Mittwoch, 16.10.2024
von 12 - 13 Uhr
Folgende Gesetze müssen beachtet werden:
Bayerische öffentliche Stellen sind verpflichtet, personenbezogene Daten gemäß den geltenden Datenschutzvorschriften zu verarbeiten. Da personenbezogene Daten für viele Behörden unverzichtbar sind, basieren zahlreiche Verwaltungsmaßnahmen auf deren Verarbeitung.
Umfragen zeigen, dass Bürger insbesondere von Behörden einen verantwortungsbewussten Umgang mit ihren Daten erwarten. Dies hängt auch damit zusammen, dass Bürger oft gesetzlich verpflichtet sind, Informationen an die öffentliche Verwaltung zu übermitteln. Daher ist es für Behörden besonders wichtig, personenbezogene Daten sorgfältig zu handhaben.
Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) der EU das zentrale Datenschutzrecht für die meisten bayerischen Behörden, mit Ausnahme einiger Einrichtungen wie des Landesamts für Verfassungsschutz. Die DSGVO gilt direkt und vorrangig vor nationalem Recht, enthält aber Öffnungsklauseln, die es den Mitgliedstaaten erlauben, ergänzende Regelungen zu treffen.
In Deutschland wurde das Bundesdatenschutzgesetz (BDSG) entsprechend angepasst. Auf Landesebene hat Bayern das Bayerische Datenschutzgesetz (BayDSG) zum 25. Mai 2018 an die DSGVO angepasst. Dieses gilt für alle bayerischen Behörden sowie für kommunale und andere öffentliche Stellen, die der Aufsicht des Freistaats unterliegen, einschließlich privater Organisationen mit öffentlichen Verwaltungsaufgaben, die am Freistaat Bayern beteiligt sind.
Neben der DSGVO und dem BayDSG sind bayerische Behörden auch an spezialisierte Datenschutzgesetze gebunden, etwa im Sozialrecht, die in ihrem jeweiligen Anwendungsbereich Vorrang vor dem BayDSG haben und die Vorgaben der DSGVO berücksichtigen müssen.
EuGH lässt Abmahnungen gegen DSGVO-Verstöße zu:
Urteil des Gerichtshofs in der Rechtssache C-21/23
„Die Mitgliedstaaten können Mitbewerbern eines mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten die Möglichkeit einräumen, diesen Verstoß als verbotene unlautere Geschäftspraxis gerichtlich zu beanstanden“
Endlich haben wir eine klare Aussage zur Thematik Abmahnungsfähigkeit von Datenschutzverstössen durch Mitwettbewerber .
Der EuGH hat am 4. Oktober 2024 (C-21/23) entschieden, „dass die DSGVO einer nationalen Regelung nicht entgegensteht, die es Mitbewerbern eines mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten ermöglicht, diesen Verstoß als verbotene unlautere Geschäftspraxis gerichtlich zu beanstanden.“
Mit anderen Worten: Wenn ein Konkurrent sieht, dass ein Unternehmen gegen die DSGVO verstößt, kann er diesen Verstoß als unlautere Geschäftspraxis abmahnen (oder abmahnen lassen) und z.B. die Unterlassung einklagen (zusätzlich zu den Eingriffsmöglichkeiten der Datenschutzbehörden). Auf diese Klarstellung haben viele Juristen jetzt 6 Jahre gewartet .
Weiter entschied der EuGH zum Online-Verkauf apothekenpflichtiger Medikamente: Selbst wenn diese Medikamente ohne Rezept verkauft werden, gelten die Kundendaten, die bei der Bestellung eingegeben werden, als sensible Gesundheitsdaten gemäß der DSGVO. Verkäufer müssen daher sicherstellen, dass sie diese Daten besonders schützen, indem sie die Kunden klar und verständlich darüber informieren, wie ihre Daten genutzt werden. Außerdem muss die ausdrückliche Zustimmung der Kunden zur Verarbeitung dieser Daten eingeholt werden.
Wir werden sehen, ob sich zum oberen Punkt jetzt die Glücksritter auf den Weg machen, um mit Abmahnungen reich zu werden. Was sie natürlich nicht werden. Aber es tauchen immer wieder Kollegen auf, die hier vom schnellen Geld träumen. Ich kenne keinen Fall, in dem das (für den Abmahner) ganz am Ende gut ausgegangen wäre.
Stand: 09.10.2024
Urteil des Gerichtshofs in der Rechtssache C-446/21
Der Europäische Gerichtshof entschied im Fall C-446/21, dass soziale Netzwerke wie Facebook nicht unbegrenzt und unterschiedslos personenbezogene Daten zur gezielten Werbung nutzen dürfen. Insbesondere dürfen Daten über sensible Themen wie die sexuelle Orientierung nur verarbeitet werden, wenn diese offenkundig öffentlich gemacht wurden und die DSGVO-Vorgaben eingehalten sind.
Der Europäische Gerichtshof (EuGH) hat im Urteil zur Rechtssache C-446/21 (Schrems) entschieden, dass ein soziales Netzwerk wie Facebook nicht uneingeschränkt personenbezogene Daten für gezielte Werbung nutzen darf, selbst wenn es diese Daten von Nutzern erhalten hat. Kernpunkt des Falls ist die Frage, inwieweit sensible Informationen, wie die sexuelle Orientierung, verarbeitet und für Werbung genutzt werden dürfen, insbesondere wenn der Nutzer solche Informationen in einem öffentlichen Kontext erwähnt hat.
Hintergrund:
Maximilian Schrems, ein Datenschutzaktivist, klagte vor österreichischen Gerichten gegen Meta Platforms Ireland, Betreiber von Facebook, da das Unternehmen seiner Ansicht nach rechtswidrig personenbezogene Daten zu seiner sexuellen Orientierung verarbeite. Schrems hatte im Jahr 2019 in einer öffentlichen Podiumsdiskussion seine sexuelle Orientierung erwähnt, um Facebooks Umgang mit Nutzerdaten zu kritisieren. Diese Information wurde jedoch nie auf seinem Facebook-Profil veröffentlicht. Schrems argumentiert, dass Meta auch außerhalb seiner Aktivitäten auf der Plattform Daten über ihn sammelt und analysiert – einschließlich seiner sexuellen Orientierung –, um personalisierte Werbung auszuspielen. Facebook nutzt dazu verschiedene Tools wie Cookies, Social Plugins und Pixel, die auch Informationen von Drittseiten erfassen.
Entscheidungen des Gerichtshofs:
Datenminimierung und Verwendungszweck:
Der EuGH stellte fest, dass der DSGVO-Grundsatz der Datenminimierung verletzt wird, wenn Meta sämtliche personenbezogenen Daten von Nutzern uneingeschränkt für zielgerichtete Werbung verarbeitet. Die Daten dürfen nicht unbegrenzt und ohne Unterscheidung nach ihrer Art oder Herkunft gesammelt und ausgewertet werden. Meta darf also keine pauschale Verarbeitung personenbezogener Daten für Werbung durchführen, sondern muss sich auf spezifische und notwendige Daten beschränken.
Offensichtliche öffentliche Mitteilung sensibler Daten
Der EuGH prüfte, ob die einmalige Erwähnung von Schrems’ sexueller Orientierung in einer öffentlichen Diskussion dazu führt, dass diese Information als „offensichtlich öffentlich gemacht“ gilt und damit gemäß Art. 9 DSGVO verarbeitet werden darf. Die Entscheidung darüber obliegt jedoch dem österreichischen Obersten Gerichtshof. Dieser muss entscheiden, ob Schrems seine sexuelle Orientierung tatsächlich „offensichtlich öffentlich gemacht“ hat und ob diese Äußerung Meta das Recht zur Verarbeitung dieser spezifischen Information einräumt.
Beschränkung der Verarbeitungsrechte: Der Gerichtshof stellte klar, dass eine Person zwar Informationen über sich in der Öffentlichkeit teilen kann, dies jedoch keine automatische Erlaubnis für die Verarbeitung weiterer sensibler Daten gewährt. Sollte die sexuelle Orientierung einmal öffentlich gemacht worden sein, darf Meta dennoch keine zusätzlichen Daten zur sexuellen Orientierung sammeln und verarbeiten, die aus anderen Quellen stammen, z. B. von Drittanbietern oder über Aktivitäten außerhalb der Plattform.
Bedeutung des Urteils:
Das Urteil verdeutlicht die strengen Regeln der DSGVO für die Verarbeitung sensibler Daten und setzt Grenzen für die Datennutzung durch soziale Netzwerke. Selbst wenn ein Nutzer freiwillig sensible Informationen öffentlich teilt, dürfen Betreiber wie Meta diese Information nicht ohne weiteres ausweiten und mit anderen Daten kombinieren, um personalisierte Werbung zu erstellen. Dieses Urteil stärkt die Kontrolle der Nutzer über ihre personenbezogenen Daten und unterstreicht die Bedeutung von Transparenz und Datenminimierung in der Online-Werbung.
Stand: 09.10.2024
Die DSGVO gewährt Betroffenen das Recht auf Vergessenwerden, was bedeutet, dass sie die Löschung ihrer Daten bei dem Verantwortlichen beantragen können. Darüber hinaus sind Verantwortliche auch ohne Antrag verpflichtet, Daten zu löschen, wenn kein rechtlicher Grund mehr für deren Speicherung besteht. Im Kontext von Online-Händlern stellt sich die Frage, wie mit inaktiven Kundenkonten umgegangen werden soll.
Löschpflicht für ungenutzte Kundenkonten:
Laut Art. 17 DSGVO müssen Händler personenbezogene Daten von sich aus löschen, wenn diese für den ursprünglichen Zweck nicht mehr erforderlich sind. Bei Kundenkonten ist der Zweck jedoch die Vereinfachung zukünftiger Bestellabwicklungen, und dieser entfällt nicht allein durch lange Inaktivität des Kontos. Solange der Kunde das Konto für zukünftige Bestellungen nutzen könnte, besteht kein Löschgrund. Nur in Ausnahmefällen, z.B. wenn der Kunde ein neues Konto eröffnet, könnte eine Löschpflicht für das alte Konto bestehen.
Löschpflicht auf Antrag: Auf Antrag des Kunden müssen Händler reine Kundenkonten unverzüglich löschen, da keine gesetzlichen Speicherfristen bestehen. Eine Ausnahme gilt, wenn noch offene Forderungen bestehen, die die Datenweiterverwendung rechtfertigen. In solchen Fällen kann die Löschung hinausgezögert werden, bis die Forderungen beglichen sind.
Fazit:
Sind die Daten des ehemaligen Abokunden noch im System gespeichert, kann eine Aktualisierung vorgenommen werden, um die Richtigkeit der Daten zu gewährleisten und die Kontaktmöglichkeit aufrechtzuerhalten. Wurde der Kunde bereits aufgrund eines Löschantrags bzw. fehlender Rechtsgrundlage bereits aus dem System gelöscht, kann auch keine Aktualisierung mehr vorgenommen werden. Eine Rechtsgrundlage gem. DSGVO zur Neuanlage des Kunden gibt es nicht.
Urteil des OLG München vom 31.07.2024 – 7 U 351/23
Aus dem Sachverhalt:
Der Kläger war seit 2013 Vorstandsmitglied der Beklagten, einer bis 2022 als AG geführten Gesellschaft, deren Geschäftsfeld in der Erbringung von Internetdienstleistungen, dem Vertrieb von EDV-Anlagen und Software sowie in Beratungsleistungen rund um das Internet bestand. Der Vorstandsanstellungsvertrag des Klägers lief bis September 2022 und sah eine jährliche Vergütung von 140.000 Euro sowie zusätzliche Leistungen wie ein Leasingbudget für ein Fahrzeug vor.
Die Beklagte warf dem Kläger schwerwiegende Pflichtverletzungen vor, die zur fristlosen Kündigung des Anstellungsvertrags und zur Abberufung des Klägers als Vorstand führten. Insbesondere wird dem Kläger vorgeworfen, in mehreren Fällen vertrauliche und sensible interne E-Mails an seinen privaten E-Mail-Account weitergeleitet zu haben. Diese E-Mails enthielten Geschäftsgeheimnisse, Daten über interne Auseinandersetzungen, Gehaltsabrechnungen und Compliance-Fragen.
Der Kläger argumentierte, dass er die E-Mails nur zu Beweiszwecken und zur Wahrung seiner Interessen weitergeleitet habe. Er habe sicherstellen wollen, dass er bei späteren Streitigkeiten keine Fehler begangen habe. Außerdem betonte er, dass er keine Daten an Dritte weitergegeben habe und seine private E-Mail-Adresse sicher sei.
Aus den Entscheidungsgründen:
Das Landgericht entschied zunächst, dass die außerordentliche fristlose Kündigung unwirksam sei, da die Beklagte die Zwei-Wochen-Frist des § 626 Abs. 2 BGB für den Ausspruch einer fristlosen Kündigung nicht eingehalten habe. Bezüglich der Abberufung des Klägers als Vorstand sah das Landgericht jedoch keinen Grund zur Unwirksamkeit.
In der Berufung befasste sich das Oberlandesgericht erneut mit den Vorwürfen gegen den Kläger. Es stellte fest, dass die außerordentliche fristlose Kündigung rechtmäßig erfolgt sei und innerhalb der maßgeblichen Frist ausgesprochen wurde. Zudem lag nach Auffassung des Gerichts ein wichtiger Grund für die Kündigung vor. Die Weiterleitung der E-Mails an den privaten Account des Klägers wurde als schwerwiegende Verletzung der Sorgfalts- und Geheimhaltungspflichten angesehen. Auch die Datenschutzgrundverordnung (DSGVO) wurde verletzt, da personenbezogene Daten unzulässig an einen nicht ausreichend gesicherten privaten Account übermittelt wurden.
Das Gericht stellte zudem fest, dass es keinen rechtfertigenden Grund für die Weiterleitung der E-Mails gebe, insbesondere da der Kläger auch nach seinem Ausscheiden aus dem Vorstand weiterhin Zugang zu den relevanten Dokumenten über gesetzliche Einsichtsrechte gehabt hätte.
Das Oberlandesgericht bestätigte die Wirksamkeit der Abberufung des Klägers als Vorstand. Es sei unzumutbar gewesen, das Vorstandsverhältnis fortzusetzen, insbesondere da die Weiterleitungen von E-Mails planmäßig und systematisch erfolgten. Das Vertrauen der Beklagten in den Kläger sei dadurch unwiederbringlich zerstört worden. Eine vorherige Abmahnung des Klägers sei im Rahmen einer außerordentlichen fristlosen Kündigung nicht erforderlich.
Stand: 02.10.2024
Die irische Datenschutzaufsichtsbehörde DPC hat den Meta-Konzern, der hinter Plattformen wie Facebook, Instagram, Threads und WhatsApp steht, mit einem Bußgeld von 91 Millionen Euro belegt. Grund dafür ist ein schwerer Verstoß gegen die Datenschutzgrundverordnung (DSGVO). Meta hatte im Jahr 2019 selbst gemeldet, dass Millionen von Facebook- und Instagram-Passwörtern versehentlich im Klartext gespeichert worden waren. Diese Sicherheitslücke wurde im Rahmen eines internen Reviews entdeckt, wobei tausende Mitarbeitende theoretisch auf die Passwörter hätten zugreifen können.
Die DPC bewertete dies als grobe Verletzung der DSGVO-Vorgaben, die den Schutz personenbezogener Daten sicherstellen sollen. „Passwörter dürfen keinesfalls im Klartext gespeichert werden, da dies das Risiko von Missbrauch erheblich erhöht“, betonte Graham Doyle, stellvertretender Kommissar der DPC. Besonders kritisch sei die Tatsache, dass es sich um Passwörter zu Social-Media-Konten handelte, die sensiblen Zugang zu den Nutzerkonten ermöglichen.
Zudem wirft die Behörde Meta vor, den Vorfall zu spät gemeldet und unzureichend dokumentiert zu haben. Bereits 2019 kritisierte der damalige deutsche Bundesdatenschutzbeauftragte Ulrich Kelber den Vorfall scharf. Aufgrund des europäischen Hauptsitzes von Meta in Irland ist die DPC Ireland die zuständige Behörde für zahlreiche Verfahren gegen den Konzern, von denen einige schon seit Jahren andauern. In den letzten Jahren wurde Meta mehrfach mit DSGVO-Bußgeldern belegt.
Stand: 02.10.2024
Digital Operational Resilience Act – DORA
DORA ist eine Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act)
Die Verordnung (EU) 2022/2554, auch bekannt als DORA (Digital Operational Resilience Act), stellt eine neue EU-weite Regulierung für Cybersicherheit, IKT-Risiken und digitale Resilienz im Finanzsektor dar. DORA zielt darauf ab, die digitale Resilienz von Finanzinstituten zu stärken und umfasst sechs zentrale Bereiche, darunter IKT-Risikomanagement, Berichterstattung von Vorfällen und das Management von Drittparteien-Risiken. Die BaFin bereitet sich auf die Umsetzung vor, unter anderem als nationaler Melde-Hub für IKT-Vorfälle. Ab dem 17. Januar 2025 tritt DORA in Kraft. Gleichzeitig unterstützt die BaFin beaufsichtigte Unternehmen durch Veranstaltungen, Beratung und Richtlinien. DORA umfasst auch delegierte Rechtsakte und technische Standards, um die Anwendung in der Praxis weiter zu konkretisieren.
DORA (Digital Operational Resilience Act) hat erhebliche Auswirkungen auf Datenschutz und IT-Sicherheit im Finanzsektor, da es strenge Anforderungen an den Umgang mit Cyberrisiken und den Schutz digitaler Infrastrukturen stellt. Die wesentlichen Auswirkungen sind:
1.Stärkung des Datenschutzes:
2.Verpflichtung zur Meldung von Cybervorfällen:
3.IKT-Drittparteienrisikomanagement:
4.Verbesserte IT-Sicherheit:
5.Überwachung kritischer IT-Dienstleister:
Insgesamt führt DORA zu einer stärkeren Einhaltung von Datenschutzrichtlinien und einer robusteren IT-Sicherheitsinfrastruktur im Finanzsektor, indem sie Finanzinstitute dazu zwingt, proaktiv gegen Cyberrisiken und Datenschutzverletzungen vorzugehen.
Stand: 25.09.2024
Urteil des SG Hamburg -S 39 AS 517/23
“Orientierungssatz
1. Eine blinde Person hat sowohl nach § 10 Abs 1 S 2, Abs 2 BGG (Gesetz zur Gleichstellung von Menschen mit Behinderungen) iVm §§ 3 Abs 1, 5 Abs 2 S 1 bis S 3 VBD (Verordnung zur Zugänglichmachung von Dokumenten für blinde und sehbehinderte Menschen im Verwaltungsverfahren nach dem Behindertengleichstellungsgesetz), als auch nach § 9 Abs 2 GleichstbMG HA 2020 iVm §§ 3 Abs 1, 5 Abs 2 S 1 bis S 3 BDV HA einen Anspruch darauf, dass der Grundsicherungsträger alle ihr gegenüber erlassenen Bescheide sowie alle ihr bekanntzugebenden Bescheide und alle das beiderseitige Sozialrechtsverhältnis betreffende Formulare zeitgleich mit der Versendung per Post auch in barrierefreier Form, dh als PDF-Dokument durch unverschlüsselte E-Mail, zur Verfügung stellt. (Rn.64)
2. Art 32 EUV 2016/679 verlangt keine Datensicherheit um jeden Preis. Vielmehr muss eine Abwägung zwischen Schutzzweck und Aufwand vorgenommen werden. (Rn.90)
3. Zur Bestimmung der geeigneten und angemessenen Maßnahmen ist die Verhältnismäßigkeit zwischen folgenden Aspekten herzustellen: dem Stand der Technik (also das technisch Mögliche und Erprobte), den Kosten, der Art und Weise der Verarbeitung sowie den Risiken für die Rechte und Freiheiten der natürlichen Person, also dem möglichen Schaden (vorliegend zum einen die Verletzung des Grundrechts des Klägers auf informationelle Selbstbestimmung nach Art 2 Abs 1 iVm Art 1 Abs 1 GG und zum anderen die Verletzung seines subjektiven Abwehrrechts aus dem Benachteiligungsverbot nach Art 3 Abs 3 S 2 GG). (Rn.90)“
Eine blinde Person hat Anspruch darauf, dass ihr Sozialleistungsträger Bescheide und Formulare in barrierefreier Form, wie z. B. als PDF-Dokument per unverschlüsselter E-Mail, zur Verfügung stellt. Dies gilt sowohl nach bundes- als auch landesrechtlichen Vorgaben. Im vorliegenden Fall weigerte sich der Sozialleistungsträger, Bescheide unverschlüsselt per E-Mail zu versenden, mit Verweis auf datenschutzrechtliche Bedenken. Das Gericht entschied jedoch, dass der Kläger in die unverschlüsselte Kommunikation eingewilligt hat und dass die Datenschutzgrundverordnung (DSGVO) keine absolute Datensicherheit verlangt, sondern eine Abwägung zwischen Schutzzweck und Aufwand erfordert. In diesem Fall überwiegen die Rechte des Klägers auf barrierefreien Zugang und Gleichbehandlung. Der Beklagte wurde verurteilt, dem Kläger alle Bescheide zeitgleich mit der postalischen Zustellung in barrierefreier Form zu senden.
Fazit:
Stand: 25.09.2024
Urteil des EuG – ECLI:EU:T:2024:614 - T-793/22 vom 11.09.2024
Das EU-Gericht hat entschieden, dass das EU-Parlament den Schutz eines Whistleblowers unzureichend gewährleistet hat und dem Betroffenen 10.000 Euro Schadenersatz zugesprochen, da seine Identität offengelegt und nicht alle notwendigen Schutzmaßnahmen ergriffen wurden.
Das Gericht der Europäischen Union (EuG) hat das EU-Parlament dafür verurteilt, den Schutz eines Whistleblowers nicht ausreichend gewährleistet zu haben. Ein akkreditierter Assistent hatte Fälle von Mobbing und finanzielle Unregelmäßigkeiten gemeldet, die einen EU-Abgeordneten betrafen. Nach diesen Meldungen wurde er zunächst einem anderen Abgeordneten zugewiesen und schließlich von allen Aufgaben entbunden, was er als Vergeltungsmaßnahme ansah.
Der Assistent reichte Klage ein und forderte 200.000 Euro Entschädigung, da er nicht nur die Schutzvorgaben, sondern auch die Vertraulichkeit seiner Identität als Whistleblower verletzt sah. Das Gericht gab ihm teilweise Recht und stellte fest, dass das Parlament ohne seine Zustimmung den Status des Assistenten als Hinweisgeber offengelegt hatte. Damit sei er der Gefahr von Repressalien ausgesetzt worden. Für diesen immateriellen Schaden sprach das EuG ihm 10.000 Euro Entschädigung zu.
Das Gericht hob auch die stillschweigende Entscheidung des EU-Parlaments auf, keine weiteren Schutzmaßnahmen zu ergreifen, und kritisierte, dass das Parlament nicht alle nötigen Vorkehrungen getroffen habe, um den Assistenten ausreichend zu schützen. Die Verwaltung hatte lediglich mitgeteilt, dass die Freistellung von seinen Aufgaben die einzige Schutzmaßnahme sei, was das EuG als unzureichend erachtete.
Das Urteil betont, dass die 2019 verabschiedete EU-Richtlinie zum Schutz von Whistleblowern weitreichende Maßnahmen vorsieht, um Hinweisgeber vor Repressalien wie Kündigung, Mobbing, Rufschädigung oder anderen Benachteiligungen zu schützen. Diese Schutzmaßnahmen gelten jedoch nicht bedingungslos: Missstände müssen in der Regel zunächst vertraulich über interne Kanäle gemeldet werden. Hinweisgeber können sich auch direkt an Whistleblower-Stellen oder an die Öffentlichkeit wenden, wenn irreversible Schäden drohen oder keine zeitnahe Rückmeldung erfolgt.
Das Parlament kann gegen das Urteil innerhalb von zwei Monaten Rechtsmittel beim Europäischen Gerichtshof (EuGH) einlegen.
Betroffene haben das Recht, Auskunft über die Verarbeitung ihrer personenbezogenen Daten zu verlangen.
Das Recht auf Auskunft ist in Art. 15 DSGVO geregelt. Der Verantwortliche ist in der Pflicht, Auskunft zu erteilen.
In Artikel 12 Abs. 3 DSGVO ist die Frist zur Beantwortung eines Auskunftsersuchens geregelt.
Artikel 12 Abs. 3 S. 1 DSGVO bestimmt, dass einem Auskunftsersuchen unverzüglich (unverzüglich meint „ohne schuldhaftes Zögern“, vgl. § 121 Abs. 1 BGB) nachzukommen ist, in jedem Fall aber innerhalb eines Monats nach Eingang des Ersuchens.
Die Monatsfrist (was nicht unbedingt 30 Tagen entspricht) ist damit eine Höchstfrist. Die Höchstfrist darf nach der gesetzlichen Konzeption nur ausgenutzt werden, wenn vom Verantwortlichen (oder Auftragsverarbeiter) keine schnellere Antwort erwartet werden konnte/durfte. Ist dem Verantwortlichen aber eine schnellere Antwort zumutbar, muss er vor Verstreichen der Monatsfrist antworten. Faktoren, die bei der Bemessung der Antwortfrist eine Rolle spielen, können insbesondere die in Artikel 12 Abs. 3 S. 2 DSGVO zur Fristverlängerung genannten sein, wie z.B. die Komplexität des Antrages oder die Anzahl von Ersuchen, die der Verantwortliche noch beantworten muss.
In der Praxis lässt sich sagen, dass die Monatsfrist aus Art. 12 Abs. 3 DSGVO quasi zur Regelfrist geworden ist. Aufsichtsbehörden gewähren einem Verantwortlichen zur Beantwortung i.d.R. die Monatsfrist.
Wenn ein Rechtsanwalt (oder ein Betroffener) eine kürzere Frist setzt, ist mit Blick auf den eigentlichen Grundsatz der Unverzüglichkeit aber die gesetzte Frist einzuhalten, so lange sie nicht unangemessen kurz ist. Es spiel übrigens keine Rolle, wer die Frist setzt. Ob das Ersuchen von einem Anwalt stammt oder dem Betroffenen selbst, spielt für die Bemessung der Frist keine Rolle.
Stand: 18.09.2024
Ausgangslage:
Ein Bewerber verlangte nach erfolgter Absage Auskunft nach Art. 15 DSGVO Auskunft, ob eine automatisierte Entscheidungsfindung stattgefunden hat (Art. 22 DSGVO Abs. 1) sowie eine originalgetreue Kopie aller vom Bewerber verarbeiteten personenbezogenen Daten und immateriellen Schadensersatz von 2.000 Euro.
Urteil des EuGH vom 19.04.2012
Der Europäische Gerichtshof (EuGH) entschied in seinem Urteil vom 19. April 2012, dass Unternehmen Bewerbern keine Auskunft über die Gründe ihrer Ablehnung geben müssen. Ebenso haben abgelehnte Bewerber keinen Anspruch darauf, die Unterlagen anderer Bewerber einzusehen. Allerdings kann das völlige Schweigen eines Unternehmens negative Auswirkungen haben, wenn der abgelehnte Bewerber vor Gericht zieht und Diskriminierung vermutet. In solchen Fällen könnte dies zu einer Beweislastumkehr führen, bei der das Unternehmen beweisen muss, dass keine Diskriminierung vorliegt.
Im konkreten Fall hatte eine Frau, die sich als Systemtechnik-Ingenieurin beworben und abgelehnt worden war, geklagt, da sie sich aufgrund ihres Geschlechts, Alters und ihrer ethnischen Herkunft diskriminiert fühlte. Das Unternehmen verweigerte jedoch die Angabe von Gründen für die Ablehnung.
Aus den Urteilsgründen
Der Europäische Gerichtshof (EuGH) hat Milliardenstrafen gegen Apple und Google bestätigt, was einen bedeutenden Sieg für die scheidende EU-Wettbewerbskommissarin Margrethe Vestager darstellt. Apple muss 13 Milliarden Euro an Irland nachzahlen, da ein Steuerdeal als unerlaubte Staatsbeihilfe eingestuft wurde. Google wurde eine Geldbuße von 2,4 Milliarden Euro auferlegt, weil der Konzern seine Marktmacht missbraucht hatte, um seinen eigenen Preisvergleichsdienst in den Suchergebnissen zu bevorzugen.
Die Urteile gelten als wegweisend, da sie zeigen, dass auch große Technologiekonzerne zur Rechenschaft gezogen werden. Vestager betonte die Bedeutung der Steuergerechtigkeit und den Einfluss der Verfahren auf die Steuerpolitik in Europa. Das Urteil gegen Google wird als besonders folgenschwer angesehen, da es das Verhalten von Google in verschiedenen Geschäftsfeldern infrage stellt. Unternehmen und Politiker lobten die Entscheidungen als einen „historischen Tag für den Wettbewerb“ in der EU.
Stand: 18.09.2024
Videoüberwachung ist zulässig, soweit die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist, sofern nicht die Interessen oder Grundreche und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.
Dennoch sind die Informationspflichten nach Art. 13 DSGVO einzuhalten, d.h. ein entsprechendes Schild mit den Eckdaten zur Videoüberwachung ist gut sichtbar auf Augenhöhe anzubringen, sodass sowohl Schüler als auch externe Besucher über die Videoüberwachung informiert werden. In Schulen dürfte die Ermessensprüfung in den überwiegenden Fällen zugunsten des informationellen Selbstbestimmungsrechts ausfallen.
Wichtige Anhaltspunkte bietet die Handreichung für den Datenschutz an Schulen im FAQ Videoüberwachung an Schulen:
Die Videoüberwachung an Schulen darf aufgrund des erheblichen Eingriffs in das Recht auf informationelle Selbstbestimmung nur unter strengen Voraussetzungen erfolgen. Sie dient vorwiegend der Gefahrenabwehr, wie dem Schutz von Personen oder Eigentum (Art. 24 BayDSG). Voraussetzung ist eine Gefährdungsprognose auf Basis von dokumentierten Vorfällen. Eine bloße Möglichkeit einer Gefahr rechtfertigt keine Überwachung.
Bei der Entscheidung für Videoüberwachung muss der Verhältnismäßigkeitsgrundsatz beachtet werden: Die Maßnahme muss geeignet, erforderlich und angemessen sein, und es ist zu prüfen, ob mildere Maßnahmen in Betracht kommen. Die Überwachung muss transparent erfolgen, z. B. durch Hinweisschilder, und der Zugriff auf die Daten ist auf autorisierte Personen beschränkt. Die Daten sind grundsätzlich nach spätestens drei Wochen zu löschen, sofern sie nicht zur Verfolgung von Straftaten oder Ordnungswidrigkeiten benötigt werden. Zudem muss der Datenschutzbeauftragte rechtzeitig informiert werden. Liegt der Gefährdungstatbestand nicht mehr vor, ist die Überwachung einzustellen, und geeignete Maßnahmen sind zu ergreifen, um den Eindruck einer Überwachung zu vermeiden.
Fazit:
Stand: 11.09.2024
Bezüglich der Aufbewahrungsfristen gelten unterschiedliche Vorgaben.
Folgende gesetzliche Vorgaben sind einzuhalten:
Stand: 11.09.2024
§ 26 Absatz 1 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) regelt, dass eine unabhängige Stelle Dienste anerkennen kann, die nutzerfreundliche und wettbewerbskonforme Verfahren zur Verwaltung der Einwilligung von Endnutzern bereitstellen. Solche Einwilligungen sind nach § 25 Absatz 1 TDDDG erforderlich, wenn Anbieter von digitalen Diensten auf die Endeinrichtungen der Nutzer (z.B. über Cookies) zugreifen wollen. Die anerkannten Dienste sollen eine Alternative zu den zahlreichen Einwilligungsbannern bieten und zentral die Einwilligungen der Nutzer verwalten, wodurch einzelne Einwilligungsanfragen reduziert werden.
Absatz 2 ermächtigt die Bundesregierung, per Rechtsverordnung Details zu den Anforderungen und zum Anerkennungsverfahren solcher Dienste festzulegen. Die Anerkennung erfolgt durch den Bundesbeauftragten für Datenschutz und Informationsfreiheit, und Gebühren für diese Verfahren sind geregelt.
Die "Verordnung über Dienste zur Einwilligungsverwaltung" (auch "Cookie-Banner-Verordnung") soll es ermöglichen, Cookie-Einwilligungen nur einmal im Browser voreinzustellen, anstatt auf jeder Website einzeln. Allerdings bestehen mehrere Probleme:
Stand: 11.09.2024
•Angehörige, die keine Erben sind, haben keinen Anspruch auf Zugang zu den Daten.
•Im Erbfall ist der stärkste Nachweis der Berechtigung der Erbschein gem. §§ 2365, 2366, 2367 BGB.
•Jedoch folgt daraus nicht, dass TK-Dienstanbieter stets die Vorlage eines Erbscheins verlangen können.
•Nach Rechtsprechung des BGH müssen auch andere Formen des Nachweises zugelassen werden, da dem Interesse der Erben an einer raschen und kostengünstigen Abwicklung Rechnung getragen werden muss. Hier kommt vor allem das notarielle Testament bzw. der Erbvertrag nebst Eröffnungsniederschrift in Betracht.
•Auch die Vorlage eines eröffneten eigenhändigen Testaments kann ausreichen, wenn diese die erforderliche Eindeutigkeit nachweist.
•Der Testamentsvollstrecker legitimiert sich durch die Vorlage des Testamentsvollstreckungszeugnisses gem. § 2368 BGB.
•Bei einem Bevollmächtigten genügt die Vorlage einer (Vorsorge-)Vollmacht.
•Gerade im Hinblick auf OTT-Diensteanbieter sollen jedoch keine überzogenen Anforderungen gelten, so reichen z.B. die Vorlage von Kopien, Scans, Fotos oder elektronischen Abzügen aus. Daher sollten Endnutzer „digitale Vorsorge treffen“.
Wie oft muss ich der Bitte nach Vorlage von Inhalten nachgehen, wenn der Anfragende nicht mehr reagiert?
•Unserer Ansicht nach eigentlich gar nicht (wenn gesichert ist, dass der Anfragende die erste Antwort erhalten hat!). Kann das nicht sichergestellt werden: einmal nachhaken.
Stand: 27.07.2024
Tätigkeitsbericht des Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, S. 76f
„Für Arbeitgeber*innen gilt nicht mehr das Fernmeldegeheimnis, wenn sie die private Nutzung der betrieblichen E-Mail- oder Internetdienste erlauben oder dulden. Die LDI NRW empfiehlt im Beschäftigtenverhältnis dennoch weiterhin schriftliche Regelungen zur privaten Nutzung von E-Mail und Telefon.“
Nach Ansicht des LDI NRW seien ArbeitgeberInnen nicht mehr an das Fernmeldegeheimnis gebunden, wenn sie die private Nutzung der betrieblichen E-Mail- oder Internetdienste erlauben oder dulden. Nach dem Inkrafttreten des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) unterlägen sie nicht mehr dem Telekommunikationsrecht und müssten das Fernmeldegeheimnis gegenüber ihren Beschäftigten nicht garantieren. Dies gelte vor allem für Anbieter von öffentlich zugänglichen und geschäftsmäßig angebotenen Telekommunikationsdiensten.
Der LDI NRW schreibt weiter, dass ArbeitgeberInnen früher die Einwilligung der Beschäftigten für den Zugriff auf deren Protokolldaten oder E-Mails benötigt hätten. Mit dem TDDDG gelten nun die Vorschriften der DSGVO, die ein ähnlich hohes Schutzniveau für personenbezogene Daten bietet. Auch nach der DSGVO ist eine Rechtsgrundlage für den Zugriff erforderlich. Die LDI NRW empfiehlt weiterhin schriftliche Regelungen zur privaten Nutzung von Internet und E-Mail, um Fragen des Zugriffs, der Protokollierung und der Kontrolle eindeutig zu klären. Beschäftigte sollten über mögliche Überwachungsmaßnahmen und Sanktionen informiert werden. Obwohl sich die Rechtslage geändert hat, sollten Arbeitgeber*innen weiterhin regeln, ob Internet und E-Mail privat genutzt werden dürfen.
Fazit:
Wir sind der Ansicht, dass das Fernmeldegeheimnis noch nie für Arbeitgeber gegolten hat. Große Teile der Literatur und auch viele Datenschutz-Aufsichtsbehörden hatten diese Auffassung zwar immer vertreten, die Gerichte sind dem allerdings nie gefolgt. Der Grund für die Gerichte, die Diensteanbieter-Eigenschaft der Arbeitgeber abzulehnen, war immer, dass Arbeitgeber (nur) durch das Zurverfügungstellen von Internet, E-Mail und Telefon nicht automatisch zum Diensteanbieter werden, da weitere Voraussetzungen diesbezüglich fehlten und auch Sinn und Zweck der Vorschrift dieser Auslegung zuwiderlief.
Stand: 17.07.2024
Aus dem Sachverhalt - Oberlandesgericht Celle: Beschl. v. 10.06.2024, Az.: 5 W 46/24
Der Beschluss des Oberlandesgerichts Celle vom 10. Juni 2024 behandelt die Streitwertfestsetzung einer Klage, bei der Ansprüche aus der DSGVO gegen einen international tätigen Musik-Streaming-Dienst aufgrund eines Cyberangriffs auf Kundendaten geltend gemacht werden.
Der Kläger machte im Rahmen eines Massenverfahrens gegen den Musik-Streaming-Dienst D. Ansprüche aufgrund eines Cyber-/Hackerangriffs geltend. Die Beklagte betreibt einen internationalen Musikstreaming-Dienst, der in über 180 Ländern verfügbar ist und Musik, Hörbücher, Hörspiele sowie Podcasts anbietet. Der Kläger forderte:
• Immateriellen Schadensersatz in Höhe von 1.000 Euro
• Feststellung der Ersatzpflicht der Beklagten für zukünftige materielle Schäden
• Unterlassung weiterer DatenschutzverstößeAuskunft über die gespeicherten Daten
Das Landgericht Lüneburg hatte der Klage nur teilweise stattgegeben und den Streitwert für das erstinstanzliche Verfahren auf 3.500 Euro festgesetzt, was auf folgende Weise verteilt wurde:
• 1.000 Euro für den Zahlungsantrag, 2.000 Euro für den Unterlassungsantrag, 250 Euro für den Feststellungsantrag, 250 Euro für den Auskunftsantrag.
Die Prozessbevollmächtigten des Klägers erhoben Beschwerde gegen diese Streitwertfestsetzung und forderten eine Erhöhung auf mindestens 6.000 Euro. Sie veranschlagten:
• 1.000 Euro für den Schadensersatzanspruch, 4.000 Euro für den Unterlassungsanspruch, 500 Euro für den Feststellungsanspruch, 500 Euro für den Auskunftsanspruch.
Aus den Urteilsgründen - Oberlandesgericht Celle: Beschl. v. 10.06.2024, Az.: 5 W 46/24
Der 5. Zivilsenat des OLG Celle wies die Beschwerde zurück und setzte den Streitwert von Amts wegen herab auf 1.900 Euro. Die Aufteilung wurde wie folgt vorgenommen: 1.000 Euro für den Zahlungsantrag, 300 Euro für den Unterlassungsantrag, 300 Euro für den Feststellungsantrag, 300 Euro für den Auskunftsantrag.
Der Senat stellte fest, dass in Massenverfahren wie diesem die Aufnahme von Feststellungs-, Unterlassungs- und Auskunftsanträgen oft hauptsächlich zur Anreicherung des Prozessstoffs erfolgt, ohne dass ein wesentliches eigenes materielles Interesse des Klägers besteht. Der Senat betonte, dass er nicht daran gehindert sei, den Streitwert entgegen dem Ziel der Beschwerde von Amts wegen herabzusetzen. Dies ist im Streitwertrecht grundsätzlich zulässig und üblich. Der Senat verwies auf frühere Entscheidungen, in denen er ähnliche Fälle behandelt hatte (5 U 31/23 und 5 U 77/23). In diesen Verfahren wurden die Klageparteien durch die gleiche Rechtsanwaltskanzlei vertreten, die auch die aktuelle Beschwerdeführerin vertritt, und es handelte sich um massenhaft eingereichte Klagen. Es wurde festgestellt, dass die Kanzlei der Beschwerdeführerin aktiv Kundenakquise im Zusammenhang mit dem Datenschutzvorfall betreibt, was durch Werbung auf ihrer Website und einem YouTube-Video belegt wurde. Dies unterstützte die Annahme eines massenhaften Verfahrens. Der Zahlungsantrag wurde wie üblich mit 1.000 Euro bewertet.
Die restlichen Anträge wurden auf der niedrigsten Wertstufe (jeweils 300 Euro) angesetzt, da der Senat davon ausging, dass kein wesentliches eigenes materielles Interesse des Klägers an diesen Anträgen besteht.
Ergebnis: Das OLG Celle kam zu dem Schluss, dass die Klage Teil eines Massenverfahrens ist, bei dem die zusätzlichen Anträge (Feststellung, Unterlassung und Auskunft) hauptsächlich der Anreicherung des Prozessstoffs dienen und kein wesentliches eigenes materielles Interesse des Klägers besteht. Daher wurde der Streitwert auf insgesamt 1.900 Euro herabgesetzt.
Stand: 17.07.2024
Der Datenschutz bleibt von der KI-Verordnung grundsätzlich unberührt
--> DSGVO, BDSG und TDDDG bleiben anwendbar.
Zusätzlich gibt es (wenn wir nicht in einem Hochrisiko-System unterwegs sind) Transparenzpflichten aus Art. 50 KI-VO. Anbieter von KI-Systemen, die für die Interaktion mit natürlichen Personen bestimmt sind, müssen Mitteilungspflichten einhalten, die die Nutzer darüber informieren, dass sie es mit einem KI-System zu tun haben, es die denn, dies ist aufgrund der Umstände und des Kontexts der Nutzung offensichtlich. Fraglich und für die Daten im Rahmen der Anwendung von KI in Vertriebssystemen von entscheidender Bedeutung bleibt insbesondere, wie und ob eine mittelbare Beteiligung von KI durch Einpflegung/Filterung/Training von erhobenen Kundendaten zum Zwecke der anschließenden Auswertung oder Vermarktung gekennzeichnet und offengelegt werden muss. Handelt es sich um die Verwendung personenbezogener Daten liegt eine Mitteilungspflicht nahe. Auch bei Gesamtanalysen des Kaufverhaltens der Kundengruppen könnte eine Mitteilungspflicht bestehen. Dies ist jedoch noch nicht abschließend geklärt. Um auf der sicheren Seite zu stehen wäre daher eine Mitteilung an die Nutzer empfehlenswert (vgl. Hero/Ströer: Der Einsatz von KI in Vertriebssystemen, ZVertriebsR 2024,75).
Datenschutzrechtlich:
Die Verarbeitung personenbezogener Daten im Kontext KI lässt sich in zwei Schritte unterteilen:
Zu. 1.
Für das Training der KI ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, Art. 6 Abs. 1 lit. f DSGVO. Das wirtschaftliche Interesse eines Herstellers von KI-Anwendungen kann ebenfalls berechtigtes Interesse sein, wenn es um die Weiterverwendung von Daten geht, die von den Nutzern bereitgestellt wurden. Dieses Interesse an der Weiterentwicklung überwiegt oftmals, muss jedoch im Rahmen einer umfassenden Gesamtbetrachtung bewertet werden.
Zu 2.:
Immer Verfremdung von Daten anvisieren (Oberbegriff für Pseudonymisierung und Anonymisierung). Bei der Pseudonymisierung braucht man eine Rechtsgrundlage, bei der Anonymisierung nicht. Zudem sieht das BfDI eine Datenschutzfolgenabschätzung als Regelfall an. Zudem muss die Verfremdung auch Gegenstand der nach Art. 14 DSGVO vorzuhaltenden Datenschutzhinweise sein. Hierbei sind die Zwecke der Verfremdung sowie die Rechtsgrundlagen und die Möglichkeiten für die Aufhebung der Verfremdung zu nennen.
Zudem ist die Verfremdung auch in das Verarbeitungsverzeichnis gem. Art. 30 DSGVO einzutragen.
Stand: 10.07.2024
Aktuell gibt es eine neue Abmahnwelle. Die AdSimple GmbH, geführt von einem zertifizierten Datenschutzbeauftragten, nutzt ihren Datenschutzgenerator erfolgreich als Geschäftsmodell.
AdSimple fordert von Nutzern, die bestimmte Nutzungsvorgaben zur kostenlosen Nutzung von rechtlichen Texten nicht eingehalten haben (kein Quellenverweis, kein Link, etc.), entweder die Nutzungsrechte für 499,- Euro zu kaufen oder einen Schadensersatz von 499,- Euro zu zahlen.
Ist das rechtmäßig? Besteht dieser Anspruch seitens AdSimple?
AdSimple weist darauf hin, dass der Datenschutztext nur mit Nennung und Verlinkung genutzt werden darf.
Werden diese Bedingungen nicht eingehalten, entfällt das dem Nutzer eingeräumte Nutzungsrecht und AdSimple kann eine Urheberrechtsverletzung geltend machen. Wir halten dieses Vorgehen für rechtmäßig.
Vorgehen beim Erhalt einer Abmahnung:
Prüfen, ob man rechtliche Beratung benötigt oder alleine handeln kann. Immer innerhalb der gesetzten Frist bleiben, falls sie sehr knapp ist, beim Gegner melden und ein paar Tage mehr heraushandeln. Es kann sich manchmal auch lohnen, hinsichtlich des Preises zu verhandeln.
Stand: 10.07.2024
Urteil des Finanzgericht Berlin-Brandenburg vom 20.03.2024 – Aktenzeichen 16 K 12118/21
Die Beteiligten streiten um Akteneinsicht in Bewertungsakten und -Daten zum Objekt C…-straße, Berlin, um die Grundlagen für die Einkommensbesteuerung, insbesondere Absetzung für Abnutzung (AfA), zu überprüfen.
Im Jahr 2008 erwarb die Firma E… GmbH das Gesamtobjekt C-straße, modernisierte es und schuf 26 Wohneinheiten, die 2010 verkauft wurden. Nach der Insolvenz des Bauträgers erfolgte 2020 eine Außenprüfung bei der F… GmbH, die die Feststellung der Besteuerungsgrundlagen für die erhöhte AfA und andere steuerliche Aspekte für 2010-2020 zum Gegenstand hatte.
Im Prüfungsbericht vom 30. November 2020 wurden Kaufpreisaufteilungen und fehlerhafte Fertigstellungszeitpunkte festgestellt. Mit Bescheid vom 11. Dezember 2020 wurden die Grundlagen für die erhöhte AfA und andere steuerliche Abschreibungen festgelegt. Die Kläger beantragten Akteneinsicht, um die Bewertungsgrundlagen nachvollziehen zu können. Der Beklagte lehnte dies teilweise ab und gewährte nur eingeschränkte Einsicht unter Verweis auf das Steuergeheimnis und den Schutzinteressen Dritter. Die Kläger erhoben Einspruch und beantragten umfassendere Akteneinsicht, die vom Beklagten mit Hinweis auf fehlenden gesetzlichen Anspruch und den hohen Aufwand abgelehnt wurde.
Im weiteren Verfahren forderten die Kläger eine detaillierte Offenlegung der Bewertungsgrundlagen und stützten sich auf Art. 15 DSGVO, was der Beklagte aufgrund des Steuergeheimnisses und des erheblichen Aufwands ablehnte. Die Kläger brachten ihren Anspruch im Klageverfahren weiter vor und argumentierten, dass ohne vollständige Akteneinsicht kein effektiver Rechtsschutz möglich sei. Der Beklagte verwies auf die Unterschiede zwischen Akteneinsichtsrecht und datenschutzrechtlichem Auskunftsrecht und argumentierte gegen einen generellen Anspruch auf Akteneinsicht nach der Abgabenordnung.
Die Klage der Kläger ist teilweise begründet. Laut dem Gericht besteht kein Anspruch auf uneingeschränkte Akteneinsicht durch die Übersendung von Kopien der originalen Akten, weder nach der DSGVO, noch nach der Abgabenordnung oder dem Informationsfreiheitsgesetz (IFG). Jedoch ist der angefochtene Bescheid in Bezug auf die Akteneinsicht im Finanzamt rechtswidrig, und die Kläger haben einen Anspruch auf eine neue Bescheidung bezüglich der Akteneinsicht im Finanzamt (§ 101 Satz 2 FGO).
Die DSGVO gewährt zwar ein Auskunftsrecht über personenbezogene Daten, dieses umfasst jedoch nicht das Recht auf die Übersendung von Kopien der gesamten originalen Akten. Das Auskunftsrecht nach Art. 15 DSGVO bezieht sich auf personenbezogene Daten und nicht auf vollständige Dokumente oder Akten. Es gibt keinen gesetzlichen Anspruch auf Akteneinsicht in der Abgabenordnung, jedoch muss die Finanzbehörde eine ermessensfehlerfreie Entscheidung über Anträge auf Akteneinsicht treffen. Das Finanzamt hat ermessensfehlerhaft entschieden, indem es das Akteneinsichtsrecht der Kläger nicht ausreichend berücksichtigt hat. Die Kläger haben Anspruch auf eine ermessensfehlerfreie Neubescheidung durch das Finanzamt, welche die Akteneinsicht an einer Amtsstelle ermöglicht. Das Finanzamt muss die Akten entweder in der eigenen Behörde oder an ein Gericht im Bezirk der Kläger zur Einsichtnahme bereitstellen. Die Entscheidung betont, dass das Recht auf Auskunft nach der DSGVO und das Akteneinsichtsrecht getrennt zu betrachten sind und unterschiedlichen Zwecken dienen. Außerdem verdeutlicht sie, dass die Finanzbehörden auch bei der Ablehnung von Akteneinsicht ihre Entscheidung sorgfältig und ermessensfehlerfrei begründen müssen.
Stand: 03.07.2024
Mehr Infos zum Thema Maßnahmen und Abwehrstrategien gegen einen Ransomware-Cyberangriffe finden Sie in unserem Blog.
Mehr Informationen zur gemeinsamen Verantwortlichkeit finden Sie in unserem Blog.
EuGH-Urteil vom 07.03.2024 (C‑740/22)
Endemol Shine Finland beantragte beim erstinstanzlichen finnischen Gericht mündlich Auskunft über strafrechtliche Verurteilungen einer natürlichen Person, die an einem Wettbewerb des Unternehmens teilnahm. Das Gericht lehnte den Antrag ab, da er keinen in § 7 des Datenschutzgesetzes genannten Grund für die Verarbeitung strafrechtlicher Daten erfüllte und eine solche Auskunft eine Verarbeitung personenbezogener Daten darstelle.
Endemol Shine Finland legte Berufung beim Berufungsgericht ein, das nun vom Europäischen Gerichtshof drei Vorlagefragen klären ließ, ob eine mündliche Auskunft eine Verarbeitung personenbezogener Daten im Sinne der DSGVO darstellt. Zudem wollte das vorlegende Gericht wissen, ob der Zugang der Öffentlichkeit zu solchen Daten mit dem Datenschutzrecht in Einklang gebracht werden kann und ob es dabei einen Unterschied macht, ob der Antragsteller ein Unternehmen oder eine Privatperson ist.
Vorlagefragen:
1.„Stellt eine mündliche Übermittlung personenbezogener Daten eine Verarbeitung personenbezogener Daten im Sinne von Art. 2 Abs. 1 und Art. 4 Nr. 2 DSGVO dar?
2.Kann der Zugang der Öffentlichkeit zu amtlichen Dokumenten mit dem Recht auf Schutz personenbezogener Daten in der von Art. 86 DSGVO genannten Weise dadurch in Einklang gebracht werden, dass aus dem Personenregister eines Gerichts unbeschränkt Informationen über strafrechtliche Verurteilungen oder Straftaten einer natürlichen Person erhältlich sind, wenn beantragt wird, dem Antragsteller die Informationen mündlich zu übermitteln?Ist für die Antwort auf Frage 2 von Bedeutung, ob es sich bei dem Antragsteller um ein Unternehmen oder um eine Privatperson handelt?“
Aus dem Urteilsgründen:
Art. 4 Nr. 2 DSGVO stellt keine Bedingungen für die Form der „nicht automatisierten“ Verarbeitung auf. Der Begriff „Verarbeitung“ deckt daher die mündliche Übermittlung ab. Eine mündliche Auskunft über möglicherweise verhängte oder bereits verbüßte Strafen in Bezug auf eine natürliche Person stellt damit eine Verarbeitung personenbezogener Daten im Sinne der DSGVO dar.
Diese Verarbeitung fällt in den sachlichen Anwendungsbereich der Verordnung, wenn die Informationen in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Die DSGVO, insbesondere Artikel 6 Abs. 1 Buchstabe e und Artikel 10, steht dem entgegen, dass Daten in einem Personenregister eines Gerichts über strafrechtliche Verurteilungen einer natürlichen Person jedem mündlich mitgeteilt werden können. Dies gilt auch, wenn es darum geht, den Zugang der Öffentlichkeit zu amtlichen Dokumenten sicherzustellen. Eine solche Mitteilung darf nicht erfolgen, ohne dass die Person, die die Informationen begehrt, ein besonderes Interesse an diesen Daten geltend machen muss.
Es spielt dabei keine Rolle, ob der Antragsteller ein Unternehmen oder eine Privatperson ist.
Fazit
Diese Entscheidung macht deutlich, dass nahezu jede Handhabung personenbezogener Daten als „Verarbeitung“ betrachtet werden kann und somit der DSGVO unterliegt, sofern die Daten in einem Dateisystem gespeichert oder anderweitig verarbeitet werden sollen. Unternehmen und Organisationen müssen sich bewusst sein, dass Datenschutzverpflichtungen nicht nur für elektronische Datenverarbeitungen gelten, sondern für jede Form der Datenverarbeitung, einschließlich mündlicher Übermittlungen.
In der Praxis bedeutet dies, dass Datenschutzmaßnahmen umfassend und medienübergreifend konzipiert werden müssen. Organisationen sollten ihre Datenschutzrichtlinien überprüfen und sicherstellen, dass sie auch mündliche Datenübertragungen angemessen berücksichtigen.
Das Urteil des EuGH sendet ein klares Signal, dass der Schutz personenbezogener Daten in der EU höchste Priorität hat. Es zeigt deutlich, dass der Begriff der Datenverarbeitung weit interpretiert wird, was das Vertrauen in den Datenschutz stärkt und die Rechte der Bürgerinnen und Bürger in der EU weiterhin schützt. Unternehmen und andere Organisationen sind aufgefordert, ihre Datenschutzpraktiken entsprechend anzupassen und auch die mündliche Datenverarbeitung in ihr Datenschutzmanagement nach der DSGVO einzubeziehen.
Stand: 26.06.2024
Eigentlich sollte ab dem 26. Juni 2024 können persönliche Informationen von Facebook- und Instagram-Nutzer, einschließlich geposteter Fotos und Videos, für das Training der KI von Meta verwendet werden. Diese Änderung der Datenschutzrichtlinien wurde im Mai angekündigt. Nutzer können dem widersprechen, jedoch ist der Prozess kompliziert und wenig benutzerfreundlich. Zudem analysiert Facebook jetzt standardmäßig private Fotobibliotheken und schlägt vor, welche Fotos oder Videos geteilt werden könnten.
Die Verbraucherzentrale NRW hat Meta dafür abgemahnt und zur Unterlassung aufgefordert, da diese Änderungen gegen Datenschutzrechte verstoßen. Nutzer sollten diese Funktionen (pb Daten für Training benutzen – oder nicht) aktivieren können, wenn sie dies wünschen, statt sie standardmäßig aktiviert vorzufinden. Meta beruft sich auf das berechtigte Interesse, um Inhalte, auch aus privaten Profilen, für KI-Training zu nutzen. Die Verbraucherzentrale NRW kritisiert, dass dies nicht ohne ausdrückliche Einwilligung der Nutzer geschehen dürfe. Der Widerspruchsprozess ist oft nicht durchführbar, etwa bei gehackten Accounts, da ein Login erforderlich ist. Die neue Funktion der Facebook-App, die automatisch Fotos und Videos auf dem Smartphone analysiert, verstößt ebenfalls gegen Datenschutzprinzipien. Diese Funktion ist standardmäßig aktiviert, obwohl sie deaktiviert sein sollte. Meta hat nun das geplante Vorgehen erstmal verschoben.
Vorgehen bei Widerspruch:
•Online-Formulare verwenden: Einloggen und Formulare ausfüllen, in denen Gründe für den Widerspruch angegeben werden müssen.
•Manuelle Schritte: Bei technischen Problemen auf den Profilseiten die Datenschutzeinstellungen aufrufen und den Widerspruchslink anklicken.
•E-Mail-Widerspruch: Falls die Formulare nicht funktionieren, können E-Mails an die Adressen aus dem Impressum gesendet werden.
Auskunft und Korrektur von Daten durch Drittanbieter: Nutzer können über spezielle Formulare Zugriff auf personenbezogene Daten beantragen, die von Drittanbietern verwendet werden, und diese Daten korrigieren oder löschen lassen.
Stand: 19.06.2024
Urteil des OLG Oldenburg vom 21. Mai 2024, Az. 13 U 100/23
Aus dem Sachverhalt:
Der Kläger verlangte von einer Social-Media-Plattform Schadenersatz, Feststellung, Unterlassung und Auskunft aufgrund eines Scraping-Vorfalls, bei dem personenbezogene Daten veröffentlicht wurden. Der Kläger hat sich dabei auf die Erwägungsgründe 75 und 85 der DGSVO berufen, der der Verlust seiner Daten für ihn einen immateriellen Schaden darstellen würde.
Das Landgericht Oldenburg hatte die Klage abgewiesen, da kein Verstoß gegen die DSGVO und kein nachgewiesener Schaden vorlag. Der Kläger führte an, dass er durch den Scraping-Vorfall Unwohlsein und Sorge wegen des möglichen Missbrauchs seiner Daten verspürt habe. Das Oberlandesgericht Oldenburg wies die Berufung zurück und stellte fest, dass der Kläger keinen immateriellen Schaden nachweisen konnte. Des Weiteren würden die Erwägungsgründe, auf die sich der Kläger berief, lediglich als Auslegungshilfe dienen und keinen normativen Charakter aufweisen.
Aus den Urteilsgründen:
„Amtlicher Leitsatz
Ein Anspruch auf Schadenersatz gemäß Art. 82 DSGVO setzt neben dem Verlust der Kontrolle über personenbezogene Daten den Nachweis voraus, dass der Betroffene einen Schaden, hier in Form eines immateriellen Schadens durch Ängste und Sorgen, tatsächlich erlitten hat.
Der Kläger genügt seiner Darlegungslast für die Entstehung eines immateriellen Schadens, wenn er behauptet, Unwohlsein und Sorge wegen eines möglichen Missbrauchs seiner personenbezogenen Daten verspürt zu haben.“
Die Beklagte hatte gegen die DSGVO verstoßen, da sie personenbezogene Daten ohne erforderliche Rechtsgrundlage verarbeitet hatte. Der Kläger konnte jedoch keinen immateriellen Schaden wie Ängste und Sorgen nachweisen, die durch den Datenverlust verursacht wurden. Ein bloßer Kontrollverlust über die Daten stellt keinen ersatzfähigen Schaden dar. Die Anträge auf Feststellung, Unterlassung und Auskunft wurden somit als unbegründet oder unzulässig abgewiesen.
Das Urteil betont die Notwendigkeit des konkreten Nachweises eines immateriellen Schadens für einen Schadenersatzanspruch gemäß Art. 82 DSGVO.
Übersichten zum immateriellen Schadensersatz nach DSGVO:
Stand: 19.06.2024
Urteil des BVerwG zum Anspruch auf unentgeltliche Überlassung einer Kopie von Aufsichtsarbeiten
Aus dem Sachverhalt – Urteil des BVerwG vom 30.11.2022 – 6 C 10.21 (OVG Münster, VG Gelsenkirchen)
Im vorliegenden Fall verlangte ein Kläger die kostenfreie Bereitstellung seiner schriftlichen Prüfungsleistungen und Prüfergutachten, die im Rahmen der zweiten juristischen Staatsprüfung entstanden waren.
Das Landesjustizprüfungsamt lehnte dies ab, woraufhin das Verwaltungsgericht (VG) Gelsenkirchen und das Oberverwaltungsgericht (OVG) Münster dem Kläger Recht gaben.
Auch die Revision des Landesjustizprüfungsamtes vor dem BVerwG hatte keinen Erfolg.
Leitsatz 2 des Urteils des BVerwG vom 30.11.2022 – 6 C 10.21 (OVG Münster, VG Gelsenkirchen)
„Die in einer berufsbezogenen Prüfung unter einer Kennziffer angefertigten schriftlichen Prüfungsleistungen und die zugehörigen Prüfergutachten stellen jeweils ihrem gesamten Inhalt nach personenbezogene Daten des Prüflings dar.“
Das Bundesverwaltungsgericht (BVerwG) hat entschieden, dass Prüflinge einen Anspruch auf unentgeltliche Überlassung einer Kopie ihrer Aufsichtsarbeiten und der dazugehörigen Prüfergutachten haben. Dies basiert auf Art. 15 Abs. 1 und Abs. 3 Satz 1 der Datenschutz-Grundverordnung (DSGVO) in Verbindung mit Art. 12 Abs. 5 Satz 1 DSGVO.
