Unser Datenschutz-Update im November 2020

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Welt des Datenschutzes: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den November.

1. Nachrichten aus der Welt des Datenschutzes

Als Reaktion auf das Schrems-II-Urteil: Microsoft bietet zusätzlich zu Standardvertragsklauseln neuerdings „zusätzliche Maßnahmen“ an

Mit seinem Schrems-II-Urteil hat der EuGH (wir berichteten hier) nicht nur den Privacy-Shield als Rechtsgrundalge für den Transfer von Daten in die USA für unwirksam erklärt. Er hat zusätzlich auch den Anwendungsbereich der praktisch einzigen Alternative dazu, nämlich der Standardvertragsklauseln, extrem eingeschränkt. Denn der EuGH fordert neben den Standardvertragsklauseln „zusätzliche Maßnahmen“. Nur so könne der Datenexporteur ein angemessenes Datenschutzniveau beim Datenimporteur im Drittstaat sicherstellen. Die Frage, wie genau solche „zusätzlichen Maßnahmen“ aussehen könnten, ließ der EuGH indes offen, was zu breiten Spekulationen in der fachlichen Diskussion führte. Zwischenzeitlich hat sich der Europäische Datenschutzausschuss (European Data Protection Board – EDPB) hier zu dieser Frage geäußert und Leitlinien dazu erlassen, wie solche „zusätzlichen Maßnahmen“ aussehen können.

Als erstes namhaftes Unternehmen hat sich nun Microsoft  mit den Leitlinien des EDPB auseinandergesetzt und die Standardvertragsklauseln um eine zusätzliche Vereinbarung ergänzt, die die klingende Bezeichnung „Defending Your Data“ trägt. Darin verpflichtet sich Microsoft dazu, staatlichen Zugriffsversuchen auf Daten mit allen in Frage kommenden juristischen Mitteln zu begegnen.

Auch wenn der baden-württembergische Landesbeauftragte für den Datenschutz, Dr. Stefan Brink, bereits in einer Pressemitteilung mitteilen lässt, dass diese Zusatzvereinbarung allein nicht ausreichen wird, finden wir, dass Microsofts Vorstoß sehr zu begrüßen ist. Denn Microsoft geht mit seiner Reaktion auf das EuGH Urteil so weit wie aktuell kein anderer der US-IT-Riesen.

Den kompletten Blogpost von Microsoft finden Sie hier: https://news.microsoft.com/de-de/neue-massnahmen-zum-schutz-von-daten/

Wiederbelebungsversuch der deutschen EU-Ratspräsidentschaft gescheitert: E-Privacy-Verordnung bleibt tot

Erst vor kurzer Zeit veröffentlichte die deutsche EU-Ratspräsidentschaft einen angepassten Entwurf für die seit Jahren vor sich hin siechende E-Privacy-Verordnung. Doch nach nur wenigen Wochen ist klar: Eine Mehrheit dafür im EU-Ministerrat findet sich nicht – die Reanimation bleibt erfolglos und die E-Privacy-Verordnung uns als „Zombie“ erhalten.

Und als ob Deutschland dies bereits geahnt hätte, beschränkt man sich einstweilen mit einem nationalen Alleingang in Form des Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG).

Näheres dazu finden Sie hier: https://www.gdd.de/aktuelles/startseite/dafta-2020-schrems-ii-office-365-etc-datenschutzpraktiker-fordern-von-behoerden-praktische-hilfestellung-anstatt-pauschaler-verbote

Lichtblick am Horizont: EU-Kommission plant Veröffentlichung neuer Standardvertragsklauseln noch in diesem Jahr

Nach dem Schrems-II-Urteil des EuGH (wir berichteten hier) sind die Standardvertragsklauseln de facto als Rechtsgrundlage für einen Transfer von Daten in Drittstaaten (speziell die USA) quasi alternativlos. In der täglichen „Vertragspraxis“ bemerkt man deren Defizite indes ziemlich schnell:  Beispielsweise gibt es für Auftragsverarbeiter keine Möglichkeit, die Standardvertragsklauseln direkt im eigenen Namen mit den Unterauftragnehmern zu schließen – hier muss man sich mit juristischen Taschenspielertricks wie etwa der Erteilung einer Vollmacht des Auftraggebers im Rahmen einer AVV aus der Klemme helfen. Auch reichen die Standardvertragsklauseln seit dem EuGH-Urteil allein nicht mehr aus; vielmehr werden daneben noch „zusätzliche Maßnahmen“ gefordert, damit man von einem adäquaten Datenschutzniveau beim Datenschutzimporteur ausgehen kann.

