Im zweiten Quartal des Jahres 2022 kehrt jedoch wieder etwas „Normalität“ in den datenschutzrechtlichen Alltag ein, wenn man denn im Datenschutz überhaupt jemals von Normalität reden kann. Zusammenfassen kann man dieses Quartal, passend zu Jahreszeit, am besten in weihnachtlicher Gedichtform: Ich muss euch sagen, es weihnachtet sehr, die Umsetzung der DSGVO fällt immer noch schwer.
Der Inhalt im Überblick
April – Eine Schelte für den Gesetzgeber und der Beschäftigtendatenschutz wird weiter definiert
Das Jahr 2021 war für den Datenschutz geprägt von Corona. Rückblickend hat im April nun der Bundesbeauftragte für Datenschutz und Informationssicherheit in seinem Tätigkeitsbericht aus dem Jahr 2022 in einem Rundumschlag die Corona-Gesetzgebung für den teilweise laxen Umgang mit datenschutzrechtlichen Themen, insbesondere sensiblen Gesundheitsdaten, kritisiert.
Auch im Beschäftigtendatenschutz hat sich im April etwas getan. Das LAG Baden-Württemberg bestätigte die Kündigung eines Betriebsrats, weil dieser die Gesundheitsdaten von Mitarbeitern unbefugt veröffentlichte. Hier wird deutlich, dass das Thema Beschäftigtendatenschutz nicht nur erhebliche Anforderungen an den Arbeitgeber stellt, sondern auch den Betriebsrat und jeden einzelnen Arbeitnehmer in die Pflicht nimmt. Ein guter Grund seine Mitarbeiter datenschutzrechtlich ganzheitlich zu schulen, besonders, wenn diese Zugriff auf sensible Daten, wie Gesundheitsdaten, haben.
Das Thema Beschäftigtendatenschutz beschäftigte uns auch im Bereich Arbeitszeiterfassung und dem betrieblichen Eingliederungsmanagement. Das Spannungsfeld zwischen Überwachung der Arbeitgeber und der rechtmäßigen Datenverarbeitung zur Vorsorge und Erfassung geleisteter Stunden wurde hier von uns beleuchtet.
Auch der BGH meldet sich zum Auskunftsanspruch nach Art 15 DSGVO zu Wort. In seinem Urteil vom 22.02.2022 ( Az. VI ZR 14/21) bestätigt der BGH nochmals, dass der Auskunftsanspruch weit zu verstehen ist und die Rechte Dritter zu berücksichtigen sind, jedoch eine Auskunftsverweigerung erst nach umfassender Abwägung aller Interessen in Frage kommt. Der Auskunftsanspruch aus der DSGVO ist und bleibt also ein wirksames Mittel, um auf seine eigenen Daten zuzugreifen und gegebenenfalls weitere Maßnahmen vorzubereiten.
Mai – Ein Potpourri datenschutzrechtlicher Themen
Im Mai haben wir uns mit allerhand datenschutzrechtlicher Themen befasst, so zum Beispiel mit TrustPid, der neuen Datenkrake von Vodafone, bei der Nutzern von Mobilfunknetzen eine Benutzerkennung zugeordnet werden soll, um dann personalisierte Werbung an die jeweiligen Kunden schalten zu können.
Auch die Videoüberwachung war ein Thema. Für eine wichtige Klarstellung sorgte ein Urteil aus Köln zu Kameraattrappen, bei dem klargestellt wurde, dass das völlig anlasslose Aufstellen von Attrappen ebenfalls nicht zulässig ist.
Ein großes Thema, das auch in der Welt des Datenschutzes immer Wellen schlägt, war dieses Jahr im Mai der Zensus. In unserem Blog beschäftigten wir uns mit den Rechtsgrundlagen und den datenschutzrechtlichen Fragestellungen, die sich rund um den Datenschutz beim Zensus drehen. Insbesondere das Thema Auskunftspflicht von Vermietern im Rahmen des Zensus war hier ein interessantes Problem.
Dauerbrenner in der datenschutzrechtlichen Beratung sind Schadenersatzansprüche aufgrund von Verstößen gegen die DSGVO. Im Mai 2022 wurde über ein „Highlight“ in unserem Blog berichtet: Ein Schadenersatzanspruch in Höhe von 1000 Euro wurde vom Arbeitsgericht Neuruppin zugesprochen, weil ein Löschbegehren der Betroffenen nicht nachgekommen wurde. In diesem Kontext beschäftigten wir uns in einem weiteren Beitrag mit Bagatellschäden im datenschutzrechtlichen Schadenersatzrecht. Zu solchen kam es in den letzten Jahren nämlich immer häufiger. Die DSGVO kommt langsam in den deutschen Gerichten an!
Auch im Bußgeldbereich hat sich etwas getan. Der Europäische Datenschutzausschuss (EDSA) hat die Leitlinien 04/2022 zur Berechnung von Bußgeldern nach der DSGVO zur Konsultation veröffentlicht. Die Leitlinien sollen das Working Paper 253 ergänzen, das die Umstände für die Entscheidung über die Erteilung eines Bußgeldes zum Gegenstand hat. Unser Fazit war diesbezüglich jedoch ernüchternd. Da es nach dem Konzept des EDSA letzten Endes auf die Einzelfallprüfung ankommt, wird sich der Harmonisierungseffekt wahrscheinlich in Grenzen halten. Zunächst muss abgewartet werden, ob der Entwurf im Konsultationsverfahren noch geändert wird.
Der Mai endet mit einem Fehlgriff der Europäischen Kommission zur Chatkontrolle. Die Europäische Kommission plant eine Verpflichtende Überwachung von Chats durch die jeweiligen Anbieter. Bezweckt wird nach Angaben der Kommission die Vorbeugung von Straftaten. Insbesondere Kindesmissbrauch soll verhindert werden, indem Inhalte der Kommunikationsanbieter durch technische Mittel gescannt und bei auffälligen Auswertungen an die zuständigen Polizeibehörden übermittelt werden. Wie bei dem Thema Uploadfilter soll die Technik hier auf magische Art und Weise Abhilfe schaffen. Verkannt wird aber zum einen die Fehleranfälligkeit und zum anderen die Effektivität dieser Technik, bei der Bekämpfung vorgeschobener Delikte. Wir kommen jedenfalls zu keinem begeisterten Urteil.
Juni – Nachrichten aus Brüssel und viele Themen für Technikaffine
Im Juni gab es einige Nachrichten aus Brüssel: Der Europäische Gerichtshof hatte zu entscheiden, ob die deutsche Vorschrift zum Kündigungsschutz eines internen Datenschutzbeauftragten im Widerspruch zur Regelung der DSGVO steht. Dabei kommt es auch darauf an, ob ein sich ggf. ergebender Widerspruch überhaupt in den Aufgabenbereich der EU fallen würde. Wer einmal zum Datenschutzbeauftragten eines Unternehmens benannt wurde – intern, also als Arbeitnehmer des verantwortlichen Unternehmens – ist durch § 6 Absatz 4 Satz 2 BDSG besonders geschützt. Der Europäische Gerichtshof hatte zu entscheiden, ob die deutsche Vorschrift zum Kündigungsschutz eines internen Datenschutzbeauftragten im Widerspruch zur Regelung der DSGVO steht. Dabei kommt es auch darauf an, ob ein sich ggf. ergebender Widerspruch überhaupt in den Aufgabenbereich der EU fallen würde. Die EU hat nur in bestimmten, ganz genau benannten Bereichen die Kompetenz, Recht zu setzen. Die Mitgliedsstaaten haben ihr insofern Kompetenzen übertragen. Sobald es aber um andere Belange geht, liegt die Kompetenz für die Festlegung von Gesetzen wieder allein bei den Mitgliedsstaaten. Die Kündigungsschutzregelung des deutschen Rechts reicht in den Bereich der Sozialpolitik hinein. Hier hat die EU nur eine sehr begrenzte Kompetenz. Der Kündigungsschutz für angestellte Datenschutzbeauftragte ist somit weiterhin streng in Deutschland. Sich von einem einmal benannten Datenschutzbeauftragten zu trennen, ist nicht so einfach.
Insgesamt stand der Juni im Zeichen der Technik: Den Auftakt machte die chinesische App WeChat und deren Einsatz im Unternehmen. WeChat ist eine multifunktionale App, die vom Internetkonzern Tencent Holding Ltd., mit Sitz in Shenzhen, Volksrepublik China entwickelt wurde. In unserem Blogbeitrag kommen wir zu dem Ergebnis, dass die datenschutzrechtlichen Probleme und Risiken, die bei Nutzung von WeChat im Unternehmen auf die Betroffenen als auch auf die Verantwortlichen zukommen, immens sind. Zum einen widerspricht die regelmäßige Übermittlung von Daten aus dem Kontaktbuch und der Datenabgleich durch WeChat den Datenschutzgrundsätzen der DSGVO. Zum anderen wird mit WeChat ein Diensteanbieter ausgewählt, der personenbezogene Daten in einer Art und Weise verarbeitet, welche mit dem geltenden Recht nicht in Einklang zu bringen ist.
Es folgte Facebook und das leidige Thema der Facebook-Fanpages. In unserem Beitrag vom 9. Juli befassten wir uns mit den Ermittlungen des BfDI gegen die Facebook-Fanpage der Bundesregierung. Der Landesbeauftragte für Datenschutz kam in seinem Kurzgutachten zu dem Ergebnis, dass das Betreiben dieser Fanpage gegen die DSGVO verstößt und empfiehlt gleichzeitig den Behörden das „bekannte digitale Umfeld zu verlassen“ und zu Anbietern wie Mastodon zu wechseln. Sinnvoll, da vor allem Behörden in Sachen Datenschutz mit gutem Beispiel voran gehen sollten.
Weiter ging es mit Themen wie der Webanalyse ohne Einwilligung dem datenschutzrechtlich bedeutsamen Versprechen von kryptographisch verschlüsselbaren sensiblen Daten. Den Abschluss des zweiten Quartals machte nochmals Facebook mit seinem Custom-Audience-Dienst. Facebook Audiences ist eine Möglichkeit, eine Werbezielgruppe auf Facebook zu definieren, an die dann Werbung ausgespielt werden soll. Im Falle von Facebook und Werbenden auf der Facebook-Seite gehen die europäischen Behörden von einer gemeinsamen Verantwortlichkeit aus. Legt man dies zugrunde und die Tatsache, dass Custom Audiences Zugriff auf das Endgerät des Facebook Nutzers benötigt und somit unter die TTDSG fällt, kamen wir zu dem Ergebnis, dass der Dienst derzeit nicht rechtskonform einsetzbar ist.
Nicht nur die deutschen Datenschutzbehörden waren 2022 aktiv, auch in Frankreich wurde ein Thema besonders umfassend behandelt: Google Analytics. Am 07.06.2022 hat die französische Datenschutzbehörde, die CNIL (Commission Nationale de l´Informatique et des Libertés, deutsch Nationale Kommission für Informatik und Freiheiten), eine aktuelle Stellungnahme in Sachen Google Analytics veröffentlicht. Die CNIL hatte am 10.02.2022 nach einem Kooperationsprozess mit ihren europäischen Kollegen mehrere Organisationen, die Google Analytics verwenden, wegen der illegalen Datenübermittlung in die USA abgemahnt und diese aufgefordert binnen einem Monat die Vorschriften bezüglich der Nutzung von Google Analytics einzuhalten.
Das war ein kurzer Überblick über das zweite Quartal 2022 – morgen folgt der dritte Teil unseres Jahresrückblicks.
