In unserem Datenschutz-Jahresrückblick Teil I und Teil II haben wir uns bereits die Monate Januar bis August unter datenschutzrechtlichen Gesichtspunkten betrachtet. In unserem heutigen und letzten Teil des Jahresrückblickes widmen wir uns den Monaten September und Dezember und greifen insbesondere die Themen TTDSG, Verarbeitung von Immunisierungs- und Testdaten von Beschäftigten sowie die jüngst aufgetretene Log4j-Sicherheitslücke auf:
SEPTEMBER 2021
Der September begann sogleich mit der Verhängung eines enormen Bußgeldes der irischen Aufsichtsbehörde in Höhe von 225 Millionen Euro gegenüber WhatsApp. Bemängelt wurde seitens der Aufsichtsbehörde insbesondere die intransparente Datenverarbeitung von WhatsApp, einschließlich der Übermittlung von personenbezogenen Daten von Nutzenden an Facebook. Das Unternehmen WhatsApp Ireland Ltd. hat bereits angekündigt, gegen den Bußgeldbescheid vorzugehen. Zwar mag die Verhängung eines solchen Bußgeld als ein erster Erfolg gegen die zum Teil datenschutzrechtlich fragwürdigen Verarbeitungspraktiken großer Konzerne gewertet werden. Jedoch stellen die benannten 225 Millionen Euro lediglich einen geringen Bruchteil eines Prozentes des weltweit erzielten Jahresumsatzes des Unternehmens dar. Die Datenschutz-Grundverordnung (DS-GVO) sieht im Rahmen des Art. 82 Abs. 5 lit. a) und b) DS-GVO in Fällen von Verstößen gegen die Rechtmäßigkeit und Transparenz von Datenverarbeitungen ein Bußgeld von bis zu vier Prozent des weltweit erzielten Vorjahresumsatzes vor. Demnach hätte das Bußgeld auch 50-mal höher ausfallen können.
Weiterhin ist auch die Entscheidung des OLG Brandenburg (Beschl. v. 11.08.2021 – Az.: 1 U 69/20) als wesentliches Ereignis zu betrachten. Das Gericht stellte im Rahmen seines Beschlusses klar, dass es für einen Schadensersatzanspruch nach Art. 82 DS-GVO einer konkreten Schädigung der betroffenen Person bedarf. Die Richter verwiesen diesbezüglich auf die Regelung des Art. 82 Abs. 3 DS-GVO in Verbindung mit Erwägungsgrund 146 Satz 2 zur DS-GVO, wonach es des Nachweises eines konkreten Schadens bedarf. Der einfache Verweis auf die Rechtswidrigkeit einer Datenverarbeitung und daraus lediglich potenziell entstehender Nachteile für die betroffene Person reiche demnach nicht aus, um einen Schadenersatzanspruch zu begründen. Der benannte Beschluss steht damit im Einklang mit der Entscheidung des OLG Düsseldorf in einem ähnlich gelagerten Fall (Beschl. v. 16.02.2021 – Az.: 16 U 269/20).
OKTOBER 2021
Im Laufe des Jahres berichteten wir im Rahmen unseres Blogs über verschiedene Betroffenenrechte. So unter anderem über das Auskunftsrecht, das Recht auf Berichtigung, das Recht auf Löschung sowie das Recht auf Einschränkung der Verarbeitung. Im datenschutzrechtlichen Alltag der verantwortlichen Stellen und der Entscheidungspraxis der Gerichte kommt neben dem Recht auf Löschung dem Auskunftsrecht jedoch mit Abstand die wohl größte Bedeutung zu. Dies zeigt auch umso mehr die Entscheidung des OLG München (Urt. v. 04.10.2021 – Az.: 3 U 2906/20). Das Gericht entschied in dem benannten Prozess, dass von einem Auskunftsanspruch nach Art. 15 Abs. 3 DS-GVO grundsätzlich sämtliche personenbezogene Daten, also auch Telefonnotizen, Aktenvermerke, Gesprächsprotokolle, E-Mails und Briefe umfasst sind. Es stellte in diesem Zusammenhang klar, dass sich das Auskunftsrecht nicht ausschließlich auf besonders sensible oder private Informationen beschränkt, sondern grundsätzlich alle Informationen betrifft, die aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft sind. Das Gericht folgt damit dem Verständnis einer besonders weiten Auslegung des Auskunftsrechts nach Art. 15 DS-GVO.
Auch direkt die Tätigkeit der Datenschutzbeauftragten betreffend bot der Oktober 2021 Interessantes in Bezug auf die Rechtsprechung. Das OLG München befand in seinem Urteil (Urt. v. 27.10.2021 – Az.: 20 U 7051/20), dass ein externer Datenschutzbeauftragter nicht für die datenschutzrechtlichen Verstöße seines Auftraggebers haften kann. Das Gericht begründete diese Entscheidung damit, dass sich die datenschutzrechtlichen Verpflichtungen grundsätzlich gegen den Verantwortlichen im Sinne des Art. 4 Nr. 7 DS-GVO richten, von welchem der Datenschutzbeauftragte klar zu unterscheiden sei. Art. 39 Abs. 1 DS-GVO sieht für den Datenschutzbeauftragten insbesondere die Aufgaben der Unterrichtung und Beratung des Verantwortlichen sowie die Überwachung der Einhaltung der Datenschutzvorschriften vor.
