LibCat » Книги » Приключения » unrecognised » David Klein - DS-GVO/BDSG

David Klein - DS-GVO/BDSG

Здесь есть возможность читать онлайн «David Klein - DS-GVO/BDSG» — ознакомительный отрывок электронной книги совершенно бесплатно, а после прочтения отрывка купить полную версию. В некоторых случаях можно слушать аудио, скачать через торрент в формате fb2 и присутствует краткое содержание. Жанр: unrecognised, на немецком языке. Описание произведения, (предисловие) а так же отзывы посетителей доступны на портале библиотеки ЛибКат.

Читать книгу

Название:
DS-GVO/BDSG
Автор:
David Klein
Жанр:
unrecognised / на немецком языке
Год:
неизвестен
ISBN:
нет данных
Рейтинг книги:
4 / 5. Голосов: 1
Избранное:

Добавить в избранное
Отзывы:
Написать комментарий
Ваша оценка:
- 80
- 1
- 2
- 3
- 4
- 5

DS-GVO/BDSG: краткое содержание, описание и аннотация

Предлагаем к чтению аннотацию, описание, краткое содержание или предисловие (зависит от того, что написал сам автор книги «DS-GVO/BDSG»). Если вы не нашли необходимую информацию о книге — напишите в комментариях, мы постараемся отыскать её.

Sind Sie bereit für das neue Datenschutzrecht?Am 25. Mai 2018 haben die Europäische Datenschutz-Grundverordnung (DS-GVO) sowie das Datenschutzanpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU) das bisherige Datenschutzrecht ersetzt. Für die tägliche Datenschutzpraxis brachte dieser Stichtag weitreichende Änderungen mit sich. So können für Unternehmen Verstöße gegen den Datenschutz künftig sehr kostspielig werden, da Bußgelder in Höhe von bis zu 4 % des Vorjahresumsatzes des betroffenen Unternehmens verhängt werden können. Für Datenschutzverpflichtete gilt es, sicher erkennen zu können, welche Maßnahmen zur Vermeidung von Verstößen gegen das neue Recht ergriffen werden müssen. Eine erfolgreiche Umstellung auf das neue Datenschutzrecht erfordert daher nicht nur profunde Kenntnisse über Auslegung und Anwendung der DS-GVO, sondern auch über das korrespondierende deutsche Datenschutzrecht. Der vorliegende Heidelberger Kommentar bietet der Datenschutzpraxis beides!Den Einstieg in das neue Datenschutzrecht verschafft eine systematische Einführung, die die wichtigsten Änderungen kurz und prägnant vorstellt.Die Kommentierung entspricht durch ihren klaren Aufbau den Anforderungen der täglichen Praxis und ist so exakt auf die Bedürfnisse der Nutzer zugeschnitten. Jedem Artikel der DS-GVO werden die entsprechenden Erwägungsgründe sowie die entsprechende Norm des neuen BDSG zugeordnet und ausführlich kommentiert. Die Änderungen gegenüber dem alten Recht werden deutlich hervorgehoben. Mögliche Problempunkte, Fehlerquellen und Risiken werden dabei herausgearbeitet und konkrete Lösungsmöglichkeiten für die Praxis angeboten. Eine wichtige Informationsquelle für die Praxis sind auch die Beschlüsse der einschlägigen Expertenkreise für den Datenschutz, die innerhalb der Kommentierung berücksichtigt werden.Ergänzt wird die Kommentierung durch Praxishinweise mit ausführlichen Erläuterungen und Best Practice füröffentliche Stellennicht öffentliche Stellenbetroffene PersonenAufsichtsbehördenDatenschutzmanagementDas Autorenteam besteht aus ausgewiesenen Experten aus Wissenschaft, Aufsichtsbehörden sowie aus der Beraterschaft und ist ein Garant für umfassende und ausgewogene Informationen zum neuen Datenschutzrecht. Der vorliegende Kommentar bietet daher Unternehmen, Rechtsanwälten, Wissenschaftlern sowie Angehörigen der Datenschutzaufsicht das ideale Rüstzeug für eine erfolgreiche Umstellung auf das neue Datenschutzrecht.

DS-GVO/BDSG — читать онлайн ознакомительный отрывок

Ниже представлен текст книги, разбитый по страницам. Система сохранения места последней прочитанной страницы, позволяет с удобством читать онлайн бесплатно книгу «DS-GVO/BDSG», без необходимости каждый раз заново искать на чём Вы остановились. Поставьте закладку, и сможете в любой момент перейти на страницу, на которой закончили чтение.

