[datensicherheit.de, 12.04.2024] Die Noerr Partnerschaftsgesellschaft mbB – Rechtsanwälte Steuerberater Wirtschaftsprüfer – hat am 11. April 2024 gemeldet, dass Unternehmen auch für Datenschutzverstöße durch weisungswidriges Verhalten ihrer Mitarbeiter haften: Der Europäische Gerichtshof (EuGH) hat demnach am selben Tag entschieden, „dass ein Unternehmen grundsätzlich für Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) haftet, wenn der Verstoß durch ein weisungswidriges Verhalten von Beschäftigten verursacht wurde“. Für eine mögliche Schuldbefreiung („Exkulpation“) des Unternehmens reiche es nicht aus, dass das Unternehmen nachweist, dass es seine Beschäftigten zu datenschutzkonformem Verhalten angewiesen hat. Vielmehr müsse sich das Unternehmen auch vergewissern, dass seine Weisungen von den Beschäftigten auch korrekt ausgeführt werden.

Unternehmen benötigen robuste Datenschutz-Governance

„Für Unternehmen bedeutet dies, dass sie eine datenschutzrechtliche Haftung nicht allein durch interne Richtlinien und andere Weisungen vermeiden können“, kommentiert Sebastian Dienst, „Associated Partner“ der Kanzlei Noerr.

Diese müssten somit weitere organisatorische und ggf. sogar technische Maßnahmen (TOM) ergreifen, um die Einhaltung ihrer Anweisungen auch tatsächlich sicherzustellen. Noerr erläutert: „Dies erfordert eine robuste Datenschutz-Governance, also eine wirksame Aufbau- und Ablauforganisation zur Umsetzung der datenrechtlichen Vorgaben mit klar definierten Verantwortlichkeiten und praktikablen Prozessen.“

Unternehmen sollten Datenschutz-Richtlinien durch Schulungen und Sensibilisierungsmaßnahmen verständlich vermitteln

Dr. Lea Stegemann, „Senior Associate“ der Kanzlei Noerr, berichtet: „Unserer Erfahrung nach haben viele Unternehmen bereits interne Richtlinien zum Datenschutz formuliert. Häufig sind diese Richtlinien jedoch eher realitätsfern und für Beschäftigte teilweise schwer verständlich.“

Umso wichtiger sei es in der Praxis, „die Inhalte solcher Richtlinien durch regelmäßige Schulungen und andere Sensibilisierungsmaßnahmen verständlich zu vermitteln und die Einhaltung der Datenschutzvorgaben auch tatsächlich zu kontrollieren“, so Dr. Stegemann abschließend.

Weitere Informationen zum Thema:

InfoCuria Rechtsprechung
URTEIL DES GERICHTSHOFS (Dritte Kammer) / 11. April 2024 / In der Rechtssache C-741/21

Europäisches Parlament hat Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (KI-Verordnung) verabschiedet

[datensicherheit.de, 14.03.2024] Laut einer Meldung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) vom 13. März 2024 hat das Europäische Parlament an diesem Tag die Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (KI-Verordnung) der EU verabschiedet. Der BfDI begrüßt demnach die europäische KI-Verordnung „als Ergänzung zur Datenschutz-Grundverordnung (DSGVO)“.

Foto: Bundesregierung/Kugler

Prof. Ulrich Kelber rät aber auch der Bundesregierung, die Öffnungsklausel für striktere nationale Verbote zu nutzen

Durch die KI-Verordnung wird der Schutz der Grundrechte, insbesondere der Datenschutz, gestärkt

Der BfDI, Professor Ulrich Kelber, kommentiert: „Es freut mich, dass der europäische Gesetzgeber eine Einigung bei der KI-Verordnung erzielen konnte. Die darin formulierten Anforderungen ergänzen bestehende Anforderungen und unterstützen deren Einhaltung. Dadurch wird der Schutz der Grundrechte, insbesondere der Datenschutz, gestärkt.“

Insbesondere begrüßt der BfDI nach eigenen Angaben, „dass die Datenschutzaufsichtsbehörden als Aufsicht für diverse Hochrisiko-KI-Systeme vorgesehen sind“.

Viele Vorgaben für Hochrisiko-KI-Systemeh haben engen Bezug zum Datenschutz

Viele der Vorgaben für Hochrisiko-KI-Systeme in der Verordnung hätten einen „engen Bezug zum Datenschutz“. So werde beispielsweise der Schutz vor automatisierter Entscheidung aus der DSGVO gestärkt und durch das Erfordernis menschlicher Aufsicht bei KI-unterstützten Entscheidungsfindungen erweitert.

Gleichzeitig bedauert der BfDI aber, dass einige der vom Europäischen Datenschutzausschuss (EDSA) und dem Europäischen Datenschutzbeauftragten (EDSB) in einer gemeinsamen Stellungnahme von 2021 geäußerten Kritikpunkte nicht umgesetzt worden seien: „Es ist ein Versäumnis, dass es kein klares Verbot biometrischer Fernerkennung im Öffentlichen Raum gibt. Die Bundesregierung sollte die Öffnungsklausel für striktere nationale Verbote nutzen.“

Weitere Informationen zum Thema:

edpb European Data Protection Board, 18.06.2021
EDPB-EDPS Joint Opinion 5/2021 on the proposal for a Regulation of the European Parliament and of the Council laying down harmonised rules on artificial intelligence (Artificial Intelligence Act)

datensicherheit.de, 04.10.2022
KI: Bitkom kommentiert EU-Haftungsrichtlinie / EU-Kommission hat Entwurf zur Haftungsrichtlinie zu Künstlicher Intelligenz (AI Liability Directive) veröffentlicht

datensicherheit.de, 24.05.2022
KI-Whitepaper als Beitrag für kommende Umsetzung gesetzlicher Regulierung Künstlicher Intelligenz in der EU / TÜV-Verband, BSI und Fraunhofer stellen gemeinsames KI-Whitepaper „Towards Auditable AI Systems – From Principles to Practice“ vor

[datensicherheit.de, 15.01.2024] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat nach eigenen Angaben ein Jahr nachdem die irische Datenschutzaufsichtsbehörde DPC einen Beschluss in Sachen „WhatsApp“ erlassen hat gefordert, „dass die offenen Fragen des Verfahrens endlich abschließend geklärt werden“.

