30. Juni 2017
In der letzten Woche wurden das Transparenzgebot, die Informationspflicht des Verantwortlichen, das Auskunftsrecht des Betroffenen und das Recht auf Berichtigung behandelt. Hier kommen Sie zum Teil 1, falls Sie diesen vorweg lesen möchten.
Im Folgenden sollen das Recht auf Löschung, das Recht auf Einschränkung der Bearbeitung, die Mitteilungspflicht des Verantwortlichen und das Recht auf Datenübertragung im Überblick erläutert werden.
5. Recht auf Löschung, Art. 17 DSGVO
Das „Recht auf Vergessenwerden“ hat seit der Entscheidung des EuGH vom 13. Mai 2014 (EuGH C‑131/12) an Bedeutung gewonnen. Diesem Umstand trägt die Kodifizierung des Rechts auf Löschung aus Art. 17 DSGVO Rechnung, dessen zweiter Absatz das „Recht auf Vergessenwerden“ gesetzlich festschreibt. In dem Urteil des EuGH klagte der Spanier Costeja González gegen Google auf Löschung von ihn betreffenden Suchmaschinenergebnissen, die einen bereits abgeschlossenen in der Vergangenheit liegenden Sachverhalt anzeigten, wenn nach seinem Namen gesucht wurde. Google hatte sich damals geweigert die Suchergebnisse zu löschen. Der EuGH entschied zugunsten des Klägers. Er begründete die Entscheidung damit, dass die Suchergebnisse in Anbetracht der Grundrechte aus den Art. 7 und 8 der Charta zu löschen sind, wenn das Interesse der betroffenen Person an der Löschung, dem Interesse der breiten Öffentlichkeit am Zugang zu der Information oder auch dem wirtschaftlichen Interesse des Suchmaschinenbetreibers überwiegt.
Nach Inkrafttreten des DSGVO wird der Betroffene unter den Voraussetzungen des Art. 17 Abs. 1 DSGVO die Löschung seiner personenbezogenen Daten verlangen können.
Voraussetzungen der Löschung
Gemäß Art. 17 Abs. 1 DSGVO sind unter folgenden Voraussetzungen personenbezogene Daten unverzüglich zu löschen:
- Die personenbezogenen Daten sind für den Zweck, für den sie erhoben wurden, nicht mehr nötig.
- der Betroffene widerruft seine Einwilligung und es fehlt an einer anderweitigen Rechtgrundlage.
- Der Betroffene legt Widerspruch ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor.
- Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
- Die Löschung der personenbezogenen Daten ist erforderlich zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten.
- Die personenbezogenen Daten eines Kindes wurden in Bezug auf angebotene Dienste der Informationsgesellschaft erhoben. Art. 8 DSGVO ist dabei zu beachten
Wie bereits oben erwähnt, findet das „Recht auf Vergessenwerden“ seine Normierung in Art. 17 Abs. 2 DSGVO. Demnach hat der Verantwortliche, der die personenbezogenen Daten öffentlich gemacht hat und gemäß Absatz 1 zu deren Löschung verpflichtet ist, unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten, angemessene Maßnahmen, auch technischer Art, zu treffen, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass ein Betroffener von ihnen die Löschung aller Links zu den ihn betreffenden personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.
Art. 17 Abs. 3 DSGVO bildet einen Ausschlusstatbestand für die Abs. 1 und 2 und nennt entsprechende Fälle, die, liegen sie vor, einer Löschung der Daten entgegenstehen.
6. Recht auf Einschränkung der Verarbeitung, Art. 18 DSGVO
Das Recht auf Einschränkung der Verarbeitung stellt für den Betroffenen ein effizientes und im Verhältnis zu einer unverzüglichen Löschung der personenbezogenen Daten aus Sicht des Verantwortlichen für die Datenverarbeitung milderes Mittel dar. Ist z.B. die Rechtslage bezüglich eines Löschungsanspruchs noch nicht endgültig geklärt, kann der Betroffene durch die Einschränkung der Verarbeitung die Verarbeitung unterbinden, ohne zu sehr in die unter Umständen berechtigten Interessen des Verantwortlichen einzugreifen.
Die Voraussetzungen für eine Einschränkung der Verarbeitung finden sich in Art. 18 Abs. 1 DSGVO. Der Betroffene kann vom Verantwortlichen die Einschränkung der Verarbeitung seiner personenbezogenen Daten verlangen, wenn
- der Betroffene die Richtigkeit der personenbezogenen Daten bestreitet,
- die Verarbeitung unrechtmäßig ist und der Betroffene die Löschung der personenbezogenen Daten ablehnt, jedoch stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt
- der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, der Betroffene die Daten jedoch für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt oder
- der Betroffene Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.
Die Rechtsfolgen sind in Abs. 2 DSGVO geregelt. Ist die Verarbeitung personenbezogener Daten gem. Absatz 1 eingeschränkt, so dürfen diese Daten grundsätzlich – abgesehen von ihrer Speicherung – nicht mehr verarbeitet werden. Ausnahmen gelten für folgende Fälle:
- der Betroffene willigt ein
- die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
- die Verarbeitung erfolgt zum Schutz der Rechte einer anderen natürlichen oder juristischen Person
- aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats
Hat ein Betroffener dem Verantwortlichen gegenüber eine Einschränkung der Verarbeitung gem. Art. 18 Abs. 1 DSGVO erwirkt, so hat der Verantwortliche den Betroffenen zu unterrichten, bevor die Einschränkung aufgehoben wird (Vgl. Art. 18 Abs. 3 DSGVO).
