Großteil der EU-Onlineapotheken verstößt gegen die DSGVO

30. März 2022

Spätestens seit Einsetzen der Corona-Pandemie erfreuen sich Online-Apotheken immer größerer Beliebtheit. Nun hat eine Marktanalyse des Münchner Unternehmens „Usercentrics“ ergeben, dass 89 % der 150 beliebtesten Arzneimittelversender in der EU rechtswidrig Cookies einsetzen. Besonders brisant daran ist, dass gerade in diesem Geschäftsbereich sensible Gesundheitsdaten ohne Einwilligung der Betroffenen abgefragt werden.

Hintergrund

„Cookies“ sind Datensätze, die bei dem Besuch fast jeder Website gespeichert und oft an Dritte übermittelt werden. Wer eine Website betreibt und dabei Cookies verwendet, muss nach Art. 6 Abs. 1 lit. a, 7 DSGVO die Einwilligung der Besucher in die Verarbeitung ihrer personenbezogenen Daten einholen. Ausgenommen davon sind lediglich solche Cookies, die technisch notwendig sind, um den Besuch der Website zu ermöglichen. Die Einwilligung in Cookies erfolgt über Cookie-Banner, deren oft fehlerhafte Ausgestaltungen immer wieder Gegenstand von Busgeldverfahren sind (wir berichteten zuletzt hier).

Ergebnis der Marktanalyse

„Usercentrics“ ist genau auf diesem Gebiet tätig und entwickelt Software, mithilfe derer Einwilligungen in Cookies rechtskonform eingeholt werden sollen. Für das Unternehmen selbst hat sich die Marktanalyse als äußerst ergiebig erwiesen: Es besteht großer Nachholbedarf beim Cookie-Management.

So setzten 89% der gescannten Apotheken mindestens ein Cookie, ohne die hierzu erforderliche Einwilligung der Nutzer einzuholen. In Deutschland waren es sogar 100 % der untersuchten Anbieter.

62 % dieser rechtswidrig gesetzten Cookies waren solche, die Marketingzwecken von Drittanbietern dienten.

Außerdem aktivierten die Website-Betreiber 55 % der nicht notwendigen Cookies sofort beim Besuch der Website, ohne eine Einwilligung der Nutzer abzuwarten.

Missbrauch von Gesundheitsdaten

Im Einzelnen heißt das: Ein Großteil der Online-Apotheken speichert ohne die Einwilligung ihrer Besucher Datensätze, die Rückschlüsse auf die Gesundheit des Nutzers zulassen. Darunter sind personenbezogene Daten wie die IP-Adresse, die gesuchten Produkte, angesehene Produkte und Browserverlauf. Diese Daten können dazu genutzt werden, ein Profil des Kunden zu erstellen, um gezielt Produkte zu bewerben. Bei den Marketing-Unternehmen handelt es sich oft nicht über den Apothekenhändler selbst, sondern Drittanbieter. So werden sensible Daten über individuelle Krankheiten -völlig außer Kontrolle der Betroffenen- rechtswidrig erhoben, zweckentfremdet und weitergegeben.

Es bleibt zu hoffen, dass die Online-Arzneimittelhändler spätestens jetzt ihre Cookie-Banner überprüfen und aktualisieren, um Bußgelder zu vermeiden.

VG Wiesbaden: Dauerhafte Speicherung von GPS-Daten verstößt gegen DSGVO

Mit Urteil vom 17.01.2022 (6 K 1164/21.WI) hat sich das Verwaltungsgericht Wiesbaden zur GPS-Überwachung von Fahrzeugen geäußert.

Ein Unternehmen der Logistikbranche hatte seit April 2020 GPS-Systeme in ihre 55 Firmenfahrzeuge eingebaut. Diese Systeme erheben und speichern Daten zum Tracking dieser Fahrzeuge. So sind u.a. die Bestimmung des Live-Standorts der Fahrzeuge, die Speicherung der Standortdaten und die Messung des Benzinverbrauchs möglich. Das Unternehmen begründet dies damit, dass das Geo-Tracking der Ortung einzelner Fahrzeuge diene, um bei Missbrauch und Diebstahl eingreifen zu können. Zudem sollen der Benzinverbrauch und der jeweilige Kraftstoffbestand in den Tanks überwacht werden, um Kraftstoffdiebstahl zu verhindern. Teilweise fanden auch Zuordnungen zum Inhaber der Fahrerkarte statt. Die Daten der Fahrerkarten wurden für 28 Tage gespeichert, alle übrigen Daten für 400 Tage.

