search

Wie nennt man die Daten deren Verarbeitung untersagt ist?

1 Jahrs vor
Kommentare: 0
Ansichten: 13

Die Datenschutz-Grundverordnung (DSGVO oder DS-GVO; französisch Règlement général sur la protection des données RGPD, englisch General Data Protection Regulation GDPR) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch die meisten Verantwortlichen, sowohl private wie öffentliche, EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt, und auch andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden.

Show

Die Verordnung ersetzt die aus dem Jahr 1995 stammende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

Zusammen mit der Richtlinie (EU) 2016/680 für den Datenschutz in den Bereichen Polizei und Justiz[1] bildet die DSGVO seit dem 25. Mai 2018 den gemeinsamen Datenschutzrahmen in der Europäischen Union.[2] Sie ist darüber hinaus seit dem 20. Juli 2018 auch in den Nicht-EU-Staaten des Europäischen Wirtschaftsraumes (EWR) Island, Liechtenstein und Norwegen geltendes Recht.[3]

Zu diesem Datenschutzrahmen trat im November 2018 die auch für die Organe und Stellen der Europäischen Union verbindliche Verordnung (EU) 2018/1725.

Regelungsbedarf gibt es damit sowohl im Hinblick auf die Öffnungsklauseln der Datenschutz-Grundverordnung als auch wegen des Bedarfs der Bereinigung nationalen Datenschutzrechts. Diese Ziele sollen in Deutschland auf Bundesebene mit der Neufassung des Bundesdatenschutzgesetzes und der Änderung weiterer Gesetze erreicht werden.[5] Das Gesetz vom 30. Juni 2017[5] hebt nationales Datenschutzrecht auf oder überführt die bei Inkrafttreten der Datenschutz-Grundverordnung unwirksamen Regelungen des bisherigen Bundesdatenschutzgesetzes in andere Gesetzesbereiche, es passt Regelungen an und schafft teils neue Vorschriften für den Datenschutz. Bereits bei der Diskussion um die diversen Referentenentwürfe des Bundesinnenministeriums, das bei der Gesetzgebung federführend war, haben Datenschützer die unzureichende Berücksichtigung der Erfahrungen der letzten Jahre bemängelt.[6] Juristen bezweifeln die Vereinbarkeit des angepassten Bundesdatenschutzgesetzes mit europäischem Recht.[7]

Die Datenschutz-Grundverordnung ist Teil der EU-Datenschutzreform, welche die Europäische Kommission am 25. Januar 2012 vorgestellt hat.[8][9]

Die DSGVO besteht aus 99 Artikeln in elf Kapiteln:

  • Kapitel 1 (Artikel 1 bis 4): Allgemeine Bestimmungen (Gegenstand und Ziele, sachlicher und räumlicher Anwendungsbereich, Begriffsbestimmungen)
  • Kapitel 2 (Artikel 5 bis 11): Grundsätze und Rechtmäßigkeit (Grundsätze und Rechtmäßigkeit der Verarbeitung personenbezogener Daten, Bedingungen für die Einwilligung, Verarbeitung besonderer Kategorien personenbezogener Daten)
  • Kapitel 3 (Artikel 12 bis 23): Rechte der betroffenen Person (Transparenz und Modalitäten, Informationspflichten des Verantwortlichen und Auskunftsrecht der betroffenen Person zu personenbezogenen Daten, Berichtigung und Löschung – das „Recht auf Vergessenwerden“ – Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall einschließlich Profiling, Beschränkungen)
  • Kapitel 4 (Artikel 24 bis 43): Verantwortlicher und Auftragsverarbeiter (Allgemeine Pflichten, Sicherheit personenbezogener Daten, Datenschutz-Folgenabschätzung und vorherige Konsultation, Datenschutzbeauftragter, Verhaltensregeln und Zertifizierung)
  • Kapitel 5 (Artikel 44 bis 50): Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen
  • Kapitel 6 (Artikel 51 bis 59): Unabhängige Aufsichtsbehörden
  • Kapitel 7 (Artikel 60 bis 76): Zusammenarbeit und Kohärenz, Europäischer Datenschutzausschuss
  • Kapitel 8 (Artikel 77 bis 84): Rechtsbehelfe, Haftung und Sanktionen
  • Kapitel 9 (Artikel 85 bis 91): Vorschriften für besondere Verarbeitungssituationen (u. a. Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit, Datenverarbeitung am Arbeitsplatz, Zugang der Öffentlichkeit zu amtlichen Dokumenten, Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken, bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften)
  • Kapitel 10 (Artikel 92 bis 93): Delegierte Rechtsakte und Durchführungsrechtsakte
  • Kapitel 11 (Artikel 94 bis 99): Schlussbestimmungen (u. a. Aufhebung der Richtlinie 95/46/EG und Inkrafttreten der DSGVO)

Vor den 99 Artikeln sind 173 Erwägungsgründe (ErwG) angeführt, die zur Auslegung der Artikel mit herangezogen werden.[10][11]

„personenbezogene Daten“ [sind] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann; …
  • Die betroffene Person hat ihre Einwilligung gegeben;
  • die Verarbeitung ist für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich;
  • die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich;
  • die Verarbeitung ist erforderlich, um lebenswichtige Interessen zu schützen;
  • die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt;
  • die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich.

