Liebe Leser*innen,
herzlich willkommen zum ersten richtigen Rechtsüberblick des Jahres 2021. Im März zwar, aber untätig geblieben sind wir bis dahin nicht. Denn wenn auch die Entwurfsfassung unserer Blogreihe zum transatlantischen Datenverkehr einige Zeit in Anspruch genommen hat, so haben wir die anderen Datenschutzthemen der vergangenen Wochen nicht aus den Augen verloren.
Deshalb laden wir Sie ein, sich heute mit uns diese Themenbereiche anzuschauen und zu diskutieren:
- Betriebsrat als Verantwortlicher? Kommt eine gesetzliche Klarstellung?
- Wann darf ich eine fremde Person fotografieren? Aus dem Tätigkeitsbericht des HmbBfDI
- Datenschutzverstoß bei der HPI-Schulcloud – was man daraus mitnehmen kann
- Datenschutzaufsicht Rheinland-Pfalz: Nutzung von US-Videokonferenzsystemen in Schulen vertretbar
- US Bundesstaaten nehmen sich die DSGVO zum Vorbild
- Google will auf individuelles Tracking zukünftig verzichten – Das Ende einer Ära?
- Irische Datenschutzbehörde steht in der Kritik des Eu-Parlaments
- App „Clubhouse“ auf dem Prüfstand
Wir wünschen viel Freude beim Lesen und wollen Sie nicht länger auf die Folter spannen. Legen wir los!
Betriebsrat als Verantwortlicher? Kommt eine gesetzliche Klarstellung?
Auch eine andere strittige Frage der DSGVO, über die wir im Rechtsüberblick 06/19 bereits gesprochen haben, ist wieder aktuell geworden: Ist der Betriebsrat ein eigener Verantwortlicher im Sinne der DSGVO?
Vor Inkrafttreten der DSGVO war die herrschende Meinung der Juristerei der Ansicht: Nein, der Betriebsrat ist kein eigener Verantwortlicher, sondern aus datenschutzrechtlicher Sicht lediglich Teil des verantwortlichen Arbeitgebers. Die Begründung hierfür lautete, dass das alte BDSG nur juristische Personen als Verantwortliche definierte. Der Betriebsrat ist aber ist keine juristische Person und konnte deshalb nicht der BDSG-Definition unterfallen.
Nun hat die DSGVO inzwischen das BDSG in großen Teilen abgelöst und sagt in Art. 4 Nr. 7, dass auch „andere Stellen“ Verantwortliche sein können. Ob der Betriebsrat eine solche „andere Stelle“ im Sinne der DSGVO ist, da kann man unterschiedlicher Ansicht sein.
Aus hiesiger Perspektive etwa sprechen die besseren Argumente dafür, den Betriebsrat künftig als eigenständigen, vom Arbeitgeber unabhängigen Datenschutzverantwortlichen einzuordnen. Die (noch?) herrschende Literaturansicht lehnt das hingegen ab.
Eventuell kommt in dieser Frage jedoch eine gesetzliche Klarstellung einher. Denn das Bundesministerium für Arbeit und Soziales (BMAS) hat einen Gesetzesentwurf veröffentlicht, der diese Frage entscheidet. Folgender § 79a soll in das Betriebsverfassungsgesetz (BetrVG) eingefügt werden:
„Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.“ (Hervorhebung durch den Verfasser)
Würde dieser Vorschlag des BMAS umgesetzt, wird der Betriebsrat nicht (mehr) als eigenständiger Verantwortlicher eingeordnet werden können.
Ob und wann dieser Vorschlag allerdings umgesetzt wird, ist noch nicht absehbar. Denn der Gesetzesentwurf wurde zunächst von den unionsgeführten Ministerien blockiert, wie der DGB mitteilt.
Eine endgültige Klärung dieser Frage wird demnach weiter auf sich warten lassen.
Wann darf ich fremde Personen fotografieren? Aus dem Tätigkeitsbericht des HmbBfDI
Die Hamburger Datenschutzbehörde hat ihren Jahresbericht 2020 veröffentlicht. In den Tätigkeitsberichten legen die Datenschutzbehörden einmal im Jahr über ihre jeweiligen Datenschutzfälle des vergangenen Jahres Rechenschaft ab. Diese Tätigkeitsberichte beschäftigen sich primär mit den datenschutzrechtlichen Highlights des vergangenen Jahres. Die Behörden nutzen die Tätigkeitsberichte, um zu bestimmten Datenschutzfragen ihre Rechtsansichten darzulegen und zu vermitteln, was die DSGVO aus ihrer Sicht zu bestimmten Punkten sagt.
