DER DATENSCHUTZ-JAHRESRÜCKBLICK TEIL III

In unserem Datenschutz-Jahresrückblick Teil I und Teil II haben wir uns bereits die Monate Januar bis August unter datenschutzrechtlichen Gesichtspunkten betrachtet. In unserem heutigen und letzten Teil des Jahresrückblickes widmen wir uns den Monaten September und Dezember und greifen insbesondere die Themen TTDSG, Verarbeitung von Immunisierungs- und Testdaten von Beschäftigten sowie die jüngst aufgetretene Log4j-Sicherheitslücke auf:


SEPTEMBER 2021

Der September begann sogleich mit der Verhängung eines enormen Bußgeldes der irischen Aufsichtsbehörde in Höhe von 225 Millionen Euro gegenüber WhatsApp. Bemängelt wurde seitens der Aufsichtsbehörde insbesondere die intransparente Datenverarbeitung von WhatsApp, einschließlich der  Übermittlung von personenbezogenen Daten von Nutzenden an Facebook. Das Unternehmen WhatsApp Ireland Ltd. hat bereits angekündigt, gegen den Bußgeldbescheid vorzugehen. Zwar mag die Verhängung eines solchen Bußgeld als ein erster Erfolg gegen die zum Teil datenschutzrechtlich fragwürdigen Verarbeitungspraktiken großer Konzerne gewertet werden. Jedoch stellen die benannten 225 Millionen Euro lediglich einen geringen Bruchteil eines Prozentes des weltweit erzielten Jahresumsatzes des Unternehmens dar. Die Datenschutz-Grundverordnung (DS-GVO) sieht im Rahmen des Art. 82 Abs. 5 lit. a) und b) DS-GVO in Fällen von Verstößen gegen die Rechtmäßigkeit und Transparenz von Datenverarbeitungen ein Bußgeld von bis zu vier Prozent des weltweit erzielten Vorjahresumsatzes vor. Demnach hätte das Bußgeld auch 50-mal höher ausfallen können.

Weiterhin ist auch die Entscheidung des OLG Brandenburg (Beschl. v. 11.08.2021 – Az.: 1 U 69/20) als wesentliches Ereignis zu betrachten. Das Gericht stellte im Rahmen seines Beschlusses klar, dass es für einen Schadensersatzanspruch nach Art. 82 DS-GVO einer konkreten Schädigung der betroffenen Person bedarf. Die Richter verwiesen diesbezüglich auf die Regelung des Art. 82 Abs. 3 DS-GVO in Verbindung mit Erwägungsgrund 146 Satz 2 zur DS-GVO, wonach es des Nachweises eines konkreten Schadens bedarf. Der einfache Verweis auf die Rechtswidrigkeit einer Datenverarbeitung und daraus lediglich potenziell entstehender Nachteile für die betroffene Person reiche demnach nicht aus, um einen Schadenersatzanspruch zu begründen. Der benannte Beschluss steht damit im Einklang mit der Entscheidung des OLG Düsseldorf in einem ähnlich gelagerten Fall (Beschl. v. 16.02.2021 – Az.: 16 U 269/20).


OKTOBER 2021

Im Laufe des Jahres berichteten wir im Rahmen unseres Blogs über verschiedene Betroffenenrechte. So unter anderem über das Auskunftsrecht, das Recht auf Berichtigung, das Recht auf Löschung sowie das Recht auf Einschränkung der Verarbeitung. Im datenschutzrechtlichen Alltag der verantwortlichen Stellen und der Entscheidungspraxis der Gerichte kommt neben dem Recht auf Löschung dem Auskunftsrecht jedoch mit Abstand die wohl größte Bedeutung zu. Dies zeigt auch umso mehr die Entscheidung des OLG München (Urt. v. 04.10.2021 – Az.: 3 U 2906/20). Das Gericht entschied in dem benannten Prozess, dass von einem Auskunftsanspruch nach Art. 15 Abs. 3 DS-GVO grundsätzlich sämtliche personenbezogene Daten, also auch Telefonnotizen, Aktenvermerke, Gesprächsprotokolle, E-Mails und Briefe umfasst sind. Es stellte in diesem Zusammenhang klar, dass sich das Auskunftsrecht nicht ausschließlich auf besonders sensible oder private Informationen beschränkt, sondern grundsätzlich alle Informationen betrifft, die aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft sind. Das Gericht folgt damit dem Verständnis einer besonders weiten Auslegung des Auskunftsrechts nach Art. 15 DS-GVO.

