Unser Datenschutz-Update im September 2020

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Welt des Datenschutzes: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den September.

1. Nachrichten aus der Welt des Datenschutzes

Behörden machen ernst: Deutsche Datenschutzbehörden gehen gegen Tracking-Technologien auf Websites vor

Die deutschen Datenschutzbehörden haben angekündigt, ab sofort bundesweit Webseiten auf den rechtskonformen Einsatz von Tracking-Technologien zu überprüfen. Zunächst sind die Websites von Medienkonzernen und Presse an der Reihe. Sukzessive aber soll umfassend aufgeräumt werden.

Die Aktion geht zurück auf die Planet-49-Entscheidung des Bundesgerichtshofs (BGH). Entsprechend der Vorabentscheidung des Europäischen Gerichtshofes (EuGH) hatte der BGH geurteilt, dass Cookies nur noch mit einer aktiven und informierten Einwilligung der Nutzer gesetzt oder abgefragt werden dürfen. Das Urteil und seine Auswirkungen hatten wir bereits im comp/lex Datenschutz-Update Juli angesprochen. Aber auch die von den Datenschutzaufsichtsbehörden geforderte Einwilligung für den Einsatz von Google Analytics und andere Tracking-Technologien werden bei der Prüfung eine Rolle spielen. Darüber haben wir ebenfalls im Rahmen unseres Datenschutz-Updates Juli berichtet.

Details können Sie in der Pressemitteilung des Landesdatenschutzbeauftragen Baden-Württemberg nachlesen (abrufbar unter: https://www.baden-wuerttemberg.datenschutz.de/laenderuebergreifende-datenschutz-pruefung-sind-tracking-technologien-auf-websites-von-zeitungs-verlagen-rechtskonform/). 

Schrems macht Druck: Datenschutz-NGO reicht massenhaft Beschwerden ein

Einige Wochen, nachdem er mit einem furiosen Sieg vor dem EuGH das Privacy-Shield-Abkommen zu Fall brachte (unseren Bericht dazu lesen Sie hier), geht die NGO „nyob“ des Österreichischen Datenschutzaktivisten Max Schrems mit Beschwerden gegen Website-Betreiber vor. Die Beschwerden richten sich gegen zwei standardisierte Fälle von Datenübermittlungen, wie sie (noch) auf sehr vielen Websites anzutreffen sind, nämlich

• Google Analytics und
• Facebook Connect

und werden bei den jeweils zuständigen Datenschutzbehörden eingereicht. Nach den Feststellungen des Europäischen Gerichtshofes sind die Behörden nun verpflichtet, den Beschwerden nachzugehen. Folge für die Betreiber der „angeschwärzten“ Websites dürfte in einem ersten Schritt der Erlass einer sog. Untersagungsverfügung sein, d.h. die jeweiligen Datenverarbeitungen werden von der Datenschutzaufsichtsbehörde verboten. Darüber hinaus sind allerdings auch Bußgelder durchaus wahrscheinlich. 

Damit scheint festzustehen: Die Zeit des Abwartens ist vorbei. Verantwortliche wie Website-Betreiber oder Anbieter von Online-Diensten müssen jetzt tätig werden und die DSGVO-Compliance Ihrer Angebote prüfen und ggf. anpassen!

Eine aktuelle Liste mit den Fällen, die nyob zur Anzeige gebracht hat, ist hier abrufbar: https://noyb.eu/de/ueberblick-ueber-die-eu-us-ueberweisungen-beschwerde

„Kein datenschutzgerechter Einsatz von Microsoft 365 möglich“ – Datenschutzkonferenz (DSK) stellt Microsoft vernichtendes Zeugnis aus

Eine Arbeitsgruppe der Konferenz der unabhängigen Datenschutzbehörden Deutschlands (DSK) kommt zum Ergebnis, dass Microsoft 365 derzeit nicht rechtskonform eingesetzt werden kann. Auch in Behörden, die in 96 % der Fälle Office-Produkte aus dem Hause Microsoft einsetzen, wird daher aktuell massenhaft gegen die DSGVO verstoßen, so das Ergebnis der Arbeitsgruppe.

Welche Konsequenzen die Feststellung der DSK  für Nutzer von Microsoft 365 und für Microsoft selbst hat, bleibt indes fraglich: Das für die deutsche Niederlassung von Microsoft in München zuständige bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat eine andere Sicht auf die Dinge und stimmt dem Ergebnis der Arbeitsgruppe nicht zu. Das Thema bleibt spannend – wir halten Sie auf dem Laufenden! 

2. Entscheidungen des Monats

Digitaler Nachlass: BGH gesteht Erben das Recht auf aktiven Zugriff zu.

Mit Beschluss vom 27.08.2020 entschied der BGH (Az. III ZB 30/20), dass Erben einen Anspruch auf direkten Zugriff auf ein Nutzerkonto des Erblassers haben. Im entschiedenen Fall ging es um den Zugriff auf das Facebook-Konto ihrer verstorbenen Tochter, den die Eltern des Kindes geltend gemacht hatten. Laut BGH treten die Eltern im Wege der Gesamtrechtsnachfolge in die Vertragsbeziehung ihrer Tochter zu Facebook ein. Dazu gehöre demnach auch die Möglichkeit eine direkten Zugriffs auf das „geerbte“ Nutzerkonto.

Über Umweg zu kostenlosen Kontoauszügen? AG Bonn sagt: Ja!

Das AG Bonn urteilt, dass ein Auskunftsanspruch nach der DSGVO gegenüber der kontoführenden Bank immer auch das Recht umfasst, über Transaktionen und Kontostände informiert zu werden. Dies gilt selbst dann, wenn entsprechende Kontoauszüge bereits in der Vergangenheit zur Verfügung gestellt wurden. Art. 15 DSGVO sei extensiv auszulegen, sodass Kontobewegungen erfasst seien, so das Gericht. 

Der Anspruch wurde auch nicht bereits durch die Übermittlung in der Vergangenheit erfüllt. Denn die Bereitstellung der damaligen Daten sei eine Pflicht aus dem Zahlungsdienstevertrag gewesen und sei nicht im Zuge eines DSGVO-Begehrens erfolgt.

3. Unser Tipp: Überprüfen Sie alle Datenverarbeitungen mit Drittstaatenbezug! 

Die Schrems-II-Entscheidung des EuGH (s.o. und unsere Sonderausgabe des Datenschutz-Updates) sorgt bei datenverarbeitenden Unternehmen bereits jetzt für große Unsicherheit und viele offene Fragen – auch an uns. Unser erster Rat lautet bis heute: Transparenz schaffen! Denn nur wer weiß, im Rahmen welcher Datenverarbeitungsvorgänge es überhaupt zu einer Übermittlung von personenbezogenen Daten in einen Drittstaat kommt, kann entsprechend reagieren. Oftmals findet die Drittstaaten-Übermittlung nicht unmittelbar durch den Verantwortlichen selbst statt, sondern wird von in der Vertragskette untergeordneten Auftragsverarbeitern, oder gar von einem der diversen Unterauftragnehmer der Auftragsverarbeiter durchgeführt. Auch wenn sich alle diese Informationen bereits aus einem sauber geführten Verarbeitungsverzeichnis nach Art. 30 DSGVO ergeben müssten, denn ein solches muss jeder Verantwortliche in Europa führen, wissen wir, dass nicht jedem Verantwortlichen jede Drittstaatenübermittlung auf den ersten Blick klar ist. Deshalb ist es unserer Ansicht nach zwingend, sich hier einen Überblick zu verschaffen!

Unsere Empfehlung für diesen Monat lautet daher: Prüfen Sie sämtliche Datenverarbeitungsvorgänge in Ihrem Verantwortungsbereich darauf, ob eine Drittstaatenübermittlung stattfindet. Denn nur wenn Sie wissen, wo und wohin eine solche Übermittlung stattfindet, können Sie entsprechend den Vorgaben des Europäischen Gerichtshofs reagieren und einen weiteren wichtigen Schritt in Richtung Datenschutz-Compliance machen!

4. Das schreiben die Anderen zum Datenschutz

• Absolut empfehlenswert! Zusammenfassung aller Stellungnahmen zum Schrems-II-Urteil des EuGH: „Schrems II“ & Drittlandübermittlungen: Das sagen die Aufsichtsbehörden (und andere) (Kremer Rechtsanwälte, 02.09.2020)
• Was Sie zur Einwilligung im Arbeitsverhältnis wissen sollten: Datenschutzrechtliche Einwilligung im Beschäftigungsverhältnis (CMS-Blog, 10.01.2018)
• ISO 27001 kein Freifahrtschein für Auftragsverarbeiter: Zertifikat nach ISO/IEC 27001: Hinreichende Garantie des Auftragsverarbeiters im Sinne von Art. 28 Abs. 1 DSGVO? (Anna Cardillo in: DuD 2020, 200 ff., abrufbar über Sprit Legal)

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.

Ihre Ansprechperson

Dr. Sonja Detlefsen

sd@comp-lex.de