[datensicherheit.de, 15.01.2024] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat nach eigenen Angaben ein Jahr nachdem die irische Datenschutzaufsichtsbehörde DPC einen Beschluss in Sachen „WhatsApp“ erlassen hat gefordert, „dass die offenen Fragen des Verfahrens endlich abschließend geklärt werden“.

BfDI hatte Beschwerde in der Sache WhatsApp an die zuständige irische Aufsichtsbehörde DPC weitergeleitet

In einer Beschwerde – mit Geltung der DSGVO am 25. Mai 2018 gegen den Messengerdienst eingereicht – hatte sich die Beschwerdeführerin demnach dagegen gewandt, dass Nutzer die im Zuge der DSGVO-Einführung geänderten Nutzungsbedingungen und die damit verbundene Datenschutzrichtlinie akzeptieren müssen, um diesen Messengerdienst nutzen zu können: Dies sei eine erzwungene Einwilligung und es sei nicht klar, auf welche Rechtsgrundlage „WhatsApp“ einzelne Verarbeitungsvorgänge stütze.

Als innerdeutsch für Telekommunikationsdienste (zu denen auch „WhatsApp“ zählt) zuständige Datenschutzaufsichtsbehörde hatte der BfDI diese Beschwerde an die für das Unternehmen mit Sitz in Dublin federführend zuständige irische Aufsichtsbehörde DPC weitergeleitet.

EDSA: WhatsApp hatte in unzulässiger Weise personenbezogene Daten verarbeitet

Nach fast vier Jahren Verfahrensgang habe die DPC am 1. April 2022 den europäischen Datenschutzaufsichtsbehörden einen Beschlussentwurf übermittelt. Gegen diesen Beschlussentwurf hätten die deutschen sowie die finnische, französische, italienische, niederländische und die norwegische Danteschutzaufsichtsbehörden Einsprüche eingelegt. Da über wesentliche Punkte dieser Einsprüche keine Einigung mit der DPC habe hergestellt werden können, sei ein sogenanntes Streitbeilegungsverfahren vor dem Europäischen Datenschutzausschuss (EDSA) eingeleitet worden.

Auf dieses Streitbeilegungsverfahren hin habe der EDSA am 5. Dezember 2022 den verbindlichen Beschluss 5/2022 verabschiedet und darin die DPC angewiesen, ihren Beschluss zu ändern und festzustellen, dass „WhatsApp“ in unzulässiger Weise personenbezogene Daten seiner Nutzer zu Zwecken der Serviceverbesserungen und der Sicherheit verarbeite. Dem sei die DPC dann mit ihrem am 12. Januar 2023 erlassenen Beschluss nachgekommen.

Abschließende Bewertung der von WhatsApp getroffenen Maßnahmen noch offen

„Eine abschließende Bewertung, ob die auf den Beschluss seitens ,WhatsApp’ getroffenen Maßnahmen hinreichend sind, um den DPC-Beschluss umzusetzen und den Dienst datenschutzkonform nutzen zu können, steht derzeit aus“, so der BfDI.

Zudem habe der EDSA der DPC aufgegeben, zu untersuchen, ob „WhatsApp“ (sensible) personenbezogene Daten für Zwecke der verhaltensbezogenen Werbung, für Marketingzwecke sowie für die Bereitstellung von Statistiken an Dritte und den Austausch von Daten mit verbundenen Unternehmen verarbeitet und ob dies im Einklang mit der DSGVO geschieht. Auch diese Untersuchungen stehen laut BfDI derzeit noch aus. Er setze sich gegenüber der DPC und im EDSA für eine vollständige Klärung der offenen Fragestellungen und einen zügigen Abschluss dieses Verfahrens ein.

Weitere Informationen zum Thema:

DPC Data Protection Commission, 12.01.2023
In the matter of the General Data Protection Regulation DPC Inquiry Reference: IN-18-5-6 / In the matter of JG, a complainant, concerning a complaint directed against WhatsApp Ireland Limited in respect of the WhatsApp Service / Decision of the Data Protection Commission made pursuant to Section 113 of the Data Protection Act, 2018 and Articles 60 and 65 of the General Data Protection Regulation / Further to a complaint-based inquiry commenced pursuant to Section 110 of the Data Protection Act 2018

edpb European Data Protection Board, 05.12.2022
Binding Decision 5/2022 on the dispute submitted by the Irish SA regarding WhatsApp Ireland Limited (Art. 65 GDPR)

datensicherheit.de, 14.05.2021
Kein Grund zur Beruhigung: Neue WhatsApp-Datenschutzrichtlinien treten in Kraft / Angebot von WhatsApp wird zu einem unlösbaren Widerspruch

datensicherheit.de, 13.04.2021
Neue WhatsApp-Nutzungsbedingungen: Dringlichkeitsverfahren gegen Facebook / Facebook erhält im Rahmen einer Anhörung Gelegenheit zur Stellungnahme

