Kategorie: EU-Datenschutzgrundverordnung

Herzlichen Dank

20. Dezember 2018

Liebe Leserinnen und Leser,

wir bedanken uns recht herzlich für Ihr Interesse an unserem Datenschutzblog in diesem Jahr.
Das Jahr 2018 war durch den Eintritt der Datenschutz-Grundverordnung sehr ereignisreich.

Wir hoffen, Sie auch im kommenden Jahr mit vielen interessanten Themen und Beiträgen über datenschutzrechtlichen Nachrichten auf dem Laufenden zu halten.

Hiermit verabschieden wir uns für dieses Jahr und wünschen Ihnen eine schöne Weihnachtszeit sowie einen guten Rutsch in das Jahr 2019.

Ihr Kinast-Team.

Like-Button – Webseitenbetreiber könnten mithaften

Der zuständige Generalanwalt am Europäischen Gerichtshof (EuGH), Michael Bobek, hat sich nun für die Verantwortlichkeit von Webseitenbetreibern bei der Einbindung von „Gefällt-Mir“-Knöpfe ausgesprochen. Diese sind für die damit verknüpfte Datenübertragung mitverantwortlich.

In der Auseinandersetzung zwischen der Verbraucherzentrale NRW und einem Online-Händler handelte es sich unter anderem um die Frage, ob der Webseitenbetreiber, der ein Plug-In eines Dritten wie den „Gefällt-mir“-Knopf integriert auch für die dadurch ausgelöste Datenübertragung mitverantwortlich ist. Diese Frage hat Michael Bobek nun wie folgt beantwortet:
„Eine Person, die ein von einem Dritten bereitgestelltes Plug-In in ihre Webseite eingebunden hat, welches die Erhebung und Übermittlung der personenbezogenen Daten des Nutzers veranlasst, ist als ein für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 anzusehen. Die (gemeinsame) Verantwortlichkeit des betreffenden für die Verarbeitung Verantwortlichen ist jedoch auf die Verarbeitungsvorgänge beschränkt, für die er tatsächlich einen Beitrag zur Entscheidung über die Mittel und Zwecke der Verarbeitung der personenbezogenen Daten leistet.“

Demnach soll der Seitenbetreiber nicht für die „Gesamtkette“ der Prozesse mitverantwortlich sein, sondern nur für diejenigen Prozesse bei denen der Webseitentreiber und in diesem Fall Facebook gemeinsame Zwecke verfolgen.

Zeitpunkt der Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten

19. Dezember 2018

Aus Art. 30 Abs. 1 DSGVO folgt für den Verantwortlichen von Datenverarbeitungsprozessen die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten. Welche Mindestangaben ein solches Verzeichnis enthalten muss, lässt sich aus Art. 30 Abs. 1 S. 2 DSGVO entnehmen. Ein eindeutiger Zeitpunkt, zu dem ein solches Verzeichnis vollständig vorliegen muss, lässt sich dem Wortlaut von Art. 30 DSGVO hingegen nicht direkt entnehmen.

Mögliche Zeitpunkte für das Erfordernis des Vorliegens einer vollständigen Dokumentation im Sinne von Art. 30 DSGVO können dabei vor dem Beginn der Verarbeitungstätigkeit oder danach liegen.

