Zum Inhalt springen Zur Navigation springen
Datenschutz – Jahresrückblick 2022 – Teil 4

Datenschutz – Jahresrückblick 2022 – Teil 4

Nun haben Sie es fast geschafft, liebe Leserinnen und Leser. Nur noch zwei Tage bis Weihnachten und das Datenschutzjahr 2022 ist so gut wie vorbei. Um im Rahmen unseres Jahresrückblicks auch das 4. Quartal noch einmal gebührend Revue passieren zu lassen, folgt nun der letzte Teil unseres datenschutzrechtlichen Rückblicks. Auch in den Monaten Oktober bis Dezember 2022 hat uns aus datenschutzrechtlicher Sicht einiges bewegt.

Oktober – Datenschutz ist sinnvoll

Auf Datenschutzverstöße folgen in aller Regel Verwarnungen und im schlimmsten Fall empfindliche Bußgelder. Datenschutz ist folglich nicht nur zum Schutze der Betroffenen sinnvoll. Dennoch scheint diese Tatsache so manches Unternehmen auch nach viereinhalb Jahren DSGVO und BDSG nicht davon abzuhalten, eigentlich verpflichtende Datenschutzbestimmungen zu ignorieren oder lediglich rudimentär umzusetzen. Von der Einführung geeigneter Maßnahmen und Strukturen zum Schutz personenbezogener Daten fehlt dann meist jede Spur. Natürlich ist uns, die sich mit der Umsetzung der datenschutzrechtlichen Vorschriften täglich befassen, bewusst, dass manch eine Vorschrift komplexe Regelungen beinhaltet und eine Umsetzung oft nicht ohne weiteres von heute auf morgen erfolgen kann. Mit ein bisschen (externer) Unterstützung, ließen sich die Vorschriften jedoch durchaus entsprechend umsetzen. So könnte zum Beispiel die Unabhängigkeit des Datenschutzbeauftragten sichergestellt und ein Bußgeld aufgrund eines Interessenkonflikts des Datenschutzbeauftragten vermieden werden.

Eine vorschriftsmäßige Umsetzung muss folglich nicht schwierig sein. Manchmal benötigen Unternehmen lediglich eine Anleitung, einen belastbaren Plan zur Umsetzung. Dies ist aber oft einfacher gesagt als getan. Ein datenschutzrechtlich sparsam aufgestelltes Unternehmen muss zunächst einmal erkennen, dass es auf diesem Gebiet ein Defizit hat. Um auch jenen Nachzüglern eine Hilfestellung bereitzustellen, veröffentlichten wir eine durchaus unterhaltsame Checkliste. Mit 10 Anzeichen, dass Ihr Unternehmen mehr Datenschutz braucht, sollten betroffene Datenschutz-Muffel den Ernst und die Wichtigkeit des Datenschutzes hingewiesen und der ein oder andere Datenschutzbeauftragte zum Schmunzeln gebracht werden. Der Artikel beschreibt anschaulich, an welchen Punkten es in Unternehmen tendenziell an datenschutzrechtlichen Verständnis mangelt. Die Möglichkeiten sind dabei vielfältig. Dauerbrenner sind unter anderem mangelhafte Einwilligungserklärungen, unerlaubte Werbemaßnahmen, umfangreich eingesetzte Cookies oder datenschutzrechtlich zweifelhafte Software, wie WhatsApp oder eine zweitklassige Virensoftware.

In der Hoffnung, auf diese Weise auch Datenschutz-Skeptiker für den Datenschutz begeistern zu können, folgte einige Tage später ein Artikel zum Thema DSGVO: Wichtige Punkte für den Datenschutz im Unternehmen. Er beleuchtet nicht nur, weshalb gut umgesetzte Datenschutzregelungen große Vorteile für ein Unternehmen bringen, sondern auch, auf welche Punkte Unternehmen beim Datenschutz achten sollten. Insbesondere sollte ein Augenmerk auf eine sichere Datenübermittlung in ein Drittland, wie das Vereinigte Königreich und die USA, die Sicherstellung von Betroffenenrechten und eine angemessen IT-Sicherheit gelegt werden. Denn wer den Datenschutz angemessen in seinem Unternehmen umgesetzt hat, dem Winken neben einem Wettbewerbsvorteil durch nachhaltigeres Arbeiten auch ein verbessertes Vertrauen und zufriedenere Kunden. Falls nicht, landet man schnell in den vorhin erwähnten Verwarnungs- und Bußgeldverfahren der Aufsichtsbehörden und im schlimmsten Fall in unseren regelmäßig veröffentlichten Top 5 DSGVO-Bußgeldern, wie die Instagram-Mutter Meta Platforms Ireland Limited, die mit 405 Millionen Euro schon im September ein weiteres Rekordbußgeld einfuhr.

