Unser Datenschutz-Update im Oktober 2020

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Welt des Datenschutzes: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den Oktober.

1. Nachrichten aus der Welt des Datenschutzes

Die TOM-Checkliste des BayLDA

Welche technischen und organisatorischen Maßnahmen (TOMs) von einem Unternehmen zu ergreifen sind, ist oftmals nicht leicht zu beantworten. Da können Checklisten sehr hilfreich sein, um einen ersten Orientierungspunkt zu geben, ob die eigenen Maßnahmen zum Datenschutz den Vorgaben des Art 32 DSGVO entsprechen. Umso erfreulicher ist es daher, wenn es Checklisten gibt, die sogar den „Segen“ der Datenschutzaufsichtsbehörden genießen oder gar aus deren Feder stammen. Das bayerische Landesamt für Datenschutzaufsicht (BayLDA) ist diesen Schritt nun gegangen und hat eine Checkliste veröffentlicht, anhand derer kleine und mittlere Unternehmen Ihre TOMs abgleichen können.

Die komplette Checkliste finden Sie hier zum Download: https://www.lda.bayern.de/media/checkliste/baylda_checkliste_tom.pdf

Corona-Bonus für British Airways

Das Rekordbußgeld gegen British Airways ging damals durch die Presse: Weil der Fluggesellschaft durch unzureichende Sicherheitsmaßnahmen Kundendaten im großen Stil abhandengekommen sind, wurde sie von der britischen Datenschutzaufsicht (ICO) mit einem Rekordbußgeld belegt. Danach sollte British Airways für den Verstoß umgerechnet 204 Millionen Euro zahlen. Nicht nur weil British Airways kooperativ gewesen ist und die eigenen Sicherheitsmaßnahmen massiv nachgebessert hat, sondern vor allem wegen der enormen Umsatzeinbußen infolge der Corona-Krise hat das ICO nun Einsicht mit dem darbenden Unternehmen gehabt und das Bußgeld auf umgerechnet „nur noch“ 22 Millionen EURO reduziert.

Die Pressmitteilung des ICO finden Sie hier: https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/10/ico-fines-british-airways-20m-for-data-breach-affecting-more-than-400-000-customers

Einsatz von Microsoft 365 datenschutzwidrig

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat in einem aktuellen Beschluss ihre seit längerer Zeit bereits bekannte Ansicht begründet, weshalb der Einsatz von Microsoft 365 nicht datenschutzkonform ist. In dem Beschluss werden diverse Punkte an der Auftragsverarbeitungsvereinbarung (AVV – oder auch Data Processing Addendum; DPA) bemängelt, die in der Gesamtschau dafür sorgen, dass das gesamt DPA, welches standardmäßig in den Microsoft Online Service Terms enthalten ist, nicht den Anforderungen des Art. 28 Abs. 3 DSGVO entspricht. Anzumerken ist, dass das sog. Schrems-II-Urteil des EuGH in dem Beschluss noch nicht berücksichtigt worden ist. 

Damit bestätigt sich ein weiteres Mal die seit Monaten zu verzeichnende  Tendenz: Der Einsatz von US-Dienstleistern stellt für europäische Unternehmen ein immer größeres Datenschutzrisiko dar.

Mehr zu dem Beschluss finden Sie hier und hier: https://fragdenstaat.de/dokumente/7571-beschlussentwurf/ und hier: https://fragdenstaat.de/anfrage/bewertung-des-dsk-arbeitskreises-verwaltung-zur-auftragsverarbeitung-bei-microsoft-office-365-vom-15-juli-2020-2/

2. Entscheidungen des Monats:

Erster Fall zu „Schrems II“ vor Gericht

Der erste Fall vor Gericht: Das oberste Verwaltungsgericht Frankreichs (Conseil d´État) bestätigt die Verarbeitung von Gesundheitsdaten auf Microsoft-Servern – trotz der auf den ersten Blick entgegenstehenden Entscheidung des EuGH in Sachen „Schrems II“.

Die nationale französische Gesundheitsdatenplattform (Plateforme des données de santé) dient dem Austausch von Gesundheitsdaten zu Forschungszwecken, insbesondere im Kontext der aktuellen COVID-19-Epidemie. Diese Plattform läuft auf den europäischen Servern der irischen Tochtergesellschaft von Microsoft.

Um den Transfer von Gesundheitsdaten in die USA zu verhindern, leiteten Verbände, Gewerkschaften und Einzelkläger ein Verfahren im Eilrechtsschutz ein. Darin rügten sie eine Übermittlung von personenbezogenen Daten in die USA, wo laut dem EuGH-Urteil „Schrems II“ vom 16. Juli 2020 kein angemessenes Datenschutzniveau im Sinne der DSGVO gewährleistet ist.

Das oberste Verwaltungsgericht lehnte die Anträge nun ab. Dies wird wie folgt begründet: 

  • Die Schrems II-Entscheidung des EuGH hat lediglich den Trasfer von Daten in die USA zum Gegenstand. Auf Fälle, in denen es „lediglich“ um die Verarbeitung durch Tochtergesellschaften amerikanischer IT-Unternehmen innerhalb der EU gehe, sei das Urteil nicht anwendbar. 
  • Die Kläger legen nicht dar, dass es durch die aktuelle Praxis zu einem Verstoß gegen die DSGVO kommt., sondern behaupten lediglich die Möglichkeit eines solchen Verstoßes, der dann vorliegt, wenn Microsoft nicht in der Lage sein sollte, sich einem Antrag der US-Behörden auf Zugang zu bestimmten Daten zu widersetzen. Darüber hinaus werden umfangreiche technische und organisatorische Maßnahmen umgesetzt, die den Zugriff durch US-Geheimdienste unterbinden sollen.
  • Last but not least, besteht aktuell ein gesteigertes öffentliches Interesse daran, eine solche Datenverarbeitung für die Zwecke der Forschung und Bekämpfung der Covid-19-Epidemie zu ermöglichen. Zudem gebe es keine vergleichbare Alternative zu dem eingesetzten technischen Setup.

