DatenschutzWoche vom 18.10.2021

BSI warnt vor SMS-Phishing

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in einer Meldung vom 14.10.2021 vor SMS-Phishing. Beim sogenannten „Smishing“ werden Nutzerinnen und Nutzer per SMS dazu aufgefordert, einen Link anzuklicken. Die Angreifer behaupten unter anderem, dass eine Sprachnachricht zum Download vorläge oder dass das Smartphone mit Schadsoftware infiziert sei und ein Sicherheitsupdate bereitstünde. Nutzerinnen und Nutzer, die dem Link folgen und die angebotene Datei herunterladen, installieren eine Schadsoftware der Angreifer.

Aus datenschutzrechtlicher Sicht sind Verantwortliche dazu gehalten, den aktuellen „Smishing“-Trend in ihren technischen und organisatorischen Maßnahmen nach Art. 32 Abs. 1 DSGVO zu berücksichtigen und insbesondere Mitarbeiterinnen und Mitarbeiter zu der aktuelle Bedrohung zu schulen.

EDPS äußert sich zu Drittlandsübermittlungen bei Newsletter-Tools

Der Europäische Datenschutzbeauftragte (EDPS) hat sich in einer Stellungnahme vom 27.07.2021 mit der Zulässigkeit von Drittlandsübermittlungen bei Newsletter-Tools auseinandergesetzt. Hintergrund der Stellungnahme war eine Anfrage der Europäischen Cybersicherheitsagentur (ENSIA). Die ENISA nutzt für den Versand ihres Newsletters zwar einen europäischen Diensteanbieter, dieser greift jedoch auf Unterauftragnehmer in den USA zurück. Die ENISA wollte nun vom EDPS wissen, ob und inwieweit die Nutzung des Newsletter-Tools nach einer Einwilligung des Betroffenen datenschutzrechtlich zulässig ist.

In seiner Antwort betont der EDPS zunächst die Pflichten der ENISA als Verantwortlicher unter der DSGVO und die Rolle des Diensteanbieters als Auftragsverarbeiter. Sodann fordert der EDPS die ENISA ausdrücklich auf zu prüfen, ob der Versand der Newsletter ohne den Rückgriff auf Unterauftragnehmer in den USA möglich ist. Erst wenn dies nicht der Fall sei, käme eine Einwilligung des Betroffenen nach Art. 50 Abs. 1 lit. a) der EU-Verordnung 2018/1725 in Betracht. Die Hürden für diese Einwilligung sind aus Sicht des EDPS jedoch hoch und erfordern insbesondere eine umfassende Information des Betroffenen. 

Internationale Nachrichten

• Europa: Das EDPB hat in seinem 56. Meeting unter anderem über Leitlinien für den Umgang mit Daten von Kindern und Leitlinien zu Beschränkungen nach Art. 23 DSGVO beraten.
• Irland: Die österreichische Organisation noyb hat einen Entscheidungsentwurf der irischen Datenschutzaufsichtsbehörde DPC veröffentlicht. In diesem geht die Behörde davon aus, dass es Facebook freisteht, die Verarbeitung von personenbezogenen Daten in einem Vertrag mit dem Nutzer zu vereinbaren und dass insoweit keine Einwilligung erforderlich ist. Die Organisation noyb kritisiert den Entscheidungsentwurf.
• Slowenien: Nach einem Bericht des EDPB hat ein slowenisches Verwaltungsgericht die Entscheidung der slowenischen Datenschutzaufsicht bestätigt, wonach das Recht auf Löschung es Betroffenen nicht ermöglicht, ihre personenbezogenen Daten aus dem Taufregister löschen zu lassen.
• Italien: Die italienische Datenschutzaufsicht hat eine Immobilienagentur verwarnt und ein Bußgeld in Höhe von 5.000€ verhängt, weil das Unternehmen das Auskunftsersuchen der Behörde nicht beantwortet hatte. Dies geht aus einer Meldung des EDPB hervor.

Aktuelle Entscheidungen

• LG Gießen, Urteil vom 04.10.2021, Az. 5 O 457/20 (BeckRS 2021, 29339): Es ist nicht statthaft, zur Auslegung der DSGVO auf eine nationalstaatliche Norm wie § 3 InsoBekV zurückzugreifen, weshalb eine Wirtschaftsauskunftei ein berechtigtes Interesse an der Verarbeitung von Schuldnerdaten auch über einen längeren Zeitraum haben kann.
• OLG München, Urteil vom 04.10.2021, Az. 3 U 2906/20 (Volltext): Der Anspruch aus Herausgabe nach Art. 15 Abs. 1 DSGVO und der Anspruch auf Kopie nach Art. 15 Abs. 3 DSGVO sind getrennte datenschutzrechtliche Ansprüche.
• LAG Berlin-Brandenburg, Beschluss vom 09.03.2021, Az. 11 TaBV 1371/20 (BeckRS 2021, 29862): Eine DSGVO-Schulung für die Schwerbehindertenvertretung kann erforderlich im Sinne des § 179 Abs. 8 S. 1 SGB IX sein, sodass der Arbeitgeber die Kosten der Schulungsmaßnahme tragen muss.

Aus den Aufsichtsbehörden

• Bundesdatenschutzbeauftragter: „Symposium zur Datenverarbeitung in polizeilichen Informationssystemen“ – Videoaufzeichnung der Veranstaltung vom 06.10.2021
• Datenschutzaufsicht Bayern (BayLfD): „Aktuelle Kurz-Information 36: Cookie-Einwilligungen auf Webseiten bayerischer öffentlicher Stellen“ – Kurz-Information vom 01.10.2021
• Datenschutzaufsicht Baden-Württemberg: „Lockerung der Maskenpflicht für Beschäftigte scheitert nicht am Datenschutz“ – Pressemitteilung vom 15.10.2021
• Datenschutzaufsicht Thüringen: „Impfdiskussion: Datenschützer geht gegen Lehrerin vor“ –Die Zeit Online berichtet in einer Meldung vom 15.10.2021 über ein Prüfverfahren der Behörde