DatenschutzWoche vom 25.07.2022

Aktuelle Entwicklungen zum Mobilitätsdatenschutz

Die Bundesregierung will laut ihrem Koalitionsvertrag ein Mobilitätsdatengesetz schaffen. Damit soll die wettbewerbsneutrale Nutzung von Fahrzeugdaten ermöglicht und gleichzeitig die Datenhoheit der Fahrerinnen und Fahrer sichergestellt werden.

Zwei aktuelle Fälle verdeutlichen, dass es um die Datenhoheit derzeit schlecht bestellt ist: Gerade hat die französische Datenschutzaufsichtsbehörde CNIL gegen einen Carsharing-Anbieter ein Bußgeld in Höhe von 175.000 Euro verhängt. Das Unternehmen hatte Fahrzeugdaten in großem Stil verarbeitet, zum Beispiel fortlaufend die Position, aber auch das Ein- und Ausschalten des Motors und das Öffnen der Türen. Diese Daten waren für die in der Datenschutzinformation genannten Zwecke (Erbringung der Dienste, Wartung, Diebstahlschutz und Kundensupport im Fall von Unfällen) jedoch gar nicht erforderlich. Neben der unzureichenden Datenschutzinformation waren auch die angegebenen Löschfristen fehlerhaft.

Das aktuelle Bußgeld der CNIL erinnert an ein Urteil des Verwaltungsgerichts vom 17.01.2022 (Az. 6 K 1164/21.WI). Dort wurden hohe datenschutzrechtliche Hürden für die GPS-Überwachung von Fahrzeugen aufgestellt.

Mit Spannung darf auch das Ergebnis der Klage des Verbraucherzentrale Bundesverbands (vzbv) gegen Tesla erwartet werden. Nach Auffassung des vzbv müßte das Unternehmen die Kundschaft darüber informieren, dass sie „[…] bei Nutzung … des Wächter-Modus zur Einhaltung der Vorschriften der Datenschutzgrundverordnung verpflichtet [ist] und bei Verstößen ein Bußgeld [riskiert].“

Die aktuellen Fälle dürften für das Mobilitätsdatengesetz durchaus eine Rolle spielen, auch wenn der Stand des Gesetzgebungsverfahren im Moment noch recht unkonkret ist.

Webhosting: Datenschutzaufsichtsbehörden prüfen Auftragsverarbeitungsverträge

Unter der Federführung der Berliner Datenschutzaufsichtsbehörde werden derzeit in mehreren Bundesländern die Auftragsverarbeitungsverträge großer Hosting-Anbieter auf DSGVO-Konformität geprüft. Beteiligt sind die Aufsichtsbehörden von Bayern (BayLDA), Niedersachsen, Rheinland-Pfalz, Sachsen und Sachsen-Anhalt.

In einer parallel veröffentlichten Checkliste haben sich die Behörden schon zu mehreren Kernpunkten geäußert:

1. Zur Beschreibung der Verarbeitungstätigkeiten: „Es ist unklar, ob damit die verschiedenen Arten der Verarbeitung nach Art. 4 Nr. 2 gemeint sind. Wenn Gegenstand und Zweck ausreichend definiert sind, erscheint es Förmelei, auf einer Angabe der Arten der Verarbeitung in diesem Sinne zu bestehen.“
2. Zur Dokumentation der TOM: „Die konkreten technischen und organisatorischen Maßnahmen müssen nach Art. 28 Abs. 3 UAbs. 1 lit. c nicht im AVV selbst aufgeführt werden. Allerdings müssen Verantwortliche sie jedenfalls vor Beginn der Verarbeitung geprüft haben (Art. 28 Abs. 1) und jederzeit nachweisen können (Art. 5 Abs. 2), welche Maßnahmen getroffen sind und dass für die konkrete Verarbeitung die getroffenen Maßnahmen den Anforderungen des Art. 32 entsprechen.“
3. Zum Wahlrecht bei Beendigung der Auftragsverarbeitung: „[Der] Vertrag kann zulässig eine Regelung vorsehen, was zu geschehen hat, wenn AG nicht bis Abschluss der Erbringung der Verarbeitungsleistungen eine Wahl mitgeteilt hat. Das Wahlrecht muss aber gewährleistet bleiben, einschließlich der Möglichkeit einer späteren Änderung bei Festlegung im AVV.“

Weitere Informationen liefert ein Beitrag von Matthias Bergt, Referatsleiter bei der Berliner Datenschutzaufsicht und Leiter der Arbeitsgruppe, die die Prüfung koordiniert, im CR-online.de Blog.

Internationale Nachrichten

• Frankreich: Die französische Datenschutzaufsicht CNIL hat gegen einen Carsharing-Anbieter ein Bußgeld in Höhe von 175.000 Euro verhängt, weil dieser nach Auffassung der Behörde zu umfangreich Fahrzeugdaten verarbeitet hatte.
• Dänemark: Die dänische Datenschutzaufsicht hat den Einsatz von Google Workspace an einer Schule untersagt.
• Frankreich: Die französische Datenschutzaufsicht CNIL hat eine Handreichung zur datenschutzkonformen Verarbeitung von Patienten- bzw. Kundendaten für Inhaber von Apotheken veröffentlicht.
• Griechenland: Die griechische Datenschutzaufsicht hat wegen mehrerer DSGVO-Verstöße ein Bußgeld in Höhe von 20 Millionen Euro gegen das Unternehmen Clearview AI verhängt.

Aktuelle Gerichtsentscheidungen

• LG Köln, Urteil vom 08.09.2021, Az. 20 O 64/21 (Volltext): Der Anspruch auf Auskunft gegenüber einer Versicherung umfasst auch Informationen zu den Prämienanpassungen, denn sämtliche Prämienerhöhungen betreffen das Prämienkonto des Betroffenen.

Neuigkeiten aus den Aufsichtsbehörden

• Datenschutzaufsichtsbehörden Berlin, Niedersachsen, Rheinland-Pfalz, Sachsen, Sachsen-Anhalt und Bayern (BayLDA): „Prüfung von Auftragsverarbeitungs-Verträgen von Webhostern“ – Pressemitteilung und Checkliste vom 19.07.2022