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

154

Insgesamt folgt die Prüfung, wer über Zwecke und Mittel entscheidet einem kontextbezogenenund pragmatischen Ansatz. Gerade im Rahmen von Datenverarbeitungsprozessen wird etwa das beauftragende Unternehmen zwar über die Zwecke der Verarbeitung entscheiden, demgegenüber besitzt das beauftragte Unternehmen das erforderliche Spezialwissen und trifft somit die Entscheidung hinsichtlich der Mittel der Datenverarbeitung. Daraus folgt, dass die Entscheidung über die Zwecke der Datenverarbeitung stets einen aussagekräftigen Rückschluss auf die Stellung als Verantwortlicher zulässt, während die Entscheidung über die Mittel auch einem vom Verantwortlichen abzugrenzenden Auftragsverarbeiter zufallen kann.[390]

d) Abgrenzung zur Auftragsverarbeitung

155

Das weite Begriffsverständnis von Art. 4 Nr. 7, das der EuGH in seiner Rechtsprechung[391] etabliert hat, wirft die Frage auf, welcher Anwendungsbereich noch für eine Auftragsverarbeitung verbleibt und unter welchen Voraussetzungen ein Akteur als Dritter bzw. Empfänger von personenbezogenen Daten i.S.d. Art. 4 Nr. 8–10anzusehen ist.

156

Das AG Mannheim hat insoweit im Hinblick auf eine Abgrenzung zur Auftragsverarbeitung klargestellt, dass es sich bei einer solchen nur um eine datenverarbeitende Hilfsfunktion[392] handeln darf, d.h. dass „keine Leistungen erbracht werden dürfen, die über die bloße Datenverarbeitung hinausgehen“[393]. Dabei ist unerheblich, welche Bezeichnung die Beteiligten wählen. Eine Bezeichnungeiner Vereinbarung als „Auftragsverarbeitungsvertrag“ ist dabei für die Annahme einer gemeinsamen Verantwortlichkeit unerheblich.[394] Entscheidend sind die tatsächlichen Umstände des jeweiligen Einzelfalls.[395]

157

Eine Checkliste für eine Abgrenzung zwischen Auftragsverarbeiter und Verantwortlichem findet sich auch in den „Guidelines on the concepts of controller, processor and joint controllership under Regulation (EU) 2018/1725“ des Europäischen Datenschutzbeauftragten (EDSB) vom 7.11.2019.[396] Für Einzelheiten wird an dieser Stelle auf die Kommentierungen zu Art. 4 Nr. 8–10verwiesen.

4. Einzelfälle/Praxisbeispiele/Praxishinweise

158

Die datenschutzrechtliche Mitverantwortlichkeit der Betreiber von Fanpagesbei Facebook ist nunmehr durch den EuGH bejaht worden.[397]

159

Im Nachgang zu der EuGH-Entscheidung veröffentlichte Facebook ein sog. Page Controller Addendum, das Rechte und Pflichten der Verantwortlichen entsprechend Art. 26beschreibt.[398] Diese Ergänzung der Nutzungsbedingungen erfüllt die Anforderungen an eine Vereinbarung nach Art. 26nach Meinung der Datenschutzkonferenz (DSK) jedoch nicht. Im DSK -Beschluss zu Facebook-Fanpages v. 5.9.2018 heißt es: „Ohne Vereinbarung nach Art. 26 DS-GVOist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig.“[399] Die DSK positionierte sich im April 2019 wie folgt: „Am 11. September 2018 veröffentlichte Facebook eine sog. „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ sowie „Informationen zu SeitenInsights“. Diese (…) Ergänzung (…) erfüllt nicht die Anforderungen an eine Vereinbarung nach Art. 26 DSGVO. (…) Solange diesen Pflichten nicht nachgekommen wird, ist ein datenschutzkonformer Betrieb einer Fanpage nicht möglich.“[400]

160

Das BVerwGhat die Entscheidung des EuGH zu Facebook-Fanpages[401] für den konkreten Fall befolgt und die Sache zur endgültigen Entscheidung an das OVG Schleswig verwiesen.

161

Hinzu treten die Entscheidungen des EuGH in den Rs. Jehova[402] und Fashion ID[403]. Die Art.-29-Datenschutzgruppe vertritt in ihrem WP 169 die Position, dass derjenige, der weder unter rechtlichen noch tatsächlichen Gesichtspunkten Einfluss auf die Entscheidung der Verarbeitung personenbezogener Daten hat, nicht als Verantwortlicher angesehen werden kann.[404] Dieser Auffassung ist der EuGH in Fashion ID nunmehr gefolgt.[405] In datenschutzrechtlicher Hinsicht ergeben sich aus den Urteilen weitreichende Konsequenzen für die Reichweite der Verantwortlichkeit datenverarbeitender Stellen, insbesondere für die Betreiber von Fanpages‚ und Social-Plug-Ins im Rahmen von Social Media. Durch den weiten Anwendungsbereich, den der EuGH dem Verantwortlichen und einer gemeinsamen Verantwortlichkeit einräumt, ist in praktischer Hinsicht stets eine sorgsame Prüfung erforderlich, ob anhand der vom EuGH aufgestellten Kriterien eine (gemeinsame) Verantwortlichkeit der beteiligten Akteure vorliegt oder eine Auftragsverarbeitung (vgl. dazu Rn. 155ff. sowie insbes. die Kommentierung zu Art. 26und Art. 28).