Eine Information der Mitarbeiter über die Einführung des GPS-Trackings erfolgte nicht. Der hessische Datenschutzbeauftragte erfuhr von diesem Vorgehen und meldete sich bei dem Unternehmen. Letztlich forderte er das Unternehmen auf, das GPS-Tracking zukünftig zu unterlassen und erhobene Daten zu löschen. Gegen diesen Bescheid erhob das Unternehmen Klage.

Die Klage wies das VG Wiesbaden nun ab. Im Ergebnis ging das Gericht davon aus, dass für die Datenverarbeitung des Unternehmens keine Rechtsgrundlage existiere, sodass die Verarbeitung nicht rechtmäßig sei, Art. 5 Abs. 1 lit. a) DS-GVO. Eine Einwilligung der betroffenen Beschäftigten lag nicht vor. Auch seien die berechtigten Interessen des Unternehmens gem. Art. 6 Abs. 1 lit. f) DS-GVO nicht gegenüber den berechtigten Interessen der Betroffenen vorrangig. Dazu führt das Gericht u.a. aus: „Die danach vorzunehmende Abwägung der Interessen der Klägerin einerseits und der betroffenen Mitarbeiter andererseits fällt zu Lasten der Klägerin aus, weil die Datenspeicherung des Standorts, zumal über 400 Tage lang, nicht verhältnismäßig ist. […] Die Zulässigkeit der Datenerhebung und erst recht der Speicherung scheitert nach Auffassung des Gerichts schon daran, dass sie geheim erfolgt, ohne dass erkennbar ist, warum die Mitarbeiter der Klägerin nicht wissen dürfen, dass ihr Arbeitgeber sie bei Fahrten konstant überwacht.“

Das Urteil verdeutlicht einmal mehr, dass Unternehmen mit den Daten ihrer Beschäftigten sehr bedacht umgehen sollten.

3G- Nachweispflicht entfällt – Was passiert mit den Gesundheitsdaten?

24. März 2022

In ihrer Stellungnahme vom 23.März 2022 äußert sich die Datenschutzbeauftragte des Landes NRW zu den datenschutzrechtlichen Folgen des ab dem 20. März 2022 entfallenen 3G- Nachweises am Arbeitsplatz.

Zuvor galt nach § 28 b Abs. 3 S. 1 IfSG a.F. die Pflicht des Arbeitsgebers, den sog. 3G-Nachweis über eine bestehende Impfung, Genesung oder Negativtestung zu überwachen und zu dokumentieren. Den Arbeitgebern wurde es nach § 28 b Abs. 3 IfSG a.F. ausdrücklich gestattet personenbezogene Daten zu verarbeiten, um sicherzustellen, dass, wie in § 28 b Abs. 1 S. 1 IfSG a.F. vorgesehen, nur Personen mit 3G-Nachweis die Arbeitsstätte betreten. Die Änderung des Infektionsschutzgesetzes  mit Wirkung zum 20. März 2022 hat zur Folge, dass § 28 b IfSG keinen 3G-Nachweis am Arbeitsplatz mehr verlangt.

Demnach entfällt auch die Rechtsgrundlage zur Verarbeitung von Gesundheitsdaten, die besondere personenbezogene Daten iSd Art. 9 Abs. 1 DSGVO darstellen. Vor diesem Hintergrund weist die Datenschutzbeauftragte des Landes NRW darauf hin, dass gesammelte Daten 6 Monaten nach Erhebung zu löschen seien. Außerdem geht sie davon aus, dass bereits jetzt Gesundheitsdaten zu löschen sein könnten, weil die entsprechende Rechtsgrundlage aufgehoben wurde.

In der Praxis sind beispielsweise Vermerke des Arbeitsgebers über den Impfstatus seiner Angestellten umgehend bzw. spätestens in sechs Monaten zu löschen. Die Datenschutzbeauftragte des Landes NRW weist insbesondere darauf hin, dass ein Arbeitsgeber, der den Impfausweis der Angestellten kopiert oder gescannt hat, diesen Nachweis spätestens jetzt löschen sollte. Dies gelte umso mehr, als das diese Vorgehensweise bereits nach alter Rechtslage untersagt war.

