Datenschutz­woche

EuGH entscheidet abermals zur Vorratsdatenspeicherung

Und täglich grüßt das Murmeltier? Mit Urteil vom 20. September hat der EuGH in den verbundenen Rechtssachen C‑793/19 und C‑794/19 („SpaceNet“) im Rahmen eines Vorabentscheidungsverfahrens  entschieden, dass eine allgemeine und unterschiedslose Vorratsspeicherung von Verkehrs- und Standortdaten europarechtswidrig ist, solange keine ernste Bedrohung für die nationale Sicherheit vorliegt. Der EuGH bestätigt damit seine bisherige Rechtsprechung, die hohe Hürden vor einer Vorratsdatenspeicherung aufstellt.

Die Vorabentscheidung betont, dass die im deutschen TKG enthaltene Regelung zur Vorratsdatenspeicherung sich auf einen umfangreichen Datensatz bezieht, der sehr genaue Schlüsse auf das Privatleben der Betroffenen zulässt. Der EuGH verlangt daher starke Garantien zum Schutz der gespeicherten Daten vor Missbrauch und unberechtigtem Zugriff.

Die endgültige Entscheidung des Rechtsstreits obliegt dem Bundesverwaltungsgericht, das die Wertung des EuGH zu berücksichtigen hat.

Datenschutzaufsicht Berlin: Bußgeld wegen Interessenkonflikt des DSB

Die Datenschutzaufsichtsbehörde Berlin hat wegen eines Interessenkonflikts eines betrieblichen Datenschutzbeauftragten ein Bußgeld in Höhe von 525.000 Euro gegen ein Unternehmen verhängt. Den Interessenkonflikt sah die Behörden darin, dass der Datenschutzbeauftragte des Unternehmens zugleich als Geschäftsführer von zwei Dienstleistungsgesellschaften tätig war, die im Auftrag des Unternehmens den Kundenservice erbrachten und Bestellungen ausführten. Der Datenschutzbeauftragte, so die Berliner Behörde, hätte sich also selbst überwachen müssen.

Die Aufsichtsbehörde verwarnte das Unternehmen daher im Jahr 2021. Eine erneute Überprüfung durch die Behörde in diesem Jahr ergab jedoch, dass der Verstoß trotz der Verwarnung weiterbestand. Deshalb verhängte die Behörde das Bußgeld, das noch nicht rechtskräftig ist.

Microsoft veröffentlicht International Data Transfer Addendum

Im Zusammenhang mit dem neuen DPA (siehe DatenschutzWoche vom 19.09.2022) hat Microsoft ein International Data Transfer Addendum (IDTA) für Datenübermittlungen in die USA veröffentlicht.

Anders, als der Titel des Dokuments vermuten lässt, handelt sich allerdings nicht um ein Transfer Impact Assessment (TIA) zur Einzelfallbewertung der Angemessenheit des Datentransfers zwischen Microsoft Irland und Microsoft USA, sondern um ein ergänzendes Dokument zu Art. 46 des britischen Datenschutzrechts. Daher sind nicht alle Informationen enthalten, die im Rahmen eines TIA zu berücksichtigen wären. Es fehlt unter anderem eine Bewertung der Rechtslage in den USA, wie sie Microsoft in einem bereits bekannten Whitepaper zur Drittlandsübermittlung vorgenommen hat.

Das IDTA kann nach Zustimmung zu einer Verschwiegenheitsvereinbarung im Service Trust Portal von Microsoft heruntergeladen werden. 

Internationale Nachrichten

• Europa: Der Europäische Datenschutzbeauftragte hat beim EuGH die Aufhebung von zwei Regelungen zur Verarbeitung von personenbezogenen Daten durch Europol beantragt. Diese sind in der neu geänderten Europol-Verordnung, die am 28. Juni 2022 in Kraft getreten ist, enthalten.
• Italien: Die italienische Datenschutzaufsichtsbehörde hat gegen ein Unternehmen ein Bußgeld in Höhe von 70.000 Euro wegen der Nichterteilung einer Auskunft im Beschäftigungsverhältnis verhängt. Zugleich stellt die Behörde fest, dass Datenschutzinformationen nach Art. 13, 14 DSGVO keine Auskunft im Sinne der DSGVO darstellen.
• Frankreich: Die französische Datenschutzaufsichtsbehörde CNIL hat eine Reihe von Informationen zum datenschutzkonformen Einsatz von Künstlicher Intelligenz veröffentlicht.
• Dänemark: Die dänische Datenschutzaufsichtsbehörde hat in einer Pressemitteilung vom 21.09.2022 mitgeteilt, dass ein datenschutzkonformer Einsatz von Google Analytics ihrer Auffassung nach nicht möglich ist.
• Europa: Das EDPB hat eine Stellungnahme zu den EuroPriSe Zertifizierungskriterien abgegeben.
• Polen: Die polnische Datenschutzaufsicht hat ein Bußgeld in Höhe von 60.000 Złoty (entspricht etwa 12.500 Euro) gegen den polnischen Generallandvermesser (Surveyor General of Poland) verhängt. Anlass für das Bußgeld ist die unterlassene Meldung einer Datenschutzverletzung.
• Europa: In seinen Schlussanträgen in der Rechtssache C-252/21 („Meta Platforms“) hat der EuGH-Generalanwalt Rantos die Auffassung vertreten, dass eine Wettbewerbsbehörde in Ausübung ihrer Zuständigkeiten die Vereinbarkeit einer Geschäftspraxis mit der Datenschutzgrundverordnung prüfen kann.
• Europa: In seinen Schlussanträgen in der Rechtssache C‑34/21 hat der EuGH-Generalanwalt Sánchez-Bordona vertreten, dass § 23 HDSIG, der im Wesentlichen § 26 BDSG entspricht, nicht auf die in Art. 88 DSGVO enthaltene Öffnungsklausel für Datenverarbeitungen im Beschäftigungskontext gestützt werden kann.

Aktuelle Gerichtsentscheidungen

• OLG Schleswig-Holstein, Beschluss vom 12.07.2022, Az. 8 B 48/22 (Volltext): Kein Anspruch auf Erlass einer einstweiligen Anordnung wegen einer Datenübermittlung an Cloudflare in den USA beim Besuch der Webseite für den Zensus 2022
• OLG Dresden, Urteil vom 09.08.2022, Az. 4 U 243/22 (Volltext): Rechtsgrundlage für die Verarbeitung von Einträgen zur Restschuldbeschreibung durch die SCHUFA ist Art. 6 I f. DSGVO. Die 6-Monatsfrist des § 3 InsoBekVO spielt keine Rolle.
• LG Hagen, Beschluss vom 31.08.2022, Az. 1 T 97/22 (beck-online): Ärztliches Berufsrecht, das eine Einwilligung für Einsicht und Weitergabe von Behandlungsunterlagen, die nach Praxisaufgabe oder -übernahme in Obhut gegeben wurden, vorsieht, sperrt eine Auskunft nach Art. 15 DSGVO.
• LAG Baden-Württemberg, Urteil vom 10.08.2022, Az. 2 Sa 16/21 (Volltext): Die Erteilung einer Auskunft per E-Mail ist ausreichend, wenn die bisherige Kommunikation mit dem Arbeitnehmer per E-Mail erfolgte.

Neuigkeiten aus den Aufsichtsbehörden

• Datenschutzaufsicht Berlin: „Interessenkonflikt des betrieblichen Datenschutzbeauftragten: 525.000 Euro Bußgeld gegen Berliner Unternehmen“ – Pressemitteilung vom 20.09.2022
• Bundesdatenschutzbeauftragter: „BfDI begrüßt EuGH-Urteil zur Vorratsdatenspeicherung“ – Pressemitteilung vom 20.09.2022
• Datenschutzaufsicht Baden-Württemberg: „Bußgeld: Daten aus dem Grundbuch stehen nicht zur freien Verfügung“ – Pressemitteilung vom 21.09.2022
• Datenschutzaufsicht Nordrhein-Westfalen: „EuGH-Urteil zur Vorratsdatenspeicherung“ – ohne Datum