Benutzeranmeldung
Jetzt Mitglied werden
Neueste Beiträge
Viel diskutiert
Neueste Kommentare
Edwardelers kommentierte zu Online-Seminare nach § 15 FAO: Toll oder blutleer? Was haben die Leser*innen für Erfahrungen?
Waldemar R. Kolos kommentierte zu Tausendfache Verfolgung Unschuldiger (§ 344 StGB) zur Manipulation der Polizeilichen Kriminalstatistik?
Jipetto Scham v... kommentierte zu Neuer Grenzwert für`s bekiffte Fahren: 3,5 ng/ml...na dann "Alles Gute!"
Meine Kommentare
Dr. Axel Spies kommentiert am Permanenter Link
Das EDPB hat sich gestern auch zu dem Thema geäußert: https://edpb.europa.eu/news/news/2020/statement-edpb-chair-processing-personal-data-context-covid-19-outbreak_en
Die Übermittlung der Standortdaten an Regierungsstellen ist übrigens auch ein Thema in den USA:
"Sen. Edward J. Markey, D-Mass., wrote to the Trump administration on Thursday urging the executive branch to "balance privacy with any data-driven solutions to the current public health crisis."
Though reports said the administration was only seeking to sift through aggregated and anonymized location data for insights, Markey said that also posed a privacy risk because of the amount of information that can be extracted from such data.
"Attempting to limit smartphone location data in this manner is insufficient to preclude violations of Americans' privacy," Markey said. "We need assurances that collection and processing of these types of information, even if aggregated and anonymized, do not pose safety and privacy risks to individuals."
Markey isn't the only one concerned about privacy being breached as the federal government works to contain the spread of COVID-19, which had infected more than 11,000 people in the United States as of Thursday afternoon.
Five other Democratic senators wrote to Vice President Mike Pence on the same day with questions about the administration's planned rollout of a website [...] to shepherd individuals with symptoms toward testing sites."
Dr. Axel Spies kommentiert am Permanenter Link
Hier noch eine neue Mitteilung vom BfDI:
https://www.bfdi.bund.de/DE/Datenschutz/Themen/Gesundheit_Soziales/Gesun...
Datenschutzrechtliche Informationen zur Verarbeitung von personenbezogenen Daten durch Arbeitgeber und Dienstherren im Zusammenhang mit der Corona-PandemieDie unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder erreichen vermehrt Anfragen von Arbeitgebern/Dienstherren, ob und wie personenbezogene Daten von Mitarbeitern sowie Gästen und Besuchern bei im Zusammenhang mit der Corona-Pandemie stehenden Maßnahmen verarbeitet werden können. Dazu einige allgemeine Hinweise:
Werden im Zusammenhang mit der Corona-Pandemie personenbezogene Daten erhoben, werden in den meisten Fällen Bezüge zwischen Personen und deren Gesundheitszustand hergestellt. Ab diesem Zeitpunkt handelt es sich um Gesundheitsdaten, die nach Artikel 9 Datenschutz-Grundverordnung (DSGVO) besonders geschützt sind.
Auch wenn eine Verarbeitung von Gesundheitsdaten grundsätzlich nur restriktiv möglich ist, können für verschiedene Maßnahmen zur Eindämmung der Corona-Pandemie oder zum Schutz von Mitarbeiterinnen und Mitarbeitern datenschutzkonform Daten erhoben und verwendet werden. Dabei ist der Grundsatz der Verhältnismäßigkeit und der gesetzlichen Grundlage stets zu beachten.
Beispielsweise können die folgenden Maßnahmen zur Eindämmung und Bekämpfung der Corona-Pandemie als datenschutzrechtlich legitimiert betrachtet werden:
Rechtliche Hintergrundinformationen:
Die vorstehenden Maßnahmen lassen sich rechtlich auf Grundlage der DSGVO und des BDSG (ggf. in Verbindung mit Landesdatenschutz- und weiteren Fachgesetzen) legitimieren. Je nach Maßnahme können die einschlägigen Rechtsgrundlagen dabei leicht variieren. Ungeachtet dessen gelten aber die folgenden allgemeinen Grundsätze:
Die Berechtigung zur Verarbeitung personenbezogener Mitarbeiterdaten ergibt sich in diesen Fällen für öffentlich-rechtliche Arbeitgeber grundsätzlich aus Art. 6 Abs. 1 Satz 1 lit. e) DSGVO und für Arbeitgeber im nicht-öffentlichen Bereich aus § 26 Abs 1 BDSG bzw. Art. 6 Abs. 1 Satz 1 lit. f) DSGVO jeweils i.V.m. den einschlägigen beamtenrechtlichen sowie tarif-, arbeits- und sozialrechtlichen Regelungen des nationalen Rechts. Soweit Gesundheitsdaten verarbeitet werden, sind zudem auch § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b) DSGVO einschlägig. Bei Art. 9 Abs. 2 lit. b) DSGVO umfasst der Begriff "Arbeitsrecht" nach Auffassung der Datenschutzaufsichtsbehörden auch das deutsche Beamtenrecht. Zugunsten des öffentlich-rechtlichen Arbeitgebers könnte zusätzlich Art. 9 Abs. 2 lit. g) DSGVO herangezogen werden, da die Fürsorgepflicht im Sinne der Gesundheitsvorsorge hier auch einem wichtigen öffentlichen Interesse dient.
Maßnahmen gegenüber Dritten können bei öffentlichen Stellen auf Art. 6 Abs. 1 Satz 1 lit. c) und e) ggf. in Verbindung mit den jeweiligen Landesdatenschutzgesetzen gestützt werden. Im nicht-öffentlichen Bereich kann Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO als Rechtsgrundlage herangezogen werden. Soweit besonders sensible Daten – wie Gesundheitsdaten – betroffen sind, findet zudem Art. 9 Abs. 2 lit. i) i.V.m. § 22 Abs. 1 Nr. 1 lit. c) BDSG Anwendung.
Die Fürsorgepflicht der Arbeitgeber bzw. der Dienstherren verpflichtet diese den Gesundheitsschutz der Gesamtheit ihrer Beschäftigten sicherzustellen. Hierzu zählt nach Ansicht der unabhängigen Datenschutzaufsichtsbehörden auch die angemessene Reaktion auf die epidemische bzw. inzwischen pandemische Verbreitung einer meldepflichtigen Krankheit, die insbesondere der Vorsorge und im Fall der Fälle der Nachverfolgbarkeit (also im Grunde nachgelagerte Vorsorge gegenüber den Kontaktpersonen) dient. Diese Maßnahmen müssen dabei natürlich immer auch verhältnismäßig sein. Die Daten müssen vertraulich behandelt und ausschließlich zweckgebunden verwendet werden. Nach Wegfall des jeweiligen Verarbeitungszwecks (regelmäßig also spätestens dem Ende der Pandemie) müssen die erhobenen Daten unverzüglich gelöscht werden.
Eine Einwilligung der von Maßnahmen Betroffenen allein sollte hingegen vorliegend nur als datenschutzrechtliche Verarbeitungsgrundlage in Betracht gezogen werden, wenn die Betroffenen über die Datenverarbeitung informiert sind und freiwillig in die Maßnahme einwilligen können.
Zusätzlich zu den bestehenden Rechtsgrundlagen für die Datenverarbeitung auf Seiten des Arbeitgebers ergeben sich aus dem Beamtenrecht, aus dem Tarifrecht bzw. dem Arbeitsrecht für Beschäftigte verschiedene Nebenpflichten, unter anderem auch Rücksichts-, Verhaltens- und Mitwirkungspflichten gegenüber ihrem Arbeitgeber und Dritten. Vorliegend stellt nach Auffassung der Datenschutzaufsichtsbehörden beispielsweise die Pflicht zur Information des Dienstherrn bzw. des Arbeitgebers über das Vorliegen einer Infektion mit dem Corona-Virus eine solche Nebenpflicht zum Schutz hochrangiger Interessen Dritter dar, aus der unter gewissen Voraussetzungen auch eine Offenlegungsbefugnis gemäß Art. 6 Abs. 1 lit. c) und f) DSGVO bezüglich personenbezogener Daten der Kontaktpersonen folgt.
Dr. Axel Spies kommentiert am Permanenter Link
Vielen Dank für die Kommentare. Hier noch eine etwas ausführlichere Zusammenfassung der Lage in Englisch:
https://www.morganlewis.com/pubs/the-edata-guide-to-gdpr-coronavirus-v-g...
Dr. Axel Spies kommentiert am Permanenter Link
Interessant aus Sicht des Datenschutzes: CFIUS kann nach den neuen Regeln Transaktionen im Zusammenhang mit US-Unternehmen prüfen, die „sensible“ personenbezogene Daten von US-Bürgern unterhalten oder sammeln.
"Sensible persönliche Daten" (sensitive personal data) sind so weit definiert, dass sie viele Kategorien von Daten umfassen, die von einem US-Unternehmen verarbeitet oder gesammelt werden, insbesondere:
(i) Daten “sensibler Bevölkerungsgruppen“, einschließlich US-Militärangehörige und Mitarbeiter von US-Bundesbehörden, die mit der nationalen Sicherheit zu tun haben,
(ii) Datensammlungen oder Datenbanken mit mindestens eine Million Personen zu irgendeinem Zeitpunkt während der letzten 12 Monate; oder
(iii) Unternehmen, die als Geschäftsziel haben, solche Daten über mehr als eine Million Personen zu erhalten oder zu sammeln,
Zu den Kategorien sensibler Daten gehören auch bestimmte Finanz-, Geolokalisierungs-, genetische und Gesundheitsdaten sowie bestimmte E-Mail- oder Chat-Kommunikationen.
Dr. Axel Spies kommentiert am Permanenter Link
Schön, dass Sie das Thema wieder aufgreifen. Die Stellungnahme des Generalanwaltes von heute ist in der Tat wichtig.
Meine kurze Einschätzung: Die gute Nachricht ist, dass der Generalanwalt den KOM-Beschluss 2010/87 als gültig ansieht. Andernfalls hätte das Tausende von Datenübertragungsverträgen in Frage gestellt, die Standard Contractual Clauses weltweit verwenden und die sich seit fast 10 Jahren auf diese Entscheidung verlassen.
Die schlechte Nachricht für die Datenexporteure: Die nationale Datenschutzbehörde wäre berechtigt, den Datenverkehr nach dem SCC auf Einzelfallbasis auszusetzen, wenn die Datenschutzbehörde feststellt, dass ein Konflikt zwischen den Gesetzen des Datenimporteurs (z.B. US-Recht) und den Bestimmungen des SCC besteht. Das allerdings nur unter dem Vorbehalt der Geeignetheit und Erforderlichkeit.
Die Gefahr, dass eine Datenschutzbehörde die Datenströme für Datenübertragungen im Rahmen des Privacy Shield aussetzt, besteht weiterhin, obwohl der KOM-Beschluss zum Privacy Shield von 2016 nicht Teil dieses Verfahrens ist. Der Generalanwalt hat Zweifel an der Gültigkeit der Feststellung, dass die Vereinigten Staaten im Rahmen der Aktivitäten ihrer Nachrichtendienste auf der Grundlage von Section 702 FISA und EO 12333 garantieren. In bin gespannt, ob der EuGH wirklich ins hochkomplizierte US Recht einsteigen wird.
Es bleibt abzuwarten, ob der EuGH dem Generalanwalt in der Entscheidung im nächsten Jahr folgt. Wir wissen nicht, ob die Richter das Argument akzeptieren werden, dass die KOM das Privacy Framework im Prinzip gebilligt hat und dass sie mit der US-Regierung zusammenarbeitet, um eventuelle Mängel zu beheben.
Dr. Axel Spies kommentiert am Permanenter Link
Noch kurz zu dem o.g. "zweiten Bündel":
CFIUS ist entscheidet auch über jeden ausländischen Erwerb von US- Immobilien, der die nationale Sicherheit gefährden. Es gibt nach den Durchführungsbestimmungen zwei große Kategorien: (1) Immobilien, die sich innerhalb bestimmter Flughäfen und Seehäfen befinden oder Teil davon sind; (2) Immobilien, die sich in der Nähe bestimmter militärischer Einrichtungen und anderer sensibler Einrichtungen oder Immobilien im Besitz der US-Regierung befinden. Die Parteien müssen also prüfen, ob die Immobilie, die ein ausländischer Investor sucht, in der Nähe einer Regierungseinrichtung liegt, die von CFIUS identifiziert wurde, und ob CFIUS die Immobilientransaktion überprüfen möchte.
Es gibt zum Glück Ausnahmen. Nicht jede Garage mit Blick auf eine Kaserne, die ein US-Hauseigentümer an einen Ausländer vermieten oder verkaufen will, fällt unter diese Regeln.
Dr. Axel Spies kommentiert am Permanenter Link
Es bleibt noch anzumerken, dass die Pflichten eines "Business", das ein Auskunftsersuchen nach dem CCPA erhält, von den Auskunftspflichten nach der DS-GVO stark abweichen.
Die CCPA Regulations stellen klar, dass ein Unternehmen bestimmte persönliche Daten nicht an einen Verbraucher weitergeben darf, wenn die Weitergabe ein erhebliches, nachvollziehbares und unangemessenes Risiko für die Sicherheit dieser persönlichen Daten, das Konto des Verbrauchers beim Unternehmen oder die Sicherheit der Systeme oder Netzwerke des Unternehmens mit sich bringt. Das heißt insbesondere, dass ein Unternehmen zu keinem Zeitpunkt die Sozialversicherungsnummer des Verbrauchers, die Führerscheinnummer oder andere staatlich ausgestellte ID-Nummern, Steuernummern, Krankenversicherungs- oder medizinische ID-Nummern, Konto-Passwörter oder Sicherheitsfragen und -Antworten offenlegen darf.
Darüber hinaus muss das Unternehmen angemessene Sicherheitsmaßnahmen ergreifen, wenn es persönliche Daten an einen Verbraucher als Reaktion auf eine Anfrage übermittelt. Wenn das Unternehmen beispielsweise ein passwortgeschütztes Konto beim Verbraucher unterhält, muss es dem Verbraucher die Antwort auf eine Anfrage (z.B. über ein Portal) ebenfalls mit Passwortschutz zur Verfügung stellen. Das Unternehmen darf auch nur auf eine Anfrage antworten, die auf einem angemessenen Niveau auf ihre Authentizität überprüft worden ist (was an sich schon nach dem CCPA kompliziert genug ist).
Dr. Axel Spies kommentiert am Permanenter Link
Hier noch ein neuer Artikel dazu:
https://www.computerwoche.de/a/das-sollten-sie-ueber-das-neue-datenschut...
Dr. Axel Spies kommentiert am Permanenter Link
Nevadas neues Datenschutzgesetz 220, das am 1. Oktober in Kraft getreten ist, ist vermutlich, zumindest was die Durchsetzung angeht, bedeutsamer als der CCPA. Das Gesetz umfasst nicht nur umfassendere Anforderungen an den Datenzugriff und die Transparenz, die im CCPA geregelt sind - es enthält auch viel engere Definitionen der wichtigsten gesetzlichen Begriffe („Verkauf“, „Betreiber“ usw.). Bei Nichteinhaltung des Gesetzes kann Generalstaatsanwalt bis zu 5.000 Dollar pro Verstoß als Strafe verhängen. Solange es kein Bundesgesetz gibt, wier es bei diesem Flickenteppich bleiben.
Dr. Axel Spies kommentiert am Permanenter Link
Kurzer Nachtrag: Gouverneur Gavin Newsom hat heute die Gesetzesänderungen (Amendments) zum CCPA unterzeichnet, so dass das Gesetz, wie geplant, mit diesen Änderungen zum 01.01.20 pünktlich in Kraft treten kann.
Seiten