DatenschutzWoche vom 06.09.2021
Die wichtigsten Nachrichten der Woche
Irische Datenschutzaufsicht: Bußgeld gegen WhatsApp verhängt
Die irische Data Protection Commission (DPC) hat gegen die gegen die WhatsApp Ireland Ltd. wegen Verstößen gegen die DSGVO ein Bußgeld in Höhe von 225 Millionen Euro verhängt. Der aktuellen Entscheidung war ein Streitbeilegungsverfahren des European Data Protection Board (EDPB) gemäß Art. 65 DSGVO vorausgegangen, da die irische Datenschutzaufsicht ursprünglich nur ein Bußgeld in Höhe von 50 Millionen Euro verhängen wollte. Der Entscheidung der DPC ist im Entscheidungsregister des EDPB im Volltext abrufbar.
EDBP diskutiert über Definition einer Drittlandsübermittlung
Wie sich aus einer IFG-Anfrage an die Datenschutzaufsicht Rheinland-Pfalz ergibt, diskutiert der Arbeitskreis Internationaler Datenverkehr des EDBP aktuell anhand eines Gutachtens des norwegischen Instituts für öffentliche Gesundheit sowie der Universität Oslo die Frage, wann eine Drittlandsübermittlung nach der DSGVO vorliegt. Die Frage ist insbesondere in Fällen, in denen personenbezogene Daten im Europäischen Wirtschaftsraum (EWR) gespeichert werden, aber eine (hypothetische) Zugriffsmöglichkeit aus einem Drittland, z.B. den USA, besteht, von Bedeutung. Das EDPB vertritt hierzu in seinen „Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data“ (dort Ziffer 12), dass bei der Nutzung einer internationalen Cloud-Infrastruktur neben einer Niederlassung des Cloud-Providers im EWR eine ausdrückliche vertragliche Vereinbarung dahingehend erforderlich ist, dass personenbezogene Daten nur im EWR verarbeitet werden.
Internationale Nachrichten
- Dänemark: Die dänische Datenschutzaufsicht Datatilsynet hat ihr Muster für eine Vereinbarung zur gemeinsamen Verantwortlichkeit (Art. 26 DSGVO) auf Englisch veröffentlicht (Download als .docx-Datei).
- Liechtenstein: Die Datenschutzstelle Liechtenstein hat Informationen zu den datenschutzrechtlichen Anforderungen an Profiling und an automatisierte Einzelfallentscheidungen gemäß Art. 22 DSGVO veröffentlicht.
Aktuelle Entscheidungen
- LAG München, Urteil vom 26.08.2021, Az. 3 SaGa 13/21 (Pressemitteilung): Der Arbeitgeber darf eine Rückkehr aus dem Homeoffice anordnen, wenn die technische Ausstattung am häuslichen Arbeitsplatz nicht der am Bürostandort entspricht und der Arbeitnehmer nicht darlegen kann, wie Daten gegen den Zugriff Dritter und der in der Konkurrenz tätigen Ehefrau geschützt werden.
- LAG Niedersachsen, Urteil vom 04.05.2021, Az. 11 Sa 1180/20 (Volltext): Datenschutzrechtliche Änderungen im Zusammenhang mit der DSGVO führen jedenfalls bei in Papierform geführten Personalakten zu keiner Änderung der Rechtslage.
- LG Karlsruhe, Urteil vom 09.02.2021, Az. 4 O 67/20 (BeckRS 2021, 20347): Kein Anspruch auf Schmerzensgeld nach Art. 82 Abs. 1 DSGVO wegen vermeintlicher Datenschutzverstöße bei Mastercard.
Aus den Aufsichtsbehörden
- Bundesdatenschutzbeauftragter: „BfDI zur Abfrage des Impf- und Teststatus durch Arbeitgeber“ – Pressemitteilung vom 31.08.2021.
- Datenschutzaufsicht Sachsen: „Kontaktdatenerfassung in Behörden und bei der Briefwahl“ –Hinweis vom 06.09.2021.
- Datenschutzaufsicht Sachsen-Anhalt: „Landesbeauftragter stellt zum Start von Schule und Kita neues Infopaket zum Datenschutz zur Verfügung“ – Pressemitteilung vom 01.09.2021.
- Datenschutzaufsicht Nordrhein-Westfalen: „Neue NRW-Landesbeauftragte für Datenschutz und Informationsfreiheit, Bettina Gayk, legt den ersten Bericht vor“ – Mitteilung zur Veröffentlichung des 26. Tätigkeitsberichts.