Ab Seite 120 bezieht die hamburgische Behörde wie folgt Stellung zu der Frage, ob das Herstellen privater Fotos unter den Anwendungsbereich der DSGVO fällt:
„Die Anfertigung von Fotos und Videos fremder Personen fällt in den Anwendungsbereich der DSGVO. Die Haushaltsaufnahme des Art. 2 Abs. 2 lit. c) DSGVO findet keine Anwendung, da es sich nicht um eine ausschließlich persönliche Tätigkeit handelt. Rechtswidrig erstellte Aufnahmen können mit einer Geldbuße sanktioniert werden.“
Diese Feststellung wird nun unter Jurist*innen kontrovers diskutiert. Denn bei strenger Lesart dieses Absatzes unterfielen extrem viele Fotos der DSGVO und wären – mangels Erlaubnis – rechtswidrig. Man denke nur zurück an Lichtbilder vom letzten Urlaub (die Älteren werden sich erinnern!), Fotografien von Sehenswürdigkeiten und Gruppenbilder im Restaurant – überall lichten wir nicht nur uns selbst ab, sondern zwangsläufig auch andere Touristen, Spaziergänger oder Gäste.
Dass nun all diese Fotos einen sanktionswürdigen DSGVO-Verstoß darstellen sollen, so streng sieht das nicht einmal die (sonst eher strenge) Datenschutzaufsicht Hamburgs. Wenn eine fremde Person als bloßes Beiwerk quasi „mit“-fotografiert wird, sei alles im grünen Bereich, so die Hamburger Behörde. Fotografiert man zum Beispiel den Hamburger Michel und klein am Rande ist eine fremde Person im Bild, wäre das kein DSGVO-Verstoß. Erst wenn es bei der Aufnahme erkennbar gerade um die abgelichtete fremde Personen geht, sei das Fotografieren nach der Behörde unzulässig.
Ob das tatsächlich stimmt, da wird zur Zeit lebhaft drüber diskutiert. Die DSGVO sagt in Art. 2 Abs. 2 das Folgende:
„Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogene Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.“
Wenn eine Verarbeitung – dazu gehört auch die Erstellung eines Fotos (vgl Art. 4 Nr 2 DSGVO) – ausschließlich persönlicher oder familiärer Tätigkeit dient, dann haben wir kein Datenschutzproblem, denn die DSGVO ist nicht anwendbar. Dies ist die sog. Haushaltsausnahme.
Die Hamburger Datenschutzbehörde sieht die Haushaltsaufnahme eher eng und will die DSGVO auf möglichst viele Konstellationen anwenden. Es gibt auch Fälle, wo eine so extensive Anwendung der DSGVO sehr verständlich erscheint. Die Beispiele, die die Behörde hierfür anführt, entstammen dem gezielten Anfertigen von Fotos fremder Personen zu sexuellen Zwecken.
Andererseits gibt es auch viele Fälle, in denen eine extensive Auslegung der DSGVO die Privatpersonen vor immense Probleme stellt. Man denke zum Beispiel an Beweisaufnahmen bei einem Autounfall. Wenn dort das Datenschutzrecht anwendbar wäre, wäre der Unfallbeteiligte verpflichtet, sich an alle auf ihn zutreffenden Regelungen der DSGVO zu halten. Zwar dürfte er dennoch das Foto anfertigen – schließlich hat er ein berechtigtes Interesse an der Aufklärung des Autounfalls und an der Sicherung seiner Ersatzansprüche. Allerdings müsste der Unfallbeteiligte dann den Schädiger über die Datenverarbeitung informieren, Betroffenenrechte wahren, eventuell ein Verarbeitungsverzeichnis führen und und und…
Wir sehen das Problem. Engen wir die Haushaltsausnahme stark ein, dann belasten wir einen Großteil der Privatpersonen mit der Einhaltung von – für eine Einzelperson recht aufwändigen – Datenschutzvorschriften. Das würde auch den DSGVO-Ansatz „one size fits it all“ endgültig ab absurdum führen. Denn dann müsste sich eine Privatperson an die gleichen datenschutzrechtlichen Regeln halten wie Internetgroßkonzerne.
Vor der DSGVO war übrigens das KUG auf die Fragen rund um das Anfertigen von Fotos von Personen gültig. Viele Jurist*innen argumentieren, dass auch weiterhin das KUG und nicht etwa die DSGVO diese Fragen regelt. Nach dem KUG jedenfalls war erst das Verbreiten von Fotos ohne Erlaubnisgrund untersagt, das Anfertigen von Fotos von Personen war hingegen (bis auf die Ausnahmen in § 201a StGB) erlaubt.
Auch hier gibt es also weiter Diskussionen, was uns das europäische Datenschutzrecht mit auf den Weg gibt. Vielleicht sieht der Autor gerade einen eigenen Blogbeitrag dazu am Horizont aufziehen, wer weiß… Jetzt erstmal weiter im Rechtsüberblick.
Datenschutzverstoß bei der HPI Schul-Cloud – was man daraus mitnehmen kann
Verlassen wir Hamburg und gehen wir nach Thüringen. Das Hasso-Plattner-Institut (HPI) bietet für den Digitalunterricht in verschiedenen Bundesländern Clouddienste an. Diese Clouddienste sind als Open Source Projekt entwickelt worden und werden in Brandenburg, Niedersachsen und Thüringen eingesetzt.
Wie Jan Mahn auf heise online berichtet, kam es dort kürzlich zu einem erheblichen Datenschutzverstoß. Aus einer Mischung von Unachtsamkeit, falscher Konfiguration und Folgefehlern entstanden schwere Sicherheitslücken in der technischen Infrastruktur des Clouddienstes.
Zum einem war es möglich, extern die Auslastung von Prozessoren und Arbeitsspeichern zu ermitteln und so gezielt DoS-Attacken durchzuführen. DoS-Attacken sind sog. Denial of Service Angriffe. Ein Server wird mit sehr vielen Anfragen bombardiert, bis er unter der Last zusammenbricht und nicht mehr alle Anfragen bedienen kann. Wir kennen das Phänomen auch bei Konzertkartenverkäufen, bei denen Webseiten beim Freischalten der Karten kollabieren.
Hier zeigt sich mal wieder, dass Datenschutz nicht nur eine teure Belastung ist. Datenschutz bedeutet auch Server- und Servicesicherheit und minimiert das Ausfallrisiko bei Unternehmensprozessen.
Die Server waren nämlich versehentlich so eingerichtet, dass über einen öffentlich zugänglichen Demo-Account ohne weitere Sicherheitsvorkehrungen auf Namenslisten, teils Kontaktdaten und Noten sowie Dateien der Lehrer*innen und Schüler*innen zugegriffen werden konnte. Heise gelang es, bewertete Tests, Übungsblätter und auch Videos von Gedichtvorträgen oder ganze mitgeschnittene Unterrichtsstunden einzusehen.
Ein offenkundiger Datenschutzverstoß durch unbefugte Offenlegung an Dritte durch technisch unzureichende Schutzmaßnahmen (Art. 4 Nr. 12 DSGVO, Art. 32 DSGVO). Wie heise online weiter berichtet, wurde auf die Meldung dieser Sicherheitslücken seitens HPI vorbildlich reagiert.
Innerhalb einer Stunde erhielt die Redaktion eine Antwort vom Unternehmen, innerhalb eines Tages eine ausführliche und fundierte Stellungnahme. Die Mängel wurden umgehend abgeschaltet und die zuständige thüringische Datenschutzaufsicht informiert.
Falls es zu Datenschutzverstößen kommt – und früher oder später wird sich ein Verstoß kaum vermeiden lassen – spielen Sie als Unternehmen gegen die Zeit. Welche Reaktion auf die Meldung eines Verstoßes erfolgt und wie schnell die weiteren Schritte eingeleitet werden, kann im weiteren Verfahren eine erhebliche Rolle spielen.
Zunächst besteht die Meldepflicht des Art. 33 DSGVO. Sobald Ihrem Unternehmen eine (meldepflichtige) Datenschutzverletzung bekannt wird, haben Sie 72 Stunden zur Prüfung und Erstellung der Meldung an den Landesdatenschutzbeauftragten. Diese Meldung muss den Verstoß beschreiben und vor allem skizzieren, welche Maßnahmen Sie als Verantwortlicher unternommen haben, um den Datenschutzverstoß abzustellen.
