|
|
Liebe Abonnentinnen und Abonnenten,
heute erhalten Sie den de lege data Newsletter 1/2020. Ich wünsche Ihnen viel Freude beim Lesen und einen guten Rutsch in das Jahr 2021.
|
|
|
|
Aktuelle Beiträge im Blog
|
|
|
|
Datenschutzbeauftragter als Unternehmensvertreter im Verwaltungsverfahren?
|
Landgericht Frankfurt: Kein Schadensersatzanspruch allein wegen fehlender Vereinbarung zwischen gemeinsam Verantwortlichen
|
|
|
|
|
|
|
Referentenentwurf des Bundesarbeitsministeriums: Betriebsrat nicht datenschutzrechtlich verantwortlich, aber irgendwie doch...
|
|
|
|
|
|
|
Schweden: 30.000 EUR Bußgeld wegen unzulässiger Videoüberwachung
Die schwedische Datenschutzbehörde verhängt knapp 30.000 EUR Bußgeld wegen unzulässiger Videoüberwachung. In dem Fall ging es um die Videoüberwachung im Hausflur eines Mehrfamilienhauses, bei der auch die Wohnungstür einer Person gefilmt wurde, die sich darüber bei der Datenschutzbehörde beschwerte.
|
Microsoft stellt Vertrag mit "zusätzlichen Schutzmaßnahmen" nach Schrems II bereit
Bereits kurz nach dem Schrems II-Urteil des EuGH hat Microsoft angekündigt, zusätzliche Schutzmaßnahmen in seine Auftragsverarbeitungsverträge aufzunehmen. Diese Anpassung des "Microsoft Online Services Data Protection Addendum" ist nun zum 9.12.2020 erfolgt. In Anhang 3 finden sich neue zusätzliche vertragliche Regelungen, die für Betroffene einen erweiterten Schutz vorsehen sollen.
|
|
|
|
|
|
|
Missbrauch? Sinn und Zweck des Auskunftsanspruchs
Auskunftsansprüche nach Art. 15 DSGVO sind in der Praxis wohl das meist genutzte Betroffenenrecht. Der Zweck des Auskunftsrechts ist nach ErwG 63 DSGVO, dass Betroffene sich einer Verarbeitung bewusst werden und deren Rechtmäßigkeit überprüfen können. Der Auskunftsanspruch dient also vor allem auch als Grundlage zur Ausübung weiterer Betroffenenrechte. Viele von Ihnen werden bereits in einer Situation gewesen sein, in der Sie mit einem solchen Auskunftsbegehren konfrontiert sind und es mehr als offensichtlich ist, dass der Anspruch nicht um des Datenschutzes Willen geltend gemacht wird. In solchen Situationen stellt sich für Unternehmen bzw. datenverarbeitende Stellen durchaus die Frage, ob auf ein derartiges Begehren wirklich zu antworten ist. Oder ist nicht bereits die Geltendmachung des Auskunftsanspruchs rechtsmissbräuchlich, wenn der Zweck der konkreten Ausübung dieses Rechts offensichtlich nur dazu dient, bei einem Unternehmen Mehraufwand zu erzeugen oder dieses „auszuforschen“? Einige interessante Aussagen zu dieser Thematik finden sich in einem relativ aktuellen Urteil des BVerwG (Urteil vom 16.09.2020, Az. 6 C 10.19). Dort ging es um Auskunftsansprüche des Insolvenzverwalters gegen ein Finanzamt. Der Insolvenzverwalter verlangte einen Auszug aus dem Steuerkonto eines Insolvenzschuldners, über dessen Vermögen er zum Verwalter bestellt wurde. Das Finanzamt und auch das BVerwG lehnten dies ab. Das BVerwG begründet in seinem Urteil u.a.: „Der Auskunftsanspruch dient lediglich dem Schutz ideeller Interessen der betroffenen Person, den vom Kläger reklamierten Vermögensbezug weist er nicht auf“. Das Gericht begründet auch mit diesem Argument, dass der Anspruch nicht besteht. Dieser Verweis auf den Zweck des Auskunftsrechts, dem nach Ansicht des BVerwG gerade kein vermögensrechtlicher Gehalt innewohnt, kann für Unternehmen sicherlich auch allgemein bei offensichtlich unbegründeten Anfragen auf Auskunft ein zusätzliches Argument darstellen. Ganz ähnlich hatte sich in der Vergangenheit bereits das BayLDA in seinem Tätigkeitsbericht 2019, S. 27 (PDF) positioniert: „Mit dem Recht auf Auskunft sollen ausschließlich Datenschutzziele verfolgt werden. Dieses Recht soll nicht zur Sammlung von Beweisen für andere bestehende Konflikte dienen“.
|
|
|
|
|
Brexitdeal: was gilt nun und (wann) kommt ein Angemessenheitsbeschluss?
Der harte Brexit wurde abgewendet. Die EU-Kommission und die Regierung des Vereinigten Königreichs haben sich (quasi in letzter Sekunde) auf ein Abkommen verständigt. Informationen zum Inhalt finden sich auf der Seite der britischen Regierung in einer Zusammenfassung (PDF). Auch die EU-Kommission hat bereits eine kurze Zusammenfassung der Ergebnisse veröffentlicht (PDF).
Nach erster Sichtung der Texte, gehe ich für den Bereich "Datenschutz" von folgenden Konsequenzen aus: - die Parteien des Abkommens wollen hohe Standards im Bereich Datenschutz beibehalten - es wird eine Übergangsfrist von maximal 6 Monaten (also bis Ende Juni 2021) für Datentransfers in das Vereinigte Königreich vereinbart - diese Frist endet automatisch Ende Juni 2021 oder mit einem Angemessenheitsbeschluss der EU-Kommission - Wichtig: das nun verhandelte Abkommen enthält keinen solchen Beschluss
Der Beschluss nach Art. 45 DSGVO muss also erst noch erfolgen. Dies ergibt sich auch ausdrücklich aus den veröffentlichten Informationen der EU-Kommission, in denen es heißt: "Nor does it cover possible decisions pertaining to the adequacy of the UK’s data protection regime, ... . These are and will remain unilateral decisions of the EU and are not subject to negotiation".
Ob ein solcher Beschluss wirklich bis Ende Juni 2021 auch für das Vereinigte Königreich kommt oder evtl. sogar schon in Vorbereitung ist, ist derzeit nicht klar. Zumindest bis Ende Juni 2021, können aber Daten weiterhin ohne ergänzende Anforderungen in das Vereinigte Königreich übermittelt werden.
Aus der Antwort der Sächsichen Staatsregierung auf eine Anfrage im Landtag (Drs.-Nr.: 7/357) vom 18.11.2020 geht jedoch hervor, dass wir wohl nicht allzu schnell damit rechnen sollten. Dort heißt es: "Die EU-Kommission hat angekündigt, dass sie mit der Prüfung, ob die Voraussetzungen für einen Angemessenheitsbeschluss vorliegen, erst beginnen kann, wenn das VK Drittland ist".
|
|
|
|
|
Whitepaper nur gegen Newsletteranmeldung – Datenschutzbehörde Sachsen: kein Verstoß gegen das Kopplungsverbot
Die Datenschutzbehörde aus Sachsen hat kurz vor Weihnachten ihren neuen Tätigkeitsbericht vorgestellt (PDF). Unter anderem berichtet die Behörde dort auch von einer Beschwerde, in der ein Verstoß gegen das sog. Kopplungsverbot der DSGVO (welches in dieser Pauschalität natürlich nicht existiert) moniert wurde (ab S. 62 ff.). In dem beschriebenen Fall ging es um ein Webportal, das den „kostenlosen“ Download einer Art Checkliste ermöglicht, wofür im Gegenzug die Zusendung eines Werbe-Newsletters hingenommen werden sollte. Das Dokument wollte der Beschwerdeführer beziehen, nicht jedoch den Newsletter. Der Beschwerdeführer ging von der Nichtigkeit einer nicht freiwilligen Einwilligung zum Erhalt des Newsletters aus. Der sächsische Datenschutzbeauftragte sah hier jedoch keinen Verstoß gegen die DSGVO. Die Begründung der Behörde im Bericht ist meines Erachtens nicht ganz vollständig, aber für Unternehmen in der Praxis natürlich dennoch sehr relevant. Die Behörde betrachtet den Sachverhalt rein aus der „Vertragsbrille“, also auf der Grundlage von Art. 6 Abs. 1 lit. b DSGVO. Sie scheint also davon auszugehen, dass hier gar keine Einwilligung eingeholt wurde (oder werden musste), sondern die Angabe der E-Mail-Adresse für den Newsletter die vertragliche Gegenleistung für die Checkliste darstellt. Allgemein führt die Behörde aus: „dass, wer einen Vertrag schließt, nicht mehr gänzlich frei darin ist, damit einhergehende erforderliche Datenverarbeitung jederzeit beenden zu können, leuchtet dabei bereits nach allgemeinem Rechtsgefühl ein.“ Ein entgegenstehender Wille des Betroffenen werde von der Rechtsordnung als rechtlich irrelevant angesehen. Im konkreten Fall hatte der Portalbetreiber die Verbindlichkeit der Bestellung mit einem betitelten Button „Ja ich möchte in den Newsletter aufgenommen werden“ nach Ansicht der Behörde hergestellt. Hieraus folgert die Behörde: „Die Annahme eines Werbe-Newsletters ließ sich daher nicht anders als eine mit dem Vertragsschluss geschuldete Gegenleistung verstehen“. Die Behörde scheint also davon auszugehen, dass die für den Versand des Newsletters erforderliche Verarbeitung für die Vertragsdurchführung erforderlich ist. „Wird die Datenverarbeitung zum Zwecke der Werbung zum integralen Bestandteil des Vertrages gemacht, wird das Kopplungsverbot nicht berührt“. Leider konkretisiert die Behörde nicht, wo sie hier den Vertrag sieht und welche Art dieser hat (Download und Nutzung der Checkliste?).
Der beschriebene Fall ist meines Erachtens natürlich auch für andere Konstellationen relevant, in denen Dienstleistungen oder Produkte im Gegenzug gegen eine werbliche Nutzung von Daten bereitgestellt werden sollen. Insbesondere auch vor dem Hintergrund, dass der EDSA in seinen Guidelines zum Merkmal der "Erforderlichkeit" im Rahmen des Art. 6 Abs. 1 lit. b DSGVO eine viel strengere (also engere) Ansicht vertritt, als hier die Datenschutzbehörde.
Was mir persönlich in der Begründung der Behörde fehlt, ist eine Auseinandersetzung mit den Anforderungen des § 7 UWG, der für werbliche Ansprachen per E-Mail bekanntlich eine Einwilligung erfordert und neben der DSGVO zu beachten ist, da § 7 UWG eine Umsetzung der Vorgaben der Richtlinie 2002/58/EG darstellt.
|
|
|
|
|
Aktuelle Rechtsprechung
|
|
|
|
Datenschutzrechtliche Zulässigkeit von Corona-Schnelltests
Das LG Mannheim hat mit Urteil vom 9.12.2020 (Az. 14 O 207/20 Kart) u.a. zu der Frage entschieden, ob die Datenverarbeitung im Rahmen eines Corona-Schnelltests gegen das Datenschutzrecht verstoßen würde. In dem Verfahren ging es um die Fortsetzung der Fußball Regionalliga Südwest und ein damit verbundenes Hygienekonzept. Dieses seht auch Corona-Schnelltest der Spieler kurz vor Partien vor.
Nach Ansicht des Landgerichts verstößt die mit den Corona-Schnelltests zusammenhängende Verarbeitung von (Gesundheits-)Daten der Getesteten nicht gegen die DSGVO. Die Datenverarbeitung diene der Beurteilung der Arbeitsfähigkeit der (zumindest geringfügig, auf 450 EUR-Basis beschäftigten) Fußballspieler. Rechtsgrundlage ist nach Ansicht des LG Art. 9 Abs. 2 lit. h DSGVO (iVm Art. 9 Abs. 4 DSGVO, § 22 Abs. 1 Nr. 1b BDSG). Das LG scheint hier also auf die Erforderlichkeit zur Durchführung des Arbeitsverhältnisses und die Beurteilung der Arbeitsfähigkeit der Fussballspieler abzustellen.
Diese Ansicht dürfte vor allem für Unternehmen relevant sein, die ihre Mitarbeiter testen möchten bzw. müssen, um den Betrieb aufrechtzuhalten und damit das Arbeitsverhältnis durchführen.
|
|
|
|