DatenschutzWoche vom 26. Februar 2024

NIS-2 Richtlinie zur Cybersicherheit: Bezüge auch zum Datenschutzrecht

Mit der NIS-2 Richtlinie werden die Anforderungen an die Cybersicherheit EU-weit deutlich verschärft. Betroffen sind mittlere und große Unternehmen, wenn sie auf dem europäischen Markt Dienstleistungen erbringen oder dort Tätigkeiten ausüben und zu einem der 18 definierten Sektoren gehören. Aktuell wird intensiv darüber diskutiert, ob es dem deutsche Gesetzgeber gelingt, die Richtlinie fristgerecht bis zum 17. Oktober 2024 in nationales Recht umzusetzen. Davon unabhängig hat die NIS-2 Richtlinie interessante Bezüge zum Datenschutz.

So sieht Art. 2 Abs. 14 NIS-2 Richtlinie vor, dass Einrichtungen, Aufsichtsbehörden und andere Adressaten der Richtlinie personenbezogene Daten verarbeiten dürfen, soweit dies für die Zwecke der Richtlinie erforderlich ist. Die Verarbeitung muss jedoch im Einklang mit der Datenschutzgrundverordnung erfolgen und auf einer Rechtsgrundlage beruhen. Insoweit stellt Erwägungsgrund 121 der NIS-2-Richtlinie klar, dass die Verarbeitung personenbezogener Daten zur Gewährleistung der Sicherheit von Netz- und Informationssystemen auf eine rechtliche Verpflichtung nach Art. 6 Abs. 1 lit. c und Art. 6 Abs. 3 DSGVO gestützt werden kann. Darüber hinaus kann nach Erwägungsgrund 121 der NIS-2-Richtlinie die Datenverarbeitung auch auf der Grundlage eines berechtigten Interesses erfolgen.

Hervorzuheben sind ferner die Regelungen zu Verstößen gegen Art. 21, 23 NIS-2 Richtlinie, die mit einer Datenschutzverletzung einhergehen. Für diese sieht Art. 35 Abs. 1 NIS-2-Richtlinie vor, dass die Aufsichtsbehörden unverzüglich die nach der NIS-2-Richtlinie zuständigen Datenschutzaufsichtsbehörden unterrichten. Die Meldepflicht des Verantwortlichen nach Art. 33 DSGVO bleibt bestehen. Darüber hinaus sieht Art. 35 Abs. 2 DSGVO vor, dass die Aufsichtsbehörden nach der NIS-2 Richtlinie kein Bußgeld verhängen dürfen, wenn die Datenschutzaufsichtsbehörde wegen desselben Verhaltens bereits ein Bußgeld verhängt hat. Für den Fall, dass die Aufsichtsbehörde nach der NIS-2-Richtlinie vor der Datenschutzaufsichtsbehörde ein Bußgeld verhängt, ist jedoch keine vergleichbare Regelung zu Lasten der Datenschutzaufsichtsbehörde vorgesehen.

Datenschutzaufsichtsbehörde Thüringen: Telefax ist kein sicheres Transportmittel

In einer Pressemitteilung vom 20. Februar 2024 setzt sich der Thüringer Landesdatenschutzbeauftragte intensiv mit der Datenübermittlung per Telefax auseinander. Nach seiner Auffassung ist das Telefax grundsätzlich kein sicheres Transportmittel. Eine E-Mail mit verschlüsseltem Eingang oder eine Ende-zu-Ende-Verschlüsselung sei für die Übermittlung personenbezogener Daten in jedem Fall vorzuziehen. Abhängig von den Umständen des Einzelfalls soll ein Telefax jedoch ausnahmsweise zulässig sein.

Zur Begründung führt die Datenschutzaufsichtsbehörde im Wesentlichen aus, dass im Hinblick auf Datenschutzbelange auf dem Transportweg regelmäßig nicht sichergestellt werden könne, dass nur berechtigte Personen Telefaxe versenden und gesendete Telefaxe empfangen.

Ausnahmen sieht die Aufsichtsbehörde insbesondere bei Dringlichkeit und wenn der Schutz der Gesundheit und die Sicherung von Leib und Leben der Betroffenen das Risiko einer möglichen Datenschutzverletzung überwiegen.

Internationale Nachrichten

• Irland: Die irische Regierung hat am 20. Februar 2024 Dr. Des Hogan und Dale Sunderland zu neuen Data Protection Commissioners ernannt. Die Amtszeit beträgt fünf Jahre.
• USA: Die Federal Trade Commission (FTC) hat neue Schutzmaßnahmen zur Bekämpfung von Identitätsmissbrauch mithilfe von KI vorgeschlagen.

