DatenschutzWoche vom 29.11.2021

Fast komplett ohne Corona: Diese Woche betrachten wir einen äußerst kurzen Beschluss der Datenschutzkonferenz zur Frage, ob Betroffene auf Maßnahmen nach Art. 32 DSGVO verzichten können. Darüber hinaus beschäftigen wir uns – wie zuletzt die Koalitionsvereinbarung der Ampel –  mit der Einflussnahme ausländischer Nachrichtendienste und dem Rechtsrahmen für die IT-Sicherheitsforschung. Bei den Neuigkeiten aus den Datenschutzaufsichtsbehörden holt uns die Pandemie aber doch ein.

Die wichtigsten Nachrichten der Woche:

• Datenschutzkonferenz zur Nichtanwendung von TOM
• Auswirkungen ausländischer Gesetzgebung auf die deutsche Cybersicherheit
• Rechtslage der IT-Sicherheitsforschung

Datenschutzkonferenz zur Nichtanwendung von TOM

In einem Beschluss vom 24.11.2021 hat sich die Datenschutzkonferenz (DSK) mit der Frage auseinandergesetzt, ob Verantwortliche auf den ausdrücklichen Wunsch von Betroffenen auf die Anwendung technischer und organisatorischer Maßnahmen (TOM) nach Art. 32 DSGVO verzichten können. Die DSK kommt dabei zunächst zum Ergebnis, dass die TOM nicht zur Disposition der Beteiligten stehen. Folglich kommt nach der DSK auch kein Verzicht oder eine Absenkung der TOM durch eine Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO in Betracht. Möglich soll es jedoch sein, „[…] dass der Verantwortliche auf ausdrücklichen, eigeninitiativen Wunsch der informierten betroffenen Person bestimmte vorzuhaltende technische und organisatorische Maßnahmen ihr gegenüber in vertretbarem Umfang nicht anwendet.“ Zumindest in Einzelfällen hält die DSK eine Nichtanwendung der TOM also durchaus für zulässig.

Leider begründet die DSK ihren Beschluss nicht, so dass man über die Hintergründe der Entscheidung nur mutmaßen kann. Nachvollziehbar erscheint zunächst, dass die DSK eine Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO für unzulässig erachtet. Die DSK dürfte insoweit darauf abstellen, dass die Rechtsgrundlagen nach Art. 6 Abs. 1 DSGVO nur für das „Ob“ der Datenverarbeitung und nicht für das „Wie“ relevant sind. Da der Verzicht auf Maßnahmen nach Art. 32 DSGVO jedoch das „Wie“ der Verarbeitung betrifft, kommt eine Einwilligung nach Art. 6 Abs. 1 lit. a) folglich nicht in Betracht.

Denkbar ist jedoch, dass eine betroffene Person auf ihr Grundrecht auf den Schutz ihrer personenbezogenen Daten aus Art. 8 der EU-Grundrechtecharta bzw. dessen nähere Ausgestaltung in Art. 32 DSGVO verzichtet. Warum dies jedoch nur auf eigene Initiative und auch nur „in zu dokumentierenden Einzelfällen“ möglich sein soll, bleibt – wegen der fehlenden Begründung des Beschlusses – zumindest vorerst das Geheimnis der DSK und wirkt vor dem Hintergrund der etablierten Grundsätze für die Einwilligung in Grundrechtseingriffe eher kurios. So führt das Verbot der Körperverletzung in § 223 StGB, ebenso weder dazu, dass eine Einwilligung – jedenfalls bis zum Menschenwürdekern des Grundrechts – nicht auf fremde Initiative (z.B. bei einem Arztbesuch) oder grundsätzlich (z.B. beim Kampfsport) möglich wäre.

Auswirkungen ausländischer Gesetzgebung auf die deutsche Cybersicherheit

Die Wissenschaftliche Arbeitsgruppe des Nationalen Cyber-Sicherheitsrat hat in einem Impulspapier untersucht, mit welchen Zielen und Mitteln ausländische Nachrichtendienste Einfluss auf die Cybersicherheit in Deutschland nehmen könnten. Hierzu hat sich das Expertengremium die jeweiligen Rechtsgrundlagen und Handlungsmöglichkeiten der Nachrichtendienste der USA, Russlands und Chinas angesehen. Im Ergebnis empfiehlt die Arbeitsgruppe, dass eine Datenverarbeitung in der Europäischen Union sollte, die Daten technisch-organisatorisch vor dem Zugriff von Nachrichtendiensten geschützt sein sollten (zum Beispiel durch Verschlüsselung und Treuhänder) oder keine Datenverarbeitung durch Unternehmen erfolgt, die den jeweiligen Nachrichtendiensten verpflichtet sind. Dass Papier ist aus datenschutzrechtlicher Sicht von besonderem Interesse, da es auf Initiative des Hessischen Landesdatenschutzbeauftragten, Prof. Dr. Roßnagel, entstanden ist, dessen Behörde in der Vergangenheit bereits gegen Datenübermittlungen nach China eingeschritten ist.

