Schlagwort: DSGVO

Neues Pflegeunterstützungs- und entlastungsgesetz: Das ändert sich für Arbeitgeber

16. Juni 2023

Am 26. Mai 2023 wurde das Pflegeuntestützungs- und entlastungsgesetz (PUEG) in dritter Lesung verabschiedet. Es wird ab dem 1. Juli 2023 mit der Veröffentlichung im Bundesgesetzblatt wirksam. Durch dieses Gesetz erfolgt eine umfassende Reform der gesetzlichen Pflegeversicherung.

Was ändert sich gesetzlich? 

Ab dem 1. Juli 2023 wird der Regelbeitragssatz der Pflegeversicherung von 3,05 Prozent auf 3,4 Prozent angehoben. Das Urteil des Bundesverfassungsgerichts vom 7. April 2022 (1 BvL 3/18) führt dazu, dass die Anzahl der Kinder bei den Beitragssätzen stärker berücksichtigt wird. Kinderlose Mitglieder zahlen einen Beitragssatz von 4 Prozent, während Eltern in der Regel 0,6 Prozentpunkte weniger zahlen. Für Mitglieder mit mehreren Kindern unter 25 Jahren ermäßigt sich der Beitragssatz zusätzlich um 0,25 Prozentpunkte je Kind.

Ab dem 1. Januar 2024 werden das Pflegegeld und die ambulanten Sachleistungsbeträge um jeweils fünf Prozent erhöht. Der Anspruch auf das Pflegeunterstützungsgeld wird ausgeweitet und kann bis zu zehn Arbeitstage pro Kalenderjahr für die Pflege eines nahen Angehörigen in Anspruch genommen werden.

Was ändert sich für den Datenschutz? 

Die Gesetzesänderung hat einige Auswirkungen auf Arbeitgeber. Ab dem 1. Juli 2023 müssen Sie als Arbeitgeber sicherstellen, dass die neuen Regelungen zur gesetzlichen Pflegeversicherung für Ihre aktiven Mitarbeiter umgesetzt werden. Gemäß § 55 Abs. 3 Satz 6 SGB XI-E müssen Sie die Elterneigenschaft und die Anzahl der Kinder unter 25 Jahren gegenüber der beitragsabführenden Stelle nachweisen.

Als Nachweis können beispielsweise Geburtsurkunden, Vaterschaftsanerkennungen, Abstammungsurkunden, steuerliche Lebensbescheinigungen des Einwohnermeldeamtes, Bestätigungen des Pflegekindschaftsverhältnisses durch die zuständige Behörde oder Adoptionsurkunden dienen. Als Arbeitgeber müssen Sie daher zusätzlich zu den bereits vorhandenen personenbezogenen Daten Ihrer Arbeitnehmer weitere personenbezogene Daten von Kindern erheben, speichern und gemäß den Bestimmungen der Datenschutz-Grundverordnung (DSGVO) verarbeiten.

So kann der Nachweis datenschutzkonform gefasst werden

  • Die digitale Meldemöglichkeit

Bis zum 1. Juli 2023 gibt es noch kein effizientes digitales Verfahren zur Erhebung und Überprüfung der Kinderzahl, das als Arbeitgeber unterstützt und auf DSGVO-Konformität geprüft wurde. Die Einführung eines solchen Verfahrens ist jedoch bis zum 31. März 2025 geplant.

  • Die analoge Meldemöglichkeit

Der Nachweis der Elterneigenschaft kann dem Arbeitgeber analog, z.B. in Papierform, übermittelt werden. Dabei ist Vorsicht geboten, da ab Juli 2023 mit einer Flut von Unterlagen mit personenbezogenen Daten von Kindern zu rechnen ist. Aus datenschutzrechtlichen Gründen sollte auf das Versenden von bspw. Geburtsurkunden per E-Mail verzichtet werden. Es empfiehlt sich, die Nachweise per Post oder persönlich zu übergeben. Falls eine E-Mail-Übermittlung doch erforderlich ist, sollten die Dokumente verschlüsselt oder in einer verschlüsselten Zip-Datei übertragen werden. Es empfiehlt sich also, einen sicheren Übermittlungsweg im Unternehmen zu etablieren.

