news IT - Datenschutz - arrows

Insights

Newsflash IT / Datenschutz 

Halten Sie sich über aktuelle Entwicklungen, Entscheidungen und Nachrichten aus dem Bereich IT und Datenschutz auf dem Laufenden.

Datenschutz | Verordnung über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten

6. Mai 2019

Die rechtlichen Anforderungen an die Verarbeitung personenbezogener Daten sind mit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) verstärkt in den Fokus der Öffentlichkeit geraten. Ein anderes Thema von erheblicher kommerzieller Bedeutung ist dabei in den Hintergrund getreten: Die Verarbeitung nicht-personenbezogener Daten. Nicht-personenbezogene Daten sind solche Daten, die im Gegensatz zu personenbezogenen Daten keinen unmittelbaren oder mittelbaren Rückschluss auf natürliche Personen geben. Beispiele hierfür sind anonymisierte Daten, Angaben zur Leistungsfähigkeit von Maschinen oder betriebswirtschaftliche Daten wie Jahresumsätze oder Mitarbeiteranzahl. Die Möglichkeit der ungehinderten Übertragung von Daten ist ein Schlüsselfaktor, um die Auswahlmöglichkeiten der Nutzer und einen wirksamen Wettbewerb auf den Märkten der Datenverarbeitungsdienste zu fördern. Die grenzüberschreitende Übertragung von Daten war jedoch bislang durch tatsächliche oder vermeintliche Schwierigkeiten gekennzeichnet, insbesondere nationale Vorschriften, die ein Vorhalten bestimmter Daten im jeweiligen EU-Mitgliedstaat vorsahen.

Mit der Verordnung über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union (Link) wurde ein Instrument für eine wettbewerbsorientierte europäische Datenwirtschaft geschaffen. Die Verordnung wird ab dem 19. Juni 2019 unmittelbar gelten.

Bis zum Erlass der Verordnung war der freie Verkehr nicht-personenbezogener Daten insbesondere durch sogenannte „Datenlokalisierungsauflagen“ beschränkt. Diese Auflagen verpflichteten Unternehmen und Behörden häufig dazu, ihre nicht-personenbezogenen Daten trotz kostengünstiger Alternative im EU-Ausland im Inland zu verarbeiten und zu speichern. Ein Rückgriff auf Cloud-Anbieter, die die Daten im Ausland speichern, war somit in vielen Fällen nicht zulässig. Im deutschen Recht finden sich derartige Auflagen beispielsweise im Einkommenssteuergesetz und im Handelsgesetzbuch.

Mit der Verordnung werden diese Einschränkungen weitgehend entfallen. Zukünftig sind Datenlokalisierungsauflagen unzulässig, es sei denn, sie sind aus Gründen der öffentlichen Sicherheit unter Achtung des Grundsatzes der Verhältnismäßigkeit gerechtfertigt. Die EU-Mitgliedstaaten sind verpflichtet, derzeit noch gültige Datenlokalisierungsauflagen, die diesen neuen Anforderungen nicht entsprechen, bis zum 30. Mai 2021 aufzuheben. Außerdem werden die EU-Mitgliedstaaten verpflichtet, der Kommission alle Entwürfe von Vorschriften mitzuteilen, welche Datenlokalisierungsauflagen enthalten oder bestehende Datenlokalisierungsauflagen ändern.

Daneben werden die Mitgliedstaaten verpflichtet, die Einzelheiten sämtlicher in ihrem Hoheitsgebiet geltenden, durch allgemeine Rechts- oder Verwaltungsvorschriften geregelten Datenlokalisierungsauflagen über eine nationale einheitliche Online-Informationsstelle öffentlich verfügbar zu machen und auf dem neuesten Stand zu halten.

