Sehr geehrte Damne und Herren,

in unserem Datenschutz-Newsletter informieren wir regelmäßig über aktuelle Geschehnisse im Datenschutzrecht. Bereits in unserem Datenschutz-Newsletter im November 2020 haben wir über eine Orientierungshilfe zu Videokonferenzsystemen sowie eine dazugehörige Checkliste von der Datenschutzkonferenz („DSK“), dem Zusammenschluss der Datenschutzbehörden der Länder und des Bundes, berichtet. Die beiden Dokumente hat der Videokonferenzdienst Zoom nun genutzt, um eine eigene Datenschutz-Checkliste für die Nutzer seines Dienstes zu erstellen. In diesem Newsletter informieren wir über die Checkliste und die wichtigsten Datenschutzeinstellungen von Zoom sowie über weitere aktuelle Entwicklungen im Datenschutzrecht. Außerdem finden Sie in diesem Newsletter Informationen über den BRANDI Datenschutzrechtstag am 07.05.2021, zu dem wir Sie herzlich einladen.

In dem Schwerpunktthema unseres Datenschutz-Newsletters behandeln wir in diesem Monat die datenschutzrechtlichen Besonderheiten bei dem Einsatz der luca-App in Unternehmen.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Datenschutz bei der Nutzung der luca-App

Die Ausbreitung des Corona-Virus stellt Arbeitgeber und Beschäftigte weiterhin vor große Herausforderungen. Eine Maßnahme zur besseren Eindämmung des Virus ist die Kontaktnachverfolgung, vor allem bei Publikums- und Kundenkontakt. Mit den entsprechenden Informationen können etwaige Infektionsketten nachverfolgt und potentiell infizierte Personen früher getestet werden, wodurch eine weitere Ausbreitung des Virus verhindert werden soll. Bei der dabei stattfindenden Verarbeitung personenbezogener Daten müssen die verantwortlichen Stellen aber sicherstellen, dass die datenschutzrechtlichen Vorgaben beachtet werden.

Zur Erleichterung der Kontaktnachverfolgung gibt es verschiedene softwaregestützte Lösungen. Eine der bekanntesten Angebote ist die App luca, die schon in vielen Bereichen zum Einsatz kommt. Es lohnt sich daher eine genauere Prüfung, welche datenschutzrechtlichen Besonderheiten bei dem Einsatz der luca-App und vergleichbaren Angeboten in Unternehmen beachtet werden müssen.

Zum vollständigen Schwerpunktthema

Kann ein Unternehmen seinen Rechtsanwalt als Datenschutzbeauftragten benennen?

Unternehmen ab einer gewissen Größe müssen in Deutschland zwingend einen Datenschutzbeauftragten benennen und dies auch gegenüber der zuständigen Aufsichtsbehörde melden. Für das Unternehmen besteht dabei die Wahl, entweder einen eigenen Mitarbeiter zum Datenschutzbeauftragten zu ernennen oder gem. Art. 37 Abs. 6 DSGVO auf einen externen Datenschutzbeauftragten zurückzugreifen. Es liegt dabei auf der Hand, die Funktion des Datenschutzbeauftragten dem Rechtsanwalt anzutragen, der das Unternehmen ohnehin in rechtlichen Fragestellungen aus diesem Bereich vertritt. Wir bieten wie einige andere Kanzleien entsprechend diese Leistung für unsere Mandanten an und sehen dabei explizit den Vorteil, dass nicht nur die reine Beratung abgedeckt werden kann, sondern im Bedarfsfall auch eine streitige Auseinandersetzung mit anderen Beteiligten und Behörden.

Für Verwunderung hat daher ein Artikel in der neuen juristischen Wochenschrift gesorgt, in dem die Auffassung vertreten wurde, ein Rechtsanwalt, der ein Unternehmen anwaltlich berät, könne nicht zugleich als Datenschutzbeauftragter benannt werden (Träger, NJW-Spezial 2020, 446). Begründet wurde diese Auffassung vor allem damit, dass ein berufsrechtliches Tätigkeitsverbot für den Rechtsanwalt gem. § 45 Abs. 1 Nr. 4 BRAO bestehen könne, weil er zuvor schon in anderer Funktion – nämlich als Datenschutzbeauftragter – tätig geworden wäre. Diese Sichtweise ist natürlich falsch und bedarf daher einer Klarstellung.

