Länderübergreifende Kontrolle der deutschen Aufsichtsbehörden zur Umsetzung der SchremsII-Entscheidung

Posted on 1. Juni 2021 by Carlo Piltz

Wie heute bekannt wurde (Pressemitteilung der Berliner Behörde, PDF), führen die deutschen Aufsichtsbehörden gemeinsam abgestimmte Kontrollen zur Einhaltung datenschutzrechtlicher Vorgaben zu internationalen Datenübermittlungen mithilfe von fünf verschiedenen Fragebögen in fünf Themenkomplexen durch. Jede Behörde entscheidet individuell, in welchen dieser Themenfelder sie durch Versenden der Fragebögen tätig wird und an welche Unternehmen sie herantritt. Daher kann es sein, dass manche Behörden nur einen oder wenige Fragebögen wirklich nutzen und andere wiederrum alle Fragebögen versenden. Die wie im Folgenden aufgeführt bezeichneten Fragebögen sind unter folgenden Links abrufbar:

Mailhoster: https://datenschutz-hamburg.de/assets/pdf/Antwortbogen_Mailhoster.pdf
Webhoster: https://datenschutz-hamburg.de/assets/pdf/Antwortbogen_Webhoster.pdf
Tracking: https://datenschutz-hamburg.de/assets/pdf/Antwortbogen_Tracking.pdf
Bewerberportale: https://datenschutz-hamburg.de/assets/pdf/Antwortbogen_Bewerberportale.pdf
Konzerninterner Datenverkehr: https://datenschutz-hamburg.de/assets/pdf/Antwortbogen_Konzerninterner_Datenverkehr.pdf

Innerhalb dieses Blogbeitrags möchte ich auf einige Themen näher eingehen, die bei einer ersten groben Durchsicht der Fragebögen aufgefallen sind.

Selbstbezichtigungsfreiheit vs. Pflicht zur Zusammenarbeit mit den Aufsichtsbehörden

Anders als bei manch anderen Fragebögen, die in der Vergangenheit versendet wurden (siehe bspw. zum Fragebogen der Thüringer Behörde zu Webseiten hier), enthalten die öffentlich verfügbaren Versionen keinen Hinweis darauf, ob die Beantwortung der Fragen freiwillig oder verpflichtend ist. Wahrscheinlich wird dies in den Begleitschrieben der Behörden näher erläutert.

Eine sehr allgemein gehaltene Pflicht von Unternehmen zur Zusammenarbeit mit den Aufsichtsbehörden ist in Art. 31 DSGVO geregelt. Wie weit diese Pflicht reicht, ist derzeit noch vollkommen unklar. Sie wird nicht so ausgelegt werden können, dass Unternehmen sich selbst bezichtigen müssen. Dagegen sind Unternehmen nach dem nemo tenetur Grundsatz aus Art. 47 der Charta der Grundrechte der Europäischen Union geschützt. Hierbei ist jedoch zu beachten, dass der EuGH in mehreren Fällen geurteilt hat, dass die Beantwortung von Tatsachenfragen dem nemo tenetur Prinzip nicht entgegensteht (siehe bspw. EuGH, Rs. T-112/98, Rn. 78 zur Beantwortung von Tatsachenfragen ggü. der Kommission) und Unternehmen auch dann zur Beantwortung solcher Fragen verpflichtet sind, wenn die Antworten für sie selbstbelastend wirken. Dies wird man auch auf die Fragen der deutschen Behörden übertragen müssen, soweit sie sich ausschließlich auf Tatsachen beziehen.

Anderes gilt ggf. für Fragen, bei denen die Behörden nicht nach Tatsachen fragen. So z.B. in Frage 9 des Fragebogens zum E-Mail-Versand / Frage 12 zum Hosting / Frage 11 zum Webtracking / Frage 9 zu Bewerberportalen, in welcher um eine Beschreibung der Gründe für die Rechtmäßigkeit der Verwendung von Standardvertragsklauseln und nach Nachweisen gefragt wird. Innerhalb des Fragebogens zum konzerninternen Datenverkehr wird für den Fall, dass Unternehmen zum Schluss gelangt sind, dass der Empfänger im Drittland die Pflichten aus Standardvertragsklauseln erfüllen kann, nach Gründen für die Schlussfolgerung und Nachweisen gefragt (Frage 8).

Fragen zum Verzeichnis von Verarbeitungstätigkeiten

Die Fragen der verschiedenen Bögen überschneiden sich zum Teil. So wird in jedem Fall nach den Rollen von Dienstleistern (Auftragsverarbeiter oder gemeinsam Verantwortlicher) und nach einem Auszug aus dem Verzeichnis von Verarbeitungstätigkeiten gefragt. Zu Letzterem sind Unternehmen nach Art. 30 Abs. 4 DSGVO verpflichtet. Hierbei sollten Unternehmen beachten, dass von der Frage nach dem Verzeichnis nicht nur die Zusammenarbeit mit Dienstleistern betroffen ist, sondern bspw. nach den „die den Einsatz des Internetangebots betreffenden Teilen“ oder nach „den Betrieb der WWW-Seiten betreffenden Teilen“ gefragt wird. Nach meinem Verständnis meint dies in den beiden zitierten Fällen alle Einträge im Verzeichnis, die eine auf der Website erfolgende Datenverarbeitung betreffen. Man könnte mutmaßen, dass die Behörden sich durch diese weiteren Informationen aus dem Verzeichnis eine noch weiterreichende Prüfung von Websites ermöglichen wollen. Unternehmen sollten ihr Verzeichnis definitiv noch einmal prüfen, bevor sie es als Bestandteil einer Antwort an die Behörde herausgeben.

Frage nach einer möglichen Kenntnisnahme von Daten im Drittland

Innerhalb aller Fragebögen möchten die Behörden von Unternehmen eine Antwort auf die folgende Frage erhalten:

„Sofern die (mögliche) Kenntnisnahme der personenbezogenen Daten in den USA erfolgt, unterfallen Sie oder ein Empfänger der Section 702 des Foreign Intelligence Surveillance Act (FISA) der USA, der US-Behörden Zugang zu den Daten bei Anbietern elektronischer Kommunikationsdienste ermöglicht?“

Im Fragebogen zum konzerninternen Datenverkehr heißt es außerdem wie folgt:

„Bitte beachten Sie, dass es sich auch schon dann um eine Übermittlung im Sinne des Kapitel V DSGVO handelt, wenn Daten, die z.B. in Deutschland gespeichert sind, von einer in einem Drittland befindlichen Person per Fernzugriff aufgerufen werden können.“

Hierbei fällt auf, dass die Aufsichtsbehörden wiederholt auf eine „mögliche“ Kenntnisnahme und auf einen möglichen Fernzugriff für eine „Übermittlung“ abstellen. In der DSGVO gibt es jedoch keinerlei Anhaltspunkte dafür, dass bereits eine rein mögliche, aber nicht tatsächlich erfolgende Kenntnisnahme oder ein solch theoretisch möglicher Fernzugriff eine Datenübermittlung ist. Folglich ist es fragwürdig, was die Behörden aus der Antwort auf Ihre Frage machen möchten. Es ist zumindest denkbar, dass Unternehmen auf die Frage mit „ja“ antworten, für sie aber mangels einer tatsächlich erfolgten Übermittlung die Vorgaben der DSGVO zu Datenübermittlungen jedoch überhaupt nicht gelten und daher für den Dienstleister die Pflichten aus den SCC in Bezug auf die rein theoretische Übermittlung nicht gelten.

