Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht

Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

das Team von BRANDI freut sich, Sie in diesem Newsletter auf den neuen BRANDI-Podcast aufmerksam machen zu dürfen, der Sie zukünftig neben dem Datenschutz-Newsletter als weiteres Medium über aktuelle rechtliche Entwicklungen informieren wird. Im Dezember 2020 ist die erste Folge des BRANDI-Podcasts erschienen. Wir laden Sie herzlich zum Zuhören ein – nähere Informationen über die Abrufbarkeit des Podcasts und die aktuelle Folge finden Sie in diesem Newsletter.

Wir berichten in unserem Newsletter außerdem wie gewohnt über aktuelle Geschehnisse aus dem Datenschutzrecht. In unserem Schwerpunktthema informieren wir über die wesentlichen datenschutzrechtlichen Ereignisse im Jahr 2020 und geben einen Ausblick auf das Jahr 2021, für das wir Ihnen alles Gute wünschen.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer, Dr. Christoph Rempe und das Datenschutzteam von BRANDI

Thema des Monats: Jahresrückblick 2020 und Ausblick 2021

Das Jahr 2020 hat aufgrund der Ausbreitung des Corona-Virus einige Herausforderungen mit sich gebracht, die so nicht vorhersehbar waren und sich auch in der datenschutzrechtlichen Schwerpunktsetzung niedergeschlagen haben. Der verstärkte Einsatz von IT-Technologien als Maßnahme zur Eindämmung des Virus, beispielsweise bei der Tätigkeit im Home Office oder der Organisation von Online-Besprechungen, hat in vielen Unternehmen zahlreiche datenschutzrechtliche Fragen aufgeworfen.

Neue Entwicklungen im Datenschutzrecht gab es unabhängig von der Corona-Pandemie aber auch aufgrund neuer Tendenzen und Vorgaben aus der Rechtsprechung – unter anderem bezüglich des Einsatzes von Cookies und der Datenübermittlung in Drittstaaten – sowie aufgrund von Aktivitäten der Aufsichtsbehörden.

Den Jahreswechsel haben wir zum Anlass genommen, in unserem traditionellen Jahresrückblick wesentliche Datenschutzthemen aus dem Jahr 2020 noch einmal Revue passieren zu lassen; gleichzeitig wagen wir auch einen Ausblick auf das Jahr 2021.

Zum vollständigen Schwerpunktthema

Kein immaterieller Schadensersatz für geringfügige Beeinträchtigungen

Das Landgericht Landshut hat in einem Verfahren die Anforderungen für immateriellen Schadensersatz auf Grundlage von Datenschutzverstößen gemäß Art. 82 Abs. 1 DSGVO weiter konkretisiert. In dem entsprechenden Verfahren hat das Gericht die von dem Betroffenen geltend gemachten Schadensersatzansprüche unter anderem mit dem Argument vollständig abgelehnt, es liege jedenfalls keine hinreichend spürbare Beeinträchtigung des Betroffenen vor (LG Landshut, Urteil vom 06.11.2020, Az. 51 O 513/20). Hintergrund des Verfahrens war eine Auseinandersetzung innerhalb einer größeren Eigentümergemeinschaft. Im Zuge der Vorbereitung der Eigentümerversammlung hatte die Hausverwaltung auf einen Legionellen-Befall in einzelnen Wohnungen hingewiesen und dabei die jeweiligen Eigentümer explizit benannt. Der Betroffene ist hiergegen vorgegangen und hatte sich zunächst außergerichtlich über die Offenlegung von personenbezogenen Daten gegenüber der übrigen Eigentümergemeinschaft der knapp 100 Miteigentümer beschwert. In diesem Zuge hat der externe Datenschutzbeauftragte der Hausverwaltung jedenfalls aus Sicht des Betroffenen einen Fehler durch die Hausverwaltung eingeräumt. Im gerichtlichen Verfahren wollte der Betroffene einen immateriellen Schadensersatzanspruch von 7.000,00 € mit dem Argument durchsetzen, er erwarte eine Entschädigung in Höhe von 100,00 € pro Person, der gegenüber zu Unrecht Daten offengelegt worden seien, wobei neben der Hausverwaltung zugleich auch der externe Datenschutzbeauftragte ebenfalls direkt zur Zahlung verurteilt werden sollte. Das Gericht hat im konkreten Fall entschieden, dass innerhalb der Eigentümergemeinschaft die Offenlegung von weiteren Details durchaus gerechtfertigt sein kann, was denkbar ist, sich aber nicht unbedingt aufdrängt. Unabhängig hiervon führt das Gericht aber aus, dass jedenfalls keine relevante Beeinträchtigung des Betroffenen vorliege, so dass kein immaterieller Schadensersatz gezahlt werden müsse. Im konkreten Fall ist diese Entscheidung sicherlich richtig gewesen, allerdings dürfen nach der Logik der DSGVO die Anforderungen für einen immateriellen Schadensersatz aber auch nicht überspannt werden. Der immaterielle Schadensersatz wurde gerade für Fälle geschaffen, bei denen ein konkreter Schaden nicht nachweisbar ist, so dass auch eine nicht klar messbare Beeinträchtigung derartige Ansprüche rechtfertigen kann. Richtig ist aber natürlich, dass der externe Datenschutzbeauftragte daneben keinesfalls direkt in Anspruch genommen werden kann, sofern ihn kein eigenes Verschulden trifft.

