Kategorie: EU-Datenschutzgrundverordnung
26. Juli 2018
Es kann vorkommen, dass die Polizei mithilfe eines Auskunftsersuchens Unternehmen dazu auffordert, personenbezogene Daten ihrer Kunden, hinsichtlich der Ermittlung in einer bestimmten Strafsache, preiszugeben.
Die Übermittlung von personenbezogenen Daten an die Polizei stellt eine Verarbeitung von personenbezogenen Daten dar, die einer Rechtsgrundlage bedarf. Rechtsgrundlage für eine Auskunft an die Polizei kann § 24 Abs. 1 Nr. 1 BDSG-neu sein. Hiernach können Daten u.a. übermittelt werden, wenn sie zur Verfolgung von Straftaten erforderlich sind und die Interessen des Betroffenen an dem Ausschluss der Übermittlung nicht überwiegen.
Eine Übermittlung ist danach nur zulässig bei Straftaten, nicht bei Ordnungswidrigkeiten. Daneben muss überprüft werden, ob die Übermittlung erforderlich ist. Zudem hat eine Interessenabwägung zu erfolgen. Die Interessenabwägung wird in der Regel ergeben, dass eine Übermittlung zulässig ist, da das Interesse nicht darauf gestützt werden kann, dass der Betroffene ein Interesse daran hat, nicht der Strafverfolgung ausgesetzt zu sein.
Daneben kann sich eine Auskunftspflicht auch aus Spezialgesetzen ergeben, bspw. aus §§ 98a StPO ff. oder § 32 BMG.
Ebenfalls zu berücksichtigen ist, dass bestimmte Berufsgruppen und Geheimnisträger ein Zeugnisverweigerungsrecht haben, weil sie gemäß § 203 StGB der Schweigepflicht unterliegen.
Bevor einem Ermittlungsersuchen Folge geleistet wird, sollte immer eine sorgfältige Prüfung erfolgen, ob die Datenübermittlung rechtmäßig ist. Andernfalls besteht die Möglichkeit, sich Schadenersatzanforderungen der Betroffenen oder Bußgeldern der Aufsichtsbehörden auszusetzen.
Darüber hinaus ist auch immer zu prüfen, ob durch die Übermittlung der Daten die Informationspflichten gemäß Artt. 13, 14 DSGVO ausgelöst werden oder einer der Ausnahmetatbestände des §§ 32, 33 BDSG-neu greift.
25. Juli 2018
Von der Datenschutzgrundverordnung (DSGVO) sind nicht nur Unternehmen im EU-Raum betroffen, sondern auch solche, die sich in Drittländern befinden.
Grundsätzlich wird in der DSGVO der einheitliche Schutz für den Umgang mit personenbezogenen Daten in der Europäischen Union geregelt. Jedes Unternehmen, das personenbezogene Daten von EU-Bürgern verarbeitet, muss sich an die Regelungen der DSGVO halten. Hat ein Unternehmen den Sitz außerhalb der EU (aus Datenschutzsicht sogenannte Drittländer), gilt die DSGVO gleichermaßen, sobald diese Unternehmen Daten von Bürgern der EU-Mitgliedsstaaten verarbeiten oder als Auftragsverarbeiter in Vertragsbeziehungen zu EU-Unternehmen stehen.
Neu im Vergleich zur bisherigen Rechtslage ist das sogenannte Marktortprinzip im Rahmen des territorialen Anwendungsbereichs der DSGVO. Art. 3 Abs. 2 DSGVO (räumlicher Anwendungsbereich) besagt, dass die Verordnung Anwendung findet, sobald ein nicht in der Union niedergelassener Verantwortlicher oder Auftragsverarbeiter Daten von Personen verarbeitet, die sich in der EU befinden.
