In unserem Jahresrückblick umreißen wir das vergangene Jahr mt Blick auf wesentliche Ereignisse aus den Bereichen des Datenschutzes und der Informationssicherheit. Nachdem die Corona-Pandemie in den vergangenen Jahren die datenschutzrechtliche Beratung stark geprägt hatte, konnten Datenschützer nun etwas aufatmen: Arbeitgeber waren nun nicht mehr verpflichtet, den Test- und Impfstatus abzufragen, was einen großen Teil der datenschutzrechtlichen Sorgen von Unternehmen ausmachte. Das Licht am Ende des Tunnels erlosch mit dem russischen Angriffskrieg auf die Ukraine jedoch schnell wieder. Sprübar nahmen ab diesem Zeitpunkt die Cyber-Angriffe mit schwerwiegenden Folgen für den Datenschutz und die Informationssicherheit zu.
Januar 2022
Datenschützerinnen und Datenschützer durften sich Anfang des Jahres 2022 zunächst mit der im Dezember 2021 seitens der Datenschutzkonferenz veröffentlichten Orientierungshilfe für Anbieter:innen von Telemedien beschäftigen. Thematisch beschäftigte sich die Orientierungshilfe mit der Datenverarbeitung durch Technologien wie Cookies, vor allem hinsichtlich des damals noch neuen § 25 Abs. 1 TTDSG. Von besonders großer Bedeutung für die Praxis ist die darin enthaltene Regelung des Einwilligungserfordernisses für nicht erforderliche Cookies, unabhängig von der Frage, ob hierüber personenbezogene Daten verarbeitet werden oder nicht.
Zum Jahresauftakt wurden deutsche Zivilrechtler mit der größten Gesetzesänderung seit der Schuldrechtsmodernisierung im Jahr 2001 beglückt. Genauer gesagt, ging es um die Reformierung des Schuldrechts. Im Wesentlichen wurden die sog. Digitale-Inhalte-Richtlinie (EU) 2019/770) und die Warenkaufrichtlinie (EU) 2019/771) in nationales Recht umgesetzt. Fleißige Datenschützer machten sich daraufhin Gedanken über mögliche Auswirkungen der neuen Regelungen auf den Datenschutz, die wir in unseren Beiträgen vom 17. Januar 2022 und 18. Juli 2022 näher erläutert haben.
Am 20. Januar hat das LG München (Az. 3 O 17493/20) entschieden, dass die dynamische Einbindung von Google Fonts nicht auf das berechtigte Interesse der verantwortlichen Stelle gestützt werden kann. Seitdem geht eine regelrechte Mahnwelle insbesondere ausgehend von zwei Rechtsanwälten umher, in denen sie Unternehmen, die weiterhin Google-Fonts auf ihren Webseiten dynamisch, einbinden zur Zahlung von etwa 170 € bis 200 € auffordern um den Fall „beizulegen“. In unseren Beiträgen vom 07. Februar 2022 und dem 24. Oktober 2022 gehen wir detailliert in den Sachverhalt ein und geben Ihnen Vorschläge, wie Sie mit einer solchen Abmahnung umgehen können.
Februar 2022
Im Februar hat der Bayrische Landesbeauftragte für den Datenschutz ein Arbeitspapier für die Nutzung von Telefax-Diensten veröffentlicht. Der Landesbeauftragte geht hier vor allem auf die typischen Risiken der Kommunikation per Fax ein und gibt praxistaugliche Hinweise, um die Risiken zu minimieren und das Fax möglichst datenschutzkonform im Unternehmen zu nutzen.
Am 04. Februar 2022 veröffentlichte der Landesbeauftragte für Datenschutz und Informationssicherheit Mecklenburg-Vorpommern die Pressemitteilung zu Nutzung der Corona-Warn-App, welche datenschutzrechtlich von vielen Seiten kritisiert wurde. In der Pressemitteilung sprach sich der Landesbeauftragte ausdrücklich positiv zur Nutzung der Warn-App aus und begrüßte den Einsatz zur Kontaktnachverfolgung, da die Speicherung der Standortdaten nur auf den individuellen Smartphones erfolgt und nicht in Unternehmen, was für Betriebe eine große Entlastung sowohl rechtlich als auch technisch darstellt.
März 2022
Die „Taskforce Facebook-Fanpages” der Konferenz der unabhängigen Datenschutzbehörden hat ein Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook-Fanpages veröffentlicht. Im Wesentlichen widmet sich das Kurzgutachten der Speicherung und dem Zugriff auf Cookies in den Endgeräten der Nutzer. Das Kurzgutachten kommt zu dem Ergebnis, dass Facebook-Fanpages sich nicht datenschutzkonform betreiben lassen.