Mehr Infos dazu finden Sie unter: https://www.datenschutz-notizen.de/schrems-ii-erste-gerichtliche-anwendung-in-frankreich-4327514/

DSGVO-Schadensersatzanspruch ist restriktiv auszulegen

Das LG Frankfurt lehnt einen Antrag auf Schadensersatz wegen einer DSGVO-Verletzung ab. Der Kläger begehrte wegen behaupteter Datenschutzpannen Schadensersatz iHv. 8.400,- EUR. Das LG Frankfurt a.M. lehnte dies ab und wies die Klage als unbegründet zurück. Dies wurde damit begründet, dass „nicht jede Datenschutzrechtsverletzung in Form einer nicht (vollständig) rechtskonformen Datenverarbeitung […] automatisch ein ersatzfähiger Schaden [ist].“ Vielmehr müsse „die Verletzungshandlung auch zu einer konkreten Verletzung von Persönlichkeitsrechten der betroffenen Person geführt haben“

Besonders bemerkenswert ist die Bestellung, dass „mitgliedsstaatlichen Gerichte [nicht grundsätzlich] zu einem überkompensatorischen Strafschadensersatz [verpflichtet sind]. Dies wäre nur dann der Fall, wenn auch „die mitgliedstaatliche Rechtsordnung allgemein Strafschadensersatz vorsieht (…). Das ist jedoch in Deutschland nicht der Fall.“

Das Urteil ist hier abrufbar: https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=LG%20Frankfurt/Main&Datum=18.09.2020&Aktenzeichen=27%20O%20100/20

Kein DSGVO-Schadensersatzanspruch bei unerheblichen Rechtsverstößen

Das LG Hamburg lehnt einen DSGVO-Schadensersatz ebenfalls ab. Ein Betroffener hat grundsätzlich keinen Anspruch auf Schadensersatz bei nur unerheblichen Verstößen gegen die DSGVO. Zudem muss der Betroffene nachweisen, dass tatsächlich ein Schaden entstanden ist und dass eine entsprechende Persönlichkeitsverletzung vorliegt. 

Der Kläger machte wegen einer DSGVO-Verletzung einen Schadensersatz-Anspruch geltend. Den Anspruch lehnte das LG Hamburg nun ab. Es sei zwar keine schwere Verletzung des Persönlichkeitsrechts erforderlich, jedoch stelle nicht jeder unerhebliche Verstoß gegen die DSGVO eine relevante Persönlichkeitsrechtsverletzung dar. Wörtlich führt das LG Hamburg aus: Dennoch führt nicht bereits jeder Verstoß gegen die DSGVO zu einer Ausgleichspflicht, denn der Verpflichtung zum Ausgleich eines immateriellen Schadens muss eine benennbare und insoweit tatsächliche Persönlichkeitsverletzung gegenüberstehen, die z.B. in der mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden „Bloßstellung“ liegen kann (….). Eine solche „Bloßstellung“ ist vorliegend allerdings nicht erfolgt.

Das Urteil ist hier abrufbar: https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=LG%20Hamburg&Datum=24.08.2020&Aktenzeichen=324%20O%20290%2F19

3. Unser Tipp: Patchen Sie Ihren Exchange Server!

Sie nutzen einen Exchange Server? Dann bekommen Sie vielleicht bald Nachricht von Ihrem Hosting-Provider. Denn das Bundesamt für Sicherheit in der Informationstechnik (BSI) lässt seit dem 6. Oktober betroffene Firmen über deren Provider informieren, dass dringender Bedarf an einem Patch bestimmter Exchange-Server bestehe. Die bereits seit Februar 2020 gepatchte Sicherheitslücke ermöglicht Cyber-Kriminellen ohne große Probleme ein Eindringen in die Kommunikationszentralen der Unternehmen. Dazu würden allerding gültige Zugangsdaten benötigt. Es sind noch immer rund 40.000 Server in Deutschland von der Sicherheitslücke betroffen. Weil die Sicherheitslücke aber die komplette Übernahme der Firmensysteme ermöglicht, sieht sich das BSI zu diesem drastischen Schritt gezwungen.

Im Sinne der IT-Sicherheit möchten wir Ihnen diesen Monat dringend dazu raten, zu prüfen, ob auch Ihr von der Sicherheitslücke Exchange-Server betroffen ist und ggf nachzubessern. Das dient nicht nur der IT-Sicherheit Ihres Unternehmens, sondern auch zugleich erfüllen Sie damit eine Ihrer Pflichten aus Art. 32 DSGVO.

Mehr Informationen zu der Sicherheitslücke finden Sie unter: https://cert-bund.de/advisoryshort/CB-K20-0125%20UPDATE%201

4. Das schreiben die Anderen zum Datenschutz

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.

Sie möchten mehr über uns und unsere Leistungen im IT- und Datenschutzrecht erfahren? Das geht ganz einfach:

  • Abonnieren Sie unsere Tipps und Tricks.
  • Lesen Sie unsere kostenlosen E-Books.
  • Informieren Sie sich über unsere Leistungen.
  • Werfen Sie einen Blick in unseren Wegweiser. Darin finden Sie alle unsere Blog-Beiträge thematisch geordnet.
  • Haben Sie noch ein anderes Anliegen? Nehmen Sie jederzeit gerne Kontakt zu uns auf.

Ihre Ansprechperson

Dr. Sonja Detlefsen

sd@comp-lex.de


Themen:

Ähnliche Artikel: