Liebe Leserinnen und Leser,
wie auch in den vergangenen Jahren führen wir unsere Tradition fort und schauen uns gemeinsam an, welche Ereignisse im Jahr 2021 die Datenschutzwelt bewegt haben. Doch bevor wir einen Blick darauf werfen, lasst uns erst in Stimmung kommen!
„Wie schnell nun wieder ein Jahr verging“ – hört man die Großmutter in uns sing‘n.
Was blieb da alles im Kopf? Nun, die Aufsichtsbehörden werfen alles in denselben Topf.
Zwischen Daten, Schutz und alles Drum und Dran – da kommt der Datenschutzberater ran!
Ist Dein Datenschutz verletzt, so ist Dr. Datenschutz entsetzt.
Hättest Du bloß seine Beiträge gelesen, dann wärst Du aufgeklärt gewesen.
Aber kein Grund zur Sorge, denn heute gibt es eine Nachsorge.
Es ist nie zu spät, wenn der Jahresrückblick vor der Tür steht.
So, let’s start! Previously on Dr. Datenschutz…
Der Inhalt im Überblick
Januar – Wie alles begann…
…leider nicht mit erfreulichen Neuigkeiten. „Für ein digitales Deutschland!“ könnte ein Slogan für politische Werbekampagnen lauten. Am Anfang des Jahres kam dies aber noch nicht so recht in Fahrt. Im konkreten Fall haben wir über die Verspätung der elektronischen Arbeitsunfähigkeitsbescheinigung berichtet. Pandemiebedingte Verzögerungen, das Fehlen der notwendigen Technik und große Herausforderungen für Beteiligte – Tatsachen oder Ausreden? Für Erleichterungen im Alltag mussten Anwender leider noch ein Weilchen warten.
Im Lotto zu gewinnen ist ja schon ein Highlight an sich – doch wie wäre es noch mit zusätzlichem Schmerzensgeld? Ein Traum? Die DSGVO macht es möglich. Wenn keine ausdrückliche Einwilligung zur namentlichen Nennung des Lottogewinners vorliegt, stellt es einen Datenschutzverstoß dar, woraus sich Schmerzensgeldansprüche begründen lassen könnten. Also, wenn Sie das nächste Mal im Lotto gewinnen und ohne Einwilligung Ihr Name veröffentlich wird, können Sie den Jackpot auch in der DSGVO knacken! Und am Rande als Tipp für den Lotterieveranstalter: rüsten Sie sich besser direkt mit einer Einwilligung aus…
Stellen Sie sich mal vor, dass der Verantwortliche i.S.d. DSGVO nach einem verhängten Bußgeld in Höhe von 9,55 Millionen Euro folgende Frage stellt: „Geht noch was am Preis?“. Hier wäre die Antwort der Aufsichtsbehörde direkt: „Wir sind doch nicht auf dem Basar!“ Wenn das Landgericht Bonn aber diesen Dialog mitbekommt, lautet die Antwort: Machen wir 900.000 Euro! – Auch wenn es nicht genau so abgelaufen ist, ist das kein Witz. Das LG Bonn hat im Fall vom Telefon- und Internetriesen 1&1 Telecom GmbH das Bußgeld um mehr als 90 % gekürzt. Hier ging doch definitiv was am Preis! Denn nach Abwägung der Umstände hat sich nämlich ergeben, dass es sich laut dem LG Bonn um einen Datenschutzverstoß mit einem deutlichen Überwiegen mildernder Gesichtspunkte handelte. Berücksichtigt wurden dabei beispielsweise, dass keine sensiblen Daten betroffen waren, es keine Vorgaben für die Authentifizierung in Callcentern gab oder auch dass erstmals ein Bußgeld für das Unternehmen verhängt wurde.
Anders sah es im Fall vom Elektronikhändler notebooksbilliger aus. Das Unternehmen hat für einen Rekord gesorgt – mit 10,4 Millionen Euro bekommt es den ersten Platz für das bisher höchste Bußgeld, welches die Landesdatenschutzbehörde in Niedersachen ausgesprochen hat! Worum es ging? Um die Überwachung der Mitarbeiter über mindestens zwei Jahre und ohne Rechtsgrundlage. Sehr kritisch. Damit wurden erneut Fragen zu den Grenzen einer Videoüberwachung und zur Bußgeldbemessung aufgeworfen.