Damit wird es Unternehmen und Behörden zukünftig freistehen, den grenzüberschreitenden Wettbewerb der Cloud-Anbieter zu nutzen und so von einer effizienten und kostengünstigen Datenspeicherung und Verarbeitung zu profitieren. Besondere praktische Bedeutung wird diese Liberalisierung mit Blick auf den immer wichtiger werdenden Aufbau und die Nutzung von branchenübergreifenden Plattformen und Datenpools („Data Sharing“) haben. Nationale Datenlokalisierungsauflagen, die nach dem Wunsch eines Mitgliedstaates auch nach Ablauf der Übergangsfrist bis 30. Mai 2021 fortbestehen sollen und deren Fortbestehen von der Kommission gutgeheißen wird, werden zukünftig zentral verfügbar gemacht – auch dies ist ein erheblicher Fortschritt für diese Splittermaterie, die unterschiedlichste Akteure betrifft und dabei mehrere Schutzrichtungen verfolgt.

Wie sich die Verordnung und Umsetzung in der Praxis entwickelt wird weiter zu verfolgen sein. Praktische Bedeutung hat auch das Zusammenspiel der Verordnung mit der DSGVO, insbesondere im Umgang mit gemischten Datensätzen. Denn die Verordnung sieht hier ausdrücklich die Anwendbarkeit der DSGVO auf den personenbezogenen Teil vor. Zur Frage der Wechselwirkungen beider Verordnungen, insbesondere im Hinblick auf gemischte Datensätze, soll die Kommission laut Verordnung bis zum 29. Mai 2019 informierende Leitlinien herausgeben.

 

Datenschutz | Bundestag verabschiedet Gesetz zum Schutz von Geschäftsgeheimnissen

4. April 2019

Der Bundestag hat vor kurzem das Gesetz zum Schutz von Geschäftsgeheimnissen beschlossen, welches voraussichtlich noch im April dieses Jahres in Kraft treten wird (Link).

Damit hat Deutschland die europarechtlichen Vorgaben aus der Richtlinie über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Link) in nationales Recht umgesetzt und erstmals den Schutz von Geschäftsgeheimnissen umfassend geregelt.

Wesentliche Neuerung ist vor allem die gesetzliche Definition des Geschäftsgeheimnisses. So ist nicht nur die Vertraulichkeit der Information ausschlaggebend, sondern auch, ob angemessene Geheimhaltungsmaßnahmen getroffen wurden. Auf den subjektiven Geheimhaltungswillen kommt es für den Informationsschutz somit nicht mehr an. Weitere Neuerung sind die erweiterten Ansprüche bei Geheimnisverletzung: Neben den Ansprüchen auf Unterlassung, Schadensersatz und Auskunft, stehen dem Berechtigten nun auch Ansprüche auf Vernichtung, Rückruf und Herausgabe der Informationen zu.

Zu spezifischen Fragen rund um die Auswirkungen der Richtlinie und des Umsetzungsaktes auf den Schutz von Algorithmen in Big-Data-Anwendungen verweisen wir auf den Beitrag unserer Kollegin Katharina Scheja.

Unternehmen wird empfohlen, bereits jetzt zu prüfen, ob ihre Geschäftsgeheimnisse angemessen geschützt sind und somit unter den Schutz des Gesetzes fallen.

 

Datenschutz | Bundeskartellamt weist Facebook in die Schranken und begrenzt Datensammlung

25. Februar 2019

Das Bundeskartellamt hat sich der Sammlung von Nutzerdaten durch Facebook angenommen. Die Behörde stellt dabei zunächst fest, dass das Unternehmen innerhalb der sozialen Netzwerke in Deutschland eine marktbeherrschende Stellung einnimmt. Diese Machtstellung werde durch Facebook missbraucht, wenn ohne datenschutzkonforme Einwilligung der Betroffenen eine uneingeschränkte Sammlung und Zusammenführung von Daten aus Tochterunternehmen wie Instagram und WhatsApp oder auch Drittseiten mit Bezug zu Facebook (bspw. durch die Verwendung der „Gefällt mir“- Buttons) stattfindet. Durch die Entscheidung wird Facebook dazu verpflichtet, innerhalb von zwölf Monaten Maßnahmen vorzunehmen, durch die eine – unter Berücksichtigung dieser Vorgaben – gesetzeskonforme Datenverarbeitung sichergestellt wird.

