonderer öffentlicher Belang entgegensteht (§ 3 IFG) und der Geheimnisschutz sowie der Schutz personenbezogener Daten gewahrt bleiben, §§ 4, 5, 6 IFG. Ein gesondertes berechtigtes Interesse muss der Bürger dafür gerade nicht nachweisen.

Auswirkungen des Brexit auf den Datenschutz

17. Januar 2019

Nachdem der von Premierministerin Theresa May vorgelegte Entwurf eines Vertrags zur Regelung des Brexit am 15. Januar durch eine deutliche Mehrheit der Parlamentarier abgelehnt wurde, rückt das Szenario eines ungeordneten Austritts des Vereinigten Königreichs aus der Europäischen Union wieder in greifbare Nähe. Neben vielfältigen wirtschaftlichen und europarechtlichen Fragestellungen besitzt der Brexit auch eine konkret datenschutzrechtliche Komponente.

Mit dem für den 29.03.2019 angekündigten Austritt des Vereinigten Königreichs aus der Europäischen Union ist das Vereinigte Königreich ohne entsprechende Übergangsregeln ab diesem Zeitpunkt als Drittland im Sinne der DSGVO anzusehen. Dies bestätigte auch Prof. Dr. Dieter Kugelmann, Landesdatenschutzbeauftragter für Rheinland-Pfalz: „Fakt ist, dass das Vereinigte Königreich nach Austritt aus der EU zu einem „Drittland“ im Sinne der Datenschutzgrundverordnung wird“.

Da viele Unternehmen aktuell Kunden- oder Beschäftigtendaten in das Vereinigte Königreich übermitteln und dort ansässige Rechenzentren zu den eigenen Dienstleistern zählen, ergibt sich nach der Datenschutzgrundverordnung durch den Brexit Anpassungsbedarf. Unternehmen mit Vertragspartnern im Vereinigten Königreich müssen im Falle eines Datentransfers sicherstellen, dass es auch nach dem Brexit noch eine hinreichende Rechtsgrundlage für die entsprechenden Datenübermittlungen gibt. Weiterhin sind die Informationspflichten nach Artt. 13, 14 Datenschutzgrundverordnung bezüglich eines Datentransfers in ein Drittland zu ergänzen. Gleiches gilt für Datenschutzerklärungen im Internet. Im Falle eines Auskunftsersuchens einer betroffenen Person ist diese nach Art. 15 Datenschutzgrundverordnung auch über den Datentransfer in ein Drittland zu unterrichten. Darüber hinaus dürften bei Datenübermittlungen in das Vereinigte Königreich als Drittland vielfach die Verzeichnisse von Verarbeitungstätigkeiten nach Art. 30 Datenschutzgrundverordnung anzupassen sein. Gegebenenfalls ist nach dem Brexit auch das Durchführen von Datenschutzfolgenabschätzungen notwendig.

Es empfiehlt sich, dass sich Unternehmen, die personenbezogene Daten in das Vereinigte Königreich übermitteln, bereits jetzt auf entsprechende Anpassungen und Änderungen vorbereiten, um weiterhin eine rechtlich konforme Datenverarbeitung gewährleisten zu können. Da die Datenschutzgrundverordnung kein Konzernprivileg kennt, gelten die zuvor dargestellten Anmerkungen prinzipiell auch für Datenströme innerhalb einer Konzerngruppe.

Neuer Gesetzesentwurf zur Kontrolle von Dieselfahrverboten mit verbessertem Datenschutz

9. Januar 2019

Zum Zwecke der Durchsetzung eines Dieselfahrverbotes ist zur Zeit ein Gesetzesentwurf im Umlauf, der automatisierte Kontrollmöglichkeiten vorsieht. Die Kontrolle sieht dabei vor, das Autos, die in eine Verbotszone fahren, automatisiert fotografiert werden sollen um, das Kennzeichen mit den Daten der Zentralen Fahrzeugregister abgleichen zu können und so zu ermitteln, ob das Befahren der Zone erlaubt oder verboten war. Nachdem der Bundesrat den ersten Entwurf an verschiedenen Punkten, insbesondere aufgrund datenschutzrechtlicher Bedenken, kritisierte, besserte Bundesverkehrsminister Andreas Scheuer (CSU) nun nach.

Im alten Gesetzesentwurf war noch vorgesehen, dass die durch die automatisierten Kontrollen gewonnenen Daten spätestens sechs Monate nach ihrer erstmaligen Erhebung zu löschen sind. Im neuen Entwurf wurde diese Frist nun auf zwei Wochen verkürzt, um dem datenschutzrechtlichen Prinzip der Datenminimierung zu entsprechen. Selbst wenn die frühzeitige Löschung bedeuten würde, dass dies die Verfolgung eines etwaigen Verstoßes verhindern könnte, soll die Frist eingehalten werden.

Im Falle eines Verstoßes gegen das Dieselfahrverbot sollen die Daten unverzüglich an die zuständige Behörde weitergeleitet werden. Die Kontrollen sollen dabei allerdings nur stichprobenartig sowie ohne Videoaufzeichnungen oder verdeckte Kontrollen erfolgen.

Es bleibt abzuwarten, wie der Bundesrat auf den neuen Gesetzesentwurf reagiert.

1 2 3 4 18