Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht |
Newsletter zum DatenschutzSehr geehrte Damen und Herren, das Thema Künstliche Intelligenz ist derzeit omnipräsent. Während es auf der einen Seite einen regelrechten Hype um die neuen technischen Möglichkeiten gibt, erfahren KI-Systeme auf der anderen Seite häufig Kritik. Aus datenschutzrechtlicher Sicht ist das Thema ebenfalls relevant, soweit bei der Nutzung der KI-Systeme auch personenbezogene Daten verarbeitet werden. Die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW, Bettina Gayk, sieht sowohl Chancen, als auch Risiken für die Gesellschaft. Gerade dort, wo Daten vieler Menschen gesammelt würden, um anschließend Rückschlüsse auf Einzelne zu ziehen, stoße KI an ethische und rechtliche Grenzen. Unternehmen, die KI-Anwendungen entwickeln, müssten die Grundrechte der Menschen achten und ein hohes Verantwortungsbewusstsein zeigen. Darüber hinaus werde ein gesetzliches Regelwerk benötigt. Konflikte gebe es vor allem dort, wo der datenschutzrechtliche Grundsatz der Datensparsamkeit auf den Datenhunger der KI-Systeme treffe. Der Bundesbeauftragte für den Datenschutz, Ulrich Kelber, warnte gegenüber den Medien ebenso vor KI-Missbrauch und KI-Fehlentwicklungen und betonte, dass es starke Verbraucherrechte wie Sammelklagen gegenüber KI-Betreibern brauche. Man müsse sich klarmachen, wo positive und negative Entwicklungen liegen können und sich bereits jetzt mit naheliegenden Problemen wie Haftung, Trainingsdaten und Diskriminierung auseinandersetzen. Mit der geplanten KI-Verordnung befinde man sich regulatorisch auf dem richtigen Weg. Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage. Dr. Sebastian Meyer und das Datenschutzteam von BRANDI Thema des Monats: Datenminimierung, Speicherbegrenzung und DatenlöschungIm Zusammenhang mit der Speicherung und Löschung von Daten wird häufig darauf verwiesen, dass gelöschte Daten die sichersten Daten seien. Der Ausspruch bezieht sich unter anderem auf die Grundsätze der Datenminimierung gemäß Art. 5 Abs. 1 lit. c) DSGVO und der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit. e) DSGVO, die wesentliche Prinzipien des Datenschutzrechts darstellen. Schon aus diesen Grundsätzen ergibt sich, dass die Datenverarbeitung auf das notwendige Maß zu beschränken ist und personenbezogene Daten nur so lange gespeichert werden dürfen, wie dies für die verfolgten Zwecke erforderlich ist. Sobald die Daten nicht länger benötigt werden, sind sie nach Art. 17 Abs. 1 DSGVO zu löschen. Darüber hinaus räumt die Vorschrift des Art. 17 Abs. 1 DSGVO Betroffenen ein eigenes Recht ein, die Löschung ihrer Daten von der verantwortlichen Stelle zu verlangen. Die bei der Speicherung personenbezogener Daten einzuhaltenden Grundsätze der Datenminimierung und Speicherbegrenzung sowie das Thema Datenlöschung werden im Folgenden sowohl aus theoretischer als auch aus praktischer Sicht näher betrachtet. Zum vollständigen SchwerpunktthemaOLG Brandenburg: Überprüfung des Code of Conduct der WirtschaftsauskunfteienDas OLG Brandenburg hat am 3. Juli 2023 entschieden, dass der Code of Conduct der Wirtschaftsauskunfteien (die verbindlichen Verhaltensregeln) datenschutzkonform ist (OLG Brandenburg, Urt. v. 03.07.2023 - Az. 1 U 8/22, BeckRS 2023, 16930). Insbesondere die hierin vorgesehene Speicherdauer von drei Jahren nach Erledigung sei nicht zu beanstanden. In dem der Entscheidung zugrundeliegenden Fall begehrte der Kläger die Löschung eines Eintrags zu seiner Person aus der Datenbank der Auskunftei. Die Beklagte lehnte die Löschung unter Berufung auf den für sie geltenden Code of Conduct ab. Der Kläger war hingegen der Auffassung, dass er einen Anspruch auf Löschung nach Art. 17 Abs. 1 lit. d) DSGVO habe und der Code of Conduct die Rechte der Beklagten nicht erweitern könne. Das OLG Brandenburg lehnte, wie auch bereits die Vorinstanz, einen Anspruch des Klägers auf Löschung der in Rede stehenden Eintragung nach Art. 17 Abs. 1 DSGVO ab. Die DSGVO knüpfe die Rechtmäßigkeit der weiteren Datenverarbeitung an das Kriterium der Notwendigkeit an. Mittels der verbindlichen Verhaltensregeln könnten Branchenverbände gemeinsam mit den zuständigen Datenschutzaufsichtsbehörden eine Konkretisierung vornehmen. Dies sei für die Beklagte durch den entsprechenden Code of Conduct „Verhaltensregeln für die Prüf- und Löschfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien vom 25. Mai 2018“ geschehen. Die Verhaltensregeln seien zudem von der zuständigen Datenschutzaufsichtsbehörde genehmigt worden. Für den in Rede stehenden Eintrag sei eine Speicherdauer von drei Jahren vorgesehen. Es handele sich bei der entsprechenden Regelung zwar nicht um eine eigene materielle Rechtsgrundlage, es seien jedoch auch keine Anhaltspunkte ersichtlich, die ein Abweichen von der Regelung erfordern würden. Die Drei-Jahres-Frist begegne auch im Übrigen keinen grundsätzlichen Bedenken. Die Regelung sei insbesondere auch mit Blick auf § 35 Abs. 2 S. 2 Nr. 4 BDSG a.F. angemessen. OLG Frankfurt: Nutzung von Drittanbieterdiensten auf WebseiteIn seiner Entscheidung vom 30. März 2023 hat das OLG Frankfurt entschieden, dass einem Betroffenen kein Unterlassungsanspruch nach Art. 17 DSGVO gegen einen Online-Shop zusteht, wenn dieser personenbezogene Daten des Betroffenen an Drittdienste wie den Google Tag Manager und Google Fonts, YouTube und Facebook übermittelt (OLG Frankfurt, Urt. v. 30.03.2023 - Az. 16 U 22/22). Ein Unterlassungsanspruch nach Art. 82 DSGVO sei nur dann gegeben, wenn der Betroffene einen Schaden erlitten habe und entweder die Verletzungshandlung oder der pflichtwidrig geschaffene Zustand noch andauere. Der Kläger forderte die Beklagte auf, es zu unterlassen, die Webseite unter Einbindung verschiedener Drittanbieterdienste ohne die hierfür erforderliche Einwilligung auszuliefern. Die Beklagte war demgegenüber der Auffassung, dass über den Cookie-Banner auch die Einwilligung zur Nutzung der Drittanbieterdienste eingeholt werde, mit deren Anbietern zudem Vereinbarungen zur Auftragsverarbeitung abgeschlossen seien. Das OLG Frankfurt führte aus, dass die DSGVO keinen Individualanspruch auf Unterlassung der Übermittlung von Daten an Dritte kenne. Aus Art. 17 und 82 DSGVO könnten sich allenfalls Ansprüche auf Löschung bzw. Schadensersatz ergeben. Aus der Pflicht zur Löschung könne sich zwar gleichzeitig die Verpflichtung ergeben, die Daten künftig auch nicht wieder zu speichern. Dieser aus dem Recht auf Löschung hergeleitete Unterlassungsanspruch beziehe sich jedoch nur auf die Speicherung von Daten als Gegenstück zur Löschung der Daten, nicht aber auf die Übermittlung von Daten an Dritte. Nach dem deutschen Verständnis der Schadensrestitution könne sich auch aus einem Schadensersatzanspruch ein Unterlassungsanspruch ergeben. Die Anforderungen des Art. 82 DSGVO seien aber schon nicht erfüllt, da der Kläger keinen konkreten Schaden habe. Auf Unterlassungsansprüche außerhalb der DSGVO könne ebenfalls nicht zurückgegriffen werden, da die Regelungen der DSGVO insoweit abschließend seien. Die Entscheidung ist noch nicht rechtskräftig. OLG Hamm zum Schadensersatz bei DatenschutzverstößenDas OLG Hamm hat zuletzt in einem Verfahren einem Betroffenen einen Schadensersatzanspruch in Höhe von 100 Euro wegen eines Datenschutzverstoßes zugesprochen (OLG Hamm, Urt. v. 20.01.2023 – Az. 11 U 88/22, RDV 2023, 257). Im konkreten Fall hatte der Betroffene eigentlich einen Schadensersatzanspruch in Höhe von mindestens 20.000 Euro eingeklagt, weil aus seiner Sicht eine erhebliche Persönlichkeitsrechtsverletzung vorgelegen hat. Im Kern haben die Parteien darüber gestritten, welche Risiken damit einhergehen, dass der Betreiber eines Impfzentrums infolge eines Versehens ungeschützt eine Tabelle mit Informationen zu 13.000 Personen an 1.200 Empfänger übermittelt hat. Die Tabelle enthielt dabei für die Terminvergabe im Impfzentrum Namen von entsprechenden Personen sowie deren Kontaktdaten einschließlich E-Mail-Adresse, Angaben zum Impftermin und zum vorgesehenen Impfstoff. In der Urteilsbegründung hat das OLG Hamm noch einmal bestätigt, dass es für die Geltendmachung