Datenschutz – Jahresrückblick 2020 – Teil 3

News

Im dritten Teil unseres Jahresrückblicks schauen wir zurück auf die Monate Juli bis September 2020.

Juli – Sommer, Sonne, Schrems II

Corona-Zeit ist die Zeit der Online-Meetings. Deshalb begann der Juli mit einer viel beachteten Stellungnahme der Berliner Datenschutzaufsicht. Darin erklärte die Behörde, dass nahezu alle gängigen Videokonferenztools nicht datenschutzkonform im Sinne der DSGVO einsetzbar seien – egal ob Microsoft Teams, Skype (for Business) oder GoTo-Meeting, WebEx, GoogleMeet oder Zoom. Die Datenschützer der Hauptstadt hatten im Vorfeld aber nur die Auftragsverarbeitungsverträge (Art. 28 DSGVO) der Anbieter geprüft und diese als mangelhaft befunden. Nicht zuletzt wegen der fehlenden umfassenden Bertachtungsweise wurde die Stellungnahme nicht nur in Datenschutzkreisen kritisch diskutiert.

Vielleicht der – nicht völlig unerwartete – Paukenschlag des Jahres folgte Mitte Juli: Der Europäische Gerichtshof kippte durch sein Urteil „Schrems II“ die EU-US-Datenschutzvereinbarung „Privacy Shield. Zudem führte das Gericht aus, dass ein Datentransfer an Drittstaaten wie die USA auf Basis von Standardvertragsklauseln zwar im Prinzip weiterhin zulässig sei. Voraussetzung wäre aber, dass das Zielland ein mit der DSGVO gleichwertiges Datenschutzniveau böte. Das Urteil hat immense Auswirkungen für die globale Wirtschaft und alle Unternehmen, die personenbezogene Daten in die USA und ins außereuropäische Ausland transferieren wollen und müssen, beispielsweise bei der Nutzung von Cloud-Services oder im Rahmen des konzerninternen Datenverkehrs.

Mit Blick auf diese neue Rechtslage präsentierte der Europäische Datenschutzausschuss (EDSA) noch im Juli ein FAQ-Dokument zu den drängenden Fragen in Sachen Datentransfer in Drittländer.

Nur einen Tag nach „Schrems II“ stärkte ein Urteil des Bundesverfassungsgerichts den Datenschutz und das Recht auf informationelle Selbstbestimmung: Die Verfassungshüter erklärten mehrere Regelungen zur Bestandsdatenauskunft (wie § 113 Telekommunikationsgesetz (TKG) und mehrere Fachgesetze des Bundes) für unvereinbar mit dem Grundgesetz. Der Gesetzgeber müsse für die Übermittlung der Bestandsdaten durch die Telekommunikationsanbieter verhältnismäßige Rechtsgrundlagen schaffen und auch die Verwendungszwecke der Datenverarbeitung hinreichend begrenzen – Voraussetzungen, die bei den fraglichen Regelungen nicht erfüllt seien.

Im Juli zeigten sich Entwicklungen in Politik und Wirtschaft, die die steigende Gefahr einer Bürgerüberwachung möglich erscheinen ließen. Die deutsche Nachrichtenwebsite netzpolitik.org wies auf das Missbrauchspotenzial von PimEyes hin, einer kostenlosen Internet-Suchmaschine für 900 Millionen Gesichter. Die polnische Gesichtserkennungssoftware führt eine Massensuche und -analyse von Fotos im World Wide Web durch und birgt enorme Risiken für die Rechte auf informationelle Selbstbestimmung und Privatsphäre für jedermann.

Zur Verbrechensbekämpfung sprach sich – mit Blick auf die Biometrie-Superdatenbank der EU – nahezu zeitgleich Bundesinnenminister Horst Seehofer dafür aus, diese technischen Entwicklungen zu forcieren. Im April 2019 hatte das EU-Parlament den Aufbau einer Biometrie-Superdatenbank beschlossen. Das von der EU hierzu erlassene Gesetzespaket erlaubt es, europäische Informationssysteme zur inneren Sicherheit zu verknüpfen und abzugleichen.

