LibCat » Книги » Приключения » unrecognised » David Klein - DS-GVO/BDSG

David Klein - DS-GVO/BDSG

Здесь есть возможность читать онлайн «David Klein - DS-GVO/BDSG» — ознакомительный отрывок электронной книги совершенно бесплатно, а после прочтения отрывка купить полную версию. В некоторых случаях можно слушать аудио, скачать через торрент в формате fb2 и присутствует краткое содержание. Жанр: unrecognised, на немецком языке. Описание произведения, (предисловие) а так же отзывы посетителей доступны на портале библиотеки ЛибКат.

Читать книгу

Название:
DS-GVO/BDSG
Автор:
David Klein
Жанр:
unrecognised / на немецком языке
Год:
неизвестен
ISBN:
нет данных
Рейтинг книги:
4 / 5. Голосов: 1
Избранное:

Добавить в избранное
Отзывы:
Написать комментарий
Ваша оценка:
- 80
- 1
- 2
- 3
- 4
- 5

DS-GVO/BDSG: краткое содержание, описание и аннотация

Предлагаем к чтению аннотацию, описание, краткое содержание или предисловие (зависит от того, что написал сам автор книги «DS-GVO/BDSG»). Если вы не нашли необходимую информацию о книге — напишите в комментариях, мы постараемся отыскать её.

Sind Sie bereit für das neue Datenschutzrecht?Am 25. Mai 2018 haben die Europäische Datenschutz-Grundverordnung (DS-GVO) sowie das Datenschutzanpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU) das bisherige Datenschutzrecht ersetzt. Für die tägliche Datenschutzpraxis brachte dieser Stichtag weitreichende Änderungen mit sich. So können für Unternehmen Verstöße gegen den Datenschutz künftig sehr kostspielig werden, da Bußgelder in Höhe von bis zu 4 % des Vorjahresumsatzes des betroffenen Unternehmens verhängt werden können. Für Datenschutzverpflichtete gilt es, sicher erkennen zu können, welche Maßnahmen zur Vermeidung von Verstößen gegen das neue Recht ergriffen werden müssen. Eine erfolgreiche Umstellung auf das neue Datenschutzrecht erfordert daher nicht nur profunde Kenntnisse über Auslegung und Anwendung der DS-GVO, sondern auch über das korrespondierende deutsche Datenschutzrecht. Der vorliegende Heidelberger Kommentar bietet der Datenschutzpraxis beides!Den Einstieg in das neue Datenschutzrecht verschafft eine systematische Einführung, die die wichtigsten Änderungen kurz und prägnant vorstellt.Die Kommentierung entspricht durch ihren klaren Aufbau den Anforderungen der täglichen Praxis und ist so exakt auf die Bedürfnisse der Nutzer zugeschnitten. Jedem Artikel der DS-GVO werden die entsprechenden Erwägungsgründe sowie die entsprechende Norm des neuen BDSG zugeordnet und ausführlich kommentiert. Die Änderungen gegenüber dem alten Recht werden deutlich hervorgehoben. Mögliche Problempunkte, Fehlerquellen und Risiken werden dabei herausgearbeitet und konkrete Lösungsmöglichkeiten für die Praxis angeboten. Eine wichtige Informationsquelle für die Praxis sind auch die Beschlüsse der einschlägigen Expertenkreise für den Datenschutz, die innerhalb der Kommentierung berücksichtigt werden.Ergänzt wird die Kommentierung durch Praxishinweise mit ausführlichen Erläuterungen und Best Practice füröffentliche Stellennicht öffentliche Stellenbetroffene PersonenAufsichtsbehördenDatenschutzmanagementDas Autorenteam besteht aus ausgewiesenen Experten aus Wissenschaft, Aufsichtsbehörden sowie aus der Beraterschaft und ist ein Garant für umfassende und ausgewogene Informationen zum neuen Datenschutzrecht. Der vorliegende Kommentar bietet daher Unternehmen, Rechtsanwälten, Wissenschaftlern sowie Angehörigen der Datenschutzaufsicht das ideale Rüstzeug für eine erfolgreiche Umstellung auf das neue Datenschutzrecht.

DS-GVO/BDSG — читать онлайн ознакомительный отрывок

Ниже представлен текст книги, разбитый по страницам. Система сохранения места последней прочитанной страницы, позволяет с удобством читать онлайн бесплатно книгу «DS-GVO/BDSG», без необходимости каждый раз заново искать на чём Вы остановились. Поставьте закладку, и сможете в любой момент перейти на страницу, на которой закончили чтение.

