Das Jahr 2020 war und ist geprägt von der Corona-Pandemie und auch im Bereich Datenschutz hat das Virus SARS-CoV-2 nachhaltig Spuren hinterlassen. Davon und von den wesentlichen Entwicklungen und Entscheidungen rund um die DSGVO in diesem Jahr handelt dieser Jahresrückblick. tl; dr Auch durch die COVID-19-Pandemie wurde offenbar, dass das sog. Supergrundrecht Datenschutz, das die DSGVO […]

Das Jahr 2020 war und ist geprägt von der Corona-Pandemie und auch im Bereich Datenschutz hat das Virus SARS-CoV-2 nachhaltig Spuren hinterlassen. Davon und von den wesentlichen Entwicklungen und Entscheidungen rund um die DSGVO in diesem Jahr handelt dieser Jahresrückblick.

tl; dr

1. Auch durch die COVID-19-Pandemie wurde offenbar, dass das sog. Supergrundrecht Datenschutz, das die DSGVO implementierten wollte, einige strukturelle Mängel aufweist.
2. Diese strukturellen Mängel wurden auch durch höchstrichterliche Urteile und die Diskussion um einen harten Brexit, der uns glücklicherweise erspart geblieben ist, deutlich.
3. Folgende Mängel der DSGVO haben wir in diesem Jahr immer wieder beobachten können:
   • Die Theorie vom relativen Personenbezug (Urteil in der Rechtssache C‑582/14 Patrick Breyer von 2016), die die DSGVO praktisch nahtlos übernommen hat, ist in der Praxis viel zu weit gefasst.
   • Die Verarbeitung von pseudonymen Daten wird in der DSGVO nicht ausreichend privilegiert bzw. es werden die Verarbeiter von pseudonymen Daten nicht ausreichend von unnötigen Pflichten befreit.
   • Die Haushaltsausnahme ist mit der DSGVO zu eng gefasst.
   • Der Begriff des Verantwortlichen ist hingegen zu weit gefasst.
   • Die Hersteller von Produkten, die eine Verarbeitung von anonymen, pseudonymen oder evtl. personenbezogenen Daten erforderlich machen, werden durch die DSGVO nicht adressiert bzw. nur über die Bande des sog. Verantwortlichen reguliert.
   • 18 unabhängige Aufsichtsbehörden in Deutschland führen nicht zu einer einheitlichen Auslegung der DSGVO.

Corona-Warn-App

Die Diskussionen um die Corona-Warn-App zeigen exemplarisch, dass es entgegen der von Datenschützer*innen hier, hier und hier vertretenen Auffassung weiterhin einige Kritikpunkte auch aus Sicht des Datenschutzes gibt. So hat sich das höchste europäische Datenschutzgremium, der Europäische Datenschutzausschuss – EDSA (englisch: European Data Protection Board; EDPB) am 21. April 2020 recht früh festgelegt, dass es für Contakt-Tracing-Apps nicht erforderlich ist, dass der Ort von individuellen Usern verfolgt wird. Stattdessen sollen Näherungsdaten (proximity data) verwendet werden. Apple und Google haben festgelegt, dass das gemeinsame Exposure Notification Framework (ENF), das die Grundlage vieler Covid19-Apps wurde, aus Datenschutz- und Sicherheitsgründen keine Standortdaten an Gesundheitsbehörden und auch nicht an die eigenen Server weiter gibt. Nachdem wir nun seit dem Sommer wissen, dass „es auf die Cluster ankommt„, stellt sich schon die Frage, wie eine vernünftige elektronische Unterstützung ohne Geo-Lokalisierung auskommen kann. Die Antwort lieferte das RKI am 28.12.2020 mit Version 1.10.1 der Corona-Warn-App: einfach mal den Ort händisch eintippen. Die Implementierung einer seit über 10 Jahren üblichen „Check-In“-Funktion war scheinbar nicht möglich. Ebenso gibt es keinen Zugriff auf das lokale Adressbuch und den Kalender. Warum eigentlich nicht, wenn nicht aus Datenschutzgründen?

