- Anzeigen -
Besuchen Sie auch unser Zeitschriftenportfolio im Bereich Governance, Risk, Compliance & Interne Revision

Sie sind hier: Home » Recht » Datenschutz und Compliance

Verarbeitung personenbezogener Daten


Europäischer Datenschutzausschuss verabschiedet Leitlinien zur Interpretation des Art. 6 Abs. 1 b DSGVO
In den neuen Leitlinien wird klargestellt, dass es zur Beurteilung dessen, ob eine Datenverarbeitung zur Vertragserfüllung erforderlich ist, nicht allein darauf ankommt, was im Vertrag vereinbart wurde

- Anzeigen -





Mit den beschlossenen "Leitlinien zur Verarbeitung personenbezogener Daten auf Grundlage des Artikels 6 Abs. 1 b DSGVO im Kontext von Online-Dienstleistungen" beschränkt der Europäische Datenschutzausschuss die Möglichkeit für Unternehmen, die Verarbeitung von Daten der Nutzer auf die Rechtsgrundlage "Vertragserfüllung" zu stützen. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber, begrüßt die Annahme der Leitlinien ausdrücklich: Die DSGVO stellt zu Recht strenge Voraussetzungen an die Zulässigkeit einer Einwilligung auf.

Es kann nicht sein, dass Unternehmen, wie beispielsweise die Anbieter sozialer Netzwerke, dazu übergehen, dies zu umgehen, indem sie Datenverarbeitungen, die eigentlich nichts mit der Erbringung eines Online-Dienstes zu tun haben, in den Vertragstext mit aufnehmen. Die jetzt beschlossenen Leitlinien erschweren ein solches Vorgehen deutlich und stärken somit die datenschutzrechtliche Selbstbestimmung der Bürger.

Nach Art. 6 Abs. 1 b DSGVO ist die Verarbeitung personenbezogener Daten zulässig, soweit sie zur Vertragserfüllung erforderlich ist. In den neuen Leitlinien wird klargestellt, dass es zur Beurteilung dessen, ob eine Datenverarbeitung zur Vertragserfüllung erforderlich ist, nicht allein darauf ankommt, was im Vertrag vereinbart wurde. Vielmehr ist eine wertende Entscheidung unter Berücksichtigung der in Art. 5 DSGVO niedergelegten Datenschutzgrundsätze wie Sparsamkeit, Fairness und Transparenz notwendig. Beispielsweise kann eine Datenverarbeitung für Zwecke der personenbezogenen Onlinewerbung danach grundsätzlich nicht auf die Rechtsgrundlage "Vertragserfüllung" gestützt werden.

Das Papier kann in den nächsten Wochen von interessierten Stellen im Rahmen einer öffentlichen Konsultation kommentiert werden. (BfDI: ra)

eingetragen: 16.04.19
Newsletterlauf: 22.05.19

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Datenschutz und Compliance

  • Zum Vollstreckungshilfsmittel geworden

    Im vergangenen Jahr wurden mehr als 900.000 Kontenabrufe durch Behörden genehmigt, wie das Bundesministerium der Finanzen mitteilte. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber sieht die jährlich steigende Zahl kritisch: "Jeder Kontenabruf stellt einen Eingriff in das Grundrecht auf informationelle Selbstbestimmung dar. Ich halte eine Evaluierung des Kontenabrufverfahrens für dringend notwendig." Der automatisierte Abruf von Kontoinformationen - kurz Kontenabruf - wurde als Folge der Terroranschläge vom 9. November 2001 eingeführt, um Geldwäsche und Terrorismusfinanzierung besser bekämpfen zu können. Für diesen Zweck müssen Kreditinstitute seitdem bestimmte Kontoinformationen vorhalten.

  • Spiegelung von Datensätzen im SWIFT-Rechenzentrum

    Der Düsseldorfer Kreis, in dem die für den Datenschutz in der Wirtschaft zuständigen obersten Aufsichtsbehörden zusammenarbeiten, hat festgestellt, dass die gegenwärtige Spiegelung von Datensätzen im SWIFT-Rechenzentrum in den USA und die anschließende Herausgabe von dort gespeicherten Daten an US-amerikanische Behörden wegen fehlender Rechtsgrundlage sowohl nach deutschem Recht als auch nach EG-Datenschutzrecht unzulässig ist. Rechtlich verantwortlich für die Übermittlung der personenbezogenen Daten über den internationalen Zahlungsverkehr in die USA sind sowohl die in Belgien ansässige SWIFT (Society for Worldwide Interbank Financial Telecommunication) als auch die deutschen Banken, die sich trotz des Zugriffs der amerikanischen Behörden auf die bei SWIFT/USA gespeicherten Datensätze auch weiterhin der Dienstleistungen von SWIFT bedienen.

  • Geldbußen gegen Telekommunikationsdienstleister

    Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat den Telekommunikationsdienstleister 1&1 Telecom GmbH mit einer Geldbuße in Höhe von 9.550.000 Euro belegt. Das Unternehmen hatte keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können. In einem weiteren Fall sprach der BfDI ein Bußgeld in Höhe von 10.000 Euro gegen die Rapidata GmbH aus. Dazu sagte der Bundesbeauftragte Ulrich Kelber: "Datenschutz ist Grundrechtsschutz. Die ausgesprochenen Geldbußen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden. Die europäische Datenschutzgrundverordnung (DSGVO) gibt uns die Möglichkeit, die unzureichende Sicherung von personenbezogenen Daten entscheidend zu ahnden. Wir wenden diese Befugnisse unter Berücksichtigung der gebotenen Angemessenheit an."

  • Informationelles Selbstbestimmungsrecht

    Das Bundesverfassungsgericht hat mit zwei Entscheidungen das Persönlichkeitsrecht in der digitalen Welt gestärkt. Es hat das Recht auf Vergessenwerden in einer Weise fortentwickelt, die die Grundrechte der Meinungs- und Informationsfreiheit wie auch das informationelle Selbstbestimmungsrecht optimiert. Die in beiden Fällen in dem Verfahren vom Gericht angeforderten Stellungnahmen des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit wurden bestätigt. Bislang war das durch die Rechtsprechung des EuGH geschaffene und in die geltende Datenschutzgrundverordnung übernommene Recht auf Vergessenwerden überwiegend auf das Verhältnis von Suchmaschinenbetreibern und betroffenen Personen angewendet worden. Letztere können seit 2014 gegenüber Suchmaschinenbetreibern - in Deutschland im Wesentlichen die Suchmaschine von Google - verlangen, dass bestimmte Ergebnisse bei einer namensbezogenen Suche nicht mehr angezeigt werden, wenn dies zum Schutz ihres informationellen Selbstbestimmungsrechts und des Persönlichkeitsrechts erforderlich ist. Dieses Recht wird vom Bundesverfassungsgericht direkt gegenüber Online-Archiven von Presseunternehmen angewandt.

  • EDSA 2019 - Datenschutz für Europa

    Der Europäische Datenschutzausschuss (EDSA) veröffentlicht in seiner letzten Sitzung im Jahr 2019 erste Leitlinien zum Recht auf Vergessenwerden. Diese schließen sich an eine Reihe von grundlegenden Entscheidungen des Ausschusses in diesem Jahr an, beispielsweise zu Themen wie Videoüberwachung, Akkreditierung und Zertifizierung, oder Privacy by Design und Default. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber, blickt zufrieden auf sein erstes Jahr im EDSA zurück.