13. November 2018
Vor einigen Wochen gab es Diskussionen um das Abmontieren von Klingelschildern an Mietwohnungen. Eine Hausverwaltung in Wien wollte zu dieser drastischen Maßnahme greifen, um den Anforderungen der DSGVO gerecht zu werden. Diese Maßnahme zeigt sehr gut, wie groß die Unsicherheiten beim Thema Datenschutz auch bei den Vermietern ist.
Da es sich bei den Klingelschildern mit Namen jedoch nicht um eine automatisierte Verarbeitung von Daten und auch nicht um eine tatsächliche oder beabsichtigte Speicherung in einem Datensystem handelt, sind die strengen Anforderungen der DSGVO hier nicht einschlägig und Vermieter können dahingehend aufatmen.
Allerdings gibt es in anderer Hinsicht einiges für den Vermieter zu beachten.
Der Datenschutz fängt nicht erst mit Beginn des Mietverhältnisses an, sondern bereits im Vorfeld. Es muss für jeden Prozess, bei denen der Vermieter in Kontakt mit Daten von Dritten kommt, überprüft werden, ob die DSGVO zur Anwendung kommt. Dazu zählt auch die Auswahl des richtigen Mieters.
Es stellt sich insbesondere die Frage, welche Informationen der Vermieter über einen potentiellen Mieter überhaupt einholen darf. Der Vermieter kann nicht ohne Weiteres alles abfragen, sondern muss sich stets auf ein berechtigtes Interesse berufen können oder eine Einwilligung des potentiellen Mieters einholen für den Fall, dass ein berechtigtes Interesse nicht gegeben ist.
Beispielsweise kann noch kein berechtigtes Interesse des Vermieters daran begründet werden, bei der ersten Kontaktaufnahme mit dem potentiellen Mieters sämtliche Gehaltsauskünfte inklusive Schufa-Auskunft einzufordern. Mehr Möglichkeiten hat der Vermieter hingegen, wenn der potentielle Mieter zur Wohnungsbesichtigung kommt. Im Rahmen einer “freiwilligen Selbstauskunft” ist der Vermieter hier berechtigt, Informationen vom Mieter einzuholen, die für ein zukünftiges Mietverhältnis von wichtiger Bedeutung wären. So hat der Vermieter vor Vertragsunterzeichnung beispielsweise ein berechtigtes Interesse daran, zu erfahren, ob sein künftiger Mieter pünktlich die Miete zahlen kann, ob er ein Haustier besitzt oder Raucher ist. Nicht hingegen von Bedeutung ist beispielsweise die Information über den Familienstand des Mieters, da Angehörige auch ohne Erlaubnis des Vermieters mit in die Wohnung einziehen dürfen.
Hat der Vermieter sich für einen Mieter entschieden, hat die Selbstauskunft des Mieters ihren Zweck erfüllt, sodass diese vernichtet werden muss. Behält der Vermieter Unterlagen ohne datenschutzrechtliche Grundlage, insbesondere nach Zweckwegfall, droht ein hohes Bußgeld und Schadensersatzansprüche.
Der deutsche Bundestag hat eine Reform der berufsrechtlichen Verschwiegenheitspflichten verabschiedet. Hiervon betroffen sind klassischerweise Anwälte, Ärzte und Psychologen oder Steuerberater. In der Reform geht es vorrangig jedoch um einen anderen Aspekt, der aus datenschutzrechtlicher Sicht eine große Relevanz hat: Die Zusammenarbeit mit externen Dienstleistern im Kontext der Auftragsverarbeitung.
Denn die den Berufsgeheimnisträgern anvertrauten Informationen müssen über den eigenen Machtbereich hinaus auch bei externen Dienstleistern sicher sein und dürfen das Grundkonzept der Verschwiegenheit nicht unterlaufen.
Im Zuge dessen wurde das Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen beschlossen.
Dabei geht es speziell in dem eingeführten § 203 Abs. 3 StGB um eine mögliche Legitimation der Weitergabe von Daten durch Berufsgeheimnisträger an Dritte. Dass es diese Möglichkeit nun gibt, muss vor dem Hintergrund der digitalen und wirtschaftlichen Realität gesehen werden. Auch die genannten Berufe mit besonderer Vertrauensstellung kommen häufig nicht umhin, sich gegenüber arbeitsteiligen Outsourcing-Prozessen zu öffnen. Schließlich gibt es beispielsweise für Anwälte und Ärzte bereits eine Vielzahl von Software-Lösungen “in der Cloud”. Hierin spiegelt sich aus datenschutzrechtlicher Sicht eine Konstellation der Auftragsverarbeitung wider.
§ 203 Abs. 3 StGB legitimiert die Datenweitergabe an Dritte dann, wenn
der Geheimnisträger den bei ihnen berufsmäßig tätigen Gehilfen oder den bei ihnen zur Vorbereitung auf den Beruf tätigen Personen Geheimnisse zugänglich macht,
die Geheimnisse gegenüber Dritten offenbart werden, die an der beruflichen oder dienstlichen Tätigkeit des Geheimnisträgers mitwirken, soweit dies für die Inanspruchnahme der Tätigkeit der „sonstigen mitwirkenden Person“ erforderlich ist.
Im Gegenzug können sich nun auch Dritte, die an der Verarbeitung von berufsständisch besonders geschützten Daten mitwirken, entsprechend strafbar machen.
Die Datenschutz-Grundverordnung sieht für die Weitergabe sensibler Informationen (u.a. Gesundheitsdaten) die Einwilligung der jeweils Betroffenen vor, was die Datenübermittlung grundsätzlich erschwert und viele der auf dem Markt verfügbaren Arbeitserleichterungen nicht nutzbar macht. Mit der Reform des § 203 StGB ist dieses Regelungsproblem jedoch in vernünftiger Weise zugunsten der Zusammenarbeit mit Dritten gelöst worden. Selbstverständlich sind die strengen und mit hohen Bußgeldern unterlegten datenschutzrechtlichen Anforderungen an die Weitergabe von Daten weiterhin zu erfüllen.
12. November 2018
Die Bundesdatenschutzbeauftragte, Andrea Voßhoff, bezog vor dem Bundesverfassungsgericht Stellung zu einer Verfassungsbeschwerde gegen Bestandsdatenauskünfte. Voßhoff äußert Ihre Kritik darin, dass das Auskunftsrecht des Bundesamtes für Verfassungsschutz dazu führe, dass Behörden Auskünfte zur Identifizierung von Internetnutzern sowie zum Erhalt von Passwörtern nutzen könne, da das Gesetz weder Anlass, Umfang noch betroffenen Personenkreis beschränke.
Insbesondere kritisiert die Bundesdatenschutzbeauftragte, dass sich dem Bundeskriminalamt bereits im Vorfeld von Gefahren die Möglichkeit eröffne, Daten zu sammeln. Gemäß einer von Voßhoff dargelegten Kontrolle, stelle sich heraus, dass die Schwelle zu einer Erhebung von Daten sehr “niedrig” sei, wodurch der Verfassungsschutz beliebige Daten zu Personen anreichern könne. Um Ihre Kritik zu untermauern, erläuterte Sie, dass in der Praxis Informationen von unschuldigen Personen oftmals in Akten zu verdächtigen Personen aufgeführt werden.
Abschließend erläuterte Voßhoff, dass eine Nutzeridentifizierung künftig nur noch nach richterlicher Anordnung möglich sein solle. Die Entscheidung des Bundesverfassungsgerichts über die eingereichte Beschwerde ist noch abzuwarten.
Personenbezogenen Daten dürfen vom Verantwortlichen oder Auftragsverarbeiter nur an ein Drittland übermittelt werden, wenn
-ein Angemessenheitsbeschluss der Kommission für dieses Drittland vorliegt oder
-geeignete Garantien vorliegen
Solche Garantien können sein:
-verbindliche interne Datenschutzvorschriften gemäß Art. 47 DSGVO
-Standarddatenschutzklauseln die von der Kommission nach Art. 93 Abs. 2 DSGVO erlassen oder genehmigt wurden
-genehmigte Verhaltensregeln gemäß Art. 40 DSGVO
-genehmigte Zertifizierung gemäß Art. 42 DSGVO
-genehmigte Vertragsklauseln gemäß Art. 46 Abs. 3 lit. a DSGVO
Seit Einführung der DSGVO hat die Kommission keine Standarddatenschutzklauseln erlassen. Die bisher gültigen Standarddatenschutzklauseln behalten aber gemäß Art. 46 Abs. 5 S. 2 DSGVO bis auf Weiteres ihre Gültigkeit.
