EuGH Urteil vom 05.12.2023

Um beurteilen zu können, ob die juristische Person „Deutsche Wohnen SE“ ein Bußgeld in Höhe von 14 Mio. EUR zahlen muss, hat sich das Kammergericht Berlin im Rahmen eines Vorabentscheidungsersuchens mit zwei Fragen an den EuGH gewandt. Die Deutsche Wohnen SE hatte trotz mehrfacher Aufforderung einer Aufsichtsbehörde die entsprechenden Mieterdaten nicht gelöscht. Gemäß Art. 83 Abs. 2 lit. b DSGVO soll bei der Verhängung von Bußgeldern unter anderem der Aspekt des Vorsatzes bzw. der Fahrlässigkeit berücksichtigt werden. Fraglich war zum einen, ob ein Bußgeld auch verhängt werden darf, wenn trotz des Fehlens von Vorsatz/Fahrlässigkeit andere Voraussetzungen des Art. 83 Abs. 2 DSGVO vorliegen, was der EuGH mit dem Urteil vom 05.12.2023 (C-807/21) verneinte. Es muss ein schuldhafter Verstoß vorliegen, damit eine Geldbuße von der Aufsichtsbehörde verhängt werden darf.           
Zum anderen war fraglich, ob für die Sanktionierung einer juristischen Person der Umweg über das Gesetz über Ordnungswidrigkeiten (OWig) gegangen werden muss oder ob diese auch direkt über die DSGVO sanktioniert werden können. Gemäß Art. 4 Nr. 7 DSGVO können sowohl natürliche als auch juristische Personen Verantwortliche im datenschutzrechtlichen Sinne sein. Entsprechend sind in Bezug auf Art. 83 Abs. 3 DSGVO bei „Verstößen von Verantwortlichen“ auch die Verstöße von juristischen Personen mitinbegriffen. Der Verantwortliche, der eine juristische Personen sein kann, kann demnach nicht nur für Verstöße von Unternehmensvertretern, Leitungspersonal, Geschäftsführern und Auftragsverarbeitern sondern auch direkt für Verstöße von jedem Mitarbeiter sanktioniert werden. Es kommt bei der Verhängung von Bußgeldern nicht darauf an, dass Leitungspersonal von entsprechenden Verstößen Kenntnis hatte.

Test

123

• Asdasd

1. Sasdasd

• Asdasd

Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna

23.10.2023

Das weitverbreitete Betriebssystem Windows sendet in den Grundeinstellungen diverse Daten über die Benutzer und die genutzten Geräte an den Hersteller Microsoft.

Bei der Übermittlung von Telemetriedaten handelt es sich um eine eigene Verarbeitung personenbezogener Daten, für die eine Rechtsgrundlage erforderlich ist und bei der die Grundsätze des Datenschutzes („privacy-by-design“, „privacy-by-default“, Informationspflichten etc.) einzuhalten sind. Das Abstellen der Übermittlung und der damit einhergehenden Vereinfachungen hinsichtlich des Datenschutzes kann daher von großem Interesse sein. Zumal die Erfüllung der Rechenschaftspflicht recht anspruchsvoll werden kann.

Um die Übermittlung von Telemetriedaten durch geeignete Einstellungen größtmöglich zu unterbinden, hat der Bayerische Landesbeauftragte für den Datenschutz eine mit Screenshots angereicherte Handreichung herausgegeben:

https://www.datenschutz-bayern.de/datenschutzreform2018/aki50.pdf

Wir empfehlen, möglichst weitgehende Einschränkungen bezüglich der Telemetriedaten umzusetzen und die Handreichung als sinnvolle Hilfe zu nutzen.

