DatenschutzWoche vom 21.03.2022

Ukraine-Krieg: Datenübermittlungen nach Russland noch zulässig?

In der vergangenen Woche hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor einem Einsatz von Virenschutzsoftware des bekannten russischen Herstellers Kaspersky gewarnt und empfohlen, die Software durch alternative Produkte zu ersetzen. Nach Auffassung des BSI könne ein russischer IT-Hersteller „selbst offensive Operationen durchführen, gegen seinen Willen gezwungen werden, Zielsysteme anzugreifen, oder selbst als Opfer einer Cyber-Operation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden“.

Auch wenn das BSI nach § 7 BSI-Gesetz zu derartigen Warnungen befugt ist, verwundert die eher pauschale Begründung, da sie auf viele IT-Hersteller und Dienstleister aus Russland übertragbar scheint. In einer nicht minder überraschenden Äußerung hat ausgerechnet der für Produktwarnungen bekannte Landesbeauftrage für den Datenschutz und die Informationsfreiheit Baden-Württemberg Kritik an der Warnung des BSI geäußert.

In Anbetracht der aktuellen Entwicklungen stellt sich aus datenschutzrechtlicher Sicht die Frage, inwieweit die Übermittlung personenbezogener Daten nach Russland noch zulässig ist. Dies nicht zuletzt vor dem Hintergrund, dass Russland in Reaktion auf den Rückzug zahlreicher westlicher Unternehmen eine Verstaatlichung der russischen Standorte dieser Unternehmen angedroht hat und in diesem Fall auch russische Behörden Zugriff auf die personenbezogenen Daten erlangen könnten. Bereits im November 2021 hatte die wissenschaftliche Arbeitsgruppe des Nationalen Sicherheitsrats in einem Impulspapier zu den Auswirkungen ausländischer Gesetzgebung auf die deutsche Cybersicherheit die Zugriffsmöglichkeiten der russischen Nachrichtendienste kritisch bewertet.

Dass die aktuellen Ereignisse auch aus datenschutzrechtlicher Sicht problematisch sein könnten, sieht offenbar auch die italienische Datenschutzaufsichtsbehörde, die nun eine Prüfung zu der Frage angekündigt hat, ob bei der Verwendung von Software des Herstellers Kaspersky personenbezogene Daten in Drittländer, insbesondere nach Russland, übermittelt oder im Rahmen der Verarbeitungstätigkeiten in irgendeiner Weise zugänglich gemacht werden. Es darf mit Spannung erwartet werden, ob sich weitere Datenschutzaufsichtsbehörden hierzu positionieren werden.

Niederlande: SURF veröffentlicht positive Datenschutz-Folgenabschätzung zu Zoom

Der Zusammenschluss niederländischer Bildungs- und Forschungseinrichtungen zur IT, SURF, hat eine Datenschutz-Folgenabschätzung zum Einsatz der Videokonferenzsoftware Zoom veröffentlicht und kommt darin zum Ergebnis, dass Zoom ohne hohe Risiken für den Datenschutz genutzt werden kann. Der Veröffentlichung vorausgegangen war ein intensiver kooperativer Austausch mit Zoom, in dessen Folge das Unternehmen unter anderem seine Datenschutzvereinbarungen für Bildungs- und Unternehmenskunden überarbeitet hat. Besonders hervorzuheben ist, dass Zoom seine Dokumentation der Verarbeitung von personenbezogenen Daten mit einem „Privacy Datasheet“ verbessert hat und ein umfangreiches Data Transfer Impact Assessment (DTIA) zur Datenübermittlung in die USA durchführt hat. Letzteres kommt zum Ergebnis, dass das Risiko einer Datenübermittlung in die USA für die Privatsphäre des Einzelnen vernachlässigbar ist.

Verantwortliche, die Zoom einsetzen, sollten jedoch beachten, dass SURF auch Empfehlungen zur Risikominimierung an Endnutzer und Administratoren gibt. Trotz aller Verbesserungen bei Zoom müssen Verantwortliche also auch selbst aktiv werden. Unklar ist noch, ob die deutschen und europäischen Datenschutzaufsichtsbehörden und Gerichte die Einschätzung von SURF teilen.

Internationale Nachrichten

Europa: Das European Data Protection Board (EDPB) hat in seiner 62. Sitzung am 14. März unter anderem eine Leitlinie zur Anwendung von Art. 60 DSGVO (Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den anderen betroffenen Aufsichtsbehörden) sowie eine Leitlinie zu Dark Patters in sozialen Netzwerken angenommen. Darüber hinaus das EDPB auch eine Toolbox zu essenziellen Datenschutzgarantien für eine Zusammenarbeit auf dem Gebiet der Rechtsdurchsetzung zwischen den Datenschutzaufsichtsbehörden des Europäischen Wirtschaftsraum und denen in Drittländern verabschiedet.