Es gibt Standardvertragsklauseln für die Übermittlung von personenbezogenen Daten an einen Verantwortlichen außerhalb der EU / EWR und es gibt Standardvertragsklauseln für die Übermittlung von personenbezogenen Daten an einen Auftragsverarbeiter außerhalb der EU / EWR. Diese sind unter folgendem Link abrufbar:
https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en
Werden diese Standarddatenschutzklauseln unverändert verwendet, ist eine Übermittlung der personenbezogenen Daten ohne vorherige Genehmigung durch eine Aufsichtsbehörde zulässig.
8. November 2018
Die deutsche Identifikationsplattform Verimi bekommt Konkurrenz. Auf 60 Partnerwebsites kann man sich jetzt mit der NetID anmelden, ohne sich einen Account anlegen zu müssen. Die „LogIn-Allianz“ wirbt damit, dass die Daten der Nutzer nicht bei Facebook und Google landen, die Nutzer nur noch ein Passwort brauchen und dass ihre Daten auf europäischen Servern gespeichert werden und zentral verwalten können.
Wer beispielsweise eine E-Mail-Adresse bei WEB.DE oder GMX hat, kann diese bereits nutzen um sich bei den Partnerunternehmen anzumelden. Laut Zeitungsberichten handelt es sich dadurch bereits um 35 000 potenzielle Nutzer. Alle anderen können sich mit einer beliebigen E-Mail-Adresse auf der Seite von NetID anmelden. Zu den Partnerunternehmen, bei denen man sich mit seiner NetID anmelden kann, gehören zur Zeit CALIDA, kochbar und Merkur.de. Zalando, Conrad, dpd und die Otto Group sollen bald folgen.
Im Vergleich dazu konnte der deutsche Identitätsplattform-Anbieter Verimi große Unternehmen wie die Deutsche Bahn, die Deutsche Telekom, Lufthansa, die Bundesdruckerei und die Deutsche Bank gewinnen. Es bleibt abzuwarten welcher der beiden Anbieter sich durchsetzen wird.
Das OLG Hamburg urteilte (Urt. v. 25. Oktober 2018, 3 U 66/17), dass Verstöße gegen die DSGVO Wettbewerbsverletzungen darstellen können. Dabei geht es um die Frage, ob Mitbewerber in solchen Fällen überhaupt befugt sind, Klage zu erheben (wir berichteten über Urteile der Landgerichte Würzburg und Bochum). Die DSGVO zählt auf, wer genau welche Ansprüche geltend machen kann. Mitbewerber sind dort nicht genannt, allerdings ermöglicht die Grundverordnung den Mitgliedsstaaten der EU, selbst Vorschriften über Sanktionen festzulegen. Solch eine Vorschrift könnte auch das Gesetz gegen den unlauteren Wettbewerb darstellen, dies ist jedoch umstritten.
Die Richter vom Hanseatischen Oberlandesgericht jedenfalls sind davon überzeugt, dass die DSGVO „die Verfolgung datenschutzrechtlicher Verletzungshandlungen auf lauterkeitsrechtlicher Grundlage durch Mitbewerber” nicht ausschließen würde.
Für Online-Händler bedeutet dieses Urteil weiterhin keine absolute Gewissheit, da es sich um eine Einzelfallentscheidung handelt. Es bleibt daher zunächst nichts anderes übrig, als den Ausgang der weiteren kommenden Prozesse abzuwarten, bis die Rechtsprechung eine Linie gefunden hat.
Die Digitalisierung im Gesundheitswesen bringt einige Vorteile mit sich, so werden beispielsweise Möglichkeiten geschaffen, die Versorgung zu verbessern und die Arbeit effizienter zu gestalten. Dies stellte die Personalberatung Rochus Mummert Healthcare Consulting in einem neuen Gutachten heraus, in dem 360 Führungskräfte in deutschen Krankenhäusern und Pflegeeinrichtungen befragt wurden. Unter den Studienteilnehmern sind rund die Hälfte in öffentlich-rechtlichen Krankenhäusern beschäftigt, 20 Prozent in privatwirtschaftlichen und konfessionellen Krankenhäusern sowie circa 10 Prozent in freigemeinnützigen oder sonstigen Einrichtungen.
Rund 71 Prozent der Studienteilnehmer sind der Ansicht, dass die Digitalisierung in Kliniken und anderen Pflegeeinrichtungen die Versorgung der Patienten verbessern kann. Darüber hinaus sehen 64 Prozent die Möglichkeit zur Kosteneinsparung, insbesondere deshalb, weil die Digitalisierung dazu beitragen kann, unnötige Untersuchungen und Behandlungen zu vermeiden.
Jedoch stehen diesen positiven Auswirkungen der Digitalisierung auch erhöhte Risiken entgegen. So berichten 43 Prozent der Befragten, dass sie bereits Ziel eines Hackerangriffs geworden sind. Fast ein Drittel (31 Prozent) kann nicht ausschließen, schon einmal unbemerkt Opfer eines Cyber-Kriminellen geworden zu sein.
Bei den Daten in Klinken und Pflegeeinrichtungen handelt es sich überwiegend um sensible personenbezogene Daten, die besonders schutzbedürftig sind. Bei der zunehmenden Digitalisierung, die zwar erhebliche Vorteile mit sich bringt, dürfen Risiken, insbesondere die datenschutzrechtlichen Risiken, nicht außer Acht bleiben.
Um diesen Risiken entgegenzuwirken, muss mehr in die IT-Sicherheit und den Datenschutz investiert werden, beispielsweise durch umfassende IT-Sicherheitsprüfungen, Schulungen und weitere Schutzmaßnahmen, die einen Zugriff von außen durch unberechtigte Dritte verhindern.
7. November 2018
Die Consent-Management-Plattform Usercentrics hat einem Bericht des Presseportals zu Folge kürzlich die Webseiten von mehreren DAX-30-Konzernen analysiert um diese auf ihre Konformität mit den Anforderungen der DSGVO zu überprüfen. Dabei stellte sich heraus, dass die Webseiten aus datenschutzrechtlicher Sicht teilweise erhebliche Mängel aufweisen. Dies obwohl in der heutigen Zeit die Webseite eines Unternehmens als Aushängeschild und erste Visitenkarte des jeweiligen des jeweiligen Unternehmens gilt.
Mängel bestehen insbesondere hinsichtlich des Einsatzes von Cookies und anderen Webseiten-Ressourcen, die Informationen über das Internetverhalten des Nutzers erheben und für die Unternehmen zu betrieblichen Zwecken ausgewertet werden. Im Rahmen der Cookienutzung kommen wiederrum oftmals Dienstleister zum Einsatz, die aus datenschutzrechtlicher Sicht Dritte sind und Einblick in die Informationen – als sog. Auftragsverarbeiter – erhalten. Hier fehlt es oft an einer transparenten Information der Nutzer, die aufgrund der Informationspflichten der DSGVO auf den Umstand der Übermittlung hinzuweisen sind. Auch über die Möglichkeit des Nutzers, dem Einsatz der Cookies zu widersprechen wird, laut Analyse von Usercentrics, häufig nicht in hinreichender und transparenter Weise informiert.
Der Test habe aber auch einige positive Beispiele gezeigt. So haben fünf der analysierten Unternehmen auf ihrer Webseiten ein sog. Cookie-Consent-Management implementiert, im Rahmen dessen der Nutzer dem Einsatz der jeweiligen Cookies einzeln zustimmen oder widersprechen kann.
Die Analyse zeigt einmal mehr, dass auch fünf Monate nach Inkrafttreten der DSGVO hinsichtlich der Einhaltung der datenschutzrechtlichen Anforderungen noch bei vielen Unternehmen Nachbesserungspotential besteht, um etwaige Sanktionen wie Bußgelder oder andere aufsichtsbehördliche Maßnahmen sowie Ansprüche von Betroffenen zu vermeiden.
6. November 2018
Immer noch umstritten ist die Frage, ob Verstöße gegen das Datenschutzrecht von Wettbewerbern abgemahnt werden können. Mittlerweile haben sich zwei Gerichte mit unterschiedlichen Ergebnissen damit auseinandergesetzt. Im Gegensatz zu den Richtern des Landgerichts Bochum bejahen die Richter am Landgericht Würzburg die Abmahnfähigkeit von Datenschutzrechtsverstößen.
Das Landgericht Würzburg entschied dies im Falle einer Rechtsanwältin, die mit ihrer Datenschutzerklärung auf ihrer Homepage nicht den gesetzlichen Anforderungen der DSGVO gerecht wurde. Eben dieser Verstoß führe weiterhin zu einem Wettbewerbsverstoß, der abmahnfähig sei.
