Liebe Leserinnen und Leser,
das Datenschutzjahr 2017 war sicherlich eines der spannendsten. Wir nehmen uns daher eine kurze Auszeit und werden Sie ab dem 2. Januar 2018 pünktlich zum Endspurt bis zur DSGVO wieder zu allen datenschutzrelevanten Themen informieren. Bis dahin bedanken wir uns herzlich für Ihr großes Interesse, Ihre Teilnahme an Diskussionen und die zahlreichen Themenvorschläge, die uns erreichen und möchten in den kommenden Tagen nochmals einen Blick auf die Datenschutz-Highlights des Jahres 2017 werfen.
Januar
Auch an uns ist im Januar die Amtseinführung Donald Trumps nicht spurlos vorübergegangen. Ganz zu Beginn bestand noch etwas (Rest-)Hoffnung, dass America First Privacy First nicht ausschließt, die jedoch nur eine Woche anhielt. Eine Executive Order hätte das schnelle Aus für den Privacy Shield bedeuten können und viele Datenübermittlungen in die USA wären auf einen Schlag rechtswidrig.
Hierzulande lag der Fokus selbstverständlich auch auf der DSGVO. Wir haben unsere Beitragsreihe zum Thema ISMS & DSGVO fortgesetzt und sowohl die Vorteile einer Zertifizierung als auch den sog. Plan-Do-Check-Act Zyklus (PDCA), der zentraler Bestandteil eines jeden Managementsystems ist, näher betrachtet.
Von großer Bedeutung in der Praxis dürfte die im Januar aufgeworfene Frage sein, ob Wartungsarbeiten auch nach der DSGVO eine Auftragsverarbeitung darstellen. Da es dort, im Gegensatz zu § 11 Abs. 5 BDSG keine explizite Regelung für die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen gibt, ist bislang nicht geklärt, ob mit dem Wartungsdienstleister ein Vertrag zur Auftragsverarbeitung abzuschließen ist.
Februar
Der Februar zeigte, dass Datenschutzverstöße tatsächlich auch Konsequenzen nach sich ziehen können. In einem Fall rechtfertigte ein Datenschutzverstoß durch Mitarbeiter eine außerordentliche Kündigung. So hatte das Landesarbeitsgericht Berlin entschieden, nachdem eine Mitarbeiterin einer Behörde ohne beruflichen Anlass mehrere hundert Melderegisterabfragen vornahm.
In einem anderen Fall wurde einem Betroffenen durch das Oberlandesgericht Köln aufgrund einer Datenschutzverletzung ein Schmerzensgeld zugesprochen. Die beklagte Versicherung hatte rechtswidrig Gesundheitsdaten des Klägers an dessen Arbeitgeber übermittelt und damit sein allgemeines Persönlichkeitsrecht verletzt.
Dass nicht nur PCs, sondern alle netzwerkfähigen Geräte ein potentielles Risiko darstellen und entsprechend gesichert werden sollten, zeigte ein Hacker, der im Februar Zugriff auf ca. 150.000 Drucker verschiedener Hersteller genommen hat. Dabei hat er Sicherheitslücken ausgenutzt, die z.T. jahrelang bekannt waren.
März
Im März feierte das Internet seinen 28. Geburtstag. Dessen „Erfinder“ äußerte zu diesem Anlass in einem besorgniserregenden Statement drei seines Erachtens negative Entwicklungen. Neben der sehr einfachen Möglichkeit der Verbreitung von „Fake News“ und der zunehmend intransparenten politischen Werbung im Internet stellt er fest, dass wir die Kontrolle über unsere eigenen Daten verloren haben.
Darüber hinaus versuchten den allseits bekannten Widerspruch zwischen datenschutzrechtlichen Löschpflichten und der Pflicht zur Archivierung von E-Mails aufzulösen, indem wir uns die Vorgaben für die E-Mail-Archivierung näher angesehen haben.
In negativer Hinsicht besonders erwähnenswert ist außerdem die Erprobung einer intelligenten Videoüberwachung am Bahnhof Berlin-Südkreuz. Durch das System sollen Menschen in ihren Bewegungen umfassend verfolgt und eine biometrische Gesichtserkennung getestet werden. Künftig sollen auffällige oder gewaltbereite Personen gar automatisiert erkannt werden.
Morgen geht es weiter mit den Monaten April bis Juni: Jahresrückblick 2017 – Teil 2