BfDI hatte Beschwerde in der Sache WhatsApp an die zuständige irische Aufsichtsbehörde DPC weitergeleitet

In einer Beschwerde – mit Geltung der DSGVO am 25. Mai 2018 gegen den Messengerdienst eingereicht – hatte sich die Beschwerdeführerin demnach dagegen gewandt, dass Nutzer die im Zuge der DSGVO-Einführung geänderten Nutzungsbedingungen und die damit verbundene Datenschutzrichtlinie akzeptieren müssen, um diesen Messengerdienst nutzen zu können: Dies sei eine erzwungene Einwilligung und es sei nicht klar, auf welche Rechtsgrundlage „WhatsApp“ einzelne Verarbeitungsvorgänge stütze.

Als innerdeutsch für Telekommunikationsdienste (zu denen auch „WhatsApp“ zählt) zuständige Datenschutzaufsichtsbehörde hatte der BfDI diese Beschwerde an die für das Unternehmen mit Sitz in Dublin federführend zuständige irische Aufsichtsbehörde DPC weitergeleitet.

EDSA: WhatsApp hatte in unzulässiger Weise personenbezogene Daten verarbeitet

Nach fast vier Jahren Verfahrensgang habe die DPC am 1. April 2022 den europäischen Datenschutzaufsichtsbehörden einen Beschlussentwurf übermittelt. Gegen diesen Beschlussentwurf hätten die deutschen sowie die finnische, französische, italienische, niederländische und die norwegische Danteschutzaufsichtsbehörden Einsprüche eingelegt. Da über wesentliche Punkte dieser Einsprüche keine Einigung mit der DPC habe hergestellt werden können, sei ein sogenanntes Streitbeilegungsverfahren vor dem Europäischen Datenschutzausschuss (EDSA) eingeleitet worden.

Auf dieses Streitbeilegungsverfahren hin habe der EDSA am 5. Dezember 2022 den verbindlichen Beschluss 5/2022 verabschiedet und darin die DPC angewiesen, ihren Beschluss zu ändern und festzustellen, dass „WhatsApp“ in unzulässiger Weise personenbezogene Daten seiner Nutzer zu Zwecken der Serviceverbesserungen und der Sicherheit verarbeite. Dem sei die DPC dann mit ihrem am 12. Januar 2023 erlassenen Beschluss nachgekommen.

Abschließende Bewertung der von WhatsApp getroffenen Maßnahmen noch offen

„Eine abschließende Bewertung, ob die auf den Beschluss seitens ,WhatsApp’ getroffenen Maßnahmen hinreichend sind, um den DPC-Beschluss umzusetzen und den Dienst datenschutzkonform nutzen zu können, steht derzeit aus“, so der BfDI.

Zudem habe der EDSA der DPC aufgegeben, zu untersuchen, ob „WhatsApp“ (sensible) personenbezogene Daten für Zwecke der verhaltensbezogenen Werbung, für Marketingzwecke sowie für die Bereitstellung von Statistiken an Dritte und den Austausch von Daten mit verbundenen Unternehmen verarbeitet und ob dies im Einklang mit der DSGVO geschieht. Auch diese Untersuchungen stehen laut BfDI derzeit noch aus. Er setze sich gegenüber der DPC und im EDSA für eine vollständige Klärung der offenen Fragestellungen und einen zügigen Abschluss dieses Verfahrens ein.

Weitere Informationen zum Thema:

DPC Data Protection Commission, 12.01.2023
In the matter of the General Data Protection Regulation DPC Inquiry Reference: IN-18-5-6 / In the matter of JG, a complainant, concerning a complaint directed against WhatsApp Ireland Limited in respect of the WhatsApp Service / Decision of the Data Protection Commission made pursuant to Section 113 of the Data Protection Act, 2018 and Articles 60 and 65 of the General Data Protection Regulation / Further to a complaint-based inquiry commenced pursuant to Section 110 of the Data Protection Act 2018

edpb European Data Protection Board, 05.12.2022
Binding Decision 5/2022 on the dispute submitted by the Irish SA regarding WhatsApp Ireland Limited (Art. 65 GDPR)

datensicherheit.de, 14.05.2021
Kein Grund zur Beruhigung: Neue WhatsApp-Datenschutzrichtlinien treten in Kraft / Angebot von WhatsApp wird zu einem unlösbaren Widerspruch

datensicherheit.de, 13.04.2021
Neue WhatsApp-Nutzungsbedingungen: Dringlichkeitsverfahren gegen Facebook / Facebook erhält im Rahmen einer Anhörung Gelegenheit zur Stellungnahme

BfDI Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Messengerdienste

BfDI Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Zusammenarbeit der Aufsichtsbehörden in Deutschland und Europa nach der DSGVO

[datensicherheit.de, 28.09.2023] Der Verbraucherzentrale Bundesverband (vzbv) hat nach eigenen Angaben zusammen mit der Stiftung Warentest überprüft, „wie zwölf ausgewählte Zyklus-App-Anbieter auf das Auskunftsrecht reagieren“. Diese Zyklus-Apps verarbeiten demnach mehrheitlich personenbezogene Daten und so sind die App-Anbieter verpflichtet, auf Anfrage individuelle Auskünfte zur Datenverarbeitung zu geben. Der vzbv fordert daher von den App-Anbietern die Einhaltung der DSGVO und verständliche Antworten auf Auskunftsersuchen von Verbraucherinnen sowie die Nennung der Betroffenenrechte.

