Die Bayerische Aufsichtsbehörde hat klargestellt, dass sie als Rechtsgrundlage des Trackings mittels Google Anlytics die Einwilligung sieht. Die Behörde begründet dies damit, dass Google sich das Recht einräumen lässt, dass die Daten zu eigenen Zwecken verarbeitet werden dürfen. Warum die Behörde allerdings das überwiegende berechtigte Interesse nach Art. 6 Abs.2 (f) DSGVO ausschließt, begründet sie nicht. Allein die Beteiligung des Unternehmens Google spricht nicht gegen ein mögliches Überwiegen des Verarbeitungsinteresses. Hier besteht trotz behördlichen Statements weiterhin Auslegungsbedarf.weiterlesen
VERDATA_ DATENSCHUTZ – DER PROFESSIONELLE DATENSCHUTZ-DIENSTLEISTER
Fachkompetenter Datenschutz ist ein Zukunftsschlüssel – VERDATA_ begleitet Sie in allen Themenbereichen zum Datenschutz. Langjährige Erfahrung ist unsere Stärke, auch in Spezialfragen. Bei uns finden Sie Antworten – denn wir verhindern moderne Technik nicht, wir ermöglichen sie!
Seminare Gesundheitsdatenschutz
Seminar „Datenschutz im Krankenhaus – Update 2019“
Es sind noch Plätze frei für folgenden Termin:
18. Dezember 2019 in Düsseldorf
Weitere Infos und die Preise finden Sie in unserem Seminarflyer
Zur Anmeldung geht‘s hier
Neue Guideline des Europäischen Datenschutzausschusses zu Art. 6 Abs.1 (b) DSGVO veröffentlicht
Der Europäische Datenschutzausschuss hat die finale Version seiner Leitlinie zur Vertragsdatenverarbeitung (Verarbeitung nach Art. 6 Abs.1 (b) DSGV) veröffentlicht (= Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects). Darin werden Aussagen und Auslegungen zusammengefasst, unter welchen Voraussetzungen eine Datenverarbeitung der Erlaubnisnorm Art.6 Abs.1 (b) DSGVO entspricht. U.a. stellt der Ausschuss klar, dass das Prinzip der Zweckbindung erfordert, dass bei einem Vertragabschluss genau festgelegt werden muss, wann eine Verarbeitung zum Zweck gehört und wann nicht. Der Datenschutzausschuss hält den Standpunkt der Artikel 29 Gruppe aufrecht, dass vage Zwecke wie „Verbesserung der Benutzererfahrung“, „Marketingzwecke“, „IT-Sicherheitszwecke“ oder „zukünftige Forschung“, nicht ausreichen. Der Ausschuss empfiehlt, bei Zweifeln an der Erforderlichkeit zur Vertragserfüllung besser auf eine andere Rechtsgrundlage auszuweichen, z.B. die Einwilligung; die geeignete Rechtsgrundlage zu ermitteln, ist ein Gebot der Fairness und Zweckbindung. Im Rahmen der Rechenschaftspflicht verlangt der Ausschuss, dass der Verantwortliche, der sich auf Art.6 Abs.1 (b) beruft, drei Dinge nachweisen kann: a) ein Vertrag besteht, b) der Vertrag ist nach nationalen Vertragsgesetzen gültig c) die Verarbeitung ist objektiv für die Ausführung des Vertrags erforderlich ist. Für Punkt c) setzt der Ausschuss sehr strenge Maßstäbe an: Wörtlich heißt es „ Auch wenn diese Verarbeitungstätigkeiten im Kleingedruckten des Vertrages ausdrücklich erwähnt werden, macht diese Tatsache sie allein nicht „notwendig“ für die Vertragserfüllung.“ Vielmehr muss eine objekte Notwendigkeit belegt werden. Darüber hinaus verlangt der Ausschuss, dass dann, wenn eine neue Technologie zur Erbringung des Dienstes eingeführt wird, neu bewertet wird, ob die Verarbeitung erforderlich ist oder nicht. Der Ausschuss vertritt außerdem die Auffassung, dass es unfair und damit niciht zulässig ist, eine Verarbeitung von Daten, die auf Basis von Art. 6 Abs.1 (b) DSGVO erfolgte, nach Beendigung des Vertrages auf eine andere Rechtsgrundlage zu stützen. Wenn hingegen Aufzeichnungen (Speicherungen) für rechtliche Zwecke erfolgen (siehe Art.17), dann ist die zulässig, wenn einige Bedingungen erfüllt werden. Die Verantwortlichen „müssen sie zu Beginn der Verarbeitung eine Rechtsgrundlage dafür ermitteln, und sie müssen von Anfang an klar kommunizieren, wie lange sie planen, Aufzeichnungen für diese nach Beendigung des Vertrages. Wenn sie dies tun, müssen sie die Daten bei Beendigung des Vertrages nicht löschen.“ Der Ausschuss bezieht außerdem Stellung zu verschiedenen Verarbeitungen und sieht diese nicht über Art. 6 Abs. 1 (b) DSGVO legitimierbar: Beispielweise „ kann die Erhebung von organisatorischen Kennzahlen im Zusammenhang mit einer Dienstleistung oder Einzelheiten des Nutzerengagements nicht als notwendig für die Erbringung der Dienstleistung angesehen werden“. Auch die Verarbeitung zum Zwecke der Verbesserung einer Dienstleistung oder der Entwicklung neuer Funktionen innerhalb eines bestehenden Dienstes, ebenso die Verarbeitung zum Zwecke der Betrugsprävention, sind mit Art.6 Abs.1 (b) DSGVO legitimierbar. Hier sieht er allerdings ein überwiegendes berechtigtes Interesse. Auch die Erstellung von Profilen bzw. das Auswerten von Nutzerverhalten zur werbefinanzierten Bezahlung/Gegenleistung hält der Ausschuss nicht mit Art. 6 Abs.1 (b) DSGVO legitimierbar. Der Ausschuss sieht die Finanzierung nur als unterstützend an, der Verantwortliche müsse hingegen beweisen, dass diese Verarbeitung tatsächlich notwendig ist. Zur Leitlinie: (guideline 2/2019)weiterlesen
150.000 Euro Bußgeld wegen falscher Rechtsgrundlage einer Verarbeitung
Die griechische Aufsichtsbehörde hatte im Juli ein Bußgeld in Höhe von 150.000 Euro gegen PwC verhangen, weil nach Ansicht der Behörde Daten von Beschäftigten ohne ausreichende Rechtsgrundlage verarbeitet wurden. Das Unternehmen hatte die Verarbeitung von Beschäftigtendaten auf eine Einwilligung gestützt; die Behörde war der Ansicht, dass die Einwilligung nicht die korrekte Rechtsgrundlage darstellt. Die Behörde bewertete die Einwilligung als eine Erlaubnis, die nur dann eingesetzt werden sollte, wenn die anderen Erlaubnisnormen nicht angewendet werden. Wörtlich heißt es: „Die Grundsätze der rechtmäßigen, fairen und transparenten Verarbeitung personenbezogener Daten gemäß Artikel 5 Absatz 1 Buchstabe a DSGVO erfordern, dass die Zustimmung als Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO nur dann verwendet wird, wenn die anderen Rechtsgrundlagen nicht anwendbar sind“. Für den Fall, dass die betroffene Person ihre Einwilligung widerruft, ist es nicht gestattet, die Verarbeitung personenbezogener Daten unter einer anderen Rechtsgrundlage durchzuführen. Die Einwilligung setzt andere Rechtsgrundlagen faktisch außer Kraft, weil nur so der Widerruf der Einwilligung und damit das Recht des Betroffenen beachtet und berücksichtigt werden. Im vorliegenden Fall hatte das Unternehmen die Einwilligung für Verarbeitungen eingeholt, obwohl die Verarbeitung tatsächlich aufgrund einer anderen Rechtsgrundlage durchgeführt wurde. Die Behörde urteilt: Daraus zog die Behörde den Schluss, dass vor allem auch der Grundsatz der Transparenz nicht eingehalten wird: „Darüber hinaus vermittelte das Unternehmen den Mitarbeitern den falschen Eindruck, dass es ihre personenbezogenen Daten unter der Rechtsgrundlage der Einwilligung verarbeitete, während es in Wirklichkeit ihre Daten auf einer anderen Rechtsgrundlage verarbeitete, über die die Mitarbeiter nie informiert worden waren. Dies verstieß gegen den Grundsatz der Transparenz und damit gegen die Informationspflicht nach den Artikeln 13 Absatz 1 Buchstabe c und 14 Absatz 1 Buchstabe c der DSGVO.“ Die Entscheidung der Behörde ist hier abrufbar weiterlesen
„In diesem Fall war die Wahl der Einwilligung als Rechtsgrundlage unangemessen, da die Verarbeitung der personenbezogener Daten dazu bestimmt war, Handlungen auszuführen, die in direktem Zusammenhang mit der Erfüllung von Arbeitsverträgen standen, die zur Einhaltung einer gesetzlichen Verpflichtung erfolgten, der der für die Verarbeitung Verantwortliche unterliegt und die einer reibungslosen Abwicklung eines effektiver Betrieb des Unternehmens – und damit einem berechtigtes Interesse – dienten.“
Die Aufsichtsbehörden der Katholischen Kirche
Die Adressen der fünf Diözesandatenschutzbeauftragten in Deutschland sowie die Links zu deren Webseiten finden Sie hier
Datenschutzkonferenz positioniert sich zu Telemediendiensten und Tracking
In einer neuen im März 2019 herausgegeben Orientierungshilfe der DSK zu Telemediendiensten beziehen die deutschen Aufsichtsbehörden Position zu zwei aktuell sehr in Diskussion befindlichen Themen: Zum einen stellen die Behörden klar, dass sie die Datenschutzregeln im TMG nicht mehr für anwendbar halten. Die DSGVO hat als Regelung Vorrang. Nach Ansicht der Aufsichtsbehörden ist die ePrivacy-Richtlinie nicht in nationale gesetzliche Regelungen umgesetzt. Zur Orientierungshilfe hierweiterlesen
Zum anderen vertiefen die Behörden ihren Standpunkt zur Rechtmäßigkeit der Datenverarbeitung beim Tracking. Die Legitimation über das überwiegend berechtigte Interesse Art. 6 Abs.1 (f) DSGVO ist demnach nicht ausgeschlossen, muss aber im Einzelfall durch eine belegte Abwägung nachweisbar sein. Die Behörden beschreiben dazu eine dreistufige Prüfung, die durchzuführen ist. Am Beispiel der Pixel-Zählung kommen sie zum Schluss, dass kein berechtigtes Interesse besteht.
Hervorzuheben ist auch der klare Standpunkt, dass aus aufsichtsbehördlicher Sicht die typischen IDs im Webtracking wie Cookie-ID, MAC-ID oder Werbe-ID nicht als Pseudonym gesehen werden. Begründet wird dies damit, dass diese Merkmale nicht anlegt werden, um den Betroffenen vor Identifizierung zu schützen, sondern um ihn zu erkennen. In der Onlinewelt kommt es nach der Behördenansicht nicht auf den bürgerlichen Namen an, sondern die Erkennbarkeit z.B. durch Verknüpfung mit Accountanmeldungen.
VERDATA_
© VERDATA_ DATENSCHUTZ GMBH & CO. KG 2018
