Schlagwort: Betroffenenrechte

Betroffenenrechte: Unverhältnismäßigkeit beim Auskunftsverlangen

23. Oktober 2018

Bei der Irischen Datenschutzaufsicht sind derzeit Verfahren gegen Facebook und Twitter eingeleitet, welche mehr Aufschluss zur Datensammlung dieser Unternehmen geben könnten. In diesem Zusammenhang schließt sich die Frage an, wann Unternehmen Auskunftsersuchen unter Umständen wegen einem unverhältnismäßigen Aufwand nicht beantworten müssen.

Hintergrund der Verfahren sind Beschwerden eines Forschers des University College in London. Dabei ging es ihm insbesondere um Informationen, die über sein Verhalten im Web außerhalb der großen Plattformen gesammelt werden. Bei Facebook sind das vor allem Daten, die über den sog. Facebook-Pixel erhoben werden, bei Twitter sind es Daten die gespeichert werden, wenn auf Links in Nachrichten geklickt wird, die über den Twitter-eigenen Linkkürzungsdienst t.co eingebunden werden. Aufgrund eines angeblichen unverhältnismäßigen hohen Aufwandes, lehnten beide Unternehmen eine dahingehende Auskunft ab.

Der Grundsatz der Transparenz in der Datenverarbeitung  ist in Art. 15 DSGVO, dem Auskunftsrecht, festgehalten und dient dem effektiven Persönlichkeitsrechtsschutz.

Kann der Verantwortliche die Auskunft mit der Begründung eines unverhältnismäßigen Aufwands verweigern?

Art. 15 DSGVO gibt dem Wortlaut nach darüber keinen Aufschluss.

Gem. § 34 Abs. 1 Nr. 2 BDSG kann der Verantwortliche die Auskunft im Falle eines unverhältnismäßigen Aufwands ablehnen. Jedoch nur, wenn zusätzlich weitere Voraussetzungen erfüllt sind.
Eine Ablehnung allein aus Gründen der Unverhältnismäßigkeit ist danach unzureichend.

Gem. Erwägungsgrund 63 der DSGVO kann der Verantwortliche verlangen, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt. Dies gilt allerdings nur, wenn der Verantwortliche eine große Menge an Informationen über die betroffene Person verarbeitet.
Immerhin ein Unterfall der möglichen Ablehnung.

Nach Art. 11 Abs. 2 DSGVO gilt Artikel 15 DSGVO nicht, wenn der Verantwortliche nachweisen kann, dass er den Betroffenen nicht identifizieren kann.
Dies bezieht sich sowohl auf die Person des Antragstellers selbst, als auch auf die fehlende Zuordnungsmöglichkeit der den Antragsteller betreffenden Daten.

Teilweise wird vertreten, man könne mit einer Analogie zu Art. 14 Abs. 5 lit b DSGVO arbeiten. Dieser besagt, dass auf eine Information des Betroffenen verzichtet werden kann wenn diese einen unverhältnismäßigen Aufwand erfordert. (Härting, Datenschutz-Grundverordnung, Rn. 683/685)

Nach deutschem Recht soll eine derartige Analogie aber nicht notwendig sein, da auch auf den Grundsatz von Treu und Glauben zurückgegriffen werden könne. Dieser besagt u.a., dass die Parteien eines Rechtsverhältnisses Rücksicht auf die Rechte, Rechtsgüter und Interessen des anderen Teils nehmen müssen.
Mit der Stellung des Auskunftsersuchens wird ein solches Rechtsverhältnis zwischen Antragsteller und Verantwortlichem begründet. Demnach könne sich auch der Verantwortliche im Einzelfall auf einen unverhältnismäßig hohen Aufwand berufen. (vgl. Gola, Datenschutzgrundverordnung 2. Auflage Rn. 38)

 

Fazit:

Nur im Ausnahmefall bzw. Einzelfall kann mit guter Begründung ein Auskunftsersuchen aufgrund unverhältnismäßigen Aufwandes verweigert werden.
Dabei wird der vertretbare Aufwand für Unternehmen (z.B. Kosten, Zeit und Arbeitskräfte) mit dem Schutzbedarf des Betroffenen (z.B. Sensibilität der Daten) ansteigen.

EU wird japanisches Datenschutzsystem anerkennen

27. Juli 2018

Im Rahmen vom neuen Freihandelsabkommen zwischen der EU und Japan (Japan-EU Free Trade Agreement, JAFTA) wird die EU das japanische Datenschutzsystem, durch einen Angemessenheitsbeschluss der EU-Kommission, als gleichwertig anerkennen. Somit wird Japan zu einem sicheren Drittland. Die geplante Adäquanzentscheidung geht weiter als der „umstrittene Privacy-Shield“ zwischen der EU und der USA. Erfasst wird nämlich auch der Bereich der Strafverfolgung, neben Messwerten und Informationen, die zu gewerblichen Zwecken übertragen werden sollen.

Die Entscheidung ist jedoch noch an zusätzliche Bedingungen geknüpft. So muss Japan zusätzliche Garantien zum Schutz der personenbezogenen Daten von Bürgern in der EU einführen. Auch die Betroffenenrechte sollen gestärkt werden. Weiterhin soll ein Verfahren festgesetzt werden,  welches Beschwerden über den Zugriff nationaler Behörden von Europäern bearbeiten, untersuchen und aufklären werde.

Den Datenschutzbeschluss will die Brüsseler Regierungseinrichtung im Herbst formell annehmen. Im Voraus muss das Kabinett ihn noch genehmigen und der neue Europäische Datenschutzausschuss Stellung nehmen.

Themenreihe DSGVO: Die Betroffenenrechte nach der DSGVO (Teil 2)

30. Juni 2017

In der letzten Woche wurden das Transparenzgebot, die Informationspflicht des Verantwortlichen, das Auskunftsrecht des Betroffenen und das Recht auf Berichtigung behandelt. Hier kommen Sie zum Teil 1, falls Sie diesen vorweg lesen möchten.

Im Folgenden sollen das Recht auf Löschung, das Recht auf Einschränkung der Bearbeitung, die Mitteilungspflicht des Verantwortlichen und das Recht auf Datenübertragung im Überblick erläutert werden.

5. Recht auf Löschung, Art. 17 DSGVO

Das „Recht auf Vergessenwerden“ hat seit der Entscheidung des EuGH vom 13. Mai 2014 (EuGH C‑131/12) an Bedeutung gewonnen. Diesem Umstand trägt die Kodifizierung des Rechts auf Löschung aus Art. 17 DSGVO Rechnung, dessen zweiter Absatz das „Recht auf Vergessenwerden“ gesetzlich festschreibt. In dem Urteil des EuGH klagte der Spanier Costeja González gegen Google auf Löschung von ihn betreffenden Suchmaschinenergebnissen, die einen bereits abgeschlossenen in der Vergangenheit liegenden Sachverhalt anzeigten, wenn nach seinem Namen gesucht wurde. Google hatte sich damals geweigert die Suchergebnisse zu löschen. Der EuGH entschied zugunsten des Klägers. Er begründete die Entscheidung damit, dass die Suchergebnisse in Anbetracht der Grundrechte aus den Art. 7 und 8 der Charta zu löschen sind, wenn das Interesse der betroffenen Person an der Löschung, dem Interesse der breiten Öffentlichkeit am Zugang zu der Information oder auch dem wirtschaftlichen Interesse des Suchmaschinenbetreibers überwiegt.

Nach Inkrafttreten des DSGVO wird der Betroffene unter den Voraussetzungen des Art. 17 Abs. 1 DSGVO die Löschung seiner personenbezogenen Daten verlangen können.

Voraussetzungen der Löschung

Gemäß Art. 17 Abs. 1 DSGVO sind unter folgenden Voraussetzungen personenbezogene Daten unverzüglich zu löschen:

  • Die personenbezogenen Daten sind für den Zweck, für den sie erhoben wurden, nicht mehr nötig.
  • der Betroffene widerruft seine Einwilligung und es fehlt an einer anderweitigen Rechtgrundlage.
  • Der Betroffene legt Widerspruch ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor.
  • Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
  • Die Löschung der personenbezogenen Daten ist erforderlich zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten.
  • Die personenbezogenen Daten eines Kindes wurden in Bezug auf angebotene Dienste der Informationsgesellschaft erhoben. Art. 8 DSGVO ist dabei zu beachten

Wie bereits oben erwähnt, findet das „Recht auf Vergessenwerden“ seine Normierung in Art. 17 Abs. 2 DSGVO. Demnach hat der Verantwortliche, der die personenbezogenen Daten öffentlich gemacht hat und gemäß Absatz 1 zu deren Löschung verpflichtet ist, unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten, angemessene Maßnahmen, auch technischer Art, zu treffen, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass ein Betroffener von ihnen die Löschung aller Links zu den ihn betreffenden personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.

Art. 17 Abs. 3 DSGVO bildet einen Ausschlusstatbestand für die Abs. 1 und 2 und nennt entsprechende Fälle, die, liegen sie vor, einer Löschung der Daten entgegenstehen.

6. Recht auf Einschränkung der Verarbeitung, Art. 18 DSGVO

Das Recht auf Einschränkung der Verarbeitung stellt für den Betroffenen ein effizientes und im Verhältnis zu einer unverzüglichen Löschung der personenbezogenen Daten aus Sicht des Verantwortlichen für die Datenverarbeitung milderes Mittel dar. Ist z.B. die Rechtslage bezüglich eines Löschungsanspruchs noch nicht endgültig geklärt, kann der Betroffene durch die Einschränkung der Verarbeitung die Verarbeitung unterbinden, ohne zu sehr in die unter Umständen berechtigten Interessen des Verantwortlichen einzugreifen.

Die Voraussetzungen für eine Einschränkung der Verarbeitung finden sich in Art. 18 Abs. 1 DSGVO. Der Betroffene kann vom Verantwortlichen die Einschränkung der Verarbeitung seiner personenbezogenen Daten verlangen, wenn

  • der Betroffene die Richtigkeit der personenbezogenen Daten bestreitet,
  • die Verarbeitung unrechtmäßig ist und der Betroffene die Löschung der personenbezogenen Daten ablehnt, jedoch stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt
  • der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, der Betroffene die Daten jedoch für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt oder
  • der Betroffene Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.

Die Rechtsfolgen sind in Abs. 2 DSGVO geregelt. Ist die Verarbeitung personenbezogener Daten gem. Absatz 1 eingeschränkt, so dürfen diese Daten grundsätzlich – abgesehen von ihrer Speicherung – nicht mehr verarbeitet werden. Ausnahmen gelten für folgende Fälle:

  • der Betroffene willigt ein
  • die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
  • die Verarbeitung erfolgt zum Schutz der Rechte einer anderen natürlichen oder juristischen Person
  • aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats

Hat ein Betroffener dem Verantwortlichen gegenüber eine Einschränkung der Verarbeitung gem. Art. 18 Abs. 1 DSGVO erwirkt, so hat der Verantwortliche den Betroffenen zu unterrichten, bevor die Einschränkung aufgehoben wird (Vgl. Art. 18 Abs. 3 DSGVO).

7. Mitteilungspflicht, Art. 19 DSGVO

Liegen die Voraussetzungen von Art. 16 (Recht auf Berichtigung), 17 Abs. 1 (Recht auf Löschung) und Artikel 18 (Recht auf Einschränkung) DSGVO vor und hat der Verantwortliche die personenbezogenen Daten berichtigt, gelöscht oder die Datenverarbeitung dieser eingeschränkt, so hat er denjenigen Empfängern, denen er die personenbezogenen Daten offengelegt hat darüber zu informieren. Die Mitteilungspflicht ist jedoch ausgeschlossen, wenn sie sich für den Verantwortlichen als unmöglich darstellt oder mit einem unverhältnismäßigen Aufwand verbunden ist. Der Betroffene kann vom Verantwortlichen verlangen, dass er über die Empfänger unterrichtet wird.

