Schlagwort: Europäischer Datenschutzausschuss

EDSA zur Verarbeitung personenbezogener Daten durch Videogeräte

2. September 2019

Der europäische Datenschutzausschuss (EDSA) hat kürzlich Leitlinien „zur Verarbeitung personenbezogener Daten durch Videogeräte“ veröffentlicht. Hintergrund ist der zunehmende Einsatz von Videogeräten in den verschiedensten Lebensbereichen. Die Menge der mit Videogeräten erhobenen Daten sowie der Einsatz intelligenter Technologien schränkt die Möglichkeit die eigene Privatsphäre zu bewahren erheblich ein. Die Leitlinien des EDSA enthalten dabei folgende Kernpunkte.

Die Verwendung von Videogeräten kann die Anwendung der DSGVO nur dann auslösen, wenn personenbezogene Daten über das Videogerät erfasst werden. Das ist der Fall, wenn eine Person direkt oder indirekt identifiziert wird. Die Verarbeitung wird nicht von den zuständigen EU-Behörden zum Zwecke der Verhütung, Aufdeckung oder Verfolgung von Straftaten oder der Vollstreckung von strafrechtlichen Sanktionen durchgeführt. Andernfalls fällt die Verarbeitung in den Anwendungsbereich der EU-Richtlinie zur Strafverfolgung. Als Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch Videogeräte kommt überwiegend der Erlaubnistatbestand des Art. 6 Abs. 1 lit. f DSGVO in Betracht.

Werden spezielle Datenkategorien (z.B. biometrische Daten) verarbeitet, birgt dies erhöhte Risiken für den Einzelnen. Daher wird eine erhöhte und kontinuierliche Wachsamkeit bei bestimmten Verpflichtungen wie z.B. eine Datenschutzfolgenabschätzung gefordert.

Zur Sicherstellung von Transparenz für die Betroffenen sieht der EDSA ein mehrstufiges Informationssystem („Mehrebenen-Ansatz“) vor. Auf der ersten Informationsebene steht die Verwendung eines Hinweisschildes mit den wichtigsten Angaben. Auf zweiter Informationsebene (idealerweise digital) sollten alle weiteren nach Art. 13 DSGVO erforderlichen Informationen enthalten sein. Einen weiteren wichtigen Punkt stellen die Aufbewahrungsfristen dar. Dabei gilt, dass bei längerer Speicherung der Daten (mehr als 72 Stunden), der Verantwortliche die Erforderlichkeit der Speicherung besonders darlegen muss.

Bei den Leitlinien handelt es sich nicht um unmittelbar bindende Bestimmungen. Allerdings können sie bei der Auslegung innerhalb der DSGVO herangezogen werden.

Leitlinien zur Interpretation des Art. 6 Abs. 1 lit. b DSGVO

10. April 2019

Der Europäische Datenschutzausschuss (EDSA) hat am 09. April „Leitlinien zur Verarbeitung personenbezogener Daten auf Grundlage des Artikels 6 Abs. 1 b DSGVO im Kontext von Online-Dienstleistungen“ beschlossen.

Bei dieser Rechtsgrundlage stellt sich das Problem, dass insbesondere im Internet viele Dienstleister dazu übergegangen sind, umfangreich Datenverarbeitungen in Verträge mit Nutzern aufzunehmen. Diese Datenverarbeitungen (z.B. zum Zwecke der personenbezogenen Onlinewerbung) stehen zwar nicht in Verbindung mit der Hauptleistung, sind aber von Art. 6 Abs. 1 lit. b DSGVO gedeckt, weil sie objektiv zur Erfüllung des Vertrages erforderlich sind.  In dem Informationspapier begrenzt die europäische Behörde die Möglichkeit, solche Verarbeitungen auf diese Rechtsgrundlage zu stützen. Zur Beurteilung der Erforderlichkeit solle nicht mehr nur auf den Vertragstext abgestellt werden. Vielmehr müssten auch die datenschutzrechtlichen Grundsätze aus Art. 5 DSGVO berücksichtigt werden.

Der Bundesbeauftragte für Datenschutz und Informationsfreiheit Ulrich Kleber zeigte sich zufrieden: „Die DSGVO stellt zu Recht strenge Voraussetzungen an die Zulässigkeit einer Einwilligung auf. Es kann nicht sein, dass Unternehmen, wie beispielsweise die Anbieter sozialer Netzwerke, dazu übergehen, dies zu umgehen, indem sie Datenverarbeitungen, die eigentlich nichts mit der Erbringung eines Online-Dienstes zu tun haben, in den Vertragstext mit aufnehmen. Die jetzt beschlossenen Leitlinien erschweren ein solches Vorgehen deutlich und stärken somit die datenschutzrechtliche Selbstbestimmung der Bürgerinnen und Bürger.

Brexit: Großbritannien als Drittland?

13. Februar 2019

Im Rahmen der siebten Tagung des Europäischen Datenschutzausschusses (EDSA) am 12. Februar 2019 wurden unter anderem die datenschutzrechtlichen Herausforderungen im Rahmen des Brexit diskutiert.

Im Fokus stand die Möglichkeit eines Austritts Großbritanniens ohne Abkommen mit der EU („No-Deal-Szenario“). Dies hätte zur Folge, dass Großbritannien im datenschutzrechtlichen Sinn ein Drittland darstellen würde (wir berichteten). Drittländer sind Staaten, die kein Mitglied der Europäischen Union und nicht Teil des Europäischen Wirtschaftsraumes (EWR) sind. An die Übermittlung personenbezogener Daten in Drittländer stellt die DSGVO besondere Anforderungen (Art. 44 bis 46 DSGVO). Der EDSA einigte sich auf ein Informationspapier, das Vorkehrungen für betroffene Unternehmen und Behörden erläutert um diese DSGVO-Anforderungen zu erfüllen. Laut Ankündigung wird das Informationspapier auf der Homepage des Ausschusses veröffentlicht.

Der Ausschuss ist ein unabhängiges Gremium, das zum Ziel hat eine einheitliche Anwendung Europäischer Datenschutzvorschriften zu fördern. Im Ausschuss sind alle nationalen Datenschutzaufsichtsbehörden des EWR und der Europäische Datenschutzbeauftragte vertreten.

Erstes Treffen der Europäischen Datenschutzbeauftragten in 2019

25. Januar 2019

In der ersten Sitzung des Europäischen Datenschutzausschusses (EDSA) im neuen Jahr wurden unter anderem folgende Punkte aufgegriffen: der EU-US Privacy Shield, Leitlinien zur Zertifizierung und die Verbesserung der Kommunikation mit Social-Media-Anbietern bei Datenschutzvorfällen. Vor allem die Überprüfung des EU-US Privacy Shield und der dazugehörige Berichtsbeschluss waren wichtige Tagesordnungspunkte der Sitzung. Trotz Überprüfung durch US-Behörden bestehen weiterhin gewichtige Kritikpunkte. Einer dieser Kritikpunkte ist das Fehlen einer dauerhaften Besetzung der Ombudsperson und die Offenlegung ihrer Befugnisse gegenüber den Sicherheitsbehörden.

Ein weiteres wichtiges Thema war die Verabschiedung der Guidelines on Certification. Diese Leitlinien sollen eine Unterstützung für die Ausgestaltung von Zertifizierungsprozessen nach der DSGVO sein. Zusammen mit den bereits vergangenen Jahres verabschiedeten Guidelines on Accreditation dienen beide Papiere als wichtige Orientierungshilfen.

Um bei Datenschutzvorfällen im Social-Media-Bereich schneller reagieren zu können hat man sich in der Sitzung das Ziel gesetzt gemeinsam technische und organisatorische Maßnahmen zu erörtern, um in Eilfällen eine unmittelbare Kontaktaufnahme mit den verantwortlichen Stellen zu ermöglichen. Dazu werden deutsche Aufsichtsbehörden ein Vorschlag erarbeiten.

Der Bundesdatenschutzbeauftragte Ulrich Kelber betonte nach seiner ersten Teilnahme am EDSA noch einmal die Wichtigkeit dieses Gremiums: „Daten kennen schon lange keine Grenzen mehr. Daher muss auch ihr Schutz grenzübergreifend sein.“