Kommerzielles Interesse stellt ein legitimes Interesse im Sinne der DS-GVO dar

Die EU-Kommission hat in einem Brief an die niederländische Aufsichtsbehörde klargestellt, dass ein rein kommerzielles Interesse ein berechtigtes Interesse im Sinne Art. 6 Abs. 1 lit. f) DS-GVO darstellen kann.

Nach der DS-GVO müssen Unternehmen einen Grund haben, die Daten der Nutzer zu verarbeiten. So ist eine Verarbeitung erlaubt, wenn sie zur Wahrung eines berechtigten Interesses erforderlich ist. Jedoch wurde der Begriff des berechtigten Interesses nie klar definiert. Unternehmen kämpfen mit der Frage, was legitim ist und was nicht.

Die niederländische Aufsichtsbehörde hat in der Vergangenheit öfters klargestellt, dass ein rein kommerzielles Interesse an sich, wie z.B. Marketing, nicht geeignet sei, um eine Verarbeitung personenbezogener Daten zu rechtfertigen.

Die europäische Kommission hat der niederländischen Behörde daraufhin mitgeteilt, dass das Recht auf den Schutz personenbezogener Daten nicht absolut sei. Das Persönlichkeitsrecht der Betroffenen ist daher immer gegen andere Rechte abzuwägen, wie z.B. das Recht auf unternehmerische Freiheit, das als Grundrecht in der EU-Charta verankert ist.

Das Ergebnis einer Abwägungsprüfung ist von verschiedenen Faktoren abhängig, wie bspw. der Art der Daten und ihrer Sensibilität bzgl. des Privatlebens der betroffenen Person. Demnach kann man nicht generell behaupten, dass ein rein kommerzielles Interesse die Grundrechte und -freiheiten der betroffenen Person nicht überwiegen kann, da dies auf der Grundlage einer konkreten Abwägungsprüfung zu beurteilen ist.

Schließlich legte die Europäische Kommission dar, dass das Ziel der DS-GVO nicht die Erschwerung der Geschäftstätigkeiten sei. Stattdessen solle sie die den Betrieb der Unternehmen ermöglichen und gleichzeitig ein hohes Schutzniveau personenbezogener Daten gewährleisten.

Infolgedessen dürfen Unternehmen die Verarbeitung personenbezogener Daten auf rein kommerzielle Interessen stützen, sofern die Interessen der Betroffenen nicht überwiegen.

Drittlandübermittlung bei Clouddiensten

von SICODA Redaktion

Mit dem Beschluss vom 13.07.2022 hat die Vergabekammer Baden-Württemberg über die Frage entschieden, ob bereits dadurch eine Drittlandübermittlung vorliegt, dass Cloudlösungen von europäischen Tochterunternehmen US-amerikanischer Cloud-Anbieter eingesetzt werden.

Laut dem Beschluss der Vergabekammer ist es egal, wo die Server ihren physischen Standort haben. Die US-Behörden können trotzdem von der Muttergesellschaft in den USA fordern, die Daten in Europa herauszugeben. Da die nichteuropäische Muttergesellschaft auf die Daten zugreifen kann, besteht eine Übermittlung im Sinne der DS-GVO. Es ist unerheblich, ob ein Zugriff tatsächlich stattfindet.

Zusammenfassung:

Allein die hypothetische Zugriffsmöglichkeit amerikanischer Muttergesellschaften auf Cloud-Server, die in der EU stehen, wird als Datenübermittlung in das Drittland USA gewertet.

Hinsichtlich einer Datenübermittlung in die USA fehlt es an einem Angemessenheitsbeschluss gemäß Art. 45 Abs. 1 DS-GVO. Nach der Auffassung der Vergabekammer seien Standarddatenschutzklauseln im Sinne der DS-GVO in diesem Fall jedoch nicht geeignet, Übermittlungen zu legitimieren. Das latente Risiko des Eingriffs wurde mithilfe der Standarddatenschutzklauseln nicht beseitigt.

Laut dem Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg ist der Beschluss des Vergabekammers kritisch zu sehen, weil das bloße Risiko eines Eingriffs durch US-Behörden nicht mit einem tatsächlichen Zugriff gleichgestellt werden sollte.

Zudem übersehe die Vergabekammer, dass wirksame Mittel gegen Zugriffsrisiken eingesetzt werden können. Ein pauschales Übermittlungsverbot sei daher abzulehnen. Stattdessen seien Einzelfallprüfungen bei Drittlandübermittlungen weiterhin Mittel der Wahl, die Vorgaben der DS-GVO bestmöglich umzusetzen. Die Vergabekammer habe zusätzliche technisch-organisatorische Maßnahmen nicht weiter geprüft.

Diese Auffassung unterscheidet sich nicht von der Meinung der Datenschutzkonferenz (DSK) zum Drittlandtransfer, die sich aus dem Kurzpapier 4 ergibt.

Infolgedessen ist man nicht automatisch auf der sicheren Seite, wenn man im Rahmen der Verwendung von z.B. AWS, Microsoft Azure oder Google Cloud Europa als Datenstandort auswählt.

Es ist also immer zu raten, dass Unternehmen beim Einsatz außereuropäischer Cloud-Dienste ein Transfer Impact Assessment (TIA) durchführen.

Sie haben Fragen zum Transfer Impact Assessment? Wir unterstützen Sie gerne.

Mehr Informationen

Wer ist die Vergabekammer Baden-Würtemberg?

Die Vergabekammer ist eine gerichtsähnliche Instanz, die grundsätzlich über die Besetzung von Positionen und die Vergabe von Aufträgen entscheidet. Sie ist rechtlich unabhängig.

Welche Rechtswirkung hat die Entscheidung einer Vergabekammer?

Grundsätzlich ist die Entscheidung einer Vergabekammer für die private Wirtschaft nicht bindend. Das bedeutet, dass Entscheidungen von Aufsichtsbehörden und Gerichten nicht anerkannt werden müssen.

Instagram muss Nutzerdaten bei Persönlichkeitsrechtsverletzung herausgeben

von SICODA Redaktion

Das OLG Schleswig-Holstein hat entschieden, dass Instagram dem Geschädigten bei einer strafrechtlich relevanten Persönlichkeitsrechtsverletzung Auskunft über E-Mail-Adresse und Telefonnummer des Nutzers geben muss.

In dem Rechtsstreit ging es um eine minderjährige Instagram Nutzerin, die auf einem nicht von ihr erstellten Profil auf eine sexualisierte Weise dargestellt wurde. Sie hat bei Instagram die Erteilung einer Auskunft über die vorhandenen Bestandsdaten des Profilerstellers beantragt, da ihr nicht bekannt war, von wem dieses Konto erstellt wurde.

Die Richter erkannten den Auskunftsanspruch nach § 21 Abs. 2, Abs. 3 TTDSG an. Das Gericht ist der Auffassung, dass es sich bei § 21 TTDSG um eine Rechtsvorschrift im Sinne des Art. 6 Abs. 4 DS-GVO handelt. Damit sind derartige Rechtsvorschriften der Mitgliedstaaten gemeint, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Art. 23 Abs. 1 DS-GVO genannten Ziele darstellen. Gemäß Art. 23 Abs. 1 lit. j) DS-GVO kann eine solche Maßnahme für die Durchsetzung zivilrechtlicher Ansprüche herangezogen werden.

Ein Anbieter von Telemedien ist nach § 21 Abs. 2 TTDSG verpflichtet, Auskunft über bei ihm vorhandene Bestandsdaten zu erteilen, soweit dies zur Durchsetzung zivilrechtlicher Ansprüche wegen der Verletzung absolut geschützter Rechte notwendig ist. Da die Antragstellerin minderjährig war und den Eindruck hervorgerufen wurde, sie sei an sexuellen Kontakten interessiert, ist der Tatbestand der Beleidigung im Sinne des § 185 StGB erfüllt, denn sie wurde in der öffentlichen Meinung herabgewürdigt. Demnach wurden ihre absolut geschützte Rechte rechtswidrig verletzt. Die Nutzerin ist auf die Auskunft von Instagram angewiesen, weil sie nicht weiß, wer das Nutzerkonto erstellt hat und keine andere Möglichkeit hat es herauszufinden. Allerdings umfasst die Auskunft nach § 21 Abs. 2 TTDSG nur die vorhandenen Bestandsdaten, nicht aber die Nutzungsdaten.

Privacy Shield Nachfolger in Sicht

von Oliver Gönner

Der Nachfolger der EU-US Privacy Shield Vereinbarung scheint in greifbare Nähe gerückt zu sein. In einer korrespondierenden Erklärung haben die EU-Kommission und die amerikanische Regierung in einem Trans-Atlantic Data Privacy Framework die Eckpunkte für einen internationalen Datenaustausch abgesteckt.

Historie:

Beide Partner haben schon in der Vergangenheit unter den Begriffen „Safe Harbor Agreement“ und „Privacy Shield“ versucht, eine Vereinbarung zu treffen, die für europäische Bürger einen fairen und rechtskonformen Umgang mit persönlichen Daten ermöglicht. Beide Vereinbarungen wurden vom EuGH als rechtswidrig bezeichnet und waren damit unwirksam.

Der EuGH hat als einen der wesentlichen Punkte an den Vereinbarungen kritisiert, dass der Zugriff von US-Sicherheitsbehörden auf personenbezogene Daten von europäischen Bürgern, vor allem auf der Grundlage des FISA Sec. 702, annähernd uneingeschränkt und ohne nennenswerten Rechtsweg möglich sei.

Zukünftig:

Der Zugriff soll nur noch in festen Grenzen möglich sein.

EU-Bürger sollen die Möglichkeit haben, bei einem „Data Protection Review Court“, einer Art Schlichtungsstelle, Beschwerden einzureichen, die dann neutral geprüft würden.

Die schon aus den beiden Versuchen vorher bekannten Zertifizierungsmechanismen für Unternehmen, die ihre eigenen internen Datenschutzgrundsätze dem europäischen Level anpassen müssen, wurden beibehalten.

Aktueller Stand

Aktuell befinden sich alle europäischen Unternehmen, die amerikanische Cloud-Anbieter nutzen, in einer rechtlichen Unsicherheit. Zunehmend prüfen und sanktionieren Aufsichtsbehörden den Einsatz solcher Dienste. Das Projekt Gaia X, das eine europäische, offene Alternative bieten will, bietet Unternehmen zurzeit noch nicht den Service der etablierten amerikanischen Angebote.

Umfassend beschreibt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit die Auswirkungen und notwendigen Maßnahmen: LINK

Beim Einsatz amerikanischer Cloudanbieter muss immer ein Transfer-Impact-Assessment durchgeführt werden, in dem die Risiken für die Betroffenen bewertet werden müssen.

Transfer Impact Assessment

Wir halten für die bekannten amerikanischen Cloud Anbieter wie Atlassian, Microsoft, AWS, Salesforce und co. fertige TIA vor, die nurnoch geringfügig an den konkreten Unternehmenseinsatz angepasst werden müssen.

jetzt informieren

Ausblick für die Wirtschaft

Die Ankündigung macht Hoffnung, dass im Datentransfer mit den USA und den noch konkurrenzlosen amerikanischen Cloud-Anbietern Rechtssicherheit eintritt.

Geschäftsführer*innen haften persönlich für Schäden aus Datenschutzverletzungen (OLG Dresden)

von Oliver Gönner

Geschäftsführerhaftung

Geschäftsführer*Innen sind „Verantwortlicher“ im Sinne der DS-GVO und haften persönlich für Datenschutzverletzungen gegenüber den Geschädigten.

In einem unscheinbaren Urteil hat das OLG Dresden eher nebenbei eine für Geschäftsführer von Kapitalgesellschaften äußerst relevante und beunruhigende Entscheidung getroffen. In dem Urteil ging es um den Geschäftsführer eines Krankenhauses, der eine rechtswidrige Datenverarbeitung angewiesen hat. Der klagende Patient richtete die Klage sowohl gegen die Krankenhausgesellschaft (Beklagte zu 1)) als auch gegen die Geschäftsführung (Beklagte zu 2)).

Die Urteilsbegründung lautete wie folgt:

Sowohl der Beklagte zu 1) als auch der Beklagte zu 2) sind verantwortlich im Sinne von Art. 4 Nr. 7 DS-GVO, denn Anknüpfungspunkt für einen Anspruch aus Art. 82 Abs. 1 DS-GVO ist zunächst die „Verantwortlichkeit“, die immer dann zu bejahen ist, wenn eine natürliche oder juristische Person alleine oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheiden kann und entscheidet (Gola, Bearb. Gola, DS-GVO-Kommentar, 2. Aufl. 2018, Art. 4 Rz. 48; Ambrock ZD 2020, S. 429 – nach beck-online). Damit entfällt zwar in aller Regel die Verantwortlichkeit weisungsgebundener Angestellter oder sonstiger Beschäftigter, für den Geschäftsführer, wie es der Beklagte zu 2) zum Zeitpunkt der Beauftragung des Streithelfers war, gilt dies allerdings nicht.

OLG Dresden, Urteil vom 30.11.2021 - 4 U 1158/21 Abs. II Nr. 1

https://oj.is/2381765

Weisungsgebundene Angestellte

Weisungsgebundene Angestellte haften nach Klarstellung des Urteils in der Regel nicht für Datenschutzverletzungen aus Art. 82 DS-GVO.

Das OLG Dresden leitet die Haftung der Geschäftsführung daraus ab, dass diese über die Datenverarbeitung entescheiden kann. Bisher ist die juristische Literatur davon ausgegagen, dass Geschäftsführer im Rahmen ihrer Organschaft für Rechtsverletzungen gegenüber der Gesellschaft haften. Hier wird der Haftungsrahmen allerding so erweitert, dass der Geschäftsführer persönlich für Rechtsverletzungen von den Geschädigten in Anspruch genommen werden kann. Eine “Freizeichnung” durch die Gesellschafter, den Vorstand oder den Aufsichtsrat ist damit zukünftig zumindest für den Anspruch auf Schadensersatz durch Geschädigte nicht mehr möglich.

Whitepaper Datenschutz-Folgenabschätzung

von goenner_admin

Whitepaper des Forum Privatheit zur Datenschutz-Folgenabschätzung

Name	Cookie Zustimmung
Anbieter	SICODA GmbH, Impressum
Zweck	Dieser Cookie speichert Ihre Auswahl zur Cookie Einwilligung.
Cookie Name	SICODA-COOKIE-CONSENT
Cookie Laufzeit	1 Jahr

Akzeptieren	YouTube
Name	YouTube
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Wir binden unsere Youtube Videos auch in unserer Webseite ein. Wenn Sie diesen externen Inhalt akzeptieren, können Sie alle Videos direkt im Design der Webseite sehen. Wenn Sie diese externen Inhalte nicht akzeptieren, können Sie unsere Inhalte immernoch einsehen, Sie müssen dann aber jedes Video einzeln freischalten.
Datenschutzerklärung	https://policies.google.com/privacy
Host(s)	google.com
Cookie Name	NID
Cookie Laufzeit	6 Monate