November – Datenschutz ist vielseitig

Denkt man, Datenschutz wäre nur im unternehmerischen Bereich wichtig, so irrt man sich gewaltig. Denn ja, datenschutzrechtliche Fragestellung rücken auch im Alltag immer verstärkter ins Scheinwerferlicht. Und das sogar fast wortwörtlich. Denn im November beschäftigten wir uns unter anderem mit dem Thema Dürfen Falschparker für Anzeigen fotografiert werden?. Aufhänger war ein Urteil des VG Ansbach (Az: AN 14 K 22.00468 und AN 14 K 21.01431), in dem das Verwaltungsgericht entschied, dass das Fotografieren von Falschparkern und ein anschließendes Weiterleiten der entsprechenden Fotos im Rahmen einer polizeilichen Anzeige keine unerlaubte Verarbeitung von personenbezogenen Daten darstellt. Beide Kläger waren für ein solches Vorgehen vom Bayerischen Landesamt für Datenschutz (BayLDA) verwarnt worden, denn auch bei KFZ-Kennzeichen handelt es sich in der Regel um personenbezogene Daten i.S.d. Art. 4 Nr. 1 DSGVO. Welche Auswirkungen diese Entscheidung in Zukunft auf die Verarbeitung von privat beschafften Beweismitteln nach sich ziehen wird, darf mit Spannung erwartet werden. Hier auf dem Blog konnte bereits eine rege Diskussion beobachtet werden.

Manchmal überrascht die Menschheit einen schon. Einerseits neigen wir mittlerweile dazu, unsere Daten vielfach mittels Instagram, WhatsApp, TikTok und Co. freiwillig Großkonzernen zur Verfügung zu stellen, andererseits scheuen wir uns davor, im Rahmen von Volkszählungen der statistischen Ämter des Bundes und der Länder Angaben zu machen. So durften wir auch im November 2022 unter dem Titel VG Neustadt: Datenerhebung beim Zensus 2022 rechtmäßig über eine weitere Entscheidung berichten, die eine staatliche Datenerhebung betraf. Inhalt war eine Entscheidung über einen Eilantrag, welcher sich gegen die Auskunftspflicht im Rahmen der Gebäude- und Wohnungszählung des Zensus 2022 richtete. Das Verwaltungsgericht Neustadt a.W. lehnte den Antrag mit Beschluss vom 27.10.2022 (Az: 3 L 763/22.NW) ab. Eine Verletzung des Rechts auf informationelle Selbstbestimmung sah es als nicht gegeben an. Es führte aus, dass der Zensus 2022 den im Rahmen des Urteils des Bundesverfassungsgerichts vom 15.12.1983 (Az: 1 BvR 209/83) zur Volkszählung 1983 geschaffenen Vorgaben entspricht. Im Gegensatz zu den im Jahr 1983 angefragten Auskünften wird im Rahmen des Zensus 2022 der Grundsatz der Verhältnismäßigkeit gewahrt.

Nachdem wir im Mai schon einmal einen Überblick zu Urteilen über Bagatellschäden beim datenschutzrechtlichen Schadensersatz und der Frage, ob für einen Schadensersatzanspruch einen tatsächlich erlittenen Schaden des Betroffenen vorliegen muss oder jede DSGVO-Verletzung für die Bejahung eines Schadens genügt, gegeben hatten, ist diese nun auch beim EuGH angekommen (Az: C-300/21). Die erste Einschätzung des Generalanwalts zu der Frage besprechen wir in dem Artikel DSGVO Schadensersatz: reicht ein bloßer Ärger?. Ein Schadensersatzanspruch ohne wirklichen Schaden wäre demnach unbegründet. Ein bloßes Ärgernis würde nicht genügen. Es bleibt weiterhin spannend, ob sich der EuGH den Empfehlung des Generalanwalts anschließen wird.

Dezember – Datenschutz ist wichtig

Der Dezember begann sogleich mit zwei Beiträgen um Datenschutz im Verein. Denn ja, auch Vereine, sei es nun gemeinnützige oder wirtschaftliche, fallen unter die DSGVO-Vorschriften, wenn sie personenbezogene Daten ganz oder teilweise automatisiert verarbeiten oder wenn sie nichtautomatisierte Verarbeitung von personenbezogenen Daten vornehmen, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Zunächst beschäftigten wir uns mit den datenschutzrechtlichen Anforderungen bei der Aufnahme und Veröffentlichung von Fotos und Videos. Auf sie finden die DSGVO-Vorschriften grundsätzlich Anwendung, solange das Medienprivileg des Art. 85 DSGVO nicht greift. Einen Tag später beleuchteten wir zusätzlich die Frage: Braucht ein Verein einen Datenschutzbeauftragten? Die Antwort: Es kommt, wie immer im juristischen Bereich, darauf an. Die DSGVO-Anforderungen lassen sich mit Hilfe des Artikels aber gut nachvollziehen. Als wichtige Quintessenz sollte allerdings vor allem im Verein beachtet werden, dass die Unabhängigkeit des Datenschutzbeauftragten gewahrt werden muss. So kann zwar in der Theorie jedes Vereinsmitglied mit dem entsprechenden Fachwissen die Position des Datenschutzbeauftragten einnehmen, nicht jedoch beispielsweise der Vorstand.

Nach der (Vereins-) Weihnachtsfeier ist bekanntlich vor den familiären Weihnachtsfeierlichkeiten. Die ersten Lichter beginnen zu leuchten und damit beginnt nun auch für die Letzten der Weihnachtsgeschenke-Rummel. Es überrascht nicht, dass der Onlinehandel einen immer größeren Teil des Weihnachtsgeschäfts einnimmt. Wenig überraschend ist darüber hinaus auch, dass Websitebetreiber gerne Daten über das Nutzerverhalten im Internet sammeln. Dies dient ihnen unter anderem zur Produktverbesserung. Viele Websites setzen dabei mittlerweile auf Tracking durch Cookies. Auch bei diesem Vorgehen handelt es sich um die Verarbeitung personenbezogener Daten, für die die DSGVO eine Rechtsgrundlage fordert. Denn auch beim Tracking gilt der Grundsatz: Alles ist verboten, solange es nicht erlaubt ist. Unser Artikel zum Thema Richtige Rechtsgrundlage für Tracking zur Produktverbesserung fasst die Anforderungen und mögliche Rechtsgrundlagen zusammen. Der Artikel kommt dabei zu dem Schluss, dass ein Einsatz von Tracking-Tools, wie Cookies, in aller Regel auf die freiwillige Einwilligung des Betroffenen gestützt werden sollte. Probleme bereitet hierbei allerdings immer noch die Umsetzung auf manchen Websites.

Der Hammer des Monats kam bei Dr. Datenschutz schon Anfang Dezember, soll hier jedoch den Jahresabschluss bilden. Manch einem Unternehmen genügen anscheinend mittels Cookies gesammelte Daten noch nicht. Amazons neues Marktmodell haben wir unter dem Titel Amazon bezahlt für Überwachung von Smartphones genauer unter die Lupe genommen. Amazon-Nutzer können dem Versandunternehmen seit Ende November über ein Programm namens Ad-Verification nun sämtliche ihrer Nutzungsdaten zur Verfügung stellen. Dieses wertet jegliche Nutzung von Apps und Websites aus. Laut Amazon soll dies aussagekräftigere und geeignetere Werbung für die teilnehmenden Personen ermöglichen. Zusätzlich erhalten diese zwei Dollar monatlich. Bedenklich erscheint allerdings, dass ähnliche Programme von Facebook und Google im Jahr 2019 nach massiven Datenschutzbedenken eingestellt wurden. Gut, dass wir in Deutschland noch ein bisschen Bedenkzeit haben, denn bisher wird dieses Programm nur Nutzern aus Großbritannien und den USA angeboten. So aber können wir in der Zukunft hoffentlich informiert selbstentscheiden, inwieweit wir eine solche Überwachung unseres Internetverhaltens zulassen möchten, sollte Ad-Verification auch in Deutschland eingeführt werden.

Auf ein Neues

Liebe Leserinnen und Leser, das (Datenschutz-) Jahr 2022 brachte uns viele interessante Themen. Wir hoffen, unser alljährlicher Jahresrückblick konnte Ihnen helfen, sich noch einmal auf die wichtigsten und einige der interessantesten Themen zu besinnen. Nun aber wünschen wir Ihnen zunächst einmal eine ruhige Weihnachtszeit und einen guten Start in das neue (Datenschutz-) Jahr 2023. Erholen Sie sich gut, denn eines ist sicher, auch im Jahr 2023 werden wieder viele spannende Neuigkeiten, Fachbeiträge, Urteile und Bußgeldentscheidungen auf uns zukommen. Die DSGVO wird fünf Jahre alt werden und mit Sicherheit weiterhin für Anpassungs- und Gesprächsbedarf sorgen. Sehr gerne stehen wir Ihnen daher auch nach den Feiertagen wieder mit Rat und Tat zur Seite, sei es über unseren Blog Dr. Datenschutz oder persönlich. Auf ein neues, datenschutzrechtlich erfolgreiches und zufriedenstimmendes Jahr 2023!

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.