Zyklus-Apps bieten Nutzerinnen Möglichkeit zur Dokumentation sensibler Daten

Zyklus-Apps sollen Nutzerinnen die Möglichkeit bieten, sensible Daten zum Monatszyklus zu dokumentieren: „Dazu gehören Angaben zur Menstruation, zum Beispiel Anfangs- und Enddatum der Periode oder Informationen zu körperlichen und seelischen Beschwerden.“ Auch Gründe für die Nutzung könnten in diesen Apps hinterlegt werden – wie etwa Verhütung oder Schwangerschaftswunsch. Mittels der in der App eingegebenen Daten könnten Prognosen zu den fruchtbaren Tagen und dem Einsetzen der nächsten Regelblutung getroffen werden.

„Zyklus-Apps bieten viele Vorteile: von Erinnerungen an die Periode über Unterstützung bei der Verhütung bis hin zur Planung einer Schwangerschaft. Gerade bei diesen intimen Themen müssen sich Verbraucherinnen darauf verlassen können, dass ihr Recht auf Auskunft ernst genommen und transparent beantwortet wird“, betont Sandra Krüger, Referentin im Projekt „Verbraucherschutz bei digitalen Gesundheitsangeboten“ im vzbv. Vage oder ausbleibende Antworten der Anbieter seien für Verbraucherinnen nicht tragbar.

Antworten der App-Anbieter auf Auskunftsersuchen zumeist unzureichend

In der Untersuchung seien im Namen von drei App-Nutzerinnen umgangssprachlich formulierte Auskunftsersuchen an die zwölf ausgewählten App-Anbieter gestellt worden. „Die Nutzerinnen wollten wissen, ob und welche Daten über sie verarbeitet werden und wen sie bei Fragen zum Datenschutz kontaktieren können.“ Von den zwölf Zyklus-Apps würden sechs Anbieter personenbezogene Daten verarbeiten. Diese haben laut vzbv „den Großteil der an sie gerichteten Anfragen (insgesamt 15 von 17) nicht vollständig gemäß Artikel 15 DSGVO beantwortet“. Beispielsweise habe keiner dieser sechs Anbieter in allen drei Anfragen vollständig die Betroffenenrechte genannt.

Persönliche Daten von Nutzerinnen verarbeitende Zyklus-App-Anbieter seien aufgrund der DSGVO verpflichtet, auf Anfrage eine individuelle Auskunft, unter anderem zu Verarbeitungszwecken, Datenkategorien und Speicherdauer, zu geben. Für Verbraucherinnen könne das Auskunftsersuchen ein erster Schritt sein, um danach weitere Betroffenenrechte auszuüben, wie zum Beispiel die Löschung oder Korrektur von Daten.

Verbraucherinnen sollten bereits vor App-Download bewusste Entscheidung für oder gegen Nutzung treffen können

Krüger führt aus: „Anbieter sollten sensibilisiert sein, auch formlose Auskunftsanfragen zu erkennen und nicht nur solche, die explizit die gesetzliche Grundlage gemäß Artikel 15 DSGVO nennen. Die Auskunftsanfragen müssen klar und verständlich beantwortet werden und Nutzerinnen müssen auf ihre Betroffenenrechte hingewiesen werden.“

Bereits in der Datenschutzerklärung sollten App-Anbieter alle tatsächlich durchgeführten Datenverarbeitungsschritte für die jeweilige App nachvollziehbar erklären, damit Verbraucherinnen in der Lage sind, „bereits vor dem Download eine bewusste Entscheidung für oder gegen eine Nutzung der App zu treffen“.

Weitere Informationen zum Thema:

Stiftung Warentest, 28.09.2023
Zyklus-Apps im Test App statt Pille? Nur selten verlässlich

verbraucherzentrale, 21.01.2020
Auskunft über personenbezogene Daten: interaktive Briefvorlage

[datensicherheit.de, 18.09.2023] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) hat in seinem Kommentar vom 7. September 2023 das neue Bundesdatenschutzgesetz als „Fortschritt“ bezeichnet, fordert aber dazu auf, die „Länderrolle“ widerzuspiegeln.

Bundesdatenschutzgesetz soll Datenschutz-Grundverordnung ergänzen und präzisieren

Anfang August 2023 hat demnach das Bundesinnenministerium den Entwurf für ein novelliertes Bundesdatenschutzgesetz veröffentlicht – die deutschen Datenschutzbehörden haben dazu Position bezogen. Der LfDI RLP, Prof. Dr. Dieter Kugelmann, hat nach eigenen Angaben daran wesentlich mitgewirkt: „Wir haben einige Punkte identifiziert, die der Nachschärfung bedürfen. An einem Punkt ist der Entwurf ein Fortschritt: Erstmalig wird darin die schon lange existierende Datenschutzkonferenz als etabliertes Format der Zusammenarbeit zwischen den deutschen Datenschutzaufsichtsbehörden gesetzlich anerkannt.“

Das Bundesdatenschutzgesetz ergänze und präzisiere die Datenschutz-Grundverordnung (DSGVO) der EU in Bereichen, welche die EU-Staaten jeweils selbst ausgestalten dürften. In Deutschland regele das Bundesdatenschutzgesetz den Datenschutz bei privaten Unternehmen sowie Einrichtungen und insbesondere auch die Zuständigkeiten der Datenschutzaufsichtsbehörden der Länder und des Bundes.

Datenschutzkonferenz soll gesetzlich festgeschrieben werden

Die im Entwurf nun faktisch vorgesehene Institutionalisierung der Datenschutzkonferenz (DSK) hätten die 18 deutschen Datenschutzaufsichtsbehörden in ihrer gemeinsamen Stellungnahme ausdrücklich begrüßt. Die DSK sei als Format für die gelingende Zusammenarbeit der Behörden seit Langem etabliert. Professor Kugelmann leitet den im Jahr 2020 gegründeten Arbeitskreis „DSK 2.0“, welcher auf die weitere Intensivierung und Professionalisierung hinarbeiten soll. Schon heute habe die DSK eine Geschäftsordnung und lasse Mehrheitsbeschlüsse zu.

