Sehr geehrte Damen und Herren,

wir hoffen, dass Sie gut in das neue Jahr gestartet sind! Für 2020 haben wir uns vorgenommen, Sie auch weiterhin jeden Monat in gewohnter Weise mit unseren Datenschutz-Newslettern über aktuelle Themen aus den Bereichen Datenschutz und Datensicherheit zu informieren. Wir sind dabei zuversichtlich, dass sich dafür ausreichend Anlässe und Fragestellungen finden werden.

Im vergangenen Jahr gab es eine Fülle von neuen Erkenntnissen zur Auslegung und Umsetzung der Anforderungen aus der Datenschutz-Grundverordnung, zuletzt bestimmten unter anderen die steigenden Bußgelder für Datenschutzverstöße die Diskussion – was uns auch in diesem Jahr weiter beschäftigen wird. Für den aktuellen Newsletter fassen wir in unserem Rückblick noch einmal die Schwerpunkte aus dem letzten Jahr für Sie zusammen und wagen einen kurzen Ausblick. Zusätzlich berichten wir auch über neue Bußgelder gegen 1&1 sowie gegen ein deutsches Krankenhaus, den aktuellen Stand im neuen EuGH-Verfahren zum internationalen Datentransfer sowie eine umfangreiche Studie zum Datenschutz bei Online-Portalen.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters können Sie sich an die E-Mail-Adresse datenschutz@brandi.net wenden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Rückblick 2019 / Ausblick 2020

Das Jahr 2019 war ein wichtiges Jahr für den Datenschutz in Deutschland und Europa. Nachdem im Vorjahr der Schwerpunkt bei den Aktivitäten der Aufsichtsbehörden und vieler Unternehmen noch bei Prüfung bzw. Umsetzung der allgemeinen Grundsätze der Datenschutz-Grundverordnung (DSGVO) lag, wurde im Jahr 2019 von allen datenschutzrechtlichen Akteuren eine tiefergehende Auseinandersetzung mit der Materie verlangt. Die „Übergangsphase nach der Übergangsphase“, also die Zeitspanne der großen Unsicherheiten seit dem 25. Mai 2018, dem Tag der Anwendung der Regelungen der DSGVO, scheint nunmehr (fast) vorbei zu sein.

Wir haben den Jahreswechsel zum Anlass genommen, die im letzten Jahr schwerpunktmäßig behandelten Themen noch einmal Revue passieren zu lassen. Dabei schauen wir zunächst auf unseren eigenen Datenschutz-Newsletter, dann auf die Rechtsprechung und danach auf die Datenschutz-Aufsichtsbehörden. Zum Schluss geben wir dabei auch einen kurzen Ausblick auf das neue Jahr 2020.

Zum vollständigen Schwerpunktthema

BfDI: 9,55 Mio. Euro Bußgeld gegen 1&1

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat gegen den Telekommunikationsdienstleister 1&1 Telecom GmbH ein Bußgeld in Höhe von 9,55 Mio. Euro festgesetzt. Das Unternehmen hatte keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können. Anrufer konnten bei der Kundenbetreuung des Unternehmens allein schon durch Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu diesen Personen erlangen. Die Höhe des Bußgeldes war nach Auffassung der Aufsichtsbehörde gerechtfertigt, weil der Verstoß nicht nur auf einen geringen Teil der Kunden begrenzt war, sondern ein Risiko für den gesamten Kundenbestand darstellt.

1&1 hat das Authentifizierungsverfahren bei Kundenanrufen zwischenzeitlich verbessert. In einer Pressemitteilung kündigte das Unternehmen außerdem an, gegen den Bußgeldbescheid der Behörde gerichtlich vorzugehen. Nach Auffassung der Datenschutzbeauftragten von 1&1 sei insbesondere das von der Behörde verwendete Konzept zur Bemessung der Bußgeldhöhe grundrechtswidrig und unverhältnismäßig. Mit der Frage, ob das neue Bußgeldkonzept einer gerichtlichen Überprüfung standhalten kann, haben wir uns insoweit bereits in unserem diesbezüglichen Schwerpunktthema vom November 2019 befasst.

Datenschutzbehörde Rheinland-Pfalz: 105.000 Euro Bußgeld gegen Krankenhaus

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hat gegenüber einem Krankenhaus in Rheinland-Pfalz eine Geldbuße in Höhe von 105.000 Euro verhängt. Die bestandskräftige Geldbuße beruht auf mehreren Verstößen gegen die Datenschutz-Grundverordnung im Zusammenhang mit einer Patientenverwechslung bei der Aufnahme des Patienten. Diese hatte eine falsche Rechnungsstellung zur Folge und offenbarte strukturelle technische und organisatorische Defizite des Krankenhauses beim Patientenmanagement. Der Landesbeauftragte für Datenschutz wies in einer Presseerklärung darauf hin, er hoffe, „dass die Geldbuße auch als Signal gewertet wird, dass die Datenschutzaufsichtsbehörden auf dem Feld des Umgangs mit Daten im Gesundheitswesen besondere Wachsamkeit an den Tag legen“.

Ähnlich wie im Fall von 1&1 wurden auch im Falle des Krankenhauses in Rheinland-Pfalz die unzureichenden technischen und organisatorischen Maßnahmen des Unternehmens zum Anlass genommen, ein Bußgeld zu verhängen. Unternehmen ist zu empfehlen, aufgrund dieser Fälle die eigenen technischen und organisatorischen Maßnahmen zu überprüfen.

Schrems II: Schlussvortrag des Generalanwalts

Die EU-Standardvertragsklauseln sind gegenwärtig Gegenstand eines Verfahrens vor dem Europäischen Gerichtshof (EuGH). In dem Verfahren („Schrems II“) hat nun der zuständige Generalanwalt seine Schlussvorträge veröffentlicht (Schlussanträge vom 19.12.2019, Az.: C-311/18).

Inhaltlich geht es um die Weitergabe der Daten von EU-Bürgern an den Facebook-Konzern in den USA. Die Datenschutz-Grundverordnung sieht wie die Richtlinie über die Verarbeitung personenbezogener Daten vor, dass personenbezogene Daten an ein Drittland übermittelt werden können, wenn dieses für die Daten ein angemessenes Schutzniveau sicherstellt (Art. 44 DSGVO). Liegt kein Beschluss der Kommission gem. Art. 45 DSGVO vor, mit dem die Angemessenheit des Schutzniveaus im betreffenden Drittland festgestellt wird, darf der für die Verarbeitung Verantwortliche die Übermittlung dennoch vornehmen, wenn geeignete Garantien zur Absicherung der Datenverarbeitung bestehen. Diese Garantien können unter anderem in Form eines Vertrags zwischen dem Exporteur und dem Importeur der Daten vorgesehen werden. Wenn dazu die von der Europäischen Kommission vorgegebenen Standardvertragsklauseln zur Anwendung kommen, entfällt eine Einzelfallprüfung durch die zuständige Aufsichtsbehörde.

Der Kläger, der Datenschutzaktivist Max Schrems aus Österreich, vertritt die Auffassung, dass die Nutzung der Standardvertragsklauseln nicht automatisch eine Garantie für ein ausreichendes Schutzniveau bieten, da die Standardvertragsklauseln die Behörden des Drittbestimmungslandes nicht binden und diese somit dem Datenimporteur Pflichten auflegen können, die mit der Beachtung der Standardvertragsklauseln nicht vereinbar sind.

Der Generalanwalt folgt dieser Argumentation in seinen Schlussanträgen nicht. Allein aufgrund der theoretisch möglichen Einflussnahme durch ausländische Behörden läge noch keine Ungeeignetheit der Standardvertragsklauseln vor. Vielmehr müsse jeweils im konkreten Einzelfall überprüft werden, ob ein Unternehmen sich nicht an die Standardvertragsklauseln halte. Dies sei Aufgabe der jeweiligen Datenschutz-Aufsichtsbehörde, im vorliegenden Fall bei Facebook also die Aufsichtsbehörde in Irland. Der Generalanwalt betont in diesem Zusammenhang aber, dass die prüfenden Aufsichtsbehörden unter Art. 58 Abs. 2 DSGVO und Art. 8 der EU-Grundrechte-Charta verpflichtet sind, die Datenweitergabe in einen Drittstaat zu untersagen, wenn Unternehmen in ihrem Zuständigkeitsbereich die Standardvertragsklauseln nicht einhalten. Der Auffassung der irischen Aufsichtsbehörde, wonach die Untersagung eine Ermessenentscheidung der Behörde sei, erteilt der Generalanwalt damit eine Absage. Vielmehr müsse eine Aufsichtsbehörde mit sorgfältigster Prüfung („with all due diligence“) auf Hinweise der Betroffenen auf eine den Standardvertragsklauseln zuwiderlaufende Datenweitergabe reagieren.

Der Generalanwalt sieht im konkreten Fall also die irische Datenschutzaufsichtsbehörde in der Handlungspflicht. In seinen Ausführungen geht der Generalanwalt auch auf das EU-US-Privacy-Shield ein, obwohl dieses nicht Gegenstand der Vorlagefrage im konkreten Verfahren ist, sondern Gegenstand eines anderen EuGH-Verfahrens (Az.: T‑738/16). Der Generalanwalt äußert in seinen Schlussanträgen „gewisse Bedenken“ gegen die Vereinbarkeit des EU-US-Privacy-Shields mit Art. 45 DSGVO und Art. 7, 8 und 47 der EU-Grundrechte-Charta.

Die Schlussanträge des Generalanwalts sind für den Gerichtshof nicht bindend. Aufgabe des Generalanwalts ist es, dem Gerichtshof in „völliger Unabhängigkeit“ einen Entscheidungsvorschlag für die betreffende Rechtssache zu unterbreiten. In der Praxis folgen die Richter aber oftmals der Argumentation des Generalanwalts. Eine abschließende Entscheidung des EuGHs in diesem Verfahren ist frühestens im zweiten Quartal 2020 zu erwarten. In der Zwischenzeit sollte es dabei bleiben, dass bei der Zusammenarbeit mit Unternehmen außerhalb der Europäischen Union die datenschutzrechtliche Zulässigkeit besonders sorgfältig geprüft werden sollte, soweit in dem Drittland nicht generell ein angemessenes Datenschutzniveau besteht.

BMJV: Studie zum Datenschutz bei Online-Diensten

Wissenschaftler der Universität Göttingen haben für das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) untersucht, wie 35 große Onlinedienste die Datenschutz-Grundverordnung (DSGVO) umsetzen. Zu den untersuchten Portalen zählen etwa Amazon, Google, WhatsApp, Zalando und Otto. Ein Schwerpunkt liegt auf den Verbraucherrechten der DSGVO, insbesondere der Einwilligung der Nutzer, Transparenz und Information. Zwischen den einzelnen Themenbereichen zeigen sich hinsichtlich der Erfüllung der Anforderungen deutliche Unterschiede. Am weitesten fortgeschritten ist die Umsetzung beim Thema Informationspflichten und Transparenz. Große Schwachpunkte ergaben sich hinsichtlich der verwendeten Rechtsgrundlagen, insbesondere bei der rechtskonformen Gestaltung von Einwilligungen. Die größten Defizite ergaben sich beim Schutz von Minderjährigen, beim Umfang mit besonderen Kategorien personenbezogener Daten und bei personalisierter Werbung, obwohl für diese Bereiche nach der DSGVO besonders strenge Anforderungen gelten.

Die vollständige 300-seitige Studie des BMJV steht online zum Abruf zur Verfügung.