Ausübung von Zugriffsrechten, Portabilität: Welche Befugnisse hat ein Vertreter?

Legal Watch Nr. 35 – Juni 2021

Ausübung von Zugriffsrechten, Portabilität: Welche Befugnisse hat ein Vertreter? Einige Datenverantwortliche konnten ihre Verwunderung nach Erhalt einer Anfrage eines Unternehmens, das Daten aus seiner Kundendatei abrufen muss, insbesondere wenn die Anfrage besonders weitreichende Anforderungen enthält, beispielsweise hinsichtlich der Übermittlung personenbezogener Daten ohne zeitliche Begrenzung oder der Forderung nach einem automatischen Zugriff auf die Daten.

Der Manager stellt sich möglicherweise berechtigterweise die Frage nach den Risiken einer Wiederverwendung seiner Kundendaten und den möglichen Wettbewerbsverzerrungen, die sich daraus ergeben würden.

Grundsätzlich ist die Praxis jedoch legal.

Es ist in der DSGVO und Artikel 77 der Durchführungsverordnung zum Datenschutzgesetz vorgesehen und soll die Ausübung des Auskunfts-, Widerspruchs- oder auch Datenübertragbarkeitsrechts erleichtern, indem es den betroffenen Personen ermöglicht wird, sich zur Ausübung ihrer Rechte an einen Vertreter zu wenden.

Wie können wir die Kontrolle des Einzelnen über seine Daten bewahren, indem wir Dritten die Ausübung dieser Rechte gestatten, und gleichzeitig den Missbrauch vermeiden, der sich aus missbräuchlichen Mandaten ergeben könnte?

Es obliegt dem Bevollmächtigten, den Umfang seines Mandats klar zu definieren, und dem Manager, der eine solche Anfrage erhält, die Gültigkeit dieses Mandats zu überprüfen.

Die CNIL hat vor Kurzem eine öffentliche Konsultation zu einem Empfehlungsentwurf gestartet, der den Rahmen dieser neuen Praxis klären soll.

Darüber hinaus hat sie ein Standardmandat veröffentlicht, das als Referenz für Beauftragte und Datenverantwortliche dienen kann.

Bestimmte Aspekte verdienen besondere Aufmerksamkeit und können es rechtfertigen, dass ein für die Datenverarbeitung Verantwortlicher vor der Übermittlung der betreffenden Daten zusätzliche Einzelheiten anfordert.

• Daten, die im Mandat eine eindeutige Identifizierung der Person ermöglichen, zu deren Gunsten die Rechte ausgeübt werden (z. B. Kennung, Geburtsdatum, Datum der letzten Verbindung)

• Die Identifizierung des Empfängers, an den die Daten übermittelt werden (das kann der Agent oder die betroffene Person sein)

• Die Authentizität des Mandats (Vorhandensein einer elektronischen Signatur), sein Umfang und seine Dauer. Die Daten oder Datenkategorien müssen angegeben werden. Die CNIL ist der Ansicht, dass ein auf unbestimmte Zeit erteiltes Mandat den gesetzlichen Anforderungen nicht entspricht.

• Erfolgt die Übertragung elektronisch, insbesondere über eine Anwendungsprogrammierschnittstelle (API), muss diese stabil sein, eine hohe Verfügbarkeit aufweisen und den Risiken angepasste Sicherheitsmaßnahmen integrieren. Die CNIL hat Vorbehalte gegenüber Scraping-Techniken, die es ermöglichen, Benutzernamen und Passwort der betroffenen Person abzurufen, um die Daten automatisch zu extrahieren.

Wenn der Verantwortliche Zweifel an der Gültigkeit eines Mandats hat, muss er seine Ablehnung des Auskunftsantrags gemäß Artikel 12.6 der DSGVO begründen.

Dies könnte beispielsweise der Fall sein, wenn begründete Zweifel an der Identität der betroffenen Person bestehen und in diesem Fall zusätzliche Informationen von dieser Person oder dem Beauftragten eingeholt werden müssen.

Im Falle eines Mandats beträgt die Antwortzeit des Verantwortlichen, wie auch bei einer klassischen Auskunftsanfrage, einen Monat.

Wie steht es mit der möglichen Weiterverwendung dieser Daten durch den Agenten für eigene Zwecke?

Hierbei handelt es sich um einen gesonderten Verarbeitungsvorgang, der den Rechtmäßigkeitsanforderungen der DSGVO entsprechen muss.

Die betroffene Person sollte in jedem Fall die Wahl haben, jede vom Agenten ins Auge gefasste Weiterverwendung im Einzelfall zu akzeptieren oder abzulehnen.

Beachten Sie, dass die CNIL ebenso wie der Europäische Datenschutzausschuss der Ansicht ist, dass „Beauftragte Daten Dritter nicht für ihre eigenen Zwecke wiederverwenden sollten“, da dies als Verletzung der Rechte und Freiheiten Dritter angesehen würde.

Und auch

Frankreich:

In ihrem Tätigkeitsbericht 2020 schreibt die CNIL zieht eine Bilanz der Höhepunkte des Jahres und insbesondere der Auswirkungen der Pandemiekrise auf die Grundrechte.

Drei Jahre nach Inkrafttreten der DSGVO stellt sie fest: ständige Zunahme der Beschwerden – mehr als 621 TP3T in diesem Jahr und verhängte 14 Sanktionen, darunter 11 Geldbußen in Höhe von insgesamt 138 Millionen Euro.

DER Prioritäten der Kommission enthalten

• Die neuen Regeln für Cookies (rund zwanzig Organisationen wurden kürzlich überprüft),
• Cybersicherheit und
• Digitale Souveränität.

Die CNIL kündigt außerdem künftige Arbeiten an, die sich mit der Verbindung zwischen Datenschutz und Umweltfragen im Zusammenhang mit dem Klimawandel befassen.

Die CNIL gab außerdem bekannt Kontrollen in Apotheken um die Bedingungen für die Erhebung der Daten ihrer Kunden durch das Unternehmen Iqvia zum Zwecke der Analyse von Pathologien zu überprüfen.

Diese Überprüfungen erfolgen im Anschluss an die Ausstrahlung eines Berichts über die Ausbeutung personenbezogener Daten Mitte Mai, der zahlreiche Reaktionen hervorrief.

Die Kommission gab schließlich an, dass sie für die Schaffung eines Gesundheitspasses vorausgesetzt, dass Garantien für die Datenverarbeitung gegeben sind und der Pass nur für die Dauer der Gesundheitskrise verwendet wird.

Am 3. Juni veröffentlichte sie ihre dritte Stellungnahme zu Maßnahmen zur Bekämpfung der Pandemie.

Der Verfassungsrat hat am 20. Mai über das Gesetz zur „Globalen Sicherheit“ entschieden.

Es zensiert Artikel 24, der sich auf die Kriminalisierung der „böswilligen“ Verbreitung des Bildes von Strafverfolgungsbehörden bezieht, sowie einen großen Teil der Artikel 47 und 48, die die organisierte Überwachung durch Drohnen, insbesondere bei Demonstrationen, und den Einsatz von Kameras an Bord von Drohnen betreffen. Fahrzeuge und Flugzeuge der Strafverfolgungsbehörden.

Europa:

Mehrere zivilgesellschaftliche Akteure initiierten am 26. Mai Beschwerden gegen das Gesichtserkennungsunternehmen Clearview, insbesondere in Frankreich, Österreich, Italien, Griechenland und dem Vereinigten Königreich.

Dort Europäischer Gerichtshof für Menschenrechte Am 25. Mai entschied der Oberste Gerichtshof des Vereinigten Königreichs einstimmig, dass das umfassende Überwachungssystem Großbritanniens, das 2013 von Edward Snowden öffentlich gemacht wurde, gegen Artikel 8 der Europäischen Menschenrechtskonvention zum Schutz der Privatsphäre verstößt.

Der Europäische Datenschutzausschuss Am 20. Mai wurden infolge der Entwicklung von Entscheidungen der französischen und belgischen Behörden zur Cloud zwei Verhaltenskodizes verabschiedet: Für Belgien handelt es sich um eine Entscheidung zum EU-Cloud-Verhaltenskodex und für Frankreich um die CISPE, die europäische Anbieter von Cloud-Infrastrukturdiensten betrifft.

Am 2. Juni veröffentlichte der Ausschuss außerdem seinen Tätigkeitsbericht für 2020.

Der Europäische Datenschutzbeauftragte leitet zwei Untersuchungen zur Nutzung von Cloud-Diensten von Amazon und Microsoft durch europäische Institutionen ein.

Ziel dieser Untersuchungen ist es, die Verarbeitungsbedingungen und insbesondere die Datenübermittlungen dieser Unternehmen in die USA im Lichte des Schrems-II-Urteils des Europäischen Gerichtshofs zu überprüfen.

Die Europäische Union Anfang Juni gab die EU öffentlich bekannt, dass die USA, um eine Einigung über den Datentransfer zu erzielen, verbindliche Gesetze erlassen müssten, die es europäischen Bürgern ermöglichen, sich vor Gericht gegen die massive Sammlung ihrer Daten durch die amerikanische Regierung zu wehren.

Internationales:

Eine kürzlich von Privacy Laws and Business (G. Greenleaf) veröffentlichte Studie macht die Globales Datenschutz-UpdateDemnach sei die Zahl der Länder, die Datenschutzgesetze verabschiedet hätten, von 132 auf 145 gestiegen, während in weiteren 23 Ländern Gesetzesentwürfe in Vorbereitung seien.

Brasilien: Wie mehrere ihrer europäischen Kollegen fordert auch die brasilianische Aufsichtsbehörde WhatsApp auf, seine neue Datenschutzrichtlinie auszusetzen, bis die Untersuchung ihrer Auswirkungen auf Datenschutz und Wettbewerb abgeschlossen ist.

Anne Christine Lacoste

Anne Christine Lacoste, Partnerin bei Olivier Weber Avocat, ist Anwältin mit Spezialgebiet Datenschutz. Sie war Leiterin für internationale Beziehungen beim Europäischen Datenschutzbeauftragten und arbeitete an der Umsetzung der DSGVO in der Europäischen Union.