DatenschutzWoche vom 13. November 2023

Europäischer Gerichtshof präzisiert Begriff „Personenbezug“

Mit Urteil vom 9. November 2023 (Rs. C-319/22) hat der Europäische Gerichtshof (EuGH) entschieden, dass Fahrzeughersteller unabhängigen Wirtschaftsakteuren Fahrzeug-Identifikationsnummern (FIN) bereitstellen müssen.

Das Verfahren hatte seinen Ursprung in einem Vorentscheidungsersuchen des LG Köln in einem Rechtsstreit zwischen dem Gesamtverband Autoteile-Handel und einem Fahrzeughersteller. Der EuGH nutzte die Gelegenheit für datenschutzrechtliche Überlegungen. Eine FIN ist demnach nur dann als personenbezogenes Datum zu werten, „[…] wenn die unabhängigen Wirtschaftsakteure bei vernünftiger Betrachtung über Mittel verfügen können, die es ermöglichen, die FIN einer identifizierten oder identifizierbaren natürlichen Person zuzuordnen […]“ (Rn 49).

Ob dies im konkreten Fall gegeben sei, müsse das vorlegende Gericht prüfen. Selbst wenn die Prüfung ergebe, dass ein Personenbezug bestehet, sei die Offenlegung der FIN gegenüber Reparaturbetrieben, Ersatzteilhändlern und Herausgebern technischer Informationen wegen einer bestehenen gesetzlichen Verpflichtung zulässig (Art. 6 Abs. 1 lit. c DSGVO). Die Pressemitteilung des EuGH fasst die Entscheidung zusammen.

Datenschutzkonferenz: Anforderungen an Cloud-basierte Gesundheitsanwendungen

In einem Positionspapier vom 6. November beschäftigt sich die Datenschutzkonferenz (DSK) intensiv mit den Anforderungen an Cloud-basierte digitale Gesundheitsanwendungen. Im Mittelpunkt des Positionspapiers stehen – anders als Titel und Einleitung vermuten lassen – nicht jene digitalen Gesundheitsanwendungen, die nach Digitale Gesundheitsanwendungen-Verordnung (DiGAV) im Verzeichnis des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) geführt werden, sondern all jene Gesundheitsanwendungen, die durch die DiGAV nicht erfasst werden. Beim Einsatz dieser nicht von der gesetzlichen Krankenkasse erstattungsfähigen Health-Apps gibt es aus Sicht der Datenschutzkonferenz die folgenden Aspekte zu bedenken:

1. Die datenschutzrechtliche Verantwortlichkeit muss geklärt sein. Neben dem Hersteller kommen weitere Beteiligte als alleinig oder gemeinsam Verantwortliche oder Auftragsverarbeiter in Betracht, wie etwa Ärztinnen und Ärzte und andere medizinische Leistungserbringer sowie Anbieter von Cloud-Diensten.
2. Die Nutzung der Health-App muss auch ohne Cloud-Funktionen und ohne Benutzerkonto möglich sein. Eine Ausnahme gilt nach Auffassung der Datenschutzaufsichtsbehörden nur, wenn die Cloudfunktion „[…] unbedingt für die Erreichung eines therapeutischen Nutzens erforderlich [ist] und die Funktion […] von der betroffenen Person ausdrücklich gewünscht [wird]“.
3. Die Nutzung personenbezogener Daten zu Forschungszwecken und zur Qualitätssicherung ist nur unter engen Voraussetzungen zulässig. Eine Anonymisierung von Daten muss in einer Datenschutz-Folgenabschätzung dargelegt werden und erläutern, wie die Anonymisierung funktioniert und dass der Personenbezug tatsächlich aufgehoben wird.
4. Ob Hersteller oder Betreiber: Verantwortliche müssen die Rechte der Betroffenen gewährleisten und eine sichere Authentifizierung der Antragsteller vorsehen.
5. Hohe Anforderungen sind an die Sicherheit der Verarbeitung zu stellen. Verantwortliche und Auftragsverarbeiter können sich unter anderem an Technischen Richtlinien des Bundesamts für Sicherheit in der Informationstechnik (BSI) orientieren.
6. Bei Drittlandsübermittlungen müssen Datenexporteure die Anforderungen des Kapitel 5 der DSGVO einhalten und ggfs. zusätzliche Maßnahmen ergreifen, damit ein ausreichendes Schutzniveau gewährleistet werden kann.

Nachtrag: Datenschutz im BSI-Bericht zur Lage der IT-Sicherheit in Deutschland 2023

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist in seinem jährlichen Bericht zur Lage der IT-Sicherheit (wir berichteten) auch auf datenschutzrechtliche Fragen eingegangen. Demnach wird bei Cyberangriffen mit dem Ziel, Schweigegeld zu erpressen, immer wieder auch mit einer Meldung bei der zuständigen Datenschutzaufsichtsbehörde gedroht (S. 22). Die Angreifer nutzen so vermeintliche oder tatsächliche Verstöße gegen die DSGVO als Druckmittel zweiter Ordnung. Das BSI rät deshalb: „Da der Angriff sowie kompromittierte Daten auch über andere Wege öffentlich werden können, sollten Betroffene frühzeitig und pflichtgemäß eine Meldung abgeben und so Gesetzesverstöße vermeiden.“

Auch mit Blick auf das nach Art. 32 DSGVO bei der Ermittlung angemessener technischer und organisatorischer Maßnahmen einzustellende Risiko ist der Bericht interessant.

Internationale Nachrichten

• Frankreich: Wegen zahlreicher Beschwerden von Betroffenen hat die französische Datenschutzaufsicht CNIL im Rahmen ihres vereinfachten Sanktionsverfahrens zehn neue Entscheidungen zur Geolokalisierung von Firmenfahrzeugen, zur Videoüberwachung von Mitarbeitenden, zur Datenminimierung und zum Widerspruchsrecht erlassen.
• Europa: Der Europäische Datenschutzbeauftragte hat eine Studie über den Kern der Grundrechte auf Schutz der Privatsphäre und auf Schutz personenbezogener Daten veröffentlicht.

Aktuelle Gerichtsentscheidungen

• OVG Schleswig-Holstein, Beschluss vom 14.07.2022, Az. 4 LA 11/20 (Volltext): Zur Rechtswidrigkeit der Videoüberwachung in Umkleiden, Aufenthaltsbereichen und auf Trainingsflächen eines Fitnessstudios. Es handelt sich um einen Fall aus dem Tätigkeitsbericht 2023 der Datenschutzaufsichtsbehörde Schleswig-Holstein.
• OLG Köln, Beschluss vom 03.05.2023, Az. 2 Wx 56/23 (BeckRS 2023, 27026): Kein Anspruch auf Löschung von Daten aus dem Vereinsregister nach Art. 17 DSGVO, da die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist.
• VG Weimar, Beschluss vom 18.10.2023, Az. 1 E 1389/23 We (Volltext): Kein Anspruch eines Beamten auf Untersagung der Herausgabe von bestimmten Bestandteilen der Personalakte an den Untersuchungsausschuss, wenn die Personalakte zumindest pseudonymisiert wurde.
• LG Nürnberg-Fürth, Urteil vom 20.10.2023, Az. 10 O 1510/22 (Volltext): Der Verlust der Kontrolle über die eigene Telefonnummer wegen Scrapings bei Facebook rechtfertig einen Schadensersatz in Höhe von 250 Euro.
• EuGH, Urteil vom 09.11.2023, Rs. C‑319/22 (Volltext): Fahrzeughersteller müssen unabhängigen Wirtschaftsakteuren Fahrzeug-Identifizierungsnummern bereitstellen. Es liegt kein Verstoß gegen die DSGVO vor.

Neuigkeiten aus den Aufsichtsbehörden

• Datenschutzaufsicht Baden-Württemberg: „Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz“ – Diskussionspapier mit Stand vom 07.11.2023 (zugehörige Pressemitteilung vom 13.11.2023)
• Datenschutzaufsicht Nordrhein-Westfalen: „LDI NRW mit neuer Struktur“ – Meldung vom 02.11.2023
• Datenschutzkonferenz: „Positionspapier zu cloudbasierten digitalen Gesundheitsanwendungen“ – Beschluss vom 06.11.2023
• Datenschutzaufsicht Baden-Württemberg: „FAQ Hinweisgeberschutzgesetz“ – Fragen und Antworten vom 09.11.2023