Schlagwort: DSGVO
30. Januar 2018
Am 24.01.2018 erging vor dem OLG Frankfurt am Main ein Urteil, das deutlich macht, wie weitreichend die Folgen einer Missachtung datenschutzrechtlicher Vorgaben auch für die vertraglichen Ansprüche zwischen zwei Vertragsparteien vermeintlich fernab des Datenschutzes sein können.
Im vorliegenden Fall hatte ein Unternehmen eine Vielzahl von Adressdaten für einen Kaufpreis i.H.v. 15.000 Euro erworben. Dieselben Adressen wurden von der Verkäuferin jedoch ebenfalls an eine weitere Firma verkauft. Diese nutzte die Daten wiederum, um Werbe-E-Mails für die Internetseite sexpage.de zu versenden.
Die erstgenannte Käuferin (Klägerin) nahm daraufhin die Verkäuferin der Adressen (Beklagte) auf teilweise Rückzahlung des Kaufpreises in Anspruch, weil die erworbenen Adresse durch die erfolgte Nutzung für die Internetseite sexpage.de 2/3 ihres Wertes verloren hätten.
Anstatt sich mit der juristischen Bewertung der kaufrechtlichen Fragestellungen zu beschäftigen, prüfte das OLG Frankfurt zunächst die Einhaltung datenschutzrechtlicher Vorgaben und kam zu einem Ergebnis, welches Klägerin und Beklagte gleichermaßen überrascht haben dürfte. Das Gericht stellte fest, dass die der Weitergabe der Adressdaten zugrundeliegende(n) Einwilligung(en) der Adressinhaber unwirksam war(en) – mit weitreichenden Folgen.
Da es sich im vorliegenden Fall nicht um zusammengefasste Daten von Angehörigen einer bestimmten Personengruppe handelte und damit das sog. Listenprivileg (§ 28 Abs. 3 S. 2 BDSG) die Zulässigkeit der Verarbeitung nicht rechtfertigen konnte, war die Verarbeitung bzw. Nutzung der personenbezogenen Daten für Zwecke des Adresshandels oder der Werbung nur zulässig, soweit die Betroffenen eingewilligt hatten (§ 28 Abs. 3 S. 1 BDSG).
Eine wirksame Einwilligung nach dem BDSG muss zunächst auf der freien Entscheidung des Betroffenen beruhen. Gleichzeitig muss der Betroffene u.a. auf den vorgesehenen Zweck der Verarbeitung und die etwaigen Folgen der Verweigerung der Einwilligung hingewiesen werden. Soll die Einwilligung zusammen mit anderen Erklärungen abgegeben werden, so ist diese besonders hervorzuheben.
Im vorliegenden Fall genügten die ursprünglich eingeholten Einwilligungen diesen Anforderungen nicht. Insbesondere wurden weder die betroffenen Daten noch die Kategorien etwaiger Datenempfänger oder der Nutzungszweck “Adresshandel” konkret genug bezeichnet.
Als Ergebnis dieses Verstoßes gegen das BDSG stellte das Gericht die Nichtigkeit des zwischen der Klägerin und der Beklagten geschlossenen Kaufvertrages über die Adressdaten fest. In der Regel begründet im Falle eines nichtigen Kaufvertrages ein bereits gezahlter Kaufpreis eine ungerechtfertigte Bereicherung des Verkäufers, die nach § 812 Abs. 1 S. 1 BGB grundsätzlich durch Rückzahlung des Kaufpreises auszugleichen ist. Da im vorliegenden Fall jedoch Verkäufer und Käufer vorsätzlich gegen die Vorschriften des BDSG verstoßen haben, ist eine Rückabwicklung gemäß § 817 S. 2 BGB ausgeschlossen. Dementsprechend hat das OLG Frankfurt am Main die Klage als unbegründet abgewiesen.
Fazit: Neben der möglichen Verhängung empfindlicher Bußgelder bei der rechtswidrigen Verarbeitung personenbezogener Daten, können Verstöße gegen das BDSG auch weitreichende Folgen für zivilrechtliche Ansprüche im Rahmen der kommerziellen Verwendung dieser Daten haben.
Vor diesem Hintergrund sind Unternehmen gut beraten, die von ihnen genutzten Einwilligungserklärungen eingehend zu überprüfen. Dies gilt umso mehr mit Blick auf das Inkrafttreten der EU-Datenschutzgrundverordnung (EU-DSGVO) und das neue Bundesdatenschutzgesetz (BDSG-neu).
12. Dezember 2017
Das sogenannte Kopplungsverbot für datenschutzrechtliche Einwilligungen von Betroffenen ist grundsätzlich keine Neuheit der Datenschutz-Grundverordnung (DSGVO). Auch nach dem bisherigen Recht des Bundesdatenschutzgesetzes war Voraussetzung für eine wirksame Einwilligung, dass diese freiwillig erteilt und der Zugang zu einer Leistung somit nicht an eine solche Einwilligung gebunden wird.
Das Kopplungsverbot stellt sich jedoch nicht als ein allzu scharfes Schwert dar. Immer wieder gibt es im Internet Angebote, die auf den ersten Blick zwar kostenlos sind, sich aber über die Verarbeitung von Daten und die Platzierung von Werbung refinanzieren. Beispielsweise sind Online-Gewinnspiele, für deren Teilnahme der Nutzer in den Erhalt eines Newsletters einzuwilligen hat, keine Seltenheit. Streng genommen läge hier schon eine Kopplung vor. Das angesprochene Verbot präsentiert sich an dieser Stelle offen für Situationen, in denen der Nutzer sich über die “Bezahlung mit seinen Daten” im Klaren und mit diesen Bedingungen schlicht einverstanden ist.
Womöglich wird durch die ab Mai 2018 anzuwendende DSGVO hier eine spürbare Verschärfung eintreten. Maßgeblich ist Art. 7 Abs. 4 mit dem dazugehörigen Erwägungsgrund 43 zur DSGVO. Insbesondere der Erwägungsgrund fordert der beispielhaften Gewinnspiel-Situation eine getrennte (und eben nicht gekoppelte) Erteilung von Einwilligungen des Nutzers ab. Genauer gesagt müsste sich der User bedingungslos zu einem Gewinnspiel anmelden dürfen und könnte erst im Nachgang gefragt werden, ob er zusätzlich dem Erhalt von Werbung in Form eines Newsletters zustimmen möchte. Dies hätte natürlich eine drastisch niedrigere Quote von Newsletter-Teilnehmern zur Folge.
Stellt sich die Anwendung der DSGVO an dieser Stelle in der gelebten Praxis so streng heraus, wie es der Wortlaut der gesetzlichen Grundlage verspricht, entspricht dies einer deutlichen Verschärfung gegenüber der bisherigen Rechtslage. Viele etablierte Prozesse werden dann zu überdenken sein.
24. August 2017
Die Datenschutz-Grundverordnung (DSGVO) bringt an vielen Stellen beachtenswerte Änderungen mit sich. Dazu gehört auch die Frage, was im Bereich des Marketings und im Umgang mit personenbezogenen Daten zum Zwecke der Werbung zu beachten ist. Zu dieser Thematik ist auf den Seiten der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zuletzt ein Kurzpapier der “Datenschutzkonferenz” mit diesbezüglichen Einschätzungen veröffentlich worden. Dreh- und Angelpunkt der neuen Rechtslage in Sachen Werbung ist die Tatsache, dass mit der DSGVO jegliche Detailregelungen dieses Bereichs entfallen. In Form des
§ 28 Abs. 3 BDSG hat es bislang noch spezifische Vorgaben für den Umgang mit Daten zum Zweck der werblichen Ansprache gegeben.
Die sicherste Grundlage einer Datenverarbeitung für Werbemaßnahmen ist und bleibt die Einwilligung der betroffenen Person. Wo eine solche aber nicht eingeholt werden kann oder dies aus praktischen Gründen nicht sinnvoll ist, wird künftig auf einen allgemeinen Erlaubnistatbestand der DSGVO zurückgegriffen werden müssen. Daher wird die Zulässigkeit der Werbung an einer Interessenabwägung nach Art. 6 Abs. 1 f) DSGVO zu messen sein. Demnach gilt es für die Frage der Zulässigkeit der Maßnahme die Interessen des Werbetreibenden und der betroffenen Personen im Einzelfall zu gewichten.
Der Erwägungsgrund 47 zur DSGVO trägt für diese Abwägung auf, die “vernünftigen Erwartungen der betroffenen Person zu berücksichtigen, die auf ihrer Beziehung zu dem Verantwortlichen (Werbetreibenden) beruhen”.
Aus Sicht werbetreibender Unternehmen müssen im Zuge entsprechender Vorhaben die Informationspflichten aus den Artikeln 13 u. 14 DSGVO berücksichtigt werden. Der Verantwortliche muss transparent und umfassend über die vorgesehene Werbemaßnahme informieren.
Durch die neue Rechenschaftspflicht der DSGVO (Art. 5 Abs. 2) kommen die Werbetreibenden in die Situation, die Rechtmäßigkeit von Datenverarbeitungen künftig beweisen können zu müssen. Daher wird es sich nicht umgehen lassen, getroffene Interessenabwägungen gründlich zu dokumentieren und auf Anfrage der Aufsichtsbehörde vorlegen zu können. Diese Aufgabe wird regelmäßig durch die Datenschutzbeauftragten der Unternehmen ausgefüllt werden.
