Sind IP-Adressen personenbezogene Daten?
Bei aktuellen Datenschutzfällen und Rechtsprechungen, die in Zusammenhang mit IP-Adressen stehen, wie z.B. der Google-Fonts Abmahnwelle, wird meist das Breyer-Urteil des EUGH zur Urteilsfindung herangezogen.
Bei aktuellen Datenschutzfällen und Rechtsprechungen, die in Zusammenhang mit IP-Adressen stehen, wie z.B. der Google-Fonts Abmahnwelle, wird meist das Breyer-Urteil des EUGH zur Urteilsfindung herangezogen.
Bei dienstlichen Fahrzeugen muss der Arbeitgeber regelmäßig die Führerscheine der Fahrer überprüfen, ob sie berechtigt sind, das Dienstfahrzeug zu führen. Damit nicht bei jeder Dienstfahrt individuell der Führerscheinstatus eines Mitarbeiters überprüft werden muss, können die Informationen, dass der jeweilige Mitarbeiter über einen gültigen Führerschein verfügt, in einem zentralen dafür vorgesehenen System gespeichert und verwaltet werden.
Bei der Speicherung von personenbezogenen Daten gibt es immer das Prinzip der Datenminimierung nach Art. 25 DSGVO zu berücksichtigen, d.h., dass nur Daten gespeichert werden dürfen, die zwingend notwendig sind.
Daher muss bei jeder „zusätzlichen“ Information abgewogen werden, ob die Speicherung zwingend erforderlich ist:
• Das Geburtsdatum kann dahingehend relevant sein, ob der Fahrzeughalter aus versicherungstechnischen Gründen bspw. mindestens 25 Jahre alt sein muss, um beim Schadenfall ordnungsgemäß versichert zu sein
• Die Führerscheinklasse kann relevant sein, wenn sich im Dienstfahrzeug-Pool neben gewöhnlichen PKW bspw. auch Kleintransporter verfügbar sind, wofür eine spezielle Führerscheinklasse vorgewiesen werden muss
--> Einzelfallentscheidung, welche Daten zwingend benötigt werden und welche Daten „zu viel“ sind.
Stand: 29.03.2023
Kläger ist RW. RW verlangte von der Österreichischen Post Auskunft gemäß Art. 15 DSGVO, welche personenbezogenen Daten über ihn gespeichert und an wen diese Daten in der Vergangenheit ggf. weitergegeben wurden. Die Weitergabe beschränkte sich laut der Österreichischen Post auf die rechtlich zulässigen Zwecke.
Die konkreten Empfänger seiner Daten wurden RW nicht namentlich mitgeteilt. Daraufhin wurde von RW Klage erhoben, da RW erfahren wollte, wer genau seine personenbezogenen Daten erhalten habe. Die Post teilte RW nur die Kategorien der Empfänger mit, welche die personenbezogenen Daten von der Post für Marketingzwecke erhalten hatten. Das Gericht wies die Klage von RW ab, da Art 15 Abs. 1 c) lediglich die Auskunft auf „Empfänger oder Kategorien von Empfängern“ regle und diese Kategorien von der Post ordnungsgemäß mitgeteilt wurden.
Dagegen legte RW Revision ein.
Das Gericht hatte nun zu entscheiden, wie der Wortlaut „Empfänger oder Kategorien von Empfängern“ der DSGVO aus Art. 15 Abs. 1 c) auszulegen sei. Der Wortlaut sei nicht eindeutig und spricht eher dafür, dass der Absatz so ausgelegt werden kann, dass der Betroffenen die Wahl habe, ob er nur Auskunft über die Kategorien oder auch den konkreten Empfänger erhalten wolle. Wenn es im Ermessen der Verantwortlichen läge, dass diese frei darüber entscheiden könnten, ob sie Auskunft über die konkreten Empfänger oder lediglich die Kategorien erteilen, wäre es vermutlich für die Betroffenen fast unmöglich, jemals Auskunft über die konkreten Empfänger zu bekommen, was wiederrum das Recht auf Auskunft enorm einschränken würde. Zudem ist zu beachten, dass Art. 15 Abs. 1 c) sowohl für aktuelle Datenverarbeitungen als auch für in der Vergangenheit verarbeitete personenbezogene Daten Anwendung findet. Daraufhin wurde das laufende Verfahren von RW gegen die Österreichische Post vom Obersten Gerichtshof ausgesetzt. Folgende Vorlagefrage musste vorab vom Gerichtshof entschieden werden:
"Ist Art. 15 Abs. 1 lit. c DSGVO dahin gehend auszulegen, dass sich der Anspruch auf die Auskunft über Empfängerkategorien beschränkt, wenn konkrete Empfänger bei geplanten Offenlegungen noch nicht feststehen, der Auskunftsanspruch sich aber zwingend auch auf Empfänger dieser Offenlegungen erstrecken muss, wenn Daten bereits offengelegt worden sind?"
Die Vorlagefrage sollte klären, ob Betroffenen die konkrete Identität der Empfänger mitgeteilt werden müsse. Da Empfänger und Kategorien im Gesetzestext der DSGVO nebeneinander aufgeführt werden, bestehe kein vorrangiges Verhältnis. Laut Erwägungsgrund 63 kann das Recht auf Auskunft nicht auf die Kategorien beschränkt werden. Die Verarbeitung personenbezogener Daten muss laut Art 5 Abs 1 a) immer den Grundsatz der Transparenz berücksichtigen, d.h. dass die Informationen über die Datenverarbeitung für natürliche Personen verständlich und leicht zugänglich sein müssen. Der Verantwortliche sei daher in der Pflicht, Betroffenen Auskunft zugunsten der betroffenen Person zu erteilen. Betroffenen muss ermöglicht werden, die Richtigkeit sowie Rechtmäßigkeit der Verarbeitung überprüfen zu können und ggf. Berichtigung/Löschung/Widerruf zu beantragen oder Rechtsbehelf einzulegen. Um eine Gewährleistung dieser Rechte sicherzustellen, ist eine Auskunft über konkrete Empfänger unabdingbar, was wiederrum durch Art. 19 DSGVO konkretisiert wird, sofern der Antrag auf Auskunft entsprechend begründet werden kann und verhältnismäßig sei.
Stand: 29.03.2023
Direkt aus DSGVO in ihrem Wortlaut ergibt seine keine Verpflichtung, einen Datenschutz-Koordinator zu bestellen. Aus der Verpflichtung des Accountability-Prinzips (jederzeitige Verpflichtung einen Rechenschaftsbericht zum Nachweis der Einhaltung aller datenschutzrechtlichen Normen abzuliefern) ergibt sich u.a. aus Art 24 DSGVO (= eine Compliance-Anforderung). Bei besonders großen Unternehmen (insbesondere auch in Konzernstrukturen) kann eine solche Anforderung durch eine Position des Datenschutz-Koordinators erfüllt werden. Der Datenschutz-Koordinator wird in erster Linie als Verbindungsglied verschiedener Abteilungen (ggf. sogar Unternehmen) hinsichtlich datenschutzrechtlicher Fragen verstanden. Er ist v.a. auch zur Dokumentation datenschutzrechtlicher Fragen verpflichtet und der Aufbereitung der gesetzlichen Vorgaben in der Form, dass ein jederzeitiger Nachweis gegenüber der Aufsichtsbehörden möglich ist.
Eine Meldung ist weder notwendig, noch möglich. Wenn aber ein Datenschutz-Koordinator bestellt ist, sollte auch seine Vertretung geregelt sein, wie bei jeder wichtigen Position in einem Unternehmen.
Informationen entnommen aus Beck Online (Jung, Alexander: Datenschutz-(Compliance-)Management-Systeme – Nachweis- und ZD 2018, Rechenschaftspflichten nach der DS-GVO)
Stand: 29.03.2023
In 2022 starteten Verhandlungen zu einer neuen Rechtsgrundlage für den Datentransfer zwischen den USA und Europa. US-Präsident Biden unterzeichnete im Oktober 2022 ein Dekret, das die kritisierten Punkte ausräumen soll. Danach sind etwa strengere Regeln für die Zugriffe durch US-Geheimdienste vorgesehen.
Max Schrems hat hierzu bereits einen offenen Brief mit den rechtlichen Hürden verfasst, die das Trans-Atlantic Data Privacy Framework nehmen müsste.
Das Europäische Parlament diskutiert derzeit den Entwurf des Trans-Atlantic Data Privacy Frameworks. Es ist nicht klar, wann (und in welcher Form) es verabschiedet werden wird.
Stand: 22.03.2023
Tracking Tools dienen der individuellen Auswertung von Nutzerdaten
--> Nutzer werden identifiziert, Nutzungsverhalten wird nachverfolgt und Nutzer wird identifiziert, um bspw. zielgruppenorientierte Werbung auszuspielen
--> Datenschutzrechtliche Einwilligung des Nutzers immer nötig (über Cookie-Banner), da personenbezogene Daten verarbeitet werden (Profilbildung)
-->Tracking-Tools konnten früher auch unter bestimmten Umständen auf das berechtigte Interesse des Website-Betreibers gestützt werden (Erwägungsgrund 47 S. 7 DSGVO),
--> Heute ist zwingend zudem eine Einwilligung nötig nach § 25 TTDSG.
Analyse Tools dienen statistischer Auswertung
• einer Nutzergruppe
• oder eines individuellen Nutzers,, "(z.B.) z.B. werden in der herkömmlichen Einsatzvariante von Google Analytics dem Nutzerrechner, der die Webseite aufsucht, einzigartige Kennungen (ID) zugeteilt. Die IDs befinden sich in Cookies, die beim Aufsuchen der Webseite in den Browser des Nutzerrechners gesetzt werden. Mit Hilfe der IDs wird der einzelne Nutzerrechner von anderen Rechnern unterschieden, die die Webseite aufsuchen.“,
vgl. LDA Bayern
--> Zweck: Marktforschung, Verbesserung der Website-Leistung;
--> Datenschutzrechtliche Einwilligung früher umstritten, da ggf. ein berechtigtes Interesse des Webseiten-Betreibers gegeben sein konnte, die Präferenzen der Nutzer zu kennen, um die Website entsprechend zu optimieren (Art. 6 Abs. 1 lit. f DSGVO).
--> Heute: In jedem Fall Einwilligung nach § 25 TTDSG; zahlreiche Tools werden zudem als unzulässig nach Art. 44 DSGVO eingestuft.
Stand: 22.03.2023