Schlagwort: Datenschutzkonferenz

Die Inhalte der Datenschutzkonferenz-Tagung

22. Mai 2023

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) tagte am 10. und 11. Mai 2023 unter der Leitung von Dr. h. c. Marit Hansen, der Landesbeauftragten für Datenschutz Schleswig-Holstein. Im Zentrum der intensiven Diskussionen standen aktuelle datenschutzpolitische Themen.

Schwerpunkte der Tagung

Urteil des EuGH zum Beschäftigtendatenschutz

Ein neues Urteil des Europäischen Gerichtshofs vom 30. März 2023 (C 34/12) erfordert Anpassungen in zahlreichen deutschen Regelungen zum Beschäftigtendatenschutz. Die Datenschutzkonferenz betont die Notwendigkeit einer Überarbeitung und erneuert ihre Forderung nach einem eigenständigen Beschäftigtendatenschutzgesetz.

Die BVerfG-Entscheidung zur polizeilichen Datenanalyse

Das Bundesverfassungsgericht hat in seinen Entscheidungen zu polizeilichen automatisierten Datenanalysen in Hamburg und Hessen Anforderungen an solche eingriffsintensiven Analysemethoden mit und ohne künstlicher Intelligenz festgelegt (1 BvR 1547/19 und 1 BvR 2634/20). In ihrer Entschließung zur automatisierten Datenanalyse bei Polizei und Nachrichtendiensten appelliert die Datenschutzkonferenz an die Gesetzgeber von Bund und Ländern, den gesetzgeberischen Handlungsbedarf aufgrund der Entscheidungen des Bundesverfassungsgerichts zu prüfen. Falls der Einsatz komplexer Datenanalysemethoden als notwendig erachtet wird, müssen klare rechtliche Grundlagen und angemessene Rahmenbedingungen geschaffen werden, um den Grundrechtsschutz der betroffenen Personen zu gewährleisten. Die bestehenden gesetzlichen Bestimmungen sind in der Praxis verfassungskonform anzuwenden.

Smart Meter

Während der flächendeckende Einsatz von Smart Metern zur Erfassung von Strom- und Wärmeverbrauch gesetzlich geregelt ist, fehlt eine vergleichbare Regelung für funkbasierte Kaltwasserzähler bisher. Die von diesen Zählern aus der Ferne abrufbaren Verbrauchsdaten ermöglichen Rückschlüsse auf das Verhalten und die Lebensgewohnheiten der Bewohnerinnen und Bewohner. Die Datenschutzkonferenz betrachtet die Einführung einheitlicher Regelungen als dringend erforderlich, in denen konkrete Zwecke, Datenumfang, Abrufhäufigkeit und Löschfristen festgelegt werden. Darüber hinaus müssen technische und organisatorische Sicherheitsmaßnahmen gemäß dem aktuellen Stand der Technik für den Einsatz von Kaltwasserzählern getroffen werden.

Positionspapier zum Cloud-Einsatz

Die Datenschutzkonferenz bringt mit ihrem Positionspapier “Kriterien für Souveräne Clouds” ihre Expertise in die politische Diskussion ein. Die erarbeiteten Kriterien zielen darauf ab, die digitale Souveränität sowohl der Cloud-Anbieter als auch der Cloud-Nutzer zu gewährleisten, um die Rechte und Freiheiten der betroffenen Personen zu schützen. Souveräne Clouds müssen den Verantwortlichen ermöglichen, die Einhaltung der datenschutzrechtlichen Pflichten effektiv, nachprüfbar und dauerhaft sicherzustellen. Die Kriterien umfassen Aspekte wie “Transparenz zur Nachvollziehbarkeit”, “Datenhoheit und Kontrollierbarkeit”, “Offenheit”, “Vorhersehbarkeit und Verlässlichkeit” sowie “Regelmäßige Überprüfung der aufgestellten Kriterien”.

