Erweiterte Informationspflichten durch die Datenschutz-Grundverordnung

/in /von

​Informationspflichten bei Datenerhebung und -verarbeitung sind fester Bestandteil des Datenschutzrechts. Mit der EU-Datenschutz-Grundverordnung (DSGVO) vervielfachen sich jedoch die von Unternehmen und Verantwortlichen zu berücksichtigenden Pflichten in Bezug auf die Information von Betroffenen. Dieser Artikel stellt die Neuerungen zur EU-Datenschutz-Grundverordnung dar.

Was sind Informationspflichten?

Ein elementarer Grundsatz des Datenschutzrechtes ist die Transparenz. Betroffene sollen in die Lage versetzt werden, die Datenerhebung, -verarbeitung bzw. -nutzung zu prüfen oder, wie es das Bundesverfassungsgericht ausgedrückt hat, wissen

„wer was wann und bei welcher Gelegenheit über sie weiß.“

Dieser Grundsatz kann nur dann gewährleistet werden, wenn Unternehmen und Verantwortliche ausreichend über Datenverarbeitungsvorgänge informieren.

Wie ist die bisherige Rechtslage?

Informationspflichten sind bislang im BDSG und z.T. auch in anderen Gesetzen geregelt. Werden personenbezogene Daten direkt beim Betroffenen erhoben, richten sich die zu erteilenden Informationen nach § 4 Abs. 3 BDSG, bei der Erhebung ohne Kenntnis des Betroffenen ist § 33 BDSG anzuwenden.

Außerdem existieren in einigen Bereichen spezielle Informationspflichten, wie etwa in § 13 Abs. 1 TMG für Anbieter von Telemedien, die in der Regel in Form von Datenschutzerklärungen auf Websites oder Apps umgesetzt werden.

Was ändert sich durch die Datenschutz-Grundverordnung?

Die Grundverordnung regelt die Informationspflichten in den Art. 13 und 14 in zwei sehr umfangreichen und über das bisher Erforderliche hinausgehenden Katalogen. Ergänzend dazu finden sich, in einer Vielzahl der Erwägungsgründe der Datenschutz-Grundverordnung, Anmerkungen und Hinweise, welche den Grundsatz der fairen und transparenten Verarbeitung stets hervorheben.

Es wird unterschieden zwischen Informationspflichten bei der Erhebung personenbezogener Daten bei dem Betroffenen (Art. 13 DSGVO) Informationspflichten, wenn die Erhebung nicht direkt bei dem Betroffenen erfolgt (Art. 14 DSGVO).

Welche Informationspflichten bestehen nach Art. 13 DSGVO?

Werden personenbezogene Daten beim Betroffenen erhoben, muss der Verantwortliche nach Art. 13 Abs. 1 DSGVO folgende Informationen mitteilen:

a) Identität des Verantwortlichen
Es ist über den Namen und die Kontaktdaten des Verantwortlichen zu informieren. Gleiches gilt ggf. für Namen und Kontaktdaten des Vertreters des Verantwortlichen nach Art. 27 DSGVO, wenn der Verantwortliche selbst nicht in der EU niedergelassen ist.

b) Kontaktdaten des Datenschutzbeauftragten
Neu ist auch die Verpflichtung zur Mitteilung der Kontaktdaten des Datenschutzbeauftragten des Verantwortlichen.

c) Verarbeitungszwecke und Rechtsgrundlage
Der Verantwortliche muss auch über die Zwecke der Datenverarbeitung sowie über die Rechtsgrundlage der Verarbeitung informieren. Diese neue Anforderung führt dazu, dass der Betroffene darüber aufgeklärt wird, auf welchen Erlaubnistatbestand (siehe Art. 6 DSGVO, z.B. Einwilligung oder Erfüllung eines Vertrages) der Verantwortliche die Datenverarbeitung stützen möchte.

d) Berechtigtes Interesse
Sollte die Verarbeitung personenbezogener Daten zur Wahrung berechtigter Interessen des Verantwortlichen nach Art. 6 Abs. 1 f) DSGVO erforderlich sein, beziehen sich die Informationspflichten auch auf eine Aufklärung über diese Interessen.

e) Empfänger
In allen Fällen, in denen personenbezogene Daten übermittelt werden sollen, sind die Betroffenen grundsätzlich über die konkreten Empfänger zu informieren. Ausnahmsweise reicht auch eine Information über Kategorien von Empfängern, wenn konkrete Unternehmen noch nicht bezeichnet werden können.

