Sehr geehrte Damen und Herren,

jedes Jahr bringt verschiedene datenschutzrechtliche Entwicklungen und Herausforderungen mit sich, von denen wir die wesentlichen Themen traditionell in der Januar-Ausgabe unseres Newsletters zusammenfassen. In dem Schwerpunktthema der ersten Ausgabe in diesem Jahr blicken wir daher noch einmal zurück auf Datenschutzthemen aus dem Jahr 2021 und wagen einen Ausblick für das aktuelle Jahr.

Über die aktuellen und zukünftigen datenschutzrechtlichen Geschehnisse und Herausforderungen wird das Datenschutzteam von BRANDI Sie natürlich auch weiterhin in gewohnter Weise auf dem Laufenden halten. Wir berichten über die aktuelle Rechtsprechung und die Aktivitäten der Aufsichtsbehörden, beispielsweise über ein Bußgeld in Höhe von 6,5 Mio. Euro gegen den Betreiber der Dating- und Social-Networking-App Grindr.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Jahresrückblick 2021 und Ausblick auf 2022

Die Ausbreitung des Corona-Virus hat im Jahr 2021 Herausforderungen mit sich gebracht, die auch von datenschutzrechtlicher Relevanz sind. Unter anderem haben die Kontaktnachverfolgung, die Durchführung von Corona-Selbsttests und die Einführung der 3G-Regel am Arbeitsplatz in Unternehmen zahlreiche datenschutzrechtliche Fragen aufgeworfen.

Unabhängig von der Corona-Pandemie gab es neue Entwicklungen im Datenschutzrecht auch aufgrund von Tendenzen und Vorgaben aus der Rechtsprechung, aufgrund von Gesetzgebungsverfahren und Aktivitäten der Europäischen Kommission sowie der Aufsichtsbehörden. Zu nennen sind insofern beispielsweise das Inkrafttreten des neuen Telekommunikation-Telemedien-Datenschutz-Gesetzes und die Verabschiedung der aktualisierten Standardvertragsklauseln für den internationalen Datentransfer.

Den Jahreswechsel haben wir zum Anlass genommen, in unserem traditionellen Jahresrückblick wesentliche Datenschutzthemen aus dem Jahr 2021 noch einmal Revue passieren zu lassen. Außerdem wagen wir einen Ausblick auf Datenschutzthemen des Jahres 2022.

Zum vollständigen Schwerpunktthema

VG Wiesbaden: Cookiebot ist nicht DSGVO-konform

Das Verwaltungsgericht Wiesbaden hat der Hochschule RheinMain im Wege einer einstweiligen Anordnung untersagt, den Cookie-Dienst „Cookiebot“ auf ihrer Website zum Zweck der Abfrage von Einwilligungen in der Weise einzubinden, dass personenbezogene oder -beziehbare Daten des Antragstellers (einschließlich dessen IP-Adresse) an Server übermittelt werden, die von einem externen Unternehmen betrieben werden (VG Wiesbaden, Beschl. v. 01.12.2021 – Az. 6 L 738/21.WI, vgl. die Pressemitteilung des Gerichts).

Der Dienst Cookiebot ermöglicht es, die Einwilligung der Nutzer einer Internetseite in die Verwendung von Cookies einzuholen. Der Dienst überwacht die eingesetzten Cookies und blockiert solche Cookies, für die eine Zustimmung nicht erteilt wurde.

Die Einbindung von Cookiebot auf einer Website gehe nach Auffassung des Gerichts mit der rechtswidrigen Übermittlung personenbezogener Daten der Webseitennutzer einher. Da der Endnutzer aus einer Kombination eines den Webseiten-Besucher identifizierenden Keys, der im Browser des Nutzers gespeichert werde, und der übermittelten vollständigen IP-Adresse eindeutig identifizierbar sei, lägen personenbezogene Daten vor. Durch die Datenverarbeitung auf Servern eines Unternehmens, dessen Unternehmenszentrale sich in den USA befindet, entstehe ein Drittlands-Bezug zu den USA. Die Nutzer der Webseite der Hochschule würden nicht um ihre Einwilligung in eine Datenübermittlung in die USA gebeten werden. Es fände auch keine Unterrichtung über die mit der Übermittlung verbundenen möglichen Risiken durch den Datenzugriff von US-Behörden aufgrund des sogenannten Cloud-Acts statt. Die Datenübermittlung sei auch nicht für das Betreiben der Website der Hochschule erforderlich.

Gegen den Beschluss kann die Antragsgegnerin binnen zwei Wochen Beschwerde erheben, über die der Hessische Verwaltungsgerichtshof in Kassel zu entscheiden hätte. Ob sich die Auffassung des Gerichts in dem weiteren Verfahrensverlauf und zukünftig in ähnlichen Fällen durchsetzen wird, auch hinsichtlich vergleichbarer Tools und Anbieter, bleibt zunächst abzuwarten. Der sicherste Weg für Unternehmen ist es aktuell, für die Abfrage von Einwilligungen auf Internetseiten einen Dienstleister innerhalb der EU einzusetzen, der die Daten nicht in einem Drittstaat verarbeitet.

(Johanna Schmale)

Datenschutzbehörde Norwegen: Bußgeld in Höhe von 6,5 Mio. Euro gegen die Grindr LLC

Die norwegische Datenschutzbehörde Datatilsynet hat im Dezember 2021 ein Bußgeld in Höhe von umgerechnet 6,5 Millionen Euro gegen die Grindr LLC verhängt. Dem Unternehmen, das die Dating- und Social-Networking-App Grindr betreibt, wird vorgeworfen, Nutzerdaten mit Dritten geteilt zu haben, ohne dass für diese Datenverarbeitung eine Rechtsgrundlage bestand.

Nach Auffassung der Behörde seien für die Datenübermittlung wirksame Einwilligungen der Nutzer erforderlich gewesen, über die die Grindr LLC jedoch nicht verfügt habe. Die Datenschutzerklärung der App hätte von den Nutzern zwingend in ihrer Gesamtheit akzeptiert werden müssen, um die App nutzen zu können. Die Nutzer seien jedoch nicht speziell nach ihrer Einwilligung in die Übermittlung ihrer Daten an Dritte gefragt worden. Zudem hätte das Unternehmen die Nutzer nicht in ausreichender Weise über die Datenverarbeitung informiert.

Da sich die Dating-App Grindr vorwiegend an Schwule, Bisexuelle und Transsexuelle richte, lasse die Tatsache der Nutzung der App Rückschlüsse auf die sexuelle Orientierung des Nutzers zu. Es handele sich deshalb um besonders schützenswerte Daten.

Bereits im Januar 2021 hatte die Datenschutzbehörde die Verhängung eines Bußgeldes für den Datenschutzverstoß angekündigt, worüber wir in unserem Datenschutz-Newsletter im März 2021 berichtet haben. Zum damaligen Zeitpunkt beabsichtigte die Behörde noch, ein Bußgeld in Höhe von rund 9,6 Millionen Euro zu verhängen. In ihrer aktuellen Äußerung hielt die Datenschutzbehörde die Herabsetzung des Bußgeldes jedoch für gerechtfertigt und gab zur Begründung an, seit ihrer Ankündigung von dem Unternehmen weitere Informationen zu dessen Größe und finanzieller Lage erhalten zu haben und außerdem die Änderungen, die das Unternehmen zur Behebung der Mängel vorgenommen hat, berücksichtigt zu haben. Das Unternehmen kann gegen die Entscheidung der Aufsichtsbehörde noch innerhalb von drei Wochen Einspruch erheben.

(Johanna Schmale)

Deutsche Wohnen: Kammergericht legt EuGH Fragen zur Verhängung von Bußgeldern vor

