Das Jahr 2021 ging ereignisreich in Sachen Datenschutz weiter. Blicken wir gemeinsam auf einen spannenden Sommer zurück.
Der Inhalt im Überblick
Juli – Corona ist (immer noch) ein Thema
Wie auch im vergangenen Jahr prägten 2021 datenschutzrechtliche Fragestellungen in Bezug auf Corona unser Bewusstsein. So stellten sich viele Arbeitnehmer:innen die Frage, ob der Chef oder die Chefin sich zum Impfstatus bei der Belegschaft erkundigen darf. Die aktuelle 3G-Regelung, macht diese Frage zwar hinfällig, dennoch lohnt sich ein Blick auf die Erwägungen und datenschutzrechtlichen Probleme, die diese Frage aufwarf. Dabei wurde insbesondere die Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten sowie die Erforderlichkeit der Datenverarbeitung angezweifelt. Bei dem ständigen Zwiespalt zwischen Datenschutz und Pandemiebekämpfung ist es nicht verwunderlich, dass man Kopfschmerzen als Datenschützer:in bekommt.
Genug Corona für diesen Monat. Stattdessen wagen wir einen kleinen Exkurs in die spannende Welt der IT-Forensik. Ein Fall hat vor allem unsere Forensiker beschäftigt: der Angriff der Hackergruppe REvil auf das Unternehmen Kaseya. Kaseya hat vielen IT-Unternehmen eine Anwendung zur Verfügung gestellt und daher weitreichende Verflechtungen in die Wirtschaftswelt. Diesen Umstand und die Sicherheitslücke in der Anwendung nutzten Hacker aus. REvil forderte zur Entschlüsselung der Daten eine Rekordsumme von 70 Mio. Dollar. Hackerangriffe waren im Jahr 2021 keine Seltenheit. Auch der Hafnium-Angriff hinterließ viele machtlose Unternehmen. Im Zuge der steigenden Digitalisierung sämtlicher Lebensbereiche bleibt zu erwarten, dass Hackerangriffe 2022 wieder auf dem Plan stehen werden. Unser Tipp für den Neujahrsvorsatz: Implementierung eines Incident Response Managements.
Inzwischen ist es ein beliebtes Mittel, um an Daten von potenziellen Kunden zu gelangen: Ich biete dir diese scheinbar kostenlose Leistung an, verlange aber im Gegenzug deine E-Mail-Adresse, Telefonnummer und dein Erstgeborenes. Doch gute Nachrichten: Ab 2022 gilt für diese Art von Verträgen der Verbraucherschutz. Die Änderung betrifft vor allem das BGB und erfolgt im Zuge der Umsetzung einer europäischen Richtlinie. Wir sagen, dass die Zahlung mit personenbezogenen Daten keinen Widerspruch zum Kopplungsverbot im Datenschutz darstellt, sondern vielmehr mit dem zivilrechtlichen Grundsatz der Privatautonomie vereinbar ist. Welche datenschutzrechtlichen Auswirkungen das Gesetz letztlich haben kann, wird sich im neuen Jahr zeigen.
Kein Sommer ohne einen Bußgeld-Skandal. Dieses Mal traf es den Essenslieferdienst Foodinho mit einem satten Bußgeld in Höhe von 2,6 Mio. Euro. Das Unternehmen setzte in einer Software einen Algorithmus ein, der die datenschutzrechtlichen Anforderungen an das Profiling nicht erfüllte. Zudem wurden die Beschäftigten nicht ausreichend über die Verarbeitung ihrer personenbezogenen Daten informiert.
August – Nationaler und internationaler Datenschutz
Die Merkel-Ära neigte sich dem Ende und die Bundestagswahl stand bald an. Wir nahmen dies zum Anlass, in unserem Bundestagswahl-Check die Pläne der Parteien in Bezug auf den Datenschutz genauer unter die Lupe zu nehmen. Wir werden gespannt beobachten, welche Pläne die Ampel-Koalition im neuen Jahr für uns bereithält und ob die Digitalisierung in Deutschland die versprochenen Entwicklungssprünge machen wird.
Aber nicht nur in Deutschland nahm der Datenschutz einen bedeutenden Stellenwert ein. Großbritannien hat nach dem Brexit nicht genug und sorgte mit den Schlagzeilen zu einem eigenständigen Datenschutzrecht für Angst und Schrecken. Die Pläne sind ambitioniert und der bereits bröckelnde Angemessenheitsbeschluss angesichts der Zugriffsmöglichkeiten durch britische Geheimdienste wird weiter angezweifelt. Auch die chinesische Regierung hält weiterhin an der Idee des gläsernen Bürgers fest. Hier kann nicht einmal das vermeintlich strengste Datenschutzgesetz der Welt große Abhilfe schaffen und das Image des Überwachungsstaates aufpolieren.
Apropos Image: Mit einem Imageproblem in Sachen Datenschutz hat die Videokonferenzsoftware Zoom schon seit einiger Zeit zu kämpfen. Im August warnte der Hamburgische (Interims-)Datenschutzbeauftragte Kühn die Hamburgische Senatskanzlei vor dem Einsatz von Zoom. Grund dafür sei insbesondere die mangelhafte Vereinbarung zur Auftragsverarbeitung. So wurde beispielsweise eine umfassende Löschung der verarbeiteten personenbezogenen Daten nach Vertragsende ausgeschlossen und neue Sub-Auftragsverarbeiter pauschal genehmigt. Der Einspruch gegen Unterauftragsverarbeiter ist für den Verantwortlichen faktisch unmöglich. Eine umfassende und hilfreiche Bewertung verschiedener Videokonferenztools hat beispielsweise die Berliner Aufsichtsbehörde zur Verfügung gestellt.
Nicht nur Zoom, sondern auch der Tech-Gigant Apple wurde datenschutzrechtlich mit Argusaugen beobachtet. Das Unternehmen wirbt inzwischen fleißig mit der Datenschutzkonformität und Sicherheit seiner Geräte. Kann denn die Sprachassistentin Siri mehr in Sachen Datenschutz als andere KI-gestützte Sprachassistent:innen wie Amazon’s Alexa? Wir haben uns dieses einmal genauer angesehen und herausgefunden, dass auch hier die Datenverarbeitung durch Siri mit Vorsicht zu genießen ist. Ähnlich steht es mit Apples Vorhaben, Endgeräte auf kinderpornografische Inhalte zu scannen. Das Ziel ist selbstverständlich der Kinderschutz. Leider ist das Mittel aber datenschutzrechtlich nicht unproblematisch. Nutzer:innen werden sich vermutlich nicht freiwillig einem vollständigen Scan ihrer Smartphones und Laptops unterziehen wollen.
September – Spannende Urteile der Gerichte
Auch der September war überraschend ereignisreich für die Datenschützer:innen.
Das „Schrems II“-Urteil lässt uns nicht so schnell wieder los. Den Weg zu mehr Rechtssicherheit können weitere Urteile wie das des Belgischen Staatsrats ebnen, der die EDSA Maßnahmenempehlungen zur sicheren Übermittlung von personenbezogenen in einem Urteil ausdrücklich annahm. So sei eine Verschlüsselung bei der Nutzung der Server des US-Anbieters AWS eine geeignete Maßnahme, um Daten von EU-Bürgern zu schützen. Leider kann nicht beurteilt werden, wie tiefgehend die Überprüfung der Verschlüsselungstechnik erfolgte. Letztlich müssen Verantwortliche bei einer Datenübermittlung in Drittländer auch das sogenannte Transfer Impact Assessment Schritt-für-Schritt befolgen, um das datenschutzrechtliche Niveau im Empfängerland vor der Übermittlung zu überprüfen.
Das Kopplungsverbot war bereits im Juli bei dem „Zahlen mit Daten“-Prinzip ein Thema. Das Paradebeispiel des Kopplungsverbots, die Teilnahme am Gewinnspiel gegen den Bezug eines Newsletter-Abos, hat durch eine Stellungnahme des LDI NRW im Tätigkeitsbericht mehr Rechtssicherheit erfahren können. Denn anders als das OLG Frankfurt wird diese Datenverarbeitung nicht auf die Einwilligung, sondern auf den Vertragsschluss nach Art. 6 Abs. 1 lit. b DSGVO gestützt. Die Argumentation ist sicherlich vertretbar.
Eine weiteres Urteil wird für Student:innen sicherlich nicht uninteressant gewesen sein. Das Oberverwaltungsgericht Münster gab der Klage eines Examenskandidaten statt, über die örtliche Einsichtnahme hinaus vom Landesjustizprüfungsamt NRW die unentgeltliche Zusendung von Kopien seiner Aufsichtsarbeiten inklusive Prüfergutachten in elektronischer Form oder auf postalischem Wege zu erhalten. Eine mögliche Verwaltungsgebühr wurde hier nicht als angemessen angesehen. Somit ist der Anspruch auf Auskunft weit auszulegen und vor allem unentgeltlich, um die Ausübung der Betroffenenrechte nicht zu erschweren.
Die Themen aus den Monaten Juli, August und September des Jahres 2021 haben uns regelrecht auf Trab gehalten. Lesen Sie morgen, was die letzten Monate dieses Jahres für die Datenschutzwelt bereithielten.
