Schlagwort: DSGVO

Keine Abschaffung des Datenschutzbeauftragten

29. April 2019

Die Datenschutzkonferenz lehnt die Forderung ab, die Pflicht zur Benennung von Datenschutzbeauftragten aufzuweichen.

In dem Entschließungsantrag des Landes Niedersachsen vom 02. April 2019 war nachfolgende Forderung angeführt:

„Der Bundesrat fordert eine deutliche Entlastung von kleinen und mittleren Unternehmen von zusätzlichen Bürokratiekosten, die durch das neue Datenschutzrecht entstehen. Gemäß § 38 Abs. 1 S. 1 BDSG haben nichtöffentliche Stellen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden. Zwar ist diese Regelung nicht neu, sondern an den § 4 f Abs. 1 S. 4 BDSG a. F. angelehnt, sie stellt jedoch eine nationale Besonderheit dar, durch die in Deutschland ansässige Unternehmen gegenüber Unternehmen in anderen Mitgliedsstaaten mit mehr Bürokratie belastet werden. Der Bundesrat fordert die Bundesregierung daher auf, hier nachzubessern und die in § 38 Abs. 1 S. 1 BDSG genannte Mindestanzahl von zehn Personen deutlich anzuheben. Dies würde insbesondere kleine und mittlere Unternehmen deutlich entlasten, da die Kosten für die Bestellung eines Datenschutzbeauftragten sowie ggfs. dessen Aus- und Fortbildung gerade für diese Unternehmen eine hohe finanzielle aber auch bürokratische Belastung darstellen.“

Dieser Forderung kommt die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) in einem Beschluss nicht nach.

Nach der DSK habe sich diese Pflicht seit vielen Jahren bewährt und sei auch deshalb bei der Datenschutzreform im deutschen Recht beibehalten worden. Aufgrund einer betrieblichen Selbstkontrolle sorgen die Datenschutzbeauftragten für eine kompetente datenschutzrechtliche Beratung, um Datenschutzverstöße schon im Vorfeld zu vermeiden und das Sanktionsrisiko gering zu halten.

Ein Wegfall der nationalen Benennungspflicht von Datenschutzbeauftragten würde dem nicht entgegenkommen.
Mittelfristig ginge interne Kompetenz verloren.

Die Konferenz spricht sich daher gegen eine Abschaffung oder Auflockerung der die Datenschutzgrundverordnung ergänzenden nationalen Regelungen (§ 38 BDSG) aus.

Kategorien: Allgemein · EU-Datenschutzgrundverordnung
Schlagwörter: , , ,

Neue Gesetze verlangen die Verschlüsselung von Daten

25. Januar 2019

Grundsätzlich ist jedes Unternehmen und jede Behörde durch die neuen Gesetze dazu angehalten sensibel Daten zu verschlüsseln. Viele Unternehmen schätzen den Nachdruck, der hinter der Umsetzung steht, falsch ein. Erst wenn Daten verloren gehen oder durch Hacker gestohlen und veröffentlicht werden, wird die Bedeutung der Gesetze greifbar.

Auch wenn in der DSGVO nicht explizit das Wort „Verschlüsselung“ verwendet wird, ist es trotzdem zwingend, dass Daten spätestens bei Speicherung in einer Cloud oder bei Übermittlung via Internet verschlüsselt werden müssen.

Geheimnisträger wie beispielsweise Anwälte, Notare sowie Wirtschaftsprüfer sind zu dem noch an den im Jahr 2017 neugefassten § 203 StGB gebunden, der den Schutz von Informationen zusätzlich regelt. Im Falle eines Verstoßes drohen Bußgelder sowie Gefängnisstrafen.

Der Schutz von Daten wird in vielen Branchen durch zusätzliche Normen geschützt. Ärzte und Apotheker sind beispielsweise an das E-Health-Gesetz gebunden. Betreiber kritischer Infrastrukturen unterliegen dem IT-Sicherheitsgesetz, welches ausdrücklich eine Verschlüsselung vorschriebt.

Mehr Transparenz im Datenschutz

21. Januar 2019

Laut dem Bundesdatenschutzbeauftragten Ulrich Kelber arbeitet seine Behörde an einem Konzept zu größerer Transparenz im Datenschutzrecht. Danach entwickelt die Bundesdatenschutzbehörde zurzeit ein Konzept im Hinblick auf die Veröffentlichung von amtlichen Informationen, die die Ahndung von Verstößen gegen die Datenschutzgrundverordnung (DSGVO) betreffen.

Dieses Konzept soll laut Kelber zum Ziel haben, dass grundsätzlich alle nach dem Informationsfreiheitsgesetz abfragbaren Informationen auch veröffentlicht werden können. In der Konsequenz würde die Bundesdatenschutzbehörde folglich aktiv Informationen zu Ahndungen von Datenschutzverstößen veröffentlichen, wenn ein Anspruch des Bürgers auf amtliche Informationen nach dem Informationsfreiheitsgesetz (IFG) bestehen würde.

Damit will der Bundesdatenschutzbeauftragte dem aktuellen Zustand entgegenwirken, dass nur sehr vereinzelt Datenschutzverstöße und ihre Sanktionierung transparent veröffentlicht werden. Diesen Zustand kritisierte bereits der ehemalige Bundesdatenschutzbeauftragte Peter Schaar. Ebenso wurde von Niko Härting angemerkt, dass die meisten Ahndungen der breiten Öffentlichkeit unverständlicherweise nicht bekannt seien.

Zur Erläuterung: Nach § 1 IFG hat jeder Bürger einen Anspruch auf Zugang zu amtlichen Informationen, soweit kein besonderer öffentlicher Belang entgegensteht (§ 3 IFG) und der Geheimnisschutz sowie der Schutz personenbezogener Daten gewahrt bleiben, §§ 4, 5, 6 IFG. Ein gesondertes berechtigtes Interesse muss der Bürger dafür gerade nicht nachweisen.

Neuer Bundesdatenschutzbeauftragter (BfDI) gewählt

30. November 2018

Neuer Bundesdatenschutzbeauftragter ist Ulrich Kelber, der seit dem Jahr 2000 für die Partei SPD im Bundestag vertreten ist. Mit seiner Wahl, bei der er 444 Stimmen der Abgeordneten bekam, folgt er auf Andrea Voßhoff.

Der neue Leiter der höchsten deutschen Datenschutzbehörde war unter anderem als parlamentarischer Staatssekretär für Verbraucherschutz, Mietrecht und Digitales zuständig. Kelber bringt darüber hinaus einschlägige Berufserfahrung als IT-Experte mit sich.

Interessanter Nebenaspekt ist dabei der in den einschlägigen Fachforen bereits diskutierte Auswahlprozess des neuen Bundesbeauftragten für Datenschutz. In ihrem Art. 53 bestimmt die Datenschutz-Grundverordnung (DSGVO) eigentlich folgendes:
„Die Mitgliedstaaten sehen vor, dass jedes Mitglied ihrer Aufsichtsbehörden im Wege eines transparenten Verfahrens ernannt wird (…).“

Die Wahl Kelbers dagegen verlief, wie bislang üblich, auf Vorschlag der Bundesregierung. Entsprechend gab es keine Ausschreibung, die womöglich die von der DSGVO intendierte Transparenz gefördert hätte. Ob und welche Auswirkungen dies haben könnte, ist dabei unklar.
Über die fachliche und persönliche Qualifikation des IT-erfahrenen Kelber sei damit selbstverständlich keine Aussage getroffen.

Tim Cook lobt europäisches Datenschutzrecht auf der EU-Datenschutzkonferenz

26. Oktober 2018

Apple-Chef Tim Cook lobt im Rahmen seiner Teilnahme an der 40. Internationalen Konferenz der Beauftragten für den Datenschutz und den Schutz der Privatsphäre (ICDPPC), welche vom 21.10.-26.10. 2018 in Brüssel stattfindet,  im EU-Parlament die europäische Datenschutzgrundverordnung. An der Konferenz nehmen neben den unabhängigen Datenschutzbehörden als akkreditierte Mitglieder auch Vertreter von Staaten ohne unabhängige Datenschutzkontrollorgane, internationalen Organisationen, Nichtregierungsorganisationen sowie Vertreter aus Wissenschaft und Industrie teil.