Februar – In 28 Tagen immer mehr Datenschutz-Fragen
Bußgelder hier, Bußgelder dort… Und wie berechnen die Aufsichtsbehörden das sofort? Diese Frage führt in der unterschiedlichen europäischen Praxis im Zusammenhang mit den verhängten Bußgeldern zu Rechtsunsicherheit. Dafür haben wir mal rüber zu unseren dänischen Nachbarn geschaut, welches Berechnungsmodell sie veröffentlicht haben. Im Vergleich zum deutschen Berechnungsmodell der DSK bestehen grundsätzlich Gemeinsamkeiten. Der größte Unterschied ist jedoch, dass nicht nur der Vorjahresumsatz des Unternehmens bei der Berechnung berücksichtigt wird, sondern viel differenzierter vorangegangen wird. Bemerkenswert sind außerdem die ausdrücklichen Erleichterungen für KMU und die Berücksichtigung von Härtefällen.
Wegen der hohen Teilnehmeranzahl an unserem Webinar Microsoft 365 und dem großen Interesse, war es nicht möglich alle Fragen im vorgegebenen Zeitfenster zu beantworten. In unserem Blogbeitrag Fragen und Antworten sind wir auf offene Fragen näher eingegangen. Vielleicht haben Sie ja genau die Frage im Kopf, die im Blogbeitrag beantwortet wird… Ein Blick in die Antworten löst das Rätsel.
In einem unserer Beiträge haben wir thematisiert, wie Datenschutzvorfälle mit technischen Maßnahmen abgefangen werden. Die ausgewählten Maßnahmen sind die Mindestanforderungen, die sich auf Worst-Case-Szenarien beziehen und die Priorität von Sicherheitsvorkehrungen darstellen. Denn sind diese Maßnahmen in Ihrem Unternehmen nicht implementiert, so geben Sie Angreifern mit bösen Absichten ein Freiticket – und das für den nächsten Thriller-Film, wo Ihr Unternehmen die Hauptrolle spielt.
Hurra! Im Februar konnten wir uns über das Voranschreiten der Digitalisierung freuen und haben die elektronische Patientenakte unter die Lupe des Datenschutzes genommen. Patientenakten bedeuten Gesundheitsdaten. Und Gesundheitsdaten bedeuten…? Alarmglocken: Besondere Kategorien von personenbezogenen Daten! Aber keine Sorge, der Datenschutz dient hier nicht als Spaßbremse, sondern soll den Schutz sensibler Gesundheitsdaten wahren. Denn die Vorteile eines digitalisierten Gesundheitswesens dürfen den Schutz sensibler Daten nicht in den Schatten rücken. Dafür zu sensibilisieren gehört auch zu den Leitsätzen von Dr. Datenschutz.
Daten müssen gelöscht werden: Grundsatz der Datenminimierung, Löschbegehren des Betroffenen etc. Und nun folgt eine fristlose Kündigung wegen einer Datenlöschung?! Das scheint ja immer komplizierter zu werden hier im Datenschutzrecht… Naja, eigentlich nicht – wenn man einen Blick auf das Urteil des Landesarbeitsgericht (LAG) Baden-Württemberg wirft. Nachdem der Arbeitnehmer von seinem Arbeitgeber erfährt, dass er das Arbeitsverhältnis beenden möchte, löscht er eine Datenmenge von 7,48 GB vom Unternehmensserver. Es soll sich dabei lediglich um ein „Aufräumen“ gehandelt haben. Naja, darunter könnte man sich aber besser andere Motive vorstellen… Für das LAG war es eindeutig ein unbefugtes und vorsätzliches Löschen betrieblicher Daten des Arbeitgebers.