Nach einem Vorlagebeschluss durch das Kammergericht in Berlin muss sich jetzt der EuGH mit der Frage befassen, inwieweit es für die Verhängung eines Bußgeldes gegen ein Unternehmen erforderlich ist, dass ein Fehlverhalten durch konkrete Mitarbeiter vorliegt und nachgewiesen werden kann (KG, Beschl. v. 06.12.2021, Az. 3 Ws 250/21). Ursprünglich hatte die Aufsichtsbehörde in Berlin gegen das Immobilienunternehmen Deutsche Wohnen SE bereits 2019 einen Bußgeldbescheid über 14,5 Millionen Euro erlassen, gegen den sich das Unternehmen allerdings juristisch zur Wehr setzt (vgl. unser Datenschutz-Newsletter im Dezember 2019). Das Landgericht Berlin hat dann tatsächlich in erster Instanz die Entscheidung der Aufsichtsbehörde mit dem Argument aufgehoben, dass ein Verschulden einer Leitungsperson nicht ausreichend nachgewiesen worden wäre und das nach deutschem Recht nur in diesem Fall ein Bußgeld gegen ein Unternehmen verhängt werden könne (vgl. unser Datenschutz-Newsletter im März 2021). In zweiter Instanz sollte diese Bewertung durch das Kammergericht auf Betreiben der Staatsanwaltschaft und der Aufsichtsbehörde überprüft werden. Nach Auffassung des Kammergerichts kommt es zumindest in Betracht, die Bußgeldbestimmung in Art. 83 DSGVO so zu verstehen, dass generell die Sanktionierung von Unternehmen möglich sein soll, und zwar unabhängig von einem konkreten Verschuldensvorwurf gegen einzelne Personen. Soweit sich diese Anforderung aus Art. 83 DSGVO ableiten lässt, dürften die einzelnen Mitgliedsstaaten keine abweichenden Vorgaben treffen, durch die die europaweit einheitlichen Datenschutzbestimmungen beschränkt werden. Weil es hierbei letztlich um eine Frage der Auslegung der DSGVO geht, hat das Kammergericht im Rahmen eines sogenannten Vorlageverfahrens beschlossen, den EuGH zur Beantwortung der entsprechenden Fragen anzurufen. Nach der Entscheidung des EuGH wird dann das Verfahren vor dem Kammergericht unter Berücksichtigung der Hinweise des EuGH fortgesetzt werden. In der Zwischenzeit dürfte damit zu rechnen sein, dass auch zukünftig strittige Bußgeldbescheide vorsorglich von den Betroffenen in der Hoffnung auf eine für sie günstige Entscheidung des EuGH angefochten werden.

(Dr. Sebastian Meyer)

LDI NRW: Hinweise zu Fragen und Maßnahmen zum Schutz vor Corona-Infektionen

Im Mai 2021 hat die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) zu der Erhebung von Gesundheitsdaten durch den Arbeitgeber eine Einschätzung auf ihrer Homepage veröffentlicht. Diese Hinweise hat sie im Dezember 2021 aktualisiert und an die aktuell geltenden Regelungen zur Eindämmung der Corona-Pandemie angepasst. Die Hinweise enthalten nun Informationen zu Fragen und Maßnahmen von Arbeitgebern zum Schutz vor Corona-Infektionen und der damit einhergehenden Erhebung von Gesundheitsdaten.

In ihrer Einschätzung erläutert die LDI NRW, dass Informationen über die Gesundheit von Beschäftigten oder Bewerbern einem besonderen Schutz unterliegen, deren Verarbeitung im Arbeitsverhältnis in einem engen gesetzlichen Rahmen erlaubt ist. Sie gibt außerdem Hinweise für verschiedene Fallkonstellationen im Zusammenhang mit der Corona-Pandemie, unter anderem zu den Fragen, unter welchen Voraussetzungen Arbeitgeber die Beschäftigten zu Krankheitssymptomen einer möglichen Corona-Infektion und zu Reisezielen befragen dürfen und wie 3G-Kontrollen am Arbeitsplatz datenschutzkonform durchgeführt werden können.

(Johanna Schmale)

Datenschutzrechtliche Konsequenzen des Betriebsrätemodernisierungsgesetzes

Bereits am 18.06.2021 ist das Gesetz zur Förderung der Betriebsratswahlen und der Betriebsratsarbeit in einer digitalen Arbeitswelt (Betriebsrätemodernisierungsgesetz) in Kraft getreten. Mit dem Gesetz sind zahlreiche Änderungen des Betriebsverfassungsgesetzes (BetrVG) verbunden, etwa bezüglich der Gründung von Betriebsräten und deren Wahl, der Ausgestaltung mobiler Arbeit und der Einbindung des Betriebsrates bei dem Einsatz von künstlicher Intelligenz. Mit dem durch die Gesetzesinitiative neu geschaffenen § 79a BetrVG werden klarstellende Aussagen zur datenschutzrechtlichen Verantwortlichkeit des Betriebsrates getroffen.

Einen Überblick über die datenschutzrechtlichen Konsequenzen des Gesetzes, insbesondere hinsichtlich der datenschutzrechtlichen Verantwortlichkeit des Betriebsrates, haben Frau Dr. Laura Schulte und Herr Dr. Sebastian Meyer in einem aktuellen Beitrag in unserem BRANDI-Blog veröffentlicht.

(Johanna Schmale)