  • Meldung via Selbsterklärung

Für den Zeitraum vom 1. Juli 2023 bis zum 30. Juli 2025 genügt es, wenn der Arbeitnehmer den Nachweis der Kinder durch eine Selbstauskunft erbringt. Auf Anforderung des Arbeitgebers muss der Arbeitnehmer Informationen über die für die Auskunft relevanten Kinder angeben.

Fazit

Informieren  Sie Ihre Mitarbeiter rechtzeitig über die Änderungen zum 1. Juli 2023. Achten Sie darauf, dass Nachweise sicher aufbewahrt werden und nicht durch Ihre Mitarbeiter über unsichere Chatanbieter oder bestenfalls auch nicht per E-Mails übermittelt werden. Wählen Sie eine datenschutzkonforme Meldemöglichkeit, entweder analog oder per Selbstauskunft. Denken Sie daran, dass es sich um sensible Nachweise handelt und entwickeln Sie einen DSGVO-konformen Meldeweg. Gerne unterstützen wir Sie bei diesem Prozess.

EuGH: Zivil- und verwaltungsrechtliche Rechtsbehelfe können nebeneinander und unabhängig voneinander eingelegt werden

17. Januar 2023

Mit Urteil vom 12. Januar 2023 hat der Europäische Gerichtshof (EuGH) entschieden, dass die in der Datenschutz-Grundverordnung (DSGVO) vorgesehenen verwaltungs- und zivilrechtlichen Rechtsbehelfe nebeneinander und unabhängig voneinander eingelegt werden können (C-132/21).

Hintergrund

Grundlage der Entscheidung war die Vorlage des Hauptstädtischen Stuhlgerichts Budapests. Die betroffene Person „BE“ hatte zum einen gegen eine Entscheidung der Datenschutzaufsichtsbehörde vor dem vorlegenden Gericht geklagt, welches der Verwaltungsgerichtsbarkeit angehört. Zum anderen hatte er vor dem Zivilgericht Klage gegen den datenschutzrechtlichen Verantwortlichen erhoben, über dessen Verarbeitung er sich bei der Aufsichtsbehörde beschwert hatte.

Beide Rechtswege sind in der DSGVO vorgesehen. Gegen den Verantwortlichen können betroffene Personen nach Art. 79 DSGVO vorgehen. Gegen Entscheidungen der Aufsichtsbehörde gewährt ihnen Art. 78 DSGVO den Rechtsweg.

Das vorlegende Gericht störte sich daran, dass es „denselben Sachverhalt und dieselbe Behauptung eines Verstoßes gegen die Verordnung 2016/679 prüfen müsse, über die das Fővárosi Ítélőtábla (Hauptstädtisches Tafelgericht, Ungarn) bereits rechtskräftig entschieden habe.“ Daher wollte es wissen, „in welchem Verhältnis die von einem Zivilgericht vorgenommene Beurteilung der Rechtmäßigkeit einer Entscheidung des Verantwortlichen für die Verarbeitung personenbezogener Daten zu dem Verwaltungsverfahren steht“. Es sei nämlich möglich, dass widersprüchliche Entscheidungen erlassen würden.

Entscheidung des EuGH

Der EuGH betonte, dass die von der DSGVO vorgesehenen Rechtsbehelfe gleichwertig nebeneinander stehen. Die DSGVO sehe weder „weder eine vorrangige oder ausschließliche Zuständigkeit vor[sieht] noch einen Vorrang der Beurteilung der genannten Behörde oder des genannten Gerichts zum Vorliegen einer Verletzung der durch diese Verordnung verliehenen Rechte.“ Aus diesem Grund könnten die Rechtsbehelfe „nebeneinander und unabhängig voneinander eingelegt werden.“

Es obliege „den Mitgliedstaaten, im Einklang mit dem Grundsatz der Verfahrensautonomie die Modalitäten des Zusammenspiels dieser Rechtsbehelfe zu regeln“. Dabei sei die effektive Umsetzung der DSGVO zu berücksichtigen, um die Rechte betroffener Personen effektiv zu schützen und die DSGVO einheitlich anzuwenden.