7. Mitteilungspflicht, Art. 19 DSGVO
Liegen die Voraussetzungen von Art. 16 (Recht auf Berichtigung), 17 Abs. 1 (Recht auf Löschung) und Artikel 18 (Recht auf Einschränkung) DSGVO vor und hat der Verantwortliche die personenbezogenen Daten berichtigt, gelöscht oder die Datenverarbeitung dieser eingeschränkt, so hat er denjenigen Empfängern, denen er die personenbezogenen Daten offengelegt hat darüber zu informieren. Die Mitteilungspflicht ist jedoch ausgeschlossen, wenn sie sich für den Verantwortlichen als unmöglich darstellt oder mit einem unverhältnismäßigen Aufwand verbunden ist. Der Betroffene kann vom Verantwortlichen verlangen, dass er über die Empfänger unterrichtet wird.
8. Recht auf Datenübertragbarkeit, Art. 20 DSGVO
Das Recht auf Datenübertragung aus Art. 20 DSGVO soll dem Betroffenen ermöglichen seine Daten von einem Verantwortlichen zu einem anderen Verantwortlichen übertragen zu können. Dafür soll derjenige Verantwortliche, von dem der Betroffene die ihn betreffenden personenbezogene Daten herausverlangt, diese in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung zu stellen. Die so erhaltenen Daten darf der Betroffene, ohne Behinderung durch den herausgebenden Verantwortlichen an einen anderen Verantwortlichen übermitteln (Vgl. Art. 20 Abs. 1 DSGVO). Die Article 29 Working Party hat in ihrem Leitfaden zum Recht auf Datenübertragbarkeit (“Guidelines on the right to data portability”) beschrieben, wie eine solche Behinderung aussehen könnte. Diese könnte rechtlicher, technischer oder finanzieller Natur sein. Als Beispiele nannte sie unter anderem Gebühren für die Übermittlung der Daten, eine übermäßige Verspätung oder auch das zur Verfügung stellen der Daten in einem für andere nicht kompatiblen Formats.
Voraussetzung für das Recht auf Datenübertragbarkeit ist, dass die ursprüngliche Verarbeitung auf Grundlage einer Einwilligung oder eines Vertrags erfolgte und mithilfe automatisierter Verfahren erfolgte (Vgl. Art. 20 Abs. 1 lit. a und lit. b GDPR).
Liegen die Voraussetzungen vor, hat der Betroffene die Möglichkeit, in Ausübung seines Rechts aus Art. 20 Abs. 1 DSGVO, auch die direkte Übermittlung seiner personenbezogenen Daten von einem Verantwortlichen zu einem anderen Verantwortliche zu erwirken, soweit dies technisch machbar ist.
Das Thema der nächsten Woche ist der Datenschutz im Unternehmen
29. Juni 2017
Was viele Nutzer des googleeigenen Mailingsdienstes Gmail vemutlich bisher gar nicht wissen: Google scannt alle E-Mails der Nutzer, um diese in einem zweiten Schritt mit personalisierter Werbung ansprechen zu können. Doch mit dieser Praxis soll nun Schluss sein. Dies kündigte die für Googles Cloud-Geschäft zuständige Managering Diane Greene zumindest nun im Blog des Unternehmens an. Ohne den genauen Zeitpunkt des Stopps zu nennen, erklärte sie “Nach dem Wechsel wird der Inhalt der Nachrichten in Gmail nicht mehr gescannt, um die Anzeigen zu personalisieren.
In der kostenlosen Variante des Mailingsdienstes wird die Scan-Methode bereits seit dem Start des Services 2004 angewendet, um die Bereitstellung finanzieren zu können. Die Praxis, die Mails im Posteingang des jeweiligen Nutzers zu scannen, um ihn dann im Web-Interface mit, auf die Inhalte der Mails zugeschnittener Werbung anzusprechen, hatte schon damals zu vielen kritischen Stimmen gesorgt, die allerdings erst jetzt Früchte tragen, indem Google den E-Mail-Scan einstellt.
Trotz der umstrittenen Funktion war die Nachfrage, vor allem aufgrund des großen und bis dato konkurrenzlosen Funktionsumfang, für den werbefinanzierten Google-Dienst groß. Auch die Bezahlversion Google G Suite, bei dem das Scan-Verfahren nicht eingesetzt wird, nutzen inzwischen 3 Millionen Kunden.
Ganz entfallen wird die personalisierte Werbung beim Nutzen von Gmail aber weiterhin nicht. Der Konzern will sich aber nun nach anderen Kriterien richten. So kann Google einem Kunden aufgrund des vom Android-Smartphone gemeldeten Standorts, der besuchten Websites oder aufgrund der Nutzung googleeigener Apps zugeschnitte Anzeigen darstellen. Auch die Mails werden weiterhin gescannt, um so z.B. Komfortaktionen des Google-Assistenten Now nutzen zu können.
