Schlagwort-Archive: DS-GVO

Wie weit geht der Auskunftsanspruch Betroffener?

Die DS-GVO stärkt Betroffenenrechte. Das haben wir besonders um den 25. Mai 2018 herum sehr oft gehört. Daran kann man zweifeln. Man kann das Thema abtun. Die Praxis jedoch bestätigt die Tatsache, dass Betroffene und ihre Rechte ernst genommen werden.

Am 26. Juli diesen Jahres musste sich das OLG Köln mit der Frage befassen, wie weit Betroffenenrechte denn nun genau gehen. Im konkreten Fall ging es um Telefonnotizen, die eine Versicherung zu einem Kunden angelegt hatte. Der Kunde wollte gemäß Art. 15 DS-GVO Auskunft über diese Telefonnotizen. Die Versicherung wollte die aber nicht Beauskunften.

In der Schnellfassung: Telefon- und Gesprächsnotizen fallen unter das Auskunftsrecht. Im Ergebnis sollte man sich also sehr gut überlegen, wozu man auch Bemerkungsfelder nutzt.

Bundestag lockert Datenschutzvorgaben?

In seiner Sitzung am 27. Juni 2019 nahm der Bundestag den Gesetzesentwurf zur Anpassung des Datenschutzrechts an. Mit diesem Gesetzesentwurf soll eine Vereinfachung für Vereine, klein- und mittelständische Unternehmen sowie für ärztliche und therapeutische Praxen geschaffen werden.

Ein Datenschutzbeauftragter ist nach dieser Neufassung erst zu bestellen, wenn 20 und mehr Personen regelmäßig mit der Verarbeitung personenbezogener Daten beschäftigt sind.

Na das klingt doch ganz nach einem großen Wurf. In der Realität ergeben sich aus meiner Sicht zwei bemerkenswerte Probleme. In die Ermittlung der Grenze von 20 Beschäftigten ist die Verarbeitung im Auftrag einzubeziehen. Worin aus meiner Erfahrung das viel größere Problem besteht: Eine rechtssichere Datenschutzdokumentation muss ja trotzdem erstellt werden. Das macht nun die verantwortliche Person selbst?

Ob es sich hierbei tatsächlich um eine Erleichterung für die Praxis handelt, bleibt abzuwarten.

Und noch einmal: DS-GVO und Fotos

Im 47. Tätigkeitsbericht des Hessischen Landesbeauftragten für Datenschutz findet man ab Seite 91 einen interessanten und klärenden Abschnitt zum Thema „Fotos und DS-GVO“. Professor Dr. Michael Ronellenfitsch klärt hier noch einmal über das Thema auf.

Digitale Fotos, auf denen einzelne Personen erkennbar und auch identifizierbar sind, fallen unter die Bestimmungen der DS-GVO. Digitales Fotografieren oder Filmen stellen Prozesse der Datenerhebung dar. Ein Veröffentlichen von solchen Fotos oder Videos fällt unter die Prozesse Datenverarbeitung und Datenweitergabe.

Zwei Situationen müssen hierbei allerdings aus der Betrachtung herausgehalten werden: Private Aufnahmen und Aufnahmen, solange diese nicht einem größeren Empfängerkreis (Website, Social Media,…) zugänglich gemacht werden sowie Aufnahmen, die zu journalistischen Zwecken erzeugt wurden. Hier gilt weiterhin der Kunsturhebergesetz (KUG).

Für alle anderen Situationen gilt die DS-GVO. Hierbei dürfte für die meisten Situationen eine Einwilligung als Erlaubnisgrund zur Anwendung kommen. Für das Erteilen einer Einwilligung gibt es verschiedene Möglichkeiten: schriftliches oder mündliches Erteilen sowie einwilligendes Verhalten.

Zum Problem werden alle nicht schriftlich erteilten Einwilligungen dann, wenn es um den Nachweis bezüglich des Erteilens der Einwilligung geht. In diesem Fall stellt die schriftlich erteilte Einwilligung eine sichere Lösung dar. Hinzu kommt, dass die einwilligende Person über ihr Widerspruchsrecht aufgeklärt werden muss. Auch dafür sollte die schriftliche Form der Einwilligung bevorzugt werden.

Kommt noch die Informationspflicht. Für Fotos oder Videos aufgenommene Personen müssen über Gründe für die Aufnahmen und über Verarbeitungsweisen informiert werden. Hier helfen in unübersichtlichen Situationen tatsächlich nur Handzettel, Aushänge oder Schilder.

Spannend wird es dann, wenn Fotos im Rahmen eines Beschäftigungsverhältnisses erzeugt und genutzt/veröffentlicht werden. § 26 Abs. 1 BDSG ist da sehr genau. Aufnahmen, die zur Erfüllung des Beschäftigungsverhältnisses zwingend erforderlich sind, sind zulässig. Nun sind allerdings die wenigsten Beschäftigten Fotomodels. Das heißt, hier kann man sich nur auf die Einwilligung verlassen.

In diesem Zusammenhang sei auf zwei Kriterien einer Einwilligung verwiesen: Freiwilligkeit und Widerspruchsrecht. Willigt ein Beschäftigter nicht in Foto- oder Videoaufnahmen ein, so dürfen ihm daraus keine Nachteile entstehen. Müsste er Nachteilen befürchten, wäre das Freiwilligkeitsgebot verletzt.

Eine einmal erteilte Einwilligung muss widerrufbar sein. Eine spannende Frage hierbei: Welche Löschfristen gelten. Die sollten bereits vorab festgelegt sein. Das kann die verantwortliche Stelle in ihrer Dokumentation tun oder Löschfristen sind in der Einwilligung enthalten. Eine Ausnahme stellen kostenintensive Kampagnen dar. In diesem Fall muss zwischen den Interessen der verantwortlichen Stelle (Kosten) und den Interessen der betroffenen Person abgewogen werden. Bereits veröffentlichte/genutzte Aufnahmen müssen dann unter Umständen nicht gelöscht werden. Der Widerruf kann sich dann nur auf das zukünftige Nutzen beziehen.

Neues zur Videoüberwachung

Die Videoüberwachung öffentlicher Räume durch Privatpersonen, Unternehmen oder Einrichtungen wird durch die DS-GVO geregelt. Am 27. März 2019 urteilte nun das Bundesverwaltungsgericht dazu.

Das Urteil bestätigte die doch sehr engen Grenzen der DS-GVO für Videoüberwachungen. Herangezogen können nur Gründe werden, die so schwerwiegend sind, dass sich ein Eingriff in die Privatsphäre der gefilmten Personen begründen lässt. Das Verhindern von Straftaten wie Eigentumsdelikten, Vandalismus, Brandstiftung u. A. kann als Argument dienen.

Sollte unter diesen Prämissen eine Videoüberwachung möglich und erforderlich sein, sollte das Kurzpapier der Datenschutzkonferenz berücksichtigt werden.

Datenschutztag 2019 in Berlin

Kommt das Thema Datenschutz zur Sprache, erlebe ich oft genervte Reaktionen: Was soll der Mist? Da hält sich doch eh keiner dran! Die Großen machen doch eh, was sie wollen. Ich empfinde das Thema als spannend und ich halte es für wichtig. Unsere Daten repräsentieren uns, sie machen uns zu einordbaren Individuen. Und werden wir nicht manchmal auch wegen unserer Daten stigmatisiert?

Ich sitze also im Park Inn am Alexanderplatz in Berlin. Die Tagung läuft und verspricht, spannend zu werden.

Die DS-GVO kann durchaus nach einem Jahr als Erfolgskonzept bewertet werden. Die Wirtschaft findet jetzt ein harmonisiertes Europäisches Recht vor. Der Binnenmarkt wird gestärkt. Personenbezogene Daten können frei innerhalb der EU übermittelt werden. Die Rechte der Aufsichtsbehörden sind gestärkt. Gleichzeitig wurde deren Aufgabenbereich erweitert. Besonders die Erhöhung der Bußgelder bewirkt einen Handlungsdruck bei den verantwortlichen Stellen. Die Rechte Betroffener wurden gestärkt. Hierbei seien nur das Recht auf Vergessen und und das Recht auf Datenübertragbarkeit zu nennen. Betroffene können sich jetzt an regionale Aufsichtsbehörden wenden, wenn ihre Rechte verletzt wurden. Ein Auseinandersetzen mit ausländischen und damit fremdsprachlichen Behörden entfällt jetzt. Im Land Berlin haben sich beispielsweise die Beschwerden Betroffener um den Faktor 3,5 erhöht.

Ein sehr spannendes Thema stellt der Brexit unter dem Gesichtspunkt von Datenübermittlungen dar. Beachtenswert hierbei ist eine Übermittlung von Daten aus der EU nach Großbritannien. Bei einem No-Deal-Brexit wird GB ab 31. Oktober 2019 zum Drittstaat. Interessanter Weise fällt dieser Schritt nach erneuter Verschiebung jetzt auf Halloween. Da werden wohl die Datengeister toben. Betroffene Stellen müssen Vorsorge treffen. Ein Angemessenheitsbeschluss der EU wird auf sich warten lassen. Warum auch sollte man GB entgegen kommen? Ein wirksames Werkzeug wäre dann Art. 46 Abs. 2 Buchstabe c. Hierbei können Standardvertragsklauseln der EU genutzt und als Vertragsgegenstand implementiert werden.

Ein heikles Thema beschäftigt sich mit Datenschutzvorfällen und den daraus u. U. resultierenden Meldepflichten. Ein meldepflichtiger Datenschutzvorfall liegt immer dann vor, wenn personenbezogene Daten betroffen sind und wenn daraus ein Risiko für die Betroffenen besteht. Die Datenschutzdokumentation sollte für diesen Fall Maßnahmen beschreiben. Der Vorfall muss zunächst intern gemeldet werden. Anschließend ist er zu analysieren und Sofortmaßnahmen müssen abgeleitet werden. Muss die aufsichtführende Behörde in Kenntnis gesetzt werden? Müssen betroffene Personen informiert werden? Jetzt können wiederherstellende Maßnahmen ergriffen werden. Abschließend sollte der gesamte Ablauf reflexiert werden. Welche Lehren vermittelt uns der Vorfall?

Art. 6 DS-GVO und die Vertragserfüllung

Artikel 6 Absatz 1 Buchstabe b erlaubt eine Verarbeitung personenbezogener Daten im Kontext einer Vertragserfüllung. Nun wurde am 10. April 2019 die Leitlinie dazu veröffentlicht.

Eine Verarbeitung personenbezogener Daten ist immer dann zulässig, wenn sie im Rahmen einer Vertragserfüllung erfolgt. Die Leitlinie stellt klar, dass es sich hierbei nicht um einen Freifahrtschein für Unternehmen handelt. Die Verarbeitung ist immer im Kontext von Artikel 5 DS-GVO (Sparsamkeit, Fairness, Transparenz) zu bewerten.

Nur weil im Zuge einer Vertragserfüllung die E-Mail-Adresse gespeichert wurde, bedeutet dies nicht, dass Unternehmen diese dann auch für Werbezwecke verwenden dürfen. Abhilfe kann hier nur eine zusätzliche Einwilligung schaffen.

In diesem Zusammenhang vielleicht interessant: Einem polnischen Unternehmen wurde ein Bußgeld in Höhe von knapp 220.000 Euro auferlegt. Grund war die unrechtmäßige Benutzung vom 6 Mio. E-Mail-Adressen. Das Unternehmen sah es als unverhältnismäßig an, alle Betroffenen darüber zu informieren (Transparenz).

Datenschutz in Europa – Erste Resultate

Die DS-GVO ist Praxis geworden. Viele Aufsichtführende Behörden haben die Kuschelphase abgeschlossen und Bußgelder werden verhängt. Der Europäische Datenschutzausschuss zieht eine erste Bilanz.

Den aufsichtführenden Behörden wurden bisher etwa 200.000 Datenschutzberstöße gemeldet. In diesem Zusammenhang wurden Bußgelder in Höhe von 56 Mio. Euro verhängt. Bedenkt man die Tatsache, dass davon 50 Mio. Euro auf Google entfallen, bleiben noch etwa 6 Mio. Euro „normale“ Bußgelder.

Auch die Bußgelder in Höhe von etwa 6 Mio. Euro müssen relativiert werden. Von den 200.000 Datenschutzverstößen entfallen etwa 95.000 Fälle sind Beschwerden. Hier kann keine Aussage bezüglich der tatsächlichen Verstöße getroffen werden. Beschwerden können ja auch abgewiesen werden.

Fazit sollte sein, dass keine verantwortliche Stelle das Thema Datenschutz aus den Augen verlieren sollte. Dem Risiko einer Datenschutzverletzung kann durch Ein Datenschutzmanagement auf der Grundlage der DS-GVO begegnet werden.

Beschäftigtendatenschutz

Personenbezogene Daten von Beschäftigten unterliegen dem Datenschutz gemäß DS-GVO. Das ist einleuchtend. Was passiert allerdings mit Bewerberdaten? Hier kann es in der Praxis passieren, dass etwas „großzügiger“ verfahren wird. Es kann ja schließlich vorkommen, dass ein Bewerber heute zwar abgelehnt wird, aber vielleicht möchte man später doch noch einmal an ihn heran treten? 6 Monate gelten als akzeptable Aufbewahrungsfrist. Anschließend müssen die Bewerberdaten gelöscht werden. Soll ein Bewerberpool gebildet werden, bedarf es der Einwilligung der Bewerber. Die Kanzlei WBS hat dazu heute einen passenden Artikel publiziert.

Was Bodycams mit Amazon zu tun haben

Die Polizei, z. B. die Bundespolizei, darf Bodycams einsetzen. Die Aufnahmen sind dann auch als Beweismittel zulässig. Entsprechend urteilte unlängst das Landgericht Düsseldorf. Aber wie werden die Aufnahmen gespeichert, wie und an wen werden sie weitergegeben?

Und da kommt nun Amazon ins Spiel. Wie tagesschau.de berichtet, werden diese Aufnahmen auf Servern von Amazon gespeichert. Wenn ich Amazon-Kunde bin, dann gebe ich Amazon meine Daten freiwillig. Wenn ich von der Polizei gefilmt werde, geschieht das eher nicht freiwillig. Ich kann nicht nachvollziehen, wer Zugriff auf diese Daten erhält. Vielleicht sollte man von seinem Auskunftsrecht gegenüber der Bundespolizei Gebrauch machen?

Foto, Film und Datenschutz

Filme oder Videos, die Menschen abbilden, fallen unter das Datenschutzrecht. Das kann man so hinnehmen oder man kann sich fragen: Wo in der Datenschutz-Grundverordnung (DS-GVO) genau steht das denn?

Mit dem Urteil C-345/17 des Europäischen Gerichtshofes vom 14. Februar 2019 muss man sich diese Frage nicht mehr stellen.

Das Urteil ist diesbezüglich präzise: „In Anbetracht der Bedeutung der gegenwärtigen Entwicklung im Zusammenhang mit der Informationsgesellschaft bezüglich Techniken der Erfassung, Übermittlung, Veränderung, Speicherung, Aufbewahrung oder Weitergabe von personenbezogenen Ton- und Bilddaten muss diese Richtlinie auch auf die Verarbeitung dieser Daten Anwendung finden.

Da ist zu dem Thema doch alles gesagt.