Kategorie: EU-Datenschutzgrundverordnung

Themenreihe DSGVO: Die Betroffenenrechte nach der DSGVO (Teil 2)

30. Juni 2017

In der letzten Woche wurden das Transparenzgebot, die Informationspflicht des Verantwortlichen, das Auskunftsrecht des Betroffenen und das Recht auf Berichtigung behandelt. Hier kommen Sie zum Teil 1, falls Sie diesen vorweg lesen möchten.

Im Folgenden sollen das Recht auf Löschung, das Recht auf Einschränkung der Bearbeitung, die Mitteilungspflicht des Verantwortlichen und das Recht auf Datenübertragung im Überblick erläutert werden.

5. Recht auf Löschung, Art. 17 DSGVO

Das „Recht auf Vergessenwerden“ hat seit der Entscheidung des EuGH vom 13. Mai 2014 (EuGH C‑131/12) an Bedeutung gewonnen. Diesem Umstand trägt die Kodifizierung des Rechts auf Löschung aus Art. 17 DSGVO Rechnung, dessen zweiter Absatz das „Recht auf Vergessenwerden“ gesetzlich festschreibt. In dem Urteil des EuGH klagte der Spanier Costeja González gegen Google auf Löschung von ihn betreffenden Suchmaschinenergebnissen, die einen bereits abgeschlossenen in der Vergangenheit liegenden Sachverhalt anzeigten, wenn nach seinem Namen gesucht wurde. Google hatte sich damals geweigert die Suchergebnisse zu löschen. Der EuGH entschied zugunsten des Klägers. Er begründete die Entscheidung damit, dass die Suchergebnisse in Anbetracht der Grundrechte aus den Art. 7 und 8 der Charta zu löschen sind, wenn das Interesse der betroffenen Person an der Löschung, dem Interesse der breiten Öffentlichkeit am Zugang zu der Information oder auch dem wirtschaftlichen Interesse des Suchmaschinenbetreibers überwiegt.

Nach Inkrafttreten des DSGVO wird der Betroffene unter den Voraussetzungen des Art. 17 Abs. 1 DSGVO die Löschung seiner personenbezogenen Daten verlangen können.

Voraussetzungen der Löschung

Gemäß Art. 17 Abs. 1 DSGVO sind unter folgenden Voraussetzungen personenbezogene Daten unverzüglich zu löschen:

  • Die personenbezogenen Daten sind für den Zweck, für den sie erhoben wurden, nicht mehr nötig.
  • der Betroffene widerruft seine Einwilligung und es fehlt an einer anderweitigen Rechtgrundlage.
  • Der Betroffene legt Widerspruch ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor.
  • Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
  • Die Löschung der personenbezogenen Daten ist erforderlich zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten.
  • Die personenbezogenen Daten eines Kindes wurden in Bezug auf angebotene Dienste der Informationsgesellschaft erhoben. Art. 8 DSGVO ist dabei zu beachten

Wie bereits oben erwähnt, findet das „Recht auf Vergessenwerden“ seine Normierung in Art. 17 Abs. 2 DSGVO. Demnach hat der Verantwortliche, der die personenbezogenen Daten öffentlich gemacht hat und gemäß Absatz 1 zu deren Löschung verpflichtet ist, unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten, angemessene Maßnahmen, auch technischer Art, zu treffen, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass ein Betroffener von ihnen die Löschung aller Links zu den ihn betreffenden personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.

Art. 17 Abs. 3 DSGVO bildet einen Ausschlusstatbestand für die Abs. 1 und 2 und nennt entsprechende Fälle, die, liegen sie vor, einer Löschung der Daten entgegenstehen.

6. Recht auf Einschränkung der Verarbeitung, Art. 18 DSGVO

Das Recht auf Einschränkung der Verarbeitung stellt für den Betroffenen ein effizientes und im Verhältnis zu einer unverzüglichen Löschung der personenbezogenen Daten aus Sicht des Verantwortlichen für die Datenverarbeitung milderes Mittel dar. Ist z.B. die Rechtslage bezüglich eines Löschungsanspruchs noch nicht endgültig geklärt, kann der Betroffene durch die Einschränkung der Verarbeitung die Verarbeitung unterbinden, ohne zu sehr in die unter Umständen berechtigten Interessen des Verantwortlichen einzugreifen.

Die Voraussetzungen für eine Einschränkung der Verarbeitung finden sich in Art. 18 Abs. 1 DSGVO. Der Betroffene kann vom Verantwortlichen die Einschränkung der Verarbeitung seiner personenbezogenen Daten verlangen, wenn

  • der Betroffene die Richtigkeit der personenbezogenen Daten bestreitet,
  • die Verarbeitung unrechtmäßig ist und der Betroffene die Löschung der personenbezogenen Daten ablehnt, jedoch stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt
  • der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, der Betroffene die Daten jedoch für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt oder
  • der Betroffene Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.

Die Rechtsfolgen sind in Abs. 2 DSGVO geregelt. Ist die Verarbeitung personenbezogener Daten gem. Absatz 1 eingeschränkt, so dürfen diese Daten grundsätzlich – abgesehen von ihrer Speicherung – nicht mehr verarbeitet werden. Ausnahmen gelten für folgende Fälle:

  • der Betroffene willigt ein
  • die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
  • die Verarbeitung erfolgt zum Schutz der Rechte einer anderen natürlichen oder juristischen Person
  • aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats

Hat ein Betroffener dem Verantwortlichen gegenüber eine Einschränkung der Verarbeitung gem. Art. 18 Abs. 1 DSGVO erwirkt, so hat der Verantwortliche den Betroffenen zu unterrichten, bevor die Einschränkung aufgehoben wird (Vgl. Art. 18 Abs. 3 DSGVO).

7. Mitteilungspflicht, Art. 19 DSGVO

Liegen die Voraussetzungen von Art. 16 (Recht auf Berichtigung), 17 Abs. 1 (Recht auf Löschung) und Artikel 18 (Recht auf Einschränkung) DSGVO vor und hat der Verantwortliche die personenbezogenen Daten berichtigt, gelöscht oder die Datenverarbeitung dieser eingeschränkt, so hat er denjenigen Empfängern, denen er die personenbezogenen Daten offengelegt hat darüber zu informieren. Die Mitteilungspflicht ist jedoch ausgeschlossen, wenn sie sich für den Verantwortlichen als unmöglich darstellt oder mit einem unverhältnismäßigen Aufwand verbunden ist. Der Betroffene kann vom Verantwortlichen verlangen, dass er über die Empfänger unterrichtet wird.