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

c) Identifizierte oder identifizierbare Person

Die Information muss sich nach Art. 4 Nr. 1auf eine „identifizierte oder identifizierbare“ Person beziehen. Für die rechtliche Beurteilung ist es im Rahmen von Art. 4 Nr. 1ohne Belang unter welchen Begriff sich ein Tatbestand subsumieren lässt. Während die DS-GVO den Begriff der identifizierbaren Person ausführt, wird der Begriff der identifizierten Person nicht näher erläutert.

Grundsätzlich ist daher davon auszugehen, dass eine Person dann i.S.d. Art. 4 Nr. 1 identifiziertist, wenn ohne Schwierigkeiten die Identität der Person aus der Information selbst ermittelt werden kann, etwa weil der Name oder die Anschrift bekannt sind. Insgesamt kann eine Person daher dann als identifiziert gelten, wenn keine zusätzlichen Informationen mehr notwendig sind, um die Person zu identifizieren.[97]

Hinsichtlich der Frage, wann eine Person als identifizierbareinzustufen ist, äußert sich die DS-GVO in Art. 4 Nr. 1demgegenüber ausdrücklich: Dies ist dann der Fall, wenn die Person direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung, wie einem Namen zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Entscheidend für das Merkmal einer Identifizierbarkeit ist somit, dass eine vorhandene Information als solche für eine Identifizierung nicht ausreicht, sondern diese vielmehr erst durch die Zuhilfenahme und Verknüpfung mehrerer Informationen miteinander ermöglicht wird.[98]

Um festzustellen, ob eine Person identifizierbar ist, sind laut ErwG 26 S. 3 alle Mittel zu berücksichtigen, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren. Bei diesen Mitteln sind nach ErwG 26 S. 4 alle Faktoren, wie Kosten und Zeitaufwand der Identifizierung sowie verfügbare Technologien und technologische Entwicklungen zu berücksichtigen, wobei dieser Katalog nicht abschließend ist. Daraus folgt, dass nach den Vorgaben der DS-GVO eine Abwägung erforderlich ist, bei der die Erfolgsaussichten einer Identifizierung in Relation zu Verhältnismäßigkeitserwägungen gesetzt werden.[99]

Fraglich ist insbesondere, wann unter rechtlichen Gesichtspunkten bzw. anhand welcher Maßstäbe eine „Identifizierbarkeit“ der Person anzunehmen ist. Hierzu existieren im Ausgangspunkt zwei verschiedene Begründungsansätze: Ein relativer Ansatz stellt maßgeblich darauf ab, ob der für die Datenverarbeitung Verantwortlicheanhand der ihm zur Verfügung stehenden Informationen und Mittel einen Personenbezug herstellen kann, während ein absoluter Ansatz es demgegenüber bereits genügen lässt, dass ein Dritterden Personenbezug herstellen könnte.[100]

Da weder die DS-GVO noch die ErwG in dieser Hinsicht eine eindeutige Aussage treffen, lässt sich die Frage, welches Verständnis Art. 4 Nr. 1zugrunde liegt nur im Wege der Auslegung ermitteln: Der Wortlaut des ErwG 26 S. 3 nennt neben dem Verantwortlichen auch „andere Personen“, was für ein weites Begriffsverständnis im Sinne eines absoluten Ansatzes spricht. Einschränkend verlangt ErwG 26 S. 3 aber, dass die Nutzung der Mittel „nach allgemeinem Ermessen wahrscheinlich“ ist. Dies ist bei einem Dritten häufig dann der Fall, wenn dieser die personenbezogenen Daten selbst verarbeitet, so dass der Dritte selbst an der Identifizierung beteiligt sein muss.[101] Darüber hinaus spricht die in ErwG 26 angedeutete Notwendigkeit einer Verhältnismäßigkeitsprüfung für einen relativen Ansatz.

Die Art.-29-Datenschutzgruppe geht ebenfalls davon aus, dass eine „rein hypothetische Möglichkeit der Herstellung eines Personenbezugs noch nicht ausreicht, um die Person als bestimmbar anzusehen“[102] und folgt damit ebenfalls einem relativen Verständnis.

