Unser Datenschutz-Update im August 2022

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den August 2022.

1. Nachrichten aus der Welt des Datenschutzes

Auskunftsanspruch umfasst keine TOM, datenschutzkonformer Einsatz von Cloud-Services – Stellungnahme der Aufsichtsbehörde Fürstentum Liechtenstein

In Ihrem Tätigkeitsbericht äußert sich die Datenschutzstelle Fürstentum Liechtenstein zu zwei interessanten Punkten, die im Datenschutzalltag immer wieder angefragt werden.

Auskunftsanspruch und TOM (Tätigkeitsbericht, Seite 19):

Der Aufsichtsbehörde wurde mehrfach die Frage gestellt, ob im Rahmen der Auskunftserteilung nach Art. 15 DSGVO auch eine Information über technische und organisatorische Massnahmen (TOM) erteilt werden muss. 

Dazu im Tätigkeitsbericht: Weder Art. 13 oder 14 DSGVO noch Art. 15 DSGVO begründen einen Rechtsanspruch auf Informationen zu den TOM. Im Rahmen des Verarbeitungsverzeichnisses gemäss Art. 30 DSGVO hat eine allgemeine Beschreibung der TOM zu erfolgen. Allerdings besteht keine Verpflichtung, dieses Verzeichnis gegenüber Betroffenen offenzulegen. 

Wichtig für die Auftragsverarbeitung: Die TOM sind jeweils in einen Auftragsverarbeitungsvertrag aufzunehmen. Bei Betroffenenanfragen besteht aber kein Anspruch, diese TOM einzusehen. (Bericht, Seite 19)

Datenschutzkonformier Einsatz von Cloud Services (Tätigkeitsbericht, Seite 21): 

Ebenso nimmt die Aufsichtsbehörde zur Frage Stellung, ob und inwieweit ein datenschutzkonformer Einsatz von Cloud Services generell möglich ist. 

„Die DSGVO als auch das DSG sind technikneutral formuliert und verbieten somit den Einsatz von Cloud Services nicht grundsätzlich, sondern stellen vielmehr allgemeine Regeln auf, die es auch bei der Nutzung von Cloud Services zu beachten gilt.“ 

Da der Begriff der Cloud sehr weit gefasst ist und verschiedenste Ausprägungen aufweist sowie sehr individuell konfiguriert werden kann, sei die konkrete Einzelfallbetrachtung jeder individuell gewählten Lösung unabdingbar. 

Die wichtigsten datenschutzrechtlichen Fragen bzw. Anforderungen hinsichtlich Cloud Services könnten deshalb in der Regel aber auf die folgenden fünf Punkte reduziert werden:

• Einhaltung datenschutzrechtlicher Grundsätze (Art. 5 DSGVO), 
• Auftragsverarbeitungsvertrag (Art. 28 DSGVO), 
• Einsatz von geeigneten technischen und organisatorischen Massnahmen (Art. 32 DSGVO),
• Datenschutz-Folgenabschätzung (Art. 35 DSGVO)
• Einhaltung der Regelungen zum internationalen Datentransfer (Art. 44 ff. DSGVO). 

Details zu diesen Punkten führt die Aufsichtsbehörde auf ihrer Internetseite aus.

Mehr dazu finden Sie hier: https://www.datenschutzstelle.li/application/files/5216/5407/4214/Taetigkeitsbericht_2021.pdf

Übermittlung in Drittland schon bei Gefahr der Übermittlung? – Stellungnahme des LfDI Baden-Württemberg zum Beschluss der Vergabekammer

Die Vergabekammer Baden-Württemberg hatte in einem Beschluss am 13.07.2022 entschieden, dass Infrastrutkurdienste von europäischen Tochterunternehmen US-amerikanischer Cloud-Anbieter:innen nicht genutzt werden dürfen.

Nach ihrer Ansicht sei eine Übermittlung als Verarbeitungsform, im Sinne des Art. 4 Abs. 2 DSGVO, bereits dann anzunehmen, wenn allein die Gefahr der Übermittlung in einen Drittstaat besteht. Zur Begründung führt sie aus, dass der Übermittlungsbegriff in Art. 4 Abs. 2 DGVO nicht dem Übermittlungsbegriff des Art. 44 DSGVO entspräche. Die besondere Schutzbedürftigkeit beim Dittstaatentransfer erfordere eine weitere Auslegung. 

Dies sieht jedoch der Landesbeauftragte für Datenschutz Baden-Württemberg aus mehreren Gründen anders und zweifelt den Beschluss der Vergabekammer in seiner Stellungnahme zu diesem Beschluss an:

• Zum einen führt der LfDI an, die Vergabekammern habe offenbar nicht uneingeschränkten Zugriff auf die Klauseln gehabt, die zu prüfen waren. 
• Zum anderen sei die von der Vergabekammer vorgenommene Gleichsetzung von Zugriffsrisiko und Übermittlung (als Verarbeitungsform nach Art. 4 Nr. 2 DS-GVO) rechtlich zweifelhaft:

„Dass ein Zugriffsrisiko ohne weiteres einen Übermittlungstatbestand erfüllt, kann mit guten Gründen bestritten werden. Dass die DSGVO einen „risikobasierten Ansatz“ zugunsten Verantwortlicher eingeführt habe, wird von interessierten Kreisen zwar immer wieder (und in dieser Pauschalität wenig überzeugend) vorgebracht. Dass dieser Ansatz jetzt aber zu Lasten von Verantwortlichen und Auftragsverarbeitern umgedreht werden dürfte, überzeugt ebenso wenig. Zudem übersieht diese Argumentation, dass gegen solche Zugriffsrisiken wirksame Gegenmittel in Gestalt sog. „technisch-organisatorischer Maßnahmen“ existieren, die letztlich jedes Risiko ausschließen können.“

Der LfDI Baden-Württemberg hält daher auch nach der beachtlichen Entscheidung der Vergabekammer Baden-Württemberg an den Maßgaben seiner Orientierungshilfe zu Datentransfers, 4. Auflage zu seiner Orientierungshilfe zum internationalen Datentransfer fest.

Die Überprüfung der Entscheidung der Vergabekammer durch das OLG Karlsruhe steht noch aus.

Mehr dazu finden Sie hier: https://www.baden-wuerttemberg.datenschutz.de/stellungnahme-zum-beschluss-der-vergabekammer-bw/

LfDI Rheinland-Pfalz beantwortet Fragen zu Microsoft Office 365

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz beantwortet auf seiner Webseite „FAQs zu Microsoft Office 365“.

Einleitend erklärt er, was die datenschutzrechtlichen Probleme bei der Nutzung von Microsoft Office 365 eigentlich sind.

Dabei wird auf das grundlegende Problem der Datenübermittlung in den USA hingewiesen, deren Schutzniveau seit dem Schrems II-Urteil nicht dem europäischen Anforderungen entspricht und auch durch die europäischen SCC (Standarddatenschutzklauseln) nicht ausreichend gewährleistet wird.

Darüber hinaus:

„Hinsichtlich Microsoft 365 gibt es weiterhin Regelungen in den Nutzungsbedingungen (Online Service Terms OST) bzw. den Datenschutzbestimmungen (Date Processing Agreement DPA), die den datenschutzrechtlichen Anforderungen aus der DSGVO an die Transparenz der Datenverarbeitung, die Einwirkungsmöglichkeiten des Auftraggebers, die Zwecke der Datenverarbeitung oder die Löschung von Daten nicht entsprechen.“

Beantwortet wird auch die Frage, warum die Verarbeitung auf europäischen Servern nicht ausreicht:

Zum einen werden „Dienstgenerierte Daten“ weiterhin in die USA übermittelt und ein Personenbezug ist nicht auszuschließen. 