Ebenfalls im Juli bekannt wurden Pläne der Bundesregierung, die Steuer-ID trotz verfassungs- und datenschutzrechtlicher Bedenken zur allgemeinen Personenkennziffer auszubauen – dies, um digitale Behördengänge und Prozesse zu vereinfachen. Der entsprechende Gesetzesentwurf des Bundeskabinetts wurde jüngst in erster Lesung im Bundestag kontrovers diskutiert.

Und last but not least wurden Bußgelder verteilt: So verhängte die französische Datenschutzbehörde CNIL gegen den Schuh-Versandhändler Spartoo ein Bußgeld in Höhe von 250.000 Euro. Dem Unternehmen wurde insbesondere nicht datenschutzkonformer Umgang mit Kundendaten vorgeworfen. So hatte Spartoo Bankdaten der Kunden zu lange und unverschlüsselt gespeichert, beim Anlegen von Kunden-Accounts keine sicheren Passwörter angefordert, keine maximalen Aufbewahrungsfristen von sensiblen Daten festgelegt und kein schlüssiges Löschkonzept implementiert.

August: Keine Spur von Sommerloch

Das EuGH-Urteil „Schrems II“ und seine Auswirkungen auf den internationalen Datentransfer war auch im August zentrales Thema für die Datenschutzwelt. Dies nahmen wir zum Anlass, um uns gezielt mit Fragestellungen zu den Auswirkungen des Richterspruchs auseinanderzusetzen, etwa damit, wie der Datentransfer in die USA mit Standardvertragsklauseln gestaltet werden kann oder inwiefern es noch möglich ist, außereuropäische Tracking-Tools wie Google Analytics im Geschäftsalltag einzusetzen.

Trotz leichter Beruhigung der Pandemie-Lage war nach wie vor auch in den Sommermonaten das Thema Covid-19 mit seinen Auswirkungen auf das gesellschaftliche Zusammenleben „in aller Munde“ – schließlich ist „Corona-Pandemie“ das Wort des Jahres 2020. Grund genug, auch aus Datenschutzsicht die neue Wirklichkeit, veränderte Lebenswelten und innovierte Arbeitsprozesse in den Fokus zu nehmen: Unser zweiteiliger Fachbeitrag „Datenschutz in der Pflege“ beschäftigte sich mit den datenschutzrechtlichen Fragen des Pflegealltags. Dabei wurden die vielfältigen Datenschutzvorschriften und Rechtsgrundlagen beleuchtet und konkrete Handlungsempfehlungen für das datenschutzkonforme Arbeiten verfasst. Auch der Datenschutz bei der Ausgestaltung des Schulalltags in Zeiten der Pandemie stand im August im Blickpunkt. Nicht fehlen durfte auch das Thema Home-Office, das neue „new normal“, bei dem es mit Blick auf den Datenschutz und die IT-Sicherheit vieles zu beachten gibt: Hierzu untersuchten wir, wie Unternehmen den neuen Herausforderungen des Mobile Device Managements im Bereich IT begegnen, wie sich die technologischen Bedürfnisse in Corona-Zeiten verändern und wie Unternehmen ihre Fernwartung mit Remote-Support-Tools optimal gestalten können.

Apropos Arbeitswelt: Neuigkeiten gab es auch im Bereich des Beschäftigtendatenschutzes. Hier bestätigte das Landesarbeitsgericht Berlin-Brandenburg, dass gerade im Bereich der Art. 9-Daten einer Verarbeitung personenbezogener Daten enge Grenzen gesetzt sind. Das LAG urteilte, dass ein biometrisches Zeiterfassungssystem mittels Fingerabdrucks in aller Regel nicht erforderlich im Sinne von Art. 9 Abs. 2 lit. b DSGVO, § 26 Abs. 3 BDSG sei.

Der September und die zweite Welle

Die Auswirkungen des Schrems-II-Urteils bestimmten auch im September die Diskussionen in der Wirtschaftswelt und bei den Datenschutzexperten. Das LfDI Baden-Württemberg präsentierte seine aktualisierte Orientierungshilfe zum Umgang mit internationalen Datentransfers.

Auch der Europäische Gerichtshof für Menschenrechte (EGMR) setzte das Thema Datenschutz auf die Herbst-Agenda und präsentierte mit seinem „Factsheet Personal Data Protection“ eine Kurzzusammenstellung seiner Rechtsprechung und stellte damit das entwickelte Case Law Datenschützern und der Öffentlichkeit übersichtlich zur Verfügung.

Im Kontext der Corona-Krise und der zunehmenden Abhängigkeit der Bürger von Onlinediensten verabschiedete die britische Datenschutzaufsichtsbehörde ICO den „Age Appropriate Design Code“ zur Stärkung des Datenschutzes von Minderjährigen und Kindern. Aufbauend auf das nationale Datenschutzgesetz „Data Protection Act“ soll der Verhaltenskodex Anbieter digitaler Medien dazu anhalten, durch ein altersgemäßes Design dafür zu sorgen, dass im Interesse von Minderjährigen Datenschutzrecht eingehalten wird.

In Zeiten von Lockdowns und drohenden Ausgangssperren war die Nachfrage nach Computer- und Videospielen im Frühjahr schon groß, um die Zeit zu Hause so angenehm wie möglich zu gestalten. Mit Blick auf die zweite Welle und der bevorstehenden Veröffentlichung der nächsten Generation von Spielekonsolen und VR-Brillen, haben wir daher das Thema Datenschutz bei Videospielen näher betrachtet.

Zudem wurde auf politischer Ebene diskutiert, ob es nötig ist, staatlich kontrollierte Immunitätsbescheinigungen zu nutzen, um Covid-19 zurückzudrängen. Der von Bundesgesundheitsminister Jens Spahn hierzu angerufene Deutsche Ethikrat lehnte die Einführung solcher Immunitätsbescheinigungen im September bis auf weiteres einstimmig ab – dies insbesondere mit dem Argument, es sein derzeit unklar, wie eine Immunität nachzuweisen sei. Werde sich in dieser Frage etwas ändern, zeigte sich der Rat unentschlossen, ob und – wenn ja – unter welchen Bedingungen die Einführung von Immunitätsbescheinigungen zu empfehlen wäre.

Ein weiteres Ausrufungszeichen setzte das Bundesverwaltungsgericht: Sie höchsten Verwaltungsrichter entschieden, dass ein Insolvenzverwalter sich nicht auf das Auskunftsrecht nach Art. 15 DSGVO berufen kann, wenn er vom Finanzamt Auskunft über das Steuerkonto des Insolvenzschuldners erhalten möchte. Damit hat das Gericht in der Frage, inwiefern es Insolvenzverwaltern möglich ist, Betroffenenrechte nach der DSGVO wahrzunehmen, nochmals den Grundrechtsschutz der Betroffenen gestärkt.

Blickte man im Herbst auf die deutsche Wirtschaft, so wurde klar, dass viele Unternehmensentscheider die DSGVO als einen immensen Störfaktor für ein erfolgreiches Wirtschaften ansehen – gerade und besonders in Zeiten der Corona-Pandemie. Einer Umfrage des Digitalverbands Bitkom zufolge zeigten sich deutsche Unternehmen mit den Vorgaben der Datenschutzverordnung unzufrieden – zahlreiche Anforderungen seien aus praktischer sind nicht vollständig umsetzbar.

Noch immer nicht genug vom Datenschutzjahr 2020? Dann geht es morgen weiter mit Teil 4 des Jahresrückblicks.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.