8. Recht auf Datenübertragbarkeit, Art. 20 DSGVO

Das Recht auf Datenübertragung aus Art. 20 DSGVO soll dem Betroffenen ermöglichen seine Daten von einem Verantwortlichen zu einem anderen Verantwortlichen übertragen zu können. Dafür soll derjenige Verantwortliche, von dem der Betroffene die ihn betreffenden personenbezogene Daten herausverlangt, diese in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung zu stellen. Die so erhaltenen Daten darf der Betroffene, ohne Behinderung durch den herausgebenden Verantwortlichen an einen anderen Verantwortlichen übermitteln (Vgl. Art. 20 Abs. 1 DSGVO). Die Article 29 Working Party hat in ihrem Leitfaden zum Recht auf Datenübertragbarkeit (“Guidelines on the right to data portability”) beschrieben, wie eine solche Behinderung aussehen könnte. Diese könnte rechtlicher, technischer oder finanzieller Natur sein. Als Beispiele nannte sie unter anderem Gebühren für die Übermittlung der Daten, eine übermäßige Verspätung oder auch das zur Verfügung stellen der Daten in einem für andere nicht kompatiblen Formats.

Voraussetzung für das Recht auf Datenübertragbarkeit ist, dass die ursprüngliche Verarbeitung auf Grundlage einer Einwilligung oder eines Vertrags erfolgte und mithilfe automatisierter Verfahren erfolgte (Vgl. Art. 20 Abs. 1 lit. a und lit. b GDPR).

Liegen die Voraussetzungen vor, hat der Betroffene die Möglichkeit, in Ausübung seines Rechts aus Art. 20 Abs. 1 DSGVO, auch die direkte Übermittlung seiner personenbezogenen Daten von einem Verantwortlichen zu einem anderen Verantwortliche zu erwirken, soweit dies technisch machbar ist.

 

Das Thema der nächsten Woche ist der Datenschutz im Unternehmen

 

Themenreihe DSGVO: Die Betroffenenrechte nach der DSGVO (Teil 1)

23. Juni 2017

Mit der Einführung der DSGVO ändert sich die datenschutzrechtliche Landschaft nicht unerheblich. Die DSGVO räumt demjenigen, dessen personenbezogene Daten erhoben, verarbeitet oder genutzt werden (Betroffener) umfassende Rechte ein und stärkt damit seine Position gegenüber der datenverarbeitenden Stelle (Verantwortlicher). Damit erweitert die DSGVO das heutige Datenschutzniveau für Betroffene beträchtlich. Der Betroffene soll weitestgehend in die Lage versetzt werden, wissen zu können, wie mit seinen Daten umgegangen wird. Zukünftig werden sich unter anderem auch Unternehmen, wenn sie personenbezogene Daten erheben, verarbeiten oder nutzen, damit konfrontiert sehen, den Rechten des Betroffenen in DSGVO-konformer Weise Rechnung zu tragen.

Im Folgenden sollen Rechte des Betroffenen, welche in der DSGVO an verschiedenen Stellen kodifiziert werden, im Überblick dargestellt werden.

Im ersten Teil werden das Transparenzgebot, die Informations- und Auskunftspflicht des Verarbeiters sowie das Recht des Betroffenen auf Berichtigung unrichtiger personenbezogener Daten behandelt. Im zweiten Teil, der nächste Woche erscheinen wird, das Recht auf Löschung, das Recht auf Einschränkung der Verarbeitung, die Mitteilungspflicht des Verantwortlichen und das Recht auf Datenübertragbarkeit.

1. Transparenzgebot, Art. 12 DSGVO  

Das Transparenzgebot ist eines der zentralen Grundsätze für die Verarbeitung personenbezogener Daten, die in Art. 5 DSGVO genannt werden. Eine Konkretisierung erfährt dieser Grundsatz in Art. 12 DSGVO. Danach trifft der Verantwortliche für die Datenverarbeitung geeignete Maßnahmen, um der betroffenen Person alle Informationen und Mitteilungen, die sich auf die Verarbeitung der personenbezogenen Daten beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Zu beachten ist, dass dies insbesondere dann gilt, wenn sich die Informationen an Kinder richten. Die Information kann schriftlich, elektronisch und unter Umständen auch mündlich erfolgen, falls der Betroffene dies verlangt.

Die Informationspflicht und die Auskunftspflicht, die im Folgenden erläutert werden sollen, sind zwecknotwendige Voraussetzungen für das Transparenzgebot. Ohne diese hätte der Betroffene kaum Möglichkeiten Einsicht in die Verarbeitung seiner Daten zu nehmen.

2. Informationspflicht, Art. 13, 14 DSGVO

Die Informationspflichten des Verantwortlichen ergeben sich aus Art. 13 DSGVO und Art. 14 DSGVO. Die in der DSGVO beschriebenen Informationspflichten gehen deutlich über das hinaus, was in Deutschland bisher durch das BDSG verlangt wurde.

Art. 13 DSGVO umfasst den Fall der Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person selbst, Art. 14 DSGVO jene Informationspflicht, die sich daraus ergibt, dass der Verarbeiter die personenbezogenen Daten nicht direkt bei dem Betroffenen erhoben hat. Beide Artikel sind sehr umfangreich, weshalb hier nur auf die groben Unterschiede eingegangen wird und lediglich ein kleiner Überblick dargestellt werden soll.

Art. 13 und Art. 14 DSGVO ähneln sich inhaltlich stark. Unter anderem muss dem Betroffenen in Abs. 1 beider Artikel durch den Verantwortlichen sein Name und dessen Kontaktdaten, der Datenschutzbeauftragte, der Zweck für den die personenbezogenen Daten erhoben werden sollen, sowie die Rechtsgrundlage für die Verarbeitung genannt werden.

Gemäß Abs. 2 beider Artikel muss der Verantwortliche zusätzliche Informationen zur Verfügung stellen, um eine faire und transparente Verarbeitung zu gewährleisten. Darunter die Dauer für die die personenbezogenen Daten gespeichert werden und das Recht des Betroffenen auf Auskunft, Löschung und Berichtigung seiner Daten sowie die Möglichkeit auf Einschränkung der Verarbeitung. Unterschiede finden sich insbesondere durch die Art der Erhebung. Da die personenbezogenen Daten im Fall des Art. 13 DSGVO bei dem Betroffenen direkt erhoben werden, verlangt dieser, im Gegensatz zu Art. 14 DSGVO, dass der Betroffene darüber informiert wird, dass er gegebenenfalls dazu verpflichtet ist, personenbezogene Daten bereitzustellen und welche Folgen eine Nichtbereitstellung hat (vgl. Art. 13 Abs. 2 lit. e DSGVO). Art. 14 DSGVO hingegen verpflichtet den Verarbeiter, der die personenbezogenen Daten nicht direkt bei dem Betroffenen erhebt, diesen darüber aufzuklären, aus welcher Quelle die personenbezogenen Daten stammen.

Die Informationspflicht besteht jedoch nur dann, wenn der Betroffene nicht bereits über diese Informationen verfügt (Vgl. Art. 13 Abs. 4 und Art. 14 Abs. 5 lit. 4 DSGVO). Darüber hinaus nennt Art. 14 Abs. 5 DSGVO weitere Fälle in denen eine Informationspflicht im Rahmen des Art. 14 DSGVO entfällt. So zum Beispiel, wenn die Informationserteilung mit einem unverhältnismäßigen Aufwand verbunden ist oder sich die Erteilung dieser Information als unmöglich erweist.