Frage zur Änderung der Rechtslage

Grundsätzlich gibt es bei den Fragebögen vielfach Überschneidungen. Innerhalb des Fragebogens zu Bewerberportalen und jenem zum konzerninternen Datenverkehr ist interessanterweise eine Frage zu Datenübermittlungen enthalten, die nicht in den anderen Bögen aufgeführt ist und wie folgt lautet:

„Da sich die Rechtslage im Drittland ändern kann: Wie stellen Sie eine schnelle Reaktion und datenschutzkonforme Anpassung an neue Gegebenheiten sicher? Beschreiben Sie insbesondere den Melde- und den Reaktionsprozess zwischen Ihrem Unternehmen und dem Empfänger im Drittland.“

Die Frage wird für Unternehmen (zumindest auf dem Papier) einfach zu beantworten sein. Innerhalb der SCC gibt es eine Pflicht des im Drittland ansässigen Datenverarbeitenden, das in der EU ansässige Unternehmen über Änderungen in der Rechtslage zu informieren. Daher könnte es ausreichend sein, dass in einem in der Frage beschriebenen Fall die Kommunikation per E-Mail erfolgt und die Parteien in so einem Fall zusammenkommen und die Notwendigkeit prüfen, zusätzliche Maßnahmen für Datenübermittlungen zu vereinbaren oder eine zuständige Aufsichtsbehörde zu kontaktieren.

Frage nach geplanten Maßnahmen und deren Umsetzungsplan

Innerhalb der Fragebögen wird für den Fall, dass die Umstellung auf andere Systeme geplant ist, um Auskunft dazu gebeten, auf welche Lösungen Umstellungen geplant sind, und um Mitteilung zum Stand der Umsetzung nebst Zeitplan für den Abschluss gebeten. Unternehmen sollten aus meiner Sicht bei der Beantwortung dieser Frage vorsichtig sein. Einerseits spricht die Frage an sich dafür, dass sich die Behörden auch derzeit noch mit einem Umsetzungsplan zufrieden geben könnten und nicht die abrupte Umstellung auf solche Anbieter fordern, die Daten ausschließlich in der EU oder dem EWR verarbeiten. Andererseits ist gut denkbar, dass die Behörden in einem zweiten „Schwung“ in Zukunft Unternehmen dazu befragen werden, wie weit die Umsetzung vorangeschritten ist.

Verwaltungsakt oder kein Verwaltungsakt?

Auch bei dieser Aktion stellt sich aus meiner Sicht wieder einmal die Frage, ob die Fragebögen und etwaige Begleitschreiben der Behörde ein Verwaltungsakt sind oder nicht. Oft versuchen Datenschutzbehörden noch einen Verwaltungsaktcharakter abzulehnen, etwa unter Hinweis auf eine fehlende Rechtsbehelfsbelehrung. Dies spielt aber für die Qualifikation als Verwaltungsakt keine entscheidende Rolle. Meines Erachtens sprechen gute Gründe dafür, dass entsprechende behördliche Anschreiben mit diesen Fragebögen als Verwaltungsakt zu qualifizieren sind. Auch das Verwaltungsgericht Mainz ging etwa in einem Urteil davon aus (Urt. v. 09.05.2019, 1 K 760/18.MZ), dass den Behörden eine entsprechende Verwaltungsaktbefugnis beim Versand eines Fragenkatalogs zusteht. Natürlich muss man dennoch das jeweilige Anschreiben und die dortigen Belehrungen sichten, um dann entscheiden zu können, ob die Merkmale eines Verwaltungsakts vorliegen.

Übersetzung erforderlich? Anforderungen an die Sprache einer Datenschutzerklärung nach Ansichten der Aufsichtsbehörden

Posted on 24. Mai 2021 by Carlo Piltz

Die DSGVO enthält keine spezifischen Vorgaben dazu, ob Datenschutzinformationen, etwa in der Form von Datenschutzerklärungen auf einer Webseite, in verschiedene Sprachen der Webseitenbesucher übersetzt werden müssen. Dabei stellt sich diese Frage in der Praxis vielen Unternehmen mit Online-Shops oder online angebotenen Dienstleistungen.

Nach ErwG 39 DSGVO setzt der Grundsatz der Transparenz voraus, dass alle Informationen und Mitteilungen zur Verarbeitung von personenbezogenen Daten leicht zugänglich und „verständlich und in klarer und einfacher Sprache abgefasst sind“. Diese Anforderungen findet sich in Art. 12 Abs. 1 DSGVO wieder. Danach trifft der Verantwortliche geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14, die sich auf die Verarbeitung beziehen, in präziser, transparenter, „verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln“.

Die gesetzlichen Vorgaben verhalten sich (zumindest nicht ausdrücklich) nicht zu verschiedenen Sprachversionen von Informationen nach Art. 13 und 14 DSGVO. Jedoch ist klare Pflicht des Verantwortlichen, dass von ihm bereitgestellte Informationen „verständlich“ sind und in „klarer und einfacher“ Sprache erstellt werden. Diese Merkmal bieten durchaus Auslegungspotential für eine Interpretation, dass Datenschutzerklärungen auch in verschiedenen Sprachen vorgehalten werden müssen.

Dann stellt sich aber die Frage: in welchen Sprachen? Soll ein weltweit zugänglicher Online-Shop seine Datenschutzerklärung auch in Sprachen übersetzen, die außerhalb der EU gesprochen werden, „nur“ weil Besucher von dort Zugriff auf die Webseite haben? Reicht allein eine Zugänglichkeit aus, für eine Übersetzungspflicht?

Ganz so weit scheinen auch die Datenschutzbehörden die DSGVO-Anforderungen nicht zu verstehen. Nachfolgend habe ich eine kleine Übersicht verschiedenster Vorgaben zusammengetragen.

EDSA

Nach den Leitlinien des EDSA zur Transparenz (WP260), bedeutet die Anforderung der „Verständlichkeit“ von Informationen, dass Letztere für einen typischen Angehörigen des Zielpublikums verständlich sein sollten. Die Verständlichkeit ist eng mit der Forderung nach einer klaren und einfachen Sprache verbunden.

Der EDSA knüpft eine Übersetzungspflicht mithin an das Zielpublikum und den bewusst gewählten Adressatenkreis des Verantwortlichen. Dies spricht gegen eine generelle Übersetzungspflicht für Datenschutzerklärungen, allein basierend auf einer Zugänglichkeit des Angebots.

Ebenfalls weist der EDSA darauf hin, dass, „sofern das Zielpublikum des Verantwortlichen betroffene Personen beinhaltet, die eine andere Sprache sprechen“, Übersetzungen in diesen Sprachen bereitgestellt werden sollten. In Fn. 15 wird auch ein Beispiel genannt: „Betreibt der Verantwortliche beispielsweise eine Website in besagter Sprache und/oder bietet spezifische Länderauswahlmöglichkeiten an und/oder ermöglicht die Bezahlung von Waren und Dienstleistungen in der Währung eines bestimmten Mitgliedstaates, kann dies ein Hinweis darauf sein, dass sein Zielpublikum betroffene Personen jenes Mitgliedstaates beinhaltet“. Spannend an diesem Beispiel ist aus meiner Sicht die alternative Verknüpfung der Anforderungen (jeweils bei und/oder). Denn es macht durchaus einen Unterschied, ob eine Webseite betrieben wird und (!) spezifische Länderauswahlmöglichkeiten angeboten werden, oder dies eben nicht der Fall ist.

