Datenschutznachrichten

Datenschutznachrichten

Archiv Meldungen zum Thema Datenschutz

Hier finden Sie Berichte, Meldungen, Hintergrundinformationen zu datenschutzrelevanten Themen (Linksammlung).

Entwurf neuer Standardvertragsklauseln veröffentlicht

Die EU Kommission hat gestern überarbeitete Standardvertragsklauseln im Entwurf veröffentlicht und führt bis Mitte Dezember eine Anhörung dazu durch.
Wesentliche Änderung ist, dass der Datentransfer zwischen Parteien unterschiedlicher Verantwortungskonstellation geregelt wird.  weiterlesen

Neben dem benannten Controller-Prozesser (Auftragsverarbeiter)-Verhältnis werden auch Controller-Controller, Processor–Processor und Processor—Controller nun geregelt.

Die Entwürfe sind hier zu finden:

Orientierungshilfe nach EUGH Urteil zur Datenübermittlung ins Nicht-EU-Ausland

Die baden-würtembergische Datenschutzaufsichtsbehörde hat eine erste Orientierungshilfe veröffentlicht, die Hinweise zur Datenübermittlung ins Nicht-EU Ausland nach dem Urteil des EUGH gibt.
Sie macht darin deutlich, dass die Standardvertragsklauseln zwar im Prinzip noch gültig sind, aber dass es nicht allein darauf ankommt, ob Datenexporteuer und Datenimporteuer sich zum Umgang mit den Daten verständigt haben.  weiterlesen

Es kommt vielmehr darauf an, ob und wie die Behörden des Empfängerlandes Zugriff auf die Daten haben. Die Standardvertragsklauseln binden schließlich nicht die Behörden, sondern nur den Datenimporteuer.
Sie können daher nur dann als Grundlage akzeptiert werden, wenn durch weitere Maßnahmen der Zugriff der Behörden verhindert wird.

Der LDI BaWü benennt dazu auch zwei Beispiele: „Verschlüsselung, bei der nur der Datenexporteur den Schlüssel hat und die auch von US-Diensten nicht gebrochen werden kann und „Anonymisierung oder Pseudonymisierung, bei der nur der Datenexporteur die Zuordnung vornehmen kann“.

Der LDI BaWü kommt zu dem Schluss, dass ohne diese Maßnahmen die Datenübermittlung explizit in die USA nicht regelkonform ist.

 

Die Orientierungshilfe kann hier abgerufen werden:

Aufsichtsbehörden: Anforderungen an Google Analytics Einsatz

Die Aufsichtsbehörden (Datenschutzkonferenz) haben in einem weiteren Positionspapier Ihren Standpunkt zum Einsatz von google analytcis kommuniziert. Nach Auffassung der Behörden ist google im Bezug auf google Analytics kein Auftragsverarbeiter und verarbeitet in allen Fällen personenbezogene Daten.  weiterlesen

Die Behörden sehen weder Art. 6 Abs.1 (b) DSGVO noch Art. 6 Abs.1 (f) DSGVO als Rechtsgrundlage, die Daten zu verarbeiten. Sie begründen, warum kein berechtigtes Interesse an der Verarbeitung überwiegt.
Es verbleibt damit die Einwilligung als Rechtsgrundlage. Auch hier sehen die Behörden Anforderungen, die an die Einwilligung zu stellen sind und deren Umsetzung nachgewiesen werden muss.
Der Beschluss der Datenschutzkonferenz ergänzt das bereits bekannte Papier zu den Anforderungen an Telemediendienste (Orientierungshilfe März 2019).

 

Die neuen Positionen können hier eingesehen werden: 

Anonymisierung ist eine folgenabschätzungsrelevante Verarbeitung

Der Bundesbeauftragte hat ein Positionspapier veröffentlicht, das sich mit den Anforderungen der Anonymisierung von Daten beschäftigt. Das Papier bezieht sich zwar primär auf Telekommunikationsdaten, ist aber adaptierbar und in mehreren Stellen wegweisend.  weiterlesen

So werden Anforderungen an die rechtliche Zulässigkeit und die Methode der Anonymisierung beschrieben. Die gelegentlich diskutierte Frage, ob man nicht Daten immer anonym verwenden darf, wird datenschutzrechtlich aufgearbeitet. Außerdem wird klargestellt, dass der Anonymisierungsschritt ein Verarbeitungsvorgang ist, der einer Folgenabschätzung bedarf.

 

Das Papier ist  hier zu finden

Neuer BSI Prüfkatalog für Cloud-Computing

Das Bundesamt für Informationssicherheit hat einen aktualisierten Kriterienkatalog (=C5 Katalog) für das Cloud-Computing veröffentlicht. In dem Katalog sind die Kriterien an das interne Kontrollsystem eines Cloud-Anbieters benannt. Es wird beschrieben, welche Anforderungen der Cloud-Anbieter mindestens erfüllen muss. weiterlesen

Im Vergleich zur Version von 2019 ist ein neues Kapitel „Produktsicherheit“ hinzugekommen; diese neuen Anforderungen beruhen auf dem EU Cybersecurity Act. Die bestehenden Sicherheitskriterien wurden überarbeitet; u.a. gibt es nun zu jedem Sicherheitskriterium Hinweise, wie dieses geprüft werden kann.

Erleichtert wurde das Erstellen der Systembeschreibung, die der Cloud-Anbieter zur Prüfung liefern muss. Der neue Katalog schafft die Möglichkeit , dass ein Prüfer direkt prüfen kann und eine der Systembeschreibung vergleichbare Beschreibung während des Prüfvorganges erstellt.

VERDATA orientiert sich bei Prüfungen an diesem Katalog.

 

Zum Kriterienkatalog C5:2020

Auftragsverarbeitungsvertrag der dänischen Aufsichtsbehörde veröffentlicht

Die Dänische Aufsichtsbehörde hat gemäß Art. 28 Abs.8 DSGVO einen Standardvertragstext für die Auftragsverarbeitung herausgegeben. Dieser wurde vom Europäischen Datenschutzausschuss positiv angenommen und nun veröffentlicht.  weiterlesen

Diese englische Vorlage ist nicht verbindlich; sie ist aber zu empfehlen, insbesondere dann, wenn mit einem dänischen Unternehmen eine Auftragsverarbeitung abgeschlossen wird. Wird die behördliche Vorlage verwendet, prüft die Aufsichtsbehörde den Inhalt des Vertrages nicht mehr.

Die Vorlage ist hier veröffentlicht

Steuerberater sind keine Auftragsverarbeiter

Fast unbemerkt hat Art. 23 im „Gesetz zur weiteren steuerlichen Förderung der Elektromobilität und zur Änderung weiterer steuerlicher Vorschriften“ vom 12. Dezember 2019 (BglBl 17.12.2019 Seite 2451 (Nr. 48)) eine wesentliche Datenschutzfrage beantwortet: Die Verarbeitung personenbezogener Daten durch Steuerberater wie z.B. zur Gehaltsabrechnung oder zu anderen Zwecken erfolgt weisungsfrei.  weiterlesen

Dieses Gesetz änderte nämlich § 11 Steuerberatergesetz und hat einen neuen Absatz 2 eingefügt, der die Weisungsfreiheit dabei betont. § 11 Abs.2 StBG lautet seit dem 1.1.2020:

„Die Verarbeitung personenbezogener Daten durch Personen und Gesellschaften nach § 3 erfolgt unter Beachtung der für sie geltenden Berufspflichten weisungsfrei. Die Personen und Gesellschaften nach § 3 sind bei Verarbeitung sämtlicher personenbezogener Daten ihrer Mandanten Verantwortliche gemäß Artikel 4 Nummer 7 der Datenschutz-Grundverordnung (EU) 2016/679. Besondere Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 dürfen gemäß Artikel 9 Absatz 2 Buchstabe g der Datenschutz-Grundverordnung (EU) 2016/679 in diesem Rahmen verarbeitet werden.“

Damit wird eine Datenschutzfrage geklärt, die selbst Aufsichtsbehörden bisher unterschiedlich beantwortet haben. Steuerberater sind nicht nach Art. 28 DSGVO als weisungsgebundene Datenverarbeiter zu engagieren. Der Verantwortliche, der eine Datenverarbeitung an den Steuerberater auslagert, muss die Zulässigkeit der Auslagerung klären und die Rechtmäßigkeit der Datenübermittlung feststellen. VERDATA hat diese Auffassung schon seit längerem vertreten; der Gesetzgeber schafft hier nun Klarheit.