3. Auskunftsrecht, Art. 15 DSGVO

Das Auskunftsrecht aus Art. 15 DSGVO ist dem deutschen Datenschutzrecht nicht unbekannt. Es entspricht im Groben dem im BDSG in § 34 normierten Auskunftsrecht. Der Betroffene kann vom Verarbeiter eine Bestätigung darüber verlangen, ob er den Betroffenen betreffende personenbezogene Daten verarbeitet. Falls dies der Fall ist, hat der Betroffene ein Recht auf Auskunft unter anderem über folgende Informationen: Verarbeitungszweck, Kategorie der personenbezogenen Daten, Empfänger oder Kategorien von Empfängern, geplante Speicherdauer, Beschwerderecht bei einer Aufsichtsbehörde und wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden, Informationen über die Herkunft der Daten.

Sollten die Daten an Drittländer oder internationale Organisationen übermittelt werden, so kann der Betroffene Auskunft über die „geeigneten Garantien“ (Vgl. Art. 46 DSGVO), die im Zusammenhang mit einer solchen Übermittlung vorgesehen sind, verlangen.

Gemäß Art. 12 Abs. 5 DSGVO werden Mitteilungen im Rahmen des Art. 15 DSGVO unentgeltlich zur Verfügung gestellt, solange kein offenkundig unbegründeter Antrag vorliegt oder der Betroffene exzessive Anträge (insbesondere im Fall der Wiederholung) stellt. Läge einer der Fälle vor, kann der Verantwortliche sich entweder weigern oder ein angemessenes Entgelt verlangen. Jedoch hat der Verantwortliche den Nachweis zu führen, dass ein offenkundig unbegründeter oder exzessiver Charakter des Antrags vorliegt.

4. Recht auf Berichtigung, Art. 16 DSGVO

Das Recht auf Berichtung versetzt den Betroffenen in die Lage, von dem Verarbeiter die Berichtigung, der sie betreffenden unrichtigen, personenbezogener Daten zu verlangen. Auch das BDSG enthielt eine vergleichbare Regelung in § 35 Abs. 1 BDSG. Verantwortliche sollten bereits bei der Erhebung von personenbezogenen Daten verstärkt auf die Richtigkeit der Daten achten.

 

Das Thema der nächsten Woche sind die Betroffenenrechte nach der DSGVO (Teil 2).

Themenreihe DSGVO: Die Einwilligung und der Widerspruch nach der DSGVO

14. Juni 2017

Auch nach Inkrafttreten der EU-Datenschutzgrundverordnung (kurz DSGVO) am 28.05.2018 bleibt es bei dem datenschutzrechtlichen Grundsatz des Verbots mit Erlaubnisvorbehalt. Der Grundsatz hat zur Folge, dass eine Verarbeitung personenbezogener Daten grundsätzlich verboten ist, wenn kein Erlaubnistatbestand vorliegt, der die Verarbeitung legitimiert. Als die zentrale Legitimation für die Verarbeitung personenbezogener Daten ist auch im Rahmen der DSGVO die Einwilligung des von der Verarbeitung Betroffenen anzusehen.

I. Einwilligung nach Art. 7 DSGVO

Sofern keiner der gesetzlich definierten Fälle einer entbehrlichen Einwilligung gegeben ist (Art. 6 DSGVO), ist die Einwilligung damit das “Maß der Rechtmäßigkeit” einer Datenverarbeitung. Die Verarbeitung ist nur rechtmäßig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat.

Eine Einwilligung im Sinne der DSGVO ist jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willenserklärung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Die Einzelheiten ergeben sich aus Art. 7 DSGVO, auf die nachfolgend eingegangen wird.

1. Freiwilligkeit der Einwilligung

Eine Einwilligung soll auf der freien Entscheidung des Betroffenen beruhen. Sie muss freiwillig erfolgen, d.h. der Betroffene muss in der Lage sein, eine echte Wahl zu treffen hinsichtlich des Ob, Wieviel und Wem er die Nutzung seiner Daten gestattet. Keine Einwilligung liegt insbesondere vor, wenn der Betroffene in eine Situation gebracht wird, in der er aus Zeitmangel oder anderen Gründen davon abgehalten wird, die zu erklärende Einwilligung ernsthaft zu bedenken oder mit einer Person seines Vertrauens zu besprechen. Eine solche Überrumpelungslage wird in der Regel gezielt herbeigeführt (z.B. das Versprechen übermäßiger Anreize etwa bei der Teilnahme an Gewinnspielen gegen die Preisgabe von Daten) oder ausgenutzt (z.B. wenn der Betroffene “eigentlich nur noch nach Hause will”).

An der Freiwilligkeit der Einwilligung fehlt es auch, wenn sie mit einer anderen Leistung gekoppelt wird, obwohl die Datennutzung für die Nutzung der Leistung nicht zwingend erforderlich ist. Wird so z.B. für einen Vertrag über eine Dienstleistung eine Einwilligung abverlangt, die für die Erfüllung des Vertrages nicht erforderlich ist, ist die Einwilligung im Zweifel nicht freiwillig. Solche Kopplungsmodelle sind heutzutage häufig bei Online-Dienstleistungen anzutreffen, die ungeachtet des auch jetzt schon geltenden Verbots, ihr Geschäftsmodell auf dem Prinzip “Dienstleistung gegen Daten” aufgebaut haben und die Daten des Nutzers im Wege gezielter Werbeangebote oder der Weitergabe der Daten zu Geld machen. Die Einwilligung ist auch in solchen Fällen nur dann freiwillig, wenn dem Betroffenen eine echte Wahlmöglichkeit eröffnet wird.

Ferner ist die Freiwilligkeit der Einwilligung auch dann zu verneinen, wenn dem Betroffenen für den Fall der Verweigerung der Einwilligung Nachteile angekündigt werden. Dies gilt nur dann nicht, wenn der Nachteil logische Folge der Verweigerung ist. Wer z.B. eine Leistung in Anspruch nehmen möchte, wird die mit der Erfüllung der Leistung verbundenen Informationen, wie Kontakt- und Abrechnungsdaten, preisgeben müssen.

2. Bestimmtheit der Einwilligung

Die Einwilligung in die Verarbeitung personenbezogener Daten darf nicht pauschal erfolgen. Allgemeine Formulierungen oder Blanko-Einwilligungen genügen nicht den gesetzlichen Voraussetzungen des Art. 7 DSGVO. Die Einwilligung muss daher erkennen lassen, welche personenbezogenen Daten zu welchem Zweck von wem verarbeitet werden sollen. Hierbei gilt, dass der Zweck der Datennutzung umso genauer umschrieben werden muss, je weitreichender die Datennutzung ausfällt.