Durch entsprechende Änderungden ihrer Accounteinstellungen können Google-Nutzer der Personalisierung und der weitergehenden Informationsübermittlung an Google widersprechen.
Wie die Bundesnetzagentur (BNA) am 28.06.2017 mitteilte, sieht sie bis zum rechtskräftigen Abschluss des Hauptsacheverfahrens über die Verfassungsmäßigkeit der Vorratsdatenspeicherung gegenüber den zur Speicherung verpflichteten Unternehmen von Anordnungen und sonstigen Maßnahmen zur Durchsetzung den in § 113b Telekommunikationsgesetz (TKG) vorgesehenen Speicherpflichten ab. Insbesondere würden keine Bußgeldverfahren eingeleitet werden.
Damit reagiert die BNA auf den Beschluss des Oberverwaltungsgerichts für das Land Nordrhein-Westfalen (OVG NRW) vom 22.06.2017 (Az. 13 B 238/17). Das OVG NRW hatte jüngst beschlossen, dass der Kläger – ein Internetzugangsdiensteanbieter – nicht verpflichtet ist, Telekommunikationsdaten seiner Kunden nach § 113b TKG zu speichern, so lange das Hauptsacheverfahren nicht rechtskräftig entschieden ist. In diesem Beschluss erklärte das Gericht, das Gesetz zur Einführung von Speicherpflichten für Telekommunikationsdiensteanbieter zur Speicherung von Telekommunikationsdaten sei mit geltenden Unionsrecht nicht vereinbar. Konkret verstoße § 113b Abs. 1 TKG gegen Artikel 15 Abs. 1 der Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG vom 12. Juli 2002.
Gemäß § 113b TKG sind Telekommunikationsanbieter verpflichtet, Standort- und Verkehrsdaten ihrer Kunden für vier bzw. zehn Wochen zu speichern. Bei Zuwiderhandlung dieser Pflichten ist die BNA gemäß § 115 TKG befugt, Anordnungen und Maßnahmen zu treffen, um die Einhaltung dieser Vorschriften sicherzustellen.
Abzuwarten bleibt nun die Entscheidung im Hauptsacheverfahren.
Die TK-Branche begrüßte die Entscheidung sehr. Auch aus datenschutzrechtlicher Sicht sind die jüngsten Entwicklungen positiv zu beurteilen. Eine anlasslose Überwachung sämtlicher Betroffenen ist mit dem Recht auf informationelle Selbstbestimmung nicht vereinbar.
28. Juni 2017
Nachdem bereits vor etwas mehr als einem Monat zahlreiche Unternehmen und private Nutzer Opfer des Trojaners WannaCry geworden sind, findet momentan wohl eine neue Cyber-Angriffswelle statt. Arne Schönbohm, der Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), teilte mit, dass es sich nach ersten Erkenntnissen um eine Angriffswelle mit der Schadsoftware Petya handele die Schwachstellen ausnutze, die bereits die Ransomware WannaCry ausgenutzt hätte.
Bei dieser Art von Cyberattacken werden Dateien auf den betroffenen Computersystemen verschlüsselt und der Nutzer wird zur Zahlung eines Lösegelds aufgefordert, damit die Daten wieder entschlüsselt werden. Die Zahlung des Lösegeldes garantiert jedoch nicht, dass die Daten tatsächlich wieder entschlüsselt werden. Unter anderem deswegen rät das BSI betroffenen Unternehmen auch dazu, nicht auf Lösegeldforderungen einzugehen.
Die ersten Attacken mit der Petya-Ransomware ereigneten sich nach aktuellem Informationsstand in der Ukraine und betrafen dort verschiedene Unternehmen wie beispielsweise die Zentralbank, den internationalen Flughafen Kiew-Borispyl und die U-Bahn. Auch das Kernkraftwerk Tschernobyl wurde von dem Cyberangriff betroffen. Die technischen Systeme des Kraftwerks sollen aber weiterhin normal funktionieren. Lediglich die Kontrolle der Radioaktivität müsse manuell stattfinden. Neben diesen Unternehmen sind auch die Deutsche Post in der Ukraine, das russische Ölunternehmen Rosneft oder die dänische Reederei Maersk von der Attacke betroffen.
Die Verbreitung von WannaCry konnte dadurch wesentlich verlangsamt werden, dass eine in den Code eingebettete Kill-Switch-Funktion entdeckt wurde. Wie sich die aktuelle Petya-Ransomware genau verbreitet und ob auch sie über einen solchen eingebauten Notschalter verfügt ist aktuell noch nicht ersichtlich.
26. Juni 2017
Letzte Woche präsentierte der Video-Messenger Snapchat ein neues Feature. “Snap Map” erlaubt es dem Nutzer, seinen aktuellen Standort freizugeben und damit anderen Nutzern in Echtzeit mitzuteilen, wo er sich gerade befindet. Der jeweilige Aufenthaltsort wird auf einer Weltkarte angezeigt und soll Nutzern des Messengerdienstes zeigen, wo sich ihre Freunde gerade aufhalten und was sie gerade erleben.
