Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht

Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

vor rund 50 Jahren - am 13.10.1970 - ist das Hessische Datenschutzgesetz als erstes Datenschutzgesetz der Welt in Kraft getreten. Bereits zu diesem Zeitpunkt wurde die Institution des unabhängigen Datenschutzbeauftragten geschaffen. Seitdem hat sich das Datenschutzrecht stetig weiterentwickelt, nicht zuletzt aufgrund von Fortschritten der Technik, die neue Herausforderungen an den Schutz der Privatsphäre stellten und auch zukünftig mit sich bringen werden.

Einige aktuelle Entwicklungen im Datenschutzrecht stellen wir in diesem Monat, wie gewohnt, in unserem Datenschutz-Newsletter dar. In unserem Schwerpunktthema geben wir praktische Hinweise für den Umgang mit Betroffenenanfragen zur Löschung personenbezogener Daten.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Umgang mit Löschanfragen

„Gelöschte Daten sind die sichersten Daten“, heißt es häufig im Zusammenhang mit der Aufbewahrung von Daten und der Festlegung von Löschfristen. Vor dem Hintergrund dieser Redewendung verwundert es nicht, dass die Grundsätze der Datenminimierung und Speicherbegrenzung wesentliche Prinzipien der Datenschutz-Grundverordnung (DSGVO) sind. Bei Beachtung dieser Grundsätze müssen die Datenverarbeitung und die Möglichkeit der Identifizierung einer Person anhand gespeicherter Daten auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Art. 5 Abs. 1 lit. c) und e) DSGVO).

Bereits aus diesen Prinzipien ergibt sich die Pflicht des Verantwortlichen, personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung nicht (mehr) erforderlich sind, zu löschen, ohne dass die von der Datenverarbeitung betroffene Person dazu den Verantwortlichen auffordern müsste. Daneben räumt Art. 17 DSGVO betroffenen Personen ein eigenes Recht ein, die Löschung ihrer Daten von der verantwortlichen Stelle zu verlangen.

Um den Umgang mit derartigen Anfragen von Betroffenen zu erleichtern, werden im Folgenden die Voraussetzungen des Art. 17 DSGVO erläutert und praktische Umsetzungshinweise gegeben.

Zum vollständigen Schwerpunktthema

EuGH zur Vorratsdatenspeicherung

Der Europäische Gerichtshof (EuGH) hatte sich in zwei aktuellen Entscheidungen erneut mit dem Thema Vorratsdatenspeicherung zu befassen. Er bestätigte in seinen Urteilen vom 06.10.2020 (Rechtssache C-623/17 sowie die verbundenen Rechtssachen C‑511/18, C‑512/18 und C‑520/18), dass das EU-Recht nationalen Rechtsvorschriften entgegenstehe, die einen Anbieter elektronischer Kommunikationsdienste zur allgemeinen und unterschiedslosen Übertragung oder Speicherung von Verkehrsdaten und Standortdaten zum Zwecke der Verbrechensbekämpfung verpflichten. Ausnahmen könnten sich aber in Situationen ergeben, in denen ein Mitgliedstaat einer schwerwiegenden Bedrohung der nationalen Sicherheit gegenüberstehe, die sich als tatsächliche und gegenwärtige oder vorhersehbare Gefahr erweise. In diesen Fällen müssten die Datenspeicherung und die Datenübermittlung aber mit wirksamen Schutzmaßnahmen einhergehen und von einem Gericht oder einer unabhängigen Verwaltungsbehörde überprüft werden.

Bereits im Jahr 2014 hatte der EuGH die Richtlinie 2006/24/EG, nach der bestimmte Daten der Telefon- und Internetkommunikation für einen Zugang der Polizei im Bedarfsfall auf Vorrat gespeichert werden durften, und im Jahr 2016 auch nationale Gesetze in Großbritannien und Schweden, die auf der Richtlinie beruhten, für nichtig erklärt (Urt. v. 08.04.2014, Az. C-293/12 sowie Urt. v. 21.12.2016, Az. C-203/15 und C‑698/15).

In dem aktuellen Verfahren hatten das englische Investigatory Powers Tribunal, der französische Conseil d’Etat und der belgische Verfassungsgerichtshof in drei Verfahren Fragen an den EuGH zu der Zulässigkeit ihrer jeweiligen nationalen Gesetze gestellt. Der zuständige Generalanwalt hatte diesbezüglich am 15.01.2020 seine drei Schlussanträge veröffentlicht, worüber wir bereits in unserem Datenschutz-Newsletter im Februar 2020 berichteten.