Darüberhinaus: „trägt die Möglichkeit der Datenspeicherung auf europäischen Servern dem Problem eines dem europäischen Recht nicht entsprechenden Zugriffs durch US-amerikanische Stellen nur bedingt Rechnung, da über den amerikanischen Clarifying Lawful Overseas Use of Data Act (CLOUD-Act) vom 23. März 2018 für US-Unternehmen eine Herausgabeverpflichtung auch dann besteht, wenn die Daten außerhalb der USA gespeichert werden.“

Deshalb müssten die Verantwortlichen durch vertragliche, technische oder organisatorische Maßnahmen (z. B. durch eine Filterung der Datenübermittlungen über eine entsprechende Infrastruktur) sicherstellen, dass nachweislich keine Übermittlung von Telemetriedaten an Microsoft stattfindet.

Wie diese aussehen können, beantwortet der Datenschutzbeauftragte ebenfalls, wobei für kleinere und mittlere Unternehmen fraglich sein dürfte, ob sie diesen Aufwand betreiben können:

• Prüfung der Datenübertragungen an Microsoft. Dies sollte exemplarisch den Datenverkehr, der die Computer der Benutzer:innen verlässt, und seine Ziele abdecken, um den Datenfluss von Microsoft-Software zu Microsoft-Servern oder anderen Zielen herauszufinden. Dabei sollten insbesondere die normalen Nutzungsmuster der eingesetzten Microsoft-Produkte und -Dienste abgedeckt werden. Für die Analyse von Diagnosedaten unter Windows 10 und bei Office Produkten stellt Microsoft den Diagnosedaten-Viewer (DDV) zur Verfügung: https://support.microsoft.com/de-de/office/verwenden-des-diagnosedaten-viewers-mit-office-cf761ce9-d805-4c60-a339-4e07f3182855
• Nutzung produktseitig vorhandener Konfigurationsmöglichkeiten, um die Übertragung von Diagnose-/Telemetriedaten zu unterbinden (siehe z.B. https://www.datenschutz.rlp.de/de/themenfelder-themen/windows-10/ ). Innerhalb der Office-Produkte bietet Microsoft eine Reihe sogenannter „Steuerelemente“ an, mit denen die Erfassung/Übertragung von Diagnosedaten konfiguriert werden kann: https://docs.microsoft.com/de-de/deployoffice/privacy/products-versions-privacy-controls 
  https://docs.microsoft.com/de-de/deployoffice/privacy/overview-privacy-controls 
• Soweit entsprechende Konfigurationsmöglichkeiten nicht zur Verfügung stehen, soll, um die Übermittlung personenbezogener Telemetriedaten zu unterbinden, mittels vertraglicher, technischer oder organisatorischer Maßnahmen (z. B. durch eine Filterung der Internetzugriffe über eine entsprechende eigene Infrastruktur der Verantwortlichen) sicher gestellt werden, dass nachweislich keine Übermittlung von Telemetriedaten an Microsoft stattfindet.
• Überwachung von Microsoft-Produktupdates und Prüfung Konfiguration etwaiger damit verbundener Konfigurationsänderungen.
• Wenn Microsoft-Produkte und -Dienste eingesetzt werden sollen, die zuvor noch nicht verwendet wurden, sind vor der Bereitstellung Bewertungen der Datenschutzrisiken dieser Produkte und Dienste durchzuführen.

Angesichts der FAQ ist fraglich, inwieweit ein DSGVO-konformer Einsatz von Microsoft Office 365 derzeit überhaupt möglich ist und vor der Verwendung sollte geprüft werden, ob man nicht auf Alternativen ausweichen kann.

