Update vom 04.03.2022: Nachdem das Privacy Shield mit dem Urteil vom 16.07.2020 für unzulässig erklärt wurde, veröffentlichte die Europäische Kommission am 04.06.2021 die neuen Standardvertragsklauseln. Mit deren Hilfe soll nun wieder Datentransfer in die USA ermöglicht werden. In unserem Artikel vom 19.11.2021 informieren wir Sie umfassend zu den neuen Standardvertragsklauseln, insbesondere wie diese abzuschließen und welche weiteren Maßnahmen zu ergreifen sind, um einen sicheren Datentransfer zu ermöglichen.
Nach unserem Jahresrückblick wagen wir es heute, in die Zukunft zu blicken. Was wird im Jahr 2021 in Sachen Datenschutz auf uns zukommen? Wir haben uns ein paar spannende Themen rausgesucht und genauer beleuchtet.
Impfstatus
Mit der Zulassung des ersten Impfstoffes gegen das Corona-Virus, kam zuerst das große Aufatmen. Ab jetzt kann es nur noch bergauf gehen. Aber quasi im gleichen Atemzug sehen wir uns mit vielen Fragen, auch mit datenschutzrechtlichem Belang, konfrontiert.
Es wurde und wird noch immer bekräftigt, dass es von staatlicher Stelle keine Impfpflicht geben wird. Doch trudeln aus der Privatwirtschaft immer mehr Anfragen ein, ob man denn beispielsweise als Arbeitgeber den Impfstatus der Arbeitnehmer abfragen dürfe. Ebenfalls wird bereits jetzt in den Medien die Möglichkeit diskutiert, dass oder ob Bar-, Laden- oder Restaurantbesitzer, Kino- oder Fitnessstudiobetreiber ihre Pforten womöglich nur noch für Geimpfte öffnen. Aus privatrechtlicher Sicht ist das in vielerlei Hinsicht durchaus möglich. Die Australische Fluggesellschaft Quantas hat indes bereits angekündigt, künftig nur noch Personen zu transportieren, die eine Corona-Impfung nachweisen können.
Auch wenn man solche Vorgehensweisen durchaus nachvollziehbar finden kann, muss dennoch unbedingt bedacht werden, dass es sich hier um die Abfrage von Gesundheitsdaten handelt, die datenschutzrechtlich einen besonderen Schutz genießen. Sollten mehrere Unternehmen ein gleiches Vorgehen in Betracht ziehen, ist von einer freiwilligen Impfung nicht mehr zu sprechen. Dies stellt eine faktische Impfpflicht dar und noch dazu einen Verstoß gegen das verfassungsmäßig garantierte Recht auf informationelle Selbstbestimmung.
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, Herr Stefan Brink, hat ausgeführt, dass eine Abfrage des Impfstatus zumindest für Anbieter der öffentlichen Daseinsvorsorge für unzulässig hält. Diese gehören immerhin zu den lebensnotwendigen Leistungen.
Es bleibt spannend. Wir behalten die Entwicklungen natürlich im Auge.
Der Brexit
Lange wurde diskutiert und verhandelt. Jetzt ist er endlich durch: der Brexit. Dies bringt natürlich viele Herausforderungen mit sich. Auch in puncto Datenschutz. Die Datenschutzkonferenz (DSK) hat in einer Pressemitteilung klargestellt, dass auf Basis des Brexit-Abkommens eine Datenübermittlung ins Vereinigte Königreich auch nach dem 1. Januar 2021 weiterhin möglich ist.
Es besteht eine viermonatige Übergangsfrist, die noch einmal um 2 Monate verlängert werden kann, in der Großbritannien nicht als Drittland angesehen wird. Bis dahin muss die EU-Kommission eine entsprechende Adäquanzentscheidung nach Art. 45 Abs.3 DSGVO getroffen haben.
Für Unternehmen, die personenbezogene Daten nach Großbritannien übermitteln, ändert sich damit zum Jahreswechsel und bis zum 30.04.2021 in praktischer Hinsicht zunächst einmal nichts. Wir sind gespannt, wie die Entwicklung hier weiterverläuft und behalten das natürlich im Blick.
Die elektronische Patientenakte (ePA)
Auch das Gesundheitswesen hat den Sprung in die Digitalisierung geschafft: ab 01.01.2021 haben gesetzlich Versicherte Anspruch darauf, dass ihnen eine elektronische Patientenakte zur Verfügung gestellt wird. Rechtlich wurde durch das PDSG (Patientendaten-Schutz-Gesetz) die Voraussetzung hierfür geschaffen. In drei Phasen soll die elektronische Patientenakte eingeführt werden: 2021 soll durch die ePA die Kommunikation zwischen Arzt und Patient vereinfacht werden. Außerdem sollen zwischen verschiedenen Behandlungseinrichtungen Daten einfacher ausgetauscht werden können. Außerdem sollen schrittweise auch digital Rezepte hinterlegt werden können. Ab 2022 sollen auch andere Berufsgruppen aus dem Gesundheitssektor, wie Physiotherapeuten oder Hebammen Zugriff auf die ePA bekommen. Geplant ist, dass dann auch Impfnachweise oder gar ein Mutterpass digitalisiert zur Verfügung gestellt werden können. Im Jahr 2023 soll dann auch die Forschung Zugriff auf die elektronische Patientenakte bekommen. Vorausgesetzt natürlich der Patient hat hierin eingewilligt.