Aus datenschutzrechtlicher Sicht stellt diese Funktionsweise einen nicht unerheblichen Eingriff in das allgemeine Persönlichkeitsrecht in Ausgestaltung des Rechts auf informationelle Selbstbestimmung dar. Zwar ist die neue Funktion grundsätzlich freiwillig und der Nutzer wird aufgefordert, diese aktiv einzuschalten, im Tutorial fehlt es jedoch an der Erklärung, dass eine einmal akivierte Standortfreigabe bestehen bleibt, was bedeutet, dass der Standort jedes Mal aktualisiert wird, wenn der Nutzer die Snapchat-App öffnet.
Wie ein Test der neuen Funktion von The Verge zeigt, ist der Karteneintrag so genau, dass man bei genauem Hinsehen sogar die Hausnummer des Hauses erraten konnte, an dem sich der Nutzer, der die Standortaktulaisierung aktivierte, befand. Auch auf den Detailgrad der angezeigten Weltkarte wird bis dato im Rahmen des Tutorials nicht hingewiesen und dürfte viele Nutzer überraschen. Besonders problematisch ist die neue Funktion, weil vor allem junge Leute die App nutzen und gerade diese die genauen Details und Einstellmöglichkeiten oftmals nicht erfassen können und schnell überlesen.
Wie ein Snapchat-Sprecher The Verge mitteilt, fragt die App in regelmäßigen Abständen nach, ob der Standort weiterhin bei jedem Öffnen aktualisiert werden solle. Zudem würde seitens Snapchat sichergestellt, dass die Standortdaten in “kurzen Zeitabständen” gelöscht werden. So bleibe der Standort acht Stunden auf der Karte einsehbar, wenn die App in diesem Zeitraum nicht geöffnet und der Standort erneut aktualisiert wird.
Nutzer der App, die das neue Feature nicht nutzen wollen, sollten in den sog. “Geistmodus” (Ghost Mode) wechseln.
23. Juni 2017
Mit der Einführung der DSGVO ändert sich die datenschutzrechtliche Landschaft nicht unerheblich. Die DSGVO räumt demjenigen, dessen personenbezogene Daten erhoben, verarbeitet oder genutzt werden (Betroffener) umfassende Rechte ein und stärkt damit seine Position gegenüber der datenverarbeitenden Stelle (Verantwortlicher). Damit erweitert die DSGVO das heutige Datenschutzniveau für Betroffene beträchtlich. Der Betroffene soll weitestgehend in die Lage versetzt werden, wissen zu können, wie mit seinen Daten umgegangen wird. Zukünftig werden sich unter anderem auch Unternehmen, wenn sie personenbezogene Daten erheben, verarbeiten oder nutzen, damit konfrontiert sehen, den Rechten des Betroffenen in DSGVO-konformer Weise Rechnung zu tragen.
Im Folgenden sollen Rechte des Betroffenen, welche in der DSGVO an verschiedenen Stellen kodifiziert werden, im Überblick dargestellt werden.
Im ersten Teil werden das Transparenzgebot, die Informations- und Auskunftspflicht des Verarbeiters sowie das Recht des Betroffenen auf Berichtigung unrichtiger personenbezogener Daten behandelt. Im zweiten Teil, der nächste Woche erscheinen wird, das Recht auf Löschung, das Recht auf Einschränkung der Verarbeitung, die Mitteilungspflicht des Verantwortlichen und das Recht auf Datenübertragbarkeit.
1. Transparenzgebot, Art. 12 DSGVO
Das Transparenzgebot ist eines der zentralen Grundsätze für die Verarbeitung personenbezogener Daten, die in Art. 5 DSGVO genannt werden. Eine Konkretisierung erfährt dieser Grundsatz in Art. 12 DSGVO. Danach trifft der Verantwortliche für die Datenverarbeitung geeignete Maßnahmen, um der betroffenen Person alle Informationen und Mitteilungen, die sich auf die Verarbeitung der personenbezogenen Daten beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Zu beachten ist, dass dies insbesondere dann gilt, wenn sich die Informationen an Kinder richten. Die Information kann schriftlich, elektronisch und unter Umständen auch mündlich erfolgen, falls der Betroffene dies verlangt.
Die Informationspflicht und die Auskunftspflicht, die im Folgenden erläutert werden sollen, sind zwecknotwendige Voraussetzungen für das Transparenzgebot. Ohne diese hätte der Betroffene kaum Möglichkeiten Einsicht in die Verarbeitung seiner Daten zu nehmen.
2. Informationspflicht, Art. 13, 14 DSGVO
Die Informationspflichten des Verantwortlichen ergeben sich aus Art. 13 DSGVO und Art. 14 DSGVO. Die in der DSGVO beschriebenen Informationspflichten gehen deutlich über das hinaus, was in Deutschland bisher durch das BDSG verlangt wurde.
Art. 13 DSGVO umfasst den Fall der Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person selbst, Art. 14 DSGVO jene Informationspflicht, die sich daraus ergibt, dass der Verarbeiter die personenbezogenen Daten nicht direkt bei dem Betroffenen erhoben hat. Beide Artikel sind sehr umfangreich, weshalb hier nur auf die groben Unterschiede eingegangen wird und lediglich ein kleiner Überblick dargestellt werden soll.
