Inhalt der Ausgabe 02/2018
Editorial
Inhalt
Privacy News
In diesen Monaten wurden selbst eher technikferne Menschen daran erinnert, dass ihr Gesicht ein wichtiges Datum ist, welches zunehmend funktionalisiert wird: Beim Kauf eines Skipasses wird ihr Antlitz abgelichtet. Bei Benutzung der Wintersportanlagen wird sodann das gespeicherte Foto mit der Erscheinung der tatsächlich nutzenden Person zur Berechtigungsprüfung abgeglichen. Weitaus elaborierter geht es zu, wenn die Funktionalisierung nicht per simplem Sichtvergleich erfolgt, sondern mittels detaillierter Auswertung des Scans und wenn es darum geht, das Gesicht nicht in humaner Entscheidung zu erkennen, sondern mittels Algorithmus.
♦ AG Dortmund, Urt. v. 29.08.2017 – 425 C 3489/17 – Kein ausufernder datenschutzrechtlicher Auskunftsanspruch
♦ FG Düsseldorf, Beschl. v. 09.08.2017 – 4 K 1404/17 Z – Vorlagebeschluss bezüglich Aufforderung der Zollbehörden zur Mitteilung der Steuer-ID
♦ EuGH, Urt. v. 25.01.2018 – C-498/16 – Gerichtliche Zuständigkeit für Ansprüche aus einem Nutzungsvertrag mit Facebook, der potentiell zugleich die private als auch die unternehmerische Tätigkeit betrifft
♦ OVG Saarlouis, Urt. v. 14.12.2017 – Az. 2 A 662/17 – Zulässigkeit der Videoüberwachung in Verkaufsräumen und Anforderungen an Einwilligungen im Beschäftigungskontext
♦ UK – Court of Appeal bestätigt Rechtswidrigkeit der Vorratsdatenspeicherung
♦ China – Neue Datenschutzstandards nach Vorbild der DSGVO
Privacy Topics
Vor dem Hintergrund der Geltung der Datenschutz-Grundverordnung und des neuen Bundesdatenschutzgesetzes ab dem 25.05.2018 sind, nicht zuletzt wegen der drastisch erhöhten Bußgeldrahmen, einige datenschutzrechtliche Pflichten zunehmend in den Fokus gelangt.
Die Digitalisierung des Mobilitätssektors wird die Mobilität in den kommenden Jahren grundlegend verändern. Wesentlich dazu wird die Aufbereitung und Analyse von großen Daten- und Informationsbeständen beitragen. Ein umfassender Informationsaustausch zwischen den beteiligten Mobilitätsakteuren wird den Straßenverkehr insgesamt effizienter und sicherer gestalten.
Dateneigentum ist ein schillernder Begriff – suggeriert er doch ein absolutes Verfügungsrecht. Positiv gewendet, ließen sich die Rechtssicherheit erhöhen (so denn eine Zuordnung zum Berechtigten gelingt) und die faktische Anerkennung von Daten als Handelsgut nachvollziehen. Kritiker sehen hingegen Gefahren für den Persönlichkeitsschutz, aber auch für die Handelbarkeit von Daten.
Privacy Compliance
Art. 88 DSGVO überlässt den Mitgliedstaaten die Regelung der Datenverarbeitung im Beschäftigungskontext. In Österreich gibt es kein eigenes Arbeitnehmerdatenschutzgesetz. Der Arbeitnehmerdatenschutz ist traditionell im Rahmen des kollektivrechtlichen Schutzes durch Betriebsvereinbarungen angesiedelt. Diese Tradition wird auch mit dem neuen Datenschutz-Anpassungsgesetz 2018 fortgeschrieben.
Die aktuellen Vorgaben zeitgemäßer IT-Sicherheit werden vorwiegend aus technischen Normen und Standards sowie aus gesetzlichen Regelungen ab geleitet, die von technischen und juristischen Experten entworfen werden und durch entsprechende Beratungsunternehmen sowie Inhouse-Consulting-Maßnahmen für das einzelne Unternehmen konkretisiert werden können. Was jedoch, wenn ein Unternehmen weder über eigenen technischen noch juristischen Sachverstand verfügt, gleichwohl aber verpflichtet ist, angemessene IT-Security umzusetzen? Sei es aufgrund von gesetzlichen Verpflichtungen, wie beispielsweise aus dem IT-Sicherheitsgesetz und der NIS-RL der EU, oder aber, um mögliche Haftungsrisiken zu vermeiden, sollten kritische Systeme ausfallen und Dritte geschädigt werden.
Unter dem Stichwort „Datenkraken“ werden seit der Jahrtausendwende Großkonzerne gefasst, die mittels Big Data-Anwendungen große Massen an Daten erheben und verarbeiten. Als Kontroll instrument steht dem Einzelnen das durch die Datenschutz-Grundverordnung neugefasste Betroffenenrecht auf Löschung personenbezogener Daten zur Verfügung, das in Bezug auf seine Reichweite und praktische Handhabbarkeit bereits vor Geltung der Verordnung kontrovers diskutiert wird. Erfüllt Art. 17 DSGVO die Erwartungen der Betroffenen? Ist diese Rechtsposition innerhalb gängiger Anwendungen überhaupt realisierbar? Der vorliegende Beitrag soll Licht in die Diskussion bringen.
Die technische Umsetzung der rechtlichen Löschvorgaben der DSGVO stellt Anwender aufgrund der Komplexität und Vielschichtigkeit moderner IT-Systeme vor große Herausforderungen. Dieser Beitrag zeigt zunächst anhand einer detaillierten Betrachtung der möglichen Speicherorte personenbezogener Daten, dass eine unverzügliche vollständige Löschung an allen Speicherorten inklusive der Datensicherungen in der Praxis zumeist weder effektiv möglich noch aus Risikoerwägungen sachgerecht ist.
Jetzt bestellen – für den gesamten Campus.
