DatenschutzWoche vom 28.03.2022

Neues Datenschutzabkommen zwischen EU und USA in Aussicht

Am vergangenen Freitag haben die EU-Kommission und die USA in einer gemeinsamen Erklärung verkündet, dass es bei den Verhandlungen über einen Nachfolger des EU-US Privacy Shield eine Einigung gab. Das sogenannte „Trans-Atlantic Data Privacy Framework“ zwischen der EU und den USA soll nun in eine rechtliche Vereinbarung überführt und anschließend durch eine Executive Order auf amerikanischer Seite umgesetzt werden, bevor ein neuer Angemessenheitsbeschluss der EU-Kommission verabschiedet wird.

Wesentliche Punkte des neuen Trans-Atlantic Data Privacy Framework sind:

• Personenbezogene Daten sollen frei und sicher zwischen der EU und den am Trans-Atlantic Data Privacy Framework teilnehmenden US-Unternehmen ausgetauscht werden können.
• Die Zugriffsmöglichkeit durch US-Nachrichtdienste sollten auf das notwendige und verhältnismäßige Maß beschränkt werden. Eine wirksame Überwachung der neuen Standards sollen die US-Nachrichtendienste über entsprechende Verfahren gewährleisten.
• Mit einem zweistufigen Rechtssystem soll das Beschwerderecht von EU-Bürgern geschützt werden. Hierzu wird auch ein neues Gericht geschaffen, das „Data Protection Review Court“.
• US-Unternehmen müssen sich weiterhin beim US-Handelsministerium selbstzertifizieren, um am Programm teilzunehmen.

Noch sind die Details unklar; daher ist zum jetzigen Zeitpunkt schwer zu beurteilen, ob das neue Abkommen den Anforderungen der „Schrems II“-Entscheidung des EuGH gerecht wird. Bis auf Weiteres sollten Verantwortliche daher an ihren Prozessen zur Prüfung von Drittlandsübermittlungen in die USA festhalten. Weitere Informationen liefern eine Faktenblatt des Weißen Hauses und ein Faktenblatt der EU-Kommission.

Verwaltungsgericht Wiesbaden zum GPS-Tracking von Fahrzeugen

Mit Urteil vom 17.01.2022 (Az. 6 K 1164/21.WI) hat das Verwaltungsgericht (VG) Wiesbaden hohe datenschutzrechtliche Anforderungen für die GPS-Überwachung von Fahrzeugen gestellt. Das Gericht hatte über die Klage eines Logistikunternehmens gegen einen Bescheid der hessischen Datenschutzaufsichtsbehörde zu entschieden. Diese hatte das Unternehmen unter anderem dazu verpflichtet, eine dauerhafte Speicherung von GPS-Daten der Unternehmensfahrzeuge zu unterlassen und die bereits erhobenen Daten zu löschen. Das VG Wiesbaden hat die zulässige Klage als unbegründet abgewiesen. Zur Begründung führt das Gericht im Wesentlichen an, dass der Bescheid der Behörde rechtmäßig sei, da die dauerhafte Speicherung der GPS-Daten (teilweise über einen Zeitraum von 400 Tagen) gegen die DSGVO verstoße.

Weiterhin legt das Gericht ausführlich dar, warum aus seiner Sicht weder eine Einwilligung der Beschäftigen noch eine gesetzliche Verpflichtung oder ein berechtigtes Interesse die Datenverarbeitung rechtfertigen können. Die Entscheidung ist rechtskräftig und zeigt eindrucksvoll, dass das Gericht sehr hohe Anforderungen an die dauerhafte Speicherung von GPS-Daten und die damit einhergehende Bildung von Bewegungsprofilen stellt.

Internationale Nachrichten

• Norwegen: Die norwegische Datenschutzaufsicht hat ihren Abschlussbericht zu datenschutzrechtlichen Fragen bei Learning Analytics aus dem Forschungsprojekt „AVT – Aktivitetsdata for vurdering og tilpassing“ (Tätigkeitsdaten für Bewertung und Anpassung) in englischer Sprache veröffentlicht.
• Europa: Unter dem Titel „Taking Care of Health Data“ hat die EU-Agentur für Cybersicherheit enisa einen ausführlichen Bericht zur Pseudonymisierung von Gesundheitsdaten veröffentlicht.
• Niederlande: Die niederländische Datenschutzaufsicht hat gegen ein Medienunternehmen ein Bußgeld von 525.000 Euro verhängt, weil das Unternehmen die Ausübung von Betroffenenrechten von der Übersendung eines Identitätsnachweises abhängig gemacht hat.

Aktuelle Gerichtsentscheidungen

• LG Stuttgart, Urteil vom 25.02.2022, Az. 17 O 807/21 (GRUR-RS 2022, 4821): Kein Anspruch auf Schadensersatz nach Art. 82 DSGVO wegen der Zusendung von postalischer Werbung, da ein berechtigtes Interesse besteht und die Verarbeitung nicht gegen das Datenschutzrecht verstößt.
• VG Wiesbaden, Urteil vom 17.01.2022, Az. 6 K 1164/21.WI (Volltext): Datenschutzrechtliche Zulässigkeit des GPS-Trackings von Fahrzeugen im Logistikbereich.
• Bundesgerichtshof, Urteil vom 14.02.2022, Az. VI ZR 692/20 (Volltext): Zu den Voraussetzungen eines Anspruchs auf Löschung von personenbezogenen Daten bei jameda.de.
• Bundesgerichtshof, Urteil vom 22. Februar 2022, Az. VI ZR 14/21 (Volltext) Zur Beschränkung des Rechts auf Auskunft über die Herkunft von Daten gemäß Art. 15 Abs. 1 Halbsatz 2 lit. g DSGVO durch datenschutzrechtlich geschützte Interessen Dritter.

Neuigkeiten aus den Aufsichtsbehörden

• Datenschutzaufsicht Baden-Württemberg: „Mehr Klarheit mit den neuen europäischen Leitlinien zu Dark patterns“ – Pressemitteilung vom 21.03.2022
• Bundesdatenschutzbeauftragter: Am Vorabend der 103. Datenschutzkonferenz hielt der österreichische Datenschutzaktivist Max Schrems einen Vortrag zum Thema „Datenschutz skalieren“.
• Datenschutzaufsicht Nordrhein-Westfalen: „3G-Nachweis und Kontaktdaten – einfach zerreißen reicht nicht!“ – Pressemitteilung vom 23.03.2022
• Datenschutzaufsicht Sachsen-Anhalt: „Weiter kein Datenschutzbeauftragter für Sachsen-Anhalt“ – Bericht des mdr zur gescheiterten Wahl von Albert Cohaus vom 24.03.2022
• Datenschutzkonferenz: „DSK äußert sich zu Forschungsdaten und Facebook Fanpages“ – Pressemitteilung der 103. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 24. März 2022
• Datenschutzkonferenz: „Wissenschaftliche Forschung – selbstverständlich mit Datenschutz“ – Entschließung der 103. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 23. März 2022
• Datenschutzkonferenz: „Parlamentarische Untersuchungsausschüsse und Löschmoratorien: Datenschutz durch klare Vorgaben und Verarbeitungsbeschränkungen für Behörden“ – Entschließung der 103. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 23. März 2022
• Datenschutzkonferenz: „Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook‐Fanpages“ – Gutachten mit Stand vom 18.03.2022 sowie zugehöriger Beschluss der Datenschutzkonferenz zur Task Force Facebook-Fanpages vom 23.03.2022
• Datenschutzaufsicht Bayern: „FAQ-Sammlung zur Verarbeitung von 3G im Beschäftigtenverhältnis“ – Aktualisierung vom 25.03.2022