news IT - Datenschutz - arrows

Insights

Newsflash IT / Datenschutz 

Halten Sie sich über aktuelle Entwicklungen, Entscheidungen und Nachrichten aus dem Bereich IT und Datenschutz auf dem Laufenden.

Datenschutz | Bundeskartellamt weist Facebook in die Schranken und begrenzt Datensammlung

25. Februar 2019

Das Bundeskartellamt hat sich der Sammlung von Nutzerdaten durch Facebook angenommen. Die Behörde stellt dabei zunächst fest, dass das Unternehmen innerhalb der sozialen Netzwerke in Deutschland eine marktbeherrschende Stellung einnimmt. Diese Machtstellung werde durch Facebook missbraucht, wenn ohne datenschutzkonforme Einwilligung der Betroffenen eine uneingeschränkte Sammlung und Zusammenführung von Daten aus Tochterunternehmen wie Instagram und WhatsApp oder auch Drittseiten mit Bezug zu Facebook (bspw. durch die Verwendung der „Gefällt mir“- Buttons) stattfindet. Durch die Entscheidung wird Facebook dazu verpflichtet, innerhalb von zwölf Monaten Maßnahmen vorzunehmen, durch die eine – unter Berücksichtigung dieser Vorgaben – gesetzeskonforme Datenverarbeitung sichergestellt wird.

Die Entscheidungen stößt vor allem bei Verbraucherschutzorganisationen auf Zustimmung. Kritische Stimmen bemängeln jedoch das Vorgehen des Bundeskartellamts als „eigenmächtig“ und widersprechen einer Kompetenz der Behörde so weitreichende Aussagen zu datenschutzrechtlichen Angelegenheiten zu tätigen. Auch wird auf die Möglichkeit einer rechtskonformen Datenverarbeitung ohne Einwilligung auf Grundlage berechtigter Interessen oder zum Zwecke der Vertragserfüllung hingewiesen.

Das vorliegende Verfahren zeigt einmal mehr, dass es bei der Umsetzung der EU-Datenschutzgrundverordnung (DSGVO) noch immer grundlegende klärungsbedürftige Fragen gibt. Vor allem das Thema Einwilligung führt immer wieder zu Unsicherheiten bei der Umsetzung digitaler Geschäftsmodelle. So zeigt beispielsweise auch das aktuelle Ergebnis einer Datenschutzprüfung digitaler Dienste durch das Bayerische Landesamt für Datenschutzaufsicht vom 05. Februar 2019, dass auf keiner der vierzig geprüften Webseiten eine den Vorgaben der DSGVO entsprechende Einwilligung für den Einsatz von Tracking-Tools eingeholt wurde.  

 

Datenschutz | Formulierungshilfen zu Einwilligungserklärungen und Auftragsverarbeitungsverträgen

15. Februar 2019

Die Auseinandersetzung mit den Anforderungen der EU-Datenschutzgrundverordnung („DSGVO“) bringt für viele Unternehmen erheblichen Aufwand mit sich. In der Praxis wird insbesondere beklagt, dass sich die im Hinblick auf bestimmte Sachverhalte bestehenden Pflichten nicht immer eindeutig feststellen lassen. Angesichts teilweise auslegungsbedürftiger Formulierungen und hierzu vertretenen unterschiedlichen Auffassungen fällt vielen Unternehmen häufig bereits die Umsetzung elementarer gesetzlicher Vorgaben der DSGVO schwer. Vor diesem Hintergrund wünschen sich viele Unternehmen mehr Klarheit hinsichtlich der für sie bestehenden datenschutzrechtlichen Pflichten und Gestaltungsmöglichkeiten.

Da der Versuch, alle Regeln einzuhalten, häufig mit erheblichem Aufwand einhergeht, sind Vorlagen, die eine erste Orientierung bieten und die datenschutzrechtlich vorgeschriebenen Elemente aufgreifen, für Mitarbeiter von Rechtsabteilungen und Datenschutzbeauftragte häufig von erheblichem Wert.

In diesem Zusammenhang ist zu beachten, dass die Datenschutzbehörden in regelmäßigen Abständen hilfreiche Informationen, Mustervorlagen und Stellungnahmen zu diversen datenschutzrechtlichen Themen veröffentlichen. So wurden auf der Seite des hessischen Landesdatenschutzbeauftragten unlängst eine Formulierungshilfe für einen Auftragsverarbeitungsvertrag sowie auf der Seite des Thüringer Landesdatenschutzbeauftragten vor kurzem ein Beispiel eines Formulars für eine Einwilligungserklärung zur Datenverarbeitung veröffentlicht.