LDA Bayern: Google Analytics nur mit Einwilligung

Die Bayerische Aufsichtsbehörde hat klargestellt, dass sie als Rechtsgrundlage des Trackings mittels Google Anlytics die Einwilligung sieht. Die Behörde begründet dies damit, dass Google sich das Recht einräumen lässt, dass die Daten zu eigenen Zwecken verarbeitet werden dürfen. weiterlesen

Warum die Behörde allerdings das überwiegende berechtigte Interesse nach Art. 6 Abs.2 (f) DSGVO ausschließt, begründet sie nicht. Allein die Beteiligung des Unternehmens Google spricht nicht gegen ein mögliches Überwiegen des Verarbeitungsinteresses. Hier besteht trotz behördlichen Statements weiterhin Auslegungsbedarf.

Zur Mitteilung der Behörde

Neue Guideline des Europäischen Datenschutzausschusses zu Art. 6 Abs.1 (b) DSGVO veröffentlicht

Der Europäische Datenschutzausschuss hat die finale Version seiner Leitlinie zur Vertragsdatenverarbeitung (Verarbeitung nach Art. 6 Abs.1 (b) DSGV) veröffentlicht (= Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects). Darin werden Aussagen und Auslegungen zusammengefasst, unter welchen Voraussetzungen eine Datenverarbeitung der Erlaubnisnorm Art.6 Abs.1 (b) DSGVO entspricht.weiterlesen

U.a. stellt der Ausschuss klar, dass das Prinzip der Zweckbindung erfordert, dass bei einem Vertragabschluss genau festgelegt werden muss, wann eine Verarbeitung zum Zweck gehört und wann nicht. Der Datenschutzausschuss hält den Standpunkt der Artikel 29 Gruppe aufrecht, dass vage Zwecke wie „Verbesserung der Benutzererfahrung“, „Marketingzwecke“, „IT-Sicherheitszwecke“ oder „zukünftige Forschung“, nicht ausreichen.

Der Ausschuss empfiehlt, bei Zweifeln an der Erforderlichkeit zur Vertragserfüllung besser auf eine andere Rechtsgrundlage auszuweichen, z.B. die Einwilligung; die geeignete Rechtsgrundlage zu ermitteln, ist ein Gebot der Fairness und Zweckbindung.

Im Rahmen der Rechenschaftspflicht verlangt der Ausschuss, dass der Verantwortliche, der sich auf Art.6 Abs.1 (b) beruft, drei Dinge nachweisen kann:  a) ein Vertrag besteht, b) der Vertrag ist nach nationalen Vertragsgesetzen gültig c) die Verarbeitung ist objektiv für die Ausführung des Vertrags erforderlich ist. Für Punkt c) setzt der Ausschuss sehr strenge Maßstäbe an: Wörtlich heißt es „ Auch wenn diese Verarbeitungstätigkeiten im Kleingedruckten des Vertrages ausdrücklich erwähnt werden, macht diese Tatsache sie allein nicht „notwendig“ für die Vertragserfüllung.“ Vielmehr muss eine objekte Notwendigkeit belegt werden.

Darüber hinaus verlangt der Ausschuss, dass dann, wenn eine neue Technologie zur Erbringung des Dienstes eingeführt wird, neu bewertet wird, ob die Verarbeitung erforderlich ist oder nicht.

Der Ausschuss vertritt außerdem die Auffassung, dass es unfair und damit niciht zulässig ist, eine Verarbeitung von Daten, die auf Basis von Art. 6 Abs.1 (b) DSGVO erfolgte, nach Beendigung des Vertrages auf eine andere Rechtsgrundlage zu stützen. Wenn hingegen Aufzeichnungen (Speicherungen) für rechtliche Zwecke erfolgen (siehe Art.17), dann ist die zulässig, wenn einige Bedingungen erfüllt werden. Die Verantwortlichen „müssen sie zu Beginn der Verarbeitung eine Rechtsgrundlage dafür ermitteln, und sie müssen von Anfang an klar kommunizieren, wie lange sie planen, Aufzeichnungen für diese nach Beendigung des Vertrages. Wenn sie dies tun, müssen sie die Daten bei Beendigung des Vertrages nicht löschen.“

Der Ausschuss bezieht außerdem Stellung zu verschiedenen Verarbeitungen und sieht diese nicht über Art. 6 Abs. 1 (b) DSGVO legitimierbar: Beispielweise „ kann die Erhebung von organisatorischen Kennzahlen im Zusammenhang mit einer Dienstleistung oder Einzelheiten des Nutzerengagements nicht als notwendig für die Erbringung der Dienstleistung angesehen werden“. Auch die  Verarbeitung zum Zwecke der Verbesserung einer Dienstleistung oder der Entwicklung neuer Funktionen innerhalb eines bestehenden Dienstes, ebenso die Verarbeitung zum Zwecke der Betrugsprävention, sind mit Art.6 Abs.1 (b) DSGVO legitimierbar. Hier sieht er allerdings ein überwiegendes berechtigtes Interesse.

