DatenschutzWoche vom 11.07.2022

Digital Services Act: Neue Aufgaben für den Bundesdatenschutzbeauftragten?

Am 05. Juli hat das Europäische Parlament sowohl dem Digital Markets Act (DMA), als auch dem Digital Services Act (DSA) zugestimmt. Nach der formellen Zustimmung durch den Rat der Europäischen Union und einer kurzen Übergangsfrist sollen beide Verordnungen in allen EU-Mitgliedsstaaten gelten, möglicherweise schon im Herbst dieses Jahres. Tabea Rößner, Vorsitzende des Ausschusses für Digitales im Deutschen Bundestag, und Karl-E. Hain, Direktor des Instituts für Medienrecht und Kommunikationsrecht der Universität zu Köln, haben in einem Gastbeitrag für die FAZ die Debatte eröffnet, welche Behörde in Deutschland die Rolle des Digital Services Coordinator nach dem DSA übernehmen soll. Sie plädieren für die „zurzeit damit beauftragten, teilweise aber noch unabhängig zu stellenden Behörden, die über die jeweils erforderliche Sachkompetenz verfügen […]“.

Neben dem Bundesamt für Justiz und der Bundesnetzagentur zählt hierzu auch der Bundesdatenschutzbeauftragte. Mit Blick auf andere geplante Rechtsakte der EU, wie die KI-Verordnung, wirft die aktuelle Diskussion um den Digital Services Coordinator die Frage auf, welche weiteren Zuständigkeiten in den kommenden Jahren auf die Datenschutzaufsichtsbehörden übertragen werden sollen und welche Ressourcen dafür benötigt werden. Die saarländische Datenschutzaufsichtsbehörde hatte beispielsweise zuletzt beklagt, dass „[…] die Wahrnehmung der Kontroll- und Aufsichtsbefugnisse kaum noch sachgerecht leistbar […]“ sei. Eine Auswertung des European Data Protection Board aus dem vergangenen Jahr zeigt, dass die Lage anderswo in Deutschland und Europa wenig besser ist.

Norwegen: DSGVO-Bußgeld nach Angriff mit Verschlüsselungstrojaner

Die Bedeutung von Cybersicherheit im Datenschutzrecht und entsprechender aufsichtsbehördlicher Maßnahmen nimmt zu. Ein anschauliches Bespiel lieferte die norwegische Datenschutzaufsicht in der vergangenen Woche. In einer Pressemitteilung vom 6. Juli machte die Behörde öffentlich, dass sie nach einem Ransomware-Angriff ein Bußgeld von umgerechnet 400.000 Euro gegen eine Gemeinde verhängte hat. Die Gemeinde hatte nach Auffassung der Behörde gegen Art. 32 DSGVO verstoßen. Konkret bemängelte die Behörde insbesondere eine unzureichende Protokollierung und Auswertung der Protokolle, das Fehlen einer Zwei-Faktor-Authentifizierung und unzureichende Backups. Erschwerend kam hinzu, dass ein Großteil der kommunalen Daten betroffen war und die Daten nicht nur verschlüsselt, sondern auch ausgeleitet und im Darknet verbreitet wurden.

Die Datenschutzaufsichtsbehörde betont, dass das Bußgeld gering ausgefallen sei, da die Gemeinde in der Folge des Cyberangriffs erhebliche Summen aufwenden musste, um die Funktionsfähigkeit der Systeme wiederherzustellen und eine ausreichende Cybersicherheit zu gewährleisten.

Da auch deutsche Datenschutzaufsichtsbehörden (z.B. das Bayerische Landesamt für Datenschutzaufsicht) immer wieder die Bedrohung durch Verschlüsselungstrojaner betonen, sollten Verantwortliche den Vorfall zum Anlass nehmen, die Angemessenheit ihrer Maßnahmen zur Abwehr, Erkennung und Bewältigung von Angriffen mit Verschlüsselungstrojanern zu prüfen.

Internationale Nachrichten

• Österreich: Die Datenschutzbehörde hat ihren Newsletter 03/2022 veröffentlicht. Themen sind unter anderem das FAQ der Behörde zu Datenschutz und Cookies sowie der Einsatz von Google Analytics.
• Polen: Wegen des Verlusts eines Dokuments aus einer Personalakte und der unterlassenen Meldung der Datenschutzverletzung hat die polnische Datenschutzaufsichtsbehörde ein Bußgeld von umgerechnet etwa 3.500 Euro gegen ein Unternehmen verhängt.
• Polen: Die polnische Datenschutzaufsichtsbehörde hat gegen eine Entzugsklinik ein Bußgeld von umgerechnet etwa 2.200 Euro verhängt, weil die Klinik über eine Überwachungsanlage Gespräche der Patienten ohne ausreichende Rechtsgrundlage verarbeitet hatte.

Aktuelle Gerichtsentscheidungen

• FG München, Urteil vom 04.11.2021, Az. 15 K 2687/19 (beck-online): Die „[…] unbestätigte Behauptung über das Vorliegen einer Krankheit […]“ ist kein Gesundheitsdatum, da darin keine Mitteilung über den Gesundheitsstatus enthalten ist.
• LG Dresden, Urteil vom 25.05.2021, Az. 8 O 1286/19 (Volltext): Gesamtschuldnerische Haftung des Vorstands einer Gesellschaft sowie der Gesellschaft selbst für ein Schmerzensgeld wegen Datenschutzverstößen (Vorinstanz zu: OLG Dresden, Urteil vom 29.11.2021, Az. 4 U 1158/21).
• LG Köln, Beschluss vom 04.07.2022, Az. 28 O 168/22 (Volltext): Zwischen Google Ireland Ltd. und Google LLC besteht eine gemeinsame Verantwortlichkeit für den Betrieb einer Suchmaschine.
• VGH Baden-Württemberg, Urteil vom 24.5.2022, Az. 3 S 1813/19 (Volltext): Verstöße gegen datenschutzrechtliche Bestimmungen im Rahmen der Bauleitplanung führen als solche nicht zur Rechtswidrigkeit eines Bebauungsplans.

Neuigkeiten aus den Aufsichtsbehörden

• Datenschutzaufsicht Sachsen-Anhalt: „Häufige Ursachen von Datenschutzverletzungen und Abwehrmaßnahmen“ – Informationen für kleine und mittlere Unternehmen
• Europäischer Datenschutzbeauftragter: „AI and I: A three-step approach to Artificial Intelligence“ – Neue Podcast-Serie zu künstlicher Intelligenz