14.07.2023

Die EU-Kommission hat am 10.07.2023 im Wege eines Durchführungsrechtsaktes gemäß Art. 45 Abs. 3 DSGVO beschlossen, dass die USA ein mit der EU vergleichbares Datenschutzniveau hat. Ein Angemessenheitsbeschluss ist eines von mehreren in der DSGVO vorgesehenen Instrumenten, das für die Übermittlung von personenbezogenen Daten aus der EU/EWR in ein Drittland ein angemessenes Schutzniveau garantiert. Basierend auf dem neuen Angemessenheitsbeschluss „EU-U.S. Data Privacy Framework“ können ab sofort personenbezogene Daten aus der EU (sowie aus Norwegen, Liechtenstein und Island) an die USA fließen, ohne dass weitere Schutzmaßnahmen, Bedingungen oder Genehmigungen erforderlich sind. Gültig ist der Angemessenheitsbeschluss nur, wenn der Datenempfänger unter dem EU-U.S. Data Privacy Framework zertifiziert ist. Das US-Handelsministerium „U.S. Department of Commerce“ veröffentlicht eine entsprechende Liste (https://www.privacyshield.gov/list) mit deren Hilfe eine Überprüfung der Zertifizierung möglich ist.

Der neue Angemessenheitsbeschluss hat Relevanz für alle Unternehmen, die personenbezogene Daten in die USA übermitteln, bspw. bei der Nutzung von Cloud-Services oder im Rahmen des konzerninternen Datenverkehrs.

Unternehmen, die personenbezogene Daten in die USA übermitteln, sollten ihre Datenflüsse untersuchen und prüfen, ob Ihre US-Datenempfänger auf der Liste des US-Handelsministeriums aufgeführt sind.  

Falls Ihre Datenempfänger nicht auf der Liste des US-Handelsministeriums aufgeführt sind, sollten passende Standarddatenschutzklauseln (SCC) geschlossen werden oder alternative Rechtsgrundlagen in Erwägung gezogen werden (andere geeignete Garantien gem. Art. 46 DSGVO).

Ihr Datenschutzbeauftragter wird Sie hierbei unterstützen!

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

05.07.2023

Der Europäische Datenschutzausschuss (EDSA) hat einen Leitfaden zum Umgang mit der Datenschutzgrundverordnung (DSGVO) für kleine und mittelständische Unternehmen erstellt, in dem auf folgende Themenbereiche eingegangen wird: „Grundlagen des Datenschutzes“, „Compliance im Datenschutz“, „die Rechte des Einzelnen achten“, „Datensicherheit“ sowie „Datenschutzverletzungen“.

In Anlehnung an diesen Leitfaden möchten wir im Folgenden gerne den Themenbereich „Compliance im Datenschutz“ auszugsweise vorstellen.
Die englische Webversion finden Sie unter: https://edpb.europa.eu/sme-data-protection-guide/home_en.

Compliance im Datenschutz

Ihr Unternehmen muss personenbezogene Daten nicht nur im Einklang mit der DSGVO verarbeiten, sondern dies auch nachweisen können. Um diesen Nachweis erbringen zu können, sind u. a. die folgenden Prozesse zu berücksichtigen:

1.    Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Als Verantwortlicher müssen Sie sowohl bei der Konzeption einer Verarbeitung als auch zum Zeitpunkt der Verarbeitung geeignete Maßnahmen und Garantien ergreifen, um sicherzustellen, dass die Datenschutzgrundsätze eingehalten werden. Außerdem müssen Sie sicherstellen, dass standardmäßig nur personenbezogene Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind (dies gilt für die Menge der Daten, den Umfang der Verarbeitung, die Speicherbegrenzung und die Zugänglichkeit).

Mit anderen Worten: Ein Unternehmen, welches das Prinzip „Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen“ anwendet, ist ein Unternehmen, das den Datenschutz und den Schutz der Privatsphäre natürlicher Personen in jedem Aspekt, in jeder Phase der Verarbeitungsvorgänge, in den verwendeten Tools und in jeder anderen Geschäftsaktivität berücksichtigt und verankert.

