Heute folgt der zweite Teil unseres Datenschutz-Jahresrückblicks für die Monate April bis Juni 2021.
Der Inhalt im Überblick
April – Corona ist immer noch
Vorhergesagt war es – erhofft haben wir es uns doch anders: auch gut ein Jahr nach der Ankunft von Corona in Deutschland hat uns das Virus noch fest im Griff. Laufend neue Ministerkonferenzen mit neuen Beschlüssen und daraus resultierend ständig neue Regelungen waren (nicht nur) im April 2021 Alltag. Das Staatsprinzip Föderalismus war im Rahmen der Pandemiebekämpfung auf einmal hochgradig streitbar, denn nicht nur änderten sich Verordnungen teilweise sogar mehrfach in der Woche, auch hatte jedes der 16 Bundesländer eigene Rechtsverordnungen. Für das täglich Brot des Datenschutzberaters war es besonders müßig, beriet man ein Unternehmen mit Standorten in mehreren Bundesländern.
Im April 2021 kam in manchen Bundesländern ein weiteres datenschutzrelevantes Thema dazu, das uns auch heute wieder auf Trab hält: die Arbeitgebenden mussten ihren Beschäftigten nun ein kostenloses Covid-19-Schnelltest-Angebot machen. Neben Hamburg, Bremen und Sachsen hatte auch Berlin eine Selbsttest-Regelung eingeführt, wobei sich die konkrete Ausgestaltung der Normen erheblich unterschied. Bei der Frage, ob ein Arbeitgebender von Beschäftigten die Durchführung von Selbsttests durchführen kann, war die Antwort daher zumeist: „Es kommt darauf an“. In diesem Zusammenhang stellten sich im Übrigen schon im zweiten Quartal des Jahres die Frage: Darf der Arbeitgeber nach dem Impfstatus fragen oder ob es eine arbeitsrechtliche Pflicht zur Nutzung von Corona-Warn-Apps gibt – Fragen, die aktueller denn je sind.
Ebenfalls im zweiten Quartal 2021 wurde ein ungeheuerliches Datenleck bei Facebook bekannt, das trotz seines schier unfassbaren Ausmaßes wohl in den Köpfen der Meisten schon in den ständigen Datenleck-Nachrichten untergegangen ist. Anfang April wurde in einem Hacker-Forum eine Liste mit Handynummern von über einer halben Milliarde Menschen veröffentlicht (in Zahlen: 533.000.000.000!). Darunter vertreten waren übrigen auch 54 Abgeordnete des Bundestags. Fast schon zynisch amüsiert muss man da auf die Reaktion Facebooks schauen: der Social-Media-Gigant gab an, es bestehe kein Überblick, welche Nutzer:innen überhaupt zu benachrichtigen wären. Eine Chance das Problem zu lösen hätten die Nutzer:innen sowieso nicht und die Daten seien nun halt schon öffentlich, weshalb man sich den Aufwand von Unternehmensseite gleich sparen könne. Wenn das mal keine schlagende Argumentation ist!
Im Zusammenhang mit Facebook, darf ein Name nicht fehlen: Max Schrems. Im April 2021 wurde bekannt, dass der österreichische Datenschutz-Aktivist nun gegen das Tracking von Google vorgeht. Der Kreis der Betroffenen eines Urteils hierzu wäre enorm, denn der überwiegende Anteil der Nutzer:innen von Smartphones haben das Android-System installiert und sind so von dem Google Tracking betroffen.
Leider kein Aprilscherz war das Folgende: Ein Restaurant der chinesischen Kette Haidilao Hot Pot in Kanada installierte über 60 Kameras in seinem Restaurant. Die Kameras nahmen ganze 30 Tische ins Visier – also 2 Kameras pro Tisch. Da stellt sich doch die Frage: Warum genau? Die Antwort des Restaurantbesitzers offenbarte Erschreckendes. Die Überwachung erfolge auf Wunsch der Konzernmutter und diene der Umsetzung des Social-Credit-Systems, das es in China seit 2014 partiell gibt. Das Social-Credit-System ist der Versuch der totalen Kontrolle der Zivilbevölkerung. Jedes Handeln des Bürgers im öffentlichen Raum wird (video-)überwacht, jedes Fehlverhalten protokolliert, bewertet und veröffentlicht. Das eigentlich Tragische an dem Fall die Reaktion der kanadischen Datenschutzbehörde. Nach dieser sei die Einwilligung ein zentrales Element des Datenschutzes. Da die Mitarbeitenden teils chinesische Staatsbürger wären, sei nicht ersichtlich, dass die nach kanadischem Recht den Schutz ihrer Daten verlangen würden. Das Einwilligen an sich kenne ein totalitäres Regime nicht. Zu den Besucher:innen des Restaurants wurde sich gar nicht erst geäußert. Da kann man nur hoffen, dass ein solches Vorgehen kein Exportschlager wird.
Bei der gerichtlichen Geltendmachung von Schadensersatzansprüchen aus der DSGVO kommt man um die Beachtung des Zivilprozessrechts nicht drum herum. Das Oberlandesgericht Stuttgart hat nun entschieden, dass ein auch beim Schadensersatz aus dem Datenschutzrecht bei den allgemeinen Regeln des Zivilprozesses zur Darlegungs- und Beweislast bleibt. Für Unternehmen, denen die sekundäre Beweislast zukommt, bedeutet das insbesondere eine umfassende Dokumentation der Maßnahmen, die zur Erfüllung des Datenschutzes herangezogen werden.
Mai – Datenschutz im Zeichen der Immobilienwirtschaft
Videoüberwachung ist ein brisantes Thema, erst recht, wenn sie wortwörtlich vor der eigenen Haustür stattfinden soll. Ist Vandalismus ein Problem, liegt das Aufzeichnen des Eingangsbereichs des Mietshauses nicht fern. Nach einem Hinweis des Berliner Beauftragten für Datenschutz und Informationssicherheit könne der Einsatz von Videoüberwachungsanlagen zur Wahrnehmung berechtigter Interessen zulässig sein, sofern keine Anhaltspunkte bestehen würden, dass schutzwürdige Interessen der Betroffenen überwiegen. Überwiegend schützenswert seien insbesondere die Innenbereiche von Mehrfamilienhäusern – na ein Glück! Essenz ist also, dass eine Interessenabwägung stattfinden muss. Neben räumlichen und zeitlichen Aspekten spielt hier auch hinein, ob Kinder betroffen sind und, ob es nicht mildere Mittel gibt als eine Videoüberwachung.
Um den schon angesprochenen höchst angespannten Wohnungsmarkt in Städten nachzuvollziehen, hat die Stadt Köln von dem Betreiber einer Onlineplattform Auskunft über die bei ihm registrierten Anbieter verlangt. Konkret verlangte die Stadt die Anschrift aller registrierter Beherbergungsbetriebe und den jeweiligen Zeitpunkt, seitdem die Beherbergungen angeboten werden. Denn – so vermutete die Stadt Köln wohl nicht ganz zu Unrecht – es bestehe die Gefahr, dass eine hohe Anzahl von Anbietern das durch die Vermietung zusätzliche Einkommen nicht versteuern. In Zeiten, in denen man ganz einfach auf verschiedenen Plattformen auf „Gastgeber werden“ klicken kann und sich unkompliziert registrieren kann, ist diese Gedanke wohl nicht ganz abwegig. Das Oberverwaltungsgericht Münster bestätigte die diesbezüglichen Ausführungen der Vorinstanz und gab der Stadt Recht. Im Gegensatz zum chinesischen Videoüberwachungs-Restaurant konnte man sich hier fast Nachahmer wünschen.
Doch auch neben dem Datenschutz in der Immobilienwirtschaft gibt es viel Berichtenswertes aus dem Mai 2021. Stetig diskutiert wird beispielsweise das Thema „Überwachung am Arbeitsplatz“ – diesmal mit dem Hintergrund des GPS-Trackings bei Lieferando. Lieferando soll seine Mitarbeitenden seit Jahrens systematisch überwacht haben. Hierfür soll das Unternehmen die App „Scoober“ genutzt haben. Pro Lieferung eines Fahrer wurden hier 39 Datenpunkt erhoben. Ob ein solches Vorgehen nicht unangemessen ist? Vertreter:innen der Arbeitnehmenden äußern sich entsprechend. Beigepflichtet wird ihnen seitens der deutschen Aufsichtsbehörden. In die Glaskugel geschaut, ist die Frage damit wohl eher: „Wie hoch wird das Bußgeld sein?“ und nicht „Wird es ein Bußgeld geben?“.
Das Oberlandesgericht Dresden hat zur hinreichenden Bestimmtheit eines Unterlassungsanspruchs geurteilt. Kern der Urteilsgründe ist die Aussage, dass es nicht ausreicht, lediglich die Unterlassung der Verarbeitung von personenbezogenen Daten zu verlangen. Schön, dass das nun auch geklärt ist – auch, wenn man wohl schon § 253 Abs. 2 Nr. 2 ZPO so entnehmen kann.
