EDSA – datensicherheit.de Informationen zu Datensicherheit und Datenschutz https://www.datensicherheit.de Datensicherheit und Datenschutz im Überblick Wed, 22 Jan 2025 19:49:30 +0000 de hourly 1 https://wordpress.org/?v=5.6.14 Auskunftsrecht: EDSA hat Bericht zur koordinierten Prüfaktion CEF 2024 publiziert https://www.datensicherheit.de/auskunftsrecht-edsa-bericht-koordination-pruefaktion-cef-2024-publikation https://www.datensicherheit.de/auskunftsrecht-edsa-bericht-koordination-pruefaktion-cef-2024-publikation#respond Wed, 22 Jan 2025 23:40:33 +0000 https://www.datensicherheit.de/?p=46005 Prüfung, inwiefern die EDSA-Leitlinien zum Auskunftsrecht sich auf den praktischen Umgang mit Auskunftsanträgen auswirken

[datensicherheit.de, 23.01.2025] Für die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat die Vorsitzende für das Jahr 2025, die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Meike Kamp, deren Stellungnahme vom 22. Januar 2025 publiziert. Demnach hat am 16. Januar 2025 der Europäische Datenschutzausschuss (EDSA) über die Ergebnisse der 2024 durchgeführten europaweiten Prüfaktion im Rahmen des „Coordinated Enforcement Framework“ (CEF) beraten und seinen Bericht verabschiedet. Bei dieser Aktion sei untersucht worden, „wie Verantwortliche das Auskunftsrecht betroffener Personen umsetzen“.

Verantwortliche berücksichtigen im durchschnittlichen bis hohen Maß die EDSA-Anforderungen des Auskunftsrechts

In Deutschland hätten sich die Landesdatenschutz-Aufsichtsbehörden aus Bayern (BayLDA), Brandenburg, Mecklenburg-Vorpommern, Niedersachsen, Rheinland-Pfalz, Saarland und Schleswig-Holstein sowie die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit beteiligt und insgesamt 116 Verantwortliche geprüft. Auf europäischer Ebene hätten weitere 22 mitgliedstaatliche Datenschutzaufsichtsbehörden teilgenommen. Insgesamt werteten die beteiligten Aufsichtsbehörden laut DSK Angaben von 1.185 Verantwortlichen aus.

So hätten europäische Datenschutzaufsichtsbehörden Erkenntnisse aus der Praxis dazu gewinnen können, inwiefern die EDSA-Leitlinien zum Auskunftsrecht sich auf den praktischen Umgang mit Auskunftsanträgen auswirkten. „Der Abschlussbericht des EDSA zeichnet ein grundsätzlich ermutigendes Bild. Die Mehrheit der teilnehmenden Aufsichtsbehörden stellte fest, dass die befragten Verantwortlichen nach eigenen Angaben in einem durchschnittlichen bis hohen Maß die Anforderungen des Auskunftsrechts berücksichtigen“, berichtet Kamp. Überraschend groß sei jedoch die Zahl an Verantwortlichen, die angegeben hätten, im Jahr 2023 keinen oder nur sehr wenige Auskunftsanträge erhalten zu haben.

Im EDSA-Bericht dargestellte Ergebnisse decken sich weitestgehend mit denen beteiligter deutscher Aufsichtsbehörden

Bei der Vollständigkeit der Auskunft und der Anwendung der Grenzen des Auskunftsrechts gebe es allerdings konkreten Nachbesserungsbedarf. Außerdem stellten einige Verantwortliche zum Teil unzulässige Hürden für die Geltendmachung des Auskunftsrechts auf, etwa indem pauschal Zusatzinformationen oder im Einzelfall nicht erforderliche Identifikationsdokumente bei der betroffenen Person angefordert würden.

Die im Bericht des EDSA dargestellten Ergebnisse deckten sich weitestgehend mit denen der beteiligten deutschen Aufsichtsbehörden. Deren gemeinsame Auswertung könne im Annex zum EDSA-Bericht eingesehen werden.

Gewonnene Informationen stehen mit Veröffentlichung des EDSA-Berichts auch für weiterführende Auswertungen bereit

Unter Berücksichtigung dieser Ergebnisse sei es Aufsichtsbehörden möglich, Verantwortliche zielgerichteter zu sensibilisieren und Handlungsempfehlungen zu geben. Die gewonnenen Informationen stünden mit der Veröffentlichung des EDSA-Berichts auch für weiterführende Auswertungen zur Verfügung.

Die koordinierte Aktion zum Auskunftsrecht sei die dritte Initiative im Rahmen des CEF, welches darauf abziele, die Durchsetzung der Datenschutz-Grundverordnung (DSGVO) und die Zusammenarbeit zwischen Datenschutzbehörden innerhalb der EU zu optimieren. Frühere koordinierte Aktionen befassten sich laut DSK im Jahr 2022 mit der Nutzung von „Cloud“-Diensten durch den öffentlichen Sektor und im Jahr 2023 mit der Benennung und der Rolle von Datenschutzbeauftragten.