14. Juni 2017
Auch nach Inkrafttreten der EU-Datenschutzgrundverordnung (kurz DSGVO) am 28.05.2018 bleibt es bei dem datenschutzrechtlichen Grundsatz des Verbots mit Erlaubnisvorbehalt. Der Grundsatz hat zur Folge, dass eine Verarbeitung personenbezogener Daten grundsätzlich verboten ist, wenn kein Erlaubnistatbestand vorliegt, der die Verarbeitung legitimiert. Als die zentrale Legitimation für die Verarbeitung personenbezogener Daten ist auch im Rahmen der DSGVO die Einwilligung des von der Verarbeitung Betroffenen anzusehen.
I. Einwilligung nach Art. 7 DSGVO
Sofern keiner der gesetzlich definierten Fälle einer entbehrlichen Einwilligung gegeben ist (Art. 6 DSGVO), ist die Einwilligung damit das “Maß der Rechtmäßigkeit” einer Datenverarbeitung. Die Verarbeitung ist nur rechtmäßig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat.
Eine Einwilligung im Sinne der DSGVO ist jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willenserklärung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Die Einzelheiten ergeben sich aus Art. 7 DSGVO, auf die nachfolgend eingegangen wird.
1. Freiwilligkeit der Einwilligung
Eine Einwilligung soll auf der freien Entscheidung des Betroffenen beruhen. Sie muss freiwillig erfolgen, d.h. der Betroffene muss in der Lage sein, eine echte Wahl zu treffen hinsichtlich des Ob, Wieviel und Wem er die Nutzung seiner Daten gestattet. Keine Einwilligung liegt insbesondere vor, wenn der Betroffene in eine Situation gebracht wird, in der er aus Zeitmangel oder anderen Gründen davon abgehalten wird, die zu erklärende Einwilligung ernsthaft zu bedenken oder mit einer Person seines Vertrauens zu besprechen. Eine solche Überrumpelungslage wird in der Regel gezielt herbeigeführt (z.B. das Versprechen übermäßiger Anreize etwa bei der Teilnahme an Gewinnspielen gegen die Preisgabe von Daten) oder ausgenutzt (z.B. wenn der Betroffene “eigentlich nur noch nach Hause will”).
An der Freiwilligkeit der Einwilligung fehlt es auch, wenn sie mit einer anderen Leistung gekoppelt wird, obwohl die Datennutzung für die Nutzung der Leistung nicht zwingend erforderlich ist. Wird so z.B. für einen Vertrag über eine Dienstleistung eine Einwilligung abverlangt, die für die Erfüllung des Vertrages nicht erforderlich ist, ist die Einwilligung im Zweifel nicht freiwillig. Solche Kopplungsmodelle sind heutzutage häufig bei Online-Dienstleistungen anzutreffen, die ungeachtet des auch jetzt schon geltenden Verbots, ihr Geschäftsmodell auf dem Prinzip “Dienstleistung gegen Daten” aufgebaut haben und die Daten des Nutzers im Wege gezielter Werbeangebote oder der Weitergabe der Daten zu Geld machen. Die Einwilligung ist auch in solchen Fällen nur dann freiwillig, wenn dem Betroffenen eine echte Wahlmöglichkeit eröffnet wird.
Ferner ist die Freiwilligkeit der Einwilligung auch dann zu verneinen, wenn dem Betroffenen für den Fall der Verweigerung der Einwilligung Nachteile angekündigt werden. Dies gilt nur dann nicht, wenn der Nachteil logische Folge der Verweigerung ist. Wer z.B. eine Leistung in Anspruch nehmen möchte, wird die mit der Erfüllung der Leistung verbundenen Informationen, wie Kontakt- und Abrechnungsdaten, preisgeben müssen.
2. Bestimmtheit der Einwilligung
Die Einwilligung in die Verarbeitung personenbezogener Daten darf nicht pauschal erfolgen. Allgemeine Formulierungen oder Blanko-Einwilligungen genügen nicht den gesetzlichen Voraussetzungen des Art. 7 DSGVO. Die Einwilligung muss daher erkennen lassen, welche personenbezogenen Daten zu welchem Zweck von wem verarbeitet werden sollen. Hierbei gilt, dass der Zweck der Datennutzung umso genauer umschrieben werden muss, je weitreichender die Datennutzung ausfällt.
3. Information des Betroffenen
Der Betroffene muss vor Abgabe der Einwilligungserklärung über den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten im Einzelnen informiert werden. Dabei müssen alle weiteren für den konkreten Fall entscheidungsrelevanten Informationen enthalten sein und diese müssen darüber hinaus auch hinreichend bestimmt sein, der Zweck der Verarbeitung darf also nicht zu allgemein gehalten werden. Der Betroffene muss außerdem in der Lage sein, die Informationen leicht zu erkennen und auch als Einwilligung zu identifizieren. Folgende Fragen muss sich der Betroffene nach Lektüre der Einwilligungserklärung beantworten können:
- Wer (genau) soll die Daten nutzen dürfen?
- Welche Daten soll er nutzen dürfen?
- Zu welchem Zweck soll er diese Daten nutzen dürfen?
- Darf er diese Daten weitergeben und wenn ja, an wen genau?
- Wie lange darf diese Nutzung andauern?
4. Unmissverständlich abgegeben
Die Einwilligungserklärung muss ferner “unmissverständlich abgegeben” worden sein. Dies kann zum einen in der Form einer abgegebenen Erklärung geschehen, die sowohl schriftlich als auch mündlich erfolgen kann. Zum anderen kann eine “unmissverständlich” abgegebene Einwilligung aber auch in einer bestätigenden Handlung bestehen, mithin konkludent durch schlüssiges Handeln erteilt werden. Damit sind insbesondere die Fälle gemeint, in denen der Betroffene mit einem Mausklick “Ich bin einverstanden” seine Einwilligung erklärt. Zu beachten ist dabei, dass das Kästchen zum ankreuzen nicht vorangekreuzt sein darf, damit der Betroffene aktiv handeln muss.
5. Einwilligung Minderjähriger
Bei Geschäftsfähigkeit des Betroffenen stellt die Rechtmäßigkeit der Einwilligung kein Problem dar. Die DSGVO geht in Art. 8 DSGVO grundsätzlich auch davon aus, dass eine Einwilligung “im Kindesalter gegeben” werden kann. Aus diesem Grund sollen in diesen Fällen die der Einwilligung vorausgehenden Hinweise in einer klaren und einfachen Sprache erfolgen, sodass ein Kind sie verstehen kann. In der Praxis ist allerdings in den meisten Fällen festzustellen, dass gerade Klauseln im Internet oftmals unverständlich geschrieben sind und das Verständnis selbst bei volljährigen Personen schwer fallen dürfte.
Die im deutschen Recht an verschiedenen Stellen normierte Unterscheidung zwischen Kindern und Jugendlichen findet sich in der DSGVO nicht. Art. 8 Abs. 1 DSGVO sieht bei der Einwilligungsfähigkeit in Bezug auf Dienste der Informationsgesellschaft eine Regelgrenze von 16 Jahren vor. Dies hat zur Folge, dass insbesondere die Nutzung von Social-Media-Diensten wie Facebook nunmehr erst ab 16 Jahren rechtmäßig ist, zumindest soweit keine Zustimmung des gesetzlichen Vertreters vorliegt. Damit hat Facebook die Altersgrenze von 13 auf 16 Jahre hochzusetzen.
II. Widerspruchsrecht nach Art. 21 DSGVO
Nach Art. 21 DSGVO kann der Betroffene der Verarbeitung seiner personenbezogenen Daten widersprechen. Das Widerspruchsrecht nach Art. 21 DSGVO richtet sich gegen die Datenverarbeitung, die rechtmäßig erfolgt, ist unter Anderem also auch dann einschlägig, wenn der Betroffene vorher in die Datenverarbeitung eingewilligt hat.
Werden die Daten von vornherein rechtswidrig verarbeitet, steht dem Betroffenen das Recht auf Beschwerde bei einer Aufsichtsbehörde gemäß Art. 77 DSGVO zur Verfügung.
Das Widerspruchsrecht ist so ausgestaltet, dass sich der Betroffene selbst an die verantwortliche Stelle wenden und der Datenverarbeitung aktiv widersprechen muss. Damit der Betroffene von seinem ihm jederzeit zustehenden Widerspruchsrecht weiß, besteht für die verantwortliche Stelle nach Art. 21 Abs. 4 DSGVO die Pflicht, den Betroffenen auf das Widerspruchsrecht hinzuweisen.
Ausnahmsweise besteht das Widerspruchsrecht nicht, wenn ein zwingendes öffentliches Interesse an der Datenverarbeitung besteht, das die Interessen der betroffenen Person überwiegt oder wenn eine Rechtsvorschrift die verantwortliche Stelle zur Verarbeitung verpflichtet.
Widerspruchsrecht gegen Direktwerbung (Art. 21 Abs. 2, 3 DSGVO)
Besonders privilegiert ist das Widerspruchsrecht des Betroffenen gegen Direktwerbung. Zwar stuft die DSGVO die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung als einen denkbaren Unterfall einer dem berechtigten Interesse der verantwortlichen Stelle im Sinne des Art. 6 Abs. 1 dienenden Verarbeitung ein, dieses Interesse ist durch die Normierung des Art. 21 Abs. 2 DSGVO allerdings stets nur schwächer geschützt als die Persönlichkeitsrechte des Betroffenen.
Unter Direktwerbung ist die unmittelbare Ansprache eines Nachfragers, z.B. durch Prospekte, Kataloge, Warenproben, automatische Anrufsysteme, E-Mails oder SMS, durch einen Anbieter mit dem Ziel, den entgeltlichen Absatz von Waren oder die Erbringung von Dienstleistungen zu fördern, zu verstehen.
Widerspruchsberechtigt ist jeder, dessen personenbezogene Daten zu diesem Zweck verarbeitet werden. Dies muss nicht alleine durch die Zustellung einer Werbesendung geschehen, sodass bereits die Erhebung, also die Datenbeschaffung von Daten, um Nachrichtenadressaten auszufiltern, erfasst ist.
Der Widerspruch richtet sich nur gegen die Verarbetiung “für Zwecke der Direktwerbung”. Verarbeitungen, die zu anderen Zwecken erfolgen, sind nicht von einem solchen Widerspruch erfasst. Mit dem Widerspruch geht eine Löschungspflicht gegen die verantwortliche Stelle hinsichtlich der bereits verarbeiteten Daten einher.
Das Thema der nächsten Woche sind die Betroffenenrechte nach der DSGVO.
12. Juni 2017
Am 28.05.2018 tritt die EU-Datenschutzgrundverordnung (kurz DSGVO) offiziell in Kraft. Mit dem Inkrafttreten müssen alle Vorschriften und Maßnahmen, die die DSGVO vorschreibt, vor allem von Unternehmen eingehalten werden, um nicht Gefahr zu laufen, gegen die Verordnung zu verstoßen und hohe Bußgelder zahlen zu müssen.
Der Umstieg von den nationalen Regelungen auf die Vorschriften der DSGVO bedeutet für die Unternehmen einen erheblichen Mehraufwand, der nicht unterschätzt werden sollte. Wie eine Umfrage von TrustArc nun jedoch ergab, haben 61 Prozent der befragten Unternehmen noch nicht mit den Umsetzungsmaßnahmen, die für die DSGVO erforderlich sind, begonnen.
TrustArc hatte insgesamt 204 Beschäftigte von Unternehmen aus unterschiedlichen Branchen befragt, die die Vorschriften der DSGVO einhalten müssen. Die Unternehmen wurden in drei Kategorien, entsprechend der Anzahl ihrer Beschäftigten, unterteilt: 500-1000 Beschäftige, 1000-5000 Beschäftigte und mehr als 5000 Beschäftigte.
23 Prozent der Befragten gaben an, dass sie mit den notwendigen Umsetzungen begonnen haben, 11 Prozent, dass die Umsetzungen momentan vorangetrieben werden, während 4 Prozent sogar angaben, bereits alles Notwendige für die DSGVO getan zu haben.
Die Umfrageergebnisse geben zudem Aufschluss über die Kosten, die von den Unternehmen für die Maßnahmen einkalkuliert werden. 42 Prozent der Befragten gaben an, dass sie mit Kosten zwischen 100.000 und 500.000 $ rechnen, während 23 Prozent mit Kosten zwischen 500.000 und 1.000.000 $ und 17 Prozent mit Kosten über 1.000.000 $ rechnen.
9. Juni 2017
Mit dem Entwurf des Datenschutz-Anpassungsgesetzes 2018 zur Datenschutz-Grundverordnung (DSGVO) wird das veraltete Melde- und Genehmigungssystem der österreichischen Datenschutzbehörden durch ein Selbstvewertungssystem abgelöst. Aus Unternehmensperspektive wird der Fokus fortan vermehrt auf datenschutzrechtlichen Compliancefragen liegen. Die Datenschutzbehörde wird dabei die Kontroll- und Sanktionsfunktion zur Einhaltung der datenschutzrechtlichen Vorgaben wahrnehmen. Besonders auffallend ist bei dem österreichischen Entwurf, im Vergleich zu anderen Unionsländern, dass ein nur zurückhaltender Gebrauch von den Öffnungsklauseln gemacht wird. Damit erfüllt der Entwurf zwar einerseits nur die Minimalvorgaben der DSGVO, andererseits ist er damit aus europäischer Perspektive durchaus zielführend, da er zu einem einheitlichen Datenschutzrecht beiträgt.
Vor dem Hintergrund der Nutzung der eingeräumten Öffnungsklauseln war insbesondere bisher unklar, inwieweit Österreich diese Gestaltungsspielräume im Hinblick auf eine Pflicht der Unternehmen zur Bestellung eines Datenschutzbeauftragten wahrnehmen wird. Mit der Vorlage des Entwurfes wird nun deutlich, dass sich daraus keine weiter reichenden Verpflichtungen zur Bestellung eines externen Datenschutzbeauftragten, als durch die DSGVO nach Maßgabe des Art. 37 Abs. 5 und 7 DSGVO ohnehin vorgegeben, ergeben. Grund dafür ist wohl auch, dass die Wirtschaftskammer sich bisher vehement dagegen ausgesprochen hatte, dass weitere Belastungen für Unternehmen geschaffen werden. Dies bedeuted jedoch nicht, dass die Unternhemen, die nach der DSGVO nicht verpflichtet sind einen Datenschutzbeauftragten zu bestellen, zukünftg nicht auch trotzdem die datenschutzrechtlichen Vorgaben einhalten müssen. Vielmehr tragen dabei die Verantwortlichen das Risiko, dass Verstöße gegen die DSGVO zu horrenden Bußgeldern führen können. Aus diesem Grund ist den Unternehmen durchaus zu raten, sich bei der unternehmensinternen Implementierung, bzw. bei der Anpassung der bestehenden datenschutzrechtlichen Standards an die DSGVO, von fachkundigen Datenschutzbeauftragten unterstützen zu lassen. Nennenswert ist in diesem Zusammenhang auch die für die Datenschutzbeauftragten geltende Verschwiegenheitspflicht und das Aussageverweigerungsrecht nach § 5 des Entwurfes. Danach ist der Datenschutzbeauftragte, wenn er nicht bereits an berufliche Geheimhaltungsregelungen gebunden ist, bei der Erfüllung seiner Aufgaben stets an Geheimhaltung und Vertraulichkeit gebunden. Soweit ihn die betroffene Person nicht davon befreit, ist er damit auch zur Verschwiegenheit über die Identität der betroffenen Person und über Umstände, die Rückschlüsse auf diese zulassen, verpflichtet.
In § 19 des Entwurfes wird klargestellt, dass die Datenschutzbehörde Geldbußen von bis zu 20 Millionen Euro oder 4% des weltweiten Konzernumsatzes verhängen kann. Danach können erstens Geldbußen gegen das Unternehmen selbst, als juristische Person verhängt werden, wenn eine Person, die eine Führungsposition innerhalb des Unternehmens innehat, gegen Datenschutzrecht verstößt. Zweitens können Geldbußen gegen das Unternehmen wegen Überwachungs-und Kontrollversagen verhängt werden, d.h., wenn eine Führungskraft ihren Aufsichtspflichten nicht nachgekommen ist und dadurch ein Verstoß durch eine für das Unternehmen tätige Person ermöglicht wurde. Dies ist zum Beispiel dann der Fall, wenn ein Mitarbeiter eines Unternehmens Datenschutzrecht aufgrund der fehlenden Implementierung eines Datenschutz-Kontroll- oder -Managementsystems, verletzt. Drittens kann nach § 19 des Entwurfes auch ein für den Datenschutzbereich Verantwortlicher persönlich bestraft werden. Da die DSGVO jedoch nur das Unternehmen bestrafen will, ist diese Regelung nicht datenschutzrechtskonform ausgestaltet. Die Konformität mit der DSGVO versucht der Entwurf jedoch wieder herzustellen, indem er vorsieht, dass die Datenschutzbehörde in dem Fall von einer Bestrafung der natürlichen Person absehen kann, wenn gegen das Unternehmen bereits eine Strafe verhängt wird und keine besonderen Umstände vorliegen, die einem Absehen von der Bestrafung entgegenstehen. Letzteres ist dann der Fall, wenn dem Beauftragten kein persönlicher Vorwurf gemacht werden kann.
Der für den Datenschutzbereich Verantwortliche ist jedoch nicht mit dem Datenschutzbeauftragten gleichzusetzen. Letzterer wird nach dem Entwurf nicht durch die Auferlegung von Geldbußen zur Verantwortung gezogen, wenn das Unternehmen gegen Datenschutzrecht verstößt.
Nach § 76 des Entwurfes wird die datenschutzbehördliche Meldepflicht von (automatisierten) Systemen durch die Pflicht zur Führung eines internen Verfahrensverzeichnisses ersetzt. Die Konsequenz daraus ist, dass das von der Datenschutzbehörde geführte Datenverarbeitungsregister (DVR) abgeschafft wird. Im DVR anhängige Registrierungsverfahren sind damit, ab dem 25.5.2018, als eingestellt zu betrachten. Nach dem Entwurf ist das datenschutzbehördliche DVR jedoch bis zum 31.12.2019 zu Archivzwecken fortzuführen. Die bis dahin mögliche Abrufbarkeit der Informationen im DVR, als auch die Tatsache, dass die in dem Verfahrensverzeichnis anzugebenden Informationen nahezu identisch mit den Informationen für die DVR-Meldungen sind, veranlassen jedoch dazu, dazu zu raten, dass Meldungen in das DVR weiterhin vorgenommen werden sollten. Vor diesem Hintergrund ist insbesondere darauf hinzuweisen, dass die Meldepflicht im DVR bis zum 24.5.2018 weiterhin besteht und daher jede nicht vorgenommene Meldung eines Systems bis zum 24.5.2017 eine Strafe in Höhe von 10.000 Euro nach sich ziehen kann.
Zusammenfassend wird der Stellenwert, den Österreich dem Datenschutz beimisst, bereits durch § 1 Abs. 1, dem österreichischen Grundrecht auf Datenschutz, als die den Entwurf anführende Regelung, deutlich hervorgehoben. Darüber hinaus wird dieser Stellenwert nun auch an anderen Stellen des weitestgehend DSGVO-konformen österreichischen Datenschutz-Anpassungsgesetz 2018, darunter u.a. mit den damit einhergehenden drakonischen Bußgeldern nochmals hervorgehoben und gesichert. Aus europäischer Perspektive erscheint dies, insbesondere auch aufgrund der minimalen Nutzung der DSGVO-Öffnungsklauseln, die zu einem unionseinheitlichen Datenschutzrecht beiträgt, begrüßenswert.
2. Juni 2017
Schon heute sammelt ein modernes Fahrzeug mehrere Gigabyte an Daten. Da die technische Entwicklung von autonom fahrenden Autos gerade erst am Anfang steht ist davon auszugehen, dass in Zukunft noch mehr Daten erhoben werden und der Datenschutz im Bereich des vernetzten Fahrens immer wichtiger werden wird. Auf Einladung der Bundesdatenschutzbeauftragten Andrea Voßhoff fand deswegen am 1. Juni ein Symposium zum Datenschutz in automatisierten Fahrzeugen statt.
Zu Beginn des Symposiums wies Voßhoff noch einmal darauf hin, dass moderne Fahrzeuge mit Hilfe von Sensoren und anderen Technologien eine erhebliche Menge von Daten sammeln würden. Beispielhaft führte Sie an, dass Kilometerstände, Reifendruck, verschiedene Füllstände oder der Gurtschlussstatus gemessen würden. Darüber hinaus würden aber auch Daten über den Fahrstil und Positionsdaten erhoben. Insbesondere durch die Verknüpfung dieser Vielzahl von Daten würden sich detaillierte Persönlichkeitsprofile der Fahrerinnen und Fahrer erstellen lassen. Gerade deswegen forderte Voßhoff, dass die Fahrerinnen und Fahrer jederzeit die volle Hoheit über die Verwendung von personalisierbaren Fahrzeugdaten haben müssten. In diesem Kontext seien datenschutzgerechte Technologien und Voreinstellungen notwendig.
Um den Datenschutz im Bereich von automatisierten Fahrzeugen zu wahren, hat die Bundesdatenschutzbeauftragte eine Liste mit 13 Empfehlungen zum automatisierten und vernetzten Fahren veröffentlicht. Aus Transparenzgründen müsse es für die Fahrerin oder den Fahrer klar erkennbar sein, welche Daten auf Basis einer gesetzlichen Regelung auch ohne ausdrückliche Einwilligung verarbeitet werden dürfen. Insbesondere im Hinblick auf das Einwilligungserfordernis stellte Voßhoff auch klar, dass eine etwa beim Kauf abgegebene pauschale Einwilligung für beliebige Verwendungszwecke nicht genüge. In der Empfehlungsliste wird unter anderem dargestellt, dass für den reinen Fahrbetrieb in der Regel keine Datenspeicherung erforderlich sei. Falls Fahrzeuge Daten untereinander austauschen müssten, müsse dieser Austausch wirksam verschlüsselt und vor einer unbefugten Nutzung oder Aufzeichnung geschützt werden. Nach dem Grundsatz „Pricavy by default“ müsse es dem Fahrzeugnutzer auch möglich sein, sein Fahrzeug so einzustellen, dass dieses möglichst wenig über sein Fahrverhalten preisgebe. Des Weiteren müsse es für die Fahrzeugnutzer unkompliziert möglich sein personenbezogene Daten zu löschen, falls eine Speicherung dieser Daten nicht gesetzlich notwendig sei.
Vor dem Hintergrund der 2018 in Kraft tretenden Datenschutzgrundverordnung ist zudem ein Beitrag des Vorsitzenden der Gesellschaft für Datenschutz und Datensicherheit, Rolf Schwartmann, zu beachten. Im Zuge des Symposiums gab dieser an, dass rund um die Privatsphäre im vernetzten Auto eine Folgenabschätzung gem. Art. 35 DSGVO generell durchzuführen sei.
