Tag Archives: EU

Einwilligung entsprechend der EU Datenschutzverordnung (General Data Protection Regulation Version 56)

Posted on by
Reply

Die SICODA GmbH empfiehlt die Einwilligung als Verarbeitungserlaubnis nur dann einzusetzen, wenn es keine wirtschaftlich adäquate Alternative gibt.

 

Entsprechend der Version 56 der General Data Protection Regulation soll es künftig genauere Regelungen zur Einwilligung im Datenschutz geben.

Artikel 7 fordert in sechs Punkten:

  1. Die Beweislast für das vorliegen einer Einwilligungserklärung liegt bei der verantwortlichen Stelle.
  2. Soweit eine Erklärung im Rahmen eines schriftlichen Dokumentes abgegeben wird muss die Datenschutzerklärung deutlich hervorgehoben werden.
  3. Der Betroffene kann die Einwilligungserklärung jederzeit mit Wirkung für die Zukunft zurückziehen.
  4. Soweit ein Ungleichverhältnis der Parteien besteht, soll einer Einwilligungserklärung unzulässig sein.
  5. Eine Einwilligung darf nicht die Verarbeitungsgrundlage darstellen soweit
    1. öffentliche Stellen hoheitlicher Aufgaben erfüllen oder
    2. es sich um Datenverarbeitungen aus dem Arbeitsverhältnis handelt.
  6. Die Einwilligung eines Kindes ist nur mit Genehmigung eines Erziehungs- oder Betreuungsberechtigten zulässig.

 

Im Ergebnis wird in dem neuen Art. 7 der Datenschutzverordnung nur gesetzlich festgelegt, was bereits § 4 BDSG geregelt ist. Auch hier wird die freiwillige schriftliche Einwilligung bereits gesetzlich vorgeschrieben.

So weit Art. 7 Abs. 5b auf die Einwilligung im Arbeitsverhältnis eingeht, bleibt abzuwarten, inwieweit diese Regelung mit den geplanten Änderungen des § 32ff BDSG in Einklang zu bringen ist, die jedenfalls in einzelnen aufgezählten Fällen die Einwilligung im Arbeitsverhältnis zu lassen. Art. 8 dieser Verordnung schränkt die Regelungen zur Datenverarbeitung im Arbeitsverhältnis insofern ein, dass hier nationale Gesetze mit besonderen Sicherheitsmaßnahmen für die Betroffenen unter dem Schutzrahmen dieser Datenschutzverordnung bleiben können. Inwieweit diese Erleichterung auch auf Art. 7 anwendbar ist, bleibt abzuwarten.

In den Entscheidungsgründen zu Art. 7 wird ausgeführt dass eine Einwilligung im Arbeitsverhältnis niemals eine gültige Rechtsgrundlage bilden dürfe.

 

EU Datenschutzverordnung – Ziel der Verordnung

Posted on by
Reply

Die Kommission will mit diesem neuen Ansatz ein Rahmenwerk für Datenschutz innerhalb der Europäischen Union bereitstellen. Man ist der Auffassung das die rasende Entwicklung in der Technologie Herausforderungen für den Datenschutz sich bringt. Diesen Herausforderungen soll sich eine neue Verordnung zum Datenschutz stellen. Man ist der Auffassung, dass das fehlende Vertrauen die online Entwicklung hemmt und durch geeignete gesetzgeberische Vorgaben gefördert werden kann.

Art. 8 der Grundrechtscharta garantiert den Schutz personenbezogener Daten. Der aktuelle gesetzgeberische Rahmen bietet keine ausreichende Sicherheit in der Implementierung des Datenschutzes innerhalb der einzelnen europäischen Staaten.

Daher vertritt die EU-Kommission zur Zeit die Auffassung, dass eine Harmonisierung des Datenschutzrechts innerhalb Europas nur mit einer Datenschutzverordnung erreicht werden kann. Im Unterschied zu Richtlinien sind für Ordnungen der Europäischen Union direkt anwendbares nationales Recht und müssen nicht mehr durch eigene nationale Gesetze umgesetzt werden. Die EU Datenschutzrichtlinie 95/46 wurde mit dem Bundesdatenschutzgesetz 2001 von der Bundesregierung in nationales Recht der Bundesrepublik überführt.

Framework für RFID Anwendungen

Posted on by
Reply

Die Art. 29 Datenschutzgruppe hat in ihrem Workingpaper 180 Stellung genommen zum Einsatz von RFID Technik. Das zur Zeit nur in der englischen Version erhältliche Workingpaper “Opinion 9/2011 on the revised Industry Proposal for a Privacy and Data Protection Impact Assessment Framework for RFID Applications
Vor der Einführung von RFID Technik sollen die datenschutzrelevanten Persönlichkeitsbeeinträchtigungen in geeigneter Weise geprüft und bewertet werden. Die Prüfberichte sollen für Berechtigte verfügbar sein und somit eine Transparenz des Verfahrens sicherstellen.

 

Das Analyseverfahren soll in zwei Schritten erfolgen. In einer ersten Phase soll ermittelt werden wie umfangreich die Prüfung der Eingriffe in Persönlichkeitsrechte ist. Soweit tatsächlich personenbezogene Daten verarbeitet werden, ist eine umfassende Prüfung der Rechte der Betroffenen erforderlich.
Im Rahmen der Risikoanalyse sollen folgende Punkte behandelt werden:

  1. Charakteriesierung der Datenverarbeitungen mit Datentypen, Datenflüsse, verwendete Technik, Speicherung und Transfer von Daten
  2. Risikoanalyse der Verletzung von Persönlichkeitsrechten bei Verlust von Vertraulichkeit im System
  3. Kontrollmechnismen, die die vorherigen Risiken minieren.
  4. Maßnahmen zur Sicherung der Persönlichkeitsrechte der Betroffenen. 

 

Die von der Art. 29 Gruppe zusammengestellt Anforderung waren im Prinzip so auch schon über die Notwendigkeit einer Vorabkontrolle nach § 4d Abs. 5 BDSG im deutschen Recht verankert. In der Praxis wurde insbesondere die Risikoanalyse bisher nicht mit der erforderlichen Ernsthaftigkeit betrieben.