Mit diesem Blogbeitrag haben wir uns vor 12 Monaten aus dem Jahr 2020 verabschiedet und einen datenschutzrechtlichen Blick in die Glaskugel für 2021 geworfen. Heute wollen wir ein Resümee für das Jahr 2021 ziehen und Ihnen die wichtigsten Themen im Datenschutz, Neuigkeiten und Entscheidungen aus diesem Jahr zusammenfassen.

1. Die Corona-Pandemie und deren Folgen für den Datenschutz

Die Corona-Pandemie – ein Thema, das uns täglich und global begegnet und auch aus dem Bereich Datenschutz nicht hinweggedacht werden kann. Datenschutzrechtlich besonders relevant waren hierbei im Jahr 2021 der Umgang mit Impfquoten und Impfnachweisen in Unternehmen. Lesen Sie hierzu auch gerne unsere diesjährige Impfreihe, erschienen im Juli und August. Bislang war es den meisten Unternehmen, mit Ausnahme einiger im Gesundheitswesen, nicht möglich den Mitarbeiter-Impfstatus als besonderes personenbezogenes Datum gem. Art. 9 Abs.1 DSGVO, ohne deren Einwilligung zu verarbeiten.

Dies änderte sich jedoch schlagartig mit der am 19.11.2021 im Infektionsschutzggesetz beschlossenen 3-G-Regel am Arbeitsplatz. Hiernach sind nun alle Unternehmen mit Sitz in Deutschland verpflichtet von Ihren Mitarbeitern mit Personenkontakt im Unternehmen einen Nachweis über die Impfung, Genesung oder eines max. 24 Stunden alten negativen (Antigen-Schnell-) Tests zu verlangen. Dies gilt zunächst bis zum 19.03.2022. Die Datenverarbeitung durch den Verantwortlichen wird nun auf eine gesetzliche Verpflichtung gestützt und bedarf daher keiner Einwilligung der Mitarbeiter mehr.

Es darf jedoch lediglich eine „Sichtkontrolle“ über den Nachweis der Impfung, Genesung oder aktuellen Testung. Dann kann ein entsprechender Vermerk über die Nachweiserbringung vorgenommen werden. Eine Dokumentation des Status (mit entsprechendem „Ablaufdatum“) setzt nach wie vor eine Einwilligung der Mitarbeiter voraus. Wie auch bei allen anderen Datenverarbeitungen müssen Unternehmen hierbei auf einen sicheren Umgang mit diesen besonders sensiblen Daten achten. Darüber hinaus sind entsprechende Löschfristen für diese festzulegen und die betroffenen Mitarbeiter hierüber zu belehren.

Ein weiterer wichtiger Datenschutz-Aspekt in diesem Zusammenhang war der Einsatz von bestimmten Apps zur Nachverfolgung. Hierbei haben wir insbesondere die Luca-App genauer unter die datenschutzrechtliche Lupe genommen. Bei dieser werden die Daten im Gegensatz zur Corona-Warn-App nicht anonym, sondern pseudonymisiert auf deutschen Servern verarbeitet. D.h. die Gesundheitsämter können die Daten zu einer bestimmten Person zurückführen. Wir gehen jedoch davon aus, dass nur ein geringes Risiko bei der Nutzung dieser digitalen Datenbank vorliegt und die Vorteile der App, z. B. die Gästeregistrierungsfunktion, überwiegen.

2. Die neuen Standardvertragsklauseln

Auch das Wichtigste rund um die neuen Standardvertragsklauseln, die am 04.06.2021 von der Europäischen Kommission verabschiedet wurden, möchten wir noch einmal kurz Revue passieren lassen. Unternehmen die Ihre Daten in Drittländern, wie z.B. den USA verarbeiten lassen, müssen gem. Art. 44 ff. DSGVO für einen sicheren Datentransfer sorgen. Hierfür gibt es neben Angemessenheitsbeschlüssen für bestimmte Länder das Instrumentarium der Standardvertragsklauseln, die zwischen den Vertragspartnern (z.B. Verantwortlicher und Auftragsverarbeiter) bei einem Datentransfer abzuschließen sind. Da die „alten“ Standardvertragsklauseln für diesen Zweck nicht mehr ausreichten, wurden dieses Jahr neue Vertragsklauseln verabschiedet. Das war besonders im Hinblick auf den nicht ausreichenden Schutz vor Zugriffen von ausländischen Behörden nötig. Die neuen Klauseln sollen nun für einen sicheren Datentransfer in unsichere Drittländer, z. B. die USA, sorgen.

Neu an diesen sind im Speziellen der modulare Aufbau sowie der Wegfall von Auftragsverarbeitungsverträgen neben den neuen Standardvertragsklauseln im Modul 2 oder 3. Daneben muss nun vor jeder geplanten Datenübermittlung nach Klausel 14 der Standardvertragsklauseln eine Datentransfer-Folgenabschätzung vorgenommen werden. Neu ist außerdem die Pflicht zur Abwehr von widersprechenden Regierungsanfragen sowie die Information der zuständigen Aufsichtsbehörden hierüber. Seit dem 27.09.2021 dürfen nur noch die neuen Standardvertragsklauseln verwendet werden. Bei Altverträgen müssen die „alten“ Standardvertragsklauseln bis Dezember 2022 durch die neuen ersetzt werden.

3. Datentransfer-Folgenabschätzung (TIA)

Im Zuge der neuen Standardvertragsklauseln hat die sog. Datentransfer-Folgenabschätzung (kurz TIA) dieses Jahr hohe Wellen geschlagen. Niemand weiß so richtig, wie eine solche auszusehen hat, insbesondere da noch entsprechende Guidelines der Aufsichtsbehörden fehlen. Eines weiß jedoch jeder: Sie ist verpflichtend dokumentiert durchzuführen, bevor man die neuen Standardvertragsklauseln abschließt. 

Zum Inhalt dieser Abschätzung besagt Klausel 14 der neuen Standardvertragsklauseln jedoch so viel: Der Verantwortliche muss versichern können, dass der Vertragspartner aus dem Drittland in der Lage ist, seinen Pflichten aus den Standardvertragsklauseln nachzukommen. Hierzu gehört, dass die Datenübermittlung mit Art der Daten, Zweck der Datenverarbeitung, Kategorien der Betroffenen, Art des Empfängers, Verarbeitungsketten sowie das Empfängerland mit dessen Rechtsvorschriften und Gepflogenheiten in Bezug auf Datenzugriffe genau beschrieben werden.   

Schließlich sollte die Datentransfer- Folgenabschätzung beschreiben, welche zusätzlichen Garantien und Maßnahmen für eine sichere Datenverarbeitung gewählt wurden. Fällt die Abwägung negativ aus, sollten keine Daten an den Vertragspartner im Drittland übermittelt werden.

4. TTDSG – Nationale Umsetzung der ePrivacy-Richtlinie

Ein weiterer datenschutzrechtlicher Meilenstein war das am 01.12.2021 in Deutschland in Kraft getretene TTDSG (Telekommunikations-Telemedien-Datenschutz-Gesetz) als nationale Umsetzung der seit längerem bekannten ePrivacy-Richtlinie. Dieses dient u.a. dem Schutz von personenbezogenen Daten bei der Nutzung von Telekommunikationsdiensten und Telemedien und setzt insbesondere die Anforderungen aus dem Planet49-Urteil in nationales Recht um.

Die DSGVO gilt natürlich weiter und ist grundsätzlich vorrangig gegenüber nationalen Bestimmungen zum Datenschutz zu beachten. In Bezug auf den „Schutz der Privatsphäre bei Endeinrichtungen“ gelten DSGVO und TTDSG nebeneinander. Hier ist insbesondere neben der DSGVO § 25 TTDSG zu beachten, der im Speziellen für Webseitenbetreiber und sonstige Anbieter von Telemedien relevant ist. Hiernach bedarf die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, einer Einwilligung des Endnutzers.

Diese Regelung gilt sowohl für personenbezogene als auch nicht personenbezogene Daten und ist technologieneutral gefasst und betrifft neben dem Einsatz von Cookies auch sonstige Techniken, die ein Speichern und oder Auslesen von Informationen auf Endeinrichtungen erfordern. Die Einwilligung, die sich nach den DSGVO-Vorschriften richtet, kann wie auch bei Cookies, über den Cookie-Banner eingeholt werden. Eine Einwilligungspflicht entfällt nur dann, wenn § 25 Abs. 2 TTDSG erfüllt ist, d. h. soweit die Speicherung von Informationen oder der Zugriff auf diese in der Endeinrichtung allein zur Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz erfolgt. Alternativ kann von der Einwilligung abgesehen werden, wenn diese Speicherung oder der Zugriff auf diese Informationen in der Endeinrichtung unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Sie sehen also – nichts Neues. Was bereits nach dem Planet49-Urteil galt, ist nun auch bei den sonstigen Technologien zwingend zu beachten.

5. Einbindung der Datenschutz-Erklärung auf der Webseite

Wir wollen Sie noch mit einem wichtigen Urteil des Kammergerichts Berlin in das kommende Jahr verabschieden. In diesem Urteil wurde entschieden, dass je nach Einbindung der Datenschutzerklärung auf der Webseite, diese als Allgemeine Geschäftsbedingung anzusehen sind und nicht mehr einseitig vom Verantwortlichen geändert werden können. Das ist dann der Fall, wenn der Webseitenbetreiber eine Bestätigung der Datenschutzerklärung durch Formulierungen wie „Hiermit akzeptiere ich die Datenschutzerklärung“ oder „Ich habe die Datenschutzerklärung gelesen und stimme ihr zu“ zusammen mit Checkboxen durch den Webseitenbesucher einholt.  

Das hat die fatale Konsequenz, dass beispielsweise bei der Einbindung neuer Tools fortan immer die Zustimmung der User erforderlich ist, da von einer Zustimmungsfiktion zu Änderungen der AGB nicht ausgegangen werden kann. Unternehmen müssen darauf achten, solche Formulierungen und Checkboxen im Rahmen der Datenschutzerklärung nicht zu verwenden, sondern diese lediglich bereit zu erstellen. Nicht zu verwechseln ist dies jedoch mit gegebenenfalls erforderlichen Einwilligungen auf der Webseite, für die selbstverständlich entsprechende Checkboxen zulässig sind.

Mit diesen spannenden Themen möchten wir Sie nun in das neue Jahr entlassen und freuen uns auf alle neuen Themen und Entscheidungen, über die wir Ihnen auch gerne im kommenden Jahr im Rahmen unseres regelmäßigen Blogbeitrags berichten werden.

Daneben stehen wir Ihnen bei datenschutzrechtlichen Fragen auch gerne unter  0931-780 877-0 oder info@sidit.de zur Verfügung.  

Melden Sie sich an, um regelmäßig tolle Inhalte in Ihrem Postfach zu erhalten!

3 Comments

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Ihre personenbezogenen Daten werden für die Veröffentlichung Ihres Kommentars zum Blogbeitrages gem. unserer Datenschutzerklärung von uns verarbeitet.