Es ist endlich soweit. In wenigen Stunden haben wir das Jahr 2020 mit all seinen Höhen und vielen Tiefen hinter uns gebracht. Und auch wenn sich die Lage 2021 nicht schlagartig zum Besseren wenden wird, es gibt immerhin Licht am Horizont. Doch bevor wir uns endgültig für dieses Jahr verabschieden, gibt es hier noch eine Übersicht einiger Ereignisse, die zwischen den Jahren in der Datenschutzwelt passierten.
Der Inhalt im Überblick
Der Brexit Deal steht
Pünktlich zu Heiligabend einigen sich die EU und Großbritannien darüber, wie ihre Handelsbeziehungen zukünftig aussehen sollen. 4 Tage nach Ablauf der dritten „letzten“ Frist für eine Einigung. Ein kleines Weihnachtswunder. Das Handelsabkommen, welches zum 1. Januar vorläufig in Kraft tritt, enthält auch etwas zum Datenschutz. Nämlich eine weitere Übergangsfrist von maximal 4 Monaten, die einmalig um weitere 2 Monate verlängert werden kann. In diesem Zeitraum soll Großbritannien nicht als Drittland im Sinne der Art. 44 ff. DSGVO gelten. Sowohl die ICO, als auch die DSK bestätigten dies etwas später in einer Pressemitteilung. In dieser heißt es auch:
„Allerdings ist jetzt die EU-Kommission in der Pflicht, tragfähige Adäquanzentscheidungen vorzulegen […].“
Doch das dürfte eine Sisyphusaufgabe sein. Unter Beachtung der Entscheidungen des EuGHs zu Safe Harbor und dem Privacy Shield, scheint eine tragfähige Adäquanzentscheidung für Großbritannien aktuell ähnlich realistisch wie für die USA.
OLG Wien: 500 € Schadensersatz wegen Verstoß gegen Auskunftsrecht
In der Sache Max Schrems gegen Facebook hat das Oberlandesgericht Wien entschieden, dass der Konzern Max Schrems 500 € Schadenersatz wegen einem Verstoß gegen die Auskunftspflicht nach Art. 15 DSGVO zahlen und ihm vollen Zugang zu allen Daten gewähren muss, die es über ihn speichert. Anscheinend handelt es sich dabei um das erste Urteil eines österreichischen oder deutschen Oberlandesgerichts, welches einem Kläger einen immateriellen Schadensersatz wegen eines DSGVO-Verstoßes zuspricht.
Das Gericht entschied weiterhin, dass Facebook für seine Datenverarbeitung nach der DSGVO nicht eine Einwilligung der Nutzer einholen muss, sondern sich auf die Rechtsgrundlage Vertrag berufen kann, da man sich die Datennutzung in den Geschäftsbedingungen hat einräumen lassen. Max Schrems kündigte bereits an, dagegen in Berufung zu gehen.
Auch aus Deutschland gab es etwas Neues zum Thema Schadensersatz für DSGVO-Verstöße. Im Streitfall um die Rechtmäßigkeit der vollständigen Namensnennung eines Lotteriegewinners durch das veranstaltende Unternehmen in verschiedenen Publikationen und online, einigten sich die Parteien in einem Vergleich auf die Zahlung von 8.000 € Schadensersatz.
Tätigkeitsbericht, Immunitätsausweis, rC3
Kurz vor Weihnachten veröffentlichte der Sächsische Datenschutzbeauftragte seinen Tätigkeitsbericht für das Jahr 2019. Der Kollege Carlo Piltz hat auf ein darin angeschnittenes Problem in seinem Blog nochmal ein Schlaglicht geworfen. So muss die Behörde eingestehen, dass es in der Praxis keine Möglichkeit der Rechtsdurchsetzung gegenüber Unternehmen gibt, die allein im EU-Ausland ansässig sind, wenn diese gegen die DSGVO verstoßen.
Nun da die ersten Menschen in Deutschland gegen das Coronavirus geimpft worden sind, diskutiert das Land, ob die Wirtschaft Geimpfte künftig bevorzugt behandeln kann, darf oder soll. Auch Datenschützer werfen dabei ihren Hut in den Ring. Der LfDI Baden-Württemberg forderte u.a. von der Bundesregierung, frühzeitig eine gesetzliche Grundlage zum Umgang mit dem Gesundheitsdatum des Impfstatuses zu schaffen und auch der HmbBfDI warnt vor erheblichen sozialen Spannungen und der Entladung von Konflikten als eine mögliche Folge von Impfstatus-Kontrollen.
Wie jedes Jahr zu dieser Zeit fand der Chaos Communication Congress mit vielen, spannenden Themen statt. Es lohnt sich, die Mediathek des CCC zum rC3 zu durchstöbern. Zumal die Berichterstattung zu einzelnen Vorträgen bisher eher mau ausfällt. Auf zwei sei hier dennoch hingewiesen. Zum einen die Berichterstattung über der Vortrag zu den Problemen bei der Digitalisierung des Gesundheitswesens, ein Thema das auch uns dieses Jahr im Blog häufiger beschäftigte. Zum anderen die Übersicht zum Cryptowars 2.0, der sich damit beschäftigt, wie Sicherheitsbehörden seit Jahren gegen die Verbreitung sicherer Verschlüsselungsmethoden arbeiten.
Wir wünschen einen guten Rutsch!
Damit ist das Jahr nun endgültig datenschutzrechtlich zusammengefasst. Wir hoffen Sie auch dieses Jahr wieder gut informiert, bei ihrer Arbeit unterstützt oder manchmal auch einfach nur unterhalten zu haben.
Ganz herzlich wollen wir uns bei unseren Leserinnen und Leser für die vielen Kommentare, Feedback, Themenvorschläge sowie Hinweise bedanken. Erst diese machen es möglich, eine breit gefächerte Diskussion über Themen zu führen, die für die Wirtschaft ebenso wie für den einzelnen Bürger sowie Verbände oder Vereine im Brennpunkt stehen. Ein besonderer Dank gilt auch dem #TeamDatenschutz, das vermutlich agilste Wissensnetzwerk auf Twitter. Auch dieses lieferte dieses Jahr Denkanstöße und das ein oder andere Thema.
An dieser Stelle erinnern wir zudem gern an unseren Newsletter, soweit Sie diesen nicht ohnehin bereits abonniert haben, unseren Twitter Account und unsere anderen Projekte wie der Podcast, die DSGVO-Gesetzesseite oder unsere Veranstaltungen und Veröffentlichungen in Presse und Fachmagazinen.
Und zu guter Letzt:
Wir wünschen Ihnen einen guten Rutsch in das neue Jahr 2021. Bleiben Sie gesund. Natürlich werden wir Sie auch im kommenden Jahr ab dem 04.01.2021 hier wieder über allerlei Themen aus der Welt des Datenschutzes und der IT-Sicherheit informieren. Bis dahin, in alter Frische.
Gerne nutze ich die Gelegenheit, dem gesamten Team von Dr. Datenschutz alles Gute für 2021 zu wünschen und meinen ganz herzlichen Dank für die immer interessanten und hilfreichen Informationen auszusprechen!
Vielen Dank!