Mehraufwand für Unternehmen bei Auskunftsanspruch

13. Januar 2023

Verantwortliche sind verpflichtet, betroffenen Personen auf Anfrage die Identität der Empfänger, gegenüber welchen personenbezogene Daten offengelegt wurden, mitzuteilen. Dies hat der Europäische Gerichtshof (EuGH) nun in einem Urteil (Urt. v. 12.01.2023 – Rs. C-154/21) entschieden.

Sachverhalt

Dem Urteil vorausgegangen war die Klage eines Österreichers, welcher gegenüber der Österreichischen Post sein Auskunftsrecht nach Art. 15 Abs. 1 lit. c DSGVO geltend machte. Auf die Anfrage, welchen Empfängern gegenüber die Post seine personenbezogenen Daten offengelegt habe, beschränkte sich die Österreichische Post zunächst auf die Auskunft, sie verwende personenbezogene Daten im Rahmen ihrer Tätigkeit als Herausgeberin von Telefonbüchern und stelle die Daten darüber hinaus Geschäftskunden für Marketingzwecke zur Verfügung. Darunter befanden sich unter anderem werbetreibende Händler, IT-Unternehmen, NGOs und Parteien.

Das Auskunftsrecht nach Art. 15 DSGVO

Gemäß Art. 15 DSGVO haben betroffene Personen das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so haben sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

  • Die Verarbeitungszwecke;
  • die Kategorien personenbezogener Daten, die verarbeitet werden;
  • die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
  • falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  • das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  • wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Das Urteil eindeutig

Mit seiner Vorlagefrage wollte das vorlegende Gericht im Wesentlichen festgestellt wissen, ob Art. 15 Abs. 1 Buchst. c DSGVO dahin auszulegen ist, dass das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die konkrete Identität der Empfänger mitzuteilen.

Das Auskunftsrecht eines Betroffenen nach Art. 15 DSGVO gilt im Allgemeinen als sehr weitgehend, die Grenzen sind aus wissenschaftlicher Sicht noch nicht abschließend ausdiskutiert. Problematisch ist dabei, dass die in Art. 15 enthaltenen Begriffe „Empfänger“ und „Kategorien von Empfängern“ nebeneinander aufgeführt sind, ohne dass daraus geschlossen werden kann, dass zwischen ihnen ein Vorrangverhältnis besteht

Der EuGH urteilte nun, dass dem Betroffenen die konkrete Identität der Empfänger grundsätzlich mitzuteilen sei. Ausnahmen von dem Umfang der Auskunft können jedoch dann bestehen, wenn der Empfänger (noch) nicht identifiziert werden kann oder der Antrag offenkundig unbegründet beziehungsweise exzessiv ist. In diesen Fällen könne sich die Mitteilung auf die Kategorie der Empfänger beschränken.

„(…) Nach alledem ist auf die Vorlagefrage zu antworten, dass Art. 15 Abs. 1 Buchst. c DSGVO dahin auszulegen ist, dass das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen, es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 DSGVO sind; in diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen. (…)“

Bedeutung für die Praxis

In der Praxis stellt sich nun die Frage, wie Verantwortliche auf das Urteil reagieren sollten.

  • Nach Art. 12 Abs. 1 DSGVO können die Informationen schriftlich, auf elektronischem Wege oder, auf Verlangen der betroffenen Person, mündlich erteilt werden
  • Bei elektronischer Antragsstellung: Informationen gem. Art. 15 Abs. 3 DSGVO in einem gängigen elektronischen Format zur Verfügung zu stellen
  • Informationen gemäß Art. 12 Abs. 3 DSGVO unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung zu stellen (Frist kann in komplexen Fällen um zwei Monate verlängert werden)
  • Informationen sind grundsätzlich kostenlos zur Verfügung zu stellen
  • Neu ist, dass nun jeder einzelne Empfänger der Daten offengelegt werden muss, es sei denn, die betroffene Person entscheidet sich für eine bloße Offenlegung der Empfängerkategorien
  • Ausnahmen: Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 DSGVO

Was für Strafen drohen Unternehmen, die der spezifischen Auskunftspflicht nicht nachkommen?

  • Bußgelder: DSGVO droht mit einer Geldbuße von bis zu 20 Millionen EUR oder bis zu 4 % des weltweit erwirtschafteten Jahresumsatzes im vorangegangenen Geschäftsjahr (angewendet wird der Wert, der höher ist)
  • Materieller und immaterieller Schadensersatz (Art. 82 DSGVO): Das Arbeitsgericht Düsseldorf (ArbG Düsseldorf, Urteil vom 5. März 2020, Az. 9 Ca 6557/18) hatte beispielsweise einen Schadenersatz in Höhe von 5.000 Euro wegen verspäteter und unzureichender Auskunftserteilung zugesprochen

Ausblick

Ob dieses Urteil auch Auswirkungen auf die Gestaltung der Informationspflichten im Sinne von Art. 13 Abs. 1 lit. e DSGVO beziehungsweise Art. 14 Abs. 1 lit. e DSGVO haben wird, bleibt noch abzuwarten. Aufgrund der kurzen Reaktionszeit auf Auskunftsersuchen nach Art. 12 Abs. 3 DSGVO sollten Unternehmen aber in jedem Falle vorbereitet sein, die nun erforderlichen Informationen bereitzuhalten.

Rechtsanwalt Dr. Karsten Kinast, Geschäftsführer der KINAST Rechtsanwaltsgesellschaft mbH, hat diese Woche im ARD-Morgenmagazin ein kurzes Interview zu dem Urteil gegeben. Hier geht es zum Bericht des Morgenmagazins.

Datenleck bei Thomson Reuters: Mindestens drei Terrabyte an Daten betroffen

3. November 2022

Wie nach Recherchen von Cybernews bekannt wurde, gab es bei Thomson Reuters kürzlich ein Datenleck, bei dem mindestestens drei seiner Datenbanken, darunter die drei Terrabyte große Datenbank ElasticSearch für jedermann zugänglich war.

Die betroffenen Daten

Thomson Reuters, der Nachfolger der Nachrichtenagentur Reuters, ist ein Medienkonzern mit Hauptsitzen in New York und Toronto. Der Konzern bietet seinen Kunden verschiedene Produkte wie das Medientool Reuters Connect, die Datenbank Westlaw oder auch andere Recherche-Suites an. Die von dem Datenleck betroffene Datenbank ElasticSearch enthält Informationen aus allen Plattformen des Konzerns und wird bevorzugt von Unternehmen eingesetzt, die mit umfangreichen, ständig aktualisierten Datenmengen arbeiten.

Laut Cybernews waren die Daten mehrere Tage lang verfügbar. Es waren sensible Daten betroffen, wie beispielsweise Informationen zu Lieferketten, Zugangsdaten zu Servern Dritter und Anmelde- und Kennwortrücksetzungsprotokolle, in denen die E-Mail-Adresse der Kontoinhaber und die genaue Zeit, zu der die Passwortänderung gesendet wurde, ersichtlich waren.

Die Reaktion des Konzerns

Thomson Reuters reagierte unverzüglich auf den Hinweis, schaltete die Server ab und leitete eine Untersuchung ein. Laut dem Unternehmen seien zwei der drei betroffenen Server so konzipiert gewesen, dass sie öffentlich zugänglich waren. Der dritte sei als sogenannter nicht-produktiver Server nur mit einer kleinen Untergruppe von Kunden verbunden gewesen und enthalte keine Anwendungsdaten. Zudem habe das Leck überwiegend Kunden in den USA betroffen, welche informiert worden seien.

Dagegen zweifeln die Forscher von Cybernews an, dass das Leck so harmlos war, wie es Thomson Reuters erscheinen lässt. Ihnen zufolge hat das Unternehmen Daten zugänglich gemacht, die in kriminellen Foren wegen des möglichen Zugriffs auf andere Systeme Millionen wert wären.

Fazit

Von außen lässt sich kaum beurteilen, wie schwer das Datenleck tatsächlich war. Es zeigt jedoch, wie wichtig es für Unternehmen ist, ihre digitale Infrastruktur kontinuierlich zu überprüfen, damit Sicherheitslücken nicht wie im vorliegenden Fall tagelang ungesehen bestehen bleiben und das Unternehmen angreifbar machen.

EuGH zur Verantwortlichkeit bei Einwilligungswiderruf nach Datenweitergabe

Der Europäische Gerichtshof (EuGH) hat entschieden, dass der Widerruf gegen eine einheitliche Einwilligung, aufgrund derer mehrere Verantwortliche personenbezogene Daten zum selben Zweck verarbeiten dürfen, nur gegen einen dieser Verantwortlichen erfolgen muss.  

Sachverhalt

Der Beschwerdeführer wendete sich gegen den belgischen Telefonanbieter Proximus, der unter anderem öffentlich zugängliche Telefonverzeichnisse und Telefonauskunftsdienste anbietet. Darin sind Namen, Adressen und Telefonnummern enthalten, die von Anbietern öffentlich zugänglicher Telefondienste an Proximus übermittelt und auch von Proximus an andere Anbieter und Suchmaschinen wie Google weitergeleitet werden.

Nachdem seine wiederholte Aufforderung, seine Daten nicht in solchen Verzeichnissen zu führen, erfolglos waren, legte der Beschwerdeführer Beschwerde bei der belgischen Datenschutzbehörde ein. Die Datenschutzbehörde verhängte daraufhin ein Bußgeld in Höhe von 20.000 Euro und gab Proximus unter anderem auf, „dem Widerruf der Einwilligung des fraglichen Teilnehmers unverzüglich in angemessener Weise Rechnung zu tragen und den Aufforderungen dieses Teilnehmers, mit denen er sein Recht auf Löschung der ihn betreffenden Daten ausüben wolle, Folge zu leisten“.

Hiergegen klagte Proximus mit der Begründung, eine Einwilligung im Sinne der DSGVO sei nicht erforderlich. Vielmehr müssten Teilnehmer im Wege eines Opt-out selbst beantragen, nicht im Verzeichnis geführt zu werden.

Entscheidung

Der EuGH bestätigte in seiner Entscheidung zunächst das Einwilligungserfordernis bei der Veröffentlichung personenbezogener Daten in einem öffentlichen Teilnehmerverzeichnis. Sofern dritte Anbieter solcher Verzeichnisse denselben Zweck verfolgen, erstreckt sich diese Einwilligung auf jede weitere Verarbeitung der Daten. Dazu muss die betroffene Person nicht zwangsläufig zum Zeitpunkt der Einwilligung sämtliche Anbieter kennen. Allerdings genügt dann im Umkehrschluss eine einzige Widerrufserklärung gegenüber irgendeinem der Verantwortlichen. Der muss sämtliche anderen Verantwortlichen eigenständig über den Widerruf informieren.

Fazit

Die Entscheidung wird sich voraussichtlich auch auf andere Bereiche auswirken, in denen sich Verantwortliche auf eine einheitliche Einwilligung stützen. Für Betroffene bedeutet es eine erhebliche Erleichterung, den Widerruf nur an einen einer gegebenenfalls unbekannten Anzahl von Verantwortlichen richten zu müssen.  

LDI Nordrhein-Westfalen genehmigt EU-weit erste Datenschutz-Zertifizierung durch Privatunternehmen

19. Oktober 2022

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) genehmigte am 7. Oktober 2022 erstmalig die Kriterien eines Unternehmens für die Zertifizierung von Auftragsverarbeitern. Mit dem Zertifikat „European Privacy Seal“ („EuroPriSe“) sollen Unternehmen zukünftig ihre DSGVO-konformen Auftragsverarbeitungen nachweisen können.

Bedeutung

Die EuroPriSe GmbH ist europaweit das erste Unternehmen, das eine Genehmigung für seinen Kriterienkatalog erhalten hat. Im Genehmigungsverfahren hat die LDI NRW „gemäß dem europäischen Datenschutzrecht geprüft, ob die Kriterien, nach denen die Zertifikate an Auftragsverarbeiter erteilt werden sollen, tatsächlich die Einhaltung der DSGVO bei der Verarbeitung personenbezogener Daten sicherstellen – und damit die Persönlichkeitsrechte wahren.“

Allerdings befreit ein Zertifikat weder die Verantwortlichen und Auftragsverarbeiter noch die Aufsichtsbehörden von ihren Pflichten aus der DSGVO. Die Zertifizierung bleibt ein freiwilliges Instrument (vgl. Art. 42 Abs. 3 DSGVO), welches lediglich für einen Zeitraum von drei Jahren mit Aussicht auf Verlängerung erteilt werden kann (vgl. Art. 42 Abs. 3 S. 1 DSGVO).