BfDI Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Messengerdienste

BfDI Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Zusammenarbeit der Aufsichtsbehörden in Deutschland und Europa nach der DSGVO

[datensicherheit.de, 08.06.2023] In ihrer aktuellen Meldung berichtet die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) über einheitliche Regeln für Datenschutzbußgelder in Europa: Der Europäische Datenschutzausschuss (EDSA) hat demnach in seiner Sitzung vom 24. Mai 2023 die „endgültigen Leitlinien zur Bußgeldzumessung“ nach einer öffentlichen Konsultation angenommen. Damit erfolge die Bußgeldpraxis der Datenschutzaufsichtsbehörden in Europa nun nach einheitlichen Maßstäben. Als Repräsentantinnen der deutschen Datenschutzaufsicht seien auf europäischer Ebene die Datenschutzaufsichtsbehörden Berlins, Hessens und des Bundes beteiligt gewesen.

Europäische Aufsichtsbehörden dürfen bei Verstößen gegen Datenschutz-Grundverordnung Bußgelder erlassen

„Die europäischen Aufsichtsbehörden dürfen bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) Bußgelder erlassen.“ Diese könnten bis zu 20 Millionen Euro oder bei Unternehmen bis zu vier Prozent des weltweiten Jahresumsatzes betragen. Mit den nun verabschiedeten Leitlinien zur Bußgeldzumessung werde die Anwendung der gesetzlichen Vorgaben europaweit harmonisiert. Hierfür sähen die Leitlinien ein aus fünf Schritten bestehendes Zumessungsverfahren vor, welches insbesondere die Art und Schwere der Verstöße sowie den Umsatz der betreffenden Unternehmen berücksichtige.

Zuvor hätten bereits die deutschen Aufsichtsbehörden mit dem nunmehr abgelösten Bußgeldkonzept der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) Ende 2019 gezeigt, dass auch in einem föderalen Aufsichtssystem eine Vereinheitlichung der Bußgeldpraxis möglich sei.

Vorgehen der Aufsichtsbehörden bei Sanktionierung von Datenschutzverstößen nun transparenter

„Durch die europäischen Leitlinien zur Bußgeldzumessung wird das Vorgehen der Aufsichtsbehörden bei der Sanktionierung von Datenschutzverstößen transparenter“, betont Meike Kamp, die BlnBDI: Dieses Fünf-Schritte-Verfahren gebe klare Regeln für die Zumessung von Geldbußen vor und trage somit zu einem nachvollziehbareren Verwaltungshandeln bei.

„Ich freue mich, dass die Berliner Datenschutzbehörde dieses Konzept entscheidend mitgeprägt und damit einen wichtigen Beitrag zu einer weiteren Harmonisierung der europäischen Bußgeldpraxis geleistet hat“, so Kamp.

Bundesbeauftragter für den Datenschutz und die Informationsfreiheit: Entscheidung, auf die sehr viele Stellen schon lange mit Spannung gewartet haben

Prof. Dr. Alexander Roßnagel, der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), kommentiert: „Mit der Verabschiedung der Bußgeldleitlinien findet ein intensiver Austausch zwischen den Mitgliedstaaten zu einem wohl abgewogenen Kompromiss. Dieser trägt zum einen den unterschiedlichen Rechtstraditionen in den EU-Mitgliedstaaten Rechnung und leistet zum anderen einen grundlegenden und lang erwarteten Beitrag zur Harmonisierung der Bußgeldzumessung.“ Mithin werde nun die erforderliche Transparenz der Bußzumessung gewährleistet, welche der immensen Höhe der Bußgelder Rechnung trage.

Schließlich führt Prof. Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI), zu dem Ergebnis aus: „Eine Entscheidung, auf die sehr viele Stellen schon lange mit Spannung gewartet haben. Historisch haben wir nun erstmals eine Vereinheitlichung der Bußgeldpraxis von Datenschutzbehörden in unterschiedlichen Mitgliedsstaaten.“ Die Leitlinien seien damit der konsequente nächste Schritt in der europäischen Integration und könnten künftig auch Vorbild und Orientierung für die Durchsetzung anderer EU-Gesetze sein.

Weitere Informationen zum Thema:

edpb European Data Protection Board, 24.05.2023
Guidelines 04/2022 on the calculation of administrative fines under the GDPR

Professor Ulrich Kelber begrüßt gemeinsame Leitlinien

[datensicherheit.de, 21.01.2022] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) meldet, dass der Europäische Datenschutzausschuss (EDSA) am 18. Januar 2022 „Leitlinien zu den Betroffenenrechten der Datenschutz-Grundverordnung (DSGVO) veröffentlicht“ hat. Im Fokus stehe dabei das Auskunftsrecht, mit welchem Betroffene unter anderem in Erfahrung bringen könnten, „welche Daten Unternehmen und Behörden über sie gespeichert haben“.

Foto: Bundesregierung/Kugler

Prof. Ulrich Kelber: Recht auf Auskunft ist grundlegendes Betroffenenrecht!

Der EDSA sorgt mit Leitlinien nun für mehr Klarheit und Einheitlichkeit

BfDI Prof. Ulrich Kelber begrüßt demnach diese gemeinsamen Leitlinien: „Das Recht auf Auskunft ist das grundlegende Betroffenenrecht und wird von den Bürgerinnen und Bürgern häufig in Anspruch genommen.“ Allerdings lasse der entsprechende Artikel der DSGVO allein einen großen Interpretationsspielraum. „Der EDSA“, so Kelber, „sorgt hier nun für mehr Klarheit und Einheitlichkeit“.

Die Leitlinien legten insbesondere fest, „welche Daten vom Auskunftsrecht erfasst sind und dass Betroffenen im Regelfall eine Kopie der Daten und nicht nur eine Zusammenfassung zu übergeben ist“.

Außerdem müssten die für die Datenverarbeitung Verantwortlichen angemessene Maßnahmen treffen, um Personen hinter Auskunftsersuchen zu identifizieren, „damit keine unberechtigten Dritten an die Daten gelangen“. Es dürften aber auf der anderen Seite auch keine höheren Hürden aufgebaut werden, „als für die Identifizierung erforderlich“.

Leitlinien geben auch Hinweise, in welchen zeitlichen Abständen Betroffene das Auskunftsrecht geltend machen können

Ebenso dürfe ein Auskunftsersuchen beispielsweise nicht alleine unter Verweis auf einen hohen Bearbeitungsaufwand abgelehnt werden. Auch die Motivation hinter einem Auskunftsersuchen sei kein Kriterium für die Erfüllung des Auskunftsanspruchs.

Die Leitlinien gäben zusätzlich Hinweise und Beispiele, „in welchen zeitlichen Abständen Betroffene das Auskunftsrecht gegenüber einem Unternehmen oder einer Behörde erneut geltend machen können, ohne dass ihr Ersuchen als exzessiv abgelehnt oder mit einer Gebühr belegt werden kann“.

Der EDSA werde eine öffentliche Konsultation zu diesen Leitlinien durchführen – diese seien in Kürze auf der Website des EDSA zu finden.

Weitere Informationen zum Thema:

datensicherheit.de, 22.04.2020
Datenschutz: EDSA beschließt weitere Leitlinien zu COVID-19

edpg, 19.01.2022
EDPB adopts Guidelines on Right of Access and letter on cookie consent

[datensicherheit.de, 15.01.2021] Prof. Ulrich Kelber, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), zeigt sich nach eigenen Angaben „sehr zufrieden mit dem Ergebnis des Europäischen Datenschutzausschusses (EDSA) zu Standarddatenschutzklauseln (SDK)“.

BfDI erwartet Rechtssicherheit für Datenaustausch mit Ländern außerhalb des Europäischen Wirtschaftsraums

Die europäischen Datenschutzaufsichtsbehörden und der Europäische Datenschutzbeauftragte (EDPS) hätten in der Sitzung vom 14. Januar 2021 gemeinsame Stellungnahmen zu den Entwürfen der Europäischen Kommission von SDK beschlossen.
„Es gab intensive Verhandlungen zu den Stellungnahmen, die ich mit meinen Kolleginnen und Kollegen verabschiedet habe. EDSA und EDPS kommen zu einem klaren Urteil. Unsere deutsche Position findet sich an vielen Stellen der Papiere wieder“, berichtet Professor Kelber.
Dieser gemeinsame Vorschlag würde Rechtssicherheit für den Datenaustausch mit Ländern außerhalb des Europäischen Wirtschaftsraumes bringen – „ohne Einschränkungen beim Datenschutz zu machen“.

