Update vom 04.03.2022: Nachdem das Privacy Shield mit dem Urteil vom 16.07.2020 für unzulässig erklärt wurde, veröffentlichte die Europäische Kommission am 04.06.2021 die neuen Standardvertragsklauseln. Mit deren Hilfe soll nun wieder Datentransfer in die USA ermöglicht werden. In unserem Artikel vom 19.11.2021 informieren wir Sie umfassend zu den neuen Standardvertragsklauseln, insbesondere wie diese abzuschließen und welche weiteren Maßnahmen zu ergreifen sind, um einen sicheren Datentransfer zu ermöglichen.

Das Jahr 2020 steuert auf die Zielgerade zu. Grund genug für uns, zurückzublicken, was das Jahr 2020 aus datenschutzrechtlicher Sicht gebracht hat.

2020 – Ein datenschutzrechtlicher Jahresrückblick

Microsoft Office 365 soll DSGVO-konform werden

Lange stand Microsoft Office in der Kritik von Datenschützern. Der Grund: die Software Microsoft Office 365 wurde auf Servern außerhalb der EU gehostet. Anfang 2020 wurde ein erster Schritt in Richtung einer Nutzung entsprechend der DSGVO unternommen: deutschen Unternehmen soll die cloud-basierte Nutzung von Microsoft Office 365 über in Deutschland gehostete Server zur Verfügung gestellt werden. Auch wenn dieser Schritt als sehr positiv zu bewerten ist, bleibt dennoch zu beachten, dass es gem. US Cloud Act nicht ausschlaggebend ist, in welchem Land Daten gespeichert werden, die von US-Unternehmen verarbeitet werden. Der US Cloud Act erlaubt amerikanischen Geheimdienstbehörden dennoch den Zugriff.

Cookie-Banner

Bereits Ende letzten Jahres zeichnete sich durch die „Planet49“-Entscheidung des EuGH (Az. C-673/17) ab, dass sich beim Thema Umgang mit Cookies auf Webseiten etwas tun muss. Den Cookie-Bannern, die dem Nutzer lediglich ein Opt-Out ermöglichten, wurde somit eine Absage erteilt. Mit Urteil vom 28.05.2020 hat sich der BGH dem Urteil des EuGH in dieser Angelegenheit schlussendlich angeschlossen. In unserem Blog-Beitrag vom 16.06.2020 haben wir bereits gezeigt, wie ein DSGVO-konformes Cookie-Banner ausgestaltet sein muss.

Schrems II

Einen datenschutzrechtlichen Paukenschlag gab es im Juli, als der EuGH mit seinem Schrems-II-Urteil (Az.: C-311/18) das EU-US-Privacy-Shield-Abkommen kippte. In der Privacy-Shield-Vereinbarung verpflichteten sich Unternehmen, Betroffene über die Verarbeitung ihrer personenbezogenen Daten zu informieren und insgesamt den Datenschutz zu beachten. Diese Selbstverpflichtung erkannte die EU als vergleichbare Regelung zum europäischen Datenschutz an. Das Problem allerdings ist, dass US-amerikanische Geheimdienstbehörden aufgrund unterschiedlicher gesetzlicher Grundlagen weitreichende Zugriffsbefugnisse auf personenbezogene Daten haben; und das ohne richterlichen Beschluss. Dieses Vorgehen in den USA verstößt gegen das Recht auf Privatsphäre und gegen das Recht auf informationelle Selbstbestimmung von EU-Bürgern. Lediglich auf Grundlage des Privacy-Shield-Abkommens dürfen Unternehmen Daten mit Personenbezug nun somit nicht mehr in die USA transferieren. Ausdrücklich ausgenommen von dem Urteil sind die Standardvertragsklauseln. Allerdings ist selbst unter Zuhilfenahme der Standardvertragsklauseln eine Übermittlung personenbezogener Daten in die USA nur schwierig möglich. Denn auch diese können über die massiven Eingriffsbefugnisse der US-Behörden nicht hinweghelfen. In unseren Beiträgen vom 15.09.2020 und vom 15.12.2020 (https://sidit.de/blog/handlungsleitfaden-zum-umgang-mit-schrems-ii) geben wir Handlungsempfehlungen, wie Verantwortliche nun mit diesem Thema umgehen können.

Aufsichtsbehörden werden aktiver

In diesem Jahr merkte man auch, dass die Aufsichtsbehörden immer aktiver werden. Die Schonfrist zur Umsetzung der Forderungen aus der DSGVO ist vorbei. 2020 wurden erhebliche Bußgelder verhängt. Zuletzt im November wurde gegen die 1&1 Telecom GmbH ein Bußgeld in Höhe von fast 10.000.000,00 € verhängt. Hiergegen hat sich 1&1 allerdings erfolgreich gewehrt. Das Landgericht Bonn hat mit Urteil vom 11.11.2020 (Az. 29 OWi 1/20 LG) zwar bestätigt, dass die Verhängung des Bußgeldes dem Grunde nach berechtigt war, die Höhe allerdings unangemessen hoch. Das Bußgeld wurde auf einen Betrag von 900.000 € herabgesetzt.