Meines Erachtens lässt sich aber aus den Vorgaben des EDSA ableiten, dass eine Übersetzungspflicht wohl dann anzunehmen ist, wenn der Verantwortliche sein Angebot bewusst auf einen Adressatenkreis mit einer anderen Sprache ausrichtet. Dieses „Ausrichten“ kann durch mehrere Kriterien festgestellt werden. Zum Beispiel: werden AGB in dieser Sprache vorgehalten; werden Produktinformationen in dieser Sprache vorgehalten; kann in der Landeswährung gezahlt werden?

LfD Niedersachsen

Die LfD Niedersachsen hat auf ihrer Webseite „Informationen für Betreiber von Webseiten zur Anpassung an die DS-GVO“ veröffentlicht. Die LfD fordert dort, dass die Sprache „dem Adressatenkreis anzupassen“ ist. Auch hier knüpft die Behörde ein Übersetzungserfordernis mithin an die durch den Verantwortlichen bewusst adressierten Betroffenengruppen.

Zudem verlangt die LfD: „Richtet sich die Webseite auch an ausländische Nutzer, ist die Datenschutzerklärung entsprechend auch in weiteren Sprachen zur Verfügung zu stellen“.

BayLDA
Auch das BayLDA hat sich schon mit der Frage der Sprache von Datenschutzerklärungen befasst und hierzu FAQ veröffentlicht (PDF).

Nach Ansicht des BayLDA gehört zu Erfüllung der Vorgaben des Art. 12 Abs. 1 DSGVO („verständlich“), die Informationen in der gängigen Sprache des Landes zur Verfügung zu stellen, an das sich das Online-Angebot richtet. Auch das BayLDA verfolgt also einen Ansatz über die Ausrichtung bzw. das Zielpublikum.

Das BayLDA macht hiervon aber auch Ausnahmen. Sofern ein Online-Shop seine Waren in Europa durchgängig in englischer Sprache anbietet und ein Kunde in der Lage ist, in diesem englischsprachigen Onlineshop Waren zu erwerben, kann der Verantwortliche nach Ansicht des BayLDA davon ausgehen, dass dieser Kunde auch englische Datenschutzinformationen verstehen.

Wenn also eine Bestellung in einem Online-Shop nur auf Englisch und zB Deutsch möglich ist, reichen nach Ansicht des BayLDA auch dann Datenschutzinformationen auf Englisch und Deutsch, wenn der Verantwortliche auch Kunden in Spanien, Frankreich oder Rumänien beliefert.

LDA Brandenburg

Das LDA Brandenburg hat ein eigenes Informationsblatt zu den Transparenzpflichten veröffentlicht (PDF). Dort geht das LDA davon aus, dass, falls Verantwortliche gezielt einen anderssprachigen Empfängerkreis ansprechen, die Informationspflichten in der Sprache des angesprochenen Empfängerkreises erfüllt werden müssen. Auch das LDA stützt sich also auf die Ausrichtung des Angebots und die Gestaltung, zB der Webseite.

Das LDA geht auch davon aus, dass, wenn es der betroffenen Person ermöglicht wird, die Webseite in einer anderen Sprache aufzurufen und ggf. die dort angebotenen Dienste zu nutzen, sie erwarten kann, dass sie auch in der Datenschutzerklärung in der ausgewählten Sprache darüber informiert wird, wie ihre personenbezogenen Daten bei dem Besuch der Webseite verarbeitet werden.

Fazit

Eine generelle Übersetzungspflicht, allein aufgrund einer Abrufbarkeit einer Webseite auf der ganzen Welt, besteht nach der DSGVO nicht. Anknüpfungspunkt für die jeweilige Sprache von Datenschutzinformationen ist das Merkmal der „Verständlichkeit“ in Art. 12 Abs. 1 DSGVO. Die Datenschutzbehörden stützen sich bei Ihren Hinweisen auf die Ausrichtung des Online-Angebots und das von dem Verantwortlichen adressierte Zielpublikum. Wer dies ist, kann anhand einiger Kriterien näher bestimmt werden.

Praxisrelevant ist die etwas abweichende Sicht des BayLDA, dass eine Übersetzung in eine Landessprache nicht erforderlich ist, wenn Personen aus diesem Land Waren oder Dienstleistungen über die Webseite zB auch auf Englisch erfolgreich bestellen. Dann genügt eine englische Datenschutzerklärung.

Irische Datenschutzbehörde: Anforderungen an den Schutz der Vertraulichkeit von Daten bei der Kontaktaufnahme mit Unternehmen im Namen einer anderen Person

Posted on 22. Mai 2021 by Carlo Piltz

Die irische Datenschutzbehörde (DPC) hat auf ihrer Webseite einige interessante Fallbeispiele und Empfehlungen für Situationen veröffentlicht, in denen ein Dritter für die betroffene Person ein Unternehmen kontaktiert und zB Auskunft zu seinen Daten oder eine Löschung vornehmen möchte. Die DPC erläutert zunächst das Problem: eine häufige Reaktion von Unternehmen ist, dass den anfragenden Dritten gesagt wird, das Unternehmen würde nur direkt zB mit dem Kontoinhaber kommunizieren, oder die Personen werden aufgefordert, einen sehr hohen Standard an Nachweisen vorzulegen, dass sie im Namen des Kontoinhabers handeln.

Rechtliche Vorgaben

Die DPC weist zunächst auf die zu beachtenden datenschutzrechtlichen Anforderungen hin. Unternehmen sind verpflichtet, personenbezogene Daten sicher aufzubewahren und sie nicht an jemanden weiterzugeben, den sie nicht kennen sollten – in Übereinstimmung mit dem Prinzip der „Integrität und Vertraulichkeit“ in Art. 5 Abs. 1 lit. f DSGVO. Dieser Grundsatz verlangt, so die DPC, dass personenbezogene Daten nur „in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen„.

Von besonderer Bedeutung ist der Begriff „angemessen“. Nach Ansicht der DPC eröffnet dieser Begriff für die Verantwortlichen die Möglichkeit, in diesen Fällen abzuwägen, welches Maß an Sicherheit in den verschiedenen Situationen angemessen ist. Unternehmen sollten Aspekte wie die Art und Sensibilität der betroffenen personenbezogenen Daten, den potenziellen Schaden, wenn personenbezogene Daten an die falsche Person weitergegeben werden, und die Wahrscheinlichkeit, dass Personen legitimerweise im Namen des Kontoinhabers sprechen, berücksichtigen.

Fallbeispiel 1

Die DPC wurde in einer Situation um Rat gebeten, in der eine Person bei dem Versuch, einen Dienstleister über einen Dolmetscher zu kontaktieren, auf Schwierigkeiten stieß. Obwohl der Dolmetscher die relevanten Kontoinformationen korrekt angab, wollte die Organisation nicht mit dem Dolmetscher verhandeln, es sei denn, er legte ein unterzeichnetes Dokument vor, das beweist, dass er die Erlaubnis des Kontoinhabers hat, in dessen Namen zu sprechen.

