Unser Datenschutz-Update im Oktober 2023

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den Oktober 2023.

1. Nachrichten aus der Welt des Datenschutzes

Einstweiliger Rechtsschutz gegen das US-EU Privacy Framework abgelehnt

Im Juli dieses Jahres hat die Europäische Kommission den Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework (Nachfolger des „Privacy Shields“) angenommen. Und schon wird er angegriffen. Der französische EU-Abgeordnete Philippe Latombe beantragte beim EuGH eine einstweilige Anordnung gegen den Beschluss der Kommission. 

Der EuGH kam zu dem Schluss, dass er über die Zulässigkeit sowie die Erfolgswahrscheinlichkeit in der Sache nicht entscheiden müsse, da es bereits an der Dringlichkeit fehlte. Dazu: Europäischer Gerichtshof, Beschlussverfügung vom 12. Oktober 2023 – T‑553/23 R.

Dem EU-Abgeordneten ist es nicht gelungen, eine persönliche Betroffenheit beziehungsweise eine drohende persönliche Verletzung darzulegen.

„Das Gericht widerspricht den Argumenten des Klägers“, so der EuGH. „Tatsächlich beschränkt er sich darauf, in allgemeinen Worten die Auswirkungen und negativen Aspekte der angefochtenen Entscheidung zu beschreiben, ohne die Art des Schadens zu erläutern, den er persönlich erleiden würde.“

Es bleibt abzuwarten, wie die nächsten Kritiker:innen des Abkommens vorgehen werden. Max Schremm kündigte an, eine Anfechtung beim EuGH einzureichen, sobald Unternehmen das Data Privacy Framework verwenden. Dann wäre es zumindest möglich, dass der EuGH das Abkommen für die Dauer des Verfahrens aussetzt, unabhängig davon zu welchem Ergebnis das Gericht letztlich kommt.

Mehr dazu finden Sie hier: 

CURIA – Documents

Europäische Kommission gibt EU-US-Datentransfers 3. Runde beim EuGH

Handreichung zum Einsatz von Microsoft 365 – wie praktisch sind die Tipps der Datenschutzbehörden?

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat im November 2022 festgestellt, dass die für den Einsatz von „Microsoft 365“ vorgesehene Standard-Auftragsverarbeitungsvereinbarung von Microsoft (Products and Services Data Protection Addendum, kurz „DPA“) nicht den Anforderungen des Art. 28 Abs. 3 DSGVO entspricht. Hierbei hatte die DSK bestimmte Problemfelder des DPA betrachtet und erläutert.

Sieben Aufsichtsbehörden haben nun nach den mehr oder weniger gescheiterten Gesprächen mit Microsoft eine Handreichung mit Tipps zum Umgang mit der von Microsoft zur Verfügung gestellten Standardauftragsverarbeitung für die Nutzung von Microsoft 365 veröffentlicht. Zuvor hatte die Datenschutzkonferenz (DSK) festgestellt, dass der Auftragsverarbeitungsvertrag (AVV) von Microsoft nicht die Voraussetzungen von Art. 28 DSGVO für eine Auftragsverarbeitungsvereinbarung erfüllt. 

Leider bürdet diese Handreichung zu viele Pflichten den Verantwortlichen auf, die Microsoft nicht willens ist, umzusetzen. Große Kritikpunkte der Datenschutzkonferenz (DSK) sind vor allem die Löschfristen und die Verarbeitung der Daten durch Microsoft zu eigenen Zwecken. Die Empfehlungen in der Handreichung gehen letztlich in die Richtung, dass die Verantwortlichen individuelle (Zusatz-)Vereinbarungen mit Microsoft aushandeln sollen. Ansonsten sollen sie möglichst durch eigene Maßnahmen die Defizite von Microsoft ausgleichen. 

Wesentliche Handlungshinweise sind: 

1. Feststellung von Art und Zwecke der Datenverarbeitung sowie der Art der personenbezogenen Daten.

Die/der Verantwortliche soll überprüfen, inwiefern sie/er selbst eine Rechtsgrundlage hat, um personenbezogene Daten zu den im DPA genannten Zwecken der Verantwortlichen zu verarbeiten. Liegt den Verantwortlichen eine solche Rechtsgrundlage nicht vor, können sie auch Microsoft nicht mit der Verarbeitung zu solchen Zwecken beauftragen.

Aus der Verarbeitung muss erkennbar sein, welche Verarbeitungsvorgänge gem. Art. 4 Nr. 2 DSGVO für den konkreten Vertrag relevant sind und den Angaben „Kategorien personenbezogener Daten“ und „Kategorien betroffener Personen“ sollten auch direkt die Angaben zur Art und zu den Zwecken der Verarbeitung zugeordnet werden.

2. Eigene Verantwortlichkeit Microsofts im Rahmen der Verarbeitung für Geschäftstätigkeiten, die durch Bereitstellung der Produkte und Services an die Kund:innen veranlasst sind.

Sofern Microsoft die Möglichkeit zur Verarbeitung der Daten zu eigenen Geschäftszwecken eingeräumt werden soll, müssen die Verantwortlichen zunächst klären, welche Verarbeitungen von welchen personenbezogenen Daten in welchem Umfang zu Microsofts eigenen Zwecken durchgeführt werden. Anschließend müssen die Verantwortlichen beurteilen, ob sie eine Rechtsgrundlage für die Zurverfügungstellung dieser personenbezogenen Daten besitzen. Alle Verarbeitungszwecke, für welche keine Rechtsgrundlage gefunden werden konnte, sind vertraglich auszuschließen und technisch zu unterbinden.

3. Weisungsbindung, Offenlegung verarbeiteter Daten, Erfüllung rechtlicher Verpflichtungen.

Die Regelungen des DPA zum Weisungsrecht sind widersprüchlich; dies ließe sich durch eine vertragliche Klarstellung der vorrangigen Geltung von Anlage I auflösen. Akzeptabel wäre es auch, für solche Weisungen ein Vertragsänderungsverfahren (in Abweichung von der einseitigen Erklärung der Weisungen) vorzusehen, die dazu führen würden, dass der vom Verantwortlichen bestellte Funktionsumfang erweitert werden würde.

Es ist vertraglich klarzustellen, dass personenbezogene Daten der Nutzer:innen durch Microsoft nur offengelegt werden dürfen, wenn eine gesetzliche Pflicht nach Vorgabe der DSGVO oder des Rechts der EU-Mitgliedsstaaten besteht.

4. Umsetzung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO.

Zu beachten ist, dass bei der Verarbeitung der Telemetrie- und Diagnosedaten sowie in sonstigen sicherheitsrelevanten Datenverarbeitungsprozessen von Microsoft die Anforderungen an die Umsetzung der Mandantentrennung fortbestehen. Als kompensierende Maßnahmen sollten die Verantwortlichen die Möglichkeiten zur Gestaltung eigener technisch-organisatorischen Maßnahmen prüfen und dabei die relevanten Studien und Lösungsansätze berücksichtigen.

Alle unrechtmäßigen, nicht notwendigen oder unverhältnismäßigen Datenverarbeitungen müssen vertraglich ausgeschlossen und technisch unterbunden werden.

5. Löschen personenbezogener Daten.

Die Verantwortliche müssen ggf. vertragliche Anpassungen vornehmen, um Microsoft als Auftragsverarbeiter in eigene Löschprozesse zu integrieren.

6. Unterauftragsverarbeiter:in.

Microsoft als Auftragsverarbeiter muss sich verpflichten, die Verantwortlichen „proaktiv“ über neue Unterauftragsverarbeiter:innen zu informieren, beispielsweise via Push-Benachrich- tigung

Es gibt noch mehr Handlungshinweise zu den sechs Punkten und im Anschluss so genannte „To-Dos“, die jedoch die Handlungshinweise mehr oder weniger wiederholen und leider den Verantwortlichen nicht mehr Tipps dazu geben, wie sie Microsoft zu den Zusatzvereinbarungen überreden (zwingen?) können. 

Fazit: Die Handlungshinweise verlagern die Verantwortung der Mängelbehebung im Datenschutz bei der Nutzung von Microsoft 365 von Microsoft auf die Verantwortlichen. Diese sollen praktisch das schaffen, was der DSK nicht gelang. Es bleibt abzuwarten, ob Microsoft sich davon beeindruckt zeigt.

Mehr dazu finden Sie hier: Einsatz von Microsoft 365: Praxis-Tipps für Verträge mit Microsoft

Neues Schweizer Datenschutzgesetz DSG – Was müssen Unternehmen beachten

Die Schweiz hat Ihr Datenschutzgesetz aktualisiert. Das DSG gilt auch für Unternehmen in der EU, die personenbezogene Daten von Schweizern bzw. in der Schweiz verarbeiten. Hier ein kurzer Überblick über die Neuerungen im DSG:

• Das DSG betrifft nunmehr nur noch personenbezogene Daten von natürlichen Personen (früher auch für Daten von juristischen Personen).
• Privacy bei Design and Default ist einzuhalten.
• Über jede Informationsbeschaffung müssen die Verantwortlichen die Betroffenen informieren, z.B. in der Datenschutzerklärung der Webseite . Achtung: Nach dem DSG besteht keine Pflicht für ein Cookie-Banner.
• Ein Verarbeitungsverzeichnis muss nur von Unternehmen ab 250 Mitarbeiter:innen geführt werden, oder wenn besonders schützenswerte personenbezogene Daten betroffen sind.
• Eine DSFA ist durchzuführen, wenn ein hohes Risiko durch die Verarbeitung möglich ist.
• Bußgelder werden direkt an die Verantwortlichen privat geknüpft, nicht an das Unternehmen. Es sind hier Bußgelder bis zu 250.000 CHF möglich.
• Für Auftragsverarbeitung braucht es eine vertragliche Grundlage, aber keinen AVV i.S.v. Art. 28 DSGVO. Weniger Anforderungen. Unterauftragsverarbeitung auch hier nur mit Genehmigung/Zustimmung der Verantwortlichen.

Es zeigt sich, dass das DSG der DSGVO entspricht, bzw. in einigen Punkte weniger scharf ist. Damit können EU-Unternehmen eher beruhigt sein. Wenn sie bereits DSGVO-konform mit personenbezogenen Daten umgehen, erfüllen Sie in jedem Fall auch die Anforderungen des DSG.

Wichtig zu beachten: EU-Unternehmen, die personenbezogene Daten in der Schweiz verarbeiten, brauchen eine:n Datenschutzbeauftragte:n dort, entsprechend der/dem EU-Vertreter:in bei der DSGVO.

2. Entscheidungen des Monats

Fiktive Lizenzgebühr als Schadensersatz gem. Art 82 DSGVO für unberechtigte Namensnennung in Versandkatalog.

Der Kläger war in einem Versandkatalog zitiert und mit Namen genannt worden, und das ohne seine Einwilligung, wie er behauptete. Er verlangte eine fiktive Lizenzgebühr in Höhe von 5.950 € als Schadensersatz i.S.v. Art. 82 DSGVO.

Die Beklagte wurde vom LG Bonn verurteilt und legte Berufung ein. Das OLG Köln ( AZ 15 U 3/23) änderte das Urteil teilweise ab. Allerdings sah auch das OLG den Beweis nicht erbracht, dass der Kläger dem Beklagten telefonisch sein Einverständnis gegeben hatte. Insofern sah es die datenschutzrechtliche Verletzung als gegeben.

„Die Verwendung des Namens des Klägers – und damit eines personenbezogenen Datums – in einem Werbeprospekt ist eine Datenverarbeitung im Sinne von Art. 4 Nr. 2 DSGVO durch die Beklagte. Diese bedarf zu ihrer Rechtmäßigkeit nach Art. 6 Abs. 1 lit. a) DSGVO der Einwilligung des Klägers, weil offensichtlich kein Fall des Art. 6 Abs. 1 lit. f) DSGVO vorliegt.“

Eine fiktive Lizenzgebühr ist dabei vom Ersatz des materiellen Schadens nach Art. 82 DSGVO umfasst.

„Der Senat ist weiter der Auffassung, dass jedenfalls in Fällen wie dem vorliegenden, also bei einem Eingriff in die vermögenswerten Bestandteile des allgemeinen Persönlichkeitsrechts des Betroffenen durch Verwendung derselben in einem kommerziellen Kontext, der Anspruch auf Ersatz des materiellen Schadens nach Art. 82 Abs. 1 DSGVO auch die fiktive Lizenzgebühr umfassen kann (Lizenzanalogie). In Erwägungsgrund 146 Satz 6 ist die Zielsetzung enthalten, der betroffenen Person einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden zukommen zu lassen“

Allerdings sah das Gericht den Anspruch nicht in der vom Kläger geltend gemachten Höhe und billigte ihm nur einen Betrag in Höhe von 1.500 € zu.

Fazit: Aus Gründen der Beweisschwierigkeiten ist immer anzuraten, die Einwilligung einer Person zur Nutzung ihrer personenbezogenen Daten schriftlich einzuholen. Dazu zählt auch, dass die Person über den Zweck der Verwendung klar und transparent informiert wurde, damit die Einwilligung wirksam ist.

Mehr dazu finden Sie hier: Oberlandesgericht Köln, 15 U 3/23

3. Das schreiben die Anderen zum Datenschutz

• Pass-the-Cookie-Angriff: Wie sicher ist Multi-Faktor-Authentifizierung?
• Der Digital Service Act – die Bändigung der sozialen Netzwerke?
• Schufa-Fehleintrag: 1500€ Schadensersatz bestätigt

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.