Kategorie: EU-Datenschutzgrundverordnung
18. Dezember 2018
Am 22. Januar 2019 treten aktualisierte Nutzungsbedingungen sowie eine mit Änderungen versehene Datenschutzerklärung bei Google in Kraft. Die bedeutsamste und rechtlich weitreichendste Änderung ist der Wechsel des Verantwortlichen. Momentan werden die Dienste von Google LLC in den USA angeboten. Dies ändert sich nunmehr bald. Künftig werden alle Dienste in der europäischen Union sowie in der Schweiz von der Google Ireland Limited angeboten. Damit wird das europäische Unternehmen der neue Verantwortliche, der sich um die datenschutzrechtliche Belange der Betroffenen kümmern muss.
Den Wechsel begründet Google mit der einfacheren Umsetzbarkeit der DSGVO. Somit wird auch die „One Stop Shop“-Regelung der EU eingehalten, dass es nur einen einzigen Ansprechpartner für Nutzer und Unternehmen geben soll.
Wichtig ist nun für alle Websitebetreiber, die in ihrer Datenschutzerklärung Google LLC als Verantwortlichen beispielsweise bei Google Analytics genannt haben, dies entsprechend zu ändern. Die Einstellungen und Dienste von Google erhalten keine Änderungen.
17. Dezember 2018
„Bedenkt man unsere eingeschränkte Zuständigkeit, sind beachtliche Zahlen an Eingaben und Beschwerden zu Datenschutzverstößen im ersten Halbjahr eingegangen“, sagte die Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI), Andrea Voßhoff (CDU).
Seit dem 25. Mai 2018 wurden bundesweit bis Anfang September 11.000 Beschwerden gezählt, davon 6.100 Datenschutzverstöße. Im Vergleich dazu waren es EU-weit (lediglich) 55.000 Beschwerden und knapp 18.900 Meldungen von Datenschutzverletzungen.
Bis Ende Oktober sind laut Voßhoff in dem von ihr geführten Haus rund 3.700 Eingaben eingegangen – sowohl allgemeine, als auch Beschwerden über Verletzungen des Datenschutzes sowie 4.667 Meldungen mit Datenschutzverstößen.
Ob diese Zahlen nun das steigende Bewusstsein der Bürger in Punkto Datenschutz widerspiegeln oder lediglich die Aktivitäten von Abmahnanwälten offenlegen, bleibt unbeantwortet.
13. Dezember 2018
Die Datenschutzgrundverordnung (DSGVO) hat viele Veränderungen mit sich gebracht. Eine der neuen Pflichten, die sich aus der DSGVO ergeben, ist die Meldung der Kontaktdaten des Datenschutzbeauftragten eines Unternehmens an die Aufsichtsbehörden.
In Deutschland haben sich die Aufsichtsbehörden gegen eine bundesweite Lösung entschieden und je nach Bundesland eine individuelle Lösung entwickelt um die Umsetzung der Meldepflicht sicherstellen zu können.
Die Bundesländer Nordrhein-Westfalen und Bayern haben eigens für die Meldepflicht ein Portal online gestellt auf dem sich Unternehmen einen Nutzeraccount erstellen können. Um bei der Registrierung eine sichere Übermittlungsmethode der Zugangsdaten gewährleisten zu können, wird nach erfolgter Registrierung ein Aktivierungslink an die angegebene E-Mail-Adresse gesendet. Erst nach Aktivierung dieses Links ist der Registrierungsprozess beendet und das Nutzerkonto kann verwendet werden. Die eigentliche Meldung erfolgt durch ein Formular, auf welches man nach dem Login Zugriff hat. Nach erfolgreicher Meldung wird eine Kopie des Formulars als Bestätigung an die angegebene E-Mail-Adresse geschickt.
Andere Bundesländer wie Baden-Württemberg oder Hamburg haben Formulare für die Meldepflicht frei zugänglich auf ihren Webseiten positioniert. Die Übermittlung des ausgefüllten Formulars erfolgt hierbei direkt oder via E-Mail.
Die von den Aufsichtsbehörden abgefragten Daten, über das Unternehmen sowie den Datenschutzbeauftragten, variieren von Bundesland zu Bundesland stark. Grundsätzlich haben die Aufsichtsbehörden versucht sicherzustellen, dass dem Datenminimierungsprinzip Sorge getragen wird. Viele Formulare beinhalten daher Kennzeichnungen der Pflichtangaben. Diese umfassen zumeist die Kontaktdaten des Unternehmens sowie des Datenschutzbeauftragten aber auch die Kontaktdaten des Meldenden.
