EuGH: Zivil- und verwaltungsrechtliche Rechtsbehelfe können nebeneinander und unabhängig voneinander eingelegt werden

17. Januar 2023

Mit Urteil vom 12. Januar 2023 hat der Europäische Gerichtshof (EuGH) entschieden, dass die in der Datenschutz-Grundverordnung (DSGVO) vorgesehenen verwaltungs- und zivilrechtlichen Rechtsbehelfe nebeneinander und unabhängig voneinander eingelegt werden können (C-132/21).

Hintergrund

Grundlage der Entscheidung war die Vorlage des Hauptstädtischen Stuhlgerichts Budapests. Die betroffene Person „BE“ hatte zum einen gegen eine Entscheidung der Datenschutzaufsichtsbehörde vor dem vorlegenden Gericht geklagt, welches der Verwaltungsgerichtsbarkeit angehört. Zum anderen hatte er vor dem Zivilgericht Klage gegen den datenschutzrechtlichen Verantwortlichen erhoben, über dessen Verarbeitung er sich bei der Aufsichtsbehörde beschwert hatte.

Beide Rechtswege sind in der DSGVO vorgesehen. Gegen den Verantwortlichen können betroffene Personen nach Art. 79 DSGVO vorgehen. Gegen Entscheidungen der Aufsichtsbehörde gewährt ihnen Art. 78 DSGVO den Rechtsweg.

Das vorlegende Gericht störte sich daran, dass es „denselben Sachverhalt und dieselbe Behauptung eines Verstoßes gegen die Verordnung 2016/679 prüfen müsse, über die das Fővárosi Ítélőtábla (Hauptstädtisches Tafelgericht, Ungarn) bereits rechtskräftig entschieden habe.“ Daher wollte es wissen, „in welchem Verhältnis die von einem Zivilgericht vorgenommene Beurteilung der Rechtmäßigkeit einer Entscheidung des Verantwortlichen für die Verarbeitung personenbezogener Daten zu dem Verwaltungsverfahren steht“. Es sei nämlich möglich, dass widersprüchliche Entscheidungen erlassen würden.

Entscheidung des EuGH

Der EuGH betonte, dass die von der DSGVO vorgesehenen Rechtsbehelfe gleichwertig nebeneinander stehen. Die DSGVO sehe weder „weder eine vorrangige oder ausschließliche Zuständigkeit vor[sieht] noch einen Vorrang der Beurteilung der genannten Behörde oder des genannten Gerichts zum Vorliegen einer Verletzung der durch diese Verordnung verliehenen Rechte.“ Aus diesem Grund könnten die Rechtsbehelfe „nebeneinander und unabhängig voneinander eingelegt werden.“

Es obliege „den Mitgliedstaaten, im Einklang mit dem Grundsatz der Verfahrensautonomie die Modalitäten des Zusammenspiels dieser Rechtsbehelfe zu regeln“. Dabei sei die effektive Umsetzung der DSGVO zu berücksichtigen, um die Rechte betroffener Personen effektiv zu schützen und die DSGVO einheitlich anzuwenden.

Virginia Consumer Data Protection Act in Kraft getreten

13. Januar 2023

Jenseits des Atlantiks ist das Thema Datenschutz in Bewegung geraten. Da es nach wie vor kein umfassendes Bundesgesetz gibt, haben die Staaten weiterhin die Führung übernommen – in diesem Jahr mehr denn je. Nach Kalifornien beginnen vier weitere Bundesstaaten – Colorado, Connecticut, Utah und Virginia – im Jahr 2023 mit der Durchsetzung neuer, von der DSGVO inspirierter Gesetze. Weitere Staaten werden sicherlich folgen.

Der Virginia Consumer Data Protection Act (VCDPA) ist ein neues Gesetz des Staates Virginia, das am 1. Januar 2023 in Kraft getreten ist und das Recht der Verbraucher auf Datenschutz und Datensicherheit in Virginia stärkt. Viele der VCDPA-Rechte, die Virginia-Verbrauchern gewährt werden, ähneln den Rechten, die die DSGVO bietet, einschließlich der Verbraucherrechte wie die Rechte auf Zugriff, Löschung und Portabilität personenbezogener Daten.

Welche Auswirkungen hat das VCDPA auf die Verantwortlichen?

Das Gesetz fordert von Unternehmen, die personenbezogene Daten von Bürgern von Virginia verarbeiten, dass sie bestimmte Maßnahmen zum Schutz dieser Daten ergreifen. Dazu gehört unter anderem die Einhaltung von Datensicherheitsstandards, die Durchführung von Datenschutz-Audits, sowie die Benachrichtigung von Verbrauchern im Falle eines Datenverlusts oder eines Datenschutzverstoßes.

Ein wichtiger Bestandteil des VCDPA ist die Möglichkeit für Verbraucher, ihre personenbezogenen Daten einzusehen, zu ändern oder zu löschen. Unternehmen müssen diese Anfragen innerhalb von 45 Tagen bearbeiten und dürfen hierfür keine Gebühren erheben.