Datenschutz-Folgenabschätzung (DSFA)

Und damit kommen wir zu den Mängeln der DSGVO, die bei der Beurteilung der Corana-Warn-App aus Sicht des Datenschutzes deutlich werden. Das RKI als verantwortliche Stelle hat gemeinsam mit den Dienstleistern T-Systems und SAP sowie der Kanzlei Schürmann Rosenthal Dreyer eine bemerkenswerte Datenschutz-Folgenabschätzung (DSFA) vorgelegt. Bemerkenswert in zweierlei Hinsicht. Erstens ist es die derzeit wohl umfangreichste veröffentlichte DSFA im deutschsprachigen Raum (117 Seiten Bericht plus 297 Seiten Anlagen mit über 200 einzeln betrachteten Risiken). Noch überraschender ist aber das Ergebnis: Es bestehen nämlich laut DSFA hohe Restrisiken für die Betroffenen, die vom Verantwortlichen (dem RKI) nicht beseitigt werden können, schon weil die Corona-Warn-App auf Diensten von Google und Apple aufsetzt. Wohlgemerkt handelt es sich bei den vom RKI angeblich im ersten Schritt verarbeiteten Daten um stark pseudonymisierte Schlüssel aus dem ENF von Google und Apple, die ausschließlich im Speicher der Telefone der Betroffen liegen. Es ist insofern überraschend, dass für diese im ersten Schritt vom Betroffenen freiwillig auf dem eigenen Telefon verarbeiteten Daten, bei denen es unklar ist, ob überhaupt jemand mit vertretbarem Aufwand einen Personenbezug herstellen kann, die DSGVO Anwendung finden und das RKI (als Hersteller der App) dafür verantwortlich sein soll. Aber der Gesetzgeber und viele Datenschützer*innen wünschten sich offenbar eine strenge Auslegung des Haushaltsprivilegs. Es gibt sogar Datenschützer*innen, die die Auffassung vertreten, dass z.B. die Überprüfung einer Corona-App im Rahmen einer Einlasskontrolle  der DSGVO unterliegen soll (Zitat: „Der Aufenthalt von Personen in umgrenzten Räumen sortiert nach bestimmten Kriterien erfüllt die Voraussetzungen für ein nicht-automatisiertes Dateisystem„).

Microsoft Office 365 und Zoom

Etwas anders gelagert, aber gleichfalls betroffen von den Mängeln der DSGVO, ist die möglicherweise rechtswidrige Nutzung von Microsoft Office 365 mit Teams oder der beliebten Anwendung von Zoom in den Zeiten von Social Distancing und Homeoffice. Hier soll nicht etwa der Hersteller der Software für etwaige Datenschutzmängel zuständig sein, sondern der Nutzer der Software wie z.B. die örtliche Schulleitung. Schließlich stellt sich am Beispiel von Zoom schon die Frage, warum die Firma B verantwortlich ist, wenn ihr Mitarbeiter Herr A eine Einladung für eine Videokonferenz an Herrn C von der Firma D verschickt. Dabei hat Firma D doch ebenfalls einen Business Account bei Zoom und eine AVV abgeschlossen. Es könnte ja auch das Telekommunikationsgeheimnis zur Anwendung kommen und dann wäre der Dienstanbieter verantwortlich. Aber statt solche praktischen Lösungsvorschläge zu überlegen, beschenkt man sich bei den Aufsichtsbehörden lieber mit Nebelkerzen (Hashtag: #dsgvowirkt). 

Drittstaatentransfer

Ein weiterer unmittelbarer Konstruktionsfehler der DSGVO zeigt sich beim Drittstaatentransfer rund um die Artikel 44 ff. DSGVO. So musste die große Mehrheit der europäischen Unternehmen am 16.7.2020 nach dem Urteil des EuGH in Sachen Schrems II (gegen Facebook) überrascht feststellen, dass Teile Ihrer Datenverarbeitung unzulässig sind. Jedenfalls die Teile bei denen eine Übermittlung in die USA (z.B. durch den Einsatz von Subunternehmern) nicht ausgeschlossen werden konnte. Dabei ist es doch relativ unwahrscheinlich, dass eine betroffene Arbeitnehmerin z.B. an der Einreise in die USA gehindert wird, weil amerikanische Behörden sich ohne richterlichen Beschluss Zugang zu ihrer dienstlichen IP Adresse verschafft haben. Interessanterweise wurde die Interessenabwägung beim Drittstaatentransfer im Rahmen des Trilogs aus dem Gesetz gestrichen. Auch hier bemühten sich die Aufsichtsbehörden redlich, konnten aber nicht wirklich behilflich sein.

Cookies

Beim Thema Cookies gab es ein bemerkenswertes Urteil des BGH aus dem Mai, das zwar dazu führte, dass wir jetzt auch in Deutschland überall Consent Management Plattformen einsetzen. Ansonsten ist allerdings die Sanktionierung für Verstößen in diesem Bereich weitgehend unklar.

