Datenschutz­woche

#20

Datenschutz braucht kreative Lösungen. Diesen Gedanken hat sich das LG Regensburg in einer aktuell bekannt gewordenen Entscheidung vom 27.08.2019 (Az. 72 O 1943/18) offenbar besonders zu Herzen genommen. Das Gericht vertritt dort nämlich die These, dass ein Schmerzensgeldanspruch für die Sperrung eines privaten Profils in einem sozialen Netzwerk wegen der Haushaltsausnahme an der Anwendbarkeit der DSGVO scheitern soll. Obwohl dies starker Tobak ist, haben weder das OLG Nürnberg noch der BGH Anstoß an der Argumentation des LG genommen. Auch kreative Lösungen können also überzeugen.

EDPB: Wann liegt eine Drittlandsübermittlung vor?

Das European Data Protection Board (EDPB) hat seine „Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR“ veröffentlicht und eine öffentliche Konsultation bis zum 31.01.2021 eröffnet. Unter dem etwas sperrigen Titel setzen sich die Aufsichtsbehörden mit der Frage auseinander, wann eine Datenübermittlung in Drittstaaten vorliegt. Damit ist das Dokument insbesondere im Kontext der „Schrems II“-Entscheidung des EuGH von Relevanz. Danach gilt der Ausschluss einer Drittlandsübermittlung bei vielen Verantwortlichen nämlich als probates Mittel, um die Durchführung eines Transfer Impact Assessments und die damit verbundene Rechtsunsicherheit zu vermeiden. Gleich zu Beginn seiner Leitlinie weist das EDPB jedoch daraufhin, dass selbst wenn keine Drittlandsübermittlung nach dem fünften Kapitel der DSGVO vorliegt, eine Datenübermittlung außerhalb der EU besondere technische und organisatorische Maßnahmen nach Art. 32 DSGVO erfordern kann. Zur Frage, wann eine Drittlandsübermittlung vorliegt, nennt das EDPB sodann die folgenden drei Kriterien, die kumulativ vorliegen müssen:

  1. Ein Verantwortlicher oder ein Auftragsverarbeiter, der an der Verarbeitung beteiligt ist, unterliegt der DSGVO.
  2. Der an der Verarbeitung beteiligte Verantwortliche oder Auftragsverarbeiter („Exporteur“) gibt die personenbezogenen Daten durch Übermittlung oder auf andere Weise (z.B. durch Zugänglichmachung) an einen anderen Verantwortlichen, gemeinsamen Verantwortlichen oder Auftragsverarbeiter weiter („Importeur“). Eine direkte Übermittlung durch die betroffene Person an einen Empfänger im Drittland fällt nach Ansicht des EDBP ebenso wenig hierunter wie eine interne Weitergabe durch einen Beteiligten.
  3. Der Importeur befindet sich in einem Drittland oder ist eine internationale Organisation. Dabei kommt es nicht darauf an, ob der Importeur von Art. 3 DSGVO erfasst ist.

Besonders bemerkenswert ist, dass sich das EDPB nicht weiter mit der Frage beschäftigt, wann ein Importeur sich in einem Drittland befindet bzw. wann eine Zugänglichmachung in ein Drittland vorliegt. Der vielzitierte US-amerikanische CLOUD ACT und mögliche Durchgriffsrechte von US-Mutterkonzernen auf europäische Niederlassungen und Tochterunternehmen scheinen für das EDPB an dieser Stelle offenbar nicht erwähnenswert. Dies könnte ein Indikator dafür sein, dass das EDPB diese Fragen entspannter sieht als manche nationale Aufsichtsbehörde.

Konsultation der CNIL für eine Empfehlung zu Passwörtern

Die französische Datenschutzaufsicht CNIL hat ihren Entwurf für eine Empfehlung zu Passwörtern nunmehr auch auf Englisch veröffentlicht. Die Frist zur Stellungnahme, die auch auf Englisch erfolgen kann, läuft bis zum 10.12.2021. Aus inhaltlicher bzw. technologischer Sicht enthalten die Empfehlungen wenig Überraschungen. Es ist jedoch erfreulich, dass die CNIL explizit davon abrät Nutzer zu einem regelmäßigen Wechsel der Passwörter zu zwingen. Damit setzt sich die Erkenntnis, dass ein Zwang zum regelmäßigen Passwortwechsel eher kontraproduktiv ist, weil er dazu animiert, dass Nutzer einfach zu merkende, aber schwache Passwörter wählen, auch bei den Aufsichtsbehörden durch. Bei Administratorkonten hält die CNIL einen regelmäßigen Passwortwechsel jedoch weiterhin für erforderlich.

Internationale Nachrichten

Frankreich: Neben dem Entwurf zur Empfehlung für Passwörter (siehe oben) hat die CNIL in der vergangenen Woche gleich drei weitere Dokumente veröffentlicht (alle derzeit ausschließlich auf Französisch): Einen Leitfaden zur Rolle des Datenschutzbeauftragten vom 16.11.2021, einen Referenzrahmen für den Datenschutz bei Gesundheitsdatenbanken vom 17.11.2021 sowie eine Empfehlung zur Protokollierung von Daten vom 18.11.2021.

Europa: Das EDPB hat am 18.11.2021 eine Stellungnahme zum Digital Service Paket und zur Datenstrategie der EU-Kommission verabschiedet und darin unter anderem einen unzureichenden Schutz der Grundrechte und Grundfreiheiten des Einzelnen kritisiert. Darüber hinaus bemängeln die Aufsichtsbehörden eine Fragmentierung der Aufsicht und die Gefahr von Inkonsistenzen, die sich aus überschneidenden Regelungen ergeben.

Aktuelle Gerichtsentscheidungen

AG Köln, Urteil vom 22.09.2021, Az. 210 C 24/21 (Volltext): Kein berechtigtes Interesse an einer Videoüberwachung im Treppenhaus eines Mietshauses.

VG Wiesbaden, Urteil vom 27.09.2021, Az. 6 K 549/21 (Volltext): Erfolgreiche Verpflichtungsklage eines Betroffenen gegen die Datenschutzaufsicht Hessen und Verpflichtung dieser zum Einschreiten gegen die SCHUFA.

LG Mainz, Urteil vom 12.11.2021, Az. 3 O 12/20 (Volltext): Dem Betroffenen steht wegen einer fehlerhaften Meldung an die SCHUFA ein Anspruch auf Schadensersatz in Höhe von 5.000 € zu.

LG Krefeld, Urteil vom 06.10.2021, Az. 2 O 448/20 (Volltext): Ein Antrag auf Auskunft nach Art. 15 DSGVO ist rechtsmissbräuchlich, wenn kein in Erwägungsgrund 63 DSGVO genanntes Interesse verfolgt wird.

LG Detmold, Urteil vom 26.10.2021, Az. 02 O 108/21 (BeckRS 2021, 34230): Geldwerte Ansprüche gegen die Beklagte zu prüfen ist kein Fall von Art. 15 DSGVO. Das Datenschutzrecht schafft kein situationsunabhängiges Auskunftsrecht von Verbrauchern gegenüber Unternehmen.

LG Regensburg, Urteil vom 27.08.2019, Az. 72 O 1943/18 (Volltext): Kein Anspruch auf Schadensersatz nach Art. 82 DSGVO für die Sperre eines Profils in einem sozialen Netzwerk, weil dieses privat ist und die DSGVO deshalb nicht anwendbar ist.

VG Hannover, Urteil vom 09.11.2021, Az. 10 A 502/19 (Volltext): Eine Online-Versandapotheke darf im Bestellvorgang das Geburtsdatum und die Anrede nicht bei jedem Produkt verarbeiten.

Neuigkeiten aus den Aufsichtsbehörden

Datenschutzaufsicht Bayern (BayLfD):Aktuelle Kurz-Information 38: 3G-Zutrittsregel im bayerischen öffentlichen Dienst“ – Stand 15.11.2021

Datenschutzaufsicht Baden-Württemberg: „Abfragen von Gesundheitsdaten durch Arbeitgeber_innen?“ – Pressemitteilung vom 16.11.2021

Datenschutzaufsicht Berlin: „Kontaktdatenerfassung: Corona-Warn-App als datensparsame Alternative in Berliner Landesverordnung ermöglichen“ – Pressemitteilung vom 19.11.2021

Bundesdatenschutzbeauftragter: „BfDI: 3G am Arbeitsplatz ginge datenschutzfreundlicher“ – Pressemitteilung vom 19.11.2021