In datenschutzrechtlicher Hinsicht ist zu berücksichtigen, dass durch Art. 38 Abs. 6 DSGVO klargestellt ist, dass neben der Tätigkeit als Datenschutzbeauftragter auch noch weitere Aufgaben wahrgenommen werden können, solange dies nicht zu einer Interessenkollision führt. Für den vorliegenden Fall ist dies allerdings ausgeschlossen, weil es die Aufgabe des Rechtsanwaltes ist, seinen Mandanten über die für ihn geltenden rechtlichen Bestimmungen zu informieren, was gerade auch im Einklang mit der Tätigkeit als Datenschutzbeauftragter steht. Es handelt sich insoweit also immer um gleichgelagerte Interessen.

Berufsrechtlich ist zu berücksichtigen, dass die Regelungen für Interessenkollisionen vor allem solche Fälle abdecken, in denen der Rechtsanwalt in einem Zweitberuf tätig wird. Der Rechtsanwalt wird jedoch nicht neben seiner anwaltlichen Tätigkeit die Beratung zu datenschutzrechtlichen Themen übernehmen, sondern er soll diese Aufgabe gerade als Rechtsanwalt wahrnehmen. Es handelt sich also nicht um einen Zweitberuf in diesem Sinne. Insoweit ist es selbstverständlich zulässig, dass ein Unternehmen „seinen“ Rechtsanwalt als Datenschutzbeauftragten benennt. Erst recht gilt dies natürlich dann, wenn die Aufgaben von verschiedenen Rechtsanwälten in einer Kanzlei übernommen werden. Berufsrechtlich werden ohnehin die Regelungen zu den Tätigkeitsverboten und Interessenkollisionen überarbeitet, so dass es zukünftig alleine darauf ankommt, dass nicht für verschiedene Personen mit widerstreitenden Interessen eine Tätigkeit erfolgt. Dies ist bei der einheitlichen Übernahme der Funktion des Datenschutzbeauftragten für ein Unternehmen oder eine Gruppe von Unternehmen im Regelfall ausgeschlossen.

Eine ausführlichere Darstellung der gesamten Thematik findet sich in dem Beitrag „Vereinbarkeit der Tätigkeit als Rechtsanwalt und Datenschutzbeauftragter“ in der Februar-Ausgabe der Fachzeitschrift RDV, die in Kooperation mit der GDD herausgegeben wird (Meyer, RDV 2021, 31). Bei Interesse stellen wir den Artikel gerne zur Verfügung oder informieren auch persönlich genauer über mögliche Gestaltungen zur Benennung eines Rechtsanwaltes als externen Datenschutzbeauftragten.

(Dr. Sebastian Meyer)

Datenschutzbeauftragter Baden-Württemberg: Bußgeld i. H. v. 300.000 Euro gegen die VfB Stuttgart 1893 AG

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat gegen die VfB Stuttgart 1893 AG ein Bußgeld in Höhe von 300.000 Euro verhängt. Dies geht aus einer Pressemitteilung der Behörde vom 10.03.2021 hervor.

Der Grund für das Bußgeld sei nach Angaben der Behörde die fahrlässige Verletzung der datenschutzrechtlichen Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO. Nach Angaben des VfB in einer Pressemitteilung sei insbesondere sanktioniert worden, dass bei der Zusammenarbeit mit einem externen Dienstleister die gebotenen vertraglichen Grundlagen in Bezug auf die Überlassung von Daten nicht geschaffen worden seien. Außerdem habe der VfB gegen die datenschutzrechtlichen Dokumentationspflichten verstoßen, da die E-Mail zu dem untersuchten Vorgang aus dem Jahr 2018 nicht mehr aufzufinden gewesen sei.

Nach Angaben des Landesdatenschutzbeauftragten habe der VfB mit der Behörde umfangreich kooperiert und sorge zukünftig für erhebliche organisatorische und technische Verbesserungen im Bereich Datenschutz. Der VfB kündigte in seiner Pressemitteilung an, das Bußgeld zu akzeptieren und auf weitere Rechtsmittel zu verzichten.

(Johanna Schmale)

BayLDA zur Nutzung von Mailchimp

Das Bayerische Landesamt für Datenschutz (BayLDA) hat den Einsatz des Tools Mailchimp zur Versendung von Newslettern durch ein Unternehmen in München für unzulässig gehalten (LDA-1085.1-12159/20-IDV). Über den Fall berichtet unter anderem der Europäische Datenschutzausschuss (European Data Protection Board, EDPB).

