DatenschutzWoche vom 25. März 2024

Recht auf Auskunft: Fragebogen zur koordinierten Durchsetzungsmaßnahme veröffentlicht

Derzeit läuft eine europaweite Kontrollaktion des EU-Datenschutzausschusses (EDSA) zum Recht auf Auskunft nach Art. 15 DSGVO. Durch eine Anfrage nach dem Informationsfreiheitsgesetz ist nun der Fragebogen der Datenschutzaufsichtsbehörden öffentlich verfügbar. Damit wird überprüft, wie Verantwortliche das Auskunftsrecht in der Praxis umsetzen. Außerdem soll der Bedarf an weiteren Hilfestellungen zu einzelnen Aspekten, wie Leitlinien oder Sensibilisierungsmaßnahmen, erfasst werden.

Der Fragenkatalog gibt einen interessanten Einblick in die Herangehensweise der Datenschutzaufsichtsbehörden. Verantwortliche können ihn nutzen, um ihre Prozesse zur Gewährleistung der Betroffenenrechte zu überprüfen, und um sich auf eine etwaige Kontrolle vorzubereiten.

Europaweit beteiligen sich 31 Datenschutzaufsichtsbehörden an der Kontrollaktion; aus Deutschland sind das die Behörden aus Bayern (LDA), Brandenburg, Mecklenburg-Vorpommern, Niedersachsen, Rheinland-Pfalz, Saarland und Schleswig-Holstein sowie der Bundesdatenschutzbeauftragte. Die Ergebnisse der gemeinsamen Initiative wird der EDSA nach Abschluss der Kontrollaktion in einem Bericht veröffentlichen.

EDSB: Entscheidung zum Einsatz von Microsoft 365 durch die EU-Kommission

Seit vielen Jahren gibt es in Deutschland und auf europäischer Ebene datenschutzrechtliche Bedenken gegen den Einsatz von Microsoft 365. Am 12. Mai 2021 hatte der Europäische Datenschutzbeauftragte (EDSB) ein Verfahren eingeleitet, um die Rechtmäßigkeit der Verwendung von Microsoft 365 durch die EU-Kommission zu überprüfen. Nun entschied der EDSB, dass die Kommission bei der Nutzung gegen zentrale Bestimmungen des Datenschutzrechts verstoße und ordnete gegenüber der Kommission an, bis zum 9. Dezember 2024 alle Datenflüsse an Microsoft und dessen Unterauftragsverarbeiter aus der Verwendung von MS 365 auszusetzen. Nach der Pressemitteilung vom 11. März 2024 (wir berichteten), liegt nun die vollständige Entscheidung des EDSB vor.

Inhaltlich fokussiert sich die Entscheidung auf den von Microsoft mit der Kommission abgeschlossenen Lizenzvertrag aus dem Jahr 2021. Kritikpunkte sind die unzureichende Bestimmtheit der Arten und Zwecke der verarbeiteten personenbezogene Daten, die Drittlandsübermittlung sowie mangelnde Vorkehrungen gegen die unerlaubte Weitergabe von Daten.

Das jüngste Data Protection Addendum (DPA) von Microsoft vom 2. Januar 2024 und auch die Umsetzung der EU Data Boundary von Microsoft, in deren Zuge detaillierte Angaben zu den in Drittstaaten verarbeiteten Daten gemacht wurden, waren bei der Entscheidung unberücksichtigt geblieben. Außerdem fehlt seit dem neue Angemessenheitsbeschluss der EU für die USA einem Teil der Kritik die Grundlage.

Internationale Nachrichten

• Österreich: Die Datenschutzbehörde hat ihren Newsletter 1/2024 veröffentlicht. Im Fokus steht ein Treffen mit deutschen Aufsichtsbehörden.
• USA: Am 20. März 2024 hat das US-Repräsentantenhaus den Protecting Americans’ Data from Foreign Adversaries Act (H.R. 7520) beschlossen.

Aktuelle Gerichtsentscheidungen

• LAG Baden-Württemberg, Urteil vom 27.10.2023, Az. 7 Sa 35/23 (juris): Im Lichte der Kirchenklausel in Art. 17 Abs. 1 AEUV i.V.m. Art. 91 Abs. 1 DSGVO sind die kirchenrechtlichen Datenschutzregelungen grundsätzlich vorrangig anwendbar und verdrängen die DSGVO.
• AG Goslar, Urteil vom 22.01.2024, Az. 28 C 7/19 (juris): Weil der Kläger sich mit unerwünschten Werbemails der Beklagten auseinandersetzen, sich um eine Auskunft bemühen und die E-Mail löschen musste, steht ihm ein Schadenersatz i.H.v. 25 Euro aus Art. 82 DSGVO zu.
• BGH, Urteil vom 21.02.2024, Az. IV ZR 311/22 (BeckRS 2024, 4561): Kein Anspruch des Versicherungsnehmers auf eine Abschrift der gesamten Begründungsschreiben samt Anlagen gegenüber der privaten Krankenversicherung aus Art. 15 DSGVO.
• OLG Brandenburg, Urteil vom 28.02.2024, Az. 11 U 161/23 (BeckRS 2024, 4603): Bei der Auslegung, was in diesem Sinne rechtsmissbräuchlich ist, ist der Schutzzweck der DSGVO zu berücksichtigen.
• OLG Brandenburg, Beschluss vom 01.03.2024, Az. 2 W 2/24 (GRUR-RS 2024, 4619): Ob eine Aufgabe im öffentlichen Interesse besteht, bestimmt nicht der Verantwortliche. Artikel 6 Abs. 1 lit. e DSGVO ist nur eine Scharniernorm für die gesetzliche Rechtsgrundlage.
• LArbG Berlin-Brandenburg, Beschluss vom 13.03.2024, Az. 26 Ta 223/24 (juris): Die Frage nach einem Anspruch auf Entfernung der Abmahnung aus der Personalakte nach Ende des Arbeitsverhältnisses ist umstritten. Daher kann der Antrag auf Prozesskostenhilfe nicht wegen der Beendigung des Arbeitsverhältnisses abgelehnt werden.
• EuGH, Urteil vom 21.03.2024, Rs. C-61/22 (Volltext): Die Verpflichtung zur Aufnahme von zwei Fingerabdrücken für den Personalausweis ist mit den Grundrechten auf Achtung des Privatlebens und auf den Schutz personenbezogener Daten vereinbar.

Neuigkeiten aus den Aufsichtsbehörden

• Datenschutzaufsicht Sachsen: „Superwahljahr in Sachsen: Sächsische Datenschutz-und Transparenzbeauftragte beantwortet häufige Fragen zum Datenschutz bei Wahlen“ – Pressemitteilung vom 19.03.2024
• Bundesdatenschutzbeauftragter: „32. Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2023“ – Pressemitteilung vom 20.03.2024
• Datenschutzaufsicht Niedersachsen: „Geburtsdatum als Pflichtfeld in Webshops oft rechtswidrig“ – Pressemitteilung vom 20.03.2024