Datenschutz-Ticker
August & September 2022 |
|
|
|
|
|
|
+++ EUGH KIPPT DEUTSCHE VORRATSDATENSPEICHERUNG +++ ARBEITGEBER MÜSSEN ARBEITSZEITEN ERFASSEN +++ EUR 405 MIO. BUßGELD GEGEN INSTAGRAM +++ ULTIMATUM ZUR NUTZUNG VON WEBEX +++
|
|
1. Gesetzesänderungen
+++ BUNDESRAT ÜBT KRITIK AN GEPLANTER CHATKONTROLLE +++
Der Bundesrat hat deutliche Bedenken gegen die von der EU-Kommission geplante sog. "Chatkontrolle" geäußert. Der im Mai veröffentlichte Verordnungsentwurf sieht u. a. vor, dass Betreiber von Plattformen und verschlüsselten Messenger Diensten (z. B. WhatsApp, Signal, iMessage) private Kommunikationsinhalte scannen und nach auffälligen Mustern durchsuchen müssen (siehe AB Datenschutz-Ticker Juni 2022). Der Bundesrat erhob nun schwerwiegende grundrechtliche Bedenken und wies etwa darauf hin, dass im Verordnungsentwurf keine Vorschrift zum Schutz von besonders vertraulicher Kommunikation (z. B. Kommunikation mit Berufsgeheimnisträgern oder aus dem höchstpersönlichen Lebensbereich) vorgesehen sei. Kritik am Verordnungsvorhaben äußerten auch der Europäische Datenschutzausschuss sowie der Europäische Datenschutzbeauftragte in einer gemeinsamen Stellungnahme.
Zum Beschluss des Bundesrats (v. 16. September 2022)
Zur Stellungahme des EDSA und EDSB (v. 28. Juli 2022) |
|
|
2. Rechtsprechung
+++ EUGH: DEUTSCHE VORRATSDATENSPEICHERUNG IST RECHTSWIDRIG +++
Der Europäische Gerichtshof hat die deutschen Regelungen zur anlasslosen Vorratsdatenspeicherung für europarechtswidrig befunden. Das Unionsrecht stehe einer allgemeinen und unterschiedslosen Vorratsspeicherung von Verkehrs- und Standortdaten grundsätzlich entgegen. Damit bestätigt der EuGH seine bisherige Rechtsprechung zu den entsprechenden Regelungen anderer EU-Staaten. Der EuGH räumt den Mitgliedsstaaten allerdings unter engen Voraussetzungen dennoch einen gewissen Spielraum für die Vorratsdatenspeicherung ein, etwa wenn eine ernste Bedrohung für die nationale Sicherheit besteht.
Zum Urteil des EuGH (v. 20. September 2022, C-793/19 und C-794/19)
|
|
|
+++ BAG: UNTERNEHMEN MÜSSEN ARBEITSZEITEN VON MITARBEITERN ERFASSEN +++
Das Bundesarbeitsgericht hat entschieden, dass Arbeitgeber ein System zur Erfassung von Arbeitszeiten ihrer Mitarbeiter einführen bzw. betreiben müssen. Ein Initiativrecht des Betriebsrats auf Einführung eines solchen Systems bestehe derweil nicht, da sich diese Pflicht bereits aus § 3 Abs. 2 Nr. 1 Arbeitsschutzgesetz ergebe. Damit gilt die Pflicht zur Erfassung der Arbeitszeiten von Mitarbeitern grundsätzlich für sämtliche Unternehmen und Betriebe unabhängig von ihrer Größe oder dem Vorhandensein eines Betriebsrats (siehe AB Blogbeitrag vom 14. September 2022).
Zur Pressemitteilung des BAG (v. 13. September 2022) |
|
|
+++ BAG: EUR 1.000 DSGVO-SCHADENSERSATZ NACH UNVOLLSTÄNDIGER AUSKUNFT DES ARBEITGEBERS NICHT ZU NIEDRIG BEMESSEN +++
In einem Verfahren, in dem sich Arbeitgeber und Arbeitnehmerin um die Höhe des Schadensersatzes (Art. 82 DSGVO) in Folge einer unvollständig erteilten DSGVO-Auskunft durch den Arbeitgeber stritten, hat das Bundesarbeitsgericht entschieden, dass eine Schadensbemessung in Höhe von EUR 1.000 zumindest nicht zu niedrig ist. Nach Ansicht der klagenden Arbeitnehmerin belaufe sich die Höhe des Schadensersatzanspruchs für die fehlerhafte Auskunft auf mindestens EUR 6.000. Nachdem ihr in der Vorinstanz lediglich EUR 1.000 zugesprochen wurden, legte sie Revision beim BAG ein. Dieses entschied nun, dass die Bemessung des Schadensersatzes rechtsfehlerfrei erfolgt sei. Für vergleichbare Fälle bedeutet dies, dass der DSGVO-Schadensersatzanspruch in Folge einer fehlerhaften Auskunft zumindest nicht zwingend höher ausfallen muss.
