DatenschutzWoche vom 25. 10. 2021

Datenschutz im Homeoffice: Rechtliche Anforderungen bleiben hoch

Die Ministerpräsidentinnen und Ministerpräsidenten der Länder haben in ihrer Jahreskonferenz (MPK) beschlossen, Lehren aus der Coronavirus-Pandemie zu ziehen. Unter anderem sollen die Telearbeit im öffentlichen Dienst ausgeweitet und die technischen Ausstattung dafür verbessert werden. In einem weiteren Beschluss betont die MPK, dass sie den pandemiebedingten Digitalisierungsschub nutzen und „bei der Entwicklung digitaler Instrumente nicht von vornherein  aus Sorge um den Datenschutz auf die Einbindung wichtiger Funktionalitäten“ verzichten wolle.

Die Frage, ob und wie sich die datenschutzrechtlichen Anforderungen an Telearbeit und den Einsatz von digitalen Lösungen, wie z.B. Videokonferenzdiensten, mit den Wünschen der MPK in Einklang bringen lassen, dürfte noch spannend werden. Nach aktueller Rechtslage müssten bei strenger datenschutzrechtlicher Betrachtung im Homeoffice beispielsweise nicht nur Kontrollrechte für den Arbeitgeber, sondern auch zugunsten der Datenschutzaufsichtsbehörden vereinbart werden. Ohne Anpassung der rechtlichen Vorgaben dürfte eine nennenswerte Verbreitung von Telearbeit kaum möglich sein.

IT-Sicherheit: BSI legt Jahresbericht vor

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seinen Jahresbericht zur Lage der IT-Sicherheit in Deutschland vorlegt. Die Behörde informiert darin über aktuelle Entwicklungen. Insgesamt wird die Situation der IT-Sicherheit weiterhin als angespannt bis kritisch bewertet. Bedeutsame Risiken, die bei der Risikoanalyse nach Art. 32 Abs. 1 DSGVO auch aus datenschutzrechtlicher Sicht beachtet werden sollten, sind Ransomware-Angriffe und das Ausnutzen von Schwachstellen, wie die „Hafnium“-Sicherheitslücke vom März 2021, die den Zugriff auf bestimmte E-Mail-Server ermöglichte. Auch der Mensch spielt als Sicherheitsfaktor weiterhin eine zentrale Rolle.

Internationale Nachrichten

  • Luxemburg: Die luxemburgische Datenschutzaufsicht CNPD hat ihren Tätigkeitsbericht für das Jahr 2020 (französisch) veröffentlicht.
  • Europa: Das EDPB hat in seiner Sitzung am 13. Oktober die finalen Leitlinien zu Beschränkungen nach Art. 23 DSGVO angenommen und inzwischen veröffentlicht. Zugleich hat das EDPB über Leitlinien für das Zusammenspiel von Art. 3 und Kapitel V der DSGVO beraten. Aus dem Protokoll ergibt sich, dass die EU-Kommission weitere Standarddatenschutzklauseln für Verantwortliche, die nicht in der EU niedergelassen sind, aber nach Art. 3 Abs. 2 DSGVO die Anforderungen der DSGVO einhalten müssen, veröffentlichen möchte.
  • Frankreich: Die französische Datenschutzaufsicht CNIL hat bereits am 13. Oktober Hinweise zu den Alternativen für Drittanbieter-Cookies (französisch) veröffentlicht. Entsprechende Lösungen müssen nach Ansicht der CNIL sowohl die DSGVO, also auch die Anforderungen der ePrivacy-Richtlinie berücksichtigen. Gleichzeitig hat die Behörde entsprechende Kontrollen angekündigt.

Aktuelle Entscheidungen

  • LG Mühlhausen, Urteil vom 12. Mai 2020, Az. 6 O 486/18 (Volltext): Dashcam-Aufnahmen verstoßen gegen die DSGVO und sind deswegen im Zivilprozess nicht verwertbar. Das BGH-Urteil vom 15.05.2018, Az. VI ZR 233/17 hält das Gericht wegen der Neuregelung durch DSGVO nicht für anwendbar.
  • VG Wiesbaden, Urteil vom 24.09.2021, Az. 6 K 442/21 (Beck-online): Ein gerichtlich durchsetzbarer Anspruch auf Einschreiten der Datenschutzaufsicht besteht nur, wenn für die Behörde kein Ermessensspielraum besteht.
  • VG Düsseldorf, Urteil vom 11.10.2021, Az. 29 K 7031/19 (Volltext): Die DSGVO ist auf nach altem Datenschutzrecht abgeschlossene Verfahren nicht anwendbar, wenn zum Zeitpunkt ihres Inkrafttretens am 25. Mai 2018 keine Klage anhängig war.

Aus den Aufsichtsbehörden