Zur Löschung der Gesundheitsdaten müssen diese „ ‚(…) vollständig und unwiderruflich vernichtet werden.‘ “ Laut der Datenschutzbeauftragten des Landes NRW soll bei der Löschung von Daten in Papierform ein geeigneter Aktenvernichter verwendet werden. Es reiche nicht aus, diese einfach zu zerreißen. 

Italien verhängt gegen Clearview AI eine Geldstrafe in Höhe von 20 Millionen Euro

23. März 2022

Die italienische Datenschutzbehörde hat gegen Clearview AI wegen Datenschutzverletzungen hinsichtlich der Gesichtserkennungstechnologie eine Geldstrafe in Höhe von 20 Millionen Euro verhängt. Das Gesichtserkennungssystem von Clearview AI verwendet über 10 Milliarden Bilder aus dem Internet. Die Datenschutzbehörden haben festgestellt, dass Clearview AI gegen zahlreiche DSGVO-Anforderungen verstößt. So wurden im datenschutzrechtlichen Rahmen keine fairen und rechtmäßige Verarbeitungen durchgeführt, außerdem gab es keine rechtmäßige Grundlage für die Sammlung von Informationen und keine geeigneten Transparenz- und Datenaufbewahrungsrichtlinien.

Im vergangenen November hatte bereits das britische ICO vor möglichen Bußgeldern gegen Clearview gewarnt, in diesem Zusammenhang forderte das ICO Clearview auch auf, die Verarbeitungen von Daten einzustellen.

Sodann ordnete im Dezember die französische CNIL Clearview an, die Verarbeitungen von Bürgerdaten einzustellen, und gab ihr zwei Monate Zeit, um alle Daten zu löschen, die sie gespeichert hatte, erwähnte jedoch keine explizite finanzielle Sanktion.

Unabhängig davon stammen laut Clearview mehr als 2 Milliarden seiner Bilder aus dem russischen Social-Media-Netzwerk Vkontakte. Clearview hat der Ukraine Berichten zufolge seine Dienste kostenlos angeboten, um ihnen zu helfen, russische „Infiltratoren“ zu identifizieren, Fehlinformationen zu bekämpfen und Familien wieder zusammenzuführen. Unbestätigten Berichten zufolge begann die Ukraine am Wochenende mit dem Einsatz der Technologie.

Niederländische Aufsichtsbehörde verhängt Bußgeld in Höhe von 525.000 €

22. März 2022

Aus einer Pressemitteilung der niederländischen Aufsichtsbehörde Autoriteit Persoonsgegevens („AP“) geht hervor, dass gegen die DPG Media Magazines B.V. eine Geldstrafe in Höhe von 525.000 Euro verhängt wurde.

Vorausgegangen waren mehrere Beschwerden gegenüber der AP über die Art und Weise, wie Sanoma Media Netherlands B.V. (jetzt DPG Media Magazines B.V.) mit dieser Art von Anfragen umging. Die Personen, die sich beschwerten, hatten z. B. ein Abonnement für eine Zeitschrift. Das Medienunternehmen wurde infolgedessen zu der Geldstrafe verurteilt, weil Personen, die ihre Daten einsehen oder löschen lassen wollten, zunächst einen Identitätsnachweis hochladen mussten. Darüber hinaus wurden die Betroffenen nicht darüber informiert, dass sie Daten aus dem Dokument sperren dürfen. Laut der AP sei dies in dieser Situation jedoch nicht notwendig. Das Medienunternehmen fordere somit zu viele personenbezogene Daten an.

Hinsichtlich der behördichen Entscheidung äußerte sich Monique Verdier, Vizepräsidentin der AP: „Man darf nie einfach einen Identitätsnachweis verlangen. Er enthält eine Menge personenbezogener Daten. Selbst wenn Teile eines Ausweises geschützt sind, ist es oft zu schwierig, anhand einer Kopie festzustellen, ob jemand derjenige ist, der er vorgibt zu sein. Auch Kopien von Ausweispapieren müssen mit großer Sorgfalt aufbewahrt werden.“

Die DPG Media Magazines B.V. legte gegen den Bußgeldbescheid der Autoriteit Persoonsgegevens Widerspruch ein.

Auch der Geschäftsführer ist neben der GmbH Verantwortlicher i.S.d. DSGVO

Neben der GmbH kommt auch der Geschäftsführer als Datenschutzverantwortlicher gem. Art. 4 Nr. 7 DSGVO in Betracht. Zu diesem Schluss kam das Oberlandesgericht Dresden („OLG“) in seinem Urteil vom 30.11.2021 (Az. 4 U 1158/21).

Der Kläger strebte eine Mitgliedschaft in der Gesellschaft an. Vor diesem Hintergrund veranlasste der Geschäftsführer eine Überprüfung des Betroffenen hinsichtlich etwaiger Verbindungen zu relevanten Straftaten, ohne jedoch eine datenschutzrechtliche Einwilligung des Betroffenen einzuholen. Der dafür engagierte Detektiv hatte daraufhin in seiner Recherche eine Beteiligung des Anfragenden an relevanten Straftaten aufgedeckt. In diesem Zuge wurde ihm die Mitgliedschaft verweigert. Der Betroffene verklagte infolgedessen die GmbH und den Geschäftsführer auf immateriellen Schadensersatz aufgrund von Datenverstößen, insbesondere, weil sich die Recherche des Ermittlers auf keine gesetzliche Rechtsgrundlage stützte.

Das OLG Dresden stellte zugunsten des Klägers fest, dass jeweils ein selbständiger datenschutzrechtlicher Verstoß sowohl durch die GmbH als auch durch den Geschäftsführer festzustellen sei, da es bei der Datenverarbeitung an einer Rechtsgrundlage fehle. Außerdem handele es sich bei der Verarbeitung von strafrechtlich relevanten Daten ohne Rechtsgrundlage nicht lediglich um einen Bagatellverstoß. Aus diesen Gründen billigte das OLG dem Kläger einen Anspruch aus Art. 82 Abs. 1 DSGVO zu. Dieser richte sich sowohl gegen die GmbH als auch gegen den Geschäftsführer, da Anspruchsgegner der datenschutzrechtliche Verantwortliche und damit derjenige ist, der alleine oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheiden kann. Dabei entfalle insbesondere der weisungsgebundene Angestellte oder sonstige Beschäftigte als Anspruchsgegner.

Ob andere Gerichte diese Entscheidung aufgreifen, ist noch unklar. Insbesondere fehlt es dem Urteil an dezidierten Voraussetzungen, an welche die Haftung des Geschäftsführers geknüpft ist und lässt außer Acht, dass auch der Geschäftsführer gegenüber der Gesellschafterversammlung weisungsgebunden sein kann.

Belgien: Wichtiger Standard für Cookiebanner für rechtswidrig erklärt

18. März 2022

Die belgische Datenschutzbehörde hat einen für die Onlinewerbung zentralen Standard für datenschutzrechtlich unzulässig erklärt. Das System Transparence and Consent (TCF) mit dem Werbetreibende im Internet Einwilligungen für Targeted Advertising einsammeln, entspricht nach Auffassung der Datenschutzbehörde nicht den Grundsätzen von Rechtmäßigkeit und Fairness.

Die Datenschutzbehörde hat die Entscheidung gegen den Werbeverband IAB Europe getroffen, der den TCF-Mechanismus entwickelt und betreibt. IAB muss nun nicht nur alle auf diese Weise gesammelten Daten löschen, sondern auch ein Bußgeld von 250.000 Euro bezahlen.

Das Transparency & Consent Framework (TCF) ist der zentrale Standard hinter Cookie-Bannern und personalisierter Werbung. Wenn ein Nutzer bei einem Cookie-Banner auf „Akzeptieren“ klickt, erzeugt das System einen sogenannten TC-String und schickt diesen an alle Partner weiter, die am System teilnehmen. Kernaufgabe des TCF ist damit die Weitergabe der Einwilligung in die Datenverarbeitung zu Werbezwecken an alle Partner des Systems. Der TC-String bildet die Grundlage für die Erstellung von individuellen Profilen jeden Nutzers und für Auktionen, in denen Werbeplätze für die gewünschte Zielgruppe in Echtzeit versteigert werden.