„Der vorliegende Gesetzentwurf schreibt insoweit die Fortschritte fest, die wir in den vergangenen Monaten erzielt haben. Das ist gut.“ Was in diesem Gesetzentwurf jedoch fehle, sei die Einrichtung einer DSK-Geschäftsstelle. Professor Kugelmann betont: „Die Datenschutzkonferenz braucht eine Geschäftsstelle, um dauerhaft effizient arbeiten zu können. Ich bedaure, dass die Chance zur organisatorischen Festlegung des Gremiums im Gesetzentwurf noch nicht genutzt wurde. Ich werde mich weiter für die Einrichtung einer Geschäftsstelle einsetzen.“

Zuständigkeit der Länder für den Datenschutz auf föderaler Ebene und Mitwirkung auf EU-Ebene

Neben der gemeinsamen DSK-Stellungnahme haben die Landesdatenschutzaufsichtsbehörden laut LfDI RLP eine zweite, eigene Stellungnahme an das Bundesinnenministerium geschickt. Diese Stellungnahme der Länder gehe insbesondere auf diejenigen Aspekte des Gesetzentwurfs ein, welche die Verteilung der Zuständigkeiten der Aufsichtsbehörden auf föderaler Ebene und die Mitwirkung auf der Ebene der EU betreffen. Professor Kugelmann moniert: „Einige der vorgesehenen Änderungen fallen hinter die Lösungen zurück, die die Aufsichtsbehörden in der Praxis für eine schnelle und gute Abstimmung schon gefunden haben.“

Die Stellungnahme formuliere daher aus Ländersicht konstruktive Vorschläge zu denjenigen Passagen im Gesetzentwurf, welche etwa länderübergreifende Datenverarbeitungsvorhaben und die deutsche Vertretung auf EU-Ebene betreffen. Abschließend unterstreicht Professor Kugelmann: „Als rheinland-pfälzischer Landesdatenschutzbeauftragter leitet mich stets das Ziel, eine einheitliche Anwendung der DS-GVO für alle Bürgerinnen und Bürger, die Wirtschaft und die Verwaltung zu erreichen, ohne die zahlreichen Vorteile der regionalen Zuständigkeit zu verlieren.“

Weitere Informationen zum Thema:

DSK DATENSCHUTZKONFERENZ, 06.09.2023
Stellungnahme der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 6. September 2023 zum Entwurf eines Ersten Gesetzes zur Änderung des Bundesdatenschutzgesetzes mit Stand 9.8.2023

LfDI RLP, 06.09.2023
Stellungnahme der unabhängigen Datenschutzaufsichtsbehörden der Länder vom 6. September 2023 zum Entwurf eines Ersten Gesetzes zur Änderung des Bundesdatenschutzgesetzes mit Stand 9.8.2023

Holger Dyroff kommentiert DSGVO-Jubiläum

[datensicherheit.de, 31.05.2023] Die Datenschutzgrundverordnung (DSGVO) der Europäischen Union (EU) sei anstrengend, aber eine Erfolgsgeschichte, kommentiert Holger Dyroff, Co-Founder und „COO“ von ownCloud, und fordert: „Die Europäische Kommission sollte das fünfjährige Jubiläum der DSGVO dazu nutzen, noch einmal genau über ,Privacy Shield 2.0‘ nachzudenken!“

Foto: ownCloud

Holger Dyroff: Unternehmen drohen bei Einsatz US-amerikanischer Cloud-Lösungen weitere Jahre der Rechtsunsicherheit!

DSGVO hat allgemeines Problembewusstsein für Datenschutz geschärft

„Die DSGVO feiert fünfjähriges Jubiläum. Seit dem 25. Mai 2020 ist die Europäische Datenschutzgrundverordnung in Kraft. Auch wenn sie bei ihrer Einführung die Verantwortlichen viele Nerven gekostet hat, kann sie als Erfolgsgeschichte gelten“, so Dyroff. Sie habe etwa äußerst Erfreuliches bewirkt – nämlich das allgemeine Problembewusstsein für den Datenschutz geschärft.

Dafür hätten nicht zuletzt die vielen Schlagzeilen über die „saftigen Bußgelder“ gesorgt, welche „wegen Verstößen gegen die DSGVO verhängt“ wurden. Selbst mächtige US-Player müssten vor ihr zittern. Das habe jüngst auch der Meta-Konzern zu spüren bekommen, welcher wegen der Weitergabe von europäischer „facebook“-Nutzerdaten in die USA zu einer Rekordsbuße von 1,2 Milliarden Euro „verdonnert“ worden sei.

DSGVO als Erfolgsgeschichte findet weltweit Nachahmer

Dass die DSGVO eine Erfolgsgeschichte sei, zeige auch die Tatsache, dass sie viele Nachahmer weltweit gefunden habe: Australien, Brasilien, Südkorea, Thailand und sogar US-Staaten wie Kalifornien hätten sie sich bei ihren Datenschutzgesetzen diese zum Vorbild genommen. „Und am 1. September 2023 wird in der Schweiz das neue Datenschutzgesetz (nDSG) in Kraft treten. Es wird die Rechte der Schweizer Bürgerinnen und Bürger im Digitalen Zeitalter stärken und den Datenschutz der Eidgenossenschaft auf ein mit den EU-Staaten vergleichbares Niveau heben – indem es sich ebenfalls an der DSGVO orientiert.“

Dass Unternehmen sich an die Vorgaben der EU-DSGVO halten sollten, verstehe sich praktisch von selbst. Zu den vielen guten moralischen, rechtlichen und finanziellen Gründen komme jetzt nach fünf Jahren ein weiterer guter Grund hinzu: „Unternehmen müssen sich bei Verstößen künftig auch auf Schadenersatzforderungen für immaterielle Schäden gefasst machen.“ In einem Grundsatzurteil habe der Europäische Gerichtshof (EuGH) Anfang Mai 2023 bestätigt, dass Betroffene von Verstößen für immaterielle Beeinträchtigungen wie beispielsweise Bloßstellung Schadenersatz fordern könnten – ähnlich dem Schmerzensgeld bei Körperverletzungen. Für Unternehmen sei es deshalb wichtiger denn je, saubere Prozesse zur Erfüllung ihre Pflichten zu implementieren.