BfDI hatte mit Kollegen aus den Bundesländern die deutsche Position entwickelt

Der BfDI hatte demnach „mit seinen Kolleginnen und Kollegen aus den Bundesländern die deutsche Position entwickelt“. Der EDSA und der EDPS seien zum Jahreswechsel von der Europäischen Kommission gebeten worden, eine gemeinsame Stellungnahme zu zwei Entwürfen von SDK nach Art. 28 und Art. 46 der Datenschutz-Grundverordnung (DSGVO) zu erarbeiten.
Die neuen SDK zu Art. 46 DSGVO sollten die bisherigen bei internationalen Datenübermittlungen ersetzen. Neuerungen gebe es beispielsweise bei Anpassungen an die Anforderungen der DSGVO und die „Schrems II“-Rechtsprechung des Europäischen Gerichtshofes.
Die SDK zu Artikel 28 DSGVO sollten für die Vertragsgestaltung zwischen Verantwortlichen und Auftragsverarbeitern erstmals einen europaweit verwendbaren Standard setzen, welcher den Unternehmen und Behörden „die Umsetzung der entsprechenden Vorgaben der DSGVO deutlich erleichtert“. Der EDSA werde den gemeinsamen Vorschlag in Kürze auf seiner Website veröffentlichen.

Weitere Informationen zum Thema:

edpb European Data Protection Board
EDPB & EDPS adopt joint opinions on new sets of SCCs

datensicherheit.de, 23.01.2019
BfDI Ulrich Kelber zum EDSA-Auftakttreffen 2019 / Neuer BfDI unterstreicht mit Blick auf erste Sitzung 2019 des Europäischen Datenschutzausschusses die Notwendigkeit der grenzüberschreitenden Kooperation

[datensicherheit.de, 22.04.2020] Der Europäische Datenschutzausschuss (EDSA) hat am 21. April zwei neue Leitlinien zum Datenschutz während der Pandemiebekämpfung veröffentlicht. Mit seinen Beschlüssen gibt der EDSA Hinweise zum Umgang mit Gesundheitsdaten für Forschungszwecke und zu Grundsätzen von Tracking Tools. Beide Leitlinien nehmen direkten Bezug auf den Ausbruch von COVID-19.

BfDI für einheitliches Vorgaben auf europäischer Ebene

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Professor Ulrich Kelber hatte sich bereits früh für einheitliche Vorgaben auf europäischer Ebene ausgesprochen: „Die Gesundheit der Menschen steht gerade im Mittelpunkt. Alle Mitgliedsländer des EDSA haben die gleichen Probleme zu bewältigen. Ich bin deshalb froh, dass wir uns auf eine gemeinsame Linie einigen konnten. Ich begrüße vor allem das Bekenntnis zur Freiwilligkeit. Sowohl in der Forschung als auch bei der Nachverfolgung von Kontakten können nur solche Lösungen erfolgreich sein, die transparent sind und ohne Zwang funktionieren. Es muss eindeutig und leicht verständlich sein, zu welchem Zweck die Daten erhoben und wann sie wieder gelöscht werden. Eine individuelles Tracking oder eine spätere Re-Personalisierung müssen ausgeschlossen sein. Diese Grundsätze werden wir als Aufsichtsbehörde von Verantwortlichen und Entwicklern einfordern.“

DSGVO sehr forschungsfreundlich gestaltet

Der EDSA verweist darauf, dass die Datenschutz-Grundverordnung (DSGVO) sehr forschungsfreundlich gestaltet ist. Der Datenschutz stehe weder der Forschung, noch der Pandemiebekämpfung entgegen. Vielmehr ermögliche erst die DSGVO eine rechtmäßige Verarbeitung von so sensiblen Gesundheitsdaten. Gleiches gilt für den Einsatz von digitalen Hilfsmitteln zur Pandemiebekämpfung. Dazu sagte Professor Kelber: „Apps und andere Werkzeuge können nur unterstützende Maßnahmen sein. Sie sind kein Ersatz für ein funktionierendes Gesundheitssystem und gegenseitige Rücksichtnahme.“

