Liebe Leserinnen, liebe Leser,
ein turbulentes Jahr neigt sich dem Ende. Die Vorbereitung auf den Jahreswechsel und die Planung eines schönen Festes mit der Familie oder Freunden ist bereits in vollem Gange. Erste gute Vorsätze für das neue Jahr werden gefasst, andere bereits verworfen, bevor das Jahr begonnen hat. Die letzten Tage vor Weihnachten möchten wir nutzen, um einen Blick auf das vergangene Datenschutz-Jahr zu werfen und führen hiermit unsere Tradition des alljährlichen Jahresrückblicks fort.
Der Inhalt im Überblick
Januar – und wir sprachen noch von guten Vorsätzen
Das Jahr begann mit der Umsetzung erster guter Vorsätze. Wie bereits lange angekündigt, startete Google das Jahr mit dem Ziel der Abschaffung der Third Party Cookies. Ab der zweiten Jahreshälfte sollten diese im Chrome-Browser deaktiviert bzw. nicht mehr erlaubt sein. Nun kam am Ende doch alles anders. Die Third-Party-Cookies bleiben am Leben und Google wird nun ein „User Choice“-Modell anbieten. Mit den guten Vorsätzen ist es eben so eine Sache…
Der Europäische Gerichtshof ist im Januar gleich zwei Mal aktiv geworden. Zum einen hat er sich in seiner Entscheidung vom 11.01.2024 mit den Voraussetzungen der Qualifizierung eines Akteurs als Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO befasst, insbesondere mit der Frage der Einstufung als Verantwortlicher qua nationalem Rechts.
Zum anderen ging es Mitte Januar in einem weiteren Verfahren um die Frage der Anwendbarkeit der DSGVO auf Untersuchungsausschüsse. Aus dem Urteil vom 16.01.2024 lässt sich ableiten, dass die DSGVO von parlamentarischen Untersuchungsausschüssen in der EU einzuhalten ist, sofern der Untersuchungsausschuss nicht eine Tätigkeit ausübt, die der Wahrung der nationalen Sicherheit dient. In diesem Fall sind die Vorschriften der DSGVO nicht einzuhalten und der Untersuchungsausschuss unterliegt auch nicht der Kontrolle durch die Aufsichtsbehörde.
Aufräum-Blogs und Aufräum-Bücher sind der neue Trend. Auch wir haben gleich zu Beginn des Jahres beim „Ordnung Halten“ unterstützt und eine Anleitung zum Löschen und Verwalten der eigenen Daten bei Google herausgegeben. Lesen Sie selbst, wie Google Ihre Daten nutzt und welche Möglichkeiten Sie haben, Ihre Daten zu löschen.
Wir beendeten den kalten Januar mit einer Zusammenfassung der veröffentlichten Hilfen und Handreichungen zum Umgang mit personenbezogenen Daten und Einhaltung der Vorschriften der DSGVO für Vereine.
Februar – für ausreichend Lesestoff haben die Aufsichtsbehörden gesorgt
Den dunklen Februar erhellte der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) durch die Veröffentlichung der aus seiner Sicht geltenden Mindestanforderungen an ein Back-up Konzept im Rahmen seines 51. Tätigkeitsberichts. Die Erkenntnisse, die sowohl bei der Überprüfung des eigenen Back-up-Konzepts als auch bei einer Dienstleisterkontrolle herangezogenen werden können, haben wir zusammengefasst.
Künstliche Intelligenz ist in aller Munde, nicht zuletzt durch das Inkrafttreten der KI-Verordnung in diesem Jahr. Anfang des Jahres hat das Bayerische Landesamt für Datenschutz (BayLDA) nicht nur einen Flyer, sondern auch eine Checkliste zum Datenschutzkonformen Einsatz Künstlicher Intelligenz herausgebracht. Die Handreichung haben wir uns genauer angesehen und die wichtigsten Punkte bereits zusammengetragen.
Zusätzlich haben wir uns mit Fragen rund um die Haftungsregeln Künstlicher Intelligenz beschäftigt, insbesondere welche Schäden auftreten können und wer letztlich für diese verantwortlich ist.
Ein erstes Weihnachtswunder hat es in diesem Jahr bereits vor Weihnachten gegeben. Bund und Länder einigten sich Anfang Dezember auf eine Fortsetzung des „Digitalpakts Schule“, der beim Aufbau einer digitalen Bildungsinfrastruktur unterstützen soll. Was das ist und wie diese Vereinbarung bei der Digitalisierung von Schulen fördern kann, haben wir uns im Februar angesehen.
Im Schaltjahr 2024 gab es Zeit für einen weiteren Artikel zum Datenschutz und die Beantwortung der Frage, welche Folgen ein Datenschutzverstoß im Angestelltenverhältnis nach sich ziehen kann.
März – was länge währt, wird endlich gut?
Im März war das Jahr bereits in vollem Gange. Es war Zeit sich wieder komplexeren Themengebieten und damit der Frage zu widmen, inwieweit und ob der Einsatz des Clouddienstes von Amazon Web Services (AWS) datenschutzkonform möglich ist.
… und ja, das gute alte Fax existiert auch in diesem Jahr noch immer und auch die Aufsichtsbehörden werden nicht müde, sich mit diesem Thema zu befassen. In diesem Jahr setzte sich der Thüringer Landesdatenschutzbeauftragte (TLfDI) intensiv mit der Datenschutzkonformität der Nutzung des Telefaxes auseinander und entschied, dass es sich hierbei um kein sicheres Transportmittel handelt. Die umfangreiche Diskussion rund um das Faxgerät und die Zusammenfassung der Einschätzung finden Sie in unserem Blog.
Wer oder was ist eigentlich DORA? Der bereits im Januar 2023 in Kraft getretene Digital Operational Resilience Act (DORA) ist ab dem 17.01.2025 anzuwenden und wird unterstützt durch technische Implementierungs- (ITS) und technische Regulierungsstandards (RTS). Ein kurzer Überblick enthält die wesentlichen Regelungen der EU-Verordnung.
Lässt sich das Auskunftsrecht nach Art. 15 DSGVO als höchstpersönliches Recht des Betroffenen eigentlich abtreten? Im Ergebnis ist dies nach Ansicht des KG Berlin zu verneinen: Der Auskunftsanspruch ist nicht abtretbar. Eine Ermächtigung Dritter zur Geltendmachung dieses Rechts ist allerdings möglich.
Inwieweit Disclaimer und Signaturen in E-Mails notwendige Ergänzungen sind oder ob es sich hierbei um bloße Relikte aus vergangenen Zeiten handelt, insbesondere was der Unterschied zwischen diesen Informationen ist, haben wir uns Ende März angesehen.
Die dunklen Wintermonate haben wir nun hinter uns gebracht. Zumindest aus datenschutzrechtlicher Sicht hat das Jahr mit spannenden und komplexen Themen und Entscheidungen begonnen. Wie es weiterging, lesen Sie in unserem Teil 2 des Jahresrückblicks.