Daten europäischer Bürger bei US-Unternehmen nicht genug im Sinne der DSGVO geschützt

Für die Europäische Kommission wäre das fünfjährige Jubiläum eigentlich der ideale Anlass, noch einmal in sich zu gehen. Sie sei nämlich derzeit im Begriff, ein drittes Mal denselben Fehler zu begehen: „In den vergangenen Jahren kippte der Europäische Gerichtshof bereits zwei Abkommen der Kommission mit den USA. Erst sollte ,Safe Harbor’ und dann ,Privacy Shield’ einen sicheren Datentransfer von Europa nach Amerika gewährleisten, doch die obersten europäischen Richter zogen beides Mal die Notbremse“, ruft Dyroff in Erinnerung. „Wegen der umfassenden Zugriffsrechte der amerikanischen Geheimdienste, so ihre Begründung, seien die personenbezogenen Daten europäischer Bürger bei US-Unternehmen nicht genug im Sinne der DSGVO geschützt.“

Vor Kurzem hätten sich die EU-Kommission und die US-Regierung auf eine neue Regelung geeinigt, der dasselbe Schicksal drohe: „Es deutet nämlich nichts darauf hin, dass sich an den amerikanischen Überwachungsgesetzen – und damit am Grundproblem – irgendetwas ändern wird.“ Datenschützer gingen deshalb davon aus, dass der Europäische Gerichtshof auch dieses „Privacy Shield 2.0“-Abkommen wieder kassieren werde. Unternehmen drohten dann beim Einsatz US-amerikanischer „Cloud“-Lösungen weitere Jahre der Rechtsunsicherheit. Um das zu verhindern, sollte die Europäische Kommission sich anlässlich des DSGVO-Jubiläum darauf besinnen, was es wirklich bräuchte: „Ein .No Spy’-Abkommen mit den USA, das den Verzicht auf geheimdienstliche Aktivitäten garantiert“, betont Dyroff und stellt klar: „Bis zu einem solchen Abkommen gilt, dass die Clouds von US-Anbietern für persönliche Daten nicht rechtssicher genutzt werden können.“ Es sei gut, dass es digital souveräne Lösungen als Alternativen gebe.

Weitere Informationen zum Thema:

datensicherheit.de, 25.05.2023
5 Jahre DSGVO: Professor Kelber zieht positives Fazit / Datenschutz-Grundverordnung (DSGVO) ein europäisches Erfolgsmodell

Datenschutz-Grundverordnung (DSGVO) ein europäisches Erfolgsmodell

[datensicherheit.de, 25.05.2023] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) bewertet nach eigenen Angaben die Datenschutz-Grundverordnung (DSGVO) als „europäisches Erfolgsmodell“, welches demnach eine verbesserte Rechtsdurchsetzung garantiert.

Foto: Bundesregierung/Kugler

Prof. Ulrich Kelber fordert eine Herstellerhaftung auch im Datenschutz

DSGVO hat in Europa neuen Standard mit Vorbildcharakter gesetzt

„Zu Beginn gab es natürlich einige Unsicherheit bei allen Beteiligten, wie sie bei der Einführung eines großen, neuen Rechtssystems vollkommen normal sind. Inzwischen bewegen wir uns zunehmend in sicherem und berechenbarem Fahrwasser“, kommentiert der BfDI, Prof. Ulrich Kelber:. Gerade die letzten Entscheidungen in grenzüberschreitenden Fällen hätten dabei gezeigt, dass sich auch die großen internationalen Anbieter an Recht und Gesetz halten müssten.

Zur Vorbildwirkung führt Professor Kelber aus: „Die DSGVO hat in Europa einen neuen Standard gesetzt, der zunehmend weltweit Eingang in die Datenschutzregeln anderer Länder findet. Auch sie wollen so einen freien Datenverkehr ermöglichen, der Vertrauen bei den Bürgerinnen und Bürgern findet.“ Zu den Ländern, welche sich an der DSGVO orientieren, gehörten u.a. Japan, Korea, Israel, Brasilien und immer mehr US-Staaten.

DSGVO hilft, geltendes Recht durchzusetzen

Zukünftige Herausforderungen sieht der BfDI insbesondere bei der konkreten Regulierung von neuen Technologien, wie z.B. Künstlicher Intelligenz (KI). Für die Zukunft formuliert er zwei konkrete Wünsche: „Bei den großen, grenzüberschreitenden Fällen brauchen wir eine schnellere Bearbeitung, damit diese über den einzelnen Fall hinaus Signalwirkung entfalten und Rechtssicherheit schaffen können.“

Es sei wichtig, geltendes Recht durchzusetzen. Außerdem werde eine Herstellerhaftung auch im Datenschutz benötigt. „Es kann nicht sein, dass vor allem kleine und mittlere Unternehmen dafür datenschutzrechtlich geradestehen müssen, was eigentlich Aufgabe der Microsofts, Googles und AWS dieser Welt wäre“, so Professor Kelber abschließend. Dies gelte umso mehr, wenn zunehmend KI-Systeme zum Einsatz kommen.

Weitere Informationen zum Thema:

datensicherheit.de, 24.05.2022
4 Jahre Datenschutz-Grundverordnung: DSGVO-Konformität kann auch vor Ransomware-Schäden schützen / Michael Scheffler rät, DSGVO-Vorteile gerade auch für Unternehmen noch stärker ins Blickfeld zu nehmen

datensicherheit.de, 18.10.2021
PSW GROUP: Mahnung zur Einhaltung der DSGVO / DSGVO-Bußgelder könnten schnell existenzbedrohend werden

datensicherheit.de, 16.04.2021
US CLOUD Act vs. EU-DSGVO: Ringen um Compliance und Datensicherheit / Uniscon kommentiert dritten Jahrestag des „Clarifying Lawful Overseas Use of Data Act“ (CLOUD Act)

DSGVO-konformer Betrieb einer Website ist eine komplexe Angelegenheit

[datensicherheit.de, 22.05.2023] „Eine Website DSGVO-konform zu betreiben ist eine komplexe Angelegenheit: Im Hintergrund werden zahlreiche Plugins, externe Ressourcen und andere Quellen geladen“, betont die PSW GROUP in ihrer aktuellen Stellungnahme. Website-Betreiber setzten sogenannte Cookies ein, um Tracking, Analysen und verschiedene Funktionen zu ermöglichen. Gleichzeitig gebe es aber auch immer mehr Verordnungen, Gesetze und Anforderungen an den Datenschutz, die erfüllt werden müssten. Immer wieder verschickten findige Rechtsanwälte Abmahnungen wegen nicht korrekter Einstellungen. „Ob berechtigt oder nicht: Für Website-Betreiber ist es allemal unnötig und nervig, sich damit auseinanderzusetzen – und häufig auch teuer.“

Foto: PSW GROUP

Patrycja Schrenk: DSGVO-Konformität einer Website einfach so nebenbei zu prüfen, ist kaum möglich!

Tools helfen Betreibern selbst zu testen, ob die eigene Website auch wirklich datenschutzkonform ist

Patrycja Schrenk, Geschäftsführerin der PSW GROUP, gibt zu bedenken: „Die DSGVO-Konformität einer Website einfach so nebenbei zu prüfen, ist kaum möglich. Der größte Aufwand liegt in der Identifizierung von Webseiten-Erweiterungen und Cookies.“ Auch die Information der Betroffenen sei ein weiterer Punkt, „der Hürden bereithält“. Denn zum Einen müsse der Grundsatz der Transparenz gewährleistet sein und eine einfache Sprache verwendet werden, zum Anderen müssten die rechtlichen Vorgaben erfüllt werden. Gerade letzteres führe dazu, dass Datenschutzerklärungen zu langen Rechtstexten mutierten und es für Laien schwierig werde, zu verstehen, worum es eigentlich geht.

Immerhin: Dank einiger Tools könne jeder Website-Betreiber selbst testen, ob die eigene Website auch wirklich datenschutzkonform ist: „Tatsächlich gibt es eine Unmenge an brauchbaren Tools zur Analyse. Mit ,Qualys’, den Entwicklertools im Browser und ,Cookiedatabase’ können wir jedoch drei Tools wirklich jedem ans Herz legen, da diese sich in unserem Alltag als Datenschützer bewährt haben.“

Qualys SSL-Labs misst Sicherheit einer SSL-verschlüsselten Website

„Qualys SSL-Labs“ misst demnach die Sicherheit einer SSL-verschlüsselten Website: Verschiedene Parameter – beispielsweise der Einsatz von „Perfect Forward Secrecy“ (PFS) – werden zur Bewertung herangezogen. „Konkret untersucht der kostenlose Online-Test die SSL-Zertifikatskette von Webseiten. Das Sicherheitsprotokoll SSL dient der Verschlüsselung sensibler Daten während einer Online-Übermittlung. Des Weiteren werden auch die Übertagungsprotokolle geprüft – je aktueller, je besser“, erläutert Schrenk. Für den Test werde einfach die Domain eingegeben, den Rest erledige das Tool. Ratings zwischen „A“ bis „F“ bewerteten die Website dann von „ausgezeichnet“ bis „extrem unsicher“.

Mit den sogenannten „Entwicklertools“ stehe gleich eine ganze Kollektion hilfreicher Werkzeuge bereit, die jeder Webbrowser kostenlos mitgeliefert bekomme. Sie erlaubten es, die gerade angezeigte Webseite zu analysieren und hinter die Kulissen zu schauen. „Hier erfahren Website-Betreibende zum Beispiel welche Cookies eingebunden und welche Dienste, zum Beispiel ,Google Fonts’ oder ,Google Analytics’, geladen werden, wie groß diese sind, welche Web Services im Hintergrund laufen und wo potenzielle Problemstellen und Risiken verborgen liegen.“

Entwicklertools zeigen an, welche Cookies auf der jeweiligen Website gesetzt sind

„Zu den Entwicklertools gelangt man über einen Rechtsklick an jeder beliebigen Stelle einer Website und anschließend mit einem Klick auf durchsuchen oder F12 auf der Tastatur. Die Entwicklertools zeigen nun unter anderem an, welche Cookies auf der jeweiligen Website gesetzt sind und ob sie aus einer externen Quelle stammen oder direkt von der Website eingebunden werden.“ Cookies aus externer Quelle seien in den meisten Fällen ein Problem und sollten nach Möglichkeit unterbunden werden, rät Schrenk. Dem gegenüber seien technisch notwendige Cookies all jene, „die keine Analyse- oder Marketing-Zwecke verfolgen, sondern notwendig für eine Funktion der Website sind“. Ein Cookie zum Speichern des Warenkorbes sei beispielsweise „technisch notwendig“, genauso wie auch das Cookie zum Speichern der Cookie-Banner-Einstellungen.

Natürlich sei es nicht allein damit getan, zu wissen, welche Cookies geladen werden. Doch es könne durchaus schwierig sein, die Art oder den Zweck eines Cookies zu ermitteln – „vor allem, wenn dessen Bezeichnung keinen Anhaltspunkt bietet und die angezeigte Domain mit der eigenen Website identisch ist“. Schrenk führt aus: „Aber auch dafür gibt es eine Lösung. Denn mit ,cookiedatabase.org’ gibt es eine sehr praktische Cookie-Datenbank, mit der sich die gängigsten Cookies identifizieren lassen.“ Die Suchfunktion des Dienstes liefere reichlich Informationen über Cookies, „unter anderem von welchem Dienst das Cookie stammt, zu welchem Zweck das Cookie verwendet wird, wie lange das Cookie gespeichert wird und welche Funktion das Cookie hat“.

Datenschutzerklärung für die Website zwingend erforderlich!