Für die Notwendigkeit der Durchführung einer (vollständigen) Dokumentation im Sinne von Art. 30 DSGVO vor Beginn der eigentlichen Verarbeitungstätigkeit lassen sich die systematische Stellung der Norm und teleologische Überlegungen anführen. Systematisch befindet sich Art. 30 DSGVO im ersten Abschnitt des vierten Kapitels der DSGVO. Innerhalb dieses Abschnitts werden die allgemeinen Pflichten des Verantwortlichen und des Auftragsverarbeiters geregelt. Über die allgemeine Pflicht zur Dokumentation mittels eines Verzeichnisses im Sinne von Art. 30 DSGVO soll der Verantwortliche sicherstellen, dass die Grundsätze einer rechtmäßigen Datenverarbeitung gewahrt sind. Demnach ist Art. 30 DSGVO von seinem Sinn und Zweck her im Zusammenhang mit Art. 5 DSGVO zu sehen, der die allgemeinen Grundsätze einer rechtmäßigen Datenverarbeitung statuiert. In Art. 5 Abs. 1 lit. a DSGVO wird der Grundsatz der Rechtmäßigkeit festgelegt. Art. 5 Abs. 1 lit. b DSGVO kodifiziert den Zweckbindungsgrundsatz und Art. 5 Abs. 1 lit. c DSGVO den Grundsatz der Datenminimierung. Zur Wahrung der Zweckbindung und zur Beachtung des Grundsatzes der Datenminimierung ist es erforderlich, dass der Verantwortliche schon vor Beginn der Verarbeitungstätigkeit diese Grundsätze mit in seine Planungen einbezieht und die Einhaltung sicherstellt. Aufgrund der zu nennenden Angaben kann das Erstellen eines vollständigen Verzeichnisses im Sinne von Art. 30 DSGVO den Verantwortlichen dabei unterstützen, schon im Vorfeld einer geplanten Verarbeitungstätigkeit sicherzustellen, dass diese rechtmäßig ist. Würde dem Verantwortlichen hingegen erst bei einer Dokumentation unmittelbar nach Inbetriebnahme einer neuen Verarbeitung bewusst, dass beispielsweise die verarbeiteten Daten zur Zweckerreichung nicht erforderlich sind, so wären die bis zu diesem Zeitpunkt durchgeführten Verarbeitungen regelmäßig als nicht rechtmäßig anzusehen.

Grundsätzlich bleibt jedoch anzumerken, dass die Wahrung der Rechtmäßigkeit einer Verarbeitungstätigkeit auch durch andere Vorfeldmaßnahmen als die Dokumentation mittels eines Verzeichnisses nach Art. 30 DSGVO gewahrt werden kann (bspw. durch die Durchführung einer Datenschutz-Folgenabschätzung oder auch durch lediglich allgemeine Erwägungen zur Zweckgebundenheit und Datenminimierung), sodass sich letztlich aus systematischen und teleologischen Erwägungen heraus keine unmittelbare Pflicht zur Durchführung einer Dokumentation im Sinne von Art. 30 DSGVO bereits vor Beginn der Verarbeitungstätigkeit ableiten lässt.

Für die Notwendigkeit zur Durchführung einer (vollständigen) Dokumentation gem. Art. 30 DSGVO erst nach Beginn der Verarbeitungstätigkeit könnte der Sinn und Zweck der Norm herangezogen werden. Zum einen soll dem Verantwortlichen durch ein Verzeichnis nach Art. 30 DSGVO die Struktur und der Umfang der Datenverarbeitung vor Augen geführt und so die Rechtmäßigkeit der Verarbeitung sichergestellt werden. Zum anderen liegt der Zweck der Verzeichnisse nach Art. 30 DSGVO aber auch darin, dass die zuständigen Aufsichtsbehörden mit Hilfe dieser Verzeichnisse erste Anhaltspunkte für die Überprüfung der Rechtmäßigkeit der jeweiligen Datenverarbeitung erhalten. Demnach kann der Verantwortliche mit Hilfe der vollständigen Verzeichnisse gegenüber der zuständigen Aufsichtsbehörde seine sich aus Art. 5 Abs. 2 DSGVO ergebende Rechenschaftspflicht erfüllen und die Rechtmäßigkeit der Verarbeitung nachweisen und dokumentieren. Dokumentationen oder Kontrollen durch Aufsichtsbehörden von Verarbeitungen oder Verfahren erfolgen jedoch üblicherweise erst, nachdem diese Verfahren oder Verarbeitungen in Betrieb genommen wurden. Demnach wäre es notwendig, aber wohl auch ausreichend, dass man die Rechtmäßigkeit der Verarbeitung durch die vollständige Dokumentation mittels eines Verzeichnisses im Sinne von Art. 30 DSGVO unmittelbar nach Inbetriebnahme der Verarbeitungstätigkeit nachweisen kann.

