Im ersten Teil des Jahresrückblicks haben wir bereits einen Blick auf die hervorzuhebenden Themen in den Monaten Januar bis Juni werfen können. Im Rahmen unseres heutigen Blog-Beitrages widmen wir uns den Monaten Juli bis Dezember und damit einigen richtungsweisenden Entscheidungen sowie Entwicklungen im Datenschutzrecht.
Juli
Darf eine nationale Wettbewerbsbehörde auch Datenschutzrecht prüfen? Ja, meint der Europäische Gerichtshof (EuGH) in seinem Urteil vom 4. Juli 2023 (C-252/21). Laut Ansicht des EuGH sind Wettbewerbsbehörden für den Erlass von Entscheidungen zuständig, mit denen Marktmachtmissbrauch seitens marktbeherrschender Unternehmen festgestellt wird. Der Wettbewerb innerhalb des europäischen Binnenmarktes ist ferner vor etwaigen Verfälschungen zu schützen. Aus diesem Grund müssen Wettbewerbsbehörden beim Erlass derartiger Entscheidungen beurteilen können, ob und in welchem Grad das jeweilige Unternehmen den Wettbewerb behindert. Zur Feststellung eines Marktmachtmissbrauchs, so der EuGH, kann es somit für die Kartellbehörden notwendig sein zu prüfen, ob das in Frage stehende Verhalten des Unternehmens gegen die DS-GVO verstößt.
Am 10. Juli 2023 hat die Europäische Kommission den Angemessenheitsbeschluss nach dem EU-U.S. Data Privacy Framework angenommen. Damit wird den USA ein im Vergleich zur Europäischen Union vergleichbares Datenschutzniveau attestiert. Das EU-U.S. Data Privacy Framework räumt Bürgern der Europäischen Union gegenüber US-amerikanischen Unternehmen neue Rechte ein (z.B. das Recht auf Auskunft, das Recht auf Berichtigung, das Recht auf Löschung unrichtiger oder unrechtmäßig verarbeiteter personenbezogener Daten). Weiterhin bestehen verschiedene Rechtsbehelfe sowie unabhängige Streitbeilegungsmechanismen und ein Schlichtungsgremium. Die US-amerikanischen Unternehmen können ihre Teilnahme am EU-U.S. Data Privacy Framework zertifizieren lassen, indem diese sich verpflichten, verschiedene datenschutzrechtliche Anforderungen (z.B. Zweckbindung, Datenminimierung) einzuhalten.
Kritik an dem neuen Angemessenheitsbeschluss äußerte bereits Max Schrems sowie die von ihm gegründete NGO „noyb“. Nachdem Schrems vor dem Europäischen Gerichtshof bereits das Kippen der beiden vorhergehenden Angemessenheitsbeschlüsse („Safe Harbor“, „Privacy Shield“) erreichte, scheint es nur eine Frage der Zeit zu sein, bevor der Europäische Gerichtshof auch über das EU-U.S. Data Privacy Framework entscheiden müssen wird.
August
Bereits seit längerer Zeit wird in der Datenschutzwelt darüber diskutiert, ob und wie ein datenschutzkonformer Einsatz von Microsoft 365 gelingen kann. Zuletzt vermeldete die Datenschutzkonferenz im November 2022, „dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann.“ Mit Stand 24. August 2023 veröffentlichte der Landesbeauftrage für den Datenschutz Niedersachsen eine Handreichung für die Verantwortlichen zum Abschluss einer Auftragsverarbeitungsvereinbarung für den Einsatz von Microsoft 365. Im Wesentlichen wird darin eine individuelle Anpassung des von Microsoft bereitgestellten Vertrages empfohlen. Dass sich Microsoft jedoch auf derartige Einzelabsprachen einlässt, darf angezweifelt werden.
Fortschritt durch Datennutzung – Strategie für mehr und bessere Daten für neue, effektive und zukunftsweisende Datennutzung. Das ist der Titel der am 30. August 2023 veröffentlichten neuen nationalen Datenstrategie der Bundesregierung. Die neue Datenstrategie soll das Leitbild der künftigen Datenpolitik sein. „Hierfür richtet die Bundesregierung den Fokus auf die Bereitstellung von mehr und besseren Daten und setzt auf eine neue Kultur der Datennutzung und des Datenteilens.“, heißt es in einer Mitteilung des Bundesministeriums des Inneren und für Heimat (BMI). Hiervon umfasst sind ebenfalls Aspekte des Datenschutzrechts, so zum Beispiel die Stärkung der Datenschutzkonferenz, dem Gremium unabhängigen Datenschutz-Aufsichtsbehörden des Bundes und der Länder.
September
Wirbel sorgte im September die Neubesetzung der obersten Stelle der Datenschutz-Aufsichtsbehörde in Niedersachsen. Die frühere Landesbeauftragte für den Datenschutz hatte im Rahmen einer einstweiligen Anordnung versucht, die Ernennung des vom niedersächsischen Landtag gewählten Nachfolger zu verhindern. Hintergrund waren Zweifel an der Transparenz des Auswahlverfahrens sowie an der Geeignetheit der Person. Die einstweilige Anordnung wurde durch das Verwaltungsgericht Hannover jedoch abgelehnt und die Beschwerde gegen diese Entscheidung am 14. September 2023 durch das niedersächsische Oberverwaltungsgericht (Az. 5 ME 55/23) zurückgewiesen.
Es vergeht kaum eine Woche, die kein Urteil zum Thema Auskunftsanspruch nach Art. 15 DS-GVO bereithält. Einen interessanten Aspekt bietet die Entscheidung des Bundesgerichtshofs (BGH) vom 27. September 2023 (Az. IV ZR 177/22). Im Rahmen einer Prämienanpassung einer privaten Krankenversicherung verlangte der Kläger unter anderem Auskunft über alle Beitragserhöhungen sowie um Vorlage aller in diesem Zusammenhang stehenden Unterlagen. Das Gericht sah einen solchen Auskunftsanspruch nicht auf Grundlage von Art. 15 Abs. 1, 3 DS-GVO gegeben. Weder bei den Anschreiben selbst noch bei den beigefügten Anlagen handele es sich jeweils in ihrer Gesamtheit um personenbezogene Daten.
Mit Verweis auf die Rechtsprechung des EuGH vom 4. Mai 2023 (Rs. C-487/21) bestehe ein Recht auf Kopie i.S.d. Art. 15 Abs. 3 DS-GVO ausschließlich für Informationen, die nach Art. 15 Abs. 1 DS-GVO zu beauskunften sind und nicht hinsichtlich beliebiger Dokumente.
Oktober
Ein Dauerbrenner in der datenschutzrechtlichen Beratung stellt das Thema Videoüberwachung dar. Umso weniger erstaunt es, dass auch regelmäßig Urteile zu dieser Thematik veröffentlicht werden. Für die Praxis sind derartige Urteile von besonderer Relevanz, da sie anschaulich darstellen, welche Argumentationen durch die Gerichte hinsichtlich der Erforderlichkeit und Zulässigkeit von Videoüberwachungen angeführt werden. So auch in einem Urteil des Verwaltungsgerichts Hannover vom 10. Oktober 2023 (Az. 10 A 3472/20).
Vorliegend waren die in Frage stehenden Kameras nach Auffassung des Gerichts zur Wahrnehmung der Interessen der Klägerin nicht notwendig. Für das Gericht war nicht erkennbar, dass die Videoüberwachung dazu geeignet sei, die angeführten Straftaten zu verhindern oder aufzuklären. Verantwortliche, die eine Videoüberwachung planen oder bereits durchführen sollten auf Grundlage dieses Urteils die Erforderlichkeit und Geeignetheit einer Videoüberwachung gründlich prüfen.
November
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat wie in jedem Jahr zu Anfang November seinen Bericht zur Lage der IT-Sicherheit veröffentlicht. Mit dem Bericht gibt das BSI einen umfassenden Bericht über die aktuelle Bedrohungslage. Für den zurückliegenden Berichtszeitraum zieht das BSI das vernichtende Fazit: „Die Bedrohung im Cyberraum ist so hoch wie nie.“ Zu den Gründen gehören die gestiegene Anzahl der Sicherheitslücken, Missbrauchsmöglichkeiten von KI-Tools oder aber Datendiebstahl bei Verbraucherinnen und Verbrauchern. Zudem zeichnen sich die Cyberangriffe durch eine steigende Professionalisierung aus. Sehr häufig wird von einem Konzept Cybercrime-as-a-Service gesprochen. Das BSI seinerseits spricht sogar von einem wachsenden Dienstleistungscharakter und einem gezielten Anbieten und Ausspielen von Services im Bereich der Cyberangriffe.
Dezember
Der letzte Monat des Jahres hielt eine ganze Palette relevanter Rechtsprechung des EuGH zum Datenschutzrecht bereit. Hierzu gehören insbesondere die Urteile vom 5. Dezember 2023 (Rs. C-683/21, C-807/21) zur Verhängung von Geldbußen gegen Unternehmen, das Urteil vom 7. Dezember 2023 (Rs. C-643/21, C-26/22 und C-64/22) zu den Datenverarbeitungspraktiken von Wirtschaftsauskunfteien, deren Inhalte auch für den Einsatz von KI-Anwendungen relevant sein dürften sowie das Urteil vom 14. Dezember 2023 (Rs. C-340/21) bezüglich der Geltendmachung von Schadensersatz bei unzureichenden Maßnahmen zur Gewährleistung der Sicherheit der Daten.
In diesem Sinne beenden wir unseren kleinen Jahresrückblick für das Jahr 2023 und sind ganz besonders auf die kommenden Entwicklungen im neuen Jahr gespannt. Wir bedanken uns recht herzlich bei Ihnen, dass Sie uns als Leser:innen unseres Blogs auch in diesem Jahr begleitet und uns Feedback zu unseren Beiträgen gegeben haben.
Wir wünschen Ihnen ein besinnliches Weihnachtsfest im Kreise Ihrer Liebsten sowie einen guten und gesunden Start in das Jahr 2024!
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