Bußgelder gegen 1&1, AOK und H&M

Ein weiteres hervorzuhebendes Thema ist das sog. Bußgeldkonzept der deutschen Aufsichtsbehörden. Durch drei interessante Bußgeldverfahren wurde in diesem Jahr zweierlei deutlich: Im Verfahren gegen 1&1 vor dem Landgericht Bonn zeigte sich, dass die Bußgelder unangemessen hoch sind. Im Verfahren gegen H&M zeigte sich, dass auch ein noch so hohes Bußgeld vom Beschuldigten akzeptiert wird, wenn die befürchteten Schäden durch eine medienwirksame Auseinandersetzung mit der Aufsichtsbehörde unkalkulierbar werden könnten. Gleiches dürfte sich auch die AOK gedacht haben, nachdem Herr Brink offenbar sogar mit einem Durchsuchungsbefehl um die Ecke kam.

Aber es gab auch gute Nachrichten in 2020: Einige Projekte konnten erfolgreich abgeschlossen werden, wir haben freundliche neue Kunden gewonnen und Martin hat im Podcast von Härting über die Einführung eines Datenschutz-Managements-Systems mit agilen Methoden berichtet.

In diesem Sinne wünschen wir Ihnen ein erfolgreiches und gesundes Jahr 2021!

Ab sofort finden Sie uns in der Witzlebenstraße 21a in 14057 Berlin direkt hinter dem Amtsgericht Charlottenburg. Wir teilen uns die neuen Räumlichkeiten mit unseren Schwesterfirmen brainpilot, Klar EDV und NoX.

Ab sofort finden Sie uns in der Witzlebenstraße 21a in 14057 Berlin direkt hinter dem Amtsgericht Charlottenburg.

Wir teilen uns die neuen Räumlichkeiten mit unseren Schwesterfirmen brainpilot, Klar EDV und NoX.

Nun ist es also soweit: Die Datenschutz-Grundverordnung oder (DSGVO) wird angewendet und hat die bisherige nationale und europäische Datenschutz-Gesetzgebung abgelöst. Das neue BDSG ist ebenfalls in Kraft getreten. Die Auswirkungen werden in den Medien und bei Fachgesprächen heftig diskutiert und es bleibt abzuwarten, welche Folgen die DSGVO langfristig haben wird. Wenn Sie als Unternehmen noch […]

Nun ist es also soweit: Die Datenschutz-Grundverordnung oder (DSGVO) wird angewendet und hat die bisherige nationale und europäische Datenschutz-Gesetzgebung abgelöst. Das neue BDSG ist ebenfalls in Kraft getreten. Die Auswirkungen werden in den Medien und bei Fachgesprächen heftig diskutiert und es bleibt abzuwarten, welche Folgen die DSGVO langfristig haben wird. Wenn Sie als Unternehmen noch keinen Einstieg in die neue Gesetzgebung gefunden haben, hilft evtl. der von uns entwickelte 10-Punkte-Plan:

1. Aktualisieren Sie die Datenschutz-Erklärung Ihrer Website. Ein gutes Muster finden Sie beim Anwaltsverein. Etwas komfortabler geht es bei Thomas Schwenke (Kosten ab 99 EUR).
2. Kümmern Sie sich um die Informationspflicht gegenüber Kunden, Mandanten, Patienten, Beschäftigten oder Bewerbern. Eine gute Praxishilfe finden Sie hier.
3. Schalten Sie Ihre Video-Überwachung ab oder kümmern sich wenigstens um die Informationspflicht sowie die Beschilderung. Wie das geht, erfahren Sie beim LfD Niedersachsen.
4. Analysieren Sie Ihre CRM-Daten und die Prozesse beim E-Mail-Marketing. Warum Sie dabei nicht in Panik geraten sollten, erfahren Sie von Martin Schirmbacher.
5. Verzichten Sie auf Facebook Custom Audience und arbeiten Sie die Checkliste zu Google Analytics von Nina Diercks ab.
6. Überlegen Sie sich interne Prozesse zum Auskunftsrecht und zur Meldepflicht bei Datenpannen.
7. Benennen Sie einen DSB ab 10 Beschäftigten (Artikel 37 & § 38 BDSG) und teilen dessen Kontaktdaten (E-Mail-Adresse) der Aufsichtsbehörde mit.
8. Schulen Sie Ihre Beschäftigten und verpflichten Sie sie auf die DSGVO. Ein gutes Muster erhalten Sie vom Bayerischen Landesamt für Datenschutzaufsicht.
9. Beginnen Sie mit der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten. Wenn Sie Gesundheitsdaten verarbeiten, denken Sie an die Risikoanalyse. Vergessen Sie nicht die TOM-Liste.
10. Erstellen Sie eine Übersicht Ihrer Auftragsverarbeiter. Eine Übersicht mit 100 Beispielen finden Sie hier.