Für Aufsehen das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit einer Warnung nach § 7 des BSI-Gesetz hinsichtlich der Virenschutzsoftware des Herstellers Kaspersky. Das BSI führte hierzu aus: „Durch Manipulationen an der Software oder den Zugriff auf bei Kaspersky gespeicherte Daten können Aufklärungs- oder Sabotageaktionen gegen Deutschland, einzelne Personen oder bestimmte Unternehmen oder Organisationen durchgeführt oder zumindest unterstützt werden.“ Und: „Virenschutzsoftware des Unternehmens Kaspersky sollte durch alternative Produkte ersetzt werden.„
April 2022
Am 04. April 2022 veröffentlichte der BfDI die Ergebnisse des Konsultationsverfahrens zum „Einsatz künstlicher Intelligenz im Bereich Strafverfolgung und Gefahrenabwehr. Ergebnis der Auswertung ist u. a., dass dringender Handlungsbedarf seitens des Gesetzgebers herrscht. Es besteht „die Notwendigkeit einer umfassenden Bestandsaufnahme“. Das Ergebnis darf jedoch den Datenschutz an keiner Stelle untergraben. Der Einsatz von KI in Ermittlungsmaßnahmen könnte zu einer verfassungswidrigen, vollständigen „Durchleuchtung“ von Personen führen, was unbedingt verhindert werden muss.
Nach Veröffentlichung des Gutachtens der Datenschutzkonferenz zur datenschutzrechtlichen Konformität des Betriebs von Facebook-Fanpages, werden nun die Datenschutzaufsichtsbehörden die Zulässigkeit solcher Fanpages von Behörden überprüfen. Mitglieder der Datenschutzkonferenz werden somit u. a. überprüfen, ob Landes- bzw. Bundesbehörden Facebook-Fanpages betreiben und darauf hinwirken, dass diese Fanpages abgeschaltet werden, wenn deren Datenschutzkonformität nicht nachgewiesen werden kann.
Mai 2022
Am 24. Mai 2022, kurz vor dem vierten Geburtstag der DS-GVO, stellte die sächsische Datenschutzbeauftragte Dr. Juliane Hundert den Tätigkeitsbericht des Jahres 2021 vor. Der Tätigkeitsbericht zeigt – wie zu erwarten war – auf, dass viele Eingaben gegenüber der Aufsichtsbehörde mit der Corona-Pandemie und den hieraus resultierenden Maßnahmen verbunden waren. Es ist nicht verwunderlich, dass viele Unternehmen über lange Zeit große Corona-Datenbestände „vorrätig hatten“. Diese müssen nun von den Unternehmen jeweils geprüft und in der Regel gelöscht werden. Für die Speicherung personenbezogene Daten zur Kontaktverfolgung besteht nun keine Rechtsgrundlage mehr. Weiterhin zeigt der Tätigkeitsbericht, dass sich das Beschwerdeaufkommen zum Vorjahr nicht gemindert hat. Der Eingang von Datenschutzverletzungen stieg sogar um ganze 45 Prozent im Vergleich zum Vorjahr an.
Der erste Eindruck suggeriert, dass die Anzahl datenschutzbetreffender Probleme steigt und man könnte fast meinen, dass die noch recht junge DS-GVO mehr Probleme hervorgerufen als gelöst hat. Bei genauerer Betrachtung fällt jedoch auf, dass durch die DS-GVO die Sensibilisierung in Unternehmen stark gestiegen ist. Durch die steigende Sensibilisierung erhöht sich auch das Verständnis über die Wichtigkeit des Datenschutzes, wodurch die Akzeptanz datenschutzwidriger Verarbeitungen, Prozesse und ganzer Geschäftsmodelle sinkt. Hieraus ergibt sich dann eine deutlich niedrigere Hemmschwelle für das Melden von Datenschutzverletzungen, Einreichen von Beschwerden und das Konsultieren der Behörden.
Juni 2022
Am 17. Juni 2022 bestätigte der Hessische Beauftragte für Datenschutz und und Informationssicherheit (HBDI), dass Zoom an Hessischen Hochschulen für Lehrveranstaltungen genutzt werden kann. Die Nutzung ist jedoch an die nicht ganz einfach umsetzbare Voraussetzung geknüpft, dass Hochschulen den Zugriff auf die Inhalts- und Metadaten aus den Videokonferenzen ausschließen können. Hierfür wurde das „Hessische Modell“ entwickelt, nach dem Hochschulen sicherstellen, dass:
- einen von Zoom unabhängigen Auftragsverarbeiter mit Sitz in der EU beauftragen, das Videokonferenzsystem auf Servern in der EU zu betreiben und mit ihnen abzurechnen,
- eine Ende-zu-Ende-Verschlüsselung aller Inhaltsdaten zur Verfügung zu stellen,
- den Abfluss personenbezogener Daten von Studierenden in die USA und den Zugriff auf solche Daten aus den USA heraus verhindern,
- die Nutzung von Zoom auf Lehrveranstaltungen beschränken,
- ein alternatives datenschutzkonformes Videokonferenzsystem für andere Zwecke oder für Lehrpersonen, die nicht mit Zoom arbeiten wollen, anbieten,
- die Lehrenden und Studierenden über weiterführende, unterstützende Maßnahmen zum Schutz der informationellen Selbstbestimmung ausführlich informieren.
Weiter geht es in der kommenden Woche in unserem zweiten Teil des Jahresrückblicks mit den Monaten Juli bis Dezember 2022.
Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.