Zusammenfassend lässt sich somit festhalten, dass sich unmittelbar aus Art. 30 DSGVO selbst keine explizite Aussage zum Zeitpunkt der Durchführung der Dokumentation mittels eines entsprechenden Verzeichnisses entnehmen lässt. Aus dem Sinn und Zweck der Norm und im Zusammenhang mit der sich aus Art. 5 Abs. 2 DSGVO ergebenden Rechenschaftspflicht ergibt sich jedoch, dass ein Verzeichnis nach Art. 30 DSGVO jedenfalls unmittelbar nach Beginn der Verarbeitungstätigkeit vorliegen muss. Da jedoch schon vor Beginn einer neuen Verarbeitungstätigkeit durch den Verantwortlichen Überlegungen zur Rechtmäßigkeit der Verarbeitung vorzunehmen sind, empfiehlt es sich, insbesondere auch zur Wahrung eines ganzheitlichen Datenschutzkonzepts, schon vor Beginn einer neuen Verarbeitungstätigkeit eine Dokumentation mittels eines Verzeichnisses nach Art. 30 DSGVO durchzuführen. Weil sich die inhaltlichen Anforderungen an ein Verzeichnis nach Art. 30 DSGVO in weiten Teilen mit den im Vorfeld durchzuführenden Rechtmäßigkeitserwägungen überschneiden, ist dies insbesondere auch aus prozessökonomischen Erwägungen sinnvoll. Weiterhin lässt sich durch ein im Vorfeld der Verarbeitungstätigkeit erstelltes Verzeichnis nach Art. 30 DSGVO auch sicherstellen, dass ein bußgeldbewährter Verstoß gegen die Dokumentationspflicht vermieden wird. Eine Verletzung der sich aus Art. 30 DSGVO ergebenden Pflichten kann dabei nach Art. 83 Abs. 4 lit. a DSGVO mit einem Bußgeld von bis zu 10 Millionen Euro oder bei Unternehmen mit bis zu 2 % des Jahresumsatzes sanktioniert werden.

Google ändert Nutzungsbedingungen sowie Datenschutzerklärung

18. Dezember 2018

Am 22. Januar 2019 treten aktualisierte Nutzungsbedingungen sowie eine mit Änderungen versehene Datenschutzerklärung bei Google in Kraft. Die bedeutsamste und rechtlich weitreichendste Änderung ist der Wechsel des Verantwortlichen. Momentan werden die Dienste von Google LLC in den USA angeboten. Dies ändert sich nunmehr bald. Künftig werden alle Dienste in der europäischen Union sowie in der Schweiz  von der Google Ireland Limited angeboten. Damit wird das europäische Unternehmen der neue Verantwortliche, der sich um die datenschutzrechtliche Belange der Betroffenen kümmern muss.

Den Wechsel begründet Google mit der einfacheren Umsetzbarkeit der DSGVO. Somit wird auch die “One Stop Shop“-Regelung der EU eingehalten, dass es nur einen einzigen Ansprechpartner für Nutzer und Unternehmen geben soll.

Wichtig ist nun für alle Websitebetreiber, die in ihrer Datenschutzerklärung Google LLC als Verantwortlichen beispielsweise bei Google Analytics genannt haben, dies entsprechend zu ändern. Die Einstellungen und Dienste von Google erhalten keine Änderungen.

Bundesdatenschutzbeauftragte zieht nach einem halben Jahr DSGVO Bilanz

17. Dezember 2018

“Bedenkt man unsere eingeschränkte Zuständigkeit, sind beachtliche Zahlen an Eingaben und Beschwerden zu Datenschutzverstößen im ersten Halbjahr eingegangen”, sagte die Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI), Andrea Voßhoff (CDU).

