DSGVO, BDSG und Strafprozess: Wie funktioniert Datesnchutzrecht bei den Strafverfolgungsbehörden? Eine Entscheidung des Bundesfinanzhofs (II B 82/19) macht insoweit nochmals deutlich, dass die Datenschutz-Grundverordnung („DSGVO“) auf die Tätigkeit der Strafverfolgungsbehörden nicht anwendbar ist. Sonderlich überraschend ist das nicht, unterstützt aber die bereits herrschende Auffassung zu dem Thema.
(mehr …)Schlagwort: Auskunft (DSGVO)
Artikel 15 der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, auch bekannt als das „Auskunftsrecht“, gibt Einzelpersonen das Recht zu erfahren, ob sie betreffende personenbezogene Daten verarbeitet werden und wenn ja, wie diese Daten verarbeitet werden. Bitte beachten Sie, dass wir keine Verbraucher im Datenschutzrecht beraten oder vertreten, sondern nur Unternehmen!
Nach Art. 15 DSGVO haben Personen das Recht auf Auskunft über
den Zweck der Verarbeitung ihrer personenbezogenen Daten
die Kategorien personenbezogener Daten, die verarbeitet werden
die Empfänger oder Kategorien von Empfängern, denen die personenbezogenen Daten mitgeteilt wurden oder werden
wenn möglich, die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, wenn dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den für die Verarbeitung Verantwortlichen oder ein Widerspruchsrecht gegen die Verarbeitung
das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
falls die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden, alle verfügbaren Informationen über die Herkunft der Daten
das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Ein Unternehmen oder eine Organisation, das bzw. die personenbezogene Daten verarbeitet (der „Datenverantwortliche“), muss das Auskunftsersuchen in der Regel innerhalb eines Monats nach Eingang des Ersuchens beantworten. In bestimmten Fällen kann diese Frist um weitere zwei Monate verlängert werden. Die Auskunftserteilung muss kostenlos erfolgen, es sei denn, die Anträge der betroffenen Person sind offensichtlich unbegründet oder exzessiv, insbesondere aufgrund ihres wiederholten Charakters. In diesen Fällen kann der Verantwortliche entweder ein angemessenes Entgelt verlangen oder die Beantwortung des Antrags ablehnen.
Ein Verstoß gegen Artikel 15 DSGVO kann zu erheblichen Geldbußen und rechtlichen Konsequenzen für den Verantwortlichen führen. Es ist daher wichtig, dass Organisationen und Unternehmen geeignete Verfahren und Maßnahmen einführen, um Auskunftsersuchen effizient und zeitnah bearbeiten zu können.
Streitwert für einen Anspruch auf Erteilung einer Datenauskunft gemäß Art. 15 DS-GVO im Arbeitsverhältnis
Die Rechtsprechung mehrt sich, demzufolge der Wert eines Auskunftsbegehrens nach Art. 15 DSGVO mit 500,00 Euro zu bemessen ist, jedenfalls sofern nicht besondere Umstände hinzutreten.
(mehr …)
DSGVO-Checkliste
Checkliste zur Datenschutzgrundverordung: Hier finden Sie einige Anhaltspunkte, an Hand derer man sich bei der Umsetzung der DSGVO „entlanghangeln“ kann. Ich selber bin im Bereich des Datenschutzrechtes vorwiegend tätig im Rahmen im Bereich der Konfliktlösung, gegenüber Betroffenen, im Rahmen von Abmahnungen und vor allem Klagen – zudem beratend für IT-Projekte und im IT-Arbeitsrecht.
(mehr …)DSGVO zu beachten
Seit dem heutigen 25.05.2018 ist die Datenschutzgrundverordnung von Unternehmen in ganz Europa zu Beachten. Damit gelten für Betroffene neu strukturierte und teilweise auch gänzlich neue Rechte, während Unternehmen zumindest teilweise noch verunsichert sind, was auf sie zukommt in den nächsten Wochen.
Beachten Sie dazu auch: Meine Webseite zum Datenschutzrecht nach der DSGVO
(mehr …)EUGH: Informationen über Prüfungen unterfallen der DSGVO
Die in einer beruflichen Prüfung abgegebenen schriftlichen Antworten und die etwaigen Bemerkungen des Prüfers zu diesen Antworten stellen personenbezogene Daten des Prüflings dar, über die dieser grundsätzlich ein Auskunftsrecht hat, so der EuGH (C-434/16): Die Gewährung eines solchen Rechts an den Prüfling dient nämlich dem mit dem Unionsrecht verfolgten Ziel, den Schutz des Rechts natürlicher Personen auf Achtung ihres Privatlebens im Hinblick auf die Verarbeitung der sie betreffenden Daten zu gewährleisten.
(mehr …)IP-Adressen: IP-Adresse ist personenbezogenes Datum
IP-Adresse ist personenbezogenes Datum: Die Frage, ob eine IP-Adresse ein personenbezogenes Datum darstellt, war viele Jahre umstritten, ist aber heute geklärt: IP-Adressen sind personenbezogene Daten.
IP-Adresse ist personenbezogenes Datum
Spätestens seitdem der Bundesgerichtshof (VI ZR 135/13) und auf dessen Vorlage der EUGH (C-582/14) sich positioniert haben, ist klar: IP-Adressen sind personenbezogene Daten, da es möglich ist, den Inhaber des Internetanschlusses zu ermitteln und somit den Rückschluss auf eine konkrete Person herzustellen. Dies entspricht auch dem abstrakten Wortlaut des Art. 4 Nr. 1 DSGVO. Der BGH stellte im Leitsatz klar:
Die dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Internetseite, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, stellt für den Anbieter ein personenbezogenes Datum im Sinne des § 12 Abs. 1 und 2 TMG in Verbindung mit § 3 Abs. 1 BDSG dar (Fortführung von EuGH NJW 2016, 3579).
Im Folgenden stelle ich die (veralteten!) Informationen zum damaligen Streit zu Recherchezwecken weiterhin zur Verfügung.
(mehr …)Suchen nach Sicherheitslücken in Form unerwünschten Penetrationstests nicht strafbar
Suchen nach Sicherheitslücken ist nicht strafbar: Das Amtsgericht Aachen durfte sich im Rahmen einer von mir geführten Strafverteidigung mit einem unerwünschten Penetrationstest („Pen-Test“) auseinandersetzen. Mein Mandant hatte sich bei einem bekannten Projekt registriert und hier, auf Grund des Ablaufs der Registrierung, den Verdacht, dass eine Sicherheitslücke aufzufinden sei. Um hier behilflich zu sein, liess er eine bekannte Software aus dem Bereich der Prüfungs von Sicherheitslücken anlaufen und die Webseite durchprobieren.
Nach einer gewissen Zeitspanne war die Webseite nicht mehr verfügbar, der Server war unter der Last der Anfragen zusammen gebrochen. Der Betreiber erstattete Strafanzeige, die Sache ging zum Amtsgericht.
Dazu auch: Bug-Bounty-Programme und IT-Strafrecht
(mehr …)