Schlagwort: Datenschutz-Grundverordnung

BVerfG schärft das “Recht auf Vergessen”

5. Dezember 2019

Die Beschlüsse Recht auf Vergessen I und II ergingen am selben Tag und stehen in direktem Zusammenhang. Während im ersten Blogeintrag die Grundsätze der Anwendbarkeit von Unionsgrundrechten und deutschem Grundgesetz aufgezeigt wurden, wird im Folgenden auf den Beschluss ‚Recht auf Vergessen I‘ eingegangen. In diesem schärft das BVerfG das Recht auf Vergessen.

Der Sachverhalt

Im zugrundeliegenden Fall begehrte der Beschwerdeführer die Löschung eines Artikels, der auf Spiegel Online kostenlos zum Abruf bereitgehalten wurde und bei Google bei Eingabe seines Namens unter den ersten Treffern auftauchte. Der Beschwerdeführer wurde 1982 wegen Mordes und versuchten Mordes zu einer lebenslangen Freiheitsstrafe verurteilt und 2002 auf der Haft entlassen. Während das Landgericht dem Beschwerdeführer noch einen Unterlassungsanspruch gegen die Veröffentlichung des Berichts zugestand und die Berufung erfolglos blieb, wies in der Revision der BGH die Klage ab.

Die rechtliche Würdigung

Das BVerfG stellt zunächst fest, dass die Verarbeitung zu journalistischen Zwecken in den Bereich des Medienprivilegs fällt, für das Art. 85 DSGVO eine Öffnungsklausel vorsieht. Wegen des weitgehenden Gestaltungsspielraums der Mitgliedstaaten, sei hier das deutsche Grundgesetz anwendbar. Gleichwohl könnten die Garantien der Unionsgrundrechte als Auslegungshilfe Berücksichtigung finden.

Bevor das BVerfG in die grundrechtliche Abwägung einsteigt setzt es sich dezidiert mit dem Recht auf Vergessen auseinander. Dieses leitet es aus dem allgemeinen Persönlichkeitsrecht in Abgrenzung zum Recht auf informationelle Selbstbestimmung ab. Allein Ersteres umfasse den Schutz vor der Verarbeitung personenbezogener Berichte und Informationen als Ergebnis eines Kommunikationsprozesses. In der Folge wägt das BVerfG das Recht auf Vergessen des Beschwerdeführers mit der Meinungsfreiheit und der Pressefreiheit von Spiegel Online ab. Während für aktuelle Berichterstattungen über Straftaten in der Regel dem Informationsinteresse Vorrang einzuräumen sei, könne ein zunehmender zeitlicher Abstand das Ergebnis verändern. Hierbei könne keine allgemeine Frist fixiert werden. Es müsse das Interesse an der Wiedereingliederung des Straftäters in die Gesellschaft berücksichtigt werden.

Bei der Abwägung sei insbesondere einzustellen, dass die Informationen für jedermann unmittelbar und dauerhaft abrufbar sind. Das BVerfG zählt ein Reihe weiterer in der Abwägung maßgeblicher Gesichtspunkte auf. So seien die Wirkungen, die zurückliegende Berichte auf das Privatleben und die Entfaltungsmöglichkeiten der Person haben, zu berücksichtigen. Auch komme es darauf an, ob das Ereignis für sich allein oder in gesellschaftlichem Kontext steht. Zudem komme es darauf an, ob das Verhalten des Betroffenen von einem „Vergessenwerdenwollen“ getragen sei. Die Belastungswirkung für den Betroffenen bestimme sich auch danach, ob der Bericht breitenwirksam gestreut wird, indem er durch Suchmaschinen leicht auffindbar ist. Das BVerfG stellt aber klar, dass es kein Recht auf Vergessenwerden in einem grundsätzlich allein von den Betroffenen beherrschbaren Sinn gebe.

Das Ergebnis

Die Entscheidung des BGH halte diesen Anforderungen nicht stand. Sie habe insbesondere die zeitliche Distanz zum Strafverfahren und die konkrete Situation des Beschwerdeführers nicht hinreichend gewürdigt.

Datenverarbeitung für Werbung nach der Datenschutzgrundverordnung

24. August 2017

Die Datenschutz-Grundverordnung (DSGVO) bringt an vielen Stellen beachtenswerte Änderungen mit sich. Dazu gehört auch die Frage, was im Bereich des Marketings und im Umgang mit personenbezogenen Daten zum Zwecke der Werbung zu beachten ist. Zu dieser Thematik ist auf den Seiten der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zuletzt ein Kurzpapier der “Datenschutzkonferenz” mit diesbezüglichen Einschätzungen veröffentlich worden. Dreh- und Angelpunkt der neuen Rechtslage in Sachen Werbung ist die Tatsache, dass mit der DSGVO jegliche Detailregelungen dieses Bereichs entfallen. In Form des
§ 28 Abs. 3 BDSG hat es bislang noch spezifische Vorgaben für den Umgang mit Daten zum Zweck der werblichen Ansprache gegeben.

Die sicherste Grundlage einer Datenverarbeitung für Werbemaßnahmen ist und bleibt die Einwilligung der betroffenen Person. Wo eine solche aber nicht eingeholt werden kann oder dies aus praktischen Gründen nicht sinnvoll ist, wird künftig auf einen allgemeinen Erlaubnistatbestand der DSGVO zurückgegriffen werden müssen. Daher wird die Zulässigkeit der Werbung an einer Interessenabwägung nach Art. 6 Abs. 1 f) DSGVO zu messen sein. Demnach gilt es für die Frage der Zulässigkeit der Maßnahme die Interessen des Werbetreibenden und der betroffenen Personen im Einzelfall zu gewichten.
Der Erwägungsgrund 47 zur DSGVO trägt für diese Abwägung auf, die “vernünftigen Erwartungen der betroffenen Person zu berücksichtigen, die auf ihrer Beziehung zu dem Verantwortlichen (Werbetreibenden) beruhen”.

Aus Sicht werbetreibender Unternehmen müssen im Zuge entsprechender Vorhaben die Informationspflichten aus den Artikeln 13 u. 14 DSGVO berücksichtigt werden. Der Verantwortliche muss transparent und umfassend über die vorgesehene Werbemaßnahme informieren.

Durch die neue Rechenschaftspflicht der DSGVO (Art. 5 Abs. 2) kommen die Werbetreibenden in die Situation, die Rechtmäßigkeit von Datenverarbeitungen künftig beweisen können zu müssen. Daher wird es sich nicht umgehen lassen, getroffene Interessenabwägungen gründlich zu dokumentieren und auf Anfrage der Aufsichtsbehörde vorlegen zu können. Diese Aufgabe wird regelmäßig durch die Datenschutzbeauftragten der Unternehmen ausgefüllt werden.

Auswirkungen der DSGVO auf Cloud Service Provider

12. Juli 2017

Lagert ein Unternehmen personenbezogene Daten von Kunden, Mitarbeitern oder anderen denkbaren Betroffenen-Gruppen in “die Cloud” aus, handelt es sich dabei um einen klassischen Fall der Auftragsdatenverarbeitung (unter der Datenschutz-Grundverordnung “Auftragsverarbeitung”). Wie in den vielen weiteren Bereichen des Datenschutzrechts treten durch die neue EU-Verordnung auch beim Daten-Outsourcing zum 25.05.2018 Änderungen in Kraft. Grund genug, zwei dieser Änderungen im Hinblick auf ihre praktischen Auswirkungen einmal genauer zu beleuchten.

Eine der Neuerungen verbirgt sich in Art. 30 Abs. 2 DSGVO: Anders als bislang muss künftig auch der Auftragsverarbeiter ein Verfahrensverzeichnis führen. Diese Aufgabe zur Schaffung von Verarbeitungstransparenz lag bislang allein bei der verantwortlichen Stelle (Auftraggeber im Rahmen der ADV). Dadurch stehen Cloud-Anbieter künftig vielfach in der Pflicht, für jede ihrer Geschäftsbeziehungen ein Verfahrensverzeichnis anzulegen. Zwar verlangt die Verordnung im Hinblick auf die darzulegenden Informationen inhaltlich nichts “Unmögliches” (eigene Bezeichnung, Name der verantwortlichen Stelle, ggf. bestellter Datenschutzbeauftragter etc.), je nach Größe des Cloud-Anbieters kann es sich aber um eine ganze Bandbreite von dokumentationspflichtigen Verfahren handeln. Diese sind zusätzlich im Zeitverlauf aktuell zu halten. In jedem Fall sollten sich Cloud-Provider (aber auch andere Vielfach-Auftragsverarbeiter) bereits jetzt um einen standardisierten Prozess bemühen, der ihnen die Abfrage der Verzeichnisinhalte erleichtert.

Für die Erbringung von Cloud-Services arbeiten Provider häufig zusammen, z.B. um eine noch bessere Rechenleistung oder größeren Speicherplatz anbieten zu können. Datenschutzrechtlich handelt es sich hierbei um eine “Unterbeauftragung”. Interessant ist in diesem Zusammenhang das neue Widerspruchsrecht des verantwortlichen Auftraggebers, das ihm aus Art. 28 Abs. 2 der Datenschutz-Grundverordnung zukommt. Sollte ein Auftraggeber (=Daten-outsourcendes Unternehmen) der Kooperation mit einem bestimmten Cloud-Unterauftragnehmer widersprechen, muss sein ADV-Vertragspartner hierauf verzichten. Die Möglichkeit zur praktischen Umsetzung von Widersprüchen ist an dieser Stelle jedoch höchst fraglich: Schließlich ist die Rücksichtnahme auf individuelle Kundenwünsche im Falle einer Public Cloud (offener Nutzerkreis, keine Lokalisierung der verarbeiteten Daten) technisch nur äußerst schwer zu realisieren.

BMI: 2015 wird ein weichenstellendes Jahr für den Datenschutz!

