DatenschutzWoche vom 25. September 2023

Datenschutzaufsicht Niedersachsen: Handreichung zu Microsoft 365 veröffentlicht

In Zusammenarbeit mit sechs weiteren Datenschutzaufsichtsbehörden hat der Landesbeauftragte für den Datenschutz Niedersachsen am 22. September eine Handreichung für Verträge zur Nutzung von Microsoft veröffentlicht. Die Handreichung enthält Empfehlungen, um den Standardvertrag zur Auftragsdatenverarbeitung (DPA) von Microsoft anzupassen, und basiert maßgeblich auf der Festlegung der Datenschutzkonferenz vom November 2022 (siehe DatenschutzWoche vom 28.11.2023).

Konkret geht es um vertragliche Regelungen zu Löschfristen, zur Information über den Einsatz von Unterauftragsverarbeitern sowie zur Verarbeitung von Daten durch Microsoft zu eigenen Geschäftszwecken. Ausgenommen von der Handreichung sind die Themen internationaler Datentransfer und extraterritorialer Anwendungsbereich von US-Gesetzen, da sie zum Erstellungszeitpunkt noch nicht abschließend bewertet wurden.

Unklar ist, ob noch weitere Datenschutzaufsichtsbehörden an der Erstellung der Handreichung mitgewirkt haben und wie sich die Handreichung zur laufenden Neubewertung von Microsoft 365 durch die DSK (siehe DatenschutzWoche vom 12.06.2023) verhält.

Zoom in der Hamburger Verwaltung: Gerichtsverfahren endet mit Vergleich

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat in einer Pressemitteilung vom 19.09.2023 bekannt gegeben, dass das Gerichtsverfahren zwischen der Senatskanzlei und der Datenschutzaufsichtsbehörde mit einem Vergleich beendet wurde. Der HmbBfDI hatte gegenüber der Senatskanzlei im Jahr 2021 eine Warnung ausgesprochen, weil diese die Videokonferenz-Software Zoom in der Hamburger Verwaltung in einer Art und Weise einsetzen wollte, die nach Auffassung des HmbBfDI mit einer unzulässigen Datenübermittlung in die USA einhergegangen wäre.

Da seit dem 10. Juli 2023 ein neuer Angemessenheitsbeschluss auf Basis des EU-US Data Privacy Framework gültig ist (siehe DatenschutzWoche vom 17.07.2023 sowie vom 11.09.2023), sind zwischenzeitlich die tragenden Gründe der Warnung aus August 2021 „jedenfalls gegenwärtig entfallen“. Eine Fortführung des Rechtsstreits war aus Sicht der Parteien daher nicht zielführend.

Besonders interessant an dem Vergleich ist, dass Zoom bisher nicht erklärt hat, die Zertifizierungskriterien nach dem EU-US Privacy Framework zu erfüllen. Der HmbBfDI scheint jedoch davon auszugehen, dass die geänderte Rechtslage in den USA auch Unternehmen ohne Zertifizierung zugutekommt.

Internationale Nachrichten

• Europa: Das EDPB und der Europäische Datenschutzbeauftragte haben eine gemeinsame Stellungnahme zum Vorschlag der EU-Kommission für eine neue Verordnung zur Durchsetzung der DSGVO verabschiedet.

Aktuelle Gerichtsentscheidungen

• LG Frankfurt a. M., Urteil vom 26.05.2023, Az. 2-24 O 156/21 (GRUR-RS 2023, 18081): Art. 6 Abs. 1 lit. b) DSGVO ist als Ausnahme zum Einwilligungserfordernis eng auszulegen. Maßgeblich ist ein unmittelbarer Zusammenhang zwischen der Verarbeitung und dem Vertragszweck.
• OLG München, Beschluss vom 03.03.2023, Az. 6 W 1491/22 (Volltext): Bei Datenschutzerklärungen im Sinne von Art. 12 DSGVO  kann es sich nach den Umständen des Einzelfalls um ein Werk im Sinne von § 2 Abs. 1 Nr. 1, Abs. 2 UrhG handeln.
• LAG Hamm, Urteil vom 23.03.2023, Az. 18 Sa 888/22: Recherchen zum Bewerbungs- und Prozessverhalten gegenüber anderen Unternehmen sind beim Verdacht auf AGG-Hopping zur Wahrung berechtigter Interessen zulässig.
• BAG, Urteil vom 31.05.2023, Az. 5 AZR 273/22 (Volltext): Zu den Anforderungen an die Aufgabenerfüllung bzw. Ausübung öffentlicher Gewalt nach Art. 6 Abs. 1 lit. e DSGVO.
• Landesarbeitsgericht Baden-Württemberg, Urteil vom 28.07.2023, Az. 9 Sa 73/21 (Volltext): Schadensersatzanspruch in Höhe von 2.500 Euro wegen verspäteter und unvollständiger Auskunft. Gesamtschuldnerische Haftung zwischen Arbeitgeber und „Inhaber“.
• VGH München, Beschluss vom 21.08.2023. Az. 5 C 22.1782 (BeckRS 2023, 24506): Zum Anspruch auf Berichtigung nach Art. 16 DSGVO: Die Nichterweislichkeit der Richtigkeit eines Datums, dessen Verarbeitung der Betroffene verlangt, geht zu Lasten des Betroffenen.

Neuigkeiten aus den Aufsichtsbehörden

• Datenschutzaufsicht Niedersachsen: „Denis Lehmkemper zum neuen Landesbeauftragten für den Datenschutz ernannt“ – Pressemitteilung vom 18.09.2023
• Datenschutzaufsicht Hamburg: „ZOOM in der Hamburger Verwaltung: HmbBfDI und Senatskanzlei legen Streit bei“ – Pressemitteilung vom 19.09.2023
• Datenschutzaufsicht Niedersachsen: „Einsatz von Microsoft 365: Praxis-Tipps für Verträge mit Microsoft“ – Pressemitteilung vom 22.09.2023.
• Datenschutzkonferenz: „Austausch zwischen Mitgliedern der DSK und spezifischen Datenschutzaufsichtsbehörden am 21. Juni 2023 als Videokonferenz“ – Protokoll mit Anlage