Die Entscheidung könnte nicht nur für belgische Unternehmen möglicherweise schwerwiegende Auswirkungen haben: Nach Art. 56 Abs. 6 DSGVO gilt das „One-Stop-Shop“-Prinzip. Demnach ist bei grenzüberschreitender Datenverarbeitung die sog. federführende Aufsichtsbehörde alleiniger Ansprechpartner des Verantwortlichen bzw. des Auftragsverarbeiters. Dies bedeutet, dass Unternehmen bei grenzüberschreitenden Datenverarbeitungen nur einen Ansprechpartner für die Beurteilung der datenschutzrechtlichen Belange haben. Die Entscheidung dieses Ansprechpartners gilt dann europaweit. Viele Betreiber:innen von Websiten, der Großteil der Online-Medien und auch Google oder Amazon nutzen das System , um die im Cookiebanner erteilte Einwilligung von Nutzer:innen in die Verarbeitung von persönlichen Daten zu verteilen.

Zwar hat IAB angekündigt, gegen die Entscheidung vorzugehen. Die möglichen Auswirkungen für die Werbebranche sind dennoch enorm und könnten das Prinzip personalisierter Werbung grundsätzlich in Frage stellen.

Finanzamt kann das pauschale Verlangen auf Zurverfügungstellung einer Kopie der gesamten Steuerakte verweigern

Nach Art. 15 Abs. 1 DSGVO hat jede betroffene Person das Recht, von dem Verantwortlichen Auskunft darüber zu verlangen, ob und wenn ja, welche personenbezogene Daten von dieser Person verarbeitet werden. Nach Art. 15 Abs. 3 DSGVO hat der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen.

Mit Urteil vom 27.10.2021 (Az. 16 K 5148/20) verneinte das Finanzgericht Berlin-Brandenburg den Anspruch eines Steuerpflichtigen gegen ein Finanzamt auf Zurverfügungstellung einer physischen oder elektronischen Kopie der Steuerakten jedoch. Begründet wurde dies damit, dass das pauschale Auskunftsverlangen des gesamten Inhalts der vom Finanzamt geführten Steuerakten zu exzessiv sei. Zwar sei, so das Gericht, der Anwendungsbereich der DSGVO auch im Bereich der Steuerverwaltung eröffnet. Auch die weiteren Voraussetzungen der DSGVO seien gegeben, insbesondere stellten alle in einer Steuerakte erfassten Informationen personenbezogene Daten des Steuerpflichtigen dar. Das Recht auf eine umfassende Zurverfügungstellung der gesamten Steuerakte verneinte das FG Berlin-Brandenburg dennoch.

Zur Begründung führte es aus, dass das Recht auf Auskunft und das Recht auf Kopie aus Art. 15 Abs. 1 und Abs. 3 DSGVO einen einheitlichen Anspruch darstelle und das Recht auf Erhalt einer Kopie daher auf die Kataloginformationen des Art. 15 Abs. 1 lit. a bis h DSGVO beschränkt sei, ohne weitere Ansprüche der Betroffenen zu begründen. Insbesondere sei nicht erforderlich eine betroffene Person über sämtliche beim Finanzamt gespeicherte Dokumente oder Dateien zu informieren. Das Ziel des Steuerpflichtigen, eine Überprüfung zu ermöglichen würde erreicht, wenn man ihm die Informationen aus Art. 15 Abs. 1 DSGVO zur Verfügung stelle, d.h. grundlegende Informationen zur Verarbeitung.

Schließlich stünde dem Begehren des Steuerpflichtigen nach Ansicht des Gerichts auch Art. 12 Abs. 5 S. 2 DSGVO entgegen. Danach kann der Verantwortliche bei offenkundig unbegründeten oder exzessiven Anträgen einer betroffenen Person, entweder ein angemessenes Entgelt verlangen oder sich weigern, aufgrund des Antrags tätig zu werden. Im vorliegenden Fall habe der auskunftsbegehrende Steuerpflichtige mit seinem pauschalen Auskunftsverlangen auf Überlassung sämtlicher Akten des Finanzamt in Bezug auf seine Person offensichtlich überschießend gehandelt. Daher konnte das Finanzamt ohne Nachweis für den exzessiven Charakter des Begehrens dieses verneinen. Außerdem diente das Bestreben des Steuerpflichtigen nach Einschätzung des Gerichts auch nicht den Zielen der DSGVO, d.h. dem Schutz seiner Privatsphäre. Auch weitere Anspruchsgrundlagen verneinte das Gericht.