28. Januar 2015

“Das Jahr 2015 wird ein weichenstellendes Jahr für den Datenschutz. Wir wollen in diesem Jahr die Datenschutz-Grundverordnung im Rat beschließen”, so Bundesinnenminister de Maizière anlässlich des vom Europarat initiierten Europäischen Datenschutztages, der heute zum neunten Mal stattfindet. “Bürgernähe, Rechtssicherheit, Harmonisierung und Modernisierung – das sind die Ziele, die uns leiten, wenn es um die Fortentwicklung des Datenschutzes in einer Zeit rasanter Entwicklung der Informationsgesellschaft geht.”

“Die neue Verordnung wird die seit 20 Jahren geltende europäische Datenschutz-Richtlinie und nationales Recht ersetzen. Sie muss daher auch zukunftsfähig sein und insbesondere den Chancen und Herausforderungen der Kommunikation im Internet gerecht werden. Unser Ziel ist es, dass die Rechte des Einzelnen wirksam geschützt werden und gleichzeitig technische und wirtschaftliche Innovationen möglich bleiben. Das Potenzial großer Datenmengen für gesellschaftliche Vorteile muss genutzt werden können, etwa in den Bereichen Gesundheit und Umwelt.

Zusätzlich passen wir die Europaratskonvention 108, ein völkerrechtlich verbindliches Instrument zum Datenschutz, an die heutige Zeit an. Damit werden die wesentlichen Prinzipien des Datenschutzes nahezu global verankert und außereuropäische Staaten im Prozess unterstützt, nationale Regelungen zum Datenschutz aufzustellen.”

Der Datenschutztag findet jährlich am 28. Januar statt, da die Europaratskonvention 108 zum Datenschutz im Jahr 1981 an diesem Datum zur Unterzeichnung aufgelegt wurde. Mit der Konvention verpflichten sich die beteiligten Staaten, bei der automatisierten Datenverarbeitung insbesondere für die Achtung der Persönlichkeitsrechte Sorge zu tragen. Der Europarat will über den Europäischen Datenschutztag das Bewusstsein für Datenschutz bei den Bürgerinnen und Bürgern in Europa stärken.

BMI: Initiative zur Datenschutz-Grundverordnung gestartet

7. Juli 2014

Nach Angaben von Bundesinnenminister de Maizière (BMI) bietet die europäische Datenschutzreform die große Chance, das Datenschutzrecht in Europa umfassend zu modernisieren und zu harmonisieren. In einem Schreiben an die aktuelle griechische und die zukünftige italienische Ratspräsidentschaft habe man daher Vorschläge gemacht, um die derzeit festgefahrenen Verhandlungen zur Datenschutz-Grundverordnung voranzubringen. Die Vorschläge sollen jeweils Kernfragen, die bislang eine Einigung im Rat verhindert hatten, betreffen. 

Ein wichtiges deutsches Ziel sei etwa die Einführung einer Öffnungsklausel, die es den Mitgliedstaaten ausdrücklich erlaube, bei Bedarf über die Bestimmungen der Datenschutz-Grundverordnung hinauszugehen und strengere nationale Datenschutzbestimmungen im öffentlichen Bereich vorzusehen. Beim “One-Stop-Shop” setze man auf eine Stärkung der lokalen Datenschutzaufsicht und Bürgernähe. In Bezug auf Drittstaatenübermittlungen benötige man Regelungen zur Datenherausgabe von Unternehmen an Behörden in Drittstaaten. Wichtig sei es außerdem, Privatsphäre und Meinungs- und Informationsfreiheit gleichmäßig zu stärken. Der Europäische Gerichtshof hat uns in seiner Entscheidung zu Internetveröffentlichungen und zum Recht auf Vergessen einen Auftrag erteilt, den wir umsetzen müssen. Die Datenschutz-Grundverordnung müsse zudem auf neue Herausforderungen wie Cloud Computing, Internet der Dinge und Big Data Antworten geben und “internettauglich” sein. 

Ich trete für ein erweitertes Schutzkonzept ein, das international wirksam ist und den Bürgern Rechte gibt, die in der neuen digitalen Welt auch durchsetzbar sind. Hierzu gehört eine nähere Ausgestaltung der Schutzgüter, wie etwa der Schutz der Privatsphäre, der Schutz vor digitaler Diskriminierung, der Schutz eines berechtigten Vertrauens in den Kontext einer Datenverarbeitung sowie der Schutz der eigenen Identität. Um hier entscheidend voranzukommen, werde de Maizière in Kürze in Deutschland Gespräche mit Vertretern aus Wirtschaft, Wissenschaft und Zivilgesellschaft führen und die Ergebnisse dem Rat präsentieren. Dieser solle sich möglichst bald auf eine Roadmap verständigen, um zu den genannten Punkten schnell Ergebnisse zu erzielen. De Maizière möchte damit die Verhandlungen deutlich voranbringen, um eine Einigung mit dem Europäischen Parlament und der neuen Kommission spätestens 2015 sicherzustellen. Auf dieses Ziel hatten sich die Staats- und Regierungschefs im Oktober 2013 geeinigt.

Kategorien: Allgemein
Schlagwörter: ,