Kategorie: EU-Datenschutzgrundverordnung
20. März 2019
Daimler musste in einem Prozess erfahren, dass dem Arbeitnehmer ein gestärktes Auskunftsrecht gegenüber dem Arbeitgeber zusteht und muss deshalb einem Manager umfassend Auskunft zu über ihn gesammelten Daten geben. Das Auskunftsrecht aus Art. 15 DSGVO könnte angesichts des noch nicht veröffentlichten Urteils des Landesarbeitsgerichts Baden-Württemberg zu einer Welle von Prozessen führen. In dem Urteil wird dem Autokonzern auferlegt, die über einen klagenden Manager vorliegenden Informationen umfassend offenzulegen; dazu gehören auch Erkenntnisse über interne Ermittlungen. Bundesweit erstmals wurde das Auskunftsrecht damit auch in der zweiten Instanz sehr weitreichend ausgelegt.
Durch die DSGVO wurde das bisher schon bestehende Auskunftsrecht durch die Möglichkeit hoher Sanktionen gestärkt. Außerdem ist das Recht des Betroffenen auf eine Kopie aller seiner gespeicherten personenbezogenen Daten ganz neu hinzugekommen. Auf diese Regelung der DSGVO hatte sich der klagende Daimler-Manager in der zweiten Instanz berufen. Das Landesarbeitsgericht gab ihm nicht nur im Streit um Abmahnungen und Kündigungen fast vollständig recht. Es verurteilte den Autokonzern auch dazu, ihm Auskunft über nicht in seiner Personalakte gespeicherte Leistungs- und Verhaltensdaten samt einer Kopie zu geben. Daimler hatte dies mit der Begründung verweigert, die Anonymität von Hinweisgebern schützen zu müssen. Derzeit streitet Daimler mit dem Manager um die Vollstreckung des Urteils, also den Umfang der herauszugebenden Daten. Bei Konflikten zwischen Arbeitnehmern und Arbeitgebern könnte das Auskunftsrecht in Zukunft zu einem beliebten Druckmittel werden.
12. März 2019
Kurz vor den entscheidenden Tagen zur Abstimmung über die Umstände und gegebenenfalls eine Verschiebung des Brexits hat sich Theresa May gestern Abend nochmals mit Jean-Claude Juncker in Straßburg getroffen. Dabei wurde sich, als Ergänzung zum vormaligen Brexit-Abkommen, auf „Klarstellungen und rechtliche Garantien“ zur Auffanglösung für Nordirland geeinigt.
Großbritannien soll hierbei die Möglichkeit erhalten, ein Schiedsgericht anzurufen, für den Fall, dass die EU über 2020 hinaus Großbritannien mittels Backstop-Klausel gewissermaßen an die Zollunion „ketten“ sollte. Dieses „rechtlich verbindliche Instrument“, wie es Juncker nennt, soll verdeutlichen, dass die Backstop-Klausel zur irischen Grenze nicht als Dauerlösung angesehen wird. Im Übrigen soll dies auch in einer gemeinsamen politischen Erklärung über die künftigen Beziehungen beider Seiten bekräftigt werden. Die Formulierung der ergänzenden Regelung ist juristisch jedoch schwammig und lässt Raum für Interpretation.
May ist dennoch zuversichtlich die Zustimmung des britischen Parlaments für das „neue“ Abkommen, über das heute Abend abgestimmt werden soll, zu erhalten. Jeremy Corbyn, der Chef der Labour Partei, hat unterdessen angekündigt und dazu aufgefordert auch gegen dieses Abkommen zu stimmen. Weitere Verhandlungen über Anpassungen der jetzigen Version des Austritts-Abkommens hat Juncker aber bereits abgelehnt, und betont dass es keine „Dritte Chance“ geben werde. Bis zum 23. Mai, wenn die EU-Wahlen beginnen, müsse das Königreich die EU verlassen haben.
Die Entscheidungen über das „wie“ und „wann“ des Brexits fallen jedenfalls in den nächsten Tagen, beginnend mit dem heutigen Abend gegen 20 Uhr MEZ. Sollte es heute keine Zustimmung zum Abkommen geben, wird morgen über einen „no-deal“ Brexit zum 29. März (ab 30. März wäre Großbritannien dann ein Drittland im Sinne der DSGVO) abgestimmt. Kann auch hier keine Zustimmung erzielt werden, so wird am 14. März über eine Verschiebung des Austritts abgestimmt. Im Rahmen einer Verschiebung könnte es dann zu einem neuen Referendum kommen und somit der erneuten Entscheidung über die Frage des „ob“ hinsichtlich des Brexits.
11. März 2019
Der Hessische Datenschutzbeauftragte hat Antworten zu den am häufigsten gestellten Fragen zur Datenschutz-Grundverordnung (DSGVO) auf seiner Webseite veröffentlicht und sich darin zu einigen kontrovers diskutierten Themen positioniert. Auch wenn dort sicherlich nicht jede offene Frage beantwortet werden kann, ist das FAQ insbesondere für Unternehmen mit Hauptsitz in Hessen lesenswert.
Interessant ist etwa die Aussage zur Frage, wann eine Auftragsverarbeitung vorliegt. Hier scheint sich die hessische Behörde der bereits vom Bayerische Landesamt für Datenschutzaufsicht veröffentlichten Ansicht anzunähern. Der Anwendungsbereich der Auftragsverarbeitung ist demnach recht eng auszulegen, nämlich nur auf Fälle, in denen ein Dritter tatsächlich mit der Verarbeitung von Daten beauftragt wird:
„Wenn Sie hingegen andere Dienstleistungen Dritter in Anspruch nehmen, bei denen die Weitergabe von Daten zwar erforderlich aber nicht Inhalt der Dienstleistung selbst ist, liegt in der Regel kein Auftragsverarbeitungsverhältnis vor (z.B. handwerkliche Tätigkeiten).“
Interessant ist auch die Aussage der Behörde zu der Frage, ob eine Einwilligung nach Art. 6 Abs. 1 S.1 lit. a) DSGVO vorsorglich eingeholt werden darf, wenn sich der Verantwortliche hinsichtlich des Vorliegens eines anderen Erlaubnistatbestandes unsicher ist:
„Häufig kann es aber schwierig sein, die gesetzliche Grundlage für die Datenverarbeitung zweifelsfrei zu bestimmen oder deren Grenzen klar zu erfassen. In diesen Fällen ist es vor allem auf Grund der Sicherheit und Transparenz sowohl für verantwortliche Stellen als auch für betroffene Personen nicht schädlich, wenn vorsorglich eine Einwilligung eingeholt wird.“
5. März 2019
Künstliche Intelligenz gilt als die Zukunftstechnologie. Doch lassen sich Datenschutz und Künstliche Intelligenz vereinen? Die Künstliche Intelligenz unterliegt dem Prinzip des „Machine Learning“. Für das selbstständige „Lernen“ muss der Algorithmus eine große Menge an Daten analysieren. Die datenschutzrechtlichen Grundsätze der Transparenz, Zweckbindung und Datenminimierung stehen dabei der Strategie der künstlichen Intelligenz zum Teil entgegen. Wie soll z.B. Big Data dem Grundsatz der Datenminimierung gerecht werden?
Aktuell feiern digitale Assistenten wie z.B. Google Home oder Amazon Echo große Erfolge, indem sie den Alltag erleichtern können. Aus Sicht der Datenschützer ist jedoch fraglich, inwiefern die gesammelten Informationen über die Nutzer weiterverarbeitet werden. In diesem Zusammenhang geriet vor einiger Zeit der Staubsauger-Roboter in die Kritik, indem die Räume durch das Gerät vermessen wurden, wodurch in gewisser Weise eine digitale Karte der Wohnung entstand. So können aus der Größe der Wohnung z.B. Rückschlüsse über Einkommen gezogen werden, sodass die Werbung möglichweise noch individueller auf bestimmte Personen zugeschnitten werden könnte.
Bisher wird mittels Crowd Sourcing der Datenschutz-Problematik entgegengewirkt. Das bedeutet, dass in der Entwicklung ein Satz anonymisierter Daten, welche darüber hinaus mit einer Unschärfe versehen werden, verwendet wird statt einzelner Datensätze, die sich auf eine Person zurückverfolgen lassen. Zudem ist anzumerken, dass KI Datenpannen erkennen kann oder auch für die Risikoanalyse eine wichtige Stütze ist. So können z.B. mit Messgeräten – entwickelt von xbird Gründer Sebastian Sujka – Bewegungsdaten, Schlaf und Ernährungsrhythmen ausgewertet werden und dem Patienten zeigen, was er ändern kann, um den Krankheitsverlauf positiv zu beeinflussen.
Kürzlich fand das 8. Speyerer Forum zur digitalen Lebenswelt, unter dem Thema „Künstliche Intelligenz und die Zukunft des Datenschutzrechts“ statt. Dabei startete die Veranstaltung mit den technischen Einführungen in die künstliche Intelligenz sowie mit der rechtlichen Betrachtung beim Einsatz von künstlich intelligenten Systemen sowohl im Datenschutzrecht als auch im Zivilrecht. Diskutiert wurde unter anderem über die Blockchain-Technologie. Vertreter aus Politik und Wirtschaft diskutierten über die Zukunft und den Einsatz dieser Technologie in der öffentlichen Verwaltung und wagten in einer Podiumsdiskussion einen Blick in die mögliche Zukunft der Verarbeitung von personenbezogenen Daten.
Künftig wird man sich also damit weiter und intensiver befassen müssen, auf welchem Wege sich Datenschutz und Künstliche Intelligenz vereinen lassen. Jedenfalls wird KI nicht mehr aus den Alltag wegzudenken sein, sodass sich noch viele rechtliche Fragen eröffnen werden, die die Gesetzgebung vor eine besondere Hürde stellen.
1. März 2019
Der Landesdatenschutzbeauftragte Baden-Württemberg (LfDI BW) hat sich in seinem aktuellen Tätigkeitsbericht kritisch zum Adresshandel geäußert.
Beim Adresshandel werden Daten potenzieller Kunden durch ein Unternehmen aus allgemein zugänglichen Quellen, wie bspw. Telefonbücher, Branchenverzeichnisse, Zeitungen und Messekataloge, Teilnehmerverzeichnisse, öffentliche Register (Handelsregister, Vereinsregister) zu Werbezwecken entnommen und ggf. weiterverkauft. Das die Daten erwerbende Unternehmen nutzt diese dann bspw. für Werbeansprachen per Post. Nach der alten Rechtslage bestand ein sogenanntes “Listenprivileg” (§ 28 BDSG-alt). Hiernach durften Listendaten – z.B. Name und Anschrift – grundsätzlich auch ohne Einwilligung der Betroffenen zu Werbezwecken genutzt werden.
Dieses ausdrücklich geregelte Listenprivileg wurde im Zuge der Einführung von DSGVO und BDSG-neu nicht übernommen. Die Frage der Zulässigkeit des Adresshandels richtet sich somit nach den allgemeinen Vorschriften. Sofern keine Einwilligung im Sinne von Art. 7 DSGVO vorliegt kann der Adresshandel also nur über Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt werden. Hierfür müsste ein berechtigtes Interesse des Verantwortlichen oder eines Dritten gegeben sein, das im konkreten Fall im Zuge einer Abwägung nicht hinter den Interessen der betroffenen Person zurückstehen muss, weil die Interessen der betroffenen Person schutzwürdiger sind.
In seinem 34. Tätigkeitsbericht 2018 hat der LfDI BW nun konkret Stellung zu dieser Frage bezogen und das berechtigte Interesse im Rahmen des Adresshandels grundsätzlich verneint. Als problematisch erachtet der LfDI BW vor allem die entgegenstehenden Interessen der betroffenen Person und führt hierzu auf S. 118 f. des Berichts aus:
„Die Interessen oder die Grundrechte und
Grundfreiheiten der betroffenen Person dürfen nicht überwiegen; dabei sind die
vernünftigen Erwartungen der betroffenen Personen, die auf ihrer Beziehung zu
dem Verantwortlichen beruhen, zu berücksichtigen. Insbesondere dann, wenn
personenbezogene Daten in Situationen verarbeitet werden, in denen eine
betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung
rechnen muss, könnten die Interessen und Grundrechte der betroffenen Person das
Interesse des Verantwortlichen überwiegen (ErwG 47).“
Der LfDI BW nimmt
beim Adresshandel an, dass
„Der Betroffene […] gerade nicht davon aus[geht], dass ein Unternehmen, mit dem er geschäftlichen Kontakt hat, ungefragt seine Kundendaten an andere, ihm völlig fremde Unternehmen verkauft oder vermietet und er von dort plötzlich unerwünschte Werbung bekommt. Zudem hat der Betroffene – […] ein sehr starkes Interesse daran, dass seine Kundendaten nicht zu einer grenzenlos gehandelten Ware verkommen, auf die er keinerlei Einfluss mehr hat. Der Betroffene hat auch aus dem Gesichtspunkt der Transparenz (Art. 5 Abs. 1 Buchstabe a DS-GVO) heraus ein überwiegendes Interesse daran, Herr (oder Frau) seiner Daten zu bleiben. Dies gilt umso mehr bei angereicherten Adressdaten, die regelmäßig ein ziemlich konkretes Persönlichkeitsprofil des Betroffenen abbilden.“
Laut LfDI BW sieht die Rechtslage auch dann nicht anders aus, wenn der Betroffene selbst seine Adressdaten veröffentlicht (bspw. im Telefonbuch), denn auch hier sei nicht davon auszugehen, dass ein Handel mit diesen Daten gewünscht sei.
Zwar ist noch offen, ob sich auch andere Aufsichtsbehörden dieser Meinung des LfDI BW anschließen werden. Um sich abzusichern, sollten Verantwortliche jedoch vorsichtshalber vor der Durchführung des Handels und Verkaufs von Adressdaten Einwilligungen der Betroffenen nach Art. 6 I lit. a), 7 DSGVO einholen.
28. Februar 2019
Eine Privatperson filmte in Lettland seine eigene Aussage im Rahmen eines Verfahrens gegen ihn und stellte diese Videoaufnahme auf Youtube. Neben der eigenen Aussage waren auch Polizeibeamte bei ihrer Arbeit zu sehen. Auf YouTube hat jeder Nutzer die Möglichkeit, die Videos online zu stellen, anzuschauen, zu beurteilen und/oder zu teilen. Für die lettische Datenschutzbehörde war das ein Verstoß gegen die Informationspflichten, die sich aus der damals geltenden Europäischen Datenschutzrichtlinie (DSRL –RL 95/46) ergaben.
Die zweite Kammer des Europäischen Gerichtshof (EuGH) entschied in ihrem Urteil vom 14. Februar 2019, dass die Videoaufzeichnung einer Person eine Verarbeitung von personenbezogenen Daten im Sinne des europäischen Datenschutzes sei. Schon die Speicherung auf der Digitalkamera stelle eine automatisierte Verarbeitung dar. Der Aufzeichner könnte nur dann rechtskonform Daten verarbeiten, wenn er im Rahmen eines gesetzlichen Erlaubnistatbestands handelt, eine Einwilligung erteilt worden ist oder das Datenschutzrecht aufgrund einer Bereichsausnahme nicht zur Anwendung kommt.
Das Gericht schloss in dem hiesigen Fall die sogenannte „Haushaltsausnahme“, welche in Art 2 Abs. 2 lit. c DSGVO geregelt ist, aus. Nach dieser Ausnahme wird verhindert, dass die freie Entfaltung der Persönlichkeit durch eine übermäßige Regulierung aufgrund des Datenschutzes gefährdet wird. Für die Annahme einer Ausnahme kommt es auf den Zweck der Datenverarbeitung an und ihre räumlichen und sozialen Aspekte. In Anlehnung daran, dass der Begriff der „journalistischen Tätigkeit“ weit ausgelegt wird, wäre es grundsätzlich möglich, auch die nationalen Regelungen zum Medienprivileg weiter zu fassen und die Privilegierung auch z.B. Bloggern als Bürgerjournalisten zu Gute kommen zu lassen. Allerdings bleibt die Abgrenzung eine Herausforderung.
26. Februar 2019
Das Wall Street Journal hat herausgefunden, dass Apps wie Menstruationskalender und Herzfrequenzmesser sensible Daten an Facebook weitergeben. Davon wissen die meisten Nutzer jedoch nichts. Facebook sieht sich nicht in der Verantwortung, da die App-Entwickler selbst entscheiden, welche Angaben über bereitgestellte Tools übermittelt werden. Zweck dieser Datenübermittlung ist es, personalisierte Facebook-Werbung zu ermöglichen.
Mithilfe einer Software haben die Journalisten untersucht, welche Daten 70 populäre Apps aus dem Apple Store weitergeben. Elf davon übermitteln sensible Daten, ohne dass der Nutzer darüber gemäß Art. 13 DSGVO informiert wurde. Laut Experten verstößt diese Praxis gegen die DSGVO.
Die App Flo, mit der Frauen ihre Menstruationszyklen festhalten können, sendet die gesammelten Daten, wie etwa zum Eisprung, welche die Nutzerin eingibt.
Facebook reagiert auf die Recherchen und teilt mit, dass diese Apps gegen die Vorgaben von Facebook verstoßen und fordert die Betreiber auf, die Daten nicht mehr an Facebook zu übermitteln.
19. Februar 2019
Kinder werden, aufgrund der geringeren Einsichts- und Urteilsfähigkeit für die Tragweite eigenen Handelns, vom Datenschutzrecht besonders geschützt.
Nach Art. 8 Abs. 1 DSGVO bedarf es der Zustimmung des Trägers der elterlichen Verantwortung, wenn ein Kind seine Einwilligung zu einem Dienst einer Informationsgesellschaft erteilt. Damit gilt diese Vorschrift ausschließlich, wenn Rechtsgrundlage für die Verarbeitung eine Einwilligung des Kindes ist. Ein Kind im Sinne der Vorschrift ist eine Person, die das 16. Lebensjahr noch nicht vollendet hat.
Die Definition des Begriffs „Dienst der Informationsgesellschaft“ in Art. 4 Nr. 25 DSGVO verweist auf die Richtlinie (EU) 2015/1535. Danach ist ein Dienst der Informationsgesellschaft jede
- in der Regel gegen Entgelt
- elektronisch
- im Fernabsatz und
- auf individuellen Abruf eines Empfängers
- erbrachte Dienstleistung.
Liegen diese 5 Voraussetzungen kumulativ vor, bedarf die Einwilligung in das Angebot der Zustimmung der Eltern. Typische Beispiele für einen solchen Dienst sind Soziale Medien und Online-Spiele. Anhang 1 der Richtlinie (EU) 2015/1535 beinhaltet hierzu einen Negativ-Katalog.
Nach Art. 8 Abs. 2 DSGVO sind angemessene Anstrengungen zu unternehmen, um sich der Zustimmung der elterlichen Verantwortung zu versichern. Als sicheres Verfahren käme eine Videoaufzeichnung oder andere Identifizierungsverfahren in Betracht. Allerdings könnten diese Verfahren mit dem Grundsatz der Datensparsamkeit in Konflikt geraten. Diese beiden Forderungen der DSGVO sind in Einklang zu bringen. Es ist daher zu prüfen, wie sensibel die Daten sind, die von dem Kind erhoben werden. Je sensibler die Daten desto höhere Anforderungen sind an die Anstrengung zur Sicherstellung der Zustimmung der Eltern zu stellen.
Es ist zu empfehlen, bei der Erhebung von personenbezogenen Daten eines Kindes immer den Datenschutzbeauftragten mit einzubeziehen, um zu prüfen, ob die Voraussetzungen des Art. 8 Abs. 1 DSGVO vorliegen und ob die Anforderungen des Art. 8 Abs. 2 DSGVO erfüllt werden.
14. Februar 2019
Digitale Bezahlmethoden sind zunehmend Teil des Verbraucheralltags. Daraus resultieren sowohl Vorteile, als auch datenschutzrechtliche Risiken. Es entsteht die Gefahr, die Menschen noch gläserner zu machen als sie es ohnehin schon sind.
Zwar dominiert in Deutschland weiterhin das Bezahlen mit Bargeld, allerdings wächst auch hier der Markt für neue digitale Bezahlmethoden, den sogenannten „Mobile Payments“. Vor allem das Bezahlen mittels Handy-Apps wird immer beliebter.