Weitere Informationen zum Thema:

edpb European Data Protection Board, 20.01.2025
CEF 2024: EDPB identifies challenges to the full implementation of the right of access

EDPS EUROPEAN DATA PROTECTION SUPERVISOR, 20.01.2025
Coordinated Enforcement Action: EDPS findings highlight challenges on right of access to personal data

edpb European Data Protection Board, 20.01.2025
Coordinated Enforcement Action, implementation of the right of access by controllers

edpb European Data Protection Board, 18.01.2025
Coordinated Enforcement Action, use of cloud-based services by the public sector

edpb European Data Protection Board, 17.01.2025
Coordinated Enforcement Action, Designation and Position of Data Protection Officers

]]>
https://www.datensicherheit.de/auskunftsrecht-edsa-bericht-koordination-pruefaktion-cef-2024-publikation/feed 0
Pseudonymisierung: Europäischer Datenschutzausschuss hat Leitlinien beschlossen https://www.datensicherheit.de/pseudonymisierung-europaeisch-datenschutzausschuss-leitlinien-beschluss https://www.datensicherheit.de/pseudonymisierung-europaeisch-datenschutzausschuss-leitlinien-beschluss#comments Mon, 20 Jan 2025 17:45:05 +0000 https://www.datensicherheit.de/?p=45974 Berliner Beauftragte für Datenschutz und Informationsfreiheit begrüßt Beschluss

[datensicherheit.de, 20.01.2025] Laut einer aktuellen Mitteilung begrüßt die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Meike Kamp, die Leitlinien des Europäischen Datenschutzausschuss (EDSA) zur Pseudonymisierung. Die BlnBDI war demnach an der Erarbeitung dieser Leitlinien federführend beteiligt.

Effektiver Weg, Vertraulichkeit personenbezogener Daten zu bewahren

„Pseudonymisierung bietet einen effektiven Weg, die Vertraulichkeit personenbezogener Daten zu bewahren. Gleichzeitig ermöglicht es Weiterverarbeitungen von Daten, die ansonsten wegen der mit ihnen verbundenen Risiken nicht durchgeführt werden dürften“, erläutert Kamp. In Zeiten der Digitalisierung könne effektive Pseudonymisierung dabei helfen, die Risiken von Datenverarbeitungen zu minimieren und das Vertrauen der Menschen in den Schutz ihrer Daten zu stärken.

Kamp kommentiert: „Daher freue ich mich sehr, dass der Europäische Datenschutzausschuss nun Leitlinien zur Anwendung dieser wichtigen Technischen und Organisatorischen Maßnahme erlassen hat. Ich verspreche mir davon mehr Rechtssicherheit für Unternehmen und andere Organisationen, die auf Pseudonymisierung setzen.“

Verarbeitung personenbezogener Daten in einer Weise, dass diese nicht mehr ohne Weiteres einer spezifischen Person zugeordnet werden können

Unter „Pseudonymisierung“ verstehe die Datenschutz-Grundverordnung (DSGVO) eine Verarbeitung personenbezogener Daten in einer Weise, dass diese ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen Person zugeordnet werden könnten. „Die Identität der betroffenen Personen soll denjenigen verborgen bleiben, die keinen Zugang zu solchen zusätzlichen Informationen haben.“

Für eine Pseudonymisierung würden die Daten umgestaltet, Namen und andere identifizierende Angaben würden entfernt und in der Regel durch Pseudonyme ersetzt. „Eine Tabelle, die Pseudonyme den Daten gegenüberstellt, die sie ersetzt haben, stellt eine typische Zusatzinformation dar.“ Verantwortliche schützten die von ihnen gehaltenen Zusatzinformationen durch Technische und Organisatorische Maßnahmen (TOM), um die Fähigkeit zur Zuordnung der pseudonymisierten Daten zu spezifischen betroffenen Personen zu kontrollieren.

Dachorganisation der nationalen europäischen Datenschutzbehörden und des Europäischen Datenschutzbeauftragten nahm Leitlinien an

In seiner Sitzung am 16. Januar 2025 habe der EDSA die Leitlinien zur Pseudonymisierung angenommen. Der EDSA sei die Dachorganisation der nationalen europäischen Datenschutzbehörden und des Europäischen Datenschutzbeauftragten. „Die Leitlinien bestehen aus zwei Teilen, von denen der erste einen rechtlichen und der zweite einen technischen Schwerpunkt hat.“

Ein Anhang veranschauliche anhand von Fallbeispielen aus der Praxis die Verwendung und die Vorteile der Pseudonymisierung. Pseudonymisierung und Anonymisierung seien die Schwerpunktthemen der BlnBDI für ihren diesjährigen Vorsitz der Datenschutzkonferenz (DSK).

Weitere Informationen zum Thema:

edpb European Data Protection Board, 17.01.2025
EDPB adopts pseudonymisation guidelines and paves the way to improve cooperation with competition authorities

edpb European Data Protection Board, 17.01.2025
Guidelines 01/2025 on Pseudonymisation

]]>
https://www.datensicherheit.de/pseudonymisierung-europaeisch-datenschutzausschuss-leitlinien-beschluss/feed 1
Bitkom artikuliert vorab Bedenken: KI-Stellungnahme des EDSA noch im Dezember 2024 erwartet https://www.datensicherheit.de/bitkom-artikulation-bedenken-ki-stellungnahme-edsa-dezember-2024 https://www.datensicherheit.de/bitkom-artikulation-bedenken-ki-stellungnahme-edsa-dezember-2024#respond Tue, 10 Dec 2024 09:28:16 +0000 https://www.datensicherheit.de/?p=45819 Kritik, dass der EDSA im Vorfeld seiner Entscheidung keinen echten Dialog mit der Wirtschaft führte

[datensicherheit.de, 10.12.2024] Laut einer aktuellen Meldung des Bitkom e.V. will der Europäische Datenschutzausschuss (EDSA) noch im Dezember 2024 seine Stellungnahme zur Künstlichen Intelligenz (KI) vorlegen – in diesem Zusammenhang befürchtet der Bitkom in Folge Rechtsunsicherheit und weitere Wettbewerbsnachteile bei der KI-Entwicklung und dem -Einsatz.

Befürchtung, dass EDSA „berechtigtes Interesse“ der Unternehmen zum Ausnahmefall macht

„Der Einsatz von Künstlicher Intelligenz und insbesondere die Entwicklung von KI-Systemen könnten in Europa schon bald noch deutlich schwieriger werden.“ Gegenwärtig werde befürchtet, dass im EDSA-Papier zum Spannungsfeld zwischen KI einerseits und Datenschutz andererseits festgehalten werde, dass das in der Datenschutz-Grundverordnung (DSGVO) vorgesehene „berechtigte Interesse“ als Rechtsgrundlage für die Verarbeitung personenbezogener Daten nur noch in Ausnahmefällen für das Training von KI angewendet werden dürfe.

Unternehmen müssten dann in jedem Einzelfall die Nutzung per jederzeit widerrufbarer Einwilligung erfragen, was eine datenschutzkonforme KI-Nutzung praktisch ausschließen würde. Oder sie müssten auf Anonymisierung von Daten zurückgreifen, was aber nicht immer vollständig technisch umsetzbar und insbesondere auch für kleine und mittelständische Unternehmen mit hohem Aufwand verbunden sei.

„Wir dürfen bei KI keine Vollbremsung machen. Entwicklung und Einsatz von Künstlicher Intelligenz sind entscheidend für unsere Wettbewerbsfähigkeit und unsere Digitale Souveränität, so Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung. Sie moniert: „Umso bedauerlicher ist es, dass der EDSA im Vorfeld einer Entscheidung mit solcher möglichen Tragweite keinen echten Dialog mit der Wirtschaft gesucht oder ermöglicht hat.“

Appell an EDSA, verbindliche, verpflichtende und transparente Konsultationsverfahren mit der Wirtschaft zu etablieren

Der EDSA als Einrichtung der versammelten nationalen Datenschutzbehörden verfolgt eine einheitliche Anwendung der DSGVO in allen EU-Ländern – seine Stellungnahmen, Empfehlungen und Leitlinien gelten nicht als bindend, indes aber als Orientierungshilfen für die Aufsichtsbehörden der EU-Mitgliedsstaaten. Zudem orientierten sich der Europäische Gerichtshof sowie nationale Gerichte an ihnen. Eine entsprechende Einlassung des EDSA würde laut Bitkom damit mindestens zu neuer Rechtsunsicherheit für Unternehmen führen, „die selbst KI-Modelle entwickeln und trainieren, aber auch für alle Unternehmen, die bestehende Modelle mit eigenen Daten anreichern und ergänzen“. Bereits heute sähen 70 Prozent aller Unternehmen und sogar 80 Prozent der Unternehmen, die KI nutzen, Datenschutzverstöße als größtes Risiko beim KI-Einsatz an: „52 Prozent der Unternehmen geben an, dass der Datenschutz den KI-Einsatz behindert.“

In seinem aktuellen Positionspapier zum Datenschutz bei KI-Entwicklung und KI-Einsatz fordert der Bitkom daher nach eigenen Angaben, das „berechtigte Interesse“ von Unternehmen, KI auch mit personenbezogenen Daten zu trainieren, als ausreichende Rechtsgrundlage nach der DSGVO anzuerkennen„sofern nicht die Interessen der betroffenen Personen dagegen sprechen und schwerer wiegen.“ Zugleich sollte es klare Vorgaben für eine Interessenabwägung mit dem Datenschutz geben, damit Unternehmen Rechtssicherheit hätten.

Mit Blick auf den EDSA plädiert Bitkom „für die Einführung verbindlicher, verpflichtender und transparenter Konsultationsverfahren, um die Wirtschaft auf nationaler und europäischer Ebene frühzeitig einzubinden“. Nur so könnten jenseits rechtlicher Fragen auch technische und praktische Herausforderungen ausreichend berücksichtigt werden. Dehmel erläutert die Bikom-Position: „Datenschutz ist ein hohes Gut und fundamentaler Teil unseres demokratischen Wertesystems. Wir müssen aber die im europäischen Datenschutzrecht vorgesehenen Möglichkeiten auch nutzen und dürfen nicht regelmäßig die strengstmögliche Auslegung suchen!“ Man sehe bereits heute, dass bestimmte KI-Dienste aufgrund rechtlicher Unsicherheit nicht in Europa angeboten würden. „Davon sind auch Bürgerinnen und Bürger betroffen, die von technologischen Entwicklungen abgekoppelt werden.“

Weitere Informationen zum Thema:

bitkom, Isabelle Stroot
Positionspapier / Datenschutzrechtliche Fragen bei der Entwicklung und dem Einsatz von Künstlicher Intelligenz (KI)

]]>
https://www.datensicherheit.de/bitkom-artikulation-bedenken-ki-stellungnahme-edsa-dezember-2024/feed 0
US-Angemessenheitsbeschluss und Datenschutz bei Strafverfolgungsbehörden – EDSA bezieht Position https://www.datensicherheit.de/us-angemessenheitsbeschluss-datenschutz-strafverfolgungsbehoerden-edsa-bezug-position https://www.datensicherheit.de/us-angemessenheitsbeschluss-datenschutz-strafverfolgungsbehoerden-edsa-bezug-position#respond Wed, 06 Nov 2024 18:00:09 +0000 https://www.datensicherheit.de/?p=45589 Der Europäische Datenschutzausschuss (EDSA) hat in seiner jüngsten Sitzung zwei wichtige Dokumente angenommen

[datensicherheit.de, 06.11.2024] Die Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) meldet, dass der Europäische Datenschutzausschuss (EDSA) in seiner jüngsten Sitzung zwei wichtige Dokumente angenommen hat. Beide Papiere wurden demnach unter wesentlicher BfDI-Beteiligung erarbeitet.

EDSA anerkennt Bemühungen der US-Behörden, fordert indes weitere Klarstellungen

Das erste Papier beschäftigt sich laut BfDI mit dem Angemessenheitsbeschluss für die USA. Der EDSA sehe an verschiedenen Stellen Bemühungen der US-Behörden, die datenschutzrechtliche Situation zu verbessern.

Aus Sicht der europäischen Datenschützer seien jedoch in einigen Punkten weitere Klarstellungen erforderlich.

EDSA beschlossen Stellungnahme zu Empfehlungen der „High-Level-Group on access to data for effective law enforcement“

Außerdem habe der EDSA eine Stellungnahme zu den Empfehlungen der „High-Level-Group on access to data for effective law enforcement“ beschlossen. Diese Gruppe solle Lösungen insbesondere zu den Themen Vorratsdatenspeicherung und Verschlüsselung vorschlagen.

Die Stellungnahme richte sich an die Europäische Kommission und die Mitgliedstaaten, bei allen weiteren Schritten sicherzustellen, „dass die Datenschutzgrundrechte gewahrt bleiben und die Rechtsprechung des EuGH beachtet wird“.

Weitere Informationen zum Thema:

edpb European Data Protection Board, 05.11.2024
EDPB adopts its first report under the EU-U.S. Data Privacy Framework and a statement on the recommendations on access to data for law enforcement

edpb European Data Protection Board, 04.11.2024
EDPB Report on the first review of the European Commission Implementing / Decision on the adequate protection of personal data under the EU-US Data Privacy Framework

edpb European Data Protection Board, 04.11.2024
Statement 5/2024 on the Recommendations of the High-Level Group on Access to Data for Effective Law Enforcement

]]>
https://www.datensicherheit.de/us-angemessenheitsbeschluss-datenschutz-strafverfolgungsbehoerden-edsa-bezug-position/feed 0
Berechtigtes Interesse: BfDI begrüßt EDSA-Leitlinien https://www.datensicherheit.de/berechtigtes-interesse-bfdi-begruessung-edsa-leitlinien https://www.datensicherheit.de/berechtigtes-interesse-bfdi-begruessung-edsa-leitlinien#respond Wed, 09 Oct 2024 17:01:33 +0000 https://www.datensicherheit.de/?p=45442 EDSA wird öffentliche Konsultation zu Leitlinien zum Berechtigten Interesse durchführen

[datensicherheit.de, 09.10.2024] Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Dr. Louisa Specht-Riemenschneider, hebt in ihrer aktuellen Stellungnahme die Bedeutung der neuen Leitlinien des Europäischen Datenschutzausschusses (EDSA) zum sogenannten Berechtigten Interesse hervor. Der EDSA werde eine öffentliche Konsultation zu diesen Leitlinien durchführen, welche in Kürze auf der EDSA-Website publiziert werden sollen.

bfdi-louisa-specht-riemenschneider

Foto: BfDI/DH

Prof. Dr. Louisa Specht-Riemenschneider verspricht sich mehr Rechtssicherheit für Bürger und Unternehmen…

Definition des Berechtigten Interesses schon seit DSGVO-Einführung Anlass für Diskussionen

Die Definition des Berechtigten Interesses sei schon seit Einführung der Datenschutz-Grundverordnung (DSGVO) Anlass für Diskussionen. Gerade für das Verhältnis zwischen Wirtschaft und Privatpersonen sei entscheidend, wann Daten auf dieser Grundlage verarbeitet werden dürfen.

„Deshalb ist es sehr gut, dass der Europäische Datenschutzausschuss seine Leitlinien zu diesem Thema vorgelegt hat. Ich verspreche mir davon mehr Rechtssicherheit für die Bürgerinnen und Bürger, aber eben auch für die Unternehmen“, so Frau Prof. Specht-Riemenschneider.

EDSA möchte beim Berechtigten Interesse nun für mehr Klarheit und Einheitlichkeit sorgen

Im Fokus dieser Leitlinien stehen demnach die Voraussetzungen, die Verantwortliche erfüllen müssen, wenn sie personenbezogene Daten zur Wahrung Berechtigter Interessen verarbeiten möchten. In der Praxis sei diese Rechtsgrundlage sehr bedeutsam. Allerdings lasse der entsprechende DSGVO-Artikel einen großen Interpretationsspielraum. Der EDSA sorge hierzu nun für mehr Klarheit und Einheitlichkeit.

Die neuen Leitlinien machten deutlich, dass eine Datenverarbeitung auf Basis des Berechtigten Interesses nicht nur als „letzter Ausweg“ für Verarbeitungsvorhaben, für welche andere Rechtsgrundlagen nicht griffen, betrachtet werden sollte. Ebenso wenig sollte die Rechtsgrundlage übermäßig ausgedehnt werden, weil sie angeblich weniger einschränkend als andere wäre.

Weitere Informationen zum Thema:

edpb (EDSA) European Data Protction Board, 09.10.2024
EDSA verabschiedet Stellungnahme zu Auftragsverarbeitern, Leitlinien zum berechtigten Interesse, Erklärung zum Entwurf einer Verordnung zur Durchsetzung der DSGVO und Arbeitsprogramm 2024-2025

]]>
https://www.datensicherheit.de/berechtigtes-interesse-bfdi-begruessung-edsa-leitlinien/feed 0
Mehrjähriges WhatsApp-Verfahren: BfDI fordert Abschluss https://www.datensicherheit.de/whatsapp-verfahren-bfdi-forderung-abschluss https://www.datensicherheit.de/whatsapp-verfahren-bfdi-forderung-abschluss#respond Mon, 15 Jan 2024 22:03:19 +0000 https://www.datensicherheit.de/?p=43985 Die noch offenen Fragen des WhatsApp-Verfahrens sollten endlich abschließend geklärt werden

[datensicherheit.de, 15.01.2024] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat nach eigenen Angaben ein Jahr nachdem die irische Datenschutzaufsichtsbehörde DPC einen Beschluss in Sachen „WhatsApp“ erlassen hat gefordert, „dass die offenen Fragen des Verfahrens endlich abschließend geklärt werden“.

BfDI hatte Beschwerde in der Sache WhatsApp an die zuständige irische Aufsichtsbehörde DPC weitergeleitet

In einer Beschwerde – mit Geltung der DSGVO am 25. Mai 2018 gegen den Messengerdienst eingereicht – hatte sich die Beschwerdeführerin demnach dagegen gewandt, dass Nutzer die im Zuge der DSGVO-Einführung geänderten Nutzungsbedingungen und die damit verbundene Datenschutzrichtlinie akzeptieren müssen, um diesen Messengerdienst nutzen zu können: Dies sei eine erzwungene Einwilligung und es sei nicht klar, auf welche Rechtsgrundlage „WhatsApp“ einzelne Verarbeitungsvorgänge stütze.

Als innerdeutsch für Telekommunikationsdienste (zu denen auch „WhatsApp“ zählt) zuständige Datenschutzaufsichtsbehörde hatte der BfDI diese Beschwerde an die für das Unternehmen mit Sitz in Dublin federführend zuständige irische Aufsichtsbehörde DPC weitergeleitet.

EDSA: WhatsApp hatte in unzulässiger Weise personenbezogene Daten verarbeitet

Nach fast vier Jahren Verfahrensgang habe die DPC am 1. April 2022 den europäischen Datenschutzaufsichtsbehörden einen Beschlussentwurf übermittelt. Gegen diesen Beschlussentwurf hätten die deutschen sowie die finnische, französische, italienische, niederländische und die norwegische Danteschutzaufsichtsbehörden Einsprüche eingelegt. Da über wesentliche Punkte dieser Einsprüche keine Einigung mit der DPC habe hergestellt werden können, sei ein sogenanntes Streitbeilegungsverfahren vor dem Europäischen Datenschutzausschuss (EDSA) eingeleitet worden.

Auf dieses Streitbeilegungsverfahren hin habe der EDSA am 5. Dezember 2022 den verbindlichen Beschluss 5/2022 verabschiedet und darin die DPC angewiesen, ihren Beschluss zu ändern und festzustellen, dass „WhatsApp“ in unzulässiger Weise personenbezogene Daten seiner Nutzer zu Zwecken der Serviceverbesserungen und der Sicherheit verarbeite. Dem sei die DPC dann mit ihrem am 12. Januar 2023 erlassenen Beschluss nachgekommen.

Abschließende Bewertung der von WhatsApp getroffenen Maßnahmen noch offen

„Eine abschließende Bewertung, ob die auf den Beschluss seitens ,WhatsApp’ getroffenen Maßnahmen hinreichend sind, um den DPC-Beschluss umzusetzen und den Dienst datenschutzkonform nutzen zu können, steht derzeit aus“, so der BfDI.

Zudem habe der EDSA der DPC aufgegeben, zu untersuchen, ob „WhatsApp“ (sensible) personenbezogene Daten für Zwecke der verhaltensbezogenen Werbung, für Marketingzwecke sowie für die Bereitstellung von Statistiken an Dritte und den Austausch von Daten mit verbundenen Unternehmen verarbeitet und ob dies im Einklang mit der DSGVO geschieht. Auch diese Untersuchungen stehen laut BfDI derzeit noch aus. Er setze sich gegenüber der DPC und im EDSA für eine vollständige Klärung der offenen Fragestellungen und einen zügigen Abschluss dieses Verfahrens ein.