Mehr dazu finden Sie hier: https://www.datenschutz.rlp.de/de/themenfelder-themen/microsoft-office-365/

Und hier: https://www.datenschutz-notizen.de/neues-zu-microsoft-365-4437060/

2. Entscheidung des Monats

500,00 € Schadensersatz für verspätete Auskunft (OLG Köln) – noch immer keine einheitliche Rechtsprechung

Wieder einmal mussten sich die Gerichte mehrerer Instanzen mit der Frage beschäftigen, ob eine verspätete Auskunft nach DSGVO zu einem Schadensersatzanspruch führt. 

Ein Rechtsanwalt kommunizierte mit einer Mandantin über E-Mail und WhatsApp. Nach Kündigung des Mandats forderte die Klägerin eine Kopie der Handakte und die vollständige Datenauskunft beim Anwalt einschließlich Datenweitergabe an Dritte. Diesem Auskunftsersuchen kam der Anwalt nicht vollständig nach, woraufhin sie Klage einreichte. Da seit dem Auskunftsersuchen 9 Monate der Untätigkeit vergangen waren, forderte die Klägerin 1000,00 €.

Die erste Instanz sah zwar die Informationspflichten des Beklagten als verletzt, verneinte jedoch einen ersatzfähigen Schaden. 

Die Berufungsinstanz – OLG Köln (15. Zivilsenat), Urteil vom 14.07.2022 – 15 U 137/21 – jedoch bejahte einen ersatzfähigen Schaden. Allerdings wurde die Entscheidung dadurch erleichtert, dass der Beklagte den Vortrag der Klägerin in diesen wichtigen Punkten nicht bestritten hatte und die Klägerin ihren immateriellen Schaden – psychische Belastung über eine nicht unerhebliche Dauer – dargelegt hatte. 

Der Schadensersatzanspruch wurde jedoch nur auf 500,00 € gegeben. 

Fazit 

Hinsichtlich der Voraussetzungen eines Schadensersatzanspruchs bei verspäteter Auskunft besteht weiterhin keine einheitliche Rechtsprechung über die Instanzen. Allerdings zeigen die Urteile der letzten Monate zu diesem Thema, dass verspätete Auskünfte nicht mehr als Bagatellen abgetan werden. Es ist deshalb zu raten, Fristen für Auskunftserteilungen einzuhalten und die Kommunikation mit den Betroffenen während dieser Zeit zu gewährleisten. Keinen guten Eindruck auf die Betroffenen macht es, wenn man ihnen ausweicht. 

Weitere Urteile zu diesem Thema finden Sie hier: https://openjur.de/u/2255182.html

Und hier: https://openjur.de/u/2271642.html

3. Unser Tipp: AVV-Checkliste zur Prüfung der Auftragsverarbeitungsverträge von Webhostern

Wenn Sie für Ihren Webauftritt die Dienste externer Webhoster in Anspruch nehmen, müssen Sie mit diesen regelmäßig einen Auftragsverarbeitungsvertrag (AVV) schließen. Doch wie sollen Sie beurteilen, ob diese Verträge den Anforderungen der DSGVO wirklich entsprechen, und ob Sie sich damit als Verantwortliche auf der sicheren Seite befinden? 

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit beschäftigt sich derzeit gemeinsam mit den Aufsichtsbehörden von Niedersachsen, Rheinland-Pfalz, Sachsen, Sachsen-Anhalt und Bayern mit dieser Thematik. Aus diesem Anlass haben sich die Behörden auf eine gemeinsame Checkliste zur Prüfung dieser Auftragsverarbeitungsverträge geeinigt und diese veröffentlicht. 

Diese Checkliste erleichtert Ihnen als Verantwortliche und Webseitenbetreiber:innen die Einschätzung der DSGVO-Konformität Ihres Webhosters.

4. Das schreiben die Anderen zum Datenschutz

• Neues zur Einwilligungsdokumentation bei der Telefonwerbung (Datenschutz-Notizen, 01.08.2022)
• Tracking und Datenschutz: Welche Möglichkeiten gibt es? (Dr. Datenschutz, 09.08.2022)

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.