Schlagwortarchiv für: Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit

Prof. Dr. Caspar ist seit 2009 Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit. Auf unserem Forum am 13. Dezember stellte er den Teilnehmern die Sicht der Datenschutzbehörde auf die EU-Datenschutz-Grundverordung (DS-GVO) vor. In den vielen nachfolgenden Gesprächen mit unseren Kunden und Beratern, ergaben sich immer wieder Fragen zur DS-GVO, dies haben wir zum Anlass genommen, mit Prof. Dr. Caspar ein Interview zu führen, in dem wir die häufigsten Fragen aufgegriffen haben.

ANMATHO:

Betrachtet man den sachlichen Anwendungsbereich der DS-GVO, kommt es darauf an, ob personenbezogenen Daten ganz oder teilweise automatisiert verarbeitet werden oder ob bei einer nichtautomatisierten Verarbeitung eine Speicherung in einem Dateisystem erfolgt bzw. erfolgen soll. Nur in diesen Fällen ist der sachliche Anwendungsbereich der DS-GVO eröffnet. Hier stellt sich die Frage, ob auch handgeschriebene Notizen durch die DS-GVO geschützt sind?

Prof. Dr. Caspar:

Handgeschriebene Notizen sind dann durch die DS-GVO geschützt, wenn sie in einem Dateisystem (= jede strukturierte Sammlung personenbezogener Daten, die nach bestimmtem Kriterien zugänglich sind) gespeichert werden sollen. Sofern dies nicht der Fall ist, ist die DS-GVO nicht anwendbar.

ANMATHO:

Die DS-GVO normiert u.a. das „Recht auf Vergessenwerden“. Wurden hier personenbezogene Daten von einem Verantwortlichen öffentlich gemacht, so hat er unter Berücksichtigung der verfügbaren Technologie und der entsprechenden Kosten angemessene Maßnahmen zu treffen, um andere für die Datenverarbeitung Verantwortliche darüber zu informieren, dass die betroffene Person die Löschung aller Daten verlangt. Interessant ist hierbei, ob es mit der Information allein schon getan ist oder ob der Löschungsanspruch gegen die anderen Stellen im Namen der betroffenen Personen durchgesetzt werden muss. Und was passiert, wenn Unternehmen die schwammigen Formulierungen des Gesetzes ausnutzen werden, um technische Probleme als Hinderungsgrund anzuführen?

Prof. Dr. Caspar:

Gesetzlich verpflichtet ist der Verantwortliche nur zur Information weiterer Verantwortlicher über das Löschungsverlangen Betroffener.

Angesichts der gesetzlichen Formulierung „unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten“ scheint das Ausnutzen der gesetzlichen Formulierung schwierig. Die Frage, ob der Verantwortliche unter Zugrundelegung des Wortlauts der DS-GVO angemessene Maßnahmen getroffen hat, um seinen Verpflichtungen nachzukommen, ist durch die zuständigen Aufsichtsbehörden nachprüfbar und bei Verstößen ordnungswidrig, vgl. § 41 DSAnpUG-EU i.V.m. Art. 83 Abs. 5 lit. b) DS-GVO.

ANMATHO:

Mit dem „Recht auf Datenübertragbarkeit“ soll insbesondere ein einfacher und unkomplizierter Anbieterwechsel ermöglicht werden. Fraglich ist hier, welche Daten von Art. 20 DS-GVO erfasst sind. Fallen hierunter nur solche Daten, die der Nutzer aktiv eingegeben hat (etwa Name, Gewicht, Größe, Kontodaten, Social-Media-Posts) oder auch Daten, die durch die Nutzung des Dienstes entstehen (Fitnessprofil, Kaufhistorie, Finanzkonzept)? Und wie können hier vor allem auch Geschäftsgeheimnisse oder das geistige Eigentum eines Verantwortlichen – etwa eines Online-Shops – geschützt werden?

Prof. Dr. Caspar:

Gemäß Art. 2 Abs. 1 DS-GVO sind solche Daten herauszugeben, die der Betroffene „bereitgestellt“ hat. Darunter fallen nicht nur die direkt in ein Textfeld eingegebenen Daten, sondern auch weitere Rohdaten, die auf aktivem Verhalten des Betroffenen beruhen. Dies betrifft etwa die Kaufhistorien in einem Onlineshop sowie die Standortdaten oder Herzfrequenzmessungen, die ein Fitnesstracker aufzeichnet. Nicht „bereitgestellt“ sind hingegen die aus der Analyse generierten Daten, also etwa Bewertung der Gesundheit durch die Software eines Fitnesstrackers.

Auch Geschäftsgeheimnisse und geistiges Eigentum fallen grundsätzlich unter Art. 20 Abs. 4 DS-GVO. Diese Einschränkung ist aber eng auszulegen und darf nicht dazu führen, dass jegliche Auskunft verweigert wird. In der Regel sind Geschäftsgeheimnisse dadurch ausreichend geschützt, dass nur die Rohdaten, nicht aber die Analyseergebnisse herausgegeben werden müssen.

ANMATHO:

Sind in diesem Zusammenhang auch Daten, die Dritte betreffen, erfasst oder vielmehr ausgeschlossen? Davon hängt ab, ob insbesondere Gruppenfotos aus sozialen Netzwerken oder E-Mail-Verläufe an einen neuen Anbieter übermittelt werden dürfen.

Prof. Dr. Caspar:

Gemäß den Festlegungen der europäischen Art.-29-Gruppe ist die Ausnahmeklausel des Art. 20 Abs. 4. DS-GVO nicht zu restriktiv auszulegen. Danach dürfen etwa Chatverläufe komplett angefordert werden. Die Übermittlung der Chatverläufe an einen neuen Verantwortlichen ist hingegen nur zulässig, wenn eine Rechtsgrundlage oder Einwilligung dafür vorliegt beziehungsweise die Haushaltsausnahme greift und die Rechte und Freiheiten Anderer nicht beeinträchtigt werden. Dies ist vor allem dann zumeist nicht der Fall, wenn der neue Verantwortliche die Daten zu anderen Zwecken verarbeitet als der alte.

ANMATHO:

Die ePrivacy-Verordnung sollte zeitnah neben die Datenschutz-Grundverordnung (DS-GVO) treten und die sog. ePrivacy-Richtlinie ablösen. Dies wird so jedoch bisher nicht umgesetzt, da die ePrivacy-Verordnung noch im Entwurfsstadium steckt. Dies bedeutet, dass ab dem 25. Mai 2018 ein Zusammenspiel zwischen DS-GVO, dem TMG und der Richtlinie eintritt. Hier stellt sich die Frage, welche Rechtslage dann gilt?

Prof. Dr. Caspar:

Es ist davon auszugehen, dass die datenschutzrechtlichen Teile des TMG durch die DS-GVO größtenteils verdrängt werden. Das genaue Verhältnis von DS-GVO und TMG sowie einer künftigen ePrivacy-Verordnung ist Gegenstand aktueller Diskussionen der deutschen Aufsichtsbehörden. Vor dem Hintergrund der Auswirkung auf nahezu alle Telemedienangebote ist es entscheidend, ein gemeinsames Ergebnis in dieser rechtlichen Bewertung zu erzielen.

ANMATHO:

In einem CRM (Customer-Relationship-Management) werden nicht nur Daten von juristischen Personen, sondern auch personenbezogene Daten – etwa von Ansprechpartnern –gespeichert. Ist eine Verarbeitung personenbezogener Daten mit einem CRM rechtmäßig oder bedarf es hier einer Einwilligung der betroffenen Person?

Prof. Dr. Caspar:

Das Abspeichern von Ansprechpartnern anderer Unternehmen im firmeneigenen CRM-System kann auf Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO gestützt werden, solange keine entgegenstehenden Betroffeneninteressen überwiegen. Insbesondere dann, wenn die berufliche Aufgabe des Betroffenen in der Kontaktpflege zu anderen Unternehmen besteht, wird er in der Regel hinnehmen müssen, dass diese seinen Namen notieren.

ANMATHO:

Bewerberdaten sind nach altem als auch neuem Datenschutzrecht geschützt. Zudem wird regelmäßig gerade bei postalisch versandten Bewerbungsunterlagen keine Einwilligung für die Verarbeitung zu anderen Zwecken vorliegen, so dass die jeweiligen Daten gerade nach dem Abschluss des Bewerbungsprozesses für eine konkrete Stelle gelöscht werden müssen. Einer Löschung stehen aber möglicherweise bestehende Aufbewahrungsfristen oder Interessen des mitarbeitersuchenden Unternehmens entgegen. Welche Bewerberdaten darf ein Unternehmen aufbewahren und welche Aufbewahrungsfristen gibt es?

Prof. Dr. Caspar:

Die Daten aller Bewerber dürfen auch künftig aufbewahrt werden, solange mit rechtlichen Schritten einzelner im Auswahlverfahren unterlegener Kandidaten zu rechnen ist. Dies ist regelmäßig nach sechs Monaten nicht mehr der Fall. Spätestens dann sind die Unterlagen zu vernichten, mit Ausnahme der Dokumente, die bei eingestellten Bewerbern in die Personalakte gelangen. Sollen Bewerbungsunterlagen im Hinblick auf später freiwerdende Stellen weiter vorgehalten werden, ist eine entsprechende Einwilligung erforderlich.

ANMATHO:

Insbesondere im Rahmen der Auftragsverarbeitung stellt das zukünftige Datenschutzregime neue Anforderungen an die Zusammenarbeit mit Dienstleistern und Lieferanten. Können Unternehmen weiterhin mit Dienstleistern und Lieferanten aus Drittländern zusammenarbeiten? Welche Anforderungen der DS-GVO müssen diese erfüllen?

Prof. Dr. Caspar:

Ja, Unternehmen können weiterhin mit Dienstleistern und Lieferanten aus Drittländern zusammenarbeiten. Dabei müssen Sie – wie bisher auch – sicherstellen, dass das durch die DS-GVO gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird. Hierfür stellen die Art. 44 bis 50 DS-GVO verschiedene Instrumente (z.B. Angemessenheitsbeschluss, Vereinbarung geeigneter Garantien, interne Datenschutzvorschriften etc.) zur Verfügung.

Daneben sind die Vorgaben des Art. 28 DS-GVO (Auftragsverarbeiter) zu beachten.

ANMATHO:

Stellt eine IP-Adresse ein personenbezogenes Datum gemäß Art. 4 Nr. 1 DS-GVO dar, unterliegt sie regelmäßig dem Datenschutz, was für Unternehmen einen erheblichen Mehraufwand beim Umgang mit IP-Adressen bedeutet. Dies trifft häufig auf Unverständnis und viele stellen sich die Frage, weshalb eine IP-Adresse ein personenbezogenes Datum ist?

Prof. Dr. Caspar:

Zur Frage des Personenbezugs von (auch dynamischen) IP-Adressen hat sich der EuGH zuletzt im Okt. 2016 geäußert (C-582/14). Dabei stellt er klar den Personenbezug fest (RN 49), wenn „er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen“. Diese rechtlichen Möglichkeiten bestehen in Deutschland.

Diese Auffassung steht mit der Definition personenbezogener Daten in Art 4 Nr. 1 DS-GVO im Einklang.

Mehr zu Herrn Prof. Dr. Caspar finden Sie auf seiner Webseite.