Das BVerwG bestätigte, dass sowohl die Prüfungsarbeiten als auch die Prüfergutachten personenbezogene Daten des Prüflings darstellen und daher unter die DSGVO fallen. Der Anspruch auf eine unentgeltliche Kopie ist nicht durch nationale Vorschriften eingeschränkt und gilt unabhängig von der Möglichkeit, kostenpflichtige Kopien zu erhalten oder Einsicht zu nehmen.
Stand: 12.06.2024
Polizei und Staatsanwaltschaft können Zeugen im Rahmen eines strafrechtlichen Ermittlungsverfahrens Zeugen anhören bzw. vernehmen. Für den Strafprozess gelten spezielle Verfahrensvorschriften aus der Strafprozessordnung (STPO).
Dabei ist der Zeuge, wie auch der Sachverständige, kein Verfahrensbeteiligter, sondern ein Beweismittel.
Der Zeuge hat vor Gericht (bei der Polizei nur, wenn die Erscheinung von der Staatsanwaltschaft angeordnet wurde) eine Erscheinungspflicht (vgl. nur §§ 48, 51 StPO und § 380 ZPO).
Wenn ein ordnungsgemäß geladener Zeuge nicht zur Hauptverhandlung erscheint, werden ihm die durch das Ausbleiben verursachten Kosten auferlegt. Zugleich wird gegen ihn ein Ordnungsgeld und für den Fall, dass dieses nicht beigetrieben werden kann, Ordnungshaft festgesetzt. Um das zu vermeiden, kann z.B. das Nichterscheinen des Zeugen rechtzeitig genügend entschuldigt werden. Wichtig: wenn man erscheint, muss man eine wahrheitsgemäße Aussage machen.
Eine Ausnahme von der Aussage- und Wahrheitspflicht besteht nur dann, wenn eines der Aussageverweigerungsrechte nach §§ 52 ff. StPO bzw. §§ 383 ff. ZPO besteht.
Datenschutzrechtliche Einordnung, ob ich überhaupt personenbezogene Daten des Mitarbeiters preisgeben darf:
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
Für die Weitergabe personenbezogener Daten braucht es (wie immer) eine Rechtsgrundlage, im Falle des Art. 6 Abs. 1 lit.c DSGVO aus gesetzlichen Vorgaben.
Der DSGVO-Kommentar Gola/Heckmann, 3. Auflage 2022, Rz. 46 sagt dazu: „Auskunftsersuchen von Ermittlungsbehörden muss nur Folge geleistet werden, wenn ein Fall des § 163 Abs. 3 StPO vorliegt“.
Das ist gegeben, wenn z.B. eine Vorladung als Zeuge gegeben ist.
Unsere Empfehlung: bei Zeugenladung IMMER erstmal einen Strafrechtsanwalt kontaktieren.
Stand: 05.06.2024
Zum 14.05.2024 wurde das Telemediengesetz (TMG) durch das neue Digitale-Dienste-Gesetz (DDG) ersetzt. Das DDG passt das nationale Recht an den Digital Services Act (DSA) der EU an, der seit dem 17.02.2024 vollständig befolgt werden muss. Der DSA fördert das reibungslose Funktionieren des Binnenmarktes für Vermittlungsdienste und trägt zu einem sicheren und vertrauenswürdigen Online-Umfeld bei. Die gesetzlichen Änderungen betreffen alle Anbieter digitaler Dienstleistungen sowie Webseitenbetreiber.
Wichtig: Die Impressumspflicht, früher in § 5 TMG geregelt, ist nun in § 5 DDG zu finden. Inhaltlich bleibt diese Regelung unverändert, sodass bestehende Hinweise im Impressum einfach angepasst werden können. Es ist auch möglich, den Gesetzesverweis ganz zu entfernen, da die Vorschrift nicht die Angabe der gesetzlichen Fundstelle verlangt. Ein Verweis auf § 5 TMG sollte jedoch nicht beibehalten werden.
TMG § 7 - Allgemeine Grundsätze
(1) Diensteanbieter sind für eigene Informationen, die sie zur Nutzung bereithalten, nach den allgemeinen Gesetzen verantwortlich. --> TMG ist seit 14.05.2024 außer Kraft!
Eine wortgleiche Regelung bezüglich der Haftung ist im DDG nicht zu finden. Die Rechtslage hat sich jedoch mit dem Wegfall des TMG nicht geändert. Lediglich der Verweis auf § 7 TMG muss entfernt werden. Man kann es also einfach beim ursprünglichen Wortlaut belassen, denn nach wie vor haftet jeder Webseitenbetreiber gesetzlich für seine Inhalte, die er zur Verfügung stellt, vgl. dazu auch den Digital Services Act (DSA).
Das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) trägt seit 14. Mai 2024 den neuen Namen Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG), was im Zuge der Einführung des Digitale-Dienste-Gesetzes geschah. Inhaltlich bleibt das Gesetz weitgehend unverändert. Das TDDDG, offiziell „Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten“, setzt die EU-Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation um, die durch die Richtlinie 2009/136/EG geändert wurde. Verweise in Datenschutzerklärungen oder Cookie-Bannern sollten entsprechend an den neuen Namen angepasst werden.
Die Neuerungen auf einen Blick:
•Terminologie: „Digitaler Dienst“ statt Begriff „Telemedium“
•Seit 2021: Ausdrückliche Einwilligung erforderlich für Cookies und vergleichbare Techniken
•Achtung: Anderer Anwendungsbereich als die DSGVO:
•TDDDG verlangt immer eine Einwilligung, egal ob personenbezogene Daten anfallen oder nicht
•Möglichkeit für User, die Nutzung digitaler Dienste jederzeit zu beenden
Stand: 05.06.2024
Ab Mitte 2025 müssen bestimmte Websites und Apps gesetzlich barrierefrei sein. Diese Anforderung wird durch das Barrierefreiheitsstärkungsgesetz (BFSG) festgelegt. Das BFSG setzt die EU-Richtlinie des European Accessibility Act (EAA) um, wodurch europaweit einheitliche Barrierefreiheitsstandards eingeführt werden. Die Bestimmungen orientieren sich an der europäischen Norm EN 301 549, die größtenteils auf den internationalen Richtlinien für barrierefreie Webinhalte (WCAG) basiert.
•Das Barrierefreiheitsstärkungsgesetz (BFSG) muss zum 28. Juni 2025 umgesetzt sein
•Es gilt für unterschiedlichste Produkte, u.a. Tablets, Handys, E-Book-Reader, Router, Ticketautomaten, Geldautomaten, Computer, u.v.m.
•Es gilt auch für verschiedenen Dienstleistungen wie bspw. Websites, Webshops, Terminbuchungsapps, Messenger-Dienstleistungen, Telefon-Dienstleistungen u.v.m.
•Ausgenommen sind reine B2B Angebote (auch Kleinstunternehmen sind von der Pflicht zur Umsetzung nicht umfasst)
•Link zum BFSG – Barrierefreiheitsstärkungsgesetz
To-Do‘s:
• Betroffene Websites und Online-Shops nach der EN 301 549 Anforderung bis Juni 2025 anpassen
• „Erklärung zur Barrierefreiheit“ zur Verfügung stellen
FAQ der Bundesfachstelle Barrierefreiheit
Pauschal fallen nicht alle Websites unter das BFSG, sondern nur, wenn Dienstleistungen im elektronischen Geschäftsverkehr oder Bankdienstleistungen für Verbraucher angeboten werden.
--> Werden demnach Dienstleistungen im elektronischen Geschäftsverkehr über Webseiten angeboten, müssen diese den Bestimmungen des BFSG entsprechen. Reine Informationswebsites, wie z.B. „digitale Visitenkarten“ fallen nicht darunter.
Stand: 03.07.2024
Urteil des EuGH aus dem Jahr 2023:
Der Gerichtshof der Europäischen Union hat in der Rechtssache C-487/21 in seinem Urteil vom 04. Mai 2023 entschieden, dass das Recht auf eine „Kopie“ personenbezogener Daten gemäß Art. 15 Abs. 3 DSGVO bedeutet, dass betroffenen Personen eine originalgetreue und verständliche Reproduktion aller relevanten Daten zur Verfügung gestellt werden muss. Dieses Recht umfasst auch Kopien von Auszügen aus Dokumenten oder ganzen Dokumenten sowie Datenbankauszügen, wenn dies notwendig ist, um die Rechte der betroffenen Person effektiv auszuüben.
Der Gerichtshof stellte klar, dass „Kopie“ nicht nur eine allgemeine Beschreibung der Daten meint, sondern eine vollständige und originalgetreue Wiedergabe der personenbezogenen Daten. Zudem müssen die übermittelten Daten präzise, transparent, verständlich und leicht zugänglich sein, um den betroffenen Personen eine wirksame Ausübung ihrer Rechte zu ermöglichen. Bei Konflikten zwischen dem Auskunftsrecht und den Rechten Dritter muss eine Abwägung erfolgen, um die Rechte beider Seiten zu wahren.
Urteil des BGH vom 05.03.2024 - VI ZR 330/21
Im konkreten Fall forderte die Klägerin von den Beklagten, ihrer ehemaligen Finanzberaterin, Kopien aller personenbezogenen Daten, einschließlich Telefonnotizen, Aktenvermerken und E-Mails, die von ihr im Zeitraum 1997 bis 2018 verfasst wurden. Die Beklagten hatten jedoch nur eine aggregierte Auskunft erteilt und keine vollständigen Dokumente bereitgestellt. Das Landgericht und das Oberlandesgericht hatten die Beklagten zur Herausgabe der Dokumente verurteilt.
Der Gerichtshof stellte klar, dass der Begriff "Kopie" nicht nur eine allgemeine Beschreibung der Daten meint, sondern eine vollständige und originalgetreue Wiedergabe. Das Urteil hebt hervor, dass die betroffenen Personen das Recht haben, alle relevanten Dokumente zu erhalten, die ihre personenbezogenen Daten enthalten, um ihre Rechte gemäß der DSGVO wirksam ausüben zu können.
Fazit:
1. Art. 15 DSGVO umfasst auch den Zeitraum vor Mai 2018 (im vorliegenden Fall 1. Januar 1997 bis 31. März 2018)
2. Art. 15 Abs. 3 DSGVO: Betroffene haben das Recht, eine Kopie ihrer personenbezogenen Daten anzufordern, die von einer Organisation verarbeitet werden. Der Umfang dieser Kopien umfasst alle relevanten Informationen, einschließlich Verarbeitungszwecke, Datenkategorien, Empfänger und geplante Speicherdauer.
3. Der Anspruch auf Kopien erstreckt sich auf Dokumente, die vollständig aus personenbezogenen Daten bestehen, wie beispielsweise von der betroffenen Person verfasste Briefe oder E-Mails.
4. Bei Dokumenten, die vom Verantwortlichen erstellt wurden, wie interne Notizen oder Gesprächsprotokolle, besteht kein Anspruch auf eine Kopie des gesamten Dokuments, da diese auch andere Informationen enthalten können. Der Anspruch auf Kopien solcher Dokumente besteht nur, wenn sie notwendig sind, damit die betroffene Person den Gesamtzusammenhang der Datenverarbeitung nachvollziehen und ihre Rechte ausüben kann. In solchen Fällen muss die Notwendigkeit überzeugend begründet werden.
5. Der Schutz personenbezogener Daten von Dritten muss durch Schwärzung gewährleistet bleiben gem. Art. 15 Abs. 4 DSGVO.
Das Urteil des BGH konkretisiert die Grenzen der Auskunftspflicht nach der DSGVO und stärkt den Schutz personenbezogener Daten sowohl der Betroffenen als auch Dritter. Es stellt klar, dass nicht uneingeschränkt alle Dokumente vollständig als Kopien bereitgestellt werden müssen.
Stand: 05.06.2024
Zahlreiche Mustervorlagen, die alle möglichen Fälle abdecken, finden Sie hier.
Stand: 03.06.2024
Aus dem Sachverhalt – Urteil des BVG Österreich vom 26.03.2024 - W 1 3 7 2 2 4 1 6 3 0 - 1 / 4 8 E
Mitarbeiterinnen einer Bank hatten irrtümlich persönliche Kundendaten in einer Excel-Liste via E-Mail versandt.
Konkret sollte eine Mitarbeiterin ein Mailing an Kunden vornehmen, diese sandte aber die gesamte Excel-Liste mit Datensätzen von 5971 Kundinnen und Kunden zweier Filialen sowie deren Betreuern an 234 Kundinnen und Kunden. Die Bank reagierte umgehend und nahm technische Maßnahmen zur Rückholung der versendeten Emails vor, sowie veranlasste auch eine direkte Kontaktaufnahme mit den Emailempfängern und forderte diese auf die E-Mail zu löschen sowie dies zu bestätigen.
Die Datenpanne durch die Bank wurde an die Datenschutzbehörde gemäß Art. 33 DSGVO gemeldet. Eine betroffene Kundin reichte Beschwerde ein, da ihre persönlichen Daten ungeschützt versendet worden waren. Daraufhin wurde die Bank zur Rechtfertigung aufgefordert, wobei diese argumentierte, die Datenpanne sei auf menschliches Versagen zurückzuführen und keine Straftat nach DSGVO-Vorgaben.
Die Behörde erweiterte später den Tatvorwurf, indem sie die mangelnde Kontrolle durch zwei Vorstandsmitglieder der Bank anführte. Im weiteren Verlauf gab es mehrere Rechtfertigungsversuche seitens der Bank, die das Vorliegen einer Straftat weiterhin abstritten und auf technische und organisatorische Sicherheitsmaßnahmen hinwiesen, die bereits vor dem Vorfall implementiert waren.
Die Behörde verhängte ein Bußgeld in Höhe von 4 Millionen Euro, da die Vorstandsmitglieder fahrlässig gehandelt und die DSGVO-Regeln nicht eingehalten hatten. Die Bank legte gegen die Strafe Beschwerde ein und argumentierte unter anderem gegen die Bemessungsgrundlage der Strafe und die rechtliche Bewertung der Integrität. Das Verfahren wurde durch Anfragen an den EuGH zeitweise ausgesetzt, um die Rechtmäßigkeit der Geldbußen zu klären.
Unmittelbar verantwortlich für die Verbreitung der Liste waren die Filialleiterin und eine Filialmitarbeiterin, welche die Versendung der verfahrensgegenständlichen E-Mailnachrichten einleiteten bzw. durchführten. Auf Basis … der Entscheidung des EuGH vom 05.12.2023 (C-807/21) ist eine juristische Person (wie die Beschwerdeführerin) direkt als Beschuldigte im Verfahren heranzuziehen.
Die Datei wurde vor dem Vorfall auf einem passwortgeschützten Laufwerk gehalten, war jedoch nicht weitergehend gesichert oder pseudonymisiert. Nach dem Vorfall wurde die Datei von den Filiallaufwerken gelöscht und durch eine vollständig pseudonymisierte Version ersetzt. Weder Vorstände noch Datenschutzbeauftragte hatten die technische Ausgestaltung der Datei als Sicherheitsrisiko identifiziert. Die Möglichkeit, die Datei sicherer zu gestalten, bestand bereits vor dem Vorfall. à Datenschutzverstoß
„Die Beschwerde wird gemäß § 28 Abs. 2 VwGVG iVm Art. 5 Abs. 1 lit f und Art. 32 iVm Art. 83 Abs. 4 lit a DSGVO mit der Maßgabe als unbegründet abgewiesen, dass die Geldstrafe gemäß § 30 DSG mit EUR 50.000 (fünfzigtausend) bestimmt wird.“ (Urteil, S. 1)
Stand: 15.05.2024
Aus dem Sachverhalt – Urteil des LG Bochum vom 20.10.2023 (AZ 14 O 14/23)
Das Landgericht Bochum hat die Firma Bauhaus verurteilt, es zu unterlassen, bestimmte Türschlösser der Firma ABUS mehr mit einem STIFTUNG-WARENTEST-Urteil „GUT“ zu bewerben. Dies sei irreführend, weil STIFTUNG-WARENTEST vorher das Testurteil aufgrund einer Warnung des BSI zurückgezogen hatte.
Diese Entscheidung folgte auf eine Klage des Verbraucherzentrale Bundesverbandes (vzbv) und eine vorherige Sicherheitswarnung des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die im August 2022 publik wurde.
Die Sicherheitswarnung des BSI betraf die Möglichkeit, dass Kriminelle die Funktürschlösser von Abus aus der Nähe entriegeln und sich Zutritt zu Gebäuden verschaffen könnten. STIFTUNG WARENTEST hatte daraufhin sein Testurteil zurückgezogen.
Aus dem Sachverhalt – Urteil des LG Bochum vom 13.11.2023 (AZ I-8 O 26/23)
Das Landgericht Bochum hat die Firma Abus verurteilt, ihre Kunden umfassender als bisher über Sicherheitsmängel bei bestimmten Tür- und Fensterschlössern zu informieren. Diese Entscheidung folgte auf eine Klage des Verbraucherzentrale Bundesverbandes (vzbv) und eine vorherige Sicherheitswarnung des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die im August 2022 publik wurde.
Die Sicherheitswarnung betraf die Möglichkeit, dass Kriminelle die Funktürschlösser von Abus aus der Nähe entriegeln und sich Zutritt zu Gebäuden verschaffen könnten. Trotz der Warnung blieben die Produkte weiterhin im Handel erhältlich, ohne dass potenzielle Käufer in Läden oder Onlineshops ausreichend über dieses Risiko aufgeklärt wurden. Abus hielt einen Hinweis auf ihrer Webseite für ausreichend, was das Gericht als ungenügend und rechtswidrig bewertete.
Aus den Urteilsgründen – Urteil des LG Bochum vom 13.11.2023 (AZ I-8 O 26/23)
Das Urteil betont, dass Verbraucher das Recht haben, über wesentliche Produktmängel informiert zu werden, insbesondere wenn diese Mängel die primäre Funktion des Produkts, nämlich den Einbruchschutz, beeinträchtigen. Da viele Kunden die Produkte im Einzelhandel oder über Onlineshops und nicht direkt über die Abus-Website kaufen, sei es erforderlich, dass solche Informationen dort und nicht nur auf der Unternehmenswebsite zur Verfügung stehen.
Stand: 08.05.2024
Aus dem Sachverhalt – (C‑741/21)
Der Fall betrifft einen selbständigen Rechtsanwalt, der juristische Dienste von der Firma juris GmbH, einem Anbieter einer juristischen Datenbank, in Anspruch nahm. Nachdem der Anwalt feststellte, dass seine personenbezogenen Daten unrechtmäßig für Direktwerbung verwendet wurden, widersprach er dieser Nutzung explizit und widerrief alle entsprechenden Einwilligungen, mit Ausnahme des Empfangs von Newslettern.
Trotz seines Widerspruchs erhielt er weiterhin Werbematerialien, die persönliche Daten enthielten und seine Geschäftsadresse ansprachen. Er forderte daraufhin Schadenersatz gemäß Art. 82 DSGVO, da er einen Verlust der Kontrolle über seine personenbezogenen Daten erlitten habe. juris GmbH lehnte die Haftung ab, argumentierend, dass die verspätete Berücksichtigung der Widersprüche auf menschliches Versagen oder auf die prohibitiven Kosten der Berücksichtigung dieser Widersprüche zurückzuführen sei.
Das Landgericht Saarbrücken, das den Fall verhandelt, hat dem Europäischen Gerichtshof (EuGH) mehrere Fragen zur Vorabentscheidung vorgelegt, die sich um die Auslegung des immateriellen Schadens, die Haftung des Verantwortlichen bei menschlichem Versagen, die Anwendung der Bemessungskriterien für Geldbußen auf Schadenersatzansprüche, und die Bewertung mehrfacher DSGVO-Verstöße konzentrieren.
Der EuGH entschied (zum wiederholten Male), dass für einen Schadensersatz nach Art. 82 Abs. 1 DSGVO ein tatsächlicher Schaden erforderlich ist. Damit bleibt der EuGH bei seiner Linie, die besagt: kein Schadensersatz ohne tatsächlichen Schaden. Dann hilft es auch nicht, wenn der Kläger vorher bestätigt bekommen hat, dass ein Datenschutzverstoß vorliegt.
Wörtlich aus dem Urteil: „Insofern muss die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist.“
Idee:
Die Einführung einer „Schmerzensgeldtabelle“, aus der man den immateriellen Schadensersatz (ähnlich wie das Schmerzensgeld nach Unfällen) errechnen kann. Sonst läuft fast jeder Anspruch leer.
Stand: 24.04.2024
Im Berichtszeitraum 2023 verhängte der Hamburger Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) ein Bußgeld in Höhe von 75.000 Euro gegen ein Unternehmen aufgrund von Verstößen gegen die Datenschutz-Grundverordnung (DSGVO), insbesondere gegen Artikel 32 und Artikel 9. Die Verstöße betrafen die unzulässige Handhabung krankheitsbedingter Abwesenheitsmeldungen durch das Unternehmen.
Ein Abteilungsleiter veranlasste, dass Mitarbeiter ihre krankheitsbedingten Fehlzeiten über einen E-Mail-Verteiler mit 25 Empfängern, darunter Kollegen und Vorgesetzte, die nicht direkt involviert waren, kommunizieren mussten.
Diese Praxis führte dazu, dass sensible Gesundheitsdaten ohne Notwendigkeit breit geteilt wurden, was einen klaren Verstoß gegen den Grundsatz der Datensparsamkeit und den Schutz besonderer Kategorien personenbezogener Daten darstellt.
Der Abteilungsleiter nutzte die Daten nicht nur zur Kenntnisnahme, sondern listete die Fehltage eines Beschwerdeführers anprangernd in einer weiteren E-Mail auf, was zur Bloßstellung des Mitarbeiters vor Kollegen führte.
Diese Handlungen wurden als nicht erforderlich und rechtswidrig eingestuft, da sie weder zur Ausübung von Rechten noch zur Erfüllung rechtlicher Pflichten aus dem Arbeitsverhältnis dienten.
Neben dem Bußgeld arbeitete das Unternehmen umfassend mit der Aufsichtsbehörde zusammen, um die Missstände zu beheben und zahlte dem Beschwerdeführer zur Wiedergutmachung Schmerzensgeld.
Es wurde festgestellt, dass eine Beschränkung der Datenübermittlung auf den direkten Vorgesetzten und die personalverantwortliche Stelle ausgereicht hätte, um die Rechte und Pflichten des Arbeitgebers zu wahren.
Dieser Fall unterstreicht die Bedeutung des sorgfältigen Umgangs mit sensiblen Gesundheitsdaten und den Grundsätzen der Datensparsamkeit und Notwendigkeit im Rahmen der DSGVO. Das Unternehmen akzeptierte das Bußgeld und verzichtete auf einen Einspruch, was die Ernsthaftigkeit und Akzeptanz der festgestellten Datenschutzverstöße zeigt.
Stand: 24.04.2024
Beim Jobrad least der Arbeitgeber ein Fahrrad, das er dann seinem Mitarbeiter überlassen kann (ähnlich wie bei einem Dienstwagen). Die Fahrräder können von den Mitarbeitern dann privat und geschäftlich genutzt werden. Die Kosten können entweder komplett vom Arbeitgeber getragen werden, oder es gibt auch die Möglichkeit, dass der Arbeitnehmer die Leasingrate von seinem Bruttomonatsentgelt bestreitet und dadurch einen Steuervorteil ggü. dem Kauf des Fahrrads erhält.
Beim Abschluss des Leasingvertrags muss der Arbeitnehmer seine Daten in das JobRad-Portal eingeben.
Der Leasing-Vertrag kommt dann zwischen der Leasing-Firma und dem Arbeitgeber zustande.
Wann ist ein Auftragsverarbeitungsvertrag erforderlich?
„Auftragsverarbeitung im datenschutzrechtlichen Sinne liegt nur in Fällen vor, in denen eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird. Die Beauftragung mit fachlichen Dienstleistungen anderer Art, d. h., mit Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund steht bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-)Bestandteil ausmacht, stellt keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar.“
Hier: Jobrad-Leasing GmbH erbring eigenständige Dienstleistungen anderer Art, wie ein Kreditinstitut (von BaFin zugelassen!), vgl. Jobrad
Ergebnis: Hier ist kein AV-Vertrag erforderlich!
Konkretisierung der Fragestellung
Auf einem größeren umzäunten Werksgelände gibt es einen Betreiber, der Teilflächen an andere Unternehmen auf verschiedene Weise vergibt. Z.B.
• Firmen, die die Teilfläche gekauft und ein eigenes Gebäude gebaut haben und
• Firmen, die Teilfläche und Gebäude gemietet haben.
Bei der Betreiberfirma gibt es Dienste, die durch die Unternehmen in Anspruch genommen werden wie
• Erstellung von Parkausweisen
• Zutrittskontrolle (Pforte)
• Spintvergabe Videoüberwachung
Welche Vereinbarungen müssen nun getroffen werden, um datenschutzrechtlich konform agieren zu können?
Verträge zwischen dem Betreiber der Dienste und Mieter/Käufer:
1. Hauptverträge: Definition der angebotenen Leistungen und das Entgelt dafür
2. AV-Verträge, wenn der Betreiber als Auftragsverarbeiter agiert. Das dürfte z.B. bei der Videoüberwachung der Fall sein, ist aber für jeden einzelnen Fall zu prüfen.
3. Erfüllung der Informationspflicht und ggf. Zustimmung der betroffenen Personen: Es muss klar festgelegt sein, wie und wann die Mitarbeiter über die Datenverarbeitung informiert werden und wie ihre Zustimmung eingeholt wird, insbesondere im Hinblick auf die Videoüberwachung.
Stand: 17.04.2024
BGH-Entscheidung vom 23.01.2024 (II ZB 7/23)
Aus dem Sachverhalt:
Der Geschäftsführer einer GmbH, der in seiner beruflichen Rolle mit Sprengstoffen umgeht, beantragte aus Sicherheitsgründen die Entfernung seines Geburtsdatums und Wohnorts aus dem Handelsregister. Er befürchtete, dass diese Informationen ihn zum Ziel von Entführungen oder Raub machen könnten, da bereits ähnliche Schutzmaßnahmen im Melderegister ergriffen wurden.
Sowohl das Amtsgericht Walsrode als auch das Oberlandesgericht Celle wiesen seinen Antrag ab. In der Berufung forderte er zusätzlich, dass seine Daten nur nach einer Interessenabwägung an Dritte weitergegeben werden dürfen. Seine Rechtsbeschwerde blieb erfolglos, da die Gerichte entschieden, dass die Speicherung und Veröffentlichung seiner Daten im Handelsregister rechtlich vorgeschrieben und damit rechtmäßig ist. Der Geschäftsführer verfolgte daraufhin seine Klage in einer weiteren Instanz.
In vorliegenden Fall wurde dann auch beim BGH entschieden, dass ein Geschäftsführer einer GmbH keinen Anspruch auf Löschung seines Geburtsdatums und seines Wohnorts aus dem Handelsregister gemäß Art. 17 Abs. 1 der Datenschutz-Grundverordnung (DS-GVO) hat.
Der Wohnort des Geschäftsführers muss bei der Anmeldung im Handelsregister angegeben werden. Ein Widerspruchsrecht gegen die Datenverarbeitung besteht nicht.
Leitsatz aus der BGH-Entscheidung:
„Ein Widerspruchsrecht gemäß Art. 21 Abs. 1 DS-GVO besteht nicht, wenn die Datenverarbeitung aufgrund von Art. 6 Abs. 1 Buchst. c DS-GVO zur Erfüllung einer rechtlichen Pflicht des Verantwortlichen erfolgt. Das gilt auch dann, wenn die Verarbeitung zugleich nach Art. 6 Abs. 1 Buchst. e DS-GVO erlaubt wäre. Auch ein Anspruch aus Art. 18 Abs. 1 Buchst. d DS-GVO auf Einschränkung der Verarbeitung besteht in diesem Fall nicht.“
Das Gericht argumentierte, dass die Verarbeitung dieser Daten für die Führung eines funktionsfähigen und zuverlässigen Handelsregisters im öffentlichen Interesse liegt.
Die Notwendigkeit, die Interessen Dritter zu schützen und die Rechtssicherheit zu gewährleisten, hat Vorrang vor den Grundrechten der betroffenen Personen.
Die Eintragung und Offenlegung seiner Daten gesetzlich seien erforderlich und somit rechtmäßig.
Stand: 17.04.2024
Beschluss des OLG Stuttgart vom 02.02.2024 (2 U 62/22)
Das Oberlandesgericht Stuttgart hat in seinem Beschluss vom 2. Februar 2024 unter dem Aktenzeichen 2 U 63/22 entschieden, die Berufung gegen das Urteil des Landgerichts Stuttgart vom 18. März 2022 zurückzuweisen. Der Fall betrifft einen Schadensersatzanspruch wegen Verstößen gegen die DSGVO, nachdem der Kläger einen Werbebrief von der Beklagten erhalten hatte, für dessen Versand seine Daten ohne seine Einwilligung verwendet wurden. Die Beklagte hatte die Daten für Marketingzwecke verarbeitet, basierend auf Artikel 6 Absatz 1 lit. f DSGVO, ohne eine Kundenbeziehung zum Kläger oder eine Übermittlung der Daten an den Auftraggeber. Das Landgericht hatte die Klage in erster Instanz abgeweisen, indem es feststellte, dass die Zusendung des Werbebriefs rechtmäßig war und nicht auf einer bestehenden Kundenbeziehung beruhen muss, um als berechtigtes Interesse im Sinne der DSGVO zu gelten. Es fand ebenfalls keine Verstöße gegen weitere Datenschutzvorgaben und keinen Anspruch auf vorgerichtliche Anwaltskosten.
Der Kläger, der einen immateriellen Schadensersatz in Höhe von 3.000,00 Euro und die Erstattung vorgerichtlicher Anwaltskosten geltend machte, führte in seiner Berufung an, dass sowohl die Datenerhebung als auch die Versendung des Werbebriefs rechtswidrig seien, unter anderem weil keine ausdrückliche Einwilligung vorlag und die Datenverarbeitung nicht erforderlich sei.
Das Oberlandesgericht folgte der Argumentation des Landgerichts und betonte, dass die Direktwerbung auch ohne vorherige Kundenbeziehung ein berechtigtes Interesse darstellen kann. Es stellte fest, dass die Interessen des Klägers nicht die der Beklagten überwiegen und sah keinen Verstoß gegen die DSGVO. Darüber hinaus wurde ein Schadensersatzanspruch mangels Nachweises eines tatsächlichen Schadens abgelehnt. Das Gericht legte nahe, die Berufung aus Kostengründen zurückzunehmen.
Stand: 17.04.2024
Aus dem Sachverhalt – EuGH-Urteil vom 21.03.2024 (Rechtssache C-61/22)
Der Fall betrifft die Klage eines Bürgers gegen die Stadt Wiesbaden bezüglich der Ausstellung eines neuen Personalausweises ohne die Erfassung seiner Fingerabdrücke. Der Kläger begründete seinen Antrag mit einem defekten Chip im alten Ausweis. Die Stadt Wiesbaden lehnte den Antrag ab, da der Kläger bereits einen gültigen Ausweis besaß und zudem seit dem 2. August 2021 die Erfassung von Fingerabdrücken in Personalausweisen gesetzlich vorgeschrieben war.
Das Verwaltungsgericht Wiesbaden, welches den Fall verhandelte, äußerte Bedenken bezüglich der Rechtmäßigkeit dieser Vorschrift. Es stellte die Vereinbarkeit der Verordnung 2019/1157, insbesondere des Artikels, der die Erfassung von Fingerabdrücken vorschreibt, mit höherrangigem Unionsrecht in Frage. Die Bedenken bezogen sich auf:
• Die rechtliche Grundlage der Verordnung, ob sie eher auf einer spezifischeren Bestimmung, die die Zuständigkeit der EU für Personalausweise regelt, hätte basieren sollen.
• Ein möglicher Verfahrensfehler beim Erlass der Verordnung, da keine Folgenabschätzung bezüglich der Verarbeitung biometrischer Daten durchgeführt wurde.
• Die Vereinbarkeit der Verordnung mit den Grundrechten der Achtung des Privat- und Familienlebens sowie des Schutzes personenbezogener Daten, wobei Fragen der Verhältnismäßigkeit und der Notwendigkeit der Maßnahme aufgeworfen wurden
Das Gericht hinterfragte, ob die Verpflichtung zur Aufnahme von Fingerabdrücken einen unverhältnismäßigen Eingriff in die Grundrechte darstellt, insbesondere in Anbetracht alternativer Sicherheitsmaßnahmen, die möglicherweise weniger eingreifend wären. Es zog auch in Betracht, ob die Maßnahme angesichts der relativ geringen Zahl gefälschter Ausweise gerechtfertigt ist.
Letztendlich entschied das Gericht, das Verfahren auszusetzen und eine Vorabentscheidungsfrage an den Gerichtshof der Europäischen Union zu richten, um zu klären, ob die Verpflichtung zur Aufnahme und Speicherung von Fingerabdrücken in Personalausweisen gegen höherrangiges Unionsrecht verstößt.
Folgende Fragen wurden dem Gerichtshof zur Vorabentscheidung vorgelegt:
„Verstößt die Verpflichtung zur Aufnahme und Speicherung von Fingerabdrücken in Personalausweisen gemäß Art. 3 Abs. 5 der Verordnung 2019/1157 gegen höherrangiges Unionsrecht, insbesondere
a) gegen Art. 77 Abs. 3 AEUV,
b) gegen die Art. 7 und 8 der Charta,
c) gegen Art. 35 Abs. 10 DSGVO,
und ist deshalb aus einem der Gründe ungültig?“
Aus den Urteilsgründen – EuGH-Urteil vom 21.03.2024 (Rechtssache C-61/22)
Das Verwaltungsgericht Wiesbaden hat dem Europäischen Gerichtshof (EuGH) eine Frage zur Vorabentscheidung vorgelegt, ob die Verordnung 2019/1157, insbesondere die Pflicht zur Aufnahme von Fingerabdrücken in Personalausweise, gegen höherrangiges Unionsrecht verstößt. Der EuGH urteilte, dass die Verordnung ungültig ist, da sie zu Unrecht auf der Grundlage von Art. 21 Abs. 2 AEUV erlassen wurde, statt auf Art. 77 Abs. 3 AEUV zu basieren. Diese Entscheidung beruht darauf, dass Art. 77 Abs. 3 AEUV eine spezifischere Rechtsgrundlage für Maßnahmen bezüglich Personalausweisen und anderen Identitätsdokumenten bietet.
Der zweite Ungültigkeitsgrund, der die Nichtbeachtung von Art. 35 Abs. 10 DSGVO betraf, wurde vom Gericht nicht als Grund für die Ungültigkeit der Verordnung angesehen, da die Verordnung selbst keine Verarbeitung personenbezogener Daten vornimmt, sondern lediglich die Mitgliedstaaten zur Verarbeitung bestimmter Daten verpflichtet.
Bezüglich des dritten Punktes, der möglichen Verletzung der Grundrechte auf Achtung des Privat- und Familienlebens sowie auf Schutz personenbezogener Daten (Art. 7 und 8 der Charta), stellte der EuGH fest, dass die Aufnahme von Fingerabdrücken in Personalausweise geeignet, erforderlich und verhältnismäßig im Hinblick auf die mit der Verordnung verfolgten Ziele ist. Die Einschränkungen der Grundrechte wurden als nicht so schwerwiegend betrachtet, dass sie außer Verhältnis zu den Zielen der Bekämpfung von Dokumentenbetrug und der Verbesserung der Sicherheit stehen würden.
Trotz der Feststellung der Ungültigkeit der Verordnung 2019/1157 entschied der EuGH, die Wirkungen der Verordnung aus Gründen der Rechtssicherheit aufrechtzuerhalten, bis innerhalb einer angemessenen Frist, die zwei Jahre ab dem 1. Januar des auf die Verkündung des Urteils folgenden Jahres nicht überschreiten darf, eine neue Verordnung in Kraft tritt, die auf der korrekten Rechtsgrundlage basiert.
Stand: 10.04.2024
Bauanträge werden u.a. in öffentlichen Gemeinderatssitzungen behandelt. Die „Öffentlichkeit“ ist in Art. 52 Abs. 2 Satz 1 Gemeindeordnung für den Freistaat Bayern - Öffentlichkeit geregelt.
Bezüglich der Veröffentlichung der Ergebnisse vertritt der Bayerische Landesbeauftragte für Datenschutz eine eigene Auffassung.
Fazit
Zu nennende Angaben in der Tagesordnung der Gemeinderatssitzung:
• Bezeichnung des Bauvorhabens
• Bauort (Straße und Hausnummer oder Flurstücknummer)
• Name des Bauherrn (bei Veröffentlichung im Internet ist der Name wegzulassen bzw. zu anonymisieren)
Nicht zu nennende Angaben in der Tagesordnung der Gemeinderatssitzung:
• Anschrift bzw. Wohnort des Bauherrn (außer bei derselben Anschrift bei Bauplatz und Bauherrn)
Stand: 20.03.2024
Aus dem Sachverhalt – OLG-Nürnberg Urteil vom 29.11.2023 (4 U 347/21)
Ein ehemaliger Mitarbeiter und Vorstandsmitglied einer Gesellschaft erhob Auskunfts- und Herausgabeansprüche gemäß Art. 15 Abs. 1 und Abs. 3 DSGVO gegen seinen ehemaligen Arbeitgeber. Das Landgericht Nürnberg-Fürth wies die Klage zunächst ab. In der Berufung forderte der Kläger die Herausgabe einer Kopie aller gespeicherten personenbezogenen Daten mit Ausnahme der bereits übermittelten Daten. Der Kläger stellte auch verschiedene Hilfsanträge, falls seine Hauptanträge als unzulässig oder unbegründet angesehen werden sollten, die sich auf spezifische Datensätze und Zeiträume bezogen.
Aus den Urteilsgründen – OLG Urteil vom 29.11.2023 (4 U 347/21)
Das Berufungsgericht befand die Berufung als zulässig. Es stellte fest, dass der Auskunftsantrag hinreichend bestimmt war und betonte, dass der DSGVO-Auskunftsanspruch einen umfassenden Zugang zu personenbezogenen Daten gewährt, unabhängig von der Motivation des Antragstellers. Es wurde klargestellt, dass die Verarbeitung von personenbezogenen Daten in einem breiten Kontext zu sehen ist und der Anspruch auf Datenauskunft voraussetzungslos zu erfüllen ist, ohne dass die Beklagte ein Zurückbehaltungsrecht wegen potenzieller Kosten geltend machen kann. Das Gericht bestätigte auch das Recht des Klägers auf Erhalt von Kopien der personenbezogenen Daten.
Abschließend entschied das Gericht, dass die Beklagte dem Kläger Auskunft über die verarbeiteten personenbezogenen Daten zu erteilen und Kopien dieser Daten zur Verfügung zu stellen hat. Die Kosten des Verfahrens wurden der Beklagten auferlegt, und die Entscheidung über die vorläufige Vollstreckbarkeit sowie die Festsetzung des Streitwerts folgten den üblichen rechtlichen Grundlagen. Eine Revision gegen dieses Urteil wurde nicht zugelassen.
Stand: 20.03.2024
Aus dem Sachverhalt – EuGH-Urteil vom 07.03.2024 (C-604/2)
IAB Europe stellt das sog. "Transparency & Consent Framework" (TCF) zur Verfügung. Dies ist ein Regelungsrahmen zur rechtmäßigen Verarbeitung personenbezogener Daten im Online-Werbungsbereich, insbesondere im Kontext von Real Time Bidding (RTB) – einem Verfahren zur sofortigen und automatisierten Versteigerung von Werbeplätzen basierend auf Nutzerprofilen. Das TCF zielt darauf ab, die Einhaltung der Datenschutz-Grundverordnung (DSGVO) zu erleichtern, indem es die notwendigen Richtlinien, technischen Spezifikationen und vertraglichen Verpflichtungen bereitstellt.
Das System fordert von Nutzern, über eine Consent Management Platform (CMP) ihre Zustimmung zur Datenverarbeitung für Werbezwecke zu erteilen, bevor gezielte Werbung angezeigt wird. Die Nutzerpräferenzen werden dann in einem TC-String kodiert und gemeinsam mit einem Cookie gespeichert, was den am RTB-Prozess beteiligten Parteien hilft, die Einwilligung des Nutzers zu erkennen.
Nach mehreren Beschwerden bezüglich der Vereinbarkeit des TCF mit der DSGVO hat die belgische Datenschutzbehörde IAB Europe für die Art und Weise, wie die Einwilligung und Präferenzen der Nutzer erfasst werden, als datenverarbeitend Verantwortlichen identifiziert und mehrere Maßnahmen sowie eine Geldbuße angeordnet, um die Praktiken in Einklang mit der DSGVO zu bringen. IAB Europe hat gegen diesen Beschluss Berufung eingelegt, woraufhin der Fall vor den Europäischen Gerichtshof gebracht wurde, um zu klären, ob TC-Strings in Kombination mit IP-Adressen als personenbezogene Daten zu betrachten sind und ob IAB Europe in Bezug auf die Verarbeitung dieser Daten als Verantwortlicher anzusehen ist.
Aus den Urteilsgründen – EuGH-Urteil vom 07.03.2024 (C-604/2)
Zur ersten Frage:
Der Appellationshof Brüssel möchte vom EuGH geklärt haben, ob gemäß Art. 4 Nr. 1 der Datenschutz-Grundverordnung (DSGVO) eine Zeichenfolge wie der TC-String, der die Präferenzen eines Nutzers bezüglich der Verarbeitung seiner personenbezogenen Daten erfasst, als personenbezogenes Datum anzusehen ist. Diese Frage betrifft den Fall, in dem eine Branchenorganisation Regeln für die Erzeugung, Speicherung oder Verbreitung dieser Zeichenfolge definiert und deren Mitglieder diese Regeln umsetzen, wodurch sie Zugang zu dieser Zeichenfolge haben. Das Gericht fragt außerdem, ob es relevant ist, ob der TC-String mit einer Kennung wie der IP-Adresse des Nutzers verknüpft wird, sodass die betroffene Person identifiziert werden kann, und ob es eine Rolle spielt, ob die Branchenorganisation direkt auf die im Rahmen ihrer Regeln verarbeiteten personenbezogenen Daten zugreifen kann.
Der Europäische Gerichtshof stellt klar, dass der Begriff "personenbezogene Daten" gemäß DSGVO alle Informationen umfasst, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Ein TC-String, der individuelle Nutzerpräferenzen bezüglich der Einwilligung in die Datenverarbeitung enthält, kann somit als personenbezogenes Datum betrachtet werden, insbesondere wenn er mit weiteren Daten wie der IP-Adresse verknüpft werden kann, die eine Identifizierung des Nutzers ermöglichen. Die Möglichkeit einer Organisation, solche Daten ohne externe Hilfe zu verarbeiten oder mit anderen Daten zu kombinieren, schließt nicht aus, dass diese Zeichenfolge ein personenbezogenes Datum darstellt. Somit ist der TC-String im Sinne der DSGVO als personenbezogenes Datum anzusehen, wenn er in Kombination mit weiteren Kennungen eine Identifizierung der betreffenden Person ermöglicht, unabhängig davon, ob die Branchenorganisation direkt auf diese Daten zugreifen kann.
Zur zweiten Frage:
Das vorlegende Gericht möchte mit seiner zweiten Frage klären lassen, ob eine Branchenorganisation wie IAB Europe gemäß Art. 4 Nr. 7 der Datenschutz-Grundverordnung (DSGVO) als "Verantwortlicher" anzusehen ist, wenn sie ihren Mitgliedern einen Regelungsrahmen für die Einwilligung in die Verarbeitung personenbezogener Daten bereitstellt. Dieser Rahmen umfasst nicht nur technische Vorschriften, sondern legt auch detailliert fest, wie personenbezogene Daten gespeichert und verbreitet werden müssen. Zudem fragt das Gericht, ob die Verantwortlichkeit der Organisation auch die Weiterverarbeitung der Daten durch Dritte umfasst, insbesondere im Kontext gezielter Online-Werbung.
Der Europäische Gerichtshof stellt klar, dass der Begriff "Verantwortlicher" in der DSGVO weit gefasst ist und sich auf jede Stelle bezieht, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Datenverarbeitung entscheidet. Eine Organisation kann als "gemeinsam Verantwortlicher" angesehen werden, wenn sie aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nimmt und gemeinsam mit ihren Mitgliedern die Zwecke und Mittel der Datenverarbeitung festlegt. Der direkte Zugang zu den verarbeiteten personenbezogenen Daten ist für die Einstufung als "gemeinsam Verantwortlicher" nicht erforderlich.
Allerdings erstreckt sich die gemeinsame Verantwortlichkeit einer solchen Organisation nicht automatisch auf die Weiterverarbeitung personenbezogener Daten durch Dritte für gezielte Online-Werbung. Eine solche Organisation kann nur dann für die Weiterverarbeitung verantwortlich angesehen werden, wenn festgestellt wird, dass sie Einfluss auf die Festlegung der Zwecke und Modalitäten dieser Weiterverarbeitungen ausgeübt hat.
Fazit - EuGH-Urteil vom 07.03.2024 (C-604/2)
Der Europäische Gerichtshof hat entschieden, dass der TC-String (Transparency and Consent String), eine Zeichenfolge, die die Präferenzen eines Internetnutzers bezüglich der Einwilligung in die Verarbeitung seiner personenbezogenen Daten enthält, als personenbezogenes Datum im Sinne der Datenschutz-Grundverordnung (DSGVO) gilt. Dies gilt insbesondere dann, wenn der TC-String, potenziell mit einer Kennung wie der IP-Adresse des Nutzers, verknüpft werden kann, um die betreffende Person zu identifizieren. Der Zugang der Branchenorganisation zu den Daten oder die Möglichkeit, diese Zeichenfolge mit anderen Elementen zu kombinieren, beeinflusst nicht deren Einstufung als personenbezogene Daten.
Weiterhin wurde festgestellt, dass eine Branchenorganisation als "gemeinsam Verantwortlicher" betrachtet werden kann, wenn sie ihren Mitgliedern einen Regelungsrahmen bezüglich der Einwilligung in die Verarbeitung personenbezogener Daten bereitstellt, der über technische Vorschriften hinausgeht und detailliert festlegt, wie diese Daten gespeichert und verbreitet werden müssen. Dies gilt vor allem, wenn die Organisation aus Eigeninteresse Einfluss auf die Datenverarbeitung nimmt und gemeinsam mit ihren Mitgliedern die Verarbeitungszwecke und -mittel festlegt. Der direkte Zugang zu den verarbeiteten Daten ist für diese Einstufung nicht entscheidend.
Allerdings erstreckt sich die gemeinsame Verantwortlichkeit nicht automatisch auf die Weiterverarbeitung der Daten durch Dritte, wie etwa Website- oder Anwendungsanbieter, im Kontext gezielter Online-Werbung. Eine Organisation kann nur dann für solche Weiterverarbeitungen verantwortlich sein, wenn sie Einfluss auf die Festlegung der Zwecke und Mittel dieser Verarbeitungen nimmt.
Stand: 13.03.2024
Aus dem Sachverhalt - Urteil des OLG Dresden vom 09.01.2024 (Az.: 4 U 1274/23)
Ein Rechtsanwalt schrieb in einem Informations-Rundbrief geschädigte Kleinanleger an und wies sie auf bestehende Rechtsschutzmöglichkeiten hin. Manche der Kleinanleger gehörten zu einer Gruppe von Gläubigern einer GmbH, die in die Insolvenz gegangen war. Deren Adressdaten hatte der Anwalt aus einer Insolvenzakte kopiert, in die er im Rahmen eines Mandats Einsicht genommen hatte.
In seinem Schreiben an die Gläubiger schrieb er unter anderem, dass er die Geschädigten auch in der GmbH-Sache vertreten könne. Nachdem ihm einige der Gläubiger verboten hatten, ihre Daten zu nutzen, löschte er sie. Einige Adressaten forderten nunmehr Unterlassung und Schadensersatz für die unbefugte Verarbeitung ihrer personenbezogenen Daten.
Einige Adressaten forderten nunmehr Unterlassung und Schadensersatz für die unbefugte Verarbeitung ihrer personenbezogenen Daten – auch in der Berufungsinstanz vor dem OLG Dresden (Urteil vom 09.01.2024 – 4 U 1274/23) ohne Erfolg. Die Gerichte gaben in beiden Instanzen dem Anwalt recht.
Die Kläger haben also keine Schadensersatz- oder Unterlassungsansprüche wegen der Verwendung ihrer Daten.
Die Gericht befanden, dass die Verarbeitung der Daten durch den Beklagten nach Art. 6 Abs. 1 lit. f) DSGVO rechtmäßig war, da sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Des weiteren Argumentiert das Gericht: „In Erwägungsgrund Nr. 47 zur DSGVO wird ausdrücklich klargestellt, dass die Durchführung von Direktmarketingmaßnahmen als berechtigtes Interesse betrachtet werden kann, deren Zulässigkeit vermutet wird.“
Aus den Urteilsgründen- Urteil des OLG Dresden vom 09.01.2024 (Az.: 4 U 1274/23)
Die Abwägung habe ergeben, dass die Verarbeitung durch den Beklagten gerechtfertigt war, weil sein Interesse, als vornehmlich auf dem Gebiet des Verbraucherschutzes tätiger Rechtsanwalt zu informieren und potenzielle Mandanten zu akquirieren, die Interessen der Kläger am Schutz ihrer personenbezogenen Daten nicht überwog. Der Beklagte hatte die Daten nur in geringem Umfang und für eine kurze Dauer verarbeitet, und es gab keine Anzeichen, dass die Kläger durch das Schreiben belästigt oder ihre Interessen beeinträchtigt wurden. Des Weiteren wurde festgestellt, dass keine Wiederholungsgefahr besteht, da der Beklagte kein Interesse an einer weiteren Kontaktaufnahme hat und das Insolvenzverfahren sowie mögliche Ansprüche inzwischen abgeschlossen bzw. verjährt sind. Eine Revision wird nicht zugelassen.
Stand: 13.03.2024
Die Betreuung wird in § 1814 BGB geregelt
(1)Kann ein Volljähriger seine Angelegenheiten ganz oder teilweise rechtlich nicht besorgen und beruht dies auf einer Krankheit oder Behinderung, so bestellt das Betreuungsgericht für ihn einen rechtlichen Betreuer (Betreuer).
Gesundheitsdaten werden in Art. 4 Absatz 15 DSGVO definiert. Art. 9 DSGVO hält allerdings auch Ausnahmen bereit, unter denen die Verarbeitung erlaubt ist.
„Die Kumulation der Anforderungen in Art. 4 Nr. 15 („beziehen auf“ und „hervorgehen aus“) schränkt ihre Reichweite ein, indem ein Datum, welches sich nicht auf die Gesundheit (sondern etwa auf den Lebensstil) bezieht, aus welchem aber Informationen über den Gesundheitszustand hervorgehen, nicht erfasst wird; ein Bsp.: Die Information, dass eine Person ein größenmäßig bestimmtes Atemzeitvolumen oder ein Lungenkarzinom habe, ist ein Gesundheitsdatum; die isolierte Information, dass eine Person Raucher sei, ist keines. Der Verordnungsgeber hat dies erkannt, als er die Erbringung von Gesundheitsdienstleistungen, also nicht nur das Wie, sondern auch das Ob, als Datum bezeichnet, welches sich auf die Gesundheit bezieht (Besuch eines Arztes, aus welchem Grund auch immer). Auf diese Daten zugeschnitten ist der Ausschlussgrund des Abs. 2 lit. h.
Gesundheitsdaten können indes durch die Verknüpfung verschiedener Daten, die nichts über den Gesundheitszustand aussagen, entstehen: Ein Bsp. ist die Verknüpfung von Größe, Gewicht und Alter, ggf. noch iVm Informationen über körperliche Aktivitäten: Sportuhren und Fitnesstracker sind je nach Voreinstellung und Nutzung daher geeignet, Gesundheitsdaten zu verarbeiten“ (vgl. Dregelies VuR 2017, 256 (258 f.)).(Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 9 Rn. 15)
Unter Gesundheitsdaten fallen sämtliche personenbezogene Daten wie Gutachten, Atteste, Arztbriefe und sonstige Informationen über den Gesundheitszustand oder die medizinische Versorgung eines Betroffenen.
Dazu gehört auch, ob ein Grad der Behinderung beim Betreuten festgestellt wurde, und Symbole und Nummern, die die Identifizierung ermöglichen (Krankenversicherungsnummer, GdB in Zusammenhang mit dem Geschäftszeichen). Und auch ärztliche Diagnosen oder Informationen über eine Behandlung oder Betreuung können davon umfasst sein.
Die Betreuung gem. § 1814 BGB ist keine pflegerische Betreuung, sondern eine rein rechtliche Betreuung, die sich auf die Vertretung von Rechtsgeschäften i.S.d. § 164 BGB bezieht. Die Anordnung einer Betreuung hat somit auch keinen Einfluss auf die Geschäftsfähigkeit der betreuten Person. Damit wird grundsätzlich keine Aussage über personenbezogene Daten des Betreuten getroffen, da dieser Status lediglich die rechtliche Stellvertretung anzeigt.
Aus der Gesetzessystematik ergibt sich, dass eine rechtliche Betreuung ausschließlich unter den engen Voraussetzungen des § 1814 BGB bestellt werden kann. Laut diesem setzt die Betreuung eine Krankheit oder Behinderung voraus, die dazu führt, dass der Volljährige seine Angelegenheiten ganz oder teilweise nicht besorgen kann. Aus diesem Betreuungsstatus lassen sich folglich - mit dem Wissen der § 1814 BGB erfordert eine Krankheit oder Behinderung in der Person des Vertretenen - Rückschlüsse über den Gesundheitszustand der betroffenen Person ziehen. Daher liegt ein personenbezogenes Datum vor, das unter der Maßgabe des Art. 9 II lit. f DSGVO verarbeitet werden muss.
Stand: 26.06.2024
Ausführliche Infos zum Thema Arbeitszeitbetrug finden Sie in unserem Blog.
Eine Rechtsgrundlage braucht die verantwortliche Stelle erstmal nur für die Verarbeitung der personenbezogenen Daten. Das ist hier das Arbeitsverhältnis, Art. 6 Abs. lit.b DSGVO.
Die Weitergabe der Daten an das Lohnbüro ist entweder eine Auftragsverarbeitung nach Art. 28 DSGVO oder die Aufgabe wird in Form eines echten Auftrags /Vertrags zweckgebunden an ein selbständiges eigenes Unternehmen ausgelagert. Oft dürfte Letzteres der Fall sein, siehe auch Auslegungshilfe des BayLDA hierzu.
Hier wären dann vom verantwortlichen Arbeitgeber Zweckbindung und Vertraulichkeit zu den dabei berührten personenbezogenen Daten festzulegen.
Das bearbeitende Lohnbüro hat selbst eine Rechtsgrundlage, nämlich den Vertrag mit dem Arbeitgeber und muss sich vollumfänglich an die Vorgaben der DSGVO halten.
Stand: 28.02.2024
Was ist überhaupt eine Datenschutzfolgeabschätzung (DSFA)?
Art. 35 DSGVO - Datenschutz-Folgenabschätzung
Immer dann, wenn eine Form der Datenverarbeitung für die Rechte und Freiheiten einer Person ein hohes oder sehr hohes Risiko zur Folge hat, hat der Verantwortliche vor deren Einführung eine sog. Datenschutz-Folgenabschätzung vorzunehmen und zu ermitteln, welche Folgen eine geplante Verarbeitung für den Schutz der Daten Betroffener hätte --> Risikoanalyse!
Bei der Frage, ob ein Fitnessstudio eine eigene Datenschutz-Folgenabschätzung (DSFA) erstellen muss, wenn es Geräte verwendet, die Gesundheitsdaten verarbeiten und mit der Cloud eines Geräte-Anbieters verbunden sind, kommen mehrere Faktoren ins Spiel. Grundsätzlich dient eine DSFA dazu, die Datenschutzrisiken von Verarbeitungstätigkeiten zu identifizieren und zu mindern, insbesondere wenn es um sensible Daten wie Gesundheitsdaten nach Art. 9 DSGVO geht.
Nach der Datenschutz-Grundverordnung (DSGVO) ist eine DSFA insbesondere dann erforderlich, wenn die Art der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Natur, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
Wenn der Gerätehersteller als datenschutzrechtlich Verantwortlicher für die Verarbeitung der Daten gilt und bereits eine DSFA erstellt hat, könnte das Fitnessstudio möglicherweise darauf verweisen, vorausgesetzt, die DSFA des Herstellers deckt alle relevanten Aspekte der Verarbeitung im Fitnessstudio ab. Es ist jedoch wichtig zu beachten, dass das Fitnessstudio als Nutzer dieser Geräte und als eigenständiger Verantwortlicher im Rahmen der DSGVO auch eigene Datenschutzpflichten hat. Dies könnte bedeuten, dass eine separate DSFA erforderlich ist, um spezifische Risiken zu bewerten, die durch die Nutzung der Geräte im Fitnessstudio entstehen könnten.
Thema Einwilligung:
Wenn Kunden direkt beim Geräte-Anbieter ihre Einwilligung erteilen und diese Einwilligung auch die Verarbeitung im Kontext des Fitnessstudios abdeckt, könnte eine zusätzliche Einwilligung durch das Fitnessstudio nicht notwendig sein. Allerdings muss sichergestellt sein, dass die Einwilligung alle notwendigen Informationen enthält, einschließlich der Tatsache, dass das Fitnessstudio die Daten im Rahmen seiner Dienste verwendet. Kunden müssen klar über die Verarbeitung ihrer Daten und die Verantwortlichen dafür informiert werden, vgl. Art. 13 DSGVO.
Folgende Voraussetzungen müssten erfüllt sein:
•Die DSFA des Geräte-Anbieters deckt auch die Verarbeitungstätigkeiten und Risiken ab, die sich aus der Nutzung der Geräte im Fitnessstudio ergeben
•Die Nutzer sind vollständig über die Rolle des Fitnessstudios bei der Verarbeitung ihrer Daten informiert
•Die Einwilligung, die beim Geräte-Anbieter erteilt wird, ist ausreichend umfassend und deckt auch die Datenverarbeitung im Fitnessstudio ab
•Bei der Verarbeitung werden die erforderlichen technischen und organisatorischen Maßnahmen ergriffen, sodass eine sichere Datenverarbeitung gewährleistet werden kann
Orientierungshilfe zur DSFA vom BayLDA
Stand: 28.02.2024
Aus dem Sachverhalt – OVG Lüneburg – Beschluss vom 23.01.2024 (14 LA 1/24)
Die Klägerin, eine Betreiberin einer Online-Versandapotheke, hat gegen eine datenschutzrechtliche Anordnung geklagt, die es ihr untersagt, bestimmte Daten, einschließlich des Geburtsdatums und der Anrede der Kunden, im Bestellprozess zu erheben und zu verarbeiten. Der Ausgangspunkt dieser Auseinandersetzung war ein Bescheid vom 8. Januar 2019, in dem die Klägerin aufgefordert wurde, die Erhebung dieser Daten zu unterlassen, unabhängig von der Art des bestellten Medikaments.
Das Verwaltungsgericht Hannover wies die Klage am 9. November 2021 ab, gestützt auf Artikel 58 Absatz 2 Buchstabe d) der DSGVO und das Niedersächsische Datenschutzgesetz (NDSG). Das Gericht urteilte, dass die Praxis der Klägerin, das Geburtsdatum aller Kunden zu erfragen, gegen das Prinzip der Rechtmäßigkeit der DSGVO verstößt. Insbesondere sei keine Rechtsgrundlage ersichtlich, insbesondere nicht Art. 6 Abs. 1 lit.b), DSGVO. Es fand, dass weder die Überprüfung der Geschäftsfähigkeit noch die Durchführung einer altersgerechten Beratung die Erhebung des konkreten Geburtsdatums rechtfertigen. Eine einfache Abfrage der Volljährigkeit sei ausreichend für die Überprüfung der Geschäftsfähigkeit, und für eine altersgerechte Beratung müsste das Alter der Person, für die das Produkt bestimmt ist, erfasst werden, die nicht notwendigerweise mit dem Käufer übereinstimmen muss.
Des Weiteren argumentierte das Gericht, dass viele der von der Klägerin angebotenen Produkte altersunabhängig sind und daher keine altersabhängige Beratung erfordern. In Fällen, in denen das Geburtsdatum möglicherweise als Identifizierungskriterium benötigt wird, konnte die Klägerin nicht darlegen, dass sie das Geburtsdatum zu diesem Zweck benötigt.
Schließlich lehnte das Gericht die Argumentation ab, dass die Abfrage des Geburtsdatums auf einer gesetzlichen Verpflichtung beruhen könnte, da die Klägerin auf ihrer Website lediglich rezeptfreie Produkte anbietet, und eine Interessenabwägung nach Artikel 6 Absatz 1 Satz 1 lit. f DSGVO wurde als unnötig erachtet, da die Datenerhebung nicht als erforderlich angesehen wurde. Die Klägerin legte gegen dieses Urteil Berufung ein. Diese wurde nicht zugelassen.
Aus den Urteilsgründen – OVG Lüneburg – Beschluss vom 23.01.2024 (14 LA 1/24)
Die Klägerin argumentierte, dass die Erfassung des Geburtsdatums zur eindeutigen Identifikation der Kunden notwendig sei, um ihre Beratungs- und Informationspflichten gemäß der Apothekenbetriebsordnung zu erfüllen und um Arzneimitteldossiers anzulegen. Das Gericht fand jedoch, dass diese Argumente die angefochtene Entscheidung nicht ernsthaft in Frage stellen.
Das Gericht stellte klar, dass eine Identifikation des Bestellers nicht zwingend für die Erfüllung von Beratungspflichten erforderlich ist, sondern die Kenntnis über die Person, die das Medikament anwenden wird. Es wurde angeführt, dass die Verwendung von Geburtsdaten zur Unterscheidung von Kunden mit gleichem Namen nicht notwendig ist, da auch andere Informationen wie Anschrift und Telefonnummer für eine ausreichende Identifizierung zur Verfügung stehen.
In Bezug auf die Feststellung der Geschäftsfähigkeit der Kunden argumentierte das Gericht, dass die einfache Abfrage der Volljährigkeit ein milderes Mittel darstellt als die Erfassung des Geburtsdatums.
Die Klägerin konnte nicht ausreichend begründen, warum das Geburtsdatum für die Abwicklung von Rückabwicklungs- und Gewährleistungsansprüchen notwendig sein sollte, insbesondere da Name, Anschrift und Telefonnummer bekannt sind.
Die Argumentation, dass die Verarbeitung des Geburtsdatums zur Identifikation von Kunden, die ihre Rechte aus der DSGVO geltend machen, erforderlich sei, wurde ebenfalls zurückgewiesen. Das Gericht erklärte, dass eine routinemäßige Speicherung von Identifizierungsdaten zu diesem Zweck nicht von der DSGVO gedeckt ist.
Zusammenfassend stellte das OVG Lüneburg fest, dass die Einwände der Klägerin die Richtigkeit der angefochtenen Entscheidung nicht ernsthaft in Frage stellen, da die Erfassung des Geburtsdatums nicht als unabdingbare Voraussetzung für die Erfüllung der von ihr angeführten Zwecke gesehen wurde.
Stand: 28.02.2024
Empfehlung des BayLDA:
„Die Auskunft wird grundsätzlich in Papierform oder in elektronischer Form bereitgestellt. Die auskunftsuchende Person kann angeben, welche Form sie bevorzugt. Die Datenschutz-Grundverordnung ist zudem offen für technische Lösungen, bei denen die auskunftssuchende Person die Auskunft in einem Auskunftsportal herunterladen kann (vgl. Erwägungsgrund 63 Satz 4 DSGVO).
Äußert die auskunftsuchende Person keine Wünsche hinsichtlich der Form, bestimmt der Verantwortliche diese nach pflichtgemäßem Ermessen, was § 83 Abs. 2 Satz 3 SGB X für seinen Anwendungsbereich ausdrücklich hervorhebt. Er wird das Ermessen so ausüben, dass verwaltungspragmatische und fiskalische Interessen, jedoch auch Art. 12 Abs. 1 DSGVO berücksichtigt sind. Der Verantwortliche muss durch geeignete technische und organisatorische Maßnahmen gewährleisten, dass die enthaltenen personenbezogenen Daten nicht Unbefugten zur Kenntnis gelangen (vgl. Art. 24, 32 DSGVO). Bei einer Bereitstellung in elektronischer Form ist eine geeignete Verschlüsselung vorzusehen. Der Schüssel muss auf einem gesonderten Weg kommuniziert werden (bei einer Bereitstellung verschlüsselter Dateien beispielsweise Zusendung des Passworts per Post). “ (vgl. BayLDA – Orientierungshilfe S. 46f).
Empfehlung des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg:
„Eine Übermittlung personenbezogener Daten per „normaler“ (nicht-Ende-zu-Ende-verschlüsselter) E-Mail ist aus Datenschutzsicht problematisch (aber nicht in allen Fällen verboten). Sensible personenbezogene Daten dürfen hingegen nicht ohne Ende-zu-Ende-Verschlüsselung beauskunftet werden. Falls – was in den meisten Fällen der Fall sein wird – die betroffene Person keinen öffentlichen Schlüssel bereitstellt, mittels dessen die E-Mail vom Verantwortlichen an die betroffene Person verschlüsselt werden könnte, sind andere Wege zu suchen. Denkbar ist etwa die Übermittlung eines verschlüsselten PDF-Dokuments, wobei das zum Öffnen des Dokuments nötige Passwort über einen vertrauenswürdigen Kanal mitgeteilt werden muss. Einfacher gestaltet es sich, wenn das Auskunftsersuchen per De-Mail eingegangen ist. In diesem Fall ist es möglich, ohne zusätzliche Ende-zu-Ende-Verschlüsselung auch sensible personenbezogene Daten per De-Mail zu beauskunften.“ (vgl. Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg)
Best Practice:
•Die beste und sicherste Methode ist die Beantwortung des Auskunftsbegehrens über den Postweg
•E-Mail-Versand mit Ende-zu-Ende-Verschlüsselung (Sicherstellen, dass keine Dritte Zugriff auf das Postfach haben)
•Übermittlung eines verschlüsselten PDF-Dokuments per E-Mail (das zum Öffnen des Dokuments benötigte Passwort sollte dabei gesondert über einen vertrauenswürdigen Kanal mitgeteilt werden)
•Versand per De-Mail
Stand: 21.02.2024
Ausführliche Infos zum Thema interne und externe Datenschutzbeauftragte (DSB) finden Sie in unserem Blog.
Die Bestellung eines kostenlosen Newsletters stellt in der Regel keine vertragliche Vereinbarung im Sinne des BGB dar, die einen Austausch von Leistungen und Gegenleistungen (wie Geld gegen Waren oder Dienstleistungen) beinhaltet.
Wir halten die Bestellung eines Newsletters für eine einseitige Willenserklärung, in der eine Person ihr Interesse erklärt, Informationen in Form eines Newsletters zu erhalten.
Der Versand eines Newsletters ist aber ein Telemediendienst nach dem Telemediengesetz, der damit auch der Impressumspflicht nach § 5 DDG unterliegt.
Zu denken wäre noch an den § 312 Abs. 1a BGB: demnach sind bestimmte Informationspflichten (auch Widerrufsbelehrung!) des BGB auch auf Verbraucherverträge anzuwenden, bei denen der Verbraucher dem Unternehmer personenbezogene Daten bereitstellt oder sich hierzu verpflichtet. Dies gilt nicht, wenn der Unternehmer die vom Verbraucher bereitgestellten personenbezogenen Daten ausschließlich verarbeitet, um seine Leistungspflicht oder an ihn gestellte rechtliche Anforderungen zu erfüllen, und sie zu keinem anderen Zweck verarbeitet. Hier könnte man glauben, dass schon die Bereitstellung von Daten einen solchen Vertrag begründen. Das ist aber nicht der Fall: es braucht erst das Schuldverhältnis (also z.B. den Dienstleistungsvertrag) und dann die zusätzliche Anforderung, dass der Verbraucher dem Unternehmen personenbezogene Daten bereitstellt oder sich hierzu verpflichtet. Z.B. auf die Bereitstellung von White-Papers gegen Erhalt der E-Mail-Adresse dürfte das also zutreffen.
Datenschutzrechtlich ist der Bereitsteller des Newsletters aber natürlich trotzdem nach DSGVO verpflichtet. Die Rechtsgrundlage ist im Falle der Einwilligung Art. 6 Abs. 1 lit. a DSGVO. Alle Regelung zur ordnungsgemäßen Handhabung dieser Daten finden Anwendung.
Das Datenschutzrecht kennt also durchaus die Verarbeitung personenbezogener Daten ohne zugehörigen schuldrechtlichen Vertrag. Die einseitige Willenserklärung reicht aus.
Stand: 05.06.2024
Ausführliche Informationen zum "Stand der Technik" finden Sie in unserem Blog.
Aus dem Sachverhalt – Urteil des ArbG Suhl (AZ: 6 Ca 704/23)
In dem vorliegenden Fall fordert der Kläger von der Beklagten Schadensersatz gemäß Artikel 82 Abs. 1 DSGVO. Der Kläger war vom Oktober 2020 bis Januar 2022 bei der Beklagten beschäftigt. Im Dezember 2021 forderte er Auskunft über die über ihn gespeicherten Daten, die ihm zunächst unverschlüsselt per E-Mail und später postalisch zugesandt wurden. Außerdem wurden seine Daten ohne Zustimmung an den Betriebsrat weitergeleitet.
Der Kläger beschwerte sich beim Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) über diese angeblichen Datenschutzverletzungen. Der TLfDI stellte fest, dass die unverschlüsselte Auskunftserteilung ein Verstoß gegen die DSGVO darstellt. Parallel führte der Kläger Verfahren vor dem Arbeitsgericht Suhl und später vor dem Landesarbeitsgericht Thüringen, in denen es u.a. um Schadenersatzansprüche nach DSGVO ging.
Der Kläger argumentiert, dass ihm aufgrund mehrerer erheblicher Verstöße gegen die DSGVO ein Schadensersatz in Höhe von mindestens 10.000 € zusteht. Er leitet seinen Anspruch aus immateriellen Schäden wie Kontrollverlust und Verletzung des Persönlichkeitsrechts ab. Der Kläger ist der Meinung, dass bereits ein Verstoß gegen die DSGVO für einen Schadensersatzanspruch ausreicht.
Die Beklagte fordert die Abweisung der Klage. Sie argumentiert, dass außer der unverschlüsselten E-Mail-Übermittlung kein weiterer DSGVO-Verstoß vorliege und bestreitet, dass dem Kläger ein kausaler Schaden entstanden sei. Die Beklagte hält den geforderten Schadensersatz für überzogen.
Aus den Urteilsgründen – Urteil des ArbG Suhl (AZ: 6 Ca 704/23)
Ergebnis: Der Kläger hat keinen Anspruch auf Schadensersatz, da die erforderlichen gesetzlichen Voraussetzungen nicht erfüllt sind.
Trotz des Verstoßes der Beklagten gegen Art. 5 DSGVO durch den Versand einer unverschlüsselten E-Mail, welcher vom Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit bestätigt wurde, fehlt es an der Darlegung eines tatsächlichen Schadens beim Kläger. Der Europäische Gerichtshof (EuGH) hat entschieden, dass ein bloßer Verstoß gegen die DSGVO nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Es ist erforderlich, dass ein konkreter Schaden entstanden ist und ein Kausalzusammenhang zwischen dem Verstoß und dem Schaden besteht.
Der Kläger hat keinen konkreten immateriellen Schaden dargelegt. Ein bloßer, abstrakter Kontrollverlust stellt keinen konkreten immateriellen Schaden dar.
Stand: 07.02.2024
Aus dem Sachverhalt – Urteil des AG Duisburg vom 03.11.2023 –AZ: 5 Ca 877/23)
Der Kläger bewarb sich am 14. März 2017 bei der Beklagten. Am 18. Mai 2023 forderte er von der Beklagten Auskunft über seine bei ihr gespeicherten Daten gemäß DSGVO und setzte eine Frist bis zum 2. Juni 2023. Nachdem die Beklagte nicht reagierte, erinnerte der Kläger sie am 3. Juni 2023 an sein Anliegen. Am 5. Juni 2023 erteilte die Beklagte eine Negativauskunft, dass keine Daten des Klägers gespeichert seien. Der Kläger hinterfragte die verspätete Auskunft und forderte am 13. Juni 2023 eine Geldentschädigung von 1.000 Euro wegen Verletzung des Artikels 12 DSGVO. Die Beklagte lehnte den Anspruch ab, woraufhin der Kläger am 18. Juni 2023 Klage einreichte.
Argumente des Klägers:
•Die Beklagte habe das Gebot der Unverzüglichkeit gemäß Art. 12 Abs. 3 DSGVO verletzt.
•Ein Zeitraum von mehr als einer Woche ohne besondere Umstände verstoße gegen das Gebot der Unverzüglichkeit.
•Der Kläger erlebte einen Kontrollverlust und emotionales Ungemach, insbesondere wegen seiner Sensibilität im Datenschutz nach einem Hacker-Angriff.
•Er verlangt eine Geldentschädigung mit abschreckender Wirkung, basierend auf den stabilen Umsätzen der Beklagten.
Argumente der Beklagten:
•Die Auskunft sei innerhalb der Monatsfrist des Art 12 Abs. 3 DSGVO erteilt worden.
•Aufgrund zahlreicher Auskunftsverlangen und der Notwendigkeit, sorgfältig zu prüfen, sei eine angemessene Zeit erforderlich.
•Das Auskunftsbegehren sei nicht eilbedürftig gewesen.
•Der Kläger habe keinen Schaden dargelegt.
•Die Beklagte verweist auf ihren „Code of Conduct“ und behauptet Rechtsmissbrauch durch den Kläger.
Aus den Entscheidungsgründen – Urteil des AG Duisburg vom 03.11.2023 –AZ: 5 Ca 877/23)
•Verstoß gegen DSGVO: Die Beklagte hat durch die späte Antwort auf die Auskunftsanfrage des Klägers vom 18. Mai 2023 gegen Art. 12 Abs. 3 DSGVO verstoßen.
•Verzögerung der Auskunftserteilung: Die Beklagte antwortete erst nach 19 Kalendertagen, ohne besondere Umstände, die eine solche Verzögerung rechtfertigen würden.
•Immaterieller Schaden: Durch die Verzögerung erlitt der Kläger einen Kontrollverlust über seine Daten, der als immaterieller Schaden anzusehen ist.
•Bemessung des Schadensersatzes: Ein Betrag von 750 Euro wird als angemessener Schadensersatz betrachtet. Dabei wurden Art, Schwere und Dauer des Verstoßes, sowie die Finanzkraft der Beklagten berücksichtigt.
•Rechtsmissbrauch: Die Klage des Klägers wird nicht als rechtsmissbräuchlich angesehen.
Fazit:
Der Kläger erhält eine Geldentschädigung von 750,- Euro aus Art. 82 DSGVO.
Hinweis: nach der Rechtsprechung des EuGH aus dem Jahr 2023 dürfte hier zu wenig zum Schaden vorgetragen sein. In der nächsten Instanz wird das Urteil dann aufgehoben werden.
Stand: 31.01.2024
Nach § 25 TDDDG ist es im Grundsatz erforderlich, dass die Endnutzer ihre Einwilligung zur Speicherung von Informationen oder zum Zugriff auf Informationen, die bereits im Endgerät des Endnutzers gespeichert sind, geben müssen. Dies betrifft in der Regel Cookies und ähnliche Technologien, z.B. Fingerprinting.
Im beschriebenen Fall wird der Link zu einem Tracking-Pixel beim Öffnen des Newsletters genutzt, um das Pixel auf dem Server zu aktivieren. Es erfolgt keine direkte Speicherung auf dem Gerät des Nutzers. Allerdings:
„Web-Beacons und Links zu Trackingzwecken in E-Mails stellen ebenfalls Informationen („Übermittlung von Wissen“) dar, die auf Endgeräten der Empfänger gespeichert werden, sobald die Newsletter-E-Mail an sich auf einem Laptop, Smartphone, etc. gespeichert wird. Selbst wenn die E-Mail anfangs nur auf einem externen Server gespeichert und über einen Internet-Browser geöffnet wird, liegen die Voraussetzungen des § 25 Abs. 1 TDDDG vor. Denn auch von hier aus werden die Trackingmaßnahmen in Gang gesetzt.“, vgl. IT-Recht Kanzlei
Fazit
Bei der Verwendung eines Tracking-Pixels in Newslettern geht es um die Sammlung von personenbezogenen Daten darüber, ob eine E-Mail geöffnet wurde und ob auf darin enthaltene Links geklickt wurde.
Entsprechend muss gem. § 25 TDDDG die betroffene Person über die Verwendung von Tracking-Pixeln informiert werden und ihre Einwilligung dazu geben, es sei denn, es gibt eine andere rechtliche Grundlage für die Verarbeitung dieser Daten.
Stand: 05.06.2024
Personenbezogene Daten dürfen so lange aufbewahrt werden wie es nach Art. 5 Abs. 1 lit. b DSGVO erlaubt ist. Entfallen diese Gründe, ist die Zweckbindung nicht mehr gegeben und Unternehmen müssen die Daten entsprechend löschen. Dieser Pflicht zur Löschung stehen gesetzliche Aufbewahrungsfristen für personenbezogene Daten und anderen Daten gegenüber. Die Daten, die den Aufbewahrungsfristen unterliegen, werden nach den dafür festgelegten Fristen gelöscht bzw. vernichtet.
Vorliegend sind wir der Ansicht, dass während des Mietverhältnisses die Selbstauskunft nicht gelöscht werden muss, denn der ursprüngliche Zweck (Prüfung der Solvenz des Mieters) ist noch nicht entfallen. Nach dem Ende des Mietverhältnisses aber (sofern kein Rechtsstreit droht) wären diese Daten unverzüglich zu löschen.
Viele Infos dazu vom BayLDA
Stand: 24.01.2024
Unternehmen müssen im Umgang mit E-Mail-Accounts ausscheidender oder temporär abwesender Beschäftigter die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) beachten. Diese Regelungen erlauben die Verarbeitung personenbezogener Daten für Beschäftigungsverhältnisse unter bestimmten Bedingungen. Vor dem Ausscheiden sollten Beschäftigte private E-Mails aus ihrem Account entfernen. Betriebliche E-Mails können an eine Vertretung weitergeleitet oder gelöscht werden.
Die Weiterleitung von E-Mails nach dem Ausscheiden eines Mitarbeiters ist zulässig, wenn die Nutzung des E-Mail-Accounts ausschließlich betrieblichen Zwecken dient und die private Nutzung untersagt wurde.
Achtung: es gibt die Ansicht, dass man bei unerwartetem Eingang privater E-Mails auf betrieblichen Accounts eine Person bestimmen soll, die betriebliche von privaten E-Mails trennt und letztere unverzüglich löscht, um das Fernmeldegeheimnis zu wahren, so z.B. der Landesbeauftragte für Datenschutz in Bremen.
Im Ergebnis wird hier dann auch von einer Weiterleitung der E-Mails abgeraten, damit man nicht versehentlich als Arbeitgeber durch das Eingehen privater Mails das Fernmeldegeheimnis verletzt. Wir halten das für eine absolut falsche Rechtsansicht.
Wir vertreten folgende, in der juristischen Literatur vertretene Meinung:
„Hat der Arbeitgeber die Privatnutzung der betrieblichen Kommunikationsmittel ausdrücklich untersagt, greift § 3 nicht ein. Wie oben dargelegt, liegt bereits kein TK-Dienst iSv § 3 Nr. 61 TKG vor (→ Rn. 43). Eine Verpflichtung nach Abs. 2 S. 1 Nr. 1 und Nr. 3 scheidet auch deshalb aus, weil der Arbeitgeber keinen öffentlich zugänglichen TK-Dienst anbietet und kein öffentliches Telekommunikationsnetz betreibt, indem er seinen Mitarbeitern betriebliche Telekommunikationssysteme als Arbeitsmittel zur Verfügung stellt. Auf diese haben lediglich autorisierte Mitarbeiter und damit ein eindeutig abgrenzbarer Personenkreis Zugriff, sodass kein Angebot an die Öffentlichkeit vorliegt“, vgl. Gierschmann/Baumgartner/Baumgartner, 1. Aufl. 2023, TDDDG § 3 Rn. 46).
Stand: 05.06.2024
Ein Betroffener hatte ein Kreditkartenkonto bei der Barclays Bank. Nach Kontoauflösung forderte die Bank 1.472,54 €, was der Betroffene bestritt. Die Bank meldete die Forderung als Negativeintrag bei der Schufa, was zu einer Sperrung der Kreditkarte des Betroffenen und Ablehnung eines Kredits führte. Trotz Löschung des Eintrags durch die Schufa meldete die Bank die Forderung erneut.
Negativeinträge bei Auskunfteien wie der Schufa können erhebliche Beeinträchtigungen für betroffene Personen nach sich ziehen, indem sie die Kreditwürdigkeit negativ beeinflussen. Dies wurde auch durch den EuGH in einem Urteil vom 07.12.2023 (verb. Rs. C-26/22 und C-64/22) anerkannt.
Landgericht Hamburg:
Das Landgericht sprach dem Betroffenen 2.000,00 € immateriellen Schadensersatz gegen die Bank zu, da die Negativeinträge ohne Rechtsgrundlage, insbesondere auch ohne berechtigtes Interesse erfolgten.
Oberlandesgericht Hamburg:
Der Betroffene legte Berufung ein, da er den Schaden höher einschätzte. Das OLG erhöhte den Schadensersatz auf 4.000,00 €, da der Betroffene durch die Negativeinträge in seinem sozialen Ansehen beeinträchtigt wurde und weitere negative Konsequenzen erlitt.
Die Entscheidung ist ein echter Schritt im Verbraucherschutz. Die Entscheidung klärt, dass das Bestreiten einer Forderung ausreichend ist, um eine Meldung an die Schufa als vorsätzlichen Verstoß gegen die DSGVO zu werten.
Das OLG Hamburg stärkt mit der Entscheidung die Rechte Betroffener nach der DSGVO. Betroffene sollten umstrittene Forderungen bestreiten, um einen Schufa-Eintrag zu verhindern oder zumindest einen Schadensersatzprozess vorzubereiten. Negative Konsequenzen wie Kreditkündigungen sollten gut dokumentiert werden.
Stand: 24.01.2024
Ausführliche Infos zum Thema interne und externe Datenschutzbeauftragte (DSB) finden Sie in unserem Blog.
Unter Joint Controllership ist nach Art. 26 DSGVO die gemeinsame Verantwortlichkeit zu verstehen.
•„Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche“
Der der Website des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg gibt es eine gute Vorlage für ein Joint Controllership --> Vorlage
Die DSK hat ebenfalls ein Papier zum Thema „Gemeinsam für die Verarbeitung Verantwortliche, Art. 26 DSGVO“ veröffentlicht.
Eine Besonderheit, die bei gemeinsamer Verantwortlichkeit berücksichtigen ist, ist das Thema Haftung:
„Darüber hinaus sind im Falle gemeinsamer Verantwortlichkeit noch Besonderheiten in einigen weiteren Regelungsbereichen der DS-GVO zu beachten: Jeder der gemeinsam Verantwortlichen haftet nach Art. 82 Abs. 4 in Verbindung mit Abs. 2 Satz 1 im Falle rechtswidriger Verarbeitung für den gesamten Schaden, sofern er nicht sein fehlendes Verschulden nachweisen kann (Art. 82 Abs. 3). Die Verantwortlichen haften auch ohne eine Vereinbarung nach Art. 26 Abs. 1 gemeinschaftlich. Diese hilft aber beim Haftungsausgleich im Innenverhältnis nach Art. 82 Abs. 5. Fälle gemeinsamer Verantwortlichkeit können nicht selten zu einer Erhöhung der Risiken für die Rechte und Freiheiten betroffener Personen führen, so dass u. U. die Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 geboten ist.“ (S. 4)
--> Um sicherzugehen, dass keine Haftungsthematik auftritt, ist vor Abschluss eines Vertrags mit gemeinsamer Verantwortlichkeit von jedem Verantwortlichen zu prüfen, ob alle erforderlichen Sicherheitsmaßnahmen zum Schutz der Verarbeitung der personenbezogenen Daten auf beiden Seiten getroffen sind (vergleichbar mit der Auswahl eines kompetenten Auftragsverarbeiters)
Zusammenfassend gilt damit:
-Gemeinsam verantwortlich ist, wer zusammen mit einem anderen die Zwecke der und die Mittel zur Verarbeitung festlegt.
-Jeder der Beteiligtem ist der sog. „Herr der Daten“, jedoch muss die Mitverantwortlichkeit der Beteiligten nicht gleichwertig sein.
-Die Verantwortlichen haften auch ohne eine Vereinbarung nach Art. 26 Abs. 1 DSGVO gemeinschaftlich und gesamtschuldnerisch.
-Jeder der gemeinsam Verantwortlichen haftet nach Art. 82 Abs. 4 i.V.m. Abs. 2 Satz 1 DSGVO im Falle einer rechtswidrigen Verarbeitung für den gesamten Schaden, sofern er nicht sein fehlendes Verschulden nachweisen kann Art. 82 Abs. 3.
-Das Gesetz schreibt keine Kontrollpflichten der Vertragspartner untereinander vor, jedoch sollten die Parteien im eigenen Interesse Kontrollmaßnahmen vereinbaren und vornehmen.
-Zudem sollte die Vereinbarung eine möglichst genaue Beschreibung der jeweiligen Verpflichtungen enthalten, um im Zweifelsfall das fehlende Verschulden für einen bestimmten Schaden nachweisen zu können.
Stand: 17.01.2024
Mehr Informationen zum EuGH-Urteil zur Verarbeitung von Gesundheitsdaten am Arbeitsplatz in unserem Blog.
Der Artificial Intelligence-Act wird von der Europäischen Kommission und dem Parlament verabschiedet werden. Mit dem AI-Act wird der Einsatz von Künstlicher Intelligenz europaweit geregelt. Das weltweit erste KI-Gesetz soll die Grundrechte sowie die Sicherheit von Menschen und Unternehmen schützen.
Ein wichtiger Beweggrund für die getroffenen Regelungen im KI-Gesetz ist die Sicherstellung von Urheberrechten. Außerdem werden Anwender von KI dazu verpflichtet, kenntlich zu machen, wenn Bilder, Texte oder Töne KI-generierten Inhalt darstellen.
Scharfe Regelungen gelten für „risikoreiche“ Anwendungen bei kritischen Infrastrukturbetreibern. Hier wird z.B. vorgeschrieben, dass etwa für Sicherheitsbehörden, Personalverwaltungen und KRITIS-Betreibern eine menschliche Kontrollstelle eingerichtet sein muss und entsprechende Dokumentation und Risikomanagementmaßnahmen vorgehalten werden müssen.
Der Artificial Intelligence-Act betrifft Anwendungen und Entwicklung von KI-Systemen.
Die private Anwendung von KI-Systemen fällt nicht in den Anwendungsbereich des AI-Acts.
KI-Systeme werden durch den AI-Act in unterschiedliche Risikogruppen eingeteilt:
• unannehmbares Risiko
• hohes Risiko
• begrenztes Risiko
• minimales und/oder kein Risiko
Ähnlich wie bei der DSGVO sollen bei Verstößen gegen die KI-Verordnung hohe Bußgelder verhängt werden können. Die maximale Grenze liegen hier bei 35 Millionen Euro bzw. 7 % des gesamten weltweiten Jahresumsatzes des Unternehmens.
Alle Entwickler von KI-Basismodellen müssen v.a. „technische Dokumentationen“ erstellen, die Aufschluss über Trainings- und Testverfahren geben. Sie müssen zudem nachweisen, dass sie urheberrechtliche Bestimmungen einhalten.
Entwicklern großer KI-Modelle mit sog. „systemischen Risiken“ werden weitere Verpflichtungen auferlegt, u.a. zum Risikomanagement und der IT-Sicherheit. Maßgeblich für die Einstufung ist die Rechenleistung, die zum Training der Modelle genutzt wird. Sie wird in sogenannten FLOPs (Floating Point Operations beziehungsweise „Gleitkommaoperationen“) gemessen.
Zur Gerichtserkennung: die KI-basierte biometrische Identifizierung von Personen im öffentlichen Raum wird möglich sein, allerdings unter engen Vorgaben: bei der gezielten Suche nach einzelnen Personen und dann, wenn Gefahr für Leib und Leben besteht oder ein Terroranschlag droht.
Stand: 10.01.2024
Zum Sachverhalt:
Ein Unternehmen der IG Metall-Gruppe möchte gerne intern die Gehaltsstrukturen vereinheitlichen. Um die Auswirkungen der Verhandlungsforderungen zwischen dem Arbeitgeber und der IG-Metall genau zu sehen, möchte das Unternehmen die vorhandene HR-Abrechnungen mit allen Personaldaten komplett in eine gesicherte, virtuelle Maschine klonen.
Im kopierten System sollen die HR-Mitarbeiter Änderungen einpflegen können (andere Eingruppierung, Lohnerhöhung usw.) und dadurch eine testweise Abrechnung erzeugen, um diese mit der bisherigen Abrechnung zu vergleichen, um einen Erkenntnisgewinn über die Auswirkungen auf die Liquidität des Unternehmens zu erhalten.
Nach der Auswertung der Ergebnisse soll das kopierte System gelöscht werden.
Ist das geplante Vorgehen datenschutzrechtlich zulässig?
Bei Personaldaten handelt es sich um personenbezogene Daten. Personenbezogene Daten dürfen nach Art. 5 DSGVO nur nach dem Prinzip Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz verarbeitet werden. Die Verarbeitung der Daten muss „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“. Außerdem ist stets sicherzustellen, dass „ eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen“ gegeben ist.
Werden die personenbezogenen Daten nun für die interne Ergebnisberechnung geklont, sind aus unserer Sicht folgende Voraussetzungen sicherzustellen, um ein angemessenes Datenschutzniveau zu gewährleisten:
• der Zugriff darf nur für dedizierte HR-Mitarbeiter gegeben sein
• geeignete technische u. organisatorische Maßnahmen für die Datenumgebung sicherstellen
• die Zweckänderung der Datenverarbeitung für das Kopieren der Daten muss detailliert festgelegt werden, Art. 9 DSGVO (Religionszugehörigkeit auf Lohnabrechnung) muss berücksichtigt werden
• falls die Daten auf externen Rechnern/Servern (nicht unternehmensintern) verarbeitet werden, muss ein entsprechender Auftragsverarbeitungsvertrag geschlossen werden
• nach der Auswertung müssen die Daten unverzüglich gelöscht werden (auch in Back-ups/Archiven)
• (Vorübergehende) Aufnahme ins Verfahrensverzeichnis
Stand: 10.01.2024
Im Dezember 2023 hat der EuGH grundlegende Rechtsfragen im Zusammenhang mit der Bußgeldhaftung für Datenschutzverstöße beantwortet. (Rechtssachen C-683/21 und C-807/21).
Die Deutsche Wohnen Immobiliengesellschaft ist ein Konzern, der mittels Tochterunternehmen Wohn- und Gewerbeeinheiten vermietet. Im Zuge der Vermietungen verarbeitet die Deutsche Wohnen zahlreiche personenbezogene Daten von Mietern, u.a. Identitätsnachweise, Steuer‑, Sozial- und Krankenversicherungsdaten dieser Mieter sowie Angaben zu Vormietverhältnissen. Im Rahmen einer Überprüfung durch die zuständige Aufsichtsbehörde forderte diese die Deutsche Wohnen Immobiliengesellschaft auf, diese Daten aus den elektronischen Archiven zu löschen, da diese nicht mehr nachvollziehbar benötigt wurden. Deutsche Wohnen verneinte jedoch diese Löschaufforderung, da dies technisch nicht möglich sei. Die Daten wurden von der Deutsche Wohnen auf ein neues Archivsystem migriert. Eine Löschung fand nicht statt. Daraufhin wurde von der Aufsichtsbehörde ein Bußgeld in Höhe von 14.385.000,- Euro an. Die Deutsche Wohnen ging gegen diesen Bußgeldbescheid vor, da dieser aus ihrer Sicht gravierende Mängel aufwies und legte dagegen Einspruch beim LG Berlin ein.
Das LG Berlin hob den Bußgeldbescheid auf. Die Staatsanwaltschaft hat diesen Beschluss dann angefochten. Das Kammergericht Berlin legte dem EuGH Vorlagefragen zur Klärung vor.
1. Muss bei Bußgeldverfahren immer festgestellt werden, dass es eine natürliche oder juristische Person war, die eine Ordnungswidrigkeit begangen hat, oder kann ein Bußgeldverfahren auch direkt gegen ein Unternehmen geführt werden?
2. Falls direkt gegen Unternehmen möglich: Muss das Unternehmen den durch einen Mitarbeitenden vermittelten Verstoß schuldhaft begangen haben, oder reicht für eine Bestrafung per Bußgeld des Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß gegen die DSGVO aus („strict liability“)?
Aus den Urteilsgründen
Zur Vorlagefrage 1:
Eine Geldbuße gem. Art. 83 Abs. 4 bis 6 DSGVO kann auch unmittelbar gegen ein Unternehmen verhängt werden. Hauptgrund: Der Begriff des „Verantwortlichen“ in Art. 4 Nr. 7 DSGVO sei weit definiert. Er umfasst auch juristische Personen (vgl. Rz. 39 des Urteils). Das bedeutet, „dass diese nicht nur für Verstöße haften, die von ihren Vertretern, Leitern oder Geschäftsführern begangen wurden, sondern auch für Verstöße, die von jeder anderen Person begangen wurden, die im Rahmen der unternehmerischen Tätigkeit und im Namen dieser juristischen Personen handelt“ (vgl. Rz. 44 des Urteils).
Zur Vorlagefrage 2:
Art. 83 DSGVO ist so auszulegen, dass „nach dieser Bestimmung eine Geldbuße nur dann verhängt werden darf, wenn nachgewiesen ist, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat.“ Die Anforderungen hieran sind aber nicht zu hoch anzusetzen. Es reicht, wenn der Verantwortliche über die „Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte“. Hierbei sei es irrelevant, ob ihm der Verstoß gegen die DSGVO bewusst war oder ist (vgl. Rz. 76 des Urteils). Handlung oder Kenntnis eines Leitungsorgans ist nicht erforderlich!
Die Hürde für die Verhängung von Bußgeldern wird angehoben. Der EuGH stellt klar, dass nachgewiesen werden muss, dass ein Fehlverhalten der verantwortlichen Person vorgelegen hat, um ein entsprechendes Bußgeld verhängen zu können. Ist sich der Verantwortliche nachweislich nicht über den Rechtsverstoß bewusst, kann keine Geldbuße verhängt werden.
Das Urteil wird dazu führen, das sich die Rechtsprechung zukünftig intensiv mit den Anforderungen an das Verschulden auseinandersetzen muss. Vor allem werden aber die Datenschutzbehörden vor Erlass eines Bußgeldbescheides nachzuweisen haben, dass ein fahrlässiges oder vorsätzliches Handeln vorliegt. Allein ein Verstoß gegen die DSGVO genügt demnach nicht.
Stand: 10.07.2024
Ausführliche Informationen über Microsoft Copilot finden Sie in unserem Blog.
Alle Infos zum EuGH-Urteil finden Sie in unserem Blog.
Stellt die Schufa bei einer Firma eine Anfrage zu den Vermögensverhältnisse eines Kunden, da sie selbst wiederum eine Anfrage von dritter Stelle erhalten hat, dann dürfen die von der Firma an die Schufa weitergeleiteten Daten (Name, Adresse, Geburtsdatum) im Rahmen der Stichproben-Anfrage nur so lange gespeichert werden, wie sie für den vorliegenden Zwecke benötigt werden.
Ist die Anfrage demnach abgeschlossen, kann eine Speicherung (wohl) nicht länger begründet werden.
Die Daten sind somit unverzüglich zu löschen, nach Art. 17 DGSVO.
Stand: 20.12.2023
Im Dezember 1983 hat das Bundesverfassungsgericht das Volkszählurteil zur informationellen Selbstbestimmung gefällt. Das nunmehr 40 Jahre alte Urteil ist heute nach wie vor von großer Wichtigkeit und bahnbrechend für die Entwicklung des Datenschutzrechts in den letzten Jahrzehnten.
Beweggrund für das Urteil war die zunehmende automatisierte Datenverarbeitung. Diese erforderte den Schutz des des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten.
Das Gericht stellte fest: Jedes Individuum hat das Recht, eigenständig über die Verwendung und Preisgabe seiner persönlichen Daten zu bestimmen. Diese informationelle Selbstbestimmung ist als Teil des allgemeinen Persönlichkeitsrechts ein Grundrecht.
Aus heutiger Sicht war die damalige Entscheidung des Gerichts durchaus visionär, da bereits damals Regelungen getroffen wurden für die automatisierte Datenverarbeitung, wie sie heute – auch im Hinblick auf KI-Anwendungen – stattfindet:
„Diese Befugnis bedarf unter den heutigen und künftigen Bedingungen der automatischen Datenverarbeitung in besonderem Maße des Schutzes. Sie ist vor allem deshalb gefährdet, weil bei Entscheidungsprozessen nicht mehr wie früher auf manuell zusammengetragene Karteien und Akten zurückgegriffen werden muß, vielmehr heute mit Hilfe der automatischen Datenverarbeitung Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person (personenbezogene Daten [vgl. § 2 Abs. 1 BDSG]) technisch gesehen unbegrenzt speicherbar und jederzeit ohne Rücksicht auf Entfernungen in Sekundenschnelle abrufbar sind. Sie können darüber hinaus - vor allem beim Aufbau integrierter Informationssysteme - mit anderen Datensammlungen zu einem teilweise oder weitgehend vollständigen Persönlichkeitsbild zusammengefügt werden, ohne daß der Betroffene dessen Richtigkeit und Verwendung zureichend kontrollieren kann. Damit haben sich in einer bisher unbekannten Weise die Möglichkeiten einer Einsicht- und Einflußnahme erweitert, welche auf das Verhalten des Einzelnen schon durch den psychischen Druck öffentlicher Anteilnahme einzuwirken vermögen.“ (Vgl. Volkszählurteil, RN 145 )
Stand: 20.12.2023
Alle Informationen zum Thema Einwilligung, Löschung von Fotos und Bildern und zum Thema Model-Release-Vertrag finden Sie in unserem Blog.
Der EuGH hatte am 07. Dezember 2023 über zwei Vorlagefragen bzgl. des Scorings bei der Schufa entschieden. Grund für die Entscheidung war eine Klage einer Betroffenen, die aufgrund ihres automatisiert berechneten Schufa-Scores keinen Kredit bei ihrer Bank erhielt. Auch auf Nachfrage wurde der Kundin keine eindeutige Auskunft erteilt, wie ihr Schufa-Score genau berechnet wurde. Auch ihre anschließende Beschwerde bei dem Hessischen Datenschutzbeauftragten über die eingeschränkt mitgeteilten Informationen seitens der Schufa blieben erfolglos. Daraufhin wurde das Verwaltungsgericht eingeschaltet. Das Verwaltungsgericht hat die Entscheidung dem EuGH vorgelegt mit der Bitte um Überprüfung, ob das Vorgehen der Schufa datenschutzkonform sei.
Der EuGH ist nun zu dem Schluss gekommen, dass das Schufa-Scoring unter bestimmten Umständen gegen Art. 22 DSGVO verstößt, da nicht allein aufgrund von automatisiert verarbeiteten Daten wichtige Entscheidungen getroffen werden dürften, ob jemand beispielsweise einen Kredit erhält oder nicht. Erlaubt sei ein solches Verfahren nur, wenn nationale Gesetze dieses ausdrücklich mit einer Ausnahmevorschrift erlauben. Nun ist zu prüfen, ob die Ausnahmevorschrift, dass Unternehmen wichtige Vertragsentscheidungen allein auf automatisierte – und nicht durch Menschen begleitete – Verfahren stützen dürfen, so wie sie derzeit im BDSG geregelt ist, überhaupt zulässig ist.
Die Urteile des EuGH zeigen nicht nur, dass sich die SCHUFA an die gesetzlichen Regelungen zur (rechtzeitigen!) Löschung halten muss. Sie zeigen auch, dass die Entscheidungen der Datenschutz-Aufsichtsbehörden vollumfänglich einer gerichtlichen Prüfung unterzogen werden können. In den zwei Rechtsstreitigkeiten (Rechtssache C‑26/22 und C‑64/22) hatte sich nämlich der Hessische Beauftragten für Datenschutz und Informationsfreiheit geweigert, bei der SCHUFA auf Löschung von bei ihm gespeicherten Daten betreffend Restschuldbefreiungen zugunsten von zwei Bürgern hinzuwirken.
Der EuGH sagt hierzu: Rechtsverbindliche Beschlüsse von Aufsichtsbehörde unterliegen einer vollständigen inhaltlichen Überprüfung durch ein Gericht.
Stand: 13.12.2023
Wird der Zutritts- bzw. Zufahrtsbereich eines Werkgeländes zur Öffnung des Tores überwacht, kann die Videoüberwachung auf die Rechtsgrundlage nach Art. 6 Abs. 1 lit. f) DSGVO gestützt werden, da es sich hier um ein berechtigtes Interesse handeln kann.
Demnach ist eine Videoüberwachung zulässig, soweit die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist, sofern nicht die Interessen oder Grundreche und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.
Kann man all das bejahen, ist eine gesonderte Einwilligung der Mitarbeiter hierfür nicht einzuholen.
Dennoch sind die Informationspflichten nach Art. 13 DSGVO einzuhalten, d.h. ein entsprechendes Schild mit den Eckdaten zur Videoüberwachung ist gut sichtbar an der Einfahrt zum Werksgelände auf Augenhöhe anzubringen, sodass sowohl Mitarbeiter als auch externe Besucher über die Videoüberwachung zum Zwecke der Einlasskontrolle informiert werden.
•Beispiel für ein Hinweisschild nach Art. 13 DSGVO vom BayLDA
Weitere Orientierung von der DSK hier und hier
Stand: 06.12.2023
Zum Sachverhalt:
Person P nutzt bei einer Video-Besprechung eine Anwendung, die die Tonaufnahmen „mitschneidet“ und daraus ein Protokoll erstellt. P informiert die weiteren, an der Besprechung teilnehmenden Personen nicht über den Mitschnitt bzw. den Einsatz der Software. Die „Mitschnitt“ ist nicht abhörbar, sondern nur als Text im Protokoll lesbar.
•Ist das erlaubt?
Eine Aufzeichnung eines Gesprächs, ohne alle Gesprächspartner davon in Kenntnis zu setzen, könnte eine Straftat sein, weil vielleicht eine Verletzung der Vertraulichkeit des Wortes stattfindet.
Strafgesetzbuch (StGB) - § 201 Verletzung der Vertraulichkeit des Wortes
(1) Mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe wird bestraft, wer unbefugt
1. das nichtöffentlich gesprochene Wort eines anderen auf einen Tonträger aufnimmt oder
2. eine so hergestellte Aufnahme gebraucht oder einem Dritten zugänglich macht.
Aber: liegen durch die automatisierte Protokollierung eine „Aufnahme“ und „ein Tonträger“ iSd. § 201 StGB gegeben?
„Das Schutzgut aller Tatbestände des § 201 StGB ist das nicht öffentlich gesprochene Wort eines Menschen. Nicht öffentlich ist das Wort, wenn es nach dem Willen des Sprechers nicht an eine nach Zahl und Individualität unbestimmten Kreis von Personen gerichtet und auch objektiv für einen solchen verstehenden Mithörens wahrnehmbar ist. Auf die Öffentlichkeit des Ortes, an dem gesprochen wird, oder auf den dienstlichen oder privaten Charakter der Äußerung kommt es nicht an.“ Aus: Kramer IT-ArbR, § 5 IT-Arbeitsstrafrecht Rn. 83, beck-online
Achtung:
„Aufgenommen ist das gesprochene Wort, wenn eine akustische Wiedergabe möglich ist.“ (Kramer IT-ArbR, § 5 IT-Arbeitsstrafrecht Rn. 85, beck-online) à Das heißt: § 201 StGB ist tatbestandlich nur erfüllt, wenn die Aufnahme nochmal akustisch abgespielt werden kann.
Es gibt aber auch eine andere Ansicht:
„Der Einsatz von KI-Sprachassistenzsystemen kann uU eine Strafbarkeit nach § 201 StGB (Verletzung der Vertraulichkeit des Wortes) begründen. Bei Sprachassistenzsystemen wird das gesprochene Wort aufgezeichnet und mittels KI-Texterkennung analysiert. Hierfür werden teilweise die Audio-Datei und der transkribierte Text gespeichert. Mitarbeiter der Unternehmen, die das jeweilige Sprachassistenzsystem anbieten, haben uU Zugriff auf die anonymisierten Tonaufnahmen.“(Hoeren/Sieber/Holznagel MMR-HdB, Teil 29 Rn. 23, beck-online)
Werden die Teilnehmer der Videobesprechung vorab über die Aufzeichnung und automatische Textprotokollierung des Gesprächs informiert und willigen diese ausdrücklich ein, ist die Aufzeichnung erlaubt.
Die automatisierte Verarbeitung über eine entsprechend zertifizierte Software muss dahingehend geprüft werden, dass die Verarbeitung personenbezogener Daten den Grundsätzen der DSGVO entsprechen und die technischen und organisatorischen Maßnahmen entsprechend berücksichtigt werden.
Stand: 06.12.2023
Am Nikolaustag 2005 hatte das Bundesverfassungsgericht über eine Verfassungsbeschwerde entschieden, die seitdem als Nikolausurteil bezeichnet wird. Im Rahmen der Verfassungsbeschwerde hat der Beschwerdeführer erfolgreich für die Übernahme seiner Behandlungskosten für eine neue Behandlungsmethode geklagt.
Der Beschwerdeführer litt an der Duchenne´schen Muskeldystrophie. Im Rahmen seiner Behandlung erhielt der Versicherte homöopathische Mittel, Zytoplasma und Thymuspeptide und eine Therapie mit hochfrequenten Schwingungen. Die Krankenhasse verweigerte die Übernahme der Kosten, da keine wissenschaftlich nachgewiesenen Erfolge der Behandlungsmethode nachgewiesen waren. Die Klage beim Sozialgericht und Bundesozialgericht blieb erfolglos, weshalb Verfassungsbeschwerde beim Bundesverfassungsgericht eingelegt wurde. Das Bundesverfassungsgericht bestätigte dem Kläger, dass die Kosten für seine Behandlungsmethode von der gesetzlichen Krankenversicherung übernommen werden musste, da hier eine mögliche Aussicht auf Heilung bzw. spürbar positive Wirkung auf den Krankheitsverlauf bestanden habe.
Der sog. „Nikolaus-Beschluss“ ist bis heute wegweisend. Zahlreiche Entscheidungen sind seitdem aufgrund der Voraussetzungen des Nikolaus-Beschlusses ergangen
Mehr Infos zum Nikolausurteil vom 06.12.2005 - Az.: 1 BvR 347/98
Stand: 06.12.2023
Wenn es sich um ein Arbeitsverhältnis handelt, in dem aus dem Vertrag klar hervorgeht, dass die Vermittlung der Arbeitskraft Bestandteil ist der Arbeit, dann ist es sowieso schon Teil des Arbeitsvertrags und man braucht keine zusätzliche Einwilligung.
Für den Fall, dass es ein ganz normales Arbeitsverhältnis ist und es im Arbeitsvertrag nicht geregelt ist, dass die Mitarbeiter auch vermittelt werden sollen (Zweck der Datenverarbeitung!), dann muss die Einwilligung eingeholt werden, dass die Vermittlung stattfindet und die Klarnamen des Mitarbeiters auf den jeweiligen Vermittlungsplattformen veröffentlicht werden.
Egal welche Variante: Die Informationspflichten nach Art. 13 DSGVO müssen immer erfüllt werden, d.h. die Mitarbeiter-Datenschutzerklärung nach Art. 13 DSGVO muss die entsprechenden Informationen hinsichtlich der Weitergabe der Daten an die Plattformen enthalten.
Stand: 29.11.2023
Zum Sachverhalt:
Der */die Beschuldigte hat einen Einkauf mit Karte getätigt, aber gemäß Videoüberwachung nicht alles aufs Band gelegt und wird nun wegen Diebstahls bezichtigt. Man erkennt aufgrund der Buchungsbelege, um welche Bank es sich handelt. Der Kaufmann stellt Strafanzeige wegen Diebstahls. Nun ermittelt die Kripo.
• Auf welcher Rechtsgrundlage darf die Bank die Daten an die ermittelnde Polizei übermitteln?
• Muss bzw. darf die Bank die Betroffene vor Übermittlung informieren?
Ist hier die DSGVO überhaupt anwendbar?
Gem. Art. 2 Abs. 2 Buchst. d DGSVO findet die DSGVO keine Anwendung auf Verarbeitungen von personenbezogenen Daten, die durch „die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit“ verarbeitet werden.
Stattdessen gelten u.a. die §§ 45 ff. des BDSG.
Aber: diese regeln den Umgang mit den Daten durch die Behörde selbst (in ihrer Funktion als eigener Verantwortlicher).
Die §§ 45 ff. des BDSG regeln nicht, ob und wie ein Unternehmen in diesem Zusammenhang Daten verarbeiten darf. Hier bleibt das Unternehmen selbst Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO.
Daher ist der Anwendungsbereich der DSGVO eröffnet.
Es braucht also eine Rechtspflicht aus gesetzlichen Vorgaben; Der DSGVO-Kommentar Gola/Heckmann, 3. Auflage 2022, Rz. 46 sagt dazu: „Auskunftsersuchen von Ermittlungsbehörden muss nur Folge geleistet werden, wenn ein Fall des § 163 Abs. 3 StPO vorliegt“.
Wie ist ein Ermittlungsverfahren aufgebaut? --> Mehr Infos hier
Ist für die Aufklärung einer Straftat die Übermittlung von Daten relevant, kommt als Rechtsgrundlage der Tatbestand des § 24 Abs. 1 Nr. 1 Bundesdatenschutzgesetz (BDSG) in Betracht.
Die DSGVO stellt immer die Rechte der Betroffenen in den Vordergrund.
Aber: Datenschutz ist kein Täterschutz! (siehe z.B. Urteil des LAG Niedersachsen vom 6. Juli 2022 (Az. 8 Sa 1148/20)
Im Zuge einer Strafermittlung müssen die betroffenen Personen nicht über die Datenübermittlung an die Polizei informiert werden. Gem. Art. 2 Abs. 2 Buchst. d DGSVO findet die DSGVO keine Anwendung auf Verarbeitungen von personenbezogenen Daten, die durch „die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit“ verarbeitet werden.
Normalerweise ist gem. Art. 14 DSGVO die Verantwortliche Stelle dazu verpflichtet, Betroffene über die Weitergabe ihrer personenbezogener Daten informieren. Es gibt jedoch Ausnahmen. Unter bestimmten Voraussetzungen ist der Verantwortliche von der Informationspflicht befreit, bspw. wenn es sich um ein laufendes Strafverfahren handelt, im Zuge dessen die Polizei die Weitergabe von personenbezogenen Daten fordert. Hier findet folgende gesetzliche Regelung Anwendung:
Im Falle eines Strafverfahrens muss die Information zur Weitergabe der personenbezogenen Daten nach Art. 14 DSGVO nicht an die betroffene Person erfolgen, vgl. § 33 Abs. 1 Ziff. 2b) BDSG.
Stand: 13.12.2023
Dem Grundsatz nach hat jede betroffene Person eine Recht auf Auskunft nach Art. 15 DSGVO.
Unter bestimmten Voraussetzungen können jedoch andere Vorschriften überwiegen, sodass das Recht auf Auskunft unter bestimmten Voraussetzungen auch verweigert werden kann.
Der Bayerische Landesbeauftragte für den Datenschutz vertritt in der Orientierungshilfe „Das Recht auf Auskunft nach der Datenschutz-Grundverordnung“ folgende Position:
„(2) Vertraulichkeitsgrund: Gefährdung der öffentlichen Sicherheit
Ein weiterer Vertraulichkeitsgrund besteht, soweit die Erteilung der Auskunft die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde (§ 83 Abs. 1 Nr. 1, § 82a Abs. 1 Nr. 1 Buchst. b SGB X, Parallelregelung: § 34 Abs. 1 Nr. 1, § 33 Abs. 1 Nr. 1 Buchst. b BDSG)."
Hier muss die Prognose für den Fall der Beauskunftung eine hinreichende Wahrscheinlichkeit ergeben, dass es zu einem Schaden hinsichtlich eines Schutzguts der öffentlichen Sicherheit oder Ordnung kommen oder ein Nachteil für das Wohl des Bundes oder eines Landes eintreten wird. Der Begriff der öffentlichen Sicherheit oder Ordnung ist unionsrechtlich zu verstehen.
Der Ausschluss eines Zugangsanspruchs zielt darauf, Informationsflüsse zu verhindern, welche die innere oder äußere Sicherheit des Bundes oder eines Landes gefährden können. Auch bei diesem Vertraulichkeitsgrund dürfte es insbesondere auf das Verhalten ankommen, das die betroffene Person oder ein von ihr informierter Dritter voraussichtlich an den Tag legen wird. Im Unterschied zu § 82a Abs. 1 Nr. 1 Buchst. a SGB X muss sich dieses Verhalten aber nicht gegen den Verantwortlichen richten.“ (vgl. S. 28)
In einer Veröffentlichung des Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg wird folgende Auffassung vertreten:
„Rechtsmissbräuchliche Auskunftsverlangen
Exzessiv im Sinne von Artikel 12 Absatz 5 Satz 2 DS-GVO ist ein Auskunftsantrag nach Artikel 15 DS-GVO, wenn diesem ein rechtsmissbräuchliches Verhalten des Antragsstellers zu Grunde liegt. Dies kann insbesondere bei häufigen Wiederholungen des Auskunftsersuchens innerhalb eines kurzen Zeitraums der Fall sein. Rechtsmissbräuchlich kann zudem ein Antrag sein, wenn ein Antragsteller vorrangig das Ziel verfolgt, eine Gemeinde zu schädigen oder bei der Wahrnehmung ihrer Aufgaben zu behindern.“ (vgl. S.57)
Laut der Veröffentlichung des Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg kann die Auskunft verweigert werden, wenn bspw. folgende Fälle vorliegen:
•Beschränkungsgründe (z.B. Gefährdung der Sicherheit, Straftatverfolgung etc.)
•Präzisierung des Auskunftsverlangens
•Große Menge an Informationen
•Unzumutbarer Aufwand
Wird ein Auskunftsersuchen abgelehnt, muss diese auch entsprechend begründet werden.
(vgl. S.58f.)
Fazit
Liegt demnach ein Verdacht nahe, dass die betroffene Person, die Auskunft verlangt z.B. aktuell in Strafverfahren verwickelt ist oder z.B. der Reichsbürgerszene angehört (die in Deutschland als verfassungswidrig gilt), kann der betroffenen Person das Recht auf Auskunft verwehrt werden, wenn zu befürchten ist, dass dadurch die öffentliche Sicherheit gefährdet werden könnte.
Eine Abwägung ist in jedem Falle durchzuführen.
Stand: 13.12.2023
Das Recht auf Auskunft steht jedem Betroffenen zu. Inwiefern bei nicht vollständiger oder falscher Auskunft ein Schadensersatzanspruch abgeleitet werden kann, ist allerdings fraglich, die Gerichte entscheiden hier sehr unterschiedlich.
Die von Gerichten angesetzten Streitwerte bei Auskunftsklagen nach Art. 15 DSGVO variieren stark.
Der höchste Betrag liegt bei 358.466 Euro (LG München I, Endurteil v. 06.04.2020 – 3 O 909/19 - Anspruch auf Kopien personenbezogener Daten im Zusammenhang mit einer Anlagevermittlung), der geringste Betrag bei 100,- Euro.
--> Die meisten werden jedoch v.a. im Jahr 2023 mit einem relativ geringen Streitwert von 500,- Euro angesetzt.
Stand: 29.11.2023
Google plant Online-Marketer durch die Anonymisierung von IP-Adressen daran zu hindern, Chrome-Nutzer über verschiedene Websites hinweg verfolgen zu können.
Das Movement for an Open Web (MOW) ist eine Organisation, die sich gegen Googles Privacy-Sandbox-Initiative eingesetzt hat. MOW behauptet, die IP-Verschleierung sei schädlich für konkurrierende Internet-Werbeunternehmen. MOW hat demnach bei der britischen Wettbewerbs- und Marktaufsichtsbehörde (CMA) eine Beschwerde über Googles IP-Schutz-Vorschlag eingereicht.
IP Protection, oder auch als "ip-blindness" oder "Gnatcatcher" bezeichnet, ist ein Proxy-System, das Apples Privacy Relay ähnelt. Es soll die Verbindungen des Chrome-Browsers über zwei Proxys laufen lassen, einen von Google und einen von einem Drittanbieter, so dass die wahre öffentliche IP-Adresse des Nutzers verschleiert wird.
Der IP-Schutz wird voraussichtlich in einer zukünftigen Version von Chrome erscheinen, möglicherweise schon im Januar 2024 mit dem Debüt von Chrome 122.
Funktionsweise:
Der von Google betriebene Proxy kann die IP-Adresse des Nutzers beobachten, nicht aber die besuchten Websites. Der Proxy eines Drittanbieters kann die besuchten Webserver sehen, nicht aber die IP-Adresse des Besuchers.
Durch die Trennung der IP-Adresse des Nutzers vom Zielort des Nutzers durch den Google-Dienst können Websites und Vermittler (ohne zusätzliche Informationen) die IP-Adressen von Personen nicht mit ihren Surfgewohnheiten verknüpfen, um Marketingprofile zu erstellen.
Anfänglich wird der IP-Schutz auf freiwilliger Basis erfolgen, aber Google beabsichtigt, ihn zur Standardeinstellung für den Chrome-Browser zu machen.
Stand: 15.11.2023
Ende Oktober wurde der BSI-Bericht für das Jahr 2023 veröffentlicht. Die Cybersicherheitsbehörde kommt ganz klar zu dem Schluss: Die Bedrohung durch Cybercrime ist extrem gestiegen und so hoch wie noch nie.
„Die anhaltende Digitalisierung und zunehmende Vernetzung vergrößert die Angriffsflächen – und diese werden genutzt. Im Bericht verzeichnen wir einen Anstieg der Bedrohung im Bereich Schwachstellen. So werden täglich knapp 70 neue Schwachstellen in Softwareprodukten entdeckt – rund 25 Prozent mehr als im vorherigen Berichtszeitraum. Auch die rasante Weiterentwicklung neuer und angepasster Angriffsmethoden und der zunehmende Dienstleistungscharakter (Cybercrime-as-a-Service) sind besorgniserregend. Dabei bleibt Ransomware die Hauptbedrohung“ (vgl. BSI-Bericht, S. 5)
Meist werden Cyberangriffe mithilfe von Schadprogrammen ausgeführt, u.a. durch E-Mail-Anhang, maliziöse Webserver, Exploit usw.). Täglich kommen mehrere neue Schadprogramm dazu.
Stand: 15.11.2023
Aus dem Sachverhalt:
Einer österreichische Mittelstreckenlauf-Profisportlerin wurden wegen eines begangenen Dopingverstoßes für schuldig befunden. Daraufhin wurden ihr Preisgelder aberkannt und ihre Ergebnisse für ungültig erklärt, die in den Zeitraum der positiv getesteten Ergebnisse fielen. Zudem wurde eine Wettbewerbs- und Teilnahmesperre von 4 Jahren verhängt.
Die Ergebnisse des Doping-Verstoßes, welche Mittel die Sportlerin eingenommen bzw. besessen hatte, wurden von der NADA (= Unabhängige Dopingkontrolleinrichtung) in Zusammenhang mit dem Klarnamen der Sportlerin auf der Website der NADA veröffentlicht. Die Sportlerin stelle daraufhin den Antrag, dass ihre personenbezogenen Daten von der Website entfernt werden sollen. Daraufhin hatte die Unabhängigen Schiedskommission (USK) dem Gerichtshof Vorabentscheidungsfragen vorgelegt:
Fragen zur Vorabentscheidung - Rechtssache C‑115/22
"1. Handelt es sich bei der Information, dass eine bestimmte Person einen bestimmten Dopingverstoß begangen hat und wegen dieses Verstoßes an der Teilnahme an (nationalen und internationalen) Wettkämpfen gesperrt ist, um „Gesundheitsdaten“ im Sinne von Art. 9 DS-GVO?
2. Steht die DS-GVO – insbesondere im Hinblick auf Art. 6 Abs. 3 zweiter Unterabsatz DS-GVO – einer nationalen Regelung entgegen, welche die Veröffentlichung des Namens der von der Entscheidung der USK betroffenen Personen, der Dauer der Sperre und Gründe hierfür vorsieht, ohne dass auf Gesundheitsdaten der betroffenen Person rückgeschlossen werden kann? Spielt es dabei eine Rolle, dass eine Veröffentlichung dieser Informationen gegenüber der Allgemeinheit laut der nationalen Regelung nur dann unterbleiben kann, wenn es sich beim Betroffenen um einen Freizeitsportler, eine minderjährige Person oder eine Person handelt, die durch die Bekanntgabe von Informationen oder sonstigen Hinweisen wesentlich zu der Aufdeckung von potenziellen Anti-Doping-Verstößen beigetragen hat?
3. Verlangt die DS-GVO – insbesondere im Hinblick auf die Grundsätze des Art. 5 Abs. 1 Buchst. a und c DS-GVO – vor der Veröffentlichung in jedem Fall eine Interessenabwägung der mit einer Veröffentlichung für den Betroffenen berührten Persönlichkeitsinteressen einerseits und dem Interesse der Allgemeinheit an der Information über den von einem Sportler begangenen Anti-Doping-Verstoß andererseits?
4. Handelt es sich bei der Information, dass eine bestimmte Person einen bestimmten Dopingverstoß begangen hat und wegen dieses Verstoßes an der Teilnahme an (nationalen und internationalen) Wettkämpfen gesperrt ist, um eine Verarbeitung persönlicher Daten über strafrechtliche Verurteilungen und Straftaten im Sinne von Art. 10 DS-GVO?
5. Bei Bejahung der Frage 4: Handelt es sich bei der gemäß § 8 des ADBG 2021 eingerichteten USK um eine Behörde im Sinne von Art. 10 DS-GVO?“
Aus den Urteilsgründen
Zur Vorlagefrage 1:
"1. Handelt es sich bei der Information, dass eine bestimmte Person einen bestimmten Dopingverstoß begangen hat und wegen dieses Verstoßes an der Teilnahme an (nationalen und internationalen) Wettkämpfen gesperrt ist, um „Gesundheitsdaten“ im Sinne von Art. 9 DS-GVO?“
Die Einnahme von verbotenen Dopingsubstanzen sagt per se nichts über den Gesundheitszustand im Sinne von Art. 9 DSGVO aus, da hierbei weder auf den geistigen oder körperlichen Gesundheitszustand Rückschlüsse gezogen werden können. Bei der Veröffentlichung des Verstoßes gegen die Anti-Doping-Regeln findet Art. 9 DSGVO demnach keine Anwendung.