„Ein wichtiger Baustein einer jeden datenschutzkonformen Website ist die Datenschutzerklärung selbst.“ Diese müsse Besucher einer Website über jede Erhebung, Verarbeitung und Nutzung personenbezogener Daten aufklären – etwa über die Verarbeitung der IP-Adresse, von Browser-Daten, Cookies, Webanalyse-Tools wie „Google Analytics“ sowie Social-Media-Plugins. „Die Datenschutzerklärung muss nicht nur darüber informieren, welche Daten erhoben werden, sondern auch was mit ihnen passiert, warum diese Daten erhoben werden und ob Daten an Dritte weitergegeben werden“, informiert Schrenk und betont: „Die Datenschutzerklärung muss eindeutig als solche gekennzeichnet sein. Daher ist es nicht ausreichend, sie innerhalb des Impressums unterzubringen. Datenschutzerklärung und Impressum sind klar voneinander zu trennen.“

Diese Angaben sind laut Schrenk zwingend erforderlich:

• Name und Kontaktdaten des/der Verantwortlichen
• Zweck und Rechtsgrundlage der Datenverarbeitungen: „Was wird auf der Website gemacht, welche Tools werden dazu eingesetzt und welche Legitimation hab der Betreibende dafür? Falls die Rechtsgrundlage Artikel 6, Absatz 1 der DSGVO ist, muss das berechtigte Interessen des oder der Verantwortlichen oder Dritter beschrieben werden.“
• Aufklärung über Rechte der Betroffenen (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragung)
• Hinweis auf Beschwerderecht bei einer Aufsichtsbehörde
• Speicherdauer der Daten
• Sofern vorhanden: Kontaktdaten des Datenschutzbeauftragten

Weitere Informationen zum Thema:

PSW GROUP CONSULTING – BLOG, 30.04.2023
How to… check your website? Kostenlose Tools zum Website-Check / Worauf sollte man achten?

[datensicherheit.de, 23.01.2023] Laut einer aktuellen Meldung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) hat die Bürgerschaft in ihrer Sitzung am 18. Januar 2023 die Kompetenzen des HmbBfDI bei der Anwendung des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) erweitert. Demnach wird der HmbBfDI nun in die Lage versetzt, „Abhilfemaßnahmen und Bußgelder gegenüber Telemedienanbietern in Hamburg zu erlassen, wenn diese z.B. ,Cookies’ in rechtswidriger Art und Weise verwenden“.

HmbBfDI unterstreicht freiwillige Einwilligung der Nutzer

Nutzer sollten beim Besuch einer Website oder Nutzung einer App davon ausgehen dürfen, „dass ungefragt nur solche Daten verarbeitet werden, die zur Erbringung des nachgefragten Dienstes auch tatsächlich erforderlich sind“. Möchten Diensteanbieter weitere Daten erheben und verarbeiten, müssten sie die Nutzer dazu vorab in informierter Art und Weise um ihre freiwillige Einwilligung ersuchen. Diese Vorgaben würden mittlerweile von vielen Betreibern in der Regel durch vorgeschaltete „Einwilligungsbanner“ umgesetzt – nicht immer erfolge dies jedoch rechtskonform. Genau hierbei greife das am 1. Dezember 2021 bundesweit in Kraft getretene TTDSG.

Dieses setze die europäischen Vorgaben der sogenannten „Cookie“-Richtlinie aus dem Jahr 2009 in deutsches Recht um. Weil der europäische Gesetzgeber schon damals erkannt habe, welche Techniken (wie z. B. „Cookies“, aber auch andere Tracking-Technologien) verwendet würden, um Nutzerverhalten nachzuvollziehen, und weil die Informationen in „Cookies“ für sich genommen nicht immer einen Personenbezug aufwiesen, umfasse das TTDSG auch solche Informationen, „die keinen Personenbezug haben und geht damit weiter als die Datenschutzgrundverordnung (DSGVO)“.

HmbBfDI zur zuständigen Aufsichtsbehörde für Telemedien in Hamburg erklärt

Entsprechend schütze das TTDSG die Integrität von Endgeräten – „indem der Grundsatz gilt, dass es einer vorherigen Einwilligung bedarf, bevor Informationen auf Endgeräten abgespeichert oder daraus ausgelesen werden dürfen, wenn nicht die engen und abschließenden Ausnahmen des Gesetzes greifen“. Bislang gesetzlich ungeregelt sei in Hamburg die Ausübung der entsprechenden Befugnisse aus dem TDDSG gewesen, das u.a. Bußgelder bis zu einer Höhe von 300.000 Euro für Verstöße vorsehe.

In ihrer Sitzung am 18. Januar 2023 habe die Hamburgische Bürgerschaft diese Lücke nun geschlossen – „und §19 Abs. 7 HmbDSG“ erlassen: Dieser Paragraph erkläre den HmbBfDI zur zuständigen Aufsichtsbehörde für Telemedien in Hamburg, weise ihm die Befugnis zur Verhängung von Bußgeldern nach dem TTDSG zu und gebe ihm die Untersuchungs- und Abhilfebefugnisse aus Art. 58 der DSGVO.

HmbBfDI kann Instrumentarium der DSGVO auch für TTDSG-Anwendungsbereich einsetzen

„Mit der Umsetzung in Landesrecht kann der HmbBfDI das Instrumentarium, das ihm die DSGVO gegeben hat, auch für den Anwendungsbereich des TTDSG einsetzen. Bei Verstößen können nun Verwarnungen oder Anordnungen ausgesprochen sowie Geldbußen verhängt werden“, erläutert Thomas Fuchs, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit.

Man werde im ersten Quartal 2023 beginnen, Telemedienangebote von Hamburger Unternehmen auf deren Vereinbarkeit mit den Vorgaben des TTDSG zu prüfen.

Zum Jahresbeginn 2023 stehen Unternehmer wieder vor der Frage, welche Unterlagen sie vernichten bzw. welche Dateien sie unwiderruflich löschen können

[datensicherheit.de, 07.12.2022] Pünktlich zum Jahresbeginn 2023 stehen wohl viele Unternehmer wieder vor der Frage, welche Unterlagen sie dem Reißwolf übergeben und welche Daten sie unwiderruflich löschen können. Gleichzeitig herrsche häufig noch immer Unsicherheit, welche Unterlagen oder Dateien nach DSGVO gar nicht erst lange gespeichert werden dürfen oder unter welchen Umständen solche Daten eben doch mehrere Jahre aufbewahrt werden müssen. „Denn wer Unterlagen oder Daten zu früh löscht, verstößt gegen Aufbewahrungspflichten, was schlimmstenfalls mit hohen Geldstrafen oder Freiheitsstrafen geahndet wird“, warnt das Softwarebüro Krekeler in seiner aktuellen Stellungnahme.

