Das Sommerloch kennen wir auf Dr. Datenschutz nicht! So gab es bei uns auch von Juli bis September 2022 wieder viele spannende Artikel zu lesen. Also die Keksdose geschnappt und gedanklich zurück in den Datenschutz-Sommer!
Der Inhalt im Überblick
Juli – Sommer, Kekse, Sonnenschein
Microsoft Office 365 beschäftigt Datenschützer nicht nur im Sommer. Anlass für einen Artikel gaben uns die FAQs zu Microsoft Office 365 des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz. Schwerpunkt dieser FAQs bildet der Datentransfer personenbezogener Daten in die USA. Zudem bieten sie praktische Hinweise zur technischen Umsetzung, um personenbezogene Daten zu schützen.
Das Thema Beschäftigtendatenschutz spielt im Alltag der Datenschützer eine große Rolle und betrifft letztlich auch jeden Arbeitnehmer direkt. So haben wir uns in einem Artikel vielen Fragen zum Thema Beschäftigtendatenschutz nach der DSGVO und dem BDSG gewidmet. Es besteht aus datenschutzrechtlicher Sicht ein besonders hohes Schutzniveau für Arbeitnehmerdaten. Dabei muss vor allem immer berücksichtigt werden, dass zwischen Arbeitnehmern und Arbeitgebern ein Unter- und Überordnungsverhältnis besteht.
Wer kennt sie nicht – die allseits „beliebten“ Cookie-Banner beim Aufrufen einer Webseite. Den Nutzern gehen sie auf die Nerven, den Ersteller bringen sie zur Verzweiflung. Denn wie wird man dem Interesse des Webseiten-Betreibers an einer statistischen Auswertung und gleichzeitig allen datenschutzrechtlichen Anforderungen an die Einwilligung ins Tracking gerecht? Hoffnung auf bessere Zeiten gibt uns das sogenannte Cookieless Tracking. Hinter dem Begriff verbirgt sich eine Möglichkeit zur Analyse von Webseiten, die ohne Einwilligung eingesetzt werden darf.
Geäußert haben wir uns auch in eigener Sache: zum einen haben wir (ganz seriös) die Frage beantwortet, wie man eigentlich Datenschutzbeauftragter (DSB) wird. Da es hierfür keinen klassischen Ausbildungsweg gibt, kann grundsätzlich erst einmal jeder DSB werden. Insbesondere aus der DSGVO ergeben sich aber Anforderungen, die es zu erfüllen gilt, wie z.B. Fachwissen im Datenschutzrecht, Unabhängigkeit und Unparteilichkeit, vor allem aber auch eine entsprechende Zuverlässigkeit und Verschwiegenheit, um der mit den Aufgaben verbundenen Geheimhaltungspflicht gerecht zu werden. Zum anderen gab es auch etwas zum Schmunzeln: mit einem augenzwinkernden Kommentar zu Antworten auf häufige Fragen und Aussagen, die Datenschutzbeauftragten regelmäßig begegnen. Denn wer kennt nicht Aussagen à la „geht nicht wegen Datenschutz…“.
August – Kekse, am Strand
Wie schon im Juli, so begegnet uns auch im August das Thema Datenschutz am Arbeitsplatz. In einem Artikel widmeten wir uns der Frage: Fernmeldegeheimnis am Arbeitsplatz: Was ändert das TTDSG? Gemeinsam mit dem Post- und Briefgeheimnis wird das Fernmeldegeheimnis grundrechtlich in Art. 10 GG geschützt und bezieht sich auf die elektronische Kommunikation. Seit langem wird darüber gestritten, ob es bei der Privatnutzung von Telekommunikation am Arbeitsplatz vom Arbeitgeber zu beachten ist oder nicht. Seit dem 01.12.2021 findet sich die explizite Reglung zum Fernmeldegeheimnis im Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG). Zuvor fand sich diese im alten Telekommunikationsgesetz (TKG). Leider hat der Gesetzgeber die Gelegenheit eines neuen Gesetzes nicht dazu genutzt, den Streit ein für alle Mal zu beenden.
Und schon wieder Cookies… Also eigentlich Cookie-Banner und neben der inhaltlichen auch deren grafische Gestaltung. Damit setzt sich der Artikel Dark Pattern und Nudging bei der Einwilligung auseinander. Eigentlich möchte wohl jeder Webseiten-Betreiber die Einwilligung seiner Nutzer, um sämtliche Webseiten-Analyse-Tools nutzen zu können. Und um diese Einwilligung am besten vollumfänglich zu erhalten, wird der Nutzer mal mehr, mal weniger durch die optische Gestaltung des Banners in die richtige Richtung gelenkt.
