Zum Inhalt springen Zur Navigation springen
Datenschutz – Jahresrückblick 2020 – Teil 2

Datenschutz – Jahresrückblick 2020 – Teil 2

Artikel von Dr. Datenschutz·22. Dezember 2020

Heute folgt der zweite Teil unseres Datenschutz-Jahresrückblicks für die Monate April bis Juni 2020.

April, der weiß nicht was er will…

Auch im Monat April hat Corona das Land fest im Griff. Die Zahlen der Infektionen steigen und die Regale im Supermarkt leeren sich stetig. Damit aber ein Überblick über die Infektionszahlen gewährleistet werden kann und man sich sicher beim Einkaufen fühlt, hat das RKI eine App entwickelt. Die App findet man leicht unter dem Namen „Corona-Datenspende“. Die App wurde in Zusammenarbeit mit dem RKI, dem e-Health-Unternehmen Thryve und unter Einbeziehung des Bundesdatenschutzbeauftragten entwickelt. Allerdings hat das BfDI in einer Kurzmitteilung gemeldet, dass ihnen keine fertige App zur Überprüfung vorgelegt wurde und sie lediglich konzeptberatend beteiligt waren. Ob alle datenschutzrechtlichen Anforderungen erfüllt wurden, blieb zu dem Zeitpunkt offen. Das RKI beschreibt, dass es sich bei den personenbezogenen Daten um pseudonymisierte Daten handle, die durch eine eindeutige und individuelle ID zumindest mittelbar einer natürlichen Person zugeordnet werden kann. Die Problematik, die sich im Zusammenhang mit der App ergibt, ist die Frage nach der Freiwilligkeit. Auch wenn die Nutzung der App freiwillig bleibt, erfolgt trotzdem ein gewisser „gesellschaftlicher“ Druck von außen bedingt durch die Erwartungshaltung von Kollegen, Freunden, Nachbarn oder sogar der Familie aufgrund von Unverständnis. Wichtig für die Einwilligung ist und bleibt die Freiwilligkeit. Inwieweit diese in Bezug auf die Corona-App erfolgt, bleibt jedem selbst überlassen.

Daraufhin brach das Chaos aus, als die Gesundheitsämter Daten über Corona-Infizierte an die Polizei weitergaben. Da läuteten bei einigen Datenschützern die Alarmglocken, die zurecht hierin eine Verletzung des Datenschutzrechts sahen. In den Bundesländern Baden-Württemberg, Mecklenburg-Vorpommern, Bremen und Niedersachsen bezog die Polizei von mehreren Gesundheitsämtern des jeweiligen Bundeslandes Daten über Personen, die sich mit dem Corona-Virus infiziert haben. Vermehrt wurde die Weitergabe der Daten an die Polizei damit begründet, dass die Beamten geschützt werden sollen. Nicht alle Landesdatenschutzbehörden sahen darin eine Rechtfertigung für die Datenweitergabe. In einigen Bundesländern kam es zu einer Einigung, während in anderen weiterhin Listen an die Polizei weitergeleitet wurden.

Nicht nur die Gesundheitsämter waren überhäuft mit Arbeit und Umstellungen, auch unsere Judikative sah sich vor einem großen Problem gestellt. Seit März sind die Gerichte auf Notbetrieb eingestellt und nur wichtige Termine können verhandelt werden. Zu diesem Umstand trägt auch dazu, dass viele Gerichtssäle nicht groß genug sind, um die Corona-Abstandsregelungen einzuhalten.

Also kam als Reaktion darauf ein Aufruf nach mehr elektronischer Justiz. Aber auch das ist nicht neu, so wurde 2013 bereits ein Gesetz zur Intensivierung des Einsatzes von Videokonferenztechnik verabschiedet. Wichtig für die Durchführung ist, dass alle Beteiligten die ganze Verhandlung sehen und hören können. Darüber hinaus muss gewährleistet werden, dass der Übertragungs- als auch der Sitzraum mit genügend Geräten zur Aufnahme und Wiedergabe von Bild und Ton ausgestattet ist.

