Kategorie: EU-Datenschutzgrundverordnung
27. Mai 2022
Das AG Pankow hat sich mit Urteil vom 28.03.2022 (AZ 4 C 199/21) zur Unzumutbarkeit des Auskunftsanspruches aus Art. 15 DSGVO geäußert. Art. 15 DSGVO gewährt den Betroffenen einen Anspruch, von dem Verantwortlichen zu erfahren, ob und welche Daten dieser über ihn verarbeitet.
Im vorliegenden Sachverhalt war die Beklagte ein Beförderungsunternehmen, das u.a. S-Bahnen betreibt. In einigen S-Bahnen des Unternehmens findet eine Videoaufzeichnung der Zuginnenräume bei Fahrbetrieb statt. Diese Aufzeichnungen werden für 48 Stunden gespeichert und danach gelöscht.
Der spätere Kläger fuhr im April 2021 mit einer dieser S-Bahnen. Im Anschluss bat er das Beförderungsunternehmen um Herausgabe der ihn betreffenden Videoinformationen und forderte die Beklagte zugleich auf, die ihn betreffenden Daten nicht innerhalb der 48 Stunden zu löschen. Sein Auskunftsanspruch stütze er auf Art. 15 DSGVO. Das Beförderungsunternehmen löschte die Aufzeichnungen aber alle wie gehabt und teilte dies dem Kläger mit. Eine Auskunft wurde gegenüber dem Kläger abgelehnt. Der Kläger sah dies als Datenschutzverstoß an und erhob Klage, mit der er nach Art. 82 DSGVO Schmerzensgeld in Höhe von 350,00 EUR begehrte.
Diese Klage hat das AG Pankow nun abgelehnt. Das Gericht erklärte, der Kläger habe keinerlei Ansprüche auf eine Zahlung von Schmerzensgeld nach Art. 82 Abs. 1 DSGVO. Dies setze einen Verstoß gegen die DSGVO voraus und ein solcher sei hier nicht ersichtlich. Insbesondere habe die Beklagte mit der Verweigerung der Auskunft nicht gegen Art. 15 DSGVO verstoßen. Unabhängig davon, ob der Kläger überhaupt von einer der Kameras erfasst wurde, bestehe hier eine Unzumutbarkeit nach § 275 Abs. 2 BGB bezüglich der Auskunft. Danach kann der Schuldner eine Leistung verweigern, wenn sie einen solchen Aufwand erfordert, der unter Beachtung des Schuldverhältnisses und dem Gebot von Treu und Glauben, in einem groben Missverhältnis zu dem Leistungsinteresse des Klägers steht. Ein solch grobes Missverhältnis sah das Gericht als gegeben an. Dies insbesondere deshalb, da der Kläger sich bereits des “ob, wie und was der Datenverarbeitung bewusst” war und er genau Kenntnis davon hatte, “dass und in welchem Umfang personenbezogene Daten” von ihm erhoben werden. Damit sei der Normzweck des Art. 15 DSGVO zu großen Teilen schon erfüllt gewesen. Denn dieser diene u.a. dazu, einen Überblick über verarbeitete personenbezogene Daten zu erhalten, die länger in der Vergangenheit zurückliegen oder bei den Daten zu unterschiedlichen Anlässen verarbeitet wurden. Über Verarbeitungszweck, Dauer der Verarbeitung und sein Beschwerderecht wurde der Kläger aber bereits informiert. Deshalb fasst das Gericht zusammen: “Welches darüber hinausgehende Interesse der Kläger an der konkreten Gestalt der Videoaufzeichnung hat, hat er nicht hinreichend dargelegt und erschließt sich nicht. Denn für die Überprüfung der Rechtmäßigkeit der Videoaufzeichnung als einen wesentlichen Zweck von Art. 15 DSGVO bedarf der Kläger der konkreten Gestalt der Videoaufzeichnung nicht.”.
