DatenschutzWoche vom 12.07.2021

Liebe Leserinnen und Leser, wir freuen uns Ihnen die erste Ausgabe der DatenschutzWoche präsentieren zu dürfen. Mit der DatenschutzWoche erhalten Sie ab sofort jeden Montag aktuelle Urteile, Stellungnahmen von Aufsichtsbehörden in Deutschland und der Welt sowie Beiträge zum Datenschutzrecht. Die DatenschutzWoche wird von der Stiftung Datenschutz herausgegeben und redaktionell von Stefan Hessel, Rechtsanwalt und Teamleiter der Digital Business Unit bei reuschlaw Legal Consultants, verantwortet. In diesem Sinne: Herzlich Willkommen zur DatenschutzWoche und eine angenehme Lektüre!

Die wichtigsten Nachrichten der Woche

• Verhaltensregeln der deutschen Wirtschaftsauskunfteien angezählt?
• Datenübermittlungen nach China – Hessische Datenschutzaufsicht schreitet ein
• 51. Meeting des European Data Protection Board (EDBP)

Außerdem: Internationale Nachrichten, Wichtige Entscheidungen der Woche und Neuigkeiten aus den Aufsichtsbehörden. Die nächste Ausgabe der DatenschutzWoche erscheint am 19.07.2021.

Verhaltensregeln der deutschen Wirtschaftsauskunfteien angezählt?

Gleich zwei gerichtliche Entscheidung der letzten Wochen stellen die „Verhaltensregeln für die Prüf- und Löschfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien vom 25.05.2018“ des Verbandes „Die Wirtschaftsauskunfteien e.V.“ in Frage. So hat das Oberlandesgericht (OLG) Schleswig-Holstein mit Urteil vom 02.07.2021, Az. 17 U 15/21, festgestellt, dass Auskunfteien die Daten eines Schuldners nach erfolgter Restschuldbefreiung nicht über die 6-monatige Frist des § 3 Abs. 1 der Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (InsoBekV) speichern dürfen. In diesem Zusammenhang hat das Gericht festgestellt, dass die Verhaltensregeln allenfalls „eine Selbstverpflichtung des Verbandes und ggf. seiner Mitglieder sowie der genehmigenden Aufsichtsbehörde“ seien, nicht jedoch ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO begründen können. In eine ähnliche Richtung geht ein Urteil des Verwaltungsgerichts (VG) Wiesbaden vom 07.06.2021, Az. 6 K 307/20.WI (BeckRS 2021, 17378). In dieser Entscheidung hat das VG Wiesbaden einen Bescheid der Datenschutzaufsicht Hessen aufgehoben und die Behörde dazu verpflichtet den Sachverhalt „[…] unter Beachtung der Rechtsausführungen des Gerichts neu zu bescheiden“. Zur Begründung führt das VG aus, dass das bloße Abstellen auf die Verhaltensregeln unzulässig sei, wenn diese „[…] evident der Datenschutzgrundverordnung widersprechen […]“ würden. Insbesondere bei Löschbegehren von Betroffenen sei ein berichtigtes Interesse im Einzelfall zu prüfen. Setzt sich diese Tendenz der Rechtsprechung fort, dürfte die Bedeutung von Verhaltensregeln nach Art. 40 Abs. 5, 55 Abs. 1 DSGVO im Allgemeinen weiter abnehmen.

Datenübermittlungen nach China – Hessische Datenschutzaufsicht schreitet ein

Nach einem Medienbericht über Pränataltests in China hat der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) in einer aktuellen Pressemitteilung mitgeteilt, dass die Behörde die Übermittlung von Blutproben und Daten aus Deutschland nach China vorerst verhindert hat. Die Behörde will jetzt darauf hinwirken, dass „[…] der Grundsatz der Datenminimierung bei allen Verarbeitungsprozessen im Zusammenhang mit den Pränataltest umgesetzt wird.“. Darüber hinaus hat die Behörde angekündigt auch zu prüfen, ob ausreichende zusätzliche Schutzmaßnahmen gewährleisten, dass staatliche Stellen in China keinen Zugriff auf die übermittelten personenbezogenen Daten haben. Der aktuelle Vorgang verdeutlicht, dass das „Schrems II“-Urteil des EuGH vom 16. Juli 2020 (Rechtssache C-311/18) auch jenseits von Datenübermittlungen in die USA von Bedeutung ist. Zugleich wird aus der Pressemitteilung des HBDI deutlich, dass dieser in China zumindest bei der Verarbeitung von Gesundheitsdaten ohne zusätzliche Maßnahmen nicht von einem angemessenen Datenschutzniveau auszugehen scheint.

51. Meeting des European Data Protection Board (EDBP)

Das European Data Protection Board (EDPB) hat in seinem 51. Meeting am 07.07.2021 unter anderem die „Guidelines on Codes of Conduct (CoCs) as a tool for transfers“, die „Guidelines on Virtual Voice Assistants“ sowie die „Guidelines on the concepts of Controller and Processor“ angenommen. Darüber hinaus haben die Aufsichtsbehörden entschieden die TikTok-Taskforce aufzulösen und den Einsatz von Clouddiensten durch öffentliche Stellen als Schwerpunkt für europaweit abgestimmte Durchsetzungsmaßnahmen festgelegt. Die verabschiedeten Dokumente werden alsbald auf der Webseite des EDBP veröffentlicht werden.

