Unser Datenschutz-Update im September 2022

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den September 2022.

1. Nachrichten aus der Welt des Datenschutzes

Gilt die DSGVO auch im B2B-Bereich?

Immer wieder sagen Mandant:innen: „Für die Geschäftspartner:innen brauche ich keine Datenschutzhinweise. Für die gilt die DSGVO ja nicht.“

Stimmt das? Leider nicht so pauschal, hier liegt ein Missverständnis vor, das sich hartnäckig hält.

Kurz und knapp: Die DSGVO gilt sehr wohl auch im geschäftlichen B2B-Bereich, soweit es sich um Daten handelt, die einer einzelnen, natürlichen Person zugeordnet werden können. 

Etwas ausführlicher: Tatsächlich steht in der DSGVO, dass die Verordnung nur für natürliche Personen gilt. Im Erwägungsgrund 14 wird dazu noch weiter ausgeführt, dass die DSGVO nicht für juristische Personen gelten soll, wie zum Beispiel eine GmbH. Viele Unternehmen sind als juristische Personen gegründet. Für die juristische Person – also das Unternehmen – mit Namen, Anschrift usw. gilt die DSGVO demnach nicht. 

Wohl aber für Geschäftsführer:innen, soweit es die Daten als natürliche Person betrifft. Ebenso gilt die DSGVO für persönliche Daten der einzelnen Mitarbeiter:innen, mit denen im Rahmen der Geschäftsbeziehung Kontakt gepflegt wird, auch Prokurist:innen und sonstige in Vollmacht des Unternehmens Handelnde. 

Dabei ist es unerheblich, ob es sich um Daten in geschäftlicher Funktion oder in privater Funktion handelt. Name, Büro-Telefonnummer, Büro-E-Mail-Adresse fallen damit grundsätzlich unter die DSGVO und sind entsprechend zu behandeln, soweit diese nur einer Person zugeordnet werden können. Eine allgemeine Info-E-Mail-Adresse, auf die mehrere Mitarbeiter:innen eines Unternehmens Zugriff haben, fällt dann nicht unter die personenbezogenen Daten. Ist die geschäftliche E-Mail-Adresse aber genau einer Mitarbeiterin oder einem Mitarbeiter zuzuordnen, handelt es sich um personenbezogene Daten im Sinne der DSGVO.

Ebenso fallen nicht unter die DSGVO die Unternehmensdaten, die der juristischen Person zuzuordnen sind wie beispielsweise der Firmensitz. 

Fazit: Haben Sie Daten Ihrer Geschäftspartner:innen wie Name, geschäftliche (zuzuordnende) Telefonnummer, geschäftliche (zuzuordnende) E-Mail-Adresse müssen Sie die Geschäftspartner:innen informieren, wie mit ihren Daten umgegangen wird und an wen diese übermittelt werden. Für die einzelnen Verarbeitungen braucht es eine Rechtsgrundlage gem. Art 6 DSGVO, genau wie bei den Verarbeitungen privater Daten natürlicher Personen. Darüber hinaus müssen die für die Aufbewahrung und Verarbeitung notwendigen Sicherheitsvorkehrungen getroffen werden (technische und organisatorische Maßnahmen) und die Aufbewahrungsfristen beachtet werden. 

Für geschäftliche Beziehungen brauchen Sie deshalb auch Datenschutzhinweise, die über den Umgang mit den personenbezogenen Daten der natürlichen Personen, mit denen Sie zu tun haben, informieren. 

Kein pauschaler Ausschluss von US-Cloud Anbieter:innen mit Server in Deutschland

Behörden dürfen darauf vertrauen, dass IT-Diensteanbieter:innen Zusagen zum Datenschutz und Einhaltung der DSGVO geben. So hat das OLG Karlsruhe entschieden. Dies ist mittlerweile fraglich geworden: Schulen sowie andere öffentliche Einrichtungen gerieten unter scharfe Kritik, als sie zum Beispiel Microsoft Produkte nutzten. 

Unter anderem hatte die Vergabekammer Baden-Württemberg in einem Beschluss entschieden, dass Infrastrukturdienste europäischer Tochterunternehmen amerikanischer Anbieter:innen in Vergabeverfahren nicht in Anspruch genommen werden dürften. Begründet wurde der Beschluss mit dem Bestehen der Möglichkeit, dass personenbezogene Daten missbraucht werden könnten. Dies war bereits vom LfDI Baden-Württemberg als nicht ausreichend kritisiert worden. (Wir berichteten hier.)

Am 07.09.2022 hat das OLG Karlsruhe den Beschluss der Vergabekammer aufgehoben.

Grundsätzlich sei davon auszugehen, dass Anbieter:innen der IT-Dienste die vertraglichen Zusagen erfüllen werden. Erst wenn sich aufgrund konkreter Anhaltspunkte Zweifel daran ergäben, müssen die öffentlichen Auftraggeber:innen ergänzende Informationen einholen und die Erfüllbarkeit des Leistungsversprechens prüfen, entschieden die Richter:innen (Az.: 15 Verg 8/22).

Allein die Tatsache, dass der Mutterkonzern in den USA liegt, reicht nicht aus, dass die Behörde davon ausgehen muss, dass es zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird, bzw. dass das europäisches Tochterunternehmen gesetzwidrigen Anweisungen der US-Muttergesellschaft Folge leisten wird. 

Damit können Behörden bei einsprechenden datenschutzrechtlichen Zusagen weiterhin Dienste von Anbieter:innen nutzen, deren Muttergesellschaft in den USA sitzt, ohne von Aufsichtsbehörden oder Konkurrent:innen abgemahnt zu werden. 