Im letzten Fall ist eine Interessensabwägung gegenüber den Interessen der betroffenen Person erforderlich.

Zusammenfassend gilt:

„Die DSGVO ändert die Konzeption und weitgehend auch die Detailregelungen des geltenden Datenschutzrechts nicht grundlegend. Vielmehr werden vielfach Bestimmungen der EG-Datenschutzrichtlinie 95/46 übernommen, die die Grundlage des Bundesdatenschutzgesetzes bilden. Andererseits gibt es aber auch zahlreiche neue datenschutzrechtliche Vorgaben, deren Erfüllung allein schon hinsichtlich des immens erhöhten Bußgeldrahmens korrekter Beachtung bedarf.“[12]

Zu folgenden Themenbereichen liefert die DSGVO Neuregelungen oder grundsätzliche Präzisierungen:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindung (Verarbeitung nur für festgelegte, eindeutige und legitime Zwecke)
  • Datenminimierung („dem Zweck angemessen und erheblich sowie auf das […] notwendige Maß beschränkt“)
  • Richtigkeit („es sind alle angemessenen Maßnahmen zu treffen, damit [unrichtige] personenbezogene Daten unverzüglich gelöscht oder berichtigt werden“)
  • Speicherbegrenzung (Daten müssen „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es […] erforderlich ist“)
  • Integrität und Vertraulichkeit („angemessene Sicherheit der personenbezogenen Daten […], einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“)
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz[Bearbeiten | Quelltext bearbeiten]

Der Dreiklang Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz bedingt einander.[16]

Der Rechtmäßigkeits-Grundsatz lässt sich weit und eng auslegen. Eine enge Auslegung bezieht sich auf die Zulässigkeit der Verarbeitung (Frage nach den „Ob?“), eine weitere Auslegung[17] stellt die Frage nach dem „Wie?“. Die herrschende Meinung[18][19][20] legt die Vorschrift eng aus, stellt jedoch fest, dass der ErwG 40 in dieser Hinsicht nicht eindeutig ist.

Es ist festzustellen, dass insbesondere der Grundsatz der Verarbeitung nach Treu und Glauben noch weiter zu fassen ist, als in der deutschen Rechtsprechung üblich, so sprechen die anderen Sprachversionen beispielsweise von „fairness“ (englisch, nicht etwa von „good faith“), „loyauté“ (französisch, Anständigkeit, nicht etwa „bonne foi“), „correttezza“ (italienisch, Richtigkeit, nicht etwa „buona fede“) und „behoorlijkheid“ (niederländisch, Angemessenheit, nicht etwa „goede trouw“).[21]

Transparenz stellt hier die Umsetzung der beiden vorgenannten Grundsätze dar: Es muss einerseits retrospektiv nachvollziehbar sein, der Datenverarbeitung Schritt für Schritt zu folgen. Dies hatte bereits 1983 das Bundesverfassungsgericht im Volkszählungsurteil festgestellt.[22] Der Transparenzgedanke der Verordnung geht jedoch über diese reine Rückschau hinaus. Es muss vielmehr vorausblickend möglich sein, nicht nur den Prozess der Verarbeitung zu überblicken und verstehen, sondern auch den Zusammenhang und damit auch bspw. den Grund der Verarbeitung und den Zeitpunkt und Grund der Übermittlung an Dritte. (ErwG 39)

Zweckbindung[Bearbeiten | Quelltext bearbeiten]

„Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.“

Geltungsbereich[Bearbeiten | Quelltext bearbeiten]

„(16) Diese Verordnung gilt nicht für Fragen des Schutzes von Grundrechten und Grundfreiheiten und des freien Verkehrs personenbezogener Daten im Zusammenhang mit Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen, wie etwa die nationale Sicherheit betreffende Tätigkeiten.“„(18) Diese Verordnung gilt nicht für die Verarbeitung von personenbezogenen Daten, die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten und somit ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen wird. Als persönliche oder familiäre Tätigkeiten könnte auch das Führen eines Schriftverkehrs oder von Anschriftenverzeichnissen oder die Nutzung sozialer Netze und Online-Tätigkeiten im Rahmen solcher Tätigkeiten gelten. Diese Verordnung gilt jedoch für die Verantwortlichen oder Auftragsverarbeiter, die die Instrumente für die Verarbeitung personenbezogener Daten für solche persönlichen oder familiären Tätigkeiten bereitstellen.“

Marktortprinzip[Bearbeiten | Quelltext bearbeiten]