Die Standardvertragsklauseln mögen zwar alternativlos sein, angesichts dieser Aspekte jedoch scheint fraglich, ob dies tatsächlich im Sinne des EuGH ist, der ja schließlich den Datenschutz und damit die Rechte und Freiheiten der Betroffenen stärken wollte.

Umso begrüßenswerter ist der aktuelle Vorstoß der EU-Kommission, ein neues Set an Standardvertragsklauseln zu verabschieden, das zumindest mit den dringendsten Problemen der bisherigen Standardvertragsklauseln aufzuräumen scheint.  

Den aktuellen Stand des Entwurfs finden Sie hier: https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countries

US-Hyperscaler schließen sich Gaia X an.

Gaia-X – die europäische Alternative zu den großen US-Hyperscalern im Cloud-Markt – soll unter anderem vor Lock-In-Effekten schützen und für Wettbewerb auf dem Markt für Cloud-Infrastruktur sorgen. Beim digitalen Gaia-X-Gipfel haben aber nun gerade Vertreter von Amazon, Google, Microsoft & Co. reges Interesse an einer Kooperation geäußert und sich in diesem Zusammenhang zu den Gaia-X-Core-Values wie Datenschutz, Interoperabilität und Offenheit bekannt. Ob das zusammenpasst, wird die Zukunft zeigen.

Mehr zur Kooperation der US-Hyperscaler im Rahmen von Gaia-X finden Sie unter: https://www.heise.de/news/Gaia-X-Grosse-US-Hyperscaler-wollen-in-EU-Cloud-kraeftig-mitmischen-4965630.html

2. Entscheidungen des Monats

Erster Test gescheitert: Datenschutzaufsichtsbehörde unterliegt mit Bußgeld nach dem Bußgeldmodell vor dem LG Bonn

(LG Bonn, Urt. v. 11.11.2020 – Az. 29 OWi 430 Js-OWi 366/20-1/20 LG)

Das Urteil war mit Spannung erwartet worden: Erstmals stand ein Bußgeld im Fokus einer gerichtlichen Entscheidung, dass nach dem von den deutschen Datenschutzaufsichtsbehörden berechneten verabschiedeten Bußgeldmodell berechnet worden ist.

Im konkreten Fall ging es um den Internet- und TK-Anbieter 1&1, dem der Vorwurf gemacht wurde, keine adäquaten technischen und organisatorischen Maßnahmen zum Datenschutz (TOMs) nach Art. 32 DSGVO implementiert zu haben und dafür EUR 9,5 Millionen an Bußgeld zahlen sollte. Vorausgegangen war der Fall, dass die Ex-Frau eines 1&1 Mobilfunkkunden über die Telefonhotline des Telekommunikationsanbieters Auskunft über die neue Telefonnummer ihres Ex-Mannes erhalten hat und diese anschließend für Stalking-Zwecke nutzte. Die von 1&1 implementierte Legitimationspraxis sah lediglich die Abfrage des Geburtsdatums vor, dass der Ex-Frau natürlich bekannt war. Diese Legitimationspraxis ist sowohl nach der Ansicht der Datenschutzaufsichtsbehörde als auch des Gerichts nicht ausreichend. Das dafür zu verhängende Bußgeld reduzierte das LG Bonn jedoch von EUR 9,5 Millionen auf EUR 900.000.

Mehr Infos finden Sie in der Pressemitteilung des LG Bonn unter https://www.lg-bonn.nrw.de/behoerde/presse/zt_archiv_060/Archiv-2020/Pressemitteilung27-2020-vom-11_11_2020-Bussgeld-gegen-Telekommunikationsd___.pdf oder hier: https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=LG%20Bonn&Datum=11.11.2020&Aktenzeichen=29%20OWi%201%2F20

Bloße Sachherrschaft begründet keine datenschutzrechtliche Verantwortlichkeit – Immobilienverwalter kann nicht Adressat einer aufsichtsbehördlichen Maßnahme sein.