Zum Urteil des BAG (v. 5. Mai 2022, 2 AZR 363/21)
|
|
|
+++ OLG KARLSRUHE: KEIN AUSSCHLUSS VON HOSTING-ANBIETER MIT US-MUTTER AUS VERGABEVERFAHREN +++
Das Oberlandesgericht Karlsruhe hat entschieden, dass ein Software-Dienstleister nicht allein deswegen aus einem Vergabeverfahren zweier kommunaler Krankenhäuser auszuschließen ist, weil dieser einen luxemburgischen Hosting-Anbieter einbindet, der Teil eines US-Konzerns ist. Obwohl der Software-Dienstleister zusicherte, die verarbeiteten Daten ausschließlich an die luxemburgische Gesellschaft zu übermitteln und in Deutschland zu verarbeiten, war dieser in der Vorinstanz von der Vergabekammer Baden-Württemberg mit der Begründung ausgeschlossen worden, der Einsatz des Hosting-Anbieters führe zu einer unzulässigen Datenübermittlung in die USA. Hierfür reiche bereits das latente Risiko eines Zugriffs staatlicher oder privater US-Stellen aus. Dem widersprach das OLG Karlsruhe. Allein aufgrund der Bindung zu einem US-Konzern müsse nicht davon ausgegangen werden, dass rechts- und vertragswidrigen Weisungen der US-Muttergesellschaft hinsichtlich der Datenübermittlungen in die USA Folge geleistet werde.
Zum Beschluss des OLG Karlsruhe (v. 7 September 2022, Az. 15 Verg 8/22)
|
|
|
3. Behördliche Maßnahmen
+++ IRISCHE DATENSCHUTZBEHÖRDE: EUR 405 MIO. BUßGELD GEGEN INSTAGRAM +++
Die irische Datenschutzbehörde Data Protection Commission (DPC) hat Medienberichten zufolge ein Bußgeld in Höhe von EUR 405 Mio. gegen Instagram verhängt. Die Plattform, die zum Meta-Konzern gehört, habe die Daten Minderjähriger nicht hinreichend geschützt. So sei 13 - 17-jährigen Nutzern die Eröffnung eines Geschäftskontos erlaubt gewesen, bei dem auf Telefonnummern und E-Mail-Adressen zugegriffen werden kann. Zudem seien die Konten von Minderjährigen nicht standardmäßig auf "privat" gestellt worden. Dies dürfte einen Verstoß gegen den "Privacy by Default" Grundsatz der DSGVO dargestellt haben. Details zur Entscheidung der Datenschutzbehörde werden in Kürze erwartet.
Zum Artikel auf Spiegel.de (v. 5. September 2022)
|
|
|
+++ BERLINER DATENSCHUTZBEHÖRDE STELLT ULTIMATUM ZUR NUTZUNG VON CISCO WEBEX +++
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat die Freie Universität Berlin (FU) mit Frist zum 30. September aufgefordert, die Nutzung von Cisco Webex einzustellen oder dessen Rechtmäßigkeit "vollständig" nachzuweisen. Die Nutzung des Videokonferenzsystems ist nach Ansicht der BlnBDI u. a. wegen der vermeintlichen Datenübermittlung in die USA rechtwidrig. In einer Stellungnahme kündigte die FU an, an der Nutzung des Konferenzsystems festhalten zu wollen, und verwies auf eine Reihe von Maßnahmen, mit denen die Einhaltung der DSGVO "bestmöglich" gewährleistet werden soll. So werden u. a. ausschließlich europäische Server genutzt. Das Verfahren erfährt besondere Aufmerksamkeit, da Cisco Webex auch vom Berliner Senat und Abgeordnetenhaus eingesetzt wird.
