AKTUELL

VERDATA_ DATENSCHUTZ – DER PROFESSIONELLE DATENSCHUTZ-DIENSTLEISTER

Fachkompetenter Datenschutz ist ein Zukunftsschlüssel – VERDATA_ begleitet Sie in allen Themenbereichen zum Datenschutz. Langjährige Erfahrung ist unsere Stärke, auch in Spezialfragen. Bei uns finden Sie Antworten – denn wir verhindern moderne Technik nicht, wir ermöglichen sie!

Urteil: Auskunftsrecht umfasst nicht Dokumente, sondern Daten

LG Köln, Teilurteil v. 19.03.2019 – 26 O 25/18

Das Landgericht Köln entschied am 19.03.2019 über Inhalte des Auskunftsrechtes nach Art. 15 DSGVO. Eine betroffene Person begehrte von einer Lebensversicherung die Herausgabe sämtlicher Daten und verlangte dabei auch die Herausgabe von Dokumenten. Das Gericht hat dieses Verlangen zurückgewiesen und entschieden, dass der Auskunftsanspruch nach Art. 15 DSGVO nicht die Herausgabe sämtlicher Unterlagen beinhaltet.  weiterlesen

Zunächst stellte das Gericht klar, dass der Auskunftsanspruch (nur) die personenbezogenen Daten umfasst und verweist dazu auf die Definition in Art. 4 Abs.1 DSGVO:

„Gemäß Artikel 4 Nr. 1 DS-GVO sind „personenbezogene Daten“ in diesem Sinne alle Informationen, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen“.

Im Folgenden schneidet das Gericht kurz an, dass auch Unterlagen personenbezogene Daten sind. Daraus könnte man jetzt den Schluss ziehen, das Gericht habe die Formulierung in Art. 15 Abs.3 DSGVO „Kopie der personenbezogenen Daten“ übersetzt und erklärt „Unterlagen“ als personenbezogene Daten. Dem ist jedoch nicht so: Das Gericht schränkt diese Aussage sofort im nächsten Satz wieder in und wird konkreter und stellt ausdrücklich fest, dass „sämtlicher gewechselter Schriftverkehr“ oder „Vermerke“ eben nicht gemeint sind.

„Nach diesen Grundsätzen und auf Grundlage der Erwägungsgründe stellen ärztliche Unterlagen, Gutachten oder sonstige vergleichbare Mitteilungen anderer Quellen ebenfalls „personenbezogene Daten“ dar. Nach der Auffassung der Kammer bezieht sich der Auskunftsanspruch aber nicht auf sämtliche internen Vorgänge der Beklagten, wie z.B. Vermerke, oder darauf, dass die betreffende Person sämtlichen gewechselten Schriftverkehr, der dem Betroffenen bereits bekannt ist, erneut ausgedruckt und übersendet erhalten kann (so das OLG Köln zu § 34 BDSG a.F., Beschluss vom 26.07.2018, 9 W 15/18). Rechtliche Bewertungen oder Analysen stellen insofern ebenfalls keine personenbezogenen Daten in diesem Sinne dar.“

Das Gericht hat festgestellt, dass die Begriffe „Daten“ in Art. 15 Abs.3 DSGVO und „Unterlagen“ nicht identisch sind und gleichgesetzt werden dürfen. Nach Art. 15 Abs.3 DSGVO sind nur die reinen Daten, nicht aber die Unterlagen gemeint. Das Gericht hat es recht plastisch formuliert:

„Der Anspruch aus Art. 15 DS-GVO dient nicht der vereinfachten Buchführung des Betroffenen, sondern soll sicherstellen, dass der Betroffene den Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen kann. Folgerichtig bestimmt Artikel 15 Abs. 3 DS-GVO, dass der Betroffene eine Kopie (lediglich) der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, erhält.“

Dieses Urteil zieht u.a. auch die Erwägungsgründe der DSGVO mit heran. Erwägungsgrund 63 stellt recht deutlich klar, dass lediglich Daten, nicht aber die Dokumente mit den Daten herauszugeben sind. In Satz 2 des Erwägungsgrundes 63 heißt es am Beispiel der Gesundheitsdaten ausdrücklich, dass die Daten IN Akten herauszugeben sind, und eben nicht DIE Akte an sich:

„Dies schließt das Recht betroffener Personen auf Auskunft über ihre eigenen gesundheitsbezogenen Daten ein, etwa Daten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten.“

Bereits die Erwägungsgründe zählen die Daten(felder) auf, nicht aber die Dokumente. Darauf bezieht sich das Gericht in seiner Auslegung. Die Betroffene hatte aus Sicht des Verantwortlichen sämtliche gespeicherte Daten erhalten, konnte aber nicht substantiiert belegen, welche Daten fehlen sollten. Es besteht jedenfalls kein Recht auf Dokumentenkopien.

zum Urteil

Thüringen: Personalrat muss Datenschutzbeauftragten unabhängig von Größe benennen

Das Thüringer Parlament hat am 9.5.19 eine wegweisende Änderung des Landespersonalvertretungsgesetzes beschlossen: Der Personalrat hat, unabhängig von der Größe, einen Datenschutzbeauftragten zu benennen. Der Thüringer Gesetzgeber sieht damit als der erster Landesgesetzgeber den Personalrat (Betriebsrat) als eigene verantwortliche Stelle im Sinne der DSGVO.weiterlesen

Gemäß einer Ergänzung zu § 80 ThürPersVG ist Personalrat verpflichtet, einen Datenschutzbeauftragten zu benennen. Bemerkenswert daran ist, dass das Gesetz nicht ausdrücklich besagt, dass der Personalrat eine verantwortliche Stelle ist – sondern wie selbstverständlich voraussetzt. Das Gesetz verpflichtet, dass der Personalrat die Vorschriften zum Datenschutz zu beachten und dass er dazu einen Datenschutzbeauftragten benennen muss. Durch diese Ergänzung zur Benennung des DSB wird (lediglich) die ansonsten gültige Grenze zur Benennung ab 10 Personen verschoben. Damit wird klargestellt, dass diese variable Pflicht eines Verantwortlichen immer zu beachten ist. Da darüber hinaus der Personalrat verpflichtet ist, die Vorschriften des Datenschutzes einzuhalten (Absatz 1), ergibt sich konsequenterweise, dass er Pflichten wie Information nach Art.13 DSGVO oder die Wahrung der Betroffenenrechte nach Kapitel 2 DSGVO oder Sicherheitsmaßnahmen nach Art.32 DSGVO beachten muss.

Das Gesetz befindet sich hier:

Uganda: Datenschutzgesetz in Kraft

Datenschutz ist ein internationales Thema: Nun hat auch Uganda ein Datenschutzgesetz verabschiedet. Das „Data protection and privacy act“ ist am 25.02.2019 in Kraft getreten. Das Gesetz trifft Festlegungen, unter welchen Bedingungen Daten in Uganda, aber auch Daten von ugandischen Staatsbürgern außerhalb Ugandas, verarbeitet werden dürfen.weiterlesen

In dem Gesetz sind Pflichten an den Verantwortlichen aufgestellt, die auch aus der DSGVO bekannt sind, wie z.B. die Erfüllung von Datenschutzgrundsätzen, die Transparenz der Datenverarbeitung oder die Gewährleistung von Sicherheit. Interessant: Art.6 des Gesetzes enthält die Pflicht, einen Datenschutzbeauftragten zu bestellen!
Das Gesetz hat nicht die Tiefe und den Umgang der Pflichten der DSGVO, jedoch erstaunliche Parallelen, wie z.B. die Mitteilungspflicht bei Sicherheitsverletzungen , ein Kapitel zu den Rechten eines Betroffenen, detaillierte Vorgaben zur Herstellung der Transparenz oder Anforderungen an Einwilligungen.

Das Gesetz ist hier aufrufbar.

Bayerische Aufsichtsbehörde veröffentlicht aktualisierte Orientierungshilfe zur Auftragsverarbeitung

Mit Stand April 2019 hat der Bayerische Landesdatenschutzbeauftragte eine neue Orientierungshilfe zur Auftragsverarbeitung herausgegeben.weiterlesen

Darin wird u.a. auf die zwingenden Inhalte einer Vereinbarung verwiesen. Darüber hinaus nennt die Behörde Kriterien, um die Abgrenzung zwischen Auftragsverarbeiter und Verantwortlichen vorzunehmen. Sie stellt klar, dass die Auftragsverarbeitung erfordert, dass der Dienstleister keinen Spielraum hinsichtlich der Verarbeitung der Daten hat und dass die Datenverarbeitung im Vertrag durch Weisung vorgegeben ist. Gegen die Auftragsverarbeitung spricht, wenn der Dienstleister bereits über die Mittel der Verarbeitung entscheidet.
Darüber hinaus werden einige klassische Outsourcing-Dienste bewertet, wie die Aktenvernichtung, Systemadministration oder Backup-Dienstleistungen.
Die Orientierungshilfe kann  hier abgerufen werden.

Datenschutzkonferenz positioniert sich zu Telemediendiensten und Tracking

In einer neuen im März 2019 herausgegeben Orientierungshilfe der DSK zu Telemediendiensten beziehen die deutschen Aufsichtsbehörden Position zu zwei aktuell sehr in Diskussion befindlichen Themen:weiterlesen

Zum einen stellen die Behörden klar, dass sie die Datenschutzregeln im TMG nicht mehr für anwendbar halten. Die DSGVO hat als Regelung Vorrang. Nach Ansicht der Aufsichtsbehörden ist die ePrivacy-Richtlinie nicht in nationale gesetzliche Regelungen umgesetzt.
Zum anderen vertiefen die Behörden ihren Standpunkt zur Rechtmäßigkeit der Datenverarbeitung beim Tracking. Die Legitimation über das überwiegend berechtigte Interesse Art. 6 Abs.1 (f) DSGVO ist demnach nicht ausgeschlossen, muss aber im Einzelfall durch eine belegte Abwägung nachweisbar sein. Die Behörden beschreiben dazu eine dreistufige Prüfung, die durchzuführen ist. Am Beispiel der Pixel-Zählung kommen sie zum Schluss, dass kein berechtigtes Interesse besteht.
Hervorzuheben ist auch der klare Standpunkt, dass aus aufsichtsbehördlicher Sicht die typischen IDs im Webtracking wie Cookie-ID, MAC-ID oder Werbe-ID nicht als Pseudonym gesehen werden. Begründet wird dies damit, dass diese Merkmale nicht anlegt werden, um den Betroffenen vor Identifizierung zu schützen, sondern um ihn zu erkennen. In der Onlinewelt kommt es nach der Behördenansicht nicht auf den bürgerlichen Namen an, sondern die Erkennbarkeit z.B. durch Verknüpfung mit Accountanmeldungen.

Zur Orientierungshilfe hier

VERDATA_
DATENSCHUTZ GMBH & CO. KG

© VERDATA_ DATENSCHUTZ GMBH & CO. KG  2018