DatenschutzWoche vom 17. 07. 2023

Neuer Angemessenheitsbeschluss für die USA: Reaktionen

Am vergangenen Montag, dem 10. Juli 2023, hat die EU-Kommission ihren Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework (DPF) angenommen. Datenübermittlungen an US-Unternehmen, die unter dem DPF zertifiziert sind, sind damit ohne zusätzliche Datenschutzgarantien möglich. Wer Daten an US-Unternehmen übermitteln möchte, muss jedoch prüfen, ob das Unternehmen die erforderliche Selbstzertifizierung vollständig durchlaufen hat und die zu übermittelnde Datenart erfasst ist. Hierzu stellt das U.S. Department of Commerce eine öffentliche Datenbank zur Verfügung.

In der Wirtschaft wurde der neue Angemessenheitsbeschluss überwiegend positiv aufgenommen. In einer Pressemitteilung vom 10. Juli 2023 betonte Bitkom-Präsident Dr. Ralf Wintergers beispielsweise: „Die mühsamen transatlantischen Verhandlungen haben sich gelohnt und waren auch deshalb erfolgreich, weil die aktuelle US-Regierung mit einer Executive Order im vergangenen Jahr auf die europäischen Bedenken reagiert hat und auf die EU zugegangen ist. Sicher ist aber auch, dass die nun gefundene Neuregelung erneut von den Gerichten überprüft werden wird. Dort wird sich zeigen, ob der EU-Gesetzgeber mit dem Data Privacy Framework eine rechtlich belastbare Regelung gefunden hat.“

Deutliche Zweifel an der erforderlichen Belastbarkeit des neuen Abkommens äußerten Datenschutzaktivisten. Max Schrems betonte in einer Pressemitteilung der Datenschutz-NGO noyb vom 10. Juli 2023 etwa „Die bloße Behauptung, etwas sei "neu", "robust" oder "wirksam", reicht vor dem Gerichtshof nicht aus. Wir brauchten eine Änderung des US-Überwachungsrechts, und die gibt es nicht.“. Die Organisation strebt eine gerichtliche Überprüfung an.

Der Bundesdatenschutzbeauftragte und mehrere Landesdatenschutzaufsichtsbehörden äußerten sich unter Verweis auf die Stellungnahme des European Data Protection Board (EDPB) vom 28. Februar 2023 zurückhaltend. Das EDPB wird in seiner morgigen Sitzung erneut zum Thema beraten.

Mecklenburg-Vorpommern: Neues Gesetz soll Hürden für die Gesundheitsforschung abbauen

Mit einer Änderung des Landeskrankenhausgesetzes (LKHG) möchte die Landesregierung in Mecklenburg-Vorpommern bestehende gesetzlichen Hürden für die Gesundheitsforschung abbauen. Konkret soll - über eine Änderung des §37 LKHG - das bestehende Einwilligungserfordernis für eine Datennutzung zu Forschungszwecken durch eine Widerspruchslösung ersetzt werden.

Kommt die Gesetzesänderung wie geplant, müssten Patientinnen und Patienten, die nicht möchten, dass ihre pseudonymisierten Daten zu Forschungszwecken verarbeitet werden, zukünftig aktiv widersprechen.

Das Gesetzgebungsverfahren wird durch den Landesdatenschutzbeauftragten unterstützt. Noch im Sommer soll der Gesetzentwurf in das Landeskabinett und dann dem Landtag zugeleitet werden.

Da politisch weitgehende Einigkeit herrscht, dass die rechtlichen Hürden bei der Datenverarbeitung für die Gesundheitsforschung beseitigt werden sollen, ist es durchaus wahrscheinlich, dass andere Bundesländer dem Beispiel Mecklenburg-Vorpommerns folgen werden. Auf Bundesebene will die Bundesregierung in der laufenden Legislaturperiode die wissenschaftliche Nutzung von Daten verbessern und die rechtlichen Voraussetzungen für datengetriebene Forschung schaffen (wir berichteten am 15.05.2023).

Internationale Nachrichten

• Europa: Mit Beschluss vom 13.07.2023 hat der Europäische Datenschutzbeauftragte (EDPS) festgestellt, dass der Einsatz von Cisco Webex durch den EuGH den Datenschutzanforderungen der Verordnung 2018/1725 entspricht.

Aktuelle Gerichtsentscheidungen

• LG Görlitz, Urteil vom 26.10.2022, Az. 1 O 138/22 (BeckRS 2022, 49098): Kein Anspruch auf Auskunft nach Art. 15 DSGVO auf nicht vertragsbezogene Korrespondenz mit einer Privatversicherung. – Bestätigt durch OLG Dresden, Urteil vom 21.03.2023, Az. 6 U 2383/22 (BeckRS 2023, 14895).
• LG Karlsruhe, Urteil vom 04.08.2022, Az. 3 O 134/21 (GRUR-RS 2022, 48479): Kein Schadensersatz nach Art. 82 DSGVO wegen der unzulässigen Löschung von Social Media Beiträgen. Keine nennenswerte Beeinträchtigung persönlichkeitsbezogener Belange dargelegt.
• VGH Mannheim, Urteil vom 10.05.2023, Az. 14 S 396/22 (BeckRS 2023, 16321): Bürgerbeteiligung in der Bauleitplanung – Form und Inhalt der Datenschutzhinweise waren im konkreten Fall nicht geeignet, interessierte Bürger von der Erhebung von Stellungnahmen zur Bauleitplanung abzuhalten.
• BGH, Urteil vom 23.05.2023, Az. VI ZR 476/18 (Volltext): Zum Recht auf Löschung nach Art. 17 DSGVO bei Suchmaschinen ("Auslistungsbegehren"). Der Nachweis der Unrichtigkeit obliegt grundsätzlich dem Betroffenen.
• VG Hannover, Beschluss vom 21.06.2023, Az. 13 B 3358/23 (Volltext): Erfolgloser Eilrechtsschutz gegen die beabsichtigte Ernennung des Beigeladenen zum Landesbeauftragten für den Datenschutz.
• OLG Brandenburg, Urteil vom 30.06.2023, Az. 11 U 155/22 (juris): Dient eine Auskunft nicht der Überprüfung der datenschutzrechtlichen Zulässigkeit einer Verarbeitung, ist die Auskunft nicht vom Schutzzweck der DSGVO gedeckt und daher rechtsmissbräuchlich.
• OLG Brandenburg, Urteil vom 03.07.2023, Az. 1 U 8/22 (GRUR-RS 2023, 16930): Da eine dem § 3 InsBekV vergleichbare Regelung für Negativeinträge fehlt, ist die Drei-Jahres-Frist des Code of Conduct nach Maßgabe des ErwG 39 DSGVO zu beurteilen und im Ergebnis angemessen.
• OVG Bremen, Beschluss vom 11.07.2023, Az. 1 LA 14/22 (juris): Zwangsgelder wegen nicht erfüllter datenschutzrechtlicher Anordnungen - Wildkameras können nur dann in Ausübung des Jagdrechts eingesetzt werden, wenn der Einsatz durch den Jagdausübungsberechtigten erfolgt.

Weitere Entscheidungen zu Schadensersatz wegen Scraping bei Facebook:

• Ablehnend: AG Waldbröl, Urteil vom 12.01.2023, Az. 3 C 100/2022 (Volltext)

Neuigkeiten aus den Aufsichtsbehörden

• Bundesdatenschutzbeauftragter: „Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework in Kraft getreten“ – Kurzmeldung vom 10.07.2023
• Datenschutzaufsicht Bayern (BayLfD): „Bayerisches Personalaktenrecht und unionales Datenschutzrecht“ – Aktuelle Kurz-Information 49 mit Stand vom 11.07.2023
• Bundesdatenschutzbeauftragter: „BfDI wird Vertreter im neuen Europäischen Dateninnovationsrat“ – Kurzmeldung vom 11.07.2023
• Datenschutzaufsicht Mecklenburg-Vorpommern: „Medizinische Innovation fördern und Patientendaten schützen“ – Pressemitteilung vom 11.07.2023
• Datenschutzaufsicht Thüringen: „Neuer EU- Data Privacy Framework – Beschluss: Kein Grund zur Euphorie“ – Pressemitteilung vom 14.07.2023