(Dr. Sebastian Meyer)

18 Mio. Euro DSGVO-Bußgeld gegen österreichische Post aufgehoben

Das österreichische Bundesverwaltungsgericht (BVwG) hat ein Bußgeld in Höhe von 18 Mio. Euro gegen die österreichische Post aufgehoben (BVwG-Erkenntnis vom 26.11.2020 W258 2227269-1/14E). Dieses Bußgeld war im Oktober 2019 gegen die österreichische Post verhängt worden, weil diese Daten der Postkunden hinsichtlich des Kriteriums „Parteiaffinität“ im Wahlkampf erhoben, verarbeitet und weitergegeben hatte. Darin sah das BVwG zwar einen Datenschutzverstoß. Das „Straferkenntnis“ der Datenschutzbehörde, mit dem das Bußgeld von 18 Millionen Euro gegen die österreichische Post verhängt wurde, hat das BVwG dennoch aufgehoben und das Strafverfahren beendet. Ausschlaggebend für diese Entscheidung war eine „höchstgerichtliche Erkenntnis“ in Kombination mit einem Formfehler. So hatte der österreichische Verwaltungsgerichtshof (VwGH) in einem anderen Fall Erkenntnis ausgesprochen, dass es für die Verhängung einer Geldbuße über eine juristische Person erforderlich sei, ein tatbestandsmäßiges, rechtswidriges und schuldhaftes Verhalten einer natürlichen Person, das der juristischen Person zugerechnet werden soll, darzutun und in den Spruch aufzunehmen. Dies hatte die Datenschutzbehörde nicht getan und in ihrem Spruch keine natürliche Person genannt, der das schuldhafte Verhalten der Post zuzurechnen war. Da der Sachverhalt mittlerweile verjährt ist, kommt auch keine Neuerlassung des Straferkenntnisses in Betracht.

Es kann damit gerechnet werden, dass durch dieses Urteil in Österreich zukünftig auch die Vertreter juristischer Personen verstärkt in den Fokus aufsichtsbehördlicher Ermittlungen gelangen. Auf Deutschland lässt sich der Fall hingegen nur begrenzt übertragen, da das deutsche Recht bei der formalen Begründung von Bußgeldbescheiden gegen juristische Personen keine dem österreichischen Recht vergleichbaren Anforderungen aufstellt.

(Robert Bommel)

CNIL: Bußgeld i. H. v. 100 Mio. Euro gegen Google

Die französische Datenschutzaufsichtsbehörde CNIL hat ein Bußgeld in Höhe von 100 Mio. Euro gegen Google verhängt. Nach eigenen Angaben habe sie drei Verstöße gegen Art. 82 des French Data Protection Act erkannt.

Die CNIL wirft Google vor, das Unternehmen habe ohne vorherige Zustimmung und ohne ausreichende Information Cookies auf Geräten von Nutzern der Suchmaschine google.fr gesetzt. Sie bemängelte außerdem den dortigen Widerspruchsmechanismus, da die Nutzer nicht ausreichend darüber informiert würden, wie sie technisch nicht notwendige Cookies vollständig ablehnen könnten.

Das Bußgeld wurde in Höhe von 60 Mio. Euro gegen die Google LLC und in Höhe von 40 Mio. Euro gegen die Google Ireland Limited verhängt. Ob Google gerichtlich gegen das Bußgeld vorgeht, bleibt abzuwarten.

(Johanna Schmale)

Empfehlungen für die Ergänzung geeigneter Garantien i.S.v. Art. 46 DSGVO veröffentlicht

Am 10. November 2020 veröffentlichte der Europäische Datenschutzausschuss (im Folgenden: edpb) Empfehlungen für die Ergänzung von Transferinstrumenten, die der Verwirklichung der Anforderungen des 5. Kapitels der DSGVO über internationale Datentransfers dienen sollen. Mit diesen Empfehlungen versucht der edpb der Rechtsunsicherheit zu begegnen, die nach dem Schrems II-Urteil des EuGH im Hinblick auf die Verwendung der Standardvertragsklauseln entstanden ist. Hier entschied das Gericht u. a., dass ein Datenexporteur – also eine Stelle, die personenbezogene Daten aus der EU hinaus in einen „unsicheren“ Drittstaat übermittelt – in jedem Einzelfall und ggf. in Zusammenarbeit mit dem Datenimporteur im Drittland prüfen müsse, ob die Rechtslage bzw. -praxis in dem Drittstaat die Einhaltung der Standardvertragsklauseln erlaube. Nach Ansicht des EuGH sind unter gewissen Umständen zusätzlich zu dem Abschluss der Standardvertragsklauseln weitere Maßnahmen zu ergreifen, um das erforderliche Datenschutzniveau zu gewährleisten. Zusätzliche Maßnahmen können technischer, organisatorischer und vertraglicher Natur sein.

Wie genau jene vertraglichen, technischen und organisatorischen Schutzmaßnahmen aussehen sollen, konkretisierte der EuGH in der Entscheidung Schrems II jedoch nicht. Bislang haben die nationalen Aufsichtsbehörden leider nur wenig zur Auflösung der bestehenden Rechtsunsicherheit beigetragen.

Im Rahmen des nunmehr veröffentlichten Dokuments stellt der edpb zum einen einen Stufenplan auf, welcher helfen soll, die datenschutzrechtlichen Anforderungen an internationale Datentransfers zu verwirklichen. Zum anderen benennt der edpb explizit technische, organisatorische und vertragliche Mittel, die der Ergänzung der Standardvertragsklauseln dienen sollen. Der Stufenplan lässt sich wie folgt zusammenfassen:

  1. Erfassung aller Datentransfers, bei denen personenbezogene Daten in einen Drittstaat übermittelt werden.
  2. Ermittlung der geeigneten Garantie i. S. v. Art. 46 DSGVO, die den Datentransfer absichern soll. Liegt kein (gültiger) Angemessenheitsbeschluss vor, werden die folgenden Stufen relevant.
  3. Klärung, ob in dem jeweiligen Drittstaat eine Rechtslage oder -praxis besteht, welche das unter Geltung der Standardvertragsklauseln herrschende Datenschutzniveau negativ beeinfluss könnte. Bei diesem Assessment kann auf weitere Empfehlungen des edpb über grundlegende Garantien im Zusammenhang mit Überwachungsmaßnahmen zurückgegriffen werden.
  4. Installation zusätzlicher Maßnahmen, um ein etwaiges Datenschutzdefizit zu kompensieren.
  5. Erfüllung ggf. bestehender erforderlicher formaler Anforderungen an die Umsetzung der zusätzlichen Schutzmaßnahmen, etwa die Abstimmung mit der zuständigen Aufsichtsbehörde.
  6. Evaluation des Schutzniveaus der von internationalen Datentransfers betroffenen personenbezogenen Daten in angemessenen Zeitabständen.

Zu den geeigneten technischen Schutzmaßnahmen zählen nach dem Dokument insbesondere Verschlüsselungs- und Anonymisierungstechniken, die der edpb im Rahmen verschiedener Use Cases abbildet. Als organisatorische Schutzmaßnahmen empfiehlt der edpb primär die Statuierung interner (Datenschutz-)Richtlinien, deren möglicher Inhalt durch den edpb konkretisiert wird. Schließlich führt der edpb verschiedene Vertragsklauseln auf, welche dem besonderen Datenschutzrisiko, das in einem konkreten Drittstaat bzw. einer bestimmten Verarbeitungssituation herrschen kann, Rechnung tragen soll. Im Hinblick auf vertragliche Maßnahmen besteht die besondere Herausforderung, dass zusätzliche Maßnahmen nicht im Widerspruch zu dem Text bzw. Regelungsinhalt der Standardvertragsklauseln stehen dürfen. Eine grundsätzliche Orientierung, wie vertragliche Ergänzungen zur Absicherung internationaler Datentransfers aussehen können, lässt sich u. a. unserem Fachbeitrag „Vertragliche Absicherung internationaler Datentransfers“ entnehmen. Pauschale Aussagen, wann welche Ergänzung zweckmäßig ist, lassen sich vor dem Hintergrund der Vielgestaltigkeit von Datenverarbeitungsprozessen und Datenschutzrisiken nur schwer treffen. Einige Ergänzungen mögen in bestimmten Ländern wirksam sein, in anderen jedoch nicht.

Auch wenn die Empfehlungen nicht sämtliche offenen Aspekte dieses Themenkomplexes adressieren, zeigen sie jedoch, dass schrittweise die durch die Entscheidung Schrems II aufgeworfenen Rechtsfragen einer verbindlichen Klärung zugeführt werden.