Um dies zu erreichen, muss Ihre Organisation vor der Durchführung von Verarbeitungsvorgängen Folgendes berücksichtigen:

• die Art, den Kontext und den Umfang der beabsichtigten Verarbeitung;
• die Risiken, die sich aus den geplanten Verarbeitungsvorgängen oder anderen Geschäftstätigkeiten ergeben;
• die Auswirkungen auf die Rechte und Freiheiten natürlicher Personen;
• die technischen und organisatorischen Maßnahmen, die ergriffen werden sollten, um die festgestellten Risiken zu mindern und dabei einen angemessenen Schutz der personenbezogenen Daten zu gewährleisten;
• die technischen und organisatorischen Maßnahmen oder Verfahren, die zu ergreifen sind, um sicherzustellen, dass die Verarbeitung personenbezogener Daten auf das im Hinblick auf die verfolgten Ziele erforderliche Maß beschränkt wird.

Praxisbeispiele

• Eine Buchhandlung möchte ihre Einnahmen durch den Online-Verkauf von Büchern steigern. Der Inhaber der Buchhandlung möchte auf seiner Webseite ein standardisiertes Formular für den Bestellvorgang einrichten. Zunächst macht der Inhaber alle Felder des Formulars verpflichtend. Allerdings sind nicht alle Felder des Formulars für den Verkauf und die Auslieferung der Bücher erforderlich.
  Bei der Bestellung eines E-Books beispielsweise kann der Kunde das Produkt direkt auf sein Gerät herunterladen. Daher können Felder im Webformular (wie z.B. die Telefonnummer oder Wohnanschrift des Kunden) für die Bestellung von Büchern nicht erforderlich sein. Der Inhaber des Webshops beschließt daher, zwei Webformulare zu erstellen: eines für die Bestellung von Büchern mit einem Feld für die Adresse des Kunden und ein Webformular für die Bestellung von E-Books ohne ein Feld für die Adresse des Kunden. Auf diese Weise stellt er sicher, dass nur die für die Verarbeitung erforderlichen Daten erhoben werden.        
  
• Eine Arztpraxis, in der mehrere Ärzte tätig sind, verarbeitet in ihrer Praxissoftware Daten über ihre Patienten. Die verschiedenen Ärzte müssen z.B. in Vertretungsfällen auf die Patientenakten anderer Ärzte zugreifen, um ihre Entscheidungen über die Betreuung und Behandlung der Patienten zu treffen und um alle Diagnosen sowie Betreuungs- und Behandlungsmaßnahmen zu dokumentieren. Die datenschutzfreundliche Voreinstellung ist, dass im Normalfall nur ein Arzt Zugriff auf die Patientenakte hat. Nur für den Vertretungsfall werden die Zugriffsrechte erweitert.

Es ist sinnvoll, Aufzeichnungen über entsprechende Maßnahmen zu führen, um nachweisen zu können, dass Sie die Grundsätze des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen einhalten. Ein zugelassener Zertifizierungsmechanismus kann ebenfalls als ein Element zum Nachweis der Einhaltung des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen verwendet werden.

2.    Verzeichnis von Verarbeitungstätigkeiten

Als Unternehmen haben Sie die Pflicht ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Diese Aufzeichnungen sollten schriftlich (was auch in elektronischer Form möglich ist) geführt werden.

Das Verzeichnis gibt Ihnen einen Überblick über Ihre Verarbeitungstätigkeiten. Um dieses zu erstellen, sollten Sie ermitteln, für welche Ihrer Tätigkeiten eine Verarbeitung personenbezogener Daten erfolgt (z.B. bei der Einstellung von Mitarbeitern, Lohn- und Gehaltsabrechnung, Schulung, Ausweis- und Zugangsverwaltung, Interessentenliste usw.). Jede dieser Datenverarbeitungen muss in dem Verzeichnis mit den folgenden Mindestinformationen beschrieben werden:

• der Zweck der Verarbeitung (z. B. Kundenbindung);
• die Kategorien der verarbeiteten Daten (z.B. für die Gehaltsabrechnung: Name, Vorname, Geburtsdatum, Gehalt usw.);
• die Empfänger (z.B.: die für die Einstellung zuständige Abteilung, der IT-Dienst, die Geschäftsleitung, die Dienstleister, die Partner, Behörden usw.);
• gegebenenfalls Informationen über die Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR);
• wenn möglich, die Aufbewahrungsfrist (der Zeitraum, in dem die Daten aus betrieblicher Sicht und aus Sicht der Archivierung notwendig sind);
• wenn möglich, eine allgemeine Beschreibung der Sicherheitsmaßnahmen.

Dieses Verzeichnis muss der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden.

Organisationen, die weniger als 250 Personen beschäftigen, müssen in ihrem Verzeichnis keine rein gelegentlichen Tätigkeiten aufführen (z. B. Daten, die für einmalige Ereignisse wie die Eröffnung eines Geschäfts verarbeitet werden).

3.    Datenschutzfolgenabschätzung

Wenn eine Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, muss der für die Verarbeitung Verantwortliche eine Datenschutzfolgenabschätzung (DSFA) durchführen. Eine DSFA ist eine schriftliche Bewertung eines geplanten Verarbeitungsvorgangs. Sie hilft Ihnen dabei, die geeigneten Schutzmaßnahmen zur Risikominderung zu ermitteln und die Einhaltung der Vorschriften nachzuweisen.

Wie führt man eine Datenschutzfolgenabschätzung (DSFA) durch?

Es ist zwar besser, die Auswirkungen sämtlicher geplanter Verarbeitungsvorgänge durch eine DSFA zu ermitteln, eine Verpflichtung zur Durchführung besteht allerdings nur, wenn die Verarbeitung wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Dies ist vor allem dann der Fall, wenn die geplante Verarbeitung Folgendes beinhaltet:

• die Verarbeitung - in großem Umfang - von sensiblen personenbezogenen Daten und Daten über strafrechtliche Verurteilungen;
• eine systematische und umfassende Bewertung der persönlichen Aspekte einer Person, die auf einer automatisierten Verarbeitung, einschließlich Profiling, beruht und auf Entscheidungen beruhen, die rechtliche Auswirkungen auf die betreffende Person haben oder Personen in ähnlicher Weise erheblich beeinträchtigen;
• die systematische Überwachung eines öffentlich zugänglichen Bereichs in großem Umfang.

In den meisten Fällen sollten Verarbeitungen, die zwei der folgenden Kriterien erfüllen, durch eine Datenschutzfolgenabschätzung bewertet werden:

1. Bewertung oder Scoring;
2. automatisierte Entscheidungsfindung mit rechtlichen oder ähnlichen erheblichen Auswirkungen;
3. systematische Überwachung;
4. sensible Daten oder höchstpersönliche Daten;
5. Datenverarbeitung in großem Umfang;
6. Abgleich oder Zusammenführen von Datensätzen;
7. Daten über schutzbedürftige Personen;
8. innovative Nutzung oder Anwendung neuer technischer oder organisatorischer Lösungen;
9. wenn die Verarbeitung an sich Personen daran hindert, ein Recht auszuüben oder eine Dienstleistung oder einen Vertrag zu nutzen.

Beispiele dafür, wann eine Datenschutzfolgenabschätzung erforderlich sein kann, sind:

• die Verarbeitung biometrischer Daten, z. B. Scannen von Fingerabdrücken oder Gesichtsmerkmalen zur Identifizierung von Patienten;
• die Verwendung von Daten schutzbedürftiger Personen für Marketingzwecke, z. B. zur Vorhersage ihrer Käufe;
• mobile Anwendungen, die den Standort einer Person verfolgen.

Beispiele dafür, wann eine Datenschutzfolgenabschätzung nicht erforderlich sein kann:

• die vorgesehene Verarbeitung ist einer anderen Verarbeitung, für die bereits eine DSFA durchgeführt wurde, sehr ähnlich;
• die Verarbeitung ist auf der White-List (erstellt von Ihrer nationalen Datenschutzbehörde) aufgeführt, die alle Verarbeitungsvorgänge auflistet, für die keine DSFA durchgeführt werden müssen;
• die Verarbeitung ist nach EU- oder nationalem Recht zulässig.