NOVEMBER 2021
Nachdem wir uns bereits im September und Oktober 2021 mit dem datenschutzrechtlichen Hintergrund der Abfrage des Impfstatus von Beschäftigten durch den Arbeitgeber befasst hatten, traten nun im November 2021 einige wesentliche Änderungen des Infektionsschutzgesetzes (IfSG) in Kraft. Das Hauptaugenmerk war und ist dabei auf die Regelung des § 28b Abs. 3 IfSG zu legen. Demnach sind alle Arbeitgeber sowie die Leitungen der in § 28b Absatz 1 Satz 1 und Absatz 2 Satz 1 genannten Einrichtungen und Unternehmen dazu verpflichtet, die Einhaltung des Infektionsschutzes durch Nachweiskontrollen des Impf-, Test- und Genesenenstatus täglich zu überwachen und regelmäßig zu kontrollieren. Die hierfür verarbeiteten personenbezogenen Daten sind nach § 28b Abs. 3 IfSG spätestens am Ende des sechsten Monats nach ihrer Erhebung zu löschen. Mit dieser Regelung schuf der Gesetzgeber eine ausdrückliche rechtliche Grundlage zur Verarbeitung der jeweiligen Gesundheitsdaten. Aus datenschutzrechtlichen Gesichtspunkten wurde die hinsichtlich der konkreten Umsetzung jedoch sehr unspezifische Gestaltung der Norm teilweise auch kritisiert.
DEZEMBER 2021
Mit Beginn des Dezembers trat auch das neue Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) in Kraft. Ziel dieses Gesetzes ist die Anpassung der datenschutzrelevanten Bestimmungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) an die Datenschutz-Grundverordnung sowie Umsetzung der ePrivacy-Richtlinie. Das TTDSG sieht unter anderem Regelungen zum Datenschutz und zum Schutz der Privatsphäre in der Telekommunikation, zum digitalen Erbe, hinsichtlich Cookies sowie zu Diensten zur Einwilligungsverwaltung vor. Im Rahmen unserer Beiträge in diesem Jahr betrachteten wir darüber hinaus die (potenziellen) Auswirkungen des TTDSG auf Videokonferenzdienste sowie hinsichtlich der Privatnutzung betrieblicher Informations- und Kommunikationstechnik.
Zur Monatsmitte und dementsprechend nur noch wenige Tage von Weihnachten entfernt, sorgt(e) die Cyber-Sicherheitswarnung der Warnstufe Rot des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für Aufsehen und eine Menge Arbeit. Eine kritische sowie zwei weitere Schwachstellen in der Java-Protokollierungsbibliothek „Log4j“ führen auch gegenwärtig nach der Einschätzung des BSI zu einer extrem kritischen Bedrohungslage. Aufgrund der Vielzahl vonProdukten, die „Log4j“ verwenden, besteht eine unüberschaubare Vielfalt von verwundbaren Anwendungen. Hierunter können grundsätzlich zum Beispiel Client-Anwendungen, Internetseiten und automatisierte Schnittstellen fallen. Das BSI hat in diesem Zusammenhang das „Arbeitspapier Detektion und Reaktion“ zum Umgang mit der kritischen Schwachstelle veröffentlicht. Weiterhin trägt das BSI sämtliche relevanten Informationen auf einer eigens eingerichteten Unterseite zusammen und aktualisiert fortlaufend die darauf enthaltenen Einträge. Darüber hinaus lassen sich dort ebenfalls weiterführende Informationen für Verbraucherinnen und Verbraucher finden.
Zum Ende des letzten Teils unseres Jahresrückblickes werden wir nun noch etwas regionaler: Zum 31. Dezember 2021 endet die knapp 18-jährige Amtszeit des derzeitigen Sächsischen Datenschutzbeauftragten Andreas Schurig. Am 21. Dezember 2021 wählte der Sächsische Landtag Dr. Juliane Hundert zur neuen Sächsischen Datenschutzbeauftragten. Dr. Juliane Hundert ist Juristin und arbeitete bereits seit über zehn Jahren als Parlamentarische Beraterin bei der Fraktion Bündnis 90/Die Grünen des Sächsischen Landtags. Die Dauer der Amtszeit ihres Vorgängers wird sie voraussichtlich jedoch nicht erreichen können: Das Sächsische Datenschutzdurchführungsgesetz (SächsDSDG) sieht seit Mai 2018 in § 16 Abs. 3 SächsDSDG lediglich eine Amtszeit von sechs Jahren sowie eine einmalige Wiederwahl vor.
Damit beenden wir nun unseren Datenschutz-Jahresrückblick für das Jahr 2021. Insgesamt lässt sich zusammenfassen, dass die vergangenen zwölf Monate auch datenschutzrechtlich einige Herausforderungen boten. Wir bedanken uns recht herzlich bei Ihnen, dass Sie uns als Leser unseres Datenschutz-Blogs auch in diesem Jahr begleitet haben und sind mit Ihnen gemeinsam gespannt, welche Aufgaben auf uns im neuen Jahr warten. In diesem Sinne wünschen wir Ihnen einen guten und vor allem gesunden Start in das Jahr 2022!
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.