Art. 13 und Art. 14 DSGVO ähneln sich inhaltlich stark. Unter anderem muss dem Betroffenen in Abs. 1 beider Artikel durch den Verantwortlichen sein Name und dessen Kontaktdaten, der Datenschutzbeauftragte, der Zweck für den die personenbezogenen Daten erhoben werden sollen, sowie die Rechtsgrundlage für die Verarbeitung genannt werden.
Gemäß Abs. 2 beider Artikel muss der Verantwortliche zusätzliche Informationen zur Verfügung stellen, um eine faire und transparente Verarbeitung zu gewährleisten. Darunter die Dauer für die die personenbezogenen Daten gespeichert werden und das Recht des Betroffenen auf Auskunft, Löschung und Berichtigung seiner Daten sowie die Möglichkeit auf Einschränkung der Verarbeitung. Unterschiede finden sich insbesondere durch die Art der Erhebung. Da die personenbezogenen Daten im Fall des Art. 13 DSGVO bei dem Betroffenen direkt erhoben werden, verlangt dieser, im Gegensatz zu Art. 14 DSGVO, dass der Betroffene darüber informiert wird, dass er gegebenenfalls dazu verpflichtet ist, personenbezogene Daten bereitzustellen und welche Folgen eine Nichtbereitstellung hat (vgl. Art. 13 Abs. 2 lit. e DSGVO). Art. 14 DSGVO hingegen verpflichtet den Verarbeiter, der die personenbezogenen Daten nicht direkt bei dem Betroffenen erhebt, diesen darüber aufzuklären, aus welcher Quelle die personenbezogenen Daten stammen.
Die Informationspflicht besteht jedoch nur dann, wenn der Betroffene nicht bereits über diese Informationen verfügt (Vgl. Art. 13 Abs. 4 und Art. 14 Abs. 5 lit. 4 DSGVO). Darüber hinaus nennt Art. 14 Abs. 5 DSGVO weitere Fälle in denen eine Informationspflicht im Rahmen des Art. 14 DSGVO entfällt. So zum Beispiel, wenn die Informationserteilung mit einem unverhältnismäßigen Aufwand verbunden ist oder sich die Erteilung dieser Information als unmöglich erweist.
3. Auskunftsrecht, Art. 15 DSGVO
Das Auskunftsrecht aus Art. 15 DSGVO ist dem deutschen Datenschutzrecht nicht unbekannt. Es entspricht im Groben dem im BDSG in § 34 normierten Auskunftsrecht. Der Betroffene kann vom Verarbeiter eine Bestätigung darüber verlangen, ob er den Betroffenen betreffende personenbezogene Daten verarbeitet. Falls dies der Fall ist, hat der Betroffene ein Recht auf Auskunft unter anderem über folgende Informationen: Verarbeitungszweck, Kategorie der personenbezogenen Daten, Empfänger oder Kategorien von Empfängern, geplante Speicherdauer, Beschwerderecht bei einer Aufsichtsbehörde und wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden, Informationen über die Herkunft der Daten.
Sollten die Daten an Drittländer oder internationale Organisationen übermittelt werden, so kann der Betroffene Auskunft über die „geeigneten Garantien“ (Vgl. Art. 46 DSGVO), die im Zusammenhang mit einer solchen Übermittlung vorgesehen sind, verlangen.
Gemäß Art. 12 Abs. 5 DSGVO werden Mitteilungen im Rahmen des Art. 15 DSGVO unentgeltlich zur Verfügung gestellt, solange kein offenkundig unbegründeter Antrag vorliegt oder der Betroffene exzessive Anträge (insbesondere im Fall der Wiederholung) stellt. Läge einer der Fälle vor, kann der Verantwortliche sich entweder weigern oder ein angemessenes Entgelt verlangen. Jedoch hat der Verantwortliche den Nachweis zu führen, dass ein offenkundig unbegründeter oder exzessiver Charakter des Antrags vorliegt.
4. Recht auf Berichtigung, Art. 16 DSGVO
Das Recht auf Berichtung versetzt den Betroffenen in die Lage, von dem Verarbeiter die Berichtigung, der sie betreffenden unrichtigen, personenbezogener Daten zu verlangen. Auch das BDSG enthielt eine vergleichbare Regelung in § 35 Abs. 1 BDSG. Verantwortliche sollten bereits bei der Erhebung von personenbezogenen Daten verstärkt auf die Richtigkeit der Daten achten.
Das Thema der nächsten Woche sind die Betroffenenrechte nach der DSGVO (Teil 2).
21. Juni 2017
Eine Datenbank mit persönlichen Wählerinformationen zu 198 Millionen US-Bürgern stand 2 Wochen frei zugänglich im Internet zum Download zur Verfügung.
Wie die US-Website Gizmodo berichtet, hatte das Unternehmen Deep Root Analytics im Auftrag der Republikanischen Partei eine Datenbank mit bis zu 198 Millionen Datensätzen an Wählerinformationen erstellt. Aus dieser gingen Namen, Geburtsdaten, Adressen und Telefonnummern eines Großteils der rund 200 Millionen wahlberechtigten US-Bürger hervor. Daneben waren in der Datenbank auch Analyseergebnisse zur politischen Einstellung, Religion, ethnischer Herkunft und wahrscheinliche Meinungen zu Themen wie Waffenbesitz, Stammzellenforschung oder Abtreibung der betroffenen Personen aufgeführt.
Auf die Datenbank aufmerksam geworden war die IT-Sicherheitsfirma UpGuard, nach deren Angaben die Eingabe der URL ausreichend war, um auf 1,1 Terrabyte der Datenbank, die auf einem Amazon Server gespeichert war, zugreifen und sie herunterzuladen zu können. Nicht einmal die Eingabe eines Passworts sei nötig gewesen.
Deep Root Analytics hat mit einer Stellungnahme auf die Datenpanne, die mittlerweile behoben ist, reagiert und eigene Fehler eingeräumt. So wird die Datenpanne auf ein fehlerhaftes Update am 1. Juni zurückgeführt. Weiter heißt es darin, dass die Daten gesammelt würden, um personalisierte Wahlwerbung im Fernsehen schalten zu können.
20. Juni 2017
Eine vom Bundesverkehrsministerium eingesetzte Ethikkommission hat Leitlinien für selbstfahrende Autos auf deutschen Straßen entworfen und diese heute vorgestellt.
Das Gremium unter Vorsitz von Udo Di Fabio wurde eingesetzt, um Empfehlungen dafür zu geben, was in automatisierte Fahrsysteme künftig zulässig, und was ausdrücklich nicht erlaubt sein sollte.
Dabei wurden neben rechtlichen auch ethische Grundsätze ins Auge gefasst. Es wurden 20 konkrete Regeln aufgestellt, die für das autonome Fahren gelten sollen, in denen auch die datenschutzrechtlichen Bedenken der Kommissionsmitglieder (darunter Wissenschaftler und Experten aus den Fachrichtungen Ethik, Recht und Technik) Ausdruck finden. So heißt es beispielswese: “Eine vollständige Vernetzung und zentrale Steuerung sämtlicher Fahrzeuge im Kontext einer digitalen Verkehrsinfrastruktur ist ethisch bedenklich, wenn und soweit sie Risiken einer totalen Überwachung der Verkehrsteilnehmer und der Manipulation der Fahrzeugsteuerung nicht sicher auszuschließen vermag.” Grundsätzlich müssten die Fahrzeughalter stets in der Lage sein, über die Weitergabe und Verwendung ihrer anfallenden Fahrzeugdaten zu entscheiden.
16. Juni 2017
In dem der Entscheidung des OLG Hamm zugrundeliegenden Fall ging es um ein damals noch 22-jähriges Liebespaar. Der Beklagte fertigte mit seinem Handy ein Foto, das das Paar beim privaten Oralverkehr zeigte und auf dem die Klägerin zu erkennen war. Etwa 2 Jahre später stellte der Beklagte dieses auf eine öffentlich zugängliche Internetplattform, wo sich das Foto rasant verbreitete. Als die Klägerin hiervon alsbald erfuhr, verlangte sie vom Beklagten die Entfernung. Dem kam der Beklagte nach. Gleichwohl sollte das Verhalten des Beklagten schwere Folgen für die Klägerin haben.
Die Klägerin litt in der Folgezeit insofern unter schweren psychischen Leiden. Im Rahmen des Zivilprozesses bestätigte eine vom Senat angehörte medizinische Sachverständige die Leiden der Klägerin. Danach hatte dieser Vorfall für die Klägerin schwerwiegende Folgen vor allem auf ihre Lebensgestaltung. Sie habe sich über eine längere Zeit zurückgezogen, die Öffentlichkeit gemieden und sich nicht mehr in der Lage gesehen einer Arbeit nachzugehen. Hinzukam, dass dieser Vorfall zu einer schweren Bloßstellung der Klägerin geführt habe, insbesondere weil auch Personen in ihrem Umfeld hiervon erfuhren. Zwar sei im Nachhinein nicht mehr feststellbar gewesen, wie oft das Foto heruntergeladen wurde, indes sei aufgrund der bekannten Nutzerzahlen von Internetplattformen und sozialen Netzwerke von einer erheblichen Fallzahl auszugehen gewesen. Zugunsten des Beklagten habe jedoch sein junges Alter sowie die Tatsache, dass es sich beim Hochladen des Fotos um eine wegen Alkoholkonsums unreflektierte Spontanhandlung gehandelt habe, gesprochen. Außerdem sei aufgrund des mittlerweile erfolgten Schulabschlusses und des Wohnortwechsels der Klägerin nicht mehr zu erwarten, dass die Klägerin künftig weiterhin massiv mit dem Foto konfrontiert werde.
Jedenfalls habe die Klägerin zu keiner Zeit ihre Einwilligung in die Verbreitung erklärt. Das zuvor durch das LG Münster zugesprochene Schmerzensgeld in Höhe von 20.000 € wurde durch das OLG Hamm auf 7.000 € reduziert Die Gesamtumstände rechtfertigten nach Aussage des Gerichts keinen höheren Schmerzensgeldanspruch als die letztlich zugesprochene Höhe.
Siehe auch Pressemitteilung OLG Hamm vom 01.06.2017
14. Juni 2017
Auch nach Inkrafttreten der EU-Datenschutzgrundverordnung (kurz DSGVO) am 28.05.2018 bleibt es bei dem datenschutzrechtlichen Grundsatz des Verbots mit Erlaubnisvorbehalt. Der Grundsatz hat zur Folge, dass eine Verarbeitung personenbezogener Daten grundsätzlich verboten ist, wenn kein Erlaubnistatbestand vorliegt, der die Verarbeitung legitimiert. Als die zentrale Legitimation für die Verarbeitung personenbezogener Daten ist auch im Rahmen der DSGVO die Einwilligung des von der Verarbeitung Betroffenen anzusehen.