Das bedeutet aber auch: Innerhalb von 72 Stunden müssen Gegenmaßnahmen zumindest begonnen worden sein, selbst wenn der Aufsichtsbehörde noch kein Erfolg gemeldet werden kann. Drei Kalendertage (wohlgemerkt: nicht Werktage!), das ist eine sehr kurze Zeit. Deshalb bietet es sich an, im Unternehmen vorbereitend tätig zu werden und entsprechende Prozesse vorzubereiten. Wie solche Meldeprozesse am besten aussehen, dazu haben wir bereits 2018 im Upload-Magazin ein paar Tipps gegeben.
Datenschutzverstöße kommen vor. Man sollte tunlichst versuchen, sie zu vermeiden. Aber kein System ist perfekt und ohne Schwachstelle. Für den Fall der Fälle sollten Vorkehrungen ergriffen werden, damit alle Wissen, was von wem zu tun ist. Das erspart im Ernstfall Zeit, Frust und ggf. sogar ein Bußgeld.
Datenschutzaufsicht Rheinland-Pfalz: Nutzung von US-Videokonferenzsystem in Schulen vertretbar
HPI ist nur einer von vielen Anbietern digitaler Unterrichtsplattformen. In vielen Schulen und auch am Arbeitsplatz greift man zu bekannten Anbietern wie Zoom, Microsoft Teams, Webex oder Skype for Business. Diese Angebote stammen von Unternehmen mit Sitz in den Vereinigten Staaten.
Leider kann man inzwischen beinahe die Uhr danach stellen: Wenn ein genutzter Dienst irgendetwas mit der USA zu tun hat, dann sind Bewertungen und Rechtsmeinungen der Aufsichtsbehörden absehbar. Erst jüngst hat die Landesdatenschutzbeauftragte aus Berlin die meisten Videokonferenzsysteme erneut mit ungenügend bewertet und vom Einsatz dringend abgeraten. Microsoft sieht diese Einordnung als unbegründet an.
Zur Begründung wird zum Teil die Datenübermittlung in die USA in Bezug genommen. Denn in die USA übermittelte Daten seien dem umfangreichen Zugriff der US-Nachrichtendienste ausgesetzt und somit nur unsicheren Verarbeitungsstandards unterworfen. Ob das tatsächlich so stimmt, schauen wir uns parallel in unserer Blogreihe zum transatlantischen Datenverkehr an. Spoiler: Wir denken nicht, dass eine Datenübermittlung in die USA pauschal als unangemessen beurteilt werden müsste.
Wann eine Datenverarbeitung, und hierzu gehört auch die Übermittlung in Drittstaaten wie die USA, unzulässig ist, ist das Ergebnis einer Abwägung unter Berücksichtigung des tatsächlichen Datenschutzrisikos im Drittstaat. Bei einer solchen Abwägung müssen vor allem auch die technischen und organisatorischen Schutzmaßnahmen des Anbieters berücksichtigt werden. Eine undifferenzierte Warnung vor jedem Produkt mit US-Herkunft bringt uns nicht weiter und wird dem komplexen und austarierten europäischen Datenschutzrecht nicht gerecht.
Eine solche Abwägung hat erfreulicherweise die Landesdatenschutzbeauftragte Rheinland-Pfalz vorgenommen. Während zunächst die Nutzung von US-Videokonferenzsystemen bis zum Ende des Schuljahrs 2020/21 ermöglicht wurde, verlängert die Behörde diesen Übergangszeitraum bis zum Ende des Schuljahres 2021/22, wie der SWR berichtet.
Hoffentlich setzt sich dieser Trend fort, denn Datenschutz verlangt spezifische und fachlich fundierte Antworten, kein pauschales „Nein“ zu Produkten aus den USA.
US-Bundesstaaten nehmen sich die DSGVO zum Vorbild
Mit dem Inkrafttreten der DSGVO hat sich die Europäische Union auch gewünscht, ein Vorbild zu sein. Ziel der DSGVO war die Schaffung eines effektiven und durchsetzungsfähigen Datenschutzrechts, das ein Exportschlager werden kann.
Nun mag man darüber juristisch diskutieren, ob das hierzu gewählte Marktortprinzip tatsächlich der angemessene Weg hierfür ist. Gemäß dem Marktortprinzip gilt die DSGVO nicht nur für Datenverarbeitungen von EU-Unternehmen oder Verarbeitungen im EU-Territorium. Nach Art. 3 II a) DSGVO kann die DSGVO auch angewendet werden, wenn betroffenen Personen in der EU-Dienste angeboten werden. Wenn der Markt eines Unternehmens die EU umfasst, muss sich das Unternehmen an die DSGVO halten. Auch wenn die Datenverarbeitungen nicht in der Union stattfinden.
Hierdurch entsteht ein Anreiz, Datenschutzstandards im Unternehmen hochzusetzen, um weiter Zugang zum europäischen Markt zu behalten. Die DSGVO hat so gesehen einen Stein ins Rollen gebracht.
Unter anderem hat bereits der US-Bundesstaat Kalifornien, der Sitz vieler Tech-Giganten, den California’s Consumer Privacy Rights Act erlassen. Nun hat der Bundesstaat Virginia nachgezogen: Am 2. März unterzeichnete Gouverneur Ralph Northam den Virginia Consumer Data Protection Act. Wie mondaq berichtet, sind in weiteren Bundesstaaten die Vorbereitung für Gesetzgebungen in diesem Bereich im vollem Gange.
In mindestens 18 weiteren Bundesstaaten werden Überarbeitungen des Datenschutzrechts erwartet. Eventuell könnte die Gesetzgebung in Virginia sogar Auslöser eines Bundesdatenschutzrechts in den USA werden.
Derweil geht Kalifornien nun sogar einen Schritt weiter. Wie heise.de mitteilt, wird das dortige Datenschutzregiment um eine eigene Datenschutzbehörde, die California Privacy Protection Agency (CPPA) ergänzt. Diese Behörde soll zukünftig Datenschutz-Audits bei Unternehmen führen und auch sanktionieren können. Bis zu 2.500 US-Dollar (ca. 2.095 EUR) beträgt der vorgesehene Bußgeldrahmen, sogar 7.500 US-Dollar (ca. 6.285 EUR), wenn Kinder betroffen sind.
Auch Aufklärung und Information rund um den Datenschutz soll Bestandteil der Behörde werden. Die Behörde in Kalifornien dürfte damit zu einer der wichtigsten Aufsichtsbehörden weltweit werden, immerhin gehört zu ihrem Zuständigkeitsbereich auch das Silicon Valley und die dort ansässigen Unternehmen.
Wir warten mit Spannung darauf, was sich in den Vereinigten Staaten mit Blick auf die Datenschutzgesetzgebung weiterhin tut.
Google will auf individuelles Tracking zukünftig verzichten – Das Ende einer Ära?
Die Ankündigung auf dem Google Blog vom 3. März wirkt fast wie ein Paradigmenwechsel. Google will zukünftig auf individuelles Tracking verzichten. Der Webbrowser Chrome soll künftig auch keine Drittanbieter-Cookies unterstützen. Nach eigener Aussage verzichtet der Tech-Gigant auch auf Ersatztechnologien, um individuelle Nutzeraktivitäten über Google-Anwendungen fortan nachzuvollziehen.
Tracking ist seit jeher ein umstrittenes Tool im Datenschutzrecht. Denn durch das Tracking wird von Internetnutzer*innen ein Profil erstellt, welches zur passgenauen Ausrichtung des eigenen Angebots genutzt wird. Genutzt wird Tracking für die Personalisierung von Empfehlungen, z.B. in Online-Shops, aber auch die Schaltung von individualisierter Werbung in Sozialen Netzwerken und und und…
Tracking ist an sich nichts Schlechtes, genau wie Werbung an sich nichts Schlechtes ist. Tracking darf nur nicht Überhand nehmen und Nutzer*innen in ihrem berechtigten Interesse auf Datenschutz verletzen. Beim Tracking stoßen das Interesse des verantwortlichen Unternehmens, sich mit Werbung zu finanzieren (ausdrücklich geschützt nach Erwägungsgrund 47 der DSGVO) und das Interesse der Nutzenden am Schutz ihrer Daten und Privatsphäre aneinander.
Wie das in Einzelnem geht, dazu wollen wir nicht ausschweifen. Im Januar 2020 haben wir uns in diesem Blog bereits ausführlich damit befasst, wie Tracking rechtskonform umgesetzt werden kann.