Zertifizierungsverfahren nach Art. 42 DSGVO

Das Zertifizierungsverfahren nach Art. 42 DSGVO ist aufwendig und erfordert die Zusammenarbeit der Deutschen Akkreditierungsstelle GmbH (DAkkS) und der zuständigen Aufsichtsbehörde. Für eine Zertifizierung muss zudem die Empfehlung des Europäischen Datenschutzausschusses (EDSA) eingeholt und umgesetzt werden, damit eine einheitliche Anwendung der DSGVO in der EU gewährleistet werden kann.

Bewertung und Ausblick

Die Vorteile eines solchen Zertifikats sind vielfältig und beschränken sich nicht nur auf Marketing-Zwecke. Anwendungsbereiche werden von der DSGVO an verschiedenen Stellen explizit erwähnt. So kann ein Zertifikat für den Nachweis der DSGVO-Anforderungen beispielsweise bei der Beurteilung der Erfüllung der Pflichten des Verantwortlichen, Garantien des Auftragsverarbeiters, Datenübertragungen an ein Drittland oder auch bei der Datenschutz-Folgenabschätzung als Faktor herangezogen werden. Eine Zertifizierung kann Verantwortlichen und Auftragsverarbeitern also in vielen Bereichen den Nachweis der Pflichterfüllung erleichtern. Laut LDI NRW sei ein zentrales Ziel Transparenz, da Zertifikate als bewährtes Instrument den Markteilnehmenden einen „raschen Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen“ lieferten.

Es bleibt abzuwarten, wie die Aufsichtsbehörden solche Zertifikate in Zukunft bei ihren Bewertungen von Verarbeitungsvorgängen einfließen lassen werden und ob sich die erhoffte Vereinfachung des Nachweises für Datenverarbeiter auch tatsächlich einstellt. Für den Markt bedeutet diese erste Genehmigung jedenfalls einen Meilenstein, der voraussichtlich den Weg für weitere Zertifizierungen nach Art. 42 DSGVO ebnen wird.

Neue Berliner Beauftragte für Datenschutz und Informationsfreiheit

7. Oktober 2022

Das Berliner Abgeordnetenhaus hat am 6. Oktober Meike Kamp als neue Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) gewählt. Damit tritt sie die Nachfolge von Maja Smoltczyk an, deren Amtszeit im Oktober 2021 nach mehr als fünf Jahren endete. Die BlnBDI ist eine unabhängige oberste Landesbehörde des Landes Berlin, die sowohl Kontroll- als auch Beratungsaufgaben im Bereich des Datenschutzes und der Informationsfreiheit wahrnimmt.

Meike Kamp ist Juristin mit einem Schwerpunkt auf Datenschutz sowie Medien- und
Informationsfreiheit. Bis zu ihrem Amtsantritt als BlnBDI ist sie für das Land Bremen
als Sitzungsvertreterin im Rechts- und Innenausschusses des Bundesrates tätig.

In der Vergangenheit stand sie bereits von 2010 bis 2019 bei der BlnBDI im Dienst, zuletzt als Leiterin des
Referats I B Wirtschaft. Zuvor führte Kamp am unabhängigen Landeszentrum für Datenschutz
Schleswig-Holstein das Referat Datenschutz im nichtöffentlichen Bereich einschließlich Telemedien
und Telekommunikation.

Volker Brozio, der kommissarische Dienststellenleiter der BlnBDI, äußerte sich zuversichtlich und erfreut darüber, dass nach einem Jahr nun feststehe, wer die Nachfolge von Maja Smoltczyk übernimmt. In einem nächsten Schritt werde er Meike Kamp demnächst die Amtsgeschäfte übergeben.

Vorratsdatenspeicherung: Neue Debatte nach anstehendem EuGH-Urteil?