Des Weiteren müssen Unternehmen, die dem Gesetz unterliegen, vor der Erhebung und Verarbeitung bestimmter Kategorien sensibler personenbezogener Daten eine Einwilligung einholen. Wie der kalifornische CCPA (California Consumer Privacy Act) schreibt auch der VCDPA vor, dass ein Unternehmen, das Dienstleister mit der Verarbeitung von Daten im Namen des Unternehmens beauftragt, mit diesen Dienstleistern einen speziellen Vertrag abschließen muss, der die Anforderungen des Gesetzes umsetzt.

Weitere Vorgaben umfassen (nicht abschließend):

  • Zweckbindung
  • Datenschutz-Risikobewertungen
  • Schaffung technischer und organisatorischer Sicherheitsmaßnahmen
  • Dokumentationspflichten
  • Widerspruchsverfahren für Verbraucheranträge
  • Schutz vor Diskriminierung
  • Datenschutzerklärungen

Das VCDPA gilt für Unternehmen, die:

  • Geschäfte in Virginia tätigen oder ihre Waren und Dienstleistungen an Einwohner von Virginia vermarkten; und
  • Entweder: die personenbezogenen Daten von mindestens 100.000 Einwohnern Virginias kontrollieren oder verarbeiten; oder die personenbezogenen Daten von mindestens 25.000 Einwohnern Virginias kontrollieren oder verarbeiten und mehr als 50 % ihrer Bruttoeinnahmen aus dem Verkauf von personenbezogenen Daten erzielen.

Bestimmte Organisationen sind vom VCDPA ausgenommen, einschließlich:

  • Behörden des Bundesstaats Virginia
  • Finanzinstitute, die dem Gramm-Leach-Bliley Act unterliegen
  • Erfasste Unternehmen oder Geschäftspartner, die den Datenschutz-, Sicherheits- und Verletzungsbenachrichtigungsregeln unterliegen, die gemäß dem Health Insurance Portability and Accountability Act festgelegt wurden
  • Gemeinnützige Organisationen; und Hochschuleinrichtungen

Was schützt das Gesetz?

  • Das Recht auf Kenntnis, Zugang und Bestätigung der personenbezogenen Daten
  • Das Recht auf Löschung personenbezogener Daten
  • Das Recht auf Berichtigung unrichtiger personenbezogener Daten
  • Das Recht auf Datenübertragbarkeit (d.h. einfacher, übertragbarer Zugang zu allen personenbezogenen Daten, die sich im Besitz eines Unternehmens befinden)
  • Das Recht, der Verarbeitung personenbezogener Daten für gezielte Werbezwecke zu widersprechen
  • Das Recht, dem Verkauf von personenbezogenen Daten zu widersprechen
  • Das Recht, der Erstellung von Profilen auf der Grundlage personenbezogener Daten zu widersprechen
  • Das Recht, wegen der Ausübung eines der vorgenannten Rechte nicht diskriminiert zu werden

Ein weiteres wichtiges Element des VCDPA ist die Schaffung einer Datenschutzbehörde, die für die Überwachung der Einhaltung des Gesetzes zuständig ist und Strafen für Verstöße verhängen kann.

Das VCDPA wird vom Generalstaatsanwalt von Virginia durchgesetzt und sieht eine 30-tägige Nachbesserungsfrist vor. Bei Nichteinhaltung kann jedoch eine zivilrechtliche Strafe von bis zu 7.500 US-Dollar pro Verstoß verhängt werden.

„Breaking The Mould“

Insgesamt ist der Virginia Consumer Data Protection Act ein wichtiger Schritt in Richtung stärkerer Datenschutzrechte für Verbraucher in Virginia. Unternehmen, die personenbezogene Daten von Bürgern aus Virginia sammeln, sollten sich mit dem Gesetz vertraut machen und sicherstellen, dass sie alle Anforderungen erfüllen, um Strafen zu vermeiden.

Der parteiübergreifende Vorschlag für ein amerikanisches Datenschutzgesetz (American Data Privacy Protection Act – ADPPA) wurde zwar vom Energie- und Handelsausschuss des Repräsentantenhauses angenommen, doch wurde seine Verabschiedung im Plenum des Repräsentantenhauses blockiert, da die Befürchtung bestand, dass das Gesetz bestehenden und neu erlassenen bundesstaatlichen Datenschutzgesetzen mit höherem Verbraucherschutzniveau zuvorkommen könnte. Einiges deutet darauf hin, dass die Kürze und Klarheit des VCDPA dazu führen könnte, dass das Gesetz ein Modell für künftige Datenschutzgesetze werden könnte, denn mit nur acht Seiten ist das VCDPA wesentlich knapper als der California Consumer Privacy Act.  Die Auswirkungen dieses grundlegenden Wandels im Hinblick auf den Rahmen des Datenschutzes werden in den kommenden Jahren und Jahrzehnten tiefgreifend sein. Das Jahr 2023 könnte somit in den Vereinigten Staaten den Wechsel markieren.