Anforderungen an eine Einwilligung[Bearbeiten | Quelltext bearbeiten]

Prinzipiell sind die Anforderungen an eine wirksame Einwilligung gegenüber dem deutschen Bundesdatenschutzgesetz a. F. reduziert: Die Schriftform ist nicht mehr die Regel, auch eine stillschweigende Einwilligungserklärung ist nach Erwägungsgrund (32) zulässig, wenn sie eindeutig ist. Da aber andererseits dies vom Verantwortlichen nachzuweisen ist, wird die Schriftform doch gängig bleiben. Für besondere personenbezogene Daten ist sie weiterhin vorgeschrieben. In der Praxis werden beispielsweise Consent-Banner verwendet.

Die etwa im deutschen Bundesdatenschutzgesetz a. F. festgeschriebene Datensparsamkeit wird durch den Grundsatz der (zweckbezogenen) Datenminimierung ersetzt.

Transparenz[Bearbeiten | Quelltext bearbeiten]

Der Erwägungsgrund 39 hebt den Grundsatz der Transparenz jeglicher Datenverarbeitung für die betroffenen Personen hervor. Mehrere Artikel verlangen entsprechende Maßnahmen:

Die Effektivität all dieser Rechte ist allerdings von der unausgesprochenen Voraussetzung abhängig, dass betroffene Personen selbst verpflichtet sind, sich aktiv darum zu kümmern, von wem und wie ihre Daten verarbeitet werden, und ihre Rechte einzufordern. Dies wird von Kritikern als nicht realistisch angesehen.[34]

Darüber hinaus soll die DSGVO laut Erwägungsgrund 13 auch Transparenz und Rechtssicherheit für die verarbeitenden Unternehmen bewirken, „einschließlich Kleinstunternehmen sowie kleiner und mittlerer Unternehmen“.

Recht auf Vergessenwerden[Bearbeiten | Quelltext bearbeiten]

Sanktionen[Bearbeiten | Quelltext bearbeiten]

Für die effektive Durchsetzung des Datenschutzrechts sind nun weitaus höhere Bußgelder als bisher möglich. Zudem können die Datenschutzaufsichtsbehörden künftig durchsetzbare Anordnungen und Bußgelder nicht nur gegen private Verantwortliche, sondern auch gegenüber Behörden erlassen, wenn das im nationalen Recht vorgesehen ist.

Am 14. Oktober 2019 legte die DSK, die Konferenz der staatlichen Datenschutzbeauftragten, ein Konzept zur Bußgeldbemessung bei Verstößen nach der DSGVO vor[35]. Dieses Konzept soll für Unternehmen (nicht aber für Vereine oder natürliche Personen) den Kriterienkatalog nach Art. 83 Abs. 2 DSGVO konkretisieren. Erreicht werden soll eine Harmonisierung für rein deutsche Sachverhalte (nicht aber für grenzüberschreitende Fälle). Das Werk soll nur bis zur Verabschiedung von entsprechenden Leitlinien des Europäischen Datenschutzausschuss gelten. Das Konzept ist kein Bußgeldkatalog, der die Gerichte bindet. Zur Darstellung (mit kritischen Anmerkungen) siehe BRAK-Magazin Heft 6 aus 2020, S. 14 und 15[36].

Die Mitgliedstaaten können darüber hinaus weitere Sanktionsmöglichkeiten vorsehen. Zum Beispiel kann laut Erwägungsgrund 149 vorgesehen werden, Gewinne aufgrund des Verstoßes gegen die DSGVO einzuziehen.

Privacy by Design, Privacy by Default[Bearbeiten | Quelltext bearbeiten]

Nach den Grundsätzen Datenschutz durch Technikgestaltung („privacy by design“, „data protection by design“) und durch datenschutzfreundliche Voreinstellungen („privacy by default“, „data protection by default“) muss die betroffene Person darauf vertrauen können, dass die grundsätzlichen Datenschutzanforderungen von der ersten Nutzung an gewahrt bleiben, und zwar auch dann, wenn die vorgegebenen Voreinstellungen zunächst nicht geändert werden.[37] Die Konzepte gehören zu den Kernelementen der Verordnung.[38]

Durch den Grundsatz privacy by design wird der Tatsache Rechnung getragen, dass die Sicherstellung des Datenschutzes nicht allein durch die Einhaltung von Vorschriften gewährleistet werden kann; die Grundsätze des Datenschutzes müssen bereits vor Beginn der technischen Planung in die Konzeptionierung von Verarbeitungsvorgängen integriert werden.[39][40] Daher ergeben sich drei Handlungsfelder für „Datenschutz durch Technikgestaltung“[41][42]:

