|
| |
Liebe Abonnentinnen und Abonnenten,
heute erhalten Sie den de lege data Newsletter 1/2022. Ich wünsche Ihnen viel Freude beim Lesen!
|
|
|
| |
Aktuelle Beiträge im Blog
|
|
|
| |
|
Generalanwalt: Zulässigkeit der (zweckändernden) Verarbeitung von Kundendaten für Zwecke der Datensicherheit
|
|
Missbräuchliche Ausübung von Betroffenenrechten – Klarheit durch neuen Richtlinienvorschlag der EU-Kommission?
|
|
|
|
|
|
| |
|
Europäischer Datenschutzbeauftragter: Newsletter-Dienst, der die Übermittlung von Daten in Drittländer beinhaltet, mit ausdrücklicher Zustimmung möglich
|
|
Generalanwalt: Öffentlich abrufbare Daten stellen noch keine Übermittlung in ein Drittland dar
|
|
|
|
|
|
| |
|
CNIL: 1.5 Mio EUR Bußgeld gegen Unterauftragnehmer im Gesundheitsbereich
Am 15.4.2022 verhängte die französische CNIL ein Bußgeld iHv 1.5 Mio EUR gegen einen Unterauftragnehmer. Bei dem Unternehmen ereignete sich ein Datenschutzvorfall, der auch öffentlich bekannt wurde. Das Unternehmen agiert als Unterauftragnehmer für seine Kunden, der für die Verarbeitung verantwortlichen Labore, für die es Softwarelösungen anbietet. Die CNIL stellte Verstöße gegen Art. 28, 29 und 32 DSGVO fest. Gerügt wurde u.a. ein Verstoß gegen Art. 29 DSGVO, da das Unternehmen im Rahmen seiner Tätigkeit mehr Daten verarbeitete, als von den Weisungen der Verantwortlichen abgedeckt.
|
|
DSK überarbeitet Orientierungshilfe zur Direktwerbung
Im Februar 2022 hat die DSK eine überarbeitete Orientierungshilfe zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung veröffentlicht. Praktisch relevant, wenn auch diskutabel, ist die nun verdeutlichte Ansicht der DSK zum Zusammenspiel zwischen DSGVO und UWG. Mit Verweis auf eine Entscheidung des OVG Saarland geht die DSK davon aus, dass es bereits an einem "berechtigten Interesse" nach Art. 6 Abs. 1 lit. f DSGVO fehlt, wenn der Kontaktweg nach UWG bereits nicht erlaubt ist. Auf die verschiedenen Schutzgüter von DSGVO und § 7 UWG (basierend auf RL 2002/58/EG) geht die DSK hierbei leider nicht ein.
|
|
|
|
|
|
| |
Neue TTDSG-Zuständigkeiten - bisher kaum klare gesetzliche Zuweisungen
Das TTDSG gilt seit Dezember 2021. Was aber bisher weiter unklar bleibt, ist die Frage der Zuständigkeit der Landesdatenschutzbehörden für die Ahndung von TTDSG-Verstößen. Im Blog hatte ich hierzu bereits einmal kurz berichtet (Datenschutzbehörden (noch) nicht zuständig für TTDSG-Bußgelder?). In den letzten Monaten gab es nun zumindest ein wenig Bewegung. Berlin, Bremen und NRW haben ausdrückliche Zuständigkeiten für die Landesdatenschutzbehörden geschaffen. In Rheinland-Pfalz ist eine Regelung im Entwurf.
Wenn aber nun vier Bundesländer ausdrückliche Zuweisungen vornehmen, darf man durchaus die Frage stellen, woher denn in den anderen Bundesländern die Datenschutzbehörden ihre Zuständigkeit im Rahmen des TTDSG nehmen? Denn es dürfte dort keine Regelungen geben, die, wie die neu geschaffenen, ausdrücklich auf Verstöße gegen das TTDSG verweisen. Eventuell existieren alte Vorschriften, die auf die Ahndung von TMG-Verstößen verweisen. Diese Regelungen gehen jedoch seit dem 1.12.2021 ins Leere, da ja die relevanten Normen in das TTDSG überführt wurden.
Mit Hilfe meines Kollegen Ilia Kukin bei Pilt Legal, haben wir uns Ende April einmal die aktuelle Situation der Zuständigkeitsregelungen angesehen und eine Tabelle als PDF Dokument erstellt.
Wir haben untersucht, ob es eine ausdrückliche Zuständigkeitsregelung gibt und wenn nicht, woraus sich die Zuständigkeit ggfs. dennoch ableiten lässt oder die Behörde sie ableitet. Meine Meinung ist hier klar: da es sich um den Sanktionsbereich (Bußgelder) handelt, kann man nicht mit Auslegungen oder Ableitungen arbeiten, wenn es um die Zuständigkeit der Behörde geht. Es braucht eine klare Norm, die die Zuständigkeit für die Verfolgung und Ahndung von TTDSG-Verstößen begründet. Praktisch ist dies z.B. relevant, wenn Unternehmen von Aufsichtsbehörden mit einem Fragebogen zur TTDSG-Umsetzung angeschrieben werden.
|
|
|
|
| |
Besteht eine Pflicht, die Löschung von Daten zu bestätigen?
Die Ausübung des Betroffenenrechts nach Art. 17 Abs. 1 DSGVO, die Löschung von Daten, hat wohl neben dem Auskunftsrecht die größte Praxisrelevanz. Oft verlangen Betroffene in ihren Löschanfragen auch, dass ihnen die Löschung der Daten bestätigt wird. Die Frage ist, ob die DSGVO eine solche Pflicht des Verantwortlichen vorsieht?
Hierbei möchte ich nicht darauf eingehen, ob denn, wenn man eine solche Pflicht annimmt, diese überhaupt erfüllbar wäre - denn wenn die Daten gelöscht sind und dies zu bestätigen ist, woher nimmt der Verantwortliche dann die Kontaktdaten des Betroffenen?
Art. 17 DSGVO selbst enthält eine solche Pflicht zur Bestätigung nicht. Dagegen, eine solche Pflicht aus Art. 17 DSGVO herzuleiten, spricht ein vergleichender Blick auf Art. 18 Abs. 3 DSGVO. Dort ist ausdrücklich geregelt, dass der Betroffene "von dem Verantwortlichen unterrichtet" wird. Eine solche Unterrichtung sieht Art. 17 DSGVO jedoch nicht vor.
Meist wird für die Annahme einer solchen Pflicht auf Art. 12 Abs. 3 S. 1 DSGVO verwiesen. Danach stellt der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß den Art. 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Jedoch ist nicht klar geregelt, was mit den "ergriffenen Maßnahmen" gemeint ist. Gerade im Fall einer Löschung könnte man hierunter auch die Antwort an den Betroffenen fassen, dass seine Daten nun unverzüglich gelöscht werden oder z.B. zur unverzüglischen Löschung vorgemerkt sind. Damit würde der Verantwortliche über die "ergriffenen Maßnahmen" informieren, ohne jedoch noch einmal verpflichtet zu sein, die finale Löschung zu bestätigen.
Ganz ähnlich sieht es auch die Datenschutzbehörde aus Sachsen (TB 2021, S. 110): "Ein datenschutzrechtlich herzuleitender Anspruch auf die Bestätigung einer Löschung/Nutzungseinschränkung oder Begründung einer Nichtlöschung durch den Verantwortlichen besteht zwar als genuiner Anspruch nicht."
Dennoch empfiehlt die Behörde, zumindest auf nicht vollständig erfüllbare Löschungsverlangen mit einer überzeugenden Begründung zu antworten.
|
|
|
|