Weitere Informationen zum Thema:

DPC Data Protection Commission, 12.01.2023
In the matter of the General Data Protection Regulation DPC Inquiry Reference: IN-18-5-6 / In the matter of JG, a complainant, concerning a complaint directed against WhatsApp Ireland Limited in respect of the WhatsApp Service / Decision of the Data Protection Commission made pursuant to Section 113 of the Data Protection Act, 2018 and Articles 60 and 65 of the General Data Protection Regulation / Further to a complaint-based inquiry commenced pursuant to Section 110 of the Data Protection Act 2018

edpb European Data Protection Board, 05.12.2022
Binding Decision 5/2022 on the dispute submitted by the Irish SA regarding WhatsApp Ireland Limited (Art. 65 GDPR)

datensicherheit.de, 14.05.2021
Kein Grund zur Beruhigung: Neue WhatsApp-Datenschutzrichtlinien treten in Kraft / Angebot von WhatsApp wird zu einem unlösbaren Widerspruch

datensicherheit.de, 13.04.2021
Neue WhatsApp-Nutzungsbedingungen: Dringlichkeitsverfahren gegen Facebook / Facebook erhält im Rahmen einer Anhörung Gelegenheit zur Stellungnahme

BfDI Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Messengerdienste

BfDI Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Zusammenarbeit der Aufsichtsbehörden in Deutschland und Europa nach der DSGVO

]]>
https://www.datensicherheit.de/whatsapp-verfahren-bfdi-forderung-abschluss/feed 0
Bußgelder: Europäischer Datenschutzausschuss hat endgültige Leitlinien angenommen https://www.datensicherheit.de/bussgelder-europaeischer-datenschutzausschuss-endgueltigigkeit-leitlinien-annahme https://www.datensicherheit.de/bussgelder-europaeischer-datenschutzausschuss-endgueltigigkeit-leitlinien-annahme#respond Thu, 08 Jun 2023 19:19:34 +0000 https://www.datensicherheit.de/?p=43253 Die Bußgeldpraxis der Datenschutzaufsichtsbehörden in Europa soll nun nach einheitlichen Maßstäben erfolgen

[datensicherheit.de, 08.06.2023] In ihrer aktuellen Meldung berichtet die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) über einheitliche Regeln für Datenschutzbußgelder in Europa: Der Europäische Datenschutzausschuss (EDSA) hat demnach in seiner Sitzung vom 24. Mai 2023 die „endgültigen Leitlinien zur Bußgeldzumessung“ nach einer öffentlichen Konsultation angenommen. Damit erfolge die Bußgeldpraxis der Datenschutzaufsichtsbehörden in Europa nun nach einheitlichen Maßstäben. Als Repräsentantinnen der deutschen Datenschutzaufsicht seien auf europäischer Ebene die Datenschutzaufsichtsbehörden Berlins, Hessens und des Bundes beteiligt gewesen.

Europäische Aufsichtsbehörden dürfen bei Verstößen gegen Datenschutz-Grundverordnung Bußgelder erlassen

„Die europäischen Aufsichtsbehörden dürfen bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) Bußgelder erlassen.“ Diese könnten bis zu 20 Millionen Euro oder bei Unternehmen bis zu vier Prozent des weltweiten Jahresumsatzes betragen. Mit den nun verabschiedeten Leitlinien zur Bußgeldzumessung werde die Anwendung der gesetzlichen Vorgaben europaweit harmonisiert. Hierfür sähen die Leitlinien ein aus fünf Schritten bestehendes Zumessungsverfahren vor, welches insbesondere die Art und Schwere der Verstöße sowie den Umsatz der betreffenden Unternehmen berücksichtige.

Zuvor hätten bereits die deutschen Aufsichtsbehörden mit dem nunmehr abgelösten Bußgeldkonzept der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) Ende 2019 gezeigt, dass auch in einem föderalen Aufsichtssystem eine Vereinheitlichung der Bußgeldpraxis möglich sei.

Vorgehen der Aufsichtsbehörden bei Sanktionierung von Datenschutzverstößen nun transparenter

„Durch die europäischen Leitlinien zur Bußgeldzumessung wird das Vorgehen der Aufsichtsbehörden bei der Sanktionierung von Datenschutzverstößen transparenter“, betont Meike Kamp, die BlnBDI: Dieses Fünf-Schritte-Verfahren gebe klare Regeln für die Zumessung von Geldbußen vor und trage somit zu einem nachvollziehbareren Verwaltungshandeln bei.

„Ich freue mich, dass die Berliner Datenschutzbehörde dieses Konzept entscheidend mitgeprägt und damit einen wichtigen Beitrag zu einer weiteren Harmonisierung der europäischen Bußgeldpraxis geleistet hat“, so Kamp.

Bundesbeauftragter für den Datenschutz und die Informationsfreiheit: Entscheidung, auf die sehr viele Stellen schon lange mit Spannung gewartet haben

Prof. Dr. Alexander Roßnagel, der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), kommentiert: „Mit der Verabschiedung der Bußgeldleitlinien findet ein intensiver Austausch zwischen den Mitgliedstaaten zu einem wohl abgewogenen Kompromiss. Dieser trägt zum einen den unterschiedlichen Rechtstraditionen in den EU-Mitgliedstaaten Rechnung und leistet zum anderen einen grundlegenden und lang erwarteten Beitrag zur Harmonisierung der Bußgeldzumessung.“ Mithin werde nun die erforderliche Transparenz der Bußzumessung gewährleistet, welche der immensen Höhe der Bußgelder Rechnung trage.

Schließlich führt Prof. Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI), zu dem Ergebnis aus: „Eine Entscheidung, auf die sehr viele Stellen schon lange mit Spannung gewartet haben. Historisch haben wir nun erstmals eine Vereinheitlichung der Bußgeldpraxis von Datenschutzbehörden in unterschiedlichen Mitgliedsstaaten.“ Die Leitlinien seien damit der konsequente nächste Schritt in der europäischen Integration und könnten künftig auch Vorbild und Orientierung für die Durchsetzung anderer EU-Gesetze sein.