  1. Technik von Verarbeitungsvorgängen, z. B. durch das Softwaredesign: Was technisch verhindert wird oder unterbunden werden kann oder technisch nicht möglich ist, muss nicht mehr verboten und überwacht werden,[43]
  2. Geschäftsabläufe, z. B. durch „Funktionstrennung“: Falls Daten lediglich verarbeitet werden, daraus Trends und Zusammenhänge zu erkennen und keine gewonnenen Informationen auf die betreffenden Personen unmittelbar anzuwenden. Vielmehr sollen diese durch technische und organisatorische Maßnahmen frühestmöglich anonymisiert werden,[44]
  3. Gestaltung datenschutzfreundlicher Architektur, sowohl physisch (z. B. durch das Vermeiden von personenbezogenen Daten auf Ordnerrücken) als auch elektronisch.[45]

Beim Grundsatz privacy by default handelt es sich um eine Spezialisierung des Grundsatzes „privacy by design“.[46][47] Er fußt insbesondere auf dem „Privacy Paradox“,[48][49][50] wonach Benutzer erklären, dass sie sich um ihre Daten und den Datenschutz sorgen, jedoch so handeln, als ob dies nicht der Fall wäre. Die Gründe hierfür sind Gegenstand der Forschung; angenommen werden Faulheit, Unkenntnis oder eine intuitive, irrationale Abwägung der Vor- und Nachteile.[51] Ziel ist, dass Verantwortliche Systeme bereitstellen, deren Voreinstellungen bereits möglichst datenschutzfreundlich sind.[52] Benutzer eines Systems sollen hierbei jedoch explizit nicht davor geschützt werden, freiwillig und informiert datenschutzunfreundlichere Einstellungen vorzunehmen, vielmehr sollen betroffene Personen befähigt werden, die Verarbeitung personenbezogener Daten zu überwachen (ErwG 78).

Die DSGVO sieht nun europaweit die Bestellung von Datenschutzbeauftragten vor, zumindest bei allen öffentlichen Stellen und solchen privaten Unternehmen, bei denen besonders risikoreiche Datenverarbeitungen erfolgen. Damit wird ein Mindeststandard für die Einrichtung dieser Stellen erreicht.

Kleinunternehmer und kleine Unternehmen müssen keinen Datenschutzbeauftragten stellen, es sei denn, einer der nachfolgenden Punkte trifft zu.[57]

Der Begriff der „umfangreichen Verarbeitung“ und die Voraussetzungen für eine Datenschutz-Folgenabschätzung werden im Erwägungsgrund 91 etwas genauer beschrieben, damit bestimmte freie Berufe wie Rechtsanwälte und Ärzte, aber etwa auch Apotheker (als „Angehörige eines Gesundheitsberufes“) in der Regel keinen Datenschutzbeauftragten stellen müssen.

Nicht in der Europäischen Union ansässige Verantwortliche, auf die die Datenschutz-Grundverordnung Anwendung findet, müssen zudem einen Vertreter in der Europäischen Union bestellen.

Öffnungsklauseln[Bearbeiten | Quelltext bearbeiten]

Die DSGVO sieht vor, dass durch nationales Recht an vielen Stellen eine Erweiterung oder detaillierte Festlegung des Datenschutzrechtes erfolgt. Dies erfolgt über so genannte „Öffnungsklauseln“, von denen die DSGVO – je nach Zählweise – 50 bis 60 enthält. Einige verlangen eine Rechtshandlung der Mitgliedstaaten, die Mehrzahl erlaubt jedoch die Ausnutzung von Spielräumen durch nationale Vorschriften. Der Handlungsspielraum ist grundsätzlich insofern begrenzt, als die Harmonisierung des Datenschutzes durch die DSGVO nicht unterlaufen werden darf.

Ein Beispiel für eine Öffnungsklausel findet sich etwa im Datenschutz von Beschäftigten, also dem Beschäftigtendatenschutz

Weitere Öffnungsklauseln finden sich u. a.

Seit dem Vorschlag des Gesetzgebungsentwurfs der Europäischen Kommission hatte es umfassende Debatten im Rahmen des Gesetzgebungsverfahrens gegeben. Insbesondere das Europäische Parlament hatte durch zahlreiche öffentliche Anhörungen viele der geäußerten Kritikpunkte aufgegriffen und im Rahmen des von Jan Philipp Albrecht als Berichterstatter verhandelten Kompromisses einfließen lassen. Auch im Ministerrat waren unterschiedlichste Standpunkte eingeflossen. Aus beiden Vorlagen wurde im Rahmen der Trilogverhandlungen am 15. Dezember 2015 ein finaler Verordnungstext erarbeitet, der am Ende nahezu einstimmig vom Plenum des Europäischen Parlaments sowie den Innen- und Justizministern der EU-Mitgliedstaaten angenommen wurde und zum 24. Mai 2016 formal in Kraft trat. Die während der mehr als vier Jahre dauernden Verhandlungen aufgeworfenen Kritikpunkte unterschiedlicher Seiten der Debatte werden nachstehend ausschnittsweise zusammengefasst:

Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) erwartet, dass die Abschaffung des internen Datenschutzbeauftragten zu Kostensteigerungen aufgrund wachsender Bürokratie führe. Unternehmen müssten intern eine Stelle für die Behördenkommunikation einrichten und bei der Einführung neuer Software mit Verzögerungen rechnen, weil die Landesämter für Datenschutz personell nicht gut genug ausgestattet seien. 66 unabhängige Verbraucher- und Datenschutzorganisationen forderten Jean-Claude Juncker im April 2015 auf, den „Goldstandard des europäischen Datenschutzes“ zu erhalten.[60]

Der BvD bemängelte ferner fehlende klare Regeln für den Datentransfer aus der EU in Drittstaaten (z. B. USA) und forderte eine EU-weite Bestellung betrieblicher Datenschutzbeauftragter.[61]

Andererseits wird die Weitergabe von Verbraucherdaten an Konkurrenten (Datenportabilität) nicht nur Anbieter wie Facebook betreffen, sondern auch für kleinere Unternehmen gelten.[59]

Von vielen Seiten wurde die oft vage und unklare Formulierung des Entwurfs kritisiert. Danach sollten auch viele elementare Regelungen erst gar nicht in die Grundverordnung eingefügt, sondern diesen erst durch gesonderte Rechtsakte der EU-Kommission Geltung verschafft werden.

Im Verhandlungsbeschluss des Europäischen Parlaments waren die Kritikpunkte bereits weitgehend ausgeräumt.[63] Nachdem aber die ursprünglich angenommenen Datenschutzaspekte der Verordnung nach einem Pressebericht vom März 2015 von der zuständigen Arbeitsgruppe der EU in großen Teilen aufgeweicht wurden, kam es zu erneuter Kritik. So wird in einem Positionspapier der Arbeitsgruppe der Industrie das Sammeln von personenbezogenen Daten ohne festgelegte Zwecke erlaubt, ebenso wie die Weitergabe dieser Daten an Dritte.[64]

Auch nach Verabschiedung der Datenschutz-Grundverordnung wird grundlegende Kritik, insbesondere von Seiten der Rechtswissenschaft geübt:

So bezeichnete der Leiter des Instituts für Informations-, Telekommunikations- und Medienrecht an der Universität Münster, Thomas Hoeren, die Datenschutz-Grundverordnung als „eines der schlechtesten Gesetze des 21. Jahrhunderts“.[65]

Der Leiter des Fachgebiets Öffentliches Recht mit Schwerpunkt Recht der Technik der Universität Kassel, Alexander Roßnagel, meinte, die Datenschutz-Grundverordnung ignoriere „alle modernen Herausforderungen für den Datenschutz wie Soziale Netzwerke, Big Data (Datenflut und deren Beherrschung), Suchmaschinen, Cloud Computing, Ubiquitous computing (Durchdringung des Alltags und von Dingen durch Computer) und andere Technikanwendungen“.[66] In einer Studie wird der deutsche Gesetzgeber aufgefordert, die unübersichtliche Gemengelage aus neuen europäischen Regelungen und fortgeltendem deutschen Recht aufzulösen.[67]

Auch der Deutsche Anwaltverein (DAV) sieht bei der DSGVO insoweit Änderungsbedarf, als der nationale Gesetzgeber zum Schutz der berufsspezifischen Rechte und Pflichten der Rechtsanwälte (z. B.: Unabhängigkeit vor staatlichen Einflüssen, Anwaltsgeheimnis, absolute Treuepflicht des Rechtsanwalts gegenüber seinem Mandanten) in der Verordnung ermöglichte Öffnungsklauseln nutzen muss, um all dies überhaupt weiter gewährleisten zu können.[68] Der DAV zog das Fazit einer „Ausdünnung des deutschen Datenschutzrechts“.[69]

Die Forderung des DAV an den nationalen Gesetzgeber geht in drei Richtungen:

  • Keine Zugangsbefugnisse der Datenschutz-Aufsichtsbehörden ohne ausdrückliche vorherige Zustimmung der Anwaltskammer.[70]
  • Generelle und umfassende Erlaubnisklausel für anwaltliche Datenverarbeitung von personenbezogenen Daten im Rahmen der Mandate.[71]
  • Einschränkung der Auskunftspflichten und Auskunftsrechte.[72]

Rund um die Verhandlungen der Datenschutz-Grundverordnung kritisierten EU-Abgeordnete massives Lobbying von Seiten der US-Regierung und von US-amerikanischen IT-Unternehmen. Technologie-Unternehmen aus den USA fürchten demnach den negativen Einfluss der Verordnung auf ihre Niederlassungen in Europa und übten entsprechenden Druck auf die Regierung von US-Präsident Obama aus. So forderte der amerikanische EU-Botschafter William E. Kennard in einer Rede in Brüssel am 4. Dezember 2012, dass die zentralen Forderungen der Verordnung gestrichen werden müssen: das Löschen sämtlicher Daten einer Person aus den Unternehmensdatenbanken auf Wunsch und die ausdrückliche Einverständniserklärung einer Person, bevor ihre Daten überhaupt gesammelt werden dürfen.[73]

Von amerikanischen Unternehmen wird ein California-Effekt durch die EU-Gesetzgebung befürchtet. Ähnlich wie strengere Umweltgesetze in Kalifornien den Mindeststandard in den USA schleichend anheben, wird erwartet, dass die höheren Standards in der EU das Datenschutzniveau für alle weltweit operierenden Unternehmen anheben würden. Während bisher in den USA lediglich Finanz- und Gesundheitsdaten einem gewissen Datenschutz unterliegen,[73] ist die Erfassung und das Zusammenführen sämtlicher anderer gesammelter Daten und deren unbegrenzte Aufbewahrung durch Privatunternehmen erlaubt. Amerikanische Bürgerrechtsorganisationen erhofften sich andererseits eine Steigerung des Datenschutzstandards in den USA und unterstützten daher die Pläne in der EU.

Die Plattform LobbyPlag.eu zeigt, dass viele Abänderungsanträge von Abgeordneten im EU-Parlament wortgleich aus Lobbypapieren von Unternehmen wie Amazon, eBay, der Lobbygruppe „Digitaleurope“[73] mit den Mitgliedern Apple, Microsoft, Cisco, Intel, IBM, Oracle, Texas Instruments und Dell oder von der US-amerikanischen Handelskammer übernommen wurden. Für die Abänderungen traten unter anderen die Abgeordneten Malcolm Harbour (ECR), Andreas Schwab (CDU/EPP), Klaus-Heiner Lehne (EPP) oder Marielle Gallo (EPP) ein. Andererseits weist die Plattform auch auf wortgleiche Übernahmen aus den Unterlagen von Datenschutzorganisationen wie Bits of Freedom und EDRi durch Abgeordnete wie Amelia Andersdotter (PPEU/Piraten) oder Eva Lichtenberger (EFA/Die Grünen) hin.[74]

Im zuständigen LIBE-Ausschuss des EU-Parlaments wurden schlussendlich über 3.100 Abänderungsanträge gegenüber dem Entwurf der EU-Kommission eingebracht. Generell setzten sich die meisten sozialdemokratischen und grünen Abgeordneten für eine Verstärkung oder Präzisierung des Entwurfs ein, während sich die meisten konservativen und liberalen Abgeordneten für eine Lockerung im Sinne der IT-Wirtschaft stark machten.

LobbyPlag erarbeitete eine Liste der Abgeordneten, die, gemessen an den von ihnen eingebrachten Änderungsanträgen, am nachdrücklichsten für weniger bzw. für mehr Datenschutz eintraten. Bis Anfang Juni 2013 brachte sich für die Aufweichung des Datenschutzes demnach Axel Voss (EPP/CDU) am stärksten ein, bei der Stärkung des Datenschutzes sah man Jan Philipp Albrecht (EFA/Die Grünen) an erster Stelle. Beide hatten in der Summe je 147 Änderungsanträge zugunsten der Abschwächung beziehungsweise Stärkung des Datenschutzes eingebracht.[75]

Unter Druck durch Teile der deutschen Wirtschaft, die fürchtete, im globalen Wettbewerb Nachteile durch die Grundverordnung zu erleiden, argumentierten auch Vertreter des Deutschen Innenministeriums, dass das Recht auf informationelle Selbstbestimmung einem harmonisierten Wettbewerb entgegenstünde.[76]

Nach langen Verhandlungen scheiterte ein Entwurf der irischen Ratspräsidentschaft im Juni 2013 im EU-Ministerrat. Unter anderem meldeten die Vertreter Deutschlands, Großbritanniens und Frankreichs zahlreiche Bedenken an. Die anvisierte Positionierung vor der Sommerpause konnten damit sowohl Rat als auch Parlament nicht leisten. Am 21. Oktober 2013 nahm das Europäische Parlament im Innen- und Justizausschuss seine durch den Grünen-Europaabgeordneten Jan Philipp Albrecht als EP-Berichterstatter ausgearbeitete Verhandlungsposition mit überwältigender Mehrheit an[77] und bestätigte sie am 12. März 2014 durch das Plenum.[78]

Nachdem im Rat entscheidende Teile der Verordnung unter Ausschluss der Öffentlichkeit zu Gunsten eines schwächeren Datenschutzes verändert worden waren, sollten am 12. und 13. März 2015 die Justizminister der Mitgliedstaaten eine Einigung zum zweiten Kapitel der Verordnung erzielen, bevor die übrigen Kapitel verhandelt wurden.[64] Erst im Juni 2015 einigten sich die EU-Justizminister auf einen Entwurf der Datenschutz-Grundverordnung.[79]

Am 24. Juni begannen die Abstimmungsverhandlungen zwischen Rat, Europäischem Parlament und Europäischer Kommission (sogenannter Trilog). Eine am 15. Dezember 2015 zwischen Parlament und Rat informell erzielte Einigung[80] wurde am 17. Dezember vom Innen- und Rechtsausschuss des Parlaments mit großer Mehrheit angenommen. Am 8. April 2016 beschloss der EU-Ministerrat die vorliegende Fassung[81][82] das EU-Parlament nahm die Regelungen am 14. April ebenfalls an.[83]

Unterlagen aus den Geheimverhandlungen zum Trade in Services Agreement (TiSA), die im November 2016 Greenpeace zugespielt wurden, belegen nach Aussage von Greenpeace, dass Lobbyisten versuchen, neben Netzneutralität und Bankenregulierung auch den Datenschutz nachhaltig zu schwächen und die Datenschutz-Grundverordnung faktisch unwirksam zu machen. Unternehmen sollen Kunden- und Nutzerdaten ins außereuropäische Ausland transferieren und dort ohne Zweckbindung weiterverarbeiten können.[86]

Angaben gemäß DSGVO an einer Überwachungskamera im öffentlichen Raum in Hamburg

Mit dem Datenschutz-Anpassungs- und -Umsetzungsgesetz EU vom 30. Juni 2017 wurde unter anderem das Bundesdatenschutzgesetz neu gefasst.[5] Mit dem Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU wurden weitere weitreichende Anpassungen verabschiedet, unter anderem wurde die Zahl, ab der ein Datenschutzbeauftragter zu bestellen ist, von 10 auf 20 Personen angehoben, die ständig mit der Verarbeitung von personenbezogenen Daten befasst sein müssen.[87] Seit Oktober 2021 liegt der Evaluierungsbericht des Bundesinnenministeriums zur Anpassung des deutschen Datenschutzrechts an die DSGVO vor.[88]

Zuständige Behörden sind der bzw. die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, die 16 Landesbeauftragten für den Datenschutz sowie das bayerische Landesamt für Datenschutzaufsicht. Für die öffentlich-rechtlichen Rundfunkanstalten handeln deren Rundfunkdatenschutzbeauftragte als Aufsichtsbehörden nach Art. 51 DSGVO.

Mit dem Datenschutz-Anpassungsgesetz 2018 hat Österreich das Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz, DSG) geändert und an die DSGVO angepasst.[89][90] Im April 2018 wurde im Nationalrat eine Abänderung der Novelle beschlossen. Demnach solle die Behörde den Strafkatalog der DSGVO „so zur Anwendung bringen, dass die Verhältnismäßigkeit gewahrt wird“.[91][92] Zuständige Behörde in Österreich ist die Datenschutzbehörde mit Sitz in Wien.[93] Leiterin der Behörde ist Andrea Jelinek.

Einige große US-Medienverlage wie die der Chicago Tribune oder die Los Angeles Times, so wurde bekannt, haben ihre Internetpräsenzen teilweise für viele europäische Nutzer gesperrt.[97][98]

In Österreich hat die Immobilienverwaltung der Stadt Wien, Stadt Wien – Wiener Wohnen, angekündigt, rund 200.000 Namensschilder an Klingeln zu entfernen, da sie befürchtet, gegen die DSGVO zu verstoßen.[99] Diese Ankündigung wurde im November 2018 wieder zurückgezogen.

In Deutschland wurden bis Ende 2018 in 41 Fällen Bußgeldbescheide aufgrund von Datenschutzverstößen erlassen, davon alleine 33 in Nordrhein-Westfalen. Die Bußgelder bewegen sich in niedriger Höhe, in Nordrhein-Westfalen waren es insgesamt 15.000 Euro, in Baden-Württemberg allerdings bei einer Einzelstrafe 80.000 Euro.[100] Neben den Bußgeldverfahren haben mittlerweile aber auch mehrere Oberlandesgerichte in Deutschland wettbewerbsrechtliche Ansprüche bei Verstößen gegen die DSGVO bejaht (OLG Hamburg[101]; KG Berlin[102]; OLG Naumburg[103]; OLG Stuttgart[104]).

Die französische Datenschutzbehörde CNIL verhängte im Januar 2019 nach Beschwerden der Nichtregierungsorganisationen La Quadrature du Net aus Frankreich und NOYB aus Österreich ein Bußgeld über 50 Millionen Euro gegen Google LLC wegen mangelnder Transparenz bei den Informationen zur Verwendung der erhobenen Daten[105] und zum Speicherzeitraum[106] und weil die von Google eingeholte Einwilligung zur Anzeige personalisierter Werbung ungültig sei.[107]

Nachdem im Jahr 2020 rund 160 Millionen Euro an DSGVO-Strafzahlungen verhängt wurden[108], so waren es 2021 bereits über eine Milliarde Euro.[109]

Kritiker beklagen Verzögerungen oder Fehlen oder Vermeidung von Strafverfolgung durch das One-Stop-Shop-System, bei dem viele wichtige Ermittlungen von den Behörden in Irland oder Luxemburg durchgeführt werden müssen, da sich die meisten großen US-Technologieunternehmen in diesen Ländern niedergelassen haben.[110] Im Rahmen der von der Kommission von der Leyen propagierten „digitalen Souveränität“ beabsichtigen europäische Datenschutzbeauftragte, den Strafverfolgungsmechanismus zu verbessern.[111]

Seit dem Inkrafttreten der DSGVO wurden auch in zahlreichen Staaten außerhalb des EWR Datenschutzgesetze angepasst. Beispielsweise ist in den USA am 1. Januar 2020 der California Consumer Privacy Act (CCPA) in Kraft getreten.[112] In China trat im Jahr 2021 ein neues Gesetz zum Schutz Persönlicher Daten (PIPL) in Kraft.[113] Weithin wird die DSGVO als erstes umfassendes Datenschutzgesetz gesehen und gilt als „weltweites Vorbild“.[114][115]

Die DSGVO hatte immense Folgen für den Online Werbemarkt, da sie das Sammeln und Nutzen von personenbezogenen Daten für personalisierte Werbung und Inhalte der verschiedenen Akteure erschwerte.[116]

Wie nennt man Daten deren Verarbeitung untersagt ist?

Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer ...

Was fällt unter den Begriff Verarbeitung von personenbezogenen Daten?

Häufige Typen von Verarbeitung personenbezogener Daten enthalten unter anderem das Sammeln, Aufzeichnen, Ordnen, Speichern, Verändern, Betrachten, Nutzen, Veröffentlichen, Verbinden und Löschen dieser Daten.

Was versteht man unter Verarbeiten von Daten?

Sie umfasst das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen ...

Was versteht man unter sensible Daten?

genetische Daten, biometrische Daten, die ausschließlich zur eindeutigen Identifizierung einer natürlichen Person verarbeitet werden; Gesundheitsdaten; Daten zum Sexualleben oder zur sexuellen Orientierung einer Person.

wie nennt man die daten deren verarbeitung untersagt ist Verarbeitung personenbezogener Daten DSGVO Art 9 art. 5 dsgvo

zusammenhängende Posts

Wie hoch ist das höchste Haus der Welt 2022?
Wie hoch ist das höchste Haus der Welt 2022?

Was sind die drei gleichen in thüringen
Was sind die drei gleichen in thüringen

Wie finde ich heraus ob er mich betrügt
Wie finde ich heraus ob er mich betrügt

Annabelle und die fliegenden rentiere sendetermine 2022
Annabelle und die fliegenden rentiere sendetermine 2022

Wie oft kann man Geld einzahlen ohne Nachweis
Wie oft kann man Geld einzahlen ohne Nachweis

Wie geht man mit depressiven Menschen um
Wie geht man mit depressiven Menschen um

Was ist der größte Feind der Schlange?
Was ist der größte Feind der Schlange?

Wann kann man Arbeitslosengeld 1 aufstocken?
Wann kann man Arbeitslosengeld 1 aufstocken?

Wie kann man sein Guthaben sehen iPhone?
Wie kann man sein Guthaben sehen iPhone?

Ch weiss nicht wer schief gelaufen ist
Ch weiss nicht wer schief gelaufen ist

Werbung

NEUESTEN NACHRICHTEN

What measures how well the solution will be accepted in a given opportunity?
1 Jahrs vor . durch FormlessAviation
Wenn der Hund tot ist beginnt ein neues Leben
1 Jahrs vor . durch DeliriousHurricane
Which of the following is a not a type of organizational information system?
1 Jahrs vor . durch CantankerousAssignment
Which of the following statements is true regarding an organizations culture
1 Jahrs vor . durch EnticingDucking
The system of behavioral rules and norms that emerge in a group is known as:
1 Jahrs vor . durch ElectromagneticRelativism
Mit kreditkarte bezahlen wenn konto leer
1 Jahrs vor . durch CommunistAllies
Mit jemandem auf kriegsfuß stehen bedeutung
1 Jahrs vor . durch SubliminalPundit
What are 3 of the most important criteria to keep in mind when evaluating a source?
1 Jahrs vor . durch CuteSorcery
Google scholar is a specialized search engine that provides which of the following?
1 Jahrs vor . durch SmartDiploma
Wie lange hat der Vermieter Zeit die Kündigung zu bestätigen
1 Jahrs vor . durch EphemeralProceedings

Werbung

Populer

Werbung

Um

Legal

Hilfe

Sozial

homeendejakoptzhthittr
Urheberrechte © © 2024 de.apacode Inc.