DatenschutzWoche vom 06.02.2023

Datenschutzaufsichtsbehörden: Protokoll zur 104. Datenschutzkonferenz veröffentlicht

Die Datenschutzaufsichtsbehörden des Bundes und der Länder haben das Protokoll zu ihrer 104. Datenschutzkonferenz veröffentlicht. Das Protokoll gewährt einen spannenden Einblick in die aktuellen Tätigkeiten der Datenschutzaufsichtsbehörden und zeigt auf welche Trends die Behörden beschäftigen. Hervorzuheben sind insbesondere die folgenden Tagesordnungspunkte:

• TOP 04 – Bericht aus dem Europäischen Datenschutzausschuss: Bei der Meldung von Datenschutzverletzungen durch Verantwortliche, die über keine Niederlassung in einem Mitgliedsstaat verfügen, gibt nach Ansicht der Behörden es keinen One-Stop-Shop-Mechanismus. Zur Harmonisierung der Meldungen nach Art. 33 DSGVO wird derzeit ein europäisches einheitliches Formular erarbeitet.
• TOP 7 – Information zur Veröffentlichung der Excecutive Order “Enhancing Safeguards for United Sattes Signals Intelligence Activities”:  Die Datenschutzaufsichtsbehörden haben sich zu den nächsten Schritten auf dem Weg zu einem neuen Angemessenheitsbeschluss für Datenübermittlungen in die USA ausgetauscht. Es ist geplant einen gemeinsamen Standpunkt nach § 18 BDSG zu verabschieden.
• TOP 11 – Taskforce Souveräne Cloud: Die Datenschutzaufsichtsbehörden arbeiten derzeit an einem Positionspapier zu den „Anforderungen an Souveräne Clouds“. Die Fertigstellung soll bis zur 1. Zwischenkonferenz 2023 (voraussichtlich: 20.03.-24.03.2023) erfolgen.
• TOP 13 – Arbeit des AK Internationaler Datenverkehr und AK Grundsatz zu extraterritorialen Zugriffen: Die Datenschutzaufsichtsbehörden diskutieren die datenschutzrechtliche Bewertung von extraterritorialen Zugriffsmöglichkeiten durch öffentliche Stellen von Drittländern und bereiten diesbezüglich einen Beschluss vor.
• TOP 15 – Verbesserung der Kooperation mit den spezifischen Aufsichtsbehörden: Mit einem umfangreichen Beschluss möchte die DSK die Kooperation mit den spezifischen Aufsichtsbehörden verbessern und hat hierzu konkrete Vorschläge erarbeitet.
• TOP 25 – Neufassung des Standard-Datenschutzmodells (SDM 3.0): In einer Diskussion über den Empfehlungscharakter wird insgesamt festgestellt, dass das SDM weder für Verantwortliche noch Aufsichtsbehörden ein verbindlicher methodischer Maßstab sei.

OLG München: Urteil zu Produktwarnungen mit Relevanz für den Datenschutz

In einer aktuellen Entscheidung hat sich das OLG München zu rechtlichen Anforderungen an Produktwarnungen durch öffentliche Stellen geäußert. Die eine amtliche Warnung vor „Wacholder-Wammerl“ einer bayerischen Großmetzgerei betreffende Entscheidung lässt sich dem Grunde nach auch auf Warnungen vor digitalen Produkten, wie sie vermehrt von Datenschutzaufsichtsbehörden erfolgen, übertragen.

Nach Auffassung des OLG München war die streitgegenständliche Warnung insbesondere deshalb rechtswidrig, weil das Bayerische Verbraucherschutzministerium pauschal vor sämtlichen Produkten des betroffenen Unternehmens gewarnt hatte. Dem zwischenzeitlich insolventen Unternehmen steht nach Ansicht des Gerichts ein Amtshaftungsanspruch gegen den Freistaat Bayern zu.

Die Entscheidung unterstreicht einmal mehr, dass Produktwarnungen aufgrund der damit einhergehenden schwerwiegenden Folgen wie Reputationsverlust, Umsatzeinbußen oder gar einer Insolvenz hohen rechtlichen Anforderungen an die Sachlichkeit, Richtigkeit und Verhältnismäßigkeit der Warnung unterliegen. Zugleich macht die Entscheidung deutlich, dass betroffene Unternehmen eine gerichtliche Überprüfung der Warnung im Zweifel nicht scheuen sollten.

Internationale Nachrichten

• Frankreich: Die französische Datenschutzaufsicht CNIL hat umfangreiche Informationen zum Beschäftigtendatenschutz veröffentlicht. Die bisher nur auf Französisch verfügbaren Dokumente enthalten unter anderem einen über 100 Seiten starken Leitfaden zum Umgang mit Bewerberdaten.
• Europa: Das Wall Street Journal berichtet über Pläne der EU-Kommission einen neuen Prozess zur Überwachung von umfangreichen Prüfverfahren in grenzüberschreitenden Fällen einzuführen. Zukünftig sollen die Datenschutzaufsichtsbehörden bei entsprechenden Verfahren alle zwei Monate einen Fortschrittsbericht an die EU-Kommission schicken.
• Frankreich: Wegen mehrerer Verstöße gegen die DSGVO hat die französische Datenschutzaufsicht CNIL ein Bußgeld in Höhe von 800.000 Euro gegen den Anbieter des Onlinedienstes Discord verhängt. Die CNIL wirft dem Unternehmen unter anderem vor keine Datenschutz-Folgenabschätzung durchgeführt zu haben, obwohl diese erforderlich gewesen sei.

Aktuelle Gerichtsentscheidungen

• FG Düsseldorf, Urteil vom 10.08.2022, Az. 4 K 879/21 AO (Volltext): Aus Art. 15 DSGVO folgt kein Recht auf Einsicht in eine Betriebsprüfungsakte. Ebenso wenig kann die Kopie einer anonymen Anzeige verlangt werden.
• OLG Celle, Urteil vom 22.09.2022, Az. 11 U 107/21 (juris): Kein Anspruch auf Zahlung eines Schmerzensgelds nach Art. 82 DSGVO, da kein Schaden bei der Klägerin eingetreten ist. Es ist Revision zum BGH eingelegt.
• OLG Hamm, Beschluss vom 19.12.2022, Az. 11 W 69/22 (Volltext): Eine unzulässige Speicherung von Daten rechtfertigt kein Schmerzensgeld nach Art. 82 DSGVO, das über einen Betrag von 50 Euro hinausgeht.

Neuigkeiten aus den Aufsichtsbehörden

• Bundesdatenschutzbeauftragter: „Europäischer Datenschutztag 2023 – Video“
• Datenschutzaufsicht Mecklenburg-Vorpommern: „Karlsruhe kippt SOG M-V“ – Pressemitteilung vom 01.02.2023
• Datenschutzaufsicht Baden-Württemberg: „„Privat-o-Mat“ für den Digital Autonomy Award 2023 nominiert“ – Pressemitteilung vom 31.01.2023