Corona, Corona, Corona

Überwiegend wurde das Jahr 2020 von der Corona-Pandemie überschattet. Dieses Virus hat es geschafft in jeden Winkel des gesellschaftlichen Lebens einzudringen. Neue datenschutzrechtliche Problemfelder wurden aufgeworfen. So fing es im ersten Lockdown im März damit an, dass in Unternehmen sog. Corona-Listen geführt wurden. Externe sollten also bei oder vor Ankunft in einem Unternehmen angeben, ob sie sich beispielsweise innerhalb der 14 Tage zuvor in einem sog. Risikogebiet aufgehalten hätten oder sie Kontakt zu einem Covid19-Infizierten gehabt hätten. Ähnliches geschah dann bei Wiedereröffnung der Gastronomie im Mai: Gäste mussten sich in eine Besucherliste eintragen, in der Kontaktdaten und Zeitpunkt des Gastro-Aufenthalts angegeben werden mussten. Wie solche Listen datenschutzkonform gehandhabt werden können, haben wir am 26.05.2020 dargestellt.

Noch nie haben so viele Menschen von zu Hause aus gearbeitet, als im Jahr 2020. Social Distancing war und ist die Devise. Und das Einschränken von Sozialkontakten meint nicht nur die Kontakte im privaten Bereich. Überall, wo viele Menschen zusammenkommen, besteht ein erhöhtes Ansteckungsrisiko, also auch auf der Arbeit. Folglich wurden viele ArbeitnehmerInnen ins Home Office geschickt, um die Ausbreitung des Virus einzudämmen und die Arbeitsausfälle so gering wie möglich zu halten. Was viele Verantwortliche dabei nicht bedachten: Zuhause lauern ganz andere datenschutzrechtliche Herausforderungen, als am Arbeitsplatz, die es zu regeln gilt. Dieses Thema haben wir mit unserem Blog-Beitrag vom 10.11.2020 genauer beleuchtet.

Die Corona-Pandemie hat Arbeitgebern ein neues Spannungsfeld aufgezeigt: Arbeitsschutz vs. Datenschutz. Arbeitgeber sind gem. §§ 618 Abs. 1 BGB, 3 Abs. 1 ArbSchG verpflichtet, erforderliche Maßnahmen zum Schutz der Arbeitnehmer zu treffen und deren Gesundheit zu schützen. Was ist also zu tun, wenn im Betrieb ein Mitarbeiter an Covid-19 erkrankt und zuvor Kontakt zu Kollegen hatte? Teilt ein Arbeitnehmer dem Verantwortlichen mit, dass er infoziert ist, handelt es sich bei dieser Information um ein Gesundheitsdatum und damit um ein besonders schützenswertes personenbezogenes Datum gem. Art. 9 Abs. 1 DSGVO. Darf man den Namen des Infizierten offenlegen? Dürfen alle Mitarbeiter informiert werden? Was ist in einer solchen Situation zu tun? Schließlich soll eine Ausbreitung der Erkrankung im Betrieb auf jeden Fall verhindert werden. Auch wir haben uns diese Fragen in einem unserer Beiträge gestellt.

2 Jahre DSGVO: Happy Birthday

Auch wenn es ein (nicht nur) datenschutzrechtlich turbulentes Jahr war, möchten wir eines nicht vergessen: Die DSGVO wurde im Mai zwei Jahre alt. Auch wenn die Umsetzung der Forderungen der DSGVO stellenweise noch immer Probleme bereitet, so ist auch zu sagen, dass die DSGVO maßgeblich dazu beigetragen hat, ein datenschutzrechtliches Bewusstsein zu schaffen. Immer mehr wird Datenschutz nicht als „lästiges Übel“ gesehen, sondern als das, was es schlussendlich ist: Schutz der Grundrechte von EU-Bürgern.

Ein ereignisreiches Jahr neigt sich dem Ende zu. Wir blicken voller Optimismus dem Jahr 2021 entgegen und freuen uns, wenn auch unsere Leser uns im neuen Jahr treu begleiten.

Weiterführende Linkshttps://sidit.de/blog/die-bghentscheidung-zu-cookiebannernhttps://sidit.de/blog/handlungsleitfaden-zum-umgang-mit-schrems-iihttps://sidit.de/blog/besucherlisten-und-datenschutz-in-ihrem-unternehmenhttps://sidit.de/blog/datenschutzkonformes-arbeiten-im-homeofficehttps://sidit.de/blog/corona-positiv-durfen-wir-es-unseren-mitarbeitern-sagen

Melden Sie sich an, um regelmäßig tolle Inhalte in Ihrem Postfach zu erhalten!

1 Kommentar

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Ihre personenbezogenen Daten werden für die Veröffentlichung Ihres Kommentars zum Blogbeitrages gem. unserer Datenschutzerklärung von uns verarbeitet.