In anderen Ländern wie zum Beispiel Dänemark ist das bargeldlose Bezahlen etablierter. Demzufolge brauchen die Dänen nur 10 Minuten für ihre Steuererklärung, während man in Deutschland stundenlang Kassenzettel zusammensucht und ordnet, so Achim Berg (Bitkom-Präsident). Weitere Vorteile im mobilen Bezahlen sieht Achim Berg auch für den Einzelhandel. Dieser profitiere durch weniger Ausgaben für Verwaltung, Transport und Schutz von Bargeld. Zudem erschwere das digitale Bezahlen Steuerhinterziehung und Schwarzarbeit. Steuerbetrüger haben es demnach schwerer, wenn sich Zahlungsströme besser nachvollziehen lassen. Zu beachten ist jedoch, dass jeder Bezahlvorgang eine Datenerhebung und Datenverarbeitung auslöst. Indessen kann aufgrund der Metadaten eines Bezahlvorgangs auf das persönliche Kaufverhalten, zumindest aber auf die Art und den Ort des Käufers, rückgeschlossen werden. Wenn nun große datensammelnde Unternehmen Daten weiter anreichern können, steigt die Gefahr der Bildung von aussagekräftigen Profilen über die Verbraucherinnen und Verbraucher.
Anlässlich des vor kurzem stattgefundenen „Safer Internet Day“ (dies ist ein von der Europäischen Union initiierter jährlicher Aktionstag, der für mehr Sicherheit im Internet sorgen soll und jedes Jahr am zweiten Tag der zweiten Woche des zweiten Monats stattfindet) erklärte der Bundesbeauftragte für den Datenschutz Ulrich Kelber in seiner Pressemitteilung: „Aus Sicht des Datenschutzes ist es essentiell, dass das datenschutzrechtlich völlig risikofreie anonyme Bezahlen auch in der Zukunft weiterhin möglich bleibt. Ungeachtet dessen kann man die Digitalisierung und ihre Auswirkungen auf unseren Alltag nicht einfach ignorieren. Vielmehr müssen wir als Datenschützer das Ziel verfolgen, die neuen digitalen Zahlungsmethoden so auszugestalten, dass sie für die Verbraucherinnen und Verbraucher datenschutzrechtlich bestmöglich nutzbar sind. Hierzu gehören neben Sicherheit und Transparenz der ablaufenden Datenverarbeitungsprozesse vor allem Maßnahmen, die verhindern, dass alltägliche Zahlungsvorgänge automatisch mit einem Verlust der Privatsphäre oder der Bildung ausgedehnter Nutzer- und Konsumprofile einhergehen. Hier könnte auch der Gesetzgeber ins Spiel kommen und die Anbieter von mobilen Payment-Lösungen dazu verpflichten, zumindest auch eine Form des anonymen Zahlens anbieten zu müssen. Unter dem Stricht muss mobiles Bezahlen auf jeden Fall möglich sein, ohne dabei gleichzeitig auch alle persönliche Daten offenzulegen.“
Nun muss es darum gehen, das digitale Bezahlen für alle komfortabel und so sicher wie möglich zu machen.
13. Februar 2019
Im Rahmen der siebten Tagung des Europäischen Datenschutzausschusses (EDSA) am 12. Februar 2019 wurden unter anderem die datenschutzrechtlichen Herausforderungen im Rahmen des Brexit diskutiert.
Im Fokus stand die Möglichkeit eines Austritts Großbritanniens ohne Abkommen mit der EU („No-Deal-Szenario“). Dies hätte zur Folge, dass Großbritannien im datenschutzrechtlichen Sinn ein Drittland darstellen würde (wir berichteten). Drittländer sind Staaten, die kein Mitglied der Europäischen Union und nicht Teil des Europäischen Wirtschaftsraumes (EWR) sind. An die Übermittlung personenbezogener Daten in Drittländer stellt die DSGVO besondere Anforderungen (Art. 44 bis 46 DSGVO). Der EDSA einigte sich auf ein Informationspapier, das Vorkehrungen für betroffene Unternehmen und Behörden erläutert um diese DSGVO-Anforderungen zu erfüllen. Laut Ankündigung wird das Informationspapier auf der Homepage des Ausschusses veröffentlicht.
Der Ausschuss ist ein unabhängiges Gremium, das zum Ziel hat
eine einheitliche Anwendung Europäischer Datenschutzvorschriften zu fördern. Im
Ausschuss sind alle nationalen Datenschutzaufsichtsbehörden des EWR und der
Europäische Datenschutzbeauftragte vertreten.
