DatenschutzWoche vom 23.01.2023

EDPB: Prüfbericht zur Cloud-Nutzung bei öffentlichen Stellen

Das EDBP hat seinen Prüfbericht zum Einsatz von Clouddiensten durch öffentliche Stellen angenommen und veröffentlicht. Erstmals wurden im Rahmen einer koordinierten Prüfung EU-weit etwa 100 öffentliche Stellen befragt und kontrolliert, darunter auch einige EU-Institutionen.

Demnach nutzt die öffentliche Hand verstärkt Clouddienste, hat dabei aber erhebliche Probleme, die Vorgaben der DSGVO umzusetzen. Dies zeigt sich in der langen Mängelliste, aus der sich auch eine Reihe von Empfehlungen ableiten lässt. Öffentliche Stellen, die Clouddienste einsetzen, sollten demnach (unter anderem) folgende Maßnahmen ergreifen:

• Durchführung einer Datenschutz-Folgenabschätzung
• Klare Verteilung der datenschutzrechtlichen Verantwortlichkeit und Abschluss von entsprechenden Vereinbarungen
• Beteiligung der Datenschutzbeauftragten
• Berücksichtigung aller datenschutzrechtlichen Anforderung im Vergabeverfahren
• Ausschluss von Drittlandsübermittlungen oder Prüfung der datenschutzrechtlichen Zulässigkeit von Drittlandsübermittlungen

Arbeitsgericht Köln: Unzureichender Datenschutz kann betriebliches Eingliederungsmanagement scheitern lassen

Das betriebliche Eingliederungsmanagement (BEM) dient nach § 167 Abs. 2 des SGB IX (Neuntes Sozialgesetzbuch) dazu, Beschäftigten, die innerhalb eines Jahres länger als sechs Wochen ununterbrochen oder wiederholt arbeitsunfähig waren, den Wiedereinstieg am Arbeitsplatz zu erleichtern. Im Rahmen des Verfahrens können viele sensible Daten des Beschäftigten verarbeitet werden, insbesondere Gesundheitsdaten. Der Datenschutz spielt daher eine erhebliche Rolle.

In einem Urteil vom 24.06.2021 (Az. 10 Ca 7069/20) kommt das Arbeitsgericht Köln zum Ergebnis, dass ein unzureichender Datenschutz das BEM sogar scheitern lassen kann. Hierzu stellt das Gericht im Wortlaut fest: „Daneben ist ein Hinweis zur Datenerhebung und Datenverwendung erforderlich, der klarstellt, dass nur solche Daten erhoben werden, deren Kenntnis erforderlich ist, um ein zielführendes, der Gesundung und Gesunderhaltung des Betroffenen dienendes BEM durchführen zu können. Dem Arbeitnehmer muss mitgeteilt werden, welche Krankheitsdaten - als sensible Daten iSv. § 3 Abs. 9 BDSG - erhoben und gespeichert und inwieweit und für welche Zwecke sie dem Arbeitgeber zugänglich gemacht werden. Nur bei entsprechender Unterrichtung kann vom Versuch der ordnungsgemäßen Durchführung eines BEM die Rede sein […]“.

Da im vorliegenden Fall kein entsprechender Datenschutzhinweis erteilt wurde, kam das Gericht zum Ergebnis, dass die Einladung zum BEM-Gespräch nicht ordnungsgemäß erfolgt war. Die Kündigung des Beschäftigten war daher unzulässig.

Internationale Nachrichten

• Frankreich: Die französische Datenschutzaufsichtsbehörde CNIL hat gegen einen App-Anbieter ein Bußgeld in Höhe von 3 Millionen Euro verhängt. Der Appanbieter hatte technisch erforderliche Identifier zu Werbezwecken genutzt.
• Europa: Das EDPB hat Empfehlungen zum Datenschutz für die Cloud-Nutzung durch öffentliche Stellen verabschiedet und einen Bericht der „Cookie-Banner“-Taskforce angenommen.
• Frankreich: Die französische Datenschutzaufsichtsbehörde hat eine eigene Abteilung für künstliche Intelligenz eingerichtet. In der Abteilung sollen das Fachwissen über KI-Systeme vertieft sowie die Risiken für Privatsphäre und Datenschutz betrachtet werden. Außerdem dient die neue Abteilung der Vorbereitung auf die geplante KI-Verordnung der EU.
• Österreich: Die Datenschutzbehörde hat ihren Newsletter 01/2023 veröffentlicht. Themen sind unter anderen die Datenverarbeitung zur Auszahlung des Klimabonus, ein polnisches Vorabentscheidungsersuchen zum Datenhandel sowie die Verarbeitung biometrischer Daten mittels Handvenenscanner.

Aktuelle Gerichtsentscheidungen

• VG Berlin, Urteil vom 24.10.2022, Az. 2 K 149/21 (Volltext): Kein Anspruch auf Kopie nach Art. 15 Abs. 3 DSGVO wegen berechtigter Geheimhaltungsinteressen zum Schutz internationaler Beziehungen. Der Streitwert des datenschutzrechtlichen Auskunftsanspruchs beträgt 5.000 Euro.
• VGH Hessen, Beschluss vom 01.12.2022, Az. 10 B 1898/22 (Volltext): Art. 79 Abs. 2 DSGVO räumt dem Kläger kein Wahlrecht bezüglich des örtlich zuständigen Gerichts ein. Nach nationalem Recht steht dem Kläger ein solches jedoch gemäß § 44 BDSG zu.
• OLG Hamm, Beschluss vom 19.05.2022, Az. 6 U 137/21 (Volltext): Kein Verstoß gegen § 7 Abs. 2 Nr. 3 UWG bei der mehrfachen Versendung einer informatorischen E-Mail ohne werbenden Inhalt. Die Speicherung der Daten des Adressaten ist nach Art. 6 Abs. 1 S. 1 b) DSGVO zulässig.
• LArbG Berlin-Brandenburg, Urteil vom 01.12.2022, Az. 21 Sa 390/22 (Volltext): Die Einführung einer Kundenliste in ein Gerichtsverfahren kann datenschutzrechtlich auf ein berechtigtes Interesse gestützt werden. Die Zweckänderung ist zulässig nach BDSG und DSGVO.
• LG Bielefeld, Urteil vom 19.12.2022, Az. 8 O 182/22 (juris): Kein Schadensersatz nach Art. 82 DSGVO im Fall von Scraping bei Facebook.
• ArbG Köln, Urteil vom 24.06.2021, Az. 10 Ca 7069/20 (Volltext): Nur bei korrekter datenschutzrechtlicher Unterrichtung kann vom Versuch der ordnungsgemäßen Durchführung eines BEM die Rede sein.

Neuigkeiten aus den Aufsichtsbehörden

• Datenschutzkonferenz: „Europäischer Gerichtshof verhandelt Grundsatzfrage zur Sanktionierung von Datenschutzverstößen von Unternehmen“ – Pressemitteilung vom 18.01.2023 (zugehörige Stellungnahme)
• Bundesdatenschutzbeauftragter: „EDSA entscheidet über Cookie-Banner und Cloud-Dienste“ – Pressemitteilung vom 18.01.2023
• Datenschutzaufsicht Hamburg: „Erweiterte Kompetenzen für den HmbBfDI - Sanktionierungsmöglichkeiten gegenüber Telemedienanbietern in Hamburg“ – Pressemitteilung vom 19.01.2023
• Datenschutzkonferenz: Einladung zum 17. Europäischen Datenschutztag am 30. Januar 2023