Das bedeutet, dass unter anderem Betreiber von Online-Portalen, Exporteure, Versandhändler sowie jegliche Dienstleister, die Leistungen in der EU anbieten und dabei personenbezogene Daten verarbeiten, betroffen sind. Das Marktortprinzip gilt demnach auch für Unternehmen, die weder einen Sitz noch eine Niederlassung in der EU haben, jedoch Personen in der EU entgeltlich oder unentgeltlich Waren oder Dienstleistungen anbieten oder deren Verhalten beobachten (Profiling, Tracking).
23. Juli 2018
Der Deutsche Anwaltverein (DAV) hat durch den Ausschuss Informationsrecht eine Stellungnahme zum Referentenentwurf eines Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Datenschutzgrundverordnung (DSGVO) und zur Umsetzung der Richtlinie EU 2016/680 veröffentlicht. In seiner Stellungnahme Nr. 34/18 begrüßt der DAV die geplante Anpassung bereichsspezifischer Datenschutznormen an die Andorderungen der DSGVO. Die Stellungnahme beschränkt sich thematisch auf die nachfolgenden Teilbereiche.
Zunächst geht die Stellungnahme auf eine Änderung des § 22 Abs. 1 Nr. 2 BDSG ein. Der Referentenentwurf sieht eine Anpassung dahingehend vor, dass auch private Einrichtungen besondere Kategorien personenbezogener Daten verarbeiten dürfen, wenn dies aus Gründen eines erheblichen öffentlichen Interesses zwingend erforderlich ist und soweit die Interessen der Verantwortlichen an der Datenverarbeitung die Interessen der betroffenen Personen überwiegen. Bislang stand dies lediglich öffentlichen Stellen zu. Hierbei mahnt der DAV die weiten Formulierungen an und fordert insbesondere Beschränkungen im Bereich der Datenweitergabe im Bereich konkret drohender Gefahren für Leben und Gesundheit, um die Ziele der Präventions- und Deradikalisierungsprogammen nicht zu gefährden.
Zudem mahnt der DAV die Begrifflichkeit des automatisierten Abrufverfahrens an, da derartige Regelungen, die an den § 10 BGDN a.F. aus dem Jahr 1990 anknüpfen, durch die Regelungssystematik der DSGVO sowie durch die technische Entwicklung überholt sein dürften. Dem enstprechend sei der Gesetzgeber angehalten, den Gesetzestext zu korrigieren, sowie an die heutige Situaton anzupassen.
Darüber hinaus geht die Stellungnahme auf weitere Punkte ein, in denen das Anpassungegesetz keine Änderungen vorsieht. Hierbei empfielt der DAV dem Gesetzgeber insbesondere die Schaffung einer allgemeinen Regelung zum Interessenausgleich zwischen Datenschutz-, Äußerungs- und Öffentlichkeitsinteressen. Hierbei solle der Gesetzgeber die in Art. 85 DSGVO normierte Öffnungsklausel für ein “Medienprivileg” vollständig ausnutzen. Derzeit beschränke sich dieses Privileg vornehmlich auf professionelle Medien, während weitere Personengruppen, wie beispielsweise Blogger, Youtuber und Künstler, ausgenommen seien.
Zuletzt empfiehlt der DAV eine Anpssung des Telemediengesetz (TMG) an die Anforderungen der DSGVO. Ein Abwarten bis zum Inkraftreten der ePrivacy-Verordnung sei angesichts der bestehenden Unsicherheit und des unbestimmten Wirksamwerdens unangemessen.
16. Juli 2018
Die Mitglieder der gesetzlichen Krankenversicherungen sollen zukünftig über ihr Smartphone oder Tablet auf ihre Patientendaten zugreifen können.
Der Gesundheitsminister Jens Spahn beabsichtigt bereits ab 2021 diese neue Zugriffsmöglichkeit einzuführen.
Laut FAZ will der Gesundheitsminister noch im Juli die erforderlichen Vorgaben gegenüber den betroffenen gesetzlichen Krankenversicherungen tätigen.
Das Ziel der neuen Zugriffsmöglichkeit soll darin bestehen für die Versicherten die Nutzungsfreundlichkeit zu erhöhen und eine weitere Zugriffsoption zu schaffen.
Mit Einführung der neuen Option soll speziell die Digitalisierung vorangetrieben werden.
Die Zugriffsmöglichkeit auf Patientendaten über das Smartphone oder Tablet bedeutet jedoch laut dem Gesundheitsminister nicht die letzte Erweiterung in diesem Bereich. Daneben sollen im Rahmen der elektronischen Patientenakte auch die bisherigen Zugänge und Authentifizierungsverfahren erweitert werden. Im Gespräch ist ein vergleichbarer Zugang wie beim Online-Banking über die Verwendung von TAN und PIN.
Immer mehr Hersteller bieten Haushaltsgeräte wie die elektrische Zahnbürste, Kühlschränke oder Staubsaugerroboter mit der Funktion, dass sich die Geräte mit dem WLAN verbinden, an. Vielen Nutzern ist nicht bewusst, dass diese Geräte ihr Verhalten „tracken“, dh. erheben, auswerten und an ihren Hersteller weiterleiten. So meldet die elektrische Zahnbürste wie lange und wie häufig sie in Gebrauch ist. In Kühlschränken werden Kameras installiert, die dokumentieren, welche Lebensmittel wie häufig gekauft werden und der Staubsaugerroboter kann Auskunft über die Dauer und Häufigkeit seiner Nutzung und teilweise über die Größe oder sogar Zuschnitt der Wohnung geben. Diese Daten benutzen die Hersteller vor allem für Marketingzwecke, um ihr Angebot an das Verhalten ihrer Kunden anzupassen.
Dieses Tracking ist datenschutzrechtlich mehr als bedenklich. Nach der DSGVO spricht einiges dafür, dass diese Datenverarbeitung nicht datenschutzkonform ist.
Zunächst könnte das heimliche und uferlose Tracking könnte gegen das Transparenzgebot aus Art. 5 Abs. 1 lit. a DSGVO verstoßen. Beim Kauf eines internetfähigen Haushaltsgeräts ist es für den Kunden nicht ersichtlich, ob und welche seiner Verhaltensdaten übermittelt werden. Als Teil der Informationspflichten, muss der Betroffene über die Datenverarbeitung in Kenntnis gesetzt werde.
Gegen die Rechtmäßigkeit dieser Datenverarbeitung und Übermittlung spricht außerdem, dass sie auf keine Rechtsgrundlage gestützt werden kann. Art. 6 Abs. 1 lit. a) DSGVO scheidet aus, weil keine vorherige Einwilligung beim Nutzer eingeholt wird.
Art. 6 Abs. 1 lit. b) DSGVO erlaubt eine Verarbeitung, wenn dies für die Erfüllung des Vertrages notwendig ist. Der Kaufvertrag braucht aber gerade keine solches Tracking um erfüllt zu werden. Insbesondere können alle Geräte für ihren bestimmungemäßen Gebrauch ohne diese Datenverarbeitung genutzt werde.
Nach Art. 6 Abs. 1 lit. f) DSGVO ist eine Verarbeitung erlaubt, wenn der Hersteller ein berechtigtes Interesse an der Erhebung und Auswertung der Kundendaten hat. Dieses Interesse ist als berechtig einzustufen, wenn die schutzwürdigen Interessen des Kunden an seiner Privatsphäre nicht überwiegen. Beim Gebrauch von Haushaltsgeräten zum Staubsaugen, Aufbewahren und Kühlen von Lebensmitteln und Zähneputzen ist die Privatsphäre des Nutzers aber gerade höher zu bewerten, als die wirtschaftlichen Interessen der Hersteller und damit schutzwürdig.
Abgesehen von der mangelnden Rechtsgrundlage, könnte das Tracking gegen das Kopplungsverbot aus Art. 7 Abs. 4 DSGVO verstoßen. Danach ist es verboten einen Vertragsabschluss von der Einwilligung in eine nicht für die Erfüllung notwendige Datenverarbeitung abhängig zu machen. In diesen Fällen ist die Einwilligung nicht mehr freiwillig erteilt worden und damit ungültig. Darüber hinaus trifft die Hersteller nach Art. 25 DSGVO die Pflicht datenschutzfreundliche Voreinstellungen bei Geräten zu treffen. Der Verstoß ist auch bußgeldbewehrt nach Art. 83 Abs. 4 lit. a) DSGVO.
Es lässt sich festhalten, dass das Tracking bei der Nutzung von internetfähigen Haushaltsgeräten nach der DSGVO problematisch ist. Es kann unter Umständen auf keine Rechtsgrundlage gestützt werden, verstößt gegen Datenschutzgrundsätze und ist bußgeldbewehrt.
12. Juli 2018
In vielen Unternehmen werden unterschiedliche Formen im Umgang mit Smartphones praktiziert. Teilweise werden private Handys zu dienstlichen Zwecken verwendet oder dienstliche Handys auch privat genutzt. Aus datenschutzrechtlicher Sicht besteht insbesondere aufgrund verschiedener Messenger-Dienste, wie beispielsweise WhatsApp, ein Datenschutz-Problem.
Dennoch ist die Mischnutzung der Smartphones zu dienstlichen und privaten Zwecken bei vielen Unternehmen heute nicht mehr wegzudenken. Auch auf die Nutzung von Messenger-Diensten, insbesondere im privaten Bereich will keiner mehr verzichten.
Mit dem Herunterladen der App wird dem Messenger-Dienst ein Zugriff auf die im Handy gespeicherten Kontakte eingeräumt. Datenschutzrechtlich stellt das eine Übermittlung von personenbezogenen Daten dar, die einer Ermächtigungsgrundlage bedarf. In der Regel wird eine solche nicht vorliegen, da davon auszugehen ist, dass für die Übermittlung keine Einwilligung eingeholt wurde, kein Vertragsverhältnis und auch kein berechtigtes Interesse besteht. Damit ist die Übermittlung der personenbezogenen Daten rechtswidrig.
Für eine datenschutzkonforme Lösung dieses Problems sind folgende Lösungen denkbar:
• Die Trennung von Diensthandy und Privathandy. Das bedeutet, die Diensthandys dürfen ausschließlich dienstlich genutzt werden. Messenger-Dienste, die einen Zugriff auf die Kontaktdaten erhalten, dürfen auf diesen Diensthandys nicht installiert werden.
• Die Einholung von Einwilligungen der gespeicherten dienstlichen Kontaktpartner.
• Ein zentraler Verzeichnisdienst, durch den keine dienstlichen Kontakte auf den Smartphones mehr gespeichert werden, sondern der Mitarbeiter die Möglichkeit erhält, mithilfe einer App auf ein zentrales Verzeichnis zuzugreifen, in dem die dienstlichen Kontakte zentral verwaltet werden.
• Eine Containerlösung, durch die auf dem Smartphone ein abgegrenzter Bereich geschaffen wird, der nicht mit dem privat genutzten Bereich kommuniziert und keinerlei Daten mit diesem austauscht.
Um einen Messenger-Dienst dienstlich zu nutzen, verbleibt bisher als datenschutzkonforme Lösung aber einzig die Einholung von Einwilligungen. Die beiden letztgenannten Alternativen bieten ausschließlich eine Lösung dafür, Messenger-Dienste, auf einem auch zu dienstlichen Zwecken genutzten Handy, privat nutzen zu können.