3. Information des Betroffenen

Der Betroffene muss vor Abgabe der Einwilligungserklärung über den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten im Einzelnen informiert werden. Dabei müssen alle weiteren für den konkreten Fall entscheidungsrelevanten Informationen enthalten sein und diese müssen darüber hinaus auch hinreichend bestimmt sein, der Zweck der Verarbeitung darf also nicht zu allgemein gehalten werden. Der Betroffene muss außerdem in der Lage sein, die Informationen leicht zu erkennen und auch als Einwilligung zu identifizieren. Folgende Fragen muss sich der Betroffene nach Lektüre der Einwilligungserklärung beantworten können:

  • Wer (genau) soll die Daten nutzen dürfen?
  • Welche Daten soll er nutzen dürfen?
  • Zu welchem Zweck soll er diese Daten nutzen dürfen?
  • Darf er diese Daten weitergeben und wenn ja, an wen genau?
  • Wie lange darf diese Nutzung andauern?

4. Unmissverständlich abgegeben

Die Einwilligungserklärung muss ferner “unmissverständlich abgegeben” worden sein. Dies kann zum einen in der Form einer abgegebenen Erklärung geschehen, die sowohl schriftlich als auch mündlich erfolgen kann. Zum anderen kann eine “unmissverständlich” abgegebene Einwilligung aber auch in einer bestätigenden Handlung bestehen, mithin konkludent durch schlüssiges Handeln erteilt werden. Damit sind insbesondere die Fälle gemeint, in denen der Betroffene mit einem Mausklick “Ich bin einverstanden” seine Einwilligung erklärt. Zu beachten ist dabei, dass das Kästchen zum ankreuzen nicht vorangekreuzt sein darf, damit der Betroffene aktiv handeln muss.

5. Einwilligung Minderjähriger

Bei Geschäftsfähigkeit des Betroffenen stellt die Rechtmäßigkeit der Einwilligung kein Problem dar. Die DSGVO geht in Art. 8 DSGVO grundsätzlich auch davon aus, dass eine Einwilligung “im Kindesalter gegeben” werden kann. Aus diesem Grund sollen in diesen Fällen die der Einwilligung vorausgehenden Hinweise in einer klaren und einfachen Sprache erfolgen, sodass ein Kind sie verstehen kann. In der Praxis ist allerdings in den meisten Fällen festzustellen, dass gerade Klauseln im Internet oftmals unverständlich geschrieben sind und das Verständnis selbst bei volljährigen Personen schwer fallen dürfte.

Die im deutschen Recht an verschiedenen Stellen normierte Unterscheidung zwischen Kindern und Jugendlichen findet sich in der DSGVO nicht. Art. 8 Abs. 1 DSGVO sieht bei der Einwilligungsfähigkeit in Bezug auf Dienste der Informationsgesellschaft eine Regelgrenze von 16 Jahren vor. Dies hat zur Folge, dass insbesondere die Nutzung von Social-Media-Diensten wie Facebook nunmehr erst ab 16 Jahren rechtmäßig ist, zumindest soweit keine Zustimmung des gesetzlichen Vertreters vorliegt. Damit hat Facebook die Altersgrenze von 13 auf 16 Jahre hochzusetzen.

II. Widerspruchsrecht nach Art. 21 DSGVO

Nach Art. 21 DSGVO kann der Betroffene der Verarbeitung seiner personenbezogenen Daten widersprechen. Das Widerspruchsrecht nach Art. 21 DSGVO richtet sich gegen die Datenverarbeitung, die rechtmäßig erfolgt, ist unter Anderem also auch dann einschlägig, wenn der Betroffene vorher in die Datenverarbeitung eingewilligt hat.

Werden die Daten von vornherein rechtswidrig verarbeitet, steht dem Betroffenen das Recht auf Beschwerde bei einer Aufsichtsbehörde gemäß Art. 77 DSGVO zur Verfügung.

Das Widerspruchsrecht ist so ausgestaltet, dass sich der Betroffene selbst an die verantwortliche Stelle wenden und der Datenverarbeitung aktiv widersprechen muss. Damit der Betroffene von seinem ihm jederzeit zustehenden Widerspruchsrecht weiß, besteht für die verantwortliche Stelle nach Art. 21 Abs. 4 DSGVO die Pflicht, den Betroffenen auf das Widerspruchsrecht hinzuweisen.

Ausnahmsweise besteht das Widerspruchsrecht nicht, wenn ein zwingendes öffentliches Interesse an der Datenverarbeitung besteht, das die Interessen der betroffenen Person überwiegt oder wenn eine Rechtsvorschrift die verantwortliche Stelle zur Verarbeitung verpflichtet.

Widerspruchsrecht gegen Direktwerbung (Art. 21 Abs. 2, 3 DSGVO)

Besonders privilegiert ist das Widerspruchsrecht des Betroffenen gegen Direktwerbung. Zwar stuft die DSGVO die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung als einen denkbaren Unterfall einer dem berechtigten Interesse der verantwortlichen Stelle im Sinne des Art. 6 Abs. 1 dienenden Verarbeitung ein, dieses Interesse ist durch die Normierung des Art. 21 Abs. 2 DSGVO allerdings stets nur schwächer geschützt als die Persönlichkeitsrechte des Betroffenen.

Unter Direktwerbung ist die unmittelbare Ansprache eines Nachfragers, z.B. durch Prospekte, Kataloge, Warenproben, automatische Anrufsysteme, E-Mails oder SMS, durch einen Anbieter mit dem Ziel, den entgeltlichen Absatz von Waren oder die Erbringung von Dienstleistungen zu fördern, zu verstehen.

Widerspruchsberechtigt ist jeder, dessen personenbezogene Daten zu diesem Zweck verarbeitet werden. Dies muss nicht alleine durch die Zustellung einer Werbesendung geschehen, sodass bereits die Erhebung, also die Datenbeschaffung von Daten, um Nachrichtenadressaten auszufiltern, erfasst ist.

Der Widerspruch richtet sich nur gegen die Verarbetiung “für Zwecke der Direktwerbung”. Verarbeitungen, die zu anderen Zwecken erfolgen, sind nicht von einem solchen Widerspruch erfasst. Mit dem Widerspruch geht eine Löschungspflicht gegen die verantwortliche Stelle hinsichtlich der bereits verarbeiteten Daten einher.

 

Das Thema der nächsten Woche sind die Betroffenenrechte nach der DSGVO.

 

Vielzahl von Unternehmen bereitet sich noch nicht auf die DSGVO vor

12. Juni 2017

Am 28.05.2018 tritt die EU-Datenschutzgrundverordnung (kurz DSGVO) offiziell in Kraft. Mit dem Inkrafttreten müssen alle Vorschriften und Maßnahmen, die die DSGVO vorschreibt, vor allem von Unternehmen eingehalten werden, um nicht Gefahr zu laufen, gegen die Verordnung zu verstoßen und hohe Bußgelder zahlen zu müssen.

Der Umstieg von den nationalen Regelungen auf die Vorschriften der DSGVO bedeutet für die Unternehmen einen erheblichen Mehraufwand, der nicht unterschätzt werden sollte. Wie eine Umfrage von TrustArc nun jedoch ergab, haben 61 Prozent der befragten Unternehmen noch nicht mit den Umsetzungsmaßnahmen, die für die DSGVO erforderlich sind, begonnen.

TrustArc hatte insgesamt 204 Beschäftigte von Unternehmen aus unterschiedlichen Branchen befragt, die die Vorschriften der DSGVO einhalten müssen. Die Unternehmen wurden in drei Kategorien, entsprechend der Anzahl ihrer Beschäftigten, unterteilt: 500-1000 Beschäftige, 1000-5000 Beschäftigte und mehr als 5000 Beschäftigte.

23 Prozent der Befragten gaben an, dass sie mit den notwendigen Umsetzungen begonnen haben, 11 Prozent, dass die Umsetzungen momentan vorangetrieben werden, während 4 Prozent sogar angaben, bereits alles Notwendige für die DSGVO getan zu haben.

Die Umfrageergebnisse geben zudem Aufschluss über die Kosten, die von den Unternehmen für die Maßnahmen einkalkuliert werden. 42 Prozent der Befragten gaben an, dass sie mit Kosten zwischen 100.000 und 500.000 $ rechnen, während 23 Prozent mit Kosten zwischen 500.000 und 1.000.000 $ und 17 Prozent mit Kosten über 1.000.000 $ rechnen.

 

Themenreihe DSGVO: Grundsätze der Verarbeitung

9. Juni 2017

In Art. 5 DSGVO wurden folgende allgemeine Grundsätze für die Verarbeitung personenbezogener Daten normiert: „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“ (Abs. 1 lit. a), „Zweckbindung“ (Abs. 1 lit. b), „Datenminimierung“ (Abs. 1 lit. c), „Richtigkeit“ (Abs. 1 lit. d), „Speicherbegrenzung“ (Abs. 1 lit. e) und „Integrität und Vertraulichkeit“. Als Bestandteil der Verordnung haben diese Grundsätze unmittelbare Geltung, wobei aus Art. 5 Abs. 2 DSGVO folgt, dass sie in erster Linie den Verantwortlichen binden. Die recht allgemein gehaltenen Grundsätze werden in zahlreichen weiteren Vorschriften der DSGVO wieder aufgegriffen und in diesen auch weiter konkretisiert. In diesem Zusammenhang ist insbesondere auf die Betroffenenrechte hinzuweisen, die in Art. 15 bis 22 DSGVO erfasst sind. Verstöße gegen die in Art. 5 DSGVO normierten Grundsätze können sowohl bußgeldbewährt sein, als auch sonstige Maßnahmen der Aufsichtsbehörden nach sich ziehen. Insbesondere vor dem Hintergrund dieser Sanktionsmöglichkeit kann die nur allgemeine Formulierung mitunter problematisch werden.

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz (Abs. 1 lit. a)

Zunächst normiert Art. 5 Abs. 1 lit. a DSGVO, dass personenbezogene Daten auf rechtmäßige Art und Weise verarbeitet werden müssen. Das bedeutet, dass personenbezogene Daten grundsätzlich nur auf Basis einer Einwilligung der betroffenen Person oder aufgrund einer gesetzlichen Ermächtigung als anderweitige Rechtsgrundlage verarbeitet werden dürfen. Bei der Einwilligung ist darauf zu achten, dass die einwilligende Person vor ihrer Einwilligung ausreichend über die Verarbeitung informiert wurde. Bei der gesetzlichen Ermächtigung ist insbesondere darauf zu achten, dass die jeweilige Zweckbindung eingehalten wird.

Das Erfordernis der Verarbeitung nach „Treu und Glauben“ muss im Anwendungsbereich der DSGVO als europarechtliche Norm autonom aufgefasst und ausgelegt werden. Im Kontext der DSGVO kann das Erfordernis von „Treu und Glauben“ als eine Pflicht zur Rücksichtnahme auf die Interessen und Erwartungen der betroffenen Person aufgefasst werden. Insbesondere soll der Betroffene über diesen Grundsatz vor unklaren Verarbeitungsvorgängen geschützt und einer offenen und direkten Erhebung personenbezogener Daten bei der betroffenen Person der Vorrang eingeräumt werden.

Durch den Transparenzgrund soll eine heimliche Verarbeitung personenbezogener Daten ausgeschlossen werden. Darüber hinaus soll erreicht werden, dass die betroffene Person über die Erhebung personenbezogener Daten umfassend informiert wird. Diese Informationen müssen in leicht zugänglicher Art und Weise und in einer klaren und verständlichen Sprache abgefasst sein.

Zweckbindung (Abs. 1 lit. b)

Beim Zweckbindungsgrundsatz handelt es sich um ein Kernstück des Datenschutzrechts. Ihm liegt der Gedanke zugrunde, dass schon bereits bei der Erhebung personenbezogener Daten der jeweilige legitime Zweck der Erhebung eindeutig festgelegt sein muss und der Zweck einer möglichen weiteren Verarbeitung mit dem ursprünglichen Erhebungszweck nicht unvereinbar sein darf. Obwohl Art. 5 Abs. 1 lit. b DSGVO für die Zweckfestlegung keine spezielle Form vorsieht empfiehlt es sich, den Zweck schriftlich oder in einer anderen dauerhaften Dokumentationsform festzulegen, um eventuellen Rechenschaftspflichten nachkommen zu können. Damit die Zweckfestlegung auch eindeutig erfolgt, muss sie hinreichend bestimmt zum Ausdruck gebracht werden. Bloß allgemeine Bestimmungen wie „Werbung“ sind hierfür wohl nicht ausreichend. Legitim ist der festgelegte Zweck dann, wenn er als rechtlich zulässig anzusehen ist. Um festzustellen, ob der Zweck der Weiterverarbeitung mit dem Zweck der Erhebung vereinbar ist, kann etwa auf die Konkretisierungen in Art. 6 Abs. 4 DSGVO Bezug genommen werden. Von besonderer Bedeutung ist zusätzlich die Frage, ob die weitere Verarbeitung den Erwartungen der betroffenen Person im Erhebungszeitpunkt entspricht. Die betroffene Person muss den Zweck der Weiterverarbeitung schon in der Zweckfestlegung für die ursprüngliche Erhebung angelegt gesehen haben können. Bei Archivzwecken, Forschungszwecken und statistischen Zwecken handelt es sich gem. Art. 5 Abs. 1 lit. b Hs. 2 um privilegierte Sekundärzwecke, bei denen bei einer Weiterverarbeitung ursprünglich zu anderen Zwecken erhobener Daten die sonst notwendige Prüfung der Vereinbarkeit mit dem ursprünglichen Erhebungszweck entfällt.

Datenminimierung (Abs. 1 lit. c)

Der Grundsatz der Datenminimierung vereint drei Anforderungen. Personenbezogene Daten müssen dem Zweck nach angemessen, erheblich und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Angemessenheit ist gegeben, wenn die Verarbeitung bei wertender Betrachtung in diesem Umfang verhältnismäßig ist. Bei der Erheblichkeit ist danach zu fragen, ob die Verarbeitung personenbezogener Daten dazu geeignet ist, ein legitimes Ziel zu erreichen. Bei der Begrenzung auf das notwendige Maß ist darauf abzustellen, dass keine Daten erhoben werden, die über die Erreichung des verfolgten Zwecks hinausgehen.