Mit Tracking-Tools von Google soll jedenfalls bald Schluss sein. Statt individueller Profilbildung für jede*n Nutzer*in will Google zukünftig unter anderem auf FLoC setzen. FLoC steht für Federated Learning of Cohorts. Nutzer*innen sollen über den Browser verschiedenen Interessensgruppen zugeordnet werden (wie dieses Verfahren technisch funktioniert, wird auf heise online anschaulich dargestellt). Diesen individuellen Nutzergruppen – auch Kohorten genannt – wird dann auf die Interessensgruppe personalisierte Werbung angezeigt.
Damit stellen sich neue datenschutzrechtliche Fragen, für Google und für Unternehmen, die mit Google kontrahieren und diese Technologie nutzen. Eine solche datenschutzrechtliche Problematik stellt sich, wenn Google personenbezogene Daten verarbeitet. Die Zuordnung der Nutzer*innen soll bei FLoC über sog. Hash-Werte, die aus der Nutzeraktivität errechnet werden.
Diese Hash-Werte könnten durchaus als personenbezogene Daten verstanden werden. Maßgebliches Kriterium hierfür ist gemäß Art. 4 Nr. 1, dass die Hash-Werte natürlichen Personen zugeordnet werden können. Werden Daten anonymisiert, also derart von der natürlichen Person getrennt, dass eine Zuordnung selbst durch den Verantwortlichen nicht mehr möglich ist, handelt es sich nicht mehr um solche personenbezogene Daten – und das Datenschutzrecht ist nicht mehr anwendbar. Werden Daten hingegen lediglich pseudonymisiert, also für den Verantwortlichen auflösbar verschlüsselt, handelt es sich nach wie vor um personenbezogene Daten und die DSGVO ist anwendbar.
Ob Google die Auflösung der aggregierten Hash-Werte und die Reidentifzierung der betroffenen Personen möglich ist, ist derzeit für Außenstehende nicht ersichtlich. Zwar muss die technische Möglichkeit bestehen, an die Nutzergruppen die gruppenpersonalisierte Werbung auszuspielen, daraus lässt sich aber noch nicht zwangsläufig darauf schließen, ob hierzu eine Zuordnung der Nutzer*innen erforderlich ist.
Wenn es personenbezogene Daten sind, dann muss sich Google an die DSGVO halten. Ein Knackpunkt könnte dann sein, dass die Zuordnung zu Nutzergruppen nach bisheriger Kenntnis ohne Einwilligung, Mitteilung und Kenntnisnahme erfolgt. Das wäre zumindest problematisch. Denn als Datenverarbeitung (Art. 4 Nr. 2 DSGVO) bräuchte die Zuordnung eine Rechtsgrundlage, vgl Art. 6 DSGVO. Das könnte die Einwilligung sein, eine vertragliche Grundlage oder auch ein berechtigtes und überwiegendes Interesse. Ferner müssten die Nutzenden über die Zuordnung zu einer Interessensgruppe gemäß Art. 13 DSGVO informiert werden. Unabhängig von der DSGVO muss die Google-Lösung auch mit der ePrivacy-Richtlinie und § 15 Abs. 3 TMG konform gehen. Auch bei diesen Regelungen ist es kritisch, wenn die Nutzergruppen ohne Information und ohne Widerspruchsmöglichkeiten erstellt werden.
Wie Google sein neues Konzept eines trackingärmeren Internets nun datenschutzrechtlich umsetzen will, beobachten und kommentieren wir deshalb mit Spannung.
Irische Datenschutzbehörde steht in der Kritik des EU-Parlaments
Das EU-Parlament bereitet eine Resolution vor, die unter Anderem den Umgang der irischen Datenschutzbehörde (Data Protection Commissioner – DPC) mit dem Fall „Schrems II“ stark kritisiert.
Die irische Behörde ist für die Umsetzung des europäischen Datenschutzrechts derjenigen US-Unternehmen zuständig, die in Irland ihren EU-Sitz haben. Dazu gehören zum Beispiel Google und Facebook. Wie wir bereits im Rechtsüberblick 01/20 gesehen haben, wird der Aufsichtsbehörde Untätigkeit vorgeworfen.
