Unser Datenschutz-Update im Juli 2020

Künftig liefern wir Ihnen hier jeden Monat aktuelle Informationen aus der Welt des Datenschutzes: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Und los geht’s:

1. Nachrichten aus der Welt des Datenschutzes

Home Schooling und Datenschutz – Landesdatenschutzbeauftragter droht Lehrern Bußgelder an

Die Corona-Pandemie verlangt uns allen viel ab. Besonders der Bildungsbereich ist davon besonders betroffen. Hier rächen sich nun die fehlenden Investitionen in die Digitalausstattung der Schulen. Leidtragende sind nicht nur Schüler und Eltern, sDie Corona-Pandemie verlangt uns allen viel ab. Besonders der Bildungsbereich ist davon besonders betroffen. Hier rächen sich nun die fehlenden Investitionen in die Digitalausstattung der Schulen. Leidtragende sind nicht nur Schüler und Eltern, sondern auch die Lehrer, die quasi über Nacht digitale Bildungsangebote aus dem Hut zaubern mussten – natürlich soll alles datenschutzrechtlich absolut sauber sein. Weil das Datenschutzrecht aber eine komplizierte Materie ist, ist es nicht allen Lehren gelungen, die Vielzahl bereits am Markt etablierter Angebote, etwa an Video-Diensten, korrekt auf ihre Datenschutz-Compliance hin zu bewerten. Die Eigeninitiative vieler Lehrer in Thüringen dürfte ihnen daher nun sauer aufstoßen, denn der Thüringer Datenschutzbeauftragte hat ihnen bereits die Verhängung von Bußgeldern nach der DSGVO angedroht.

Weitere Information zu diesem kuriosen Streit finden Sie hier: https://www.mdr.de/thueringen/bussgelder-lehrer-datenschutz-kritik-100.html

Digitale Mondrakete gestartet – Europa-Cloud GaiaX als Pilot ausgerollt

Als datenschutzfreundliche Alternative zu den großen US-Cloud-Diensten gepriesen, ist nun die digitale Mondrakete GaiaX gestartet. Mit diesem von der Politik massiv vorangetriebenen Projekt soll ein neuer „weltweiter Goldstandard“ in Sachen IT-Sicherheit und Datenschutz bei Cloud-Angeboten gesetzt werden. 

Vielleicht ist GaiaX ja auch für Sie interessant. Nähere Informationen zu diesem Projekt finden Sie hier: https://www.bmwi.de/Redaktion/DE/Dossier/gaia-x.html

2. Entscheidungen des Monats

Nun ist es amtlich: Cookies grundsätzlich nur noch mit Einwilligung!

Nach der Vorab-Entscheidung des Europäischen Gerichtshofes in der sog. Planet49-Entscheidung hat nun auch der Bundesgerichtshof die Marschrichtung bestätigt: Alle Cookies, die für die Nutzung eines Angebots nicht unbedingt erforderlich sind, wie etwa Warenkorb- oder Consent-Cookies, dürfen nur noch mit der aktiven und freiwilligen Einwilligung des jeweiligen Nutzers gesetzt werden. Aber Vorsicht bei der Gestaltung der Einwilligung: Denn als nicht ausreichend sieht der BGH insbesondere Einwilligungen an, bei denen der Nutzer aufgrund der bloßen Vielzahl der aufgelisteten Drittdienstleister möglicherweise von der Ausübung seiner Entscheidung Abstand nehmen könnte. Auf gut Deutsch: Wer so viele Cookies von Drittanbietern nutzt, dass es unübersichtlich wird, kann keine wirksame Einwilligung einholen! 

Der BGH bestätigt damit ferner, dass insbesondere Cookies, die der Erstellung von Nutzerprofilen für Zwecke der Werbung und Marktforschung sowie der bedarfsgerechten Gestaltung von Webseiten oder Apps dienen, einer Einwilligung (so genanntes „Opt-In“) der Nutzer bedürfen.

Das Urteil des BGH: https://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&Datum=Aktuell&Sort=12288&nr=107623&pos=6&anz=672

Datenschutzkonferenz: Google Analytics nur noch mit Einwilligung

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat sich in einem aktuellen Grundsatzpapier zum Einsatz von Google Analytics auf Webseiten geäußert. Danach bleibt der Einsatz von Google Analytics nach Ansicht der Aufsichtsbehörden zwar grundsätzlich erlaubt. Allerdings sind die tatsächlichen Hürden dafür hoch:

Einzig in Betracht kommende Rechtsgrundlage für den Einsatz von Google Analytics soll nach Ansicht der DSK die Einwilligung des Nutzers sein. An die Einwilligung werden zugleich aber hohe Anforderungen gestellt: Der Einwilligung muss eine Information voraus gehen, die transparent und umfassend über die Datenverarbeitung durch Google aufklärt. Die dann erfolgende Einwilligung muss aktiv durch den Nutzer vorgenommen werden und freiwillig sein. Letzteres sei nicht der Fall, wenn die Nutzung einer Website von der Einwilligung in den Einsatz von Google Analytics abhängig gemacht werde. Zudem müsse auf jeder Seite eine technische Opt-Out-Möglichkeit bereitgestellt werden. Der Verweis auf ein Browser-Add-On zur Deaktivierung von Google Analytics sei nicht ausreichend.