I. Einwilligung nach Art. 7 DSGVO
Sofern keiner der gesetzlich definierten Fälle einer entbehrlichen Einwilligung gegeben ist (Art. 6 DSGVO), ist die Einwilligung damit das “Maß der Rechtmäßigkeit” einer Datenverarbeitung. Die Verarbeitung ist nur rechtmäßig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat.
Eine Einwilligung im Sinne der DSGVO ist jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willenserklärung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Die Einzelheiten ergeben sich aus Art. 7 DSGVO, auf die nachfolgend eingegangen wird.
1. Freiwilligkeit der Einwilligung
Eine Einwilligung soll auf der freien Entscheidung des Betroffenen beruhen. Sie muss freiwillig erfolgen, d.h. der Betroffene muss in der Lage sein, eine echte Wahl zu treffen hinsichtlich des Ob, Wieviel und Wem er die Nutzung seiner Daten gestattet. Keine Einwilligung liegt insbesondere vor, wenn der Betroffene in eine Situation gebracht wird, in der er aus Zeitmangel oder anderen Gründen davon abgehalten wird, die zu erklärende Einwilligung ernsthaft zu bedenken oder mit einer Person seines Vertrauens zu besprechen. Eine solche Überrumpelungslage wird in der Regel gezielt herbeigeführt (z.B. das Versprechen übermäßiger Anreize etwa bei der Teilnahme an Gewinnspielen gegen die Preisgabe von Daten) oder ausgenutzt (z.B. wenn der Betroffene “eigentlich nur noch nach Hause will”).
An der Freiwilligkeit der Einwilligung fehlt es auch, wenn sie mit einer anderen Leistung gekoppelt wird, obwohl die Datennutzung für die Nutzung der Leistung nicht zwingend erforderlich ist. Wird so z.B. für einen Vertrag über eine Dienstleistung eine Einwilligung abverlangt, die für die Erfüllung des Vertrages nicht erforderlich ist, ist die Einwilligung im Zweifel nicht freiwillig. Solche Kopplungsmodelle sind heutzutage häufig bei Online-Dienstleistungen anzutreffen, die ungeachtet des auch jetzt schon geltenden Verbots, ihr Geschäftsmodell auf dem Prinzip “Dienstleistung gegen Daten” aufgebaut haben und die Daten des Nutzers im Wege gezielter Werbeangebote oder der Weitergabe der Daten zu Geld machen. Die Einwilligung ist auch in solchen Fällen nur dann freiwillig, wenn dem Betroffenen eine echte Wahlmöglichkeit eröffnet wird.
Ferner ist die Freiwilligkeit der Einwilligung auch dann zu verneinen, wenn dem Betroffenen für den Fall der Verweigerung der Einwilligung Nachteile angekündigt werden. Dies gilt nur dann nicht, wenn der Nachteil logische Folge der Verweigerung ist. Wer z.B. eine Leistung in Anspruch nehmen möchte, wird die mit der Erfüllung der Leistung verbundenen Informationen, wie Kontakt- und Abrechnungsdaten, preisgeben müssen.
2. Bestimmtheit der Einwilligung
Die Einwilligung in die Verarbeitung personenbezogener Daten darf nicht pauschal erfolgen. Allgemeine Formulierungen oder Blanko-Einwilligungen genügen nicht den gesetzlichen Voraussetzungen des Art. 7 DSGVO. Die Einwilligung muss daher erkennen lassen, welche personenbezogenen Daten zu welchem Zweck von wem verarbeitet werden sollen. Hierbei gilt, dass der Zweck der Datennutzung umso genauer umschrieben werden muss, je weitreichender die Datennutzung ausfällt.
3. Information des Betroffenen
Der Betroffene muss vor Abgabe der Einwilligungserklärung über den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten im Einzelnen informiert werden. Dabei müssen alle weiteren für den konkreten Fall entscheidungsrelevanten Informationen enthalten sein und diese müssen darüber hinaus auch hinreichend bestimmt sein, der Zweck der Verarbeitung darf also nicht zu allgemein gehalten werden. Der Betroffene muss außerdem in der Lage sein, die Informationen leicht zu erkennen und auch als Einwilligung zu identifizieren. Folgende Fragen muss sich der Betroffene nach Lektüre der Einwilligungserklärung beantworten können:
- Wer (genau) soll die Daten nutzen dürfen?
- Welche Daten soll er nutzen dürfen?
- Zu welchem Zweck soll er diese Daten nutzen dürfen?
- Darf er diese Daten weitergeben und wenn ja, an wen genau?
- Wie lange darf diese Nutzung andauern?
