Während draußen die bunten Blätter von den Bäumen fielen und das Jahr sich langsam dem Ende zuneigte, ging es in der Datenschutzwelt mit vielen Themen auch im 4. Quartal unbeirrt weiter. Im letzten Teil des Jahresrückblicks 2021 fassen wir noch einmal unsere interessantesten Blogbeiträge aus den Monaten Oktober bis Dezember zusammen.
Der Inhalt im Überblick
Oktober – Fallen Leaves
Der Oktober ist in der Datenschutz und IT-Sicherheitswelt auch der „European Cyber Security Month“ (ECSM), der jährliche Aufklärungsmonat zum Thema Cybersicherheit unter der Federführung der europäischen IT-Sicherheitsbehörde ENISA. Als anerkannter APT-Response-Dienstleister des BSI haben wir dieses Jahr mit der Ausrichtung eines kostenlosen Webinars zum Thema „Erste Hilfe im IT-Sicherheitsvorfall – Maßnahmen und Prävention durch digitale Forensik“ teilgenommen. Unter die Lupe genommen wurden sowohl Vorgehensweisen und Prozesse infolge eines IT-Sicherheitsvorfalls, als auch die sog. „präventive Forensik“ als Vorbereitung der Handlungsfähigkeit bei einem Vorfall. Das Feedback der vielzähligen Teilnehmer war sehr positiv und wir konnten einen – sicherlich auch Corona-bedingten – Focus auf die Themen „Cloud“ und „Homeoffice“ feststellen.
Was passieren kann, wenn die Sicherheit zentraler Datenbanken nicht gewährleistet ist, zeigten wir mit einem Beispiel aus Argentinien auf: Die Ausweisdaten von 45 Millionen Bürgern waren im Darknet angeboten worden. Wie sie in die Hände Dritter gelangen konnten, ist offiziell fraglich. Während das argentinische Innenministerium betonte, es habe einen Zugriff über VPN gegeben, von dem die Datensätze von lediglich 44 Personen betroffen gewesen seien, erklärte der Hacker selbst, er sei durch unvorsichtige Behördenmitarbeiter an die Daten gelangt. Dieser Beitrag sensibilisiert hinsichtlich eines „Zentralisierungswahns“ von Daten auch bei uns und weist auf die dringende Notwendigkeit einer verlässlichen IT-Sicherheitsstrategie bei der Digitalisierung – nicht nur in der Verwaltung – hin.
Außerdem begannen wir im Oktober innerhalb unserer Serie „ISMS & DSGVO“ mit einer Reihe von Praxisartikeln, die den Aufbau eines Informationssicherheitsmanagementsystems bei Unternehmen beschreibt, wobei wir uns im ersten Artikel zunächst einmal dem Begriff des „ISMS“ genähert haben. Fast immer sind es externe Vorgaben, die an die Unternehmen von außen herangetragen werden, die sie zur Einführung eines ISMS veranlassen, sei es regulatorischer oder rechtlicher Art, oder in Form von Kundenanforderungen (z.B. Tisax). Im Idealfall wird ein Informationssicherheitsbeauftragter mit der Implementierung des Systems, aber auch dessen Bewahrung und Fortentwicklung befasst. Kommen der Wille des Managements und die notwendigen Ressourcen hinzu, steht einer erfolgreichen Implementierung nichts mehr im Wege, so das Fazit des Artikels.
Einen großen Schock gab es für Facebook-/Instagram bzw. WhatsApp-Nutzer Anfang Oktober und damit in einigen Teilen Deutschlands mitten in den Herbstferien: Über 6 Stunden lang konnten sie nicht mehr auf ihre Accounts zugreifen, Nachrichten konnten nicht mehr versandt werden. Nach Aussage von Facebook waren die Probleme auf ein Konfigurationsproblem zurückzuführen und Nutzer weltweit waren betroffen. Wir fragten uns daraufhin, ob mit dem Totalausfall womöglich ein meldepflichtiger Datenschutzvorfall vorgelegen hat.
Zum Auskunftsanspruch gem. Art. 15 DSGVO gab es allein im Monat Oktober mehrere Entscheidungen, von denen wir berichtet haben, meistens aus den Instanzen. Eine höchstrichterliche Entscheidung des BGH vom 15.07.2021 (V ZB 53/20) war dabei, mit dem das höchste deutsche Zivilgericht feststellte, dass z.B. (wie in diesem Falle) ein Zwangsverwalter gegenüber einem Schuldner für die verlangte Beauskunftung keine separate Vergütung verlangen kann, sondern auch hier Art. 12 Abs. 5 DSGVO gilt, der die Unentgeltlichkeit verlangt. Der Zwangsverwalter kann die Kosten dann „wieder reinholen“, indem er sie als Teil der Vollstreckungskosten ansetzt. Einiges ist zum Art. 15 DSGVO bereits entschieden, vieles wird noch folgen.
November – November Rain
Der November lieferte uns standesgemäß viel Regen, Dunkelheit und lange Abende. Zeit, die Sie damit füllen konnten, unsere Blogartikel intensiv zu verfolgen. So informierten wir mit einem ersten Artikel unserer Reihe „Datenschutz-Zertifizierung nach ISO 27701“ zunächst über die ISO 27701 selbst. Wichtig in diesem Zusammenhang ist, dass die ISO 27701 als spezielle Datenschutz-Zertifizierung als Annex zur ISO 27001 zu sehen ist. Wir erwarten insofern für das Jahr 2022 die tatsächliche Zertifizierungsmöglichkeit, wenn die ersten Unternehmen von der deutschen Akkreditierungsstelle dafür akkreditiert sein werden. Es ist aus unserer Sicht sinnvoll, die ISO 27701 jeweils mit im Blick zu haben, entweder von vornherein bei der Installation eines ISMS oder als Add-on. Eine Implementierung bietet zumindest den Vorteil, den Nachweis des DSGVO-konformen Umgangs mit personenbezogenen Daten zu erleichtern.
Außerdem nehmen wir verstärkt beliebte Tools unter die Lupe und bewerten sie datenschutzrechtlich. Im November haben wir uns unter anderem WhatsApp als eine der beliebtesten Apps überhaupt näher angeschaut – und das wurde umfangreich. Ein datenschutzrechtliches Problem des Tools liegt darin, dass bei der Nutzung von WhatsApp die Telefonbuchkontakte des Nutzers an Facebook (bzw. nun mittlerweile Meta) ohne eine Einholung von Einwilligungen der Betroffenen weitergegeben werden. Problematisch ist dies vor allem bei Diensthandys, für die verschiedene Lösungen denkbar sind. Vor allem bei privat und dienstlich genutzten Handys sollte man mit einer Containerlösung arbeiten. Eine Unterbindung der Datenübertragung an Meta ist zwar grundsätzlich möglich, hätte aber zur Folge, dass die Namen der eigenen Kontakte in WhatsApp gar nicht mehr angezeigt werden, sondern nur noch Nummern – für die Praxis also eher untauglich. Die von uns in dem Artikel dargestellte Nutzung der Daten lässt sich in Art und Umfang hier kaum knapp zusammenfassen. Klar ist jedoch, dass der komplexen Datennutzung seit Beginn der DSGVO kein Einhalt geboten wird. Deutsche Aufsichtsbehörden sind unzuständig und die irischen Behörden sind weitestgehend untätig, auch wenn WhatsApp dieses Jahr durch die Verhängung des zweithöchsten jemals verhängten DSGVO-Bußgeldes in Höhe von 225 Millionen Euro glänzte, unter anderem wegen Intransparenz. Neun weitere Verfahren laufen in Irland noch, zudem beschäftigt Meta die deutsche und europäische Justiz in mehreren Verfahren. Auch ohne Glaskugel daher: 2022 werden wir weiter mit Meta zu tun haben.
Schon nach 5-monatiger Existenz der neuen SCCs ein Artikel unter dem Stichwort „Bestandsaufnahme“ – das zeigt, wie sehr uns das Thema dieses Jahr beschäftigt hat. Am 07. Juni 2021 hatte die EU-Kommission die neuen Standardvertragsklauseln (Standard Contractual Clauses – SCC) erst verabschiedet, auf die insbesondere nach der Schrems II-Entscheidung des EuGHs vom 16.07.2020 eine Vielzahl von Drittstaatentransfers personenbezogener Daten gestützt wird. Am 27.09.2021 war nun die erste Frist abgelaufen, die die Kommission hinsichtlich der neuen SCCs beschlossen hatte: Ab diesem Tag sind für alle entsprechenden Neuverträge die neuen SCCs zu verwenden – für uns war es ein Grund zu schauen, wie sich die nationalen Aufsichtsbehörden mittlerweile zu den Vorgaben positioniert haben. Wir stellten fest, dass diese ein besonderes Augenmerk auf die Klauseln 14 (Notwendigkeit eines Transfer Impact Assessment – TIA) und 15 (Verpflichtung des Datenimporteurs zum Vorgehen gegen Auskunftsersuchen nationaler Behörden) der SCCs legen. Im Gleichklang fordern die nationalen Aufsichtsbehörden vor einem Drittlandstransfer eine Untersuchung der jeweiligen nationalen Rechtslage in dem Drittland und ggf. zusätzliche Maßnahmen zur Herstellung eines mit der DSGVO vergleichbaren Datenschutzniveaus. Infolge der Äußerungen der unterschiedlichen europäischen Aufsichtsbehörden kann man sich hinsichtlich konkreter ergänzender Schutzmaßnahmen an den entsprechenden Empfehlungen des EDSA orientieren. Und 2022 geht es weiter mit dem Thema für uns, denn bis zum 27.12.2022 müssen auch alle entsprechenden Altverträge auf die neuen SCCs umgestellt sein.
Ein weiteres Highlight im Monat November war unser Interview mit Herrn Thomas Fuchs, dem neuen „Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit“. Er verfügt als zuvor langjähriger Direktor der Medienanstalt Hamburg / Schleswig-Holstein u.a. über Expertise in der Aufsicht nicht nur in Funk und Fernsehen, sondern auch über Websites und Social-Media-Plattformen bzw. über Erfahrung im Umgang mit großen Plattformen wie Google oder Twitter. Als seine zukünftigen Hauptaufgaben benennt er die Beaufsichtigung der in Hamburg ansässigen Internetriesen und die Schaffung der Architektur der Digitalisierung der Gesellschaft bzw. der Verwaltung. Eine neue Datenschutzkultur sei gefordert, bei der individuelle Datensouveränität eine wichtige Funktion einnehme. Anstatt auf extrem hohe Bußgelder setzt er einen besonderen Fokus auf beratende Aufklärungsarbeit, um DSGVO-Verstößen präventiv entgegenzuwirken. Hinsichtlich der aktuellen datenschutzrechtlichen Probleme des Einsatzes von US-Dienstleistern in Unternehmen formuliert er seine Position so, dass nicht der sofortige Dienstleisterwechsel gefordert werde, sondern das Aufzeigen eines realistischen Umstiegs – somit wäre momentan nur zu hoffen auf eine relativ lange Phase dieses Umstiegs.
Aber das Thema zuletzt war 3G am Arbeitsplatz und die Implementierung eines entsprechenden datenschutzkonformen Verarbeitungsprozesses in den Unternehmen. Denn seit der letzten coronabedingten Änderung des Infektionsschutzgesetzes (IfSG) verpflichtet der neue § 28b IfSG Arbeitgeber zu überprüfen, ob die Beschäftigten die 3G-Voraussetzungen erfüllen (geimpft, genesen oder negativ getestet). Das bedeutet in der Praxis: Kontrolle, tägliche Überwachung und Dokumentation sensibler Gesundheitsdaten. Eine Überprüfung der Daten von Besuchern kann grundsätzlich hingegen auf das Hausrecht gestützt werden (Ausnahme: in der Pflege bzw. in Bereichen, in denen besonders vulnerable Personen untergebracht sind, gilt die 3G-Regel ebenfalls für Besucher). Wir haben auf die ersten hilfreichen Stellungnahmen der Aufsichtsbehörden zum Thema verwiesen und insbesondere an den Grundsatz der Datensparsamkeit erinnert, der für die Frage, wo genau die Grenzen der zulässigen Verarbeitung personenbezogener Daten durch den Arbeitgeber bzw. die Einrichtung liegen, eine entscheidende Rolle spielt. Nur bei Umsetzungsproblemen einer täglichen Kontrolle soll nach den ersten Stellungnahmen auch die Speicherung der 3G-Daten durch den Arbeitgeber rechtmäßig sein. Dann dürfen das Vorhandensein eines Nachweises, dessen Art und Gültigkeitsdauer dokumentiert werden. Eine Kopie des Nachweises ist jedoch nur nach Einholung einer entsprechenden Einwilligungserklärung möglich. Die allgemeinen Pflichten aus der DSGVO, die der Arbeitgeber bzw. die Einrichtung hinsichtlich dieser (neuen) Verarbeitungstätigkeit ebenfalls zu erfüllen hat, müssen zusätzlich beachtet werden. Insbesondere sind die Daten nach Ablauf einer Speicherdauer von 6 Monaten spätestens zu löschen.
Dezember – Christmas Lights
Aber nun kommen sie näher, die Weihnachtslichter, doch zuvor noch ein paar Highlights unserer Themen aus dem Monat Dezember. Mit dem 01. Dezember begrüßte uns auch das neue TTDSG mit der Absicht, die Integrität des Endgerätes des Nutzers zu schützen. Endlich, so könnte man sagen, steht zu den Themen vieles im Gesetz, was dort hineingehört, weil wir uns schon vorher daran halten mussten – insbesondere das Einwilligungserfordernis für Cookies & Co. – unabhängig davon, ob personenbezogene Daten verarbeitet werden oder nicht. Hier ist das Zauberwort wie schon in der Rechtsprechung die „Erforderlichkeit“ für den jeweiligen Dienst, nach welcher unterschieden wird, ob eine Einwilligung sein muss oder nicht. Aufgrund unserer optimistischen Grundeinstellung – hier hinsichtlich der Handlungsfähigkeit der EU – jedoch ein Gesetz mit „begrenzter Haltbarkeit“, da zu erwarten ist, dass die ePrivacy Verordnung eines Tages viele Regelungen des TTDSG überflüssig machen wird.
Außerdem nahmen wir mit der Sprachsteuerungssoftware Alexa von Amazon einen weiteren digitalen Dienst unter unsere Datenschutz-Lupe. Wie zu erwarten, birgt auch dieser Dienst einige datenschutzrechtliche Probleme. Der Drittstaatentransfer in die USA ist dabei nur ein Thema, zudem gibt es u.a. IT-Sicherheitsprobleme im Zusammenhang mit Alexa Skills, es kann insbesondere aufgrund von Irrtümern hinsichtlich der Nennung des Codewortes dazu kommen, dass Alexa ohne Rechtsgrundlage Daten verarbeitet bzw. mithört und die Daten von Gästen bzw. Kindern sind ebenso unzureichend geschützt wie sensible Daten. Schließlich sind im Gegensatz dazu ein immense Datensammlung bzw. eine intransparente Datennutzung durch Amazon zu erkennen. Aber „die gute Nachricht“: Die standardmäßig vorgegebenen Alexa-Einstellungen zum Datenschutz lassen sich durch den Nutzer abändern und damit verbessern. Amazon verspricht, dass der Nutzer selbst entscheiden kann, inwiefern er zukünftig Daten zur Verfügung stellt und dafür gleichzeitig von verbesserten Services profitiert. Ist das ein Stück der gelebten Datensouveränität, von der Herr Fuchs spricht?
Ein besonderes Weihnachtsgeschenk für alle vom Drittstaatentransfer Geplagten war unser kostenloses Webinar zu den neuen SCCs in der Praxis am 16. Dezember 2021, das sich erwartungsgemäß großer Beliebtheit erfreute. Nach einer Übersicht über die neuen Standardvertragsklauseln der EU-Kommission ging es vor allem darum, ein „Best-Practice“-Beispiel zum Thema „Transfer Impact Assessment“ aufzuzeigen und pragmatische Unterstützung auch durch den Einsatz unserer Datenschutzmanagement-Software Guardileo anzubieten. Auch wenn man nicht genau weiß, was das nächste Jahr zu dem Thema noch bringen wird, so scheint eines klar zu sein: Wichtig ist den Aufsichtsbehörden die Frage nach einer adäquaten europäischen Alternative – also ob nicht auch ein europäisches Tool eingesetzt werden könnte. Ein Abrücken von dieser zentralen Frage ist momentan nicht ersichtlich.
Seit dem 06. Dezember 2021 haben wir eine neue Ampel-Regierung und wir haben uns kurze Zeit später mit ihrem datenschutzrechtlichen Plan beschäftigt, ein „Recht auf Verschlüsselung“ zu schaffen. Das hört sich zunächst einmal sehr gut an, denn dies bedeutet Grundrechtsschutz und dient der Datensouveränität des Einzelnen. Doch der Artikel zeigt, dass Verschlüsselung insbesondere bei Messenger-Diensten andererseits dem Ziel einer effektiveren Bekämpfung der Kriminalität zuwiderlaufen kann. Im konkreten Fall sind es der EU-Ministerrat und die Innenminister von Bund und Ländern, die wiederholt Möglichkeiten fordern, Verschlüsselungen bei Messenger-Diensten umgehen zu können, um auf die Kommunikation Krimineller zugreifen zu können. Nach alledem sind wir gespannt auf die Ausgestaltung des neuen Gesetzes.
Und ein Urteil aus dem Monat Dezember hat uns alle besonders hellhörig gemacht. Zwar von einem erstinstanzlichen Verwaltungsgericht und zwar im Eilverfahren, aber mit großer Wirkung: So entschied das Verwaltungsgericht Wiesbaden mit Beschluss vom 01.12.2021 (6 L 738/21.WI), dass die Hochschule Rhein-Main den Einwilligungsmanager Cookiebot der dänischen Firma Cybot auf ihrer Webseite (zumindest vorerst) nicht mehr nutzen darf, da personenbezogene Daten (nämlich jeweils die ungekürzte IP-Adresse des Nutzers) rechtswidrig auf einen Server in die USA übermittelt würden. Rechtswidrig, da der Dienst weder eine Einwilligung für den Drittstaatentransfer von seinen Nutzern einholt, noch die Nutzer über die mit dem Transfer verbundenen Risiken für ihre Daten informiert. Der Betreiber des Servers in den USA unterliegt dem Cloud Act, so dass ein Zugriff von US-Behörden auf die Daten nicht ausgeschlossen sei, so das Gericht, und SCCs würden ebenso wenig genutzt, wie zusätzliche Maßnahmen ersichtlich seien. Ok … wir haben bald das Cookie-Banner für das Cookie-Banner? Das kann nicht sein, da sind sich alle einig. Wir sind gespannt, wie im nächsten Jahr in diesen und ähnlichen Angelegenheiten weiter entschieden werden wird.
Bye Bye 2021
Wir gehen mit viel Optimismus ins neue Jahr und sind nicht nur in datenschutzrechtlicher Hinsicht gespannt, wie 2022 laufen wird. In dem Bereich des Datenschutzes erwarten uns wieder spannende Rechtsprechung, Bußgelder und die ersten Aktivitäten der neuen Bundesregierung. Beschäftigen werden wir uns sicherlich mit Themen wie Cybersicherheit, Datensouveränität, Voranschreiten der Digitalisierung der Gesellschaft und natürlich weiterhin dem Drittstaatentransfer nach Schrems II. Wir werden Sie weiter begleiten – mit unserer Kompetenz und Leidenschaft.
Wir freuen uns auf das neue Jahr mit Ihnen und bedanken uns ganz herzlich für Ihre zahlreichen Kommentare, Hinweise und Einsendungen und wünschen Ihnen allen ein gutes neues Jahr 2022!
Hallo zusammen! An dieser Stelle möchte ich mich einmal für Ihre unermüdliche Arbeit bedanken. Die vielen spannenden Berichte und Informationen zeigen deutlich, es gibt viel zu tun und wird auch un Zukunft nicht anders sein. Klar zusammengefasst informieren Sie vortrefflich über die Themen, die uns Alle angehen, manche mehr, manche weniger. So vielfältig, wie auch die betroffenen Branchen sind. Keine leichte Aufgabe.
Herzlichen Dank dafür, ich wünsche Ihnen, ihren Kollegen/innen und den Familien viel Gesundheit, Energie und weiter viel Erfolg, auch in einem hoffentlich bald besseren Neuen Jahr 2022, mit freundlichen Grüßen Ihr Christian-Albrecht Groddeck