Rechtslage der IT-Sicherheitsforschung

In einem Whitepaper hat sich ein überinstitutioneller Kreis von Wissenschaftler*innen aus Rechtswissenschaft und Sicherheitsforschung mit den Haftungs- und Strafbarkeitsrisiken bei der IT-Sicherheitsforschung beschäftigt. Neben einer Vielzahl weiterer rechtlicher Aspekte wird auch die datenschutzrechtliche Dimension der IT-Sicherheitsforschung betrachtet. Insbesondere der Abschnitt zu den Rechtsgrundlagen der IT-Sicherheitsforschung dürfte auch für Verantwortliche außerhalb des Forschungskontext von Interesse sein.

Internationale Nachrichten

Liechtenstein: Die Datenschutzstelle hat ihre Informationen für Vermieter um Hinweise zur Datenminimierung bei Wohnungs- und Immobilienangeboten ergänzt. Die zentrale Empfehlung der Behörde besteht darin, dass Verkäufer, Makler und Immobilienunternehmen in den entsprechenden Anzeigen möglichst genau auf Erfordernisse und Voraussetzungen der Objekte hinzuweisen, so dass nach Möglichkeit nur relevante Anfragen für das Objekt eingehen.

Polen: Die polnische Datenschutzaufsichtsbehörde hat, wie der Europäische Datenschutzausschuss mitteilt, gegen die Bank Millennium ein Bußgeld von 80.000 Euro verhängt, weil die Bank im Zusammenhang mit einer Datenschutzverletzung gegen Melde- und Benachrichtigungspflichten nach den Art. 33 und 34 DSGVO verstoßen haben soll. Interessant ist, dass der Verlust der Daten bei einem Kurierdienst eingetreten ist und die polnische Aufsichtsbehörde insoweit offenbar eine Auftragsverarbeitung statt einer eigenen Verantwortlichkeit des Kurierdienstes annimmt.

Aktuelle Gerichtsentscheidungen

LG Frankfurt am Main, Urteil vom Urteil vom 01.11.2021, Az. 2-01 S 191/20 (GRUR-RS 2021, 33660): Zum berechtigten Interesse am Versand eines Budgetplans an die Mitglieder eines Vereins und zur Ablehnung eines Anspruchs auf Schadensersatz, wenn die Budgetplanung die Trainervergütung beinhaltet.

OLG Oldenburg, Urteil vom 23.11.2021, Az. 13 U 63/21 (GRUR-RS 2021, 35540): Kein Anspruch auf Löschung von SCHUFA-Einträgen, da ein berechtigtes Interesse an der Speicherung besteht und § 3 InsoBekV nicht anwendbar ist.

OLG Schleswig-Holstein, Urteil vom 25.11.2021, Az. 4 LB 20/13 (Pressemitteilung): Wirtschaftsakademie ist wegen datenschutzrechtlicher Verstöße verpflichtet, Facebook-Fanpage zu deaktivieren

BGH, Beschluss vom 19.10.2021, Az. AnwZ (B) 3/20 (Volltext): Das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter nach Art. 79 DSGVO beinhaltet nicht das Recht auf eine zweitinstanzliche Entscheidung.

Neuigkeiten aus den Aufsichtsbehörden

Datenschutzaufsicht Sachsen: „Die Amtszeit des sächsischen Datenschutzbeauftragten Andreas Schurig läuft aus. Als Nachfolgerin ist eine Grüne im Gespräch.“ – Sächsische Zeitung vom 22.11.2021

Datenschutzaufsicht Sachsen-Anhalt: „Neues Infopaket: Homeoffice – aber sicher!“ – Pressemitteilung vom 23.11.2021

Datenschutzaufsicht Schleswig-Holstein: „Verarbeitung des Impf-, Sero- und Teststatus von Beschäftigten in Bezug auf COVID-19“ - Hinweis vom 24.11.2021

Datenschutzaufsicht Berlin: „Corona-Pandemie: Hinweise für Berliner Verantwortliche zur Anwesenheitsdokumentation“ – Hinweise und Muster vom 24. bzw. 23.11.2021

Datenschutzaufsicht Rheinland-Pfalz: „3G am Arbeitsplatz - Datensparsamkeit heißt das Gebot der Stunde!“ – Hinweis vom 25.11.2021

Datenschutzaufsicht Hessen: „Empfehlungen zur datenschutzkonformen Umsetzung der 3-G-Regel am Arbeitsplatz“ – Hinweis vom 25.11.2021

Datenschutzaufsicht Schleswig-Holstein: „Ausgang des Verfahrens Wirtschaftsakademie ./. ULD (Az. 4 LB 20/13) in Sachen Facebook-Fanpages“ – Hinweis vom 26.11.2021

Datenschutzaufsicht Bayern (BayLDA): „FAQ-Sammlung zur Verarbeitung von 3G/3Gplus im Beschäftigtenverhältnis“ – Stand: 29.11.2021

Datenschutzkonferenz: „Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 24. und 25. November 2021“ – Pressemitteilung vom 26.11.2021