DER DATENSCHUTZ-JAHRESRÜCKBLICK TEIL I

Das Jahr 2021 war – selbstredend nicht für uns Datenschützer – erneut im starken Rahmen durch die Einwirkungen der Coronavirus-Krankheit-2019 (COVID-2019) geprägt. Insbesondere mit Blick auf die in diesem Zusammenhang anfallenden Verarbeitungen von Gesundheitsdaten als besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DS-GVO stellen sich einige rechtliche und praktische Fragen. Hinzu treten Dauerbrenner wie der Einsatz von Dienstleistern in datenschutzrechtlichen Drittländern, die Nutzung von Microsoft 365, der datenschutzkonforme Einsatz von Cookies und vergleichbaren Diensten sowie rechtliche und praktische Handhabung von Betroffenenrechten. Darüber hinaus hat die ein oder andere Aufsichtsbehörde einen Wechsel an der Position der/des Landesdatenschutzbeauftragten vollzogen oder zumindest ist die Stelle derzeit vakant. Im nachfolgenden Beitrag werfen wir einen Blick zurück und beginnen mit den Monaten Januar bis April 2021:


JANUAR 2021

Das Jahr begann für viele Datenschützer mit Fragen rund um die Datenübermittlung in das Vereinigte Königreich. Wir haben dazu noch im Jahr 2020 berichtet. Die Datenschutzkonferenz (DSK) hatte kurz vor dem Jahreswechsel in einer Pressemitteilung veröffentlicht, dass Übermittlungen personenbezogener Daten von der EU in das Vereinigte Königreich Großbritannien und Nordirland für eine Übergangsperiode nicht als Übermittlungen in ein Drittland (Art. 44 DS-GVO) angesehen werden. Die Rechtslage entspannte sich ein wenig, als die Europäische Kommission zwei Angemessenheitsbeschlüsse für das Vereinigte Königreich angenommen hat. Diese Angemessenheitsbeschlüsse für das Vereinigte Königreich bieten für die Übermittlung personenbezogener Daten für verantwortliche Stellen (zunächst) Rechtssicherheit.

Am 8. Januar 2021 erklärte die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen in einer Pressemitteilung, dass eine Geldbuße über 10,4 Millionen Euro gegenüber der notebooksbilliger.de AG ausgesprochen wurde. Das Unternehmen hatte über mindestens zwei Jahre seine Beschäftigten per Video überwacht, ohne dass dafür eine Rechtsgrundlage vorlag. Die unzulässigen Kameras erfassten unter anderem Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche. Im gegenständlichen Fall war die Videoüberwachung aber auf einen bestimmten Zeitraum noch auf konkrete Beschäftigte beschränkt. Hinzu kam, dass die Aufzeichnungen in vielen Fällen 60 Tage gespeichert wurden.


FEBRUAR 2021

In einer Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg wird bekannt gegeben, dass das das Prüfverfahren beim VfB Stuttgart 1893 e.V. und der VfB Stuttgart 1893 AG abgeschlossen sei und ein Bußgeldverfahren eröffnet werde. Geprüft wurden die Datenverarbeitungen in Verein und AG rund um die Mitgliederversammlung zur Entscheidung über die Ausgliederung der Profifußballabteilung im Jahr 2017, sowie einzelne Datentransfers an einen externen Dienstleister der VfB Stuttgart 1893 AG im Jahr 2018 und Fragen zur aktuellen Umsetzung der geltenden Rechtslage unter der DS-GVO.

Am 18. Februar 2021 hat das Landgericht Berlin das Bußgeldverfahren der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) gegen die Deutsche Wohnen SE eingestellt. Am 30.09.2019 hatte die BlnBDI gegen die Deutsche Wohnen SE einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro wegen Verstößen gegen die DS-GVO festgesetzt. Mitteilungen seitens des Landgericht Berlin gegenüber den Medien zufolge leidet der Bescheid unter gravierenden Mängeln, da ein Verfahrenshindernis vorliegt, genauer gesagt, weil Angaben zur konkreten Tathandlungen von Leitungspersonen oder gesetzlichen Vertretern fehlen. Das Landgericht folgte in seiner Entscheidung damit einer anderen Rechtsauffassung hinsichtlich der Auslegung des deutschen Ordnungswidrigkeitenrechts als die deutschen Datenschutz-Aufsichtsbehörden vertreten. In einer späteren Pressemitteilung der BlnBDI wurde bekannt, dass die Staatsanwaltschaft Berlin Rechtsmittel gegen den Beschluss des Landgerichts Berlin eingelegt hat.


MÄRZ 2021

Anfang März überschlugen sich die Meldungen zu Sicherheitslücken bei Microsoft Exchange-Mail-Servern. Mit der Pressemitteilung vom 5. März 2021 warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) über kritische Schachstellen, die bei den auch in Deutschland sehr weit verbreiteten Exchange-Servern auftraten und somit über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert sind. Das BSI empfiehlt in dieser Mitteilung allen Betreibern von betroffenen Exchange-Servern, sofort die von Microsoft bereitgestellten Patches einzuspielen. Anfällige Exchange-Systeme sollten aufgrund des sehr hohen Angriffsrisikos dringend auf entsprechende Auffälligkeiten geprüft werden.

Datenschutzrechtlich Relevanz entfaltet dieser Vorfall insbesondere im Zusammenhang mit der Auslegung und Anwendung von Art. 33 DS-GVO und der in diesem Rahmen möglichen Meldepflicht von IT-Sicherheitsvorfällen. Die sogenannte Hafnium-Sicherheitslücke betreffend äußerten sich auch die deutschen Datenschutz-Aufsichtsbehörden zum Teil sehr unterschiedlich. Das Bayrische Landesamt für Datenschutzaufsicht und der Bayrische Landesbeauftragte für den Datenschutz gingen in einer gemeinsamen Praxishilfe vom Vorliegen einer Meldepflicht gemäß Art. 33 Abs. 1 DS-GVO nicht nur in den Fällen einer Kompromittierung, sondern auch beim verspäteten Einspielen der Sicherheitsupdates aus.  Hingegen vertrat die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LdI NRW) in einer Mitteilung die Ansicht, dass nach intensiver Untersuchung der Systeme keine Hinweise für einen Datenabfluss und eine Manipulation von personenbezogenen Daten vorliegen und keine besonders sensiblen personenbezogenen Daten in den betroffenen Systemen verarbeitet worden sein, zumeist ein eher geringes Risiko für die Rechte und Freiheiten natürlicher Personen vorliegt. In diesen Fällen nahm die LdI NRW eine Dokumentationspflicht gemäß Art. 33 Abs. 5 DS-GVO an. Eine Übersicht über die Äußerungen der Aufsichtsbehörden findet sich hier. Die vielen unterschiedlichen Ansichten sorgten für extreme Rechtsunsicherheit bei verantwortlichen Stellen und Auftragsverarbeitern. Die Hafnium-Sicherheitslücke zum Anlass genommen hat eine Unterarbeitsgruppe des AK Datenschutzes der Bitkom einen entsprechenden Leitfaden zur Auslegung der Art. 33 und Art. 34 DS-GVO veröffentlicht. Erforderlich ist bei der Behandlung von IT-Sicherheitsvorfällen im Rahmen der Art. 33 und Art. 34 DS-GVO stets eine exakte Betrachtung und Bewertung des Vorliegens einer Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DS-GVO.

Mittlerweile waren auch Kontakt-Nachverfolgungs-Apps auf den Plan vieler Datenschützer getreten. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg veröffentlicht die Stellungnahme vom 2. März 2021 zur „Luca-App“. Die DSK veröffentlicht zu dieser Thematik am 26. März 2021 eine Stellungnahme zur Kontaktnachverfolgung in Zeiten der Corona-Pandemie. Dabei weißt weist sie ausdrücklich darauf hin, dass digitale Verfahren zur Verarbeitung von Kontakt- und Anwesenheitsdaten datenschutzkonform betrieben werden müssen. Eine digitale Erhebung und Speicherung kann bei entsprechender technischer Ausgestaltung durch eine geeignete dem Stand der Technik entsprechende Verschlüsselung inklusive eines geeigneten sicheren Schlüsselmanagements einen im Vergleich mit Papierformularen besseren Schutz der Kontaktdaten vor unbefugter Kenntnisnahme und Missbrauch gewährleisten.


APRIL 2021

Im April nahmen langsam die Diskussionen rund um das Thema Durchführung von Online-Prüfungen wieder zu. So äußerte sich wiederrum der Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg in einer Pressemitteilung: Online-Prüfungen sollen dazu dienen, Wissen und Fähigkeiten der Studierenden abzufragen und diese nicht übermäßig zu überwachen. Digitale Formate zur Kontrolle von Prüfungen – Online-Proctoring – können massiv in die Rechte von Studierenden eingreifen. Beim Online-Proctoring werden Studierende mitunter aufgefordert, die Webcam und das Mikrofon am Gerät dauerhaft während der Prüfung einzuschalten und sicherzustellen, dass keine unerlaubten Hilfsmittel und niemand anderes im Privatraum des Studierenden sind. Zur Unterbindung von Täuschungshandlungen dürfen die Kamera- und Mikrofonfunktion nur aktiviert werden, soweit dies für das Prüfungsformat zwingend erforderlich ist. Eine darüberhinausgehende Raumüberwachung darf nicht stattfinden. Die Videoaufsicht ist im Übrigen so einzurichten, dass der Persönlichkeitsschutz und die Privatsphäre der Betroffenen „nicht mehr als zu berechtigten Kontrollzwecken erforderlich“ eingeschränkt werden.

Weiter geht es in den kommenden Wochen mit den Monaten Mai bis August 2021 sowie September bis Dezember 2021, dann unter anderem mit den Themen TTDSG, Diskussionen rund um die Erhebung von Immunisierungs- und Testdaten von Beschäftigten, dem Urteil des BGH zu Art. 15 DS-GVO, den neuen Standarddatenschutzklauseln und einem Ausblick auf den Wechsel an der Spitze im Haus der sächsischen Datenschutz-Aufsichtsbehörde.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Angemessenheitsbeschluss
  • Datenschutzkonferenz
  • Datenschutzverletzung
  • Drittlandübermittlung
  • Jahresrückblick
Lesen

ANGEMESSENHEITSBESCHLÜSSE FÜR DAS VEREINIGTE KÖNIGREICH

In unserem Blog-Beitrag „Die datenschutzrechtlichen Folgen des Brexit“ stellten wir Ende letzten Jahres dar, welche kurz- und langfristigen Auswirkungen der Austritt des Vereinigten Königreichs aus der Europäischen Union aus datenschutzrechtlicher Sicht haben könnte. Zum damaligen Zeitpunkt deutete vieles darauf hin, dass das Vereinigte Königreich spätestens zum 01. Juli 2021 als datenschutzrechtliches Drittland anzusehen sein und somit für Übermittlungen personenbezogener Daten die gleichen Anforderungen wie beispielsweise in die USA gelten würden. Zu Ende Juni hat die Europäische Kommission jedoch zwei Angemessenheitsbeschlüsse zum Vereinigten Königreich angenommen, sodass sich die Rechtslage nun anders darstellt.


ÜBERMITTLUNGEN PERSONENBEZOGENER DATEN AN DRITTLÄNDER ODER INTERNATIONALE ORGANISATIONEN

Nach Kapitel V der Datenschutz-Grundverordnung (DS-GVO) hinsichtlich der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen bedarf es für eine solche zusätzlich zu einer einschlägigen Übermittlungsgrundlage ebenfalls der Erfüllung der Bedingungen der Artt. 44 ff. DS-GVO. Hierdurch soll gemäß Art. 44 Satz 2 DS-GVO auch bei einer Verarbeitung in Drittländern und durch internationale Organisationen eine Sicherstellung des durch die Verordnung gewährleisteten Schutzniveaus erreicht werden.

Neben einem Angemessenheitsbeschluss der Europäischen Kommission im Sinne des Art. 45 Abs. 3 DS-GVO kann eine Übermittlung personenbezogener Daten in diesem Zusammenhang ebenfalls auf geeignete Garantien nach Art. 46 DS-GVO gestützt werden. Hierzu zählen insbesondere die sogenannten Binding Corporate Rules (BCR), Standarddatenschutzklauseln der Europäischen Kommission oder einer Aufsichtsbehörde, genehmigte Verhaltensregeln oder einzeln ausgehandelte und durch die zuständige Aufsichtsbehörde genehmigte Vertragsklauseln, die zwischen den Vertragsparteien vereinbart wurden. Weiterhin kann eine derartige Übermittlung personenbezogener Daten ebenfalls auf eine ausdrückliche Einwilligung der betroffenen Person, nachdem sie über die bestehenden Risiken einer solchen Datenübermittlung aufgeklärt wurde, auf Grundlage eines Vertrages sowie auf die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen gestützt werden, sofern eine Übermittlung hierfür zwingend erforderlich ist.


DATENÜBERMITTLUNG AUF GRUNDLAGE EINES ANGEMESSENHEITSBESCHLUSSES

Die Europäische Kommission kann auf Grundlage des Art. 45 DS-GVO einen Beschluss treffen, nach welchem für ein Drittland oder eine internationale Organisation ein angemessenes Schutzniveau festgestellt wird. Gemäß Art. 45 Abs. 2 DS-GVO hat die Kommission hierbei folgende Kriterien zu berücksichtigen:

– Die Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten, einschlägige Rechtsvorschriften, auch in Bezug auf die öffentliche Sicherheit, Verteidigung, nationale Sicherheit und Strafrecht sowie der Zugang der Behörden zu personenbezogenen Daten, die Anwendung dieser und datenschutzrechtlicher Vorschriften sowie die Möglichkeit zur Durchsetzung von Rechten der betroffenen Person und die Wirksamkeit der verwaltungsrechtlichen und gerichtlichen Rechtsbehelfe;

– Die Existenz und wirksame Funktionsweise unabhängiger Aufsichtsbehörden für die Einhaltung und Durchsetzung datenschutzrechtlicher Vorschriften, einschließlich angemessener Durchsetzungsbefugnisse sowie für die Unterstützung und Beratung von betroffenen Personen bei der Ausübung ihrer Rechte und für die Zusammenarbeit mit Aufsichtsbehörden anderer Mitgliedstaaten;

– Die eingegangenen internationalen Verpflichtungen, die sich aus rechtsverbindlichen Übereinkünften oder Instrumenten sowie aus der Teilnahme an multilateralen oder regionalen Systemen insbesondere in Bezug auf den Schutz personenbezogener Daten ergeben.

Sofern die Kommission unter Berücksichtigung der aufgeführten Kriterien eine Angemessenheit des Datenschutzniveaus feststellt, übernimmt diese die Aufgabe der regelmäßigen Überwachung, im Rahmen derer stets die aktuellen Entwicklungen innerhalb des Drittlandes oder der internationalen Organisation berücksichtigt werden.

Zum gegenwärtigen Zeitpunkt verfügen folgende Länder und Gebiete über einen Angemessenheitsbeschluss der Europäischen Kommission: Andorra, Argentinien, Färöer-Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Kanada (beschränkt auf Datenübermittlungen an „commercial organisations“), Neuseeland, Schweiz, Uruguay und das Vereinigte Königreich. Weiterhin ist ein Angemessenheitsbeschluss für das Land Südkorea absehbar.

In die zuvor genannten Länder kann eine Übermittlung personenbezogener Daten auf Grundlage des Angemessenheitsbeschlusses erfolgen. Es bedarf sodann – neben der Beachtung der sonstigen datenschutzrechtlichen Vorschriften – keiner weiteren besonderen Vorkehrungen.


HINTERGRÜNDE ZU DEN ANGEMESSENHEITSBESCHLÜSSEN FÜR DAS VEREINIGTE KÖNIGREICH

Für das Vereinigte Königreich liegen nunmehr zwei Angemessenheitsbeschlüsse vor: Zum einen im Anwendungsbereich der DS-GVO und zum anderen im Rahmen der Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im Rahmen der Strafverfolgung. Ausdrücklich vom sachlichen Geltungsbereich der Angemessenheitsbeschlüsse ausgenommen sind jedoch Datenübermittlungen im Zusammenhang mit der Einwanderungskontrolle des Vereinigten Königreichs.

Insgesamt liegen den Angemessenheitsbeschlüssen der Europäischen Kommission folgende Erwägungen zugrunde:

– Die datenschutzrechtlichen Regelungen haben sich seit Austritt des Vereinigten Königreichs aus der Europäischen Union nicht verändert. Die bisherig durch die DS-GVO auferlegten Grundsätze sowie Rechte und Pflichten wurden in das nationale Recht übernommen.

– Hinsichtlich des möglichen Zugriffs auf personenbezogene Daten durch Ermittlungsbehörden sieht das Rechtssystem des Vereinigten Königreichs geeignete Garantien vor. So müssen Datenverarbeitungen durch Nachrichtendienste stets erforderlich sowie verhältnismäßig sein und bedürfen der vorherigen Genehmigung durch ein unabhängiges Rechtsorgan. Weiterhin stehen betroffenen Personen gerichtliche Rechtsbehelfe zur Verfügung. Zudem unterliegt das Vereinigte Königreich auch zukünftig einer Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte, der Europäischen Menschenrechtskonvention sowie dem Übereinkommen des Europarates zum Schutz des Menschen bei der automatisierten Verarbeitung personenbezogener Daten.

– Die Geltungsdauer der Angemessenheitsbeschlüsse ist erstmalig per Klausel zeitlich beschränkt. Die Beschlüsse laufen grundsätzlich nach einer Geltungsdauer von vier Jahren ab. Soweit das Datenschutzniveau nach Ablauf der vier Jahren weiterhin dem der DS-GVO entspricht, ist der Annahmeprozess erneut zu durchlaufen.


FAZIT

Die Angemessenheitsbeschlüsse für das Vereinigte Königreich bieten für die Übermittlung personenbezogener Daten für verantwortliche Stellen (zunächst) Rechtssicherheit. Insbesondere mit Blick auf das „Schrems II“-Urteil des Europäischen Gerichtshofes (EuGH) und die entsprechenden Auswirkungen auf Datenübermittlungen in die USA werden jedoch die weiteren rechtlichen Entwicklungen und Rechtsprechungen des EuGH abzuwarten sein. Erst im Oktober des vergangenen Jahres befand dieser die weitreichenden Datenverarbeitungsbefugnisse von Ermittlungsbehörden des Vereinigten Königreiches für unzulässig. Möglicherweise ereilt den Angemessenheitsbeschlüssen somit in nicht allzu ferner Zukunft ein ähnliches Schicksal wie dem EU-US-Privacy Shield.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Angemessenheitsbeschluss
  • Brexit
  • Drittlandübermittlung
  • Europäische Kommission
  • Vereinigtes Königreich
Lesen