Ein Auftragsverarbeiter ist laut Art. 4 Nr. 8 DSGVO „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.“ Der Verantwortliche für den Datenschutz lagert also Teilprozesse, die er sonst selbst vornehmen müsste und bei denen personenbezogene Daten verarbeitet werden, an einen externen Dienstleister aus. Diese gelten zwar nicht als Dritte im Sinne von Art. 4 Nr. 10 DSGVO, sind jedoch i.d.R. Empfänger von Daten (Art. 4 Nr. 9 DSGVO). Deshalb müssen betroffene Personen nach Art. 13 DSGVO stets darauf hingewiesen werden, wenn eine Datenübermittlung an einen Auftragsverarbeiter erfolgt.

Nach Artikel 15 DSGVO haben betroffene Personen ein Recht darauf, vom datenschutzrechtlich Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; wenn ja, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf allerhand Informationen. Streit vor Gericht gab es nun in zwei Fällen darüber, wie diese Auskunft zu erfolgen hat.

Wahrscheinlich haben Sie von Ihrer Krankenkasse auch schon Post erhalten: Anfang 2025 geht die elektronische Patientenakte (ePA) schrittweise an den Start. Die gesetzlichen Krankenkassen müssen sie ihren Versicherten ab dem 15. Januar 2025 (je nach Wohnort auch später) bereitstellen, außer man hat der Einführung widersprochen.

Zum Jahreswechsel werden ja oft Strom-, Wasser- und Heizungszähler abgelesen. Die Datenschutzkonferenz hat nun eine Orientierungshilfe zur Datenverarbeitung im Zusammenhang mit funkbasierten Zählern herausgegeben. Sie bietet einen Überblick über die erfassten Datenkategorien, die relevanten Rechtsgrundlagen sowie die Rechte der betroffenen Personen, sowohl Mieter als auch Vermieter und Hausverwaltungen. Außerdem enthält sie Empfehlungen zur datenschutzkonformen Verarbeitung der Verbrauchsdaten.

Der Koalitionsvertrag steht; aller Voraussicht nach wird Friedrich Merz in wenigen Tagen neuer Bundeskanzler. Was hat die neue schwarz-rote Bundesregierung in Sachen Datenschutz vor? Im ewigen Dilemma Freiheit vs. Sicherheit gibt es eine eindeutige Tendenz – denn schon in der Präambel zum Kapitel zur Innenpolitik heißt es im Koalitionsvertrag, dass die Regierung die „europa- und verfassungsrechtlichen Spielräume ausschöpfen“ möchte und das „Spannungsverhältnis zwischen sicherheitspolitischen Erfordernissen und datenschutzrechtlichen Vorgaben“ neu austariert werden müsse.

Die Vorweihnachtszeit hat begonnen, und gerade in diesem Jahr werden wir alle wohl noch mehr online shoppen, als wir es ohnehin schon tun. Den allermeisten ist es vielleicht nicht bewusst, aber dabei stolpern wir regelmäßig über sogenannte „Dark Patterns“. Das sind z.B. Warnungen und Countdowns, die einem bei einer Kaufentscheidung zeitlich unter Druck setzen, schwer zu klickende Datenschutzeinstellungen oder Webseiten, auf denen man seinen Account nur mit enormem Aufwand löschen kann.

Weihnachten und Black Friday nahen! Von daher lohnt jetzt erst recht ein Blick in die Kampagne des Datenschutzbeauftragten von Rheinland-Pfalz, der u.a. darauf hinweist, dass Online-Shops gemäß den Artikeln 5 und 6 der DSGVO Gast-Zugänge anbieten müssen. Bei einer Stichprobe von über 100 Unternehmen hatte seine Behörde bei (nur) 13 Webseiten Mängel festgestellt; diese wurden sodann angeschrieben, um die Verantwortlichen für das Prinzip der Datensparsamkeit zu sensibilisieren. Denn Kunden müssen frei entscheiden können, ob sie ihre Daten beim Online-Shop in einem Kundenkonto hinterlegen möchten oder nicht. Die Option, als Gast zu bestellen, muss beim Online-Shopping daher immer als eine gleichwertige Alternative angeboten werden.

Elon Musk kommt wohl ungeschoren davon: X hatte ja vor einigen Wochen über Nacht und ohne Ankündigung damit begonnen, Beiträge von Nutzern zum Training seiner KI namens „Grok“ zu benutzen. Die Zustimmung war einfach plötzlich voreingestellt und konnte zunächst auch nur im Webbrowser verändert werden, aber nicht in der App. „X“ will nun auf die Verarbeitung bestimmter Daten von Anwendern aus der EU verzichten, die irische Datenschutzbehörde hat im Gegenzug ihre Klage wegen unrechtmäßiger Nutzung von Anwenderdaten für das Training einer Künstlichen Intelligenz fallen gelassen. Dabei werden die Daten, die bereits für „Grok“ unrechtmäßig erlangt wurden, nicht gelöscht, und X bietet das Produkt auch weiterhin auf der Grundlage dieser Daten an. Max Schrems‘ NGO „noyb“ (none of your business) hält seine DSGVO-„Dringlichkeitsverfahren“ deswegen aufrecht, wie die Organisation hier ausführlich erläutert.

Seit dem 1. August 2024 ist die KI-Verordnung der EU in Kraft. Schrittweise beginnen nun die einzelnen Kapitel zu gelten – die ersten im Februar 2025, die letzten im August 2027 – mit dem Ziel, menschenzentrierte und vertrauenswürdige Künstliche Intelligenz zu fördern und ein hohes Schutzniveau hinsichtlich Gesundheit, Sicherheit, Demokratie, Rechtsstaatlichkeit und Umweltschutz sicherzustellen, schädliche Auswirkungen von KI-Systemen zu vermeiden und gleichzeitig technische Innovationen zu unterstützen.

In loser Folge geht es hier immer wieder um den Beschäftigtendatenschutz – ein weites Feld, das sich auch stetig weiterentwickelt. Heute wollen wir uns mit den Themen Personalakte, Datenschutz im Bewerberverfahren und Beschäftigtendatenschutz in den Sozialen Medien und entsprechende Einwilligungen beschäftigen.

Ab wie vielen Beschäftigten braucht ein Unternehmen einen Datenschutzbeauftragten? Eigentlich war die CDU-Initiative, §38 Bundesdatenschutzgesetz abzuschaffen, im April 2024 im Sande verlaufen – so dachte man. Der Paragraph regelt unter anderem, dass ein Datenschutzbeauftragter benannt werden muss, soweit ein Unternehmen „in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.“