162

Die genannten Entscheidungen haben weitreichende Konsequenzen für die Praxis bei der Nutzung sozialer Mediendienste. Jeder datenschutzrechtlich Verantwortliche, der im weiten Sinne der Rechtsprechung über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet und dem Anwendungsbereich der DS-GVO unterfällt, darf nur dann eine Facebook-Fanpage betreiben, wenn sie mit Facebook eine Vereinbarung über die Verteilung der datenschutzrechtlichen Verpflichtungen nach Art. 26getroffen haben. Von dieser Pflicht ausgenommen sind, soweit vorliegend von Bedeutung, lediglich natürliche Personen, die ausschließlich persönliche oder familiäre Tätigkeiten verfolgen. Die Pflicht eine solche Vereinbarung mit Facebook zu schließen, trifft damit alle öffentlichen Stellen und private Stellen, soweit sie über den persönlichen oder privaten Gebrauch hinaus soziale Netzwerke nutzen. Private und öffentliche verantwortliche Stellen sind nun in der Pflicht, datenschutzrechtlich geeignete und angemessene Strategien zur rechtskonformen Teilhabe an den Angeboten der digitalen Kommunikation vorzulegen. Das kann nur unter Mitwirkung der Anbieter der Dienste erfolgen. Diese sind hierbei nach der Rechtsprechung des BVerfG („Recht auf Vergessen I“) uneingeschränkt an die Grundrechte gebunden (mittelbare Grundrechtsbindung).[406]

163

So hat etwa Facebook im Nachgang zu der EuGH-Entscheidung ein sog. Page Controller Addendumveröffentlicht, das Rechte und Pflichten der Verantwortlichen entsprechend Art. 26beschreibt. Dieses wurde seither auf Drängen der in Deutschland zuständigen Datenschutzbehörden zwar mehrfach überarbeitet,[407] die Ergänzung der Nutzungsbedingungen erfüllt die Anforderungen an eine Vereinbarung nach Art. 26nach Meinung der Datenschutzkonferenz (DSK) dennoch nicht. Ein datenschutzkonformer Betrieb einer Facebook-Fanpage ist insofern der DSK zufolge aktuell nicht möglich.[408] Ebenso hat sich die LDI NRW in ihrem Tätigkeitsbericht für das Jahr 2019 positioniert.[409] Der LDI RLP hat hingegen auf seiner Website eine Muster-Datenschutzerklärung für Facebook-Fanpages zur Verfügung gestellt (Stand: 9.6.2020).[410] Die unterschiedliche Praxis der Datenschutzaufsichten, einerseits wird ein Muster für den Betrieb einer Fanpage zur Verfügung gestellt, ein anderes Mal wird impliziert von einem Verbot ausgegangen, ist für die Praxis problematisch.

164

Bis zur Vorlage einer allseits anerkannten Vereinbarung nach Art. 26, drohen Verantwortlichen datenschutzrechtliche Sanktionen durch die Datenschutzaufsichtsbehörden. Das BVerwGhat ausdrücklich darauf hingewiesen, dass Datenschutzbehörden zur möglichst zügigen und wirkungsvollen Durchsetzung eines hohen Datenschutzniveaus ermessenfehlerfrei einen Fanpagebetreiber unmittelbar für die Herstellung datenschutzkonformer Zustände bei Nutzung seiner Fanpage in die Pflicht nehmen können.[411] Die Aufsichtsbehörden müssen nicht „gegen eine der Untergliederungen oder Niederlassungen von Facebook vorgehen, weil das wegen der fehlenden Kooperationsbereitschaft von Facebook mit erheblichen tatsächlichen und rechtlichen Unsicherheiten verbunden (…) wäre.“[412] Bis zur Rechtskraft der abschließenden Entscheidung des OVG Schleswig kann eine Behörde versuchen, aus formalen Gründen unter Berufung auf die fehlende Rechtskraft im konkreten Verfahren vor dem OVG Schleswig, die Rechtswidrigkeit des Betriebs einer Facebook -Fanpage auch ohne wirksame Vereinbarung nach Art. 26in Abrede zu stellen.