Vermutet wird, dass die zögerliche Umsetzung der Datenschutzvorschriften den Unternehmen einen Standortvorteil verschaffen soll. Die Untätigkeit war teilweise so absurd offensichtlich, dass es einen eigenen – nicht sehr ereignisreichen – Liveticker gibt, der anzeigt, wie viele Bußgelder die irische Behörde bereits verhängt hat. Seit dem letztjährigen Rechtsüberblick ist diese Zahl von 0 auf 1 gesprungen.
Das EU-Parlament kritisiert im Wesentlichen zwei Punkte: Zunächst sei das Verfahren des DPA immer noch nicht abgeschlossen worden und so die Umsetzung der DSGVO in Irland erheblich verzögert, zum Anderem werde versucht, dem Kläger Max Schrems die Kosten des Verfahrens aufzuerlegen. Hierin vermutet das Parlament die Intention, vor zukünftigen Verfahren abzuschrecken.
Das Parlament fordert die Kommission im dritten operativen Absatz der Resolution auf, ein Vertragsverletzungsverfahren gegen Irland einzuleiten.
Die irische Behörde äußert Kritik an dieser Resolution. Eine Teilnahme an einer Anhörung vor dem zuständigen Ausschuss des EU-Parlaments lehnte die Datenschutzbeauftragte jedoch in einem Schreiben vom 16. März 2021 ab, das Verfahren sei „pervers“ (sic!) und diene nur dazu, Max Schrems eine Möglichkeit zur weiteren Kritik an ihrer Behörde zu geben.
Auf golem.de wird das Verfahren rund um die Resolution weiter skizziert. Es zeigt jedenfalls eindrucksvoll, dass die Kontroverse nach der EuGH-Entscheidung keineswegs abgeschlossen ist. Aus juristischer Sicht gibt es dabei durchaus Angriffspunkte gegen die Entscheidung; das EuGH-Urteil muss nicht unbedingt zutreffend gewesen sein.
Rund um die „Schrems II“-Rechtsprechung des EuGH bereiten wir zur Zeit eine ganze Blogreihe vor, die nach und nach erscheinen wird. Wer in die nüchterne datenschutzrechtliche Seite dieser Auseinandersetzung eintauchen will, kann bereits jetzt in Teil 1 und Teil 2 schmökern. Herzliche Einladung.
App „Clubhouse“ auf dem Prüfstand
Der Hype um die App „Clubhouse“ ist schon wieder vorbei. Die App war zu Jahresbeginn in den Markt gedrungen und konnte schlagartig viele neue Nutzer*innen aggregieren.
Ob die Nutzung der App aber datenschutzkonform möglich war, da haben viele Datenschutzjurist*innen Zweifel angemeldet. In Deutschland hat die Verbraucherzentrale Bundesverband bereits den Anbieter wegen DSGVO-Verstößen abgemahnt, wie ZEIT online berichtet. Auch die Hamburger Datenschutzbehörde hat sich eingeschaltet und einen Fragenkatalog übersandt, um die Datenschutzkonformität der App zu überprüfen.
Zu den Kritikpunkten gehört, dass die App einen Zugriff auf die Adressbücher der Nutzer*innen verlangt und diese automatisch ausliest. Clubhouse behält sich vor, die ausgelesenen Daten unter Anderem für Direktwerbung zu aggregiert. Meine Chefin Nina Diercks hat sich im Januar dazu bereits bei BusinessInsider geäußert.
Nun hat auch die französische Aufsichtsbehörde CNIL nachgezogen und Untersuchungen eingeleitet. Geklärt werden soll, ob die DSGVO anwendbar ist und, falls dem so ist, ob sie ignoriert wurde. Die Aufsichtsbehörde behält sich Sanktionsmaßnahmen vor.
Fazit
Datenschutzrecht lebt und ist lebendig. Wir könnten hier noch weitere Punkte anschneiden und auch bei jeder Frage in die Tiefe gehen. Für heute wollen wir aber die sprichwörtliche Fünfe gerade sein lassen und uns verabschieden. Wenn Ihr Lesedurst noch nicht gestillt ist, ist der Artikel der Kollegin Ulrike Berger rund um das Verfahren der Berliner Datenschutzaufsicht gegen Deutsche Wohnen sehr lesenswert. Oder Sie informieren sich hier zu der Frage, ob ein Schmerzensgeld nach der DSGVO eigentlich von einer gewissen Erheblichkeitsschwelle abhängt.
Bis hoffentlich allzu bald, bleiben Sie gesund!