Auch direkt die Tätigkeit der Datenschutzbeauftragten betreffend bot der Oktober 2021 Interessantes in Bezug auf die Rechtsprechung. Das OLG München befand in seinem Urteil (Urt. v. 27.10.2021 – Az.: 20 U 7051/20), dass ein externer Datenschutzbeauftragter nicht für die datenschutzrechtlichen Verstöße seines Auftraggebers haften kann. Das Gericht begründete diese Entscheidung damit, dass sich die datenschutzrechtlichen Verpflichtungen grundsätzlich gegen den Verantwortlichen im Sinne des Art. 4 Nr. 7 DS-GVO richten, von welchem der Datenschutzbeauftragte klar zu unterscheiden sei. Art. 39 Abs. 1 DS-GVO sieht für den Datenschutzbeauftragten insbesondere die Aufgaben der Unterrichtung und Beratung des Verantwortlichen sowie die Überwachung der Einhaltung der Datenschutzvorschriften vor.


NOVEMBER 2021

Nachdem wir uns bereits im September und Oktober 2021 mit dem datenschutzrechtlichen Hintergrund der Abfrage des Impfstatus von Beschäftigten durch den Arbeitgeber befasst hatten, traten nun im November 2021 einige wesentliche Änderungen des Infektionsschutzgesetzes (IfSG) in Kraft. Das Hauptaugenmerk war und ist dabei auf die Regelung des § 28b Abs. 3 IfSG zu legen. Demnach sind alle Arbeitgeber sowie die Leitungen der in § 28b Absatz 1 Satz 1 und Absatz 2 Satz 1 genannten Einrichtungen und Unternehmen dazu verpflichtet, die Einhaltung des Infektionsschutzes durch Nachweiskontrollen des Impf-, Test- und Genesenenstatus täglich zu überwachen und regelmäßig zu kontrollieren. Die hierfür verarbeiteten personenbezogenen Daten sind nach § 28b Abs. 3 IfSG spätestens am Ende des sechsten Monats nach ihrer Erhebung zu löschen. Mit dieser Regelung schuf der Gesetzgeber eine ausdrückliche rechtliche Grundlage zur Verarbeitung der jeweiligen Gesundheitsdaten. Aus datenschutzrechtlichen Gesichtspunkten wurde die hinsichtlich der konkreten Umsetzung jedoch sehr unspezifische Gestaltung der Norm teilweise auch kritisiert.


DEZEMBER 2021

Mit Beginn des Dezembers trat auch das neue Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) in Kraft. Ziel dieses Gesetzes ist die Anpassung der datenschutzrelevanten Bestimmungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) an die Datenschutz-Grundverordnung sowie Umsetzung der ePrivacy-Richtlinie. Das TTDSG sieht unter anderem Regelungen zum Datenschutz und zum Schutz der Privatsphäre in der Telekommunikation, zum digitalen Erbe, hinsichtlich Cookies sowie zu Diensten zur Einwilligungsverwaltung vor. Im Rahmen unserer Beiträge in diesem Jahr betrachteten wir darüber hinaus die (potenziellen) Auswirkungen des TTDSG auf Videokonferenzdienste sowie hinsichtlich der Privatnutzung betrieblicher Informations- und Kommunikationstechnik.

Zur Monatsmitte und dementsprechend nur noch wenige Tage von Weihnachten entfernt, sorgt(e) die Cyber-Sicherheitswarnung der Warnstufe Rot des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für Aufsehen und eine Menge Arbeit. Eine kritische sowie zwei weitere Schwachstellen in der Java-Protokollierungsbibliothek „Log4j“ führen auch gegenwärtig nach der Einschätzung des BSI zu einer extrem kritischen Bedrohungslage. Aufgrund der Vielzahl vonProdukten, die „Log4j“ verwenden, besteht eine unüberschaubare Vielfalt von verwundbaren Anwendungen. Hierunter können grundsätzlich zum Beispiel Client-Anwendungen, Internetseiten und automatisierte Schnittstellen fallen. Das BSI hat in diesem Zusammenhang das „Arbeitspapier Detektion und Reaktion“ zum Umgang mit der kritischen Schwachstelle veröffentlicht. Weiterhin trägt das BSI sämtliche relevanten Informationen auf einer eigens eingerichteten Unterseite zusammen und aktualisiert fortlaufend die darauf enthaltenen Einträge. Darüber hinaus lassen sich dort ebenfalls weiterführende Informationen für Verbraucherinnen und Verbraucher finden.

Zum Ende des letzten Teils unseres Jahresrückblickes werden wir nun noch etwas regionaler: Zum 31. Dezember 2021 endet die knapp 18-jährige Amtszeit des derzeitigen Sächsischen Datenschutzbeauftragten Andreas Schurig. Am 21. Dezember 2021 wählte der Sächsische Landtag Dr. Juliane Hundert zur neuen Sächsischen Datenschutzbeauftragten. Dr. Juliane Hundert ist Juristin und arbeitete bereits seit über zehn Jahren als Parlamentarische Beraterin bei der Fraktion Bündnis 90/Die Grünen des Sächsischen Landtags. Die Dauer der Amtszeit ihres Vorgängers wird sie voraussichtlich jedoch nicht erreichen können: Das Sächsische Datenschutzdurchführungsgesetz (SächsDSDG) sieht seit Mai 2018 in § 16 Abs. 3 SächsDSDG lediglich eine Amtszeit von sechs Jahren sowie eine einmalige Wiederwahl vor.

Damit beenden wir nun unseren Datenschutz-Jahresrückblick für das Jahr 2021. Insgesamt lässt sich zusammenfassen, dass die vergangenen zwölf Monate auch datenschutzrechtlich einige Herausforderungen boten. Wir bedanken uns recht herzlich bei Ihnen, dass Sie uns als Leser unseres Datenschutz-Blogs auch in diesem Jahr begleitet haben und sind mit Ihnen gemeinsam gespannt, welche Aufgaben auf uns im neuen Jahr warten. In diesem Sinne wünschen wir Ihnen einen guten und vor allem gesunden Start in das Jahr 2022!

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Betroffenenrechte
  • Infektionsschutzgesetz
  • Jahresrückblick
  • Log4j
  • TTDSG
Lesen

UPDATE: ABFRAGE DES IMPFSTATUS VON BESCHÄFTIGTEN DURCH DEN ARBEITGEBER

Bereits in unseren Blog-Beiträgen aus September und Oktober 2021 haben wir uns ausführlich mit den Problematiken im Zusammenhang mit der Abfrage des Impfstatus von Beschäftigten durch den Arbeitgeber auseinandergesetzt. Mit den rasant steigenden Infektionszahlen wurden vermehrt die Rufe nach einer einheitlichen Rechtsgrundlage zur Verarbeitung des Test-, Genesenen- oder Impfstatus der Beschäftigten laut. Abhilfe schaffen nun die neuen Regelungen des Infektionsschutzgesetzes (IfSG), insbesondere des § 28b Abs. 3 IfSG, deren Inhalt dieser Beitrag datenschutzrechtlich umreißen soll.


WAS WIRD GEREGELT?

Die wesentliche Norm zur Abfrage des Test-, Genesenen- oder Impfstatus von Beschäftigten ist der Norm des § 28b Abs. 3 IfSG zu entnehmen. Darin heißt es im Wesentlichen:

„Alle Arbeitgeber sowie die Leitungen der in Absatz 2 Satz 1 genannten Einrichtungen und Unternehmen sind verpflichtet, die Einhaltung der Verpflichtungen nach Absatz 1 Satz 1 und Absatz 2 Satz 1 durch Nachweiskontrollen täglich zu überwachen und regelmäßig zu dokumentieren. Alle Arbeitgeber und jeder Beschäftigte sowie Besucher der in Absatz 2 Satz 1 genannten Einrichtungen und Unternehmen sind verpflichtet, einen entsprechenden Nachweis auf Verlangen vorzulegen. Soweit es zur Erfüllung der Pflichten aus Satz 1 erforderlich ist, darf der Arbeitgeber sowie die Leitung der in Absatz 2 Satz 1 genannten Einrichtungen und Unternehmen zu diesem Zweck personenbezogene Daten einschließlich Daten zum Impf-, Sero- (Genesenen-) [Anmerkung des Autors] und Teststatus in Bezug auf die Coronavirus-Krankheit-2019 (COVID-19) verarbeiten. Die Daten dürfen auch zur Anpassung des betrieblichen Hygienekonzepts auf Grundlage der Gefährdungsbeurteilung gemäß den §§ 5 und 6 des Arbeitsschutzgesetzes verwendet werden, soweit dies erforderlich ist. § 22 Absatz 2 des Bundesdatenschutzgesetzes gilt entsprechend. […]. Die nach Satz 3 und nach Satz 8 erhobenen Daten sind spätestens am Ende des sechsten Monats nach ihrer Erhebung zu löschen; die Bestimmungen des allgemeinen Datenschutzrechts bleiben unberührt.“

Weiterhin enthält die Regelung weitere Verpflichtungen für „in Absatz 2 Satz 1 genannte Einrichtungen.“ Hierunter zählen grundsätzlich Einrichtungen des Gesundheitswesens (§ 23 Abs. 3 Satz 1 IfSG), Pflegeeinrichtungen (§ 36 Abs. 1 Nr. 2 IfSG) sowie ambulante Pflegedienste (§ 36 Abs. 1 Nr. 7 IfSG). Derartige Einrichtungen müssen in Ergänzung zu den oben genannten Anforderungen, an die zuständigen Behörden in anonymisierter Form Angaben zu den durchgeführten Testungen sowie Angaben zum Anteil der geimpften Personen übermitteln.