Richtigkeit der Datenverarbeitung (Abs. 1 lit. d)

Der Grundsatz der Richtigkeit der Datenverarbeitung bezieht sich darauf, dass die erhobenen personenbezogenen Daten sachlich richtig sein müssen. Darüber hinaus wird gefordert, dass die personenbezogenen Daten auch auf dem neuesten Stand sein müssen. Relevant wird dies insbesondere in Fällen einer weiteren Verarbeitung der erhobenen Daten. Zu beachten ist, dass der für die Erhebung Verantwortliche schon von sich aus angemessene Maßnahmen ergreifen muss, um unrichtige Daten unverzüglich zu löschen oder zu berichtigen. Hinsichtlich der Angemessenheit der Maßnahmen kommt es jeweils auf den konkreten Einzelfall an. In den Artikeln 16 und 17 der DSGVO finden sich beispielsweise konkrete Regelungen, mit denen der Grundsatz der Richtigkeit der Datenverarbeitung verwirklicht werden soll.

Speicherbegrenzung (Abs. 1 lit. e)

Der Grundsatz der Speicherbegrenzung ist eng mit dem Zweckbindungsgrundsatz verbunden. Daten, die die Identifizierung einer Person ermöglichen, dürfen nur solange gespeichert werden, wie es für die Zweckerreichung erforderlich ist. Den Verantwortlichen trifft die Pflicht in regelmäßigen Abständen zu überprüfen, dass die von ihm gespeicherten Daten nicht unnötig lange gespeichert werden. Ausnahmen von der Speicherbegrenzung sieht Art. 5 Abs. 1 lit e Hs. 2 für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke vor.

Integrität und Vertraulichkeit (Abs. 1 lit. f)

Über das Kriterium der Integrität soll die Unversehrtheit der Daten geschützt werden. Es soll sichergestellt werden, dass die erhobenen Daten weder ganz noch teilweise gelöscht oder sie auf andere Art vernichtet oder unbefugt verändert werden. Über das Kriterium der Vertraulichkeit sollen die erhobenen Daten vor einer unbefugten Kenntnisnahme und Verarbeitung geschützt werden. Die eben beschriebenen Schutzzwecke sollen durch geeignete technische und organisatorische Maßnahmen erreicht werden. Insbesondere in Art. 32 DSGVO finden sich Konkretisierungen für solche Maßnahmen.

 

Das Thema der nächsten Woche sind die Einwilligung und der Widerspruch nach der DSGVO.

Symposium zum Datenschutz in automatisierten Fahrzeugen

2. Juni 2017

Schon heute sammelt ein modernes Fahrzeug mehrere Gigabyte an Daten. Da die technische Entwicklung von autonom fahrenden Autos gerade erst am Anfang steht ist davon auszugehen, dass in Zukunft noch mehr Daten erhoben werden und der Datenschutz im Bereich des vernetzten Fahrens immer wichtiger werden wird. Auf Einladung der Bundesdatenschutzbeauftragten Andrea Voßhoff fand deswegen am 1. Juni ein Symposium zum Datenschutz in automatisierten Fahrzeugen statt.

Zu Beginn des Symposiums wies Voßhoff noch einmal darauf hin, dass moderne Fahrzeuge mit Hilfe von Sensoren und anderen Technologien eine erhebliche Menge von Daten sammeln würden. Beispielhaft führte Sie an, dass Kilometerstände, Reifendruck, verschiedene Füllstände oder der Gurtschlussstatus gemessen würden. Darüber hinaus würden aber auch Daten über den Fahrstil und Positionsdaten erhoben. Insbesondere durch die Verknüpfung dieser Vielzahl von Daten würden sich detaillierte Persönlichkeitsprofile der Fahrerinnen und Fahrer erstellen lassen. Gerade deswegen forderte Voßhoff, dass die Fahrerinnen und Fahrer jederzeit die volle Hoheit über die Verwendung von personalisierbaren Fahrzeugdaten haben müssten. In diesem Kontext seien datenschutzgerechte Technologien und Voreinstellungen notwendig.

Um den Datenschutz im Bereich von automatisierten Fahrzeugen zu wahren, hat die Bundesdatenschutzbeauftragte eine Liste mit 13 Empfehlungen zum automatisierten und vernetzten Fahren veröffentlicht. Aus Transparenzgründen müsse es für die Fahrerin oder den Fahrer klar erkennbar sein, welche Daten auf Basis einer gesetzlichen Regelung auch ohne ausdrückliche Einwilligung verarbeitet werden dürfen. Insbesondere im Hinblick auf das Einwilligungserfordernis stellte Voßhoff auch klar, dass eine etwa beim Kauf abgegebene pauschale Einwilligung für beliebige Verwendungszwecke nicht genüge. In der Empfehlungsliste wird unter anderem dargestellt, dass für den reinen Fahrbetrieb in der Regel keine Datenspeicherung erforderlich sei. Falls Fahrzeuge Daten untereinander austauschen müssten, müsse dieser Austausch wirksam verschlüsselt und vor einer unbefugten Nutzung oder Aufzeichnung geschützt werden. Nach dem Grundsatz „Pricavy by default“ müsse es dem Fahrzeugnutzer auch möglich sein, sein Fahrzeug so einzustellen, dass dieses möglichst wenig über sein Fahrverhalten preisgebe. Des Weiteren müsse es für die Fahrzeugnutzer unkompliziert möglich sein personenbezogene Daten zu löschen, falls eine Speicherung dieser Daten nicht gesetzlich notwendig sei.

Vor dem Hintergrund der 2018 in Kraft tretenden Datenschutzgrundverordnung ist zudem ein Beitrag des Vorsitzenden der Gesellschaft für Datenschutz und Datensicherheit, Rolf Schwartmann, zu beachten. Im Zuge des Symposiums gab dieser an, dass rund um die Privatsphäre im vernetzten Auto eine Folgenabschätzung gem. Art. 35 DSGVO generell durchzuführen sei.

Videoüberwachung nach BDSG, BDSG-neu und DSGVO

Die praktische Bedeutung der Videoüberwachung, also die Beobachtung mit optisch-elektronischen Einrichtungen, hat in letzter Zeit enorm zugenommen, nicht zuletzt wegen mehr Gewalttaten, erinnert sei an die tragischen Ereignisse in Ansbach und München. Damit rückt das Thema auch vermehrt in den Fokus der Öffentlichkeit. Nun hat auch der Gesetzgeber den Weg frei gemacht für mehr Videoüberwachung. Gemeint ist das im März 2017 verabschiedete Videoüberwachungsverbesserungsgesetz, das den § 6 b BDSG wie folgt erweitert:

„1. Dem Absatz 1 wird folgender Satz 2 angefügt:

„Bei der Videoüberwachung von

  1. öffentlich zugänglichen großflächigen Anlagen, wie insbesondere Sport-, Ver-sammlungs- und Vergnügungsstätten, Einkaufszentren oder Parkplätzen, oder
  2. Fahrzeugen und öffentlich zugänglichen großflächigen Einrichtungen des öf-fentlichen Schienen-, Schiffs- und Busverkehrs,

gilt der Schutz von Leben, Gesundheit oder Freiheit von dort aufhältigen Personen als ein besonders wichtiges Interesse.“

  1. Nach Absatz 3 Satz 1 wird folgender Satz eingefügt:

„Absatz 1 Satz 2 gilt entsprechend.“

 

Daraus folgt, dass § 6 b BDSG zwar wie bislang sowohl für öffentliche als auch für nicht-öffentliche Stellen gilt. Indes wird der Anwendungsbereich derart erweitert, als dass unter den Begriff „öffentlich zugänglicher Raum“ nunmehr auch öffentlich zugängliche großflächige Anlagen, also bauliche Anlagen, die nach dem erkennbaren Willen des Betreibers von jedermann betreten oder genutzt werden können und von ihrer Größe her geeignet sind, eine größere Anzahl von Menschen aufzunehmen, verstanden wird. Insbesondere sollen unter § 6 b Abs. 1 S. 2 BDSG Sport-, Versammlungs- und Vergnügungsstätten, Einkaufzentren und Parkräume, die einen entsprechenden Publikumsverkehr aufweisen, fallen. Ob es sich um eine dem öffentlichen Verkehr zugängliche Anlage handelt, ist entweder von der öffentlichen Widmung oder nach dem erkennbaren Willen des Berechtigten von jedermann genutzt oder betreten werden zu können, abhängig. Auf das Eigentum an der Anlage kommt es daher zunächst nicht an.

Vereinfacht gesagt soll durch die Erweiterung die Sicherheit der Bevölkerung erhöht werden. Dementsprechend ist bei der Abwägungsentscheidung nach § 6 b Abs. 1 Nr. 3 BDSG, also beim Einsatz von Videoüberwachung durch Private zwar die gegenläufigen Interessen des Betroffenen zu berücksichtigen, jedoch legt § 6 b Abs. 1 S. 2 BDSG fest, dass der Schutz von Leben, Gesundheit oder Freiheit als besonders wichtiges Interesse zu qualifizieren ist, mit der Konsequenz, dass diese Belange zwar ergebnisoffen, aber schon per se als gewichtiger einzustufen sind.

1 § 4 BDSG-neu

Ab Mai 2018 wird das BDSG-neu (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) gelten. In dessen § 4 gibt es eine Regelung zur Videoüberwachung. Wesentliche Änderungen zum status quo sind jedoch nicht festzustellen. Das bedeutet, dass die Norm wie bisher auch für den öffentlichen- wie nicht-öffentlichen Bereich sowie nur für öffentlich zugängliche Räume Anwendung finden wird. Abs. 2 behandelt die Kenntlichmachung der Videoüberwachung. Mit Abs. 3 der Norm wird die Zulässigkeit des weiteren Datenumgangs beschrieben. Danach muss die Verarbeitung bzw. „Speicherung oder Verwendung“ entweder für die Zweckerreichung oder falls die Daten für einen neuen Zweck verwendet werden sollen, der Abwehr von Gefahren für die staatliche und öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich sein. Die Benachrichtigungs- und Löschungspflichten werden sodann in den Abs. 4 und 5 geregelt.

2 DSGVO

Da die Datenschutz-Grundverordnung (DSGVO) keine explizite Regelung zur Videoüberwachung trifft, greift der grundsätzliche Anwendungsvorrang der DSGVO hier nicht. Dafür gibt die DSGVO in Art. 6 Abs. 2, 3 für Abs. 1 S. 1 lit. c und e den Mitgliedstaaten einen Kompetenztitel zur Ausfüllung dieser Lücke (Öffnungsklausel). Diese Lücke wurde vom deutschen Gesetzgeber mit § 4 BDSG-neu bedient.

3 Praxisbedeutung

In der Praxis muss der Rechtsanwender generell nicht nur die DSGVO, sondern eben auch beibehaltenes oder neu geregeltes nationales Datenschutzgesetz überblicken, sofern dies sein Sachverhalt voraussetzt. Neben § 4 BDSG-neu ist beispielsweise auch Art. 35 Abs. 1,3 lit. c DSGVO hier anwendbar, da die DSGVO in diesem Zusammenhang in Fällen systematischer weiträumiger Überwachung öffentlich zugänglicher Bereiche eine Datenschutz-Folgenabschätzung zwingend vorschreibt. Gleichwohl soll dies nicht vom eigentlichen Sinn und Zweck der Erweiterung des Anwendungsbereiches ablenken. Mit der Erweiterung kann bestenfalls schon im präventiven Bereich Gefahren in hoch frequentierten Räumen begegnet werden. Insofern ist die Neuregelung insgesamt begrüßenswert.

 

 

 

 

Themenreihe DSGVO: Was ist die DSGVO?

Die Datenschutzgrundverordnung (DSGVO) wirft schon jetzt einen großen Schatten voraus, obwohl sie erst am 25. Mai 2018 in Kraft tritt, aber die Hälfte der ‘Vorbereitungszeit’ ist inzwischen abgelaufen. Aber was ändert sich alles durch die DSGVO? Mit dieser Frage befasst sich die neue Themenreihe, die uns in den nächsten Wochen begleiten und wichtige Neuerungen und Fragen aufgreifen wird.

Die DSGVO ist der Schlusspunkt einer jahrelang geführten Diskussion über das “richtige“ Datenschutzniveau. Im Zuge der fortschreitenden Technik, der Globalisierung und der Digitalisierung wurde es Zeit für ein zeitgemäßes, einheitliches Datenschutzrecht.

Ziel der DSGVO ist ein einheitliches Datenschutzrecht in Europa. Neben der Harmonisierung gibt es zudem einige Neuerungen materiell-rechtlicher, prozeduraler sowie institutioneller Natur, die bisher noch nicht oder zumindest nicht so vorhanden waren. So soll der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere der Schutz personenbezogener Daten und der freie Verkehr personenbezogener Daten gewährleistet werden.

Wie oben bereits geschrieben tritt die DSGVO im Mai 2018 in Kraft. Da es sich um eine Verordnung handelt ist sie direkt und unmittelbar in den EU-Ländern anwendbar. Aufgrund der zahlreichen Öffnungsklauseln kann und soll der nationale Gesetzgeber tätig werden. Anpassungen der nationalen Regelungen, in Deutschland des Bundesdatenschutzgesetzes (BDSG), sind erforderlich. Die Bundesregierung ist bereits tätig geworden. Das ‘BDSG-neu‘ wurde bereits in den letzten Wochen verabschiedet und somit an die DSGVO angepasst.

Durch die DSGVO, als umfassendes Gesetzeswerk ergeben sich sowohl für Unternehmen als auch für Privatpersonen einige Neuerungen, aber dazu in den nächsten Wochen mehr.

