DatenschutzWoche vom 17.01.2022

Google Analytics: Beschwerden wegen Datenübermittlung in die USA erfolgreich

Sowohl der Europäische Datenschutzbeauftragte (EDPS), als auch die österreichische Datenschutzbehörde (DSB) haben in zwei in der vergangenen Woche bekanntgewordenen Entscheidungen festgestellt, dass der Einsatz von Google Analytics wegen einer unzulässigen Datenübermittlung in die USA nicht mit der DSGVO vereinbar ist. Zur Begründung führt der EDPS in seiner Entscheidung aus, dass das EU-Parlament keinerlei Dokumentation, Beweis oder andere Information vorgelegt hat, die belegt, dass für die übermittelten Daten im konkreten Fall ein angemessenes Datenschutzniveau besteht. Die DSB geht in ihrer Entscheidung noch einen Schritt weiter und stellt fest, dass die zusätzlich zu den Standardvertragsklauseln getroffenen Maßnahmen nicht ausreichen, um ein angemessenes Datenschutzniveau zu gewährleisten. Anlass für die Entscheidung der DSB sind insgesamt 101 vergleichbare Beschwerden, die der österreichische Jurist und Datenschutzaktivist Max Schrems in nahezu allen EU-Staaten eingereicht hat. Da sich die europäischen Datenschutzaufsichtsbehörden diesbezüglich abgestimmt haben, ist davon auszugehen, dass zeitnah weitere vergleichbare Entscheidungen zu „Google Analytics“ in anderen Ländern, unter anderem auch in Deutschland, ergehen werden. In diesem Zusammenhang hat bereits die niederländische Datenschutzaufsichtsbehörde mitgeteilt, dass „die Verwendung von Google Analytics möglicherweise bald nicht mehr erlaubt“ sei. Insgesamt sind weitere Entscheidung der Datenschutzaufsichtsbehörden, die bei der datenschutzrechtlichen Zulässigkeit von Drittlandsübermittlungen zu negativen Ergebnissen kommen erwartbar.

Empfehlungen der Berliner Datenschutzaufsichtsbehörde zu Cisco Webex

Nachdem die Berliner Datenschutzaufsichtsaufsichtsbehörde den Einsatz der Videokonferenzsoftware Cisco Webex an der FU Berlin als rechtswidrig bewertet hat, hat die Behörde nunmehr ihr Anschreiben an die Kanzlerin der FUnach dem Informationsfreiheitsgesetz (IFG) zur Verfügung gestellt. Neben einer rechtlichen Bewertung zum Einsatz von Cisco Webex hat die Behörde in einem Anhang zum Schreiben mehrere konkrete Verbesserungsvorschläge aus datenschutzrechtlicher Sicht aufgenommen. Diese sind auch über den konkreten Einzelfall hinaus für alle Verantwortlichen, die Cisco Webex einsetzen, hilfreich.

Internationale Nachrichten

• Polen: Die polnische Datenschutzaufsichtsbehörde hat gegen die technische Universität Warschau ein Bußgeld in Höhe von etwa 9.900 Euro verhängt. Anlass sind unzureichende technische und organisatorische Maßnahmen für eine Anwendung zur Verwaltung von Beschäftigtendaten.
• Europa: Das EDPB wird sind in seinem 59. Meeting am 18.01.2022 unter anderem mit den Richtlinien zum Recht auf Auskunft beschäftigen.
• Frankreich: Am 12.01.2022 hat die CNIL eine Stellungnahme zur Weiterverarbeitung von personenbezogenen Daten durch Auftragsverarbeiter in französischer Sprache veröffentlicht. Die CNIL kommt darin zum Ergebnis, dass eine Weiterverarbeitung zu eigenen Zwecken nicht datenschutzkonform möglich ist. Zulässig ist es aus Sicht der CNIL jedoch, dass der Verantwortliche dem Auftragsverarbeiter ein Recht zur Weiterverarbeitung einräumt. Darüber hinaus hat die CNIL am 14.01.2022 ein ebenfalls französischsprachiges Positionspapier zum Einsatz von Augmented Reality Technologie in öffentlich zugänglichen Bereichen veröffentlicht.
• USA: Bereits Mitte Dezember 201 hat die FTC gegen die Werbeplattform OpenX wegen Verstößen gegen das US-amerikanische Gesetz zum Schutz von Kinderdaten (Children’s Online Privacy Protection Act Rule (COPPA) ein Bußgeld in Höhe von zwei Millionen US-Dollar verhängt.

Aktuelle Gerichtsentscheidungen

• FG Köln, Urteil vom 27.10.2021, Az. 2 K 1415/21 (Volltext): Bei der gerichtlichen Überprüfung einer Beschwerde bei einer Datenschutzaufsichtsbehörde (Art. 77 Abs. 1 DSGVO) ist der Prüfungsmaßstab des Gerichts eingeschränkt. Revision zum Bundesfinanzhof ist unter dem Az. II R 37/21 eingelegt.
• FG München, Urteil vom 04.11.2021, Az. 15 K 118/20 (Volltext): Art. 15 DSGVO gewährt einen nicht in das Ermessen der Behörde gestellten datenschutzrechtlichen Anspruch auf Auskunft gegenüber dem Finanzamt.
• LAG Hessen, Urteil vom 18.10.2021, Az. 16 Sa 380/20 (Volltext): Lässt der Arbeitgeber einen Arbeitnehmer illegal durch einen Detektiv observieren, hat der Arbeitnehmer nach Art. 82 DSGVO Anspruch auf 1.500€ Schmerzensgeld.
• OLG Dresden, Urteil vom 14.10.2021, Az. 4 U 1278/21 (Volltext): Der Name einer Person ist auch bei Namensidentität mit Dritten ein personenbezogenes Datum, wenn die Identität durch Zusatzinformationen gesichert ist. Neben Ansprüchen aus der DSGVO bleibt die Durchsetzung von Unterlassungsansprüchen nach §§ 823, 1004 BGB möglich.
• ArbG Herne, Urteil vom 10.12.2021, Az. 5 Ca 1495/21 (Volltext): Anforderungen des Datenschutzrechts und des allgemeinen Persönlichkeitsrechts an die Observation von Arbeitnehmern.

Neuigkeiten aus den Aufsichtsbehörden

• Bundesdatenschutzbeauftragter: „BfDI übernimmt Vorsitz der Datenschutzkonferenz 2022“ – Pressemitteilung vom 11.02.2022
• Datenschutzaufsicht Rheinland-Pfalz: „Nach Erhebung und Nutzung von Kontaktdaten aus der LUCA-App durch die Staatsanwaltschaft – Datenschutzbeauftragter leitet aufsichtsrechtliche Verfahren ein“ – Pressemitteilung vom 11.01.2022
• Datenschutzkonferenz: „Konsultationsverfahren der DSK zur aktualisierten Orientierungshilfe für Anbieter:innen von Telemedien (OH Telemedien 2021)“
• Datenschutzkonferenz: 16. Europäischer Datenschutztag am 28.01.2022 – Programm veröffentlicht
• Datenschutzaufsicht Bayern (BayLDA): „Selbstauskünfte von Mietinteressentinnen oder Mietinteressenten gefordert – was ist datenschutzrechtlich zulässig?“ – Pressemitteilung vom 17.01.2022 zu einer fokussierten Prüfung im Bereich Wohnungswirtschaft