Finnland: Die finnische Datenschutzaufsichtsbehörde hat gegen eine Klinik wegen unzureichender Umsetzung der Betroffenenrechte ein Bußgeld in Höhe von 5.000 EUR verhängt.

Frankreich: Der Leitfaden der französischen Datenschutzaufsicht für Datenschutzbeauftragte ist jetzt auch in englischer Sprache erschienen.

Irland: Die irische Datenschutzaufsicht hat beschlossen, gegen Facebook (Meta) wegen unzureichender technischer und organisatorischer Maßnahmen zum Datenschutz ein Bußgeld in Höhe von 17 Millionen EUR zu verhängen.

Polen: Die polnische Datenschutzaufsicht hat gegen ein Unternehmen wegen unzureichender Cybersicherheit und mangelhafter Überwachung eines Auftragsverarbeiters ein Millionenbußgeld verhängt. Den Auftragsverarbeiter trifft ein Bußgeld von umgerechnet 55.000 Euro.

Aktuelle Gerichtsentscheidungen

KG Berlin, Urteil vom 15.02.2022, Az. 27 U 51/21 (GRUR-RS 2022, 3453): Auskunfteien können die Speicherung einer Restschuldbefreiung über drei Jahre auf ein berechtigtes Interesse stützen. § 3 InsoBekV (6 Monate) ist nicht heranzuziehen.

OLG Frankfurt, Urteil vom 02. März 2022, Az 13 U 206/20 (Volltext): Voraussetzung für einen Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO ist der Nachweis eines konkreten (ggfs. auch immateriellen) Schadens.

AG Pforzheim, Urteil vom 27.01.2022, Az. 2 C 381/21 (GRUR-RS 2022, 4335): 1.500 Euro Schmerzensgeld nach Art. 82 Abs. 1 DSGVO für die Weitergabe des Namens und der Adresse des Klägers ohne dessen Einwilligung an ein Abrechnungszentrum.

VGH München, Beschluss vom 07.03.2022, Az. 4 CS 21.2254 (BeckRS 2022, 4459): Dem Einbau und Betrieb fernauslesbarer Wasserzähler mit aktivierter Funkfunktion stehen weder datenschutzrechtliche Hindernisse noch Gründe des Gesundheitsschutzes entgegen.

OLG Dresden, Beschluss vom 14.02.2022, Az. 4 U 1158/21 (Volltext): Zurückweisung einer Gehörsrüge gegen das Urteil des OLG Dresden vom 30. November 2021, Az.: 4 U 1158/21 (eigene datenschutzrechtliche Verantwortlichkeit des Geschäftsführers neben der GmbH).

Neuigkeiten aus den Aufsichtsbehörden

Datenschutzaufsicht Berlin: „BlnBDI startet kostenlose Online-Schulungen für Start-ups und Vereine“ – Pressemitteilung vom 15.03.2022

Datenschutzaufsicht Brandenburg: „30 Jahre Datenschutzaufsicht in Brandenburg – IT-Sicherheit immer wichtiger“ – Pressemitteilung vom 15.03.2022

Datenschutzaufsicht Mecklenburg-Vorpommern: „Landeskriminalamt und Landesdatenschutzbeauftragter warnen vor möglichen Cyber-Angriffswellen auf Einrichtungen und Unternehmen im Land und vor Betrugsversuchen bei den Bürgerinnen und Bürgern“ – Pressemitteilung vom 15.03.2022

Datenschutzaufsicht Baden-Württemberg: „Öffentliche Stellen: Raus aus Facebook, Twitter, TikTok!“ – Gastbeitrag von Stefan Brink und Clarissa Henning vom 15.03.2022 bei netzpolitik.org

Bundesdatenschutzbeauftragter: „Datenschutz skalieren – Wie alltäglichen Rechtsbruch bekämpfen?“ – Mitteilung vom 16.03.2022

Datenschutzaufsicht Bremen: „4. Jahresbericht der Landesbeauftragten für Datenschutz nach der Europäischen Datenschutzgrundverordnung“ – Tätigkeitsbericht für das Jahr 2021 (siehe auch: Pressemitteilung vom 18.03.2022)

Datenschutzaufsicht Bayern (BayLfD): „Aktuelle Kurz-Information 42: Externe Schriftarten auf Webseiten bayerischer öffentlicher Stellen“ – Stand: 01.03.2022