 

Das Thema der nächsten Woche sind die Grundsätze der Verarbeitung nach der DSGVO.

ePrivacy-Verordnung: Verlage wehren sich gegen Cookie-Banner im Browser

30. Mai 2017

In Ergänzung zur EU-Datenschutzgrundverordnung (DSGVO), wird 2018 die ePrivacy-Verordnung in Kraft treten. Dabei sollen nach dem mit der DSGVO eingeführten Privacy-by-Design-Grundsatz, die Cookie-Banner nach der EU-Kommission zukünftig nicht mehr auf jeder Website, sondern in den Browsern auftauchen. Privacy-by-Design soll die Berücksichtigung des Daten- bzw. des Persönlichkeitsrechtsschutzes bereits in der Phase der Technikentwicklung sicherstellen. Browser-Hersteller müssen demnach alle technischen Voreinstellungen Privatsphäre-freundlich ausgestalten. Damit erfolgt die Einwilligungserklärung der Nutzer zur Datenerhebung zukünftig zentral.

Deutschlands führende Verlage äußerten sich in einem offenen Brief an das EU Parlament kritisch gegenüber dieser neuen Regelung, denn sie befürchten damit keinen Zugriff mehr auf die für ihr Geschäft notwendigen Nutzerdaten zu haben. Zudem, so argumentieren u.a. die Zeit, die Süddeutsche und die F.A.Z., würden die neuen Regelungen die browsermarktführenden US-Internetkonzerne wie Google, Apple oder Microsoft weiterhin begünstigen. Diese bekämen noch mehr Einfluss auf den Nachrichtenkonsum der Verbraucher und auf das ob und wie der Zugriffsfreigabe von Verbraucherdaten gegenüber den Verlagen. Damit besteht zudem die Gefahr, dass der Nutzer die Kontrolle über seine Daten zunehmend verliert womit ein Verstoß gegen das datenschutzrechtliche Transparenzgebot vorliegt.

Darüber hinaus kann der Regelungsentwurf zu Lasten des digitalen Nachrichtengeschäftes dazu führen, dass kaum noch Nutzer dem Datentransfer zustimmen. Soweit die Verlage nicht mehr auf sogenannte Third-Party-Cookies zugreifen können, kann außerdem die Möglichkeit der Verlage, den Nutzern relevante Inhalte und Werbung anzuzeigen, und damit das Werbefinanzierungsmodell von Nachrichten, behindert werden.

Auch aus Datenschutzkreisen wird der neue Regelungsentwurf kritisiert. So monierten die Datenschützer der Artikel-29-Gruppe, dass mit dem neuen Regelungsentwurf der Einwilligungserklärung der Nutzer nach vorheriger Belehrung entgegen gewirkt werde. Die Datenschützer setzten sich dafür ein, unterschiedliche Tracking-Ziele gesondert freischalten zu lassen. Demnach würden z.B. die für Werbung genutzten Daten, von solchen Daten, die der Navigationsverbesserung auf Websites dienen, getrennt werden.

Reaktion der BfDI auf Verabschiedung des BDSG-Neu

11. Mai 2017

Die Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI) Andera Voßhoff, hat mit einer kritischen Presseerklärung auf die Verabschiedung des BDSG-Nachfolgers “Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU)”, auch BDSG-Neu genannt, reagiert:

Die Datenschutzbeauftragte begrüßt die zügige Anpassung des deutschen Datenschutzrechts an die ab 2018 geltenden EU-Vorgaben. So hat der Bundestag die Rechte der Betroffenen auf Information, Auskunft und Löschung im Vergleich zum Entwurf der Bundesregierung spürbar gestärkt. Die eingeschränkten Kontrollrechte der Datenschutzbehörden sind jedoch kritisch zu sehen.

Ab Mai 2018 gelten europaweit die EU-Datenschutz-Grundverordnung und die EU-Richtlinie für den Datenschutz bei Polizei und Justiz. Das am Donnerstag verabschiedete Datenschutzanpassungs- und Umsetzungsgesetz greift dies auf und wird das bisherige Bundesdatenschutzgesetz ablösen. Das Gesetz bedarf noch der Zustimmung des Bundesrates, der sich voraussichtlich am 12. Mai 2017 damit befassen wird.

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Andrea Voßhoff, begrüßt, dass das Gesetzgebungsverfahren noch in dieser Legislaturperiode abgeschlossen werden kann: Das neue Datenschutzgesetz ergänzt die ab Mai 2018 unmittelbar geltende EU-Datenschutz-Grundverordnung. Anpassungs- und Umsetzungsbedarf besteht aber noch in zahlreichen Fachgesetzen, beispielsweise für den Sozialdatenschutz im Sozialgesetzbuch sowie bei den Datenschutzgesetzen der Länder.

Das nun vorliegende Gesetz wurde gegenüber dem Entwurf der Bundesregierung zugunsten der Bürgerinnen und Bürger verbessert. So enthält das Gesetz nur noch sehr wenige Einschränkungen der Betroffenenrechte, die vor allem kleine Unternehmen mit oftmals noch analoger Datenverarbeitung entlasten. Damit gilt für die Mehrzahl der Datenverarbeitungen in der digitalen Welt der hohe Standard der Datenschutz-Grundverordnung.

Die BfDI kritisiert jedoch, dass der Deutsche Bundestag bei wichtigen Punkten den Gesetzentwurf nicht nachgebessert hat: Die vom Bundesverfassungsgericht eingeforderten wirksamen Kontroll- und Durchsetzungsbefugnisse der BfDI im Bereich Polizei und Justiz und außerhalb des Geltungsbereichs des EU-Rechts sind deutlich beschränkt. Gerade in diesem Bereich ist eine unabhängige Kontrolle und Durchsetzung des Datenschutzes zwingend notwendig. Die BfDI erhält hier jedoch keinerlei Durchsetzungsbefugnisse, möglich sind nur nicht-bindende Beanstandungen. Dies ist europarechtswidrig und auch in der Sache falsch. Laut der EU-Richtlinie sollten Datenschutzaufsichtsbehörden zumindest die Möglichkeit haben, die Rechtmäßigkeit bestimmter Verarbeitungsvorgänge gerichtlich überprüfen zu lassen. Auch darf die BfDI den Bundestag in Zukunft nicht mehr proaktiv über Kontrollen beim Bundesnachrichtendienst informieren.

Positiv bewertet die BfDI das geplante Verfahren für die effiziente Zusammenarbeit der deutschen Aufsichtsbehörden und deren einheitliche Vertretung in europäischen Angelegenheiten. Dafür erhält die BfDI die Funktion einer Zentralen Anlaufstelle für die Datenschutzbehörden in Bund und Ländern. Die BfDI wird zudem als Gemeinsamer Vertreter im Europäischen Datenschutzausschuss benannt. Als Stellvertreter steht ihr dabei eine vom Bundesrat gewählte Leiterin oder ein Leiter einer Landesdatenschutzbehörde mit Befugnissen in bestimmten Angelegenheiten der Länder zur Seite.

1 29 30 31 32 33 35