Seit dem 25. Mai 2018 wurden bundesweit bis Anfang September 11.000 Beschwerden gezählt, davon 6.100 Datenschutzverstöße. Im Vergleich dazu waren es EU-weit (lediglich) 55.000 Beschwerden und knapp 18.900 Meldungen von Datenschutzverletzungen.

Bis Ende Oktober sind laut Voßhoff in dem von ihr geführten Haus rund 3.700 Eingaben eingegangen – sowohl allgemeine, als auch Beschwerden über Verletzungen des Datenschutzes sowie 4.667 Meldungen mit Datenschutzverstößen.

Ob diese Zahlen nun das steigende Bewusstsein der Bürger in Punkto Datenschutz widerspiegeln oder lediglich die Aktivitäten von Abmahnanwälten offenlegen, bleibt unbeantwortet.

Pflichten aus der DSGVO – Meldung der Kontaktdaten des Datenschutzbeauftragten

13. Dezember 2018

Die Datenschutzgrundverordnung (DSGVO) hat viele Veränderungen mit sich gebracht. Eine der neuen Pflichten, die sich aus der DSGVO ergeben, ist die Meldung der Kontaktdaten des Datenschutzbeauftragten eines Unternehmens an die Aufsichtsbehörden.
In Deutschland haben sich die Aufsichtsbehörden gegen eine bundesweite Lösung entschieden und je nach Bundesland eine individuelle Lösung entwickelt um die Umsetzung der Meldepflicht sicherstellen zu können.

Die Bundesländer Nordrhein-Westfalen und Bayern haben eigens für die Meldepflicht ein Portal online gestellt auf dem sich Unternehmen einen Nutzeraccount erstellen können. Um bei der Registrierung eine sichere Übermittlungsmethode der Zugangsdaten gewährleisten zu können, wird nach erfolgter Registrierung ein Aktivierungslink an die angegebene E-Mail-Adresse gesendet. Erst nach Aktivierung dieses Links ist der Registrierungsprozess beendet und das Nutzerkonto kann verwendet werden. Die eigentliche Meldung erfolgt durch ein Formular, auf welches man nach dem Login Zugriff hat. Nach erfolgreicher Meldung wird eine Kopie des Formulars als Bestätigung an die angegebene E-Mail-Adresse geschickt.

Andere Bundesländer wie Baden-Württemberg oder Hamburg haben Formulare für die Meldepflicht frei zugänglich auf ihren Webseiten positioniert. Die Übermittlung des ausgefüllten Formulars erfolgt hierbei direkt oder via E-Mail.

Die von den Aufsichtsbehörden abgefragten Daten, über das Unternehmen sowie den Datenschutzbeauftragten, variieren von Bundesland zu Bundesland stark. Grundsätzlich haben die Aufsichtsbehörden versucht sicherzustellen, dass dem Datenminimierungsprinzip Sorge getragen wird. Viele Formulare beinhalten daher Kennzeichnungen der Pflichtangaben. Diese umfassen zumeist die Kontaktdaten des Unternehmens sowie des Datenschutzbeauftragten aber auch die Kontaktdaten des Meldenden.

Einige Aufsichtsbehörden haben Fristen erlassen um den Unternehmen genügend Zeit zu bieten der Meldepflicht nachzukommen. Die Frist der Aufsichtsbehörde NRW und somit die letzte aktuell laufende Frist endet am 31.Dezember 2018. Bis dahin werden fehlende Meldungen nicht durch die Aufsichtsbehörde geahndet.

Die DSGVO hat ebenfalls einige Privilegien hervor gebracht. Darunter auch das Privileg des Konzerndatenschutzbeauftragten. Die Pflicht zur Meldung der Kontaktdaten des Datenschutzbeauftragten kann diesem Privileg nicht untergeordnet werden. Das hat die Auswirkung, dass jede Gesellschaft bzw. jedes verbundene Unternehmen eines Konzerns die Kontaktdaten des Datenschutzbeauftragten melden muss, auch dann wenn ein und der selbe Datenschutzbeauftragte für alle Gesellschaften des Konzerns bestellt wurde.

Meldungen die formlos via E-Mail erfolgt sind, werden von den Aufsichtsbehörden nicht berücksichtigt.

Datenschutz-Eklat in der Dorfmetzgerei

“Guten Tag Frau …”, so begrüßte eine Metzgerei-Verkäuferin eine Kundin und wurde erst einmal zurechtgewiesen. Sie möchte nicht das ihr Name öffentlich genannt wird. Außerdem verstoße dies nach ihrer Ansicht gegen die DSGVO. Stimmt das denn wirklich?

Dazu müsste zunächst der sachliche Anwendungsbereich gemäß Art. 2 Abs. 1 DSGVO eröffnet sein. Dieser ist eröffnet, sobald eine ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten oder eine nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, vorliegt. Eine automatisierte Verarbeitung liegt bei einer persönlichen Ansprache einer Kundin nicht vor.

Fraglich ist, ob eine nichtautomatisierte Verarbeitung personenbezogener Daten vorliegt, die dateibezogen erfolgt. Nach dem Erwägungsgrund 15 Satz 3 der DSGVO kommt es bei “Dateibezug” auf die Ordnung nach bestimmten Kriterien an. Ein Dateibezug liegt dagegen nicht vor, wenn der Datenbestand keinen allgemeinen Ordnungskriterien folgt. Es ist nicht davon auszugehen, dass die Namen der Kunden in einem Aktenbestand oder in einer sonstigen Aktenführung geordnet werden. Die Metzgerin hat wohl vielmehr den Namen gemerkt. Dies stellt jedoch keine Verarbeitung dar. Aus diesem Grund ist der sachliche Anwendungsbereich der DSGVO nicht eröffnet.

Wenn jemand eine Metzgerei betritt, möchte derjenige wohl im Zweifel einen Kaufvertrag abschließen. Die persönliche Ansprache ist Teil der vorvertraglichen Vertragsverhandlungen und stellt keine Datenverarbeitung dar.

Neues DSGVO-Umsetzungsgesetz in Spanien – Meldepflicht auch in Ihrem Konzern?

12. Dezember 2018

Am 6. Dezember 2018 wurde ein neues spanisches Datenschutzgesetz veröffentlicht. Das “Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales” (Gesetz zum Datenschutz und zur Gewährleistung digitaler Rechte) wurde mit 93% parlamentarischer Unterstützung verabschiedet und setzt die Datenschutz-Grundverordnung (DSGVO) in nationales spanisches Recht um.

Das Gesetz enthält eine Reihe von Vorschriften, welche die Datenverarbeitung im Betrieb betreffen. So reicht beispielsweise die Zustimmung einer betroffenen Person nicht aus, um die Verarbeitung besonderer Datenkategorien zu legitimieren, wenn der Hauptzweck z.B. darin besteht, die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit oder genetische Daten einer Person zu ermitteln.

Das Gesetz enthält auch eine Liste von Fällen, in denen Unternehmen einen Datenschutzbeauftragten benennen müssen, z.B. Unternehmen, die Netzwerke betreiben und elektronische Kommunikationsdienste erbringen, Bildungszentren sowie öffentliche und private Universitäten.

Bitte beachten Sie:

Alle Unternehmen haben bis zu 10 Tage nach (obligatorischer oder freiwilliger) Ernennung eines Datenschutzbeauftragten Zeit, um die spanische Datenschutz-Aufsichtsbehörde über die Person des Datenschutzbeauftragten sowie dessen Erreichbarkeit zu informieren. Konzerne mit in Spanien niedergelassenen Unternehmen sollten diese kurzfristige Meldepflicht berücksichtigen.
Für bereits bestehende Ernennungen des Beauftragten dürfte die 10-tägige Frist seit Veröffentlichung des Gesetzes am 6. Dezember laufen.

Eine der größten inhaltlichen Neuerungen ist wohl die Einführung neuer digitaler Rechte wie das Recht auf universellen Zugang zum Internet, das Recht auf digitale Bildung, das Recht auf Privatsphäre und Nutzung digitaler Geräte am Arbeitsplatz, das Recht auf Privatsphäre vor Videoüberwachungsgeräten und Tonaufnahmen am Arbeitsplatz sowie Regelungen zum digitalen Nachlass (“derecho al testamento digital”).

Weihnachtskarten in Zeiten der DSGVO

5. Dezember 2018

Da viele Unternehmen seit Inkrafttreten der DSGVO unsicher im Umgang mit Daten sind, stellt sich die Frage, ob auch in diesem Jahr traditionell Weihnachtskarten verschickt werden dürfen, um sich bei Kunden und Geschäftspartnern für die Zusammenarbeit im vergangenen Jahr zu bedanken.

Als Rechtsgrundlage für diese Art der Datenverarbeitung kommen entweder eine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO oder ein berechtigte Interesse des Unternehmens gemäß Art. 6 Abs. 1 lit. f DSGVO in Betracht. Den sichersten Weg stellt regelmäßig die ausdrückliche Einwilligung der Empfänger dar. Jedoch erscheint dies kaum praktikabel, da hierdurch die Geste der kleinen Aufmerksamkeit durch den Verwaltungsaufwand verdrängt werden könnte.

Somit kommt der Auffangtatbestand des berechtigten Interesses zum Tragen, wonach die Datenverarbeitung rechtmäßig ist, wenn sie zur Wahrung von überwiegenden berechtigten Interessen erforderlich ist.
Von einem solchen berechtigten Interesse ist insbesondere dann auszugehen, wenn es sich um Bestandskunden handelt oder um andere Geschäftskontakte, die vernünftigerweise damit rechnen können, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird.
Neben Kunden müssen auch Personen, die ihre Adresse einem Unternehmen, zum Beispiel durch Übergabe ihrer Visitenkarte auf einer Messe, mitgeteilt haben, mit dem Erhalt einer Weihnachtskarte rechnen.

Darüber hinaus muss jeder Adressat über sein Widerspruchsrecht gemäß Art. 21 DSGVO aufgeklärt worden sein, z.B. im Rahmen von Datenschutzhinweisen, und darf der Datenverarbeitung nicht widersprochen haben.

Sofern die Karten bei Dritten unter Verwendung von Kontaktdaten gedruckt werden, sollte darauf geachtet werden, dass auch diese das Datenschutzrecht einhalten.

Neuer Bundesdatenschutzbeauftragter (BfDI) gewählt

30. November 2018

Neuer Bundesdatenschutzbeauftragter ist Ulrich Kelber, der seit dem Jahr 2000 für die Partei SPD im Bundestag vertreten ist. Mit seiner Wahl, bei der er 444 Stimmen der Abgeordneten bekam, folgt er auf Andrea Voßhoff.

Der neue Leiter der höchsten deutschen Datenschutzbehörde war unter anderem als parlamentarischer Staatssekretär für Verbraucherschutz, Mietrecht und Digitales zuständig. Kelber bringt darüber hinaus einschlägige Berufserfahrung als IT-Experte mit sich.

Interessanter Nebenaspekt ist dabei der in den einschlägigen Fachforen bereits diskutierte Auswahlprozess des neuen Bundesbeauftragten für Datenschutz. In ihrem Art. 53 bestimmt die Datenschutz-Grundverordnung (DSGVO) eigentlich folgendes:
“Die Mitgliedstaaten sehen vor, dass jedes Mitglied ihrer Aufsichtsbehörden im Wege eines transparenten Verfahrens ernannt wird (…).”

Die Wahl Kelbers dagegen verlief, wie bislang üblich, auf Vorschlag der Bundesregierung. Entsprechend gab es keine Ausschreibung, die womöglich die von der DSGVO intendierte Transparenz gefördert hätte. Ob und welche Auswirkungen dies haben könnte, ist dabei unklar.
Über die fachliche und persönliche Qualifikation des IT-erfahrenen Kelber sei damit selbstverständlich keine Aussage getroffen.

1 18 19 20 21 22 35