eines Schadensersatzanspruches nicht auf eine Beeinträchtigung von einem bestimmten Gewicht ankommt. Wenn die Beeinträchtigung allerdings bei objektiver Betrachtung überschaubar ist und konkrete weitere Nachteile nicht befürchtet werden müssen, fällt der Schadensersatzanspruch auch entsprechend gering aus. Die Entscheidung ist deshalb interessant, weil im konkreten Fall immerhin auch Gesundheitsdaten betroffen waren und der Entscheidung zu entnehmen ist, dass im Nachgang zu der unbeabsichtigten Offenlegung auch zumindest Versuche für Phishing-Angriffe festgestellt werden mussten. Wenn aber trotz dieser Aspekte nur ein Schadensersatzanspruch in Höhe von 100 Euro festgesetzt wurde, dann dürfte dies im Umkehrschluss bedeuten, dass bei geringfügigen Datenschutzverstößen auch allenfalls ein minimaler Anspruch geltend gemacht werden kann. Dieser Ansatz ist vor allem deshalb zu begrüßen, weil er hoffentlich dafür sorgt, dass die Geltendmachung von Schadensersatzansprüchen nicht als Geschäftsmodell bzw. Druckmittel in missbräuchlicher Weise genutzt werden kann. LAG Stuttgart zur Privatnutzung dienstlicher KommunikationsmittelAm 27. Januar 2023 hat das LAG Stuttgart entschieden, dass strenge Anforderungen an die Auswertung von dienstlichen Kommunikationsmitteln wie E-Mail oder WhatsApp zu stellen sind, soweit der Arbeitgeber eine private Nutzung der Kommunikationsmittel erlaubt hat (LAG Stuttgart, Urt. v. 27.01.2023 - Az. 12 Sa 56/21). Der Entscheidung liegt ein Kündigungsprozess zugrunde, in dem es unter anderem auch um die Frage ging, inwieweit Inhalte dienstlicher Kommunikationsmittel im Rahmen eines Kündigungsprozesses herangezogen werden dürfen. Nachdem der Mitarbeiter von seinem Arbeitgeber fristlos gekündigt wurde, gab er auch sein iPhone zurück. Die hierauf gespeicherten WhatsApp-Nachrichten wertete das Unternehmen zumindest teilweise aus. Darüber hinaus trug es innerhalb des Prozesses verschiedene Nachrichten an Familie und Freunde zur Untermauerung der Kündigung vor. Das LAG hielt dies für einen Verstoß gegen das Datenschutzrecht, der ein Sachvortragsverwertungsverbot begründe. Das Gericht führte aus, dass im Rahmen der Auswertung eine verschärfte Verhältnismäßigkeitsprüfung durchzuführen sei, wenn seitens des Arbeitgebers eine Privatnutzung gestattet wurde. Eine verdachtsunabhängige Überprüfung eines dienstlichen E-Mail-Accounts durch den Arbeitgeber dürfe in der Regel nicht verdeckt erfolgen. Es müsse dem Arbeitnehmer gegenüber vielmehr erklärt werden, dass und aus welchem Grund eine Überprüfung stattfinden soll. Der Arbeitnehmer müsse Gelegenheit haben, private Nachrichten in einem separaten Ordner abzuspeichern, auf den sodann nicht zugegriffen wird. Fehle es an einer ausdrücklichen Regelung des Arbeitgebers hinsichtlich der Privatnutzung des E-Mail-Accounts, spreche aus Sicht des Gerichts vieles dafür, dass von der Zulässigkeit der Privatnutzung ausgegangen werden könne. Erhalte der Arbeitnehmer ein Smartphone unter der Maßgabe einer einvernehmlichen Mischnutzung, dürfe der Arbeitnehmer zudem davon ausgehen, dass sich die die Erlaubnis zur Privatnutzung auch auf andere Kommunikationsmittel als die E-Mail bezieht. Dem Mitarbeiter wurde seitens des LAG zudem ein Schadensersatz i. H. v. 3.000 Euro wegen der erlittenen Datenschutzverletzung zugesprochen. Art. 82 DSGVO setze dabei voraus, dass der Betroffene über die Verletzung der Norm hinaus einen Schaden erlitten habe. Bloßer Ärger oder Unwohlsein seien insoweit nicht ausreichend. Das Gericht hielt die Schwelle für das Vorliegen eines immateriellen Schadens gleichwohl für deutlich überschritten. Der Mitarbeiter habe sich nicht nur über den Verlust der Herrschaft über seine Daten geärgert. Vielmehr seien auch sehr persönliche Daten, konkret die Nachrichten an Familie und Freunde, ausgewertet und in den Gerichtsprozess eingebracht worden. LG Frankfurt: Anlasslose Datenübermittlung an SCHUFADas LG Frankfurt hat am 26. Mai 2023 entschieden, dass ein Stromanbieter Kundendaten nicht anlasslos an die SCHUFA übermitteln darf (LG Frankfurt, Urt. v. 