Aktuelle Gerichtsentscheidungen

• VG Kassel, Urteil vom 06.12.2023, Az. 1 K 503/22.KS (juris): Soll der Geschäftsverteilungsplan unter namentlicher Nennung der Richter der jeweiligen Spruchkörper im Internet veröffentlicht werden, besteht ein Beteiligungsrecht des Richterrates.
• VG Berlin, Urteil vom 10.01.2024, Az. VG 1 K 73/22 (BeckRS 2024, 2161): Art. 15 Abs. 1 DSGVO vermittelt keinen Anspruch auf Bereitstellung von Daten in einer möglichst einfach zu erfassenden Form, solange die Möglichkeit der Kenntnisnahme nicht unzumutbar erschwert wird.
• KG Berlin, Beschluss vom 22.01.2024, Az. 3 Ws 250/21 (Volltext): Im Bußgeldverfahren gegen die Deutsche Wohnen wird der Beschluss des LG Berlin vom 18.02.2021 auf die sofortige Beschwerde der StA Berlin aufgehoben. Die Sache wird an das LG zurückverwiesen.
• ArbG Hannover, Urteil vom 23.01.2024, Az. 1 Ca 121/23 (Volltext): Schadensersatz i.H.v. 250 Euro aus Art. 82 DSGVO wegen "massivem Genervtsein" durch verspätete Auskunft.
• OLG Köln, Urteil vom 25.01.2024, Az. 15 U 45/23 (juris): Werturteile von Privaten sind grundsätzlich schon wegen des Schutzes der Meinungsfreiheit aus dem Anwendungsbereich der Berichtigungspflicht ausgenommen, soweit sie keine Tatsachenbestandteile enthalten.
• LArbG Berlin-Brandenburg, Beschluss vom 01.02.2024, Az. 26 Ta (Kost) 6095/23 (juris): Der Auskunftsantrag nach Art. 15 DSGVO ist mit 500 Euro zu bewerten, wenn es um das reine Informationsinteresse geht.
• OLG Brandenburg, Beschluss vom 01.02.2024, Az. 1 W 3/24 (juris): Macht ein Betroffener Auskünfte nach der DSGVO als Beamter aus seinem öffentlich-rechtlichen Dienstverhältnis geltend, ist der Rechtsweg zu den Verwaltungsgerichten gegeben.
• VG Berlin, Urteil vom 06.02.2024, Az. VG 1 K 187/21 (BeckRS 2024, 2162): Eine Weigerung des Verantwortlichen, einem Auskunftsbegehren wegen eines unverhältnismäßigen Aufwandes Folge zu leisten, kommt nur in eng begrenzten Ausnahmefällen in Betracht.
• BFH, Beschluss vom 08.02.2024, Az. IX B 113/22 (Volltext): Eine juristische Person kann unmittelbar aus Art. 15 DSGVO keine Rechte ableiten.
• VG Bremen, Beschluss vom 16.02.2024, Az. 4 V 2968/23 (BeckRS 2024, 2203): Zur Frage der Rechtmäßigkeit einer datenschutzrechtlichen Auskunftsanordnung im Falle von Beschwerden wegen der Übersendung von Werbe-E-Mails (hier bejaht).

Entscheidungen zu Scraping:

• LG Köln, Urteil vom 24.05.2023, Az. 28 O 198/22 (GRUR-RS 2023, 43267): Kein Anspruch auf Schadenersatz wegen Scraping bei Facebook, da der Kläger diesbezüglich nicht vorgetragen hat, dass ihm ein Schaden entstanden ist.
• LG Augsburg, Urteil vom 09.06.2023, Az. 22 O 2669/22 (juris): Kein Anspruch auf Schadenersatz nach Art. 82 DSGVO wegen Scraping, da die von der Klägerin geschilderten SMS und Anrufe nicht kausal auf das Datenscraping bei der Beklagten zurückzuführen sind.

Neuigkeiten aus den Aufsichtsbehörden

• Datenschutzkonferenz: „Orientierungshilfe zur Einholung von Selbstauskünften bei Mietinteressent:innen“ – Version 1.0 vom 24.01.2024
• Datenschutzaufsicht Thüringen: „FAX: kein Klacks!“ – Pressemitteilung vom 20.02.2024
• Datenschutzaufsicht Hamburg: „Position des HmbBfDI zur Frage der datenschutzrechtlichen Rechtsgrundlage in Bezug auf Bezahlkarten für den Erhalt von Leistungen nach dem Asylbewerberleistungsgesetz (AsylbLG)“ – 23.02.2024
• Datenschutzaufsicht Baden-Württemberg: „Datenweitergabe durch Meldebehörden“ – FAQ vom 23.02.2024