(Dr. Laura Schulte)

Hackerangriff auf die US-Regierung

Im Dezember 2020 ist ein Hackerangriff auf die US-Regierung, Forschungseinrichtungen und private Unternehmen bekannt geworden. Die Hacker haben durch den Angriff Zugriff auf sensible Bereiche der US-Regierung, unter anderem auf das Außenministerium, das Handelsministerium und die amerikanische Behörde für nukleare Sicherheit, erhalten. Zugriffe sind außerdem auch außerhalb der USA, unter anderem von deutschen Unternehmen und Behörden, gemeldet worden. Das genaue Ausmaß des Angriffs und die Täter sind noch nicht bekannt. Es wird vermutet, dass staatliche Hacker für den Angriff verantwortlich sind.

Berichten zufolge seien die Angreifer so vorgegangen, dass sie bereits im Frühjahr 2020 Updates der Software Orion des US-amerikanischen Herstellers SolarWinds noch auf den Computern des Herstellers mit einem Schadprogramm infiziert haben. Mit der Software lassen sich Computernetzwerke managen und sichern. Das Schadprogramm habe den Hackern direkten Zugang zu den Rechnern der Opfer ermöglicht. Nach Angaben von SolarWinds habe das Unternehmen Orion weltweit an 33.000 Kunden verkauft, von denen bis zu 18.000 eine infizierte Version genutzt hätten.

Solarwinds hat bereits ein Update seiner Software veröffentlicht, das die Sicherheitslücke schließen soll. Dies ist jedoch nicht geeignet, um bereits befallene Computersysteme von dem Schadprogramm zu befreien. Unternehmen und Behörden, die die Software Orion eingesetzt haben, wird daher empfohlen, ihre eigenen Systeme genau auf einen etwaigen Befall zu untersuchen.

(Johanna Schmale)

Brexit: Auswirkungen auf den Datenschutz

Das Brexit-Abkommen zwischen der EU und dem Vereinigten Königreich vom 31.12.2020 enthält unter anderem Regelungen bezüglich des zukünftigen Datentransfers in das Vereinigte Königreich. Für einen Übergangszeitraum von vorerst vier Monaten ab dem 01.01.2021 wird dort vereinbart, dass das Vereinigte Königreich trotz seines Austritts aus der EU bei der Übermittlung personenbezogener Daten nicht als Drittstaat im Sinne der DSGVO gilt. Die Frist verlängert sich automatisch um weitere zwei Monate, sofern keine der Parteien der Verlängerung widerspricht.

Für europäische Datenexporteure bedeutet dies, dass zumindest bis zum 30.04.2021 und möglicherweise sogar bis zum 30.06.2021 Datenübermittlungen in das Vereinigte Königreich unter unveränderten Bedingungen möglich sind. Die Regelung stellt jedoch keine dauerhafte Lösung dar. Sollte für die Zeit nach dem Übergangszeitraum keine Regelung gefunden werden, etwa indem ein Angemessenheitsbeschluss erlassen wird, wird das Vereinigte Königreich spätestens ab dem 30.06.2021 zu einem „unsicheren“ Drittstaat, sodass bei Datenübermittlungen die besonderen Anforderungen der Art. 44 ff. DSGVO zu beachten sind.

(Johanna Schmale)

In eigener Sache: Neuer BRANDI-Podcast

Im Dezember 2020 wurde die erste Folge des BRANDI-Podcasts veröffentlicht. Zukünftig wird alle drei Monate eine neue Folge des Podcasts erscheinen, in dem über aktuelle Entwicklungen in Recht und Rechtsprechung informiert wird. In jeder Folge werden in zwei Blöcken jeweils zwei Fachleute im Gespräch miteinander ein aktuelles und praxisrelevantes Thema vorstellen und diskutieren. Damit die Zuhörer BRANDI besser kennenlernen können, stellen sich außerdem in jeder Folge Personen aus der Kanzlei vor. Die einzelnen Folgen können auf der BRANDI-Website heruntergeladen werden. Es ist möglich, die Folgen entweder in voller Länge anzuhören oder gezielt einzelne Themen aus einer Folge auszuwählen.

Der erste Podcast im Dezember 2020 widmet sich dem datenschutzrechtlichen Thema EU-US Privacy Shield und dem Thema Corona. In der ersten Folge stellen sich Daniela Deifuß-Kruse aus dem Paderborner Büro und Dr. Kevin Kruse aus dem Bielefelder Büro vor. Mitgewirkt haben außerdem Dr. Laura Schulte, Dr. Christoph Worms sowie die wissenschaftlichen Mitarbeiter Robert Bommel, LL.M. und David Plischka.

(Johanna Schmale)