Im Falle eines Online-Händlers, der seinen Informationspflichten auf seiner Website nicht nachgekommen war, hat das Landgericht Bochum entschieden, dass der Wettbewerber trotz des Verstoßes gegen Artikel 13 DSGVO keinen Anspruch auf Unterlassung habe. Begründet wurde dies damit, dass die DSGVO in den Artikeln 77 bis 84 eine die Ansprüche von Mitbewerbern ausschließende, abschließende Regelung enthalte. Ein Argument dafür sei, dass die DSGVO eine detaillierte Regelung des anspruchsberechtigten Personenkreises enthalte. Danach stehe nicht jedem Verband ein Recht zur Wahrnehmung der Rechte einer betroffenen Person zu, sondern nur bestimmten Einrichtungen, Organisationen und Vereinigungen ohne Gewinnerzielungsabsicht unter weiteren Voraussetzungen. Daraus sei zu schließen, dass der Unionsgesetzgeber wohl eine Erstreckung auf Mitbewerber des den Bestimmungen nicht eingehaltenen Wettbewerbers nicht zulassen wolle.
Entscheidend für die Anwendbarkeit des Datenschutzrechts ist der Personenbezug von Daten. Nach dem Wortlaut der DSGVO liegen personenbezogene Daten vor, wenn Informationen einer identifizierten oder identifizierbaren natürlichen Person zugeordnet werden können (Art. 4 Nr. 1 DSGVO). Die Qualifikation als personenbezogenes Datum ist manchmal jedoch schwieriger als es die Definition auf den ersten Blick verspricht. In der Rechtsprechung haben sich daher insbesondere zwei Theorien entwickelt, um die Bestimmung zu vereinfachen. So kann es einerseits bei der Herstellung des Personenbezugs auf das Wissen und die Mittel irgendeiner beliebigen Person ankommen (absolute Theorie) oder andererseits auf das Wissen und die Mittel der datenverarbeitenden Stelle (relative Theorie).
Zu unterscheiden sind personenbezogene Daten jedoch zunächst von Sachdaten und aggregierten Daten. Anders als personenbezogene Daten beziehen sich Sachdaten – wie bereits der Wortlaut vermuten lässt – nicht auf Personen sondern ausschließlich auf eine Sache. Demgegenüber beziehen sich aggregierte Daten auf eine Personengruppe und lassen daher keinen Rückschluss auf eine individuelle Person zu. Der Anwendungsbereich der DSGVO ist nicht eröffnet, wenn kein Personenbezug besteht. Zu tragen kommt diese Abgrenzungsfrage z.B. bei Informationen, die im Rahmen der Nutzung eines Kfz erhoben werden können. Informationen wie z.B. der Bremsweg, der Tachostand oder der Benzinverbrauch geben zunächst nur Informationen über das Fahrzeug. Lassen sich diese Informationen aber einen Fahrer oder Fahrzeughalter zuordnen, geben diese Daten Informationen über die Fahrweise oder den Wert des KFZ. In diesen Fällen sind es keine Sachdaten, sondern personenbezogene Daten. Daher ist in Einzelfällen der Personenbezug erst mit weiterem Wissen eines Dritten herzustellen.
Die Frage nach der Anwendung der absoluten oder relativen Theorie ist umstritten. Um den – meist rechtstheoretisch geführten Streit – zu entscheiden bzw. um Argumente für die eine oder die andere Theorie zu finden können unter Anderem die gesetzgeberischen Erwägungsgründe, die der DSGVO zu Grunde liegen, herangezogen werden.
Erwägungsgrund 26 lautet hierzu wie folgt:
„(…) Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind (…).“
Erwägungsgrund 26 stellt zwar neben dem Verantwortlichen auch auf das Wissen Dritter ab. Dieser zunächst absolut klingende Ansatz wird dann aber wieder relativiert. Die Identifizierung der natürlichen Person durch den Verantwortlichen über das Zusatzwissen eines Dritten muss demnach auch nach objektiven Kriterien wahrscheinlich sein.
In dem Verfahren Breyer / Deutschland (Urt. v. 18.10.2016) geht auch der EuGH davon aus, dass der Verantwortliche auch auf Wissen und Mittel Dritter zurückgreifen kann, um den Personenbezug herzustellen. Es kommt dabei jedoch nicht auf das Wissen jedes beliebigen Dritten an. Vielmehr muss die Identifizierung der Person nach objektiven Kriterien wie Kosten, Arbeitsaufwand und bestehender gesetzliche Erlaubnis zur Identifizierung der Person wahrscheinlich sein.
Als Folge des umstrittenen und nicht klar entschiedenen Theorienstreits sollte in der Praxis stets aufgrund des vorliegenden und relevanten Sachverhaltes eine Einzelfallprüfung erfolgen, ob Daten personenbezogen sind oder es sich vielmehr um Sach- oder aggregierte Daten handelt.
Pages: 1 2 ... 102 103 104 105 106 ... 275 276 