Was sollte eine Datenschutzfolgenabschätzung enthalten?

Ihre Datenschutzfolgenabschätzung sollte Folgendes enthalten:

• eine Beschreibung des geplanten Verarbeitungsvorgangs und seines Zwecks;
• eine Bewertung der Notwendigkeit und Verhältnismäßigkeit;
• die Risiken, die der Verarbeitungsvorgang mit sich bringen kann;
• die Maßnahmen zur Minimierung der Risiken.

Vorherige Konsultation während einer DSFA

Wenn der Verantwortliche keine ausreichenden Maßnahmen treffen kann, um die Risiken auf ein akzeptables Niveau zu reduzieren (d. h. die Restrisiken sind immer noch hoch), ist eine Konsultation der Datenschutzbehörde erforderlich. In diesem Fall muss der Verantwortliche die folgenden Informationen bereitstellen:

• die jeweiligen Verantwortlichen, gemeinsamen Verantwortlichen und die Auftragsverarbeiter, die an der Verarbeitung beteiligt sind;
• den Zweck der Verarbeitung und die Art und Weise, wie die Verarbeitung durchgeführt werden soll;
• die Maßnahmen, die zum Schutz der personenbezogenen Daten vorgesehen sind;
• die Kontaktdaten des Datenschutzbeauftragten Ihrer Organisation, falls zutreffend;
• die betreffende Datenschutzfolgenabschätzung.

Nachdem Ihre Datenschutzfolgenabschätzung erstellt ist, müssen Sie sie gegebenenfalls verbessern/anpassen:

• Beschreibung der vorgesehenen Verarbeitung
• Beurteilung von Notwendigkeit und Verhältnismäßigkeit
• Bereits vorgesehene Maßnahmen
• Einschätzung des Risikos für Einzelpersonen
• Maßnahmen zur Bewältigung des identifizierten Restrisikos
• Überwachen und überprüfen

4.    Verhaltenskodex (Code of Conduct)

Es können durch Verbände Verhaltenskodizes einschließlich Datenschutzmechanismen ausgearbeitet werden, an die sich Verantwortliche und Auftragsverarbeiter halten können, um sicherzustellen, dass die personenbezogenen Daten gemäß der DSGVO geschützt werden.

Im Einzelnen sollen diese Verhaltenskodizes zum Beispiel sicherstellen:

• dass personenbezogene Daten auf faire und transparente Weise verarbeitet werden;
• dass die Zwecke, für die personenbezogene Daten verarbeitet werden, rechtmäßig sind;
• wie personenbezogene Daten pseudonymisiert werden können;
• dass den Personen, deren personenbezogene Daten verarbeitet werden, transparente Informationen zur Verfügung gestellt werden;
• dass die Zustimmung zur Verarbeitung personenbezogener Daten, insbesondere der Daten von Kindern, in angemessener Weise eingeholt wird;
• dass alle technischen und organisatorischen Maßnahmen getroffen werden, um die sichere Verarbeitung der Daten von Personen zu gewährleisten;
• dass die Verfahren für die Meldung von Verletzungen des Schutzes personenbezogener Daten eingehalten werden;
• dass die Verfahren, einschließlich der Sicherheitsvorkehrungen, für die Übermittlung personenbezogener Daten an Nicht-EWR-Länder und -Organisationen eingehalten werden;
• dass die Verfahren für Gerichtsverfahren und Streitbeilegung befolgt werden.

5.    Zertifizierung

Eine Organisation, die eine datenschutzspezifische Zertifizierung erhält, kann mit dieser Zertifizierung nachweisen, dass die DSGVO bei ihren Verarbeitungsvorgängen eingehalten wird.

