Datenschutz­woche

#50

Datenschutzaufsicht Niedersachsen: Eckpunktepapier zu digitalen Lernplattformen

Die niedersächsische Datenschutzaufsichtsbehörde hat ein umfangreiches Eckpunktepapier zum Einsatz digitaler Lernplattformen veröffentlicht. Damit sollen Schulen in Niedersachsen und Anbieter digitaler Lernplattformen bei der Einhaltung der datenschutzrechtlichen Anforderungen unterstützt werden.

Die Behörde geht auch auf die Datensparsamkeit ein. So muss sichergestellt sein muss, dass „[…]  die Lehrkräfte nicht nachverfolgen können, wie lange die Schülerinnen und Schüler an den jeweiligen Dokumenten gearbeitet haben“, da dies im Vergleich zum analogen Schulalltag „[…]  einen unverhältnismäßigen Eingriff in das Recht auf informationelle Selbstbestimmung der Schülerinnen und Schüler darstellen“ würde. Dabei könnten hier die Vorteile der Digitalisierung genutzt werden, zum Beispiel in Form von gezielter Unterstützung für Schülerinnen und Schüler, die für bestimmte Aufgaben mehr Zeit als andere brauchen. Diese Chancen müssen ungenutzt bleiben, wenn digitale Lernplattformen aufsichtsbehördlich auf die Abbildung des Präsenzunterrichts beschränkt werden.

Dass die die personenbezogenen Daten der Schülerinnen und Schüler nicht zu Geschäftszwecken verarbeitet werden dürfen und die Schule „Herrin der Daten“ bleiben muss, so Behörde; sollte sich von selbst verstehen.

European Data Protection Board zu Datenübermittlungen nach Russland

Vor dem Hintergrund des russischen Angriffskriegs gegen die Ukraine hat das European Data Protection Board (EDPB) eine Stellungnahme zur Zulässigkeit von Drittlandsübermittlungen nach Russland abgegeben. Demnach können Drittlandsübermittlungen nach Russland nicht auf einen Angemessenheitsbeschluss gestützt werden. Daher müssen andere Garantien nach den Art. 44 ff. DSGVO gegen werden.

Das EDPB betont, dass Datenexporteure verpflichtet sind, die Rechtslage und praktische Rechtsanwendung im Drittland zu beurteilen und zusätzliche Maßnahmen zu treffen, wenn das Schutzniveau nicht ausreicht. Dies folgt aus der „Schrems II“-Entscheidung des EuGH. Kommen zusätzlichen Schutzmaßnahmen, zum Beispiel Verschlüsselung oder Pseudonymisierung der Daten, nicht in Betracht, ist die Übermittlung auszusetzen.

Angesichts der drastischen Worte, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seiner Warnung vor Virenschutzsoftware des Herstellers Kaspersky wählte, fällt die Einschätzung des EDBP auffallend diplomatisch aus. Das BSI hatte in seiner Warnung zu möglichen Risiken unter anderem festgestellt: „Ein russischer IT-Hersteller kann selbst offensive Operationen durchführen, gegen seinen eigenen Willen gezwungen werden, Zielsysteme anzugreifen, oder selbst als Opfer einer Cyber-Operation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden.“

Interessant ist auch, dass nach Angaben des EDPB bei einigen nationalen Datenschutzaufsichtsbehörden bereits Prüfverfahren zur Zulässigkeit von Datenübermittlungen nach Russland laufen.

Internationale Nachrichten

Aktuelle Gerichtsentscheidungen

  • LG Ravensburg, Beschluss vom 30.06.2022, Az. 1 S 27/22 (Volltext): Vorabentscheidungsverfahren an den EuGH zur Frage, ob der immaterielle Schaden nach Art. 82 Abs. 1 DSGVO einen spürbaren Nachteil und eine objektiv nachvollziehbare Beeinträchtigung verlangt.
  • OLG München, Urteil vom 22.03.2022, Az. 18 U 1697/21 (juris): Der Anspruch auf Löschung nach Art. 17 Abs. 1 DSGVO schließt den Anspruch darauf ein, dass die gelöschten Daten nicht erneut verarbeitet werden.
  • FG München, Urteil vom 05.05.2022, Az. 15 K 193/20 (Volltext): Zur Reichweite des Anspruchs auf Auskunft nach Art. 15 DSGVO gegenüber den Finanzbehörden

Neuigkeiten aus den Aufsichtsbehörden