Die Entscheidungen stößt vor allem bei Verbraucherschutzorganisationen auf Zustimmung. Kritische Stimmen bemängeln jedoch das Vorgehen des Bundeskartellamts als „eigenmächtig“ und widersprechen einer Kompetenz der Behörde so weitreichende Aussagen zu datenschutzrechtlichen Angelegenheiten zu tätigen. Auch wird auf die Möglichkeit einer rechtskonformen Datenverarbeitung ohne Einwilligung auf Grundlage berechtigter Interessen oder zum Zwecke der Vertragserfüllung hingewiesen.

Das vorliegende Verfahren zeigt einmal mehr, dass es bei der Umsetzung der EU-Datenschutzgrundverordnung (DSGVO) noch immer grundlegende klärungsbedürftige Fragen gibt. Vor allem das Thema Einwilligung führt immer wieder zu Unsicherheiten bei der Umsetzung digitaler Geschäftsmodelle. So zeigt beispielsweise auch das aktuelle Ergebnis einer Datenschutzprüfung digitaler Dienste durch das Bayerische Landesamt für Datenschutzaufsicht vom 05. Februar 2019, dass auf keiner der vierzig geprüften Webseiten eine den Vorgaben der DSGVO entsprechende Einwilligung für den Einsatz von Tracking-Tools eingeholt wurde.  

 

Datenschutz | Formulierungshilfen zu Einwilligungserklärungen und Auftragsverarbeitungsverträgen

15. Februar 2019

Die Auseinandersetzung mit den Anforderungen der EU-Datenschutzgrundverordnung („DSGVO“) bringt für viele Unternehmen erheblichen Aufwand mit sich. In der Praxis wird insbesondere beklagt, dass sich die im Hinblick auf bestimmte Sachverhalte bestehenden Pflichten nicht immer eindeutig feststellen lassen. Angesichts teilweise auslegungsbedürftiger Formulierungen und hierzu vertretenen unterschiedlichen Auffassungen fällt vielen Unternehmen häufig bereits die Umsetzung elementarer gesetzlicher Vorgaben der DSGVO schwer. Vor diesem Hintergrund wünschen sich viele Unternehmen mehr Klarheit hinsichtlich der für sie bestehenden datenschutzrechtlichen Pflichten und Gestaltungsmöglichkeiten.

Da der Versuch, alle Regeln einzuhalten, häufig mit erheblichem Aufwand einhergeht, sind Vorlagen, die eine erste Orientierung bieten und die datenschutzrechtlich vorgeschriebenen Elemente aufgreifen, für Mitarbeiter von Rechtsabteilungen und Datenschutzbeauftragte häufig von erheblichem Wert.

In diesem Zusammenhang ist zu beachten, dass die Datenschutzbehörden in regelmäßigen Abständen hilfreiche Informationen, Mustervorlagen und Stellungnahmen zu diversen datenschutzrechtlichen Themen veröffentlichen. So wurden auf der Seite des hessischen Landesdatenschutzbeauftragten unlängst eine Formulierungshilfe für einen Auftragsverarbeitungsvertrag sowie auf der Seite des Thüringer Landesdatenschutzbeauftragten vor kurzem ein Beispiel eines Formulars für eine Einwilligungserklärung zur Datenverarbeitung veröffentlicht.

Ungeachtet der Tatsache, dass die Verwendung von Vorlagen zu einer effizienten und rechtssicheren Umsetzung datenschutzrechtlicher Vorgaben beitragen kann, sollte allerdings stets im Einzelfall geprüft werden, ob die Vorlagen für den jeweiligen Verwendungszweck geeignet und ob und inwieweit sie vor dem Hintergrund der jeweiligen Fallkonstellation anzupassen sind.

So ist im Hinblick auf die Einwilligung in die Datenverarbeitung insbesondere zu beachten, dass diese nur wirksam ist, wenn sie freiwillig erfolgt. Hierauf ist deshalb insbesondere in Arbeitsverhältnissen aufgrund der typischerweise bestehenden Abhängigkeit des Arbeitnehmers vom Arbeitgeber ein besonderes Augenmerk zu legen. Besonders sorgfältig sollte auch vorgegangen werden, wenn eine Einwilligung im Hinblick auf die Verarbeitung besonderer Datenkategorien (z. B. Gesundheitsdaten oder biometrische Daten) eingeholt werden soll. Hier ist stets eine ausdrückliche Erklärung notwendig.