Berücksichtigt wurde hier auch, dass die Verhinderung der automatischen Löschung und der anschließenden Auskunft für die Beklagte einen erheblichen Aufwand an Zeit, Kosten und Arbeitskraft bedeutet hätte. Dass ein solch hoher Aufwand einem Auskunftsbegehren entgegenstehen kann, ist europarechtlich anerkannt (EuGH, Urteil v. 19.10.2016, C 582/14). Die Beklagte hätte in diesem Fall sogar den Kläger zunächst persönlich auf dem Video identifizieren müssen, da sie keine Software zur Gesichtserkennung hat. Auch das Vorliegen eines Schadens beim Kläger sah das Gericht nicht.
20. Mai 2022
Der Europäische Datenschutzausschuss (EDSA) hat neue Leitlinien zur Berechnung von Bußgeldern veröffentlicht. Aktuell befinden sich diese noch in der „Public Consultation“-Phase. Ziel sei es, die Methodik bei der Berechnung der Bußgelder zu vereinheitlichen.
Die Leitlinien richten sich an die Aufsichtsbehörden. Diese sollen demnach die Bußgelder künftig über eine standardisierte, fünfstufige Methodik berechnen. Sie ergänzen somit die Leitlinien für die Anwendung und Festsetzung von Bußgeldern (2016/679 (WP253)), die sich auf die Umstände konzentrieren, unter denen eine Geldbuße überhaupt verhängt werden kann.
Grundsätzlich liegt die Berechnung der Höhe der Geldbuße im Ermessen der Aufsichtsbehörde, vorbehaltlich der Vorschriften der Datenschutz-Grundverordnung (DSGVO). In diesem Zusammenhang schreibt die DSGVO vor, dass die Höhe der Geldbuße wirksam, verhältnismäßig und abschreckend sein muss (Art. 83 Abs. 1 DSGVO). Zusätzlich müssen die Aufsichtsbehörden bei der Festsetzung der Höhe der Geldbuße eine Liste von Umständen berücksichtigen, die sich auf bestimmte Merkmale des Verstoßes (die Schwere) oder des Verursachers bezieht (Art. 83 Abs. 2 DSGVO).
Einstufung der Schwere des Verstoßes
Der EDSA erstellte eine aus fünf Schritten bestehende Methodik für die Berechnung von Bußgeldern für Verstöße gegen die DSGVO. Grundlage für die Höhe der Strafen ist laut der Verordnung der Umsatz des betroffenen Unternehmens.
- Zunächst müssten die relevanten Verarbeitungsprozesse ermittelt und die Schwere des Verstoßes bewertet werden (Kapitel 3).
- Anschließend müsste der Ausgangspunkt für die weitere Berechnung der Höhe der Geldbuße festgelegt werden (Kapitel 4). Dies erfolge durch die Einstufung des Verstoßes, gemessen an den vorliegenden DSGVO-Verstößen, der Schwere des Verstoßes im Lichte der Umstände des Falles sowie an der Bewertung des Umsatzes des Unternehmens.
- Der dritte Schritt beschreibt die Bewertung der belastenden und mildernden Umstände, die sich auf das frühere oder gegenwärtige Verhalten des für die Verarbeitung Verantwortlichen/Auftragsverarbeiters beziehen sowie die Erhöhung oder Herabsetzung der Geldbuße (Kapitel 5).
- Schritt vier erläutert dann die Ermittlung der einschlägigen gesetzlichen Höchstbeträge für die verschiedenen Verstöße. Die in den vorhergehenden oder nachfolgenden Schritten angewandten Erhöhungen dürfen diesen Höchstbetrag nicht überschreiten (Kapitel 6).
- Im letzten Schritt sei zu prüfen, ob der berechnete Endbetrag die Anforderungen an die Wirksamkeit, Abschreckung und Verhältnismäßigkeit erfüllt. Die Geldbuße könne dann noch entsprechend angepasst werden (Kapitel 7), jedoch ohne den jeweiligen gesetzlichen Höchstbetrag zu überschreiten.
Hohe Geldbußen möglich
Ausschlaggebend ist somit der Ausgangsbetrag. Dieser bildet den Maßstab für die Berechnung. Die Verstöße lassen sich demnach in drei Kategorien einordnen.