20. September 2022

20. September 2022: Der Europäische Gerichtshof (EuGH) urteilt erneut über das Thema Vorratsdatenspeicherung. Diesmal geht es um das diesbezüglich schon länger auf Eis liegende deutsche Gesetz zur Vorratsdatenspeicherung. Wird die Entscheidung des EuGHs frischen Wind in die Diskussion bringen?

Was soll gespeichert werden?

Grundsätzlich meint Vorratsdatenspeicherung das Speichern von Verbindungsdaten. Es handelt sich nicht um explizite Inhalte einzelner Kommunikationen, sondern um die abstrakte Speicherung von Kommunikationseckdaten. So ist also lediglich die Aufklärung und Speicherung im Kontext der folgenden Fragestellungen berührt:

– Wer hat wann mit wem wie lange telefoniert, und von welchem Ort aus?
– Wer hat an wen eine E-Mail geschrieben?
– Mit welcher IP-Adresse war ich wie lange im Internet unterwegs?

Adressaten der Vorratsdatenspeicherung

Speicherverpflichtete wären Kommunikationsunternehmen. Durch eine vorrätige Speicherung soll staatlichen Behörden ein Zugang zu Verbindungsdetails ermöglicht werden. Ein Zugang zu derartigen Informationen soll für zehn Wochen gewährleistet werden. Daneben sei auch ein Zugriff auf Standortdaten für einen Zeitraum von vier Wochen angedacht.

Wird der EuGH seine bisherige Linie beibehalten?

In einem Urteil im Jahr 2016 zu einem schwedischen Gesetz entschied und beanstandete der EuGH, „Eine allgemeine und unterschiedslose Speicherung aller Vorratsdaten ohne konkreten Anlass sei nicht mit den EU-Grundrechten vereinbar”. Dieser strengen Linie blieb der EuGH in seinem Urteil im Jahr 2020 grundsätzlich treu, legte jedoch Ausnahmen für eine Speicherung fest. Staatlichen Behörden solle demnach ein Zugriff unter bestimmten Voraussetzungen ermöglicht werden. Dies solle auf Daten mit Verbindung zu Kriminalitätshotspots, zum nationalen Schutz vor akuter Terrorgefahr sowie der anlasslosen Speicherung von IP-Adressen anzuwenden sein.


Ob der EuGH einen Trend zur Lockerung der Vorratsdatenspeicherung setzt wird sich mit dem ersehnten Urteil zum deutschen Gesetz zeigen.

Warum Google Fonts eine datenschutzrechtliche Abmahnwelle verursacht?

23. August 2022

Am 18. August 2022 informierte der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI), Dr. Lutz Hasse, in einer Pressemitteilung über eine drohende Abmahnwelle. Tausende von Websites-Betreiber seien nach dem TLfDI bereits von Abmahnungen betroffen.

I. Hintergrund der Abmahnungen

Google Fonts ist ein kostenloser Dienst des US-Anbieters Google. Dieser stellt kostenlose Schriftarten zur freien Verfügung bereit. Problematisch wird es an der Stelle, an der Google Fonts dynamisch auf Websites eingebettet werden. Durch die dynamische Einbindung des Dienstes werden Schriftarten von Servern aus den USA in den Browser der Besucher(innen) geladen. Dabei werden personenbezogene Daten wie die IP-Adresse der Besucher in die Vereinigten Staaten übermittelt. Eine Einbettung der Fonts kann auch durch andere Google Dienste, z.B. Google Maps, erfolgen.

II. Warum ist die Übermittlung problematisch?

Nach dem TLfDI müsste einer solchen Übermittlung der Daten, nach der DSGVO, mindestens eine Einwilligung der Nutzer vorangehen. Dies soll in den Sachverhalten überwiegend nicht der Fall gewesen sein. Zudem handle es sich bei der Übermittlung von Daten in die USA um einen Transfer von Daten in einen Drittstaat, der kein ausreichendes Datenschutzniveau im Sinne der DSGVO bietet. Dazu komme nicht minder die Tatsache, dass eine solche zustimmungslose und automatische Weiterleitung der IP-Adressen an Google eine Verletzung des Rechts auf informationelle Selbstbestimmung und des Persönlichkeitsrechts darstelle. So das Landgericht München I im Endurteil vom 20. 01. 2022.