Mehraufwand für Unternehmen bei Auskunftsanspruch

Verantwortliche sind verpflichtet, betroffenen Personen auf Anfrage die Identität der Empfänger, gegenüber welchen personenbezogene Daten offengelegt wurden, mitzuteilen. Dies hat der Europäische Gerichtshof (EuGH) nun in einem Urteil (Urt. v. 12.01.2023 – Rs. C-154/21) entschieden.

Sachverhalt

Dem Urteil vorausgegangen war die Klage eines Österreichers, welcher gegenüber der Österreichischen Post sein Auskunftsrecht nach Art. 15 Abs. 1 lit. c DSGVO geltend machte. Auf die Anfrage, welchen Empfängern gegenüber die Post seine personenbezogenen Daten offengelegt habe, beschränkte sich die Österreichische Post zunächst auf die Auskunft, sie verwende personenbezogene Daten im Rahmen ihrer Tätigkeit als Herausgeberin von Telefonbüchern und stelle die Daten darüber hinaus Geschäftskunden für Marketingzwecke zur Verfügung. Darunter befanden sich unter anderem werbetreibende Händler, IT-Unternehmen, NGOs und Parteien.

Das Auskunftsrecht nach Art. 15 DSGVO

Gemäß Art. 15 DSGVO haben betroffene Personen das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so haben sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

  • Die Verarbeitungszwecke;
  • die Kategorien personenbezogener Daten, die verarbeitet werden;
  • die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
  • falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  • das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  • wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Das Urteil eindeutig

Mit seiner Vorlagefrage wollte das vorlegende Gericht im Wesentlichen festgestellt wissen, ob Art. 15 Abs. 1 Buchst. c DSGVO dahin auszulegen ist, dass das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die konkrete Identität der Empfänger mitzuteilen.

Das Auskunftsrecht eines Betroffenen nach Art. 15 DSGVO gilt im Allgemeinen als sehr weitgehend, die Grenzen sind aus wissenschaftlicher Sicht noch nicht abschließend ausdiskutiert. Problematisch ist dabei, dass die in Art. 15 enthaltenen Begriffe „Empfänger“ und „Kategorien von Empfängern“ nebeneinander aufgeführt sind, ohne dass daraus geschlossen werden kann, dass zwischen ihnen ein Vorrangverhältnis besteht

Der EuGH urteilte nun, dass dem Betroffenen die konkrete Identität der Empfänger grundsätzlich mitzuteilen sei. Ausnahmen von dem Umfang der Auskunft können jedoch dann bestehen, wenn der Empfänger (noch) nicht identifiziert werden kann oder der Antrag offenkundig unbegründet beziehungsweise exzessiv ist. In diesen Fällen könne sich die Mitteilung auf die Kategorie der Empfänger beschränken.

„(…) Nach alledem ist auf die Vorlagefrage zu antworten, dass Art. 15 Abs. 1 Buchst. c DSGVO dahin auszulegen ist, dass das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen, es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 DSGVO sind; in diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen. (…)“

Bedeutung für die Praxis

In der Praxis stellt sich nun die Frage, wie Verantwortliche auf das Urteil reagieren sollten.

  • Nach Art. 12 Abs. 1 DSGVO können die Informationen schriftlich, auf elektronischem Wege oder, auf Verlangen der betroffenen Person, mündlich erteilt werden
  • Bei elektronischer Antragsstellung: Informationen gem. Art. 15 Abs. 3 DSGVO in einem gängigen elektronischen Format zur Verfügung zu stellen
  • Informationen gemäß Art. 12 Abs. 3 DSGVO unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung zu stellen (Frist kann in komplexen Fällen um zwei Monate verlängert werden)
  • Informationen sind grundsätzlich kostenlos zur Verfügung zu stellen
  • Neu ist, dass nun jeder einzelne Empfänger der Daten offengelegt werden muss, es sei denn, die betroffene Person entscheidet sich für eine bloße Offenlegung der Empfängerkategorien
  • Ausnahmen: Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 DSGVO

Was für Strafen drohen Unternehmen, die der spezifischen Auskunftspflicht nicht nachkommen?

  • Bußgelder: DSGVO droht mit einer Geldbuße von bis zu 20 Millionen EUR oder bis zu 4 % des weltweit erwirtschafteten Jahresumsatzes im vorangegangenen Geschäftsjahr (angewendet wird der Wert, der höher ist)
  • Materieller und immaterieller Schadensersatz (Art. 82 DSGVO): Das Arbeitsgericht Düsseldorf (ArbG Düsseldorf, Urteil vom 5. März 2020, Az. 9 Ca 6557/18) hatte beispielsweise einen Schadenersatz in Höhe von 5.000 Euro wegen verspäteter und unzureichender Auskunftserteilung zugesprochen

Ausblick

Ob dieses Urteil auch Auswirkungen auf die Gestaltung der Informationspflichten im Sinne von Art. 13 Abs. 1 lit. e DSGVO beziehungsweise Art. 14 Abs. 1 lit. e DSGVO haben wird, bleibt noch abzuwarten. Aufgrund der kurzen Reaktionszeit auf Auskunftsersuchen nach Art. 12 Abs. 3 DSGVO sollten Unternehmen aber in jedem Falle vorbereitet sein, die nun erforderlichen Informationen bereitzuhalten.

Rechtsanwalt Dr. Karsten Kinast, Geschäftsführer der KINAST Rechtsanwaltsgesellschaft mbH, hat diese Woche im ARD-Morgenmagazin ein kurzes Interview zu dem Urteil gegeben. Hier geht es zum Bericht des Morgenmagazins.

Der Datenschutz beim Verkauf von Arzneimittel auf Amazon

12. Januar 2023

Mit einem Beschluss (Az. I ZR 222/19 und I ZR 223/19) vom 12. Januar 2023 hat der Bundesgerichtshof (BGH) entschieden, den Gerichtshof der Europäischen Union (EuGH) im Rahmen des Vorabentscheidungsverfahrens anzurufen. Der BGH möchte geklärt wissen, „(…) ob ein Apotheker, der auf einer Internet-Verkaufsplattform Arzneimittel vertreibt, gegen die für Gesundheitsdaten geltenden datenschutzrechtlichen Bestimmungen verstößt (…)“.

Hintergründe

Hintergrund des Verfahrens ist die Klage eines Apothekers gegen zwei weitere Apotheker. Die beiden beklagten Apotheker vertrieben, so der BGH, über die Internetplattform Amazon verschiedene apotheken- aber nicht verschreibungspflichtige Medikamente. Im Rahmen der erstinstanzlichen Klage habe der klagende Apotheker u.a. wissen wollen, ob die beklagten Apotheker mit dem Vorgehen gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen.

Hinsichtlich der datenschutzrechtlichen Bestimmungen habe sich die Frage gestellt, ob die Beklagten im Rahmen des Bestellvorgangs personenbezogene Daten der Kunden verarbeiten. Dabei sei für den Bestellvorgang, neben dem Namen und der Lieferadresse, eine Information zur „(…) Individualisierung des bestellten apothekenpflichtigen Medikaments (…)“ notwendig. Bei diesen Informationen könne es sich um sog. Gesundheitsdaten, d.h. personenbezogene Daten besonderer Kategorie im Sinne des Art. 9 Abs. 1 DSGVO handeln. Der klagende Apotheker habe außerdem moniert, dass die Beklagten keine Einwilligung zur Datenverarbeitung eingeholt hätten.

Vorlagefragen

Der BGH legte fest, dass der EuGH hinsichtlich der datenschutzrechtlich relevanten Bestimmungen anzurufen sei. Insoweit sei es fraglich, ob der Beklagte mit dem Verkauf der Arzneimittel gegen die DSGVO verstoße.

Außerdem entschied der BGH, dass dem EuGH eine weitere Vorlagefrage vorgelegt werden müsse. Demnach möchte der BGH wissen, ob der in Frage stehende Verstoß gegen die DSGVO „(…) mit einer wettbewerbsrechtlichen Klage vor den Zivilgerichten verfolgt werden kann.“ Es sei dementsprechend zu klären, ob hinsichtlich Kapitel VIII DSGVO die Grundverordnung nationalen Regelungen vorgehe. Folglich sei es fraglich, ob dem Mitbewerber ein Klagerecht gegen den Konkurrenten zustehe.

Chinas Deepfake-Richtlinie tritt in Kraft

10. Januar 2023

Am 10. Januar 2023 ist Chinas Richtlinie zur Regulierung von Deepfakes in Kraft getreten. Damit will die chinesische Regierung unter anderem Deepfakes ohne Einwilligung der betroffenen Person sowie Verleumdungen und Betrug verhindern.

Was sind Deepfakes?

Deepfakes (oder auch „deep systhesis“ Technologien) sind „realistisch wirkende Medieninhalte (Foto, Audio und Video), die durch Techniken der künstlichen Intelligenz abgeändert und verfälscht worden sind.“ Damit kann beispielsweise in einem Video ein Gesicht mit dem einer anderen Person ersetzt oder in einer Aufnahme eine Stimme ausgetauscht werden. Während die Technologie unzählige Möglichkeiten in der Kunst eröffnet, wird sie in vielen Fällen zu Betrugszwecken eingesetzt. Besonders problematisch sind Deepfakes, bei denen in pornografischen Inhalten das Gesicht der Darsteller ausgetauscht wird. Auch Politiker werden oft Opfer von Deepfakes, die beispielsweise ihre Reden abändern. Für die meisten Menschen ist es nicht erkennbar, wenn sie einen Deepfake-Inhalt vor sich haben.

China als Vorreiter im Kampf gegen den Missbrauch von Deepfake-Technologien?

Ziel der Richtlinie ist laut der Cyberspace Administration of China (CAC), „die Verwaltung von Internet-Informationsdiensten in einer tiefgreifenden Synthese zu stärken, die sozialistischen Grundwerte zu fördern, die nationale Sicherheit und die sozialen öffentlichen Interessen zu schützen und die legitimen Rechte und Interessen von Bürgern, juristischen Personen und anderen Organisationen zu wahren“. Dabei ist anzunehmen, dass sich China als Vorreiter in der Regulierung von Deepfake-Technologien positionieren möchte.

Kern der Regeln ist zunächst Transparenz. So muss die Einwilligung der Person eingeholt werden, die vom Deepfake betroffen ist, und es muss angegeben werden, dass der Inhalt durch Technologie geändert wurde. Zudem muss die Identität des Erstellers erkennbar sein. Dieser muss sich unter seinem echten Namen registrieren.

Allerdings stellt die neue Richtlinie auch Anforderungen an die erlaubten Inhalte. So sind Inhalte, die gegen bestehende Gesetze verstoßen, ebenso verboten wie solche, die nationale Sicherheit und Interessen gefährden, das nationale Image schädigen oder die Wirtschaft stören. Damit reiht sie sich in Chinas von Zensur geprägtes System ein.

Regulierung von Deepfakes in der EU

Die Vorreiterrolle hat China mit der Richtlinie insoweit angenommen, als es die Entwicklung der Technologie antizipiert und im Vergleich zum Rest der Welt frühzeitig reguliert hat. Die Europäische Union (EU) arbeitet derzeit an der KI-Verordnung, welche auch Deepfake-Technologien erfassen wird.

e-Patientenakte: Bleibt der Datenschutz auf der Strecke?

Seit dem 1. Januar 2021 können alle gesetzlich Versicherten eine elektronische Patientenakte (ePA) ihrer Krankenkassen erhalten. Darin befinden sich medizinische Befunde und Informationen aus vorhergehenden Untersuchungen und Behandlungen über Praxis- und Krankenhausgrenzen hinweg, die umfassend gespeichert werden können. Ähnlich wie bei der elektronischen Arbeitsunfähigkeitsbescheinigung (wir berichteten) stellen sich auch bei der ePA datenschutzrechtliche Fragen.

So steht der Bundesdatenschutzbeauftragter (BfDI) Ulrich Kelber der Umsetzung der ePA kritisch gegenüber: Ein solches Opt-out System sei in der DSGVO „grundsätzlich nicht angelegt“.

Diesen Informationen ist ein besonders hohes Schadens- und Diskriminierungspotenzial immanent mit der Folge, dass die ePA-Daten daher – sowohl bezüglich des „Ob“ als auch des „Wie“ der Verarbeitungsmodalitäten – äußerst strikten Vorgaben unterliegen.

Wer hat Zugriff auf die Daten

Ein bedeutender Aspekt ist die Frage der Zugriffsgestaltung auf die ePA. Dafür ist am 20. Oktober 2020 das Patientendaten-Schutz-Gesetz (PDSG) in Kraft getreten. Es enthält umfängliche Regelungen zur elektronischen Patientenakten. Mit dessen konkreten Ausgestaltungen zum Zugriffsmanagement – insbesondere für Versicherte, die kein geeignetes Endgerät besitzen oder nutzen wollen – verstößt es laut dem BfDI gegen die Datenschutz-Grundverordnung.

Umsetzung der ePA in vier Stufen geplant

Die Umsetzung des Berechtigungsmanagements soll in vier Stufen vorgenommen werden:

  1. Auf der ersten Stufe erhalten Patient*innen automatisch eine ePA.
  2. In der zweiten Stufe wird die digitale Akte sodann durch die Ärzte mit Informationen bestückt.
  3. Die dritte Stufe ermöglicht den behandelnden Mediziner*innen, die Akte einzusehen.
  4. Als letzte und vierte Stufe wird die Möglichkeit eröffnet, persönliche Gesundheitsdaten anonym zu Forschungszwecken zu spenden.

Offen ist allerdings noch, auf welcher Stufe Patienten der ePA widersprechen können.

Fazit

Das im PDSG normierte Zugriffsmanagement der ePA verstößt laut Kelber gegen die DSGVO und die Grundrechte der Versicherten. Der BfDI kommt so zu dem Schluss, dass eine Umsetzung der elektronischen Patientenakte ausschließlich nach den Vorgaben des nationalen Gesetzes europarechtswidrig sei.

390 Millionen Euro Sanktionen für Meta

5. Januar 2023

Nur kurze Zeit nach dem letzten Millionenbußgeld hat die irische Datenschutzbehörde Data Protection Commission (DPC) erneut gegen den Meta-Konzern Sanktionen verhängt. Der Gesamtbetrag von 390 Millionen Euro setzt sich aus Bußgeldern gegen Facebook (210 Millionen Euro) und Instagram (180 Millionen Euro) zusammen.

Rechtsgrundlage Vertrag statt Einwilligung?

Anstoß für die Untersuchung der DPC gaben die Beschwerden eines Österreichers und eines Belgiers am 25. Mai 2018, dem Tag des Inkrafttretens der Datenschutz-Grundverordnung (DSGVO). Nach einer Änderung der Nutzungsbedingungen sollten die personenbezogenen Nutzerdaten nicht mehr auf Basis einer Einwilligung, sondern auf vertraglicher Basis verarbeitet werden. Dazu zählte auch die Nutzung für personalisierte Werbung.

Meta argumentierte, dass mit der Annahme der aktualisierten Nutzungsbedingungen ein Vertrag mit dem Nutzer zustande gekommen sei. Die Verarbeitung der Nutzerdaten im Zusammenhang mit der Bereitstellung ihrer Facebook- und Instagram-Dienste sei für die Erfüllung dieses Vertrags, einschließlich der Bereitstellung personalisierter Dienste und verhaltensorientierter Werbung, erforderlich, sodass diese Verarbeitungen gemäß Artikel 6 Abs. 1 lit. b DSGVO (die „vertragliche“ Rechtsgrundlage für die Verarbeitung) rechtmäßig gewesen seien.

Dagegen vertraten die Beschwerdeführer die Meinung, dass Meta sich weiterhin auf die Einwilligung als Rechtsgrundlage berufe. Indem Meta den Zugang zu seinen Diensten von der Zustimmung der Nutzer zu den aktualisierten Nutzungsbedingungen abhängig mache, zwinge es sie faktisch dazu, der Verarbeitung ihrer personenbezogenen Daten für verhaltensbezogene Werbung und andere personalisierte Dienste zuzustimmen.

Jahrelange Entscheidungsfindung

In einem Beschlussentwurf vom Oktober 2021 hatte die DPC eine Geldbuße zwischen 28 und 36 Millionen Euro für angemessen erachtet. Meta habe demnach gegen seine Transparenzpflichten verstoßen, indem Nutzer nicht ausreichend über die Verarbeitungsprozesse informiert worden seien. Metas Vorgehen hinsichtlich der Rechtsgrundlage sei jedoch zulässig gewesen.

Die im Rahmen des Kooperations- und Kohärenzverfahrens beteiligten Datenschutzbehörden waren mit der Entscheidung der DPC nicht einverstanden, sodass schließlich der Europäische Datenschutzausschuss (EDSA) beteiligt wurde. Dieser widersprach der Rechtsauffassung der DPC. Er befand, dass Meta im Rahmen der personalisierten und verhaltensbezogenen Werbung nicht auf einen Vertrag als Rechtsgrundlage zurückgreifen könne.

Laut der Datenschutzorganisation noyb habe die DPC während des Verfahrens mit Meta eng zusammengearbeitet. Meta habe sogar argumentiert, dass die DPC das Vorgehen abgesegnet habe.

Wie geht es nun weiter?

Neben dem Bußgeld hat die DPC Meta dazu verpflichtet, innerhalb von drei Monaten nachzuweisen, dass die Verarbeitungstätigkeiten entsprechend der Vorgaben angepasst wurden. Wie diese Umsetzung aussehen soll, ist noch unklar. Voraussichtlich wird Meta gerichtlich dagegen vorgehen.

Darüber hinaus hat die DPC angekündigt, gegen den EDSA zu klagen. Dieser hatte ihr aufgetragen, eine weitere Untersuchung gegen Facebook und Instagram hinsichtlich der Verarbeitung besonderer Kategorien personenbezogener Daten einzuleiten. Der EDSB habe keine allgemeine Aufsichtsfunktion, die mit der der nationalen Gerichte in Bezug auf nationale unabhängige Behörden vergleichbar sei. Es stehe dem EDSB nicht frei, eine Behörde anzuweisen, unbefristete und spekulative Untersuchungen durchzuführen.

Bitkom: „Drei Viertel von Cyberkriminalität betroffen“

3. Januar 2023

Der Digitalverband Bitkom veröffentlichte zu Jahresbeginn die Ergebnisse einer repräsentativen Umfrage zu Erfahrungen mit Cyberkriminalität. Befragt wurden in Deutschland 1.014 Personen ab 16 Jahren, die das Internet nutzen.

Drei von vier Internetnutzerinnen und -nutzern 2022 betroffen

Nach den Ergebnissen der Umfrage waren drei von vier der Befragten (75 Prozent) 2022 von Cyberkriminalität betroffen. Die Ergebnisse folgen dem Trend der letzten Jahre. Während 2019 noch 40 Prozent nicht von Cyberkriminalität betroffen waren, waren es 2020 nur noch 34 Prozent. 2021 waren es mit 21 Prozent dann fast genauso viele wie 2022 mit 22 Prozent.

Erfragt wurden beispielsweise Erfahrungen mit Schadsoftware, Betrug beim Online-Shopping oder auch Beleidigungen in sozialen Netzwerken. Bei der Hälfte der Befragten waren persönliche Daten ungefragt weitergegeben worden. Auch der Betrug beim Online-Einkauf oder Online-Banking sowie die Infizierung mit Schadprogrammen trat häufig auf. Bei drei Prozent fand sogar ein Identitätsdiebstahl statt. Bei den Delikten im Rahmen der Interaktion mit anderen Usern fielen insbesondere Beleidigungen und sexuelle Belästigungen auf. Dabei waren Frauen mehr als doppelt so oft betroffen wie Männer.