Weitere Informationen zum Thema:

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
EDSA beschließt weitere Leitlinien zu COVID-19

datensicherheit.de, 20.04.2020
DSGVO: Zunehmende Geldbußen rücken „Privacy by Design“ ins Interesse

[datensicherheit.de, 12.07.2019] In seinem Schreiben an den „LIBE“-Ausschuss des Europäischen Parlaments (EP) macht der Europäische Datenschutzausschuss (EDSA) laut einer Meldung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) deutlich, „dass für eine rechtmäßige Übermittlung von Daten, die nach dem ,U.S. CLOUD Act‘ ersucht werden, grundsätzlich ein datenschutzkonformes internationales Abkommen erforderlich ist“. Zudem habe der EDSA Leitlinien zum datenschutzkonformen Einsatz von Videoüberwachung beschlossen.

EDSA-Richtungsbestimmung wichtiges Signal zur richtigen Zeit…

Das EP hatte demnach den EDSA um eine datenschutzrechtliche Bewertung der Auswirkungen des „CLOUD Act“ gebeten. In einer ersten Bewertung nehme der EDSA die Position ein, dass – ohne ein neues Abkommen – „eine rechtmäßige Übermittlung der Daten unmittelbar an die ersuchende Sicherheitsbehörde auf der Grundlage der DSGVO nur in sehr engen Grenzen möglich ist“.
Jürgen H. Müller, als stellvertretender BfDI in der Sitzung des EDSA Vertreter für Ulrich Kelber, begrüßt diese Positionsbestimmung des EDSA: „Die Richtungsbestimmung des Ausschusses ist ein wichtiges Signal zur richtigen Zeit. Sie betont die Notwendigkeit der justiziellen Zusammenarbeit und setzt einen Anreiz, Rechtskonflikte durch völkerrechtliche Abkommen zu klären, statt die datenschutzrechtliche Verantwortung auf die Privatwirtschaft abzuwälzen.“
Ziel müsse es sein, „solide Rechtsgrundlagen zu schaffen, die sich unseren Datenschutzvorschriften anpassen und nicht unsere Gesetze möglichst weit auszulegen, um entsprechende Datenübermittlungen irgendwie legitimieren zu können“, betont Müller.

Ferner auf Leitlinien zur Videoüberwachung verständigt

Zudem habe sich der EDSA auf Leitlinien zur Videoüberwachung verständigt. Diese behandelten sowohl klassische Themen der Videoüberwachung, wie zum Beispiel die Standortwahl oder die Speicherdauer von Aufnahmen, als auch Fragen zu neuen Themenbereichen wie der biometrischen Videoüberwachung.
So stelle der EDSA beispielsweise klar, dass biometrische Daten, die eine dauerhafte Identifizierung von Personen ermöglichen, zu den besonders schützenswerten Daten zählten und daher nur unter sehr strengen Voraussetzungen verarbeitet werden dürfen. Das Tracking von Personen mittels dauerhafter biometrischer Identifizierung, beispielsweise um das Bewegungs- und Kaufverhalten einer Person in einem Kaufhaus nachzuverfolgen, sei dementsprechend grundsätzlich nur mit expliziter Einwilligung der Betroffenen zulässig.
„Es ist erfreulich, dass es meinen Kolleginnen und Kollegen gelungen ist, das hohe Datenschutzniveau in Deutschland beim Thema Videoüberwachung nun auch auf europäischer Ebene etabliert zu haben“, lobt Müller die neuen Leitlinien.
Ein Dank gehe auch an die Kollegen aus Berlin und Thüringen, welche ebenfalls intensiv am Entwurf den Leitlinien zur Videoüberwachung beteiligt gewesen seien. Diese werden laut Müller „in Kürze vom EDSA veröffentlicht“. Im Rahmen eines öffentlichen Konsultationsverfahrens könnten sie dann von interessierten Personen kommentiert werden.

Weitere Informationen zum Thema:

datensicherheit.de, 22.06.2019
Einfluss der Cloud auf das Thema „Cybersecurity“

datensicherheit.de, 24.05.2019
Ein Jahr DSGVO: BfDI sieht Erfolg mit Steigerungspotenzial

datensicherheit.de, 24.08.2011
NIFIS warnt: US-amerikanische Cloud-Anbieter unterliegen Patriot Act