Weitere Informationen zum Thema:

edpb European Data Protection Board, 24.05.2023
Guidelines 04/2022 on the calculation of administrative fines under the GDPR

]]>
https://www.datensicherheit.de/bussgelder-europaeischer-datenschutzausschuss-endgueltigigkeit-leitlinien-annahme/feed 0
Auskunftsrecht: EDSA beschließt Leitlinien https://www.datensicherheit.de/auskunftsrecht-edsa-beschluss-leitlinien https://www.datensicherheit.de/auskunftsrecht-edsa-beschluss-leitlinien#respond Fri, 21 Jan 2022 15:13:52 +0000 https://www.datensicherheit.de/?p=41387 Professor Ulrich Kelber begrüßt gemeinsame Leitlinien

[datensicherheit.de, 21.01.2022] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) meldet, dass der Europäische Datenschutzausschuss (EDSA) am 18. Januar 2022 „Leitlinien zu den Betroffenenrechten der Datenschutz-Grundverordnung (DSGVO) veröffentlicht“ hat. Im Fokus stehe dabei das Auskunftsrecht, mit welchem Betroffene unter anderem in Erfahrung bringen könnten, „welche Daten Unternehmen und Behörden über sie gespeichert haben“.

 

bfdi-professor-ulrich-kelber-klein

Foto: Bundesregierung/Kugler

Prof. Ulrich Kelber: Recht auf Auskunft ist grundlegendes Betroffenenrecht!

Der EDSA sorgt mit Leitlinien nun für mehr Klarheit und Einheitlichkeit

BfDI Prof. Ulrich Kelber begrüßt demnach diese gemeinsamen Leitlinien: „Das Recht auf Auskunft ist das grundlegende Betroffenenrecht und wird von den Bürgerinnen und Bürgern häufig in Anspruch genommen.“ Allerdings lasse der entsprechende Artikel der DSGVO allein einen großen Interpretationsspielraum. „Der EDSA“, so Kelber, „sorgt hier nun für mehr Klarheit und Einheitlichkeit.

Die Leitlinien legten insbesondere fest, „welche Daten vom Auskunftsrecht erfasst sind und dass Betroffenen im Regelfall eine Kopie der Daten und nicht nur eine Zusammenfassung zu übergeben ist“.

Außerdem müssten die für die Datenverarbeitung Verantwortlichen angemessene Maßnahmen treffen, um Personen hinter Auskunftsersuchen zu identifizieren, „damit keine unberechtigten Dritten an die Daten gelangen“. Es dürften aber auf der anderen Seite auch keine höheren Hürden aufgebaut werden, „als für die Identifizierung erforderlich“.

Leitlinien geben auch Hinweise, in welchen zeitlichen Abständen Betroffene das Auskunftsrecht geltend machen können

Ebenso dürfe ein Auskunftsersuchen beispielsweise nicht alleine unter Verweis auf einen hohen Bearbeitungsaufwand abgelehnt werden. Auch die Motivation hinter einem Auskunftsersuchen sei kein Kriterium für die Erfüllung des Auskunftsanspruchs.

Die Leitlinien gäben zusätzlich Hinweise und Beispiele, „in welchen zeitlichen Abständen Betroffene das Auskunftsrecht gegenüber einem Unternehmen oder einer Behörde erneut geltend machen können, ohne dass ihr Ersuchen als exzessiv abgelehnt oder mit einer Gebühr belegt werden kann“.

Der EDSA werde eine öffentliche Konsultation zu diesen Leitlinien durchführen – diese seien in Kürze auf der Website des EDSA zu finden.

Weitere Informationen zum Thema:

datensicherheit.de, 22.04.2020
Datenschutz: EDSA beschließt weitere Leitlinien zu COVID-19

edpg, 19.01.2022
EDPB adopts Guidelines on Right of Access and letter on cookie consent

]]>
https://www.datensicherheit.de/auskunftsrecht-edsa-beschluss-leitlinien/feed 0
Überarbeitete Standarddatenschutzklauseln: BfDI nimmt Stellung https://www.datensicherheit.de/ueberarbeitung-standarddatenschutzklauseln-bfdi-stellungnahme https://www.datensicherheit.de/ueberarbeitung-standarddatenschutzklauseln-bfdi-stellungnahme#respond Fri, 15 Jan 2021 20:30:07 +0000 https://www.datensicherheit.de/?p=38664 Prof. Ulrich Kelber, der BfDI, ist sehr zufrieden mit dem Ergebnis des Europäischen Datenschutzausschusses

[datensicherheit.de, 15.01.2021] Prof. Ulrich Kelber, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), zeigt sich nach eigenen Angaben „sehr zufrieden mit dem Ergebnis des Europäischen Datenschutzausschusses (EDSA) zu Standarddatenschutzklauseln (SDK)“.

BfDI erwartet Rechtssicherheit für Datenaustausch mit Ländern außerhalb des Europäischen Wirtschaftsraums

Die europäischen Datenschutzaufsichtsbehörden und der Europäische Datenschutzbeauftragte (EDPS) hätten in der Sitzung vom 14. Januar 2021 gemeinsame Stellungnahmen zu den Entwürfen der Europäischen Kommission von SDK beschlossen.
„Es gab intensive Verhandlungen zu den Stellungnahmen, die ich mit meinen Kolleginnen und Kollegen verabschiedet habe. EDSA und EDPS kommen zu einem klaren Urteil. Unsere deutsche Position findet sich an vielen Stellen der Papiere wieder“, berichtet Professor Kelber.
Dieser gemeinsame Vorschlag würde Rechtssicherheit für den Datenaustausch mit Ländern außerhalb des Europäischen Wirtschaftsraumes bringen – „ohne Einschränkungen beim Datenschutz zu machen“.

BfDI hatte mit Kollegen aus den Bundesländern die deutsche Position entwickelt

Der BfDI hatte demnach „mit seinen Kolleginnen und Kollegen aus den Bundesländern die deutsche Position entwickelt“. Der EDSA und der EDPS seien zum Jahreswechsel von der Europäischen Kommission gebeten worden, eine gemeinsame Stellungnahme zu zwei Entwürfen von SDK nach Art. 28 und Art. 46 der Datenschutz-Grundverordnung (DSGVO) zu erarbeiten.
Die neuen SDK zu Art. 46 DSGVO sollten die bisherigen bei internationalen Datenübermittlungen ersetzen. Neuerungen gebe es beispielsweise bei Anpassungen an die Anforderungen der DSGVO und die „Schrems II“-Rechtsprechung des Europäischen Gerichtshofes.
Die SDK zu Artikel 28 DSGVO sollten für die Vertragsgestaltung zwischen Verantwortlichen und Auftragsverarbeitern erstmals einen europaweit verwendbaren Standard setzen, welcher den Unternehmen und Behörden „die Umsetzung der entsprechenden Vorgaben der DSGVO deutlich erleichtert“. Der EDSA werde den gemeinsamen Vorschlag in Kürze auf seiner Website veröffentlichen.

Weitere Informationen zum Thema:

edpb European Data Protection Board
EDPB & EDPS adopt joint opinions on new sets of SCCs

datensicherheit.de, 23.01.2019
BfDI Ulrich Kelber zum EDSA-Auftakttreffen 2019 / Neuer BfDI unterstreicht mit Blick auf erste Sitzung 2019 des Europäischen Datenschutzausschusses die Notwendigkeit der grenzüberschreitenden Kooperation

]]>
https://www.datensicherheit.de/ueberarbeitung-standarddatenschutzklauseln-bfdi-stellungnahme/feed 0
Datenschutz: EDSA beschließt weitere Leitlinien zu COVID-19 https://www.datensicherheit.de/datenschutz-edsa-leitlinien-gesundheitsdaten-covid-19 https://www.datensicherheit.de/datenschutz-edsa-leitlinien-gesundheitsdaten-covid-19#respond Wed, 22 Apr 2020 20:47:41 +0000 https://www.datensicherheit.de/?p=36012 Hinweise zum Umgang mit Gesundheitsdaten für Forschungszwecke und Grundsätzen von Tracking Tools

[datensicherheit.de, 22.04.2020] Der Europäische Datenschutzausschuss (EDSA) hat am 21. April zwei neue Leitlinien zum Datenschutz während der Pandemiebekämpfung veröffentlicht. Mit seinen Beschlüssen gibt der EDSA Hinweise zum Umgang mit Gesundheitsdaten für Forschungszwecke und zu Grundsätzen von Tracking Tools. Beide Leitlinien nehmen direkten Bezug auf den Ausbruch von COVID-19.

BfDI für einheitliches Vorgaben auf europäischer Ebene

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Professor Ulrich Kelber hatte sich bereits früh für einheitliche Vorgaben auf europäischer Ebene ausgesprochen: „Die Gesundheit der Menschen steht gerade im Mittelpunkt. Alle Mitgliedsländer des EDSA haben die gleichen Probleme zu bewältigen. Ich bin deshalb froh, dass wir uns auf eine gemeinsame Linie einigen konnten. Ich begrüße vor allem das Bekenntnis zur Freiwilligkeit. Sowohl in der Forschung als auch bei der Nachverfolgung von Kontakten können nur solche Lösungen erfolgreich sein, die transparent sind und ohne Zwang funktionieren. Es muss eindeutig und leicht verständlich sein, zu welchem Zweck die Daten erhoben und wann sie wieder gelöscht werden. Eine individuelles Tracking oder eine spätere Re-Personalisierung müssen ausgeschlossen sein. Diese Grundsätze werden wir als Aufsichtsbehörde von Verantwortlichen und Entwicklern einfordern.“

DSGVO sehr forschungsfreundlich gestaltet

Der EDSA verweist darauf, dass die Datenschutz-Grundverordnung (DSGVO) sehr forschungsfreundlich gestaltet ist. Der Datenschutz stehe weder der Forschung, noch der Pandemiebekämpfung entgegen. Vielmehr ermögliche erst die DSGVO eine rechtmäßige Verarbeitung von so sensiblen Gesundheitsdaten. Gleiches gilt für den Einsatz von digitalen Hilfsmitteln zur Pandemiebekämpfung. Dazu sagte Professor Kelber: „Apps und andere Werkzeuge können nur unterstützende Maßnahmen sein. Sie sind kein Ersatz für ein funktionierendes Gesundheitssystem und gegenseitige Rücksichtnahme.“

Weitere Informationen zum Thema:

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
EDSA beschließt weitere Leitlinien zu COVID-19

datensicherheit.de, 20.04.2020
DSGVO: Zunehmende Geldbußen rücken „Privacy by Design“ ins Interesse

]]>
https://www.datensicherheit.de/datenschutz-edsa-leitlinien-gesundheitsdaten-covid-19/feed 0