26.05.2023 - Az. 24 O 156/21). AGB-Klauseln, die eine solche Übermittlung vorsehen, dürfen gegenüber Verbrauchern nicht mehr verwendet werden. Das LG Frankfurt stellte zunächst klar, dass ausschließlich die anlasslose Übermittlung von personenbezogenen Daten an die SCHUFA unzulässig sei. Demgegenüber sei eine Datenübermittlung, die sachlich etwa durch nicht vertragsgemäßes oder betrügerisches Verhalten begründet ist, zulässig. Eine anlasslose Übermittlung benachteilige die Kunden unangemessen und sei unverhältnismäßig mit Blick auf den Schutzzweck von Art. 6 Abs. 1 DSGVO. Aus Art. 6 Abs. 1 DSGVO ergebe sich die grundsätzliche Rechtfertigungsbedürftigkeit einer jeden Datenverarbeitung. Nach der kundenfeindlichsten Auslegung der in Rede stehenden Klausel dürften aber nicht bonitätsrelevante Kundendaten in nicht zu rechtfertigender Weise isoliert, jederzeit und ohne eine sachliche Rechtfertigung an Auskunfteien übermittelt werden. Die Klausel sei dementsprechend in Bezug auf die durch das Gericht kritisierten Teile unwirksam und dürfe nicht mehr verwendet werden. Das Urteil ist bislang noch nicht rechtskräftig. In ähnlicher Weise hatten die Gerichte aber zuvor schon bei der Überprüfung vergleichbarer Klauseln großer Telekommunikationsunternehmen entschieden. BRANDI unterstützt dabei die Verbraucherzentrale NRW bei der Durchsetzung entsprechender Ansprüche im gerichtlichen Verfahren. BVerwG Österreich: Filmaufnahmen von lärmenden Kindern nicht zulässigDas österreichische Bundesverwaltungsgericht (öBVerwG) hat am 25. Mai 2023 entschieden, dass es nicht zulässig ist, Filmaufnahmen von lärmenden Kindern anzufertigen, um gegenüber der Hausverwaltung Verstöße gegen die Hausordnung nachzuweisen (öBVerwG, Urt. v. 25.05.2023 - Az. W211 2267125-1). Das öBVerwG führte aus, dass Bildaufnahmen, die die Identifizierung einer Person - wenn auch erst nachträglich - ermöglichen, als personenbezogene Daten einzuordnen seien. Weiter diskutierte es, ob die in Rede stehende Datenverarbeitung auf Art. 6 Abs. 1 S. 1 lit. f) DSGVO gestützt werden kann. Die Beschwerdeführerin habe zwar ein berechtigtes Interesse, die Lärmbelästigung auf einem erträglichen Niveau zu halten. Minderjährige bedürften jedoch eines besonderen datenschutzrechtlichen Schutzes. Es seien zudem mildere Mittel wie ein persönliches Gespräch, Unterschriftenlisten oder ggf. Tonaufnahmen denkbar gewesen, um die Lärmbelästigung nachzuweisen. Da die erforderliche Interessenabwägung insoweit zugunsten der aufgezeichneten Kinder ausfalle, könne die Datenverarbeitung nicht auf Art. 6 Abs. 1 S. 1 lit. f) DSGVO gestützt werden, sodass sie dementsprechend rechtswidrig sei. Darüber hinaus sei die Beschwerdeführerin den Informationspflichten nach Art. 13 DSGVO nicht nachgekommen. Pflicht zur Verschlüsselung von E-MailsDie Aufsichtsbehörde in Bremen vertritt gegenüber der Anwaltschaft die Auffassung, diese müsse zukünftig grundsätzlich im Rahmen der Kommunikation eine Ende-zu-Ende-Verschlüsselung anbieten. Die technisch einfacher umzusetzende Transportverschlüsselung soll danach nicht mehr ausreichend sein und würde allenfalls bis zum Jahresende geduldet. Zuvor war die Aufsichtsbehörde in Bremen bereits mit ihrer Auffassung aufgefallen, wonach auch eine Übermittlung von Informationen per Telefax zu unsicher ist und nicht mehr erfolgen dürfe. Im Datenschutzrecht ist zunächst nur vorgesehen, dass jede verantwortliche Stelle – also auch Rechtsanwälte – angemessene Schutzmaßnahmen gem. Art. 32 DSGVO treffen müssen, die auch von der jeweiligen Risikobewertung abhängen. Es verbietet sich also eine pauschale Vorgabe für die Verschlüsselung von E-Mails, weil insoweit kein ausreichender Raum für abweichende Bewertungen verbleibt. Die berufsrechtlichen Vorschriften sehen in § 2 BORA ebenfalls verschiedene Prüfschritte vor, unter anderem auch die Möglichkeit zur Einwilligung des Mandanten. Die entsprechende Auffassung dürfte daher überzogen sein und wird in der Rechtsanwaltschaft zu Recht heftig kritisiert (vgl. etwa die Berichterstattung bei beck-aktuell). Generell ist es aber empfehlenswert, regelmäßig zu überprüfen, inwieweit die genutzten Kommunikationsmittel für den jeweils vorgesehenen Zweck angemessen sind. Datenschutzbehörde Österreich: Rechtsmissbrauch beim AuskunftsanspruchDie österreichische Datenschutzaufsichtsbehörde hat am 21. Februar 2023 entschieden, dass von rechtsmissbräuchlichem Handeln auszugehen ist, wenn der Anspruchsteller im Rahmen der Geltendmachung eines datenschutzrechtlichen Auskunftsanspruchs gegenüber der verantwortlichen Stelle erklärt, dass er gegen Zahlung eines Schadensersatzes i. H. v. 2.900 Euro auf eine Beschwerde bei der Datenschutzbehörde sowie eine Klage beim zuständigen Gericht verzichtet (Datenschutzbehörde Österreich, Bescheid v. 21.02.2023 - Az. 2023-0.137.735). In dem der Entscheidung zugrundeliegenden Fall behauptete der Beschwerdeführer von den Beschwerdegegnern in seinem Recht auf Geheimhaltung, in seinem Recht auf Information sowie in seinem Recht auf Auskunft verletzt worden zu sein. Begründend führte er an, dass sein Auskunftsbegehren von den Beschwerdegegnern nicht ordnungsgemäß beantwortet worden sei. Außerdem sei auf der Webseite der Beschwerdegegnerin ein Tool verwendet worden, auf das innerhalb der Datenschutzerklärung nicht hingewiesen worden sei. Die Beschwerdegegner erklärten daraufhin, dass sie das Auskunftsbegehren fristgerecht und ausreichend beantwortet hätten und wiesen auf den Umstand hin, dass der Beschwerdeführer mitgeteilt habe, dass ihm die unvollständige Beantwortung seiner Anfrage Unwohlsein bereitet habe und er von dem Umgang der Beschwerdegegner mit dem Thema Datenschutz genervt sei, er gegen eine Zahlung i. H. v. 2.900 Euro aber bereit sei, von einer Beschwerde gegenüber der Aufsichtsbehörde abzusehen. Die Behörde äußerte sich dahingehend, dass die Aufsichtsbehörde sich nach Art. 57 Abs. 4 DSGVO bei offenkundig unbegründeten Anfragen weigern könne, aufgrund der Anfrage tätig zu werden. Da der Beschwerdeführer angeboten habe, gegen Geldzahlung von der Beschwerdeerhebung abzusehen, könne von keinem tatsächlichen Rechtsschutzbedürfnis des Beschwerdeführers ausgegangen werden. Die Beschwerdeerhebung sei damit als unredlich und die Inanspruchnahme der Aufsichtsbehörde als rechtsmissbräuchlich zu qualifizieren. Die Datenschutzbehörde Österreich entschied deshalb, den Antrag wegen offensichtlicher Unbegründetheit abzulehnen. Prof. Ulrich Kelber wird Vertreter im Europäischen DateninnovationsratDer Europäische Datenschutzausschuss (EDSA) hat den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) als dessen Vertreter für den Europäischen Dateninnovationsrat (EDIB) benannt (Meldung v. 11.07.2023). Der EDIB ist eine Expertengruppe, die die Europäische Kommission bei der Überwachung der Einhaltung und Durchsetzung des Data Governance Act und künftig auch des Data Act beraten und unterstützen soll. Der BfDI wird damit unmittelbar an der Auslegung und Umsetzung der beiden Rechtsakte mitwirken können. DSK: Stellungnahme zum Entwurf der EinwilligungsverwaltungsverordnungDie Datenschutzkonferenz (DSK), der Zusammenschluss der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat am 11. Juli 2023 zum Referentenentwurf des BMDV zur Rechtsverordnung nach § 26 Abs. 2 TTDSG Stellung genommen (wir berichteten bereits im Juli 2023). Die DSK erklärt in ihrer Stellungnahme zunächst, dass Dienste zur Einwilligungsverwaltung grundsätzlich ein sinnvolles Mittel sein könnten, um der Einwilligungsmüdigkeit von Internetnutzern zu begegnen. Dazu müssten entsprechende Dienste die Einwilligungsprozesse besuchter Webseiten in dem Sinne vereinfachen, dass es dem Nutzer möglich gemacht werde, einmalig seine Präferenzen festzuhalten. Dies könne einen positiven Effekt in Bezug auf die Ausübung des Rechts auf informationelle Selbstbestimmung haben. Gleichzeitig macht die DSK aber deutlich, dass das Ziel, künftig auf einzelne Cookie-Banner verzichten zu können, durch den Verordnungsentwurf nicht erreicht werden könne. Selbst wenn sich Einwilligungsdienste etablieren würden, sei es künftig nicht möglich, auf einzelne