Sind Gesundheitsdaten im Arbeitsgerichtsprozess verwertbar ?

16. März 2022

Das Verwaltungsgericht Wiesbaden hat kürzlich klargestellt, dass auch Gesundheitsdaten in einem arbeitsgerichtlichen Verfahren von der Gegenseite vorgetragen werden können (VG Wiesbaden, Urteil vom 19.01.2022 – 6 K 361/21.W). Die Rechtmäßigkeit der Datenverarbeitung von Gesundheitsdaten in Gerichtsprozessen beurteilt sich nach Art. 6 Abs. 1 S. 1 lit. f DSGVO iVm Art. 9 DSGVO. Lässt sich ein rechtlicher Anspruch nur unter Verarbeitung von Gesundheitsdaten durchsetzen, so dürfen diese auch genutzt werden.

Hintergrund

Der Kläger war längere Zeit krankgeschrieben, sodass er seine Arbeitgeberin um ein Gespräch zum Betrieblichen Eingliederungsmanagement (BEM) nach § 167 SGB IX bat. Hiernach soll insbesondere nach längerer Krankheit die Rückkehr in die Arbeit erleichtert werden. Der Kläger schlug mehrere Teilnehmer für das BEM Verfahren vor, darunter ein Mitglied des Betriebsrats und der Schwerbehindertenvertretung, seinen Vorgesetzten und seinen Bruder. Aus dem Gespräch resultierten jedoch keine Lösungen, sodass beide Parteien zu keinem Ergebnis kamen.

Erfolglose Klage auf behindertengerechte Beschäftigung

Daraufhin klagte der Arbeitnehmer vor dem Arbeitsgericht Hannover gegen seine Arbeitgeberin auf eine behindertengerechte Beschäftigung und Schadensersatz. Die Rechtsanwältin seiner Arbeitgeberin trug in den Gerichtsterminen sowie in eingereichten Schriftsätzen an das ArbG Inhalte aus dem Gespräch, welches der Kläger für das BEM-Gespräch hielt, vor. Dadurch seien sensible private und vertraulich ausgesprochene personenbezogene Daten wissentlich der Öffentlichkeit preisgegeben worden. Das Arbeitsgericht wies die Klage ab, da ein Anspruch auf schwerbehindertengerechte Beschäftigung wegen des fehlenden Präventionsverfahren nach § 167 SGB IX nicht gegeben sei.

Beschwerde bei der Aufsichtsbehörde

Der Kläger wandte sich daraufhin an die Landesbeauftragte für den Datenschutz Niedersachsen (LfD). Er beklagte, dass die Rechtsanwältin seiner Arbeitgeberin rechtswidrig Zugang zu der BEM-Akte erhalten und sogar vor Gericht wörtlich daraus zitiert habe. Es gehe folglich um die unbefugte Erhebung, Speicherung und Verwendung seiner höchstpersönlichen personenbezogenen, insbesondere gesundheitlichen und seine Schwerbehinderung betreffende Daten. Die LfD teilte daraufhin dem Kläger mit, dass die Datenverarbeitung durch die Anwältin nicht zu beanstanden gewesen sei.
Rechtsanwälte sind ein unabhängiges Organ der Rechtspflege, § 1 BRAO. Rechtsanwälte sind berufene unabhängige Berater und Vertreter in allen Rechtsangelegenheiten, § 3 Abs. 1 BRAO. In dieser Eigenschaft verarbeiten sie regelmäßig personenbezogene Daten auf Grund eines Mandats. Der Schwerpunkt der Tätigkeit liegt dabei auf der berufsständisch verankerten unabhängigen Tätigkeit. Rechtsanwälte sind daher datenschutzrechtlich selbst als Verantwortlicher einzuordnen.

