DatenschutzWoche vom 20.12.2021

Ganz passend zur Weihnachtszeit erscheint heute mit der 24. Ausgabe die letzte DatenschutzWoche des Jahres 2021. Das Jahr 2022 hält, wie unsere heutige Ausgabe zeigt, schon jetzt jede Menge Stoff für spannende Nachrichten bereit. Die wichtigsten Nachrichten der Woche:

• Datenschutzkonferenz: Auftragsverarbeitungsverträge bei Telekommunikationsdiensten?
• Datenschutzaufsicht Sachsen-Anhalt zu Drittlandübermittlungen

Außerdem: Internationale Nachrichten, aktuelle Gerichtsentscheidungen und Neuigkeiten aus den Aufsichtsbehörden.

Datenschutzkonferenz: Auftragsverarbeitungsverträge bei Telekommunikationsdiensten?

In einer Antwort auf eine Anfrage nach dem Informationsfreiheitsgesetz (IFG) hat die Datenschutzkonferenz (DSK) angekündigt, dass sie ihre Orientierungshilfe für Anbieter von Telemedien überarbeiten und an die neue Rechtslage nach dem Inkrafttreten des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) am 01.12.2021 anpassen wird. Die aktualisierte Version der Orientierungshilfe wird voraussichtlich Anfang bis Mitte 2022 auf der Webseite der DSK abrufbar sein. Zugleich lässt die DSK in ihrer Antwort durchblicken, dass sie voraussichtlich an der Bewertung festhalten wird, dass die Erbringung von Telekommunikationsdienstleistungen keine Auftragsverarbeitung des Telekommunikationsdiensteanbieters ist, sondern in dessen eigener Verantwortlichkeit erfolgt. Zur Begründung führt die DSK an, dass „[…] sowohl die ePrivacy-Richtlinie als auch das TKG dem jeweiligen Telekommunikationsdiensteanbieter bereits ausführliche Sicherheitsvorgaben auf[geben], die durch einen Auftragsverarbeitungsvertrag nicht näher konkretisiert oder umgangen werden können.“ Außerdem entscheide der TK-Anbieter über die Zwecke und Mittel der Verarbeitung, da er bestimme, wie die Ausführung der Übermittlung erfolgt.

„Datenschutz ist Chefsache!“ – US-Tochtergesellschaften und Drittlandsübermittlungen

In ihrem fast 100 Seiten langen Leitfaden „Datenschutz ist Chefsache!“ für kleine und mittlere Unternehmen hat sich die Datenschutzaufsicht Sachsen-Anhalt auch zur Rechtslage bei Drittlandsübermittlungen geäußert. Hierbei vertritt die Behörde unter anderem die Auffassung (S. 95), dass bei der Nutzung eines Clouddienstes, der von einer europäischen Tochter eines US-Konzerns angeboten wird, dem Restrisiko einer Datenübermittlung an den Mutterkonzern in den USA Rechnung getragen werden müsse. Zur Begründung führt die Datenschutzaufsicht Sachsen-Anhalt an, dass US-amerikanische Sicherheitsbehörden auf Basis des CLOUD-Acts eine Datenübermittlung an den US-Mutterkonzern veranlassen könnten. Die Behörde schlussfolgert daraus, dass der Verantwortliche durch eine „[…] rechtliche und technische Gestaltung […]“ verhindern muss, dass das europäische Tochterunternehmen auf die Daten in der Cloud zugreifen kann. Neben einer Anonymisierung der Daten empfiehlt die Behörde eine Verschlüsselung der Daten und den Einsatz eines ausschließlich europäischen Treuhänders, der Schlüsselmaterial verwaltet.