Einige Aufsichtsbehörden haben Fristen erlassen um den Unternehmen genügend Zeit zu bieten der Meldepflicht nachzukommen. Die Frist der Aufsichtsbehörde NRW und somit die letzte aktuell laufende Frist endet am 31.Dezember 2018. Bis dahin werden fehlende Meldungen nicht durch die Aufsichtsbehörde geahndet.
Die DSGVO hat ebenfalls einige Privilegien hervor gebracht. Darunter auch das Privileg des Konzerndatenschutzbeauftragten. Die Pflicht zur Meldung der Kontaktdaten des Datenschutzbeauftragten kann diesem Privileg nicht untergeordnet werden. Das hat die Auswirkung, dass jede Gesellschaft bzw. jedes verbundene Unternehmen eines Konzerns die Kontaktdaten des Datenschutzbeauftragten melden muss, auch dann wenn ein und der selbe Datenschutzbeauftragte für alle Gesellschaften des Konzerns bestellt wurde.
Meldungen die formlos via E-Mail erfolgt sind, werden von den Aufsichtsbehörden nicht berücksichtigt.
„Guten Tag Frau …“, so begrüßte eine Metzgerei-Verkäuferin eine Kundin und wurde erst einmal zurechtgewiesen. Sie möchte nicht das ihr Name öffentlich genannt wird. Außerdem verstoße dies nach ihrer Ansicht gegen die DSGVO. Stimmt das denn wirklich?
Dazu müsste zunächst der sachliche Anwendungsbereich gemäß Art. 2 Abs. 1 DSGVO eröffnet sein. Dieser ist eröffnet, sobald eine ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten oder eine nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, vorliegt. Eine automatisierte Verarbeitung liegt bei einer persönlichen Ansprache einer Kundin nicht vor.
Fraglich ist, ob eine nichtautomatisierte Verarbeitung personenbezogener Daten vorliegt, die dateibezogen erfolgt. Nach dem Erwägungsgrund 15 Satz 3 der DSGVO kommt es bei „Dateibezug“ auf die Ordnung nach bestimmten Kriterien an. Ein Dateibezug liegt dagegen nicht vor, wenn der Datenbestand keinen allgemeinen Ordnungskriterien folgt. Es ist nicht davon auszugehen, dass die Namen der Kunden in einem Aktenbestand oder in einer sonstigen Aktenführung geordnet werden. Die Metzgerin hat wohl vielmehr den Namen gemerkt. Dies stellt jedoch keine Verarbeitung dar. Aus diesem Grund ist der sachliche Anwendungsbereich der DSGVO nicht eröffnet.
Wenn jemand eine Metzgerei betritt, möchte derjenige wohl im Zweifel einen Kaufvertrag abschließen. Die persönliche Ansprache ist Teil der vorvertraglichen Vertragsverhandlungen und stellt keine Datenverarbeitung dar.
12. Dezember 2018
Am 6. Dezember 2018 wurde ein neues spanisches Datenschutzgesetz veröffentlicht. Das „Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales“ (Gesetz zum Datenschutz und zur Gewährleistung digitaler Rechte) wurde mit 93% parlamentarischer Unterstützung verabschiedet und setzt die Datenschutz-Grundverordnung (DSGVO) in nationales spanisches Recht um.
Das Gesetz enthält eine Reihe von Vorschriften, welche die Datenverarbeitung im Betrieb betreffen. So reicht beispielsweise die Zustimmung einer betroffenen Person nicht aus, um die Verarbeitung besonderer Datenkategorien zu legitimieren, wenn der Hauptzweck z.B. darin besteht, die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit oder genetische Daten einer Person zu ermitteln.
Das Gesetz enthält auch eine Liste von Fällen, in denen Unternehmen einen Datenschutzbeauftragten benennen müssen, z.B. Unternehmen, die Netzwerke betreiben und elektronische Kommunikationsdienste erbringen, Bildungszentren sowie öffentliche und private Universitäten.
Bitte beachten Sie:
Alle Unternehmen haben bis zu 10 Tage nach (obligatorischer oder freiwilliger) Ernennung eines Datenschutzbeauftragten Zeit, um die spanische Datenschutz-Aufsichtsbehörde über die Person des Datenschutzbeauftragten sowie dessen Erreichbarkeit zu informieren. Konzerne mit in Spanien niedergelassenen Unternehmen sollten diese kurzfristige Meldepflicht berücksichtigen.
Für bereits bestehende Ernennungen des Beauftragten dürfte die 10-tägige Frist seit Veröffentlichung des Gesetzes am 6. Dezember laufen.