Klage vor dem Verwaltungsgericht

Dies nahm der Arbeitnehmer zum Anlass vor dem Verwaltungsgericht Klage gegen die LfD zu erheben, damit diese verurteilt werde, gegen die Anwältin vorzugehen.  Die Frage, ob vorliegend eine Rechtsgrundlage für die Datenverarbeitung durch die Rechtsanwältin besteht, bejaht das Gericht und verweist dazu auf Art. 6 Abs. 1 S. 1 lit. f DSGVO iVm Art. 9 DSGVO. Zunächst stellte das Gericht fest, dass die Anwältin ein berechtigtes Interesse hatte, die von ihrer Mandantin, der Arbeitgeberin des Klägers, gemachten Angaben zu verarbeiten, indem diese im Prozess mitgeteilt wurden. Das berechtigte Interesse ergebe sich aus den vertraglichen Verpflichtungen zwischen der Rechtsanwältin und ihrer Mandantin. Die Verarbeitung von Gesundheitsdaten des Klägers nach Art. 9 Abs. 1 DSGVO ist zulässig, denn sie erfüllt die für eine Datenverarbeitung durch den Vortrag und die Speicherung im Prozess geltenden Voraussetzungen des Art. 9 Abs. 2 lit. f DSGVO.

Zwar ist vom Grundsatz her die Verarbeitung von Gesundheitsdaten einer natürlichen Person untersagt, aus Art. 9 Abs. 2 lit. f DSGVO ergibt sich jedoch, dass dieses Verbot dann nicht gilt, wenn die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich ist.

Erweiterung der Verordnung über den automatisierten Datenaustausch für die polizeiliche Zusammenarbeit innerhalb der EU sorgt für Kritik

Anfang März veröffentlichte der Europäische Datenschutzbeauftrage (EDSB) Wojciech Wiewiórowski eine Stellungnahme zu dem Vorschlag der EU-Kommission für eine Verordnung über den automatisierten Datenaustausch für die polizeiliche Zusammenarbeit („Prüm II“). Eine zweite Stellungnahme wurde bezüglich des Vorschlags für eine Richtlinie über den Informationsaustausch zwischen den Strafverfolgungsbehörden der Mitgliedstaaten veröffentlicht.

Ziel der Vorschläge für die polizeiliche Zusammenarbeit ist es, die Zusammenarbeit der Strafverfolgungsbehörden und insbesondere den Informationsaustausch zwischen den für die Verhütung, Aufdeckung und Untersuchung von Straftaten zuständigen Behörden zu verbessern. Zu diesem Zweck legt der Vorschlag für die „Prüm II“-Verordnung die Bedingungen und Verfahren für den automatisierten Abruf von DNA-Profilen, Fingerabdrücken, Gesichtsbildern, polizeilichen Aufzeichnungen und Fahrzeugregisterdaten fest. Der Vorschlag für die Richtlinie über den Informationsaustausch zielt darauf ab, den Zugang der Strafverfolgungsbehörden zu Informationen anderer Mitgliedstaaten zu erleichtern.

In Bezug auf den Vorschlag für die „Prüm-II-Verordnung“ betont Wiewiórowski, dass wesentliche Elemente in Bezug auf seinen sachlichen und persönlichen Anwendungsbereich fehlen, wie z. B. die Arten von Straftaten, die eine Abfrage rechtfertigen können, und die Kategorien von betroffenen Personen. Insbesondere solle der automatisierte Abruf von DNA-Profilen und Gesichtsbildern nur im Zusammenhang mit einzelnen Ermittlungen bei schweren Straftaten möglich sein und nicht bei jeder Straftat, wie im Vorschlag vorgesehen. Darüber hinaus ist der EDSB nicht von der Notwendigkeit des vorgeschlagenen automatisierten Abrufs und Austauschs von Daten aus polizeilichen Aufzeichnungen überzeugt und unterstreicht, dass strenge Sicherheitsvorkehrungen erforderlich sind, um die Risiken für die Datenqualität anzugehen.

In Bezug auf den Vorschlag für die Richtlinie über den Informationsaustausch unterstreicht Wiewiórowski die Notwendigkeit, den persönlichen Anwendungsbereich der Maßnahme klar zu definieren und auf jeden Fall die Kategorien personenbezogener Daten über Zeugen und Opfer zu begrenzen. Er äußert ferner Bedenken hinsichtlich der Dauer der Datenspeicherung in den Fallverwaltungssystemen der Behörden.

Die polizeiliche Zusammenarbeit in den Mitgliedstaaten sei laut Wiewiórowski „ein wichtiges Element eines gut funktionierenden Raums der Freiheit, der Sicherheit und des Rechts“. Sie dürfe allerdings nicht „als Nebeneffekt zur Schaffung neuer großer zentralisierter Datenbanken führen“.

1 9 10 11 12 13 250