- Verstöße von geringer Schwere: Ausgangsbetrag zwischen 0 und 10 Prozent des geltenden gesetzlichen Höchstbetrags
- Verstöße mittlerer Schwere: Ausgangsbetrag zwischen 10 und 20 Prozent des geltenden gesetzlichen Höchstbetrags
- Schwerwiegende Verstöße: Ausgangsbetrag zwischen 20 und 100 Prozent des geltenden gesetzlichen Höchstbetrags
So könnte ein mittelschwerer Verstoß theoretisch schon früh zu sehr empfindlichen Geldbußen führen. Bei allen vorgenannten Schritten sei jedoch zu berücksichtigen, dass die Berechnung einer Geldbuße keine rein mathematische Angelegenheit darstelle. Vielmehr seien die Umstände des konkreten Falles ausschlaggebend für die endgültige Höhe. In den Guidelines befinden sich auch einige Beispiele mit Fällen zur Bußgeldbemessung.
Darüber hinaus werde man die Leitlinien und die darin vorgeschlagene Methodik fortlaufend überprüfen.
13. Mai 2022
Die EU-Kommission hat am vergangenen Mittwoch einen Entwurf für eine neue Verordnung veröffentlicht. Die Verordnung soll die Verbreitung von Kindesmissbrauchsdarstellungen im Netz bekämpfen. Der Entwurf trifft jedoch vor allem bei Datenschützern auf große Kritik.
Um was für eine Verordnung handelt es sich?
Die Verordnung soll den steigenden Zahlen an Kindesmissbrauchsdarstellungen und “Grooming”- Attacken (bei dem Kinder im Internet zu Missbrauchszwecken kontaktiert werden) im Internet entgegen wirken. Vor allem im Zuge der COVID-19-Pandemie haben diese deutlich zugenommen. Zwar gibt es einige Dienstanbieter, wie z.B. Google, die auf ihren Plattformen gezielt nach solchen Inhalten suchen und diese bei den Behörden melden. Dies erfolgt aber auf freiwilliger Basis und zu größten Teilen von US-Anbietern. Die EU-Kommission sieht dies als nicht ausreichend an und will EU-weit einen gesetzlichen Rahmen und somit Pflichten zum Aufspüren und Melden von solchen Inhalten schaffen. Warum neue Regelungen notwendig sind, hat sie zudem in einem Q&A begründet.
Was genau sieht die Verordnung vor?
Die Verordnung sieht vor, dass Internetdienstanbieter zunächst analysieren, wie groß das Risiko ist, dass ihr Dienst für solche Missbrauchs-Zwecke genutzt wird. Dann soll der Anbieter dementsprechend notwendige Maßnahmen ergreifen. Sollte dies den zuständigen Behörden nicht ausreichen, können diese die Anbieter dazu verpflichten, ihre Dienste mit Hilfe von Softwares zu durchsuchen. Dabei soll entsprechendes Missbrauchs-Bildmaterial entdeckt und gemeldet werden.
Auch das “Grooming” soll dadurch aufgespürt werden. Dazu sollen die Internetdienstanbieter auch Textnachrichten scannen dürfen. Durch welche Technik genau dies geschehen soll, ist noch unklar.
Sollten sich die Anbieter nicht daran halten, sieht der Verordnungs-Entwurf empfindliche Geldstrafen von bis zu 6 Prozent ihres weltweiten Jahresumsatzes vor. Für die Meldungen zuständig soll eine neu einzurichtende EU-Zentralstelle sein, die bei der EU-Polizeibehörde in Den Haag angesiedelt werden soll.
Was genau wird an der Verordnung kritisiert?
Kritiker richten sich selbstverständlich nicht gegen die Zielsetzung der Verordnung, verstärkt gegen Kindesmissbrauchsdarstellungen im Internet vorzugehen. Die Verordnung wird jedoch als unverhältnismäßig kritisiert und bereits jetzt als “Chatkontrolle” betitelt. Kritiker befürchten, dass es durch diese Verordnung zur anlasslosen Massenüberwachung kommt und die Sicherheit der Nutzer nicht mehr gewährleistet werden kann. Privatsphäre und vertrauliche Kommunikation würden unmöglich gemacht. Von der Verordnung betroffen wären auch Dienste wie WhatsApp und Signal, die ihren Nutzern eine verschlüsselte Kommunikation anbieten.
Problematisch sei vor allem, dass durch das grundsätzliche Ermöglichen von Durchsuchungen der Dienste leicht Missbrauch stattfinden könne. Sollten solche Systeme gehackt oder anderweitig missbraucht werden, könne theoretisch jeglicher Inhalt gefunden werden. Auch Inhalte wie z.B. die Kommunikation von Journalisten, Whistleblowern, Ärztinnen und anwaltliche Kommunikation wären davon betroffen.
Weiterhin wird kritisiert, dass die Verbreitung von Kindesmissbrauchsdarstellungen häufig auf einschlägigen Foren stattfinde und die Verordnung dementsprechend nicht zielführend sei.
Wie geht es weiter?
Die EU-Kommission wies die Kritik zurück und verwies darauf, dass die Internetdienstanbieter in der Verordnung angehalten werden, Methoden anzuwenden, die einen möglichst geringen Eingriff in die Privatsphäre der Nutzer darstellen. Als nächstes müssen das EU-Parlament und der Ministerrat über den Verordnungs-Entwurf beraten und die Verordnung dann gemeinsam erlassen. Hierbei kann es durchaus noch zu inhaltlichen Änderungen kommen, ob die Verordnung in ihrer jetzigen Form verabschiedet wird, dürfte also abzuwarten sein. Wenn sie verabschiedet wird, gilt sie als EU-Verordnung in jedem Mitgliedsstaat unmittelbar.
11. Mai 2022
Ob Wahlwerbung oder Rabattcodes – die eigenen Adressdaten und Daten zu Vorlieben haben die werbenden Unternehmen mit großer Wahrscheinlichkeit von Adresshändlern. Sie tragen Daten zusammen, verkaufen sie an ihre Werbekunden und nehmen so eine integrale Rolle im Direktmarketing ein. Mehr als tausend Adresshändler soll es allein in Deutschland geben, sagt der Deutsche Dialogmarketing-Verband (DDV). Deren Praxis wird nun gefährdet von einem Vorhaben der Datenschutzbeauftragten des Bundes und der Länder, die darin einen Verstoß gegen die DSGVO sehen.
Kritik aus datenschutzrechtlicher Sicht
Bislang konnte sich die Praxis auf ein “berechtigtes Interesse” gemäß Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage stützen, was nun laut einigen Datenschutzbeauftragten nicht mehr ausreichen soll. Dieser Gedanke ist nicht neu (wir berichteten ausführlich hier). Stattdessen brauche es eine Einwilligung, die informiert und freiwillig abgegeben worden sein muss. Der Verbraucher müsste also im Vorhinein darüber informiert werden, was mit seinen Daten passiert, wer der Empfänger welcher Daten ist und was wiederum beim Empfänger mit seinen Daten geschieht. Diese unaufgeforderte Aufklärung vorab ist für den Adresshändler de facto kaum umsetzbar. Die Aufklärungspflicht könnte damit eine echte Hürde für die gesamte Branche werden.
Ausblick
Diese Ansicht vertreten auf Anfrage der Süddeutschen Zeitung aktuell die Datenschutzbeauftragten von zehn Bundesländern. Man arbeite an einem Beschluss, um hier bundesweit einheitlich aufzutreten. Quer stellt sich allerdings vor allem die Landesbeauftragte für Datenschutz und Informationsfreiheit des Landes Nordrhein-Westfalen, Bettina Gayk, die das Stützen auf ein berechtigtes Interesse der Adresshändler an den Daten weiterhin für zulässig hält. Hierbei ist allerdings zu beachten, dass in Nordrhein-Westfalen mit Bertelsmann und der Deutschen Post immerhin zwei der größten Branchenvertreter ihren Sitz haben.
Ein Beschluss der Datenschutzkonferenz wird wohl noch etwas auf sich warten lassen. Aufgrund der großen Mehrheit der Datenschutzbehörden, die diese Ansicht vertreten, ist es jedoch wahrscheinlich, dass sich die Rechtslage für Adresshändler und damit für die gesamte Branche schon bald empfindlich spürbar verändert.