Zum Artikel auf golem.de (v. 5. September 2022)
Zum Artikel auf tagesspiegel.de (v. 9. September 2022) |
|
|
+++ MILLIONEN-BUßGELD GEGEN VOLKSWAGEN WEGEN FEHLENDER DATENSCHUTZERKLÄRUNG AUF TESTFAHRZEUGEN +++
Die Landesbeauftragte für den Datenschutz Niedersachsen (LfD) hat ein Bußgeld in Höhe von EUR 1,1 Mio. gegen die Volkswagen AG verhängt. Der Konzern hatte Forschungsfahrten für ein Fahrassistenzsystem zur Vermeidung von Verkehrsunfällen durchführen lassen. Die mit Kameras ausgestatteten Erprobungsfahrzeuge waren hierbei nicht mit einem Kamerasymbol und den weiteren vorgeschriebenen Informationen für die datenschutzrechtlich Betroffenen (hier die anderen Verkehrsteilnehmer) versehen worden. Damit habe der Konzern gegen die Informationspflichten aus Art. 13 DSGVO verstoßen. Weiterhin hatte Volkswagen es versäumt, mit dem eingesetzten Dienstleister einen Vertrag über Auftragsverarbeitung zu schließen (Art. 28 DSGVO), die technischen und organisatorischen Maßnahmen im Verarbeitungsverzeichnis zu dokumentieren (Art. 30 DSGVO) und eine Datenschutz-Folgenabschätzung durchzuführen (Art. 35 DSGVO). Laut LfD wiesen alle vier geahndeten Verstöße einen "niedrigen Schweregrad" auf, zudem hatte Volkswagen umfassend kooperiert.
Zur Pressemitteilung der LfD (v. 26. Juli 2022)
|
|
|
+++ FRANZÖSISCHE DATENSCHUTZBEHÖRDE: BUßGELD GEGEN CARSHARING UNTERNEHMEN WEGEN ERFASSUNG VON STANDORTDATEN +++
Die französische Datenschutzbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) hat ein Bußgeld in Höhe von EUR 175.000 gegen ein Carsharing Unternehmen verhängt, das regelmäßig (alle 500 Meter) Standortdaten der Fahrzeuge in Bewegung erhoben hatte. Weitere Daten erfassten das Ein- bzw. Ausschalten des Motors und das Schließen der Türen. Die CNIL vertrat die Ansicht, dass so detaillierte Daten zur Erfüllung der verfolgten Zwecke – Lokalisierung gestohlener Fahrzeuge bzw. Hilfeleistungen bei Unfällen – nicht erforderlich seien. Zudem wurden die Daten für die Dauer von drei Jahren nach Rückgabe des Fahrzeugs, teilweise sogar bis zu acht Jahre, gespeichert, was als Verstoß gegen den DSGVO-Grundsatz der Speicherbegrenzung bewertet wurde. Schließlich seien Kunden bei der Registrierung in der App nicht hinreichend über die Datenverarbeitung informiert worden.
Zur Pressemitteilung der CNIL (v. 21. Juli 2022, Englisch)
Zum Bußgeldbescheid der CNIL (v. 7. Juli 2022, Französisch) |
|
|
+++ NOYB REICHT 226 BESCHWERDEN BEI 18 DATENSCHUTZBEHÖRDEN GEGEN COOKIE BANNER VON "ONE TRUST" EIN +++
Die österreichischen Datenschutzaktivisten von None of Your Business (noyb) haben weitere 226 Beschwerden bei insgesamt 18 Datenschutzbehörden gegen Websites mit vermeintlich irreführenden Cookie-Bannern des Anbieters One Trust eingelegt. Nach Ansicht der Aktivisten bieten die betroffenen Cookie-Banner keine "faire Ja/Nein Entscheidung", sondern versuchen die Nutzer mithilfe von sog. "dark patterns" zur Zustimmung in die Verwendung von Cookies zu verleiten (z. B. indem der "Ablehnen"-Button erst nach mehreren Klicks betätigt werden kann). Nach Angaben von noyb wurden die betroffenen Website-Betreiber vorab aufgefordert, ihre Cookie-Banner rechtskonform anzupassen. Nur wenn die Unternehmen der Aufforderung nicht vollständig nachgekommen seien, habe noyb Beschwerde bei der zuständigen Behörde eingereicht.
Zur Pressemitteilung von noyb (v. 9 August 2022)
|
|
|
4. Stellungnahmen
+++ DATENSCHUTZBEHÖRDE NORDRHEIN-WESTFALEN VERÖFFENTLICHT HANDREICHUNG ZU ONLINE-PRÜFUNGEN AN HOCHSCHULEN +++
Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen hat eine Handreichung zur DSGVO-konformen Durchführung von Online-Prüfungen und videobasierter Prüfungsaufsicht an Hochschulen veröffentlicht. Darin werden Hinweise zu geeigneten Rechtsgrundlagen und der Zulässigkeit einzelner Aufsichtsmaßnahmen gegeben. So kann der Abgleich von Personalausweis und Gesicht des Prüflings zu Authentifizierungszwecken zulässig sein, nicht jedoch die Aufzeichnung des Personalausweises oder der Einsatz von Gesichtserkennungssoftware. Auch die dauerhafte Speicherung von Bild- und Tondateien der aufgezeichneten Prüfung sei nur in Einzelfällen zulässig. Die Handreichung dürfte auch für Hochschulen außerhalb von Nordrhein-Westfalen hilfreich sein.
Zur Handreichung (v. 28. Juli 2022)
|
|
|
+++ DATENSCHUTZBEHÖRDE SCHLESWIG-HOLSTEIN: VERSAND VON E-REZEPT PER E-MAIL ODER SMS RECHTSWIDRIG +++
Nach Einschätzung des Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) ist der Versand des geplanten elektronischen Rezepts ("E-Rezepts") an Patienten oder Apotheken per E-Mail und SMS nicht DSGVO-konform, da hierbei keine hinreichenden technischen und organisatorischen Maßnahmen (TOMs) bestünden (Art. 32 DSGVO). Der im Rahmen des E-Rezepts übermittelte Code gewähre u. a. Einsicht in den Namen der versicherten Person, deren Geburtsdatum, Kontaktdaten des Arztes, Ausstellungsdatum der Verordnung sowie die verschreibungspflichtigen Arzneimittel und damit in sensible Gesundheitsdaten. Arztpraxen dürften bei der Übermittlung daher nicht auf "unsichere Verfahren" zurückgreifen, sondern müssten eine angemessene Verschlüsselung gewährleisten. Dies gelte selbst dann, wenn der betroffene Patient in diese Übermittlung eingewilligt hat, da die TOMs nicht zur Disposition der Beteiligten stehen. Möglich bleibe aber etwa die Übermittlung per E-Rezept-App oder der Versand per E-Mail unter der Voraussetzung, dass der Code zusätzlich hinreichend verschlüsselt werde. Als Reaktion auf die Einschätzung des ULD teilte die Kassenärztliche Vereinigung Schleswig-Holstein (KVSH) mit, sich aus der Rollout-Phase des E-Rezepts zurückzuziehen.
Zur Pressemitteilung des ULD (v. 6. September 2022)
Zur Pressemitteilung der KVSH (v. 23. August 2022)
|
|
|
+++ THÜRINGER DATENSCHUTZBEAUFTRAGTE WARNT VOR ABMAHNWELLE WEGEN EINBINDUNG VON GOOGLE FONTS +++
Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) informiert in einer Pressemitteilung über eine drohende Abmahnwelle gegen "tausende" Betreiber von Websites, auf denen Google Fonts eingebunden ist. Auslöser sei ein Urteil des LG München aus Januar 2022, wonach die Einbindung von Google Fonts auf Websites ohne Einwilligung rechtswidrig sei, wenn hierbei die IP-Adressen der Nutzer in die USA übermittelt werden (siehe AB Datenschutz-Ticker Februar 2022). Der TLfDI empfiehlt Betreibern von Websites zu prüfen, ob Google Fonts eingesetzt werde und wenn ja, die eingesetzten Schriftarten nur lokal zu speichern und von dort in den eigenen Internetauftritt einzubinden (sog. "on premise" Lösung).
Zur Pressemitteilung des TLfDI (v. 18. August 2022)
|
|
|
Beiten Burkhardt Rechtsanwaltsgesellschaft mbH ist Mitglied von ADVANT, einer Vereinigung unabhängiger Anwaltskanzleien. Jede Mitgliedskanzlei ist eine separate und eigenständige Rechtspersönlichkeit, die nur für ihr eigenes Handeln und Unterlassen haftet. Dieser Datenschutz-Ticker wurde in Zusammenarbeit mit den ADVANT Partnerkanzleien Nctm und Altana erstellt. |
|
|
REDAKTION (verantwortlich) Dr. Andreas Lober | Rechtsanwalt ©Beiten Burkhardt Rechtsanwaltsgesellschaft mbH
|
|
|
|