Cookie-Banner zu verzichten. Mittels dieser würden schließlich Einwilligungen nach § 25 Abs. 1 TTDSG, Art. 6 Abs. 1 S. 1 lit. a) DSGVO und Art. 49 Abs. 1 lit. a) DSGVO abgefragt. Die Einwilligungsverwaltungsverordnung könne sich unter Berücksichtigung der fehlenden Regelungskompetenz der Mitgliedstaaten in Bezug auf Einwilligungen nach der DSGVO aber ausschließlich auf Einwilligungen nach dem TTDSG beziehen und dementsprechend lediglich Regelungen für einen Teilbereich vorsehen. Die DSK kritisiert außerdem, dass die konkrete Funktionsweise von Diensten zur Einwilligungsverwaltung innerhalb des Verordnungsentwurfs nicht beschrieben werde, sondern sich nur sehr unbestimmt aus verschiedenen Regelungen sowie den zugehörigen Begründungen ableiten lasse. Die technische und organisatorische Ausgestaltung der Dienste werde ebenfalls weitgehend offengelassen. Zudem werde das Risiko, das mit zentralisierten Lösungen einhergeht, nicht ausreichend berücksichtigt. Es fehle insoweit insbesondere an Schutzmechanismen, um die Einhaltung des Grundsatzes der Datenminimierung sicherzustellen. Es bleibt ohnehin abzuwarten, inwieweit sich entsprechende Systeme in Zukunft durchsetzen werden, wenn diese sich allein auf eine nationale Sonderregelung beziehen. EDSA: Überprüfung des Angemessenheitsbeschlusses für JapanAm 18. Juli 2023 hat der Europäische Datenschutzausschuss (EDSA) seine Stellungnahme zur ersten Überprüfung des Angemessenheitsbeschlusses für Japan veröffentlicht (Stellungnahme v. 18.07.2023). Die Europäische Kommission hat im Jahr 2019 einen Angemessenheitsbeschluss für Japan angenommen. Unter Berücksichtigung von Art. 45 Abs. 3 S. 2 DSGVO und des Umstands, dass das von der japanischen Rechtsordnung gewährte und als angemessen bewertete Schutzniveau sich ändern kann, hat sie eine Überprüfung des Beschlusses innerhalb von zwei Jahren vorgesehen. An der Ende 2021 erfolgten Überprüfung war auch der EDSA beteiligt. Der EDSA führte nunmehr aus, dass es mit Blick auf den Zugang und die Verwendung von personenbezogenen Daten durch japanische Behörden keine wesentlichen Änderungen gegeben habe. Im Übrigen begrüßte der Ausschuss mehrere jüngere Änderungen in den japanischen Datenschutzvorschriften, die zu einer Annäherung an die DSGVO geführt hätten. Dabei hob er die Überarbeitung der Definition des Begriffs „personenbezogene Daten im Besitz des Unternehmens“, die Erweiterung des Widerspruchsrechts, die Einführung einer Verpflichtung zur Meldung von Datenschutzvorfällen sowie die erhöhten Anforderungen an Einwilligungen in Bezug auf die Weiterübermittlung in Drittstaaten hervor. Der Ausschuss nahm darüber hinaus die Einführung des Konzepts der „pseudonymisierten personenbezogenen Daten“ und den Umstand, dass Unternehmen, die pseudonymisierte Daten verarbeiten, von bestimmten Pflichten, wie Meldepflichten und den Bestimmungen über die Rechte der Betroffenen, befreit sind, zur Kenntnis. Die Umsetzung sowie die weiteren Entwicklungen müssten im Blick behalten werden. Der EDSA begrüßte außerdem die Überlegungen hinsichtlich einer künftigen Zusammenarbeit der Europäischen Kommission mit Japan bei der Erarbeitung von Modellklauseln für die Weiterübermittlung von personenbezogenen Daten aus dem EWR und stimmte dem Vorschlag der Europäischen Kommission, künftig einen vierjährigen Überprüfungszyklus für den Angemessenheitsbeschluss vorzusehen, zu. EDSA zur Verarbeitung der Daten von Kindern durch TikTokAm 3. August 2023 hat der Europäische Datenschutzausschuss (EDSA) eine Entscheidung zur Streitbeilegung nach Art. 65 DSGVO hinsichtlich eines Entscheidungsentwurfs der irischen Aufsichtsbehörde (DPA) im Hinblick auf TikTok erlassen (Mitteilung v. 03.08.2023). Durch die verbindlichen Entscheidungen des EDSA soll die einheitliche Anwendung der DSGVO durch die nationalen Datenschutzaufsichtsbehörden sichergestellt werden. Inhaltlich ging es bei der ursprünglichen Untersuchung der DPA um die Verarbeitung personenbezogener Daten von minderjährigen TikTok-Nutzern. Da zwischen den nationalen Aufsichtsbehörden keine Einigkeit über die Vorwürfe und das weitere Vorgehen der DPA erzielt werden konnte, wurde der EDSA zur Streitbeilegung aufgefordert. Es war unter anderem zu klären, ob die Altersverifikation gegen die Grundsätze „Privacy by design“ (Art. 25 Abs. 1 DSGVO) und „Privacy by default“ (Art. 25. Abs. 2 DSGVO) verstößt und bei bestimmten Gestaltungen zudem ein Verstoß gegen den Grundsatz der Fairness (Art. 5 Abs. 1 lit. a) DSGVO) gegeben ist. Die Entscheidung des EDSA wird veröffentlicht, sobald die DPA ihre eigene Entscheidung mitgeteilt hat. EDSA zu Verbindlichen Datenschutzvorschriften der Vestas Wind Systems GroupDer Europäische Datenschutzausschuss (EDSA) hat am 27. Juli 2023 seine Stellungnahme nach Art. 64 Abs. 1 S. 2 lit. f) DSGVO zum Entwurf eines Beschlusses der dänischen Datenschutzaufsichtsbehörde in Bezug auf die Binding Corporate Rules (BCR) der Vestas Wind Systems Gruppe veröffentlicht (Stellungnahme v. 27.07.2023). Die BCR betreffen die konzerninterne Übermittlung personenbezogener Daten. Nach Art. 47 Abs. 1 DSGVO kann die zuständige Aufsichtsbehörde verbindliche interne Datenschutzvorschriften eines Unternehmens genehmigen, soweit die Mindestanforderungen des Abs. 2 erfüllt werden. Mittels BCR können Drittstaatenübermittlungen abgesichert werden. Bislang wurden nur relativ wenige BCR seitens der Datenschutzaufsichtsbehörden geprüft und bestätigt. Der EDSA weist in seiner Stellungnahme darauf hin, dass es in der Verantwortlichkeit des Datenexporteurs liege, zu überprüfen, ob das betreffende Drittland über ein angemessenes Datenschutzniveau verfügt, um weiter prüfen zu können, ob die Garantien der BCR in der Praxis eingehalten werden können. Ist dies nicht der Fall müsse darüber hinaus geprüft werden, ob zusätzliche Maßnahmen ergriffen werden können, um ein gleichwertiges Schutzniveau zu gewährleisten. Der EDSA kam zu dem Schluss, dass der BCR-Entwurf der Vestas-Gruppe alle Anforderungen des Art. 47 DSGVO erfüllt und keine Bedenken bestehen, auf die näher eingegangen werden müsste. Der von der dänischen Aufsichtsbehörde vorgelegte Entscheidungsentwurf könne angenommen werden, da der BCR-Entwurf ausreichende Garantien enthalte, um ein angemessenes Schutzniveau zu gewährleisten. BlnBDI: Bußgeld wegen unerlaubter Sammlung von MitarbeiterdatenDie Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat ein Bußgeld i. H. v. 215.000 Euro gegen ein Unternehmen verhängt, weil dieses unzulässiger Weise sensible Informationen über den Gesundheitszustand einzelner Beschäftigter oder deren Interesse an einer Betriebsratsgründung dokumentiert hat (Pressemitteilung v. 02.08.2023). Eine Mitarbeiterin führte auf Weisung der Geschäftsführung eine tabellarische Übersicht aller Beschäftigten in der Probezeit, um auf diese Weise eventuelle Kündigungen zum Ende der Probezeit vorzubereiten. Dabei bewertete sie verschiedene Mitarbeiter wegen persönlicher Äußerungen sowie gesundheitlicher und anderweitiger Gründe, die einer flexiblen Arbeitseinteilung entgegenstehen, negativ und kennzeichnete die Weiterbeschäftigung der Mitarbeiter als (sehr) kritisch. Auch ein mögliches Interesse an der Gründung eines Betriebsrates sowie eine psychotherapeutische Behandlung wurden von der Mitarbeiterin vermerkt. Die Beschäftigten hatten die aufgelisteten Informationen größtenteils selbst im Rahmen der Dienstplanung mitgeteilt, ohne zu wissen, dass die Daten gleichzeitig zu ihrer Bewertung verwendet werden. Im Rahmen der nach Kenntniserlangung eingeleiteten Prüfung kam die Datenschutzbeauftragte zu dem Ergebnis, dass die beanstandete Datenverarbeitung unzulässig war. Sie führte aus, dass es grundsätzlich zulässig sei, Überlegungen über die Weiterbeschäftigung von Mitarbeitern anzustellen. Die hierbei verarbeiteten Daten müssten aber für diesen Zweck geeignet und erforderlich sein und Rückschlüsse auf Leistung oder Verhalten zulassen, das im unmittelbaren Kontext der Beschäftigung relevant ist. Von Beschäftigten selbst mitgeteilte Informationen dürften zudem nicht einfach für andere Zwecke weiterverarbeitet werden. Gegen das Unternehmen