Auch die Erstellung von Profilen bzw. das Auswerten von Nutzerverhalten zur werbefinanzierten Bezahlung/Gegenleistung hält der Ausschuss nicht mit Art. 6 Abs.1 (b) DSGVO legitimierbar. Der Ausschuss sieht die Finanzierung nur als unterstützend an, der Verantwortliche müsse hingegen beweisen, dass diese Verarbeitung tatsächlich notwendig ist.

Zur Leitlinie: (guideline 2/2019)

150.000 Euro Bußgeld wegen falscher Rechtsgrundlage einer Verarbeitung

Die griechische Aufsichtsbehörde hatte im Juli ein Bußgeld in Höhe von 150.000 Euro gegen PwC verhangen, weil nach Ansicht der Behörde Daten von Beschäftigten ohne ausreichende Rechtsgrundlage verarbeitet wurden. Das Unternehmen hatte die Verarbeitung von Beschäftigtendaten auf eine Einwilligung gestützt; die Behörde war der Ansicht, dass die Einwilligung nicht die korrekte Rechtsgrundlage darstellt. weiterlesen

Die Behörde bewertete die Einwilligung als eine Erlaubnis, die nur dann eingesetzt werden sollte, wenn die anderen Erlaubnisnormen nicht angewendet werden. Wörtlich heißt es: „Die Grundsätze der rechtmäßigen, fairen und transparenten Verarbeitung personenbezogener Daten gemäß Artikel 5 Absatz 1 Buchstabe a DSGVO erfordern, dass die Zustimmung als Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO nur dann verwendet wird, wenn die anderen Rechtsgrundlagen nicht anwendbar sind“.

Für den Fall, dass die betroffene Person ihre Einwilligung widerruft, ist es nicht gestattet, die Verarbeitung personenbezogener Daten unter einer anderen Rechtsgrundlage durchzuführen. Die Einwilligung setzt andere Rechtsgrundlagen faktisch außer Kraft, weil nur so der Widerruf der Einwilligung und damit das Recht des Betroffenen beachtet und berücksichtigt werden.

Im vorliegenden Fall hatte das Unternehmen die Einwilligung für Verarbeitungen eingeholt, obwohl die Verarbeitung tatsächlich aufgrund einer anderen Rechtsgrundlage durchgeführt wurde. Die Behörde urteilt:
„In diesem Fall war die Wahl der Einwilligung als Rechtsgrundlage unangemessen, da die Verarbeitung der personenbezogener Daten dazu bestimmt war, Handlungen auszuführen, die in direktem Zusammenhang mit der Erfüllung von Arbeitsverträgen standen, die zur Einhaltung einer gesetzlichen Verpflichtung erfolgten, der der für die Verarbeitung Verantwortliche unterliegt und die einer reibungslosen Abwicklung eines effektiver Betrieb des Unternehmens – und damit einem berechtigtes Interesse – dienten.“

Daraus zog die Behörde den Schluss, dass vor allem auch der Grundsatz der Transparenz nicht eingehalten wird: „Darüber hinaus vermittelte das Unternehmen den Mitarbeitern den falschen Eindruck, dass es ihre personenbezogenen Daten unter der Rechtsgrundlage der Einwilligung verarbeitete, während es in Wirklichkeit ihre Daten auf einer anderen Rechtsgrundlage verarbeitete, über die die Mitarbeiter nie informiert worden waren. Dies verstieß gegen den Grundsatz der Transparenz und damit gegen die Informationspflicht nach den Artikeln 13 Absatz 1 Buchstabe c und 14 Absatz 1 Buchstabe c der DSGVO.“

Die Entscheidung der Behörde ist hier abrufbar 

VERDATA_
DATENSCHUTZ GMBH & CO. KG

© VERDATA_ DATENSCHUTZ GMBH & CO. KG  2018