8. Recht auf Datenübertragbarkeit, Art. 20 DSGVO

Das Recht auf Datenübertragung aus Art. 20 DSGVO soll dem Betroffenen ermöglichen seine Daten von einem Verantwortlichen zu einem anderen Verantwortlichen übertragen zu können. Dafür soll derjenige Verantwortliche, von dem der Betroffene die ihn betreffenden personenbezogene Daten herausverlangt, diese in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung zu stellen. Die so erhaltenen Daten darf der Betroffene, ohne Behinderung durch den herausgebenden Verantwortlichen an einen anderen Verantwortlichen übermitteln (Vgl. Art. 20 Abs. 1 DSGVO). Die Article 29 Working Party hat in ihrem Leitfaden zum Recht auf Datenübertragbarkeit (“Guidelines on the right to data portability”) beschrieben, wie eine solche Behinderung aussehen könnte. Diese könnte rechtlicher, technischer oder finanzieller Natur sein. Als Beispiele nannte sie unter anderem Gebühren für die Übermittlung der Daten, eine übermäßige Verspätung oder auch das zur Verfügung stellen der Daten in einem für andere nicht kompatiblen Formats.

Voraussetzung für das Recht auf Datenübertragbarkeit ist, dass die ursprüngliche Verarbeitung auf Grundlage einer Einwilligung oder eines Vertrags erfolgte und mithilfe automatisierter Verfahren erfolgte (Vgl. Art. 20 Abs. 1 lit. a und lit. b GDPR).

Liegen die Voraussetzungen vor, hat der Betroffene die Möglichkeit, in Ausübung seines Rechts aus Art. 20 Abs. 1 DSGVO, auch die direkte Übermittlung seiner personenbezogenen Daten von einem Verantwortlichen zu einem anderen Verantwortliche zu erwirken, soweit dies technisch machbar ist.

 

Das Thema der nächsten Woche ist der Datenschutz im Unternehmen

 

Themenreihe DSGVO: Die Betroffenenrechte nach der DSGVO (Teil 1)

23. Juni 2017

Mit der Einführung der DSGVO ändert sich die datenschutzrechtliche Landschaft nicht unerheblich. Die DSGVO räumt demjenigen, dessen personenbezogene Daten erhoben, verarbeitet oder genutzt werden (Betroffener) umfassende Rechte ein und stärkt damit seine Position gegenüber der datenverarbeitenden Stelle (Verantwortlicher). Damit erweitert die DSGVO das heutige Datenschutzniveau für Betroffene beträchtlich. Der Betroffene soll weitestgehend in die Lage versetzt werden, wissen zu können, wie mit seinen Daten umgegangen wird. Zukünftig werden sich unter anderem auch Unternehmen, wenn sie personenbezogene Daten erheben, verarbeiten oder nutzen, damit konfrontiert sehen, den Rechten des Betroffenen in DSGVO-konformer Weise Rechnung zu tragen.

Im Folgenden sollen Rechte des Betroffenen, welche in der DSGVO an verschiedenen Stellen kodifiziert werden, im Überblick dargestellt werden.

Im ersten Teil werden das Transparenzgebot, die Informations- und Auskunftspflicht des Verarbeiters sowie das Recht des Betroffenen auf Berichtigung unrichtiger personenbezogener Daten behandelt. Im zweiten Teil, der nächste Woche erscheinen wird, das Recht auf Löschung, das Recht auf Einschränkung der Verarbeitung, die Mitteilungspflicht des Verantwortlichen und das Recht auf Datenübertragbarkeit.