wurden in der Folge insgesamt 4 Bußgelder verhängt. Diese bezogen sich dabei auf die Verarbeitung der Beschäftigtendaten zum Zwecke der Erstellung der Liste, die unterbliebene Beteiligung des Datenschutzbeauftragten bei der Erstellung der Liste, die verspätete Meldung einer Datenpanne sowie die fehlende Erwähnung der Liste innerhalb des Verfahrensverzeichnisses. Die Berliner Datenschutzbeauftragte, Meike Kamp, äußerte: „Die Erhebung, Speicherung und Verwendung von Beschäftigtendaten müssen stets im zulässigen Zusammenhang mit dem Beschäftigungsverhältnis erfolgen. Das war in diesem Fall nicht gegeben. Insbesondere Gesundheitsdaten sind besonders sensitive Informationen, die nur in engen Grenzen verarbeitet werden dürfen.“ Der Bußgeldbescheid ist noch nicht rechtskräftig. Spanien: Bußgeld i. H. v. 2,5 Millionen Euro gegen OPEN BANKDie spanische Aufsichtsbehörde (AEPD) hat ein Bußgeld in Höhe von 2,5 Millionen Euro gegen die spanische OPEN BANK verhängt, weil diese ihre Kunden per E-Mail aufgefordert hatte, die Herkunft von Beträgen, die auf Bankkonten eingingen, nachzuweisen, gleichzeitig aber keinen sicheren Kanal zur Übermittlung der abgefragten Daten bereitstellte. Die Bank begründete ihr Vorgehen damit, dass die Abfrage der Geldwäscheprävention diene. Die Beantwortung der Anfrage war allerdings ausschließlich per E-Mail möglich. Einen anderen, abgesicherten Kommunikationskanal, über den die mitunter sensiblen Daten hätten übermittelt werden können, wurde demgegenüber nicht eingerichtet. Die Aufsichtsbehörde sah hierin einen Verstoß gegen die Vorgabe zur datenschutzfreundliche Technikgestaltung aus Art. 25 DSGVO und die Pflicht aus Art. 32 DSGVO, technische und organisatorische Maßnahmen vorzuhalten, um die Sicherheit der Datenverarbeitung zu gewährleisten. Verantwortliche müssten geeignete technische und organisatorische Maßnahmen ergreifen, um die durch sie erfolgenden Datenverarbeitungen ausreichend abzusichern. Hierzu gehöre es auch, einen sicheren Kommunikationskanal zur Übermittlung sensibler Daten zu schaffen, wenn diese durch den Verantwortlichen abgefragt werden. Eine Kommunikation per E-Mail könne in Bezug auf die in Rede stehende Abfrage nicht als geeignetes Mittel zur Gewährleistung des Schutzes der sensiblen Daten angesehen werden. Aufgrund der hohen Anzahl von 65.000 Betroffenen verhängte die Behörde ein Bußgeld in Höhe von 2,5 Millionen Euro. Italien: Bußgeld i. H. v. 1 Million Euro gegen Autostrada per I’talia S.p.A. wegen fehlerhafter Angaben zur VerantwortlichkeitDie italienische Aufsichtsbehörde (GPDP) hat einen Bußgeldbescheid in Höhe von 1 Million Euro gegen die Autostrada per I’talia S.p.A. (ASPI) erlassen, weil das Unternehmen falsche Angaben zu den für die Datenverarbeitung Verantwortlichen machte und die Daten von etwa 100.000 Nutzern der Mauterstattungs-App insoweit unrechtmäßig verarbeitete. Die ASPI ist der größte Betreiber von mautpflichtigen Straßen in Italien. In Italien können Mautgebühren von Autofahrern über die App „Free to X“ zurückverlangt werden, wenn es baustellenbedingt zu Verspätungen gekommen ist. In den Vertragsunterlagen zwischen der ASPI und Free to X war vorgesehen, dass die ASPI ausschließlich als Auftragsverarbeiter tätig wird. Gleiches ergab sich aus den Informationen, die den betroffenen App-Nutzern zur Verfügung gestellt wurden. Tatsächlich verarbeitete das Unternehmen die Daten der App-Nutzer aber als Verantwortlicher. Während die ASPI die Rückerstattungsmechanismen, die Art der Ausgleichsmaßnahmen und die Einhaltungsmethoden regelte, war Free to X nur mit dem Erstellen und Verwalten der App beauftragt. Durch die falsche Qualifizierung der datenschutzrechtlichen Rollen wurden die Informationspflichten gegenüber den Betroffenen nach Auffassung der Aufsichtsbehörde insoweit nicht ordnungsgemäß erfüllt. |
Wenn Sie den Newsletter nicht mehr erhalten möchten, klicken Sie bitte hier Sie können sich hier für den Newsletter anmelden. BRANDI Rechtsanwälte Partnerschaft mbB BRANDI Rechtsanwälte ist eine Partnerschaft mit beschränkter Berufshaftung. |