Die Aufsichtsbehörden können zum Beispiel:

• Zertifizierungen in Bezug auf ihr eigenes Zertifizierungssystem ausstellen;
• selbst Zertifizierungen in Bezug auf ihr eigenes Zertifizierungssystem ausstellen, aber den gesamten oder einen Teil des Bewertungsprozesses an Dritte delegieren;
• ein eigenes Zertifizierungssystem schaffen und bestimmte Stellen mit der Ausstellung dieser Zertifizierungen beauftragen;
• den Markt ermutigen, Zertifizierungsmechanismen zu entwickeln;
• die Zertifizierungssysteme der Zertifizierungsstellen bewerten.

Eine Zertifizierungsstelle hat die Aufgabe, auf der Grundlage eines Zertifizierungsverfahrens und genehmigter Kriterien, Zertifizierungen zu erteilen, zu überprüfen und zu entziehen.

Die Zertifizierungsstellen müssen die Bewertung der Verarbeitungsvorgänge Ihrer Organisation, für die eine datenschutzspezifische Zertifizierung ausgestellt werden kann, dokumentieren.

Meine Organisation hat eine DSGVO-Zertifizierung erhalten, wie geht es nun weiter?

Die Zertifizierung eines Verarbeitungsvorgangs, den Ihre Organisation durchführt, ist maximal drei Jahre lang gültig, kann aber verlängert oder widerrufen werden. Um die Zertifizierung aufrechtzuerhalten, muss Ihre Organisation die Maßnahmen rund um den zertifizierten Verarbeitungsvorgang kontinuierlich und konsequent umsetzen.

2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

09.05.2023

In einem offenen Brief (abrufbar hier) vom 22.03.2023 fordern Experten aus Forschung, Wissenschaft und der Tech-Branche der ganzen Welt eine mindestens 6-monatige Entwicklungspause von Künstlicher Intelligenz (KI), die leistungsfähiger ist als „GPT-4“. Ist dies nicht zeitnah realisierbar, so schlagen die Verfasser vor, dass die Regierungen eingreifen und ein Moratorium verhängen.

Die Forderung begründen die Verfasser damit, dass ihrer Meinung nach „KI-Systeme mit einer dem Menschen ebenbürtigen Intelligenz tiefgreifende Risiken für die Gesellschaft und die Menschheit darstellen.“
Der Vorstandsvorsitzende des Berufsverbandes der Datenschutzbeauftragten Deutschlands (BvD), Thomas Spaeing, unterstützt zu 100% die Ansicht der Verfasser, dass zur Zeit weder die notwendige Planung noch das nötige (Risiko-)Management stattfinden, welche aktuell in Bezug auf KI-Entwicklung nötig wären. Er verweist ausdrücklich auf den im offenen Brief angeführten Umstand, dass es mittlerweile Niemandem mehr möglich sei, die immer mächtiger werdenden künstlichen Intelligenzen zu verstehen und zuverlässig zu kontrollieren bzw. zu prüfen.

Gefordert wird allerdings keine generelle Abkehr von der KI-Entwicklung, sondern eine Trainings-Pause, die genutzt wird, um bspw. Sicherheitsprotokolle zu entwickeln, die wiederum von unabhängigen, fairen Experten kontrolliert werden können. Werden diese Protokolle eingehalten, so soll dies die zweifelsfreie Sicherheit eines Systems bekräftigen und unberechenbare Black-Box-Modelle verhindern.
In dieser Pause sollen KI-Entwickler und Regierungen gemeinsam u.a. auch klären wie mit Schäden, die eine KI verursacht, künftig umgegangen werden soll.

Zu den Unterzeichnern des offenen Briefes gehören u.a. Apple-Mitgründer Steve Wozniak, Tech-Milliardär Elon Musk und Pioniere der KI-Entwicklung wie Stuart Russel. Bereits 30.000 Unterschriften wurden gesammelt, verifiziert wurden davon aktuell schon 27.565 (Stand Dienstag, 09.05.2023, 12:00 Uhr).