Kritisiert wurde von der Aufsichtsbehörde, das Unternehmen habe vor der Übermittlung von E-Mail-Adressen an Mailchimp in den USA nicht überprüft, ob für die Übermittlung neben den EU-Standarddatenschutzklauseln zusätzliche Maßnahmen im Sinne der Entscheidung „Schrems II“ des EuGH (EuGH, Urt. v. 16.07.2020, Az. C-311/18) notwendig sind. Vorliegend bestünden zumindest Anhaltspunkte dafür, dass Mailchimp aufgrund rechtlicher Vorschriften in den USA Datenzugriffen von US-Nachrichtendiensten unterfallen könne und somit die Datenübermittlung nur unter Ergreifung geeigneter zusätzlicher Maßnahmen zulässig sei.

Anlass der Bewertung der Aufsichtsbehörde sei die Beschwerde eines von der Datenübermittlung Betroffenen gewesen. Die Aufsichtsbehörde habe das verantwortliche Unternehmen über die Unzulässigkeit der Datenübermittlung informiert, woraufhin dieses mitgeteilt habe, auf den Einsatz von Mailchimp mit sofortiger Wirkung zu verzichten. Ein Bußgeld habe die Behörde für nicht erforderlich gehalten.

Es ist in dem vorliegenden Fall zu beachten, dass die Aufsichtsbehörde nicht über ein grundsätzliches Verbot des Einsatzes von Mailchimp entschieden hat. Die Entscheidung betrifft lediglich den konkreten Fall, dass ein Unternehmen Mailchimp ohne Interessenabwägung und ohne zusätzliche Schutzmaßnahmen genutzt hat. Die Entscheidung macht deutlich, dass die Aufsichtsbehörden die Anforderungen aus dem Urteil Schrems II ernst nehmen. Unternehmen sollten folglich bei der Datenübermittlung in Drittstaaten vorab deren datenschutzrechtliche Zulässigkeit prüfen und bei Bedarf zusätzliche Schutzmaßnahmen ergreifen.

(Johanna Schmale)

Verhandlungen über ePrivacy-Verordnung

Nach jahrelangen Verhandlungen hat sich der Rat der EU am 10.02.2021 auf ein Verhandlungsmandat zum Verordnungsvorschlag über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation geeinigt.

Die ePrivacy-Verordnung soll die Datenschutz-Grundverordnung (DSGVO) konkretisieren und ergänzen sowie die Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation ersetzen. Sie hat das Ziel, die Vertraulichkeit in der elektronischen Kommunikation sicherzustellen. In einer Pressemitteilung des Rates der EU vom 10.02.2021 teilt dieser seinen Standpunkt zu dem Verordnungsvorschlag mit. Er fordert unter anderem, dass Endnutzer eine echte Wahl haben sollen, Cookies oder ähnliche Kennungen zu akzeptieren.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) kritisiert in einer Pressemitteilung den Verordnungsvorschlag und appelliert für die weiteren Verhandlungen an das Europäische Parlament und die EU-Kommission, für eine Anhebung des Datenschutzniveaus einzutreten. Die größten Gefahren, die aktuell von der ePrivacy-Verordnung ausgehen würden, seien unter anderem die Wiedereinführung der Vorratsdatenspeicherung und die Zulässigkeit von „Cookie Walls“. Außerdem kritisierte der BfDI, dass einige wichtige Garantien für Nutzer, wie beispielsweise das Widerspruchsrecht und die Datenschutzfolgenabschätzung, aus dem Text gestrichen worden seien und dass ein Rückgriff auf die Garantien der DSGVO ausgeschlossen sei. Die aktuelle Version des Texts ermögliche es, personenbezogene Daten ohne Einwilligung der Nutzer zu anderen Zwecken weiterzuverarbeiten.

Mit der Einigung zu dem Verordnungsvorschlag können nun die Trilog-Verhandlungen aufgenommen werden. Es bleibt abzuwarten, welchen endgültigen Wortlaut der Rat, das Europäische Parlament und die europäische Kommission aushandeln werden. Mit einem Inkrafttreten der neuen Regelungen ist aber weiter nicht vor 2023/2024 zu rechnen.

(Johanna Schmale)

Zoom veröffentlicht Checkliste zu DSK-Empfehlungen

Die Datenschutzkonferenz (DSK), der Zusammenschluss der Datenschutzbehörden der Länder und des Bundes, hat im Oktober 2020 eine Orientierungshilfe zu Videokonferenzsystemen sowie eine dazugehörige Checkliste veröffentlicht. Über diese haben wir bereits in unserem Datenschutz-Newsletter im November 2020 berichtet. Basierend auf den beiden Dokumenten hat der Videokonferenzdienst Zoom nun eine Zusammenfassung der wichtigsten Datenschutzeinstellungen seines Tools zur Verfügung gestellt.

In dem Dokument werden die Funktionen von Zoom und die Einstellungsmöglichkeiten erklärt. Wichtige Einstellungsmöglichkeiten, die zur Verbesserung des Datenschutzes beitragen und in dem Dokument genannt werden, sind unter anderem die Festlegung eines Meeting-Passworts durch den Account-Administrator, die Konfiguration eines Meetings nach den Maßgaben der Datensparsamkeit sowie die Verwaltung der Aufzeichnungsfunktion. Verschiedene Funktionen ermöglichen außerdem eine Nutzerauthentifizierung, indem zum Beispiel der Zugang zu einem Meeting nur bestimmten Personen erlaubt wird oder Teilnehmer über den Warteraum einzeln von dem Host zugelassen werden. Ziel des Dokuments sei es nach Angaben von Zoom, den Kunden die Kontrolle über ihre Daten zu erleichtern und den Dienst an ihre Bedürfnisse anzupassen. Das Unternehmen habe in den letzten Monaten einige neue Sicherheitsfunktionen und Datenschutzmaßnahmen vorgestellt, unter anderem eine Ende-zu-Ende-Verschlüsselung und eine Möglichkeit zur Datenlokalisierung für den EU-Raum.

Die Datenschutz-Checkliste für Zoom-Kunden kann auf der Homepage des Anbieters heruntergeladen werden.

(Johanna Schmale)

EDPB: Veröffentlichung eines Arbeitsprogramms für 2021/2022

Der Europäische Datenschutzausschuss (European Data Protection Board, EDPB) hat am 16.03.2021 sein Arbeitsprogramm für die Jahre 2021 und 2022 veröffentlicht.

Das Ziel des EDPB sei es unter anderem, weiterhin praktische und zugängliche Leitlinien zu Datenschutzthemen bereitzustellen. Außerdem werde der EDPB Tools entwickeln und fördern, die dabei helfen, Datenschutz in der Praxis zu realisieren. In Übereinstimmung mit seinen Aufgaben aus Art. 64 DSGVO werde er Maßnahmen ergreifen, die sich an die nationalen Aufsichtsbehörden richten und darauf abzielen, die Kohärenz ihrer Entscheidungen sicherzustellen. Auch hinsichtlich internationaler Datenübermittlungen kündigte er Beratungstätigkeiten zu Übermittlungstools, der praktischen Umsetzung und dem staatlichen Zugriff auf personenbezogene Daten an.

Das Arbeitsprogramm enthält außerdem eine Liste der Dokumente, die im Jahr 2021 bereits verabschiedet worden sind. Die Orientierungshilfen und Stellungnahmen des EDPB können auch für Unternehmen hilfreiche Hinweise zur Umsetzung von Datenschutzthemen enthalten.

(Johanna Schmale)

Herzliche Einladung zum BRANDI Datenschutzrechtstag am 07. Mai 2021

Wir laden Sie herzlich zu unserem Datenschutzrechtstag am 07. Mai 2021 ein!

Gut drei Jahre sind seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) vergangen. Bereits damals haben wir mit verschiedenen Referenten im Lenkwerk, Bielefeld über Aussichten, offene Fragen und Risiken an unserem Datenschutzrechtstag diskutiert. Dieses Jubiläum möchten wir nutzen, erneut den Datenschutzrechtstag zu veranstalten und über Erfahrungen, Probleme und offene Themen bei der täglichen Anwendung der DSGVO zu diskutieren. Dazu konnten wir mit dem rheinland-pfälzischen Datenschutzbeauftragten, Herrn Prof. Dr. Dieter Kugelmann, einen renommierten Experten gewinnen, der einen Einblick in die tägliche Arbeit einer Datenschutzaufsichtsbehörde geben wird.

Weitere Informationen und die Anmeldemöglichkeit finden Sie hier: https://www.brandi.net/news/detail/datenschutzrechtstag-am-07-mai-2021/

(Dr. Christoph Rempe)