III. Was könnte ein Lösungsansatz sein?

Das TLfDI gibt Empfehlungen zur Nutzung von Google Fonts. In „Empfehlungen des TLfDI zu Google Fonts zur Vermeidung von Abmahnungen“ wird das lokale Speichern von Schriftarten und sodann die Einbindung in den eigenen Internetauftritt geraten.
Für viele Websites-Betreiber war diese Thematik bisher ein blinder Fleck im Kontext des Datenschutzrechts und dem technischen Verständnis von Google Fonts. Es ist also ratsam die eigene Website bezüglich der Einbindung von Google Fonts zu überprüfen.

Millionenschweres Bußgeld gegen Volkswagen festgesetzt

In einer Pressemitteilung vom 26.07.2022 teilte das Land Niedersachsen mit, dass die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen gegen die Volkswagen Aktiengesellschaft aufgrund mehrerer Datenschutzverstöße eine Geldbuße nach Art. 83 DSGVO in Höhe von 1,1 Millionen Euro festgesetzt hat.

Die Datenschutzverstöße

Grund für die Verhängung des Bußgeldes sind gleich mehrere Datenschutzverstöße im Zusammenhang mit Forschungsfahrten für ein Fahrassistenzsystem zur Vermeidung von Verkehrsunfällen. Im Jahr 2019 wurde durch die österreichische Polizei ein Erprobungsfahrzeug des Unternehmens im Rahmen einer Verkehrskontrolle angehalten. Den Beamten waren ungewöhnliche Anbauten am Fahrzeug aufgefallen. Diese stellten sich als Kameras heraus, welche unter anderem zur Fehleranalyse das Verkehrsgeschehen um das Fahrzeug herum aufzeichneten. Auf diese Weise wurde das Fahrzeug zum Testen und Trainieren des Fahrassistenzsystems eingesetzt. Am Fahrzeug fehlte jedoch jegliche Kenntlichmachung, wie zum Beispiel Magnetschilder mit Kamerasymbol und weiteren Informationen für die anderen Verkehrsteilnehmer. Somit wurden die datenschutzrechtlich betroffenen Verkehrsteilnehmer nicht über die Aufzeichnung und damit einhergehende Datenverarbeitung informiert, wie es der Art. 13 DSGVO vorschreibt. Des weiteren wurde festgestellt, dass Volkswagen mit dem Unternehmen, das die Fahrten durchführte, keinen Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO abgeschlossen hatte. Ebenso war vorab keine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchgeführt worden. Diese war vor Beginn der Fahrt nötig, um mögliche Risiken der Datenverarbeitung und deren Eindämmung bewerten zu können. Schließlich fehlte auch eine Erläuterung der technischen und organisatorischen Schutzmaßnahmen im Verzeichnis der Verarbeitungstätigkeiten von Volkswagen, was einen Verstoß gegen die Dokumentationspflicht nach Art. 30 DSGVO darstellte.

Volkswagen kooperiert

Volkswagen hatte die Fehler eingesehen und umfassend mit der LfD Niedersachsen kooperiert. Die Mängel wurden unverzüglich abgestellt und behoben. Die vier Datenschutzverstöße weisen jeweils zwar einen eher niedrigen Schweregrad auf, mussten dennoch geahndet werden und sind somit Gegenstand eines Bußgeldbescheides geworden. Diesen hatte Volkswagen ohne Beanstandung akzeptiert und das Verfahren durch Zahlung von 1,1 Millionen Euro beendet. Die eigentlichen Forschungsfahrten hatte die LfD Niedersachsen Barbara Thiel nicht zu beanstanden – vor allem vor dem Hintergrund, dass ein Fahrassistenzsystem zur Verhinderung von Verkehrsunfällen erprobt und somit die Sicherheit im Straßenverkehr optimiert werden sollte.

Anhand dieses Falls kann man erneut feststellen, dass auch nur kleine Fehler und Verstöße gegen die DSGVO zu enormen Bußgeldern führen können. Gerade für große Unternehmen ist es daher wichtig, auf eine datenschutzkonforme Umsetzung im Betrieb zu achten.