1. Transparenzgebot, Art. 12 DSGVO  

Das Transparenzgebot ist eines der zentralen Grundsätze für die Verarbeitung personenbezogener Daten, die in Art. 5 DSGVO genannt werden. Eine Konkretisierung erfährt dieser Grundsatz in Art. 12 DSGVO. Danach trifft der Verantwortliche für die Datenverarbeitung geeignete Maßnahmen, um der betroffenen Person alle Informationen und Mitteilungen, die sich auf die Verarbeitung der personenbezogenen Daten beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Zu beachten ist, dass dies insbesondere dann gilt, wenn sich die Informationen an Kinder richten. Die Information kann schriftlich, elektronisch und unter Umständen auch mündlich erfolgen, falls der Betroffene dies verlangt.

Die Informationspflicht und die Auskunftspflicht, die im Folgenden erläutert werden sollen, sind zwecknotwendige Voraussetzungen für das Transparenzgebot. Ohne diese hätte der Betroffene kaum Möglichkeiten Einsicht in die Verarbeitung seiner Daten zu nehmen.

2. Informationspflicht, Art. 13, 14 DSGVO

Die Informationspflichten des Verantwortlichen ergeben sich aus Art. 13 DSGVO und Art. 14 DSGVO. Die in der DSGVO beschriebenen Informationspflichten gehen deutlich über das hinaus, was in Deutschland bisher durch das BDSG verlangt wurde.

Art. 13 DSGVO umfasst den Fall der Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person selbst, Art. 14 DSGVO jene Informationspflicht, die sich daraus ergibt, dass der Verarbeiter die personenbezogenen Daten nicht direkt bei dem Betroffenen erhoben hat. Beide Artikel sind sehr umfangreich, weshalb hier nur auf die groben Unterschiede eingegangen wird und lediglich ein kleiner Überblick dargestellt werden soll.

Art. 13 und Art. 14 DSGVO ähneln sich inhaltlich stark. Unter anderem muss dem Betroffenen in Abs. 1 beider Artikel durch den Verantwortlichen sein Name und dessen Kontaktdaten, der Datenschutzbeauftragte, der Zweck für den die personenbezogenen Daten erhoben werden sollen, sowie die Rechtsgrundlage für die Verarbeitung genannt werden.

Gemäß Abs. 2 beider Artikel muss der Verantwortliche zusätzliche Informationen zur Verfügung stellen, um eine faire und transparente Verarbeitung zu gewährleisten. Darunter die Dauer für die die personenbezogenen Daten gespeichert werden und das Recht des Betroffenen auf Auskunft, Löschung und Berichtigung seiner Daten sowie die Möglichkeit auf Einschränkung der Verarbeitung. Unterschiede finden sich insbesondere durch die Art der Erhebung. Da die personenbezogenen Daten im Fall des Art. 13 DSGVO bei dem Betroffenen direkt erhoben werden, verlangt dieser, im Gegensatz zu Art. 14 DSGVO, dass der Betroffene darüber informiert wird, dass er gegebenenfalls dazu verpflichtet ist, personenbezogene Daten bereitzustellen und welche Folgen eine Nichtbereitstellung hat (vgl. Art. 13 Abs. 2 lit. e DSGVO). Art. 14 DSGVO hingegen verpflichtet den Verarbeiter, der die personenbezogenen Daten nicht direkt bei dem Betroffenen erhebt, diesen darüber aufzuklären, aus welcher Quelle die personenbezogenen Daten stammen.

Die Informationspflicht besteht jedoch nur dann, wenn der Betroffene nicht bereits über diese Informationen verfügt (Vgl. Art. 13 Abs. 4 und Art. 14 Abs. 5 lit. 4 DSGVO). Darüber hinaus nennt Art. 14 Abs. 5 DSGVO weitere Fälle in denen eine Informationspflicht im Rahmen des Art. 14 DSGVO entfällt. So zum Beispiel, wenn die Informationserteilung mit einem unverhältnismäßigen Aufwand verbunden ist oder sich die Erteilung dieser Information als unmöglich erweist.