Ungeachtet der Tatsache, dass die Verwendung von Vorlagen zu einer effizienten und rechtssicheren Umsetzung datenschutzrechtlicher Vorgaben beitragen kann, sollte allerdings stets im Einzelfall geprüft werden, ob die Vorlagen für den jeweiligen Verwendungszweck geeignet und ob und inwieweit sie vor dem Hintergrund der jeweiligen Fallkonstellation anzupassen sind.

So ist im Hinblick auf die Einwilligung in die Datenverarbeitung insbesondere zu beachten, dass diese nur wirksam ist, wenn sie freiwillig erfolgt. Hierauf ist deshalb insbesondere in Arbeitsverhältnissen aufgrund der typischerweise bestehenden Abhängigkeit des Arbeitnehmers vom Arbeitgeber ein besonderes Augenmerk zu legen. Besonders sorgfältig sollte auch vorgegangen werden, wenn eine Einwilligung im Hinblick auf die Verarbeitung besonderer Datenkategorien (z. B. Gesundheitsdaten oder biometrische Daten) eingeholt werden soll. Hier ist stets eine ausdrückliche Erklärung notwendig.

Angesichts dieser besonderen Anforderungen bietet es sich immer an, zu prüfen, ob zur Begründung der Zulässigkeit der Datenverarbeitung nicht auch andere Rechtsgrundlagen als die Einwilligung in Betracht kommen. Je nach Sachverhalt kann die Datenverarbeitung beispielsweise dadurch gerechtfertigt werden, dass sie der Erfüllung eines Vertrages dient oder zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Letzteres kann allerdings mit einem erhöhten Begründungs- und Dokumentationsaufwand einhergehen.

Auch Vorlagen für Auftragsverarbeitungsverträge können hilfreiche Orientierungs- und Formulierungshilfen darstellen. Allerdings sollte vor einer Verwendung in bestimmten Fallkonstellationen kritisch geprüft werden, ob die in der Vorlage vorgesehenen Regelungen für den jeweiligen Einzelfall passen. Insbesondere beim Abschluss von konzerninternen Auftragsverarbeitungsverträgen ist sorgsam abzuwägen, ob das Vertragswerk allgemein zu Gunsten oder zu Lasten einer der Parteien gestaltet werden sollte oder ob sich ausgewogene Regelungen empfehlen. Gerade bei konzerninternen Vereinbarungen kann es sich zudem anbieten, beispielsweise Regelungen zu Inspektionsrechten des Auftraggebers, zur Vergütung des Auftragnehmers und zur Haftung der Parteien entsprechend den unternehmensinternen Gepflogenheiten anzupassen.

Datenschutz | Angemessenheitsbeschluss der Europäische Kommission: Japan ist sicheres Drittland

29. Januar 2019

Seit rund einem dreiviertel Jahr ist die Datenschutzgrundverordnung (DSGVO) innerhalb der EU unmittelbar geltendes Recht. Nach den Vorgaben der DSGVO ist ein Datentransfer an Staaten außerhalb des Europäischen Wirtschaftsraums ist nur zulässig, soweit die Beteiligten geeignete Garantien zum Schutz der personenbezogenen Daten sicherstellen oder ein sogenannter Angemessenheitsbeschluss vorliegt. Ein solcher Angemessenheitsbeschluss wird von der Europäischen Kommission im Hinblick auf Staaten erteilt, die ein angemessenes Schutzniveau bieten.

Innerhalb des letzten Jahres hat Japan sein Datenschutzrecht durch den Erlass von Schutzvorschriften- und verfahren verstärkt und dem Niveau der europäischen angenähert bzw. Regulation angepasst. Auf Grundlage dieser Entwicklung wurde Japan nun durch einen Angemessenheitsbeschluss der Europäische Kommission als sicheres Drittland eingestuft. Damit wird der Datenverkehr zwischen der EU und Japan wesentlich erleichtert. Für europäische Unternehmen, die personenbezogene Daten nach Japan transferieren und für international agierende Konzerne, die bei ihrer Tätigkeit auf den konzerninternen Datenaustausch zwischen ihren europäischen und japanischen Gesellschaften angewiesen sind, stellt der Beschluss ganz im Sinne des zwischen der EU und Japan geschlossenen Freihandelsabkommens eine enorme Erleichterung dar. Trotz diverser unverändert bestehender Pflichten (insbesondere Information der Betroffenen über den Datentransfer nach Japan, Sicherstellung einer Rechtsgrundlage für die Datenverarbeitung oder Abschluss eines Auftragsverarbeitungsvertrages) werden die am Drittlandtransfer beteiligten Unternehmen von der Pflicht zur Sicherstellung geeigneter Garantien befreit.

Die Entscheidung wird nach zwei Jahren erneut einer Prüfung durch die EU unterzogen werden.

Ältere Nachrichten finden Sie in unserem Newsflash Archiv.

Did you find this useful?