DatenschutzWoche vom 28.11.2022

Microsoft 365: Stellungnahmen der Datenschutzkonferenz und von Microsoft

Am 25. November veröffentlichte die Datenschutzkonferenz (DSK) eine Stellungnahme zu Microsoft 365. Darin knüpft sie an die Bewertung von Microsoft Office 365 von September 2020 und die späteren Gespräche mit Microsoft an und bezieht sich außerdem auf Microsofts Datenschutznachtrag (Microsoft Products and Services Data Protection Addendum, „DPA“) vom 15.09.2022.

Trotz einiger Änderungen bewertet die DSK das neue DPA als nur „geringfügige Verbesserung“ gegenüber der Version aus dem Jahr 2020. Wesentliche Kritikpunkte sind die aus Sicht der DSK intransparente Verarbeitung von Daten durch Microsoft zu eigenen Zwecken und die Drittlandsübermittlung. Die neue Executive Order des US-Präsidenten vom 07.10.2022 hat noch keinen Eingang in die Bewertung gefunden.

Microsoft veröffentlichte kurz darauf eine Stellungnahme zur Kritik der DSK. Darin erklärt das Unternehmen sicherzustellen, dass die Microsoft 365-Produkte „die strengen EU-Datenschutzgesetze nicht nur erfüllen, sondern oft sogar übertreffen“. Die Bedenken der DSK berücksichtigten die Änderungen nicht angemessen und beruhten auf Missverständnissen hinsichtlich der Funktionsweise der Dienste.

Datenschutzkonferenz zur Verarbeitung von Gesundheitsdaten in der wissenschaftlichen Forschung

In der ebenfalls in der vergangenen Woche veröffentlichten „Petersberger Erklärung“ äußert sich die DSK zur datenschutzkonformen Verarbeitung von Gesundheitsdaten in der wissenschaftlichen Forschung. Diese solle bestmöglich gefördert werden, weil sie dazu dienen könne, Erkenntnisse über die Ursachen von Krankheiten zu gewinnen sowie effiziente Therapien und Behandlungsmöglichkeiten zu entwickeln.

Die für die Forschung relevanten Datenkategorien sind durch die DSGVO in besonderer Weise geschützt, weil eine unsachgemäße Verwendung solcher Daten weitreichende Folgen für die Betroffenen haben kann. Daher müssen Betroffene darauf vertrauen können, dass die ihre Gesundheit betreffenden Daten im Einklang mit den datenschutzrechtlichen Vorgaben verarbeitet werden. Der Datenschutz sei eine „Voraussetzung für eine menschenzentrierte wissenschaftliche Forschung mit Gesundheitsdaten“.

Die Entschließung der DSK mündet in sieben Empfehlungen zur Verarbeitung von Gesundheitsdaten in der wissenschaftlichen Forschung, darunter die Sicht auf „die Menschen im Mittelpunkt der Forschung“; die Verschlüsselung, Pseudonymisierung und frühestmögliche Anonymisierung von Daten sowie die umfassende und effektive Überwachung der Verarbeitung durch die Datenschutzaufsichtsbehörden.

Internationale Nachrichten

  • Frankreich: Da Smartphones mittlerweile ein wichtiger Zugang zu digitalen Inhalten und Diensten sind, hat die CNIL einen Aktionsplan zur Einhaltung datenschutzrechtlicher Vorgaben bei Apps für Mobilgeräte aufgestellt. Dieser soll aus insgesamt drei Schritten bestehen: Einem Dialog mit verschiedenen Akteuren, um den Sektor besser zu verstehen (I.), darauf basierenden Veröffentlichungen mit Empfehlungen zur Einhaltung datenschutzrechtlicher Vorgaben (II.) und entsprechenden Kontrollen und Sanktionen im Falle von Verstößen (III.).
  • EDPB: Der Europäische Datenschutzausschuss hat am vergangenen Freitag zwei Anfragen zur Verarbeitung personenbezogener Daten auf Grundlage des Abkommens zur Umsetzung des „US Foreign Account Tax Compliance Act“ beantwortet: Eine Anfrage der Association of Accidental Americans und eine Anfrage der Abgeordneten des Europäischen Parlaments Sophie in’t Veld.

Aktuelle Gerichtsentscheidungen

  • LAG Hessen, Beschluss vom 11. 11. 2022, Az. 12 Ta 417/22 (Volltext): Der Gebührenstreitwert eines Auskunftsersuchens über den Gesundheitszustand bzw. die Erkrankung der Klägerin beträgt 1.000 Euro.
  • LG Frankfurt a. M., Urteil vom 18. 11. 2022, Az. 2-25 O 228/21 (BeckRS 2022, 32218) zu Verwahrentgelten: Das Interesse der betroffenen Bankkunden am Datenschutz überwiegt keinesfalls das Interesse des Verbands (§ 4 UKlaG) an der Unterbindung unwirksamer Klauseln. Die Bank ist daher verpflichtet, dem Verband unmittelbar die Vor- und Zunamen sowie die Anschrift der betroffenen Kunden mitzuteilen. Eine Auflistung kann jedoch nicht verlangt werden.
  • ArbG Wiesbaden, Beschluss vom 15. 09. 2022, Az. 5 Ca 409/20 (BeckRS 2022, 32231): Der Streitwert einer Auskunft nach Art. 15 DSGVO liegt bei 500 Euro.
  • VG Ansbach, Urteil vom 12. 10. 2022, Az. AN 14 K 19.1728 (BeckRS 2022, 32724): Für die Auslegung einer Beschwerde bei einer Datenschutzaufsichtsbehörde ist der objektive Empfängerhorizont maßgeblich.

Neuigkeiten aus den Aufsichtsbehörden