Datenschutz in Zeiten von Corona
31. Dezember 2020

Das Jahr 2020 war und ist geprägt von der Corona-Pandemie und auch im Bereich Datenschutz hat das Virus SARS-CoV-2 nachhaltig Spuren hinterlassen. Davon und von den wesentlichen Entwicklungen und Entscheidungen rund um die DSGVO in diesem Jahr handelt dieser Jahresrückblick. tl; dr Auch durch die COVID-19-Pandemie wurde offenbar, dass das sog. Supergrundrecht Datenschutz, das die DSGVO […]

Das Jahr 2020 war und ist geprägt von der Corona-Pandemie und auch im Bereich Datenschutz hat das Virus SARS-CoV-2 nachhaltig Spuren hinterlassen. Davon und von den wesentlichen Entwicklungen und Entscheidungen rund um die DSGVO in diesem Jahr handelt dieser Jahresrückblick.

tl; dr

  1. Auch durch die COVID-19-Pandemie wurde offenbar, dass das sog. Supergrundrecht Datenschutz, das die DSGVO implementierten wollte, einige strukturelle Mängel aufweist.
  2. Diese strukturellen Mängel wurden auch durch höchstrichterliche Urteile und die Diskussion um einen harten Brexit, der uns glücklicherweise erspart geblieben ist, deutlich.
  3. Folgende Mängel der DSGVO haben wir in diesem Jahr immer wieder beobachten können:

Corona-Warn-App

Die Diskussionen um die Corona-Warn-App zeigen exemplarisch, dass es entgegen der von Datenschützer*innen hier, hier und hier vertretenen Auffassung weiterhin einige Kritikpunkte auch aus Sicht des Datenschutzes gibt. So hat sich das höchste europäische Datenschutzgremium, der Europäische Datenschutzausschuss – EDSA (englisch: European Data Protection Board; EDPB) am 21. April 2020 recht früh festgelegt, dass es für Contakt-Tracing-Apps nicht erforderlich ist, dass der Ort von individuellen Usern verfolgt wird. Stattdessen sollen Näherungsdaten (proximity data) verwendet werden. Apple und Google haben festgelegt, dass das gemeinsame Exposure Notification Framework (ENF), das die Grundlage vieler Covid19-Apps wurde, aus Datenschutz- und Sicherheitsgründen keine Standortdaten an Gesundheitsbehörden und auch nicht an die eigenen Server weiter gibt. Nachdem wir nun seit dem Sommer wissen, dass „es auf die Cluster ankommt„, stellt sich schon die Frage, wie eine vernünftige elektronische Unterstützung ohne Geo-Lokalisierung auskommen kann. Die Antwort lieferte das RKI am 28.12.2020 mit Version 1.10.1 der Corona-Warn-App: einfach mal den Ort händisch eintippen. Die Implementierung einer seit über 10 Jahren üblichen „Check-In“-Funktion war scheinbar nicht möglich. Ebenso gibt es keinen Zugriff auf das lokale Adressbuch und den Kalender. Warum eigentlich nicht, wenn nicht aus Datenschutzgründen?

Datenschutz-Folgenabschätzung (DSFA)

Und damit kommen wir zu den Mängeln der DSGVO, die bei der Beurteilung der Corana-Warn-App aus Sicht des Datenschutzes deutlich werden. Das RKI als verantwortliche Stelle hat gemeinsam mit den Dienstleistern T-Systems und SAP sowie der Kanzlei Schürmann Rosenthal Dreyer eine bemerkenswerte Datenschutz-Folgenabschätzung (DSFA) vorgelegt. Bemerkenswert in zweierlei Hinsicht. Erstens ist es die derzeit wohl umfangreichste veröffentlichte DSFA im deutschsprachigen Raum (117 Seiten Bericht plus 297 Seiten Anlagen mit über 200 einzeln betrachteten Risiken). Noch überraschender ist aber das Ergebnis: Es bestehen nämlich laut DSFA hohe Restrisiken für die Betroffenen, die vom Verantwortlichen (dem RKI) nicht beseitigt werden können, schon weil die Corona-Warn-App auf Diensten von Google und Apple aufsetzt. Wohlgemerkt handelt es sich bei den vom RKI angeblich im ersten Schritt verarbeiteten Daten um stark pseudonymisierte Schlüssel aus dem ENF von Google und Apple, die ausschließlich im Speicher der Telefone der Betroffen liegen. Es ist insofern überraschend, dass für diese im ersten Schritt vom Betroffenen freiwillig auf dem eigenen Telefon verarbeiteten Daten, bei denen es unklar ist, ob überhaupt jemand mit vertretbarem Aufwand einen Personenbezug herstellen kann, die DSGVO Anwendung finden und das RKI (als Hersteller der App) dafür verantwortlich sein soll. Aber der Gesetzgeber und viele Datenschützer*innen wünschten sich offenbar eine strenge Auslegung des Haushaltsprivilegs. Es gibt sogar Datenschützer*innen, die die Auffassung vertreten, dass z.B. die Überprüfung einer Corona-App im Rahmen einer Einlasskontrolle  der DSGVO unterliegen soll (Zitat: „Der Aufenthalt von Personen in umgrenzten Räumen sortiert nach bestimmten Kriterien erfüllt die Voraussetzungen für ein nicht-automatisiertes Dateisystem„).

Microsoft Office 365 und Zoom

Etwas anders gelagert, aber gleichfalls betroffen von den Mängeln der DSGVO, ist die möglicherweise rechtswidrige Nutzung von Microsoft Office 365 mit Teams oder der beliebten Anwendung von Zoom in den Zeiten von Social Distancing und Homeoffice. Hier soll nicht etwa der Hersteller der Software für etwaige Datenschutzmängel zuständig sein, sondern der Nutzer der Software wie z.B. die örtliche Schulleitung. Schließlich stellt sich am Beispiel von Zoom schon die Frage, warum die Firma B verantwortlich ist, wenn ihr Mitarbeiter Herr A eine Einladung für eine Videokonferenz an Herrn C von der Firma D verschickt. Dabei hat Firma D doch ebenfalls einen Business Account bei Zoom und eine AVV abgeschlossen. Es könnte ja auch das Telekommunikationsgeheimnis zur Anwendung kommen und dann wäre der Dienstanbieter verantwortlich. Aber statt solche praktischen Lösungsvorschläge zu überlegen, beschenkt man sich bei den Aufsichtsbehörden lieber mit Nebelkerzen (Hashtag: #dsgvowirkt). 

Drittstaatentransfer

Ein weiterer unmittelbarer Konstruktionsfehler der DSGVO zeigt sich beim Drittstaatentransfer rund um die Artikel 44 ff. DSGVO. So musste die große Mehrheit der europäischen Unternehmen am 16.7.2020 nach dem Urteil des EuGH in Sachen Schrems II (gegen Facebook) überrascht feststellen, dass Teile Ihrer Datenverarbeitung unzulässig sind. Jedenfalls die Teile bei denen eine Übermittlung in die USA (z.B. durch den Einsatz von Subunternehmern) nicht ausgeschlossen werden konnte. Dabei ist es doch relativ unwahrscheinlich, dass eine betroffene Arbeitnehmerin z.B. an der Einreise in die USA gehindert wird, weil amerikanische Behörden sich ohne richterlichen Beschluss Zugang zu ihrer dienstlichen IP Adresse verschafft haben. Interessanterweise wurde die Interessenabwägung beim Drittstaatentransfer im Rahmen des Trilogs aus dem Gesetz gestrichen. Auch hier bemühten sich die Aufsichtsbehörden redlich, konnten aber nicht wirklich behilflich sein.

Cookies

Beim Thema Cookies gab es ein bemerkenswertes Urteil des BGH aus dem Mai, das zwar dazu führte, dass wir jetzt auch in Deutschland überall Consent Management Plattformen einsetzen. Ansonsten ist allerdings die Sanktionierung für Verstößen in diesem Bereich weitgehend unklar.

Bußgelder gegen 1&1, AOK und H&M

Ein weiteres hervorzuhebendes Thema ist das sog. Bußgeldkonzept der deutschen Aufsichtsbehörden. Durch drei interessante Bußgeldverfahren wurde in diesem Jahr zweierlei deutlich: Im Verfahren gegen 1&1 vor dem Landgericht Bonn zeigte sich, dass die Bußgelder unangemessen hoch sind. Im Verfahren gegen H&M zeigte sich, dass auch ein noch so hohes Bußgeld vom Beschuldigten akzeptiert wird, wenn die befürchteten Schäden durch eine medienwirksame Auseinandersetzung mit der Aufsichtsbehörde unkalkulierbar werden könnten. Gleiches dürfte sich auch die AOK gedacht haben, nachdem Herr Brink offenbar sogar mit einem Durchsuchungsbefehl um die Ecke kam.

Aber es gab auch gute Nachrichten in 2020: Einige Projekte konnten erfolgreich abgeschlossen werden, wir haben freundliche neue Kunden gewonnen und Martin hat im Podcast von Härting über die Einführung eines Datenschutz-Managements-Systems mit agilen Methoden berichtet.

In diesem Sinne wünschen wir Ihnen ein erfolgreiches und gesundes Jahr 2021!