DatenschutzWoche vom 13.12.2021

Alarmstufe Rot statt beschaulicher Vorweihnachtszeit! Wegen der Sicherheitslücke Log4Shell dürften viele Verantwortliche dieser Tage in Aufruhr sein. Damit sie wenigstens über die Weihnachtsfeiertage von der Schwachstelle verschont bleiben, sollten Betroffene jetzt die notwendigen technischen Maßnahmen ergreifen und auch rechtlichen Auswirkungen nicht vergessen. Mit einem aktualisierten und auf Kompromittierung geprüften System lässt sich dann auch die (Vor)weihnachtszeit wieder entspannt genießen.

Die wichtigsten Nachrichten der Woche:

• Log4Shell – Vorweihnachtliche Datenschutzverletzung?
• LG Hamburg: Hohe Hürden für Herausgabe von DSGVO-Bußgeldbescheiden

Außerdem: Internationale Nachrichten, aktuelle Gerichtsentscheidungen und Neuigkeiten aus den Aufsichtsbehörden. 

Log4Shell –  Vorweihnachtliche Datenschutzverletzung?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt auf höchster Stufe vor einer kritischen Schwachstelle in der beliebten Protokollierungsbibliothek log4j. Die als Log4Shell bezeichnete Schwachstelle erlaubt es Angreifern, auf betroffenen Systemen Programmcode auszuführen. Das ganze Ausmaß der Bedrohungslage ist nach Einschätzung des BSI aktuell noch nicht abzusehen. Klar ist aber schon jetzt, dass unzählige Produkte betroffen sind und die Schwachstellen bereits für Angriffe ausgenutzt werden.

Verantwortliche sollten daher dringend die vom BSI empfohlenen Abwehrmaßnahmen ergreifen und darüber hinaus prüfen, ob Systeme bereits kompromittiert wurden. Aus datenschutzrechtlicher Sicht ist im Fall einer Kompromittierung auch an Melde- und Benachrichtigungspflichten nach den Art. 33, 34 DSGVO sowie an die Kontrolle eingesetzter Auftragsverarbeiter zu denken.

LG Hamburg setzt hohe Hürden für Herausgabe von DSGVO-Bußgeldbescheiden

In zwei Beschlüssen vom 28.10.2021 (Az. 625 Qs 21/21 OWi und Az. 625 Qs 22/21 OWi) hat sich das Landgericht (LG) Hamburg mit der Frage auseinandergesetzt, ob der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) seinen Bußgeldbescheid in Höhe von etwa 35 Millionen Euro gegen die H&M Hennes & Mauritz Online Shop A.B. & Co. KG auf Basis von § 475 Abs. 1 und 4 StPO i.V.m. § 49 OWiG an nicht am Verfahren beteiligte Dritte herausgeben darf. Im Ergebnis stellt das Gericht hierzu fest, dass alle Antragssteller ein berechtigtes Interesse an einer Herausgabe des Bußgeldbescheids haben, schutzwürdige Interessen von H&M einer Veröffentlichung jedoch weitgehend entgegenstehen. Darüber hinaus äußert das Gericht Zweifel, ob nicht schon die Pressemitteilung des HmbBfDI rechtswidrig ist, da sie nach Ansicht des Gerichts tendenziell nicht auf eine gesetzliche oder verfassungsunmittelbare Ermächtigungsgrundlage gestützt werden kann. Die Entscheidung dürfte damit die Öffentlichkeitsarbeit der deutschen Datenschutzaufsichtsbehörden nicht unerheblich beeinflussen und – neben Veröffentlichungen im Zusammenhang mit Bußgeldern – beispielsweise auch für Produktwarnungen zu beachten sein.

Internationale Nachrichten

Europa: In seiner 58. Sitzung am 14.12.2021 wird sich das European Data Protection Board (EDBP) mit einem Verfahren vor dem Europäischen Gerichtshof im Zusammenhang mit der Streitbeilegung durch das EDBP (Art. 65 DSGVO) bzgl. des Einschreitens der irischen Datenschutzaufsicht gegenüber WhatsApp auseinandersetzen. Darüber hinaus stehen unter anderem die Leitlinien 01/2021 zu Beispielen für Datenschutzverletzungen und auch die Leitlinien zur Zertifizierung als Instrument für Drittlandsübermittlungen auf der Agenda.

Österreich: Mit Erkenntnis vom 31.08.2021 (Az. 31.08.2021) hat das Bundesverwaltungsgericht Österreich entschieden, dass Verantwortliche eine Datenverarbeitung nach einer ungültigen Einwilligung auch dann auf eine andere Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO stützen können, wenn diese in der Datenschutzinformation nicht erwähnt wird.

Niederlande: Die niederländische Datenschutzaufsicht hat ein Bußgeld in Höhe von 2,75 Millionen Euro gegen die niederländische Steuerverwaltung verhängt, weil die Steuerverwaltung über viele Jahre hinweg Daten über die (doppelte) Staatsangehörigkeit von Antragstellern auf Kindergeld in rechtswidriger, diskriminierender und daher unzulässiger Weise verarbeitet hatte.

Aktuelle Gerichtsentscheidungen

VG Wiesbaden, Beschluss vom 01.12.2021, Az. 6 L 738/21.WI (Volltext): Die Hochschule RheinMain darf auf ihrer Webseite keinen Cookie-Dienst nutzen, der die vollständige IP-Adresse der Endnutzer auf Servern eines Unternehmens, dessen Unternehmenszentrale sich in den USA befinde, übermittelt.

FG Berlin-Brandenburg, Beschluss vom 27.10.2021, Az. 16 K 16155/21 (juris): Für die klageweise Durchsetzung von Schadensersatzansprüchen nach Art. 82 DSGVO gegenüber öffentlichen Stellen sind die ordentlichen Gerichte sachlich zuständig.

LG Hamburg, Beschluss vom 28.10.2021, Az. 625 Qs 22/21 OWi (Volltext) und Az. 625 Qs 21/21 OWi (Volltext): Die Datenschutzaufsicht Hamburg darf den Bußgeldbescheid gegen H&M nur in ganz geringem Umfang an am Verfahren nicht beteiligte Dritte herausgeben.

Neuigkeiten aus den Aufsichtsbehörden

Datenschutzaufsicht Bayern (BayLfD): „Office-Anwendungen aus Drittstaaten bei bayerischen öffentlichen Stellen“ – Stand: 01.12.2021

Datenschutzaufsicht Hessen: „Cyberattacke auf medatixx GmbH & Co. KG“ – Stand: 07.12.2021

Datenschutzaufsicht Bayern (BayLDA): „FAQ-Sammlung zur Verarbeitung von 2G im Einzelhandel“ – Stand: 08.12.2021

Datenschutzaufsicht Thüringen: „FAQ zur Verarbeitung von Beschäftigtendaten im Zusammenhang mit der Corona-Pandemie nach den aktuellen Rechtsvorschriften“ (mit Muster für die Hinterlegung nach § 28b Infektionsschutzgesetz) – veröffentlicht am 09.12.2021

Datenschutzkonferenz: „Save the Date“ zum 16. Europäischen Datenschutztag am 28.01.2022 – veröffentlicht am 10.12.2021