Unsere neue Online-Mitarbeiterschulung (E-Learning) zur Datenschutz-Grundverordnung kommt bald! Am 25. Mai 2018 löst die Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (kurz: Datenschutz-Grundverordnung oder DSGVO) die bisherige nationale und europäische Datenschutz-Gesetzgebung ab. Rechtzeitig zu dieser Umstellung werden wir auch BDSG-Wissen.de erneuern. Nicht nur die Inhalte werden an die […]

Unsere neue Online-Mitarbeiterschulung (E-Learning) zur Datenschutz-Grundverordnung kommt bald!

Am 25. Mai 2018 löst die Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (kurz: Datenschutz-Grundverordnung oder DSGVO) die bisherige nationale und europäische Datenschutz-Gesetzgebung ab.

Rechtzeitig zu dieser Umstellung werden wir auch BDSG-Wissen.de erneuern. Nicht nur die Inhalte werden an die neue Gesetzgebung angepasst, die Seite erfährt auch ein überfälliges Facelift. Das neue DSGVO-Wissen wird moderner, ansprechender und freundlicher. Was wir behalten ist unser Ansatz: kompetent, eingängig, preiswert – und leicht in Ihren Arbeitsalltag zu integrieren.

Ab April 2018 können wir Ihnen ein individuelles Angebot erstellen.

Am 15. Dezember 2015 einigten sich Rat, Kommission und Parlament auf einen Kompromiss für die neue Datenschutz-Grundverordnung. Die Verordnung muss nun noch vom Ausschuss für bürgerliche Freiheiten, Justiz und Inneres und dann vom Parlament bestätigt werden und tritt dann mit einer Übergangsfrist von zwei Jahren in Kraft. In dieser Zeit müssen alle Mitgliedsstaaten die Gesetzesänderung […]

Am 15. Dezember 2015 einigten sich Rat, Kommission und Parlament auf einen Kompromiss für die neue Datenschutz-Grundverordnung. Die Verordnung muss nun noch vom Ausschuss für bürgerliche Freiheiten, Justiz und Inneres und dann vom Parlament bestätigt werden und tritt dann mit einer Übergangsfrist von zwei Jahren in Kraft. In dieser Zeit müssen alle Mitgliedsstaaten die Gesetzesänderung in lokales Recht umsetzen. Dann entscheidet sich auch, ob die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten in Deutschland erhalten bleibt. Im Folgenden werde ich einige Links und Kommentare zum Thema sammeln:

„Der heutige Abend hat den erwarteten Durchbruch für ein neues Datenschutzgesetz in der Europäischen Union gebracht.“ Jan Philipp Albrecht, Verhandlungsführer des Europäischen Parlaments für die Datenschutzverordnung

Kompromissvorschlag der Datenschutzverordnung, gefunden bei Härting Rechtsanwälte

„Trilog erfolg­reich, Ein­wil­li­gung tot“ deutliche Kritik von Niko Härting

Ebenfalls kritische Auseinandersetzung mit der Verordnung von Winfried Veil auf CR-Online: Angriff auf Internet und Meinungsfreiheit (Teil I, II und III)

Weiterführende Informationen des Berufsverbands der Datenschützer (BvD): https://www.bvdnet.de/themen/dsgvo/

Update: Das Gesetz  zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) wurde mittlerweile von Bundestag und Bundesrat beschlossen. Die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten gilt in Deutschland weiterhin für alle Unternehmen, „soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“.

Schon wieder ein Jahr vorbei – das Jahr eins nach den Snowden-Enthüllungen über den NSA-Spähangriff. Der Eingriff in die Persönlichkeitsrechte des einzelnen und die Auswirkungen auf unser demokratisches Leben sind abstrakt und nur bedingt erfassbar. Die Empörung oder zumindest das Bewusstsein für die permanente Bedrohung des einzelnen sind nur schwer aufrecht zu erhalten. Das Misstrauen gegenüber […]

Schon wieder ein Jahr vorbei – das Jahr eins nach den Snowden-Enthüllungen über den NSA-Spähangriff. Der Eingriff in die Persönlichkeitsrechte des einzelnen und die Auswirkungen auf unser demokratisches Leben sind abstrakt und nur bedingt erfassbar. Die Empörung oder zumindest das Bewusstsein für die permanente Bedrohung des einzelnen sind nur schwer aufrecht zu erhalten. Das Misstrauen gegenüber den Institutionen und der Politik ist gewaltig und hinterlässt einen stets schalen Nachgeschmack beim Leben im Netz.

