DatenschutzWoche vom 15.11.2021

Die vierte Corona-Welle am Arbeitsplatz: Homeoffice-Plicht und Impfstatus-Abfrage

Die Corona-Fallzahlen in Deutschland steigen rapide und aktuell ist die Inzidenz deutschlandweit erstmals über 300 gestiegen. Es wird zunehmend deutlich, dass Impfungen allein in der derzeitigen Situation wahrscheinlich nicht ausreichen werden, um die aktuelle Welle zu brechen und die Krankenhäuser vor einer Überlastung zu schützen. Nach anfänglichem Zögern wird daher intensiv über erneute Einschränkungen und neue Maßnahmen diskutiert. Wie unter anderem die FAZ berichtet, erscheint eine Wiedereinführung der Homeoffice-Pflicht wahrscheinlich. Nach einer aktuellen Formulierungshilfe des geschäftsführenden Bundesarbeitsministers Hubertus Heil sollen Ausnahmen von der Homeoffice-Pflicht für Arbeitgeber nur gelten, wenn zwingende betriebsbedingte Gründe entgegenstehen. Für Unternehmen rücken damit abermals auch datenschutzrechtliche Aspekte, insbesondere die Gewährleistung und Kontrolle von angemessenen Schutzmaßnahmen für die Verarbeitung, in den Mittelpunkt. Ein Trostpflaster für betroffene Unternehmen ist immerhin, dass die Fragestellungen nicht völlig neu sein dürften.

Datenschutzkonferenz: Update zum Datenschutz bei Microsoft 365?

Das Protokoll der 3. Zwischenkonferenz 2021 der Datenschutzkonferenz (DSK) erlaubt einen Einblick in den Stand der laufenden datenschutzrechtlichen Bewertung von Microsoft 365. Hierzu ist zunächst anzumerken, dass das Ziel der Gespräche aus aufsichtsbehördlicher Sicht weiter darin besteht datenschutzgerechte Nachbesserungen und Anpassungen zu erreichen. Sanktionen oder andere aufsichtsbehördliche Maßnahmen scheinen damit  bis auf Weiteres ausgeschlossen.Soweit es sich dem Protokoll entnehmen lässt, wird neben der Frage der Abgrenzung von Verantwortlichkeit und Auftragsverarbeitung insbesondere über die offenen Fragen und Auswirkungen der „Schrems II“-Entscheidung des EuGH gesprochen. Das BayLDA ist insoweit der Auffassung, dass „[…] diese Fragen einer eingehenden Beurteilung bedürfen, der eine entsprechende Meinungsbildung innerhalb der DSK vorausgehen sollte.“ Die Datenschutzaufsicht Niedersachsen ist insoweit sogar der Auffassung, dass die Bedeutung der Umsetzungsfragen der „Schrems II“-Entscheidung, „[…] die Fragen zur Auftragsverarbeitung bei weitem übersteigen“. Dass Microsoft bereits im Jahr 2022 eine Option zur ausschließlichen Speicherung und Verarbeitung von Daten in Europa anbieten will, könnte die datenschutzrechtliche Debatte um den Einsatz von Microsoft 365 also erheblich entlasten. Gleichzeitig wird im Allgemeinen deutlich, dass die „Schrems II“-Entscheidung, sowohl für die Datenschutzaufsichtsbehörden, als auch für Verantwortliche längst eine Großbaustelle ist.

Internationale Nachrichten

Liechtenstein: Die Datenschutzaufsicht Liechtenstein hat Informationen zum Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) veröffentlicht.

Niederlande: Die niederländische Datenschutzaufsicht hat ein Bußgeld in Höhe von 400.000€ gegen die Airline Transavia wegen Verstößen gegen Art. 32 DSGVO durch die Vergabe schlechter Passwörter verhängt.

Aktuelle Gerichtsentscheidungen

LG München, Urteil vom 02.09.2021, Az. 23 O 10931/20 (Volltext): Die bloße Behauptung des "Verlusts der Kontrolle über seine Daten" genügt nicht, um einen bemerkbaren, immateriellen Schaden nach Art. 82 DSGVO festzustellen.

VG Hannover, Urteil vom 09.11.2021, Az. 10 A 502/19 (Pressemitteilung): Eine Online-Versandapotheke darf im Bestellvorgang nicht bei jedem Produkt das Geburtsdatum abfragen.

LG Chemnitz, Urteil vom 08.02.2021, Az. 5 O 1041/20 (GRUR-RS 2021, 29291): Kein datenschutzrechtlicher Anspruch auf Auskunft nach Art. 15 DSGVO, wenn Daten auf einer Festplatte wahrscheinlich nicht mehr auslesbar waren.

VG Stuttgart, Beschluss vom 29.03.2021. Az. 11 K 484/21 (Volltext): Die Abberufung einer behördlichen Datenschutzbeauftragten ist zulässig, solange sie nicht wegen der konkreten Aufgabenerfüllung erfolgt.

VG Bremen, Beschluss vom 16.04.2021, Az. 4 V 15/21 (juris): Kein Anspruch auf Anordnung einer Auskunft nach Art. 15 DSGVO im Eilverfahren.

Neuigkeiten aus den Aufsichtsbehörden

Datenschutzaufsicht Nordrhein-Westfalen: „NRW-Datenschutzbeauftragte fordert verpflichtende Zertifizierung von Lern-Apps“ – Bericht des WDR vom 14.11.2021

Datenschutzaufsicht Bayern (BayLDA): „FAQ-Sammlung zur Verarbeitung von 3G/3G plus/2G im Beschäftigtenverhältnis“ – Stand: 11.11.2021

Datenschutzaufsicht Baden-Württemberg: „Dokumente Online: Empfehlung zum Pilotprojekt zur Nutzung MS 365 an Schulen“ – Meldung vom 09.11.2021

Datenschutzkonferenz: „3. Zwischenkonferenz 2021 der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder am 22. September 2021“ – Protokoll