März – Mit dem Erwachen der Blüten sind die Daten zu schützen
Google und der Datenschutz: ein Traumpaar. Alle Augen sind auf sie gerichtet und was passiert? Durch eine neue Milliardenklage gegen Google schweben graue Wolken auf. Daran ist doch nur der Datenschutz schuld! Wir sind ja nun keine Paparazzi und deswegen geht ihre Beziehung uns im Grunde nichts an… Halt! Was ist denn überhaupt zwischen den Beiden vorgefallen? Trotz des Inkognito-Modus wurden eine Menge persönlicher Daten von Nutzern gesammelt – ohne hierbei den Informationspflichten nachzukommen. Da ist der Datenschutz vielleicht doch nicht so toxisch, wie es einige meinen…
Im März ist uns eine App mehrmals in den Radar gefallen. Die einen loben sie, die anderen kritisieren sie. Die Kontaktnachverfolgungs-App „luca“. Lobenswert sei, dass persönliche Daten, z.B. bei Restaurantbesuchen, nicht mehr in offene Kontaktlisten eingetragen werden müssten und gleichzeitig das Ziel einer besseren Nachvollziehbarkeit für Ansteckungsketten verfolgt werde. Dem gegenüber stehe jedoch die Intransparenz und Bedenken zur Sicherheit.
Am Ende des Monats März haben wir die Stellungnahme des DSK vom 26.03.2021 dazu näher betrachtet. Eine Bereicherung für die datenschutzrechtliche Bewertung der App war die Stellungnahme zwar nicht. Probleme zu thematisieren, die bereits bekannt sind, haben leider keinen Mehrwert für die Diskussion. Was die DSK mit der Stellungnahme aussagen möchte und welchen Standpunkt sie hat, bleibt Interpretationssache: Ist die App datenschutzrechtlich nun in Ordnung? Aber wenn der Schutz durch Systemanpassungen erhöht werden muss, ist der Schutz also doch unzureichend? Soll die App wohl nicht datenschutzkonform sein, aber will die DSK das so explizit nicht sagen? Zu viele Fragen, zu wenig Antworten. Was am Ende übrig blieb, ist die Aufforderung zu gesetzlichen Regelungen für die bundeseinheitliche Nutzung von digitalen Kontaktnachverfolgungsmöglichkeiten.
Die Pandemiebedingungen führten dazu, dass das Studentenleben sich so ähnlich wie im Klassiker „1984“ von George Orwell abspielte. Prüflinge mussten während der Online-Klausuren durchgängig ihre Kamera und ihren Ton einschalten, sowie ihren Bildschirm teilen. All das wurde zusätzlich noch aufgezeichnet. Daraufhin hat ein Student einen Eilantrag für die vorläufige Untersagung der Aufzeichnung sowie Speicherung eingereicht. Das Oberverwaltungsgericht hat diesen abgelehnt. Somit blieb die Videoaufsicht bei Online-Klausuren weiterhin erlaubt. Uns bleibt da nur zu sagen: Big Brother Prof is watching you…
Neugierig, welches Corona-Testergebnis jemand hat? Dafür müssen Sie nur die Nummer in der URL einer Webseite für Corona-Testzertifikate ändern und schon haben Sie Zugriff auf das Ergebnis sowie auf weitere personenbezogene Daten bisher unbekannter Personen. Eine IT-Sicherheitslücke hatte das im Fall der Software SafePlay ermöglicht. Was lernen wir also daraus: bei der Umsetzung der IT-Sicherheit auf effektivere Maßnahmen zugreifen, anstatt unkreativ fortlaufende Nummern bei den URLs zu verwenden.
Mit 100 km/h in der Stadt gefahren und geblitzt? Der Datenschutz kann Ihren Tag trotzdem versüßen, denn die Bußgeldermittlung könnte als Datenschutzverstoß gelten. Dafür muss die Verkehrsbehörde ungeduldig sein und voreilig die Daten des Fahrzeughalters abfragen, bevor der Anhörungsbogen überhaupt vorliegt. Wenn der Fahrer des Fahrzeugs somit noch nicht festgestellt wurde, ist die automatisierte Abfrage beim Kraftfahrtbundesamt wegen früheren Verkehrsverstößen nicht erforderlich und ggf. datenschutzwidrig. Im Ergebnis könnten Verkehrssünder erheblich profitieren. Von der Reduzierung des Bußgeldes bis hin zur Einstellung des Bußgeldverfahrens sind Minderungen bei Verstößen möglich.
Warnung: Verkehrsdelikte sind keine Kavaliersdelikte. Bitte hier nicht vom Datenschutz ermutigen lassen!
So fing also das Jahr 2021 an. Mal mussten wir schmunzeln, mal waren wir etwas empört und das andere Mal wurden wir überrascht. Doch was ist in den anderen Monaten passiert? Morgen geht es weiter mit dem Jahresrückblick – Teil 2!