Ignorieren statt reagieren

Kaum einer der Befragten gab an, auf Forderungen eingegangen zu sein. Vielfach (ca. ein Drittel) entschieden sie sich dafür, auf den Vorfall nicht zu reagieren. Rund die Hälfte suchte das Gespräch mit Freunden und Bekannten. In etwa genauso viele suchten Kontakt mit dem Unternehmen, beispielsweise der Social-Media-Plattform, der Bank oder dem E-Mail-Anbieter. Einige löschten auch ihren Account oder kündigten diesen.

Mehr Polizeieinsatz gegen Cyberkriminalität

Während nur ein knappes Fünftel den Weg der Strafanzeige bei der Polizei wählte, fand sich ein breiter Konsens für einen stärkeren Einsatz der Polizei gegen Cyberkriminalität. So forderten 97 Prozent eine bessere Finanzierung spezieller Polizeieinheiten. 93 Prozent wünschten sich eine stärkere Polizeipräsenz im digitalen Raum. Dagegen fanden nur sieben Prozent die öffentliche Debatte zur Cyberkriminalität übertrieben.

Sicherheitsmaßnahmen und gesunder Menschenverstand

Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder sprach sich dafür aus, dass jeder entsprechende Sicherheitsmaßnahmen treffen müsse. Man müsse damit rechnen, im Internet auf Cyberkriminelle zu treffen. Daher sei es beispielsweise erforderlich, sichere Passwörter zu nutzen, Virenschutzsoftware zu nutzen oder auch persönliche Informationen nur sparsam weiterzugeben. Dazu helfe auch „gesunder Menschenverstand gegen Cyberkriminelle“, so Rohleder. „Wie in der analogen Welt gilt auch im Digitalen: Sind Angebote zum Beispiel von Online-Shops einfach zu gut, um wahr zu sein, sollte man die Finger weglassen. Und wer online von entfernten Verwandten oder Bekannten um Geld gebeten wird, sollte prüfen, ob es sich dabei wirklich um die vorgeblichen Personen handelt“.

Hat man einen Auskunftsanspruch gegen Auftragsverarbeiter?

2. Januar 2023

Die dänische Aufsichtsbehörde hat am 20.5.2022 einen Fall zu der Frage, ob ein Auskunftsanspruch durch einen Auftragsverarbeiter erfüllt werden muss, entschieden.

Über den Sachverhalt

Der Betroffene hatte auf eBay einen Artikel bei dem Unternehmen Asus gekauft und im Rahmen des Kaufs seine E-Mail-Adresse angegeben. Danach erhielt er eine E-Mail von noreply.invitations@trustpilot.com, in der der Asus Online Shop als Absender angegeben war und in der er gebeten wurde, das Kauferlebnis bei Asus auf Trustpilot zu bewerten. Der Betroffene kontaktierte daraufhin Trustpilot von einer anderen E-Mail-Adresse und bat um Auskunft über eventuell verarbeitete personenbezogene Daten. Trustpilot antwortete und teilte mit, dass kein aktiver Nutzer für die E-Mail gefunden werden konnte und daher keine Daten über den Betroffenen verarbeitet wurden. Der Betroffene erhielt danach erneut eine E-Mail von Trustpilot im Namen des Asus Online Shops. Der Shop bat ihn darin, den Einkauf bei Asus zu bewerten. Der Betroffene beschwerte sich deswegen bei der bayerischen Behörde (BayLDA). Das BayLDA leitete die Beschwerde an die Berliner und diese an die dänische Aufsichtsbehörde weiter.

Die Entscheidung der Behörde

Als die für Trustpilot zuständige Datenschutzbehörde hat sie also darüber entscheiden müssen, ob Trutspilot nach Art. 15 DSGVO verpflichtet war, die Auskunft zu erteilen.

In der Begründung der dänischen Behörde geht hervor, dass allein der für die Verarbeitung Verantwortliche nach Art. 15 DSGVO zur Auskunft an den Betroffenen verpflichtet.

Da gemäß den Artikeln 12 und 15 nicht der Auftragsverarbeiter, sondern der Verantwortliche verantwortlich ist, einen Antrag auf Auskunft zu bearbeiten und zu beantworten, ist die dänische Datenschutzbehörde der Ansicht, dass Trustpilot nicht gegen diese Bestimmungen verstoßen hat.“

Unterstützungspflicht des Auftragsverarbeiter

Jedoch ist Trustpilot nach Art. 28 Abs. 3 lit. e DSGVO verpflichtet, den Verantwortlichen bei seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannte Rechte der betroffenen Person zu unterstützen.

Außerdem hat der Betroffene im Rahmen seiner Anfrage auch seinen Namen und seine postalische Adresse angegeben hatte. Deswegen kritisierte die dänische Datenschutzbehörde, dass Trustpilot keine einheitliche Vorgehensweise bei der Suche nach relevanten Informationen, einschließlich des Namens und der Adresse, die der Betroffene im Zusammenhang mit seiner Anfrage übermittelt hat, umgesetzt hat. Trustpilot war offenbar nicht in der Lage, nach dem Namen und der Adresse zu suchen und einen Vergleich durchzuführen. Dadurch hätte Trustpilot die Möglichkeit gehabt, die betroffene Person zu identifizieren und, als Auftragsverarbeiter, den Verantwortlichen in dem vereinbarten Umfang bei der Verarbeitung zu unterstützen. Die dänische Behörde hat dies jedoch nur als Hinweis an Trustpilot gegeben und das Verfahren eingestellt.

