Das Jahr 2020 wird uns allen wohl noch lange in Erinnerung bleiben. Die Corona-Pandemie hat unser Leben in vielen Bereichen auf den Kopf gestellt. Mit Sicherheit gibt es in den Augen vieler – so auch einiger Politiker – „wichtigere“ Rechte deren Einhaltung derzeit geboten ist als das Recht auf Datenschutz. Wir dürfen jedoch nicht vergessen, dass der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ein Grundrecht ist und auch als solches behandelt werden muss. In diesem außergewöhnlichen Jahr haben uns insbesondere folgende datenschutzrechtliche Fragestellungen bzw. Aspekte begleitet:
WELCHE AUSWIRKUNGEN HAT DIE CORONA-PANDEMIE AUF DEN DATENSCHUTZ?
Die zweite Welle der Corona-Pandemie rollt derzeit über Deutschland hinweg. In diesem Zuge werden erneut immer wieder kurzfristig Regelungen und neue Maßnahmen zur Bekämpfung des Corona-Virus (SARS-CoV-2) getroffen. Die Verordnung sehen hierbei auch Regelungen zur Verarbeitung personenbezogener Daten vor. Die Grundsätze des Datenschutzes sind bei der Bewältigung der Corona-Pandemie ohne Frage nicht außer Acht zu lassen.
Mittlerweile haben sie die meisten Datenschutz-Aufsichtsbehörden zum Datenschutzrecht in der Corona-Pandemie positioniert. Die Hinweise des Sächsischen Datenschutzbeauftragten sind hier abrufbar. Hilfreich hierzu sind ebenfalls die „FAQs“ des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg sowie die Informationen des Unabhängigen Landeszentraum für den Datenschutz Schleswig-Holstein.
Besondere Bedeutung erlangt in diesem Zusammenhang ebenfalls die Corona-Warn-App (CWA). Nach einer beachtenswerten medienöffentlichen Diskussion ist die Funktionsweise der CWA wohl als datenschutzkonform einzustufen. Selbstverständlich muss die Nutzung der CWA stets auf freiwilliger Basis erfolgen und darf auf keinen Fall zweckentfremdet werden.
WELCHE DATENSCHUTZRECHTLICHEN REGELUNGEN GELTEN IM HOMEOFFICE?
Unternehmen, Behörden und sonstige Organisationen schicken wann auch immer es möglich ist ihre Beschäftigten aktuell wieder ins Homeoffice, sofern diese von dort überhaupt zurückgekehrt sein sollten. Der Arbeitgeber seinerseits bleibt auch bei der Verlagerung des Arbeitsplatzes Verantwortlicher im Sinne des Art. 4 Nr. 7 Datenschutz-Grundverordnung (DS-GVO). Selbstredend müssen Beschäftigte auch bei dem Arbeiten von Zuhause die datenschutzrechtlichen Vorgaben beachten. Aus Sicht des Arbeitgebers ist es daher dringend anzuraten entsprechende, dem Risiko angemessene und wirksame technische und organisatorische Maßnahmen zu treffen, um die Arbeit von zu Hause datenschutzkonform gestalten zu können.
Eine Hilfestellung zum Datenschutz im Homeoffice bietet u.a. die Landesbeauftragte für den Datenschutz Niedersachsen. Hilfreich sind zudem die Informationen aus dem Best-Practice-Ansatz des Bayrischen Landesamtes für Datenschutzaufsicht.
WAS IST BEIM EINSATZ VON VIDEOKONFERENZSYSTEMEN ZU BEACHTEN?
Und noch ein datenschutzrechtliches Themengebiet, welches im Zusammenhang mit der Corona-Pandemie offen zu Tage getreten ist. Welche grundlegenden Voraussetzungen an einen datenschutzkonformen Einsatz eines Videokonferenzsystems geknüpft sind, haben wir ebenso bereits in einem Beitrag dargestellt wie eine Auseinandersetzung, mit der die zu diesem Thema veröffentlichte Orientierungshilfe der Datenschutzkonferenz.
ZWEI JAHRE DS-GVO: WO STEHEN WIR?
Die DS-GVO sieht in Art. 97 vor, dass sie zwei Jahre nach dem Wirkungsbeginn 2018 und danach alle vier Jahre einer Evaluierung durch die EU-Kommission unterzogen wird. In ihrem Bericht zieht die Kommission eine vorwiegend positive Bilanz, da die Datenschutz-Grundverordnung insbesondere als zeitgemäß gilt und die Rechte der Bürgerinnen und Bürger stärkt.
IST DER EINSATZ VON COOKIES NOCH ZULÄSSIG?
Dieser Frage beschäftigte seit dem Urteil des Bundesgerichtshof (BGH) im sog. „Cookie-II-Urteil“ (BGH, Urt. V. 28.05.2020 – I ZR 7/16) die Webseitenbetreiber sowie Marketingverantwortlichen. Dem Grunde nach konnte das Urteil des BGH allerdings aufgrund der vorangegangenen Entscheidung des Europäischen Gerichtshof (EuGH) in der Rechtssache Planet 49 (EuGH, Urt. V. 01.10.2019 – C-673/17) erwartet werden. Die größere Verwunderung führte der BGH mit seinem Weg zur Urteilsfindung und einer sehr abenteuerlichen Auslegung des § 15 Abs. 3 Telemediengesetz (TMG) herbei. Wahrscheinlich auch, um dem Gesetzgeber den Wink zur Notwendigkeit einer gesetzlichen Neuregelung zu geben.