f) Übermittlung in Drittstaaten
Sollte der Verantwortliche eine Übermittlung personenbezogener Daten in Drittstaaten beabsichtigen, ist darüber ebenfalls zu informieren. Um diese Pflicht zu erfüllen, ist mitzuteilen, auf welcher besonderen Bedingung nach Art. 44 ff. DSGVO die Übermittlung beruht und welche Maßnahmen ergriffen wurden, um beim Empfänger ein angemessenes Datenschutzniveau herzustellen. Werden z.B. EU-Standardvertragsklauseln verwendet, ist dem Betroffenen eine Einsichtnahme in das entsprechende Dokument zu ermöglichen.

Nach Art. 13 Abs. 2 DSGVO muss der Verantwortliche dem Betroffenen darüber hinaus weitere Informationen mitteilen, die insbesondere notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:

a) Dauer der Speicherung
Es ist konkret anzugeben, für wie lange personenbezogene Daten gespeichert werden. Nur ausnahmsweise, wenn die Angabe einer Konkreten Zeitspanne dem Verantwortlichen nicht möglich ist, reichen Kriterien für die Festlegung der endgültigen Dauer der Speicherung aus.

b) Rechte der Betroffenen
Die Betroffenen sind über ihre Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung sowie Datenübertragbarkeit hinzuweisen, die sich aus den Art. 15 – 21 DSGVO ergeben und hier behandelt werden.

c) Widerrufbarkeit von Einwilligungen
Soweit die Verarbeitung auf einer Einwilligung des Betroffenen beruht, ist auch darauf gesondert hinzuweisen. Die entsprechende Informationspflicht ist nur erfüllt, wenn gleichzeitig darüber aufgeklärt wird, dass die Einwilligung jederzeit widerrufen werden kann und die Datenverarbeitung bis zum Zeitpunkt des Widerrufs rechtmäßig bleibt.

d) Beschwerderecht bei der Aufsichtsbehörde
Der Betroffene ist darüber aufzuklären, dass er sich gemäß Art. 77 DSGVO bei einer Aufsichtsbehörde beschweren kann, wenn er der Ansicht ist, dass die Verarbeitung seiner personenbezogenen Daten rechtswidrig erfolgt.

e) Verpflichtung zur Bereitstellung personenbezogener Daten
Der Verantwortliche muss den Betroffenen darüber informieren, ob die Bereitstellung seiner personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben, für einen Vertragsschluss erforderlich ist oder eine sonstige Verpflichtung besteht und welche Folgen eine Nichtbereitstellung hätte.

f) Automatisierte Entscheidungsfindung und Profiling
Sobald der Verantwortliche Verfahren der automatisierten Entscheidung nach Art. 22 DSGVO oder andere Profiling-Maßnahmen nach Art. 4 Nr. DSGVO durchführt, muss der Betroffene über die besondere Tragweite und die angestrebten Auswirkungen solcher Verfahren informiert werden. Diese Informationspflicht erstreckt sich auf Angaben zu der dazu verwendeten Logik oder des Algorithmus.

Welche Informationspflichten bestehen nach Art. 14 DSGVO?

Werden personenbezogene Daten nicht beim Betroffenen erhoben, bestehen nach Art. 14 DSGVO für den Verantwortlichen nahezu dieselben Informationspflichten, wie bei der Erhebung direkt beim Betroffenen.

Logischerweise muss allerdings hier der Betroffene nicht über eine etwaige Verpflichtung zur Bereitstellung informiert werden, da er selbst nicht über die Bereitstellung entscheiden kann.

Nach Art. 14 Abs. 2 f) DSGVO muss der Verantwortliche den Betroffenen jedoch darüber aufklären, aus welcher Quelle die personenbezogenen Daten stammen und ob es sich dabei um eine öffentlich zugängliche Quelle handelt.

In welcher Form müssen die Informationen bereitgestellt werden?

Nach Art. 12 DSGVO sind die oben dargestellten Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form zu erteilen. Dabei können sie schriftlich oder in elektronischer Form an den Betroffenen übermittelt werden.

Es wird explizit erwähnt, dass dafür auch sog. standardisierte Bildsymbolen verwendet werden können, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln. Anders als im BDSG wird es in der Datenschutz-Grundverordnung besondere Anforderungen an die Verarbeitung personenbezogener Daten von Kindern geben. In diesem Falle sollten nach Erwägungsgrund 58 der DSGVO aufgrund der besonderen Schutzwürdigkeit von Kindern Informationen und Hinweise in einer dergestalt klaren und einfachen Sprache erfolgen, dass ein Kind sie verstehen kann.

Wann muss der Betroffene informiert werden?

Bei der Direkterhebung muss der Betroffene nach Art. 13 Abs. 1 DSGVO zum Zeitpunkt der Erhebung informiert werden.
Werden die Daten nicht beim Betroffenen erhoben, muss der Verantwortliche die Informationen nach Art. 14 Abs. 3 DSGVO grundsätzlich innerhalb einer angemessenen Frist, spätestens jedoch nach einem Monat erteilen. Werden die Daten allerdings zur Kommunikation mit dem Betroffenen verwendet oder sollen an einen Empfänger übermittelt werden, ist die Information zwingend zum Zeitpunkt der Kontaktaufnahme oder ersten Übermittlung vorzunehmen.

Kann die Informationspflicht eingeschränkt sein?

Bei der Direkterhebung kann nach Art. 13 Abs. 4 DSGVO auf die Information des Betroffenen nur dann verzichtet werden, wenn dieser bereits informiert wurde.

Soweit die Daten nicht beim Betroffenen erhoben werden, sind die Informationspflichten gemäß Art. 14 Abs. 5 DSGVO in drei weiteren Fällen entbehrlich:

  • Die Information ist unmöglich oder unverhältnismäßig aufwendig.
  • Die Erhebung oder Übermittlung ist gesetzlich vorgeschrieben.
  • Es besteht ein Berufsgeheimnis oder eine sonstige satzungsmäßige Geheimhaltungspflicht.

Insgesamt lässt sich festhalten, dass die Fälle, in denen auf eine Information des Betroffenen verzichtet werden kann, im Gegensatz zum BDSG eingeschränkt werden.

Folge bei Verstößen gegen die Informationspflicht?

Wenn Verantwortliche ihren Informationspflichten nicht nachkommen, droht gemäß Art. 83 Abs. 5 b DSGVO ein Bußgeld. Der europäische Gesetzgeber sieht die Gewährleistung einer fairen und transparenten Datenverarbeitung mit Hilfe umfassender Information als elementar an und bedroht Verstöße in diesen Fällen mit dem hohen Bußgeldrahmen, der Bußgelder bis zu 20.000.000 EUR oder 4% des Jahresumsatzes vorsieht.

Welche Vorgehensweise wäre empfehlenswert?

Verantwortliche sollten nun frühzeitig beginnen, die neuen Informationspflichten umzusetzen und die weiteren Anforderungen an Form und Zeitpunkt der Mitteilung zu beachten.

Safe Harbor: Erste Bußgelder rechtskräftig, weitere Verfahren noch offen

/in /von

​Unzulässige Datenübermittlungen in die USA

(hmbbfdi, 6.6.2016) Der EuGH hat die Safe Harbor-Entscheidung im Oktober 2015 aufgehoben und damit einen  wesentlichen Pfeiler für eine rechtmäßige Datenübermittlung an US-Unternehmen für unwirksam erklärt. Daraufhin wurden durch den Hamburgischen Datenschutzbeauftragten Prüfungen bei 35 international agierenden Hamburger Unternehmen durchgeführt.

Die Prüfungen haben ergeben, dass die überwiegende Mehrheit der Unternehmen den Datentransfer im Rahmen einer mehrmonatigen Umsetzungsfrist rechtzeitig auf sogenannte Standardvertragsklauseln umgestellt hat. Einige wenige Unternehmen hatten aber auch ein halbes Jahr nach Wegfall der Safe Harbor-Entscheidung keine zulässige Alternative geschaffen. Die Datenübermittlungen dieser Unternehmen in die USA erfolgten damit ohne rechtliche Grundlage und waren rechtswidrig.

Während einige der eingeleiteten Verfahren noch nicht abgeschlossen werden konnten und andere Prüfungen noch laufen, sind mittlerweile drei Bußgeldbescheide wegen der unzulässigen Übermittlung von Mitarbeiter- und Kundendaten in die USA rechtskräftig geworden. Die betroffenen Unternehmen haben nach Einleitung des Bußgeldverfahrens ihre Übermittlungen rechtlich auf Standardvertragsklauseln umgestellt.

