DatenschutzWoche vom 28.02.2022

Niederländisches Justizministerium: Datenschutzfolgenabschätzung für Produkte von Microsoft

Vergangene Woche hat das niederländische Justizministerium eine neue Datenschutzfolgenabschätzung zum Einsatz von Microsoft Teams, OneDrive, SharePoint und Azure AD in Behörden und Universitäten veröffentlicht. Diese knüpft an die bereits im Jahr 2019 veröffentlichte Datenschutzfolgenabschätzung zum damaligen Microsoft Office 365 an.

Besonders interessant sind die Ausführungen zu den „Privacy Controls“. Das sind Einstellungen, mit denen Nutzer.innen und Systemadministrator.innen die Nutzung datenfreundlich gestalten können. Das niederländische Justizministerium empfiehlt hier – illustriert mit Screenshots und Abbildungen - insgesamt zehn Einstellungsmöglichkeiten, von der Verwendung der Ende-zu-Ende-Verschlüsselung und der Reduzierung der Telemetriedaten über die Unterbindung des Teilens von GIFs in Microsoft Teams bis hin zu Einstellungen des neuen Analysetools Microsoft Viva.

Fazit der Datenschutzfolgenabschätzung aus Sicht des niederländischen Justizministeriums: Sofern Behörden und Universitäten die empfohlenen Maßnahmen umsetzen, bestehen „keine hohen Datenschutzrisiken bei der Nutzung der geprüften Dienste.“

Datenschutzkonferenz: „Anforderungen an die proaktive Information der Öffentlichkeit über Produkte zur Datenverarbeitung“

Immer wieder veröffentlichen Datenschutzaufsichtsbehörden Produktwarnungen wegen vermeintlicher Verstöße gegen die DSGVO mit dem Ziel, Kunden vom Erwerb der genannten Produkte abzuhalten und Hersteller zum – datenschutzkonformen – Einlenken zu bewegen.

Nach einer Anfrage nach dem Informationsfreiheitsgesetz sind nun die internen Hinweise der Datenschutzkonferenz (DSK) zu „Anforderungen an die proaktive Information der Öffentlichkeit über Produkte zur Datenverarbeitung“ bekanntgeworden. Neben allgemeinen Empfehlungen zur Veröffentlichung der jeweiligen Einschätzung findet sich darin auch zahlreiche Argumente, mit denen die Behörden belegen wollen, das es zulässig ist, Produktwarnungen auszusprechen. Ob die Aufsichtsbehörden mit Blick auf die Beeinflussung von Marktentscheidungen und die daraus resultierenden Eingriffe in die Grundrechte der Hersteller tatsächlich zu derartigen Warnungen befugt sind, ist umstritten.

Internationale Nachrichten

• Schweden: Die schwedische Datenschutzaufsicht hat gegen die Verwaltung der Region Uppsala ein Bußgeld von umgerechnet etwa 180.000 Euro wegen unzureichender IT-Sicherheit verhängt.
• Frankreich: Das Whitepaper der französischen Datenschutzaufsicht CNIL zur DSGVO-konformen Verarbeitung von Zahlungsdaten ist nun auch auf Englisch abrufbar.
• Österreich: Das Landesverwaltungsgericht Wien legt dem EuGH mit Beschluss vom 11.02.2022 (Az. VGW-101/042/791/2020-44) die Frage vor, welche inhaltlichen Erfordernisse eine Auskunft nach Art. 15 DSGVO erfüllen muss, um als ausreichend „aussagekräftig“ zu gelten.
• Niederlande: Die niederländische Datenschutzaufsicht hat gegen ein Medienunternehmen ein Bußgeld über 525.000 Euro verhängt, weil Personen, die ihre Daten einsehen oder löschen lassen wollten, zunächst einen Identitätsnachweis hochladen sollten.
• Europa: Die EU-Kommission hat ihren Entwurf für einen „Data Act“ veröffentlicht. Mit der geplanten Verordnung möchte die EU-Kommission einen fairen Zugriff auf und eine faire Nutzung von nicht-personenbezogenen Daten regeln.
• Europa: Das EDPB hat einen Brief an die EU-Kommission zur Anpassung von Haftungsregeln an das digitale Zeitalter und die künstliche Intelligenz (KI) veröffentlicht.
• Polen: Die polnische Datenschutzaufsicht hat ein Bußgeld von umgerechnet etwa 4.000 Euro gegen ein Unternehmen verhängt, weil dieses unzureichend mit der Aufsichtsbehörde zusammengearbeitet hat.
• Ungarn: Die ungarische Datenschutzaufsicht hat gegen einen Fahrzeughändler ein Bußgeld von umgerechnet etwa 14.000 Euro wegen der Verletzung von Informationspflichten und der Verarbeitung von Kundendaten ohne ausreichende Rechtsgrundlage verhängt.

Aktuelle Gerichtsentscheidungen

• VG Cottbus, Urteil vom 04.02.2022, Az. VG 4 K 1191/19 (Volltext): „Der Einbau eines Wasserzählers mit Funkmodul ist ggf. bereits als Datenverarbeitung i.S.d. Datenschutz-Grundverordnung zu werten.“

Neuigkeiten aus den Aufsichtsbehörden

• Datenschutzaufsicht Brandenburg: „Corona-Kontaktnachweise spätestens jetzt löschen!“ – Pressemitteilung vom 22.02.2022
• Datenschutzaufsicht Schleswig-Holstein: „Aktueller Datenschutzbericht: noch zu wenig aus Fehlern und Pannen gelernt“ – Pressemitteilung vom 22.02.2022 zum Tätigkeitsbericht 2022
• Datenschutzaufsicht Sachsen: „SDB beantwortet häufige Fragen zum Beschäftigtendatenschutz“ – Hinweis vom 22.02.2022