6. Mai 2022
Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat am 04.05.2022 ihre Forderung nach einem Beschäftigtendatenschutzgesetz veröffentlicht. In ihrer Ende April gefassten Entschließung begründen sie ihre Forderung nach einem Beschäftigtendatenschutzgesetz damit, dass die sich “dynamisch entwickelnde Digitalisierung zu tiefgreifenden Veränderungen der Arbeitswelt führt, die neue Möglichkeiten von Verhaltens- und Leistungskontrollen” ermögliche. Geregelt werden müsse u.a. der Einsatz von algorithmischen Systemen einschließlich Künstlicher Intelligenz (KI).
Der Vorsitzende der DSK, Professor Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) äußerte sich dazu: „Die gegenwärtigen Regelungen zum Beschäftigtendatenschutz reichen bei Weitem nicht aus. Der Gesetzgeber muss ein eigenständiges Beschäftigtendatenschutzgesetz schaffen.”
Ein Beispiel für Sachverhalte, die Regelungsgegenstand eines Beschäftigtendatenschutzgesetz werden können, ist die GPS-Überwachung von Firmenfahrzeugen. Dies ist bisher gesetzlich nicht reguliert und führt daher regelmäßig zu Gerichtsverfahren. Aber auch Regelungen über die Datenverarbeitung auf Grundlage von Kollektivvereinbarungen oder die Grenzen der Verhaltens- und Leistungskontrolle bedürfen gesetzlicher Klarstellungen.
29. April 2022
Verbraucherschutzverbände können gegen Verletzungen des Schutzes personenbezogener Daten stellvertretend für einzelne Nutzer klagen. Demnach müssen sich Facebook und perspektivisch auch andere Digitalkonzerne nun in der Zukunft Verbandsklagen stellen. Nach Ansicht der Richter ist eine solche Klageunabhängig von einer Verletzung eines subjektiven Rechts einer bestimmten Person und ohne entsprechenden Auftrag zulässig. Dies hat der Europäische Gerichtshof (EuGH) am 28.04.2022 entschieden.
Hintergrund der Entscheidung
Der EuGH entscheidet auf Vorlage des deutschen Bundesgerichtshofes (BGH) hin. In dem Verfahren zwischen dem Bundesverband der Verbraucherzentralen (vzbv) und dem Konzern Meta geht es darum, ob ein potenzieller Datenschutzverstoß des Betreibers eines sozialen Netzwerks auch wettbewerbsrechtliche Unterlassungsansprüche begründet und dementsprechend von Verbraucherschutzverbänden durch eine Klage vor den Zivilgerichten verfolgt werden kann.
Der Rechtsstreit dreht sich um das von Facebook betriebene App-Zentrum, über das kostenlos Online-Spiele von Drittanbietern von Facebook bereitgestellt werden. Der Nutzer erteilt hier mit dem Button “Sofort spielen” den Anbietern der Spiele seine Einwilligung, viele persönliche Daten zu verarbeiten und auszuwerten. Nach Ansicht des Verbraucherverbands werde diese Einwilligung nicht auf Grundlage einer verständlichen und präzisen Information über die Datenverarbeitungen eingeholt. Der Verbraucherverband sieht deshalb keine wirksame Einwilligung in die Datenverarbeitung. Er sieht in diesem Vorgehen zudem einen wettbewerblichen Verstoß.
Der BGH hatte grundsätzlich keine Zweifel daran, dass ein Vorgehen mittels wettbewerbsrechtlicher Unterlassungsansprüche begründet sein könnte. Zweifel meldete der BGH an der Zulässigkeit der Geltendmachung durch den Verband an. Schließlich seien die Aufsichtsbehörden dafür zuständig, die Einhaltung der Europäischen Datenschutz-Grundverordnung (DGSVO) zu überprüfen.
Inhalt der Entscheidung
Der EuGH stellt nun fest, dass die DSGVO einer nationalen Regelung nicht entgegensteht, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Datenschutzverletzer eine Art Sammelklage erheben kann. Er urteilte, dass ein Verband zur Wahrung von Verbraucher:inneninteressen wie der vzbv unter den Begriff einer im Sinne der DSGVO klagebefugten Einrichtung falle, da er ein im öffentlichen Interesse liegendes Ziel verfolge. Ein Auftrag betroffener Nutzerinnen oder Nutzer sei hierfür nicht erforderlich. Es reiche aus, wenn die Rechte “identifizierbarer natürlicher Personen” betroffen und nach Überzeugung des Verbands verletzt sind. Nach dem Urteil des EuGH kann nun der BGH entscheiden und wird der Klage sehr wahrscheinlich in gewissem Umfang stattgeben.
Jedenfalls öffnet das Urteil des EuGH nun weiteren Verbandsklagen Tür und Tor, denen sich die Digitalkonzerne werden stellen müssen. Das bietet eine Chance für eine effektivere Durchsetzung der DSGVO.
28. April 2022
Nachdem bereits in der letzten Woche die Landesbeauftragte für den Datenschutz Niedersachsen Unternehmen und öffentliche Stellen zur Löschung von Corona-Daten aufgefordert hatte (wir berichteten), werden nun auch Arbeitgeber in Hamburg zur Löschung dieser Daten aufgefordert.
In einer entsprechenden Pressemitteilung teilte der Hamburgische Beauftragte für Datenschutz und Informationssicherheit (HmbBfDI) Thomas Fuchs mit, dass ab dem 1. Mai 2022 aufgrund des Wegfalls der Hotspot-Regelungen in Hamburg viele gesetzliche Grundlagen für die Verarbeitung von Corona-Daten wegfielen. Die Unternehmen und öffentlichen Stellen sollten diese neue Phase der Pandemie zum Anlass nehmen, eine Inventur der Corona-Datenbestände durchzuführen. Vorhandene Datenbestände müssten daher überprüft und nicht mehr erforderliche Daten gelöscht werden.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit kündigte nun an, aktiv auf Kammern und Verbände zuzugehen und diese darüber zu informieren, was im Rahmen des “digitalen Frühjahrsputzes” zu tun sei.
7. April 2022
In ihren Entscheidungen über Vertragsverletzungsverfahren hat die Europäische Kommission die Länder Deutschland, Griechenland, Finnland und Schweden dazu aufgefordert ihren Meldepflichten aus der Datenschutzgrundverordnung (DSGVO) und der Richtlinie zum Datenschutz bei der Strafverfolgung nachzukommen.
Aus der Entscheidung der Kommission geht hervor, dass Deutschland noch keine Maßnahmen zur Umsetzung der Richtlinie zum Datenschutz bei der Strafverfolgung in Bezug auf die Tätigkeiten der Bundespolizei mitgeteilt habe. Auch Griechenland habe einige Bestimmungen nicht ordnungsgemäß umgesetzt. Betroffen sind hier insbesondere Festsetzungen hinsichtlich des Anwendungsbereichs der Richtlinie zum Datenschutz bei der Strafverfolgung und die Fristen für die Speicherung von Daten. Neben Deutschland und Griechenland bemängelte die Kommission ebenfalls die mangelhafte Umsetzung datenschutzrechtlicher Verpflichtungen in den Ländern Finnland und Schweden. Im Rahmen der Durchsetzung von Betroffenenrechten wären die Länder in bestimmten Fällen dem Recht auf einen wirksamen gerichtlichen Rechtsbehelf nicht nachgekommen.
Die Länder haben nun innerhalb von zwei Monaten die Möglichkeit auf das Schreiben zu reagieren und die für das Abstellen der von der Kommission festgestellten Verstöße notwendigen Maßnahmen zu ergreifen. Kommen die Länder diesem Erfordernis nicht nach, so kann die Kommission eine begründete Stellungnahme übermitteln.
31. März 2022
Am 25. März 2022 haben sich die Vereinigten Staaten und die Europäische Kommission mit einer gemeinsamen Erklärung im Grundsatz auf einen neuen transatlantischen Datenschutzrahmen geeinigt. Dieser soll möglicherweise bald den vom Europäischen Gerichtshof verworfenen Privacy-Shield-Rahmen ablösen.
