DatenschutzWoche vom 19. 12. 2022

EU-US Privacy Framework: EU-Kommission legt Entwurf für Angemessenheitsbeschluss vor

Am 13. Dezember hat die EU-Kommission ihren Entwurf für einen neuen Angemessenheitsbeschluss für Datenübermittlungen in die USA veröffentlicht. Durch den Beschluss sollen der transatlantische Datenverkehr gefördert und die Bedenken aus der „Schrems II“-Entscheidung des EuGH ausgeräumt werden.

Die EU-Kommission bezieht sich auf die Executive Order des US-Präsidenten Biden vom 7. Oktober 2022. Danach gewährleisten die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten, indem ausreichende Beschränkungen und Garantien für den Zugang von US-Behörden zu Daten, insbesondere für Zwecke der Strafverfolgung und der nationalen Sicherheit, geschaffen wurden.

Gleichzeitig startete die EU-Kommission das Verfahren zur Annahme. Der Entwurf wird nun dem European Data Protection Board (EDPB) zur Stellungnahme zugeleitet und danach in einem Ausschuss mit Vertretern der Mitgliedsstaaten beraten. Auch das EU-Parlament hat ein Kontrollrecht. Erst danach kann die Kommission den endgültigen Angemessenheitsbeschluss fassen.

Datenschutz vs. Gesundheitsschutz: VG Hamburg hält Krebsregister für datenschutzwidrig

Dass die Verarbeitung von Gesundheitsdaten einer besonderen datenschutzrechtlichen Sorgfalt bedarf und auch von gesetzgeberischer Seite hinreichende Schutz- und Sicherheitsvorkehrungen zu treffen sind, zeigt die Entscheidung des VG Hamburg vom 28.07.2022, Az. 21 K 1802/21.

Ausgangspunkt der Entscheidung ist die Verarbeitung von Gesundheitsdaten innerhalb des Hamburgischen Krebsregisters, einem fachlich unabhängigen epidemiologischen und klinischen Register zur Erfassung und Auswertung von Krebserkrankungen. Zum Schutz der Gesundheitsdaten werden die personenbezogenen Daten von Krebspatienten innerhalb eines „besonders geschützten Vertrauensbereichs“ mittels eines Hash-Verfahrens und anschließender Überschlüsselung pseudonymisiert. Die konkrete Ausgestaltung der Sicherheit der Verarbeitung und des angemessenen Schutzes der Daten obliegt nach dem einschlägigen Krebsregistergesetz Hamburg dem Krebsregister selbst.

Anlässlich einer Entscheidung zu einem Auskunfts- und Löschersuchen einer betroffenen Patientin sieht das VG Hamburg hier jedoch den Gesetzgeber in der Pflicht: Zwar bestünde durch diverse Maßnahmen wie der Pseudonymisierung zur Übermittlung der Daten sowie durch das Widerspruchsrecht der Betroffenen ein gewisses Schutzniveau – es bedürfe allerdings mit Blick auf die Erheblichkeit des Eingriffs eines weitergehenden gesetzgeberischen Rahmens, der insbesondere die Sicherheit der Verarbeitung gewährleisten muss. Der konkrete Schutz innerhalb des vorgesehenen „besonders geschützten“ Vertrauensbereiches bleibe vorliegend jedoch „in Gänze dem Hamburgischen Krebsregister vorbehalten“.

Inspiration bieten dem Hamburgische Gesetzgeber zur nunmehr erforderlichen Nachbesserung die Regulierungen in Hessen und Baden-Württemberg sowie die Regelung des § 303a SGB V.

Interessant auch: Das VG Hamburg hält eine Löschung von personenbezogenen Daten auch nach einem Antrag auf Auskunft gem. Art. 15 DSGVO für zulässig.

Internationale Nachrichten

• Norwegen: Der App-Betreiber Grindr hat gegen die von der norwegischen Datenschutzbehörde Datatilsynet verhängte Geldbuße in Höhe von 6,5 Mio. EUR Beschwerde eingelegt. Die Behörde wird die Beschwerde nun prüfen und die Sache ggf. einem Beschwerdeausschuss vorlegen.
• Europa: Während seiner jüngsten Sitzung hat das EDPB eine Stellungnahme zum EuGH-Urteil zur Verwendung von Fluggastdaten (Passenger Name Record, PNR) verabschiedet und darin die Umsetzung der Entscheidung durch die Mitgliedsstaaten gefordert. Der EuGH hatte mit Urteil vom 21. Juni 2022 (C‑817/19) entschieden, dass die Regelungen der PNR-Richtlinie eng auszulegen sind. Die Erhebung und Verarbeitung von Fluggastdaten müssen daher auf ein Minimum beschränkt werden.

Aktuelle Gerichtsentscheidungen

• OLG Nürnberg, Beschluss vom 21. November 2022, Az. 8 U 1621/22 (juris): Die auslösenden Faktoren für die Neukalkulation der Beiträge für eine private Krankenversicherung unterfallen nicht Art. 15 DSGVO, da es sich nicht um personenbezogene Daten handelt.
• LAG Hamm, Urteil vom 6. Oktober 2022, Az. 18 Sa 271/22 (Volltext): Kein Sonderkündigungsschutz für interne Datenschutzbeauftragte, wenn das Unternehmen nicht zur Benennung verpflichtet ist. Revision beim BAG eingelegt (Az. 2 AZR 358/22).
• VG Hamburg, Urteil vom 28.07.22, Az. 21 K 1802/21 (Volltext): Da die Verarbeitung von pseudonymisierten Daten im Krebsregister Hamburg rechtswidrig ist, hat die Klägerin einen Anspruch auf Löschung aus Art. 17 DSGVO.
• LG Nürnberg-Fürth, Urteil vom 29.07.2022, Az. 8 O 4151/21 (BeckRS 2022, 35204): Eine Abfrage im Hinweis- und Informationssystem der Versicherungswirtschaft zu Vorschäden einem Fahrzeug durch einen KFZ-Versicherer löst keine datenschutzrechtlichen Löschansprüche aus.
• OLG Karlsruhe, Urteil vom 30.11.2022, Az. 7 U 75/22 (BeckRS 2022, 35131): Informationen über eine erteilte Restschuldbefreiung dürfen durch Wirtschaftsauskunfteien drei Jahre lang gespeichert werden. Rechtsgrundlage ist ein berechtigtes Interesse.

Neuigkeiten aus den Aufsichtsbehörden

• Bundesdatenschutzbeauftragter: „EDSA fordert Umsetzung des Urteils zur PNR-Richtlinie“ – Pressemitteilung vom 14.12.2022