11. Juli 2018
Die Regelungen der EU-Datenschutzgrundverordnung (DSGVO) gelten auch für Unternehmen außerhalb der Europäischen Union, wenn sie Daten von EU-Bürgern verarbeiten. Statt die 99 Artikel der DSGVO umzusetzen, haben einige US-Medien schlicht ihre Online-Präsenz für europäische Bürger gesperrt. So sind für Besucher mit europäischen IP-Adressen die Nachrichtenseiten der Baltimore Sun, Chicago Tribune, Los Angeles Times, New York Daily News und San Diego Union-Tribune geblockt. Alle genannten Seiten gehören zum Verleger Tronc, welcher bei einem Zugriff aus Europa verlautbaren lässt, man suche nach Möglichkeiten, die digitalen Angebote auf dem europäischen Raum anzubieten. Die Washington Post hat anlässlich der DSGVO ihr Geschäftsmodell erweitert und bietet eine “Premium EU Ad-Free Subscription” ohne Werbung und Third-Party-Cookies für Europäer an.
Die wirtschaftlichen Folgen mögen für genannten US-Journalismus gering sein, da sich wohl nur wenige Europäer für Lokalnachrichten aus den USA interessieren. Kleinere Firmen, Start-Ups oder Vereine aus dem EU-Ausland ringen aber mit der DSGVO. Bevor Bußgelder oder Abmahnungen zu befürchten sind, blocken einige Verantwortliche während der Arbeit an den DSGVO-Vorgaben ihre Internetseiten für Europäer.
Die DSGVO gilt unmittelbar, sobald personenbezogene Daten von EU-Bürgern verarbeitet werden. Ob Großkonzern oder Start-Up, die datenschutzrechtlichen Pflichten unterscheiden sich grundsätzlich nicht. Lediglich in Erwägungsgrund 13 der Verordnung werden kleine und mittlere Unternehmen (KMU) ausdrücklich erwähnt. So kann es Entlastungen hinsichtlich Verzeichnissen von Verarbeitungstätigkeiten für Unternehmen mit weniger als 250 Mitarbeitern geben. Doch selbst diese Entlastung birgt gewisse Rechtsrisiken, sodass in der Regel dieser Dokumentationspflicht zu genügen ist. Zusätzlich ruft Artikel 40 DSGVO Verbände und Behörden dazu auf, Verhaltensregeln mit Berücksichtung der Bedürfnisse von KMU anzufertigen. Das Bayerische Landesamt für Datenschutzaufsicht hat für KMU einen Fragebogen und Handreichungen veröffentlicht.
Es bleibt abzuwarten, welche Reaktionen die DSGVO noch auf im EU-Ausland ansässige Anbieter mit Datenverarbeitung von EU-Bürgern haben wird. Journalismus mit globaler Berichterstattung und europäischer Leserschaft wird jedenfalls kaum den Weg einiger US-Medien wählen können und wollen, die Internetpräsenz für Europäer zu sperren.
9. Juli 2018
Ab dem 09.07.18 bietet das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) in Ansbach eine Telefonhotline für Fragen zur neuen Datenschutzgrundverordnung an. Die Hotline soll Vereine und Ehrenamtliche bei der Umsetzung der Datenschutzgrundverordnung (DSGVO) unterstützen und somit Sanktionen vermeiden. Können einzelne Fragen über das Telefon nicht beantwortet werden, gibt es zusätzlich auch einen E-Mail-Kontakt. Außerdem will die Datenschutzbehörde die meist gestellten Fragen inklusive Antworten auf ihrer Homepage veröffentlichen.
In der Zeit von Montag bis Freitag, von 08.00 bis 19.00 Uhr, sind fachkundige Mitarbeiter des Landesamts unter der Telefonnummer 0981/531810 erreichbar.
Hintergrund für die Einrichtung der Hotline ist, dass viele Vereine und ehrenamtlich Tätige wegen des neuen europäischen Datenschutzrechts stark verunsichert sind. Zuletzt wurden in Bayern sogar pauschale Fotografier-Verbote für Veranstaltungen von Schulen und Kinderkrippen ausgesprochen. Dabei sind Fotografien für den Privatgebrauch von der DSGVO überhaupt nicht betroffen. Insbesondere wegen der hohen angedrohten Strafen, wollen sich jedoch viele unbedingt absichern.
Thomas Kranig, der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht, erklärt: „Unser Ziel ist nach wie vor, diejenigen, die sich um die Einhaltung datenschutzrechtlicher Vorschriften bemühen, dabei zu unterstützen und nicht zu sanktionieren. Nur wer sich um den Datenschutz überhaupt nicht kümmert, muss auch mit Sanktionen rechnen.“
6. Juli 2018
Forscher haben eine künstliche Intelligenz (KI) entwickelt, die die Umsetzung der DSGVO für die EU erleichtern soll. Die KI mit dem Namen Claudette entdeckt Verstöße gegen die DSGVO.
Für die Aufsichtsbehörden ist die Prüfung der Unternehmen hinsichtlich des eingehaltenen Datenschutzes mit einem enormen personellen und zeitintensiven Aufwand verbunden. Aus diesem Grund ist die KI Claudette eine enorme Unterstützung für die überforderten Aufsichtsbehörden.
Bei einem Testlauf durch die KI kamen bei 14 Technologiekonzernen eklatante Mängel im Datenschutz zum Vorschein.
In einer laut Bloomberg Technology durchgeführten Studie, die die KI auch bei Großkonzernen wie Facebook und Google eingesetzt haben, hat sich herausgestellt, dass rund ein Drittel der Policen potentiell problematisch seien oder unzureichende Informationen enthielten.
Auffällig war, dass die Information über die Übermittlung der Daten an Dritte in den meisten Fällen fehlte.
Um Datenschutzverstöße zu identifizieren, nutzt die KI Claudette eine Form von “Machine Learning”, das sogenannte “Natural Language Processing”. Dabei vergleicht sie die untersuchten Datenschutzbedingungen mit den Modelklauseln der DSGVO.
Ob Claudette in Zukunft großflächig zum Einsatz kommt, ist bisher nicht bekannt.
Seit Ende Juni werden branchenübergreifend 20 große sowie 30 mittelgroße Unternehmen durch die Landesbeauftragte für den Datenschutz Niedersachsen (LfD) hinsichtlich der Umsetzung der DSGVO überprüft.
Hierzu wurden den insgesamt 50 Unternehmen Fragebögen übermittelt, um den aktuellen Umsetzungsstand zu ermitteln. Hierdurch möchte sich die Aufsichtsbehörde einen Überblick darüber verschaffen, wie die Gesellschaften die zweijährige Übergangszeit bis zur Geltung der DSGVO am 25. Mai genutzt haben. Das primäre Ziel der Überprüfung liegt nach Aussage der LfD in der Stärkung des Bewusstseins sowie der Sensibilisierung für den Datenschutz. Die Verhängung etwaiger Bußgelder ist darüber hinaus möglich, sofern im Rahmen der Prüfung erhebliche Verstöße gegen die DSGVO festegstellt werden sollten.
Die versendeten Fragebögen gehen speziell auf die Punkte ein, die ein Datenschutzmanagementsystem nach der DSGVO enthalten muss. Hierzu werden die Vorbereitung auf die DSGVO, das Verzeichnis von Verarbeitungstätigkeiten, die Rechtsgrundlagen der Verarbeitung personenbezogener Daten, die Sicherstellung der Betroffenenrechte, die Gewährleistung der technisch und organisatorischen Maßnahmen, die Durchführung von Datenschutz-Folgeabschätzungen, der Abschluss notwendiger Auftragsverarbeitungsverträge, die Einbindung des Datenschutzbeauftragten in die Unternehmensorganisation, die Prozesse zur Meldung von Datenschutzvorfällen sowie die Dokumentation über die Einhaltung der notwendigen Umsetzungen genauer geprüft.
Durch die Prüfung erhofft sich die Aufsichtsbehörde weitergehende Erkenntnisse darüber, in welchen Bereichen erweiterter Beratungs- und Aufklärungsbedarf besteht. Mit Hilfe dieser Erkenntnisse können sodann etwaige neue Orientierungshilfen erarbeitet werden.
Pages: 1 2 ... 22 23 24 25 26 ... 34 35 
