DatenschutzWoche vom 05 09.2022

Datenschutzaufsicht Berlin: FU Berlin soll Webex-Nutzung einstellen

Die Berliner Datenschutzaufsichtsbehörde verlangt von der Freien Universität Berlin, die Videokonferenzsoftware Cisco Webex nach dem 30. September nicht mehr einzusetzen. Das teilte der dortige AStA am 04. September mit. Der AStA veröffentlichte auch die bisherige Kommunikation der Behörde mit der FU Berlin. Diese deutet daraufhin, dass der maßgebliche Kritikpunkt eine aus Sicht der Behörde unzulässige Datenübermittlung in die USA ist.

Sollte die FU Webex weiterhin einsetzen, ist sie aufgefordert „[…] gemäß Art. 5 Abs. 2 DS-GVO die Rechtmäßigkeit der damit verbundenen Verarbeitungen personenbezogener Daten vollumfänglich nachzuweisen“. Die Behörde kündigt eine formelle Untersagung an, falls dies nicht gelingen sollte.

Interessanterweise geht die Berliner Aufsichtsbehörde in ihrer Kommunikation mit der FU nicht auf die Frage ihrer Zuständigkeit ein. Die Datenschutzaufsichtsbehörde Nordrhein-Westfalen war in einer Handreichung zu Online-Prüfungen an Hochschulen zuletzt zum Ergebnis gekommen, dass die Zuständigkeit für den Datenschutz bei Videokonferenzdiensten zumindest teilweise beim Bundesdatenschutzbeauftragten liegt.

Datenschutzaufsicht Rheinland-Pfalz: Drittlandsübermittlungen bei Microsoft 365

Die grundsätzlich kritische Einstellung der rheinland-pfälzischen Datenschutzaufsichtsbehörde zur Drittlandsübermittlungen bei Microsoft 365 geht aus einer aktuelle Antwort auf eine Anfrage nach dem Informationsfreiheitsgesetz und mehreren hierzu veröffentlichten Stellungnahmen der Behörde hervor. Dies war auch in den früheren öffentlichen Informationen zum Microsoft 365 erkennbar geworden.

Konkret heißt es hierzu in einem Schreiben der Behörde vom 27.05.2022 zum Einsatz von Microsoft 365 an Schulen: „Derzeit ist nicht erkennbar […], dass Microsoft hier kurzfristig eine Lösung anbietet, die den datenschutzrechtlichen Anforderungen sowie den Vorgaben des EuGH genügt. Die in Art. 44 ff. DS-GVO genannten rechtlichen Voraussetzungen für eine Datenverarbeitung in den USA sind mit dem Wegfall des Privacy Shields für Schulen derzeit kaum zu erfüllen.“

Eine denkbare Lösung sieht die Behörde in der angekündigten Bereitstellung der Microsoft-Dienste als rein europäische Cloud (sog. Data Boundary). Zu einer abschließenden Einschätzung sieht sich die Behörde jedoch noch nicht in der Lage.

Microsoft selbst hatte zuletzt in einer Stellungnahme betont, dass ein datenschutzkonformer Einsatz von Microsoft 365 „insbesondere im Bildungsbereich“ möglich sei.

Internationale Nachrichten

• Europa: Bereits am 9. August hat der Europäische Datenschutzbeauftragte eine Stellungnahme zu den geplanten Regelungen für grenzüberschreitende Datenflüsse im Abkommen zwischen der EU und Japan über eine Wirtschaftspartnerschaft abgegeben.

Aktuelle Gerichtsentscheidungen

• BGH, Urteil vom 09.08.2022, Az. VI ZR 1244/20 (Volltext): Die DSGVO ist nicht auf juristische Personen anwendbar, allerdings können sich Unternehmen gegenüber Bewertungsportalen auf das Unternehmenspersönlichkeitsrecht (Art. 2 Abs. 1 i.V.m. Art. 19 Abs. 3 GG) berufen.

Neuigkeiten aus den Aufsichtsbehörden

• Datenschutzaufsicht Mecklenburg-Vorpommern: „Fachwissen praktisch erklärt: Kommentar zum Landesdatenschutzgesetz M-V veröffentlicht“ – Pressemitteilung vom 02.09.2022
• Datenschutzaufsicht Berlin: Kostenlose Schulung zu Datenexporten für Berliner Start-ups und Vereine am 09.09.2022
• Datenschutzaufsicht Bayern (BayLfD): „Privacy in Bavaria“ – Ausgabe 3 vom 30.08.2022