Auch aus Deutschland ist ein Verfahren zur Vorratsdatenspeicherung vor dem EuGH anhängig. Das Bundesverwaltungsgericht hat dem EuGH die Frage vorgelegt, ob die deutsche Vorratsdatenspeicherung aus § 113a Abs. 1 Satz 1 i. V. m. § 113b TKG gegen EU-Recht verstoße (Beschl. vom 25.09.2019, Az. 6 C 12.18). Die Pflicht zur Vorratsdatenspeicherung in Deutschland hat die Bundesnetzagentur derzeit bis zur Klärung des Themas ausgesetzt.

Datenschutzbeauftragter Baden-Württemberg untersagt Liste „auffälliger“ Asylbewerber

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat der Stadt Tübingen die Nutzung polizeilicher Daten für eine Liste „auffälliger“ Asylbewerber untersagt. Darüber informierte er in einer Pressemitteilung.

Die Stadtverwaltung hatte in dem Fall aufgrund von Sicherheitsbedenken eine Liste von Migranten angelegt, die in der Vergangenheit durch bestimmte Verhaltensweisen aufgefallen sind. Die Liste sollte dazu dienen, städtische Bedienstete vor Übergriffen dieses Personenkreises zu schützen.

Der Datenschutzbeauftragte stufte dies als rechtswidrig ein. Als Begründung führte er aus, die intern geführte Liste bestehe hauptsächlich aus Informationen, die die Polizei aufgrund ausländerrechtlicher Vorgaben an die städtische Ausländerbehörde liefere. Die Aufnahme in die Liste sei erfolgt, ohne dass die Staatsanwaltschaft oder ein Gericht sich bereits mit den jeweiligen Vorwürfen befasst und diese in einem rechtsstaatlichen Verfahren bestätigt hätten.

Die von der Polizei übermittelten Daten würden jedoch einer strengen gesetzlichen Zweckbindung unterliegen. Sie dürften ausschließlich für ausländerrechtliche Maßnahmen verwendet werden und nicht für andere Zwecke der Verwaltung. Die Erstellung einer „Blacklist“, um Dritte zu warnen, stelle jedoch eine Zweckänderung dar, für die es an einer gesetzlichen Grundlage fehle. Zudem habe die Stadt nicht belegen können, dass von den erfassten Personen tatsächlich eine konkrete Gefahr für Behördenmitarbeiter ausgehe. Solche „Gefährderlisten“ auf der Grundlage eines bloßen Verdachts aufzustellen, der rechtsstaatlich nicht überprüft wurde, verletze darüber hinaus die Rechte ausländischer Mitbürger.

Hinzu komme, dass die Stadtverwaltung nicht konstruktiv mit der Datenschutzaufsichtsbehörde zusammengearbeitet habe, etwa da angeforderte Unterlagen erst nach Monaten oder gar nicht herausgegeben worden seien. Der Datenschutzbeauftragte hat in dem Fall erstmalig eine datenschutzrechtliche Anordnung gegenüber einer Kommune erlassen. Berichten zufolge habe der Oberbürgermeister der Stadt Tübingen die Anordnung kritisiert, wolle ihr aber nachkommen.

DSK: Orientierungshilfe zu Videokonferenzsystemen

Die Datenschutzkonferenz („DSK“), der Zusammenschluss der Datenschutzbehörden der Länder und des Bundes, hat eine Orientierungshilfe zu dem Einsatz von Videokonferenzsystemen herausgegeben, die verantwortlichen Stellen als Hilfestellung bei der Umsetzung der datenschutzrechtlichen Anforderungen an die Durchführung von Videokonferenzen dienen soll.

Vor dem Hintergrund, dass die meistgenutzten Anbieter von Videokonferenzdiensten ihren Sitz in den USA haben, enthält die Orientierungshilfe auch Ausführungen zu dem Einsatz von Anbietern in Drittstaaten. Der EuGH hatte in seiner Entscheidung Schrems II (EuGH, Urt. v. 16.07.2020, Az. C-311/18) das EU-US Privacy Shield für unwirksam erklärt und die Anforderungen an den Einsatz von Standardvertragsklauseln konkretisiert, was unter anderem alle gängigen Anbieter betrifft. Die amerikanischen Anbieter bieten zwar teilweise eine geografische Festlegung der Serverstandorte an (etwa beschränkt auf Europa an), dennoch bestehen natürlich gleichwohl Zugriffsmöglichkeiten für den Anbieter in den USA. Die DSK empfiehlt vor diesem Hintergrund, die Nutzung von Videokonferenzdiensten US-amerikanischer Anbieter sorgfältig zu prüfen. Dies gelte auch, wenn der Vertragspartner eine europäische Tochtergesellschaft sei oder wenn europäische Anbieter ihrerseits personenbezogene Daten in die USA übermitteln. Insbesondere sei von den Verantwortlichen zu prüfen, ob bei der Datenübermittlung in Drittstaaten ein im Wesentlichen gleiches Datenschutzniveau wie in der EU gewährleistet werden könne oder ob zusätzliche Maßnahmen zu ergreifen seien. Die DSK räumt an dieser Stelle selbst ein, dass ausreichende zusätzliche Maßnahmen im Bereich von Videokonferenzdiensten schwer denkbar seien, wenn das unzureichende Schutzniveau aus behördlichen Zugriffsmöglichkeiten herrühre, da bestimmte Rahmendaten der Konferenzen dem Anbieter aus technischen Gründen zugänglich sein müssten. Eine konkrete Lösungsmöglichkeit enthält die Orientierungshilfe insofern nicht.

Die Veröffentlichung der DSK führt weiter nicht zu einer endgültigen Klärung, inwieweit Videokonferenzsysteme von Anbietern in Drittstaaten zukünftig datenschutzkonform eingesetzt werden können. Die Hinweise können verantwortlichen Stellen möglicherweise dennoch als Orientierung bei der praktischen Umsetzung dienen. Die offizielle Empfehlung lässt sich aber wohl so verstehen, dass europäische Anbieter oder selbstbetriebene Lösungen, etwa auf Basis von Open-Source-Plattformen, favorisiert werden sollten.

Reaktionen zu dem Urteil Schrems II

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat am 08.10.2020 ein Informationsschreiben an die öffentlichen Stellen des Bundes und Unternehmen unter seiner Aufsicht herausgegeben, in dem er über die Auswirkungen des Urteils Schrems II des EuGH (EuGH, Urt. v. 16.07.2020, Az. C-311/18) auf den internationalen Datentransfer informiert. Über das Urteil, in dem der EuGH das EU-US Privacy Shield für unwirksam erklärt und die rechtlichen Anforderungen an den Einsatz von Standardvertragsklauseln konkretisiert hat, hatten wir ausführlich in unserem Datenschutz-Newsletter im August 2020 berichtet.

In dem Informationsschreiben fasst der BfDI die datenschutzrechtlichen Grundsätze des internationalen Datenverkehrs sowie relevante Kernaussagen der Entscheidung zusammen. Er betont dabei, dass das Urteil nicht nur Auswirkungen auf die ausdrücklich in der Entscheidung behandelten Standardvertragsklauseln und das EU-US Privacy Shield habe, sondern auch alle anderen geeigneten Garantien aus dem fünften Kapitel der DSGVO – einschließlich der Verwendung von Binding Corporate Rules (BCR) – entsprechend betroffen seien. Er fordert Verantwortliche auf, ihre Datentransfers in Drittstaaten zu prüfen. Hinsichtlich der Umsetzung des Urteils schließt er sich der Auffassung des Europäischen Datenschutzausschusses an, nach der es keine „Schonfrist“ für die Umsetzung gebe.

Der BfDI kündigte an, die seiner Aufsicht unterstehenden Unternehmen und Behörden gezielt zu Datentransfers in spezifischen Bereichen zu befragen. Der internationale Datentransfer werde zukünftig einen Schwerpunkt seiner Beratungsbesuche und Kontrollen bilden. Um Verantwortliche und deren Datenschutzbeauftragte bei der Umsetzung des Urteils zu unterstützen, hatte im September 2020 die Gesellschaft für Datenschutz und Datensicherheit e. V. schon ihre Handlungsempfehlungen zu dem Urteil aktualisiert.

Die Tatsache, dass noch rund drei Monate nach der Entscheidung des EuGH Reaktionen auf das Urteil und Umsetzungshinweise veröffentlicht werden, macht die weitere Aktualität des Themas deutlich. Es ist zu erwarten, dass die Absicherungsmöglichkeiten internationaler Datentransfers auch in der Zukunft nicht nur verantwortliche Unternehmen hinsichtlich der praktischen Umsetzung, sondern auch Datenschutzaufsichtsbehörden und europäische Institutionen hinsichtlich der Konkretisierung der Anforderungen des EuGH und der Schaffung neuer Regelungen für die datenschutzkonforme Datenübermittlung in Drittstaaten weiterhin beschäftigen werden.

In eigener Sache: Vorstellung von Frau Christina Prowald

Frau Christina Prowald unterstützt seit Dezember 2019 das BRANDI-Team in Bielefeld als wissenschaftliche Mitarbeiterin in den Bereichen Compliance sowie IT & Datenschutz.

Sie studierte Rechtswissenschaften an der Universität Bielefeld und belegte den universitären Schwerpunktbereich „Internationaler Handelsverkehr“. Während ihres Studiums arbeitete sie an einem zivilrechtlichen Lehrstuhl der Universität Bielefeld als studentische Hilfskraft. Aktuell promoviert Frau Prowald zu einem erbrechtlichen Thema.

Christina Prowald unterstützt das Datenschutz-Team von BRANDI in allen Fragen des Datenschutzrechts.