Eine der größten inhaltlichen Neuerungen ist wohl die Einführung neuer digitaler Rechte wie das Recht auf universellen Zugang zum Internet, das Recht auf digitale Bildung, das Recht auf Privatsphäre und Nutzung digitaler Geräte am Arbeitsplatz, das Recht auf Privatsphäre vor Videoüberwachungsgeräten und Tonaufnahmen am Arbeitsplatz sowie Regelungen zum digitalen Nachlass („derecho al testamento digital“).
5. Dezember 2018
Da viele Unternehmen seit Inkrafttreten der DSGVO unsicher im Umgang mit Daten sind, stellt sich die Frage, ob auch in diesem Jahr traditionell Weihnachtskarten verschickt werden dürfen, um sich bei Kunden und Geschäftspartnern für die Zusammenarbeit im vergangenen Jahr zu bedanken.
Als Rechtsgrundlage für diese Art der Datenverarbeitung kommen entweder eine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO oder ein berechtigte Interesse des Unternehmens gemäß Art. 6 Abs. 1 lit. f DSGVO in Betracht. Den sichersten Weg stellt regelmäßig die ausdrückliche Einwilligung der Empfänger dar. Jedoch erscheint dies kaum praktikabel, da hierdurch die Geste der kleinen Aufmerksamkeit durch den Verwaltungsaufwand verdrängt werden könnte.
Somit kommt der Auffangtatbestand des berechtigten Interesses zum Tragen, wonach die Datenverarbeitung rechtmäßig ist, wenn sie zur Wahrung von überwiegenden berechtigten Interessen erforderlich ist.
Von einem solchen berechtigten Interesse ist insbesondere dann auszugehen, wenn es sich um Bestandskunden handelt oder um andere Geschäftskontakte, die vernünftigerweise damit rechnen können, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird.
Neben Kunden müssen auch Personen, die ihre Adresse einem Unternehmen, zum Beispiel durch Übergabe ihrer Visitenkarte auf einer Messe, mitgeteilt haben, mit dem Erhalt einer Weihnachtskarte rechnen.
Darüber hinaus muss jeder Adressat über sein Widerspruchsrecht gemäß Art. 21 DSGVO aufgeklärt worden sein, z.B. im Rahmen von Datenschutzhinweisen, und darf der Datenverarbeitung nicht widersprochen haben.
Sofern die Karten bei Dritten unter Verwendung von Kontaktdaten gedruckt werden, sollte darauf geachtet werden, dass auch diese das Datenschutzrecht einhalten.
30. November 2018
Neuer Bundesdatenschutzbeauftragter ist Ulrich Kelber, der seit dem Jahr 2000 für die Partei SPD im Bundestag vertreten ist. Mit seiner Wahl, bei der er 444 Stimmen der Abgeordneten bekam, folgt er auf Andrea Voßhoff.
Der neue Leiter der höchsten deutschen Datenschutzbehörde war unter anderem als parlamentarischer Staatssekretär für Verbraucherschutz, Mietrecht und Digitales zuständig. Kelber bringt darüber hinaus einschlägige Berufserfahrung als IT-Experte mit sich.
Interessanter Nebenaspekt ist dabei der in den einschlägigen Fachforen bereits diskutierte Auswahlprozess des neuen Bundesbeauftragten für Datenschutz. In ihrem Art. 53 bestimmt die Datenschutz-Grundverordnung (DSGVO) eigentlich folgendes:
„Die Mitgliedstaaten sehen vor, dass jedes Mitglied ihrer Aufsichtsbehörden im Wege eines transparenten Verfahrens ernannt wird (…).“
Die Wahl Kelbers dagegen verlief, wie bislang üblich, auf Vorschlag der Bundesregierung. Entsprechend gab es keine Ausschreibung, die womöglich die von der DSGVO intendierte Transparenz gefördert hätte. Ob und welche Auswirkungen dies haben könnte, ist dabei unklar.
Über die fachliche und persönliche Qualifikation des IT-erfahrenen Kelber sei damit selbstverständlich keine Aussage getroffen.
28. November 2018
Nach der neuen Rechtslage der DSGVO gibt es keine ausdrückliche Regelung zur Videoüberwachung mehr. Zwar enthält das BDSG-neu eine Regelung zur Videoüberwachung, die inhaltlich mit der ursprünglichen Regelung des § 6b BDSG a.F. in großen Teilen übereinstimmt. Allerdings ist nicht klar, ob diese Regelung nicht europarechtswidrig ist, da umstritten ist, ob für den Erlass einer solchen Vorschrift durch den nationalen Gesetzgeber eine Ermächtigungsnorm besteht.
Nicht öffentlichen Stellen ist daher zu empfehlen, eine Videoüberwachung (zumindest vorerst bis zur Klärung der Rechtslage) nicht auf § 4 BDSG-neu zu stützen, sondern auf die allgemeine Ermächtigungsnorm des Art. 6 Abs. 1 lit. f DSGVO. Hiernach hat eine Interessensabwägung zwischen den eigenen Interessen und den Interessen der betroffenen Personen stattzufinden.
Ebenfalls berücksichtigt werden sollten
• die Informationspflichten nach Artt. 12 ff. DSGVO, wonach über die Videoüberwachung durch Hinweisschilder und die weiteren gesetzlich normierten Informationen (bspw. durch einen Aushang) transparent aufzuklären ist,
• die Aufnahme des Verfahrens in das Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DSGVO und
• eine eventuell durchzuführende Datenschutzfolgenabschätzung gemäß Art. 35 DSGVO bei einem voraussichtlich hohen Risiko für die Rechte und Freiheiten natürlicher Personen. Dies gilt in jedem Fall bei einer systematischen umfangreichen Überwachung öffentlich zugänglicher Räume (Art. 35 Abs. 3 lit. c DSGVO).
21. November 2018
Die Datenschutzgrundverordnung (DSGVO) entfaltet seit dem 25.Mai diesen Jahres Wirkung. In diesem Kontext stieg die Anzahl der durch die Datenschutzbehörden zu erfüllenden Aufgaben bekanntermaßen an. Dies resultiert sowohl aus einer steigenden Bereitschaft der Menschen, Verstöße zu melden als auch aus neuen, durch die DSGVO entstandenen Aufgaben.
Dieser Anstieg der Anzahl zu erledigenden Aufgaben scheint die Datenschutzbehörden jedoch trotz der zweijährigen Umsetzung nahezu unvorbereitet getroffen zu haben. Dies geht zumindest aus einem Interview mit Baden-Württembergs Datenschutzbeauftragtem Stefan Brink hervor. Dieser (und andere) konstatierte(n) scheinbar, dass das Personal einiger Bundesländer nicht – oder unzureichend – aufgestockt wurde und hierdurch ein Engpass entstanden sei, der zu langen Wartezeiten bei der Bearbeitung etwaiger Aufgaben führe. Mit anderen Worten seien die Datenschutzbehörden überlastet.
Im Ergebnis führe diese Überlastung zu einer reellen Gefahr, dass Deutschland einem Vertragsverletzungsverfahren ausgesetzt wird. Aus heutiger Perspektive bleibt abzuwarten, ob dies tatsächlich der Fall ist. Insoweit bleiben künftige Veränderungen innerhalb der Behördenstruktur oder aber des Aufgabenausmaßes abzuwarten.
20. November 2018
Nach einem Bericht der britischen Zeitung „The Telegraph“, erheben Datenschutzexperten der niederländischen Firma „Privacy Company“ Vorwürfe gegen Microsoft, da sie auf Hinweise gestoßen seien, dass Microsoft mit Hilfe der Office-Anwendungen eine erhebliche Menge an personenbezogenen Daten abgefragt habe ohne dabei weder die Informationspflichten der DSGVO einzuhalten noch die Nutzer anderweitig über die Erhebung der Daten in Kenntnis zu setzen. Unter anderem seien Betreffzeilen aus E-Mails sowie inhaltliche Ausschnitte aus den betroffenen Mails erfasst worden. Das Ganze soll dabei automatisch abgelaufen sein, sobald der Nutzer die Rechtsschreibprüfungsfunktion benutzte. Microsoft behauptet derweil, die Datenerhebung erfolge zum Zwecke der Sicherheit und der Funktionsweise der Office-Anwendungen.
Tätig wurde die niederländische Firma im Auftrag des niederländischen Justizministeriums. Der Bericht über die Überprüfung wurde auf dem Blog der Firma veröffentlicht. Microsoft komme dem Bericht des Telegraph zufolge allerdings noch mit einer milden Strafe davon, da der us-amerikanische Konzern – so das niederländische Justizministerium – bereits im Oktober eingewilligt habe, die Office-Software datenschutzrechtlich zu überarbeiten. Die Änderungen sollen bis spätestens Mitte 2019 implementiert und abgeschlossen sein. Wie die Änderungen dann letztlich aussehen, bleibt daher vorher abzusehen.