(OVG Hamburg, Beschl. v. 15.10.2020 – Az.: 5 Bs 152/20)

Im Mai 2020 hatte der Fall viel Aufsehen erregt. Der YouTuber und „Lost-Place-Forscher“ ItsMarvin hatte in einem seit zehn Jahren geschlossenen Krankenhaus Unmengen von Patientenakten unverschlossen vorgefunden. Weil die Krankenhausgesellschaft wegen Insolvenz aufgelöst worden war, versuchte die zuständige Datenschutzaufsichtsbehörde nun gegen den Grundstückseigentümer vorzugehen. Dazu bediente man sich der weit hergeholten Argumentation, dass bereits die bloße Sachherrschaft über die Akten eine Verarbeitung im Sinne der DSGVO bergründe, für die die Grundstücksgesellschaft angemessenen technische und organisatorische Maßnahmen implementieren muss (Art. 32 DSGVO). Dies wurde unstreitig und offensichtlich unterlassen – nur ist nach Ansicht des Oberverwaltungsgerichts Hamburg die Grundstücksgesellschaft nicht der richtige Ansprechpartner. Die Begründung liegt auf der Hand: Die Grundstücksgesellschaft verwalte lediglich das Grundstück und habe nur bloße Zugangsrechte, darin sei jedoch noch keine Verarbeitung der in dem Gebäude gelagerten Daten zu erblicken.

Mehr dazu finden Sie hier: https://justiz.hamburg.de/contentblob/14563474/4412454194f6066413132c9c7eb82f43/data/5bs152-20.pdf oder hier: https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=OVG%20Hamburg&Datum=15.10.2020&Aktenzeichen=5%20Bs%20152/20

3. Unser Tipp: Stellen Sie Ihre Messenger-Kommunikation um!

„Wer heute ein gut laufendes Geschäft mit Verschwörungsideologien oder einfach nur den nächsten Hasskanal aufbauen möchte, kommt derzeit an Telegram nicht vorbei.“ So fasst es – zugegebenermaßen extrem überspitzt – Markus Beckedahl auf netzpolitik.org zusammen. Neben solchen subjektiven Gründen sprechen aber auch ganz handfeste dafür, sich von der Kommunikation über den Messenger Telegram zu verabschieden, denn so sicher wie man bisher angenommen hat, scheint die Kommunikation über Telegram gerade nicht zu sein. So werden alle Chats – angeblich verschlüsselt – auf einem zentralen Server gespeichert und nicht lediglich auf dem Endgerät. Zudem werden die Daten bereits während des Tippens und noch vor dem Absenden an die Telegram-Server übertragen. All diese Gründe haben auch uns in der Kanzlei bewogen, Telegram den Rücken zu kehren und künftig als sichere Messenger-Alternative auf Signal zu setzen. Aus Datenschutzsicht (Stichwort: Angemessene TOMs; Art 24, 32 DSGVO) empfehlen wir Ihnen das ebenso.

Mehr Informationen zu den Sicherheitslücken bei Telegram finden Sie unter: https://www.heise.de/hintergrund/Telegram-Chat-der-sichere-Datenschutz-Albtraum-eine-Analyse-und-ein-Kommentar-4965774.html

4. Das schreiben die Anderen zum Datenschutz

• Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden in Deutschland, DSK, hat eine Checkliste für den datenschutzkonformen Einsatz von Videokonferenzsystemen veröffentlicht. Darüber berichtet Dr. Datenschutz und beleuchtet die Checkliste etwas näher unter: https://www.dr-datenschutz.de/dsk-checkliste-zur-orientierungshilfe-videokonferenzsysteme/ (Dr. Datenschutz, 19.11.2020)
• Einen amüsanten Beitrag über die alltäglichen Erfahrungen mit dem Datenschutz in Arztpraxen und gleichzeitig mahnende „Worst-Practice“ finden Sie unter: https://www.datenschutz-notizen.de/aus-dem-praxis-alltag-4327650/ (Datenschutz Notizen, 12.11.2020) 
• Was ist bei Drittstaatentransfers nach Ansicht des Bundesbeauftragten für Datenschutz und Informationssicherheit zu beachten? Über die dazu vom BfDI veröffentlichte Checkliste berichtet der Kollege Piltz unter: https://www.delegedata.de/2020/11/bundesdatenschutzbeauftragter-pruefschema-fuer-datentransfers-in-drittlaender/ (De Lege Data, 6.11.2020)

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.