Schlagwort-Archive: Datenschutzgrundverordnung

Ankündigung: Sydow, Europäische DS-GVO (Kommentar)

In eigener Sache:

In wenigen Tagen (nämlich am 4.8.2017) soll endlich der Datenschutz-Kommentar Sydow, Europäische Datenschutzgrundverordnung, erscheinen, an dem ich mitwirken durfte.

Bis zum Erscheinen hat es lange gedauert, allerdings hat der späte Erscheinungstermin es auch ermöglicht, zumindest teilweise schon vorher erschienene Literatur zu berücksichtigen. Interessanterweise zeigen sich dadurch bereits jetzt eine Vielzahl von potentiellen (und tatsächlichen) Streitpunkten.

Ich selbst habe die Art. 25 (Datenschutz durch Technik) und 32 (Sicherheit der Verarbeitung) kommentiert (außerdem noch Art. 4 Nr. 12 (Verletzung des Schutzes personenbezogener Daten)). Dass ich Art. 25 und 32 kommentieren konnte, hat mich besonders gefreut, da sie nach meiner Einschätzung von erheblicher Bedeutung sind.

1. Art. 25

Für Art. 25 hat mir der Herausgeber dankenswerterweise relativ viel Freiraum gelassen. Auf knapp 30 Seiten und 84 Randnummern habe ich versucht, mich dem für das deutsche und europäische Datenschutzrecht im Wesentlichen „neue“ (es gab allerdings schon Ansätze für Vorläufer, dazu Rn. 8 ff.) Konzept des „Privacy by Design“ zu nähern. Nach einer Darstellung der Grundlagen und der Entwicklung des Konzepts und der Entstehung der Norm habe ich mich bemüht, alle wesentlichen Begriffe und Zusammenhänge der drei Absätze in Art. 25 abzuarbeiten. Schwerpunkte habe ich dabei auf Fragen der Risiko- und Folgenabschätzung und der Maßnahmen (Zeitpunkt, Abwägungskriterien, Ermessen und konkrete Einzelmaßnahmen) gelegt. Nach Privacy by Default (Abs. 2) habe ich dann auf die Darstellung der in Art. 25 angelegten „Anreizsysteme“ Wert gelegt. Der Adressatenkreis von Art. 25 ist nämlich – was im Gesetzgebungsverfahren schon erkannt wurde (dazu Rn. 16) – im Grunde zu eng, das weite Verständnis insbesondere die Einbeziehung von IT-Herstellern, konnte sich aber nicht durchsetzen. Verschiedene Anreize sollen daher nach meiner Einschätzung – mittelbar – auch Dritte zur Einhaltung der Vorgaben von Art. 25 (und damit der Datenschutzgrundsätze) bewegen.

Dabei gibt es für die künftige Diskussion aus meiner Sicht in Rechtsprechung und Literatur mehrere Knackpunkte, die ich hier nur anreißen möchte (meine Vorschläge finden sich in der Kommentierung):

  • Stand der Technik (Rn. 37 ff.): Wichtig wird sein, was als Stand der Technik anzusehen ist. Die ENISA hat bisher einen Bericht zur Analyse des Reifegrades von Datenschutztechniken vorgelegt, der hier hilfreich sein kann. Konkret wird nach meiner Ansicht die Frage interessant, ob eine Software, die der Verantwortliche einkauft oder mietet, dem Stand der Technik entsprechen kann, auch wenn sie die Vorgaben der DSGVO nicht erfüllt?
  • Implementierungskosten (Rn. 45 ff.): Weiter wird spannend, welchen Stellenwert Datenschutzaufsichtsbehörden und Gerichte bei der Abwägung den Implementierungskosten beimessen. Wann ist eine Maßnahme zu teuer, um verlangt werden zu können? Muss/kann berücksichtigt werden, wie wirtschaftlich leistungsfähig der Verantwortliche ist?
  • Konkrete Maßnahmen (Rn. 49 ff.): Auf Rn. 49 ff. habe ich verschiedene bereits mehr oder weniger bekannte Maßnahmen behandelt, die im Rahmen von Art. 25 – vom Verantwortlichen – abhängig vom Einzelfall – erwartet werden können. Dabei war mein Bestreben, möglichst konkret Maßnahmen darzustellen, um die Implementierung in der Praxis zu vereinfachen.
  • Mittelbare Anreize (Rn. 77 ff.): Ich habe mir weiter Gedanken darüber gemacht, wie nach Art. 25 Hersteller und andere betroffen sind. Hier werden Fragen des Wettbewerbs, der Auswahlentscheidungen des Verantwortlichen nach Art. 25 Abs. 1, aber auch der Mängelgewährleistung (ist es ein Mangel, wenn ein Produkt Datenschutzvorschriften nicht einhält, s. dazu kürzlich Berichte über eine Klage der Verbraucherzentrale NRW gegen Media Markt wegen Sicherheitslücken in Android-Handys) eine wesentliche Rolle spielen.