Foto: Softwarebüro Krekeler

Harald Krekeler: Wenn kein Speichergrund vorliegt, sind Unternehmen nach Artikel 17 der DSGVO zur Löschung personenbezogener Daten verpflichtet!

Bei personenbezogenen Daten gilt es, genau hinzusehen

„Grundsätzlich gilt, dass Geschäfts- oder Buchhaltungsunterlagen, egal ob elektronisch oder auf Papier, über einen fest definierten Zeitraum aufbewahrt werden müssen. Bei personenbezogenen Daten ist das etwas anders. Wenn kein Speichergrund vorliegt, sind Unternehmen nach Artikel 17 der Datenschutzgrundverordnung zur Löschung personenbezogener Daten verpflichtet“, erläutert Harald Krekeler, Geschäftsführer des Softwarebüros Krekeler.

Das treffe aber nicht für Fälle zu, „in denen personenbezogene Daten wegen anderer gesetzlicher Pflichten, beispielsweise nach Sozialversicherungs- und Arbeitsrecht, Steuer- und Handelsrecht oder laut Gewerbeordnung, für einen längeren Zeitraum archiviert werden müssen“.

So fordere das Steuerrecht, dass Rechnungen, Buchungsbelege, Jahresabschlüsse, Eröffnungsbilanzen, Handels- und Geschäftsbücher, Aufzeichnungen, Arbeitsanweisungen und Organisationsunterlagen zehn Jahre aufbewahrt werden müssten – das gelte dann auch für Dokumente, die personenbezogene Daten enthalten.

Speicherung personenbezogener Daten über längeren Zeitraum – bei berechtigtem Interesse

Damit müsse die Speicherung personenbezogener Daten über einen längeren Zeitraum erfolgen, „wenn ein berechtigtes Interesse dafür vorliegt“. Dies sei der Fall, wenn diese Daten zur Erfüllung bestimmter rechtlichen Anforderungen notwendig sind. „Allerdings dürfen nicht einfach sämtliche vorhandenen Daten vorsorglich für zehn Jahre aufbewahrt und sich dabei auf gesetzliche Aufbewahrungspflichten berufen werden. Für die Speicherung eines Datensatzes muss es einen definierten Zweck oder eine rechtliche Vorgabe geben, die die Archivierung rechtfertigt“, betont Krekeler.

Er erläutert dies anhand eines Beispiels: „Ein Bewerber, der sich im Sommer dieses Jahres beworben, sich aber für ein anderes Unternehmen entschieden hat, kann die Löschung sämtlicher Daten rechtmäßig verlangen, da diese keinen Zweck mehr erfüllen. Wurden diesem Bewerber für seine Fahrt zum Bewerbungsgespräch jedoch Fahrtkosten erstattet, existiert darüber ein Beleg. Dieser muss aus buchhalterischen Gründen zehn Jahre aufbewahrt werden und darf erst ab Januar 2033 vernichtet werden.“

Das Softwarebüro Krekeler hat nach eigenen Angaben mit dem „Office Manager“ eine DMS-Lösung für mittelständische Unternehmen und Freiberufler am Markt, welche Anwender bei der Erfüllung der rechtlichen Vorschriften unterstützen soll, „die sich sowohl aus der DSGVO als auch aus Aufbewahrungsvorschriften von Unterlagen für das Finanzamt ergeben“. So sei beispielsweise die Definition von Aufbewahrungsfristen und das Löschen von Dokumenten nach Ablauf der Aufbewahrungsfrist möglich, wobei das Löschdatum von einem Internet-Zeitserver bestätigt werde, um Manipulationen zu verhindern. „Die Herausforderung ist, dass sich die gesetzlichen Aufbewahrungspflichten und der Schutz von personenbezogenen Daten gegenüberstehen, aber trotzdem unter einen Hut gebracht werden müssen. Das schafft ,Office Manager DMS’ mit einem integrierten Löschkonzept, nach welchem Daten nach Ablauf dieser Pflichten gelöscht werden können“, so Krekeler.

Folgende Unterlagen und Daten dürfen ab Januar 2023 entsorgt werden:

Ab 1. Januar 2023 dürften Schriftwechsel und Geschäftsbriefe, Versicherungspolicen, Angebote und Auftragsbestätigungen, Kassenzettel und Preislisten sowie Mahnungen vernichtet werden, „die im Jahr 2016 erstellt wurden“.

Aus dem Jahr 2012 stammende Unterlagen wie Ausgangs- und Eingangsrechnungen, Quittungen, Kontoauszüge, Bilanzunterlagen, Kassenberichte, Kredit- und Steuerunterlagen sowie Lieferscheine dürften nun ebenfalls dem Reißwolf übergeben oder unwiderruflich gelöscht werden.

„Bei der Berechnung der Aufbewahrungsfristen sollten Unternehmer immer bedenken, dass die Frist stets mit dem Schluss des Kalenderjahres, in dem in einem Dokument die letzte Eintragung gemacht worden ist oder Handels- und Geschäftsbriefe abgesandt oder empfangen wurden, beginnt”, führt Krekeler aus und verdeutlicht: „Wenn die letzte Buchung für 2010 erst im Jahr 2012 gemacht und der Jahresabschluss erstellt wurde, können diese Unterlagen aus 2010 erst ab 1. Januar 2023 vernichtet werden. Für Rechnungen, die im Jahr 2022 erstellt wurden, beginnt die Aufbewahrungsfrist erst am 1. Januar 2023 und dauert bis 31. Dezember 2032.“

Weitere Informationen zum Thema:

Office Manager
Das Profitool für Dokumentenmanagement und elektronische Archivierung