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Dass die Unternehmen schließlich doch noch eine rechtliche Grundlage für die Übermittlung geschaffen haben, war bei der Bemessung der Bußgelder positiv zu berücksichtigen. Für künftig festgestellte Verstöße wird sicherlich ein schärferer Maßstab anzulegen sein.

Im weiteren Verlauf bleibt nun abzuwarten, ob die Nachfolgeregelung zu Safe Harbor, der Privacy Shield, den die EU-Kommission Ende Februar vorgelegt hat, ein angemessenes Datenschutzniveau herstellt. Daran waren nicht zuletzt seitens der Art. 29-Datenschutzgruppe, dem gemeinsamen Gremium der Datenschutzbehörden der EU-Mitgliedstaaten und des Europäischen Datenschutzbeauftragten,  erhebliche Zweifel geäußert worden. EU-Kommission und US-Regierung sind hier aufgefordert, den Entwurf in wesentlichen Punkten nachzubessern. Vor diesem Hintergrund wird auch über die Zulässigkeit der derzeit nicht beanstandeten alternativen Übermittlungsinstrumente, insbesondere sogenannter Standardvertragsklauseln, zu entscheiden sein.“

https://www.datenschutz-hamburg.de/news/detail/article/unzulaessige-datenuebermittlungen-in-die-usa.html

BSI für Bürger: Drei Sekunden für mehr E-Mail-Sicherheit

/in /von

Aktuelle Umfrageergebnisse zeigen, dass Spam-Mails noch immer Hauptgrund für die Infizierung von Computern durch Schadprogramme sind: 75 Prozent der von Ransomware betroffenen Unternehmen infizierten sich in den letzten sechs Monaten durch schadhafte Mail-Anhänge. Zu diesem Ergebnis kommt die jüngste Befragung des Bundesamts für Sicherheit in der Informationstechnik (BSI) durch die Allianz für Cyber-Sicherheit. Die Auswirkungen reichen vom Befall einzelner Arbeitsplatzrechner über den Ausfall von Teilen der IT-Infrastruktur bis hin zum Verlust wichtiger Daten. Häufige Ursache: E-Mail-Empfänger öffnen ihre elektronische Post zu unbedacht

Mit einem 3-Sekunden-Sicherheits-Check können die Risiken bereits gemindert werden. Absender, Betreff und Anhang sind hierbei drei kritische Punkte, die vor dem Öffnen jeder E-Mail bedacht werden sollten. Ist der Absender bekannt? Ist der Betreff sinnvoll? Wird ein Anhang von diesem Absender erwartet? In Kombination liefern diese Fragen einen guten Anhaltspunkt, um zu entscheiden, ob die E-Mail als vertrauenswürdig einzustufen ist. In vielen Spam-Mails ist der Betreff bewusst vage formuliert, wie „Ihre Rechnung“, „Mahnung“ oder „Dringende Nachricht“. Hier gilt es besonders kritisch zu hinterfragen, ob eine Nachricht vom jeweiligen Absender sinnig erscheint, insbesondere wenn Mail-Anhänge beigefügt sind. Erhalten Sie beispielsweise eine E-Mail mit dem Betreff „Rechnung“ von einem Online-Shop, bei dem Sie registriert sind, ohne dass Sie eine Bestellung erwarten, könnte dies ein Hinweis für eine Spam-Mail sein. Hinterfragen Sie jede E-Mail: Ergibt die Überprüfung der drei Checkpunkte Absender, Betreff, Anhang insgesamt kein stimmiges Bild, rät das BSI E-Mails noch vor dem Öffnen zu löschen. Im Zweifelsfall sollten Sie vor dem Öffnen persönlich beim Absender nachfragen, ob er eine E-Mail geschickt hat.

Link: BSI für Bürger

Überarbeitete Empfehlungen zu Windows-10-Datenschutzeinstellungen

/in /von

​Der Landesbeauftragte für den Datenschutz Baden-Württemberg empfiehlt vor allem, die Übermittlung der Werbungs-ID, Microsofts SmartScreen-Filter und die Erkennung des Eingabe- und Schreibverhaltens zu deaktivieren. All diese Funktionen sind werkseitig aktiviert.

Der Landesbeauftragte für den Datenschutz hat den vom ihm veröffentlichten Leitfaden zu den Datenschutzeinstellungen bei Windows 10 überarbeitet. Das 27 Seiten umfassende PDF-Dokument ist auf der Website des Amtes kostenlos als Download verfügbar. Anwender erhalten mit dem Leitfaden auch eine ausführliche Anleitung, wie sich die nach Meinung des Datenschützers als bedenklich bewerteten Funktionen abschalten lassen.

Er erklärt die Notwendigkeit des Leitfadens damit, dass der Großteil der Optionen zur Datenübermittlung standardmäßig aktiviert sei. “Wenn Sie eine Datenweitergabe an Microsoft unterbinden möchten, so müssen Sie die entsprechenden Optionen explizit ausschalten”, heißt es in dem Dokument. Aus Sicht des baden-württembergischen Datenschutzbeauftragten Jörg Klingbeil sollten insbesondere die Übermittlung der Werbungs-ID und der SmartScreen-Filter sowie die Sprachliste und die Funktion zur Erkennung des Eingabe- und Schreibverhaltens deaktiviert werden.

An der Werbungs-ID wird bemängelt, dass sich die Analyse des Nutzungsverhaltens über das Microsoft-Konto auch geräteübergreifend bewerkstelligen lässt. Der SmartScreen-Filter ist laut Microsoft dazu gedacht, beim Besuch von Webseiten dort vorgehaltene, bedrohliche Dateien und Links zu ermitteln. Teile des Inhalts und Informationen zu heruntergeladenen Dateien werden deshalb zur Überprüfung an Microsoft geschickt und anhand einer Blacklist abgeglichen. Neben der Tatsache, dass Microsoft so viel über das Verhalten des Anwenders erfährt, kritisiert der Datenschutzbeauftragte auch, dass nach seinen Erkenntnissen die komplette IP-Adresse an Microsoft übertragen und dort für 60 Tage gespeichert wird.

Die zur Verbesserung der Handschriftenerkennung eingesetzte Funktion “Eingabe- und Schreibverhalten” löst Datenschutzbedenken aus, weil sämtliche mittels Stift eingegebene Texte an Microsoft übertragen werden, um eine zentrale Analyse sicherzustellen. Hinsichtlich der Sprachliste, deren Deaktivierung ebenfalls empfohlen wird, moniert Klingbeil, dass aus den Datenschutzbestimmungen nicht ersichtlich ist, “um welche Funktionalität es sich hier genau handelt und ob dabei Daten an Microsoft übermittelt werden”.

Schon im September 2015 hatte Microsoft selbst mehrere Beiträge auf seiner Website publiziert, in welchen es die vorher bereits umstrittenen Funktionen detailliert erläutert. Überdies stellt der Konzern aus Redmond schon lange heraus, dass Windows 10 zum einen Daten sammle, um diese zur Verbesserung des Produkts zu nutzen (zum Beispiel bei der Handschriftenerkennung und der Spracheingabe) und dass Nutzer zum anderen jederzeit selbst entscheiden könnten, welche Daten mitgeschnitten werden dürfen. Das stimmt allerdings nur teilweise, da die früher “Fehlerberichterstattung” genannte Funktion nun nicht mehr optional ist, sondern bereits werkseitig voreingestellt. Zudem lässt sie sich höchstens noch einschränken, jedoch nicht mehr komplett abschalten.

Vor allem in Unternehmen löste dieses Vorgehen seitens Microsoft Befremden aus. Allerdings stehen nicht nur für den Anwender, sondern auch für Administratoren zahlreiche Möglichkeiten für die Konfiguration von Unternehmens-PCs bereit, um das Sammeln von Daten zu verhindern.

Aus unterschiedlichen Gründen stehen die Datenschutzeinstellungen bei Windows 10 respektive die erweiterte Datensammlung durch das Betriebssystem trotzdem stark in der Kritik. Im März reichte die Verbraucherzentrale Nordrhein-Westfalen gegen Microsoft beim Landgericht München daher sogar eine Klage ein. Die Datenschutzklausel von Windows 10 ist in ihren Augen zu pauschal. Der zuvor erfolgten Aufforderung, eine strafbewehrte Unterlassungserklärung zu unterzeichnen und die Datenschutzklausel nicht mehr einzusetzen, wollte der Konzern aus Redmond nicht nachkommen.