Die erarbeiteten und beschlossenen Dokumente werden in Kürze auf der Website der Datenschutzkonferenz https://www.datenschutzkonferenz-online.de/ veröffentlicht.

Kategorien: Allgemein
Schlagwörter: ,

Adresshandel kurz vor dem Aus

11. Mai 2022

Ob Wahlwerbung oder Rabattcodes – die eigenen Adressdaten und Daten zu Vorlieben haben die werbenden Unternehmen mit großer Wahrscheinlichkeit von Adresshändlern. Sie tragen Daten zusammen, verkaufen sie an ihre Werbekunden und nehmen so eine integrale Rolle im Direktmarketing ein. Mehr als tausend Adresshändler soll es allein in Deutschland geben, sagt der Deutsche Dialogmarketing-Verband (DDV). Deren Praxis wird nun gefährdet von einem Vorhaben der Datenschutzbeauftragten des Bundes und der Länder, die darin einen Verstoß gegen die DSGVO sehen.

Kritik aus datenschutzrechtlicher Sicht

Bislang konnte sich die Praxis auf ein “berechtigtes Interesse” gemäß Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage stützen, was nun laut einigen Datenschutzbeauftragten nicht mehr ausreichen soll. Dieser Gedanke ist nicht neu (wir berichteten ausführlich hier). Stattdessen brauche es eine Einwilligung, die informiert und freiwillig abgegeben worden sein muss. Der Verbraucher müsste also im Vorhinein darüber informiert werden, was mit seinen Daten passiert, wer der Empfänger welcher Daten ist und was wiederum beim Empfänger mit seinen Daten geschieht. Diese unaufgeforderte Aufklärung vorab ist für den Adresshändler de facto kaum umsetzbar. Die Aufklärungspflicht könnte damit eine echte Hürde für die gesamte Branche werden.

Ausblick

Diese Ansicht vertreten auf Anfrage der Süddeutschen Zeitung aktuell die Datenschutzbeauftragten von zehn Bundesländern. Man arbeite an einem Beschluss, um hier bundesweit einheitlich aufzutreten. Quer stellt sich allerdings vor allem die Landesbeauftragte für Datenschutz und Informationsfreiheit des Landes Nordrhein-Westfalen, Bettina Gayk, die das Stützen auf ein berechtigtes Interesse der Adresshändler an den Daten weiterhin für zulässig hält. Hierbei ist allerdings zu beachten, dass in Nordrhein-Westfalen mit Bertelsmann und der Deutschen Post immerhin zwei der größten Branchenvertreter ihren Sitz haben.

Ein Beschluss der Datenschutzkonferenz wird wohl noch etwas auf sich warten lassen. Aufgrund der großen Mehrheit der Datenschutzbehörden, die diese Ansicht vertreten, ist es jedoch wahrscheinlich, dass sich die Rechtslage für Adresshändler und damit für die gesamte Branche schon bald empfindlich spürbar verändert.

Drohnen – datenschutzrechtlich bedenklich

29. April 2019

In modernen Zeiten machen immer mehr Privatpersonen Gebrauch von Drohnen. Viele von diesen sind mit Videokameras ausgestattet um Kurzfilme aus der Luft aufnehmen zu können. Sobald sich eine Drohne jedoch über einem Wohngebiet befindet, werden Videoaufnahmen ungesetzlich. In einem solchen Fall wird in die Privatsphäre von anderen Personen eingedrungen.

Die Datenschutzkonferenz (DSK) hat sich nun mit dem
“Positionspapier zur Nutzung von Kameradrohnen durch nicht-öffentliche Stellen” zu der Einschätzung der datenschutzrechtlichen Problematik geäußert.