Die Entscheidung des OLG ist rechtskräftig.

Mehr dazu finden Sie hier: https://der-betrieb.de/meldungen/zum-ausschluss-aus-vergabeverfahren/

2. Entscheidungen des Monats

EuGH-Urteil zur deutschen Vorratsdatenspeicherung – Neuregelung ist notwendig

Der EuGH hat mit Urteil vom 20.09.2022, Rs. C-793/19, C-794/19 u.a. entschieden, dass die deutsche Regelung zur Vorratsdatenspeicherung gegen Unionsrecht verstößt. 

Anlass war eine Klage gegen die Bundesnetzagentur von der SpaceNet AG und der Telekom Deutschland GmbH, die von der Regelung zur Vorratsdatenspeicherung im Telekommunikationsgesetz (TKG) aus 2015 betroffen sind, die seit 2017 auf Eis liegt (verbundene Rs. C-793/19 und C-794/19). 

Die deutsche Regelung sah die unterschiedslose, zehnwöchige Speicherung der Verbindungsdaten von Telefon und Internet wie auch eine vierwöchige Speicherung von Standortdaten vor.

Dies ermögliche, so der EuGH, sehr genaue Rückschlüsse auf das Privatleben – Aufenthaltsorte, ausgeübte Tätigkeiten, Gewohnheiten im Alltag – zu ziehen und ein Profil zu erstellen. Die Regelung verstößt damit gegen Unionsrecht.

Dennoch ist eine anlasslose Vorratsdatenspeicherung auch nach dem Urteil nicht gänzlich verboten, was vielerorts zu Erleichterung führt. 

„Verkehrsdaten sind in vielen Fällen ein wichtiger Ansatzpunkt für die Strafverfolger, um die Täter einer Straftat zu ermitteln“, so der Bundesgeschäftsführer des Deutschen Richterbundes, Sven Reben. Umso wichtiger, dass die Bundesregierung nun Neuregelungen erlässt, die die Vorgaben des EuGH berücksichtigen und somit rechtssicher sind. So ist Vorratsdatenspeicherung unter bestimmten Voraussetzungen möglich:

  • IP-Adressen können sowohl zum Schutz der nationalen Sicherheit wie auch zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit allgemein und unterschiedslos gespeichert werden – jedenfalls für einen absolut notwendigen Zeitraum. Dies kann durch ein Gericht oder eine unabhängige Verwaltungsstelle kontrolliert werden.
  • Das Gleiche gilt für die allgemeine und unterschiedslose Vorratsspeicherung von Verkehrs- und Standortdaten. 
  • Das sogenannte „Quick Freeze-Verfahren“, so der EuGH in Übereinstimmung mit den Schlussanträgen des Generalanwalts, ist eine zulässige Maßnahme zur anlassbezogenen Speicherung von Verkehrs- und Standortdaten. Der DAV fordert den Einsatz des Quick-Freeze-Verfahrens anstelle einer allgemeinen Vorratsdatenspeicherung seit Jahren.
  • Zum Schutz der nationalen Sicherheit, zur Bekämpfung der Kriminalität und zum Schutz der öffentlichen Sicherheit kann außerdem eine allgemeine und unterschiedslose Vorratsspeicherung, die die Identität der Nutzer:innen und der elektronischen Kommunikationsmittel und deren Daten betreffen, erfolgen.
  • Das Quick-Freeze Verfahren wird als zulässige Maßnahme gesehen: zur Bekämpfung schwerer Kriminalität und zum Schutz der nationalen Sicherheit kann den Betreiber:innen elektronischer Kommunikationsdienste aufgegeben werden, während eines festgelegten Zeitraums die ihnen zur Verfügung stehenden Verkehrs- und Standortdaten umgehend zu sichern.

Ob es eine Neuregelung auch auf europäischer Ebene geben wird, bleibt abzuwarten und wird eher kritisch gesehen. 

Mehr dazu finden Sie hier: https://anwaltsblatt.anwaltverein.de/de/anwaeltinnen-anwaelte/rechtsprechung/vorratsdatenspeicherung

3. Unser Tipp: Energiesparen im Büro

Angesichts der Energiekrise haben auch wir uns überlegt, wie wir (und Sie) im Büro zur Energieeffizienz beitragen können. Unsere Maßnahmen und Tipps:

  • Nutzen Sie Ihr Druckgerät gemeinsam.
  • Geben Sie Laptops den Vorrang vor PCs mit Monitoren.
  • Versetzen Sie Ihren Laptop und Computer während der Mittagspause in den Ruhezustand.
  • Schalten Sie Geräte und sämtliche Lichter zum Feierabend wirklich ab.
  • Machen Sie kurze Spaziergänge, um Ihre Körpertemperatur und Ihre Aufmerksamkeit zu steigern.

Mehr Tipps dazu finden Sie hier: https://www.bueromoebel-experte.de/ratgeber/bueroalltag/stromkosten-senken-im-buero/

4. Das schreiben die Anderen zum Datenschutz

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.

Sie möchten mehr über uns und unsere Leistungen im IT- und Datenschutzrecht erfahren? Das geht ganz einfach:

  • Abonnieren Sie unsere Tipps und Tricks.
  • Lesen Sie unsere kostenlosen E-Books.
  • Informieren Sie sich über unsere Leistungen.
  • Werfen Sie einen Blick in unseren Wegweiser. Darin finden Sie alle unsere Blog-Beiträge thematisch geordnet.
  • Haben Sie noch ein anderes Anliegen? Nehmen Sie jederzeit gerne Kontakt zu uns auf.

Ihre Ansprechperson

Dr. Sonja Detlefsen

sd@comp-lex.de


Themen:

Ähnliche Artikel: