|
|
Liebe Abonnentinnen und Abonnenten,
heute erhalten Sie den de lege data Newsletter 2/2023. Ich wünsche Ihnen eine gute Woche!
|
|
|
|
Aktuelle Beiträge im Blog
|
|
|
|
Schwedische Datenschutzbehörde: E-Mail-Kommunikation mit Informationen zur Optimierung oder Personalisierung eines kostenpflichtigen Online-Dienstes ist nicht „notwendig“ zur Vertragserfüllung (Art. 6 Abs. 1 b) DSGVO) – sondern Direktmarketing
|
Geplante Gesetzesänderung: BfDI als alleinige Datenschutzaufsichtsbehörde für alle Kranken- und Pflegekassen (und mehr)
|
|
|
|
|
|
|
Geplante Änderung des BDSG – Neue Zuständigkeitsregelung für gemeinsam Verantwortliche
|
Datenschutzbehörde Österreich: Unzulässige Datenabfragen durch Mitarbeiter können Meldepflichten (Art. 33 und 34 DSGVO) an die Datenschutzbehörde und Betroffene auslösen
|
|
|
|
|
|
|
Oberlandesgericht Hamm: Rechenschaftspflicht der DSGVO führt zur sekundären Darlegungslast und Nachweispflichten
In seinem Urteil vom 15.08.2023 (Az. 7 U 19/21) hat sich das OLG Hamm unter anderem mit der Frage der Auswirkungen der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO im deutschen Prozessrecht befasst. Die Entscheidung zeigt einmal mehr, wie wichtig eine ordentliche interne Dokumentation zur Umsetzung von DSGVO-Anforderungen ist.
Gerade in Verfahren zu datenschutzrechtlichen Themen kann die sekundäre Darlegungslast eine wichtige Rolle spielen. Denn betroffene Personen können „von Außen“ nicht in die Verarbeitungssysteme und -prozesse von Verantwortlichen schauen.
Die sekundäre Darlegungslast trifft den Prozessgegner der primär darlegungsbelasteten Partei, wenn diese keine nähere Kenntnis der maßgeblichen Umstände und auch keine Möglichkeit zur weiteren Sachaufklärung hat, während der Prozessgegner alle wesentlichen Tatsachen kennt und es ihm unschwer möglich und zumutbar ist, nähere Angaben zu machen. Und wichtig:
„Genügt der Anspruchsgegner seiner sekundären Darlegungslast nicht, gilt die Behauptung des Anspruchstellers nach § 138 Abs. 3 ZPO als zugestanden“.
Nach Auffassung des OLG Hamm ergibt sich die sekundäre Darlegungslast daraus, dass den Verantwortlichen (hier: die Beklagte) nach Art. 5 Abs. 2, Art. 15 DSGVO umfassende Rechenschafts- und Auskunftspflichten zu Verarbeitungszweck, -art und insbesondere auch zur Offenlegung / Zugänglichmachung der Daten gegenüber Dritten treffen.
„Insbesondere aber trägt die Beklagte nach Art. 5 Abs. 2 DSGVO als Verantwortliche die Beweislast dafür, dass die Daten unter anderem für festgelegte, eindeutige und legitime Zwecke erhoben und auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden“.
Und noch ein besonders interessanter Aspekt: das OLG Hamm geht davon aus, dass personenbezogene Daten gerade wegen der Rechenschaftspflicht nicht zu löschen sind.
„… so dass im Hinblick auf die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) gerade kein Anlass dafür bestand, die Daten zu löschen, sondern im Gegenteil ein Anlass dafür bestand, die Daten weiter zu sichern.“
Nach Ansicht des OLG Hamm fordert die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO, dass Verantwortliche, auch in Gerichtsprozessen, die Einhaltung der Grundsätze nach Abs. 1 nachweisen können.
„Er muss damit also generell – und entgegen dem Ansatz der Beklagten auch im Zivilprozess – nach dem in Art. 5 Abs. Absatz 2 DSGVO verankerten Grundsatz der Rechenschaftspflicht nachweisen können, dass er die in Abs. 1 dieses Artikels festgelegten Grundsätze für die Verarbeitung personenbezogener Daten einhält“.
Vorliegend bezog das OLG Hamm dies etwa auch auf die einschlägige Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO.
|
|
|
|
|
Bundesregierung: Betroffene können in geringeres Schutzniveau für Daten (Art. 32 DSGVO) einwilligen
Die Bundesregierung hat Ende August den „Entwurf eines Gesetzes zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz – DigiG)“ beschlossen.
Das Gesetz hat insbesondere zum Ziel, die Möglichkeiten der elektronischen Patientenakte (ePA) zur Steigerung der Patientensicherheit und der medizinischen und pflegerischen Versorgungsqualität zu nutzen, indem sie durch Umstellung auf eine Widerspruchslösung („Opt-out“) flächendeckend in die Versorgung integriert werden kann.
In dem Entwurf schlägt die Bundesregierung eine Anpassung von § 139e SGB V vor (Artikel 1, Nummer 14 Buchstabe d des Entwurfs).
In Abs. 10 wird folgender neuer Satz angefügt: „Sofern in den Festlegungen nach Satz 1 Anforderungen an ein geeignetes sicheres technisches Verfahren zur Authentifizierung des Versicherten vorgesehen werden, das einen hohen Sicherheitsstandard gewährleistet, ist in den Festlegungen auch zu regeln, dass der Versicherte nach umfassender Information durch den für die jeweilige Anwendung datenschutzrechtlich Verantwortlichen über die Besonderheiten des Verfahrens in die Nutzung eines Authentifizierungsverfahrens einwilligen kann, das einem niedrigeren Sicherheitsniveau entspricht.“
Die Festlegungen nach Satz 1, auf die Bezug genommen wird, sind Festlegungen des Bundesamtes für Sicherheit in der Informationstechnik an die von digitalen Gesundheitsanwendungen (DiGA) nachzuweisenden Anforderungen an die Datensicherheit.
In der Begründung des Entwurfs (S. 111) heißt es:
„Die Neuregelungen sollen dem Versicherten zum Zweck der Verbesserung der Nutzerfreundlichkeit niedrigschwelligere Authentifizierungsverfahren ermöglichen. Im Rahmen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DSGVO) ist es möglich, dass bestimmte, regelmäßig vorzuhaltende technische und organisatorische Maßnahmen zur Umsetzung der Datensicherheit nach Artikel 32 DSGVO auf den ausdrücklichen Wunsch der betroffenen Person hin ihr gegenüber im Einzelfall in vertretbarem Umfang nicht angewendet werden.“
Dass diese Frage durchaus umstritten ist, wird hier nicht näher betrachtet. Zudem verweist die Bundesregierung nicht auf Fundstellen oder Quellen für ihre Ansicht. Dennoch kann die Aussage der Bundesregierung aus meiner Sicht von Verantwortlichen als ein weiteres Argument verwendet werden, wenn technische Sicherheitsmaßnahmen auf Wunsch von Betroffenen reduziert werden sollen. Der Klassiker ist hier sicher ein unverschlüsselter Versand von Daten und Dokumenten.
Die Bundesregierung stellt jedoch auch einige Anforderungen für diese Möglichkeit auf:
„Diese Reduzierung der technischen und organisatorischen Maßnahmen muss dabei freiwillig und eigeninitiativ erfolgen, wobei die betroffene Person in verständlicher Art und Weise über den Umstand der Absenkung der Datensicherheit und deren Konsequenzen informiert sein muss. Die Freiwilligkeit muss gewährleistet sein, indem immer auch ein Authentifizierungsverfahren zur Verfügung gestellt wird, das einen hohen Sicherheitsstandard erfüllt.“
|
|
|
|
|
Landgericht Nürnberg-Fürth: interne Sperrvermerke zu Kunden müssen nicht gelöscht werden
Das Landgericht (LG) hatte sich in seinem Urteil (Endurteil v. 22.08.2023 – 11 O 6693/21) mit der Frage zu befassen, wie weit das Berichtigungs- und Löschrecht nach der DSGVO reicht.
Der Nutzer einer Social-Media-Plattform, dessen Beiträge wegen Verstößen gegen die Nutzungsbedingungen gesperrt und gelöscht wurden, wollte hierzu intern bei dem Unternehmen vorhandene Vermerke auf Grundlage von Art. 17 DSGVO löschen oder nach Art. 16 DSGVO berichtigen lassen.
Obwohl die Löschung der Beiträge zivilrechtlich als unzulässig angesehen wurde, geht das LG davon aus, dass keine Ansprüche nach Art. 16 und 17 DSGVO hinsichtlich intern vorhandener Vermerke zu den Sperrungen und Löschungen bestehen.
Zwar könne eine betroffene Person nach Art. 16 Satz 1 DSGVO von dem Verantwortlichen die Berichtigung sie betreffender unrichtiger personenbezogener Daten verlangen. Jedoch gelte dies nur, wenn unrichtige Daten vorliegen. Bei dem internen Vermerk zu vorgenommenen Löschungen und Sperrungen handelt es sich jedoch gerade nicht um unrichtige Daten.
„Soweit die gespeicherten Daten Werturteile der Beklagten über das Vorliegen von Vertragsverstößen beinhalten sollten, könnte auch insoweit keine Datenberichtigung verlangt werden, weil es sich nicht um dem Wahrheitsbeweis zugängliche Tatsachen, sondern um rechtliche Bewertungen handelt, die schon wegen des Schutzes der Meinungsfreiheit aus dem Anwendungsbereich der Berichtigungspflicht ausgenommen sind, soweit sie keine Tatsachenbestandteile enthalten.“
Das LG geht davon aus, dass Werturteile oder wie hier, rechtliche Bewertungen des Verantwortlichen, gerade nicht „richtig“ oder „unrichtig“ im Sinne der DSGVO sein können.
Auch ein Anspruch auf Löschung gespeicherter Daten stehe dem Kläger nach Art. 17 Abs. 1 lit a) DSGVO nicht zu. Nach Ansicht des LG sind die gespeicherten Daten nämlich weiter notwendig.
„Im Rahmen einer fortgesetzten Nutzung der Dienste der Beklagten ist diese jedoch zur Durchführung des Vertragsverhältnisses darauf angewiesen, Informationen zu etwaigen Löschungen und Sperrungen in den Konten ihrer Nutzer vorzuhalten.“
|
|
|
|
|
Veranstaltungshinweise: Piltz Legal update in 2023
|
|
|
|
Für 2023 sind schon jetzt einige Piltz Legal update Seminare & Veranstaltungen geplant, zu denen wir Sie herzlich einladen: Aktuelle datenschutzrechtliche Anforderungen an Webseiten und Apps Datum: 20. September 2023 Ort: Nürnberg In Nürnberg befassen wir uns schwerpunktmäßig mit aktuellen rechtlichen Anforderungen aus TTDSG, BDSG und DSGVO für Webseiten und Apps. Von der Entwicklung bis zum Betrieb. Als Referentin mit dabei ist Frau Loy, Referentin Internet und stellvertretende Bereichsleitung Bereich 3 beim Bayerischen Landesamt für Datenschutzaufsicht (BayLDA).
Informationen & Anmeldung: https://www.piltz.legal/events/datenschutz-app
Compliance und Sanktionen im Datenschutzrecht Datum: 17. Oktober 2023 Ort: Berlin Piltz Legal veranstaltet am 17. Oktober ein Seminar in Berlin, in dem es vor allem um das Thema "Compliance im Datenschutzrecht" gehen wird. Wir beleuchten aktuelle Vorgaben der Aufsichtsbehörden und Entscheidungen der Gerichte. Zudem wird Herr Cornelius, Referent der Sanktionsstelle bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI), einen Vortrag zum Thema "Worauf achten die Aufsichtsbehörden bei der Verhängung und Zumessung von Datenschutzbußgeldern besonders?" halten.
Anmeldung: https://www.piltz.legal/events/compliance-und-sanktionen-im-datenschutzrecht
|
|
|
|