DatenschutzWoche vom 30.01.2023

Europäischer Datenschutztag 2023

Am 28. Januar, dem Jahrestag der Verabschiedung der Datenschutzkonvention des Europarats (Konvention 108), begehen die Mitgliedstaaten des Europarates den Europäischen Datenschutztag. Traditionell wird dieser Tag von den Datenschutzaufsichtsbehörden genutzt, um für den Datenschutz zu sensibilisieren und für mehr Privatsphäre zu werben:

• Das EDPB hat ein Informationsvideo zur DSGVO und den Aktivitäten der Datenschutzaufsichtsbehörden veröffentlicht.
• Der Europäische Datenschutzbeauftragte hat ebenfalls ein Video veröffentlicht und sich sowohl in einem Kommentar als auch in einem Artikel zum Datenschutztag geäußert.
• Der Bundesdatenschutzbeauftragte lädt am 30. Januar 2023 von 14 bis 17 Uhr zu einem Expertengespräch unter dem Titel „Der Data Act und die Zukunft des Datenschutzes“ ein. Es gibt einen Livestream zur Veranstaltung.
• Die Datenschutzaufsichtsbehörden in Bayern, Baden-Württemberg, Hessen und Thüringen haben bereits im Dezember im Rahmen Initiative „Datenschutz geht zur Schule“ 18 Kurzvideos und elf Arbeitsblätter zum Datenschutz in der zentralen Bildungsdatenbank der Länder veröffentlicht.

DDoS-Angriffe: Meldepflicht nach der DSGVO?

Das Bundesamt für Sicherheit in der Informationstechnik hat am 25. und 26. Januar 2023 hat eine DDoS-Kampagne gegen ausgewählte Ziele in Deutschland beobachtet. Betroffen waren Webseiten von Flughäfen und der Finanzsektor, aber auch Webseiten der Bundes- und Landesverwaltung. Die Kampagne war von einer russischen Hackergruppe angekündigt worden. Die Angriffe konnten größtenteils abgewehrt werden und sind ohne gravierende Auswirkungen geblieben.

Aus datenschutzrechtlicher Sicht stellt sich bei DDoS-Angriffen, die die Verarbeitung von personenbezogenen Daten betreffen, immer wieder die Frage, ob eine vorrübergehende Einschränkung der Verfügbarkeit von Daten eine Datenschutzverletzung ist, die eine Melde- oder Benachrichtigungspflicht nach den Art. 33, 34 DSGVO auslösen kann. In seinen Leitlinien 09/2022 antwortet das EDBD, dass eine vorrübergehende Einschränkung der Verfügbarkeit jedenfalls dann eine Datenschutzverletzung darstellt, wenn die Daten eine gewisse Zeit nicht verfügbar sind und der fehlende Zugang zu den Daten erhebliche Auswirkungen auf die Rechte und Freiheiten natürlicher Personen hat.

Eine Benachrichtigung kann auch erforderlich werden, wenn ein Angriff zu einem Verlust der Vertrautlichkeit führt, ohne dass die Nichtverfügbarkeit erhebliche Auswirkungen auf die Rechte und Freiheiten der Betroffenen hat. In seinen Leitlinien 01/2021 hatte das EDPB die „Verletzung der Verfügbarkeit“ noch ohne derartige Einschränkungen als Datenschutzverletzung eingestuft.

Internationale Nachrichten

• Europa: Das EDPB seinen Streitbeilegungsbeschluss im Verfahren der irischen Datenschutzaufsichtsbehörde gegen WhatsApp Irland veröffentlicht. Gegenstand ist insbesondere die Frage unter welchen Voraussetzungen eine Datenverarbeitung zur Vertragserfüllung erforderlich ist.
• Finnland: Wegen einer unzureichenden Umsetzung der Betroffenenrechte hat die finnische Datenschutzaufsichtsbehörde hat einen Inkassodienstleister ein Bußgeld in Höhe von 750.000 Euro verhängt. Anlass des Verfahrens waren mehrere Beschwerden von Betroffenen. Ein weiteres Bußgeld in Höhe von 122.000 Euro hat die Behörde gegen ein Unternehmen wegen der Verarbeitung von Gesundheitsdaten ohne ausreichende Einwilligung verhängt.

Aktuelle Gerichtsentscheidungen

• OVG Bremen, Beschluss vom 10.01.2023, Az. 1 LA 420/21 (juris): Ein Insolvenzverwalter ist hinsichtlich der beim Finanzamt gespeicherten personenbezogenen Daten des Insolvenzschuldners nicht Betroffener i.S.v. Art 15 Abs. 1 DSGVO.
• LArbG Berlin-Brandenburg, Beschluss vom 03.11.2022, Az. 26 TaBV 751/22 (Volltext): Die Entscheidung der Schwerbehindertenvertretung, das Büropersonal auf dem Gebiet des Datenschutzes zu qualifizieren, ist nicht zu beanstanden. Der Arbeitgeber muss daher die Kosten übernehmen.
• LG Paderborn, Urteil vom 13.12.2022, Az. 2 O 212/22 (Volltext): Dem Kläger steht wegen einem Scraping seiner Daten gegenüber einer Social Media Plattform ein Schmerzensgeld in Höhe von 500 Euro zu. Darüber hinaus hat der Plattformbetreiber alle zukünftigen Schäden zu ersetzen, die dem Kläger aus dem Vorfall entstehen.
• LG Gießen, Urteil vom 11. Januar 2023, Az. 2 O 178/22 (juris): Dient die Auskunft nach Art. 15 DSGVO ausschließlich der Verfolgung von Leistungsansprüchen, liegt ein Rechtsmissbrauch vor. Auskünfte sind explizit an den Zweck Datenschutz gebunden (Erwg. 63 DSGVO).

Neuigkeiten aus den Aufsichtsbehörden

• Datenschutzaufsicht Bayern (BayLfD): „Privacy in Bavaria“ – Ausgabe 1/2023 des Newsletters
• Datenschutzaufsicht Rheinland-Pfalz: „Dieter Kugelmann zum Landesbeauftragten für den Datenschutz und die Informationsfreiheit wiedergewählt“ – Pressemitteilung vom 26.01.2023
• Datenschutzaufsicht Schleswig-Holstein: „Landesbeauftragte für Datenschutz Schleswig-Holstein übernimmt Vorsitz in der Datenschutzkonferenz“ – Pressemitteilung vom 27.01.2023