Das Positionspapier beruft sich dabei darauf, dass laut § 21b der Luftverkehrs-Ordnung (LuftVO) der Betrieb von Drohnen, die elektronische Bildaufnahmen anfertigen können, über Wohngrundstücken verboten ist, wenn der betroffene Eigentümer oder Mieter nicht ausdrücklich zugestimmt hat. Dies schränkt den Einsatzbereich von Drohnen mit Kamerafunktion durch Privatpersonen stark ein.

Die DSK ist der Ansicht, dass es sich bei der Nutzung von Kameradrohnen datenschutzrechtlich um eine Datenverarbeitung mittels Videoüberwachung handelt. Die DSGVO greift laut der DSK dann, wenn die Drohne im gewerblichen Bereich Anwendung findet. Eine Rechtsgrundlage wie beispielsweise die Verarbeitung zur Wahrung des berechtigten Interesses des Verantwortlichen oder eines Dritten, wäre im Stande die gewerbliche Nutzung der Drohen zu legitimieren. Wichtig ist in diesem Zusammenhang abzuwägen, ob das Interesse des Verantwortlichen oder das des Betroffenen vorrangig ist. In den “meisten Fällen” würde die Einschätzung zu Gunsten des Betroffenen ausfallen.

Erste Bausteine aus einem Maßnahmenkatalog veröffentlicht

18. September 2018

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern hat am 07.09.2018 auf seiner Internetpräsenz erste Bausteine aus einem Katalog von Referenzmaßnahmen veröffentlicht, die die Anwender bei der Umsetzung technischer und organisatorischer Maßnahmen nach den Vorgaben der DSGVO unterstützen sollen.

Es handelt sich dabei um den Maßnahmenkatalog zum Standard-Datenschutz-Modell (SDM). Das SDM soll Verantwortlichen und Behörden die Beurteilung erleichtern, ob eine Verarbeitung datenschutzkonform ist. Die Datenschutzkonferenz hatte bereits im April diesen Jahres die Entscheidung über die sukzessive Veröffentlichung des Katalogs getroffen.

Die Bausteine verfasste und veröffentlichte eine zuständige Unterarbeitsgruppe des Arbeitskreises “Technische und organisatorische Datenschutzfragen” der Konferenz der Datenschutzbeauftragten. Eine Abstimmung der Datenschutzkonferenz über die Bausteine steht aktuell noch aus.

Die veröffentlichten Bausteine umfassen thematisch unter anderem die Aufbewahrung, das Protokollieren, Dokumentieren und Löschen von personenbezogenen Daten sowie das Datenschutzmanagement.

Ungeachtet ihrer Veröffentlichung befinden sich die Bausteine damit weiterhin in der Erarbeitungsphase. Die Veröffentlichung in dieser Phase dient dem Zweck, die Bausteine der öffentlichen Diskussion zugänglich zu machen.  Die veröffentlichten Bausteine sollen damit in der kommenden Zeit getestet und gegebenenfalls im Anschluss überarbeitet werden. Die Verfasser erhoffen sich davon insbesondere, dass die Weiterentwicklung durch umfassendes Feedback der Anwender vorangetrieben wird. Dementsprechend empfehlen die Verfasser der Bausteine den Anwendern, dass sie ihre Erfahrungen mitteilen.

Weitere Bausteine sollen in nächster Zeit veröffentlicht werden. Es bleibt abzuwarten, wie die Veröffentlichung der Bausteine aufgenommen wird.

 

 

 

Homepage der Datenschutzkonferenz geht online

20. Juli 2018

Die Datenschutzkonferenz ist ein Zusammenschluss von Datenschutzbehörden des Bundes und der Länder. Seit gestern (19.07.18) ist ihre neue eigene Homepage unter www.datenschutzkonferenz-online.de abrufbar.

Mit dem Informationsangebot soll eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts gewährleistet werden. Es werden Entschließungen, Orientierungshilfen und Kurzpapiere der Datenschutzkonferenz für Nutzer bereitgestellt. Auf diese Weise sollen auch Auslegungshilfen zur Datenschutzgrundverordnung durch die Datenschutzbehörden veröffentlicht werden. Außerdem gibt es einen RSS-Feed, um über Neuerungen informiert zu werden und eine Aufstellung von Links zu datenschutzrechtlichrelevanten Aufsichtsbehörden.