Die Änderungen des Infektionsschutzgesetzes wurden am 23. November 2021 im Bundesgesetzblatt verkündet und sind zum 24. November 2021 in Kraft getreten.


WAS BEDEUTET DAS NUN DATENSCHUTZRECHTLICH?

Zunächst stellt die Regelung des § 28b Abs. 3 IfSG nun die einheitliche Rechtsgrundlage zur Verarbeitung des Test-, Genesenen- und Impfstatus der Beschäftigten dar. Da es sich bei diesen Angaben grundsätzlich um Gesundheitsdaten und damit um besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 Datenschutz-Grundverordnung (DS-GVO) handelt, ist die Datenverarbeitung auf Grundlage des Art. 9 Abs. 2 lit. i) DS-GVO in Verbindung mit § 28b Abs. 3 IfSG durchzuführen. Dabei ist grundsätzlich zu beachten, dass Aufgrund der Verpflichtung zur Durchführung und Dokumentation des Arbeitgebers ebenfalls eine Verpflichtung der Arbeitnehmer besteht, die entsprechenden Nachweise vorzulegen.

Die Verarbeitung der besonderen Kategorien personenbezogener Daten hat den datenschutzrechtlichen Grundsätzen gemäß Art. 5 Abs. 1 DS-GVO zu entsprechen. Das heißt beispielsweise, dass die Gesundheitsdaten ausschließlich für die im Infektionsschutzgesetz festgelegten Zwecke verarbeitet werden dürfen, die zu verarbeitenden personenbezogenen Daten auf das für den Zweck der Datenverarbeitung erforderliche Minimum reduziert sein müssen und ausschließlich so lange verarbeitet werden dürfen, wie es für den Zweck der Datenverarbeitung zwingend erforderlich ist. Das Infektionsschutzgesetz sieht hierbei eine maximale Aufbewahrung bis zum Ende des sechsten Monats nach der Erhebung vor.

Unter Beachtung der dargelegten Anforderungen ist es grundsätzlich möglich, das Vorliegen eines entsprechenden Nachweises bei Geimpften und Genesenen zunächst einmalig zu überprüfen, zu vermerken und bei Genesenen zusätzlich das Enddatum des Genesenenstatus zu dokumentieren. In der Praxis kann eine Zutrittskontrolle dann beispielsweise über die Vergabe gleich aussehender Passierscheine erfolgen, auf denen das jeweilige Enddatum (bei Getesteten für den aktuellen Tag, bei Genesenen für maximal sechs Monate, bei Geimpften zunächst unbegrenzt) vermerkt wird.

Darüber hinaus ist zu berücksichtigen, dass die personenbezogenen Daten aufgrund Ihrer besonderen Schutzbedürftigkeit seitens des Arbeitgebers sicher zu verarbeiten sind. Das heißt beispielsweise, dass eine Aufbewahrung ausschließlich in verschlossenen Aktenschränken oder auf verschlüsselten Datenträgern erfolgen darf sowie die mit der Verarbeitung betrauten Beschäftigten auf die besondere Schutzbedürftigkeit der Daten hinzuweisen und dementsprechend zu sensibilisieren sind.


WAS GILT ES NOCH ZU BEACHTEN?

Grundsätzlich wird die Regelung des § 28b Abs. 3 IfSG als Zutrittskontrollmaßnahme zu verstehen sein, das heißt der entsprechende Nachweis ist mit Zutritt zur Einrichtung des Arbeitsgebers vorzulegen. Hingegen nicht umfasst sein dürfte eine Verpflichtung der Beschäftigten zur Vorab-Information per E-Mail. Insbesondere auch aufgrund der besonderen Schutzbedürftigkeit der Gesundheitsdaten scheidet die Übermittlung per E-Mail aufgrund der meist fehlenden Ende-zu-Ende-Verschlüsselung sowie aufgrund der automatisierten Archivierung des E-Mail-Posteingangs in der Regel aus. Auch eine Anforderung einer Kopie des entsprechenden Nachweises zum Verbleib beim Arbeitgeber ist von der Regelung des § 28b Abs. 3 IfSG ausdrücklich nicht umfasst.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit begrüßt grundsätzlich das Vorliegen einer einheitlichen Rechtsgrundlage zur Verarbeitung des Test-, Genesenen- und Impfstatus der Beschäftigten. Im Rahmen einer Pressemitteilung stellte er jedoch klar, dass er hinsichtlich der konkreten Verarbeitung sowie hinsichtlich der Speicherdauer Verbesserungspotential bezüglich der gesetzlichen Normierung sieht. Dementsprechend sind die weiteren Entwicklungen im Blick zu behalten.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Beschäftigtendatenschutz
  • Corona-Pandemie
  • Gesundheitsdaten
  • Impfstatus
  • Infektionsschutzgesetz
Lesen