Angesichts dieser besonderen Anforderungen bietet es sich immer an, zu prüfen, ob zur Begründung der Zulässigkeit der Datenverarbeitung nicht auch andere Rechtsgrundlagen als die Einwilligung in Betracht kommen. Je nach Sachverhalt kann die Datenverarbeitung beispielsweise dadurch gerechtfertigt werden, dass sie der Erfüllung eines Vertrages dient oder zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Letzteres kann allerdings mit einem erhöhten Begründungs- und Dokumentationsaufwand einhergehen.

Auch Vorlagen für Auftragsverarbeitungsverträge können hilfreiche Orientierungs- und Formulierungshilfen darstellen. Allerdings sollte vor einer Verwendung in bestimmten Fallkonstellationen kritisch geprüft werden, ob die in der Vorlage vorgesehenen Regelungen für den jeweiligen Einzelfall passen. Insbesondere beim Abschluss von konzerninternen Auftragsverarbeitungsverträgen ist sorgsam abzuwägen, ob das Vertragswerk allgemein zu Gunsten oder zu Lasten einer der Parteien gestaltet werden sollte oder ob sich ausgewogene Regelungen empfehlen. Gerade bei konzerninternen Vereinbarungen kann es sich zudem anbieten, beispielsweise Regelungen zu Inspektionsrechten des Auftraggebers, zur Vergütung des Auftragnehmers und zur Haftung der Parteien entsprechend den unternehmensinternen Gepflogenheiten anzupassen.

Datenschutz | Angemessenheitsbeschluss der Europäische Kommission: Japan ist sicheres Drittland

29. Januar 2019

Seit rund einem dreiviertel Jahr ist die Datenschutzgrundverordnung (DSGVO) innerhalb der EU unmittelbar geltendes Recht. Nach den Vorgaben der DSGVO ist ein Datentransfer an Staaten außerhalb des Europäischen Wirtschaftsraums ist nur zulässig, soweit die Beteiligten geeignete Garantien zum Schutz der personenbezogenen Daten sicherstellen oder ein sogenannter Angemessenheitsbeschluss vorliegt. Ein solcher Angemessenheitsbeschluss wird von der Europäischen Kommission im Hinblick auf Staaten erteilt, die ein angemessenes Schutzniveau bieten.

Innerhalb des letzten Jahres hat Japan sein Datenschutzrecht durch den Erlass von Schutzvorschriften- und verfahren verstärkt und dem Niveau der europäischen angenähert bzw. Regulation angepasst. Auf Grundlage dieser Entwicklung wurde Japan nun durch einen Angemessenheitsbeschluss der Europäische Kommission als sicheres Drittland eingestuft. Damit wird der Datenverkehr zwischen der EU und Japan wesentlich erleichtert. Für europäische Unternehmen, die personenbezogene Daten nach Japan transferieren und für international agierende Konzerne, die bei ihrer Tätigkeit auf den konzerninternen Datenaustausch zwischen ihren europäischen und japanischen Gesellschaften angewiesen sind, stellt der Beschluss ganz im Sinne des zwischen der EU und Japan geschlossenen Freihandelsabkommens eine enorme Erleichterung dar. Trotz diverser unverändert bestehender Pflichten (insbesondere Information der Betroffenen über den Datentransfer nach Japan, Sicherstellung einer Rechtsgrundlage für die Datenverarbeitung oder Abschluss eines Auftragsverarbeitungsvertrages) werden die am Drittlandtransfer beteiligten Unternehmen von der Pflicht zur Sicherstellung geeigneter Garantien befreit.

Die Entscheidung wird nach zwei Jahren erneut einer Prüfung durch die EU unterzogen werden.

Ältere Nachrichten finden Sie in unserem Newsflash Archiv.

Did you find this useful?