DatenschutzWoche vom 18.07.2022

Datenschutzaufsicht Niedersachsen: Eckpunktepapier zu digitalen Lernplattformen

Die niedersächsische Datenschutzaufsichtsbehörde hat ein umfangreiches Eckpunktepapier zum Einsatz digitaler Lernplattformen veröffentlicht. Damit sollen Schulen in Niedersachsen und Anbieter digitaler Lernplattformen bei der Einhaltung der datenschutzrechtlichen Anforderungen unterstützt werden.

Die Behörde geht auch auf die Datensparsamkeit ein. So muss sichergestellt sein muss, dass „[…]  die Lehrkräfte nicht nachverfolgen können, wie lange die Schülerinnen und Schüler an den jeweiligen Dokumenten gearbeitet haben“, da dies im Vergleich zum analogen Schulalltag „[…]  einen unverhältnismäßigen Eingriff in das Recht auf informationelle Selbstbestimmung der Schülerinnen und Schüler darstellen“ würde. Dabei könnten hier die Vorteile der Digitalisierung genutzt werden, zum Beispiel in Form von gezielter Unterstützung für Schülerinnen und Schüler, die für bestimmte Aufgaben mehr Zeit als andere brauchen. Diese Chancen müssen ungenutzt bleiben, wenn digitale Lernplattformen aufsichtsbehördlich auf die Abbildung des Präsenzunterrichts beschränkt werden.

Dass die die personenbezogenen Daten der Schülerinnen und Schüler nicht zu Geschäftszwecken verarbeitet werden dürfen und die Schule „Herrin der Daten“ bleiben muss, so Behörde; sollte sich von selbst verstehen.

European Data Protection Board zu Datenübermittlungen nach Russland

Vor dem Hintergrund des russischen Angriffskriegs gegen die Ukraine hat das European Data Protection Board (EDPB) eine Stellungnahme zur Zulässigkeit von Drittlandsübermittlungen nach Russland abgegeben. Demnach können Drittlandsübermittlungen nach Russland nicht auf einen Angemessenheitsbeschluss gestützt werden. Daher müssen andere Garantien nach den Art. 44 ff. DSGVO gegen werden.

Das EDPB betont, dass Datenexporteure verpflichtet sind, die Rechtslage und praktische Rechtsanwendung im Drittland zu beurteilen und zusätzliche Maßnahmen zu treffen, wenn das Schutzniveau nicht ausreicht. Dies folgt aus der „Schrems II“-Entscheidung des EuGH. Kommen zusätzlichen Schutzmaßnahmen, zum Beispiel Verschlüsselung oder Pseudonymisierung der Daten, nicht in Betracht, ist die Übermittlung auszusetzen.

Angesichts der drastischen Worte, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seiner Warnung vor Virenschutzsoftware des Herstellers Kaspersky wählte, fällt die Einschätzung des EDBP auffallend diplomatisch aus. Das BSI hatte in seiner Warnung zu möglichen Risiken unter anderem festgestellt: „Ein russischer IT-Hersteller kann selbst offensive Operationen durchführen, gegen seinen eigenen Willen gezwungen werden, Zielsysteme anzugreifen, oder selbst als Opfer einer Cyber-Operation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden.“

Interessant ist auch, dass nach Angaben des EDPB bei einigen nationalen Datenschutzaufsichtsbehörden bereits Prüfverfahren zur Zulässigkeit von Datenübermittlungen nach Russland laufen.

Internationale Nachrichten

• Europa: Der Europäische Datenschutzbeauftragte und das EDBP haben eine gemeinsame Stellungnahme zum Entwurf für einen Europäischen Gesundheitsdatenraum veröffentlicht und fordern darin einen besseren Schutz der betroffenen Personen.
• Finnland: Die finnische Datenschutzaufsichtsbehörde hat ein Bußgeld in Höhe von 85.000 Euro gegen ein Medienunternehmen verhängt, weil das E-Mailpostfach für Anfragen von Betroffenen über mehrere Jahre nicht korrekt weitergeleitet wurde und zu hohe Anforderungen an die Identifikation von Betroffenen gestellt wurden.
• Italien: Die italienische Datenschutzaufsichtsbehörde hat das Unternehmen TikTok in einer formellen Warnung darauf hingewiesen, dass eine personalisierte Werbung auf Basis eines berechtigten Interesses unzulässig ist.

Aktuelle Gerichtsentscheidungen

• LG Ravensburg, Beschluss vom 30.06.2022, Az. 1 S 27/22 (Volltext): Vorabentscheidungsverfahren an den EuGH zur Frage, ob der immaterielle Schaden nach Art. 82 Abs. 1 DSGVO einen spürbaren Nachteil und eine objektiv nachvollziehbare Beeinträchtigung verlangt.
• OLG München, Urteil vom 22.03.2022, Az. 18 U 1697/21 (juris): Der Anspruch auf Löschung nach Art. 17 Abs. 1 DSGVO schließt den Anspruch darauf ein, dass die gelöschten Daten nicht erneut verarbeitet werden.
• FG München, Urteil vom 05.05.2022, Az. 15 K 193/20 (Volltext): Zur Reichweite des Anspruchs auf Auskunft nach Art. 15 DSGVO gegenüber den Finanzbehörden

Neuigkeiten aus den Aufsichtsbehörden

• Datenschutzaufsicht Sachsen: „Sächsische Datenschutzbeauftragte wird auch Transparenzbeauftragte“ – Pressemitteilung vom 13.07.2022
• Datenschutzaufsicht Baden-Württemberg: „Baden-Württembergs Datenschutzbeauftragter Brink hört auf“ – Bericht der Badischen Zeitung vom 13.07.2022
• Datenschutzaufsicht Niedersachsen: „Eckpunkte für den datenschutzkonformen Einsatz von digitalen Lernplattformen in den niedersächsischen Schulen“ – Eckpunktepapier mit Stand Juni 2022