Die deutschen Aufsichtsbehörden der einzelnen Bundesländer veröffentlichen immer wieder neue Stellungnahmen oder Richtlinien zum Umgang mit datenschutzrechtlichen Problemstellungen.

AUFSICHTSBEHÖRDE NIEDERSACHSEN VERÖFFENTLICHt PROZESS ZUR AUSWAHL VON ANGEMESSENEN SICHERUNGSMAßNAMEN

Die Neuveröffentlichung der niedersächsischen Aufsichtsbehörde klingt fast schon wie eine Ironie des Schicksals. Vor ein paar Wochen machte die Behörde noch mit Negativschlagzeilen auf sich aufmerksam. Ein größeres technisches Problem führte letztendlich dazu, dass die LfD Niedersachsen einen Datenschutzverstoß nach Art. 32 DSGVO einräumen musste. Fast schon skurril klingt die Neuveröffentlichung von angemessenen Sicherungsmaßnahmen: ZAWAS (Prozess zur Auswahl angemessener Sicherungsmaßnahmen)

Dieser Prozess behandelt den Ablauf zur Auswahl von Maßnahmen zur Sicherheit von personenbezogenen Daten.

NEUER BUNDESDATENSCHUTZBEAUFTRAGTER

Vor über 200 geladenen Gästen fand am heutigen Tag der Festakt zur Amtsübergabe beim Bundesbeauftragten für den Datenschutz und für die Informationsfreiheit statt. Dabei betonten sowohl die bisherige Amtsinhaberin Andrea Voßhoff als auch ihr Nachfolger Ulrich Kelber die Wichtigkeit eines starken Datenschutzes im Zeitalter der Digitalisierung.

In seiner Antrittsrede richtete Ulrich Kelber direkt den Blick in die Zukunft: Die Digitalisierung verpflichtet die Datenschutzaufsichtsbehörden und damit auch den BfDI, die Menschen einerseits noch stärker für das Thema Datenschutz zu sensibilisieren. Andererseits müssen aber auch konsequent die neuen Möglichkeiten der Datenschutz-Grundverordnung (DSGVO) in der Praxis genutzt werden, um Betroffene bestmöglich zu schützen. Dies präzisierte er dahingehend, dass er dabei weniger an Datenverarbeitungen bei dem im Zusammenhang mit der DSGVO gern zitierten Bäcker an der Ecke denkt. Der Fokus muss vielmehr vor allem auf die großen international agierenden IT-Unternehmen gelegt werden, die heute bereits mehr Daten von uns verarbeiten, als es sich die meisten vorstellen können. Wir sind nicht mehr weit davon entfernt, dass nicht nur jedes menschliche Handeln, sondern auch das Nichthandeln erfasst, gespeichert und analysiert wird. Die Aufgaben für den Datenschutz werden also mit Sicherheit weiter wachsen.

BAYLDA prüft Cookie-Banner

Das BayLDA hat angekündigt, dass es demnächst den Einsatz von Cookie-Bannern und vielmehr auch Cookies prüfen wird. Und ferner konnte man hören, dass das BayLDA bei Cookies, die nicht selbst gesetzt und „essentiell“ sind, von dem Erfordernis einer Einwilligung ausgehen.

Viele Dienstleister, die das Implementieren von Cookie-Bannern anbieten, machen dies leider falsch bzw. unvollständig. Leider viel zu oft sieht man ein Banner „aufploppen“ mit dem Hinweis „Es werden Cookies erhoben“ den man mit einem Button „verstanden“ bestätigen muss. Leider ist dies nicht DSGVO konform. Generell gilt, dass ein Cookie-Banner eine Einwilligung des Nutzers einholen muss, ein „ja habe verstanden“ reicht hier definitiv nicht aus. Der Nutzer muss die Wahl haben mit „ja ich willige ein, dass Cookies erhoben werden“ und „nein ich willige nicht ein…“. Sollte nicht zugestimmt werden, muss man trotzdem den Webauftritt uneingeschränkt besuchen dürfen, ohne dass Cookies erhoben werden. Zusätzlich zur Einwilligung, dürfen bevor eine Einwilligung gegeben oder diese abgelehnt wurde, keine Cookies erhoben werden. D.h. die Cookies dürfen erst gespeichert werden mit dem Zeitpunkt des Einverständnisses.

LÖSCHUNG DURCH ANONYMISIEREN IN ÖSTERREICH

Die Österreichische Datenschutzbehörde (DSB) hat mit Bescheid vom 5.12.2018(DSB-D123.270/0009-DSB/2018) eine äußerst relevante Praxisfrage für die Anwendung der DSGVO entschieden. Genügt für eine Löschung von personenbezogenen Daten (und damit der Erfüllung des Löschungsanspruchs eines Betroffenen nach Art. 17 Abs. 1 DSGVO), dass diese Daten anonymisiert werden? Die Einschätzung der DSB: die Anonymisierung von personenbezogenen Daten kann grundsätzlich ein mögliches Mittel zur Löschung im Sinne der DSGVO sein.

Entscheidung der Behörde:

Zutreffend verweist die DSB einleitend darauf, dass der verbindliche Teil der DSGVO den Begriff der „Anonymisierung“ nicht kennt. Nur in ErwG 26 DSGVO wird dieser erwähnt (jedoch nicht definiert) und festgehalten, dass die DSGVO keine Anwendung auf anonymisierte Daten findet, worunter Informationen verstanden werden, „die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann“.