Ein Urteil, welches aus der klassischen Kombination Arbeitsrecht und Datenschutzrecht besteht, ist im Mai vom Arbeitsgericht Aachen entschieden wurden. Das Gericht hat klargestellt, dass das unberechtigte Durchsuchen sowie die Weitergabe von privaten E-Mails und Chatverläufen von Kollegen ein Grund zur Kündigung sein kann. Gleichzeitig wurde auch herausgearbeitet, dass nicht jeder Verstoß zwingend zu einer fristlosen Kündigung führen darf. Es bedarf immer der Prüfung im Einzelfall.
Juni – die neuen SCCs sind da!
Das über die Datenschutz-Welt hinaus berühmt Urteil Schrems II des Europäischen Gerichtshof vom 16. Juli 2020 gab der Europäischen Kommission Anlass dazu, die Standardvertragsklauseln zu erneuern. Denn der Europäische Gerichtshof erklärte nicht nur den Angemessenheitsbeschluss „EU-US Privacy Shield“ für die Datenübermittlung in die USA für ungültig. Auch konkretisierte er die Anforderungen an Datenübermittlungen in Drittländer aus den Art. 44 ff. DSGVO folgen. Eine der weitreichendsten Änderungen ist die Klausel 14: Ist ein Datentransfer in ein Drittland erlaubt, ist das Rechtsniveau des Datenschutzes in dem Drittland zu untersuchen. Genügt der Datenschutz des Drittstaats einem europäischen Datenschutzniveau nicht, sind zusätzliche Maßnahmen zum Schutz personenbezogener Daten zu ergreifen. Die damit verbundene Arbeit wird allen Unternehmen und Datenschutzberatenden auch über das Jahr 2021 hinaus viel Arbeit und zuweilen wohl auch Kopfzerbrechen bereiten.
Auch im Juni ist noch Corona: Besondere Zeiten machen besondere Maßnahmen notwendig, könnte man meinen. Doch einige Ideen können wohl rückwirkend als „etwas über das Ziel hinausgeschossen“ bezeichnet werden. Am 17. Juni 2021 hat sich der Stuttgarter Gemeinderat für ein Distanztracker-Projekt in Clubs ausgesprochen. Was heißt das? In dem am Projekt teilnehmenden Clubs sollten die Feiernden einen Schlüsselanhänger ausgehändigt bekommen, die einen Tracker beinhalten. Tanzen die Besucher zu dicht zusammen, fängt der Tracker an zu piepen oder vibriert. Bei einer Infektion sollten die Daten helfen, eine Kontaktverfolgung zu ermöglichen. Dazu bleibt wohl nur zu wiederholen:
„Yeah, endlich wieder Party! Ja. Aber will ich dabei tatsächlich von einem Abstandsmesser kontrolliert werden?“
Die politischen Änderungen auf dem europäischen Kontinent haben häufig auch Auswirkungen auf den Datenschutz. Ein Beispiel hierfür ist der Brexit. Seit dem 1. Januar 2021 sind die Briten kein Mitglied mehr der Europäischen Union. Folglich stellt das Königreich nun ein sogenanntes Drittland dar. Es sind die Vorschriften der Art. 44 ff. DSGVO zu beachten. Seit Juni müssen Datenschützer glücklicherweise aber kein Transfer Impact Assessment für Großbritannien durchführen, denn die EU-Kommission hat für UK einen Angemessenheitsbeschluss nach Art. 45 Abs. 3 DSGVO erlassen.
Auch im Jahr 2021 wurde im Autoland-Deutschland viel über das Thema Verkehr gesprochen – nicht jedoch im Zusammenhang mit dem Datenschutz. Anders ist dies jedoch in Lettland: bis zum Juni 2021 war es unproblematisch möglich sich über die Verkehrsverstöße des Nachbarn zu informieren. Ins deutsche System übertragen heißt das, jeder konnte in „Flensburg“ anrufen und sich über den aktuellen Punktestand vo Nachbarn, Freunden und Familie erkundigen. Der Europäische Gerichtshof hat dieser Praxis nun einen Riegel vorgeschoben – dem Datenschutz sei Dank!
Und vom „Verkehrführungszeugnis“ hin zum digitalen Schulzeugnis: Ein Gesetz verpflichtet Bund, Länder und Kommunen bis Ende 2022 (!) ihre Leistungen auch über digitale Verwaltungsportale anzubieten. Eine Testphase sollte für die Pilot-Bundesländer Nordrhein-Westfalen, Berlin und Rheinland-Pfalz bereits diesen Sommer beginnen. Vielen Fragen, insbesondere rund um das Thema Archivierung der Zeugnisse waren bis dato aber noch gar nicht geklärt. Aber warum sollte es in Schulen anders sein als in Deutschland generell: Der Weg zur Digitalisierung ist noch weit.
Morgen geht es weiter mit den Monaten Juli bis September im Jahresrückblick 2021 – Teil 3.