30. Mai 2017
In Ergänzung zur EU-Datenschutzgrundverordnung (DSGVO), wird 2018 die ePrivacy-Verordnung in Kraft treten. Dabei sollen nach dem mit der DSGVO eingeführten Privacy-by-Design-Grundsatz, die Cookie-Banner nach der EU-Kommission zukünftig nicht mehr auf jeder Website, sondern in den Browsern auftauchen. Privacy-by-Design soll die Berücksichtigung des Daten- bzw. des Persönlichkeitsrechtsschutzes bereits in der Phase der Technikentwicklung sicherstellen. Browser-Hersteller müssen demnach alle technischen Voreinstellungen Privatsphäre-freundlich ausgestalten. Damit erfolgt die Einwilligungserklärung der Nutzer zur Datenerhebung zukünftig zentral.
Deutschlands führende Verlage äußerten sich in einem offenen Brief an das EU Parlament kritisch gegenüber dieser neuen Regelung, denn sie befürchten damit keinen Zugriff mehr auf die für ihr Geschäft notwendigen Nutzerdaten zu haben. Zudem, so argumentieren u.a. die Zeit, die Süddeutsche und die F.A.Z., würden die neuen Regelungen die browsermarktführenden US-Internetkonzerne wie Google, Apple oder Microsoft weiterhin begünstigen. Diese bekämen noch mehr Einfluss auf den Nachrichtenkonsum der Verbraucher und auf das ob und wie der Zugriffsfreigabe von Verbraucherdaten gegenüber den Verlagen. Damit besteht zudem die Gefahr, dass der Nutzer die Kontrolle über seine Daten zunehmend verliert womit ein Verstoß gegen das datenschutzrechtliche Transparenzgebot vorliegt.
Darüber hinaus kann der Regelungsentwurf zu Lasten des digitalen Nachrichtengeschäftes dazu führen, dass kaum noch Nutzer dem Datentransfer zustimmen. Soweit die Verlage nicht mehr auf sogenannte Third-Party-Cookies zugreifen können, kann außerdem die Möglichkeit der Verlage, den Nutzern relevante Inhalte und Werbung anzuzeigen, und damit das Werbefinanzierungsmodell von Nachrichten, behindert werden.
Auch aus Datenschutzkreisen wird der neue Regelungsentwurf kritisiert. So monierten die Datenschützer der Artikel-29-Gruppe, dass mit dem neuen Regelungsentwurf der Einwilligungserklärung der Nutzer nach vorheriger Belehrung entgegen gewirkt werde. Die Datenschützer setzten sich dafür ein, unterschiedliche Tracking-Ziele gesondert freischalten zu lassen. Demnach würden z.B. die für Werbung genutzten Daten, von solchen Daten, die der Navigationsverbesserung auf Websites dienen, getrennt werden.
6. April 2017
Vor der Geltung der Datenschutz-Grundverordnung (DS-GVO) im Mai kommenden Jahres steigt bei den datenschutzrechtlichen Aufsichtsbehörden des Bundes und der Länder der Bedarf an qualifiziertem Personal, denn Zuständigkeits- und Verantwortungsbereiche werden stark anwachsen.
Nach einer aktuellen Umfrage des Handelsblatts zeigt sich, dass insbesondere bei den Ländern nicht rechtzeitig genügend Personal zur Verfügung stehen wird, um die z. T. komplexen Neuerungen umzusetzen. Die Hälfte der betroffenen Behörden führt derzeit noch Verhandlungen über Haushaltserhöhungen, in einigen Bundesländern steht bereits fest, dass es dieses Jahr nicht mehr zu Neueinstellungen kommen kann (so in Berlin, Bremen, Hamburg, Saarland, Sachsen und Thüringen).
Nach dem Hamburger Datenschutzbeauftragten Johannes Caspars sei mithin zu befürchten, dass “die Kluft zwischen den rechtlichen Erwartungen, die der Gesetzgeber mit der neuen Regelung verfolgt, und der defizitären Ausstattungssituation noch viel größer wird, als sie bereits unter der gegenwärtigen Rechtslage ist“.
Etwas besser sieht die Personalsituation beim Bund aus. Nach Informationen der Bundesdatenschutzbeauftragten Andrea Voßhoff sind für ihre Behörde bereits 32 neue Stellen für die DS-GVO vorgesehen.
20. Dezember 2016
In ihrer letzten Sitzung in diesem Jahr hat die Artikel-29-Datenschutzgruppe in der vergangenen Woche drei Leitlinien und FAQs zu wichtigen Neuerungen der Datenschutz-Grundverordnung veröffentlicht.
Es handelt sich dabei um
Sie geben einen hilfreichen Überblick über die Neuregelungen für die Praxis und ermöglichen einen Eindruck, wie die europäischen Datenschutzbehörden verschiedene Bestimmung der Datenschutz-Grundverordnung interpretieren.
Die Artikel-29-Datenschutzgruppe wird in Zukunft weitere Leitlinien zu verschiedenen Themen der Datenschutz-Grundverordnung veröffentlichen, so im kommenden Januar zu den Themen Datenschutzfolgeabschätzung und Zertifizierung.
