In unserem ersten Teil des Jahresrückblicks haben wir bereits die Monate Januar bis Juni betrachtet. Im Rahmen des heutigen Blog-Beitrags widmen wir uns den Monaten Juli bis Dezember und greifen neben nennenswerten Bußgeldern ebenfalls interessante Entwicklungen im Bereich internationaler Datenübermittlungen auf.
Juli 2022
Sommerloch weit gefehlt. Auch in den Sommermonaten konnten datenschutzrechtliche Themen Schlagzeilen machen. Allen voran das gegenüber der Volkswagen AG verhangene Bußgeld in Höhe von 1,1 Millionen Euro. Hintergrund waren Forschungsfahrten des Unternehmens mittels eines mit Kameras ausgestatteten Fahrzeugs im Jahr 2019. Moniert wurden seitens der zuständigen Aufsichtsbehörde insbesondere die fehlenden Hinweisschilder und weiterführenden Datenschutzinformationen, welche die Verkehrsteilnehmer über den Einsatz von Videokameras und die weitere Datenverarbeitung informierten. Weiterhin fehlte es an einem erforderlichen Vertrag zur Auftragsverarbeitung mit einem Dienstleister sowie an dem Nachweis der Durchführung einer Datenschutz-Folgenabschätzung. An der Datenverarbeitung als solches war laut der Pressemitteilung der Landesbeauftragten für den Datenschutz Niedersachsen ausdrücklich nichts auszusetzen.
Weiterhin führten einige Datenschutz-Aufsichtsbehörden eine Überprüfung von Auftragsverarbeitungsverträgen bei Webhostern durch. Ziel sei es laut Pressemitteilung der Sächsischen Datenschutzbeauftragten Webhoster und Verantwortliche bei einem Abschluss von rechtskonformen Verträgen zur Auftragsverarbeitung zu unterstützen. Hintergrund der Überprüfung seien regelmäßige Anfragen von Verantwortlichen, die sich mit nicht-konformen Auftragsverarbeitungsverträgen gängiger Webhoster konfrontiert sahen. An der gemeinschaftlichen Überprüfung beteiligten sich weiterhin die Aufsichtsbehörden aus Berlin, Niedersachsen, Rheinland-Pfalz, Sachsen-Anhalt und Bayern. Auf welche Inhalte Sie bei einer Überprüfung von Verträgen zur Auftragsverarbeitung besonderen Wert legen sollten, haben wir in einem Blog-Beitrag zusammengefasst.
August 2022
Mit der Rückkehr aus den Sommerferien gingen bei zahlreichen Unternehmen und Behörden die ersten Abmahnungen hinsichtlich der dynamischen Einbindung von Google Fonts ein. Zum damaligen Zeitpunkt ahnte noch keiner, in welchem Ausmaß die Abmahnwelle in den kommenden Wochen und Monaten Datenschutzbeauftragte und Verantwortliche auf Trab halten würde. Auch wenn die Rechtmäßigkeit dieser Abmahnungen angezweifelt werden darf, zeigt sich wieder einmal, wie wichtig es ist, die eigenen Datenverarbeitungen, Prozesse und Anwendungen zu kennen. Dies gilt aufgrund der Reichweite und Öffentlichkeitswirksamkeit insbesondere für Internetpräsenzen. So widmeten wir uns in dem Beitrag „Quick-Check: Datenschutz auf Internetseiten“ den speziellen rechtlichen Anforderungen sowie einfach zu bedienenden Überprüfungsmöglichkeiten.
September 2022
Auch der September hielt für Datenschutzbeauftragte und Verantwortliche ein interessantes Bußgeld parat: Die Berliner Beauftragte für Datenschutz und Informationsfreiheit verhing laut Pressemitteilung gegen ein Unternehmen wegen eines Interessenkonflikts des Datenschutzbeauftragten ein Bußgeld in Höhe von 525.000€. Im vorliegenden Fall handelte es sich bei der Person des Datenschutzbeauftragten zugleich um den Geschäftsführer zweier Unternehmen. Da diese Unternehmen zugleich als Auftragsverarbeiter für das Unternehmen tätig waren, für welches er als Datenschutzbeauftragter benannt wurde, sah die Aufsichtsbehörde einen Interessenkonflikt gegeben. Trotz erster Verwarnung durch die Aufsichtsbehörde im Jahr 2021 nahm das betroffene Unternehmen keine Änderungen vor, sodass es letztendlich zu einem Bußgeld in dieser Größenordnung kam.
Die Datenschutz-Grundverordnung sieht bei der Verarbeitung von personenbezogenen Daten von Kindern und Jugendlichen besondere Anforderungen vor. Aus diesem Grund ist insbesondere bei der Gestaltung von Medien-Angeboten, die sich explizit an Kinder und Jugendliche richten, wichtig, datenschutzrechtliche Belange vorab zu prüfen und im Entwicklungsprozess aktiv und angemessen zu berücksichtigen. Für die datenschutzgerechte Gestaltung von Internetseiten und Apps hat der gemeinsame Rundfunkdatenschutzbeauftragte von BR, SR, WDR, Deutschlandradio und ZDF einen entsprechenden Leitfaden veröffentlicht. Der Leitfaden umfasst Hinweise beispielsweise zu den besonderen Anforderungen an technisch-organisatorischen Maßnahmen, Datenschutzinformationen oder Betroffenenrechte. Für Verantwortliche, die ein solches Angebot unterhalten oder für die Zukunft beabsichtigen, ist ein Blick in den Leitfaden empfehlenswert.
Oktober 2022
„Gefährdungslage im Cyber-Raum hoch wie nie“ lautet das Fazit des Berichts „Die Lage der IT-Sicherheit in Deutschland 2022“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Der Bericht zeigt eindrücklich die Vielfalt der Angriffsvektoren und die technische Fortentwicklung auf der Seite der Angreifer. Abgebildet werden hierbei neben den (wieder einmal) gestiegenen Angriffszahlen jedoch ebenfalls die abzuleitenden zielgruppenspezifischen Erkenntnisse und Maßnahmen für die Gesellschaft, die Wirtschaft sowie den Staat und die Verwaltung, welche auch einen Einblick in die zu erwartenden technischen Entwicklungen geben. Einige Inhalte des Berichts finden Sie zusammengefasst auch in unserem entsprechenden Beitrag.
November 2022
Bereits zu Beginn des Monats befassten wir uns in einem Blog-Beitrag über die aktuellen datenschutzrechtlichen Entwicklungen bezüglich der Nutzung von Microsoft 365. Thematisiert wurden hierbei insbesondere die vertraglichen Anpassungen seitens Microsoft, aber auch die seitens der Verantwortlichen zu treffenden Maßnahmen, welche einen datenschutzfreundlichen Einsatz von Microsoft 365 ermöglichen. Nur wenige Wochen später lautete das Fazit der Datenschutzkonferenz (DSK), dass Microsoft 365 nicht datenschutzkonform eingesetzt werden könne. Das gelte, „solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird […].“ Die Reaktion von Microsoft und weiteren Personen haben wir für Sie in einem gesonderten Beitrag zusammengefasst. Die weiteren Entwicklungen bleiben abzuwarten.
Dezember 2022
Am 16. Dezember 2022 hat der Bundestag das lange erwartete Hinweisgeberschutzgesetz beschlossen. Mit dem Hinweisgeberschutzgesetz erfolgt die überfällige Umsetzung der europäischen Whistleblowing-Richtlinie. Ziel dieses Gesetzes ist die nachhaltige Verbesserung des bislang lückenhaften Schutzes von Hinweisgebern, um jegliche Benachteiligung auszuschließen. Weiterhin sollen Hinweisgeber durch das Gesetz Rechtssicherheit erlangen. Nach der Whistleblower-Richtlinie sind Unternehmen ab einer Größe von 50 Beschäftigten verpflichtet, ein Whistleblowing-System einzurichten. Bei der Einrichtung müssen jedoch verschiedene Aspekte berücksichtigt werden, unter anderem datenschutzrechtliche Belange, welche wir in einem gesonderten Blog-Beitrag dargestellt haben.
Zum 27. Dezember 2022 endete nach 18 Monaten die Übergangsfrist zur Umsetzung der neuen Standardvertragsklauseln. Bei Standardvertragsklauseln handelt es sich um eine besondere vertragliche (Muster-)Vereinbarung zwischen datenübermittelnder und datenempfangender Stelle, im Rahmen derer – ähnlich wie in Verträgen zur Auftragsverarbeitung – datenschutzrechtliche Rechten und Pflichten festgelegt werden. Am 04. Juni 2021 hatte die Europäische Kommission die überarbeiteten Standardvertragsklauseln unter Berücksichtigung des „Schrems II“-Urteils des Europäischen Gerichtshofs verabschiedet. Zur Aktualisierung der Vertragswerke wurde den verantwortlichen Stellen eine Übergangsfrist bis Dezember dieses Jahres eingeräumt. Welche Handlungserfordernisse sich für Sie ergeben, wenn in Ihrem Unternehmen oder Behörde bislang keine Aktualisierung erfolgte, können Sie unserem Blog-Beitrag „Handlungsbedarf: Standardvertragsklauseln“ entnehmen.
Damit beenden wir unseren kleinen Jahresrückblick für das Jahr 2022. Wir bedanken uns recht herzlich bei Ihnen, dass Sie uns als Leser:innen unseres Blogs auch in diesem Jahr begleitet haben und sind mit Ihnen gemeinsam gespannt, welche Aufgaben auf uns im neuen Jahr warten. In diesem Sinne wünschen wir Ihnen einen guten und vor allem gesunden Start in das Jahr 2023!
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.