Selbstverständlich bleibt der Einsatz von Cookies bzw. die Einbindung vergleichbarer Drittanbieterdienste (bspw. Analyse-, Marketing-, Tracking-, Karten-, Video-, Push-Nachrichten- und Umfrage-Dienste) zulässig, jedoch nur unter bestimmten Voraussetzungen. In einer Vielzahl von Fällen wird es erforderlich eine datenschutzrechtliche Einwilligung der Nutzerinnen und Nutzer einzuholen. Die Landesbeauftragte für den Datenschutz Niedersachsen hat diesbezüglich eine hilfreiche Handreichung veröffentlicht.
DATENSCHUTZ-AUFSICHTSBEHÖRDE VS: MICROSOFT: KANN ES EINEN GEWINNER GEBEN?
Aufhänger des öffentlichen Diskurses zwischen der Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBfDI) und Microsoft war die Veröffentlichung einer „Checkliste für die Durchführung von Videokonferenzen während der Kontaktbeschränkungen“ im Mai 2020 durch die BlnBfDI, in welcher vor dem Einsatz verschiedener Videokonferenzsysteme – darunter Microsoft Teams und Skype – warnt (die ursprüngliche Mitteilung ist mittlerweile nicht mehr verfügbar, da Microsoft die BlnBfDI für das Veröffentlichen unrichtiger Informationen abgemahnt hatte). Es folgte eine Pressemitteilung sowie eine Überarbeitung der Checkliste durch die Aufsichtsbehörde. Die Warnung vor dem Einsatz von Microsoft-Produkten wird aber aufrechterhalten.
Nachdem der Europäische Datenschutzbeauftragte in einem Gutachten vom 02. Juli 2020 sich ebenfalls zum Einsatz von Microsoft-Produkten geäußert hatte, konkretisierte die BlnBfDI in einem Schreiben an Microsoft ihre rechtliche Bewertung. Microsoft passte im weiteren Verlauf seine Stellungnahme an.
Mittlerweile hat sich die Datenschutzkonferenz zu Microsoft Office 365 im Allgemeinen geäußert. Das Unternehmen hat seine Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft Onlinedienste (Data Processing Addendum / DPA) mehrfach angepasst und neuerdings eine Ergänzung zu den Standardvertragsklauseln veröffentlicht.
Beendet ist nach alledem die Auseinandersetzung zwischen der BlnBfDI und Microsoft mit Sicherheit noch nicht. Auch die generelle Bewertung der Datenschutzkonformität von Microsoft-Produkten wird uns noch eine Wiele begleiten.
SIND DATENÜBERMITTLUNGEN IN DRITTLÄNDER NOCH MÖGLICH?
Im Juli dieses Jahres ließ der EuGH die nächste datenschutzrechtliche Bombe platzen, obwohl man hier, wenn man ehrlich ist, das Ende auch bereits längere Zeit kommen sehen konnte. Mit Urteil vom 16. Juli 2020 (Az.: C-311/18) – sog. „Schrems II“-Entscheidung erklärte der EuGH den sog. „EU-US-Privacy-Shield“ für unzulässig und stellte somit die Datenübermittlung in die USA auf den Kopf. Gleichzeitig formulierte der Gerichtshof die zukünftig einzuhaltenden Voraussetzungen einer Datenübermittlung in Drittländer. Eine Zusammenfassung zum Urteil haben wir bereits gegeben. Seit dem Urteilsspruch ringen Organisationen mit den Fragen der Legitimierung eines solchen Drittstaatentransfers sowie der Einhaltung der vom EuGH aufgestellten Voraussetzungen. Daher muss die Frage erlaubt sein, ob sich der internationale Datenschutz mit der DS-GVO in der Sackgasse befindet.
WAS ERWARTET UNS 2021?
Auch im kommenden Jahr werden uns Datenschützer wohl allem voran die Probleme im Zusammenhang mit der Übermittlung personenbezogener Daten in Drittländer beschäftigten. Dies gilt umso mehr, als dass das Vereinigte Königreich ab 01.01.2021 ebenfalls als ein solches Drittland zu qualifizieren sein wird.
In diesem Zusammenhang wird mit Sicherheit der weitere Werdegang von Microsoft und anderer US-Dienstleister sowie die künftige datenschutzrechtliche Ausgestaltung vertraglicher, technischer sowie organisatorischer Maßnahmen einiges an Spannungen bereithalten.
Alle Arbeitgeber und im Homeoffice tätigen Arbeitnehmer sollten insbesondere die weitere Entwicklung des aktuellen Referentenentwurfes eines Gesetzes zur mobilen Arbeit (Mobile Arbeit-Gesetz – MAG) beobachten.
Ansonsten bleibt abzuwarten, was das Jahr 2021 sonst für uns bereithalten wird. In diesem Sinne wünschen wir unseren Blog-Lesern besinnliche Weihnachtsfeiertage, einen ruhigen Jahresausklang sowie einen gesunden Start in das neue Jahr!
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.