Fazit

In der Begründung empfiehlt die Aufsichtsbehörde, dass Trustpilot zusätzliche Daten (Name und Adresse) als Auftragsverarbeiter erhalten soll, die für die eigene Leistung nicht unbedingt erforderlich sind, aber für Betroffenenanfragen relevant sein könnten. Diese Empfehlung mag aus Sicht der Erleichterung von Betroffenenanfragen zwar sinnvoll sein, doch ist der Verantwortliche (für den Trustpilot als Auftragsverarbeiter auch bei Betroffenenanfragen unterstützen muss) laut Art. 11 DSGVO nicht verpflichtet, zusätzliche personenbezogene Daten zu verarbeiten, nur um Betroffenenrechte zu erfüllen. Zu beachten ist, dass die erforderlichen Daten (Name und Adresse) bereits beim Verantwortlichen vorliegen. Eine mögliche Alternative könnte sein, dass Trustpilot die Anfrage des Betroffenen (inklusive der unbekannten E-Mail-Adresse) direkt an den Verantwortlichen weiterleitet.

Neue Richtlinie zur Cybersicherheit veröffentlicht

28. Dezember 2022

Kurz nach Weihnachten, am 27. Dezember 2022 wurde eine neue Richtlinie zu „Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union“ (im Folgenden: „Cybersicherheits-Richtlinie“ oder „Richtlinie“) veröffentlicht. Ziel dieser neuen Richtlinie ist der „Aufbau von Cybersicherheitskapazitäten“ und die „Eindämmung von Bedrohungen für Netz- und Informationssysteme[n]“.

Die Adressaten der neuen Regelungen

Die neue Richtlinie 2022/2555 zu Maßnahmen im Bereich der Cybersicherheit ersetzt die bisherige Richtlinie 2016/1148 „über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union“. Die neue Cybersicherheits-Richtlinie betrifft im Vergleich mehr Unternehmen. Zu den Adressaten zählen Unternehmen verschiedener Sektoren. Die Richtlinie erfasst Unternehmen des Gesundheitswesens wie Unternehmen der digitalen Infrastruktur und u.a. Unternehmen des verarbeitenden Gewerbes. Die neuen Regelungen betreffen dabei sog. mittlere Unternehmen. Es handelt sich um Betriebe, die mehr als 50 Mitarbeiter beschäftigen und einen Jahresumsatz von mehr als 10. Millionen Euro erzielen.

Grundsätzlich muss die Cybersicherheits-Richtlinie von den Mitgliedstaaten der europäischen Union bis Oktober 2024 umgesetzt werden. Dann müssen die adressierten Unternehmen damit rechnen, dass die neuen Verpflichtungen wirksam werden.

Risikomanagement

Im Wesentlichen sind die betroffenen Unternehmen nach Art. 21 der Richtlinie dazu verpflichtet „technische, operative und organisatorische Maßnahmen“ zu ergreifen. Diese Maßnahmen sollen vor Gefahren für die Sicherheit von Netz- und Informationssystemen schützen. Insoweit sollen die adressierten Unternehmen „gefahrenübergreifende“ Maßnahmen implementieren, deren Ziel der Schutz der Netz- und Informationssystemen und ihrer Umwelt sind. Demnach ist u.a. die Bewältigung von Sicherheitsvorfällen und die Aufrechterhaltung des Betriebs zu beachten.

Außerdem sind die adressierten Unternehmen nach Art. 23 der Richtlinie 2022/2555 dazu verpflichtet unverzüglich die zuständigen Behörden über einen Sicherheitsvorfall zu unterrichten. Zusätzlich müssen sie die Empfänger ihrer Dienstleistungen über einen solchen Vorfall informieren.

Effektive Durchsetzung

Darüber hinaus erhalten die zuständigen Behörden weitreichende Befugnisse, um eine effektive Durchsetzung der Cybersicherheits-Richtlinie zu garantieren. Mithin können die zuständigen Behörden u.a. die Unternehmen vor Ort kontrollieren und gezielte Sicherheitsprüfungen vornehmen. Zusätzlich legt die Richtlinie neue Bußgelder fest. Demnach können Geldbußen mit einem Höchstbetrag von mindestens 10 Mil. Euro oder von mindestens 2% des globalen Jahresumsatzes verhängt werden.

Bessere Cybersicherheit

Insgesamt hat die europäische Union das Ziel, die Cybersicherheit im Binnenmarkt zu stärken. Folglich veröffentliche die europäische Kommission am 22. September 2022 einen Entwurf zum sog. „Cyber Resilience Act“. Dieser soll Vorgaben zur Cybersicherheit für Produkte mit digitalem Element schaffen.

1 2 3 4 254