Unter teleologischen Erwägungen scheint eine absolute Betrachtungsweise darüber hinaus zu der widersprüchlich anmutenden Folge zu führen, dass datenverarbeitende Unternehmen grundsätzlich jegliche Daten als personenbezogen ansehen müssten, wenn es für die Identifizierbarkeit auch unter Umständen auf die (ungewisse) Kenntnis und Mittel Dritter ankäme. Eine derartige Rechtsunsicherheit in der Praxis kann im System des Datenschutzrechts nicht gewollt sein.[103] Denn in der Konsequenz würden die Unterschiede in den Begrifflichkeiten von „identifiziert“ und „identifizierbar“ faktisch eingeebnet und den Wortlaut der Verordnung sinnwidrig erscheinen lassen. Hinzu tritt, dass im Falle eines absoluten Ansatzes faktisch keine anonymisierten Daten mehr existieren könnten, so dass dieses Rechtsinstitut ebenfalls ausgehebelt würde.[104] Ergänzend lässt sich anführen, dass bei einem absoluten Verständnis des Art. 4 Nr. 1auch rechtswidrig erlangte Kenntnisse und Mittel Dritter in die Betrachtung einbezogen würden.[105]

Auch der EuGHfolgt in der Rechtssache Breyer gegen BRD[106] einem relativen Verständnis, indem er annimmt, dass „eine dynamische IP-Adresse, über die ein Nutzer die Internetseite eines Telemedienanbieters aufgerufen hat, für Letzteren ein personenbezogenes Datum [ist], soweit ein Internetzugangsanbieter über weitere zusätzliche Daten verfügt, die in Verbindung mit der dynamischen IP-Adressedie Identifizierung des Nutzers ermöglichen“. Gegenstand des Verfahrens war die Speicherung von IP-Adressen durch den Betreiber einer Webseite bei deren Aufruf. Der BGH hatte dem EuGH insbesondere die Frage vorgelegt, ob dynamische IP-Adressen ein „personenbezogenes Datum“ seien, wenn der Internetzugangsanbieter über Zusatzwissen verfügt, mit dem eine Identifizierung des Besuchers ermöglicht wird.[107] Schon der Generalanwalt vertrat die Ansicht, dass eine IP-Adresse für den Telemedienanbieter ein personenbezogenes Datum sei, wenn der Internetzugangsanbieter über Zusatzwissen verfüge, um den Besucher der Internetseite zu identifizieren, wobei nur solche als „Dritte“ angesehen werden könnten, an die sich der Telemedienanbieter vernünftigerweise halten könne, um mit vernünftigem Aufwand deren zusätzliche Kenntnisse zu nutzen.[108] Der EuGH ist dem Generalanwalt im Wesentlichen gefolgt, indem er betont, dass eine dynamische IP-Adresse jedenfalls dann als personenbezogenes Datum einzustufen ist, wenn der Webseitenbetreiber über die rechtlichen Mittel verfügt den Besucher der Internetseite mithilfe des Internetzugangsanbieters als Dritten zu bestimmen. Entscheidend ist somit die Perspektive des Verantwortlichen und die Identifizierbarkeit mithin danach zu bemessen, ob das Zusatzwissen Dritter für diesen zugänglich gemacht werden kann.[109]

Im Ergebnis ist daher eine vermittelnde Position vorzugswürdig, die eine Identifizierbarkeit maßgeblich von den Kenntnissen, Mitteln und Möglichkeiten des Verantwortlichen abhängig macht, indem dieser die Identifikation mit den ihm zur Verfügung stehenden Mitteln im Rahmen der o.g. Verhältnismäßigkeitserwägungen vornehmen kann.[110] Weil aber bei Licht betrachtet kaum Fälle denkbar sind, in denen man nach der vom EuGH aufgestellten Grundsätze die Personenbeziehbarkeit ablehnen kann, kommt dessen relativer Ansatz einem absoluten faktisch sehr nahe.

Auch die Datenethikkommissionder Bundesregierung hat zu der Frage des Personenbezugs von Daten in ihrem Abschlussgutachten vom Oktober 2019 Stellung genommen und dabei insbesondere die Notwendigkeit zur Schaffung von mehr Rechtssicherheit betont. Dementsprechend empfiehlt sie die Entwicklung von Fallgruppen, in denen ein Personenbezug anzunehmen ist. Dementsprechend sind für die Annahme eines Personenbezugs das Herausgreifen, die Verknüpfbarkeitsowie eine Inferenzentscheidend.[111] Mit Herausgreifen ist die Möglichkeit gemeint, mithilfe singulärer Merkmale aus einem Datenbestand Datensätze zu einzelnen Personen zu isolieren.[112] Mit Verknüpfbarkeit ist die Möglichkeit gemeint mindestens zwei Datensätze, die dieselbe Person betreffen mithilfe übereinstimmender Werte zu verknüpfen.[113] Inferenz meint die Möglichkeit, den Wert eines Merkmals mit einer signifikanten Wahrscheinlichkeit von den Werten einer Reihe von anderen Merkmalen abzuleiten.[114]