Unser Datenschutz-Update im Oktober 2024

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den Oktober 2024.

1. Nachrichten aus der Welt des Datenschutzes

Prüfpflichten des Verantwortlichen bei Auftragsverarbeitungsketten

Oft bestehen bei Auftragsverarbeitungsverhältnissen und den entsprechenden Auftragsverarbeitungsverträgen (AVVs) gem. § 28 DSGVO Differenzen und Unklarheiten darüber, was der Auftraggeber prüfen muss und welche Rechte er dabei hat.

  1. Darf der Auftraggeber die AVVs mit den Subauftragsverarbeiterinnen einsehen? 
  2. Muss der Auftraggeber die AVVs mit den Subauftragsverarbeiterinnen einsehen?
  3. Muss der Auftraggeber überhaupt die Subauftragsverarbeiterinnen seiner Auftragsverarbeiterin kennen?
  4. Muss der Auftraggeber eine sichere Datenübermittlung in Drittländer überprüfen?

Nun hat der Europäische Datenschutzausschuss (EDSA) eine Stellungnahme hierzu veröffentlicht. Grundsätzlich führt der Ausschuss aus:

Auch bei langen Auftragsverarbeitungsketten bleibt die Hauptverantwortung beim Auftraggeber als Verantwortlichen. Er bestimmt die Zwecke und die Art der Verarbeitung. Entsprechend muss er auch für die sichere Datenverarbeitung beim Einsatz von Subauftragsverarbeiterinnen Sorge tragen. Zu den oben genannten Fragen gilt nach der Stellungnahme:

zu 1. und 2:

Ergeben sich aus den Angaben der Auftragsverarbeiterin Zweifel und Unklarheit am gleichwertigen Schutzniveau der Subauftragsverarbeiterinnen, kann die Auftragsverarbeiterin Einsicht in die vertraglichen Regelungen verlangen. Sie muss dies nicht, soweit die Informationen der Auftragsverarbeiterin überzeugend und nachvollziehbar sind. Bei Zweifeln muss der Auftraggeber jedoch selbst Überprüfungen vornehmen und Erkundigungen einholen. 

Inwieweit das auch ein Kontrollrecht bei der Subauftragsverarbeiterin einbezieht, wird nicht ganz klar. Dies dürfte praktisch in den meisten Fällen nicht durchsetzbar sein. Der Auftraggeber kann jedoch auch von der Auftragsverarbeiterin weitere Informationen und ggf. auch Erweiterung der Maßnahmen für eine sichere Verarbeitung verlangen.

zu 3.

Da der Auftraggeber für die Sicherheit der Datenverarbeitung verantwortlich bleibt, müssen ihm ausreichend Informationen über die Subauftragsverarbeiterin zur Verfügung gestellt werden, damit er beurteilen kann, ob er seine Pflichten erfüllt. Hier kann die Auftragsverarbeiterin auch nicht Angst vor Konkurrenz vorbringen, um die Informationen geheim zu halten. 

zu 4.

Auch hier gilt wie oben: Sind die Prüfungen und Nachweise der Auftragsverarbeiterin für eine Drittlandsübermittlung und Datenverarbeitung in Drittstaaten nachvollziehbar und überzeugend, so darf sich der Auftraggeber darauf verlassen. Bei Unklarheiten und Zweifeln hingegen ist er verpflichtet, entweder weitere Informationen zu fordern oder selbst Prüfungen vorzunehmen. Der Prüfungsumfang berücksichtigt dabei auch das Risiko für die personenbezogenen Daten durch die Übermittlung.

Insgesamt sollten Auftraggeber die Angaben ihrer Auftragsverarbeiterinnen über Subauftragsverarbeiterinnen nicht überfliegen, sondern sorgfältig durchlesen und ggf. auch nachprüfen, bzw. Nachfragen stellen. Die Verantwortung für eine sichere Datenverarbeitung wird nicht durch eine Auftragsverarbeitung auf die Auftragsverarbeiterin vollständig übertragen/abgewälzt. 

Gleichzeitig sollten Auftragsverarbeiterinnen sich bewusst sein, dass sie für eine vertrauensvolle und DSGVO-konforme Zusammenarbeit ihren Auftraggebern alle erforderlichen Informationen über Subauftragsverarbeiterinnen zur Verfügung stellen müssen, damit diese ihre Pflichten als Verantwortliche erfüllen können. Dies betrifft auch Prüfungen und Informationen der/über die Subauftragsverarbeiterinnen der Subauftragsverarbeiterinnen.