Doch wahrscheinlich ändert sich zukünftig auch einiges an unseren geliebten Cookie-Bannern: die EU-Mitgliedsstaaten, haben sich nämlich darauf geeinigt, das Internet stärker zu regulieren. Dabei ist der Digital Services Act (DSA) nur einer von vielen aktuellen Gesetzgebungsprozessen auf EU-Ebene, welche auch das Thema Datenschutz berühren. Unter anderem will der DSA Dark Patterns und andere manipulative Oberflächen verbieten, zu mehr Transparenz bei Werbung sorgen sowie zum zügigen und konsequenten Löschen illegaler Inhalte auf Webseiten verpflichten.
Wenn wir jetzt schon bei der EU sind, geht’s gleich noch einen Schritt weiter – in die USA. Hier klingeln allen Datenschützern gleich die Alarmglocken: Drittland, gekipptes Privacy-Shield-Abkommen, kein ausreichendes Datenschutzniveau… So ging es wohl auch dem Landesbeauftragen für Datenschutz und Informationsfreiheit Baden-Württemberg, der sich im Rahmen eines Vergabeverfahrens in der Verantwortung sah, eine Stellungnahme zum Verarbeitungsbegriff der Übermittlung abzugeben. Grund war ein Beschluss der baden-württembergischen Vergabekammer, zu einem Anbieter, der Clouddienste eines US-amerikanischen Unternehmens nutzt. Im Kern ging es um die Frage, ob ein bloßes Zugriffsrisiko bereits den Tatbestand der Übermittlung nach der DSGVO erfüllt. Diese Auffassung ist nach Ansicht des LfDI abzulehnen und wurde bereits Anfang September durch das OLG Karlsruhe bestätigt.
September – Ein Sommer nur für Kekse
Nachdem wir uns im Juli bereits mit dem Weg zum Datenschutzbeauftragten beschäftigt hatten, folgten im September Artikel zu den Aufgaben des DSB sowie zur persönlichen Haftung externer und interner DSB. So konnten wir einen kleinen Einblick darüber geben, was so ein DSB eigentlich den lieben langen Tag macht. Dabei zeigt sich ein vielfältiges Spektrum wie z.B. Beratung zu datenschutzrechtlichen Fragestellungen, Überwachung der Einhaltung von Datenschutzvorschriften, Zusammenarbeit mit Aufsichtsbehörden bis hin zu Mitarbeiterschulungen. Die Haftung des DSB kann durch viele Faktoren beeinflusst werden. Hiermit verknüpft sind zugleich arbeitsrechtliche Fragestellungen oder auch mögliche Haftungserleichterungen durch Vertragsabsprachen.
Zum Ende des Sommers gab es einen ausführlichen Artikel zum Datenschutz nach dem Tod. Sicherlich kein leichtes Thema, doch eines, das uns alle etwas angeht. Die DSGVO gilt für Verstorbene jedenfalls nicht mehr. Dafür greift das allgemeine Persönlichkeitsrecht nach dem Grundgesetz. Der Artikel gibt auch Infos zum Umgang mit dem digitalen Nachlass und kommt wie so oft im Datenschutzrecht zu dem Fazit, dass man sich um manche Dinge besser vorab kümmern sollte.
Nun nähert sich der 3. Teil des Jahresrückblicks 2022 seinem Ende. Damit die Stimmung nicht kippt – Zeit, noch ein letztes Mal in die weihnachtliche Keksdose zu greifen! Oder, um sich noch einmal mit Cookie-Bannern zu beschäftigen! Denn vielleicht gehören diese ja bald wirklich der Vergangenheit an, denn aus dem Bundesministerium für Digitales und Verkehr (BMDV) sickerten erste Informationen über eine Alternative zu Cookie-Bannern durch. Danach will das BMDV z.B. die Beeinflussung durch Dark Patterns und Nudging verhindern sowie gebündelte Einwilligungen ermöglichen. Bleibt abzuwarten, ob sich das Ministerium mit seinen Vorstellungen irgendwann durchsetzen kann. Und bis dahin kann man ja weiter Weihnachtsplätzchen naschen. Und Kekse gehen ja eh das ganze Jahr über! Morgen geht es weiter mit Teil 4 des Jahresrückblicks.