Internationale Nachrichten

• Litauen: Wie das EDPB mitteilt, hat die Datenschutzaufsicht Litauen hat ein Bußgeld in Höhe von 20.000€ gegen ein Fitnessstudio wegen der Verarbeitung der Fingerabdrücke von Kunden und Mitarbeitern verhängt.
• Norwegen: Die Datenschutzaufsicht Norwegen hat, wie das EDBP berichtet, gegenüber dem Gemeinderat von Moss eine Geldbuße in Höhe von umgerechnet 50.000€ verhängt, weil dieser bei seinem Impfprogramm die Vertraulichkeit, Integrität und Verfügbarkeit der Daten nicht hinreichend gewährleistet hatte.
• Österreich: Die Datenschutzaufsicht Österreich hat mit Bescheid vom 03.05.2021 (GZ: 2021-0.285.169) entscheiden, dass die private Nutzung von WhatsApp unter die Haushaltsausnahme des Art. 2 Abs. 2 lit. c DSGVO fällt.
• Italien: Die italienische Datenschutzaufsicht hat ein Bußgeld in Höhe von 2,6 Millionen Euro gegen ein Unternehmen wegen des Einsatzes diskriminierender Algorithmen verhängt, wie sich einer Mitteilung des EDPB entnehmen lässt.

Wichtige Entscheidungen der Woche

• OLG Schleswig-Holstein, Urteil vom 02.07.2021, Az. 17 U 15/21 (Volltext): Auskunfteien dürfen die Daten eines Schuldners nach erfolgter Restschuldbefreiung auch auf Basis von Art. 6 I lit f. DSGVO nicht länger als 6 Monate speichern.
• BGH, Urteil vom 15.06.2021, Az. VI ZR 576/19 (Volltext): Der Auskunftsanspruch aus Art. 15 DSGVO ist weit auszulegen.
• OVG Schleswig-Holstein, Beschluss vom 28.05.2021, Az. 4 MB 14/21 (Volltext): Auch Unternehmen können sich gegenüber der Datenschutzaufsicht auf das Auskunftsverweigerungsrecht des § 40 Abs. 4 S. 2 BDSG berufen.
• LG Saarbrücken, Urteil vom 02.07.2021, Az. 13 S 141/20 (Volltext): „Aufwendungen eines Sachverständigen zur Erfüllung der Anforderungen der DSGVO zählen zu den Gemeinkosten, die bereits durch das Grundhonorar abgegolten sind.“
• OVG Nordrhein-Westfalen, Urteil vom 08.06.2021, Az. 16 A 1582/20 (BeckRS 2021, 13156): „Der Kläger hat gemäß Art. 15 Abs. 3 Satz 1, Art. 12 Abs. 5 Satz 1 DSGVO i.V.m. § 5 Abs. 8 Satz 1 DSG NRW einen Anspruch auf unentgeltliche Zurverfügungstellung der von ihm begehrten Kopie sämtlicher personenbezogener Daten, die Gegenstand der Verarbeitung in Form der Aufbewahrung seiner Klausuren des zweiten juristischen Staatsexamens nebst Prüfergutachten sind.“ - Extensive Auslegung von Art. 15 DSGVO
• VG Wiesbaden, Urteil vom 07.06.2021, Az. 6 K 307/20.WI (BeckRS 2021, 17378): Ein Bescheid der Datenschutzaufsichtsbehörde, der sich ausschließlich auf die Verhaltensregeln des Verbands „Die Wirtschaftsauskunfteien e.V.“ stützt und die DSGVO nicht vollständig anwendet, ist ermessensfehlerhaft und rechtswidrig.

Aus den Aufsichtsbehörden

• Datenschutzaufsicht Bayern (BayLfD): „Datenschutz bei kommunalen Mitteilungsblättern“ – Arbeitspapier mit Mustern vom 01.07.2021
• Datenschutzaufsicht Baden-Württemberg: „Neue Broschüre: Scoring – solide Prognose oder miese Nummer?“ – Mitteilung vom 03.06.2021
• Datenschutzaufsicht Hessen: „Datenschützer kritisiert sozialen Zwang bei Chatdiensten“ – Interview von golem.de mit Prof. Dr. Roßnagel vom 08.07.2021
• Datenschutzaufsicht Berlin: Das von der Berliner Behörde beauftragte Gutachten zur Rechtssituation in den USA (TOP 20 des 101. Datenschutzkonferenz) ist noch nicht fertiggestellt – Antwort auf eine IFG-Anfrage am 08.07.2021
• Datenschutzaufsicht Hessen: „Vorerst keine weiteren Datenübermittlungen für Pränataltests in China“ – Pressemitteilung vom 10.07.2021