Die Einschätzung der Datenschutzaufsicht Sachsen-Anhalt ist aus mehreren Gründen überraschend. Zum einen ist sie deutlich strenger als die des EDBP. Dieses vertritt in seinen „Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data” vom 18.06.2021 (Ziffer 13), dass noch keine Drittlandsübermittlung vorliegt, wenn der Cloudanbieter im Europäischen Wirtschaftsraum (EWR) niedergelassen ist und eine klare vertragliche Vereinbarung existiert, dass die Daten den EWR nicht verlassen. Zum anderen ist unklar, auf welcher rechtlichen Bewertung die Einschätzung zum CLOUD-Act beruht. Ein von der DSK diesbezüglich beauftragtes Gutachten ist nach aktuellem Kenntnisstand jedenfalls weiterhin nicht finalisiert. Die Stellungnahme der Datenschutzaufsicht Sachsen-Anhalt lässt sich jedoch auch so interpretieren, dass ein möglicher Zugriff durch US-Sicherheitsbehörden über den CLOUD-Act aus Sicht der Behörde zwar noch keine Drittlandsübermittlung darstellt, jedoch im Rahmen von Art. 32 Abs. 1 DSGVO berücksichtigt werden muss. Wenn also im Rahmen der Auftragsverarbeitung vertraglich vereinbart wurde, dass die Daten den EWR nicht verlassen dürfen, erschiene es jedoch eher abwegig, den Auftragsverarbeiter zu verpflichten, die Gesellschafterstruktur seiner Dienstleister zu kontrollieren und gegebenenfalls technische Maßnahmen einzuleiten. Bei einem Verstoß gegen die Weisung wäre der Auftragsverarbeiter schließlich selbst als Verantwortlicher für die Drittlandsübermittlung anzusehen. Es spricht daher vieles dafür, erst im Falle eines (wiederholten) Verstoßes gegen die Weisungen des Verantwortlichen unter dem Aspekt des Art. 32 Abs. 1 DSGVO die Notwendigkeit zu technischen Maßnahmen anzunehmen.

Internationale Nachrichten

• Norwegen: Die norwegische Datenschutzaufsicht hat wegen Verstößen gegen die DSGVO ein Bußgeld in Höhe von etwa 6,5 Millionen Euro gegen die Dating-App Grindr verhängt. Der Bußgeldbescheid ist im Volltext abrufbar.
• Frankreich: Die französische Datenschutzaufsicht CNIL hat das Unternehmen Clearview AI verpflichtet, die Verarbeitung von Daten von Personen, die sich auf französischem Hoheitsgebiet befinden, binnen zwei Monaten einzustellen. Auch die Datenschutzaufsicht Hamburg hat sich bereits mit Clearview befasst.
• Europa: In einer Stellungnahme vom 16.12.2021 hat das EDPB die Bedeutung der Zusammenarbeit der europäischen Datenschutzaufsichtsbehörden bei der Erstellung von Leitlinien betont. Das EDBP bestätigt dabei auch, dass verabschiedete Leitlinien und Empfehlungen zwar nicht rechtsverbindlich sind, jedoch das gemeinsame Verständnis der Datenschutzaufsichtsbehörden widerspiegeln und die Behörden dieses einheitlich anwenden möchten.

Aktuelle Gerichtsentscheidungen

• LAG Baden-Württemberg, Urteil vom 20.10.2021, Az. 4 Sa 70/20 (Volltext): Diagnosen und ähnlich sensible Daten dürfen dem Arbeitgeber beim betrieblichen Eingliederungsmanagement (BEM) ohne ausdrückliche schriftliche Zustimmung des Betroffenen nicht zugänglich sein.
• VG Wiesbaden, Vorlagebeschluss vom 30.07.2021, Az. 6 K 421/21.WI (Volltext): Vorlage an den EuGH zur Auslegung der RL (EU) 2016/680 zum Datenschutz in Strafsachen.

Neuigkeiten aus den Aufsichtsbehörden

• Datenschutzaufsicht Hessen: „Unmittelbarer Handlungsbedarf wegen Schwachstelle in Java-Bibliothek Log4j“ – Hinweis vom 13.12.2021
• Datenschutzaufsicht Bayern: „Handreichung zur Log4Shell-Erstanalyse“ - Version 1.2, Stand:17.12.2021
• Datenschutzaufsicht Sachsen: Weihnachtsgruß des Sächsischen Datenschutzbeauftragten Andreas Schurig, dessen Amtszeit am 31.12.2021 enden wird. Seine Nachfolgerin soll Dr. Juliane Hundert werden.
• Datenschutzaufsicht Rheinland-Pfalz: „Ein bunter Teller voller Plätzchen - Cookies, Banner und das neue TTDSG“ – Folge 14 des „Datenfunk“-Podcast vom 15.12.2021
• Datenschutzaufsicht Sachsen-Anhalt: „Datenschutz ist Chefsache! – Leitfaden für kleine und mittlere Unternehmen“ – Stand: Dezember 2021
• Datenschutzaufsicht Baden-Württemberg: „Datenschutz und Digitalisierung im neuen Koalitionsvertrag der Ampel“ – Pressemitteilung vom 17.12.2021