4. Unmissverständlich abgegeben
Die Einwilligungserklärung muss ferner “unmissverständlich abgegeben” worden sein. Dies kann zum einen in der Form einer abgegebenen Erklärung geschehen, die sowohl schriftlich als auch mündlich erfolgen kann. Zum anderen kann eine “unmissverständlich” abgegebene Einwilligung aber auch in einer bestätigenden Handlung bestehen, mithin konkludent durch schlüssiges Handeln erteilt werden. Damit sind insbesondere die Fälle gemeint, in denen der Betroffene mit einem Mausklick “Ich bin einverstanden” seine Einwilligung erklärt. Zu beachten ist dabei, dass das Kästchen zum ankreuzen nicht vorangekreuzt sein darf, damit der Betroffene aktiv handeln muss.
5. Einwilligung Minderjähriger
Bei Geschäftsfähigkeit des Betroffenen stellt die Rechtmäßigkeit der Einwilligung kein Problem dar. Die DSGVO geht in Art. 8 DSGVO grundsätzlich auch davon aus, dass eine Einwilligung “im Kindesalter gegeben” werden kann. Aus diesem Grund sollen in diesen Fällen die der Einwilligung vorausgehenden Hinweise in einer klaren und einfachen Sprache erfolgen, sodass ein Kind sie verstehen kann. In der Praxis ist allerdings in den meisten Fällen festzustellen, dass gerade Klauseln im Internet oftmals unverständlich geschrieben sind und das Verständnis selbst bei volljährigen Personen schwer fallen dürfte.
Die im deutschen Recht an verschiedenen Stellen normierte Unterscheidung zwischen Kindern und Jugendlichen findet sich in der DSGVO nicht. Art. 8 Abs. 1 DSGVO sieht bei der Einwilligungsfähigkeit in Bezug auf Dienste der Informationsgesellschaft eine Regelgrenze von 16 Jahren vor. Dies hat zur Folge, dass insbesondere die Nutzung von Social-Media-Diensten wie Facebook nunmehr erst ab 16 Jahren rechtmäßig ist, zumindest soweit keine Zustimmung des gesetzlichen Vertreters vorliegt. Damit hat Facebook die Altersgrenze von 13 auf 16 Jahre hochzusetzen.
II. Widerspruchsrecht nach Art. 21 DSGVO
Nach Art. 21 DSGVO kann der Betroffene der Verarbeitung seiner personenbezogenen Daten widersprechen. Das Widerspruchsrecht nach Art. 21 DSGVO richtet sich gegen die Datenverarbeitung, die rechtmäßig erfolgt, ist unter Anderem also auch dann einschlägig, wenn der Betroffene vorher in die Datenverarbeitung eingewilligt hat.
Werden die Daten von vornherein rechtswidrig verarbeitet, steht dem Betroffenen das Recht auf Beschwerde bei einer Aufsichtsbehörde gemäß Art. 77 DSGVO zur Verfügung.
Das Widerspruchsrecht ist so ausgestaltet, dass sich der Betroffene selbst an die verantwortliche Stelle wenden und der Datenverarbeitung aktiv widersprechen muss. Damit der Betroffene von seinem ihm jederzeit zustehenden Widerspruchsrecht weiß, besteht für die verantwortliche Stelle nach Art. 21 Abs. 4 DSGVO die Pflicht, den Betroffenen auf das Widerspruchsrecht hinzuweisen.
Ausnahmsweise besteht das Widerspruchsrecht nicht, wenn ein zwingendes öffentliches Interesse an der Datenverarbeitung besteht, das die Interessen der betroffenen Person überwiegt oder wenn eine Rechtsvorschrift die verantwortliche Stelle zur Verarbeitung verpflichtet.
Widerspruchsrecht gegen Direktwerbung (Art. 21 Abs. 2, 3 DSGVO)
Besonders privilegiert ist das Widerspruchsrecht des Betroffenen gegen Direktwerbung. Zwar stuft die DSGVO die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung als einen denkbaren Unterfall einer dem berechtigten Interesse der verantwortlichen Stelle im Sinne des Art. 6 Abs. 1 dienenden Verarbeitung ein, dieses Interesse ist durch die Normierung des Art. 21 Abs. 2 DSGVO allerdings stets nur schwächer geschützt als die Persönlichkeitsrechte des Betroffenen.
Unter Direktwerbung ist die unmittelbare Ansprache eines Nachfragers, z.B. durch Prospekte, Kataloge, Warenproben, automatische Anrufsysteme, E-Mails oder SMS, durch einen Anbieter mit dem Ziel, den entgeltlichen Absatz von Waren oder die Erbringung von Dienstleistungen zu fördern, zu verstehen.
Widerspruchsberechtigt ist jeder, dessen personenbezogene Daten zu diesem Zweck verarbeitet werden. Dies muss nicht alleine durch die Zustellung einer Werbesendung geschehen, sodass bereits die Erhebung, also die Datenbeschaffung von Daten, um Nachrichtenadressaten auszufiltern, erfasst ist.
Der Widerspruch richtet sich nur gegen die Verarbetiung “für Zwecke der Direktwerbung”. Verarbeitungen, die zu anderen Zwecken erfolgen, sind nicht von einem solchen Widerspruch erfasst. Mit dem Widerspruch geht eine Löschungspflicht gegen die verantwortliche Stelle hinsichtlich der bereits verarbeiteten Daten einher.
Das Thema der nächsten Woche sind die Betroffenenrechte nach der DSGVO.
Pages: 1 2 ... 133 134 135 136 137 ... 275 276 