Die Entscheidung ist das Ergebnis von mehr als einem Jahr intensiver Verhandlungen zwischen den USA und der EU. Die Hoffnungen sind groß, dass dieser neue Rahmen eine dauerhafte und rechtssichere Grundlage für den Datenverkehr zwischen der EU und den USA bildet.
Das Weiße Haus erklärte, dass der transatlantische Datenschutzrahmen “den transatlantischen Datenverkehr fördern und die Bedenken ausräumen wird, die der Gerichtshof der Europäischen Union geäußert hat, als er im Jahr 2020 die Angemessenheitsentscheidung der Kommission, die dem EU-US-Datenschutzschild zugrunde lag, für ungültig erklärte”.
Wie das Privacy Shield ist die Grundlage dieses neuen Rahmens die Selbstzertifizierung gegenüber dem US-Handelsministerium. Für Datenexporteure in der EU ist es dann von entscheidender Bedeutung sicherzustellen, dass ihre Datenimporteure in den USA nach dem neuen Rahmenwerk zertifiziert sind.
Durch den Rahmen soll außerdem neben einer effektiveren Aufsicht über die Geheimdienste ein mehrstufiges Rechtsbehelfssystem eingerichtet werden. Dieses schließt einen „Independent Data Protection Review Court“ ein, der die Befugnis haben soll, von EU-Bürgern erhobene Ansprüche gegen Überwachungsmaßnahmen der Geheimdienste zu beurteilen und erforderlichenfalls Abhilfemaßnahmen in rechtlich bindender Weise anzuordnen.
Aus mehreren Gründen steht diese Entscheidung jedoch auf wackeligen Beinen. Erstens handelt es sich bei der Entscheidung zunächst nur um eine politische Entscheidung im Grundsatz. Weder sind Details geklärt noch hat die Europäische Kommission den Prozess zu einer Angemessenheitsentscheidung anlaufen lassen. Entsprechend der Ankündigungen des Datenschutzaktivisten Max Schrems und noyb dürfte sich zudem auf Klagen vor den EU-Gerichten einzustellen sein. Es bleibt daher abzuwarten, ob dieser neue Rahmen den erhofften Abschluss zum Thema transatlantische Datenströme bringen wird. Bis dahin müssen Unternehmen weiterhin auf die Standardvertragsklauseln und zusätzliche Maßnahmen für ein angemessenes Datenschutzniveau setzen.
22. März 2022
Aus einer Pressemitteilung der niederländischen Aufsichtsbehörde Autoriteit Persoonsgegevens (“AP”) geht hervor, dass gegen die DPG Media Magazines B.V. eine Geldstrafe in Höhe von 525.000 Euro verhängt wurde.
Vorausgegangen waren mehrere Beschwerden gegenüber der AP über die Art und Weise, wie Sanoma Media Netherlands B.V. (jetzt DPG Media Magazines B.V.) mit dieser Art von Anfragen umging. Die Personen, die sich beschwerten, hatten z. B. ein Abonnement für eine Zeitschrift. Das Medienunternehmen wurde infolgedessen zu der Geldstrafe verurteilt, weil Personen, die ihre Daten einsehen oder löschen lassen wollten, zunächst einen Identitätsnachweis hochladen mussten. Darüber hinaus wurden die Betroffenen nicht darüber informiert, dass sie Daten aus dem Dokument sperren dürfen. Laut der AP sei dies in dieser Situation jedoch nicht notwendig. Das Medienunternehmen fordere somit zu viele personenbezogene Daten an.
Hinsichtlich der behördichen Entscheidung äußerte sich Monique Verdier, Vizepräsidentin der AP: “Man darf nie einfach einen Identitätsnachweis verlangen. Er enthält eine Menge personenbezogener Daten. Selbst wenn Teile eines Ausweises geschützt sind, ist es oft zu schwierig, anhand einer Kopie festzustellen, ob jemand derjenige ist, der er vorgibt zu sein. Auch Kopien von Ausweispapieren müssen mit großer Sorgfalt aufbewahrt werden.”
Die DPG Media Magazines B.V. legte gegen den Bußgeldbescheid der Autoriteit Persoonsgegevens Widerspruch ein.
Pages: 1 2 ... 5 6 7 8 9 ... 34 35 