Auch die Universitäten sahen sich vor den gleichen Problemen gestellt. Anstatt die Studenten auf dem Campus zum Semesterstart willkommen zu heißen, mussten alle von Zuhause aus die Vorlesungen „virtuell besuchen“. Dabei stellt sich die Frage, wie das Ganze zu stemmen sei und welches Programm am besten genutzt werden sollte.

Die richtige Auswahl der Konferenz-Tools spielt dabei eine sehr wichtige Rolle, da nicht alle Tools datenschutzrechtlich konform sind.

Und weil wir schon beim Thema Konferenz-Tools sind, gilt es auch den Apps Aufmerksamkeit zu schenken, die allen Personen daheim das Leben während des Lockdowns einfacher gestalten sollten. Vor allem die App „Houseparty“ gehört zu den beliebtesten Videochat-Apps. Doch auch diese wirft so einige datenschutzrechtliche Bedenken auf. Die App verarbeitet eine Unmenge an Daten, verlangt zur Verifizierung die Handynummer des Nutzers und hat Facebook-Bausteine eingebunden. Wer diese App nutzt, sollte sich überlegen, ob man möchte, dass die App mitfeiert und ungefragt Daten ohne Ende speichert.

Doch nicht alles war so schlimm im Aprilmonat. Denn unser Blog „Dr. Datenschutz“ ist unter den 100 beliebtesten Blogs 2020 gewählt worden. Dafür bedanken wir uns nochmal recht herzlich.

Mai – Zwei Jahre DSGVO

Auch im Mai wütet die Corona-Pandemie weiter über den Globus.

Der Monat begann mit einer durchaus interessanten Entscheidung des BAG, wonach der Arbeitgeber auf Dateien des auch privat genutzten Arbeitsrechners zugreifen kann, wenn diese nicht als „privat“ gekennzeichnet wurden. Somit liegt es in der Sphäre des Arbeitnehmers, dass dieser Dateien explizit als „privat“ kennzeichnen muss, um sich vor einer etwaigen Überprüfung zu schützen. Allerdings bleibt dieser Schutz auch begrenzt, sobald der Verdacht einer schweren Verfehlung gegeben ist.

Der Europäische Datenschutzausschuss (EDSA) hat im Mai seine Leitlinien zur Einwilligung in die Cookie-Nutzung von Internetseiten aktualisiert. Dabei haben sie zwei wichtige Punkte aufgeklärt: 1. die Gültigkeit der Einwilligung, die von der betroffenen Person bei der Interaktion mit sogenannten „Cookie-Walls“ erteilt wird und 2. die vermeintliche Einwilligung durch Scrollen auf einer Website.

Die größte Änderung besteht darin, dass durch „Cookie-Walls“ (das sind Cookie-Banner, die das Betrachten von Inhalten von der Zustimmung abhängig machen, sodass der Nutzer nachverfolgt werden kann) regelmäßig keine wirksamen Einwilligungen eingeholt werden können. Leider geht die Leitlinie nicht näher darauf ein, wie solche Banner zu bewerten sind, die dem Leser beim Aufruf einer Website ein ganzseitiges Banner anzeigen, mit der Option das Tracking entweder zu akzeptieren („Weiterlesen mit Werbung“) oder ein Abo abzuschließen („Cookie-or-Pay-Walls“). In Bezug auf die Möglichkeit der Einwilligung durch das Scrollen auf einer Website geht die Leitlinie nur kurz darauf ein und bestätigt, dass diese Aktion keine eindeutige und bestätigende Handlung darstellt.

Auch in diesem Monat kamen wir nicht um das Corona-Wirrwarr herum. Corona-Maßnahmen, wie der vom Bundestag beschlossene Entwurf zum zweiten Pandemiegesetz, wurden ohne weiteres verabschiedet und ohne dieses verfassungs- und datenschutzrechtlich eingehender zu prüfen. Das Problem bestand darin, dass das Gesetz eine Meldepflicht für Nicht-Infizierte umfasste. Die Labore sollen nach Inkrafttreten des Gesetzes auch Daten von negativ Getesteten an die Gesundheitsämter weiterleiten. Dazu gehören personenbezogene Daten wie Geschlecht, Geburtsmonat und -jahr, Wohnort, Untersuchungsbefunde und der Grund der Untersuchung. Dabei werden Name und Geburtstag pseudonymisiert. Obwohl erhebliche rechtliche Bedenken durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, Herrn Prof. Ulrich Kelber hervorgebracht wurden, ist das Gesetz im Eiltempo durch das Parlament gebracht worden.

Ein wichtiges Jubiläum stand ebenfalls in diesem Monat an, die DSGVO ist zwei Jahre alt geworden. Zu begrüßen ist zunächst die Vereinheitlichung von datenschutzrechtlichen Vorschriften in Europa. Dabei wird, zumindest in der Theorie das höchstmögliche Schutzniveau für Betroffene geschaffen. Auch in Anlehnung an die ganzen Bußgelder, die seit Inkrafttreten der Verordnung erfolgt sind, sprechen dafür, dass Datenschutz ernster genommen wird.

Allerdings muss auch gesagt werden, dass vieles noch nicht in dem gewünschten Umfang funktioniert. Viele Aufsichtsbehörden sind mit der datenschutzrechtlichen Gesamtsituation überfordert und kommen ihren Aufgaben nicht nach, vor allem werden vereinzelt Datenschutzverstöße nicht nachverfolgt.

Während auf der einen Seite eine höhere Sensibilisierung für Datenschutz gegeben ist, ist auf der anderen Seite die Rede von einer Innovationsbremse. Gerade in Zeiten wie Corona, wo man am liebsten Tracking-Apps und unbegrenzte Datenerhebungen unter dem Deckmantel der Gesundheit begründen möchte.

Der Monat Mai endete dann mit einer wichtigen BGH-Entscheidung, in der es um den Einsatz von Cookies in der Sache Planet 49 ging. Das Urteil stellt fest, dass wer zu Werbezwecken und zur Profilbildung umfangreich tracken möchte, eine Einwilligung durch opt-in benötigt. Ansonsten muss keine Einwilligung für erforderliche Cookies zur Erbringung des Dienstes eingeholt werden.

Juni – Der Irrsinn geht weiter

Der Monat Juni startete gleich kurios und mit einem „Datenschutzskandal„. Ein Youtuber, der für seine „Lost Places“ Videos bekannt ist, hat in einem seiner Videos ein altes, verlassenes Krankenhaus „besucht“ und gleich mehrere unverschlossene Patientenakten gefunden und teilweise, wenn auch verpixelt gefilmt. Die Frage nach der Schuld war schnell gelöst: Die Stadt kann nichts dafür und der Youtuber muss zur Verantwortung gezogen werden. Das Brisante an dem Thema ist, dass es sich bei den gefilmten Akten um besonders schützenswerte (Gesundheits-)Daten gemäß Art. 9 Abs.1 DSGVO handelte. Leider ist dieser Vorfall kein Einzelfall und so kommt es immer mal wieder zu solchen Datenpannen.

Eine interessante Entscheidung erreichte uns vom LAG Köln, wonach eine außerordentliche Kündigung aufgrund umfangreicher privater Internetnutzung während der Arbeitszeit trotz Verbot als gerechtfertigt erachtet wurde. Ein Mitarbeiter hatte die zur Verfügung gestellte IT-Infrastruktur für private Zwecke benutzt, obwohl es nicht für solche Zwecke erlaubt war. Daraufhin wurde ihm gekündigt. Gegen diese Kündigung zog der Mitarbeiter vor Gericht. Das LAG Köln lehnte die Revision des Mitarbeiters als unbegründet ab und beurteilte damit die Kündigung für wirksam.

Da Corona auch in diesem Monat keinen Halt machte, erschien die lang ersehnte Corona-Warnapp! Die App soll den Nutzer, durch die Speicherung der sozialen Kontakte der letzten zwei Wochen, auf möglichen Kontakt mit Infizierten hinweisen. Dabei tauschen die Smartphones, für die Ermittlung von Kontakten über Bluetooth auf einem Tagesschlüssel beruhende Kurzzeitschlüssel, sog. RPIs (Rolling Proximity Identifier), aus. Sobald zwei Geräte über eine bestimmte Dauer in bestimmter Nähe zueinander sind, werden die Schlüssel ausgetauscht und lokal auf den Geräten gespeichert. Die Schlüssel werden zudem alle 10 – 20 Minuten neu generiert, damit eine Nachverfolgbarkeit zu einer Person vermieden wird. Zudem soll alles kryptografisch abgesichert sein. Im Ergebnis speichert die App keine Daten, die es sowohl dem RKI oder anderen Nutzer ermöglicht, auf die Identität oder den Gesundheitsstatus oder Standort des Nutzers zu schließen. Zudem verzichtet die App auf die Erfassung oder Analyse des Nutzungsverhaltens durch Tracking-Tools. Zwar bleiben die zu anfangs genannten datenschutzrechtlichen Bedenken bestehen, dennoch bietet sie eine gute Möglichkeit zur Bekämpfung von Corona.

Bevor es in die Sommerpause ging, hat der BGH eine Entscheidung gegen Facebook erlassen. In dieser ging es um einen Konflikt mit dem Bundeskartellamt. Facebook erhielt ein Schreiben mit einer Verbotsverfügung vom Bundeskartellamt. In diesem Schreiben wurden Einwände erhoben, wie Facebook Daten über Personen aus Anwendungen von Drittanbietern zusammenführt und darüber hinaus Personen, ohne Konten, über Facebook-„Gefällt mir“ oder „Teilen“ Buttons online verfolgt.

Grund für das Einschreiten des Bundeskartellamts ist, dass Facebook mit seiner überragenden Stellung im Markt Nutzern keine Ausweichmöglichkeiten überlässt. Demnach bestätigt der BGH, dass es keine ernsthaften Zweifel gäbe, dass Facebook in Deutschland eine marktbeherrschende Stellung innehabe und dass es die vom Kartellamt verbotenen Geschäftsbedingungen missbraucht habe. Der beschriebene Fall zeigt, das Zusammenspiel von Datenschutz mit anderen Rechtsgebieten. Deutschland ist somit das erste Land, das untersucht, ob die Datenmarktbeherrschung ein kartellrechtliches Problem darstelle.

Im Juni erschien auch der erste Bericht der EU-Kommission zur DSGVO. Gemäß Art. 97 DSGVO hat danach diese alle vier Jahre dem Europäischen Parlament und dem Rat Bericht über die Bewertung und Überprüfung der DSGVO vorzulegen.

Das Ergebnis ist eher positiv ausgefallen. Das Recht des Einzelnen auf informationelle Selbstbestimmung zu stärken und gleichzeitig weiterhin den freien Verkehr von personenbezogenen Daten zu garantieren, wurde als Ziel erreicht. Allerdings gilt es zu sagen, dass es noch viele Bereiche gibt, die verbesserungswürdig sind. Zu bemerken ist allerdings, dass es nach zwei Jahren für manche Bereiche noch nicht möglich ist eine umfassende Evaluierung vorzunehmen.

Am Ende des Monats Juni wurde bekanntgegeben, dass wir zu der neuen Domain dr-datenschutz.de wechseln.

Morgen geht es weiter mit den Monaten Juli bis September im Jahresrückblick 2020 – Teil 3.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.