|
| |
Liebe Abonnentinnen und Abonnenten,
heute erhalten Sie den de lege data Newsletter 8/2021. Ich wünsche Ihnen viel Freude beim Lesen. Zudem bedanke ich mich herzlich für Ihre Treue und wünsche Ihnen bereits jetzt frohe Weihnachten und ein gutes neues Jahr 2022!
|
|
|
| |
Aktuelle Beiträge im Blog
|
|
|
| |
|
Verwaltungsgericht: Keine Ermächtigung für Datenschutzbehörde zur zwangsweisen (Ab-)Berufung eines Datenschutzbeauftragten?
|
|
Europäischer Datenschutzausschuss: was ist ein internationaler Datentransfer und in welchen Fällen sind die Pflichten des Kapitel V der DSGVO zu beachten?
|
|
|
|
|
|
| |
|
Finnische Datenschutzbehörde: Protokoll-/Logdaten sind nicht vom Auskunftsanspruch nach Art. 15 DSGVO umfasst
|
|
Schwedische Datenschutzbehörde: Ausübung von DSGVO-Betroffenenrechten per Tweet?
|
|
|
|
|
|
| |
|
BayLDA: Handreichung zur Log4Shell-Erstanalyse
Das BayLDA hat auf seiner Webseite eine Handreichung zu der kürzlich bekannt gewordenen Sicherheitslücke in der Java-Protokollierungsbibliothek 'Log4j' veröffentlicht. Das Dokument soll Verantwortlichen wesentliche datenschutzrechtlich gebotene Abhilfemaßnahmen und weiterführende Links zur Erstanalyse bei eigener Betroffenheit aufzeigen.
|
|
BayLfD: Office-Anwendungen aus Drittstaaten bei bayerischen öffentlichen Stellen
Der BayLfD hat eine neue Kurz-Information auf seiner Webseite veröffentlicht, in der er die aktuell bestehenden rechtlichen Rahmenbedingungen für eine Übermittlung personenbezogener Daten in ein Drittland darstellt und aufzeigt, welche Anforderungen an die Rechenschaftspflicht des Verantwortlichen zu stellen sind, wenn bayerische öffentliche Stellen Office-Anwendungen aus Drittstaaten nutzen.
Achtung: es handelt sicht wirklich um eine Kurz(!)-Information.
|
|
|
|
|
|
| |
|
LfD Niedersachsen: TTDSG - Fragen und Antworten
Die LfD Niedersachsen hat auf ihrer Webseite eine Fragen-Antworten-Rubrik zu dem seit 1.12.2021 anwendbaren TTDSG veröffentlicht. Dort gibt die Behörde, noch recht vage, erste Antworten zu Fragen rund um das TTDSG. Zudem verweist die LfD darauf, dass es hierzu auch noch eine Veröffentlichung der DSK geben soll.
|
|
CNIL setzt ihre Prüfmaßnahmen zu Cookies fort und erlässt neue Anordnungen
Auf ihrer Webseite berichtet die französische Datenschutzbehörde CNIL, dass sie ihre seit 2021 laufende Prüfung des Einsatzes von Cookies durch Unternehmen weiter fortführt. Ein besonderer Fokus der Prüfung liegt auf der Anforderung, dass Cookies so einfach abzulehnen sind, wie sie akzeptiert werden können.
|
|
|
|
|
|
| |
Wie sieht das Verzeichnis der Verarbeitungstätigkeiten einer Datenschutzbehörde aus - der EDPS hat die Antwort.
Das Verzeichnis der Verarbeitungstätigkeiten, Art. 30 DSGVO. Jeder kennt diese Dokumentationspflicht. Die Umsetzung in der Praxis? Leider eher keine Top-Priorität (wobei meine feste Überzeugung ist, dass ein ordentliches Verzeichnis auf längere Sicht sehr viel Arbeit erspart).
Wenn man sich die Frage stellt: wie sieht denn ein ordentliches Verzeichnis aus und müssen so etwas nicht auch die Datenschutzbehörden selbst führen? Dann könnte die Antwort lauten: schauen Sie doch einmal in das öffentlich abrufbare Verzeichnis des EDPS! Ja, der Europäische Datenschutzbeauftragte hat sein Verzeichnis online abrufbar bereitgestellt. Abrufbar hier.
Zwar basiert dieses Verzeichnis nicht direkt auf Art. 30 DSGVO. Denn diesem Gesetz unterliegt der EDPS als EU-Institution nicht. Jedoch ist die relevante gesetzliche Vorgabe des Art. 31 der VO 2018/1725 dem uns bekannten Art. 30 DSGVO sehr sehr ähnlich. Wenn Sie also für die interne oder externe Beratung Anregungen und Vorgaben für ein Verzeichnis suchen, lohnt sich sicher ein Blick in jenes des EDPS. Unter anderem finden sich dort die Beschreibungen zu den Verarbeitungstätigkeiten "EDPS Webseite", "LinkedIn Netzwerk der EDPS Trainees" oder "Einstellung von Personal und Auszubildenden".
|
|
|
|
| |
Infiziert ein TTDSG-Verstoß die nachfolgende Verarbeitung nach DSGVO?
Seit dem 1.12.2021 gilt das TTDSG und damit auch § 25 TTDSG, als Umsetzung von Art. 5 Abs. 3 ePrivacy Richtlinie. Aufgrund der Vorgabe des Art. 95 DSGVO wird angenommen, dass § 25 TTDSG für die Phase des Speicherns von Informationen und des Zugriffs auf bereits im Endgerät des Nutzers gespeicherte Informationen dem Art. 6 DSGVO vorgeht.
Nachfolgende Verarbeitungen der erhobenen Informationen, also etwa deren Weitergabe an Dritte oder Zusammenführung für Analysen, müssten dann auf der Grundlage von Art. 6 Abs. 1 DSGVO gerechtfertigt werden (soweit es sich um personenbezogene Daten handelt). Die praxisrelevante Frage ist, ob ein Versäumnis auf der Ebene des TTDSG, z.B. eine fehlende Einwilligung, auf die nachfolgende Ebene der Rechtmäßigkeitsprüfung nach Art. 6 Abs. 1 DSGVO, durchschlägt. Diese also quasi mit einer Unzulässigkeit "infiziert".
Man wird dazu wohl zwei Ansichten vertreten können. Entweder man trennt beide Rechtsregime sehr hart voneinander (einerseits ePrivacy Richtlinie und damit Schutz der Privatsphäre, andererseits DSGVO und Schutz personenbezogener Daten), ohne eine Konnexität auf Ebene der Rechtmäßigkeit anzunehmen. Oder aber, man geht von einer "Infektion" der nachgelagerten Rechtmäßigkeitsprüfung nach der DSGVO aus. Insbesondere, wenn auf Ebene der DSGVO eine Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO als Erlaubnistatbestand dienen soll, könnte für die zuletzt genannte Ansicht die Begründung des OVG Saarlouis in einer Entscheidung vom 16.2.2021 (2 A 355/19) herangezogen werden. Dort ging es ebenfalls um die hier relevanten europäischen Rechtsakte: ePrivacy Richtlinie (umgesetzt zum Teil in § 7 UWG) einerseits und die DSGVO andererseits.
Das OVG war hier, im Fall einer unzulässigen Telefonwerbung, recht deutlich: "Die Klägerin verkennt, dass die Bewertungsmaßstäbe des § 7 Abs. 2 Nr. 2 UWG, welcher der Umsetzung der Richtlinie 2002/58/EG dient, auch im Rahmen des Art. 6 Abs. 1 lit. f DS-GVO zu berücksichtigen wären." Folgt man dieser Ansicht auch mit Blick auf das Verhältnis von § 25 TTDSG und Art. 6 Abs. 1 DSGVO, so würde sich ein Verstoß gegen § 25 TTDSG wohl in der Interessenabwägung (negativ) niederschlagen.
|
|
|
|
| |
Was bedeutet der Datenschutzgrundsatz "Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz" (Art. 5 Abs. 1 lit. a DSGVO)?
Die in Art. 5 Abs. 1 DSGVO benannten Datenschutzgrundsätze bieten aus praktischer Sicht aufgrund ihrer Unbestimmtheit leider nur wenige Anhaltspunkte dafür, wie deren Vorgaben umgesetzt werden können.
Einen, wie ich finde, guten Versuch der praktischen Konkretisierung unternimmt die Datenschutzstelle Liechstenstein auf ihrer Webseite. "Rechtmäßigkeit" bedeutet danach, dass Verantwortliche vor jeder konkreten Verarbeitung personenbezogener Daten einen Rechtfertigungsgrund gemäß Art. 6, 9 oder 10 DSGVO ermitteln müssen, der die geplante Datenverarbeitung erlaubt. Zudem geht die Datenschutzstelle davon aus, dass Verantwortliche sicherstellen müssen, "dass die Datenverarbeitung auch mit anderen gesetzlichen Bestimmungen konform" ist. Diese Anforderung scheint nicht nur datenschutzrechtliche Anforderungen, sondern generell alle anwendbaren gesetzlichen Vorschriften (also etwa aus dem Zivil- oder Strafrecht) in den Blick zu nehmen. Eine solche Interpretation erscheint mir aber eventuell etwas weit. Der Grundsatz "Treu und Glauben" bedeutet nach Ansicht der Behörde, dass Daten nicht in einer Weise verarbeitet werden dürfen, die für "die betroffenen Personen zum Nachteil gereicht, unerwartet oder irreführend ist". Auch hier erscheint mir die Auslegung aber etwas streng. Denn man denke an gesetzlich verpflichtende Verarbeitungen zum Nachteil der Betroffenen, z. B. Weitergabe von Lohndaten an die Finanzämter zur Berechnung der Steuer. Sicher ein Nachteil für Betroffene, jedoch nicht an sich unzulässig. Nach Ansicht der Datenschutzstelle folgt aus dem Grundsatz "Treu und Glauben" unter anderem, dass heimliche Verarbeitungen ausgeschlossen seien. Der Grundsatz der "Transparenz" umfasst die Pflicht, dass Betroffene von Anfang klar, offen und ehrlich darüber informiert werden, wie ihre Daten verwendet werden. Das dürfte sich im Grunde mit den spezifischen Anforderungen der Artt. 12 - 14 DSGVO decken.
|
|
|
|
| |
Aufsätze zum TTDSG und zum Verhältnis von Art. 15 DSGVO zu § 630g BGB
In den letzten Monaten sind einige eigene Fachbeiträge zu verschiedenen Themen erschienen, auf die ich Sie gerne hinweisen möchte.
Das Verhältnis von Art. 15 DSGVO zu 630g BGB, zusammen mit Johannes Zwerschke, MedR 2021, 1070
Die Ausnahme von der Einwilligungspflicht nach § 25 Abs. 2 Nr. 2 TTDSG, zusammen mit Johannes Zwerschke, PinG 2021, 218
Das neue TTDSG aus Sicht der Telemedien, CR 2021, 555
|
|
|
|