Ausdrücklich ausgeschlossen ist nach Ansicht der DSK regelmäßig, dass der Einsatz auf vermeintlich berechtigte Interessen des Website-Betreibers gestützt wird. Damit entfällt in der Regel Art. 6 Abs. 1 S. 1 lit. f DSGVO als Rechtsgrundlage für den Einsatz von Google Analytics.

Zwar ist die Einschätzung der DSK nicht bindend. Allerdings wird damit klar, welche Rechtsaufassung der Datenschutzaufsichtsbehörden künftig zu diesem Themenkomplex vertreten werden. Ob diese Sichtweise anschließend auch durch Gerichte bestätigt wird, bleibt abzuwarten. Wenn Sie Google Analytics einsetzen, sollten Sie aber jetzt bereits tätig werden und Ihre Prozesse entsprechend anpassen oder den Einsatz von Google Analytics unter dem Eindruck der DSK-Stellungnahme überdenken. 

Die Stellungnahme ist hier abrufbar: https://www.datenschutzkonferenz-online.de/media/dskb/20200526_beschluss_hinweise_zum_einsatz_von_google_analytics.pdf

Deutscher Sonderkündigungsschutz für betriebliche Datenschutzbeauftragte europarechtskonform 

Bekanntlich genießen interne betriebliche Datenschutzbeauftragte einen umfangreichen Sonderkündigungsschutz. Dieser soll es ihnen ermöglichen, ohne Angst vor Repressalien bei kritischen Datenverarbeitungen „den Finger in die Wunde zu legen“, denn es kommt ihm die oft undankbaren Aufgabe als „Hüter des Datenschutzes“ zu.

Aktuell wurde vor dem Landesarbeitsgericht Nürnberg die Wirksamkeit der Abberufung einer betriebliche Datenschutzbeauftragten verhandelt. Denn der Arbeitgeber zog die Datenschutzbeauftragte von Ihren Aufgaben a, ohne dass die sich etwas zuschulden hatte kommen lassen. Vor Gericht verteidigte der Arbeitgeber seine Entscheidung damit, dass in der DSGVO keine Rede von einem Sonderkündigungsschutz ist; die deutsche Regelung zum Sonderkündigungsschutz daher europarechtswidrig.

Dieser Argumentation erteilte das Landes Arbeitsgericht eine Absage. Der deutsche Gesetzgeber kann nach Belieben Regelungen zu Arbeitsbedingungen erlassen – dazu zählt auch der Sonderkündigungsschutz für Datenschutzbeauftragte. 

Das Urteil ist im Volltext hier abrufbar: https://www.lag.bayern.de/nuernberg/entscheidungen/neue/45208/index.php

3. Unser Tipp: Nutzen Sie Ihre freie Zeit für Datenschutz-Compliance

Die Wirtschaft scheint sich in Zeiten von Corona in zwei Lager zu teilen: Auf der einen Seite gibt es die „Krisengewinner“, auf der anderen Seite gibt es aber auch eine Vielzahl von Unternehmen, die unter Umsatzeinbrüchen leiden. Selbstverständlich wünschen wir all unseren Mandanten, dass sie zur ersten Gruppe gehören. Sollten Sie jedoch derzeit ein wenig mehr „Leerlauf“ haben, empfehlen wir Ihnen, die Dinge anzugehen, die im Alltag sonst oft zu kurz kommen. Dazu zählt unter anderem auch der Datenschutz.

Daher unser Tipp: Überprüfen Sie doch mal Ihr Verarbeitungsverzeichnis nach Art. 30 Abs. 2 DSGVO auf seine Aktualität. Vielleicht haben Sie in derzeit seit der letzten Aktualisierung etwas an ihren Datenverarbeitungsvorgängen geändert und diese Änderung noch nicht im Verarbeitungsverzeichnis nachgezogen. Damit können Sie nun aufräumen.

4. Das schreiben die Anderen zum Datenschutz

• Single Opt-In ist Datenschutzverstoß: Single-Opt-In als Datenschutzverletzung unter der DSGVO (CMS Hasche Sigle, 16.04.2020)
• Datenschutzkontrolle dahoam? Rechtliche Zulässigkeit von Datenschutzkontrollen im Homeoffice (reuschlaw, 05.2020)
• Zweites Pandemiegesetz: Kein Datenschutz für Gesunde (datenschutzbeauftragter.info, 14.05.2020)

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.