Mehr dazu finden Sie hier: EDPB adopts Opinion on processors, Guidelines on legitimate interest, Statement on draft regulation for GDPR enforcement, and work programme 2024-2025

Auch mit Einwilligung können nicht alle personenbezogenen Daten unbegrenzt gespeichert werden und nicht alle im Netz verfügbaren Daten dürfen für zielgerichtete Werbeanzeigen verarbeitet werden

Ein häufiger Irrtum ist, dass man personenbezogene Daten so lange speichern kann, wie man möchte, solange man die Einwilligung der Betroffenen eingeholt hat. 

Ein weiterer häufiger Irrtum ist, dass man Informationen, die Personen öffentlich im Internet oder sonst äußern für Werbeansprachen benutzen darf. 

Sehr ausführlich jetzt der EuGH im Rahmen einer Vorlage von Vorabentscheidungsfragen zu diesen Themen Stellung. ( C‑446/21).

Kurz zusammengefasst:

  • Auch wenn man die Betroffenen pflichtgemäß über die Zwecke der Verarbeitung vorab informiert, berechtigt eine darauf erfolgende Einwilligung nicht, die Daten ohne Aufbewahrungsfrist zu speichern.
  • Besonders muss bei der Speicherung und Verwendung der personenbezogenen Daten unbedingt auch nach Art der Daten und vor allem ihrer Sensibilität unterschieden werden.
  • Weiter dürfen öffentlich geäußerte Informationen nicht ohne weiteres zur Analyse und Erstellung gezielter Werbung an die betroffene Person genutzt werden.

Etwas mehr im Detail:

In einem Klageverfahren von Maximilian Schrems gegen die Plattform Meta war vom Obersten Gerichtshof (Österreich) Vorabentscheidungsfragen dem EuGH vorgelegt worden. 

Aus der Vorlageentscheidung ergab sich, dass Herr Schrems Meta Platforms Ireland nicht erlaubt hat, seine personenbezogenen Daten über seine Tätigkeiten außerhalb von Facebook, die Meta Platforms Ireland von Werbetreibenden und anderen Partnerinnen erhalte, für personalisierte Werbezwecke zu verarbeiten. 

Weiter hatte Herr Schrems auf seinem Facebook-Profil keine sensiblen Daten angegeben, nur seine „Freunde“ können seine Aktivitäten oder die Informationen auf seiner „Timeline“ sehen und seine „Freundesliste“ ist nicht öffentlich. Auch die Verwendung der Felder seines Profils zu Beziehungsstatus, Arbeitgeber, Berufsbezeichnung und Ausbildung für gezielte Werbung ist untersagt.

Meta Platforms Ireland erlangte und verarbeitete trotzdem bestimmte Daten über Herrn Schrems aufgrund von Cookies, Social Plug-ins und vergleichbaren auf Webseiten Dritter integrierten Technologien erlangt und verwendet hatte, um Herrn Schrems personalisierte Werbung zukommen zu lassen.

Trotzdem erkannte Meta Platforms Ireland das Interesse von Herrn Schrems an sensiblen Themen wie Gesundheit, sexuelle Orientierung, ethnische Gruppen und politische Parteien und nutzte diese für die zielgerichtete Werbung an ihn. 

So erhielt Herr Schrems zum einen Werbung für eine österreichische Politikerin und regelmäßig Werbung, die auf ein homosexuelles Publikum abzielte, und Einladungen zu entsprechenden Veranstaltungen, obwohl er sich zuvor für diese Veranstaltungen nicht interessiert hatte. Diese Werbung beruhte u.a. auf der Analyse von Meta Platforms Ireland, wonach er Gemeinsamkeiten mit anderen Nutzern aufweise, die diese Politikerin mit „Gefällt mir“ markiert hatten. 

Herr Schrems gab eine Analyse zu den Rückschlüssen in Auftrag, die aus seiner Freundesliste herausgerechnet werden können. Die ergab, dass Meta über Daten seiner außerhalb der Plattform getätigten Aktivitäten und Äußerungen verfügte, wie etwa dass er seinen Zivildienst beim Roten Kreuz in Salzburg abgeleistet habe und homosexuell sei, und diese ebenfalls für die gezielte Anzeige von Werbung an ihn nutzte.

Unter anderem ging es bei den Vorlagefragen an den EuGH deshalb um folgende Punkte:

Ob der Grundsatz der Datenminimierung (Art 5 Abs. 1 Buchst. c DSGVO) dahin auszulegen sei, dass alle personenbezogenen Daten, über die eine Plattform (wie Meta) verfügt – insbesondere durch den Betroffenen oder durch Dritte auf der Plattform aber auch außerhalb davon – ohne Einschränkung nach Zeit oder Art der Daten für Zwecke der zielgerichteten Werbung aggregiert, analysiert und verarbeitet werden können.

Der EuGH wies auf frühere Entscheidungen zur Auslegung des Art. 5 hin und stellte fest, dass: „…Art. 5 Abs. 1 Buchst. c DSGVO dahin auszulegen ist, dass der darin festgelegte Grundsatz der „Datenminimierung“ dem entgegensteht, dass sämtliche personenbezogene Daten, die ein Verantwortlicher wie der Betreiber einer Onlineplattform für ein soziales Netzwerk von der betroffenen Person oder von Dritten erhält und die sowohl auf als auch außerhalb dieser Plattform erhoben wurden, zeitlich unbegrenzt und ohne Unterscheidung nach ihrer Art für Zwecke der zielgerichteten Werbung aggregiert, analysiert und verarbeitet werden.“

So „liefe es auch dem eng auszulegenden Art. 9 Abs. 2 Buchst. e DSGVO zuwider, wenn sämtliche Daten über die sexuelle Orientierung einer Person bereits deswegen dem Schutz des Art. 9 Abs. 1 DSGVO entzogen wären, weil die betroffene Person personenbezogene Daten, die sich auf ihre sexuelle Orientierung beziehen, offensichtlich öffentlich gemacht hat.“

Auch erscheine „die unterschiedslose Verwendung sämtlicher personenbezogener Daten, die von einer Plattform für ein soziales Netzwerk zu Werbezwecken gespeichert werden, unabhängig vom Sensibilitätsgrad dieser Daten nicht als ein verhältnismäßiger Eingriff in die Rechte, die den Nutzern dieser Plattform durch die DSGVO garantiert werden.“

Schließlich könne „selbst eine ursprünglich zulässige Verarbeitung von Daten im Lauf der Zeit gegen die DSGVO verstoßen…, wenn diese Daten für die Erreichung der Zwecke, für die sie erhoben oder später verarbeitet wurden, nicht mehr erforderlich sind, und dass diese Daten gelöscht werden müssen, wenn diese Zwecke erreicht sind (vgl. in diesem Sinne Urteil vom 20. Oktober 2022, Digi, C‑77/21, EU:C:2022:805, Rn. 54).“

Es lohnt sich, die Feststellungen des EuGH insgesamt einmal durchzulesen. 

In jedem Fall kann man daraus jedoch – nicht nur für Plattformbetreiberinnen – ableiten:

  • Auch wenn eine Einwilligung zur Erhebung und Speicherung von Daten gegeben ist, muss entschieden werden, welche davon wirklich für die angestrebten Zwecke erforderlich sind, welche evtl. zu sensiblen Daten zählen und deshalb nicht verarbeitet werden sollten. Außerdem muss regelmäßig überprüft werden, ob die Speicherung für die Zwecke noch erforderlich ist oder – falls nicht – die Daten gelöscht werden müssen. 
  • Auch wenn man personenbezogene Daten und Informationen über Personen im öffentlichen Netz in der anderen Medien findet, bedeutet das nicht in jedem Fall, dass man daraufhin die Person gezielt mit Werbung zu diesen Themen anschreiben darf. Es ist vor allem auch immer auf den Zusammenhang zu achten, in welchem die Person oder Dritte diese Information geäußert/veröffentlicht hat.

Strenge neue Vorgaben für Social-Media Plattformen durch irische Medienaufsicht

Die irische Medienaufsicht Coimisiún na Meán (CNAM) veröffentlichte verbindliche Vorgaben für Social-Media-Netzwerke. Der Kodex beinhaltet Verpflichtungen für Video-Sharing-Plattformen, um Menschen, insbesondere Kinder, vor schädlichen Videos und zugehörigen Inhalten zu schützen.

Diese Vorgaben betreffen nicht nur strafbare Inhalte. Verboten wird damit das Hochladen oder Teilen von Videos, die nicht strafbar sind, aber in denen es u.a. um Cybermobbing, das Anstiften zu Hass oder Gewalt, Terrorismus, Rassismus und Fremdenfeindlichkeit geht. Strikte Maßnahmen zum Schutz von Kindern und Jugendlichen sind ebenfalls vorgesehen.

Grundlage ist der Digital Services Act (DSA), für den die CNAM als Koordinator zuständig ist. Bis zum 19.11.2024 müssen die Betreiber die Auflagen erfüllen. 

Grund für die strenge Umsetzung könnte sein, dass Irland vom EuGH zu 25 Millionen Euro Strafe verurteilt wurde wegen mangelnder Umsetzung der AVMD Richtlinie (Rechtssache C-679/22). Nun will Irland weiteren Sanktionen vorbeugen. 

Der Kodex wird weitreichende Auswirkungen auf Plattformen wie Meta, LinkedIn, Pinterest und YouTube haben, die alle ihren EU-Sitz in Irland haben.

In Deutschland wird der DSA durch das Digitale-Dienste-Gesetz (DDG) umgesetzt, das seit dem 14. Mai 2024 in Kraft ist.

2. Entscheidungen des Monats

In einem Verfahren hatte das AG Köln zu entscheiden 153 C 95/24, was alles im Rahmen eines Auskunftsanspruchs an die betroffene Person vom Verantwortlichen zu übermitteln/herauszugeben ist. Hierzu gehören nach Meinung des Gerichts nicht Gesprächsprotokolle, interne Vermerke und geführte Korrespondenzen. 

Zum Fall: 

Die Klägerseite begehrte Auskunft darüber, welche personenbezogenen Daten die Beklagte im Zusammenhang mit der streitgegenständlichen Flugbuchung verarbeitet hatte. Diese Auskunft wurde von der Beklagten erfüllt, so befand das Gericht:

„Sie (die Beklagte) hat in dem ausführlichen Schreiben vom 17.01.2023 über 8 Seiten hinweg im Einzelnen näher dargelegt, welche Daten sie von der Klägerin gespeichert und verarbeitet hat. Zudem waren in der Auskunft die von der Klägerin an die Beklagte gerichteten Reklamationsschreiben enthalten, welche die Beklagte ebenfalls zu der Klägerin abgespeichert hatte.“

Der Kläger forderte darüber hinaus jedoch die Herausgabe weiterer Kopien dieser Daten, insbesondere jeglicher Korrespondenz, den Vertragsdaten inklusive AGB sowie der Protokolle von telefonischen Kontaktaufnahmen und von Gesprächsmitschnitte steht der Klägerin nicht zu.

Nach Art. 15 Abs. 3 DS-GVO stellt der Verantwortliche Kopien (lediglich) der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung.

Das Gericht befindet:

„Eine „Verarbeitung von Daten“ stellt gemäß Artikel 4 Nr. 2 DS-GVO jeder Vorgang im Zusammenhang mit personenbezogenen Daten dar. Insofern ergibt sich ein umfassendes Auskunftsrecht bezogen auf die gespeicherten bzw. verarbeiteten personenbezogenen Daten. Dies beinhaltet Daten wie Namen oder Geburtsdatum genauso wie jegliche Merkmale, die die Identifizierbarkeit einer Person ermöglichen können, z.B. Gesundheitsdaten, Kontonummer usw. Allerdings bezieht sich der Auskunftsanspruch nicht auf sämtliche interne Vorgänge der Beklagten, wie z.B. Vermerke, oder darauf, dass die betreffende Person sämtlichen gewechselten Schriftverkehr, der dem Betroffenen bereits bekannt ist, erneut ausgedruckt und übersendet erhalten muss (LG Köln, Teilurteil v. 18.03.2019, 26 O 25/18). AGB´s, Gesprächsprotokolle, sowie geführte Korrespondenzen stellen insofern ebenfalls keine der Verarbeitung unterliegenden, personenbezogenen Daten in diesem Sinne dar. Der Anspruch aus Art. 15 DS-GVO dient nicht der vereinfachten Buchführung des Betroffenen, sondern soll sicherstellen, dass der Betroffene den Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen kann. Folgerichtig bestimmt Artikel 15 Abs. 3 DS-GVO, dass der Betroffene eine Kopie (lediglich) der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, erhält.“

Dem entspricht zum Beispiel der Systemausdruck. 

Ein darüber hinausgehender Anspruch besteht nach Meinung des Gerichts nicht. 

3. Das schreiben die Anderen zum Datenschutz

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.

Wir helfen Ihnen beim Datenschutz

Den Datenschutz im Unternehmen neben dem Tagesgeschäft im Auge und up to date zu halten, kann schwierig und belastend sein.

Wir helfen Ihnen dabei gerne, und uns macht das sogar Spaß! Ob Auftragsverarbeitung, Joint Controllership, das DSGVO-konforme Abbilden unternehmensinterner Datenflüsse, Datenschutzhinweise, Richtlinien und Datenschutzverpflichtungen für Ihr Team – wir helfen Ihnen dabei, diese Bereiche rechtssicher umzusetzen.

Wir können diese Aufgaben entweder „auf Zuruf“ als beratende Kanzlei übernehmen, oder in laufender Zusammenarbeit als bestellter externer Datenschutzbeauftragter. In dieser Funktion bieten wir Ihnen verschiedene pauschal vergütete Pakete an, vom „Basis“-Paket über das Paket „VIP“ inklusive regelmäßiger Besprechungstermine und Rabatte bis zum Flatrate-Paket „Premium“. Diese Pakete können wir individuell auf den Bedarf Ihres Unternehmens zuschneiden. 

Sprechen Sie uns gerne dazu an oder schauen Sie sich hier unsere Leistungen an: https://service.comp-lex.de/externer-datenschutzbeauftragter/


Ihre Ansprechperson

Dr. Sonja Detlefsen

sd@comp-lex.de


Themen:

Ähnliche Artikel: