DatenschutzWoche vom 01.08.2022

Vergabekammer Baden-Württemberg zu Drittlandsübermittlungen bei Clouddiensten

Nach dem Beschluss vom 13.07.2022 (Az. 1 VK 23/22) soll eine Drittlandsübermittlung bei der Nutzung eines Clouddienstes bereits dann vorliegen, „[…] wenn eine Einstellung personenbezogener Daten auf eine Plattform erfolgt, auf die von einem Drittland aus zugegriffen werden kann, und zwar unabhängig davon, ob der Zugriff tatsächlich erfolgt […]“. Dies soll auch der Fall sein, wenn durch die Einräumung von Zugriffsrechten ein „latentes Risiko“ für eine unzulässige Übermittlung personenbezogener Daten besteht.

Die Vergabekammer hält es nach der Begründung nicht für ausreichend, dass sich der Cloudanbieter vertraglich verpflichtet „[…] zu weit gehende oder unangemessene Anfragen staatlicher Stellen einschließlich solcher Anfragen, die im Widerspruch zum Recht der EU oder zum geltenden Recht der Mitgliedsstaaten stehen, anzufechten […]“, um das „latente Risiko“ zu beseitigen.

Eine Vergabekammer ist kein Gericht, sondern um behördliche Stelle, die über öffentliche Ausschreibungs- und Vergabeverfahren wacht. Die Entscheidung beruht maßgeblich darauf, dass die vertraglichen Vereinbarungen mit dem Cloudanbieter eine Datenübermittlung in die USA aus Sicht der Vergabekammer nicht hinreichend klar und vollumfänglich ausschließen. Dies hatte das European Data Protection Board in seinen „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ (dort: Ziffer 13) jedoch verlangt.

Im konkreten Fall ist die Vertragspartnerin die europäische Tochtergesellschaft eines US-amerikanischen Cloudanbieters. Die Vergabekammer hat nicht entschieden, ob bereits deswegen eine Drittlandsübermittlung vorliegt.

Die Vergabekammer stützt ihre Bewertung ausschließlich auf die Art. 44 ff. DSGVO und geht nicht darauf ein, ob die DSGVO überhaupt auf hypothetische Datenverarbeitungen anwendbar ist. Dies ist möglicherweise dem vergaberechtliche Fokus der Entscheidung geschuldet sowie dem Umstand, dass die Ausschreibung eine „[…] mit dem anwendbaren Datenschutzrecht zu vereinbarende Leistungserbringung […]“ gefordert hatte. Die Vergabekammer scheint in der Entscheidung auf Basis der vertraglichen Vereinbarungen, insbesondere auch der erforderlichen Regelung zu Drittlandsübermittlung im Auftragsverarbeitungsvertrag, eine Art Gefahrenprognose vorzunehmen.

Die Entscheidung ist nicht rechtskräftig und nach Auskunft einer beteiligten Kanzlei [Link zu Twitter] hat eine beschwerte Partei sofortige Beschwerde zum OLG Karlsruhe erhoben.

Verwaltungsgericht Stuttgart zur Unabhängigkeit eines internen Datenschutzbeauftragten

Das Verwaltungsgericht Stuttgart hat mit Urteil vom 11.11.2021 (Az. 11 K 17/21) entscheiden, dass die DSGVO nicht die „vollständige Unabhängigkeit“ eines internen Datenschutzbeauftragten garantiert. Daher ist eine Befristung der Stelle möglich. Zur Begründung führt das Gericht an, dass nach der DSGVO nur die Datenschutzaufsichtsbehörden vollständig unabhängig sein müssen. Zugleich gäbe es eine Vielzahl arbeitsrechtlicher Konstellationen, in denen eine vollständige Unabhängigkeit des internen Datenschutzbeauftragten problematisch wäre (z.B. Verstöße gegen innerbetriebliche Regelungen, die der Arbeitgeber sanktionieren möchte und muss).

Da die DSGVO hierzu keine Regelungen enthält und auch nicht ersichtlich ist, dass der EU-Verordnungsgeber solche erlassen wollte, gilt nach Ansicht des Gerichts das nationale Arbeitsrecht. Weiterhin stützt das Gericht seine Entscheidung darauf, dass Verträge mit externen Datenschutzbeauftragten unstreitig befristet werden können. Für interne Datenschutzbeauftragte darf nach Auffassung des Gerichts nichts anderes gelten.

Das Gericht hat außerdem die Frage verneint, ob eine Datenschutzaufsichtsbehörde anweisen einen Arbeitgeber anweisen kann, den Arbeitsvertrag eines internen Datenschutzbeauftragten zu entfristen. Das war das Ansinnen des Klägers im konkreten Fall. Diesem Versuch erteilt das Gericht jedoch eine deutliche Absage. Eine Anweisung zur Entfristung sei ein erheblicher Eingriff in die unternehmerische Freiheit. Es bedürfe daher einer ausdrücklichen Befugnisnorm. Aus der allgemeinen Aufgabenzuweisung der Datenschutzaufsichtsbehörden kann eine solche nach Auffassung des Verwaltungsgerichts jedoch nicht abgeleitet werden.

Datenschutzaufsichtsbehörde NRW: Handreichung zu Online-Prüfungen

Die Datenschutzaufsichtsbehörde NRW hat eine Handreichung zu Online-Prüfungen an Hochschulen veröffentlicht, die auch für Verantwortliche außerhalb von Hochschulen von Interesse ist. Neben einigen grundsätzlichen Empfehlungen zum Datenschutz bei Online-Prüfungen geht die Behörde nämlich auch auf die Frage der datenschutzrechtlichen Verantwortlichkeit für die Datenverarbeitung ein und kommt zu dem Ergebnis, dass Videokonferenzdienste im Kern als Telekommunikationsdienste einzuordnen sind, die nach § 29 Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) unter der Aufsicht des Bundesdatenschutzbeauftragten stehen.

Für die Datenverarbeitung bei der Erbringung des Telekommunikationsdienstes ist demnach nicht der Nutzer dieses Dienstes rechtlich verantwortlich, sondern der Anbieter. Dies gilt auch für sog. Misch-Dienste, bei denen der Videokonferenzdienst mit anderen Funktionen verknüpft ist (zum Beispiel bei MS Teams). Die Verarbeitung von Metadaten und technischen Übertragungsdaten für den Transport von Inhaltsdaten fällt daher in den Verantwortungsbereich des Anbieters und muss nicht durch einen Auftragsverarbeitungsvertrag nach der DSGVO geregelt werden.

Internationale Nachrichten

• Niederlande: Das höchste allgemeine Verwaltungsgericht der Niederlande, die Abteilung für Verwaltungsrecht des Staatsrats, hat entschieden, dass die niederländische Datenschutzaufsichtsbehörde bei ihrem Bußgeld gegen die Fußball-Videoplattform VoetbalTV das berechtigte Interesse als Rechtsgrundlage zu eng ausgelegt und legitime Interessen des Unternehmens nicht hinreichend berücksichtigt hatte. Das Gericht hat daher die Aufhebung des Bußgelds in der Vorinstanz bestätigt.
• Frankreich: Die französische Datenschutzaufsichtsbehörde CNIL hat ein Verfahren gegen META nach Nachbesserungen bei der Cookie-Verwaltung eingestellt.
• Baltikum: Die Datenschutzaufsichtsbehörden der baltischen Staaten haben eine gemeinsame Prüfaktion zum Datenschutz bei der Kurzzeitmiete von Fahrzeugen, insbesondere von E-Scootern, gestartet.
• Europa: Das EDPB hat ein Dokument mit Kriterien für Fälle veröffentlicht, die die Datenschutzaufsichtsbehörden wegen ihrer strategischen Bedeutung gemeinsam diskutieren möchten. Darüber hinaus hat das EDPB im Rahmen eines Streitbeilegungsverfahrens zu einem Entscheidungsentwurf der irischen Datenschutzaufsichtsbehörde zum Datenschutz bei Meta beraten und zwei Schreiben an europäische Verbraucherschutzorganisationen zu TikTok beantwortet.
• Europa: In einer gemeinsamen Stellungnahme haben das EPDB und der europäische Datenschutzbeauftragte ihre Besorgnis zum Ausdruck gebracht, dass der Verordnungsentwurf der EU-Kommission zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern die europäischen Grundrechte verletzt.

Aktuelle Gerichtsentscheidungen

• VG Frankfurt, Beschluss vom 15.07.2022, Az. 5 L1281/22.F (Volltext): Kein datenschutzrechtlicher Anspruch auf Ende-zu-Ende-Verschlüsselung bei E-Mailkommunikation mit dem Bundesamt für Wirtschaft und Ausfuhrkontrolle, da eine Transportverschlüsselung dem Stand der Technik entspricht und ausreichend ist.
• AG Wiesbaden, Urteil vom 03.03.2022, Az. 93 C 2338/20 (Volltext): Der Anspruch auf Auskunft nach Art. 15 DSGVO muss nicht in einem Dokument erfolgen und es besteht keine Pflicht zur Angabe der konkret zuständigen Datenschutzaufsichtsbehörde.
• VG Stuttgart, Urteil vom 15.05.2022, Az. 1 K 6043/20 (Volltext): Die Veröffentlichung einer Gerichtsentscheidung kann, auch wenn die Entscheidung nicht im datenschutzrechtlichen Sinne anonymisiert ist, gerechtfertigt sein. Rechtsgrundlage ist die kraft nationalen Verfassungsrechts allen Gerichten obliegende Verpflichtung zur Veröffentlichung von veröffentlichungswürdigen Gerichtsentscheidungen.
• VG Stuttgart, Urteil vom 11.11.2021, Az. 11 K 17/21 (Volltext): Die DSGVO garantiert nicht die „vollständige Unabhängigkeit“ eines internen Datenschutzbeauftragten. Eine Befristung der Stelle ist daher möglich. Darüber hinaus hat die Datenschutzaufsichtsbehörde keine Befugnis zu entsprechenden Weisungen.
• LG Kassel, Urteil vom 05.07.2022, Az. 5 O 1954/21 (juris): Da es sich bei Tarifprämien einer Versicherung nicht um personenbezogene Daten handelt, besteht kein Anspruch auf Auskunft nach der DSGVO. Darüber hinaus wäre der Antrag auch rechtsmissbräuchlich, da der Anspruch auf Auskunft nicht dazu dient, die Geltendmachung vermögensrechtlicher Ansprüche zu ermöglichen.
• LG Köln, Urteil vom 22.06.2022, Az. 25 O 9/22 (beck-online): Kein Schmerzensgeld für die Vorenthaltung einer Auskunft nach Art. 15 DSGVO, da nicht ersichtlich ist, in welcher Weise der Klägerin dadurch ein immaterieller Schaden entstanden sein könnte.
• EuGH, Urteil vom 01.08.2022, Az. C‑184/20 (Volltext): Auch personenbezogene Daten, die nur indirekt sensible Informationen über einen Betroffenen preisgeben, unterfallen Art. 9 DSGVO. Daher stellt die Veröffentlichung personenbezogener Daten, die indirekt die sexuelle Ausrichtung der betroffenen Personen offenlegen können, auf einer Webseite eine Verarbeitung besonderer Kategorien personenbezogener Daten dar.

Neues aus den Aufsichtsbehörden

• Datenschutzaufsicht Niedersachsen: 1,1 Millionen EUR „ Bußgeld gegen Volkswagen“ – Pressemitteilung vom 26.07.2022
• Datenschutzaufsicht Nordrhein-Westfalen: „Handreichung zu Online-Prüfungen an Hochschulen“ – Stand: 28.07.2022
• Datenschutzaufsicht Niedersachsen: 900.000 EUR „ Bußgeld gegen Kreditinstitut wegen Profilbildung zu Werbezwecken“ – Pressemitteilung vom 28.07.2022
• Datenschutzaufsicht Bayern (BayLfD): „Privacy in Bavaria“ – Zweite Ausgabe vom 29.07.2022
• Bundesdatenschutzbeauftragter: „BfDI fordert Einhaltung der Grundrechte bei Chatkontrolle“ – Pressemitteilung vom 29.07.2022