Wie unter anderem die Süddeutsche Zeitung und das Handelsblatt am Mittwoch berichteten, forderte der Apple-Chef in seiner Rede im EU-Parlament weltweit ähnliche Datenschutzstandards. Cook warnt vor der Gefahr eines „Daten-industriellen Komplexes“. Gemeint ist die Sammelwut einiger großer Konzerne im Hinblick auf die persönlichen Daten ihrer Nutzer. Solche Daten würden als „Waffe mit militärischer Effizienz“ eingesetzt. Mit den Daten der Nutzer werde ein milliardenstarkes Geschäft geführt. Die Daten würden „sorgfältig gesammelt, zusammengefasst, gehandelt und verkauft“.

Der Apple-Chef greift hier vor allem die Branchenriesen Google und Facebook an indem er die Verantwortung der Konzerne für Schaffung ausreichender Datenschutzstandards betont. Diese waren in der Vergangenheit im Zusammenhang mit der Frage nach einem ausreichenden Schutz der Daten ihrer Nutzer häufig Mittelpunkt einer globalen Diskussion rund um das Thema Datenschutz.

 

Rechtsprechung: DSGVO-Verstöße können abgemahnt werden

28. September 2018

Das LG Würzburg hat im Rahmen eines Eilverfahrens vom 13. September 2018 (Az. 11 O 1741/18 UWG) entschieden, dass ein Verstoß gegen die DSGVO aufgrund des Gesetztes gegen den unlauteren Wettbewerb (UWG) abgemahnt werden kann.
Hierzu führte die beschlussfassende Kammer aus, dass die Regelungen der DSGVO unter die Vorschrift des § 3a UWG fallen kann, wenn es sich um eine datesnchutzrechtliche Vorgabe handelt, die auch dazu bstimmt ist, „im Interesse der Marktteilnehmer das Marktverhalten“ zu regeln. Zudem muss der Verstoß geeignet sein, die Interessen von Verbrauchern und Mitbewerbern „spürbar zu beeinträchtigen“.

Im gegenständlichen Verfahren hatte ein Rechtsanwalt einen Kollegen abgemahnt, da dieser eine nicht den rechtlichen Anforderungen entsprechende Datenschutzerklärung auf seiner Website bereitgestellt hatte. Nach Auffassung des LG Würzburg ist der Inhalt der Homepage dazu geeignet, personenbezogene Daten zu verarbeiten. Über eine solche Verarbeitung muss im Rahmen der Datenschutzerklärung umfassend informiert werden. Zudem bedarf es entsprechender Sicherheitsvorkehrungen.

Der Beschluss knüpft damit an die bisherige Rechtsprechung verschiedener Land- und Oberlandesgerichte zur alten Bundesdatenschutzgesetz-Rechtsprechung an, wonach bestimmten datenschutzrechtlichen Vorschriften wettbewerbsrechtliche Bedeutung zugeschrieben wurden.

Neuer Gesetzesentwurf der Justizministerin soll Abmahnwelle verhindern

11. September 2018

Trotz Ausbleiben der erwarteten Abmahnwelle aufgrund geltend gemachter Verstöße gegen die Anforderungen der DSGVO, möchte die Politik die Unternehmen dennoch schützen.

Sinn einer Abmahnung ist es, den fairen Wettbewerb zu stärken und ein gerichtliches Verfahren zu vermeiden. Doch leider wird das Instrument oftmals missbräuchlich genutzt.

Seit dem 25.05.2018, dem Inkrafttreten der DSGVO, gab es verschiedene Vorschläge wie gegen Abmahnungen aufgrund der DSGVO vorgegangen werden könnte. Die CDU/CSU wollte im Bundestag bereits im laufenden Gesetzgebungsverfahren zur Musterfeststellungsklage einen Passus mit aufnehmen lassen, der Abmahnungen aufgrund von Verstößen gegen die DSGVO innerhalb einer Frist von einem Jahr gesetzlich verbietet. Die SPD hingegen wollte dem Vorschlag nicht zustimmen. Ihrer Meinung nach sollte das Problem der Abmahnungen grundsätzlich angegangen werden. Immerhin ist das Thema Abmahnmissbrauch Bestandteil des Koalitionsvertrags.

Nun hat Justizministerin Katarina Barley (SPD) einen neuen Gesetzesentwurf vorgelegt, in dem die Anforderungen an die Klagebefugnis deutlich angehoben wurden. Ziel ist es, den oben angesprochenen missbräuchlichen Abmahnern erst gar keine Möglichkeit zur Abmahnung einzuräumen.

Dem Inhalt nach sollen Mitbewerber nur noch dann klagebefugt sein, wenn sie in zumindest nicht unerheblicher Art und Weise vergleichbare Waren oder Dienstleistungen vertreiben oder nachfragen.

Durch den Gesetzesentwurf soll klargestellt werden, dass die erhobenen Ansprüche nicht hauptsächlich zur Gewinnerzielung genutzt werden dürfen. So soll auch der Streitwert auf 1000,00 € begrenzt werden. Dadurch soll der Anreiz für Abmahnanwälte deutlich begrenzt werden.

Darüber hinaus hat der Abmahnende nachvollziehbar und verständlich darzulegen, auf welcher Grundlage und nach welchen Bemessungskriterien er die geltend gemachten Ansprüche berechnet hat.

Der Gesetzentwurf untersagt mithin zwar nicht grundsätzlich Abmahnungen aufgrund von Verstößen gegen die DSGVO, er kann die missbräuchlichen Abmahnungen aber einschränken.

Kategorien: Allgemein
Schlagwörter: , ,

Häufig gestellte Fragen –Kirchliches Datenschutzgesetz KDG (Teil 1): Warum hat die Katholische Kirche auf Grundlage der DSGVO mit dem KDG ein eigenes Gesetz entwickelt?

22. August 2018

Als staatlich anerkannter Religionsgemeinschaft steht der Katholischen Kirche ein verfassungsmäßig garantiertes Selbstverwaltungsrecht zu, bleiben aber den allgemeinen Staatsgesetzen unterworfen (Art. 140 Grundgesetz). Dieses Recht umfasst die Befugnis, ihre Angelegenheiten selbständig zu bestimmen und zu verwalten.

Dem trägt Art. 91 DSGVO Rechnung, der es den Kirchen ermöglicht, bestehende kirchliche Datenschutzvorschriften weiter anzuwenden, wenn sie mit der DSGVO in Einklang gebracht werden.

Mit der Anordnung über den kirchlichen Datenschutz (KDO) bestanden zum Zeitpunkt des Inkrafttretens der DSGVO bereits umfassende kircheneigene Regeln zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Um das kirchliche Datenschutzrecht weiterhin aufrechterhalten zu können, ist die KDO mit der DSGVO in Einklang gebracht worden. Ergebnis dieses Prozesses ist das KDG.

Kategorien: Allgemein
Schlagwörter: , ,

Personalaufstockung bei der Bundesdatenschutzbeauftragten

28. Juni 2018

Das Personal der Bundesdatenschutzbeauftragten, Andrea Voßhoff, soll aufgestockt werden.

Laut dem Handelsblatt erhält die Bundesdatenschutzbeauftragte nach dem Entwurf zur Bereinigung des Bundeshaushalts fünfzig zusätzliche Stellen. Die Kosten für die Stellen werden laut diesem Entwurf auf etwa fünf Millionen Euro geschätzt.

Der Grund für die Aufstockung soll vor allem auch mit der DSGVO in Zusammenhang stehen. Mit der DSGVO entstehen nämlich neue Aufgaben für die Bundesdatenschutzbeauftragte.

Beispielsweise werden 10 Stellen für die zentrale Anlaufstelle veranschlagt, die für die Koordinierung zwischen den deutschen Datenschutzbehörden im Rahmen der Zusammenarbeit mit anderen europäischen Datenschutzbehörden und dem europäischen Datenschutzausschuss zuständig ist. Zudem sind 15 Stellen für die datenschutzrechtliche Kontrolle von Sicherheitsbehörden und den Informationsaustausch vorgesehen. Daneben erfolgt die Aufstockung unter Anderem für Stellen im steuerlichen Datenschutz und den Bereich der Akkreditierung von Zertifizierungsstellen.

Andrea Voßhoff selbst hatte insgesamt 67 zusätzliche Stellen gefordert. Dieser Forderung wird mit einer Aufstockung um 50 Stellen zwar nicht vollkommen entsprochen, jedoch soll die Begrenzung auf 50 Stellen laut dem Handelsausschuss auch mit der Schwierigkeit der Besetzung neuer Stellen zusammenhängen.

 

Fotografieren unter der DSGVO: OLG Köln veröffentlicht ersten Beschluss

27. Juni 2018

Auch in der Fotografiebranche gab und gibt es aufgrund des Inkrafttretens der Datenschutzgrundverordnung (DSGVO) Rechtsunsicherheiten. Hintergrund ist, dass das Anfertigen und Veröffentlichen von Bildern, auf denen Personen zu erkennen sind, eine Verarbeitungstätigkeit personenbezogener Daten im Sinne der DSGVO darstellt, für das der datenschutzrechtliche Grundsatz des Verbots mit Erlaubnisvorbehalt gilt. Dies hat zur Folge, dass insbesondere für das Veröffentlichen die Einwilligung des betroffenen Abgebildeten selbst oder eine andere Rechtsgrundlage aus der DSGVO nötig ist, um die Verarbeitung zu legitimieren. Auf der Ebene des nationalen Rechts sieht allerdings auch das Kunsturhebergesetz (KUG) für das Veröffentlichen der Fotografien einige Ausnahmetatbestände vor. So können nach § 23 KUG etwa Bildnisse aus dem Bereich der Zeitgeschichte, Bilder von Versammlungen oder solchen, auf denen Personen nur als sogenanntes Beiwerk erscheinen, veröffentlicht werden, auch wenn keine Einwilligung des Betroffenen vorlag.

Nach Inkrafttreten der DSGVO ist nun allerdings umstritten, inwiefern die Vorschriften des KUG noch Anwendung finden, da die DSGVO in der Normenhierarchie über dem KUG steht und dessen Regelungen daher grundsätzlich verdrängt (wir berichteten).

In dem Beschluss des OLG Köln vom 18.06.2018 (Az. 15 W 27/18) hat sich nun das erste Gericht mit der Frage des Konkurrenzverhältnisses beschäftigt. Das OLG Köln vertritt dabei die Ansicht, dass Art. 85 DSGVO zugunsten der Verarbeitung für journalistische Zwecke von der DSGVO abweichende nationale Rechtsvorschrift erlaubt. Von dieser Erlaubnis seien nicht nur neue, sondern auch bereits bestehende Regelungen erfasst, soweit diese sich einfügen. Dabei seien keine strengeren Maßstäbe anzusetzen, weil Datenschutzvorschriften sonst stets die journalistische Arbeit beeinträchtigen würden. Im Kern würde Art. 85 DSGVO insbesondere keine konkreten materiell-rechtlichen Vorgaben machen, sondern nur voraussetzen, dass zwischen dem Datenschutz auf der einen Seite und der Meinungs- und Kommunikationsfreiheit auf der anderen Seite ein angemessener Ausgleich sichergestellt sei. Dies hätte zur Folge, dass das KUG weiterhin gelte, da auch die Vorschriften des KUG umfangreiche Abwägungen zwischen den entgegenstehenden Interessen, im Rahmen dessen auch unionsrechtliche Grundrechtspositionen zu berücksichtigen sind, vorsehe.

Der Beschluss des OLG Köln ist allerdings insgesamt unter der Prämisse zu sehen, dass das KUG Erlaubnistatbestände ausschließlich für das Veröffentlichen der Fotos, nicht aber für das Anfertigen selbst vorsieht. Für das Fotografieren selbst gilt damit ausschließlich die DSGVO. Eine rechtliche Einordnung des Fotografierens unter der DSGVO hat kürzlich die Datenschutzbehörde Brandenburg veröffentlicht.

1 2 3