Vordenker und CCC-Chef Frank Rieger hatte sich vor einiger Zeit in einem FAZ-Artikel klug mit den Auswirkungen des NSA-Skandals auseinander gesetzt und uns vor allem mit seinen Ausführungen zum Vertrauensaufbau aufhorchen lassen. Da wir nun die „dunkle Seite“ des Internets kennen, so Rieger, könnte ein Weg aus der Zwickmühle heraus der Aufbau von Vertrauen sein. Dies könne zum einen vonstatten gehen, indem sich Personen und Institutionen immer wieder tadellos verhalten und somit Vertrauen in sich aufbauen und dies immer wieder bestätigen – eine harte Nuss in unseren schnelllebigen Zeiten.

Passend dazu loteten die Datenschutz-Experten bei der diesjährigen ULD-Sommerakademie in Kiel das Spannungsfeld zwischen den Grundrechten auf freie Entfaltung und dem Anspruch auf absolute Sicherheit aus. Ben Scott, Programmdirektor bei der Stiftung Neue Verantwortung e.V., überzeugte mit einer grundsätzlichen Einordnung zum „Datenschutz in einer Post-Snowden-Welt“, in dem er auf die jeweiligen Stärken in den USA und Deutschland verwies. Als Lösungansatz nennt er ein gemeinsames rechtliches Rahmenwerk zur transatlantischen Sicherheits- wie die Datenschutzpolitik, um so die Auswüchse in puncto Totalüberwachung einzudämmen.

Einen lesenswerten Artikel gibt es u.a. bei heise.de. Außerdem sei auf die Zusammenfassung der ULD Sommerakademie hingewiesen.

Der Berliner Datenschutzbeauftragte Alexander Dix hat gestern seinen Jahresbericht 2009 vorgelegt.  Schwerpunkte darin sind unter anderem das novellierte Datenschutzgesetz sowie die Videoüberwachung an Schulen. Grundsätzlich begrüßt Dix das neue Datenschutzgesetz. Gleichzeitig kritisiert er jedoch auch verschiedene Auslegungsprobleme und fordert eine umfassende Neuregelung des Datenschutzgesetz. Die erfolgten Novellierungen sind für Dix „angesichts des umfassenden Modernisierungsbedarfs nur […]

Der Berliner Datenschutzbeauftragte Alexander Dix hat gestern seinen Jahresbericht 2009 vorgelegt.  Schwerpunkte darin sind unter anderem das novellierte Datenschutzgesetz sowie die Videoüberwachung an Schulen.

Grundsätzlich begrüßt Dix das neue Datenschutzgesetz. Gleichzeitig kritisiert er jedoch auch verschiedene Auslegungsprobleme und fordert eine umfassende Neuregelung des Datenschutzgesetz. Die erfolgten Novellierungen sind für Dix „angesichts des umfassenden Modernisierungsbedarfs nur Stückwerk“.

Bericht und Pressemitteilung finden Sie hier.

Wie der Tagesspiegel berichtet,  wird das Thema Datenschutz in vielen Brandenburger Kommunen eher stiefmütterlich behandelt. Dies ginge aus dem Bericht des Landesbeauftragte für Datenschutz hervor. So würden schon mal nach Ausgabe biometrischer Personalausweise die gespeicherten Fingerabdrücke nicht gelöscht oder Akten mit personenbezogenen Daten auf dem Flur gelagert.

Wie der Tagesspiegel berichtet,  wird das Thema Datenschutz in vielen Brandenburger Kommunen eher stiefmütterlich behandelt. Dies ginge aus dem Bericht des Landesbeauftragte für Datenschutz hervor. So würden schon mal nach Ausgabe biometrischer Personalausweise die gespeicherten Fingerabdrücke nicht gelöscht oder Akten mit personenbezogenen Daten auf dem Flur gelagert.

Dass Datenschutz in sozialen Netzwerken eine nicht all zu große Rolle spielt, ist bekannt. Die Stiftung Warentest hat nun die verschiedenen Netze auf Datensicherheit getestet. Schlechte Noten erhielten vor allem amerikanischen Anbieter wie Facebook, Mayspace und Co.

Dass Datenschutz in sozialen Netzwerken eine nicht all zu große Rolle spielt, ist bekannt. Die Stiftung Warentest hat nun die verschiedenen Netze auf Datensicherheit getestet. Schlechte Noten erhielten vor allem amerikanischen Anbieter wie Facebook, Mayspace und Co.