Datenschutzkonferenz sieht Einwilligungserfordernis bei Einsatz von Cookies und Tracking

14. Mai 2018

Mit ihrer Stellungnahme vom 26.04.2018 hat die Datenschutzkonferenz von Bund und Ländern, bestehend aus Bundesdatenschutzbeauftragten, den Landesdatenschutzbeauftragten der 16 Bundesländer und dem Präsidenten des Bayerischen Landesamtes für Datenschutzaufsicht, zur Frage der Anwendbarkeit des Telemediengesetzes (kurz TMG) nach Inkrafttreten der DSGVO am 25.05.2018 Stellung genommen. Dabei ging es vor allem um die Frage, auf welcher Rechtsgrundlage der DSGVO die Verarbeitung personenbezogener Daten durch den Einsatz von Cookies und Trackingtools wie Google Analytics gestützt werden kann.

Bislang gilt nach dem TMG, dass der Diensteanbieter für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile erstellen darf, sofern er diese Daten pseudonymisiert und der Betroffene dem nicht widerspricht. Dieses Opt-Out-Verfahren, auf das der Betroffene bislang im Rahmen der Datenschutzerklärung hinzuweisen ist, gilt ebenso für den Einsatz von Cookies. Einer Einwilligung des Betroffenen bedurfte es bisher daher nicht. Nach Auffassung der Datenschutzkonferenz soll sich dies unter der DSGVO nun ändern. Sie ist der Ansicht, dass die DSGVO den Regelungen des TMG sowie denen der bestehenden E-Privacy-Richtlinie vorgeht und Anbieter von Telemediendiensten personenbezogene Daten nur noch dann verarbeiten dürften, wenn dies für die Durchführung des angefragten Online-Services “unbedingt erforderlich” sei. Für alle anderen Fälle müsse eine Interessenabwägung im Einzelfall durchgeführt werden.

Die Anwendbarkeit der DSGVO habe zur Folge, dass beim Einsatz von Tracking-Maßnahmen, “die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen”, sowie beim Erstellen von Nutzerprofilen ab dem 25.05.2018 eine informierte Einwilligung des Betroffenen einzuholen sei. Dies auch dann, wenn die erhobenen personenbezogenen Daten pseudonymisiert würden. Gleiches gelte für den Einsatz von weiteren Cookies.

Das Papier steht damit im Gegensatz zu der herrschenden Rechtsansicht in der Praxis. Die Gesellschaft für Datenschutz und Datensicherheit (GDD), die hauptsächlich Betriebsdatenschutzbeauftragte vertritt, vertritt ihrerseits die Ansicht, dass Werbung nach der DSGVO prinzipiell “ein berechtigtes Interesse” der Unternehmen darstelle und so gerade “grundsätzlich nicht von einer Einwilligung abhängig ist”. Da die EU-Gesetzgeber dies zumindest für den Einsatz von Direktwerbung festgelegt hätten, stellt sich die GDD auf den Standpunkt, dass dies ebenfalls für das pseudonymisierte Tracking gelten müsse, da eine solche Verarbeitungsweise weniger stark in das Persönlichkeitsrecht der Betroffenen eingreife als eine direkte werbliche Ansprache. Gleiches gelte aus Sicht der GDD für Cookies, die ebenfalls zu Werbezwecken eingesetzt würden.

Datenschutzkonferenz: Kritik an Vorratsdatenspeicherung von Fluggastdaten

13. November 2017

Jede Flugreise bringt eine Flut von Daten mit sich. Wie bereits berichtet, werden Fluggastdaten auch in Deutschland ab Mai 2018 gespeichert – ähnlich wie in Großbritannien und den USA. EU-Sicherheitsbehörden können im Zuge des Fluggastdatengesetzes (FlugDaG) bis zu 60 verschiedene Datenkategorien bei Fluggesellschaften abfragen. Das Gesetz strebt die Bekämpfung von Terror und schwerer Kriminalität an.

In einer Entschließung der Datenschutzkonferenz sprachen sich die unabhängigen Datenschutzbehörden des Bundes und der Länder für eine Nachbesserung des FlugDaG aus. Insbesondere kritisieren die Behörden die langfristige Speicherung von Fluggastdaten (Passenger Name Records – PNR) aller Passagiere. Sie berufen sich dabei auf den Gerichtshof der Europäischen Union (EuGH), der in seinem Gutachten vom 26. Juli 2017 das Fluggastdaten-Abkommen der EU mit Kanada für nicht mit der Europäischen Grundrechtecharta vereinbar erklärt hat.

Unter dem Deckmantel von Grundsätzen der Datensparsamkeit und der Erforderlichkeit argumentieren die Behörden im Sinne des EuGH. Die öffentliche Sicherheit und der Schutz vor Terrorismus rechtfertigen nicht die Erhebung und Verarbeitung sensibler Daten wie rassische und ethnische Herkunft, religiöse Überzeugungen oder das Sexualleben. Eine präzisere und besonders fundierte Begründung sei dazu nötig.

Wenn es während eines Aufenthalts eines Reisenden keine Anhaltspunkte für terroristische oder schwere Straftaten gibt, habe sich der Zweck der Datenübermittlung erfüllt. Wie der EuGH fordern die Datenschutzbehörden dann eine weitere Speicherung zu verbieten. Nach Ausreise sei eine Vorratsdatenspeicherung ohne objektive Anhaltspunkte für geplante Straftaten nicht gerechtfertigt.

 

Datenschutzkonferenz: Forderungen für die neue Legislaturperiode

18. Oktober 2017

Anlässlich des frisch gewählten Bundestags formulierten alle unabhängigen deutschen Datenschutzbehörden einen Katalog mit Grundsatzpositionen für die neue Legislaturperiode. Die diesjährige Vorsitzende der Datenschutzkonferenz, die niedersächsische Landesbeauftragte Barbara Thiel, legte das Dokument allen im Bundestag vertretenen Fraktionen vor. Die Aufsichtsbehörden von Bund und Ländern formulierten elf Forderungen an den deutschen Gesetzgeber.

Die Datenschutzbehörden warnen davor, Daten zu einer “rein wirtschaftlichen Größe” zu machen und fordern, dass das Verbotsprinzip nach der Datenschutzgrundverordnung (DSGVO) nicht unter dem modernen Schlagwort “Datensouveräntität”  zurückweichen darf. Das Grundprinzip der Datenminimierung müsse weiterhin an vorderer Stelle stehen. Diese Forderungen seien nach Ansicht der Konferenzvorsitzenden Thiel kein Hindernis für die Digitalisierung. Vielmehr sei Datenschutz als Grundrechtsschutz und “integraler und förderlicher Bestandteil” von Fortschritt in Politik, Wirtschaft und Gesellschaft.

Die Grundsatzpositionen der Datenschutzkonferenz heben auch die Bedeutung von Privacy by Design und Privacy by Default hervor. Datenschutz muss im gesamten Lebenszyklus von Produkten und Dienstleistungen bedacht und implementiert werden. Nach den Aufsichtsbehörden soll die Bundesregierungen solche Projekte und Innovationen fördern, auch indem sie sich mit Vertretern aus Wirtschaft, Forschung und Entwicklung austauscht.

Weiter fordern die Aufsichtsbehörden ein eigenständiges Gesetz zum Beschäftigtendatenschutz, das den Anforderungen der Arbeitswelt 4.0 entspricht. § 26 BDSG-neu sei den aktuellen Herausforderungen wie z.B. durch verdeckte technische Überwachung, nicht gewachsen. Im Bereich von E-Health fordern die Datenschutzbehörden strenge Vorgaben, damit z.B. Patienten, die eine laufende Erfassung von Gesundheitsdaten via Wearables und Fitness-Apps nicht zustimmen, bei Versicherungstarifen nicht benachteiligt werden. Big-Data-Projekte im Gesundheitswesen sollten per Gesetz mit der zuständigen Datenschutzaufsichtsbehörde abzustimmen sein. Schließlich sehen die Aufsichtsbehörden das Thema Vorratsdatenspeicherung weiterhin kritisch, jene sei “in all ihren Ausprägungen auf den Prüfstand zu stellen”.

 

Positionspapier der Datenschutzkonferenz zu Safe-Harbor-Urteil

28. Oktober 2015

Die Datenschutzkonferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) hat in einem nun veröffentlichten Positionspapier zum Safe-Harbor-Urteil des EuGH vom 6. Oktober 2015 klar gestellt, dass die deutschen Datenschutzbehörden solche Datenübertragungen in Zukunft untersagen wollen, die ausschließlich auf das Safe-Harbor-Abkommen gestützt sind, soweit sie davon Kenntnis erlangen. Damit verdeutlichen sie einen ersten Punkt ihrer zentralen Strategie. Des weiteren sind sie sich ebenfalls einig, derzeit keine neuen Genehmigungen für Datenübermittlungen in die USA auf Grundlage von verbindlichen Unternehmensregelungen (Binding Corporate Rules) oder Datenexportverträgen zu erteilen.

Noch Uneinigkeit herrscht hingegen im Umgang mit Übermittlungen personenbezogener Daten in die USA auf Basis der EU-Standardvertragsklauseln. Sie seien nach dem Positionspapier zwischenzeitlich “in Frage” zu stellen, ohne dass jedoch eine einheitliche Vorgehensweise postuliert wird. Der Hamburgische Landesdatenschutzbeauftragte beispielsweise erklärte, dass seine Behörde erst dann eine Datenübermittlung auf Basis der Standverträge beanstanden werde, wenn die Aufsichtsbehörden geklärt hätten, welche Konsequenzen aus dem o. g. EuGH-Urteil diesbezüglich genau zu ziehen sind. Fest steht jedoch, dass die deutschen Datenschutzbehörden bereits jetzt den transatlantischen Datenverkehr auf Beschwerden hin im Einzelfall überprüfen werden. Vor einer Entscheidung in den jeweiligen Verfahren ist jedoch nicht vor Februar 2016 zu rechnen.

Die britischen und die irischen Aufsichtsbehörden hingegen zeigen eine weniger strenge Haltung: Sie argumentieren hinsichtlich der Folgen des Urteils mit dem Wortlaut der Entscheidungsgründe, der sich allein auf die rechtliche Zulässigkeit des Abkommens beschränke. Sowohl Standardvertragsklauseln als auch Binding Corporate Rules seien von der Entscheidung unberührt, so dass diese nach wie vor rechtliche Grundlage für einen Datentransfer in die Vereinigten Staaten sein sollen.

Die DSK macht ihererseits schließlich deutlich, dass die Verantwortung für eine neue rechtliche Grundlage, die den Vorgaben des EuGH-Urteils Rechnung trägt, bei der EU-Kommission liegt. Diese solle bei den Verhandlungen mit den USA “auf die Schaffung ausreichend weitreichender Garantien zum Schutz der Privatsphäre zu drängen.” Darüber hinaus seien die Kommissionsentscheidungen aus den Jahren 2004 und 2010 zu den Standardvertragsklauseln schnellstmöglich an die in dem EuGH-Urteil gemachten Vorgaben anzupassen. Die DSK begrüßt die in dieser Sache von der Art. 29-Gruppe gesetzte Frist bis zum 31. Januar 2016.