Zur Vorlagefrage 3:
"Verlangt die DS-GVO – insbesondere im Hinblick auf die Grundsätze des Art. 5 Abs. 1 Buchst. a und c DS-GVO – vor der Veröffentlichung in jedem Fall eine Interessenabwägung der mit einer Veröffentlichung für den Betroffenen berührten Persönlichkeitsinteressen einerseits und dem Interesse der Allgemeinheit an der Information über den von einem Sportler begangenen Anti-Doping-Verstoß andererseits?“
Aufgabe der NADA ist es, gesperrte Sportler zu listen und die Gründe und Dauer der Sperrung darzulegen. Eine Interessensabwägung ist in diesem Fall nicht notwendig, da es bei der Veröffentlichung auch um eine präventive Maßnahme handle, andere Sportler vor Doping-Missbrauch zu warnen und abzuschrecken. Eine anonyme Veröffentlichung und kürzere Dauer von Sperren hätten für andere Sportler keine derart abschreckende Wirkung.
Zur Vorlagefrage 4:
"Handelt es sich bei der Information, dass eine bestimmte Person einen bestimmten Dopingverstoß begangen hat und wegen dieses Verstoßes an der Teilnahme an (nationalen und internationalen) Wettkämpfen gesperrt ist, um eine Verarbeitung persönlicher Daten über strafrechtliche Verurteilungen und Straftaten im Sinne von Art. 10 DS-GVO?“
Die Einnahme von verbotenen Dopingmitteln und insbesondere der Besitz von verbotenen Mitteln stellt in Kombination mit der Sperre und der Aberkennung von Preisgeldern und Titeln eine Straftat dar. Neben der Sanktion der Sportlerin soll das Verfahren auch für andere Sportler eine abschreckende Wirkung haben. Die Datenverarbeitung fällt somit unter Art. 10 DSGVO.
Stand: 15.11.2023
Derzeit wird in der EU diskutiert, ob Menschen ab einem Alter von 70 Jahren regelmäßig einem Fahrtauglichkeits-Check unterziehen müssen, um die Fahrtüchtigkeit zu überprüfen. Sollte der Check negativ ausfallen, könnte somit ein Entzug des Führerscheins einhergehen. In einigen europäischen Ländern ist eine solche Vorgehensweise derzeit bereits üblich.
Der deutsche Verkehrsminister sowie der ADAC sieht verpflichtende Fahrtauglichkeits-Checks jedoch kritisch, zumal keine signifikanten Unfallstatistiken vorhanden seien, die älteren Fahrern zuzuschreiben wären.
Auch aus datenschutzrechtlicher Sicht sind solche verpflichtenden Tests oder auch die Pflicht von Ärzten, Auffälligkeiten zu melden kritisch zu sehen, da es sich hier um die Verarbeitung von besonders schützenswerten Daten nach Art. 9 DSGVO handle.
Mehr Infos dazu vom ADAC
Der Plan der EU für Führerscheintests für Menschen ab 70 ist statistisch nicht gerechtfertigt, denn 14,5 % aller an Verkehrsunfällen Beteiligten im Jahr 2021 waren 65 Jahre und älter, der Anteil dieser Altersgruppe an der Gesamtbevölkerung lag aber bei 22,1 %
Statistik
1.Alle Führerscheininhaber werden bezüglich ihres Geburtsdatums erfasst und kategorisiert. Bisher nur grundsätzliche Erfassung der Daten, ohne Kategorisierung.
2.Eine riesige Bevölkerungsgruppe wird dann aufgrund ihres Alters standardmäßig hinsichtlich ihres Gesundheitszustandes erfasst (vgl. Vorgaben zur Nicht-Diskriminierung, § 1 AGG).
3.In den Führerscheinstellen werden diese gesundheitsbezogenen Daten dauerhaft hinterlegt à Verarbeitung von Art. 9 DSGVO-Daten in der Exekutive sollten genau abgewogen werden.
Stand: 15.11.2023
Anfang August 2023 hat das Bundesministerium des Innern und für Heimat (BMI) einen Referentenentwurf für ein Erstes Gesetz zur Änderung des Bundesdatenschutzgesetzes vorgelegt.
Ziel des Gesetzentwurfs ist, dass die Vereinbarungen aus dem aktuellen Koalitionsvertrag aufgegriffen und die Ergebnisse der
Evaluierung des Bundesdatenschutzgesetzes (BDSG) eingearbeitet werden.
Ein wichtiger Punkt ist, dass das Thema Datenschutz vereinheitlicht und somit Rechtsunsicherheiten aus dem Weg geschafft werden sollten durch klar definierte Ansprechpartner. Unterschiedliche Auffassungen der einzelnen Aufsichtsbehörden der jeweiligen Bundesländer sollten damit der Vergangenheit angehören. Auch der Beschäftigtendatenschutz soll in einem speziellen Gesetz geregelt werden, die einer nationalen Datenstrategie folgt.
Mehr Infos von der GDD
•Interessant: § 16 a BDSG-neu à Institutionalisierung der Datenschutzkonferenz von Bund und Ländern (DSK), die DSK würde sich hier eine Geschäftsordnung geben.
•Ziel: v.a. Erreichung und Fortentwicklung der einheitlichen Anwendung des europäischen und nationales Datenschutzrechts.
•Jedoch: keine Regelungen zur rechtlichen Verbindlichkeit von DSK-Beschlüssen, da diese die Kompetenzen von Bundes- und Landesbehörden betrifft und damit verfassungsrechtliche Grenzen betreffen würde (Mischverwaltung nicht beim Datenschutz möglich).
•Weiterhin keine Regelungen zur Zusammenarbeit der verschiedenen Aufsichtsbehörden und der DSK.
•Interessant zudem der angedachte neue § 40a BDSG à Unternehmen sind gemeinsam in einem Projekt datenschutzrechtlich verantwortlich.
•Zuständig: Aufsichtsbehörde desjenigen Unternehmens, das im vorangegangenen Geschäftsjahr den höchsten Umsatz erzielt halt.
•Gilt auch für länderübergreifende Forschungsprojekte: Zuständigkeit der Aufsichtsbehörde des Forschungspartners, der die meisten Personen beschäftigt, die kontinuierlich personenbezogene Daten verarbeiten.
•Ziel: Vermeidung von Rechtunsicherheit beim Auftreten unterschiedlicher Rechtsauffassungen bei länderübergreifenden Vorhaben.
Der Referentenentwurf wird der Änderungsbedarf im BDSG im Zuge der Evaluierung des BMI wie folgt zusammengefasst:
•„ In § 1 bedarf es einer Klarstellung, um eindeutig auszudrücken, dass das BDSG nur anwendbar ist, wenn die Datenverarbeitung einen Inlandsbezug aufweist. Auch wird § 1 Absatz 4 Satz 3 so umformuliert, dass deutlich wird, dass die Norm nur nichtöffentliche Stellen adressiert.
•Die Regelung zur Videoüberwachung öffentlich zugänglicher Räume (§ 4) muss mit Blick auf nichtöffentliche Stellen überarbeitet werden.
•§ 17 bedarf einer Ergänzung, um Vakanzen in der Stellvertretung des Gemeinsamen Vertreters im Europäischen Datenschutzausschuss (EDSA) zu vermeiden.
•Die §§ 19 und 40 werden um Klarstellungen zur zuständigen federführenden Datenschutzaufsichtsbehörde ergänzt.
•In den §§ 27 und 29 müssen redaktionelle Änderungen vorgenommen werden
•In § 34 ist klarzustellen, dass das Auskunftsrecht nach Artikel 15 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) nicht aufgrund privater, sondern nur aufgrund öffentlich-rechtlicher Satzungen eingeschränkt werden kann. Auch sollte in § 34 das Auskunftsrecht nach Artikel 15 der Verordnung (EU) 2016/679 im Hinblick auf Geheimhaltungsinteressen eingeschränkt und zudem eine Pflicht von Bundesbehörden geregelt werden, betroffene Personen über die Möglichkeit nach § 34 Absatz 3 zu informieren, dass eine Auskunftserteilung an die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) verlangt werden kann. In der Regelung zur automatisierten Entscheidung im Einzelfall (§ 37) ist eine Streichung erforderlich.“
Bei einer Bundestagsanhörung zur Novelle des Bundesdatenschutzgesetzes (BDSG) forderten Vertreter verschiedener Organisationen ein Verbot biometrischer Überwachung im öffentlichen Raum, wie automatisierte Gesichtserkennung. Überraschenderweise sprach sich auch ein Polizeirechtler für ein solches Verbot aus, da dies verfassungsrechtlich unbedenklich sei und möglicherweise sogar geboten.
Der Chaos Computer Club (CCC) und die Gesellschaft für Freiheitsrechte (GFF) betonten, dass biometrische Überwachung die informationelle Selbstbestimmung der Bürger stark einschränkt und Missbrauchspotenzial birgt, wie das Beispiel des Überwachungssystems PerIS in Sachsen zeigt. Sie argumentieren, dass das BDSG besonders geeignet sei, ein Verbot biometrischer Fernidentifikationssysteme zu verankern, da es bereits Vorschriften für die Verarbeitung biometrischer Daten enthält.
Ein weiterer Diskussionspunkt war die Regulierung von Scoring-Praktiken durch Unternehmen wie Schufa. Die Regierung plant, die Nutzung bestimmter personenbezogener Daten, wie Wohnadresse und soziale Netzwerke, für Scoring zu verbieten. Während Verbraucherschützer und die zukünftige Bundesdatenschutzbeauftragte diese Einschränkungen begrüßen, halten einige Rechtsprofessoren die Verbote für zu weit gefasst und nicht durch die DSGVO gedeckt.
Die Anhörung zeigte auch unterschiedliche Meinungen zur Institutionalisierung der Datenschutzkonferenz (DSK) im BDSG. Während einige Experten eine stärkere organisatorische Struktur forderten, sahen andere keine Notwendigkeit für gesetzliche Regelungen.
Insgesamt herrschte Konsens darüber, dass biometrische Überwachung im öffentlichen Raum begrenzt oder verboten werden sollte, während die Regelungen zu Scoring-Praktiken und die Rolle der DSK weiterhin umstritten blieben.
Mehr zu den Neuerungen des BDSG in den nächsten Wochen!
Stand: 03.07.2024
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz vertritt folgende Auffassung:
„Die Zulässigkeit der Übermittlung personenbezogener Daten an ein Inkassounternehmen richtet sich nach Art. 6 Abs. 1 Satz 1 lit. f Datenschutz-Grundverordnung (DS-GVO). Nach dieser Vorschrift ist das Übermitteln personenbezogener Daten rechtmäßig, wenn die Verarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist und nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.
Das berechtigte Interesse des übermittelnden Unternehmens besteht darin, dass die (vermeintlich) offene Forderung vom Schuldner beglichen wird. Hierzu kann es sich der Hilfe Dritter, nämlich eines Inkassounternehmens bedienen. Dann ist es aber auch erforderlich, dass das Inkassounternehmen die Informationen erhält, die die Forderung begründen und die einen Einzug durch das Inkassounternehmen ermöglichen. Dies gilt auch dann, wenn das Bestehen oder die Höhe der Forderung zwischen den Parteien strittig ist.“
Diese Argumentation kann man weiterführen:
1.Forderungsverkäufe oder Hilfsmaßnahmen zur Durchsetzung von Forderungen können bei der Verarbeitung personenbezogener Daten auf Art. 6 Abs. 1 Satz 1 lit. f DSGVO gestützt werden.
2.Bei Bürgschaftsverträgen ist zudem zu beachten, dass der Bürge vor jedem Forderungsverkauf zu informieren ist.
3.Datenschutzrechtlich ist dann an den Schuldner bzw. Bürgen eine Information nach Art. 14 DSGVO zu geben.
Stand: 15.11.2023
Kläger ist ein Diplomingenieur, der als Immobiliensachverständiger tätig ist. Der Kläger hatte vor dieser Tätigkeit verschiedene kommunale Spitzenpositionen inne, von denen er aufgrund des Verdachts von Vorteilsnahme jedoch suspendiert wurde. Von einem Strafgericht wurde er rechtskräftig wegen Vorteilsannahme zu einer Geldstrafe verurteilt. Beklagte Partei ist der Betreiber einer Suchmaschine, die auf den journalistischen Bereich auf ein Fachpublikum spezialisiert ist.
In der besagten Suchmaschine erscheinen beim Suchen des Namens des Klägers Verlinkungen auf diese (und eine andere) Gerichtsentscheidung in der verurteilt wurde. Unter den Entscheidungen wird zudem der ganze Name des Klägers genannt. Der Kläger verlangte daraufhin von der Beklagten, dass die Einträge bzw. sein Klarname aus den Einträgen gelöscht werden müsse, sodass er nicht mehr persönlich mit dem Strafverfahren identifiziert werden könne, da er sich in seinem Persönlichkeitsrecht verletzt fühle.
Der Kläger hat sich hierbei auf das Recht auf Vergessenwerden nach Art. 17 Abs. 1 Buchst. d) DSGVO gestützt. Der Beklagte lehnte das ab, weil die Taten im Rahmen einer öffentlichen amtlichen Tätigkeit stattgefunden hätten und nicht als Privatperson. Als Kompromiss wurde jedoch der Klarname durch die Initialen des Klägers ersetzt. Das erstinstanzliche Landgericht gab dem Kläger Recht und verurteilte den Beklagten auf Auslistung der Sucherergebnisse. Der Beklagte hat dagegen Berufung eingelegt. Diese wurde vom Gericht zugelassen.
Das OLG hat entschieden, dass der Kläger keinen Anspruch auf Auslistung der streitgegenständlichen Ergebnislinks habe und ein Anspruch nicht mit Art. 17 Abs. 1 DSGVO begründet werden könne, obwohl die DSGVO grundsätzlich hier anwendbar sei. „Sie ist als automatisierte "Verarbeitung personenbezogener Daten" im Sinne von Art. 4 Abs. 1 und 2 DSGVO einzustufen. Als verantwortliche Stelle für die Verarbeitung von Daten in dem Index des Internet-Suchdienstes ist die Beklagte "Verantwortlicher" im Sinne von Art. 4 Nr. 7 DS-GVO“ (OLG Urteil, RN42 ).
Ein Auslistungsanspruch des Klägers ist ausgeschlossen, da die von der Beklagten vorgenommene Datenverarbeitung nach den relevanten Umständen des Einzelfalls gemäß Art. 17 Abs. 3 Buchst. a) i.V.m. Art. 6 Abs. 1 Buchst. f), Art. 21 Abs. 1 Satz 2 DSGVO zur Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich war. Das Gericht nahm hier eine Gesamtabwägung aller Umstände des Einzelfalls vor (Suchmaschinen dienen dem Informationsinteresse, zeitliche Komponente der Verurteilung, keine Breitenwirkung des konkreten Falls, Sozialsphäre, nicht Privatsphäre betroffen).
Stand: 15.11.2023
Mehr Informationen zum neuen Servicevertrag von MS finden Sie in unserem Blog.
Was sind Log Daten?
Log Daten sind Datensätze, die alle Vorgänge in System protokollieren. Neben den Aktivitäten von IT-Systemen und Administratoren werden auch die Aktivitäten von Anwendern protokolliert. So können die Systeme überwacht werden und Installationen oder Änderungen von Software und Hardware nachvollzogen werden und so ggf. auch Unregelmäßigkeiten und Schadsoftware entdeckt werden.
Die Protokollierung ist aus IT-sicherheitsrechtlichen Gründen durchaus sinnvoll und auch vorgegeben. Aus datenschutzrechtlicher Sicht sind v.a. die technischen und organisatorischen Maßnahmen zu beachten, dass die Protokolldaten sicher gespeichert und vor unberechtigtem Zugriff geschützt sind und ggf. geeignete Verschlüsselungstechniken angewendet werden.
Da es sich hierbei um große Datensätze der Mitarbeiter handelt, werden hier auch personenbezogene Daten verarbeitet. In Hinblick auf die Datenminimierung muss also immer die Erforderlichkeit der Aufzeichnung hinterfragt werden und der Zweck der Protokollierung klar definiert werden.
Was ist hinsichtlich der Protokollierung gesetzlich geregelt?
(1) In automatisierten Verarbeitungssystemen haben Verantwortliche und Auftragsverarbeiter mindestens die folgenden Verarbeitungsvorgänge zu protokollieren:
1.Erhebung,
2.Veränderung,
3.Abfrage,
4.Offenlegung einschließlich Übermittlung,
5.Kombination und
6.Löschung.
(2) Die Protokolle über Abfragen und Offenlegungen müssen es ermöglichen, die Begründung, das Datum und die Uhrzeit dieser Vorgänge und so weit wie möglich die Identität der Person, die die personenbezogenen Daten abgefragt oder offengelegt hat, und die Identität des Empfängers der Daten festzustellen.
(3) Die Protokolle dürfen ausschließlich für die Überprüfung der Rechtmäßigkeit der Datenverarbeitung durch die Datenschutzbeauftragte oder den Datenschutzbeauftragten, die Bundesbeauftragte oder den Bundesbeauftragten und die betroffene Person sowie für die Eigenüberwachung, für die Gewährleistung der Integrität und Sicherheit der personenbezogenen Daten und für Strafverfahren verwendet werden.
(4) Die Protokolldaten sind am Ende des auf deren Generierung folgenden Jahres zu löschen.
(5) Der Verantwortliche und der Auftragsverarbeiter haben die Protokolle der oder dem Bundesbeauftragten auf Anforderung zur Verfügung zu stellen.
LOG-Daten im Fall des § 76 BDSG genau nach gesetzlicher Vorschrift speichern, verarbeiten und löschen.
In allen anderen Fällen gibt es dazu keine (uns bekannten) Aufbewahrungspflichten. Z.B. sind LOG-Daten bei Webseiten in vielen Fällen sofort nach Nutzung zu löschen.
Zudem muss unterschieden werden: beinhalten die LOG-Daten personenbezogene Daten?
Falls ja, sollten für die einzelnen Systeme gesetzliche Grundlagen zur Aufbewahrungsverpflichtung gesucht werden und danach gelöscht werden.Falls nein: so schnell wie möglich löschen (Ausnahme: es bestehen IT-sicherheitsrechtliche Anforderungen!)
Stand: 08.11.2023
"Eine betriebliche Übung entsteht aus einem fortgesetzten, die Arbeitnehmer begünstigenden Verhalten des Arbeitgebers, das bei den begünstigten Arbeitnehmern unter Berücksichtigung von Treu und Glauben (§ 242 BGB) den verständlichen Eindruck vermittelt, der Arbeitgeber wolle sich durch diese günstigere und vorbehaltlose Verhaltensweise oder Leistung auch in Zukunft an ein derartiges Verhalten binden.“ Quelle: Haufe
Ist in Unternehmen keine ausdrückliche Regelung zur privaten Internet- und E-Mailnutzung am Arbeitsplatz getroffen, kann laut BAG grundsätzlich davon ausgegangen werden, dass die private Nutzung der Betriebsmittel untersagt ist.
In vielen Unternehmen ist dem Arbeitgeber jedoch die private Nutzung stillschweigend bekannt und wird oftmals auch geduldet. In der Literatur wird kontrovers diskutiert, ob eine wissentliche Duldung zu einer betrieblichen Übung übergehen kann, wenn der Arbeitgeber nicht aktiv dagegen vorgeht und dadurch einen Vertrauenstatbestand schaffen würde. In diesem Fall wäre der Arbeitnehmer im Streitfall jedoch dazu verpflichtet, die Kenntnis der privaten IT-Nutzung beweispflichtig vorweisen zu können, was sich in der Praxis als durchaus schwierig gestalten würde. Daher ist die gemeine Auffassung, dass ein Anspruch auf Privatnutzung aus betrieblicher Übung zu verneinen ist.
•Kenntnis über die Nutzung kann nicht genau definiert bzw. abgegrenzt werden (einmalige private Nutzung der IT-Betriebsmittel oder mehrfache und andauernde Nutzung)
•keine abgrenzbare Leistung der Privatnutzung der IT–Betriebsmittel (Zeitpunkt der Entstehung lässt sich nicht klar feststellen - im Gegensatz zur Gewährung von Sonderzahlungen)
•Passives Dulden der privaten Nutzung stellt keine aktive Leistung des Arbeitgebers dar (im Gegensatz zu geleisteten Gratifikationen)
•BAG verneint wiederholt eine Rechtsbindung durch betriebliche Übung bei bloßen Annehmlichkeiten
•Duldung der privaten Nutzung geht mit Reduzierung der Arbeitszeit einher (falls diese nicht nur in Pausenzeiten erfolgt) --> kann nicht im Sinne des Arbeitgebers sein --> Rechtsmissbrauch/Verstoß gegen den Arbeitsvertrag
Tipp: Ausdrückliches arbeitsvertragliches oder kollektivrechtliches Verbot aussprechen, um die Privatnutzung der firmeninternen IT–Betriebsmittel rechtssicher auszuschließen
Quelle: Kramer, IT-Arbeitsrecht, 3. Auflage 2023, § 2, Rn. 155-163
Stand: 25.10.2023
Mögliches Szenario:
In Unternehmen werden immer wieder Tests zu Phishing-Angriffen bei Mitarbeitern durchgeführt.
Beispiel: Man sendet allen Mitarbeitenden eine Mail, in der ein Tag im Legoland zu gewinnen ist, wenn man auf eine Link . Natürlich wird nichts verlost, sondern man möchte nur schauen, ob der Mitarbeiter einfach und ohne zu überlegen einen Link klickt, der (bei einer realen Attacke) ggf. Malware runter lädt.
Wäre so etwas auch bei Endkunden möglich, um auf mögliche Missstände hinweisen zu können und daraufhin eine Beratung anzubieten?
Um Phishing-Tests nicht nur bei unternehmensinternen Mitarbeitern, sondern auch bei Kunden durchzuführen, bedarf es einer datenschutzrechtlichen Rechtsgrundlage.
•Art. 6 Absatz 1 lit. f DSGVO - Rechtmäßigkeit der Verarbeitung
--> ein Phishing-Test rechtfertigt kein berechtigtes Interesse
Des Weiteren ist § 7 UWG zu berücksichtigen:
--> Ansprache per Mail grundsätzlich unzulässig, außer es liegt das Bestandskundenprivileg nach § 7 Abs. 3 UWG vor.
Fazit: Auch wenn ein Phishing-Test für Unternehmen durchaus sinnvoll sein könnte, um die Mitarbeiter zu schulen und die Wachsamkeit zu fördern, ist ein Versand von Phishing-Test-Mails an Kunden ohne Einwilligung nicht rechtmäßig und kann auf keine Rechtsgrundlage gestützt werden, zumal auch für die Auswertung personenbezogene Daten (personalisierte E-Mail-Adresse) verarbeitet werden müssten.
Stand: 25.10.2023
Arbeitgeber sind laut der DSGVO dazu verpflichtet, organisatorische Maßnahmen im Unternehmen zu etablieren, um sensible Daten vor unbefugtem Zugriff Dritter zu schützen (sowohl vor externen Dritten, als auch vor unberechtigten Dritten innerhalb des Unternehmens). In der Regel haftet für Datenschutzverstöße nicht ein Mitarbeiter selbst, sondern die Verantwortliche Stelle (vgl. Art. 4 Nr. 7 DSGVO) – also der Arbeitgeber.
Denn der Verantwortliche entscheidet über die Mittel und Zwecke der Datenverarbeitung und hat damit auch technische und organisatorische Maßnahmen zu ergreifen, damit diese Verarbeitung rechtmäßig ist. Werden Datenschutzverstöße begangen, haftet i.d.R. also der Verantwortliche (=Arbeitgeber) für entstandene Schäden.
Werden von Arbeitnehmern Verstöße gegen die vorgegeben internen Datenschutzvorschriften begangen, können diese abgemahnt werden, z.B. bei unberechtigtem Zugriff oder Löschen von Daten. Hier ist immer eine Einzelfallprüfung notwendig.
Wichtig für den Arbeitgeber ist, dass die Mitarbeiter regelmäßig (z.B. in Form von Schulungen) über die internen Datenschutzvorgaben aufgeklärt werden und diese Aufklärung auch von den Mitarbeitern schriftlich bestätigt wird, um im Zweifel einen Nachweis über die Belehrung nachweisen zu können.
Sächsisches LAG, Urteil vom 7.4.2022 – 9 Sa 250/21
Im vorliegenden Fall wurde einer Mitarbeiterin - nach mehrmaligen Abmahnungen – das Arbeitsverhältnis gekündigt, da sie sich wiederholt und nachweislich nicht an die vorgegebenen Datenschutzvorschriften hielt, u.a. an die Clean-Desk-Policy und das Wegsperren von sensiblen Unterlagen. Durch das wiederholte Fehlverhalten der Mitarbeiterin sei der Betriebsablauf des Unternehmens nachweislich beeinträchtigt gewesen, was die Abmahnungen und somit die Kündigung legitimiert hätten.
Die Kündigung war somit laut dem LAG wirksam und rechtmäßig.
Ergebnis: Arbeitsrechtliche Abmahnungen wegen Verstößen gegen Vorgaben aus dem Datenschutzbereich sind zulässig und können bei Wiederholung auch eine Kündigung rechtfertigen.
Stand: 25.10.2023
Eine Bonitätsprüfung von Geschäftspartnern kann immer dann durchgeführt werden, wenn der Verdacht besteht, dass der Vertragspartner nicht kreditwürdig ist. Sollte sich beim Bonitäts-Check herausstellen, dass der Vertragspartner die Bonitätsprüfung nicht besteht, können Aufträge oder Bestellungen abgelehnt werden.
Bonitätsprüfungen können grundsätzlich von allen Unternehmen vornehmen werden. Voraussetzung für eine Durchführung ist entweder die Einwilligung oder das Vorliegen eines berechtigten Interesses.
Bei Bonitätsauskünften von Unternehmen, werden u.a. folgende Informationen herangezogen:
•Branche
•Geschäftsführung und Firmenhistorie
•Bilanz
•Muttergesellschaft und Beteiligungen Inkassoinformationen und Insolvenzverfahren
Wird bei einem Kaufabschluss lediglich die Rechnungsadresse auf Bonität geprüft, kann nicht sichergestellt werden, ob die Lieferadresse auch den Bonitätsanforderungen genügen würde und ob der Käufer überhaupt dazu berechtigt ist, die angegebene Rechnungsadresse zu verwenden. Wird also eine abweichende Lieferadresse angegeben, kann auch diese auf Bonität geprüft werden, da hier ein berechtigtes Interesse Art. 6 Abs. 1 lit. f) DSGVO seitens des Verkäufers vorliegt.
Art. 6 DSGVO - Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Stand: 17.10.2023
Befindet sich eine GmbH noch in der Gründung und ist noch nicht notariell beurkundet bzw. im Handelsregister eingetragen, kann mit dem Zusatz „in Gründung (i.G.)“ agiert werden.
Werden Rechtsgeschäfte abgeschlossen, die sich auf die sich in Gründung befindende GmbH beziehen, werden diese zum Zeitpunkt der offiziellen Gründung (Eintragung ins Handelsregister) rechtsgültig und das damit verbundene Haftungsrisiko auf die GmbH verlagert, vgl. Urteil des BGH
Wichtig ist beim Abschluss von Verträgen oder auch NDA in der Vorgründungsphase, dass diese bereits in Namen der GmbH „i. Gr.“ abgeschlossen werden.
Wenn das nicht geht, sondern noch Privatpersonen agieren, die später in einer GmbH organisiert sein werden, dann sollte die Präambel der Vertraulichkeitserklärung ganz konkret beschreiben, in welcher gesellschaftlichen Situation man sich gerade befindet, insbesondere,
•dass man eine GmbH gründen möchte („Die x GmbH ist derzeit noch nicht gegründet.“)
•dass man deshalb den Vertrag noch als Privatpersonen zeichnet („Derzeit soll der Vertrag in der vorliegenden Fassung zunächst mit den Einzelpersonen A und B abgeschlossen werden.“)
•dass nach Gründung der x GmbH diese durch die Personen A und B vertreten werden wird/als Gesellschafter von X fungieren werden.
•dass sämtliche hier getroffenen Vereinbarungen hinsichtlich Geheimhaltung (weitere Punkte aufzählen, die hier wichtig sind) auch für die neu zu gründende x GmbH gelten werden.
•„Die y GmbH erklärt ihr ausdrückliches Einverständnis mit der Geltung aller hier getroffenen Vereinbarungen, insbesondere der Geheimhaltung (und der weiteren aufzuzählender Punkte von oben) auch zugunsten der neu zu gründenden x-GmbH“.
Dringende Empfehlung: wenn es um Assets eines Unternehmens geht: Einzelfall im Rahmen eines Mandats anwaltlich prüfen lassen!
Stand: 17.10.2023
(2) Der Ausweis darf nur vom Ausweisinhaber oder von anderen Personen mit Zustimmung des Ausweisinhabers in der Weise abgelichtet werden, dass die Ablichtung eindeutig und dauerhaft als Kopie erkennbar ist. Andere Personen als der Ausweisinhaber dürfen die Kopie nicht an Dritte weitergeben. Werden durch Ablichtung personenbezogene Daten aus dem Personalausweis erhoben oder verarbeitet, so darf die datenerhebende oder -verarbeitende Stelle dies nur mit Einwilligung des Ausweisinhabers tun. Die Vorschriften des allgemeinen Datenschutzrechts über die Erhebung und Verwendung personenbezogener Daten bleiben unberührt.
Neben der Einwilligung ist die Speicherung der gekennzeichneten Ausweiskopie nur für den benötigten Zeitraum und den vorliegenden Zweck zulässig, vgl. Art. 5 DSGVO
Eine Speicherung von Personalausweisekopien ist nach der DSGVO dem Grundsatz nach hinsichtlich der Datenminimierung meist nicht angemessen und damit meist unzulässig. Für Finanzdienstleister und andere Akteure bestehen jedoch Ausnahmen aufgrund der Geldwäschegesetzes (§8 GwG).
Nach dem Geldwäschegesetz haben diese sogar die Pflicht, eine Kopie des Personalausweises anzufertigen und diese auch zu speichern, um im Falle von Straftaten die Personen identifizieren zu können.
„… haben die Verpflichteten das Recht und die Pflicht, Kopien dieser Dokumente oder Unterlagen anzufertigen oder sie optisch digitalisiert zu erfassen oder, bei einem Vor-Ort-Auslesen nach § 18a des Personalausweisgesetzes, nach § 78 Absatz 5 Satz 2 des Aufenthaltsgesetzes oder nach § 13 des eID-Karte-Gesetzes, das dienste- und kartenspezifische Kennzeichen sowie die Tatsache aufzuzeichnen, dass die Daten im Wege des Vor-Ort-Auslesens übernommen wurden….“
„§ 8 Abs. 2 S. 2 GwG geht als lex specialis insoweit entgegenstehenden Normen (Personalausweisgesetz,
Datenschutz) vor.“
Vgl. u.a. Auslegungs- und Anwendungshinweise zum Gesetz über das Aufspüren von Gewinnen aus schweren Straftaten (Geldwäschegesetz – GwG) der Bundesrechtsanwaltkammer, Seite 24
Stand: 17.10.2023
BGH Pressemitteilung vom 26.09.2023
Zum Sachverhalt
Kläger ist ein Bewerber. Der Bewerber hat sich bei einer Bank für eine offene Stelle beworben und in seiner Bewerbung auch seine Gehaltsvorstellungen angegeben. Im Zuge des Bewerbungsprozesses wurde dem Kläger mitgeteilt, dass seine Gehaltsvorstellungen nicht angemessen seien. Jedoch ging diese Nachricht über den Messenger-Dienst nicht nur an den Bewerber selbst, sondern auch an eine unbeteiligte Person, die den Bewerber wiederum aus einem ehemaligen Arbeitsverhältnis kannte. Der Kläger forderte daraufhin eine Unterlassungsklage aufgrund der unerlaubten Weitergabe seiner personenbezogenen Daten sowie einen immateriellen Schadensanspruch. Der Kläger berief sich darauf, dass er nun an einem Kontrollverlust leide, dass seine Bewerbung und seine Gehaltsvorstellungen augenscheinlich nicht mehr der Diskretion unterlägen und somit Dritte in der Branche davon erfahren könnten und er in weiteren Bewerbungsprozessen dadurch einen Nachteil erfahren könnte.
Prozessverlauf
Dem Kläger wurde vom LG ein immaterieller Schadensersatz von 1000,- EUR zuerkannt. Die Beklagte hat dagegen Berufung eingelegt. Daraufhin hat das OLG das Urteil abgeändert und die Klage abgewiesen. Der Kläger ging in Revision. Nun liegt die Sache dem BGH vor. Dieser hat an den Gerichtshof der Europäischen Union zur Auslegung der Datenschutz-Grundverordnung (DSGVO) folgende Fragen zur Vorabentscheidung vorgelegt:
Unter anderem, ob Art. 82 Abs. 1 DSGVO dahingehend auszulegen ist, dass für die Annahme eines immateriellen Schadens im Sinne dieser Bestimmung bloße negative Gefühle wie z.B. Ärger, Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, genügen? Oder ist für die Annahme eines Schadens ein über diese Gefühle hinausgehender Nachteil für die betroffene natürliche Person erforderlich?
Stand: 11.10.2023
Mehr Infos zur Anoymisierung und Pseudonymisierung finden Sie in unserem Blog.
Die Notwendigkeit zur Protokollierung nach § 76 BDSG ergibt sich direkt aus dem Gesetz für die öffentlichen Stellen.
Mit § 76 Absatz 3 BDSG legt der Gesetzgeber abschließend und streng die Verwendungszwecke der Protokolle fest. Genutzt werden dürfen sie demnach nur zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung, der Eigenüberwachung, der Sicherstellung der Integrität und Sicherheit der personenbezogenen Daten sowie für Strafverfahren. Die Verwendung für andere Zwecke ist dadurch ausgeschlossen.
Aus: Gola/Heckmann, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 3. Auflage 2022, § 76 BDSG, Rn 10 und 11:
„Die Überprüfung der Rechtmäßigkeit der Datenverarbeitung umfasst sowohl die Eigenüberwachung durch den Verantwortlichen oder den Auftragsverarbeiter selbst als auch die Fremdüberwachung, bei der die interne Fremdüberwachung durch den Datenschutzbeauftragten und die externe Fremdüberwachung durch den Bundesbeauftragten zu unterscheiden sind.
Zu beachten ist, dass Abs. 3 zwar die Verwendung für die dort genannten Zwecke erlaubt, aber keinen Anspruch darauf gibt, die Daten für diesen Zweck zu erhalten. Ein solcher Anspruch kann sich nur aus anderen Vorschriften ergeben, etwa aus Regelungen der Informationsfreiheit.“
Stand: 04.10.2023
Art. 6 DSGVO - Rechtmäßigkeit der Verarbeitung
(1)Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a)…
b)…
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d)…
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Beachte auch Maßnahmen zur Gewährleistung der „Netz- und Informationssicherheit“ in Erwg. 49 der DSGVO:
Folge dieses Erwägungsgrundes à eigentlich kommt nur Art. 6 Abs. 1 lit. f) DSGVO als Rechtsgrundlage in Frage.
Warum nicht Art. 6 Abs. 1 lit. c) DSGVO?
„Gegebenenfalls können Verantwortliche datenverarbeitende Maßnahmen zur Netz- und Informationssicherheit auf Art. 6 Abs. 1 UAbs. 1 lit. c DS-GVO stützen. Danach ist die Verarbeitung personenbezogener Daten zulässig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt, erforderlich ist. Art. 6 Abs. 1 UAbs. 1 lit. c DS-GVO stellt insofern keine „vollständige“ Erlaubnisvorschrift dar, sondern sie bedarf der Ergänzung durch eine weitere Verpflichtung durch oder aufgrund von Rechtsvorschriften. Die Rechtmäßigkeit der Verarbeitung personenbezogener Daten zur Gewährleistung von IT-Sicherheitsmaßnahmen kann sich somit aus Art. 6 Abs. 1 UAbs. 1 lit. c DS-GVO iVm den Vorschriften des IT-Sicherheitsrecht ergeben, die derartige Maßnahmen verpflichtend anordnen. Für das BSIG gilt in Bezug auf Bundesbehörden somit Art. 6 Abs. 1 UAbs. 1 lit. c DS-GVO iVm § 5 ff. BSIG, für Betreiber kritischer Infrastrukturen Art. 6 Abs. 1 UAbs. 1 lit. c DS-GVO iVm § 8 a Abs. 1 BSIG sowie für Betreiber digitaler Dienste § 8 c Abs. 1 BSIG. Für öffentliche Stellen der Länder kann sich die datenschutzrechtliche Erlaubnis entsprechend aus § 6 Abs. 1 lit. c DS-GVO iVm mit landesrechtlichen IT-Sicherheitsgesetzen ergeben. Für alle weiteren Verantwortlichen nicht-öffentlicher Stellen – und dies dürfte der Regelfall sein – verbleibt damit tatsächlich Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO als mögliche Rechtsgrundlage für die Verarbeitung personenbezogener Daten zur Gewährleistung der Netz- und Informationssicherheit.“ aus: Hornung/Schallbruch, IT-Sicherheitsrecht, 1. Auflage 2021, § 17, Rn. 61
Weiter: „Erwg. 49 besagt nicht, dass die Netz- und Informationssicherheit grundsätzlich als berechtigtes Interesse des Verantwortlichen iSv Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO zu werten ist. Er ist sehr komplex und unübersichtlich gefasst, so dass er bei der praktischen Anwendung auf erhebliche Schwierigkeiten stößt. Es erfolgt eine starke Einschränkung in Bezug auf die Stellen, die die Datenverarbeitungen zur Gewährleistung der Netz- und Informationssicherheit vornehmen. Die Netz- und Informationssicherheit wird allenfalls als berechtigtes Interesse gewertet, wenn die Verarbeitung von Behörden, Computer-Notdiensten (Computer Emergency Response Teams – CERT, beziehungsweise Computer Security Incident Response Teams – CSIRT), Betreibern von elektronischen Kommunikationsnetzen und -diensten sowie Anbietern von Sicherheitstechnologien und -diensten vorgenommen wird. Ungeachtet der Frage, ob es sich hierbei um eine abschließende Aufzählung handeln soll oder nicht, wird deutlich, dass es sich um fachlich qualifizierte Verantwortliche handelt.“
Notwendig außerdem: Maßnahme unbedingt erforderlich und verhältnismäßig. Aus: Hornung/Schallbruch, IT-Sicherheitsrecht, 1. Auflage 2021, § 17, Rn. 63
Stand: 04.10.2023
Art. 28 DSGVO – Auftragsverarbeiter
(1) Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
(3) Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter
a)die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen – auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation – verarbeitet, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet;
Der Auftragsverarbeiter darf Daten nur auf dokumentierte Weisung des Verantwortlichen bearbeiten, Art. 28 Abs. 3 lit. a) DSGVO. Daher müssen Verantwortliche ihren Auftragsverarbeitern Weisungen zu jeder Verarbeitungstätigkeit erteilen. Der Auftragsverarbeiter darf nicht über die Weisungen des Verantwortlichen hinausgehen.
Begründung: Der BfDI vertritt die Auffassung, dass es sich bei der Anonymisierung um eine Verarbeitung im Sinne des Art. 4 Nr. 2 DS-GVO handelt, denn die Daten verlieren durch die Anonymisierung ihren Personenbezug und somit tritt eine tatsächliche „Veränderung“ ein.
Eine Anonymisierung der Kundendaten bedarf einer Anweisung des Auftraggebers. Sie muss schriftlich im AV-Vertrag vereinbart werden.
Sachverhalt:
Bei kundenspezifischen KI-Modellen, die jeweils nur auf den Daten eines einzelnen Kunden basieren und auch nur für diesen Kunden Ergebnisse liefern, stellt sich die Frage der Rolle von Public-Cloud-Anbietern wie AWS oder Microsoft. Wenn die Daten auf deren Plattform pseudonymisiert, aber nicht anonymisiert werden, agieren diese Anbieter dann als Unterauftragsverarbeiter? Aus der Perspektive des Public-Cloud-Anbieters sind die Daten relativ anonym; nur für mich als Auftragsverarbeiter ist eine Zuordnung möglich.
Public-Cloud-Anbieter wie AWS oder Microsoft sind meistens Auftragsverarbeiter oder Unterauftragsverarbeiter (hier kommt es darauf an, ob sie der Verantwortliche direkt nutzt, oder über einen Vertragspartner).
Auftragsverarbeitung im datenschutzrechtlichen Sinne liegt nur in Fällen vor, in denen eine Stelle
von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird.
Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing,
ohne dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich ist, ist regelmäßig Auftragsverarbeitung im Sinne von Art. 4 Nr. 8 DSGVO.
Mehr Infos vom BayLDA
Stand: 04.10.2023
Art. 6 Abs. 1 DSGVO - Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) …
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c)…
Nutzungsbedingungen bei einem Gewinnspiel können und sollten auf Grundlage des Art. 6 Abs. 1 lit. b) DGSVO gestaltet werden.
Warum nicht auf Basis der Einwilligung nach Art. 6 Abs. 1 lit.a) DSGVO?
„Allerdings ist die datenschutzrechtliche Zulässigkeit der Verarbeitung von über ein Gewinnspiel erhobenen Daten zu werblichen Zwecken nach hM vom Vorliegen einer wirksamen (datenschutzrechtlichen) Einwilligung unabhängig, da die Datenerhebung wie auch die nachgelagerte Datenverarbeitung auf gesetzlicher Grundlage erfolgt, vgl. Art. 6 Abs. 1 lit. b DS-GVO. Stellt die betroffene Personen bspw. im Rahmen von Gewinnspielen (Auslobung) oder bei Anforderung eines Kataloges Daten zur Verfügung, kann dies als vertragliche bzw. vorvertragliche Maßnahme gewertet werden mit der Folge, dass diese möglicherweise wie Bestandskunden behandelt und entsprechend werblich angesprochen werden können. Die Datenverarbeitung ergeht hier nicht einwilligungsbasiert „neben dem Vertrag“, sondern synallagmatisch zur Erfüllung des Vertrages. Auch die DSK hatte die Möglichkeit dieses „Abhängigmachens“ anerkannt, umfassende Transparenz vorausgesetzt. In dem Kurzpapier Nr. 3 der DSK heißt es dazu: „Bei „kostenlosen“ Dienstleistungsangeboten, die die Nutzer mit der Zustimmung für eine werbliche Nutzung ihrer Daten „bezahlen“, muss diese vertraglich ausbedungene Gegenleistung des Nutzers bei Vertragsabschluss klar und verständlich dargestellt werden. Nur dann besteht keine Notwendigkeit mehr für eine Einwilligung“. Zu beachten ist daneben die Wertung von Art. 5 Abs. 2 RL 2005/29/EG, der wettbewerbsrechtlich einem generellen Verbot der Kopplung von Gewinnspielen und einem Kaufvertrag entgegensteht.“
Aus: Conrad Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 3. Auflage 2019, Rn. 823-825
Stand: 20.09.2023
Was sind Betriebsvereinbarungen?
Betriebsvereinbarungen werden rechtsverbindlich zwischen dem Arbeitgeber und dem Betriebsrat geschlossen. In Betriebsvereinbarungen werden Pflichten und Rechte von Arbeitnehmern, Betriebsrat und Arbeitgebern definiert. Auch datenschutzrechtliche Themen können in den Betriebsvereinbarungen integriert werden.
Bestehen noch Vereinbarungen, die auf dem alten BDSG (vor 2018) basieren und nicht mehr dem aktuellen Stand entsprechen, können folgende Optionen in Betracht bezogen werden:
•Möglichkeit 1:
Zusatz zur bestehenden Betriebsvereinbarung aufsetzen, in dem vereinbart wird, dass die Formulierungen mit Bezug auf das alte BDSG, durch die neuen Regelungen der DSGVO ersetzt werden.
•Möglichkeit 2:
Betriebsvereinbarungen neu schließen und bei der Gelegenheit sie auch inhaltlich überarbeiten, damit evtl. überalterte Regelungen auf Basis des aktuellen datenschutzrechtlichen Stands der DSGVO ersetzt werden können.
Stand: 20.09.2023
Bislang ist das Thema Beschäftigtendatenschutz im BDSG geregelt. Das Thema Beschäftigtendatenschutz ist ein wichtiger Bestandteil des Datenschutzes, da im Beschäftigungsverhältnis Unmengen an personenbezogenen Daten verarbeitet werden. Auf europäischer Ebene gibt es jedoch viele Unterschiede, wie der Beschäftigtendatenschutz geregelt wird, da die DSGVO den einzelnen Mitgliedsstaaten mit der Öffnungsklausel des Art. 88 großen Freiraum in der Auslegung gibt. Daher ist die Überarbeitung des Beschäftigtendatenschutzgesetzes eigentlich längst überfällig.
Ein neuer Anstoß für die Überarbeitung des Beschäftigungsdatenschutzes war nun das EuGH Urteil vom 30.03.2023 zum Hessischen Datenschutzgesetz (wir haben im Datenschutz-Weekly darüber berichtet).
Vordergründig für die Überarbeitung ist laut Bundesregierung die fortschreitende Digitalisierung. Im neuen Beschäftigtendatenschutzgesetz sei es wichtig zu verankern, dass Beschäftigtendaten einem besonderen Schutzbedürfnis unterliegen. Auch der Aspekt der Künstlichen Intelligenz und zunehmenden Möglichkeiten der Überwachung soll genauer betrachtet und im Gesetz integriert werden.
Im Fokus steht auch die Bewerbungsphase, da hier eine große Anzahl an personenbezogenen Daten an den potenziellen Arbeitgeber übermittelt wird. Auch das Thema Einwilligung soll im Gesetzgebungsprozess noch einmal kritisch hinterfragt werden, um die Rechte und Freiheiten der Arbeitnehmer zu schützen.
Quelle: Düwell/Brink: Auf dem Weg zu einem NZA 2023, 1097 Beschäftigtendatenschutzgesetz
Stand: 13.09.2023
Aus dem Sachverhalt - OLG Karlsruhe: Urteil vom 27.07.2023 – 19 U 83/22
Klägerin ist Verkäuferin eines PKW. Die Beklagte wollte von der Klägerin einen Gebrauchtwagen im Wert von 13.500,- Euro kaufen. Die Absprache zum Kauf erfolgte telefonisch. Hier wurde vereinbart, dass die Käuferin eine Rechnung per Mail mit den Zahlungsinformationen erhält. Die Rechnung zum Kaufvertrag wurde am Tag des Kaufes per Mail an die Käuferin geschickt. Zwei Minuten später wurde erneut eine Rechnung an die Käuferin geschickt mit einem geänderten Empfängerkonto. Die Beklagte ging davon aus, dass es bei der ersten Rechnung um einen Fehler handelte und überwies den Kaufpreis an das angegebene Bankkonto aus der zweiten Mail mit der angehängten Rechnung. Später stellte sich heraus, dass die zweite Mail durch einen Hackerangriff manipuliert wurde und der Kaufbetrag dadurch nie beim Käufer ankam. Daraufhin wurde Strafanzeige erstattet. Die Käuferin weigerte sich, den Kaufbetrag erneut an das korrekte Konto zu überweisen. Das Landgericht gab der Käuferin dahingehend Recht, dass seitens der Verkäuferin keine ausreichenden Schutzmaßnahmen getroffen wurden, um den E-Mail-Verkehr ausreichend vor Hackerangriffen abzusichern und somit mit unerlaubten Zugriff Dritten gerechnet werden hätte müssen. Die Verkäuferin legte Berufung ein.
Aus den Urteilsgründen - OLG Karlsruhe: Urteil vom 27.07.2023 – 19 U 83/22
Das Landgericht sieht durch die Zahlung des vereinbarten Kaufpreises die Zahlung erfüllt, auch wenn sich in der zweiten manipulierten E-Mail kleinere Schreibfehler befunden hätten. Die Klägerin hätte ausreichende Sicherheitsmaßnahmen treffen müssen, damit ein solcher Hackerangriff und in Folge die Falschüberweisung an Dritte nicht hätte stattfinden können. Beispielsweise war keine „Zwei-Faktor- Authentifizierung“ für den E-Mail-Account eingerichtet. Eine Ende-zu-Ende-Verschlüsselung oder Transportverschlüsselung wurde für den Mailversand von der Verkäuferin ebenfalls nicht verwendet. Es ist festzuhalten, dass keine pauschalen konkreten gesetzlichen Vorgaben für die Sicherheitsvorkehrungen im E-Mail-Versand existieren.
OLG trifft aber genau gegenteilige Entscheidung:
„Konkrete gesetzliche Vorgaben für Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr gibt es nicht“.
Aus Sicht des OLG sei die Argumentation des Landgerichts nicht schlüssig, da die für die Begründung herangezogene „Orientierungshilfe des Arbeitskreises Technische und organisatorische Datenschutzfragen“ in diesem konkreten Fall nicht anwendbar sei und auch die Verwendung eines Sender Policy Frameworks, der PDF-Verschlüsselung oder auch eine Ende-zu-Ende-Verschlüsselung bzw. Transportverschlüsselung hier keine notwendigen Sicherheitsvorkehrungen darstellen würden und daher von keiner kausalen Pflichtverletzung der Klägerin ausgegangen werden könne.
Im Ergebnis schulde die Beklagte der Klägerin nach wie vor den Kaufpreis in Höhe von EUR 13.500,-, da weder eine Erfüllung eingetreten sei, noch ein Schadensersatzanspruch der Beklagten gegen die Klägerin bestünde.
Stand: 13.09.2023
Pressemitteilung des Landgerichts Baden-Baden – Urteil vom 24.08.2023
Aus dem Sachverhalt
Klägerin ist eine Kundin eines Unternehmens, die bei dem beklagten Unternehmen einen Fernseher sowie eine Wandhalterung gekauft hatte. Die Kundin erhielt bei der Rückgabe der Wandhalterung versehentlich den Kaufpreis des Fernsehers erstattet. Als die falsche Rückerstattung vom Unternehmen bemerkt wurde, wurde die Kundin über einen privaten Social Media Account einer Mitarbeiterin des Unternehmens kontaktiert und auf die falsche Überweisung hingewiesen und dazu aufgefordert, sich mit dem Chef des Unternehmens in Verbindung zu setzen. Daraufhin verlangte die Kundin bei der Beklagten Auskunft, wie ihre personenbezogenen Daten verarbeitet werden und verlangte, dass den Mitarbeitern die Verarbeitung der personenbezogenen Kundendaten auf privaten Kommunikationsgeräten untersagt werden sollte und diese wegen der unerlaubten Verarbeitung verurteilt werden sollten.
Aus den Urteilsgründen
Die Klage wurde vom Amtsgericht in erster Instanz abgewiesen, da die Mitarbeiterin nicht Empfängerin der Kundendaten gewesen sei und somit kein Auskunftsanspruch nach Art. 15 DSGVO bestünde. Eine Verurteilung sah das Amtsgericht auch nicht als angemessen an. Die Klägerin dagegen legte Berufung ein.
Das Landgericht gab der Berufung statt. Die Mitarbeiterin habe nach Ansicht des Landgerichts eigenmächtig die Kundendaten für die Kontaktaufnahme über ihren persönlichen Social Media Account genutzt. Deshalb stünde der Klägerin die Nennung der Namen der Mitarbeiter zu, an welche ihre personenbezogenen Daten weitergegeben wurden, um die Rechtmäßigkeit der Verarbeitung überprüfen zu können. Das Unternehmen wurde zudem dazu verurteilt, die Nutzung von Kundendaten auf privaten Kommunikationsgeräten ihrer Mitarbeiter zu verbieten.
Stand: 13.o9.2023
Die Berliner Beauftragte für Datenschutz verhängte ein Bußgeld in Höhe von insgesamt EUR 215.000 gegen ein Unternehmen. Dieses hatte u. a. unzulässigerweise sensible Informationen über den Gesundheitszustand einzelner Beschäftigter oder deren Interesse an einer Betriebsratsgründung dokumentiert und in einer tabellarischen Übersicht zusammengeführt. Dabei wurde die Weiterbeschäftigung mehrerer Personen offen als „kritisch“ oder „sehr kritisch“ eingestuft.
Die Beauftragte für den DS begründete das Bußgeld damit, dass sensible personenbezogene Daten, wie Inanspruchnahme einer Psychotherapie oder Interesse an der Gründung eines Betriebsrates, nicht in einer solchen Übersicht aufgeführt wurden dürften. Daten, welche zur Bewertung einer eventuellen Weiterbeschäftigung von Mitarbeitern verwendet werden, dürfen nur Rückschlüsse auf Verhalten oder Leistung zulassen, die unmittelbar mit dem Beschäftigungsverhältnis zusammenhingen.
Weitere Bußgelder von insgesamt 40.000 EUR wurden aufgrund
• der mangelhaften Beteiligung der betrieblichen Datenschutzbeauftragten bei Erstellung der Liste
• die fehlende Erwähnung dieser im Verarbeitungsverzeichnis
• sowie die verspätete Meldung einer Datenpanne
verhängt.
Das Datenschutzzentrum des Saarlandes verhängte gegen ein Pflegeheim ein Bußgeld in Höhe von EUR 9.500,-. Hintergrund war eine Beschwerde einer Privatperson über eine offen daliegende Liste, in der sich Besucher eines Pflegeheims beim Betreten der Einrichtung eintragen mussten, sowie Angaben machen mussten zu Kontaktdaten und gesundheitsbezogenen Daten.
Das Datenschutzzentrum stellte zum einen fest, dass die Erhebung der gesundheitsbezogenen Daten der Besucher, durch die in Folge der Covid-19-Pandemie erlassenen Verordnungen rechtmäßig war. Jedoch hätte das Pflegeheim Maßnahmen ergreifen müssen, um die Daten der Besucher vor Einsicht durch unberechtigte Dritte zu schützen.
Bericht 2022 des Datenschutzzentrums des Saarlandes
Stand: 13.09.2023
Auslistungsbegehren bei Google
BGH (VI. Zivilsenat), Urteil vom 23.05.2023 – VI ZR 476/18
Aus dem Sachverhalt
Der Kläger wollte von Google eine Auslistung bestimmter Ergebnislinks sowie die Auslistung von Vorschaubildern bei Eingabe seines Namens bei Google erwirken, da u.a. kritische, negative und falsche Berichtserstattungen über diverse Unternehmen des Klägers in der Google-Suche zu finden gewesen wären. Der Kläger führte mehrere Artikel der Website „www.g...net“ sowie Vorschaubilder in der Klage auf, die er gerne aus der Google-Suche entfernt haben wollte.
Die Klage wurde teilweise vom Landgericht abgewiesen. Eine Berufung blieb erfolglos. Die Revision wurde zugelassen und zwei Vorlagefragen zur Klärung gegeben. Die Revision hatte in Teilen Erfolg.
Aus den Urteilsgründen
Der Auslistungsanspruch der Vorschaubilder war – im Gegensatz zum Auslistungsanspruch der Artikel - erfolgreich. Der Anspruch auf Auslistung ergibt sich aus Art. 17 Abs. 3 Buchst. a DSGVO. Hier müssen die Rechte aus Art. 7 und 8 der Charta der Grundrechte der Europäischen Union mit den Rechten aus Art. 11 der Charta der Grundrechte abgewogen werden.
Um eine Auslistung der in der Klage zitierten Artikel zu erreichen, müsse der Kläger nachweisen können, dass der angezeigte Inhalt offensichtlich falsch sei. Dabei muss der Kläger im Einzelfall die Unrichtigkeit darlegen können.
Zum Thema Fotos/Bildnisse einer Person:
Ein Betreiber einer Suchmaschine muss, wenn er mit einem Auslistungsantrag befasst wird, der darauf abzielt, dass aus den Ergebnissen einer anhand des Namens einer Person durchgeführten Bildersuche Fotos gelöscht werden, die in Gestalt von diese Person darstellenden Vorschaubildern angezeigt werden, prüfen, ob die Anzeige der fraglichen Fotos erforderlich ist, um das Recht auf freie Information auszuüben, das den Internetnutzern zusteht, die potentiell Interesse an einem Zugang zu diesen Fotos mittels einer solchen Suche haben (aaO Rn. 96). Insoweit stellt der Beitrag zu einer Debatte von allgemeinem Interesse einen entscheidenden Gesichtspunkt dar, der bei der Abwägung der widerstreitenden Grundrechte zu berücksichtigen ist, um die Frage beurteilen zu können, ob die Rechte der betroffenen Person auf Achtung ihres Privatlebens und auf Schutz ihrer personenbezogenen Daten oder vielmehr die Rechte auf freie Meinungsäußerung und Information Vorrang haben müssen (aaO Rn. 97).
Stand: 26.07.2023
Am 01.06.2023 sind neue chinesische Standardvertragsklauseln in Kraft getreten.
Im Gegensatz zu den EU-Standardvertragsklauseln bestehen die chinesischen Standardvertragsklauseln nicht aus verschiedenen Modulen, sondern sind ein Einheitsmodell. Auf den ersten Blick sind die chinesischen SCC somit für den Anwender einfacher gestrickt als für europäischen Standardvertragsklauseln.
Unterschiede zwischen den europäischen und den chinesischen Standardvertragsklauseln gibt es vorwiegend in den Hinterlegungspflichten, in der Struktur und in Bezug auf den Anwendungsbereich.
Der Anwendungsbereich der chinesischen SCC ist deutlich eingeschränkter im Vergleich zu denen der DSGVO, da andere bzw. niedrigere Schwellenwerte festgelegt wurden.
Der fundamentalste Unterschied besteht darin, dass die chinesischen Standardvertragsklauseln eine zwingende Anwendbarkeit des chinesischen Rechts vorschreiben und somit keinen Gestaltungsraum zulassen.
Gemeinsamkeiten sind hinsichtlich der Unveränderlichkeit und der Vorrangwirkung zu sehen. Genau wie die europäischen SCC dürfen die chinesischen SCC nicht verändert werden und müssen strikt übernommen werden. Der Vorrang ist dahingehend geregelt, dass europäische SCC Vorrang haben, wenn eine Datenübermittlung aus dem europäischen Wirtschaftsraum übermittelt werden. Analog gelten die chinesischen Standardvertragsklauseln vorrangig, wenn personenbezogene Daten aus China an den EWR übermittelt werden. Zudem ist auch stets eine Datenschutz-Folgenabschätzung durchzuführen.
Stand: 26.07.2023
BAG, Urteil vom 29.06.2023 - 2 AZR 296/22
Aus dem Sachverhalt
Der Kläger war ein Mitarbeiter einer Gießerei. Er wurde aufgrund vertragswidrigen Verhaltens von der Gießerei entlassen, da er zwar zu Schichtbeginn das Werksgelände betreten und eingestempelt habe, aber das Gelände vor Schichtende wieder verlassen und sich diese Mehrarbeitsschicht trotzdem vergüten habe lassen. Am Werkgelände wurden – aufgrund anonymer Hinweise – Videokameras installiert, da der Vorwurf des Arbeitszeitbetrugs durch mehrere Mitarbeiter im Raum stand. Der Kläger behauptete trotz vorliegendem Videobeweismaterial, dass er an dem besagten Tag gearbeitet hätte und es sich daher nicht um Arbeitszeitbetrug handeln könne und die Videoüberwachung auch nicht verwendet werden dürfe, da diese dem Sachvortrags- und Beweisverwertungsverbot unterliegen würde.
Ein Piktogramm zur Kennzeichnung der Videoüberwachung wurde neben der offensichtlich installierten Videokamera von der Arbeitgeberin am Werksgelände angebracht. Der Klage wurde in den Vorinstanzen stattgegeben.
Aus den Urteilsgründen
Die Beklagte legte Revision ein und hatte Erfolg. Selbst wenn hier ein Verstoß gegen die DSGVO und das BDSG vorläge, würde jedoch im vorliegenden Fall die Klärung des vorsätzlichen Arbeitszeitbetrugs und damit vertragswidrigen Verhaltens überwiegen. Zudem war die Videoüberwachung und Speicherung der Daten per se nicht unzulässig.
Da es bei der offensichtlichen Überwachung des Werkgeländes nicht um eine gravierende Grundrechtsverletzung handeln würde, wäre ein Verwertungsverbot der Videoaufzeichnungen nicht vertretbar.
(BAG: „Datenschutz ist kein Tatenschutz“).
Ergebnis: die Videoaufzeichnungen dürfen im Kündigungsschutzprozess verwendet werden.
Stand: 26.07.2023
Gesetz gegen den unlauteren Wettbewerb (UWG)
§ 7 Unzumutbare Belästigungen
(1) Eine geschäftliche Handlung, durch die ein Marktteilnehmer in unzumutbarer Weise belästigt wird, ist unzulässig. Dies gilt insbesondere für Werbung, obwohl erkennbar ist, dass der angesprochene Marktteilnehmer diese Werbung nicht wünscht.
(2) Eine unzumutbare Belästigung ist stets anzunehmen
1. bei Werbung mit einem Telefonanruf gegenüber einem Verbraucher ohne dessen vorherige ausdrückliche Einwilligung oder gegenüber einem sonstigen Marktteilnehmer ohne dessen zumindest mutmaßliche Einwilligung,
„Einwilligung und mutmaßliche Einwilligung verhalten sich zueinander wie Rechtsgeschäfẗ und Geschäftsführung ohne Auftrag. Eine mutmaßliche Einwilligung (häufig auch als vermutetes Einverständnis bezeichnet) liegt daher vor, wenn es an einer ausdrücklichen oder konkludenten Einwilligungserklärung fehlt, wenn aber die geschäftliche Handlung dem objektiven Interesse oder dem wirklichen oder mutmaßlichen Willen des Adressaten entspricht (vgl. § 683 BGB). Es muss auf Grund konkreter Umstände ein sachliches Interesse des Anzurufenden vom Anrufer vermutet werden können (BGH GRUR 1991, 764 [765] – Telefonwerbung IV; bestätigt in BGH GRUR 1995, 220 [221] – Telefonwerbung V; BGH GRUR 2004, 520 [521] – Telefonwerbung für Zusatzeintrag; BGH GRUR 2008, 189 – Suchmaschineneintrag; BGH GRUR 2010, 939 Rn. 20 – Telefonwerbung nach Unternehmenswechsel).“ (Quelle: Ohly/Sosnitza/Ohly UWG § 7 Rn. 77)
„Von der mutmaßlichen Einwilligung sind also Anrufe gedeckt, an denen ein durchschnittlich störungsanfälliger Gewerbetreibender interessiert wäre, sofern nicht besondere Umstände für einen entgegenstehenden Willen gerade des individuellen Adressaten sprechen. Erforderlich ist eine Interessenabwägung, die aber die Besonderheit aufweist, dass auf beiden Seiten Interessen des Angerufenen zu berücksichtigen sind. Ebenso wie die Einwilligung vor dem Anruf erklärt werden muss, ist auch bei der mutmaßlichen Einwilligung auf die Interessenlage vor dem Anruf abzustellen (Köhler/Bornkamm/Feddersen/Köhler Rn. 163). Die Beweislast für die Tatsachen, die zur Annahme einer mutmaßlichen Einwilligung führen, trägt der Werbende (insoweit gilt dasselbe wie bei der Einwilligung, → Rn. 75).“ (Quelle: Ohly/Sosnitza/Ohly UWG § 7 Rn. 77)
Für die Annahme einer mutmaßlichen Einwilligung kann z.B. folgendes Kriterium sprechen:
„Nähe des Angebots zum spezifischen Bedarf des umworbenen Unternehmens (BGH GRUR 1991, 764 [765] – Telefonwerbung IV): Je eher ein konkreter und besonderer Bedarf des beworbenen Unternehmens nach außen erkennbar ist und je weniger mit vergleichbaren Angeboten anderer Unternehmer zu rechnen ist, desto eher ist eine mutmaßliche Einwilligung anzunehmen.“ (Quelle: Ohly/Sosnitza/Ohly UWG § 7 Rn. 78)
Ob das im konkreten Fall der Telefonakquise für Social-Recruiting bei Stellenanzeigen schaltende Unternehmen gegeben ist, ist fraglich. Wir von LiiDU halten die Schaltung einer Stellenanzeige für zu generisch, als hier auf den besonderen Bedarf abstellen zu können (z.B. würde hier auch der Verkauf von Personalbuchhaltungssoftware darunter fallen, weil Mitarbeiter beschäftigt werden). Es ist aber eine andere Ansicht vertretbar.
Stand: 19.07.2023
Mehr Infos zum Facebook EuGH-Urteil vom 04.07.2023 - C‑252/21 finden Sie in unserem Blog.
Mehr Informationen zu den Abmahnungen durch Maximilian Größbauer und brandt.legal finden Sie in unserem Blog.
Mehr Infos zum Data Privacy Framework finden Sie in unserem Blog.
Der aktuelle Tätigkeitsbericht für das Jahr 2022 wurde vom Bayerischen Landesamts für Datenschutzaufsicht veröffentlicht.
2022 sind insgesamt 5032 Beschwerden und Kontrollanregungen eingegangen
(leichter Rückgang im Vergleich zum Vorjahr – 6009 Beschwerden und Kontrollanregungen im Jahr 2021)
Hauptbereiche der eingegangenen Beschwerden (vgl. S. 18f)
• Internet (Tracking, Einwilligungsbanner, Datenschutzerklärungen) --> Abnahme um 35 %
• Videoüberwachung --> Zunahme um 7%
• Internationaler Datenverkehr (--> Zunahme um 170 %
• Finanzen, Gesundheit, Versicherung, Handel, --> Abnahme um 9 %
• Technischer Datenschutz --> Abnahme von 5 %
Datenpannen:
• Zahl der Meldungen von Verletzungen der Sicherheit bei der Verarbeitung personenbezogener Daten in 2022 deutlich auf 2991 gesunken (3946 im Jahr 2021) (vgl. S. 21)
Datenschutzkontrollen
Ransomware Präventionsprüfung wurde aufgrund der hohen Bedrohungslage als Dauerprüfung etabliert (vgl. S. 80)
Inhalt der Prüfung nach Art. 32 DS-GVO zur Sicherstellung eines angemessenen Sicherheitsniveaus:
• Systemlandschaft
• Patch Management
• Backup-Konzept
• Überprüfung des Datenverkehrs
• Awareness und Berechtigungen
Kontrolle E-Mail-Sicherheit: spürbaren Steigerung der Bedrohungslage für Cyberangriffe auf E-Mail-Dienste
--> neue Prüfreihe für (bei Dienstleistern) betriebene E-Mail-Accounts
Stand: 12.07.2023
Der Tätigkeitsbericht des Bayerischen Landesbeauftragten für den Datenschutz für das Jahr 2022 wurde veröffentlicht.
Meldungen von Verletzungen des Schutzes personenbezogener Daten (vgl. Tätigkeitsbericht S. 159f.)
Die Anzahl an Meldungen nach Art. 33 DSGVO ist im Vergleich zum Jahr 2021 beinahe gleichgeblieben.
Meldungen sind vorwiegend in folgenden Bereichen eingegangen:
• Meldungen aus dem Gesundheitsbereich - Verletzung des Schutzes der Vertraulichkeit von personenbezogenen Daten (Übermittlung von medizinischen Informationen wie Quarantänebescheide/Testergebnisse, Neugierzugriffe)
• Hackerangriffe und Schadsoftware - große Gefahr für die Sicherheit bei der Verarbeitung personenbezogener Daten (häufig wurden größere, überregionale Dienstleister angegriffen --> Vielzahl von öffentlichen Stellen von Sicherheitsvorfällen betroffen à lange Ausfälle von IT-Systemen)
Themen (Auswahl):
• Google Web Fonts --> dynamische Einbindung nur mit wirksamer Einwilligung zulässig (vgl. S. 33ff.)
• Transparenzanforderungen an externe behördliche Datenschutzbeauftragte --> es muss jederzeit klar und eindeutig erkennbar sein, dass die handelnde Person externer behördlicher Datenschutzbeauftragter der öffentlichen Stelle ist (vgl. S. 36ff.)
• Auftragsverarbeitung -->Erforderlichkeit eines wirksamem Vertrags über Auftragsverarbeitung (vgl. S. 64f)
• Bayerische Universitätsklinikagesetz à Einführung neuer Rechtsgrundlagen für die Verarbeitung von Patientendaten zu wissenschaftlichen Forschungszwecken (vgl. S. 75f)
• Einwilligung im Beschäftigungsverhältnis --> Übermittlung individueller Gehälter ist ohne Einwilligung datenschutzrechtlich unzulässig (vgl. S. 105f)
• DSFA: neue Orientierungshilfe „Risikoanalyse und Datenschutz-Folgenabschätzung – Systematik, Anforderungen, Beispiele
Stand: 12.07.2023
Seit dem 01.01.2021 müssen alle neu zugelassenen Pkw-Modelle der Klassen N1 & M1 (Verbrenner und Hybride) mit einer sogenannten OBFCM-Einrichtung ausgestattet werden.
OBFCM steht dabei für On-Board Fuel Consumption Monitoring. Der Gesetzgeber möchte mit dieser Regelung erreichen, dass Laborwerte mit realen Verbrauchswerten abgeglichen werden können.
Die Verbrauchsdaten (Kraftstoffverbrauch) werden anhand einer Schlüsselnummer (FIN = Fahrzeugsidentifikationsnummer) das ganze „Autoleben“ gespeichert und können anhand dieser identifiziert werden. Dem Auslesen der Daten kann widersprochen werden.
Die europäische Verordnung wurde von der Kommission am 04.03.2021 erlassen. Daten werden ab dem 20.05.2023 erhoben, vgl. Art. 10 der Verordnung.
Ab diesem Zeitpunkt startet die automatische regelmäßige Datenübermittlung im Rahmen der Hauptuntersuchung. Insbesondere Fahrzeughersteller und Werkstätte müssen dann die Verordnung umsetzen, die Fahrzeuge also entsprechend ausstatten und die Daten ordnungsgemäß melden.
Sie werden über eine Schnittstille direkt nach Brüssel zur EU-Kommission übersendet. Im Anschluss werden die Daten anonymisiert verarbeitet und gespeichert. Die FIN selbst wird dabei auch übermittelt. Die FIN-Nummer ist jedoch natürlichen Personen zuordenbar, weshalb hier der Anwendungsbereich der DSGVO eröffnet ist, da es sich hierbei um personenbezogene Daten der Fahrzeughalter handelt.
Halter müssen grundsätzlich nicht aktiv werden, denn bei einer Erstzulassung nach dem 01.01.2021 wird dies automatisch durchgeführt. Es gibt jedoch die Möglichkeit der Datenübermittlung zu widersprechen.
Der ADAC informiert hierzu umfassend
Laut Fokus kann entweder per E-Mail beim Autohersteller widersprochen werden oder durch ein aktives „Opt-Out“ in der Werkstatt. Hier hapert es in der Praxis wohl noch an der Erfüllung der Informationspflichten nach Art. 13 DSGVO.
Erwägungsgrund 13:
„Die Erhebung der Daten aus dem praktischen Fahrbetrieb und der FINs sollte vollkommen transparent sein, weshalb die Fahrzeughalter die Möglichkeit haben sollten, sich zu weigern, diese Daten den Herstellern oder im Zuge der technischen Überwachung zur Verfügung zu stellen. Es ist darauf hinzuweisen, dass das Verweigerungsrecht des Fahrzeughalters nicht auf Artikel 21 der Verordnung (EU) 2016/679 beruht und dass die Verweigerung nur in Bezug auf die für die Zwecke dieser Verordnung erhobenen Daten als gültig angesehen werden sollte.“
Artikel 11
Verpflichtungen in Bezug auf den Schutz personenbezogener Daten
(1) Die folgenden Stellen, die für die Erhebung der FINs zusammen mit den direkt aus dem Fahrzeug ausgelesenen Daten aus dem praktischen Fahrbetrieb zuständig sind, gelten in Bezug auf die Erhebung und Verarbeitung der FINs als für die betreffenden Daten Verantwortliche im Sinne von Artikel 4 Nummer 7 der Verordnung (EU) 2016/679:
a) Hersteller im Falle einer direkten Datenübertragung aus dem Fahrzeug an den Hersteller;
b) Vertragshändler und Vertragswerkstätten;
c) für die technische Überwachung zuständige Stellen oder Einrichtungen.Diese Stellen sorgen dafür, dass sie ihrer Pflicht nachkommen, die Fahrzeughalter in deren Eigenschaft als betroffene Personen gemäß Artikel 13 der genannten Verordnung zu informieren
Stand: 05.07.2023
Ausführliche Infos zum Thema interne und externe Datenschutzbeauftragte (DSB) finden Sie in unserem Blog.
Aus Datenschutzsicht ist eine digitale Signatur positiv zu bewerten, da dadurch sichergestellt werden kann, dass ein besonderes Augenmerk auf die IT-Sicherheit gelegt wird. Besonders bei Dienstleistern, die sensible Daten besonderer Kategorien personenbezogener Daten verarbeiten (z.B. Lohnabrechnungen bei Steuerberatern), ist eine verschlüsselte E-Mail-Kommunikation mit Signaturschlüssel notwendig.
Durch eine digitale Signatur (S/MIME) wird die Urheberschaft der E-Mail-Nachricht garantiert. Der Inhalt der E-Mail wird verschlüsselt (wenn der Adressat ebenfalls zertifiziert ist), sodass kein unberechtigtes Mitlesen des E-Mail-Inhalts sichergestellt werden kann.
Die Verschlüsselung von E-Mails mit einem S/MIME-E-Mail-Zertifikat kann die Einhaltung der Vorschriften aus der DSGVO sicherstellen. Mit einem solchen Zertifikat kann nachgewiesen werden, dass personenbezogene Daten in der E-Mail-Kommunikation vertraulich behandelt werden nach Art. 25 DSGVO.
Stand: 05.o7.2023
Ledger ist ein Hardware-Crypto-Wallet-Anbieter mit Sitz in Frankreich. 2020 kam es zu einem Datenleak. Damals wurden circa eine Million personenbezogene Daten von Kunden abgegriffen. Neben Bestelldaten, Namen, Adressen und Telefonnummern wurden u.a. auch die E-Mail-Adressen geleakt, weshalb betroffene Kunden seitdem vermehrt Phishing Mails und Spam-Telefonanrufe erreicht haben.
Auslöser für den Datendiebstahl war eine Sicherheitslücke, die im Juli 2020 bestand. Im Dezember 2020 wurde die geleakte Kundendatenbank von den Hackern bei Raidforums online gestellt, wodurch eine unüberschaubare Anzahl Dritter Zugriff auf diese Daten erhalten konnte. Ledger hat die massive IT-Sicherheitslücke erst relativ spät erkannt und seine Kunden auch nicht umgehend nach Bekanntwerden des Datenleaks entsprechend informiert.
Betroffenen des Datenleaks stehen aufgrund der verspäteten Meldung bei der Aufsichtsbehörde und mangelnder
IT-Sicherheit (unzureichende technische und organisatorische Maßnahmen) folgende Rechte zu:
• Recht auf Auskunft über die Verarbeitung personenbezogenen Daten
• Unterlassungsanspruch hinsichtlich der Veröffentlichung der Daten
• Schadensersatz nach Art. 82 DSGVO
Stand: 28.06.2023
Das LfD Niedersachsen hat seinen Tätigkeitsbericht für das Jahr 2022 veröffentlicht.
Die wichtigsten Zahlen im Überblick:
Leichter Rückgang bei den Beschwerden
• 2058 Beschwerden gemä̈ß Art. 77 DS-GVO (2021 waren es 2538 Beschwerden)
Rückgang bei den gemeldeten Datenschutzverletzungen
• 1149 Datenschutzverletzungen gemäß Art. 33 DS-GVO (2020 waren es 1673 Meldungen)
Der Rückgang ist auf die ca. 500 Meldungen zu Sicherheitslücken in Microsoft Exchange Servern (sog. „Hafnium Hack“) im Jahr 2021 zurückzuführen
Abhilfemaßnahmen der Aufsichtsbehörden nach Art. 58 Abs. 2
• 305 Verwarnungen, 9 Anweisungen und Anordnungen, 90 Warnungen
• Gesamthöhe der verhängten Bußgelder: rund 2,2 Millionen Euro (Schwerpunkt: unzulässige Videoüberwachung)
Stand: 28.06.2023
Mehr Informationen zu den EDSA-Leitlinien finden Sie in unserem Blog.
Ausführliche Informationen zur digitalen Gehaltsabrechnung finden Sie in unserem Blog.
Konkretisierung der Fragestellung
Ein Anbieter eines Transportmanagementsystems (TMS) speichert die GPS-Daten seiner Kunden für 10 Jahre auf einer SaaS-Plattform bei Hetzner.
Der Hersteller begründet die lange Speicherdauer damit, dass er in den GPS-Daten keinen Personenbezug sieht, da die Namen der Fahrer nicht in derselben Tabelle zusammen mit dem GPS-/ Kennzeichendaten gespeichert werden.
Kann die lange Speicherdauer evtl. damit begründet werden, dass aus den GPS-Daten abrechnungsrelevante Kriterien (Maut/ Standgelder etc.) hervorgehen, die bei einer Steuerprüfung herangezogen werden können?
Wie sollte aus vorgegangen werden, um mögliche Bußgelder von den Kunden abzuwenden?
Urteil des VG Wiesbaden vom 17.01.2022 (6 K 1164/21.WI) zur Zulässigkeit des GPS-Trading im Logistikbereich
Aus dem Sachverhalt
Klägerin ist ein Logistikunternehmen. Die Klägerin hatte in ihren Firmenwägen GPS -Systeme verbaut zur Überwachung des Standorts der Fahrzeuge sowie zur Verhinderung von Kraftstoffdiebstählen und Missbräuchen. Die GPS-Tracking-Daten wurden über eine SaaS-Lösung auf einem Server (unbekannter Standort) 400 Tage gespeichert. Die Mitarbeiter wurden über das verbaute GPS-Tracking nicht informiert. Daher lagen auch keine Einwilligung der Mitarbeiter vor. Der Beklagte wurde auf den möglichen Datenschutzverstoß durch die Klägerin aufmerksam und forderte Auskunft über die stattfindende GPS-Überwachung der Fahrzeuge und forderte diese zu unterlassen und die bisherigen Aufzeichnungen zu löschen, da die Speicherung unverhältnismäßig und nicht rechtmäßig sei. Die Klage hatte keinen Erfolg, da sie unbegründet sei.
Aus den Urteilsgründen
Die Speicherung der GPS-Daten stelle einen Verstoß gegen die DSGVO dar. Auch eine Einwilligung wäre keine praktikable Lösung, da die Mitarbeiter in einem Abhängigkeitsverhältnis zur Klägerin stünden und somit die Freiwilligkeit der Einwilligung nicht gegeben wäre. Auch wenn es sich vorrangig um das Tracking der Fahrzeuge handle, sind natürliche Personen identifizierbar. Daher betrifft die Verarbeitung personenbezogene Daten nach Art 4 Abs. 1 DSGVO. Auch eine rechtliche Verpflichtung nach Art. 6 Abs. 1 lit. c) DSGVO kann nicht als Rechtsgrundlage für die Verarbeitung herangezogen werden, zumal die Speicherdauer von 400 Tagen unverhältnismäßig sei. Auch die Tatsache, dass die Mitarbeiter nicht über die Aufzeichnung und Speicherung informiert wurden, sondern die Datenerhebung heimlich stattfand, spricht laut dem Gericht gegen die eine Zulässigkeit.
Darf ein Anbieter eines Transportmanagementsystems nun die GPS-Daten seiner Kunden speichern?
Der Anbieter des TMS ist Auftragsverarbeiter nach Art. 28 DSGVO für das Transportunternehmen. Er ist an den Normen der DSGVO zu messen. Zwar bezieht sich das Urteil des VG Wiesbaden auf die Verpflichtung der Auftraggeber, keine personenbezogenen Daten der Fahrer über GPS zu erheben, der AV ist aber im gleichen Maße verpflichtet nicht gegen die DSGVO-Normen zu verstoßen. Er hat also im Zweifel eine Hinweispflicht an seinen Kunden, dass die Fahrerdaten entweder nur unter engen Voraussetzungen erhoben und gespeichert werden dürfen – oder gar nicht.
Sobald die Abrechnungen der Touren fertig und in Rechnung gestellt sind, ist es aus steuerrechtlichen Gründen wohl nicht notwendig, die Fahrerdaten mitzuspeichern. Sofern möglich, sollten die Fahrerdaten danach gelöscht werden.
Stand: 21.06.2023
Ausführliche Informationen zum Hinweisgeberschutzgesetz finden Sie in unserem Blog.
Datenpannen können – sowohl von Betroffenen als auch von den Verantwortlichen Stellen - bei den jeweiligen Aufsichtsbehörden gemeldet werden. Das BayLDA bietet beispielsweise ein Webportal für die Meldung einer Datenschutzverletzung nach Art. 33 DS-GVO an.
Stand: 14.06.2023
Rechtsgrundlagen im Datenschutz für staatliche und kommunale Behörden
• DSGVO
• Bayerisches Datenschutzgesetz und
• – je nach Verwaltungsbereich – datenschutzrechtliche Fachvorschriften
• Soweit bayerische öffentliche Stellen als Unternehmen am Wettbewerb teilnehmen, gelten für sie selbst und ihre Zusammenschlüsse und Verbände die Vorschriften für nicht öffentliche Stellen – also ergänzend zu den Vorschriften der Datenschutz-Grundverordnung insbesondere die Vorschriften des Bundesdatenschutzgesetzes (Art. 1 Abs. 3 BayDSG).
„Die Vorgaben der Landesdatenschutzgesetze richten sich in erster Linie an öffentliche Stellen und Unternehmen, die Aufgaben der öffentlichen Verwaltung wahrnehmen. Daneben sind in den LDSG die nach § 40 Abs. 1 BDSG im jeweiligen Bundesland für Privatunternehmen zuständige Datenschutzaufsichtsbehörde und deren Befugnisse festgelegt. Zudem treffen einzelne Bundesländer in ihren Landesdatenschutzgesetzen auch Vorgaben für Unternehmen und/oder Personen, welche den Datenschutz außerhalb des Anwendungsbereichs der DSGVO oder der JI‑Richtlinie betreffen.“
Rechtsgrundlagen im Datenschutz für Unternehmen
• DSGVO
• BDSG
• TDDDG
Ein entscheidender Unterschied zum behördlichen Datenschutz ist die Thematik Bußgelder. Diese werden in der DSGVO in Art. 83 DGSVO - Allgemeine Bedingungen für die Verhängung von Geldbußen genauer definiert.
Gegenüber öffentlichen Behörden können keine Bußgelder verhängt werden, das ist in § 43 Abs. 3 BDSG so geregelt.
Stand: 05.06.2024
Bei der E-Mail-Adresse handelt es sich um ein personenbezogenes Datum.
Daher ist im vorliegenden Fall der Anwendungsbereich der DSGVO eröffnet.
Zulässig wäre daher die Weitergabe der E-Mail-Adresse mit der Einwilligung des Kunden, vgl. Art. 6 Abs. 1a) DSGVO.
Art. 6 DSGVO - Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
Liegt keine Einwilligung des Kunden vor, kommt als Rechtsgrundlage für die Weitergabe noch Art. 6 Abs. 1b) DSGVO in Betracht.
Art. 6 DSGVO - Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
Art. 6 Abs. 1b) DSGVO dürfte als Rechtsgrundlage aber ausgeschlossen sein, da es nicht zur Erfüllung eines Vertrags notwendig ist, die Mailadresse des Kunden an den Spediteur weiterzugeben.
Liegt keine Einwilligung des Kunden vor, kommt als Rechtsgrundlage für die Weitergabe Art. 6 Abs. 1f) DSGVO in Betracht.
Art. 6 DSGVO - Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Art. 6 Abs. 1f) DSGVO dürfte in der Abwägung des berechtigten Interesses zu Gunsten der Persönlichkeitsrechte des Kunden ausfallen und dient somit nicht als Rechtsgrundlage für die Weitergabe der Kunden-Mailadresse an den Spediteur. Fazit: Ohne Einwilligung des Kunden ist eine Weitergabe der Mailadresse des Kunden nicht zulässig.
Stand: 14.06.2023
Der Kläger ist wohnhaft und berufstätig in Passau und klagte gegen die Videoüberwachung und Bildaufzeichnung in der städtischen Anlage „Klostergarten“ in Passau, den er sowohl beruflich als auch privat nutzt.
Die Klage wurde vom Verwaltungsgericht abgewiesen. Laut dem Verwaltungsgericht wäre die Klage unbegründet und die Videoüberwachung auf Grundlage von Art. 6 DGSVO rechtmäßig, da es sich hierbei um eine öffentliche Einrichtung handle. Primärer Grund der Videoüberwachung des Naherholungsgebiets seien der Schutz vor Vandalismus sowie der Verhinderung von Kriminalität. Durch die Videoüberwachung in der öffentlich zugänglichen Anlage wäre der Kläger nicht in seinem informationellen Selbstbestimmungsrecht oder seinen Persönlichkeitsrechten verletzt worden.
Der Kläger wendete daraufhin Berufung ein. Die Berufung wurde vom Verwaltungsgericht zugelassen.
Die Videoüberwachung greife in das Grundrecht auf informationelle Selbstbestimmung des Klägers ein und wäre daher zu unterlassen. Die Videoüberwachung zur Bekämpfung von Kriminalität sei zu bezweifeln, da der Klostergarten keinen Kriminalitätsschwerpunkt in der Stadt Passau darstellen würde. Somit sei die Videoüberwachung zur Vermeidung von Straftaten nach Art. 24 Abs 1 BayDSG unverhältnismäßig bei der hier vorliegenden öffentlichen Grünfläche, die als Naherholungsgebiet für die Bevölkerung öffentlich zugänglich sei. Das Gericht entschied, dass der Kläger in seinen Rechten verletzt wurde und somit Anspruch auf Unterlassung habe.
Stand: 14.06.2023
IT-Sicherheit ist Teil der Informationssicherheit sowie auch Teil des Datenschutzes. Ziel der IT-Sicherheit ist es, das Unternehmen zu schützen, sei es vor Bedrohungen oder den Zugriff Dritter auf Informationen und (personenbezogener) Daten.
IT-Sicherheit ist demnach auch einer der wichtigsten Bausteine für den Datenschutz, denn nur wenn alle Informationen, Daten und Systeme ein ausreichendes IT-Sicherheitsniveau aufweisen, kann auch ein ausreichendes Datenschutzniveau gewährleistet werden. Die gesetzliche Grundlage für die vorgeschriebenen Schutzziele wird in Art. 32 DSGVO (Sicherheit der Verarbeitung) geregelt. Unternehmen sind demnach aufgrund Art. 32 DSGVO dazu verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um IT-Sicherheit und Datenschutz zu gewährleisten.
Folgende Schutzziele der IT-Sicherheit sind laut Art. 32 Abs. 1b) sicherzustellen:
• Vertraulichkeit
• Integrität
• Verfügbarkeit
• Belastbarkeit
Stand: 24.05.2023
Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz (ab Seite 171)
Unternehmen und Behörde können sich nach ISO/IEC 27001 zertifizieren lassen, um einen erfolgreichen IT-Grundschutz für Kooperationspartner und Kunden nach außen transparent sichtbar zu machen und somit ein Qualitätsmerkmal vorweisen zu können. Um ein ISO/IEC 27001 Zertifikat zu erhalten, müssen Unternehmen/Behörden sich einem anerkannten Audit unterziehen und folgende Punkte u.a. nachweisen können:
• Umsetzung IT-Grundschutz
• etablierte Informationssicherheitsstandards
• ein funktionierendes IS-Management
• ein definiertes Sicherheitsniveau
Mehr Infos zum Thema Zertifizierung
Stand: 25.04.2023
Am 11. Mai 2023 fand die 105. Tagung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden(DSK) statt.
In der Pressemitteilung der DSK wird darauf verwiesen, dass u.a. auch das Thema „Beschäftigtendatenschutz“ im Fokus der Tagung stand. Die DSK weist darauf hin, dass die Thematik „Beschäftigtendatenschutz“ in einem eigenen Beschäftigtendatenschutzgesetz geregelt werden solle.
Die DSK bezieht sich hier auf das Urteil des EUGH vom 30.03.2023.
Aus dem Sachverhalt
Im EuGH Urteil wurde über einen Rechtsstreit zwischen dem Minister des Hessischen Kultusministeriums und dem Hauptpersonalrat des Lehrer:innen beim Hessischen Kultusministeriums über die Rechtmäßigkeit von Online-Unterricht per Videokonferenz durchgeführt, ohne dass die Lehrkräfte eine Einwilligung abgegeben hätten.
Der Videounterricht wurde im Rahmen der Covid-19 Pandemie eingerichtet, sodass Schüler online am Unterricht teilnehmen konnten. Für die Teilnahme am Videounterricht wurde von den Schülern bzw. Erziehungsberechtigten der Kinder eine Einwilligung eingeholt. Von den Lehrern wurde keine Einwilligung eingeholt und sich vom Kultusministeriums auf § 23 Abs. 1 Satz 1 HDSIG berufen, dass keine Einwilligung nötig sei. Daraufhin ließ das Gericht zwei Vorabentscheidungen klären, nämlich wie im vorliegenden Fall der Art. 88 Abs. 1 DSGVO auszulegen sei und ob eine nationale Norm angewendet werden kann, wenn diese Art. 88 Abs. 2 DSGVO nicht erfüllt.
Aus den Urteilsgründen
Mit Urteil vom 30.03.2023 wurde vom EuGH entschieden, dass Art. 88 Abs. 2 DSGVO erfüllt sein müsse, wenn eine nationale Rechtsvorschrift durch eine spezifische Vorschrift Vorrang haben soll. Spezifische Regelungen der Mitgliedsstaaten dürfen demnach nicht gegen die Regelungen der DSGVO verstoßen und müssen die Verarbeitung von personenbezogenen Daten im Beschäftigtenkontext hinsichtlich der Rechte und Freiheiten der Beschäftigten schützen. Die vom Hessischen Datenschutz‐ und Informationsfreiheitsgesetzes festgelegten Regelungen seien somit nicht europarechtskonform in Sinne des Beschäftigtendatenschutzes.
Detaillierte Informationen der DSK zum EuGH-Urteil
Die DSK plädiert aufgrund des EuGH-Urteils dafür, dass in Deutschland ein eigenes Beschäftigtendatenschutzgesetz geschaffen werden müsse, da die aktuellen Regelungen zu viel Raum für Interpretation geben würden und dadurch nicht sachgerecht, praktikabel und normenklar seien.
Die EuGH-Entscheidung ist deutschlandweit von großer Bedeutung, da nun bundesweit überprüft werden müsse, ob die bestehenden Regelungen des § 26 BDSG den Vorgaben von Art. 88 DSGVO entsprechen.
Stand: 24.05.2023
Gegen einen Arzt wurde ein Bußgeld von 50,- € verhängt, da er alte Akten seiner Patienten im Altpapiercontainer seiner Praxis entsorgt hatte. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein sah darin einen Verstoß gegen Art. 32 DSGVO, denn der Arzt habe mit der unsicheren Entsorgung der Akten gegen die Sicherheit der Verarbeitung verstoßen.
Mehr Infos im DSGVO Portal
Stand: 24.05.2023
Gegen Meta Platforms Ireland Limited wurde von der irischen Datenschutzbehörde ein Bußgeld in der Höhe von 1.200.000.000 Euro verhängt, da Meta gegen Art. 46 Abs. 1 DSGVO (Datenübermittlung vorbehaltlich geeigneter Garantien) verstoßen hat. Das ist das bisher höchste Einzelbußgeld, das je gegen einen Verstoß gegen die DSGVO verhängt wurde.
Der konkrete Vorwurf lautet, dass Meta Ireland personenbezogene Daten von EU-Bürgern an die Vereinigten Staaten übermittelt habe, ohne einen ausreichenden Schutz zu bieten. Dadurch wurden die Grundfreiheiten und Grundrechte der Betroffenen Personen verletzt. Da Facebook mehrere Millionen Nutzer in Europa hat, ist das Ausmaß an zu Unrecht übermittelten Daten enorm und daher wurde auch das Bußgeld so hoch angesetzt.
Der Europäische Datenschutzausschuss hat nun die Entscheidung getroffen, dass Meta Ireland zukünftig jegliche Übermittlung personenbezogener Daten an die USA untersagt wird. Zudem müsse die Datenverarbeitung inkl. der Speicherung von Daten, die bisher an die Vereinigten Staaten übermittelt wurden, innerhalb von 6 Monaten eingestellt werden.
Stand: 24.05.2023
Ausführliche Informationen zu den Aufgaben des Datenschutzbeauftragten, Informationssicherheitsbeauftragten und IT-Sicherheitsbeauftragten finden Sie in unserem Blog.
OLG Frankfurt a. M. Urteil vom 20.04.2023 – 16 U 10/22
Ein Innendesignunternehmer für Luxushotels hat Klage gegen Google erhoben, mit dem Ziel die automatische Suchvervollständigung seines Namens mit „bankrott“ zu unterlassen, zunächst am Landgericht Frankfurt am Main.
Eines der ersten Suchergebnisse bei der Klägerin lautete wie folgt:
„Wir haben ein Mandat gegen die Firma (unbezahlte Handwerkerrechnungen) und versuchen den Schaden zu begrenzen. Dabei mussten wir feststellen, dass die Firma bankrott ist.“
Grund für die Illiquidität waren Ermittlungen der Steuerfahndung wegen möglicher Veruntreuung von Firmengeldern nach China mit nachfolgendem Insolvenzantrag. Der Artikel entstand jedoch deshalb, weil der Innendesigner die Rechnung als unberechtigt identifizierte und auf den ordentlichen Rechtsweg verwies, was der vermeintliche Gläubiger als „nicht bezahlte Rechnung wegen bankrott“ veröffentlichte.
Im Jahr 2020 wurde das Unternehmen der Klägerin wegen Vermögenslosigkeit aus dem Handelsregister entfernt.
Mit E-Mail vom 26.02.2021 erklärte die Beklagte, dass die Auslistung der streitgegenständlichen URL verweigert würde, da ein öffentliches Interesse an der Information bestünde.
Die Klägerin verwies darauf, dass es sich um unwahre Tatsachenbehauptungen handele und das Unternehmen zwischenzeitlich gelöscht sei. Ein Namensbestandteil, der weiter existiert, werde auch vom Suchergebnis umfasst, also der gesamte Namenskern sowie die natürlichen Personen dahinter, sodass die dadurch erzeugten Aussagen zu weit und unwahr seien, sowie zu Gerüchten führen und damit geschäftsschädigend seien.
Die Beklagte rügte formale Fehler der Klage (Gerichtszuständigkeit, Bestimmtheit des Antrags und Passivlegitimation). Die Aussagen würden sich außerdem nicht auf natürliche Personen, sondern nur auf das Unternehmen beziehen. Bankrott sei außerdem ein Synonym zu insolvent.
Das Landgericht hat der Klage teilweise stattgegeben und die Beklagte verurteilt, es zu unterlassen, bei der namensbasierten Suche nach der isolierten Eingabe des Vor- und Zunamens des Klägers den Ergänzungsvorschlag „bankrott“ anzuzeigen. Die Klägerin und die Beklagte gingen daraufhin in Berufung.
Die Klägerin hat keinen Unterlassungsanspruch gegen Google.
Der Kläger hat keinen Anspruch gegen die Beklagte auf Auslistung der streitgegenständlichen Ergebnislinks gem. Art. 17 DSGVO, weil die von der Beklagten vorgenommene Datenverarbeitung auf der Grundlage aller relevanten Umstände des Streitfalls zur Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich ist.
Die Äußerung „X ist bankrott“ ist keine unzulässige Tatsachenbehauptung, sondern eine zulässige Meinungsäußerung. Der Durchschnittsempfänger dieser Information wird nicht davon ausgehen, dass die hinter einem möglichen Einzelkaufmann stehende natürlich Person gleichsam insolvent ist. Zudem wird bankrott im allgemeinen Sprachgebrauch synonym zu „seine Rechnungen nicht mehr bezahlen, zahlungsunfähig oder insolvent“ verwendet. Das Unternehmen ist tatsächlich insolvent und vermögenslos. Auch der Artikel trifft keine offensichtlich unwahre Tatsachenbehauptungen, denn die Rechnung wurde nicht bezahlt, aus welchen Gründen wurde nicht angegeben.
Die seit den berichteten Ereignissen vergangene Zeitspanne von rund drei Jahren ist noch nicht derart groß, als dass sie das Interesse an der niedrigschwelligen Erreichbarkeit der Informationen – auch über die namensbezogene Suche mittels einer Suchmaschine – in den Hintergrund treten ließe, ein Recht auf Vergessenwerden kann daher nicht abgeleitet werden.
Aufgrund der vielzähligen weiteren Suchtreffer wird der „Bankrottartikel“ zudem relativiert.
Der Kläger hat auch keinen Anspruch auf Unterlassung der Suchwortvervollständigung „bankrott“ bei der namensbasierten Suche nach seinem Vor- und Zunamen in der Suchmaschine der Beklagten.
Die hier automatisch erstellte Suchwortvervollständigung der Beklagten kombiniert zwei Wörter, nämlich den Namen des Klägers und das Wort „bankrott“, die dem unvoreingenommenen, die Suchmaschine der Beklagten nutzenden Durchschnittsrezipienten verschiedene Möglichkeiten eröffnen, inhaltliche Zusammenhänge herzustellen oder ein Verständnis zu entwickeln.
Zwei Unternehmen, die den Namen des Klägers in der Firmierung tragen, wurden unstreitig nach Stellung eines Insolvenzantrags wegen Vermögenslosigkeit aus dem Handelsregister gelöscht. Dass es sich hierbei juristisch um Fälle der Insolvenz (§§ 17 ff. InsO) und nicht des Bankrott (§ 283 StGB) handelt, ist unbeachtlich.
Für (potentielle) Kunden und Geschäftspartner ist es weiterhin von erheblichem Interesse, ob ein Unternehmen des Klägers (kürzlich) „bankrott“ bzw. insolvent gewesen ist. Somit besteht ein Informationsinteresse der Öffentlichkeit.
Stand: 17.05.2023
Bei einem Mandanten liegt folgende Unternehmenskonstruktion vor:
Ein amerikanisches Unternehmen möchte Zugriffsrechte auf eine Controlling-Software der deutschen Tochtergesellschaft erhalten.
Aus Datenschutzgründen wurde dies bisher nicht eingerichtet. Nun kommt die Idee auf, dass die Zugriffsrechte auf das System bei der irischen Tochtergesellschaft eingerichtet werden könnten.
Da die irische Tochtergesellschaft keine Räumlichkeiten vor Ort hat, würde der Mitarbeiter aus den USA dann mit seinem Laptop die Räumlichkeiten des Steuerberaters in Irland nutzen.
Ist es zulässig, dass ein Mitarbeiter der Muttergesellschaft auf die deutschen Daten des Controllingsystems zugreifen kann, wenn er sich bei der irischen „Tochter“ aufhält?
In der DSGVO gibt es per se kein Konzernprivileg. Ob ein Datenaustausch zwischen Mutter- und Tochtergesellschaften stattfinden darf, muss daher immer im Einzelfall geprüft werden, v.a. bei unterschiedlichen Standorten innerhalb und außerhalb der EU.
Begriffsdefinition Unternehmensgruppe nach Art. 4 Abs. 19 DSGVO
„Unternehmensgruppe“ eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht;"
Erwägungsgrund 48 - Überwiegende berechtigte Interessen in der Unternehmensgruppe
„Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln. Die Grundprinzipien für die Übermittlung personenbezogener Daten innerhalb von Unternehmensgruppen an ein Unternehmen in einem Drittland bleiben unberührt.“
Ein Zugriff auf die Daten kann also innerhalb einer Gruppe nur gerechtfertigt werden, wenn es sich um „interne Verwaltungszwecke“ handelt. Ein solcher Zweck muss nachweislich vorliegen und darf nicht nur vorgeschoben sein.
Fällt der Zugriff nicht mehr unter diese Zweckkategorie, werden andere Rechtsgrundlagen benötigt (z.B. vertragliche Regelungen oder Einwilligung der betroffenen Personen). Des weiteren sind in diesem Fall auch die Informationspflichten nach Art. 13. DSGVO einzuhalten.
Da im vorliegenden Fall zudem die Drittlandproblematik (Deutschland – USA) zu berücksichtigen ist, sind neben Erwägungsgrund 48 DSGVO auch die Vorschriften nach Art. 44 ff. DSGVO zu beachten (angemessene/geeignete Garantien für den Datentransfer, z.B. Verhaltensregeln, Angemessenheitsbeschluss der EU-Kommission, Binding Corporate Rules, Standarddatenschutzklauseln, etc.).
Wird die „externe“ Mutterfirma mit HR-Aufgaben der Tochterfirma vertraut, muss entweder ein entsprechender Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen werden bzw. ein Vertrag mit gemeinsamer Verantwortlichkeit nach. Art. 26 DSGVO.
Die DSK empfiehlt für diesen Fall einen Vertrag nach Art. 26 DSGVO, wenn mehrere Verantwortliche gemeinsam über die Verarbeitungszwecke und -mittel entscheiden. Bei bloßer Zentralisierung bestimmter „Shared Services-Dienstleistungen“ innerhalb eines Konzerns, wie Dienstreisen-Planungen oder Reisekostenabrechnungen, liegt hingegen Auftragsverarbeitung vor:
Stand: 13.12.2023
Notwendigkeit der Bestellung eines Datenschutzbeauftragten nach § 38 BDSG
„(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 679/2016 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 679/2016 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.“
Hilfreiche Hinweise dazu vom Bay LDA
Stand: 10.05.2023
Gesetz für eine bessere Versorgung durch Digitalisierung und Innovation - (Digitale-Versorgung-Gesetz – DVG)
Am 19. Dezember 2019 ist das Digitale-Versorgung-Gesetz in Kraft getreten. Ziel des Gesetzes ist es, dass z.B. Ärzte ab sofort auch Gesundheits-Apps verschreiben können, Patienten mehr Informationen zu Online-Sprechstunden im Internet bekommen würden sowie das digitale Netzwerk im Gesundheitswesen ausgebaut werden könne, wie beispielsweise die elektronische Patientenakte.
Auf Grundlage des DVG werden nun die Gesundheitsdaten aller gesetzlich Versicherten in Deutschland zentral gespeichert. Das Digitale-Versorgung-Gesetzes schreibt u.a. auch das Sammeln sowie die zentrale Speicherung von Gesundheitsdaten in einem Forschungsdatenzentrum vor. Darunter fallen etwa ärztliche Diagnosen, aber auch Daten zu Krankenhausaufenthalten und Medikation.
Das Speichern von derartigen sensiblen und schützenswerten Informationen stößt unter den Versicherten auch auf Unmut und sorgt für Diskussion, ob die Speicherung der Daten DSGVO-konform sei und ein ausreichendes IT-Sicherheitsniveau vorweise.
Stand: 10.05.2023
Was ist der Big Brother Award?
Die Big Brother Awards werden jedes Jahr an Organisationen, Personen und Firmen verliehen, die nach Ansicht der Jury Verletzungen gegen den Datenschutz begehen bzw. die Privatsphäre von Menschen beinträchtigen. Die Big Brother Awards gibt es nun schon seit über 20 Jahren und sind ein internationales Projekt. Digitalcourage richtet die Big Brother Awards in Deutschland aus.
Ziel der Big Brother Awards ist es, dass Datenschutzverstöße in der Öffentlichkeit bekannt werden und weltweit für Schlagzeilen sorgen. Auch die Aufsichtsbehörden werden nach der Verleihung von den Big Brother Awards hellhörig und verleihen des Öfteren im Nachgang zur Verleihung Bußgelder an die Datensünder (z.B. an die Modekette H&M im Jahr 2020).
Das sind die Preisträger des Jahres 2023:
• Kategorie Behörden und Verwaltung: Bundesfinanzministerium, vertreten durch Bundesfinanzminister Lindner (Plattformen-Steuertransparenzgesetz (PStTG), umfassende Vorratsdatenspeicherung)
• Kategorie Finanzen: Fintech-Unternehmen finleap (Versand von Informationen zum Kontowechsel)
• Kategorie Kommunikation: Zoom Video Communications (Weiterleitung von Daten an Geheimdienste & China)
• Kategorie Lebenswerk: Microsoft (Marktmacht – Datenübermittlung in die USA)
• Kategorie Verbraucherschutz: Deutsche Post DHL Group (Digitalzwang – Nutzung der Post & DHL App)
Stand: 10.05.2023
Art. 6 DSGVO - Rechtmäßigkeit der Verarbeitung
(1)Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
• Recht auf Auskunft gem. Art. 15 DSGVO
• Recht auf Berichtigung aus Art. 16 DSGVO
• Recht auf Löschung gem. Art. 17 DSGVO
• Recht auf Einschränkung der Verarbeitung gem. Art. 18 DSGVO
• Recht auf Datenübertragbarkeit gem. Art. 20 DSGVO
• Beschwerde bei der Aufsichtsbehörde gem. Art. 77 DSGVO
Stand: 26.04.2023
Die ODR-Verordnung gilt nach Art. 2 Abs. 1 für die außergerichtliche Beilegung von Streitigkeiten über vertragliche Verpflichtungen aus Online-Kaufverträgen oder Online-Dienstleistungsverträgen zwischen einem EU-Verbraucher und einem EU-Unternehmer, die durch Einschalten einer der EU-Kommission gemeldeten Streitbeilegungsstelle unter Nutzung der OS-Plattform erfolgt.
Die Richtlinie zur Online-Streitbeilegung gilt damit auch für alle Online-Händler. Sie ermöglicht Händlern und Verbrauchern im Streitfall eine schnelle und kostengünstige Möglichkeit zur Schlichtung.
Um den Zugang zur OS-Plattform für Verbraucher so einfach wie möglich zu gestalten, ist die Verlinkung zur Plattform für alle Online-Händler im Impressum der eigenen Website verpflichtend. Ein Hinweis in Textform (ohne Link) ist nicht ausreichend. Ein Teilnahme an einem Streitbeilegungsverfahren ist immer freiwillig und gilt nicht für B2B-Geschäfte.
Mehr Informationen vom Händlerbund
Die verantwortliche Stelle ist unter folgenden Voraussetzungen immer zur Veröffentlichung eines anklickbaren Links zur OS-Plattform zur Online-Streitbeilegung im Impressum der Website verpflichtet:
• Verantwortliche Stelle ist ein Unternehmen innerhalb der EU
• Das Unternehmen bietet entweder Online-Dienstleistungsverträge oder/und Online Kaufverträge an
• Kunden sind (zumindest auch potenziell) Verbraucher
Beispiel: https://sobola.de/impressum
Banken:
Dies gilt grundsätzlich auch für Banken, sofern online Dienstverträge abgeschlossen werden können. Die Begriffsbestimmung des Unternehmers wird aus der Richtlinie 2013/11/EU übernommen und es werden keine Ausnahmen normiert, egal ob ein Unternehmen im privaten oder öffentlichem Eigentum steht.
Die Zahlungsdienste i.S.d. § 675f BGB werden nach herrschender Meinung als Zahlungsdienstverträge oder Zahlungsdienstrahmenverträge ausgelegt, mithin als Dienstverträge die regelmäßig online abgeschlossen werden können. Jedenfalls die Wertpapierdienstleistungen nach § 2 WpHG sind unstreitig Onlinedienstleistungen die jede Bank dazu verpflichten der ODR-VO nachzukommen.
Versicherungen:
Nach herrschender Meinung sind Versicherungsverträge als Verträge sui generis zu klassifizieren. Eine andere Meinung sieht hingegen eine Geschäftsbesorgungsvertrag mit Treuhandcharakter auf dienstvertraglicher Grundlage. Jedoch bieten viele Versicherungen auch Onlineberatungsmöglichkeiten an, sodass aufgrund der umstrittenen Rechtsnatur ein Verweis entsprechend der ODR-VO üblich ist.
Darüber hinaus müssen Versicherungen nach § 15 Abs. 1 Nr. 12 VersVermVO die Anschrift der Schlichtungsstelle angeben. Ein zusätzlicher Verweis auf die europäische Schlichtungsstelle nach ODR-VO ist demnach kaum Mehraufwand und könnte im Rahmen dessen sogar als verpflichtend gewertet werden.
Stand: 03.05.2023
Entwurf der Verordnung zur Schaffung eines europäischen Raums für Gesundheitsdaten (EHDS)
Der European Health Data Space („EHDS“) ist der erste Vorschlag für einen bereichsspezifischen, gemeinsamen europäischen Datenraum für Gesundheitsdaten. Mit dem EHDS soll ein gemeinsamer Raum geschaffen werden, in dem sowohl Entscheidungsträgern aus der Politik und Forschungseinrichtungen ermöglicht wird, elektronische Gesundheitsdaten unter Wahrung der Rechte von natürlichen Personen sicher und vertrauenswürdig u.a. für Innovations- und Forschungszwecke zu nutzen. Zudem soll natürlichen Personen die Möglichkeit gegeben werden, ihre elektronischen Gesundheitsdaten leicht kontrollieren zu können. Der Entwurf zum EHDS wurde u.a. auch als Reaktion auf die Covid-19-Pandemie entworfen, da die Pandemie gezeigt hat, welche Relevanz die Auswertung und der Austausch elektronischer Gesundheitsdaten für die Eindämmung von globalen Gesundheitskrisen hat. Das Ziel der EHDS Verordnung ist sowohl die Schaffung eines Rechtsrahmens für die sichere Datenverarbeitung als auch die Sicherstellung der Kontrolle über elektronische Gesundheitsdaten natürlicher Personen.
Stand: 26.04.2023
Koordinierte Prüfung zu Stellung und Aufgaben von Datenschutzbeauftragten durch die europäischen Aufsichtsbehörden gestartet
Pressemitteilung des LDA Bayern vom 15.03.2023
Mitte März ist die zweite europaweite Prüfaktion der europäischen Datenschutzaufsichtsbehörden gestartet. Der Europäische Datenschutzausschuss koordiniert die Prüfaktion. Geprüft werden die Aufgaben und die Stellung der mehr als 36.000 gemeldeten Datenschutzbeauftragten.
Ziel der Prüfaktion ist laut Michael Will (Präsident des BayLDA) eine Bestandsaufnahme der betrieblichen Praxis und das Erkennen von möglichen Verbesserungspotenzial, um ggf. Abhilfemaßnahmen zu schaffen. Geprüft werden u.a. die Ressourcenausstattung sowie die Qualifikation und Unabhängigkeit von den bestellten Datenschutzbeauftragten. Ein Fokus der Prüfung liegt auf der Pflichtanforderung zur unmittelbaren Berichterstattung des Datenschutzbeauftragten an die höchste Managementebene. So sollen etwaige Fehlentwicklungen aufgedeckt und ein klares Bild der vorherrschenden Situation der Datenschutzorganisation in den Unternehmen gezeichnet werden.
Stand: 26.04.2023
LAG Nürnberg, Urteil vom 25.01.2023 - 4 Sa 201/22 (ArbG Bamberg)
Aus dem Sachverhalt:
Klägerin ist eine Angestellte. Beklagte ist die Arbeitgeberin der Klägerin. Die Klägerin fordert von ihrer Arbeitgeberin Schadensersatz, weil ihre Arbeitgeberin aus Sicht der Klägerin ihr Auskunftsersuchen nach Art. 15 DSGVO weder ordnungsgemäß noch vollständig erteilt hätte. Die Klägerin forderte einen Ersatz eines immateriellen Schadens in Höhe von EUR 5.000.-. Daraufhin wurde seitens der Arbeitgeberin der Klägerin Rechtsmissbrauch vorgeworfen, da es der Klägerin nicht primär um die Auskunft über die Verarbeitung und Verwendung ihrer personenbezogenen Daten ginge, sondern die Klägern sich im Rahmen ihrer Aufhebungsverhandlungen lediglich zusätzlich bereichern hätte wollen, um dadurch ihre Abfindungszahlung weiter zu erhöhen. Laut der Arbeitgeberin konnte von der Klägerin nicht ausreichend dargelegt werden, dass ihr tatsächlich ein Schaden, der in sachlichem Zusammenhang mit dem Auskunftsersuchen stünde, entstanden sei. Die Arbeitgeberin wurde vom Arbeitsgericht zu einer Zahlung eines Schadensersatzes in Höhe von 4.000,- € verurteilt. Laut Gericht müssten Verstöße gegen das Auskunftsrecht effektiv sanktioniert werden und die Höhe des Schadensersatzes eine abschreckende Wirkung haben. Dagegen legte die Arbeitgeberin Berufung ein.
Aus den Urteilsgründen
Die Klage auf Ersatz eines immateriellen Schadens wurde vom LAG abgelehnt, da der Anspruch aus Art. 82 DSGVO nicht begründet werden könne, da die Vorschrift einschränkend auszulegen sei. Der Tatbestand würde lediglich Schäden erfassen, die im Rahmen der Verarbeitung entstünden, die nicht im Einklang mit den Grundsätzen der DSGVO stünden. Die Verpflichtung auf Auskunft sei jedoch keine Verarbeitung in diesem Sinne. Das LAG beruft sich mit seiner Auslegung auf den Wortlaut des Erwägungsgrundes 146, worin ausdrücklich der Fokus auf den Begriff „Datenverarbeitung“ in Bezug auf Verletzungshandlungen gelegt wird.
Stand: 26.04.2023
Betroffene haben das Recht, Auskunft über die Verarbeitung ihrer personenbezogenen Daten zu verlangen.
Das Recht auf Auskunft ist in Art. 15 DSGVO geregelt.
Gola/Heckmann/Franck DS-GVO Art. 15 Rn. 29, 30: „… Auftragsverarbeiter sind nicht selbst angesprochen, sondern gem. Art. 28 Abs. 3 S. 2 lit. e verpflichtet, den Verantwortlichen bei der Erfüllung des Anspruchs zu unterstützen. …“
Der Verantwortliche ist in der Pflicht, Auskunft zu erteilen.
Ein Auftragsverarbeiter ist nicht zur Auskunft verpflichtet.
Ja, Betroffene haben das Recht, Auskunft über die Verarbeitung ihrer personenbezogenen Daten zu verlangen und damit auch darüber, an wen ihre Daten im Zuge einer Auftragsverarbeitung weitergegeben werden
(vgl. Urteil C-154/21).
Stand: 19.04.2023
Dritte werden in der DSGVO in Art. 4 Abs. 10 wie folgt definiert:
„Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;“
Stand: 19,04.2023
Pur-Abo-Modelle sind laut Beschluss vom 22.03.2023 der Datenschutzkonferenz grundsätzlich zulässig, sofern auch ein alternatives Bezahlmodell ohne Tracking für Webseitennutzer angeboten wird. Dem User muss also eine angemessene Wahlmöglichkeit angeboten werden.
Folgende Punkte müssen laut DSK datenschutzrechtlich eingehalten werden:
1. Gleichwertiger Zugang (marktübliches Entgelt)
2. Bestimmungen aus dem TDDDG und Art. 6 Abs. 1 DSGVO und ggf. Art. 9 DSGVO müssen berücksichtigt werden
3. Freiwilligkeit der Einwilligung muss gewahrt werden
4. Einwilligung muss der DSGVO gerecht werden (Transparenz, Verständlichkeit, Information - Art 4 Nr. 11 und Art. 7 Abs. 2 DSGVO)
Überprüfung von Medienwebseiten mit Pur—Abo-Modellen des LfD Niedersachsen
Die niedersächsische Datenschutzaufsichtsbehörde hat nun im Rahmen einer bundesweiten Prüfung eine Prüfung von Medienunternehmen durchgeführt, um die rechtmäßige Verwendung von Cookies und Tracking zu Werbezwecken zu überprüfen.
Im Zuge der Prüfung wurden massive datenschutzwidrige Verstöße festgestellt. Die Behörde stellte zu Beginn der Prüfung auf Webseiten bis zu 760 rechtswidrig eingebundene Cookies und Drittanbieter vor sowie fehlerhafte Einwilligungsbanner.
Folgende Mängel wurden im Rahmen der länderübergreifenden Medienprüfung festgestellt (Abschlussbericht):
• Falsche Reihenfolge (Einwilligung à dann erst Setzen von Cookies erlaubt)
• Fehlende Informationen (Einwilligungsbanner muss alle Infos auf erster Ebene bereitstellen)
• Unzureichender Einwilligungsumfang (bei “Ablehnen“ dürfen auch keine Cookies gesetzt werden)
• Keine einfache Ablehnung (Möglichkeit zum „Ablehnen“ oder “Schließen“ muss auf erster Ebene gegeben sein)
• Manipulation (Nudging ist unzulässig; Farbliche Gestaltung muss neutral sein)
Stand: 05.06.2024
BVerfG, Beschluss vom 15.02.2023 - 1 BvR 141/16
Das Bundesverfassungsgericht hat mehrere Verfassungsbeschwerden gegen die anlasslose Vorratsdatenspeicherung nicht zur Entscheidung angenommen, da ihnen nach einem Urteil des Europäischen Gerichtshofs vom September 2022 (EuGH Urteil zur Vorratsdatenspeicherung) das Rechtsschutzbedürfnis fehlt. Die Beschwerdeführer hatten die Regelungen zur Vorratsdatenspeicherung als Verstoß gegen die Telekommunikationsfreiheit, das Recht auf informationelle Selbstbestimmung und die Berufsfreiheit angesehen. Das Bundesverwaltungsgericht hatte das Verfahren ausgesetzt und den EuGH angerufen, der die Vorratsdatenspeicherung als unionsrechtswidrig erklärt hatte. Eine gezielte und zeitlich begrenzte Speicherung der Daten ist nur bei einer ernsten Bedrohung für die nationale Sicherheit möglich. Nach dem Urteil sind noch drei weitere Verfassungsbeschwerden gegen die Vorratsdatenspeicherung anhängig. Mehr Informationen zu dem Thema Vorratsdatenspeicherung finden Sie hier.
Stand: 19.04.2023
Was steht im EUGH-Urteil vom 30.03.2023?
Am 30.03. hat der EuGH in der Rechtssache C-34/21 entschieden, dass die Regelungen des § 23 Hessisches Datenschutz- und Informationsfreiheitsgesetz keine spezifischere Vorschriften i.S.d. Art. 88 Abs. 1 und 2 DSGVO sind und daher den Anforderungen der DSGVO nicht genügen. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat dazu Stellung bezogen und in diesem Kontext erwähnt, dass auch die gleichlautende Regelung des § 26 BDSG aufgrund dieser Entscheidung wohl nicht länger als Rechtsgrundlage für Datenverarbeitung im Beschäftigtenkontext angesehen werden kann. Er empfiehlt jetzt Einzelfallprüfungen zu den individuellen Verarbeitungstätigkeiten auf alternative Rechtsgrundlagen und den vermehrten Einsatz von Kollektivvereinbarungen (Dienst- bzw. Betriebsvereinbarungen).
Fazit
• Rechtsgrundlage für die Datenverarbeitung im Mitarbeiterdatenschutz muss immer Art. 6 DSGVO sein (in den meisten Fällen wohl Art. 6 Abs. 1 lit. b) DSGVO).
--> § 26 BDSG dient somit nicht als valide Rechtsgrundlage, da die Regelungen der DSGVO denen im BDSG vorgehen.
--> Unterlagen (Verzeichnisse, Verträge, Abwägungen, etc.) anpassen
Stand: 19.04.2023
Bei dienstlichen Fahrzeugen muss der Arbeitgeber regelmäßig die Führerscheine der Fahrer überprüfen, ob sie berechtigt sind, das Dienstfahrzeug zu führen. Damit nicht bei jeder Dienstfahrt individuell der Führerscheinstatus eines Mitarbeiters überprüft werden muss, können die Informationen, dass der jeweilige Mitarbeiter über einen gültigen Führerschein verfügt, in einem zentralen dafür vorgesehenen System gespeichert und verwaltet werden.
Bei der Speicherung von personenbezogenen Daten gibt es immer das Prinzip der Datenminimierung nach Art. 25 DSGVO zu berücksichtigen, d.h., dass nur Daten gespeichert werden dürfen, die zwingend notwendig sind.
Daher muss bei jeder „zusätzlichen“ Information abgewogen werden, ob die Speicherung zwingend erforderlich ist:
• Das Geburtsdatum kann dahingehend relevant sein, ob der Fahrzeughalter aus versicherungstechnischen Gründen bspw. mindestens 25 Jahre alt sein muss, um beim Schadenfall ordnungsgemäß versichert zu sein
• Die Führerscheinklasse kann relevant sein, wenn sich im Dienstfahrzeug-Pool neben gewöhnlichen PKW bspw. auch Kleintransporter verfügbar sind, wofür eine spezielle Führerscheinklasse vorgewiesen werden muss
--> Einzelfallentscheidung, welche Daten zwingend benötigt werden und welche Daten „zu viel“ sind.
Stand: 29.03.2023
Kläger ist RW. RW verlangte von der Österreichischen Post Auskunft gemäß Art. 15 DSGVO, welche personenbezogenen Daten über ihn gespeichert und an wen diese Daten in der Vergangenheit ggf. weitergegeben wurden. Die Weitergabe beschränkte sich laut der Österreichischen Post auf die rechtlich zulässigen Zwecke.
Die konkreten Empfänger seiner Daten wurden RW nicht namentlich mitgeteilt. Daraufhin wurde von RW Klage erhoben, da RW erfahren wollte, wer genau seine personenbezogenen Daten erhalten habe. Die Post teilte RW nur die Kategorien der Empfänger mit, welche die personenbezogenen Daten von der Post für Marketingzwecke erhalten hatten. Das Gericht wies die Klage von RW ab, da Art 15 Abs. 1 c) lediglich die Auskunft auf „Empfänger oder Kategorien von Empfängern“ regle und diese Kategorien von der Post ordnungsgemäß mitgeteilt wurden.
Dagegen legte RW Revision ein.
Das Gericht hatte nun zu entscheiden, wie der Wortlaut „Empfänger oder Kategorien von Empfängern“ der DSGVO aus Art. 15 Abs. 1 c) auszulegen sei. Der Wortlaut sei nicht eindeutig und spricht eher dafür, dass der Absatz so ausgelegt werden kann, dass der Betroffenen die Wahl habe, ob er nur Auskunft über die Kategorien oder auch den konkreten Empfänger erhalten wolle. Wenn es im Ermessen der Verantwortlichen läge, dass diese frei darüber entscheiden könnten, ob sie Auskunft über die konkreten Empfänger oder lediglich die Kategorien erteilen, wäre es vermutlich für die Betroffenen fast unmöglich, jemals Auskunft über die konkreten Empfänger zu bekommen, was wiederrum das Recht auf Auskunft enorm einschränken würde. Zudem ist zu beachten, dass Art. 15 Abs. 1 c) sowohl für aktuelle Datenverarbeitungen als auch für in der Vergangenheit verarbeitete personenbezogene Daten Anwendung findet. Daraufhin wurde das laufende Verfahren von RW gegen die Österreichische Post vom Obersten Gerichtshof ausgesetzt. Folgende Vorlagefrage musste vorab vom Gerichtshof entschieden werden:
"Ist Art. 15 Abs. 1 lit. c DSGVO dahin gehend auszulegen, dass sich der Anspruch auf die Auskunft über Empfängerkategorien beschränkt, wenn konkrete Empfänger bei geplanten Offenlegungen noch nicht feststehen, der Auskunftsanspruch sich aber zwingend auch auf Empfänger dieser Offenlegungen erstrecken muss, wenn Daten bereits offengelegt worden sind?"
Die Vorlagefrage sollte klären, ob Betroffenen die konkrete Identität der Empfänger mitgeteilt werden müsse. Da Empfänger und Kategorien im Gesetzestext der DSGVO nebeneinander aufgeführt werden, bestehe kein vorrangiges Verhältnis. Laut Erwägungsgrund 63 kann das Recht auf Auskunft nicht auf die Kategorien beschränkt werden. Die Verarbeitung personenbezogener Daten muss laut Art 5 Abs 1 a) immer den Grundsatz der Transparenz berücksichtigen, d.h. dass die Informationen über die Datenverarbeitung für natürliche Personen verständlich und leicht zugänglich sein müssen. Der Verantwortliche sei daher in der Pflicht, Betroffenen Auskunft zugunsten der betroffenen Person zu erteilen. Betroffenen muss ermöglicht werden, die Richtigkeit sowie Rechtmäßigkeit der Verarbeitung überprüfen zu können und ggf. Berichtigung/Löschung/Widerruf zu beantragen oder Rechtsbehelf einzulegen. Um eine Gewährleistung dieser Rechte sicherzustellen, ist eine Auskunft über konkrete Empfänger unabdingbar, was wiederrum durch Art. 19 DSGVO konkretisiert wird, sofern der Antrag auf Auskunft entsprechend begründet werden kann und verhältnismäßig sei.
Jahresbericht der Berliner Beauftragten für Datenschutz und Informationsfreiheit aus dem Jahr 2020:
Ein Bankkunde verlangte Auskunft, an wen seine personenbezogenen Daten weitergegeben wurde. Die Bank teilte daraufhin dem Betroffenen lediglich die Kategorien der Empfänger, nicht aber die konkreten Empfänger selbst mit. Der Betroffene hat sich daraufhin bei der Aufsichtsbehörde beschwert und darauf bestanden, dass die Bank die konkreten Empfänger mitzuteilen habe. Die Aufsichtsbehörde vertritt ebenfalls die Meinung, dass die Bank nicht die Wahl haben dürfe, ob sie der betroffenen Person lediglich die Kategorien oder den konkreten Empfänger mitteilen wolle. Die Aufsichtsbehörde bestätigte, dass der Bankkunde ein Recht darauf habe, die konkreten Empfänger zu erfahren, um die Rechtmäßigkeit der Verarbeitung seiner personenbezogenen Daten überprüfen zu können.
Art. 13 DSGVO - Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
(1)Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:
e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
Art. 15 DSGVO - Auskunftsrecht der betroffenen Person
(1)Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
„gegebenenfalls“ = wenn der betreffende Fall eintritt. (Gola/Heckmann/Franck DS-GVO Art. 13 Rn. 16-20: „ lit. e entfällt, wenn geplantermaßen keine Datenweitergabe stattfindet. Hierauf muss nicht gesondert hingewiesen werden.“)
Das bedeutet: Wenn es Empfänger gibt, die personenbezogene Daten erhalten, dann müssen sie der betroffenen Person im Rahmen der Information nach Art. 13 DSGVO mitgeteilt werden. Wenn die Empfänger zum Zeitpunkt der Erhebung der Daten (noch) nicht bekannt sind, können auch nur die Kategorien von Empfängern mitgeteilt werden.
Stand: 26.04.2023
Direkt aus DSGVO in ihrem Wortlaut ergibt seine keine Verpflichtung, einen Datenschutz-Koordinator zu bestellen. Aus der Verpflichtung des Accountability-Prinzips (jederzeitige Verpflichtung einen Rechenschaftsbericht zum Nachweis der Einhaltung aller datenschutzrechtlichen Normen abzuliefern) ergibt sich u.a. aus Art 24 DSGVO (= eine Compliance-Anforderung). Bei besonders großen Unternehmen (insbesondere auch in Konzernstrukturen) kann eine solche Anforderung durch eine Position des Datenschutz-Koordinators erfüllt werden. Der Datenschutz-Koordinator wird in erster Linie als Verbindungsglied verschiedener Abteilungen (ggf. sogar Unternehmen) hinsichtlich datenschutzrechtlicher Fragen verstanden. Er ist v.a. auch zur Dokumentation datenschutzrechtlicher Fragen verpflichtet und der Aufbereitung der gesetzlichen Vorgaben in der Form, dass ein jederzeitiger Nachweis gegenüber der Aufsichtsbehörden möglich ist.
Eine Meldung ist weder notwendig, noch möglich. Wenn aber ein Datenschutz-Koordinator bestellt ist, sollte auch seine Vertretung geregelt sein, wie bei jeder wichtigen Position in einem Unternehmen.
Informationen entnommen aus Beck Online (Jung, Alexander: Datenschutz-(Compliance-)Management-Systeme – Nachweis- und ZD 2018, Rechenschaftspflichten nach der DS-GVO)
Der Datenschutzkoordinator dient als Anlaufstelle für den Datenschutzbeauftragten, um Prozesse im Unternehmen etablieren zu können, oder auch Informationen über Unternehmensprozesse einzuholen.
Eine enge Verbindung des Datenschutzkoordinators zur Geschäftsleitung ist aus unserer Sicht durchaus sinnvoll, sofern die Position des Datenschutzbeauftragen unabhängig besetzt ist, um Interessenskollisionen zu vermeiden.
Stand: 25.04.2023
Tracking Tools dienen der individuellen Auswertung von Nutzerdaten
--> Nutzer werden identifiziert, Nutzungsverhalten wird nachverfolgt und Nutzer wird identifiziert, um bspw. zielgruppenorientierte Werbung auszuspielen
--> Datenschutzrechtliche Einwilligung des Nutzers immer nötig (über Cookie-Banner), da personenbezogene Daten verarbeitet werden (Profilbildung)
-->Tracking-Tools konnten früher auch unter bestimmten Umständen auf das berechtigte Interesse des Website-Betreibers gestützt werden (Erwägungsgrund 47 S. 7 DSGVO),
--> Heute ist zwingend zudem eine Einwilligung nötig nach § 25 TDDDG.
Analyse Tools dienen statistischer Auswertung
• einer Nutzergruppe
• oder eines individuellen Nutzers,, "(z.B.) z.B. werden in der herkömmlichen Einsatzvariante von Google Analytics dem Nutzerrechner, der die Webseite aufsucht, einzigartige Kennungen (ID) zugeteilt. Die IDs befinden sich in Cookies, die beim Aufsuchen der Webseite in den Browser des Nutzerrechners gesetzt werden. Mit Hilfe der IDs wird der einzelne Nutzerrechner von anderen Rechnern unterschieden, die die Webseite aufsuchen.“,
vgl. LDA Bayern
--> Zweck: Marktforschung, Verbesserung der Website-Leistung;
--> Datenschutzrechtliche Einwilligung früher umstritten, da ggf. ein berechtigtes Interesse des Webseiten-Betreibers gegeben sein konnte, die Präferenzen der Nutzer zu kennen, um die Website entsprechend zu optimieren (Art. 6 Abs. 1 lit. f DSGVO).
--> Heute: In jedem Fall Einwilligung nach § 25 TTDDDG; zahlreiche Tools werden zudem als unzulässig nach Art. 44 DSGVO eingestuft.
Stand: 05.06.2024
Wird in einem Unternehmen ein WLAN für Gäste angeboten, müssen dem Gast-Nutzer die Nutzungsbedingungen zur Verfügung gestellt werden. Erst nach Akzeptieren der Nutzungsbedingungen darf der Zugang zum WLAN aktiviert werden, da beim Einloggen in das WLAN eine Verarbeitung personenbezogener Daten sattfindet.
Ein Akzeptieren durch Setzen eines Hakens reicht als Einwilligung aus.
Beispiel: „Ich akzeptiere die Nutzungsbedingungen“ –> Nutzungsbedingungen verlinken
Zusätzlich sind Datenschutz-Hinweise zu geben, die bei Nutzung eines Log-In Screens mit Speicherung der Endgeräte (z.B. MAC-Adresse) zur Geräteverwaltung den Datenschutz beachtet und in der Datenschutzerklärung aufgelistet werden:
Stand: 15.03.2023
Urteil des VG Ansbach (14. Kammer) vom 02.11.2022 – AN 14 K 22.468
Kläger ist ein Radfahrer, der regelmäßig beim Radfahren falsch geparkte Fahrzeuge fotografiert. Diese Bilder schickt er per Mail an die Polizei. Insgesamt handelt es sich im vorliegendem Fall um sechs E-Mails, in denen zwölf Fotos von Falschparkern vom Radfahrer an die Polizei weitergeleitet werden und Anzeige einer Ordnungswidrigkeit erstattet wird. Auf den Fotos sind die falsch geparkten Autos mit ihren KFZ-Kennzeichen abgebildet. Weitere personenbezogene Daten sind auf den Bildern nicht zu sehen. In den Mails wird jeweils noch die Marke sowie der Fahrzeugtyp, der Ort und die Zeit des Falschparkens sowie auf das Kennzeichen verwiesen. Bei den insgesamt sechs Anzeigen, wird u.a. auch ein Fahrzeug zweimal an unterschiedlichen Tagen angezeigt. Da es sich aus Sicht der zuständigen Polizeiinspektion hierbei um Massenanzeigen handelt, wird von der Polizei um eine Prüfung der Datenschutzaufsichtsbehörde wegen eines evtl. Verstoßes gegen die DSGVO gebeten. Daraufhin wird zwar kein Bußgeld der Aufsichtsbehörde an den Kläger verhängt, jedoch ein aufsichtliches Verfahren eingeleitet. Daraufhin wird der Kläger wegen eines Datenschutzverstoßes gegen die DSGVO verwarnt, da der Kläger kein berechtigtes Interesse hätte, die Daten zu verarbeiten nach Art. 6 Abs. 1 lit. f) DSGVO. Daraufhin wird vom Kläger eine Klage gegen diesen Bescheid erhoben. Das Gericht gibt dem Kläger Recht und hebt den Bescheid des Beklagten auf.
Der Kläger ist laut Art. 78 Abs. 1 DSGVO dazu berechtigt, gegen den Bescheid der Aufsichtsbehörde Klage einzulegen. Mit der Übersendung der Fotos an die Polizei habe der Kläger nicht gegen das Datenschutzrecht verstoßen. Zwar ist der Anwendungsbereich der DSGVO eröffnet, da es sich bei KFZ-Kennzeichen um personenbezogene Daten handelt, jedoch ist die Verarbeitung seitens des Klägers rechtmäßig. Der Kläger hat die personenbezogenen Daten lediglich an die Polizei als zuständige Behörde im Rahmen der Anzeige einer Ordnungswidrigkeit im Sinne des Erwägungsgrundes 50 DSGVO weitergeleitet, was ein berechtigen Interesse gemäß Art. 6 Abs. 1 f) DS-GVO rechtfertigt, selbst wenn keine persönliche Betroffenheit des Radfahrers vorliegt. Es ist daher aus Sicht des Gerichts nicht von Relevanz, ob der Kläger Fotos als Beweismittel zur Anzeigenerstattung verwendet, oder ob er die Verstöße mit den Nennung der personenbezogenen Daten (KFZ-Kennzeichen) lediglich telefonisch an die Polizei übermittelt. Die Anfertigung eines Lichtbilds zur Anzeige der Ordnungswidrigkeit ist daher aus Sicht des Gerichts zulässig und stellt keinen Verstoß gegen die DSGVO dar.
Stand: 15.03.2023
Ausführliche Informationen zum Thema IP-Adressen finden Sie in unserem Blog.
Videokamera-Attrappen brauchen keinen datenschutzrechtlichen Hinweis, da weder personenbezogenen Daten verarbeitet werden noch eine Aufzeichnung sattfindet. Der Anwendungsbereich der DSGVO als auch des BDSG ist daher nicht eröffnet.
Jedoch dürfen auch ohne der tatsächlichen Überwachungsfunktion nicht wahllos Videokamera-Attrappen in Miethäusern angeracht werden, da dadurch das Verhalten der Mieter bewusst beeinflusst werden kann (Überwachungsdruck) und mit einer suggerierten Überwachung ein Eingriff in das allgemeine Persönlichkeitsrecht stattfindet.
Rechtsprechung zum Thema Persönlichkeitsrecht: Bundesgerichtshof, Urt. V. 16.03.10 – Az. VI ZR 176/09
Ein Anbringen von „fingierten“ Datenschutzinformationen an Videoüberwachungs-Attrappen ist irreführend und damit nicht zulässig.
Stand: 15.03.2023
Zunächst muss sichergestellt sein, dass es eine Rechtsgrundlage gibt, auf deren Basis der potenzielle Kunde angerufen werden kann. DSGVO-rechtlich könnte das die Vertragsanbahnung sein, Art. 6 Abs. 1 lit. b) DSGVO.
UWG-rechtlich braucht man eine ausdrückliche Einwilligung für die Kontaktaufnahme bei Verbrauchern und eine mutmaßliche Einwilligung bei einem sonstigen Marktteilnehmer, vgl. § 7 Abs. 2 Ziff. 1 UWG.
Wenn demnach eine Erlaubnis zur Kontaktaufnahme besteht, ist folgendes weiter zu beachten:
Wenn Sie versuchen, den Kunden telefonisch zu erreichen und nur auf einen Anrufbeantworter sprechen können, sollten Sie vorsichtig sein, was Sie als Nachricht hinterlassen. Vermeiden Sie es, personenbezogenen Informationen bzw. sensible Details zu Gesundheitsdaten hinterlassen werden, sofern nicht sichergestellt werden kann, dass ausschließlich die betroffene Person Zugang zu den Nachrichten auf diesem AB hat. Anders verhält es sich, wenn eine ausdrückliche Einwilligung der betroffenen Person vorliegt, dass jegliche Nachrichten am AB hinterlassen werden dürfen.
Liegt keine gesonderte Einwilligung vor, ist es am besten, eine kurze Nachricht zu hinterlassen, in der Sie um einen Rückruf bitten, ohne weitere Details zu nennen.
Anders dürfte sich die Situation verhalten, wenn es sich um die Mailbox der Person handelt, die angerufen wurde, wenn sich die Mailbox mit Namen meldet. Hier ist unserer Ansicht nach davon auszugehen, dass nur diese Person Zugriff auf die Mailbox hat. Doch auch hier gilt der Grundsatz der Datensparsamkeit:
so wenig Informationen wie möglich geben und Rückrufbitte mit Erreichbarkeit hinterlassen.
Stand: 08.03.2023
Ordnungswidrigkeiten sind typischerweise geringfügigere Rechtsverletzungen im Vergleich zu Straftaten. Anders als bei Straftaten können die Konsequenzen nur Geldbußen sein, nicht jedoch Freiheitsstrafen. Ordnungswidrigkeiten werden von Behörden verfolgt, wegen Straftaten kann man nur durch ein Gericht verurteilt werden, hier wird durch Polizei und Staatsanwaltschaft ermittelt.
Der deutsche Gesetzgeber hat mit § 4 Abs. 3 BDSG eine Regelung erschaffen, die die Verarbeitung zum Zwecke der Gefahrenabwehr oder Strafverfolgung explizit normiert, auch wenn das ursprünglich noch nicht vom Zweck der Verarbeitung umfasst war. Damit dürfen Verantwortliche beispielsweise Daten, die von Videoüberwachungskameras in Kaufhäusern, an Geldautomaten oder im öffentlich zugänglichen Gelände, wie Parkplätze, erhoben werden, für diese Zwecke herausgeben.
Gola/Heckmann/Starnecker, 3. Aufl. 2022, BDSG § 4 Rn. 61-63 schreibt dazu: Die Möglichkeit der Weiterverarbeitung nach Abs. 3 S. 3 stellt einen Fall der Zweckänderung dar. Sie ist zulässig, wenn dies zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist. Diese Ausnahme vom Zweckbindungsgrundsatz stützt sich auf die Spezifizierungsklausel in Art. 6 Abs. 4 iVm Art. 23 DS-GVO. Entgegen einer in der Literatur vertretenen Meinung ist die Vorgabe zur Zweckänderung nicht unionsrechtswidrig, weil der nationale Gesetzgeber den Wortlaut („nur“) abschließend gestaltet hat. Vielmehr ist die Norm insoweit europarechtskonform auszulegen, dass daneben auf Grundlage anderer gesetzlicher Grundlagen oder auch einer Einwilligung, wie in Art. 6 Abs. 4 DS-GVO vorgesehen, eine Verarbeitung möglich sein soll.
Nach dieser Definition braucht es also einen Fall der Gefahrenabwehr. Die Abwehr von Gefahren für die staatliche und öffentliche Sicherheit ist in verschiedenen Gesetzen geregelt. Eine allgemeine Definition kann jedoch aus dem Polizeirecht abgeleitet werden.
Nach § 1 des Polizeigesetzes (PolG) der meisten Bundesländer dient die Polizei dem Schutz von Leben, Gesundheit, Freiheit, Eigentum und anderen Rechtsgütern. Die Polizei hat demnach die Aufgabe, Gefahren für diese Rechtsgüter abzuwehren.
§ 2 PolG definiert, welche Maßnahmen die Polizei ergreifen darf, um diese Aufgabe zu erfüllen. Dazu zählen insbesondere die Identitätsfeststellung, die Ingewahrsamnahme, die Durchsuchung, die Beschlagnahme und die Durchführung von Kontrollen und Überwachungsmaßnahmen, vgl. hier
Es gilt zudem der Grundsatz der Verhältnismäßigkeit, vgl. hier
Im vorliegenden Fall müsste die Ordnungswidrigkeit also das Leben, die Gesundheit, die Freiheit, das Eigentum oder andere Rechtsgüter beeinträchtigen. Dann muss abgewogen werden, ob das informationelle Selbstbestimmungsrecht des Einzelnen überwiegen kann. In der Abwägung halten wir einen Fall des Taubenfütterns für keinen Fall, in dem die Polizei einschreiten wird. Eine Herausgaben der Daten an das Ordnungsamt ist gesetzlich nicht vorgesehen.
Stand: 08.03.2023
Der Grundsatz bei Werbung mit Telefonanrufen ist an § 7 Abs.2 UWG zu messen. Demnach ist eine unzumutbare Belästigung stets anzunehmen bei Werbung mit einem Telefonanruf gegenüber einem Verbraucher ohne dessen vorherige ausdrückliche Einwilligung oder gegenüber einem sonstigen Marktteilnehmer ohne dessen zumindest mutmaßliche Einwilligung.
Ein Werbeanruf liegt stets vor, wenn der Angerufene zum Eingehen, zur Fortsetzung, zur Wiederaufnahme, zur Änderung oder zur Erweiterung eines Vertragsverhältnisses bestimmt werden soll (Köhler/Bornkamm/Feddersen/ Köhler Rn. 130), aus Ohly/Sosnitza/Ohly, 8. Aufl. 2023, UWG § 7 Rn. 60-62.
Werbung erfolgt erst ab dem Moment, in dem das Werbegespräch beginnt. Verwählt sich der Werbende oder erreicht er zunächst nicht die Person, die in den Anruf eingewilligt hat, so liegt noch kein Verstoß gegen § 7 II Nr. 1 vor, solange der Werbende sich nur entschuldigt oder um Weiterleitung bittet (OLG Köln MMR 2009, 860; jurisPK-UWG/Seichter Rn. 149), vgl. Ohly/Sosnitza/Ohly, 8. Aufl. 2023, UWG § 7 Rn. 60-62.
UWG-rechtlichen liegt also bei einem versehentlichen Anruf oder bei einem Nutzen einer veralteten Telefonnummer kein Verstoß vor.
Datenschutzrechtich ist ebenfalls kein Verstoß gegeben. Selbst wenn ein Unternehmen sich an alle Vorgaben hält (inklusive dem Grundsatz der Datensparsamkeit) ist es unmöglich einen Fall des „Verwählens“ oder das Anrufen einer veralteten Telefonnummer zu verhindern.
Für den Fall, dass der Anrufer eine veraltete Nummer gewählt hat, muss er die Daten im Anschluss korrigieren.
Stand: 08.03.2023
Wenn Namen von natürlichen Personen aufgenommen und verarbeitet werden, gelten grundsätzlich die allgemeinen Grundsätze der DSGVO, insbesondere also auch der Grundsatz des bestimmten Zwecks, der Datenminimierung und der Rechtmäßigkeit der Verarbeitung.
Vorliegend könnte als Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO in Frage kommen. Bei Namen im Rahmen einer geschäftlichen Kooperation wird das unter normalen Umständen von Art. 6 Abs. 1 lit. f oder b DSGVO umfasst sein, denn einen konkreten Ansprechpartner zu haben, um ein Projekt oder einen Vertrag umzusetzen oder eine Besprechung durchzuführen, erscheint notwendig. Vor allem gilt das, wenn die Ansprechperson auf der Firmenwebseite selbst mit den gleichen Daten zu finden ist.
Fraglich ist, ob die Veröffentlichung des Namens des Ansprechpartners und Sichtbarkeit für Andere von der Rechtsgrundlage mitumfasst ist --> Einzelfallentscheidung!
Es könnte für Personen überraschend wirken, wenn ihr Namen „öffentlich“ verwendet wird.
Es gibt mehrere Möglichkeiten, diese rechtliche Einzelfallfrage systematisch zu umgehen:
1. Nur Namen der Firma verwenden, oder
2. Einwilligung des Mitarbeiters einholen, dass er mit seinem Vor-/Nachnamen angesprochen wird, oder
3. In den Vertrag mit dem Unternehmen aufnehmen, dass Zweck des Vertrags z.B. der Austausch in bestimmten Runden ist und man dazu die Mitarbeiter persönlich mit dem Vornamen oder Nachnamen ansprechen möchte.
Stand: 01.03.2023
Dienstliche E-Mail-Adressen sind personenbezogene Daten und daher jedenfalls schutzwürdig.
Passwörter selbst sind auch Informationen, die sich auf eine identifizierbare natürliche Person beziehen, wenn jeder sein Passwort selbst erstellt bzw. eines zugewiesen bekommt. Es handelt sich somit auch um personenbezogene Daten.
Durch hohe Verschlüsselungsstandards wird die Gefahr von Datenpannen verringert, sodass dies in Bezug auf die TOMs vorteilhaft ist. Die Natur der personenbezogenen Daten selbst ändert sich dadurch jedoch nicht. Die Verarbeitung unterliegt also grundsätzlich denselben Regeln, egal wie hoch der Verschlüsselungsgrad ist.
Keeper ist eines von vielen Produkten um die Datenverarbeitung und -aufbewahrung sicherer zu gestalten und spielt insofern eine Rolle bezüglich der TOMs --> Datensicherheitsthema.
Stand: 01.03.2023
Werden die dem Mitarbeiter nicht ausgestellt, genau damit das keine "privaten" Daten sind? Inwiefern ändert das eine Bewertung?
Grundsätzlich sind dienstliche E-Mailadressen personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO, denn es handelt sich um Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen.
§ 26 Abs. 1 S. 1 BDSG besagt, dass Beschäftigtendaten für den Zweck der Begründung, Durchführung und Beendigung des Arbeitsverhältnisses verarbeitet werden dürfen. Regelmäßig wird bei der Durchführung des Arbeitsverhältnisses die Weitergabe der dienstlichen E-Mail-Adresse mitumfasst sein, Art. 6 Abs. 1 lit b. DSGVO.
Ganz sicher ist man, wenn schriftlich vereinbart wird, dass dienstlich bedingte personenbezogene Daten (Telefon, E-Mail, Name, evtl. Berufsbezeichnung) auf der Webseite veröffentlicht werden.
Stand: 01.03.2023
Wie verhält es sich mit Statusanzeigen in Zeiterfassungssystemen, welche für jeden Mitarbeiter genau aufzeigen, ob man gerade anwesend, in der Pause oder schon im Feierabend ist?
„Aufzeichnungen über die Arbeitszeiten (…), die die Angabe der Uhrzeit, zu der ein Arbeitnehmer seinen Arbeitstag beginnt und beendet, sowie der Pausen bzw. der nicht in die Arbeitszeit fallenden Zeiten enthalten, fallen unter den Begriff personenbezogene Daten (…)“.
Grundsätzlich ist die Aufzeichnung der Arbeitszeit für die Durchführung des Beschäftigungsverhältnisses erforderlich im Rahmen des § 26 Abs. 1 BDSG. Die automatisierte Veröffentlichung dieser Daten in Echtzeit (auch innerhalb eines Unternehmens) dürfte aber dem Sparsamkeitsgrundsatz, sowie einer Zweckbindung widersprechen. Die Daten der Arbeitszeiterfassung sollten nicht zur umfangreichen Leistungs- und Verhaltenskontrolle oder zur Erstellung von Bewegungsprofilen verwendet werden können, vgl. auch Urteil BArbG, wonach eine Dauerüberwachung des Arbeitnehmers unzulässig ist (Bundesarbeitsgericht, Beschluss vom 26.8.2008, 1 ABR 16/07).
Gerade über Trackingsoftware am Computer können die Arbeitszeiten der Mitarbeitenden theoretisch ausgewertet werden à unzulässig (Ausnahme: Ein- und Ausstempeln mithilfe einer Zeiterfassungssoftware am PC oder an einem anderen Gerät).
Durch die Statusanzeige könnte nun die Arbeitszeit und –dauer kontrolliert werden.
Anders könnte es sich allerdings verhalten, wenn man den Status selbstständig einstellen kann. Dann kann jeder/jede selbstständig entscheiden, ob sie/er grade bekanntgeben möchte, dass man arbeitet oder Pause/Feierabend macht. Als freiwillige Angabe halten wir das für zulässig, sofern die Zeiten der „Anwesenheit“ bzw. „Nicht-Anwesenheit“ nicht ausgewertet werden.
• Die Statusanzeige sollte nur dem engsten möglichen Kreis angezeigt werden –und in keinem Fall nicht dem Unternehmen zugehörende Personen.
• Die Standardeinstellung sollte „inaktiv“ sein.
• Nur wer möchte kann freiwillig die Statusfunktion aktiv ändern.
Angenommen es gibt keinen Betriebsrat, wie sollte das Unternehmen hier vorgehen, um keinen Missmut/Ängste bei den Beschäftigten entstehen zu lassen. Welche rechtlichen Rahmenbedingungen sind zu beachten?
Antwort:
Bei Eintritt in das Arbeitsverhältnis sollten die Richtlinien des Unternehmens bezüglich der Statusanzeige klar kommuniziert werden. Egal, ob man sich für eine freiwillige Anzeige oder eine gemeinsame Vereinbarung (eine weitere Möglichkeit!) entscheidet. Für eine gemeinsame Vereinbarung gilt der Freiwilligkeitsvorbehalt des § 26 BDSG.
Stand: 01.03.2023
Weitere Frage: Dabei wird die IP-Adresse der Website ermittelt und folgende oberflächliche Analyse durchgeführt:
- Sicherheitslücken durch veraltete Patches
- Gefundene Malware könnte eine Gefahr für den Besuch der Website darstellen.
- Blacklist (ist die Domain als Spam klassifiziert)
Das Ergebnis würde ich dann dem Interessenten per Post zusenden.
Beim Prüfen der Webseite durch Anbieter wie „sitecheck“ werden personenbezogenen Daten verarbeitet, sodass dies grundsätzlich einer Rechtsgrundlage bedarf.
In Betracht kommt Art. 6 Abs. 1 lit. a. oder b DSGVO, wenn es sich um eine vorvertragliche Maßnahme oder eine Einwilligung nach handelt. Dazu bräuchte es aber ein OK, des Betroffenen, was bei einer Kaltakquise gerade nicht der Fall ist.
Es kommt also eigentlich nur eine Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO in Betracht.
Argumente dafür:
- es wird sich regelmäßig um dienstliche IP-Adressen handeln, die in der Abwägung weniger schwer wiegen.
- der Seitencheck kann von jeder Person weltweit durch Verwenden der Webseitenadresse durchgeführt werden.
Argumente dagegen:
- die Daten werden unter anderem zu Werbezwecken verwendet.
- Die Wertung des Art. 25 TDDDG spricht dagegen
Antwort: die Frage ist nicht datenschutzrechtlich, sondern wahrscheinlich UWG-rechtlich zu finden.
Stand: 05.06.2024
Vorab:
Sofern eine sichere Authentifizierung des Empfängers möglich ist, können arbeitsbezogene Informationen gegeben werden.
Dienstliche E-Mailadressen und Telefonnummern sind personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO, man braucht also eine Rechtsgrundlage für den Verarbeitungsvorgang. Sie dürfen demnach nur mit Einwilligung weitergegeben werden - oder wenn dies für die Durchführung des Arbeitsverhältnisses erforderlich ist.
Öffentlich zugängliche Daten können aus unserer Sicht am Telefon immer weitergegeben werden. Das sind insbesondere Informationen aus der Unternehmenswebseite.
Zusammengefasst:
• Zulässig: Öffentlich zugängliche Daten und für das Arbeitsverhältnis erforderliche Daten
• Bedingt zulässig: Dienstkontaktdaten von Mitarbeitern ohne Außenkontakt/Einwilligungsbedürftige Daten
• Verboten: Persönliche und sensible Daten, z.B. Information über Krankheit
Stand: 01.03.2023
Fallbeispiel:
Nehmen wir an, ein Betroffener möchte sein Recht aus Art. 17 DSGVO geltend machen. Um die Löschung nachzuweisen, wird ein Löschprotokoll erstellt. Dieses darf aber keine personenbezogenen Daten des Betroffenen enthalten. Wie könnten wir dem Betroffenen konkret nachweisen, dass seine Daten gelöscht wurden, ohne dabei hervorzuheben, dass wir weiterhin bestimmte personenbezogene Daten von Ihm speichern müssen, um unserer Rechenschaftspflicht gegenüber einer Behörde nachzukommen?
Auf dem Löschprotokoll sollte vermerkt sein, dass die Daten in Einklang mit Art. 17 Abs. 3 DSGVO gelöscht wurden. Zu Rechtspflichten im Sinne des Art. 17 Abs. 3 lit. b zählen insbesondere handels- oder steuerrechtliche Aufbewahrungspflichten, im deutschen Recht z.B. § 147 AO und § 257 HGB.
Ansonsten reicht der Hinweis, dass gelöscht wurde. Löschung bedeutet, dass künftig irreversibel verhindert wird, dass die Informationen in den Daten weiter genutzt werden können und dass dies auf allen Datenträgern des Verantwortlichen vorgenommen wurde. Zusätzlich sollte der Hinweis vermerkt sein, dass nach den gesetzlichen Vorgaben bestimmte Daten nach Art. 17 Abs. 3 DSGVO noch bis zum Ende der Aufbewahrungsfristen gespeichert bleiben.
Stand: 01.03.2023
Grundsätzlich ist ein Ombudsmann eine unparteiische Schiedsperson. Sie soll als neutraler Schlichter agieren. In
Manchmal werden spezielle Anforderungen an das Amt eines Ombudsmanns gestellt, z.B. die Befähigung für das Richteramt (zwei abgeschlossene juristische Staatsexamina) für den Versicherungsombudsmann.
Informationen zum Ombudsmannsystem
Das Hinweisgeberschutzgesetz (HinSchG), welches am 16.12.2022 zur Umsetzung der EU-Hinweisgeberschutzrichtline (RL 2019/1937) beschlossen wurde, wurde am 10.02.2023 vom Bundesrat blockiert. Wie also die genauen Anforderungen aussehen werden, lässt sich noch nicht endgültig sagen. Zur notwendigen Fachkunde steht bis dato im Gesetz:
§ 15
Unabhängige Tätigkeit; notwendige Fachkunde
(1) Die mit den Aufgaben einer internen Meldestelle beauftragten Personen sind bei der Ausübung ihrer Tätigkeit unabhängig. Sie dürfen neben ihrer Tätigkeit für die interne Meldestelle andere Aufgaben und Pflichten wahrnehmen. Es ist dabei sicherzustellen, dass derartige Aufgaben und Pflichten nicht zu Interessenkonflikten führen.
(2) Beschäftigungsgeber tragen dafür Sorge, dass die mit den Aufgaben einer internen Meldestelle beauftragten Personen über die notwendige Fachkunde verfügen. Ist der Beschäftigungsgeber der Bund oder ein Land, gilt Satz 1 für die jeweiligen Organisationseinheiten entsprechend.
Stand: 01.03.2023
Art. 4 DSGVO – Begriffsbestimmungen
“Im Sinne dieser Verordnung bezeichnet der Ausdruck:
1.„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;“
--> Neben den allgemein bekannten personenbezogenen Daten wie z.B. Name, Geburtsdatum oder Adresse ist auch die menschliche Stimme laut DSGVO ein personenbezogenes Datum
Stand: 15.02.2023
Konkretisierung der Fragestellung
Eine Betroffene erscheint geistig verwirrt. Sie wurde in der Vergangenheit via Amtsbeschluss betreut, der aber ausgelaufen ist. Nun hebt eine „gute Bekannte“ mit der Bankkarte und dem PIN der Betroffenen kontinuierlich Geld vom Giro ab. Der Bank erscheint dieses Vorgehen „unrund“, da auch keine Vollmacht und keine zweite Bankkarte vorliegt. Die Bank geht auf die Polizei zu und fragt nach Rat, ohne bis zu diesem Zeitraum pbD zu nennen. Die Polizei sieht Handlungsbedarf und bittet um Adressdaten der Person, die mittels der Bankkarte der Betroffenen kontinuierlich Geld abhebt. Die Bitte um personenbezogene Daten erfolgt mündlich, da Gefahr in Verzug.
Kann die Weitergabe der personenbezogenen Daten nach Art 6 Abs. 1 lit. f DSGVO gerechtfertigt sein, oder gibt es in der SPG eine Grundlage, wonach ich dann die Weitergabe auf den Art 6 Absatz 1 lit. c DSGVO begründen kann? Wird durch die Weitergabe das Bankgeheimnis verletzt und ist eine Information an die betroffene Person (möglicher Straftäter) überhaupt notwendig, da die Polizei ermitteln will.
Art. 6 Abs. 1 DSGVO:
Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a.Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b.die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c.die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d.die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e.die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
f.die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.
Zu Art. 6 Abs. 1 lit. c DSGVO:
Es braucht hier eine Rechtspflicht aus gesetzlichen Vorgaben;
Der DSGVO-Kommentar Gola/Heckmann, 3. Auflage 2022, Rz. 46 sagt dazu: „Auskunftsersuchen von Ermittlungsbehörden muss nur Folge geleistet werden, wenn ein Fall des § 163 Abs. 3 StPO vorliegt“. Das ist vorliegend nicht gegeben, da laut Sachverhalt gerade (noch) keine Vorladung als Zeuge gegeben ist.
Art. 6 Abs. 1 lit. f DSGVO:
Auslegung siehe u.a. Erwägungsgrund 47, Satz 6:
Die Verarbeitung personenbezogener Daten im für die Verhinderung von Betrug unbedingt erforderlichen Umfang stellt ebenfalls ein berechtigtes Interesse des jeweiligen Verantwortlichen dar. …
--> Art. 6 Abs. 1 lit. f DSGVO kann als Rechtsgrundlage der Verarbeitung der Daten angenommen werden, sofern die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen; dabei sind die vernünftigen Erwartungen der betroffenen Personen, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen. … vgl. Erwägungsgrund 47
§ 24 BDSG - Verarbeitung zu anderen Zwecken durch nichtöffentliche Stellen
(1) Die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, durch nichtöffentliche Stellen ist zulässig, wenn
1.sie zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist oder
2.sie zur Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche erforderlich ist,
sofern nicht die Interessen der betroffenen Person an dem Ausschluss der Verarbeitung überwiegen.
(2) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, ist zulässig, wenn die Voraussetzungen des Absatzes 1 und ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 oder nach § 22 vorliegen.
Mit der Norm soll es nichtöffentlichen Stellen auf Grundlage einer nationalen Vorschrift ermöglicht werden, Daten zu anderen Zwecken als zu denjenigen, zu denen die Daten erhoben wurden, zu verarbeiten. Unter den Voraussetzungen des § 24 kann die Weiterverarbeitung personenbezogener Daten durch die jeweilige nichtöffentliche Stelle auf die Rechtsgrundlage gestützt werden, und zwar unabhängig davon, ob der Sekundärzweck mit dem ursprünglichen Zweck kompatibel iSd Art. 6 Abs. 4 DSGVO ist, vgl. Gola/Heckmann/Heckmann/Scheurer BDSG § 24 Rn. 1, 2.
Die Kommentare zum BDSG gehen davon aus, dass der Tatbestand zurückhaltend ausgelegt werden muss und deshalb eine drohende Gefahr nicht ausreichend ist. „Vielmehr müssen konkrete Anhaltspunkte für eine Gefahr bzw. eine Straftat vorliegen, welche die Erforderlichkeit der Weiterverarbeitung zu anderen Zwecken begründen.“, vgl. Gola/Heckmann/Heckmann/Scheurer BDSG § 24 Rn. 11-13. Unzulässig wäre etwa die anlasslose Auswertung etwaiger Datenbestände auf Basis eines bloßen Verdachtsmoments, laut Taeger/Gabel/Rose BDSG § 24 Rn. 8.
Über § 24 Abs. 1 Ziff. 1 2. Alt lässt sich die Weitergabe der Adressdaten der betroffenen Person an die Polizei rechtfertigen, wenn konkrete Anhaltspunkte für eine Gefahr bzw. eine Straftat vorliegen.
Wir halten das im vorliegenden Fall für zweifelhaft. Grundsätzlich gilt, dass rein die Tatsache, dass eine andere Person mit der Bankkarte einer anderen Person Geld abhebt, nicht den Verdacht einer Straftat begründet. Es müssen weitere Umstände hinzukommen, wie z.B. längere Nichterreichbarkeit der Bankarteninhaberin, ein Betreuungsverhältnis, keine Kontovollmacht der abhebenden Person, etc.
Es muss sorgfältig abgewogen werden!
Stand: 15.02.2023
Alle Regelungen der DSGVO, die auch sonst gelten, wenn es um die Verarbeitung personenbezogener Daten geht. Dazu zählt insbesondere:
1.Verbot mit Erlaubnisvorbehalt
2. Zweckbegrenzung und Zweckbindung, Art. 5 Abs. 1 b) DS-GVO
3. Prinzip der Erforderlichkeit
4. Prinzip der Datensparsamkeit, Art. 5 Abs. 1 c) DS-GVO
5. Prinzip der Transparenz, Art. 5 Abs. 1 a) DS-GVO
6. Verbot automatisierter Entscheidungen einschließlich Profiling, Art. 22 DS-GVO
Ausführlich: Holthausen: Big Data, People Analytics, KI und Gestaltung von Betriebsvereinbarungen – Grund-, arbeits- und datenschutzrechtliche An- und Herausforderungen, RdA 2021, 19
Die Erzeugung und der Betrieb von KI-Modellen, etwa zur Bewertung von Kundenschreiben in Versicherungen oder zur Entscheidung, ob ein Auto eine Vollbremsung einleiten soll, sind mit Risiken verbunden. Die DSGVO zielt darauf ab, die Risiken für die Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten durch objektive Methoden zu bestimmen (Erwägungsgrund 76) und mit wirksamen Maßnahmen einzudämmen (Art. 25 und ggf. Art. 35 DSGVO). Verantwortliche und Auftragsverarbeiter müssen sich der spezifischen Risiken bewusst sein und diese im Sinne der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) dokumentieren. Bei der Durchführung einer Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO stehen die hohen Risiken von KI im Mittelpunkt.
In der Checkliste sind wichtige Punkte (S. 4ff) aufgelistet, die bei der Erstellung von KI-Modellen (ggf. auch im Rahmen der Kontrolltätigkeit durch den Datenschutzbeauftragten) überprüft werden sollten.
Stand: 03.07.2024
Art. 35 Abs. 1 DSGVO:
Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.
Art. 35 Abs. 4 DSGVO:
Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde übermittelt diese Listen dem in Artikel 68 genannten Ausschuss.
Datenschutzkonferenz hierzu:
Ob eine DSFA durchzuführen ist, ergibt sich aus einer Abschätzung der Risiken der Verarbeitungsvorgänge („Schwellwertanalyse“). Ergibt diese ein voraussichtlich hohes Risiko, dann ist eine DSFA durchzuführen. Wird festgestellt, dass der Verarbeitungsvorgang kein hohes Risiko aufweist, dann ist eine DSFA nicht zwingend erforderlich. In jedem Fall ist die Entscheidung über die Durchführung oder Nichtdurchführung der DSFA mit Angabe der maßgeblichen Gründe für den konkreten Verarbeitungsvorgang schriftlich zu dokumentieren.
Ja.
Die Datenschutzkonferenz sagt dazu: In jedem Fall ist die Entscheidung über die Durchführung oder Nichtdurchführung der DSFA mit Angabe der maßgeblichen Gründe für den konkreten Verarbeitungsvorgang schriftlich zu dokumentieren, vgl. Ausführungen der Datenschutzkonferenz
Hier weitere Hinweise zur Schwellenwertanalyse
Stand: 08.02.2023
Bei Überschneidungen des TDDDG und der DSGVO ist das TDDDG als spezielleres Gesetz punktuell vorrangig, z.B. beim Fernmeldegeheimnis oder dem Verbot von Cookies ohne Einwilligung. Die allgemeinen Vorschriften der DSGVO gelten aber immer zusätzlich, sodass z.B. der Grundsatz der Transparenz und Rechtmäßigkeit durch Angabe der richtigen Gesetzesgrundlage weiter beachtet werden muss.
Wenn im Rahmen eines Telemedienangebotes Prozesse stattfinden, die sowohl unter das TDDDG als auch unter die DSGVO fallen, ist über die beiden Rechtsgrundlagen jeweils separat zu informieren.
Wenn das TDDDG spezielle Vorschriften angibt, sind diese zu zitieren. Wenn parallel TDDDG und DSGVO gelten, muss das bisherige Zitat aus der DSGVO durch das TDDDG Normzitat ergänzt werden.
Sämtliche Regelungen zum Datenschutz, die früher im TKG und DDG standen, wurden durch das TDDDG abgelöst. Hier muss also das Gesetzeszitat angepasst werden.
Wo muss das Gesetzeszitat geändert werden?
In allen den Datenschutz betreffenden Dokumenten und Informationen im Zusammenhang mit Endeinrichtungen.
Nicht abschließende Liste:
• Cookie-Banner,
• Datenschutzerklärungen,
• AV-Verträgen,
• Kundenverträge,
• AGB,
• Impressum,
• etc.
Stand: 05.06.2024
Im Verzeichnis für Verarbeitungstätigkeiten (Art. 30 DSGVO) müssen alle Tätigkeiten aufgelistet werden, bei denen personenbezogene Daten verarbeitet werden. Folgende Informationen müssen angegeben werden:
· Name und Kontaktdaten des Verantwortlichen
· Zweck der Verarbeitung
· Kategorien der betroffenen Personen (z.B. Kunden, Mitarbeiter, Bewerber)
· Kategorien von personenbezogenen Daten (z.B. Namen, Adressen, Geburtsdaten, Kontaktdaten)
· Empfänger oder Kategorien von Empfängern, denen die Daten offengelegt werden
· Übermittlungen von Daten in Drittländer (falls vorhanden)
· geplante Dauer der Speicherung
· Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen
• Kunden (Name, Adresse, E-Mail-Adresse, Bestellhistorie) zur Abwicklung von Bestellungen
• Mitarbeiter (Name, Adresse, Bankverbindung, Lebenslauf, Zeugnisse) für die Personalverwaltung
• Bewerber (Name, Adresse, Lebenslauf, Zeugnisse) für die Durchführung des Bewerbungsverfahrens
• Nutzer (IP-Adresse, Verhaltensdaten) zur Verbesserung der Website-Nutzung.
· Kontaktdaten: Name, Adresse, Telefonnummer, E-Mail-Adresse
· Persönliche Daten: Alter, Geschlecht, Geburtsdatum, Familienstand
· Finanzielle Informationen: Bankverbindung, Gehalt, Steuerdaten
· Arbeitsdaten: Stellennummer, Gehaltsdaten, Arbeitszeiten
· Gesundheitsdaten: Krankenakte, Untersuchungsergebnisse
· Bild- und Tonaufnahmen: Fotos, Videos, Audiomitschnitte
· Online-Daten: IP-Adresse, Verhaltensdaten, Suchanfragen
· Standortdaten: GPS-Daten, Informationen über bevorzugte Orte
Stand: 01.02.2023
Nach Wikipedia ist OpenStreetMap (OSM) ein freies Projekt, das frei nutzbare Geodaten sammelt, strukturiert und für die Nutzung durch jedermann in einer Datenbank vorhält (Open Data). Diese Daten stehen unter einer freien Lizenz, der Open Database License. Kern des Projekts ist also eine offen zugängliche Datenbank aller beigetragenen Geoinformationen, vgl. Wikipedia.
OpenStreetMap (OSM) kann nicht ohne Weiteres datenschutzkonform eingesetzt werden, denn auf der Plug-in-zugehörigen Webseite sind die Datenschutzvoraussetzungen nicht erfüllt.
Folgende zusätzlichen Voraussetzungen müssen vorliegen:
• Nutzer-Einwilligung über Cookie-Banner,
• bessere Datenschutzerklärung,
• AV-Vertrag mit OSM an sich notwendig (momentan kein Verweis auf deren Webseite)
• Viele Informationen dazu auf der Website
OpenStreetMap ist (anders als Google) noch nicht in Verruf geraten und hat durch den Sitz außerhalb der USA (Großbritannien), sowie eine deutlich geringere Erhebung von Daten (nur IP-Adresse) augenscheinlich datenschutzrechtliche Vorteile.
Eine datenschutzkonforme Einbindung ist aber auch hier aufwendig und im Einzelfall zu prüfen. Durch die offene Datenbasis und der Tatsache, dass kein kommerzielles Unternehmen hinter OSM steht, gibt es bislang auch keine vorgefertigten AV-Verträge. OSM hat aber die Chance, sich als datenschutzkonforme Alternative zu etablieren.
Ob die Gerichte die Verwendung von OSM als datenschutzkonform bezeichnen würden, ist unklar. Bei Google Maps dürfte ohne Einwilligung und die anderen datenschutzrechtlichen Voraussetzungen keine Datenschutzkonformität gegeben sein.
Urheberrecht und Lizenz von Open Street Map
„Es steht dir frei unsere Daten zu kopieren, weiterzugeben, zu übermitteln sowie anzupassen, sofern du OpenStreetMap und die Mitwirkenden als Quelle angibst. Für den Fall, dass du auf Basis unserer Daten Anpassungen vornimmst, oder sie als Grundlage für weitere Bearbeitungen verwendest, kannst du das Ergebnis auch nur gemäß der selben Lizenz weitergeben.
Wie auf die Urheberschaft von OpenStreetMap hinzuweisen ist
Wenn du OpenStreetMap-Daten verwendest, musst du die folgenden zwei Bedingungen erfüllen:
•Nenne OpenStreetMap, indem du unseren Urheberrechtshinweis anzeigst.
•Mache deutlich, dass die Daten unter der Open-Database-Lizenz verfügbar sind.“
--> Unter Berücksichtigung der Bedingungen laut Lizenzvereinbarung darf somit ein Screenshot verwendet werden
Dürfen Kartenausschnitte von Openstreetmap, die über einen Tile Server abgerufen werden, ohne Einwilligung der Besucher einer Website verwendet werden?
Es gibt bisher keine spezifische Rechtsprechung zum Datenschutz bei OpenStreetMap. Da durch die Einbindung der Karten personenbezogene Daten übermittelt werden, müssen Webseitenbetreiber in ihrer Datenschutzerklärung darüber informieren. Das Landgericht Hamburg (Az. 312 O 127/16 und 406 HKO 120/16) hat entschieden, dass Webseitenbetreiber bei der Nutzung von Analysediensten wie Google Analytics in ihrer Datenschutzerklärung informieren müssen, was auch analog auf OpenStreetMap angewendet werden könnte. Webseitenbetreiber müssen somit offenlegen, wie, warum und in welchem Umfang Daten erhoben und an OpenStreetMap gesendet werden, um den deutschen Datenschutzanforderungen zu entsprechen.
OpenStreetMap ermöglicht den Betrieb eines eigenen Tile Servers, der stets mit aktuellen Daten versorgt wird und über eine Javascript-Logik angesteuert wird. Dies ist für Unternehmen die datenschutzfreundlichste Methode, um OpenStreetMap-Karten zu verwenden, jedoch gilt die Installation als technisch anspruchsvoll. Wird die Installation jedoch korrekt vorgenommen, sollte die Webseite auch ohne explizite Einwilligung der Websitenutzer auskommen, da hierbei dann kein Datentransfer zu Dritten stattfindet und deshalb auch keine Einwilligung der Nutzer eingeholt werden muss.
Stand: 17.07.2024
Art. 78 DSGVO:
Jede natürliche oder juristische Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde.
Das heißt:
• Gegen einen Verwaltungsakt: Anfechtungsklage iSv § 42 Abs. 1 Alt. 1 VwGO
• Gegen einen von der Aufsichtsbehörde erlassenen Bußgeldbescheid: Einspruch nach §§ 67 ff. OWiG und danach gerichtlich.
Stand: 25.01.2023
Allgemein
Der Rechtsweg ist der Weg, auf dem bei einer Gerichtsbarkeit um Rechtsschutz nachgesucht werden kann. Man unterscheidet vor allem zwei große Rechtswege: den
• ordentlichen Rechtsweg und den
• Verwaltungsrechtsweg .
• Eine Sonderstellung nimmt die Verfassungsgerichtsbarkeit ein. Nach Art. 47 GRCh sowie § 17a GVG muss garantiert werden, dass auch dieser Rechtsweg offensteht. Diese Rechtsweggarantie wird in Art. 78 Abs. 1 DS-GVO nochmals verdeutlicht. Dabei sind sowohl natürliche als auch juristische Personen erfasst, vgl. Art. 78 Abs. 1 DS-GVO.
Außergerichtlich
Die außergerichtlichen Möglichkeiten gehören strenggenommen nicht zum Rechtsweg, da der Rechtsbehelf nicht vor einem Gericht versucht wird durchzusetzen.
Der häufigste Fall von außergerichtlichen Rechtsmitteln sind Abmahnungen, oft verbunden mit Unterlassungserklärungen und sogenannte anwaltliche Forderungsschreiben. Oft wird hierdurch versucht einen gerichtlichen Prozess vorbereiten bzw. stellt eine Abmahnung oft einen Versuch dar, ein gerichtliches verfahren zu vermeiden.
Verwaltungsrecht:
Gemäß Art. 77, 78 der DSGVO besteht das Recht zur Beschwerde bei einer Aufsichtsbehörde, wenn der Verdacht besteht, dass die Verarbeitung personenbezogener Daten gegen die Datenschutz-Grundverordnung verstößt. Die Aufsichtsbehörde muss über den Stand und die Ergebnisse der Beschwerde und die Möglichkeit eines gerichtlichen Rechtsbehelfs informieren.
Möchte man sich hingegen gegen Maßnahmen einer Behörde wenden, so ist der Verwaltungsrechtsweg der einschlägige Rechtsweg, vgl. Art 78 Abs. 1, 2 DSGVO, § 20 Abs. 1 S. 1 BDSG. Dazu bedarf es einer „Außenwirkung“ irgendeiner Art. Es kann so also auch gegen das „Nichts-Handeln“ einer Behörde vorgegangen werden.
Zivilrecht:
Alle datenschutzrechtlichen Ansprüche der Betroffenen (Art. 12 ff. DSGVO) können auf dem Zivilrechtweg eingeklagt werden. Das heißt:
Auskunfts-/Unterlassungs-/Löschungs-/ Schadensersatzklagen sind hier vor den Zivilgerichten möglich
Sonderfall Unterlassungsansprüche aus UWG für Betroffene
Für Ansprüche nach dem Gesetz gegen den unlauteren Wettbewerb („UWG“) sind die Landgerichte ausschließlich zuständig (vgl. § 13 Abs. 1 UWG, 95 Abs. 1 Nr. 5 GVG). Streitig bis heute, ob Regelungen aus der DSGVO Marktverhaltensregel i.S.v. § 3a UWG darstellen.
Neben den Verstoß gegen die DSGVO braucht man hierzu zusätzlich einen Nachweis der Persönlichkeitsrechtsverletzung, denn die bloße verordnungswidrige Datenverarbeitung stellt keine Rechtsverletzung iSd. §§ 823 Abs. 1, 1004 Abs.1 S. 2 BGB analog dar (vgl. LG München, Urteil v. 7.11.2019, Az. 34 O 13123/19, Rn. 28 juris). Wenn allerdings mit der rechtswidrigen Verarbeitung zugleich eine Persönlichkeitsverletzung verbunden ist (z.B. Veröffentlichung von Fotos, Verbreitung unwahrer Tatsachen etc.), ist ein Unterlassungsanspruch vor den ordentlichen Gerichten gegenüber der verarbeitenden Stelle möglich.
Sonderkonstellation
Vorabentscheidungsverfahren
Wenn in einem der obigen gerichtlichen Verfahren die Auslegung einer Vorschrift der DSGVO in Frage steht, kann vor dem Instanzengericht ein Vorabentscheidungsverfahren vor dem EuGH angeregt werden (vgl. Art. 267 AEUV). Eine Vorlagepflicht besteht allerdings nur in letzter Instanz
Verfassungsbeschwerde
Nach Erschöpfung des ordentlichen Rechtswegs, besteht immer noch die Möglichkeit, eine Verfassungsbeschwerde vor dem Bundesverfassungsgericht zu erheben.
Stand: 25.01.2023
Es gibt hier eine zivilrechtliche, eine steuerrechtliche und eine datenschutzrechtliche Sicht.
Zivilrecht: Die Zivilgerichte lassen in aller Regel ausgedruckte Kopien eines zuvor digitalisierten Vertrages zu. Wenn aber die Echtheit einer Urkunde angezweifelt wird, sollte das Original vorgelegt werden können. Die freie Beweiswürdigung nach §§ 371 Abs. 1 S. 1, 286 Abs. 1 ZPO stellt dem Richter dann frei, wie er digitalisierte Verträge würdigt. Wenn die Urkunde bereits vernichtet wurde, bleibt die Prozesspartei den Beweis also unter Umständen schuldig.
Jedenfalls dann, wenn das Gesetz die sogenannte Schriftform nach § 126 BGB für einen Vertrag vorschreibt, wird eine digitale Version regelmäßig nicht genügen (so zuletzt das LAG Berlin-Brandenburg, Urteil vom 16.3.2022 – 23 Sa 1133/21).
Die Schriftform ist beispielsweise bei folgenden Verträgen unerlässlich:
·Arbeitnehmerüberlassungsvertrag
·Abtretung von Rechten
·Schuldanerkenntnis
·Verbraucherdarlehens- und Ratenlieferungsverträge sowie Fernunterrichtsverträge.
·Unbedingt ist die Schriftform auch bei Verträgen mit der öffentlichen Verwaltung einzuhalten (sog. öffentlich-rechtlicher Vertrag).
Im Miet- und Pachtrecht wird die Schriftform zwar gesetzlich angeordnet, allerdings ist der Vertrag auch ohne Einhaltung der Schriftform wirksam geschlossen. Mit dem Unterschied, dass ohne die Einhaltung der Schriftform dieser auf unbestimmte Zeit läuft.
Steuerrecht:
Wenn ein Vertrag die steuerrechtlich relevant ist, er also Buchungsbeleg zu sehen sind, besteht nach § 147 der Abgabenordnung eine gesetzliche Aufbewahrungspflicht für 10 Jahre. Diese Frist besteht für alle Unternehmen, die zur Buchführung verpflichtet sind.
Verträge, die nicht als Buchungsbelege gelten, können als Geschäftskorrespondenz gesehen werden. Nach dem Handelsgesetzbuch (HGB) besteht für solche Organisationsunterlagen eine Aufbewahrungsfrist von sechs Jahren.
Datenschutzrecht:
Die datenschutzrechtliche Löschpflicht findet ihre Grenzen in den zivil- und steuerrechtlichen Aufbewahrungspflichten.
Ergebnis:
•Wenn der Vertrag wichtig ist (Streitpotenzial?)
•oder der Schriftform bedarf,
empfiehlt es sich wegen der Beweiskraft des Originals, auch das Papieroriginal aufzubewahren.
Bei weniger wichtigen Verträgen bzw. Dokumenten oder solchen, die auch in Textform wirksam sind, genügt die digitale Aufbewahrung.
Stand: 25.01.2023
Ausführliche Infos zum Thema interne und externe Datenschutzbeauftragte (DSB) finden Sie in unserem Blog.
Scoring als Unterfall des Profiling nach § 31 BDSG
Bonitätsauskünfte in Form von Scoring ist in § 31 BDSG geregelt.
„Die Verwendung eines Wahrscheinlichkeitswerts über ein bestimmtes zukünftiges Verhalten einer natürlichen Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dieser Person (Scoring) ist nur zulässig, wenn
1.die Vorschriften des Datenschutzrechts eingehalten wurden,
2.die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind,
3.für die Berechnung des Wahrscheinlichkeitswerts nicht ausschließlich Anschriftendaten genutzt wurden und
4.im Fall der Nutzung von Anschriftendaten die betroffene Person vor Berechnung des Wahrscheinlichkeitswerts über die vorgesehene Nutzung dieser Daten unterrichtet worden ist; die Unterrichtung ist zu dokumentieren.“
Automatisierte Entscheidungsfindung durch Algorithmen
„Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.
Scoring ist ein von Auskunfteien durch mathematische-statische Verfahren ermitteltes Wertesysteme, bei dem nur noch der „Scorewert“ an den Vertragspartner übermittelt wird und so seine Bonität eingeschätzt wird. Diese Prognose über Zahlungsfähigkeit- und Willigkeit ist eine Form des Profilings nach Art. 4 Nr. 4 DSGVO.
Scoring als Unterfall des Profiling nach § 31 BDSG
Für die Berechnung des Scorewertes dürfen nur Daten genutzt werden, die unter Anwendung eines wissenschaftlich mathematisch-statistischen Verfahrens dafür nachweislich geeignet sind (OLG Frankfurt a. M. ZD 2015, ZD Jahr 2015 Seite 335).
Es soll damit eine Nachprüfung durch die Aufsichtsbehörde ermöglicht werden.
„Abs. 1 Nr. 2 verpflichtet allerdings nicht dazu, die wissenschaftliche Anerkennung des mathematisch-statistischen Verfahrens durch Prüfsiegel oder Zertifikate nachzuweisen. „Wissenschaftlich anerkannt“ ist allerdings nicht mit „wissenschaftlich“ identisch oder gleichzusetzen. Vielmehr bedeutet wissenschaftlich, dass das Verfahren Gegenstand wissenschaftlicher Untersuchungen war und in diesen wissenschaftlichen Untersuchungen allgemein als zutreffende Berechnung der Wahrscheinlichkeitswerte für ein bestimmtes zukünftiges Verhalten der betroffenen Personen eingestuft wurde. Prüfungen der Verfahren durch eine Datenschutzaufsichtsbehörde dienen grundsätzlich nicht wissenschaftlichen Zwecken, sondern dem gesetzlichen Auftrag der Behörde, die Einhaltung der Vorschriften des Datenschutzrechts zu überprüfen. Allerdings kann eine derartige Prüfung nach Umfang, Zuschnitt und Methode als wissenschaftliche Untersuchung angelegt sein.
Die Berechnung des Wahrscheinlichkeitswerts hat unter Zugrundelegung eines mathematisch-statistischen Verfahrens zu erfolgen. Gemeint ist offenbar ein Verfahren der mathematischen Statistik. Mathematische Statistik und Wahrscheinlichkeitstheorie werden unter dem Oberbegriff Stochastik als ein Teilgebiet der Mathematik verstanden. Für Kredit-Scoring werden verschiedene Algorithmen oder Techniken verwendet wie etwa die logistische Regression, Diskriminanzanalyse, künstliche neuronale Netze und andere Data-Mining-Methoden.“ Aus: Gola/Heckmann/Lapp BDSG § 31 Rn. 29-30
Stand: 25.01.2023
Aktuelles Urteil des BGH vom 6.10.2022 – VII ZR 895/21:
Eine Willenserklärung, die einem anderen gegenüber abzugeben ist, wird, wenn sie in dessen Abwesenheit abgegeben wird, in dem Zeitpunkt wirksam, in welchem sie ihm zugeht. Sie wird nicht wirksam, wenn dem anderen vorher oder gleichzeitig ein Widerruf zugeht. Der Zugang einer Willenserklärung unter Abwesenden setzt voraus, dass sie so in den Bereich des Empfängers gelangt ist, dass dieser unter normalen Verhältnissen die Möglichkeit hat, vom Inhalt der Erklärung Kenntnis zu nehmen.
Im vorliegenden Fall ist das Angebot der Kl. mit E-Mail vom 14.12.2018, 9.19 Uhr, auf Abschluss eines Vergleichs, der Beklagte zu diesem Zeitpunkt gem. § 130 Abs. 1 BGB wirksam zugegangen.
Weiter führt der BGH aus:
Wird eine E-Mail im unternehmerischen Geschäftsverkehr innerhalb der üblichen Geschäftszeiten auf dem Mailserver des Empfängers abrufbereit zur Verfügung gestellt, ist sie dem Empfänger grundsätzlich in diesem Zeitpunkt zugegangen. Dass die E-Mail tatsächlich abgerufen und zur Kenntnis genommen wird, ist für den Zugang nicht erforderlich.
Im Ergebnis stellte der BGH also fest: ein wirksames Vergleichsangebot gilt durch den Eingang der E-Mail auf dem Mailserver als zugegangen.
Stand: 18.01.2023
Ausführliche Infos zum Thema interne und externe Datenschutzbeauftragte (DSB) finden Sie in unserem Blog.
EuGH zur parallelen Ausübung von DSGVO-Rechtsbehelfen - Urteil vom 12.01.2023 (C-132/21)
Der Kläger möchte von der nationalen Behörde für Datenschutz und Informationsfreiheit Ungarn die Übermittlung von einem Auszug einer Tonaufzeichnung einer Aktionärshauptversammlung, an der er selbst teilgenommen hat. Die Aufsichtsbehörde lehnt den Antrag ab.
Der Kläger erhebt nun zwei Klagen an zwei verschiedenen Gerichten. Der zweiten Klage nach Art. 79 Abs. 1 DSGVO wird rechtskräftig stattgegeben. Das erste Gericht legt danach die Sache dem EuGH vor, um möglicherweise widersprechende Entscheidungen in derselben Sache zu vermeiden.
Art. 78 Abs. 1 DSGVO:
„Jede natürliche oder juristische Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde.“
Art. 79 Abs. 1 DSGVO:
„Jede betroffene Person hat unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden.“
Jeder dieser Rechtsbehelfe muss „unbeschadet“ der anderen eingelegt werden können. Es wird keine vorrangige oder ausschließliche Zuständigkeit vorgesehen. Die vorgesehenen Rechtsbehelfe können daher nebeneinander und unabhängig voneinander eingelegt werden.
Im Einklang mit dem Grundsatz der Verfahrensautonomie obliegt es den Mitgliedstaaten, die Modalitäten des Zusammenspiels dieser Rechtsbehelfe zu regeln, um die Wirksamkeit des Schutzes zu gewährleisten.
Stand: 18.01.2023
Ausführliche Infos zum Thema interne und externe Datenschutzbeauftragte (DSB) finden Sie in unserem Blog.
OLG Köln (15. Zivilsenat), Urteil vom 14.07.2022 – 15 U 137/21 - Schadensersatzanspruch bei verzögerter Auskunft
Aus dem Sachverhalt und der Vorinstanz:
Die Klägerin will unter anderem immateriellen Schadensersatz wegen verspäteter Datenschutzauskünfte von ihrem Rechtsanwalt.
Vor dem LG wird festgestellt, dass sie keinen Anspruch auf Schadensersatz hat. Der Gegenstandwert für die datenschutzrechtliche Auskunft liegt bei lediglich 500,00 € - und nicht bei den geforderten 1.000,00 €. In der Berufung will die Klägerin den Streitwert auf 5.000,00 € ändern, vermindert aber in der mündlichen Verhandlung ihren Anspruch auf lediglich 500,00 €.
Aus der Urteilsbegründung:
Der Höhe nach hält der Senat den von der Klägerin letztlich noch geltend gemachten Betrag in Höhe von 500,- Euro für ausreichend und angemessen, um die von ihr erlittenen immateriellen Schäden nach Art. 82 Abs. 1 DSGVO auszugleichen.
Die Folgen der verspäteten Datenauskunft haben zu Stress und Sorge in Hinblick auf die beim Anwalt liegende Rechtssache geführt. Zugunsten des Beklagten wurde berücksichtigt, dass die Daten der Klägerin keinem Dritten zugänglich gemacht worden sind und die Frage einer Präventionsfunktion der Entschädigung (zumindest im vorliegenden Fall) aufgrund der zeitweisen Erkrankungen des Beklagten keine durchgreifende Rolle spielt und letztlich damit keine höhere Entschädigung rechtfertigen kann.
Stand: 18.o1.2023
Es gibt mittlerweile zahlreiche Gerichtsurteile, die sich mit Klagen auf Datenauskunft nach Art. 15 DSGVO befasst haben. Die Streitwerte, auf deren Basis die Verfahrenskosten (v.a. Gerichts- und Rechtsanwaltskosten) berechnet werden, lagen bis dato immer zwischen EUR 500,- und EUR 6.000,-.
Beispiele:
Stand: 18.01.2023
Grundsätzlich bedarf jede Verarbeitung personenbezogener Daten folgender Voraussetzungen:
1. Das Vorliegen einer Rechtsgrundlage für die Verarbeitung
2. Einhaltung der datenschutzrechtlichen Grundsätze (Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Integrität und Vertraulichkeit)
Zu 1. kommt in unserem Fall v.a. Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage in Betracht. Demnach wäre das Arbeitsverhältnis zwischen dem Teilnehmer und seinem Arbeitgeber (§ 611 ff. BGB) die Rechtsgrundlage, auf deren Basis auch externe Berater hinzugezogen werden dürfen. Die Datenverarbeitung wäre auch „erforderlich“, da sie zur Erfüllung von Pflichten oder zur Wahrnehmung von Rechten aus einem mit der betroffenen Person geschlossenen Vertrag vorgenommen und hierfür benötigt wird (hier: Personalentwicklung). Die geplante Datenverarbeitung, hier in Form der Weitergabe des Lebenslaufs, dürfte sich bei vernünftiger Würdigung als objektiv sinnvoll erweisen (Gola/Heckmann/Schulz DS-GVO Art. 6 Rn. 38-43), da das AC anderenfalls nicht zielgerichtet auf den Kandidaten/die Kandidatin durchgeführt werden kann.
Stand: 11.01.2023
Art. 9 DSGVO - Verarbeitung besonderer Kategorien personenbezogener Daten
(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
„Biometrische Daten“ sind mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten;“
Wenn also mit einer bestimmten Technologie eine Gesichtserkennung durchgeführt und eine Person eindeutig identifiziert werden kann, ist eine besondere Kategorie personenbezogener Daten betroffen --> nach Artikel 9 DSGVO ist die Verarbeitung solcher Daten nur unter bestimmten Voraussetzungen gestattet.
Im Art. 9 Abs. 2 DSGVO werden einige Ausnahmefälle bei der Gesichtserkennung geregelt. Nur wenn diese vorliegen dürfen die Daten erhoben und auch verarbeitet werden. So ist es erlaubt biometrische Daten zu verarbeiten, wenn
Quelle: https://www.kriminalberatung.de/gesichtserkennung-datenschutz/
Stand: 11.01.2023
Art. 12 DSGVO
Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person
(7) Die Informationen, die den betroffenen Personen gemäß den Artikeln 13 und 14 bereitzustellen sind, können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln.
(8) Werden die Bildsymbole in elektronischer Form dargestellt, müssen sie maschinenlesbar sein.
Der Kommission wird die Befugnis übertragen, gemäß Artikel 92 delegierte Rechtsakte zur Bestimmung der Informationen, die durch Bildsymbole darzustellen sind, und der Verfahren für die Bereitstellung standardisierter Bildsymbole zu erlassen.
Um die Verarbeitung personenbezogener Daten in Datenschutzhinweisen einfach und verständlich darzustellen, kann auch auf Bildsprache zurückgegriffen werden.
Auf der Website des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg werden u.a. Bildsymbole für die häufig gebräuchlichen Begrifflichkeiten wie z.B. Verantwortliche, personenbezogene Daten, Zweck, Betroffenenrechte, Aufsichtsbehörde etc. zum kostenlosen Download vorgeschlagen.
Stand: 11.01.2023
Ausführliche Informationen zum Thema Newsletter und Werbung per E-Mail finden Sie in unserem Blog.
Erst einmal ist klarzustellen, dass sich sowohl das Informationsfreiheitsgesetz des Bundes als auch diejenigen der Länder, nur an Behörden als Verpflichtete richtet. Unternehmen sind keine Adressaten der Informationsfreiheitsgesetze.
Informationsfreiheitsgesetze regeln den Zugang des Bürgers zu Unterlagen von Behörden unabhängig von einer persönlichen Betroffenheit des jeweiligen Bürgers. Damit soll es (interessierten) Bürgern möglich sein, das staatliche Handeln besser nachzuvollziehen und zu kontrollieren. In Bundesländern, die kein Informationsfreiheitsgesetz erlassen haben, darf ein Bürger Einsichtnahme in behördliche Akten (i.d.R.) nur nehmen, wenn er oder sie persönlich betroffen sind von dem Vorgang.
Im Informationsfreiheitsgesetz des Bundes regelt § 5 den Ausgleich zwischen (persönlichem) Datenschutz und Informationsinteresse. Nach dessen Abs. 1 S. 1 dürfen personenbezogene Daten nur offenbart werden, wenn das Informationsinteresse überwiegt. Nach Abs. 1 S. 2 dürfen Besondere Kategorien von personenbezogene Daten nach Art. 9 DSGVO nur mit Einwilligung des Betroffenen herausgegeben werden.
Die Datenschutzaufsicht hat i.d.R. auch die Informationsfreiheit zu überwachen (z. B. Bundesbeauftragter für Datenschutz und Informationsfreiheit BfDI).
Datenschutz und Informationsfreiheit stehen in einem Spannungsverhältnis zueinander. Anstatt zwei separate Behörden zu schaffen, die sich am Ende nicht einigen können, hat man es wohl als effektiver angesehen, eine Behörde mit beiden Themen zu betrauen. Diese Vermutung wird auch durch die Gesetzesmaterialien zu dem Informationsfreiheitsgesetz des Bundes bestätigt. Dort heißt es auf S. 17: Der Bundesdatenschutzbeauftragte wird zugleich Beauftragter für die Informationsfreiheit (siehe Folgeänderung in § 13). Erfahrungen im Ausland und in den Ländern, die bereits über Informationsfreiheitsgesetze verfügen, zeigen, dass ein Beauftragter bürgernah Informationsfreiheit und Datenschutz in Ausgleich bringen kann.
Zu beachten ist aber, dass bspw. der Bundesbeauftragte nicht oberste Instanz ist. Er kann anderen Behörden keine Weisungen dahingehend erteilen, dass sie Informationen herausgeben müssen. Vielmehr ist er nur Vermittlungsstelle zwischen Bürger und Behörde. Ein Antrag auf Einsichtnahme in behördliche Informationen kann nur klageweise gegen eine sich weigernde Behörde durchgesetzt werden. Die Anrufung des Bundesbeauftragten hemmt die Klage- bzw. Widerspruchsfrist nicht! (siehe Flyer des BfDI).
Stand: 21.12.2022
VG Wiesbaden, Beschluss vom 01.12.2021, Az.: 6L 738/21.WI:
Der Dienst „Cookiebot“ ermöglicht es, die Einwilligung der Nutzer einer Webseite in die Cookie-Verwendung einzuholen. Dabei werden die tatsächlich eingesetzten Cookies kontrolliert und solche Cookies blockiert, für die eine Zustimmung nicht erteilt wurde.
Aber: Es werden (wohl) nach Vortrag des Antragstellers auch personenbezogene Daten des Nutzers an den Server von „Cookiebot“ in den USA übermittelt. Aus einer Kombination eines den Webseiten-Besucher identifizierenden Keys, der im Browser des Nutzers gespeichert wird, und der übermittelten vollständigen IP-Adresse, ist der Endnutzer eindeutig identifizierbar.
Ergebnis: Cookiebot könnte gegen Datenschutzrecht verstoßen, da weder eine Einwilligung der Nutzer gegeben wird, noch eine andere Rechtsgrundlage für die Datenübermittlung in die USA zu greifen scheint.
Im Eilverfahren vor dem VG Wiesbaden wollte nun der Antragsteller erreichen, dass es der Hochschule RheinMain untersagt wird, auf ihrer Webseite www.hs-rm.de den Dienst „Cookiebot“ einzubinden.
Das Gericht gab dem Antrag statt (Az.: 6 L 738/21.WI).
Aber! Die Entscheidung wurde vom Berufungsgericht (Hessischen Verwaltungsgerichtshof) aufgehoben. Es fehle die Eilbedürftigkeit, die man für einen solchen Antrag im Eilverfahren brauche.
Ergebnis: Verfahren im Auge behalten! Derzeit kann man nicht sagen, dass Cookiebot rechtswidrig ist, weil es keine rechtskräftige Gerichtsentscheidung dazu gibt. Wir warten also immer noch auf das Hauptsachverfahren!
Stand: 14.12.2022
1.
Ist der Arbeitgeber als TK-Provider zu verstehen, wenn er W-LAN zur privaten Nutzung durch seine Mitarbeiter anbietet?
--> Sehr umstrittene Frage (auch zu Zeiten des alten TKG). Die Frage wurde gerichtlich v.a. im arbeitsrechtlichen Kontext diskutiert, nämlich, ob und wann ein Arbeitgeber das Fernmeldegeheimnis beachten muss.
2.
Ist der Arbeitgeber als TM-Provider zu verstehen, wenn er W-LAN zur privaten Nutzung durch seine Mitarbeiter anbietet?
--> Zu einem Anbieter von Telemedien wird das Unternehmen nur, wenn er als Content-/Zwischenspeicherungs- oder Access-Provider verstanden werden kann.
Zum TKG: Das TKG wurde zum 01.12.2021 neu gefasst. Dabei wurden sämtliche Datenschutzthemen im neu geschaffenen TDDDG geregelt. Dabei wurde vom Gesetzgeber versäumt zu regeln, ob ein Arbeitgeber durch das Bereitstellen des WLANs für die Mitarbeiter zur privaten Nutzung zum TK-Provider wird (und damit dann auch unter das Fernmeldegeheimnis nach § 3 TDDDG fällt).
Wie früher versteht man unter einem „geschäftsmäßige Erbringen von Telekommunikationsdiensten“ das „nachhaltige Angebot von Telekommunikation für Dritte mit oder ohne Gewinnerzielungsabsicht“. Die Gewinnerzielungsabsicht ist also keine Voraussetzung! Ausreichend ist ein auf Dauer angelegtes Angebot von Telekommunikationsdiensten. Allerdings muss der Dienst von vorneherein auf eine Vielzahl von Nutzungen angelegt sein und nicht nur gelegentlich erfolgen.
Die Bundesnetzagentur ist unter der alten Rechtslage davon ausgegangen, dass das Bereitstellen eines WLAN-Hotspots in Cafés, Hotels, Restaurants usw. keine „Erbringung von Telekommunikationsdiensten i.S.v. § 3 Nr. 6 lit. a TKG a.F. darstellt, sondern lediglich eine Mitwirkung an der Erbringung von Telekommunikationsdiensten ist. Der Fall des „Mitwirkens an der Erbringung einer Telekommunikationsdienstleistung“ wurde jedoch im neuen Gesetz gestrichen.
§ 3 Nr. 1 TKG sieht als Anbieter von Telekommunikationsdienstleistungen nur noch denjenigen an, „der Telekommunikationsdienste erbringt“. Die Bundesnetzagentur stellt bei ihrer Beurteilung maßgeblich darauf ab, ob der Zugang nur spontan und kurzzeitig genutzt wird, oder dauerhaft. Übertragen auf den vorliegenden Sachverhalt würde das bedeuten, dass gegenüber den sporadisch das Netzwerk nutzenden Kunden oder Mitarbeiter keine „Erbringung“ von Telekommunikationsdiensten vorläge.
a) Internetzugangsdienste,
b) interpersonelle Telekommunikationsdienste und
c) Dienste, die ganz oder überwiegend in der Übertragung von Signalen bestehen, wie Übertragungsdienste, die für Maschine-Maschine-Kommunikation und für den Rundfunk genutzt werden;
Die Definition von „Internetzugangsdienst“ ergibt sich nach § 3 Nr. 23 TKG aus Art. 2 Abs. 2 EU-VO 2015/2120. Danach ist ein „„Internetzugangsdienst“ ein öffentlich zugänglicher elektronischer Kommunikationsdienst, der unabhängig von der verwendeten Netztechnologie und den verwendeten Endgeräten Zugang zum Internet und somit Verbindungen zu praktisch allen Abschlusspunkten des Internets bietet“.
Ob das Anbieten eines Wifi-Hotspots alleine dafür „Internetzugangsanbieter“ zu sein, ist mit den Arbeitsgerichten zu bezweifeln, da den Internetzugang erst der ISP schafft und der Wifi-Zugang an sich (alleine) nicht ausreicht.
Weiterhin sieht § 3 Nr. 61 TKG vor, dass der Telekommunikationsdienst „in der Regel gegen Entgelt“ erbracht werden muss. Mit dem „i.d.R.“ wollte ausweichlich der Gesetzesbegründung (Drucksache 19/26108, S. 237) insbesondere Fälle miteinbeziehen, bei denen die Gegenleistung nicht in einem Entgelt, sondern in der „Zahlung mit Daten“ besteht. Somit fordert § 3 Nr. 61 TKG letztlich eine Gegenleistung, welche bei einer kostenlosen Bereitstellung des WLANs (ohne Weiterverarbeitung der personenbezogenen Daten) nicht vorläge.
Fraglich ist aber, ob der Wifi-Betreiber nicht Betreiber eines öffentlichen Telekommunikationsnetzes i.S.v. § 1 Abs. 2 Var. 1 TKG ist. Relevante Definitionen hierzu findet man in § 3 Nr. 7, Nr. 42, Nr. 65 TKG.
Nach wie vor ist es herrschende Meinung, dass es ein geschäftsmäßiger Telekommunikationsdienst ist, wenn es ein dauerhaftes Angebot an die „Öffentlichkeit“ gibt. Als Öffentlichkeit gilt hier auch die private Nutzungsmöglichkeit von WLAN für Mitarbeiter, gestellt vom Arbeitgeber.
Geppert/Schütz, Beck’scher TKG-Kommentar sagt dazu:
„Daher sind ebenfalls Betreiber von Nebenstellenanlagen in Betrieben, Behörden, Hotels und Krankenhäusern zur Wahrung des Fernmeldegeheimnisses verpflichtet, sobald sie ihre
Telekommunikationsanlage Dritten, z. B. auch den eigenen Mitarbeitern, zur privaten Nutzung zur Verfügung stellen.“
Damit würden auch §§ 3 ff. TDDDG ergänzend zu den Regelungen der DSGVO gelten, da der Unternehmer im Hinblick auf die Erhebung der Daten, die bei jeder Verbindung mit dem WLAN anfallen, Verantwortlicher im Sinne der DSGVO ist.
Aber:
Arbeitsgerichte haben das bisher nicht bestätigt! Im Gegenteil: bislang wurde der Arbeitgeber nicht als Provider gesehen, auch nicht, wenn WLAN privat genutzt wird.
Es ist daher durchaus die Ansicht vertretbar, dass die Zurverfügungstellung von WLAN für Mitarbeiter zur privaten Nutzung kein geschäftsmäßiger TK-Dienst ist. Hauptargument: Nicht „in der Regel gegen Entgelt“ erbracht.
Stand: 05.06.2024
Ausführliche Informationen über Microsoft Office 365 finden Sie in unserem Blog.
Ausführliche Infos zum Thema interne und externe Datenschutzbeauftragte (DSB) finden Sie in unserem Blog.
Das TDDDG dient der Umsetzung der ePrivacy-RL aus dem Jahr 2006 mit den Ergänzungen aus 2009. Nach einigen rechtlichen Unklarheiten, ob die ePrivacy-RL richtlinienkonform in Deutschland umgesetzt wurde (siehe DSK Orientierungshilfe für Anbieter von Telemedien), entschied sich der Gesetzgeber für eine Reform des Telemedienrechts. Hierbei entstand das TDDDG als zentrale Datenschutzregelung für Telemedien- und Telekommunikationsanbieter.
Wie vom Europäischen Datenschutzausschuss bestätigt, konkretisiert und ergänzt (die ePrivacy-RL und damit) das TDDDG die DSGVO im Bereich der Telemedien. Dies bedeutet die DSGVO ist das allgemeinere Gesetz (lex generalis) und das TDDDG das speziellere Gesetz (lex specialis). Die allgemeineren Regeln der DSGVO werden von den spezielleren Regelndes TDDDG verdrängt. Dies bedeutet aber nicht, dass die DSGVO im Ganzen keine Anwendung findet, sobald ein Telemedien-Sachverhalt vorliegt. Vielmehr schließt die Anwendung des TDDDG die DSGVO nur punktuell aus, nämlich nur soweit wie das TDDDG eine Frage (abschließend und umfassend) regelt. Dies macht Art. 95 DSGVO deutlich.
Das klassische Beispiel für eine speziellere Regelung des TDDDG ist § 25 TDDDG, in dem festgelegt ist, dass der Einsatz von Cookies (und sonstiger Tracking-Technologie) grundsätzlich nur mit Einwilligung des Nutzers möglich ist. Gleichzeitig sieht Absatz 2 Ziffer 2 eine Ausnahme für technisch notwenidge Cookies vor. § 25 TDDDG regelt speziell und abschließend unter welchen Voraussetzungen Cookies gesetzt und werden dürfen. Für die nachfolgende Verarbeitung gilt dann aber wieder Art. 6 DSGVO (Punkt 4.1 Stellungnahme 5/2019 des EDSA zum Zusammenspiel zwischen der e-Datenschutz-Richtlinie und der DSGVO, S. 14.).
Daraus folgt, dass Verarbeitungen von personenbezogenen Daten, die durch das TDDDG gedeckt sind, in das Verarbeitungsverzeichnis und in die Datenschutzerklärung aufzunehmen sind. Denn speziellere Regelungen hinsichtlich dieser Pflichten enthält das TDDDG nicht. Damit bleibt es bei der Anwendbarkeit von Art. 30 und Art. 13 DSGVO. Für sie gilt nichts anderes als für Verarbeitungen, die keinen TDDDG Bezug haben. D.h. sie sind vollumfänglich in das Verarbeitungsverzeichnis und die Datenschutzerklärung aufzunehmen.
Ein solcher Verweis in der Datenschutzerklärung dürfte zulässig sein, soweit die Voraussetzungen der Art. 12 ff. DSGVO gewahrt sind. Die Datenschutzerklärung also präzise, transparent, verständlich und leicht zugänglich in einer klaren und einfachen Sprache ist.
Achtung: deutlich machen, in welchem Umfang auf die Informationen des Auftragsverarbeiters verwiesen wird und ggf. wo diese in dem verlinkten Dokument zu finden sind.
Stand: 05.06.2024
Ausführliche Informationen zu AV-Verträgen finden Sie in unserem Blog.
Ausführliche Informationen zu AV-Verträgen finden Sie in unserem Blog.
Beispiel mit folgendem Wortlaut:
Ja, ich möchte News per E-Mail zugesendet bekommen. Ich bin damit einverstanden, dass eine Datenverarbeitung auch außerhalb der EU stattfinden könnte. Weiterführende Detail finden Sie in unseren Datenschutzhinweisen. Diese Einwilligung kann ich jederzeit widerrufen.
Antwort: das ist eine Frage der Informiertheit der Einwilligung:
Die Einwilligung hat in informierter Weise zu erfolgen. In ErwGr. 42 der DS-GVO wird insbesondere darauf abgestellt, dass eine vom Verantwortlichen vorformulierte Einwilligungserklärung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung gestellt wird, keine missverständlichen Klauseln enthalten sind und die betroffene Person mindestens darüber in formiert wird, wer der Verantwortliche ist und zu welchen Zwecken ihre personenbezogenen Daten verarbeitet werden sollen. DSGVO).
Darüber hinaus ist die betroffene Person nach Auffassung des Europäischen Datenschutzausschusses über die Art der verarbeiteten Daten, über ihr Recht, die Einwilligung jederzeit zu widerrufen, ggf. über die Verwendung der Daten für eine automatisierte Entscheidungsfindung und über mögliche Risiken von Datenübermittlungen in Drittländer ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien nach Artikel 46 DS-GVO zu informieren.
Ergebnis: Abwägungsfrage!
Wir halten den Hinweistext gerade noch für zulässig (wegen der besseren Lesbarkeit), wenn der verlinkte Text dann vollständig ist. Vielleicht sollte zusätzlich im Hinweistext vor allem die Rechtsfolge beschrieben werden, was mit den pbD in den USA passiert.
Stand: 30.11.2022
Check-Boxen sind ein beliebtes und sinnvolles Tool um
Datenschutzrechtlich sind Check-Boxen nicht zwingend erforderlich, aber sinnvoll (Dokumentationsmöglichkeit!). Grundsätzlich reicht es auch aus, dem Benutzer einen gut sichtbaren Hinweis auf die Datenschutzerklärung zu geben, bevor dieser das Webformular absendet. Ein Bestätigen, dass der Nutzer die Datenschutzerklärung auch wirklich gelesen hat, ist nicht erforderlich.
Ohne Check-Boxen kommt man insbesondere auch dann aus, wenn man die Verarbeitung nicht auf eine Einwilligung des Nutzers, sondern auf eine andere Rechtsgrundlage, z.B. sein berechtigtes Interesse an der Verarbeitung stützt bzw. stützten darf.
Dies kommt namentlich bei sog. „Bestandskunden“ in Betracht (§ 7 Abs. 3 UWG). Hier kann eine Verarbeitung auch ohne eine Einwilligung zulässig sein (siehe dazu auch LiiDU FAQ-Seite unter der Frage „Wie kann man sinnvoll mit der Zusammenlegung von Newslettern umgehen?“).
Beachte aber, dass auch hier eine Check-Box für den Nachweis der Informationserteilung nach Art. 13 DSGVO sinnvoll ist. Die Informationen nach Art. 13 DSGVO sind unabhängig von der Rechtsgrundlage, auf die die Verarbeitung gestützt würde, zu erteilen.
Abseits des Bestandskunden-Privilegs ist für den
die Einholung einer Einwilligung Pflicht. Der Double Opt-In ist dabei die in der Praxis am meisten verbreitete Lösung. Hier schickt der Verantwortliche dem Nutzer eine E-Mail, mit der er diesen auffordert, die Kontaktaufnahme zu bestätigen.
Ohne Double-Opt-In kommt man bei Newslettern nur aus, wenn die Einwilligung auf andere Weise erfolgt (z.B. E-Mail, Liste auf Messe, etc.).
Im Gegensatz dazu ist beim
die Einholung einer Einwilligung KEINE Pflicht.
Das gilt dann, wenn alleiniger Zweck der Verarbeitung die Bearbeitung der über das Kontaktformular gestellte Anfrage ist. Diese Verarbeitung ist von anderen Rechtsgrundlagen gedeckt, v.a. das berechtigte Interesse des Seitenbetreibers an der Bearbeitung der Anfrage.
Eine Check-Box ist damit ebenfalls nicht zwingend notwendig. Es genügt ein gut sichtbarer Hinweis im Kontaktformular in der Nähe des „Sende-Buttons“, dass auf die Datenschutzerklärung hingewiesen und diese verlinkt wird.
Die Anbindung von Zendesk erfolgt in der Regel über Cookies. Hier müssen dann alle Vorgaben zum Thema rechtswirksame Cookie-Einbindung eingehalten werden. Eine datenschutzrechtliche Einwilligung des Nutzers der Website nach § 25 TDDDG, Art. 6 Abs.1 lit. a DSGVO ist damit in jedem Fall Pflicht.
Nicht vergessen:
Stand: 05.06.2024
Ausführliche Infos zum Thema interne und externe Datenschutzbeauftragte (DSB) finden Sie in unserem Blog.
Mehr Infos zum Azure Key Vault finden Sie in unserem Blog.
Die TOMs, also die technischen und organisatorischen Maßnahmen die geeignet sind, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, vgl. Art. 32 DS-GVO, müssen nach Art. 28 Abs. 3 lit. c DS-GVO bei der Auftragsverarbeitung ergriffen und dokumentiert werden.
Einerseits müssen die TOMs dem aktuellen Stand der Technik entsprechen. Andererseits muss auch das Verhältnis von Maßnahme zu Aufwand im Rahmen der Verhältnismäßigkeit berücksichtigt werden. Auf Grund des hohen Schutzinteresses der Betroffenen werden wirtschaftliche Erwägungen jedoch eine hintergründige Rolle spielen. Dabei ist der Verantwortliche selbst in der Pflicht geeignete TOMs aufzustellen und deren Einhaltung zu garantieren.
Um die Qualität beurteilen zu können, ist das Kriterium ein angemessenes Schutzniveau und ist demnach ein Auswuchs der Verhältnismäßigkeit. Anhaltspunkte sind dabei Eintrittswahrscheinlichkeit, Schwere des Risikos für die Betroffenen, Kategorien personenbezogener Daten, aber auch die Implementierungskosten.
Dabei soll sich an schon vorhandene bzw. einfach zu handhabende Maßnahmen orientiert werden. Auch wie eine Verarbeitung stattfindet, in welchem Umfang, unter welchen Umständen und zu welchem Zweck ist zu berücksichtigen. Insgesamt muss also eine Schutzbedarfsfeststellung durchgeführt werden.
Um effektiv der entsprechende Nachweis erbringen zu können, ist folgendes zu dokumentieren: das Verfahren und Ergebnis der Schutzbedarfsfeststellung, der Risikobewertung und die entsprechende Ableitung der Sicherheitsmaßnahmen unter Berücksichtigung der Belastbarkeit.
Zusammengefasst müssen die TOMs verständlich alle Maßnahmen darlegen, um den zuvor nachweislich durchgeführten Schutzbedarfsfeststellungen zu genügen.
Für ausführlicher Informationen kann die Best-Practice Checkliste des BayLDA zu den TOMs herangezogen werden. Mehr Details zum Stand der Technik
Stand: 23.11.2022
Mehr Infos zur NIS2-Richtlinie und zum NIS2UmsuCG finden Sie in unserem Blog.
Konkretisierung der Fragestellung:
Ist z.B. eine Analogie zur AGB-Einbeziehung in Verträge erlaubt, wonach es ausreicht, wenn bei einer Onlinebestellung nur auf die AGB verwiesen wird, die über einen funktionierenden Link auf der Webseite abrufbar und ausdruckbar sind. Auf diesem Link kann dann immer die aktuelle Version der AGB abgelegt werden, sodass automatisch der Stand der AGB gilt, der bei Vertragsschluss abrufbar war.
Ist dieses Prinzip auf eine Einbindung von TOMs in den AVV übertragbar? Und wie verhält sich die Wirksamkeit bei Änderungen?
Antwort:
Begründung:
Anders als AGB statuieren TOMs keine gegenseitigen Rechte und Pflichten, sondern dienen der Dokumentation von technischen und organisatorischen Maßnahmen zur IT-Sicherheit. Ihre detaillierte Einbindung in den AVV ist auch nicht verpflichtend. Lediglich ihre Einhaltung muss sichergestellt sein. Insofern würde eine „unzulässige“ Einbindung die TOMs auch nicht „unwirksam“ werden lassen. Auch nachträgliche und häufige Änderungen an den TOMs können also vorgenommen werden, ohne deren Wirksamkeit im Gesamtkontext zu gefährden. Mit anderen Worten: TOMs haben weniger Vertragscharakter, sondern stellen die Dokumentation von Sicherheitsmaßnahmen dar. Man könnte dies mit einem Verhaltenskodex vergleichen. Es ist davon auszugehen, dass grundlegende Änderungen oder gravierende Streichungen unter Vertragspartnern besprochen werden müssen oder zumindest Kenntnis davon erlangt werden muss. Kleinere Änderungen oder Aktualisierungen sind jedoch jederzeit nötig und möglich, um die Aktualität der Sicherheitsmaßnahmen sicherzustellen. In der Praxis werden TOMs längst über Links in die AVV miteingebunden, um so der Dokumentationspflicht von Beginn an gerecht zu werden.
Stand: 16.11.2022
Ausführliche Infos zum Thema interne und externe Datenschutzbeauftragte (DSB) finden Sie in unserem Blog.
Ausführliche Informationen zum Transfer Impact Assessment finden Sie in unserem Blog.
In Artikel 12 Abs. 3 DSGVO ist die Frist zur Beantwortung eines Auskunftsersuchens geregelt.
Artikel 12 Abs. 3 S. 1 DSGVO bestimmt, dass einem Auskunftsersuchen unverzüglich (unverzüglich meint „ohne schuldhaftes Zögern“, vgl. § 121 Abs. 1 BGB) nachzukommen ist, in jedem Fall aber innerhalb eines Monats nach Eingang des Ersuchens.
Die Monatsfrist (was nicht unbedingt 30 Tagen entspricht) ist damit eine Höchstfrist. Die Höchstfrist darf nach der gesetzlichen Konzeption nur ausgenutzt werden, wenn vom Verantwortlichen (oder Auftragsverarbeiter) keine schnellere Antwort erwartet werden konnte/durfte. Ist dem Verantwortlichen aber eine schnellere Antwort zumutbar, muss er vor Verstreichen der Monatsfrist antworten. Faktoren, die bei der Bemessung der Antwortfrist eine Rolle spielen, können insbesondere die in Artikel 12 Abs. 3 S. 2 DSGVO zur Fristverlängerung genannten sein, wie z.B. die Komplexität des Antrages oder die Anzahl von Ersuchen, die der Verantwortliche noch beantworten muss.
In der Praxis lässt sich sagen, dass die Monatsfrist aus Art. 12 Abs. 3 DSGVO quasi zur Regelfrist geworden ist. Aufsichtsbehörden gewähren einem Verantwortlichen zur Beantwortung i.d.R. die Monatsfrist.
Wenn ein Rechtsanwalt (oder ein Betroffener) eine kürzere Frist setzt, ist mit Blick auf den eigentlichen Grundsatz der Unverzüglichkeit aber die gesetzte Frist einzuhalten, so lange sie nicht unangemessen kurz ist. Es spiel übrigens keine Rolle, wer die Frist setzt. Ob das Ersuchen von einem Anwalt stammt oder dem Betroffenen selbst, spielt für die Bemessung der Frist keine Rolle.
Stand: 16.11.2022
Ausführliche Informationen über Adobe Acrobat Sign finden Sie in unserem Blog.
Ausführliche Informationen über Salesforce finden Sie in unserem Blog.
Begriffsklärungen:
Die englische Abkürzung „SCC“ für Standard Contract Clauses können also für beides stehen: für standardisierte AV-Verträge oder für die von der EU vorgegebenen Standarddatenschutzklauseln (z.B. unterschiedet die EU-Kommission hier begrifflich nicht).
Inhaltlich sind das völlig verschiedene Dinge!
Zur Beantwortung der Frage ist zuerst die Klarstellung des konkreten Datenflusses entscheidend.
Fließen die Daten von der deutschen GmbH direkt an einen US-Dienstleister gelten selbstverständlich die von Art. 44 ff. DSGVO aufgestellten Voraussetzungen, d.h. SDKs (englisch: SCCs) sind notwendig.
Fließen die Daten erst von der deutschen GmbH an die Muttergesellschaft in die USA, handelt es sich bei jeder weiteren Übermittlung von der Muttergesellschaft an US-Dienstleister um US-interne Übermittlungen, sodass Art. 44 ff. DSGVO für diese Übermittlungen nicht zur Anwendung kommen.
Jedoch ist – wie Erw. 48 S. 2 DSGVO klarstellt – zu beachten, dass die Datenübermittlung an die amerikanische Muttergesellschaft selbst eine Drittlands-Übermittlung darstellt. Demnach reicht ein einfacher Auftragsverarbeitungsvertrag nach Art. 28 DSGVO nicht aus. Da es sich um eine konzerninterne Übertragung handelt, könnten „verbindliche interne Datenschutzvorschriften“ gem. Art. 46 Abs. 2 lit. b DSGVO, Art. 47 DSGVO aufgestellt werden. Diese müssen jedoch von der zuständigen Aufsichtsbehörde genehmigt werden. Ob eine solche Genehmigung im Hinblick auf die Unsicherheiten bei US-Unternehmen erteilt wird, ist fraglich.
Hier bestehen die erwähnten Unsicherheiten, ob der Abschluss von SCCs ausreichend ist, um die Voraussetzungen von Artikel 46 Abs. 1 DSGVO entsprechend Schrems II (C‑311/18) zu erfüllen:
In der Entscheidung bürdet der EuGH dem Verantwortlichen die Verpflichtung auf „(…) in jedem Einzelfall (…) zu prüfen, ob das Recht des Bestimmungsdrittlands nach Maßgabe des Unionsrechts einen angemessenen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet, und erforderlichenfalls mehr Garantien als die durch diese Klauseln gebotenen zu gewähren.“
Daher der Hinweis: Ob dieser Schutz bei der Übermittlung an US-Unternehmen gewährleistet ist, ist im Hinblick auf die weitreichenden Eingriffsbefugnisse der US-Geheimdienste äußerst kritisch zu sehen.
• SCC prüfen und
• alle Vorgaben einhalten, die bei einer Übermittlung personenbezogener Daten in ein Drittland notwendig sind.
Stand: 09.11.2022
Ausführliche Infos zu den Google Fonts Abmahnungen sowie ein Musterschreiben an die Abmahner finden Sie auf unserem Blog
Vorerst ist festzustellen, dass die Frage unabhängig von dem Einsatz von Google Fonts ist.
Die Übermittlung von personenbezogenen Daten, insbesondere einer IP-Adresse, an Dritte kann immer dann erfolgen, wenn Drittdienste oder -bibliotheken auf der Webseite eingebunden werden. Ob dieser Dritte sich in den USA oder Deutschland aufhält, ist für eine mögliche Strafbarkeit nach
§ 203 Abs. 1 StGB irrelevant.
Gegen eine Strafbarkeit sprechen folgende Erwägungen:
• Die Webseite ist der Allgemeinheit zugänglich. Der Besuch lässt nicht den sicheren Schluss zu, dass zwischen dem Besucher und dem Rechtsanwalt oder Arzt ein Mandats- bzw. Patientenverhältnis besteht.
• Der Empfänger einer dynamischen IP-Adresse kann alleine anhand der IP-Adresse eine Person nicht identifizieren. Dass eine dynamische IP-Adresse dennoch ein datenschutzrechtlich relevantes Datum ist, resultiert aus dem äußert weiten Begriff des personenbezogenen Datums nach Art. 4 Ziff. 1 DSGVO. Ausreichend ist, dass die Person indirekt identifizierbar ist. Hierfür hat der EuGH in seinem Urteil zu dynamische IP-Adressen ausreichen lassen, dass der Benutzer mittels einer Anzeige bei den Strafverfolgungsbehörden von einem Webseitenbetreiber identifiziert werden kann. Nur bezüglich der amerikanischen Internetriesen Google, Facebook, Amazon und sonstigen Werbereisen ließe sich gegebenenfalls anführen, dass diesen eine Identifizierung mit Eigenmitteln möglich ist.
Weitere Überlegungen:
• Der Tatbestandsausschluss nach § 203 Abs. 3 S. 2 StGB wurde vom Gesetzgeber für die Situation geschaffen, dass der Anwalt oder Arzt auf externe Dienstleister zugreift. So wird in der Gesetzesbegründung der IT-Spezialist genannt, der Kenntnis von den in der IT-Anlage gespeicherten Daten hat (vgl. auch Uwer BeckOK Datenschutzrecht, Syst. F. Datenschutz bei den freien Berufen Rn. 140; Weidemann, BeckOK StGB, § 203 Rn. 39 f.). Diese Dienstleister können sich dann selbst nach § 203 Abs. 4 S. 1 StGB strafbar machen, wenn sie das Berufsgeheimnis weiterverbreiten.
• Fraglich bleibt jedoch, wie das „Erforderlichkeitskriterium“ von § 203 Abs. 3 S. 2 StGB zu interpretieren ist. Konkret würde die Frage lauten: Ist die Übertragung der IP-Adresse an Google für die Bereitstellung von wichtiger IT notwendig? Das ist schon aufgrund der Möglichkeit einer statischen Einbindung von Google Fonts allerdings nicht der Fall!
• BeckOK IT-Recht/Mansdörfer StGB § 203 Rn. 41-43: Das Kriterium der Erforderlichkeit hat zur Folge, dass sich die verantwortlichen Personen der Versicherung bei der Entscheidung, welcher Dienstleister im Einzelfall für eine Aufgabe hinzugezogen wird, kundig machen müssen, welche Eingriffe damit in die ihm anvertrauten Geheimnisse verbunden sind, und z.B. Anbieter ausschließen müssen, die sich weiterreichende Zugriffsmöglichkeiten als andere ausbedingen (in diesem Sinn auch Matt/Renzikowski/Altenhain, StGB, 2. Aufl. 2020, Rn. 60).
Eine Verletzung des Berufsgeheimnisses ist nicht gegeben, wenn Google Fonts ohne Einwilligung des Websitebesuchers von Ärzten/Rechtsanwälten dynamisch eingebunden wird, weil sich dadurch nicht notwendigerweise ein Mandats- oder Patientenverhältnis ergibt. (Würde dieses Ergebnis anders ausfallen, z.B. für geschlossene Systeme, auf die nur Patienten/Mandanten Zugriff haben und würde § 203 StGB grundsätzlich bejaht werden, würden keine Tatbestandsausschlüsse nach § 203 Abs. 3 StGB greifen.)
Stand: 09.11.2022
reCAPTCHA ist ein von Google LLC betriebener CAPTCHA-Dienst, der Webseiten vor Spam und missbräuchlicher Nutzung durch Bots schützen soll.
•Es werden gewisse Parameter erfasst, um zu beurteilen, ob es sich bei dem Nutzer um einen Menschen oder ein Roboterprogramm handelt.
•Wie genau der von Google entwickelte Algorithmus funktioniert ist nicht öffentlich.
•Jedoch kann davon ausgegangen werden, dass die IP-Adresse, das Interaktionsverhalten des Nutzers und Informationen über die vom Nutzer verwendete Hardware erfasst werden.
•Außerdem werden beim Einsatz von reCAPTCHA eine Vielzahl von Cookies im Browser des Nutzers gesetzt.
Da durch den Einsatz von reCAPTCHA auf dem Endgerät des Nutzers Cookies abgelegt und auf dem Endgerät gespeicherte Informationen zum Tracking abgerufen werden, bedarf es gem. § 25 Abs. 1 TDDDG mindestens der Einwilligung des Nutzers.
Sogar, wenn die Einwilligung eingeholt wird, ergeben sich bei dem Einsatz von reCAPTCHA weitere datenschutzrechtliche Probleme:
•Die Informationspflicht nach Art. 13 DSGVO: Für einen Verantwortlichen dürfte es schwierig werden zu beurteilen, welche Daten überhaupt von Google erhoben werden und v.a. zu welchen Zwecken
•Die Übermittlung der Daten in die USA: Hier ist zu beachten, dass die Unsicherheit, die Schrems II (C‑311/18) geschaffen hat, erhalten bleibt. Ob einzig der Abschluss von SCCs ausreichend ist, bleibt im Hinblick auf Rn. 134 ff. des Urteils fraglich. Denn dort bürdet der EuGH dem Verantwortlichen die Verpflichtung auf „(…) in jedem Einzelfall (…) zu prüfen, ob das Recht des Bestimmungsdrittlands nach Maßgabe des Unionsrechts einen angemessenen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet, und erforderlichenfalls mehr Garantien als die durch diese Klauseln gebotenen zu gewähren.“
•Ob dieser Schutz bei der Übermittlung an US-Unternehmen gewährleistet ist, ist im Hinblick auf die weitreichenden Eingriffsbefugnisse der US-Geheimdienste äußerst kritisch zu sehen. Aus oben genannten Gründen rät auch das Bayerische Landesamt für Datenschutz von dem Einsatz von reCaptcha ab und stellt klar, dass dem Verantwortlichen die Nachweispflicht für die Rechtmäßigkeit des Einsatzes nach Art. 5 Abs. 2 DSGVO trifft
Die Google Fonts Problematik besteht bei jedem vom Google eingesetzten Tool, das Google Fonts einbindet. Hierzu gehört eben auch reCAPTCHA (und auch z.B. auch Google Maps).
Nach eigener LiiDU-Recherche scheint die Problematik bei dem Einsatz von reCAPTCHA und Google Maps zu sein, dass diese Google Fonts stets dynamisch einbinden. Selbst wenn Google Fonts auf derselben Webseite statisch eingebunden ist, laden die beiden Dienste Google Fonts dynamisch von den Google Servern.
Also: eine Nutzung von reCAPTCHA ohne Google Fonts scheint nicht möglich zu sein.
Bei dem Einsatz von reCAPTCHA ist mit Blick auf das Nachladen von Google Fonts das Einholen einer Einwilligung notwendig. Das LG München I hat zwar in seinem Urteil ein berechtigtes Interesse an dem Einsatz von Google Fonts mit der Begründung abgelehnt, dass Google Fonts vom Verantwortlichen auch statisch hätte eingebunden werden können. Das ist nun beim Einsatz von reCAPTCHA aber gerade nicht möglich. Jedoch ist aufgrund der großen Auswahl an alternativen Captcha Diensten die Annahme eines berechtigten Interesses fragwürdig. Beide Alternativen können aber nicht von den oben geschilderten Unsicherheiten befreien, die eine Datenübermittlung in die USA mit sich bringt.
LiiDU-Tipp:
Für Newsletter bietet sich ein sog. Honeypot an. Es wird in Formularen ein zusätzliches (verstecktes) Eingabefeld geschaffen. Es wird die Bedingung eingesetzt, dass das Formular nur verarbeitet werden darf, wenn dieses Feld leer bleibt. Da Bots nur den Quellcode sehen und alle Felder ausfüllen, werden diese als solche entlarvt.
Weitere Alternativen sind Friendly Captcha oder hCaptcha.
Herr Bachmann regt auch an zu prüfen, ob man nicht das reCaptcha generell herausnehmen kann, denn seiner Erfahrung nach ergeben sich hier keine Nachteile bezüglich Sicherheit.
(Erläuterungen: Die von hCaptcha behauptete DSGVO-Konformität steht nicht fest. Außerdem sitzt das Unternehmen in den USA. Die Einbindung von FriendlyCaptcha erfordert einen größeren technischen Aufwand als reCAPTCHA. FriendlyCaptcha sitzt in Deutschland.)
Stand: 05.06.2024
Werbe-Newsletter sind grundsätzlich nach § 7 Abs. 2 Nr. 2 UWG nur mit vorheriger ausdrücklicher Einwilligung des Adressaten zulässig. Hiervon macht § 7 Abs. 3 UWG eine Ausnahme für sog. Bestandskunden. Dies sind Kunden, von denen der Unternehmer, die Email-Adresse im Rahmen eines Verkaufs von Waren oder Dienstleistungen erhalten hat. Bei solchen Bestandskunden darf ein Newsletter an die angegebene Email-Adresse versendet werden, wenn der Kunde dieser Verwendung nicht widersprochen hat und in jeder einzelnen Newsletter-Email auf sein Widerspruchsrecht hingewiesen wird. Des Weiteren darf sich der Newsletter nur auf eigene und ähnliche Waren oder Dienstleistungen beziehen.
Datenschutzrechtlich ist die Newsletter-Werbung gemäß Artikel 6 Abs. 1 S. 1 lit. a DSGVO mit Einwilligung zulässig. Wie Erw. 47 S. 7 DSGVO klarstellt, kann die Direktwerbung aber auch als berechtigtes Interesse nach Artikel 6 Abs. 1 S. 1 lit. f DSGVO betrachtet werden. Artikel 6 Abs. 1 S. 1 lit. f DSGVO kann also insbesondere dann in Betracht kommen, wenn es sich bei den Adressaten des Newsletters um Bestandskunden handelt.
Zur Zusammenlegung von Newslettern:
Gegen eine Zusammenlegung von Newslettern sprechen keine Bedenken, wenn die oben genannten Voraussetzungen erfüllt wurden. Hat der Kunde dem Erhalt des Newsletters wirksam zugestimmt oder kann sich der Versender auf das Bestandskundenprivileg und das berechtigte Interesse berufen, ist die Zusammenlegung mehrerer Newsletter zu einem einzigen weder wettbewerbsrechtlich noch datenschutzrechtlich zu beanstanden. Die Zusammenlegung erfolgt zum Zwecke der (effektivere) Direktwerbung und dürfte damit von der Einwilligung des Betroffenen zur Direktwerbung sowie von dem berechtigten Interesse gedeckt sein. Eine Offenlegung der persönlichen Daten an weitere Dritte erfolgt bei der Zusammenlegung ebenso wenig (auf BCC achten!).
Vorsicht: Beruft sich der Werbende auf das Bestandskundenprivileg, bleibt zu beachten, dass dieses nur bei der Werbung mit ähnlichen Produkten eingreift. Daher ist bei der Zusammenlegung der Newsletter zu beachten, dass auch danach der Kunde nur Werbung bezüglich ähnlichen Waren oder Dienstleistungen erhält (Verwandtschaft der Themen).
Findet die Adressdatenverwaltung über ein einen externen Dienstleister statt, muss sichergestellt werden, dass der Dienstleister die Vorgaben der DSGVO einhält und eine korrekte Verarbeitung der personenbezogenen Daten stattfindet.
Stand: 19.10.2022
Mögliches Szenario – Unternehmen bewirbt sich für ein Qualitätsaudit
Um sich zertifizieren zu lassen, müssen Unternehmen einen Auditprozess unterlaufen. Teilweise werden hierfür Dokumente vorab an die auditierende Stelle übersandt (z.B. für Managementsysteme ISMS und QMS). Eine solche Auditierung findet jährlich statt, wobei die Kategorien betroffener Personen in der Regel speziell die Mitarbeiter umfassen.
Der Zertifizierungsprozess selbst berührt jedoch zumeist auch personenbezogene Daten und schließlich ist die auditierende Stelle eine dritte Partei, die über eine Vertragsbeziehung Einblick in Unternehmensinterna enthält.
Der zwingende Inhalt des Verzeichnisses der Verarbeitungstätigkeiten für einen Verantwortlichen ist in Art. 30 Abs. 1 DSGVO festgelegt:
(1) 1Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. 2Dieses Verzeichnis enthält sämtliche folgenden Angaben:
(a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie
etwaigen Datenschutzbeauftragten;
(b) die Zwecke der Verarbeitung;
(c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
(d)die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
(e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des
betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen
die Dokumentierung geeigneter Garantien;
(f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
(g)wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
Erwägungsgrund 82 wiederholt die in Art. 30 DSGVO niedergelegten Pflichten des Verantwortlichen und des Auftragsverarbeiters.
Eine Ausnahme vom Führen eines Verzeichnisses der Verarbeitungstätigkeit sieht Art. 30 Abs. 5 DSGVO für Kleinstunternehmen und KMUs unter gewissen Voraussetzungen vor:
(5) Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.
Dies wird in Satz 3 des 13. Erwägungsgrundes bestätigt.
Ja, auch Audis sollten in das Verzeichnis für Verarbeitungstätigkeiten aufgenommen werden.
Die Übermittelung von personenbezogenen Daten an die auditierende Stelle ist ein Verarbeitungsprozess nach Art. 4 Nr. 2 DSGVO. Als solcher ist er nach Art. 30 Abs. 1 S. 1 DSGVO in das Verzeichnis der Verarbeitungstätigkeiten aufzunehmen.
Die auditierende Stelle ist Empfänger nach Art. 4 Nr. 9 DSGVO.
Das Verzeichnis der Verarbeitungstätigkeiten sollte, soweit noch nicht geschehen, angepasst werden.
Gegebenenfalls änderungsbedürftige Abschnitte im Verzeichnis sind:
Stand: 19.10.2022
Ausführliche Infos zum Thema interne und externe Datenschutzbeauftragte (DSB) finden Sie in unserem Blog.
Ausführliche Infos zu den Google Fonts Abmahnungen sowie ein Musterschreiben an die Abmahner finden Sie auf unserem Blog
Ausführliche Infos zu den Google Fonts Abmahnungen sowie ein Musterschreiben an die Abmahner finden Sie auf unserem Blog
Ist es als direkter Auftragsverarbeiter des Endkunden rechtlich möglich, denselben AVV, den man mit dem Endkunden geschlossen hat, mit Unterschrift des Endkunden und des Auftragsverarbeiters, als Anlage zu einem AVV zwischen Auftragsverarbeiter und Unterauftragsverarbeiter einzubinden? Über diesen Weg würden keine Lücken oder Unterschiede in den Datenschutzpflichten entstehen.
LiiDU-Tipp:
Konkretisierung der Fragestellung:
Ein Unternehmen mit Sitz in der Schweiz bietet Beratungsdienstleistungen für Unternehmen (!) in der EU an: Es berät bei der Instandhaltung mit SAP und unterstützt mit der Analyse, über Konzeption und Implementierung bis hin zum Betrieb bei SAP; es unterstützt dabei Betreiber, Hersteller und Instandhalter von Assets dabei, ein nachhaltiges Asset Management auf Basis von SAP zu realisieren. Dabei gewinnt es etwa bei der Erstellung von Instandhaltungsplänen via SAP Einsicht darin, welche Beschäftigten der B2B-Kunden wann wo zur Instandhaltung eingesetzt sind.
Gilt die DSGVO für diesen Sachverhalt?
Ja, denn es ist Art. 3 Abs. 1 DSGVO bzw. Art. 3 Abs. 2 DSGVO anwendbar.
Stand: 12.10.2022
Konkretisierung der Fragestellung:
Beschäftigte eines Unternehmens im Einzelhandel bekommen die Möglichkeit, vergünstigt (Elektronik-)Produkte von ausgewählten Herstellern für den Eigenbedarf einzukaufen. Die Produkte müssen für mindestens ein ½ Jahr in Eigengebrauch genutzt werden und dürfen nicht direkt weiterveräußert werden. Die Beschäftigten kaufen diese Produkte in der Filiale ihres Unternehmens, also von ihrem Arbeitgeber, nicht direkt vom Hersteller. Der Hersteller stellt zur Bedingung, dass bei dieser Mitarbeiteraktion ihm der Name der Beschäftigten (und zusätzl. noch die Filiale des Unternehmens, bei die Beschäftigten angestellt sind) übermittelt werden.
Der Hersteller benötigt diese Daten, um zum einen sicherzustellen, dass Beschäftigte des Unternehmens ein Produkt nur einmalig erwerben und zum anderen, um im Falle eines nicht erlaubten vorzeitigen Verkaufs durch Beschäftigte (z.B. bei eBay) entsprechende Herkunftsermittlungen anstreben zu können.
„Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. 3Die Einwilligung hat schriftlich oder elektronisch zu erfolgen, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. 4Der Arbeitgeber hat die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht nach Artikel 7 Absatz 3 der Verordnung (EU) 2016/679 in Textform aufzuklären.“
Die Weitergabe der Namen der Beschäftigten sowie deren Filialzugehörigkeit an den Hersteller ohne vorherige Einwilligung der Beschäftigten ist mit Rechtsunsicherheit verbunden.
Als Rechtsgrundlage für die Weitergabe (ohne Einwilligung) käme einzig das berechtigte Interesse des Verkäufers an der Einhaltung der Wiederverkaufsregeln in Betracht (Art. 6 Abs. 1 S. 1 lit. f DSGVO). Das berechtigte Interesse ist aber mit den Interessen und Rechten der Beschäftigten abzuwägen. Insbesondere ist dabei auch zu berücksichtigen, ob die Beschäftigten mit der Weitergabe ihrer Namen und Filialzugehörigkeit an den Hersteller vernünftigerweise rechnen konnten (Erw. 47 S. 3 DSGVO). Es kommt damit entscheidend darauf an, ob die Aufsichtsbehörde bzw. das Gericht der Meinung ist, dass ein vernünftiger Beschäftigter mit der Weitergabe rechnen musste.
Einschätzung:
Von einer Weitergabe ohne Einwilligung ist in jeden Fall dann abzuraten, wenn der oder die jeweilige Beschäftigte von der vergünstigten Bezugsmöglichkeit keinen Gebrauch gemacht hat. Denn dann hat er auch nicht mit einer Weitergabe seiner Daten an den Hersteller zu rechnen.
Lösung.:
Informationspflichten der Art. 12, 13 DSGVO beachten. Dies kann als Argument dafür angeführt werden, dass der Beschäftigte mit der Weitergabe der Daten rechnen konnte.
Stand: 12.10.2022
Evtl. Art. 6 Abs. 1 S. 1 lit. f DSGVO, wenn die wirtschaftliche Belastung hoch und die Rechtsverletzung gering ist.
Insbesondere Erwägungsgrund 47:
Die Rechtmäßigkeit der Verarbeitung kann durch die berechtigten Interessen eines Verantwortlichen, auch eines Verantwortlichen, dem die personenbezogenen Daten offengelegt werden dürfen, oder eines Dritten begründet sein, sofern die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen; dabei sind die vernünftigen Erwartungen der betroffenen Personen, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen.
Aus unternehmerischer Perspektive sollten die Risiken eines bewussten Verstoßes gegen datenschutzrechtliche Vorschriften sehr genau abgewogen werden. Es handelt sich im Kern um einen Verstoß gegen das informationelle Selbstbestimmungsrecht der betroffenen Personen, also um ein Grundrecht.
Die Höhe eines zu erwartenden Bußgeldes kann im Voraus nicht bestimmt werden, da Art. 83 DSGVO der Behörde einen sehr weiten Spielraum einräumt. Die Behörde ist auch nicht an frühere, ähnliche Entscheidungen gegen andere Unternehmen gebunden. Zu berücksichtigen ist insbesondere, dass die Vorsätzlichkeit des Verstoßes nach Art. 83 Abs. 2 DSGVO strafschärfend wirkt. Außerdem kann die Behörde die Einstellung des Verstoßes nach Art. 58 Abs. 2 lit. d DSGVO anordnen und diese Anordnung mittels Verhängung eines Zwangsgeldes durchsetzen. Von einer dauerhaften oder wiederholenden Verletzung der DSGVO ist abzuraten, da dies ebenfalls zu einem erhöhten Bußgeld führen kann (Art. 83 Abs. 2 S. 2 lit. e DSGVO).
Das Unternehmen sollte nochmals genau prüfen, ob der Einsatz einer datenschutzkonformen Lösung betriebswirtschaftlich doch sinnvoll sein könnte.
Stand: 12.10.2022
Konkretisierung der Fragestellung:
In einem öffentlichen Bereich, sagen wir in einer Flughafenabfertigungshalle oder einem Bahnsteig, kontrolliert eine Kamera die Szenerie.
Die Kamera ist dabei so programmiert, dass sie Gegenstände detektierten kann, die vorher nicht anwesend waren und über einen längeren Zeitraum sich nicht mehr bewegt haben.
Als Beispiel hierfür seien Rücksäcke oder Koffer genannt. Bei einer Detektion wird ein Alarm ausgelöst.
Der Stream der Kamera wird dabei nicht aufgezeichnet und auch nicht an einem Monitor dargestellt. Der Stream befindet sich nur für einen kurzen Zeitraum zur Bildauswertung in einem flüchtigen RAM-Speicher.
Unabhängig von den zwar erfassten Personen, die aber nicht gespeichert werden, ist die Auflösung der Kamera so gut, dass Adressaufkleber mit personenbezogenen Daten, ausgelesen werden könnten.
Der Anwendungsbereich der DSGVO ist nach Art. 2 Abs.1 DSGVO sachlich u.a. wie folgt eröffnet:
Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Art. 4 Ziff. 1 DSGVO:
„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann; …“
Entscheidend ist, ob eine Angabe einer bestimmten Person zugeordnet werden kann, bzw. wenn der Betroffene mit Referenzdaten ermittelt werden kann. Erst bei absoluter Unmöglichkeit, einen Zusammenhang zwischen einem Datum und einer natürlichen Person herzustellen, fehlt es an der Bestimmbarkeit. Problematisch ist einerseits die Frage, ob auch eine „praktische Irrelevanz“ hierzu ausreicht, andererseits aber jene, ob von einer solchen angesichts der technischen Verknüpfungsmöglichkeiten, die moderne Computersysteme bieten, überhaupt noch gesprochen werden kann., vgl. Paal/Pauly/Ernst DS-GVO Art. 4 Rn. 8-13
Braucht es also konkretes Zusatzwissen, damit man von einem Personenbezug sprechen kann? (Beispiel IP-Adresse: nur Provider können sie meist ohne Weiteres einem Nutzer zuordnen, alle anderen hingegen nicht).
EuGH (EuGH ZD 2017, 24 Rn. 46 ff): bei einem gesetzlichen Verbot oder einer praktischen Undurchführbarkeit aufgrund unverhältnismäßigem Aufwands ist das Risiko einer Identifizierung vernachlässigbar. (Aber: schon bei einem Anbieter von Onlinediensten in Bezug auf dynamische IP-Adressen ist ein solches Hindernis nicht gegeben), Paal/Pauly/Ernst DS-GVO Art. 4 Rn. 8-13
Die Verwendung des Begriffs „indirekt“ durch den Unionsgesetzgeber deutet darauf hin, dass es für die Einstufung einer Information als personenbezogenes Datum nicht erforderlich ist, dass die Information für sich genommen die Identifizierung der betreffenden Person ermöglicht. Rn 41
Art. 4 Ziff. 2 DSGVO:
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
…
Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
Hierzu Paal/Pauly/Ernst, 3. Aufl. 2021, DS-GVO Art. 4 Rn. 20:
Verarbeitung (processing) meint jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben (collection), das Erfassen (recording), die Organisation (organisation), das Ordnen (structuring), die Speicherung (storage), die Anpassung (adaption) oder Veränderung (alteration), das Auslesen (retrieval), das Abfragen (consultation), die Verwendung (use), die Offenlegung durch Übermittlung (disclosure by transmission), Verbreitung (dissemination) oder eine andere Form der Bereitstellung (otherwise making available), den Abgleich (alignment) oder die Verknüpfung (combination), die Einschränkung (restriction), das Löschen (erasure) oder die Vernichtung (destruction). Der Begriff ist letztlich (ohne materielle Folgen) weiter, als es der Verarbeitungsbegriff des BDSG aF war. Die in der Definition aufgezählten Begriffe dürften sich zudem zumindest teilw. überschneiden.
Zum Erfassen (recording) nach Art. 4 Ziff. 2 DSGVO: Die Dauer der Speicherung spielt keine Rolle. Auch die flüchtige Speicherung im Arbeitsspeicher stellt eine Verarbeitung im DSGVO-rechtlichen Sinne dar.
Ergebnis:
Bei einer Videoüberwachung im öffentlichen Bereich, bei der personenbezogene Daten per Stream in Echtzeit übermittelt und nur nur flüchtig im RAM-Speicher abgelegt werden, ist der Anwendungsbereich der DSGVO eröffnet.
Es müssen damit die datenschutzrechtlichen Vorgaben eingehalten werden, z.B. Rechtsgrundlage (wahrscheinlich Art. 6 Abs.1 S. 1 lit.f. DSGVO), einen Zweck, die Erfüllung von Informationspflichten etc.. Praktisch ist das in sicherheitssensiblen öffentlichen Bereichen (z.B. Abfertigungshalle Flughafen) gut umsetzbar.
Stand: 26.10.2022
Was ist Adobe-Fonts?
Adobe-Fonts ist eine Sammlung von Schriftarten für die Verwendung auf Websites bereit. Mittels APIs und interaktiven Webverzeichnissen können dann Schriften je nach Bedarf eingebunden werden. Die jeweilige Website greift – wie bei Google Fonts - bei jedem Aufruf auf den US-amerikanischen Server von Adobe zu und lädt die Fonts herunter.
Werden bei der Nutzung von Adobe-Fonts personenbezogene Daten verarbeitet?
Bei der Nutzung von Adobe-Fonts werden wohl (wie bei Google Fonts) IP-Adressen und somit personenbezogene Daten verarbeitet. Somit sind Webseitenbetreiber dazu verpflichtet, einen entsprechenden Cookie-Hinweis zur Einwilligung sowie einen Hinweis in der Datenschutzerklärung vorzuhalten, da es sich bei Adobe um einen US-amerikanischen Anbieter handelt und der Nutzer über die Verarbeitung seiner Daten aufgeklärt werden muss.
Bei der Nutzung von Adobe-Fonts findet eine Datenverarbeitung analog wie bei Google-Fonts statt. Zwar gibt es aktuell noch kein Urteil (ggf. wegen geringerer Verwendung im Gegensatz zu Google Fonts), dass Adobe-Fonts verboten ist, jedoch dürfte die Verwendung ohne Einwilligung datenschutzrechtlich nicht erlaubt sein, da die Verarbeitung von personenbezogenen Daten nicht komplett ausgeschlossen werden kann.
Die aktuelle Rechtsprechung zu Google Fonts kann somit auch auf Adobe-Fonts übertragen werden.
Stand: 05.10.2022
Mit GetLeadForms können mehrstufige Formulare und Chatbots für Websites und Landing Pages erstellt werden, um Leads zu generieren.
GetLeadForms bietet nur Dienste an, die nach europäischen (und damit auch deutschem) Recht ausschließlich per Einwilligung des Users möglich sind. Um GetLeadForms datenschutzkonform nutzen zu können, müssten u.a. folgende Punkte beachtet werden:
Achtung! Es darf erst Cookie gesetzt werden, wenn die Einwilligung des Website-Nutzers eingeholt wurde!
Stand: 05.10.2022
Cookies sind Datenpakete, die von Webbrowsern und Internetseiten erzeugt werden, um individuelle Nutzerdaten zu speichern. Im Internet werden damit vor allem HTTP-Cookies bezeichnet. Das sind Datenpakete, mit denen Webanwendungen personenbezogene Daten sammeln, um beispielsweise Login-Daten, Surfverhalten, Einstellungen und Aktionen in Webapplikationen (z.B. Warenkörbe in Webshops) zu speichern.
Ein Cookie-Banner wird auf Webseiten bspw. dann benötigt, wenn eine Erhebung, Verarbeitung oder Auswertung personenbezogener Daten (v.a. IP-Adressen) technisch nicht notwendig ist (vgl. § 25 TDDDG) und z.B. für Tracking-Analysen vorgenommen wird. Für diese Verarbeitung personenbezogener Daten braucht es eine ausdrückliche Einwilligung des Nutzers, die z.B. mittels eines Cookie-Banners eingeholt werden kann.
Alles zum Thema Cookies: siehe FAQ des Landesbeauftragten für Datenschutz und Informationsfreiheit BW
Falls ja, ist der Webseitenbetreiber gesetzlich dazu verpflichtet, einen Auftragsverarbeitungsvertrag (AV-Vertrag) mit dem Anbieter abzuschließen. Die DSGVO schreibt vor, dass gem. Art. 28 Abs. 3 DSGVO ein Auftragsverarbeitungsvertrag abgeschlossen werden muss, sobald ein Auftragsverarbeitungsverhältnis vorliegt.
Wie wird laut Art. 4 Abs. 8 DSGVO ein Auftragsverarbeiter definiert?
„eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“.
Das dürfte bei Cookie-Banner-Anwendungen regelmäßig der Fall sein!
Beispiel Cookiebot: Bindet eine Webseite ein Cookiebot-Script ein, wird zwangsweise aufgrund des Internet-Protokolls TCP die IP-Adresse des Nutzers durch die Webseite zu Cookiebot weitergeleitet und dort im Sinne der DSGVO verarbeitet, vgl. Ausführungen dazu bei Dr. DSGVO.
Was muss im AV-Vertrag laut Art. 28 DSGVO geregelt werden?
Im Vertrag werden u.a. die jeweiligen Rechte und Pflichten von Auftragnehmer und Auftraggeber geregelt. Des weiteren wird auch der konkrete Gegenstand, die Art und der Zweck der Verarbeitung definiert. Zudem können noch weitere Regelungen, wie z.B. die Dauer des Auftrags, Regelungen zu Informationspflichten und zum Weisungsrecht oder auch Regelungen zur Rückgabe bzw. Löschung von Daten nach Auftragsbeendigung festgehalten werden.
Ergebnis: In aller Regel braucht man einen AV-Vertrag mit dem Cookie-Banner-Anbieter.
Stand: 05.06.2024
Zurzeit werden sehr viele Abmahnung von Mitgliedern der Interessengemeinschaft Datenschutz (kurz: IG Datenschutz) verschickt.
Gefordert werden zwischen EUR 170,- und EUR 800,- Schmerzensgeld.
Webseitenbetreiber haben grundsätzlich die Pflicht, Google Fonts statisch einzubinden, da durch die potenzielle Weitergabe der IP-Adressen der Webseiten-Besucher an Google in den USA eine Persönlichkeitsverletzung gesehen werden kann.
Es gibt das rechtskräftige Urteil des Landgerichts München vom 20.01.2022 – 3 O 17493/29
Hier sollte das Unternehmen, das Google Fonts dynamisch eingebunden hat, einen Schadensersatz wegen Persönlichkeitsrechtsverletzung in Höhe von 100,00 € an den Besucher der Webseite bezahlen.
Folgende Fragen sollten (ggf. in Zusammenarbeit mit einem Rechtsanwalt) geklärt werden:
1. Haben Sie tatsächlich Google Fonts dynamisch eingebunden und kann die Gegenseite den Verstoß nachweisen?
Falls nein, brauchen Sie nicht auf die Abmahnung zu reagieren. Falls ja, lautet die zweite Frage:
2. Welcher Schadensersatz wäre angemessen: EUR 100,-, EUR 170,- oder mehr?
Das ist in jedem Fall eine Frage des Einzelfalls und kann nicht pauschal beantwortet werden.
3. Die vielleicht wichtigste Frage: Ist Herr Ismail bzw. die IG Datenschutz überhaupt berechtigt, solche Abmahnungen auszusprechen?
Hier müsste die Gegenseite zunächst die individuelle Betroffenheit darlegen. Bei der IG Datenschutz ist das in jedem Fall ausgeschlossen (da eine Organisation). Die einzelnen Mitglieder könnten individuell betroffen sein. Allerdings werden diese in den Abmahnungen nicht mit Adresse genannt, was bei einer Anzeige der anwaltlichen Vertretung aber üblich ist.
Des Weiteren werden in der Abmahnung fast ausschließlich Urteile zitiert, die mit Google Fonts nichts zu tun haben. Damit wird der Eindruck erweckt, es gäbe genau zu diesem Thema umfangreiche Rechtsprechung.
Und schließlich kann man auch fragen, ob Herr Ismail die Webseiten eventuell vorsätzlich und mit dem Ziel der Abschöpfung einer Abmahnsumme angesteuert hat. Aufgrund der massenhaften Abmahnungen legt das eine Rechtsmißbräuchlichkeit nahe.
Evtl. wurde daher ein potenzieller Schaden bewusst herbeigeführt. Die Gegenseite müsste darlegen, ob tatsächlich ein individuelles Unwohlsein beim Betroffenen entstanden ist bzw. ein Kontrollverlust und somit ein Schaden, der zu ersetzen wäre. Für einen solchen Fall gibt es kaum Rechtsprechung, deshalb könnte sich hier Widerstand lohnen.
Stand: 05.10.2022
Konkretisierung der Fragestellung:
Wir (DL-Unternehmen im Bereich B2B) sollen Daten der Kunden (E, Endverbraucher) unserer Kunden (K, B2C) bezüglich ableitbarer Verhalten analysieren. Das bedeutet, es interessiert uns letzten Endes nicht, wie ein Kunde E heißt, wo er genau wohnt, wann er genau geboren ist.
Unser Kunde K hat dabei die Daten genau vorliegen, also wie heißt die Person E, welche Email-Adresse(n) hat sie, wie lautet die Adresse, Geburtsdatum, ...; kurzum, unser Kunde K weiß soweit "alles" über seine Kunden E, was Datenschützer-Herzen höher schlagen lässt.
Wie dürfen wir (DL) nun die Daten der Endverbraucher E verwenden bzw. wie muss unser Kunde K uns die gewünschten Daten zur Verfügung stellen?
Uns interessiert wie gesagt NICHT die Adresse, genaues Geburtsdatum, Email-Adresse; Ausschließlich betrachtet werden soll das Geschlecht sowie die Altersspanne (wir dachten an das Alter auf 5 bis 10 Jahre genau, sofern möglich), evtl. eine Umkreis-Angabe zum ungefähren Wohnort / Region des Wohnorts, die bestellten / gekauften Produkte, angesehene Produkte bis zur Kaufentscheidung, ggf. das verwendete Endgerät (Hersteller und Model, nicht Seriennummer!), usw.
An sich dachten wir in einem ersten Schritt der konzeptionellen Überlegungen daran, die Adress- und Namensdaten komplett zu vernachlässigen und noch bei unserem Kunden K eine Verschlüsselung der Email-Adresse vorzunehmen, die von uns als DL nicht wieder zurückgerechnet werden kann ("hashing").* Mit diesen gehashed-ten Email-Adressen könnten wir als DL dann eine ID bilden, die die uns relevanten Informationen anschließend der verschlüsselten ID zuordnen lässt. Hintergrund für diese Notwendigkeit wäre, dass die Infos einzelnen fiktiven Personen zugeordnet und nicht zu einer großen Datenmasse verschmelzen sollen.
In einem vergangenen Datenschutz-Weekly hatten wir über die Begriffe Anonymisierung und Pseudonymisierung gesprochen. Aktuell wäre soweit vermutlich vom Begriff der Pseudonymisierung auszugehen, anhand des Hashes ist das erfolgreiche Durchführen einer Rückrechnung dabei höchst unwahrscheinlich. Unserem Kunde K hingegen würde in dem Szenario voraussichtlich die Zuordnung "genaue Kundendaten" (die K sowieso von E weiß...) zu der verschlüsselten Email-Adresse vorliegen.
Art. 5 Abs. 1 c) DGSVO – Datenminimierung und
Art. 6 DSGVO – Rechtsgrundlage für Verarbeitung notwendig
1. Dienstleister DL muss vom Kunden K also so wenig wie möglich Daten über den Endverbraucher E bekommen.
Idealerweise sollte der Datensatz keine Adressdaten, keine Geburtsdaten, keine Namen und keine Mailadressen umfassen.
2. Wenn der Kunde K die Ergebnisse nach dem Analyseprozess wieder zurückführen kann auf einzelne Personen, dann wäre das ein Analyseverfahren auf Basis personenbezogener Daten, nach denen er die Vorgaben der DSGVO einhalten muss. Dafür braucht er wiederum eine Rechtsgrundlage. Das kann wohl nur durch die vorab eingeholte Einwilligung der Endverbraucher E geschehen.
Ergebnis: Verarbeitet der Kunde K die Daten der Endverbraucher E nach durchgeführter Analyse so, dass er die Daten wieder zusammenführen kann (und damit wieder personenbezogene Daten vorliegen hat), braucht er eine vorherige Einwilligung der Endverbraucher.
Vor Einführung der DSGVO spielte es keine Rolle, welche Daten an den Dienstleister DL geschickt worden wären, da der Auftragsverarbeiter nicht verantwortlich war für die personenbezogenen Daten.
Seit der Einführung der DGSVO ist die Rechtslage anders:
Er muss … hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet, vgl. Art. 28 Abs. 1 DSGVO
Die Verpflichtung geht sogar noch weiter: vgl. Art. 28 Abs. 3, letzter Absatz:
Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.
Stand: 28.09.2022
Die Nutzung von WhatsApp für die Kundenkommunikation ist u.a. wegen folgender Gründe nicht zulässig:
Es ist mittlerweile allgemeine Rechtsauffassung, dass WhatsApp im geschäftlichen Umfeld nicht datenschutzkonform genutzt werden kann.
Vergleiche auch FAQ-Antwort des BayLDA dazu!
Wenn der Kunde den Kontakt initiiert, ist die Rechtslage dieselbe.
Begründung:
WhatsApp-Nachricht braucht (in der Regel) einen registrierten Benutzer.
Mögliche Lösung:
WhatsApp allenfalls privat mit privater Nummer nutzen.
Stand: 05.10.2022
Ausführliche Informationen zur Speicherung von IP-Adressen finden Sie in unserem Blog.
Jeder Onlineshop braucht zwingend eine Datenschutzerklärung, da beim Bestellvorgang personenbezogene Daten erhoben, gespeichert und verarbeitet werden (v.a. Adressdaten, E-Mail-Adressen und IP-Adressen).
In vorliegendem Fall ist der Website-Betreiber eine US-Tochter eines deutschen Unternehmens. Die Datenschutzerklärung muss zwingend nach EU-Recht gestaltet werden, sofern sich das Angebot an Kunden in Deutschland bzw. im EU-Raum richtet, da die Anforderungen der DSGVO (u.a. Art. 13 DGSGVO) und des TDDDG (§ 25 TDDDG) jederzeit eingehalten werden müssen (unabhängig vom Sitz des Webseitenbetreibers).
Rein zivilrechtlich gilt das sog. Herkunftslandprinzip,
Richtet sich das Angebot des Websitebetreibers an US-amerikanische Kundschaft, ist US-Recht zu beachten.
Zu empfehlen sind zwei Websites. Eine für das europäische/deutsche Publikum und eine für das US-amerikanische Publikum.
Stand: 05.06.2024
Art. 6 DSGVO - Rechtmäßigkeit der Verarbeitung
(1)Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Art. 49 DSGVO - Ausnahmen für bestimmte Fälle
(1) Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete Garantien nach Artikel 46, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig:
a) die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde,
b) die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich,
c) die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich,
d) die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig,
e) die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich,
f) die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben,
g) die Übermittlung erfolgt aus einem Register, das gemäß dem Recht der Union oder der Mitgliedstaaten zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, aber nur soweit die im Recht der Union oder der Mitgliedstaaten festgelegten Voraussetzungen für die Einsichtnahme im Einzelfall gegeben sind.
§ 25 TDDDG - Schutz der Privatsphäre bei Endeinrichtungen
1.Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.
2.Die Einwilligung nach Absatz 1 ist nicht erforderlich,
(1) wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
(2) wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.
Art. 6 DSGVO - Rechtmäßigkeit der Verarbeitung
Art. 6 DSGVO bildet die Rechtsgrundlage für alle Arten der Verarbeitung personenbezogener Daten.
Art. 49 DSGVO - Ausnahmen für bestimmte Fälle
Art. 49 DSGVO findet Anwendung, wenn eine Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation stattfindet. Die Norm wird restriktiv ausgelegt und gilt für alltägliche immer wiederkehrende Übermittlungen, z.B. Hotelbuchungen, Flugreservierungen, Überweisungen oder Warenbestellungen.
§ 25 TDDDG - Schutz der Privatsphäre bei Endeinrichtungen
§ 25 TDDDG findet Anwendung bei allen Fällen, bei denen personenbezogene Daten über Endeinrichtungen gespeichert werden, die nicht technisch zwingend nötig sind, um den entsprechenden Dienst zu erbringen, z.B. Cookies oder Analysetools.
Stand: 05.06.2024
Art. 7 DSGVO - Bedingungen für die Einwilligung
Art. 7 Abs. 3 S. 4 DSGVO regelt datenschutzrechtlich, dass die Abbestellung eines Newsletters genau so einfach durchzuführen ist, wie die Einwilligung. Die Einwilligung zum Newsletter-Empfang ist zwingend über ein Double-Opt in Verfahren (§ 7 Abs. 2 Nr. 3 UWG) einzuholen, damit der Datenverarbeiter stets nachweisen kann, dass die betroffene Person ausdrücklich damit einverstanden ist, dass ihre personenbezogenen Daten verarbeitet werden und keine wettbewerbswidrige Handlung bzw. keine „unzumutbare Belästigung“ stattfindet.
Eine One-Click-Lösung zur Abmeldung ist gesetzlich nicht vorgeschrieben, wird in der Praxis aber überwiegend empfohlen.
Nach Art. 7 Abs. 3 S. 4 DSGVO ist es rein datenschutzrechtlich also zulässig, dass der Widerruf mit zwei Klicks (z.B. Anklicken des Abmeldelinks in der Mail + Anklicken auf „Wollen Sie sich wirklich abmelden?) durchgeführt wird, sofern die Einwilligung auch mit zwei Klicks durchgeführt wurde. Weitere Schritte, wie z.B. die Pflicht sich mit einem Kunden-Log-In in ein Portal einzuloggen, um sich aus dem Newsletter Verteiler auszutragen zu können, dürften eher unzulässig sein. Gerade das Wettbewerbsrecht ist hier nutzerfreundlich auszulegen.
Die Abfrage eines Grundes bzw. die erneute Eingabe der E-Mail-Adresse für die Abmeldung ist dann zulässig, wenn dies hinsichtlich der Einfachheit der Abmeldung, mit der Einfachheit der Einwilligung gleichzusetzen ist.
Art. 7 DSGVO - Bedingungen für die Einwilligung
...3. Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein....
Die Abmeldung vom Newsletter ist also unverzüglich umzusetzen. Erfolgt ein erneuter Newsletter-Versand, obwohl eine Abmeldung erfolgte (und damit auch ein Widerruf der Verarbeitung personenbezogener Daten), ist dies als unzumutbare Belästigung nach § 7 Abs. 2 Nr. 3 UWG einzustufen und als unzulässige Datenverarbeitung nach DSGVO. Der Newsletter-Versender ist also in der Pflicht, den Kunden unverzüglich von der Verteilerliste zu streichen, sobald sich ein Kunde vom Newsletter abgemeldet hat. Eine weitere Mail auch am selben Tag ist unzulässig. Der Versender hat dafür Sorge zu tragen, dass die technischen Möglichkeiten so gestaltet sind, dass ab dem Zeitpunkt der Abmeldung keine weitere Mail mehr versendet wird. Der ehemalige Newsletter-Abonnent hat zudem das Recht, seine personenbezogenen Daten auf Wunsch aus der Datenbank löschen zu lassen.
Stand: 21.09.2022
Konkreter Sachverhalt:
Eine Person eines Haushaltes nimmt die Dienste mobiler Pflegeleistungen in Anspruch. Offiziell wurde die Videoüberwachung installiert, sodass Familienmitglieder die zu pflegende Person helfen können, falls diese stürzt. Dadurch wird die Pflegekraft jedoch während des gesamten Besuchs überwacht. Es gibt keine Hinweisschilder, Einwilligungen oder diesbezügliche Vereinbarungen.
Vorliegend geht es nicht nur um die eigene private Sphäre. DSGVO ist m.E. also anwendbar. Etwas anderes gilt z.B., wenn Videokameras auf privaten Grundstücken angebracht werden – und nur das eigene Grundstück überwachen. Dies eröffnet den Anwendungsbereich der DSGVO nicht (vgl. Art. 2 Abs. 2 lit.c DSGVO).
Als Rechtsgrundlage stehen aber immer zur Verfügung:
Das Recht auf informationelle Selbstbestimmung („Volkszählurteil von 1983“ - Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 Grundgesetz (GG)) sowie das Recht am eigenen Bild nach KUG.
Sobald Dritte von den Überwachungen betroffen sind, müssen also deren berechtigte Interessen berücksichtigt werden
--> Abwägung!
Vorliegend halten wir die dauerhafte Überwachung der Pflegeperson, aber auch der zu pflegenden Person für einen erheblichen Eingriff in das informationelle Selbstbestimmungsrecht.
Es ist darauf hinzuweisen, dass eine Überwachung der Pflegekräfte nicht geduldet wird
(Fürsorgepflicht des Arbeitgebers).
Die Kamera ist während der Anwesenheit der Pflegekraft abzuschalten.
Sofern die Pflegekraft mit der Videoüberwachung einverstanden ist, darf die Kamera weiterhin auch den Pflegebesuch aufzeichnen. Hierzu ist eine schriftliche Einwilligung von der Pflegekraft einzuholen und sie muss m.E. auch über ihre Rechte aufgeklärt werden.
Stand: 21.09.2022
BAG-Urteil vom 05.05.2022 (2 AZR 363/21)
Sachverhalt:
Eine Hausangestellte hat von ihrem Arbeitgeber Auskunft nach Art. 15 DSGVO verlangt, einschließlich der über sei erfassten Arbeitszeit. Im Wege der Stufenklage machte sie zudem eine sich aus der Auskunft ergebende Nachzahlung der Vergütung geltend. Mit einem weiteren Antrag verlangte die Klägerin dann die Zahlung eines in das Ermessen des Gerichts gestellten immateriellen Schadensersatzes „auf der Grundlage von Art. 15 DS-GVO“. Die Arbeitszeitaufzeichnungen wurden zwar von der Beklagten übersandt, allerdings nicht innerhalb der Fristen des Art. 12 Abs. 3 und 4 DSGVO.
Da die Beklagte dem Auskunftsbegehren nicht vollständig nachgekommen sei, habe sie Anspruch auf immateriellen Schadensersatz nach Art. 82 DS-GVO, der mindestens 6.000 EUR betrage.
Entscheidung: EUR 1.000,- Schadensersatz ist angemessen.
Begründung:
Es gibt einen weiten Ermessensspielraum des Gerichts, in dem die Besonderheiten des jeweiligen Einzelfalls zu berücksichtigen sind. Wesentlicher Grund der Klage waren vorliegend die Arbeitszeitaufzeichnungen. Diese waren übersandt worden. Die Klägerin habe nicht vorgetragen, dass ihr durch die zu späte Zusendung ein immaterieller Schaden entstanden sei. Nicht jeder Eingriff in das allgemeine Persönlichkeitsrecht in Form des Rechts auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 iVm. Art. GG Artikel 1 Satz 1 GG habe einen Entschädigungsanspruch zur Folge. Im vorliegenden Fall sei eine Persönlichkeitsrechtsverletzung der Klägerin nicht so schwerwiegend, dass sie nur durch eine Geldentschädigung in befriedigender Weise ausgeglichen werden könne. Der Klägerin sei es mit ihrem Auskunftsanspruch ausweislich ihres Prozessverhaltens nicht um den Schutz ihrer persönlichen Daten, sondern um die Beschaffung von Informationen zur Vorbereitung eines Zahlungsanspruchs gegen die Beklagte gegangen. Eine rechtswidrige Beschaffung oder Verwendung personenbezogener Daten durch die Beklagte behaupte die Klägerin indes nicht.
Stand: 20.09.2022
EuGH Urteil zur Vorratsdatenspeicherung
Auswirkungen:
Das Verfahren vor dem Bundesverwaltungsgericht wird nun fortgeführt.
Die Politik hat bereits angekündigt, die Vorratsdatenspeicherung in dieser Form aus dem TKG zu streichen bzw. entsprechend dem EuGH-Urteil zu verändern.
Für den einzelnen Bürger besteht nun Gewissheit, dass der Staat nicht anlasslos Daten auf Vorrat speichern darf. Ausnahme: es liegt eine ernste Bedrohung für die nationale Sicherheit vor.
Es wird nun (hoffentlich) eine politische Debatte darüber geben, wieviel Überwachung in Deutschland notwendig bzw. den Bürgern zumutbar ist.
Stand: 21.09.2022
Bedürfen Controlling-Mitarbeiter in Unternehmen bzw. Konzernstrukturen besonderer Schulungen/Verpflichtungen, damit mit deren Wissen um Löhne und Gehälter einzelner Personen rechtlich korrekt umgegangen wird?
Art. 4 Nr. 19 DSGVO: „eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht“.
Personenbezogene Daten dürfen laut Erwägungsgrund 48 DSGVO bei berechtigtem Interesse zu ganz bestimmten Zwecken innerhalb von Konzernstrukturen ausgetauscht werden. Hierfür muss (zumindest) die rechtliche Grundlage des Art. 6 Abs. (1) f DSGVO (Rechtmäßigkeit der Verarbeitung) erfüllt sein.
Gehaltsdaten könnten z.B. auch anonymisiert bzw. pseudonymisiert verarbeitet werden, sodass keine Zuordnung zu natürlichen Personen möglich ist. Grundsätzlich ist immer der Grundsatz der Datensparsamkeit (Art. 5 DSGVO) zu beachten.
Es gibt keine allgemeingültige Regelung, dass Controlling-Mitarbeiter in Unternehmen bzw. Konzernstrukturen bzgl. der Gehaltsdaten spezielle Schulungen absolvieren müssen.
Wie wird mit der Situation in Konzernstrukturen umgegangen, wenn etwa in einem Unternehmen nur eine Person angestellt ist? Das Controlling z.B. des Mutterkonzerns hat dann die Möglichkeit, die Kostenstelle „Löhne/Gehälter“ dieses Tochterunternehmens einzusehen, in welchem nur eine Person arbeitet – und weiß somit das Gehalt jener Person.
Antwort: Das Wissen über Gehälter ist der Position des Controlling-Mitarbeiters immanent. Betroffene Personen müssen darüber auch nicht gesondert informiert werden. Über Geheimhaltungsverpflichtungen kann (und sollte) allerdings die Verschwiegenheit vereinbart werden. Nur aufgrund der Möglichkeit der konkreten Zuordnung von Gehaltsdaten mehr Personen als benötigt im Unternehmen zu beschäftigen, wäre vermutlich wirtschaftlich gesehen wenig sinnvoll.
Stand: 14.09.2022
Bei einer kostenpflichtigen App werden sensible Gesundheitsdaten verarbeitet. In Folge einer Lösch- anfrage sollen die Daten gelöscht und nicht mehr gesperrt vorgehalten werden. Kann das Löschen per AGB geregelt werden kann?
Art. 17 DSGVO - Recht auf Löschung
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2
Widerspruch gegen die Verarbeitung ein.
d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.
Wann kann ein Antrag auf Löschung gestellt werden?
Um eine Löschung nach Art. 17 DSGVO durchsetzen zu können, muss einer der Gründe des Art. 17 Abs. 1 DSGVO vorliegen. Werden die Daten z.B. im Rahmen einer ärztlichen Behandlung gespeichert, kann nicht willkürlich eine Löschung beantragt werden, da seitens der Ärztekammer eine Aufbewahrungsfrist ärztlicher Aufzeichnungen von mindestens 10 Jahren vorgeschrieben ist,
vgl. § 10 Abs. 3 BO.
Werden sensible Gesundheitsdaten z. B. aber in einer privaten und freiwillig verwendeten Fitness-App gespeichert, kann der Betroffene die Löschung der Daten verlangen.
Ergebnis: Die gesetzliche Grundlage für das Recht auf Löschung ergibt sich aus der DSGVO.
In AGB kann nichts Gegenteiliges geregelt werden.
Nein, prinzipiell ändert eine Anonymisierung der Daten nichts. Zweck und Rechtsgrundlage müssen ja zum Zeitpunkt der Datenerhebung vorgelegen haben (und andauern).
Mit einer Anonymisierung dürfte sich beides ändern.
Hier stellt sich zudem die Frage, ob eine Anonymisierung von sensiblen Gesundheitsdaten überhaupt möglich wäre, wenn der Personenbezug bereits vorhanden war. Es wäre vermutlich lediglich eine Pseudonymisierung (Art. 4 DSGVO) umsetzbar.
Ausweg: Einwilligung des Betroffenen
Stand: 14.09.2022
Urteil des OLG Stuttgart (9 U 24/22)
Sachverhalt:
A bekam vom Amtsgericht München aufgrund seiner geleisteter Zahlung im Rahmen seines Verbraucher-Insolvenzverfahrens nach drei Jahren vorzeitig Restschuldbefreiung. Diese Informationen wurden öffentlich unter www.insolvenzbekanntmachungen.de veröffentlicht. Die beklagte SCHUFA entnahm diese (und weitere ihr verfügbare) Daten über den Kläger, speicherte sie und machte sie ihren Vertragspartners zugänglich, sofern diese ein berechtigtes Interesse an der Kreditfähigkeit des Klägers darlegen konnten.
Auf der Grundlage des von der SCHUFA angewendeten sog. Code of Conduct für die Prüf- und Löschfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien, vorgelegt vom Verband „Die Wirtschaftsauskunfteien e.V.“ (nachfolgend: CoC, Anl. B4) löscht die SCHUFA personenbezogene Daten taggenau drei Jahre nach Ausgleich gespeicherter Forderungen bzw. - nach Antrag betroffener Personen - wenn die Speicherung nach individueller Prüfung nicht mehr erforderlich ist.
Der Kläger hält eine 6-Monatsfrist für ausreichend. Eine darüber hinausgehende Speicherung seiner Daten sei rechtswidrig. Ausschlaggebend sei § 3 Abs. 1 f. InsBekV, wonach diese Daten aus dem Portal nach 6 Monaten zwingend zu löschen sind. Sein Hauptargument: Die weitere Speicherung erschwere ihm entgegen dem mit der Restschuldbefreiung verfolgten Zweck eines wirtschaftlichen Neustarts die Teilnahme am Wirtschaftsleben, obwohl er sich während der Wohlverhaltensperiode vorbildlich verhalten und so viele Schulden getilgt habe, dass die Restschuldbefreiung vorzeitig erteilt worden sei. Insbesondere sei ihm die Finanzierung einer Wohnung oder eines Hauses sowie eines neuen Autos ebenso wenig möglich wie die Überziehung seines Kontos, obwohl es keine gesicherten wissenschaftlichen Erkenntnisse über konkrete Neuverschuldungen mit Zahlungsausfällen und Insolvenzen innerhalb von drei Jahren nach der Restschuldbefreiung gebe.
Begründung:
Datenverarbeitung nach Art. 6 Abs. 1 lit. f) DSGVO zulässig.
Danach muss die im Rahmen der nach Art. 6 Abs. 1 lit. f) DSGVO vorzunehmenden, konkreten Interessenabwägung zugrunde zu legenden Interessen der Betroffene selbst darlegen. Denn aus der Formulierung der Verarbeitungsbeschränkung in Art. 6 Abs.1 lit. f), 2. Halbs. DSGVO „[…] sofern nicht […]“ ergibt sich ein - vom Betroffenen zu widerlegendes - Regel-Ausnahme-Verhältnis für die Zulässigkeit der zur Wahrung berechtigter Interessen erforderlichen Datenverarbeitung. Diese ist nach Art. 6 Abs. 1 lit. f) DSGVO gerade dann rechtmäßig i. S. d. Art. 5 Abs. 1 DSGVO, wenn sie zur Wahrung berechtigter Interessen erfolgt und die Interessen und Rechte der betroffenen Person nicht überwiegen. Nach der Systematik ist die Verarbeitung also immer dann rechtmäßig, wenn sie zur Wahrung berechtigter Interessen erforderlich ist, selbst wenn Interessen des Betroffenen gegenüberstehen, solange diese nur gleichwertig sind.
Sie wird erst dann rechtswidrig, wenn die Interessen und Rechte des Betroffenen überwiegen, wofür folglich er die Darlegungs- und Beweislast trägt
(so auch Paal/Pauly, Frenzel, aaO., Art. EWG_DSGVO Artikel 6 DS-GVO, Rn. 31; vgl. auch Gola, Schulz, DS-GVO, aaO., Art. 6, Rn. 58).
Vorliegend konnte der Kläger kein überwiegendes Interesse und keine überwiegenden Rechte nachweisen.
Die Verarbeitung durch die Beklagte erfolgte aus Art. 6 Abs. 1 lit. f) DSGVO zur Wahrung ihrer eigenen sowie der berechtigten Interessen ihrer Vertragspartner als Dritte, ohne dass überwiegende Interessen des Klägers dem entgegenstehen würde.
(Vorzeitiger) Löschungsantrag ist gescheitert.
Gegenteilige Auffassung:
OLG-Schleswig, Urteil vom 02.07.2021
Die Sache ist vor dem BGH anhängig!
Urteil des OLG Stuttgart (9 U 24/22) – Klage auf Löschung wurde abgelehnt
Eine Verarbeitung personenbezogener Daten, wird erst dann rechtswidrig, wenn die Interessen und Rechte des Betroffenen überwiegen, wofür folglich er die Darlegungs- und Beweislast trägt (so auch Paal/Pauly, Frenzel, aaO., Art. EWG_DSGVO Artikel 6 DS-GVO, Rn. 31; vgl. auch Gola, Schulz, DS-GVO, aaO., Art. 6, Rn. 58).
Stand: 14.09.2022
Ist ein AV-Vertrag nach Art. 28 DSGVO nötig?
Wir hatten im Datenschutz-Weekly hier schon einmal die Frage zu Cloudflare beantwortet (siehe FAQ Datenschutz)
Die Antwort war: wenn personenbezogene Daten über den Dienst erhoben werden, sind alle DSGVO-Vorgaben einzuhalten. Im Falle von Cloudflare ist die Rechtslage unsicher, der TÜV-Süd ist hier den Weg über die technisch-notwendigen Cookies gegangen.
LG Braunschweig: Cookiebot über ein CDN (Content Delivery Networks) ist unzulässig
CDN-Leistungen könnten auch als TK-Leistungen eingeordnet werden und wären dann über § 6 TDDG priviligiert.
Damit wäre das nicht primär ein Datenschutz-Thema.
Ansonsten gilt, was für den DSGVO-konformen Einsatz von Tools notwendig ist:
Stand: 05.06.2024
Art. 5 DSGVO - Grundsätze für die Verarbeitung personenbezogener Daten (Grundsatz der Datenminimierung)
(1) Personenbezogene Daten müssen
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).
§ 26 BDSG - Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses
(1) Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.
Beispiele für weitere Rechtsgrundlagen zu Aufbewahrungspflichten, die neben der DSGVO einzuhalten sind
Stand: 27.07.2022
Pflicht zur E-Mail-Signatur - Rechtsgrundlagen:
Die DSGVO findet hier keine Anwendung!
Nein, weder der Name noch die persönliche Durchwahlnummer des Mitarbeiters sind Pflichtangaben in der E-Mail-Signatur. Eine allgemeine Nummer der Telefonzentrale sowie der Firmenname sind ausreichend. Datenschutzrechtlich ist das unproblematisch, da auf Datenminimierung geachtet wird und für die (interne) Verarbeitung eine Rechtsgrundlage vorliegt.
Es gibt kein Recht auf Anonymität für Mitarbeiter.
Der Punkt unterliegt dem Weisungsrecht des Arbeitgebers. Die datenschutzrechtlichen Grundsätze sind aber natürlich einzuhalten.
Stand: 03.05.2023
§ 5 Allgemeine Informationspflichten
Die Vorgabe, dass das Impressum und die Datenschutzerklärung von jeder einzelnen Unterseite einer Website (egal ob mit Desktop/Mobilgerät) mit maximal zwei Klicks erreichbar sein muss, muss jederzeit zwingend eingehalten werden.
Stand: 05.06.2024
Die DS-GVO schützt personenbezogene Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Art. 2 Abs. 1 DSGVO
Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Konkrete Frage:
Ist das Erfassen von Objekten mit einem optischen Sensor, der die Pixeldaten weder als Datei abspeichern noch an einem Monitor anzeigen kann, datenschutzkonform?
Beck-Kommentar hierzu: Paal/Pauly/Ernst, 3. Aufl. 2021, DS-GVO Art. 2 Rn. 2-10:
Der Begriff Dateisystem (filing system), der im Vorentwurf noch „Datei“ hieß (so wie auch in Art. 2c DSRL), wird definiert in Art. 4 Nr. 6 (→ Art. 4 Rn. 52 ff.) als „jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird“. … Letztlich sind Dateisysteme idS Sammlungen personenbezogener Daten, die gleichartig aufgebaut und nach bestimmten Merkmalen zugänglich sind und ausgewertet werden können (vgl. Art. 2c DSRL).
Erwägungsgrund 15 zur DSGVO: Um ein ernsthaftes Risiko einer Umgehung der Vorschriften zu vermeiden, sollte der Schutz natürlicher Personen technologieneutral sein und nicht von den verwendeten Techniken abhängen.
Das heißt: der Anwendungsbereich der DSGVO ist eröffnet, es handelt sich nicht um rein anonyme Daten oder Ähnliches.
Damit müssen alle Vorgaben der DSGVO eingehalten werden, vor allem Informationspflichten, Auskunftspflichten, etc. Wenn das der Fall ist, können auch optische Sensoren datenschutzkonform eingesetzt werden.
Die korrekte Fragestellung müsste jedoch lauten:
Paal/Pauly/Ernst DS-GVO Art. 2 Rn. 2-10:
Die DS-GVO gilt neben der ganz oder teilw. automatisierten Datenverarbeitung auch für die nicht automatisierte Verarbeitung personenbezogener Daten, wenn diese in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Der Schutz natürlicher Personen soll schließlich neben der automatisierten gleichermaßen auch die manuelle Verarbeitung von personenbezogenen Daten umfassen (ErwGr 15). Dies gilt allerdings nur dann, wenn diese in einem Dateisystem gespeichert sind oder gespeichert werden sollen (ErwGr 15). Die nicht automatisierte Verarbeitung von Daten bezieht sich allein auf den analogen Bereich (insbes. auf Papier).
Das heißt: Speicherung in ein Dateisystem ist nur für die nichtautomatisierte Verarbeitung ein Kriterium. Für die automatisierte Verarbeitung (wie in unserem Fall) gilt die DSGVO auch dann, wenn keine klassische Speicherung in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Das heißt, die Frage muss lauten: Ist der Anwendungsbereich der DSGVO eröffnet, wenn Objekte mit einem optischen Sensor erfasst werden, der die Pixeldaten weder als Datei abspeichert noch an einem Monitor anzeigen kann?
Art. 4 Ziff. 1 DSGVO:
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann; …“
Entscheidend ist, ob eine Angabe einer bestimmten Person zugeordnet werden kann, bzw. wenn der Betroffene mit Referenzdaten ermittelt werden kann. Erst bei absoluter Unmöglichkeit, einen Zusammenhang zwischen einem Datum und einer natürlichen Person herzustellen, fehlt es an der Bestimmbarkeit. Problematisch ist einerseits die Frage, ob auch eine „praktische Irrelevanz“ hierzu ausreicht, andererseits aber jene, ob von einer solchen angesichts der technischen Verknüpfungsmöglichkeiten, die moderne Computersysteme bieten, überhaupt noch gesprochen werden kann., vgl. Paal/Pauly/Ernst DS-GVO Art. 4 Rn. 8-13
Inwieweit braucht es konkretes Zusatzwissen, damit man von einem Personenbezug sprechen kann? Beispiel IP-Adresse: für Provider kann sie ohne Weiteres einem Nutzer zuordnen. Das ist bei Speicherung durch Dritte nicht der Fall.
EuGH (EuGH ZD 2017, 24 Rn. 46 ff): bei einem gesetzlichen Verbot oder einer praktischen Undurchführbarkeit aufgrund unverhältnismäßigem Aufwands ist das Risiko einer Identifizierung vernachlässigbar. (Aber: schon bei einem Anbieter von Onlinediensten in Bezug auf dynamische IP-Adressen ist ein solches Hindernis nicht gegeben), Paal/Pauly/Ernst DS-GVO Art. 4 Rn. 8-13
Die Verwendung des Begriffs „indirekt“ durch den Unionsgesetzgeber deutet darauf hin, dass es für die Einstufung einer Information als personenbezogenes Datum nicht erforderlich ist, dass die Information für sich genommen die Identifizierung der betreffenden Person ermöglicht. Rn 41
Stand: 27.07.2022
Konkrete Ausführung der Frage:
Ein Dienstleister beschreibt in seinem AV folgenden Punkt:
7.3 im AVV
Durch Kontrollen entstehende Kosten trägt der Auftraggeber, dies umfasst auch eine Aufwandsentschädigung für die Arbeitszeit des vom Auftragnehmer beanspruchten Personals.
_______________________________________________________
Nach unserer Auffassung muss dieser Punkt aus dem AV gestrichen werden. Begründung: Aus der Verantwortlichkeit für die Einhaltung der datenschutzrechtlichen Anforderungen ergibt sich die Pflicht des Verantwortlichen, den Auftragsverarbeiter im erforderlichen Umfang zu überprüfen. Er muss sich grundsätzlich fortlaufend von der Einhaltung der zugesagten technischen und organisatorischen Maßnahmen durch den Auftragsverarbeiter überzeugen. Dementsprechend muss der Auftragsverarbeiter Überprüfungen ermöglichen und dazu beitragen (Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO). Diese gesetzlich vorgeschriebene Mitwirkungspflicht darf grundsätzlich nicht von einem gesonderten Entgelt abhängig gemacht werden.
Art. 28 DSGVO Auftragsverarbeiter
„...
(3) Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. 2Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter
h) dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt. …“
Wir teilen Ihre Meinung!
Ein weiters Argument für diese Auffassung: Die Vergütungsklausel könnte eine unangemessene Benachteiligung nach § 307 Abs. 2 BGB darstellen, womit die Klausel auch AGB-rechtlich unzulässig wäre.
Begründung:
Bei Auftragsverarbeitungsverträgen nach Art. 28 DSGVO handelt es sich fast immer um vorformulierte Vertragsbedingungen. Es gibt im AGB-Recht nur enge Grenzen, innerhalb derer von den gesetzlichen Regelungen abgewichen werden dürfen. Da nach Art. 28 DSGVO grundsätzlich dem Auftraggeber das Recht zusteht, seine Kontrollmaßnahmen durchzuführen, kann ihm die Ausübung dieses Rechts nur in sehr engen Grenzen erschwert werden. Insbesondere die Übernahme der Personalkosten des Auftragsverarbeiters ist daher aus unserer Sicht mit der Regelung in Art. 28 Abs. 3 lit. h) DSGVO unvereinbar und damit eine unangemessene Benachteiligung i.S.d. § 307 Abs. 2 Nr. 1 BGB. Damit wäre diese Klausel unwirksam.
Drei Möglichkeiten:
Stand: 20.07.2022
Zur Sprache der Auskunft haben wir keine Vorgaben gefunden, aber zu den Informationspflichten nach DSGVO:
„Grundsätzlich müssen die Informationen für den jeweiligen Betroffenen nach Art. 12 Abs. 1 DSGVO in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen. Hierzu gehört es, die Informationen in der gängigen Sprache des Landes zur Verfügung zu stellen, an das sich das Online-Angebot richtet. Die Europäischen Datenschutzaufsichtsbehörden gehen im Working Paper 260 unter Randziffer 13 davon aus, dass eine Übersetzung dann erfolgen sollte, wenn sich das Angebot an Personen mit einer entsprechenden Sprache richtet. Daraus folgt unsere Empfehlung, eine Übersetzung in jede Sprache des Landes vorzunehmen, an das sich der Onlineshop richtet. …
Sofern ein Online-Shop seine Waren in Europa nicht durchgängig in englischer Sprache, sondern auch in einzelnen Landessprachen der europäischen Union anbietet, muss er sicherstellen, dass die Datenschutzinformationen in der jeweiligen Landessprache vorgehalten werden und Auskunftsbegehren ebenfalls in der jeweiligen Landessprache erfolgen können.“
Stand: 20.07.2022
Art. 32 DSGVO: Sicherheit der Verarbeitung
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
(3) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.
(4) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.
§ 64 BDSG: Anforderungen an die Sicherheit der Datenverarbeitung
(3) Im Fall einer automatisierten Verarbeitung haben der Verantwortliche und der Auftragsverarbeiter nach einer Risikobewertung Maßnahmen zu ergreifen, die Folgendes bezwecken:
1. Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle),
2. Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle),
3. Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle),
4. Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle),
5. Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben (Zugriffskontrolle),
6. Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle),
7. Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle),
8. Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden (Transportkontrolle),
9. Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit),
10. Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit),
11. Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität),
12. Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
13. Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
14. Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennbarkeit).
Ein Zweck nach Satz 1 Nummer 2 bis 5 kann insbesondere durch die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren erreicht werden
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
a) die Verarbeitungszwecke;
b) …“
Das heißt: der Verantwortliche ist zur Auskunft nach den gesetzlichen Vorgaben verpflichtet.
Betroffenenrechte: Recht auf
Diese Rechte sind abschließend. In Frage kommt hier nur Art. 15 DSGVO.
Dieser umfasst keine Auskunft über TOMs.
Stand: 20.07.2022
Zu beachten:
Ja, es ist innerhalb der gesetzten Frist Stellung zu nehmen. Der Antwortbogen ist online unter www.lda.bayern.de/kontrolle auszufüllen und Begründungen sind ebenfalls online einzureichen.
Keine schriftliche Einreichung nötig!
Die Handreichung durchlesen und eventuelle Begründungen damit abgleichen.
Den IT-Sicherheitsbeauftragten und den Datenschutzbeauftragten in die Antwort miteinbinden.
Stand: 20.07.2022
Ich bin Vermieter einer Privatwohnung, die von einer WEG verwaltet wird.
Ist die DSGVO für mich als Vermieter anwendbar? Was muss ich als Vermieter alles einhalten?
LG Wiesbaden, Urteil vom 30.09.2021 - 3 S 50/21
Sachverhalt:
Folge aus dem Urteil des LG Wiesbaden, Urteil vom 30.09.2021 - 3 S 50/21
Diese rechtliche Würdigung kann kritisch gesehen werden, vor allem, wenn steuerrechtlich eine private Vermögensverwaltung gegeben ist.
Stand: 13.07.2022
BGB: § 312k Kündigung von Verbraucherverträgen im elektronischen Geschäftsverkehr
Vertrag zwischen Unternehmer und Verbraucher: Definition des Unternehmers in § BGB 14 :
Vereine fallen darunter.
Begründung eines Dauerschuldverhältnisses: Mitgliedschaft ist ein Dauerschuldverhältnis
Vertrag muss im elektronischen Geschäftsverkehr abgeschlossen worden sein:
Definition in BGB: § 312i Allgemeine Pflichten im elektronischen Geschäftsverkehr
(1) Bedient sich ein Unternehmer zum Zwecke des Abschlusses eines Vertrags über die Lieferung von Waren oder über die Erbringung von Dienstleistungen der Telemedien (Vertrag im elektronischen Geschäftsverkehr), hat er dem Kunden
--> Vereinsmitgliedschaft ist keine Ware und auch keine Dienstleistung!
--> kein Kündigungsbutton erforderlich!
Stand: 13.07.2022
Sowohl die DSGVO, das BDSG als aus das TDDDG schützen grundsätzlich personenbezogene Daten beim Website-Besuch. Die Regelungen im TDDDG stammen ursprünglich aus dem alten IT-Sicherheitsgesetz..
§ 19 Abs. 4 TDDDG regelt, dass Sicherheits-Vorkehrungen für Telemedien zu treffen sind. „Eine Vorkehrung nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.“
Mögliche Ansprüche, wenn eine besuchte Website nicht mit dem https-Protokoll verschlüsselt ist:
Vorgehensweise (wahlweise oder kumulativ):
Art. 19 Abs.1 TDDDG dürfte dabei ein einklagbares Recht darstellen.
Sowie Beschwerde bei der Aufsichtsbehörde, vgl. § 28 Abs. 1 Ziff. 10 TDDDG.
Stand: 05.06.2024
Inhalt:
„Aufgrund ihrer Vorbildfunktion stehen öffentliche Stellen zuvörderst im Fokus. Deshalb werden die Mitglieder der DSK im Rahmen ihrer Zuständigkeit
Dieser Nachweis betrifft vor allem
Ein nicht rechtskonformer Betrieb einer Fanpage wäre im nicht-öffentlichen Bereich wohl bußgeldbewehrt.
Gegen öffentliche Stellen können jedoch keine Bußgelder verhängt werden --> somit kein Druck seitens öffentlicher Stellen, ihre Facebook Fanpages zu deaktivieren?
Stand: 05.06.2024
Gesetzesentwurf (Landtags-Drucksache 18/19572)
Was soll das Bayerische Digitalgesetz bringen?
Ab wann gilt das neue Bayerische Digitalisierungsgesetz?
Der Gesetzesentwurf der Staatsregierung über die Digitalisierung im Freistaat Bayern (Bayerisches Digitalgesetz – BayDiG) (Drucksache 18/19572) ist noch nicht verabschiedet.
Ab wann das Gesetz in Kraft tritt, ist daher noch unklar.
Stand: 06.07.2022
Der Sachverhalt beschreibt wahrscheinlich einen Asset-Deal. Bei Asset-Deals gibt es einen neuen Verantwortlichen im Sinne des Art. 4 Ziff. 7 DSGVO (im Gegensatz zum Share-Deal, bei dem lediglich Anteile des Unternehmen veräußert werden und deshalb der Verantwortliche gleich bleibt).
Beim Asset-Deal braucht man somit eine Anspruchsgrundlage, um die personenbezogenen Daten auf das neue Unternehmen übertragen zu können.
Mögliche Anspruchsgrundlagen:
1. Einwilligung, Art. 6 Absatz 1 Satz 1 lit. a DSGVO: oft schwierig umzusetzen in der Praxis
2. Bei Bestandkunden mit laufenden Verträgen oder zur Aufbewahrung der Kundendaten: Art. 6 Abs. 1 Satz 1 lit. b DSGVO
3. Widerspruchslösung bei berechtigtem Interesse: Art. 6 Abs. 1 Satz 1 lit. f DSGVO, sofern die Übertragung der Daten erforderlich ist und die Interessen der jeweiligen Betroffenen nicht überwiegen. Interessenabwägung!
Egal auf welche Rechtsgrundlage die Übertragung gestützt wird: Art. 13, 14 DSGVO sind in jedem Fall einzuhalten à Information an Betroffenen innerhalb eines Monats.
Ergebnis: Ja, Information ist in jedem Falle notwendig.
Eventuell.
Falls ja, ist bereits vor der Übertragung der Daten jeder Betroffene anzuschreiben und nach Art. 6 Abs. 1 Satz 1 lit. f) DSGVO im Wege der Widerspruchslösung
(Opt-out-Modell) mit einer ausreichend bemessenen Widerspruchsfrist
(in jedem Fall 4, besser 6 Wochen) zu informieren.
Stand: 06.07.2022
Alle Informationen zum Thema Einwilligung, Löschung von Fotos und Bildern und zum Thema Model-Release-Vertrag finden Sie in unserem Blog.
Ausführliche Informationen über den Google Tag Manager finden Sie in unserem Blog.
Man findet oft folgende Hinweise:
1. Gemäß §55 Abs. 2 RStV
2. Gemäß §18 Abs. 1 MStV
3. Gemäß § 6 MDStV
Die Pflicht zur Angabe des Verantwortlichen ergibt sich aus § 5 DDG. Der Mediendienste-Staatsvertrag (MDStV) trat 2007 außer Kraft und wurde komplett ersetzt durch das DDG.
Zusätzlich gibt es die Pflicht, den redaktionell-journalistisch Verantwortlichen zu benennen (sofern vorhanden). Hier ist richtig der Hinweis auf § 18 Abs. 2 MStV. Er hat § 55 Abs. 2 RStV abgelöst, der Rundfunkstaatsvertrag wurde am 07.11.2020 aufgehoben.
Impressum nach § 5 DDG (ehemals TMG):
Beispiel für ein korrektes Impressum
Zusätzlich muss beachtet werden, dass nach § 5 Abs. 2 DDG „weitergehende Informationspflichten nach anderen Rechtsvorschriften unberührt bleiben“. Somit ist auch ein Hinweis auf die Online-Streitbeilegungsplattform der Europäischen Kommission und ob eine Teilnahme daran in Betracht kommt, notwendig. Dies ergibt sich aus Art. 14 I S. 1 VO (EU) Nr. 524/2013, § 36 VSBG. Der Link zur Plattform muss leicht auffindbar sein, sodass sich die Platzierung im Impressum anbietet.
Die Impressumspflicht, früher in § 5 TMG geregelt, ist nun in § 5 DDG zu finden.
§ 5 Allgemeine Informationspflichten
(1)Diensteanbieter haben für geschäftsmäßige, in der Regel gegen Entgelt angebotene digitale Dienste folgende Informationen, die leicht erkennbar und unmittelbar erreichbar sein müssen, ständig verfügbar zu halten:
1.den Namen und die Anschrift, unter der sie niedergelassen sind, bei juristischen Personen zusätzlich die Rechtsform, den Vertretungsberechtigten und, sofern Angaben über das Kapital der Gesellschaft gemacht werden, das Stamm- oder Grundkapital sowie, wenn nicht alle in Geld zu leistenden Einlagen eingezahlt sind, der Gesamtbetrag der ausstehenden Einlagen,
2. Angaben, die eine schnelle elektronische Kontaktaufnahme und eine unmittelbare Kommunikation mit ihnen ermöglichen, einschließlich der Adresse für die elektronische Post,
Wie ist der Fall, wenn eine Auskunftssperre nach §51 Bundesmeldegesetz (BMG) Bundesmeldegesetz (BMG) - § 51 Auskunftssperren vorliegt?
Liegt bei der Person eine melderechtliche Auskunftssperre gemäß § 51 BMG vor, dürfte das aus unserer Sicht keine Auswirkungen auf die Impressumspflicht nach § 5 DDG haben. Die geschützte Person wird selbst abwägen müssen, ob sie persönlich als Impressumsinhaber in der Öffentlichkeit auftreten möchte, wenn sie einer Gefahr für Leib und Leben ausgesetzt ist.
Ein Weg könnte sein, dass die Person die Website nicht als Privatperson betreibt, sondern in Form einer Gesellschaft (GmbH, UG, GbR o.ä). Somit könnten die Kontaktangaben der Gesellschaft verwendet werden.
Stand: 03.07.2024
Folgende Ausführungen wurden zur Erläuterung, man brauche keinen AV-Vertrag, gegeben:
NDL (=Neuer DienstLeister) als Datenverantwortlicher
Bei einer möglichen Zusammenarbeit fungiert NDL technisch gesehen nicht als Datenverarbeiter. NDL ist ein für die Verarbeitung Verantwortlicher, der die Zwecke und Mittel der Verarbeitung festlegt. Dies schränkt unsere Bereitschaft oder Verpflichtung, die Anforderungen der DSGVO zu erfüllen und den Schutz der Rechte der betroffenen Personen zu gewährleisten, nicht ein, ganz im Gegenteil.
Die Datenschutz-Grundverordnung der Europäischen Union (DSGVO) verlangt nur dann einen Vertrag, der für den Auftragsverarbeiter gegenüber dem für die Verarbeitung Verantwortlichen verbindlich ist und in dem die Einzelheiten der Verarbeitung festgelegt sind, wenn die Verarbeitung im Auftrag eines für die Verarbeitung Verantwortlichen erfolgt (Art. 28 Abs. 1 und 3 DSGVO). Dies gilt nicht, wenn der Auftragnehmer in eigener Verantwortung über die Art und Weise der Datenverarbeitung entscheiden soll.
NDL ist ein unabhängiges Unternehmen, das es seinen Nutzern ermöglicht, über seine Online-Plattform sowie über die Anwendungen für mobile Geräte Transport- oder Reisedienstleistungen zu buchen. Als solches bestimmt NDL auch im Vertragsverhältnis mit dem Kunden in eigener Verantwortung und in eigenem Interesse, zu welchen Zwecken und mit welchen Mitteln personenbezogene Daten verarbeitet werden. NDL entscheidet also, "warum" und "wie" die personenbezogenen Daten über seine Plattformen verarbeitet werden sollen.
Auf dieser Grundlage ist NDL ein für die Verarbeitung Verantwortlicher und nicht der Auftragsverarbeiter im Namen eines Kunden, denn:
Auftragsverarbeitung im datenschutzrechtlichen Sinne liegt nur in Fällen vor, in denen eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird.
Die Beauftragung mit fachlichen Dienstleistungen anderer Art, d. h., mit Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund steht bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-) Bestandteil ausmacht, stellt keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar.
Es ist in jedem Einzelfall zu prüfen, ob der Schwerpunkt der Leistung eines Vertragspartners in der Verarbeitung personenbezogener Daten liegt. Ist das der Fall, muss (ggf. zusätzlich zum Leistungsvertrag) ein AV-Vertrag abgeschlossen werden. Ist das nicht der Fall, reicht der Abschluss des Vertrages, der die Erbringung der Leistungen zum Gegenstand hat und es muss kein AV-Vertrag abgeschlossen werden.
Stand: 29.06.2022
Was steht im Urteil vom LAG Schleswig-Holstein: 6 Ta 49/22 vom 01.06.2022?
Beschluss des LAG Schleswig-Holstein: 6 Ta 49/22 vom 01.06.2022
Sachverhalt:
Die Klägerin wandte sich mit dem Verfahren gegen die (teilweise) Versagung von Prozesskostenhilfe. Die Klägerin hatte im Pflegedienst der Beklagten als Pflegehelferin gearbeitet. Sie hatte während des Arbeitsverhältnisses an einem 36-sekündigen Werbevideo teilgenommen. Sie ist in dem Video zunächst unscharf und ab Sekunde 0:11 in Ganzkörperaufnahme zu sehen, wie sie in ein Auto einsteigt, auf dem „Wir suchen Pflegekräfte“ zu lesen ist und ein Audio-Overlay sagt „Steige jetzt mit ein!“. Später ist die Klägerin deutlich und in Portraitgröße im Auto sitzende zu erkennen, während das Audio-Overlay „zwischenmenschliche Beziehungen“ anpreist. Die Klägerin hatte sich nur mündlich zum Videodreh bereit erklärt. Die Beklagte hatte die Klägerin nicht vorab über den Zweck der Datenverarbeitung und ihr Widerrufsrecht in Textform informiert. Die Beklagte veröffentlichte das Video im Internet auf der Plattform „YouTube“. Die Klägerin hatte im arbeitsgerichtlichen Verfahren Unterlassungs- und Schmerzenzgeldansprüche in Höhe von EUR 6.000,- geltend gemacht, das Verfahren endete mit einem (uns unbekannten) Vergleich.
Mit dem vorliegenden verfahren wandte sich die Klägerin gegen die Versagung von Prozesskostenhilfe (diese wurde bezüglich des Schmerzensgeldanspruchs auf einen Gegenstandswert von EUR 2.000,- festgelegt).
Mit Beschluss hat das Arbeitsgericht der Klägerin Prozesskostenhilfe bewilligt, für ihren Antrag auf Zahlung von Schmerzensgeld, dies jedoch nur bis zu einer Höhe von 2.000,00 EUR.
Angesichts der konkreten Umstände des Einzelfalls lag für den der Klagforderung zugrundeliegenden Verstoß die Obergrenze einer noch vertretbaren Höhe des begehrten Schmerzensgelds bei 2.000,00 EUR.
--> EUR 2000,- sind angemessene Obergrenze
Stand: 29.06.2022
Ausführliche Informationen über Google AdWords finden Sie in unserem Blog.
Art. 17 - Recht auf Löschung ("Recht auf Vergessenwerden")
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2
Widerspruch gegen die Verarbeitung ein.
d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.
Nein, ein Antrag auf Löschung kann formlos erfolgen
(d.h. auch per Telefon, per E-Mail oder schriftlich).