Die DPC sah in diesem Fall kein offensichtliches Datenschutzproblem, das die Organisation daran hindern würde, mit einem Kunden über den Dolmetscher zu verhandeln. Es war nicht ersichtlich, dass es vernünftig oder unter Sicherheitsaspekten notwendig war, eine zusätzliche Sicherheitsanforderung für die Einschaltung eines Dolmetschers einzuführen, da es kein erhöhtes Risiko eines unbefugten Zugriffs auf personenbezogene Daten gab. Selbst wenn ein zusätzlicher Sicherheitsschritt erforderlich war, um zu überprüfen, ob der Dolmetscher die Erlaubnis des Kontoinhabers hatte, war das Verlangen nach einer unterzeichneten Erlaubnis wahrscheinlich eine unverhältnismäßig hohe Schwelle, bei der die Beantwortung weiterer Sicherheitsfragen oder die Bestätigung der Kontodaten ausgereicht hätte.

Fallbeispiel 2

Einer gehörlosen Person, die einen Gebärdensprachdolmetscher benötigte, als sie mit einem Dienstleister in Kontakt trat, wurde der Zugang zu dem Dienst verweigert, da die Organisation sich weigerte, mit dem Gebärdensprachdolmetscher zu arbeiten. Die Organisation nannte „DSGVO- und Datenschutzbedenken“ als Grund für die Verweigerung des Zugangs.

Nach Ansicht der DPC verhindert oder verbietet aber die DSGVO nicht die Verwendung eines Gebärdensprachdolmetschers, eines Text-Relay-Service oder eines ähnlichen Systems, wenn eine gehörlose oder schwerhörige Person diese Dienste bei der Kontaktaufnahme mit einem Dienstleister nutzen muss. Diensteanbieter sind verpflichtet, geeignete Sicherheitsmaßnahmen zu ergreifen, um die Integrität und Vertraulichkeit der personenbezogenen Daten von Kunden zu schützen. Diese Maßnahmen dürfen jedoch diejenigen nicht unverhältnismäßig benachteiligen, die einen Gebärdensprachdolmetscher oder eine Form des Textdienstes benötigen.

Empfehlungen der DPC

Der Standpunkt der DPC ist, dass das Datenschutzrecht in der Regel Organisationen nicht daran hindert, mit jemandem zu kommunizieren, der den Kontoinhaber vertritt, wenn sie angemessene und verhältnismäßige Schritte unternommen haben, um die Einhaltung ihrer Sicherheits- und Vertraulichkeitsverpflichtungen zu gewährleisten.

Die DPC rät Organisationen, insbesondere Dienstleistern und solchen, die mit der Kundenbetreuung beschäftigt sind, bei der Planung und Umsetzung „geeigneter technischer oder organisatorischer Maßnahmen“ zum Schutz personenbezogener Daten auf einen ausgewogenen und verhältnismäßigen Ansatz bei ihren Sicherheits- und Identitätsprüfungsmaßnahmen zu achten. Im Grunde bleiben die Empfehlungen der DPC vage bzw. belassen das Risiko der Fehleinschätzung hinsichtlich der einzusetzenden Sicherheitsmaßnahmen und -prozesse bei dem Verantwortlichen. Die beiden Beispiele bieten aber zumindest eine gewisse Hilfestellung für Unternehmen. Die DPC verlangt, dass Unternehmen solche Maßnahmen umsetzen, „die sowohl ein hohes Maß an Schutz für den Einzelnen bieten, aber auch diejenigen nicht unverhältnismäßig benachteiligen, die sich nicht ohne weiteres auf diese Maßnahmen einlassen können und die möglicherweise jemanden brauchen, der in ihrem Namen Kontakt aufnimmt“.

Brandenburg: Datenschutzrechtliche Regelung für den Einsatz digitaler Lern- und Lehrmittel sowie Videokonferenz-Tools in Schulen geplant

Posted on 14. Mai 2021 by Carlo Piltz

Seit der Corona-Pandemie ist in der Öffentlichkeit oft darüber diskutiert worden, dass Schulen nicht ausreichend auf diese besondere Situation vorbereitet waren. Stichwort: Digitalisierung. Mittlerweile gehört es zum Alltag vieler Schüler, Unterricht per Videokonferenz-Tools durchzuführen.

In diesem Zusammenhang spielen natürlich auch Fragen des Datenschutzes eine Rolle. Insbesondere, auf welcher Rechtsgrundlage die Schulen personenbezogene Daten von Schülern und Lehrern für die Durchführung des Remote-Unterrichts, bei dem Einsatz von Videokonferenz-Tools oder auch der Bereitstellung von Lernplattformen verwenden dürfen.

In Brandenburg haben die Regierungsfraktionen nun einen Gesetzentwurf vorgelegt, der speziell dieses Thema adressiert (LT Drs. 7/3503, PDF).

Hierfür wird vorgeschlagen, den § 65 Abs. 2 des Brandenburgischen Schulgesetzes anzupassen.

Nach Satz 1 soll folgender Satz eingefügt werden:

„Dies gilt auch für den Einsatz digitaler Lehr- und Lernmittel zur pädagogischen Kommunikation mit den Schülerinnen und Schülern und ihren Eltern oder zur Durchführung schulorganisatorischer Maßnahmen.“

Mit diesem Zusatz soll die Schule eine rechtliche Befugnis im Sinne von Art. 6 Abs. 1 Satz 1 lit. e), Abs. 3 DSGVO erhalten, die die Verarbeitung personenbezogener Daten von Schülerinnen und Schülern, deren Eltern, den Lehrkräften und dem sonstigen Schulpersonal beim Einsatz datenschutzkonformer digitaler Lern- und Lehrmittel zur pädagogischen Kommunikation, insbesondere durch Online-Lernplattformen, Tools für Videokonferenzen und schuleigene E-Mail-Adressen legitimiert.

Die Fraktionen stützen sich für ihren Vorschlag insbesondere auf die Einschätzung der Datenschutzbehörde Brandenburg. Nach deren Ansicht reicht die derzeitige Regelung des § 65 Abs. 2 nicht aus, „da die Nutzung digitaler Lehr- und Lernmittel für die Erfüllung des Erziehungs- und Bildungsauftrages nicht erforderlich ist“. Daher könne derzeit nur auf die Rechtsgrundlage der Einwilligung zurückgegriffen werden. Da die Einwilligung aber zwingend freiwillig zu erteilen ist und auch jederzeit für die Zukunft widerrufen werden kann, besteht das Problem, dass „Schülerinnen und Schüler nach aktuellem Gesetzesstand nicht zur Nutzung digitaler Lehr- und Lernmittel verpflichtet sind“.

Zudem ist die Abschaffung des Einwilligungserfordernisses nach Ansicht der Fraktionen notwendig, da es sich hierbei im Schulwesen um eine rechtlich unsichere Lösung handelt. Der Entwurf verweist hier auf ErwG 43 DSGVO, wonach die Einwilligung nicht als Rechtsgrundlage dienen kann, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht.

Mit der Anpassung des Brandenburgischen Schulgesetzes „wird klargestellt, dass der Einsatz digitaler Lehr- und Lernmittel für die Erfüllung des Erziehungs- und Bildungsauftrages erforderlich ist, sodass eine verpflichtende Nutzung ermöglicht und das Einholen von Einwilligungen obsolet wird“.

Können sich öffentliche Stellen auf den Erlaubnistatbestand der Interessenabwägung berufen?

Posted on 2. Mai 2021 by Carlo Piltz

Nach Art. 6 Abs. 1 S. 2 DSGVO gilt Abs. 1 lit. f „nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung“. Das bedeutet (mE auch unstreitig), dass Behörden nicht den Erlaubnistatbestand der Interessenabwägung (Art. 6 Abs. 1 lit. f) DSGVO) nutzen können, wenn die Verarbeitung „in Erfüllung ihrer Aufgaben“ erfolgt.

Gleichzeitig lässt der Wortlaut von Abs. 1 S. 2 aber durchaus die Interpretation zu, dass Behörden die Interessenabwägung nutzen können, wenn es um Verarbeitungen geht, die gerade nicht der Aufgabenerfüllung dienen. Nun mag man etwas ketzerisch fragen: dürfen denn Behörden überhaupt außerhalb der Aufgabenerfüllung tätig werden? Beantwortet man diese Frage mit „nein“, wäre Art. 6 Abs. 1 lit. f) DSGVO für Behörden tatsächlich per se gesperrt.

Ich halte auch die Ansicht, dass Art. 6 Abs. 1 lit. f) DSGVO für Behörden per se nicht greifen sollte, durchaus für begründbar. Zum einen dürfte sich in der Praxis wirklich die Frage stellen, welche Tätigkeiten eine Behörde außerhalb ihrer Aufgaben durchführt (bzw. nationalrechtlich überhaupt durchführen darf), die nicht gesetzlich geregelt sind; womit dann eher Art. 6 Abs. 1 lit. c) oder e) DSGVO ins Spiel kämen. Zum anderen kann man etwa auch argumentieren, dass die VO (EU) 2018/1725, die datenschutzrechtliche Vorgaben für EU Institutionen (also Behörden) enthält, gerade keinen solchen Erlaubnistatbestand kennt.

Andererseits wird man aber dem Grunde nach mit dem Wortlaut des Abs. 1 S. 2 begründen können, dass von der Norm eben nur die Aufgabenerfüllung ausgeschlossen ist. Daneben mögliche Verarbeitungen, die nicht direkt der Aufgabenerfüllung dienen, könnten daher auf Basis des Art. 6 Abs. 1 lit. f) DSGVO zulässig sein. Für diese Ansicht könnte auch ErwG 49 S. 1 DSGVO sprechen. Dort heißt es, dass die Verarbeitung von personenbezogenen Daten durch Behörden… in dem Maße ein berechtigtes Interesse des jeweiligen Verantwortlichen darstellt, wie dies für die Gewährleistung der Netz- und Informationssicherheit unbedingt notwendig und verhältnismäßig ist. Hier scheint die DSGVO also ausdrücklich von einer Verarbeitung basierend auf einem berechtigten Interesse von Behörden auszugehen.

Zuletzt möchte ich für Interessierte noch einen kleinen Wochenendfund anführen. Im Rahmen der Sitzung vom 27.4.2017 (PDF, TOP 3) der Expertengruppe der Kommission zur DSGVO und zur JIRL, wurde unter den Mitgliedstaaten die oben beschrieben Frage diskutiert. Die EU Kommission positionierte sich hierbei sehr deutlich:

„COM took the view that in line also with case-law and also based on the reading of the GDPR (in particular Recital 49) a public authority could use a CCTV system to protect its staff and property under the legitimate interest legal ground.”

Muss über den Ort der Datenverarbeitung informiert bzw. Auskunft gegeben werden?

Posted on 1. Mai 2021 by Carlo Piltz

Im Rahmen der Erstellung von Datenschutzerklärungen oder auch bei der Beauskunftung von Anträgen nach Art. 15 DSGVO kann sich für Unternehmen die Frage stellen, ob denn der konkrete Ort der Datenverarbeitung anzugeben ist?

In der Praxis verlangen Betroffene zum Teil sehr spezifische Informationen darüber, wo ihre personenbezogenen Daten verarbeitet werden.

Als rechtlicher Anknüpfungspunkt zur Klärung dieser Frage bieten sich meines Erachtens zwei Vorschriften der DSGVO an. Zum einen Art. 13 Abs. 1 lit. e und f DSGVO. Danach soll der Verantwortliche „gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten“ mitteilen und „gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln“. Zum anderen Art. 15 Abs. 1 lit. c) DSGVO, wonach Auskunft zu erteilen ist über „die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen“.

Art. 13 Abs. 1 lit. e) DSGVO

Dem reinen Wortlaut nach, muss nicht über den Ort der Verarbeitung informiert werden. Rein faktisch kann es zudem sehr schwierig sein, wirklich den konkreten Ort der Verarbeitung mitzuteilen. Denn in Zeiten des Cloud-Computings und von gespiegelten Systemen, wissen ggfs. die Verantwortlichen gar nicht genau, wo die Daten liegen.

Abs. 1 lit. e) verlangt eine Information über die Empfänger (oder Kategorien). Es geht hierbei um die Benennung der Empfänger, also etwa des Unternehmens. Dass hierbei zwingend eine Adresse hinzugefügt werden muss, ergibt sich aus der Vorschrift nicht. Zumal der Unternehmenssitz eines Empfängers ja in der heutigen Zeit nun wirklich nicht immer auch der Ort der Datenverarbeitung ist.

Etwas strenger scheint dies der EDSA zu sehen. In der (durch den EDSA bestätigten) Stellungnahme der damaligen Art. 29 Gruppe zur Transparenz (WP 260) heißt es: „Entscheiden sich die Verantwortlichen für die Angabe der Kategorien von Empfängern, sollten diese Informationen unter Angabe der Empfängerart (d. h. der von diesen durchgeführten Aktivitäten), der Industrie, des Sektors und Teilsektors sowie des Standorts der Empfänger so genau wie möglich ausfallen“ (Hervorhebung durch mich, S. 47).

Aber auch hier zielt die Information auf den Standort des Empfängers, was faktisch nicht mit dem Ort der Verarbeitung gleichzusetzen ist. Bsp: der Empfänger mag einen Geschäftssitz in New York haben, jedoch seine Server in Gibraltar betreiben. Aus dieser Ansicht des EDSA würde ich daher auch keine Pflicht zur Information über den Ort der Datenverarbeitung ableiten.

Auch der Landesdatenschutzbeauftragte für Bayern (BayLfD) scheint hiervon auszugehen. In seiner (sehr lesenswerten) Orientierungshilfe zu Informationspflichten (PDF) erläutert er, dass Empfänger nach Möglichkeit konkret benannt werden sollten. Hierfür führt er das folgende Beispiel an: „Rechenzentrum [Name] als Auftragsverarbeiter“. Auch der BayLfD scheint also keine Pflicht zur Angabe einer Adresse oder des Ortes der Verarbeitung anzunehmen.

Art. 13 Abs. 1 lit. f) DSGVO

Auch aus Art. 13 Abs. 1 lit. f) DSGVO dürfte sich keine Pflicht ergeben, den Ort der Datenverarbeitung zu benennen. Nach der Vorschrift muss der Verantwortliche über die Absicht informieren, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln. Bereits dem Wortlaut der Norm nach, ist die Benennung des Ortes nicht vorgeschrieben. Mit Blick auf das Gebot der Transparenz wird man wohl davon ausgehen müssen, dass das Drittland genannt werden soll, in das die Daten übermittelt werden. Spannend finde ich in dieser Hinsicht die Ansicht des BayLfD in der oben erwähnten Orientierungshilfe. Dort erläutert die Behörde wie folgt: „

„Art. 13 Abs. 1 Buchst. f DSGVO verlangt nicht, dass das betreffende Drittland oder die betreffende internationale Organisation namentlich genannt wird“.

Der BayLfD empfiehlt jedoch aus Transparenzgründen, diese Information ebenfalls zu erteilen. Für diese Ansicht der Behörde dürfte sprechen, dass nach der Norm nur über die „Absicht“ informiert werden muss, Daten in ein Drittland zu übermitteln. Also etwa wie folgt: „Wir beabsichtigen, Daten in ein Drittland zu übermitteln“. Freilich plus der Hinweis auf einen Angemessenheitsbeschluss oder dessen Fehlen sowie andere Garantien nach Art. 46 DSGVO oder Ausnahmen nach Art. 49 DSGVO.

Der EDSA vertritt hier übrigens eine ähnliche Position. In der Leitlinie zur Transparenz heißt es: „normalerweise bedeutet dies, dass die Drittländer namentlich angegeben werden“ (S. 48). Auch der EDSA scheint also nicht per se von einer Pflicht zur Angabe des Drittlands auszugehen. Dann kann erst recht keine Pflicht zur Angabe des Ortes der Datenverarbeitung bestehen.

Art. 15 Abs. 1 lit. c) DSGVO

Die Vorgabe zur Information im Rahmen von Auskunftsverfahren ähnelt sehr stark der Pflicht nach Art. 13 Abs. 1 lit. e) DSGVO. Die Gründe für eine Ablehnung zur Benennung des Ortes der Verarbeitung, lassen sich daher meines Erachtens übertragen.

Zusätzlich könnte man hier (im Fall der Diskussion) noch die Ansicht des AG Seligenstadt (Urt. v. 23.06.2020 – 1 C 7/19 (3)) anführen. Dort wurden Ansprüche gegen eine Sparkasse geltend gemacht, u.a. mit der Forderung, Auskunft wie folgt zu erteilen: „Alle Daten, die zu Verarbeitungszwecken zu den Klägerinnen gespeichert werden, wo diese gespeichert werden und wer auf die gespeicherten Daten Zugriff hat. … Ferner ist Auskunft zu erteilen, welche Daten über Clouddienste gespeichert werden“.

Das AG lehnte diesen Anspruch ab. Da nach Ansicht des AG bereits interne Vermerke und Vorgänge nicht unter den Auskunftsanspruch des Art. 15 DSGVO fallen,

„ist die Beklagte erst recht nicht dazu verpflichtet, die Datenträger und etwaige Cloudspeicher, die sie für die Datenspeicherung nutzt, offenzulegen“. Zudem geht das AG davon aus, dass es ausreicht, wenn Kategorien von Drittempfängern genannt werden.

Ganz unabhängig hiervon, hätte ich aus Unternehmenssicht auch Sicherheitsbedenken, anfragenden Betroffenen den konkreten Ort meiner Datenverarbeitung zu benennen. Denn die Angabe zum Standort der Server (bzw. auch der Backups), kann ja im schlimmsten Fall durchaus ein Sicherheitsrisiko für Unternehmen darstellen. Ggfs. kann man im Rahmen derartiger Anfragen daher auch die Pflichten des Unternehmens nach Art. 32 DSGVO zum Schutz der personenbezogenen Daten anführen (etwa im Rahmen des Art. 15 Abs. 4 DSGVO).

Berliner Datenschutzbehörde: Risiken bei Betroffenenanfragen an no-reply Adressen und in Ticket- oder CRM-Systemen

Posted on 18. April 2021 by Carlo Piltz

In ihrem aktuellen Jahresbericht 2020 (pdf) bespricht die Datenschutzbehörde aus Berlin einen sehr praxisrelevanten Aspekt der Erfüllung von Betroffenenanfragen, etwa in Bezug auf Löschung oder Auskunft (ab S. 164). Es geht um die Frage, ob Verantwortliche Anfragen auf jeglichem Kommunikationskanal beachten und bearbeiten müssen oder ob man Betroffene auf einen speziellen Datenschutzkontakt verweisen darf?

Die Ansicht der Berliner Behörde ist sehr klar: Verantwortliche müssen sicherstellen, dass alle eingehenden datenschutzrechtlichen Anfragen die zuständige Stelle erreichen und von dieser beantwortet werden.

No-reply Adressen – ein DSGVO-Problem

Hauptargument der Behörde ist die Vorgabe des Art. 12 Abs. 2 DSGVO. Danach ist der Verantwortliche verpflichtet, der betroffenen Person die Ausübung ihrer Rechte gemäß den Art. 15 bis 22 zu erleichtern. Zudem verweist die Behörde auf die allgemeine Verantwortlichkeitsvorschrift des Art. 24 DSGVO. Die Behörde geht davon aus, dass Verantwortliche durch technisch-organisatorische Maßnahmen sicherstellen müsse,

„dass alle Datenschutzanfragen, die eingehen, an die zuständige Fachabteilung weitergeleitet und dort bearbeitet werden.“

Speziell in Bezug auf sog. No-Reply-E-Mail-Adressen, bei denen Antworten an die Absender-Adresse nicht gelesen werden, geht die Behörde davon aus, dass jedenfalls dann ein datenschutzrechtliches Problem bestehe,

„wenn in ihnen nicht zumindest eine Adresse angegeben wird, an die Kund*innen sich wenden können und bei der eingehende datenschutzrechtliche Anfragen bearbeitet werden“.

Interessant hierbei ist, dass die Behörde also nicht verlangt, dass die Anfrage tatsächlich bearbeitet wird, wenn zumindest in der E-Mail an den Betroffenen deutlich gemacht wird, an welche Adresse sie sich bei Datenschutzfragen wenden können. Zumindest verstehe ich die Aussage der Behörde oben so, quasi als Minimum-Anforderung.

Genau im Satz danach wird die Ansicht der Behörde dann aber doch wieder scheinbar strenger:

„Im Ergebnis müssen Verantwortliche alle Anträge auf Geltendmachung von Betroffenenrechten bearbeiten, egal auf welchem Weg sie eingehen“.

Meiner Ansicht nach wiedersprechen sich die beiden zitierten Ansichten jedoch nicht unbedingt. Die Behörde verlangt grundsätzlich, das Betroffenenanfragen stets bearbeitet werden. Alles andere wäre ja auch überraschend. Geht es um den speziellen Fall einer no-reply Adresse, die deutlich als solche erkennbar ist und in der eine Alternative für Datenschutzanfragen angegeben wird, scheint die Behörde aber zumindest die von der DSGVO geforderte „Erleichterung“ als erfüllt anzusehen. Ich verstehe die Behörde so, dass es vor allem problematisch ist, wenn Betroffene nicht erkennen können, dass der von ihnen gewählte Kanal nicht bearbeitet wird und ihnen auch keine Alternative deutlich erkennbar angeboten wird.

Ticket- und CRM-Systeme

Interessant sind dann auch noch die Ansichten der Behörde zur Bearbeitung von Betroffenenanfragen in Ticket- oder CRM-Systemen, wie sie in der Praxis fast überall zum Einsatz kommen.

Die Behörde verweist darauf, dass bei der Nutzung von Ticket- oder CRM-Systemen darauf zu achten sei,

„dass Anfragen nicht etwa automatisch gelöscht werden, wenn sie nicht einem bestehenden Kund*innenkontakt zugeordnet werden können“.

Bedeutet etwa bei Auskunftsanfragen, dass auch Personen, die keine Kunden sind, eine Negativauskunft zu erteilen ist.

Zudem berichtet die Behörde von einem Fall, in dem im Verlauf der Kommunikation zwischen dem Kundenservice und einer betroffenen Person irgendwann auch das Datenschutzteam in Kopie genommen wird, das verwendete CRM-System aber auf solche Konstellationen nicht eingestellt sei. In diesem Fall wurde dann wohl eine solche E-Mail nur ins CRM-System eingespielt, aber nicht dem Datenschutzteam zugestellt. Der Kundenservice hielt sich für die Beantwortung der datenschutzrechtlichen Anfrage nicht für verantwortlich, wusste aber auch nicht um die Problematik der fehlenden automatischen Weiterleitung an das Datenschutzteam.

Insgesamt zeigt der Bericht der Datenschutzbehörde, dass Anfragen von Betroffenen immer Ernst genommen und intern schnell der zuständigen Abteilung weitergeleitet werden müssen. Wichtig hierbei ist auch eine entsprechende Sensibilisierung der Mitarbeiter, insb. Über Schulungen, interne FAQ-Seiten oder ähnliches.

Cookie-Einwilligungen nach dem TTDSG: Bald nur noch Buttons mit „Einwilligen“ und „Ablehnen“ zulässig?

Posted on 11. April 2021 by Carlo Piltz

Aktuell wird im Bundestag der Entwurf für ein Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG, BT Drs 19/27441, PDF) diskutiert. Bekanntlich sollen im TTDSG datenschutzrechtliche Regelungen aus dem TKG und dem TMG zusammengeführt werden. Zudem soll es in § 24 TTDSG eine neue Vorgabe zur Einwilligung beim Einsatz von Cookies und auch anderen Tracking-Technologien geben.

In diesem Zusammenhang ist die Stellungnahme des Bundesrats vom 26.3.2021 (BR Drs 163/21, PDF) ganz interessant.

In Ziff. 4 d) bittet der Bundesrat darum, dass im weiteren Gesetzgebungsverfahren im TTDSG eine Ermächtigungsgrundlage geschaffen wird

„um damit für Nutzerinnen und Nutzer eine einfachere und standardisierte Handhabung in Bezug auf die Ausgestaltung ihrer Einwilligung nach § 24 TTDSG-E zu ermöglichen.“

Diese Forderung klingt zunächst recht unverfänglich. Zumal ich mich frage, welche Art von „Ermächtigungsgrundlage“ der Bundesrat hier anspricht. Aus Sicht des Bundesrates mag es evtl. um eine Ermächtigung für die Bundesländer gehen; was aber im Ergebnis wieder die Gefahr unterschiedlicher Ansätze in der Praxis birgt.

In der Begründung zu der Forderung erläutert der Bundesrat:

„Mit der zunehmenden Umsetzung dieser Regelung wird der Besuch von Internetseiten für Endnutzerinnen und Endnutzer jedoch zunehmend beschwerlicher. Um eine für Endnutzerinnen und Endnutzer einfache und schnelle Handhabe zu ermöglichen, erscheint eine einfache Gestaltung beispielsweise mithilfe von nur zwei Buttons („Einwilligen“, „Ablehnen“) zielführend.“

Die Begründung referenziert hier auf die in der Praxis zu beobachtenden Cookie-Banner bzw. Consent-Management-Tools, die von Nutzern die Wahl hinsichtlich des Einsatzes von Cookies und anderer Tracker verlangen. Dies scheint aus Sicht des Bundesrates für die Nutzer kaum noch verständlich und evtl. auch zu beschwerlich zu sein. Als Lösung („einfache und schnelle Handhabe“) schlägt der Bundesrat daher wohl eine für Unternehmen verpflichtende Gestaltung des Frontends vor. Es soll nur zwei Buttons geben: „Einwilligen“, „Ablehnen“.

Eine solch spezifische Vorgabe existiert in der ePrivacy Richtlinie und auch in der DSGVO derzeit nicht.

In der Praxis sind die Einwilligungsabfragen auf Webseiten und Apps sehr unterschiedlich gestaltet. Viele der aktuell verwendeten Pop-ups und Cookie-Banner würden die hier angedachte verpflichtende Vorgabe zur Darstellung bei der Einwilligungsabfrage wohl nicht erfüllen.

Daneben regt der Bundesrat übrigens auch die Schaffung der Möglichkeit an, dass Einwilligungen über Browsereinstellungen erteilt werden können. Neu ist diese Idee nicht. So sieht bereits ErwG 66 der RL 2009/136/ EG (mit der Art. 5 Abs. 3 RL 2002/58/EG angepasst wurde) vor: „Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden“. Ergänzend schlägt der Bundesrat aber vor, dass solche Einstellungen im Browser jedoch Einzeleinwilligungen als Ausnahme berücksichtigen müssten. Also, wenn ein Nutzer zB das Tracking ablehnt, für bestimmte Seiten aber doch zustimmen möchte. Dann dürfe, nach Ansicht des Bundesrats, die Browsereinstellung dies nicht unterbinden. Ganz ähnliche Themen werden im Übrigen aktuell im Rahmen der Verhandlungen zur ePrivacy Verordnung diskutiert.

Online-Terminvereinbarung in Arztpraxen – Anforderungen des ULD

Posted on 8. April 2021 by Carlo Piltz

In seinem aktuellen Tätigkeitsbericht 2021 stellt das ULD Schleswig-Holstein u.a. auch seine Ansicht zu den datenschutzrechtlichen Anforderungen beim Einsatz von Terminbuchungssoftware bzw. -dienstleistern im medizinischen Bereich vor (ab S. 52).

Zum Ersten stört sich das ULD daran, dass zwar eine Terminbuchung auf einer solchen Plattform verschlüsselt möglich ist, jedoch die Antwort oft unverschlüsselt erfolgt. Ich vermute, dass ULD meint hier vor allem eine auf Webseiten eingesetzte TLS-Verschlüsselung bei der Übertragung der Daten. Jedoch merkt das ULD kritisch an, dass die Antwort per unverschlüsselter E-Mail an Patienten erfolge. Nach Ansicht des ULD genügt dies wohl nicht den Anforderungen des Art. 32 DSGVO (richtig deutlich wird es im Bericht aber nicht).

Praktisch relevant für Arztpraxen und andere Institutionen im Gesundheitsbereich ist der Hinweis des ULD, dass die „Verantwortung“ für die sichere Übermittlung der Arzt trage.

„Durch geeignete technische und organisatorische Maßnahmen ist sicherzustellen, dass Unbefugte keine Kenntnis davon erhalten, wann wer warum in der Praxis einen Termin hat.“

An dieser Feststellung ist sicher richtig, dass der Arzt oder etwa ein Krankenhaus als Verantwortlicher nach Art. 32 DSGVO verpflichtet ist. Doch muss man auch darauf hinweisen, dass ein eingesetzter Auftragsverarbeiter (z.B. der Dienstleister für die Buchung von Online-Terminen) originäre Pflichten nach Art. 32 DSGVO bzgl. der Sicherheit der Verarbeitung hat. In der Konsequenz bedeutet dies nach Art. 82 Abs. 2 S. 2 DSGVO auch, dass ein Auftragsverarbeiter gegenüber Betroffenen selbst für Verstöße auf Schadensersatz haften kann. Natürlich könnte aber etwa das ULD dennoch überlegen, in einem solchen Fall ein Bußgeld gegen den Verantwortlichen zu verhängen, etwa mit der Begründung, er habe den Dienstleister nicht ordentlich ausgewählt oder die technischen Maßnahmen des Dienstleisters akzeptiert.

Zum Zweiten geht das ULD davon aus, dass der Einsatz solcher externen Dienstleister für Terminbuchungen „regelhaft“ eine Auftragsverarbeitung darstellen wird. Und hieraus ergeben sich für das ULD zwei Anforderungen, die ich so jedoch aus der DSGVO nicht herauslese und hinsichtlich derer man daher zumindest auch anderer Ansicht sein kann.

Zum einen verlangt das ULD tatsächlich, dass „ein schriftlicher Auftragsverarbeitungsvertrag abgeschlossen wurde“. Nur dann sei die Auftragsverarbeitung zulässig. Diese Ansicht widerspricht klar den Vorgaben der DSGVO, konkret Art. 28 Abs. 9 DSGVO. Danach ist der Vertrag zwar schriftlich abzufassen, was aber auch in einem elektronischen Format erfolgen kann. Bedeutet (auch nach Ansicht anderer Behörden): Auftragsverarbeitungsverträge können auch elektronisch (zB per PDF und E-Mail Versand) abgeschlossen werden.

Zum anderen verlangt das ULD, dass die bei dem Dienstleister tätigen Personen „auf das Datengeheimnis verpflichtet“ wurden. Zumindest formell muss diesbezüglich angemerkt werden, dass die DSGVO den Begriff „Datengeheimnis“ nicht kennt. Nach Art. 28 Abs. 3 lit. b DSGVO müssen bei dem Dienstleister tätige Personen auf Vertraulichkeit verpflichtet worden sein. Jedoch kann man festhalten, dass sich der Inhalt des früheren Datengeheimnisses nach § 5 BDSG aF, also das Verbot der unrechtmäßigen Verarbeitung, in verschiedenen Regelungen der DSGVO wiederfindet. Mehr Informationen und Empfehlungen hierzu, hatte ich einmal in den BVD News niedergeschrieben (PDF, S. 16). Das in § 53 BDSG erwähnte „Datengeheimnis“ spielt hier keine Rolle, da die Vorschrift eine Umsetzung der JIRL darstellt und nicht in den Anwendungsbereich der DSGVO fällt.

Bundesdatenschutzbeauftragter zur Anonymisierung: Rechtsgrundlage und DSFA erforderlich

Posted on 2. April 2021 by Carlo Piltz

In seinem kürzlich veröffentlichten Tätigkeitsbericht (PDF), geht der BfDI auch auf den durch ihn initiierten Konsultationsprozess zum Thema der Anonymisierung von personenbezogenen Daten und damit zusammenhängenden datenschutzrechtlichen Anforderungen ein.

Wie wir wissen, lässt die DSGVO den Rechtsanwender leider nur mit wenigen Informationen zur Anonymisierung zurück. In ErwG 26 DSGVO wird erwähnt, dass die Grundsätze des Datenschutzes nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen. Mehr gibt die DSGVO leider nicht her. Daher war der durch den BfDI angestoßene Prozess zu begrüßen.

Nachfolgend möchte ich einige praxisrelevante Ansichten des BfDI darstellen.

Zum einen spricht sich die Aufsichtsbehörde klar dafür aus, dass jede Anonymisierung eine Verarbeitung personenbezogener Daten darstellt

„und bedarf deshalb einer Rechtsgrundlage“.
S. 72

Interessant sind die Aussagen des BfDI zu den Rechtsgrundlagen. Zwar kommt grundsätzlich jede der in Art. 6 Abs. 1 DSGVO genannten Erlaubnistatbestände in Betracht. Nach Ansicht des BfDI hätten aber vor allem die Einwilligung (!) und die Weiterverarbeitung nach Art. 6 Abs. 4 DSGVO in Verbindung mit der ursprünglichen Rechtsgrundlage Relevanz. Diese Ansicht hat mich doch etwas erstaunt. Zum einen würde ich in der Praxis eigentlich immer auf die Einwilligung verzichten, wenn es möglich ist. Warum? Die zum Teil sehr formellen Anforderungen sind (je nach Auslegung) wahnsinnig hoch. Meiner Erfahrung nach kann eine Anonymisierung zB auch sehr gut auf Art. 6 Abs. 1 lit. c DSGVO oder eine Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO gestützt werden.

Zum anderen war ich (positiv) von der Ansicht des BfDI überrascht, dass er eine zweckändernde Verarbeitung auf die ursprüngliche Rechtsgrundlage stützt. Das ist ein durchaus diskutiertes Thema in der Literatur und auch bei den Behörden; u.a. mit dem Argument, dass der entsprechende Hinwies in ErwG 50 DSGVO ein Versehen (im Sinne eines Restes der Verhandlungen) sei. Der BfDI geht aber genau auf diesen ErwG ein. Bedeutet: diese Ansicht des BfDI gilt nicht nur exklusiv für eine Anonymisierung und datenverarbeitende Stellen sollten diese Position im Hinterkopf behalten.

Daneben ist meines Erachtens die Ansicht des BfDI von besonderer Praxisrelevanz, dass vor einer Anonymisierung

„grundsätzlich eine Datenschutz-Folgenabschätzung nach Art. 35 Abs. 1 DSGVO durchzuführen“
S. 72

ist. Für Unternehmen bedeutet dies vor allem eines: Aufwand.

Ein Beispiel, welches sicher des Öfteren zutrifft: Software- oder sonstige Produkthersteller möchten personenbezogene Daten anonymisieren, bevor sie diese für Zwecke der statistischen Analyse zur Fehlersuche oder Produktverbesserung nutzen. Der BfDI begründet seine Ansicht u.a. damit, dass bei einer Anonymisierung der Verantwortliche regelmäßig davon ausgehen müsse, dass voraussichtlich ein hohes Risiko besteht. Das liege daran, dass in der Regel eine „Verarbeitung in großem Umfang“ stattfindet und die jeweilige Anonymisierungstechnik dem Begriff der neuen Technologien unterfällt. Damit verweist die Behörde wohl auf die durch den EDSA aufgestellten Kriterien zum Erfordernis einer DSFA (nach Ansicht der Behörden muss bei Erfüllung von zwei oder mehr Kriterien eine DSFA durchgeführt werden). Gesetzlich zwingend vorgesehen, ist die DSFA im Fall der Anonymisierung freilich nicht. Es ist etwa in der DSGVO schon gar nicht definiert, wann eine Verarbeitung „in großem Umfang“ vorliegt. Daher sollten Unternehmen stets für die von ihnen geplante Form der Anonymisierung prüfen, ob wirklich eine DSFA erforderlich ist. Hierfür bietet sich eine sog. Schwellwertanalyse an.

Page 12 of 35« First ‹ Previous 8 9 10 111213 14 15 16 Next ›Last »

de lege data

Datenschutz – Privacy – Web 2.0

Category Archives: Datenschutz-Grundverordnung