3. Auskunftsrecht, Art. 15 DSGVO

Das Auskunftsrecht aus Art. 15 DSGVO ist dem deutschen Datenschutzrecht nicht unbekannt. Es entspricht im Groben dem im BDSG in § 34 normierten Auskunftsrecht. Der Betroffene kann vom Verarbeiter eine Bestätigung darüber verlangen, ob er den Betroffenen betreffende personenbezogene Daten verarbeitet. Falls dies der Fall ist, hat der Betroffene ein Recht auf Auskunft unter anderem über folgende Informationen: Verarbeitungszweck, Kategorie der personenbezogenen Daten, Empfänger oder Kategorien von Empfängern, geplante Speicherdauer, Beschwerderecht bei einer Aufsichtsbehörde und wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden, Informationen über die Herkunft der Daten.

Sollten die Daten an Drittländer oder internationale Organisationen übermittelt werden, so kann der Betroffene Auskunft über die „geeigneten Garantien“ (Vgl. Art. 46 DSGVO), die im Zusammenhang mit einer solchen Übermittlung vorgesehen sind, verlangen.

Gemäß Art. 12 Abs. 5 DSGVO werden Mitteilungen im Rahmen des Art. 15 DSGVO unentgeltlich zur Verfügung gestellt, solange kein offenkundig unbegründeter Antrag vorliegt oder der Betroffene exzessive Anträge (insbesondere im Fall der Wiederholung) stellt. Läge einer der Fälle vor, kann der Verantwortliche sich entweder weigern oder ein angemessenes Entgelt verlangen. Jedoch hat der Verantwortliche den Nachweis zu führen, dass ein offenkundig unbegründeter oder exzessiver Charakter des Antrags vorliegt.

4. Recht auf Berichtigung, Art. 16 DSGVO

Das Recht auf Berichtung versetzt den Betroffenen in die Lage, von dem Verarbeiter die Berichtigung, der sie betreffenden unrichtigen, personenbezogener Daten zu verlangen. Auch das BDSG enthielt eine vergleichbare Regelung in § 35 Abs. 1 BDSG. Verantwortliche sollten bereits bei der Erhebung von personenbezogenen Daten verstärkt auf die Richtigkeit der Daten achten.

 

Das Thema der nächsten Woche sind die Betroffenenrechte nach der DSGVO (Teil 2).

Bundesverkehrsminister Dobrindt legt Verordnungsentwurf zum Betrieb von Drohnen vor

23. Januar 2017

Vergangene Woche legte Bundesverkehrsminister Dobrindt einen Entwurf über eine „Verordnung zur Regelung des Betriebs von unbemannten Fluggeräten“ dem Bundeskabinett vor. Nun muss der Bundesrat über die Verordnung entscheiden. Im Vordergrund des Entwurfs stehen Kraft Natur der Sache verkehrsrechtliche Vorgaben und Anforderungen an die unbemannten Luftfahrtsysteme. Doch sobald die Fluggeräte mit einer Technik ausgestattet sind, die personenbezogene Daten erheben kann – beispielsweise durch Kameras – werden auch datenschutzrechtliche Aspekte relevant.

Eine wesentliche Regelung ist ein generelles Betriebsverbot für Flugmodelle und unbemannte Luftfahrtsysteme über Wohngrundstücken, wenn die Startmasse des Geräts mehr als 0,25 Kilogramm beträgt oder das Gerät u. a. in der Lage ist optische Signale zu empfangen. Eine Ausnahme hierzu liegt vor, wenn der durch den Überflug des Wohngrundstücks in seinen Rechten Betroffene diesem ausdrücklich zustimmt.

Maßgebliche Zulassungskriterien sind demnach das Gewicht sowie die Flughöhe der Drohnen. Ob datenschutzrechtliche Interessen von gefilmten Personen daher ausreichend bedacht sind, ist fraglich. Denn unabhängig von Gewicht und Flughöhe der Drohnen können mit Kameras Aufzeichnungen von Betroffenen erstellt werden, ohne dass diese hierein eingewilligt haben.

Kategorien: Allgemein
Schlagwörter: ,