2. Art. 32

Art. 32 habe ich auf rund 15 Seiten und 36 Randnummern bearbeitet, wobei in Teilen (insbesondere zur Risikoabschätzung auf die Ausführungen bei Art. 25 verwiesen werden konnte. Anders als bei Art. 25 gibt es für Art. 32 im europäischen und nationalen Recht Vorläufer, insbesondere § 9 BDSG i.V.m. der zugehörigen Anlagen. Eine Kernaufgabe in der Kommentierung ist daher, aufzuzeigen, inwiefern der Verantwortliche, der sich bisher an § 9 BDSG orientiert hat, nachjustieren muss. Auch hier geht es um die Bestimmung einzelner, konkreter Maßnahmen (Rn. 9 ff.), die vom Verantwortlichen im Einzelfall zu erwarten sind. Art. 32 Abs. 1 lit. a)-d) greifen dabei zum einen Altbekanntes auf. Zum anderen gibt es aber auch neue Punkte, die berücksichtigt werden müssen. Auch inwiefern Art. 32 Abs. 4 die bisher aus §§ 9, 5 und 11 BDSG bekannten Pflichten umfasst, ist meiner Meinung nach nicht ganz einfach.

Insgesamt wird es nach meiner Einschätzung um Art. 32 weniger Streit geben als um Art. 25. Das mindert aber keineswegs seine Bedeutung . Ganz im Gegenteil, die Bußgeldvorschriften und insbesondere der Schadensersatzanspruch nach Art. 82 werden für eine bessere Beachtung von Grundsätzen der IT-Sicherheit sorgen, was angesichts der vielen Datenverluste und Berichten von unsicheren Systeme (insbesondere im Bereich Internet of Things) auch dringend Not tut.

 

Ich freue mich auf jeden Fall auf die Diskussionen, die sich wie schon gesagt, bereits jetzt abzeichnen.

Störerhaftung für Datenschutzverstöße Dritter (ZD 2014, 62) – online

In eigener Sache:

Mittlerweile ist mein in Heft 2/2014 der Zeitschrift für Datenschutz (ZD) auf S. 62-66 erschiener  Aufsatz mit dem Titel “Störerhaftung für Datenschutzverstöße Dritter – Sperre durch DS-RL und DS-GVO?” auch online abrufbar (PDF, 0,25 MB).

Der Aufsatz befasst sich mit der Frage, ob z.B. der Betreiber einer Webseite als Störer für Datenschutzverstöße bspw. von Google haften kann. Ausgangspunkt des Aufsatzes sind zwei Entscheidungen: Zum einen die Google Fanpages-Entscheidung des VG Schleswig vom 9.10.2013 (dazu die Meldung des Unabhängigen Datenschutzzentrums Schleswig-Holstein), zum anderen die Entscheidung des LG Potsdam zur Störerhaftung des Admin-C einer Domain für die Datenschutzverstöße des tatsächlichen Domaininhabers.

Aus dem Beitrag:

Soweit ersichtlich ist die Haftung für Datenschutzverstöße Dritter nach den Grundsätzen der Störerhaftung bisher kaum thematisiert worden. Mit einer Entscheidung des LG Potsdam auf der einen und des VG Schleswig auf der anderen Seite ist die Frage im Jahr 2013 in der Zivil- und der Verwaltungsgerichtsbarkeit unterschiedlich beurteilt worden. Der folgende Beitrag geht der Frage einer (zivilrechtlichen) Störerhaftung für die Datenschutzverstöße Dritter vor dem Hintergrund der EG-Datenschutzrichtlinie und der geplanten EU-Datenschutzgrundverordnung nach und beleuchtet die möglichen Folgen einer solchen Haftung für Internet Service Provider.

  1. Einleitung

Die Störerhaftung für Inhalte und Handlungen Dritter ist seit einigen Jahren immer wieder Gegenstand von gerichtlichen Verfahren im Zusammenhang mit Inhalten im Internet. Meist standen dabei aber Verletzungen von gewerblichen Schutzrechten, des Namensrechts oder des allgemeinen Persönlichkeitsrechts im Vordergrund.[1] Die Frage einer Störerhaftung für Datenschutzverstöße Dritter hingegen ist bisher in Rechtsprechung und Literatur eher stiefmütterlich behandelt worden. Die Entscheidungen des LG Potsdam[2] und des VG Schleswig[3] haben diese Frage nun aufgeworfen. In der Literatur wird – jeweils ohne tiefergehende Begründung – eine Störerhaftung für Datenschutzverstöße teils bejaht,[4] teils – für die öffentlich-rechtliche Haftung als Zweckveranlasser – verneint.[5]

  1. Urteil des LG Potsdam

Das LG Potsdam hat mit Urteil vom 31.7.2013 den Admin-C einer Domain als Störer verurteilt. …

Download des Beitrags (PDF, 0,25 MB)

S. auch

Aufsatz „Störerhaftung für Datenschutzverstöße Dritter – Sperre durch DS-RL und DS-GVO?“ (ZD 2014, 62) erschienen

In eigener Sache:

In Heft 2/2014 der Zeitschrift für Datenschutz (ZD) ist auf S. 62-65 mein Aufsatz mit dem Titel „Störerhaftung für Datenschutzverstöße Dritter – Sperre durch DS-RL und DS-GVO?“ erschienen.

Der Aufsatz, der ursprünglich den Titel „Die (zivilrechtliche) mittelbare Störerhaftung für Datenschutzverstöße Dritter – Verstoß gegen EG-Datenschutzrichtlinie und EU-Datenschutzgrundverordnung oder zulässige mitgliedsstaatliche Ausgestaltung“ tragen sollte (was aber zu lang war), befasst sich mit der Frage, ob z.B. der Betreiber einer Webseite als Störer für Datenschutzverstöße bspw. von Google haften kann.

Ausgangspunkt des Aufsatzes sind zwei Entscheidungen: Zum einen die Google Fanpages-Entscheidung des VG Schleswig vom 9.10.2013 (dazu die Meldung des Unabhängigen Datenschutzzentrums Schleswig-Holstein), zum anderen die Entscheidung des LG Potsdam zur Störerhaftung des Admin-C einer Domain für die Datenschutzverstöße des tatsächlichen Domaininhabers. Ich hatte damals per Twitter eine kurze Diskussion u.a. mit @carlopiltz zu der Entscheidung des LG Potsdam geführt. Das VG Schleswig-Holstein hatte nämlich eine Störerhaftung der Betreiber von Fanpages unter Hinweis auf die EG-Datenschutzrichtlinie abgelehnt. Die EG-Datenschutzrichtlinie sei insofern abschließend. Das LG Potsdam hat ohne nähere Konkretisierung die Gegenauffassung vertreten.

Diesen Konflikt wollte ich – angeregt durch die Diskussion auf Twitter – in dem Aufsatz aufarbeiten. Ich bin daher der Frage nachgegangen, ob die EG-Datenschutzrichtlinie wirklich Ansprüche aus Störerhaftung sperrt, und wie dies nach dem aktuellen Entwurf für eine Datenschutz-Grundverordnung zu beurteilen wäre. Mehr in ZD 2014, 62 ff. …