Doch es hagelt datenschutzrechtliche Kritik: Zum einen wird moniert, dass es Patienten in der ersten Testphase der ePA (also ab 2021) technisch nicht möglich ist, Zugriffe auf den Inhalt ihrer Akte zu beschränken. Es besteht also keine Zugriffsbeschränkung der Ärzte auf lediglich die Inhalte, die zur Behandlung erforderlich sind. Das heißt konkret, dass der Zahnarzt sehen kann, wo der Hautarzt in der vergangenen Woche ein Muttermal entfernt hat. Die Möglichkeit, Zugriffsrechte zu vergeben, soll erst im Jahr 2022 erfolgen. Allerdings soll dieses Werkzeug lediglich via Smartphone oder Tablet zur Verfügung stehen. Somit gibt es eine Ungleichbehandlung der betroffenen Patienten, da nur diejenigen die Einsichtsmöglichkeiten bestimmen können, die über ein mobiles Endgerät auf die elektronische Patientenakte zugreifen. Diese stellt eine Benachteiligung der Menschen dar, die kein Tablet oder Smartphone besitzen.
Wir sind gespannt, was sich in diesem Themenfeld noch alles tun wird.
Die E-Privacy-Verordnung
Die E-Privacy-Verordnung soll, als Ergänzung zur DSGVO, den Datenschutz im Bereich der elektronischen Kommunikation innerhalb der EU gewährleisten. Eigentlich sollte die Verordnung zusammen mit der DSGVO am 25.05.2018 anwendbar sein. Die Verordnung sollte dann in Deutschland das TMG und das TKG ablösen. Sie wird allerdings noch immer diskutiert und verhandelt. Eine Einigung scheint in weite Ferne gerückt. Hauptsächlich hakt es daran, dass manche Staaten der EU den Verbraucherschutz durch die Verordnung noch mehr stärken wollen. So soll beispielsweise das Setzen von Cookies erheblich erschwert werden. Andere Staaten wiederum gehen davon aus, dass eine so strenge Reglementierung der Wirtschaft gravierend schaden könnte. Die deutsche Ratspräsidentschaft legte zuletzt einen Kompromissvorschlag vor, der allerding keinen Anklang fand, da er zu „wirtschaftsfeindlich“ sei. Aufgrund der herrschenden Uneinigkeit scheint ein Konsens der EU-Staaten in weite Ferne gerückt und so wird es auch im Jahr 2021 unserer Einschätzung nach keine europäische Lösung geben.
Aber Deutschland will nun selbst gesetzgeberisch aktiv werden, indem die Forderungen aus der geltenden E-Privacy-Richtlinie in einem nationalen Gesetz umgesetzt werden. Es liegt ein Entwurf des Bundeswirtschaftsministeriums vom 14.07.2020 für ein „Gesetz über den Datenschutz und den Schutz der Privatsphäre in der elektronischen Kommunikation und bei Telemedien“ (TTDSG) vor, welches Regelungen aus TMG und TKG zusammenführen soll. Durch dieses Gesetz soll in Deutschland Rechtssicherheit geschaffen werden, insbesondere auch was den Einsatz von Cookies angeht. Ursprünglich war der Plan, dass das TTDSG noch 2020 in Kraft tritt. Wie nun der genaue Zeitplan ausschaut, ist unklar.
Der neue Personalausweis
Die Welt soll 2021 ein bisschen sicherer werden. Aus diesem Grund wurde am 05.11.2020 das „Gesetz zur Stärkung der Sicherheit im Pass-, Ausweis- und ausländerrechtlichen Dokumentenwesen“ erlassen, welches das Personalausweisgesetz an die Forderungen der EU-Verordnung 2019/1157 anpasst. Konnte man sich bis jetzt entscheiden, ob man den eigenen Fingerabdruck im Personalausweis hinterlegen möchte, so wird einem diese Entscheidung nun abgenommen. Ab August 2021 gibt es den Personalausweis ohne Fingerabdruck nicht mehr. Die Argumente der Politik, man wollte den Ausweis so fälschungssicher wie möglich machen und Betrugsfälle verhindern, scheinen plausibel. Allerdings gilt zu bedenken, dass der Fingerabdruck als biometrisches Datum gem. Art. 9 Abs. 1 DSGVO ein besonders sensibles personenbezogenes Datum ist und damit besonders schützenswert. Ob tatsächlich die Notwendigkeit besteht, Fingerabdrücke aller EU-Bürger auf den jeweiligen Pässen zu hinterlegen, um verschiedene Sicherheitsziele zu erreichen, wie Fälschungssicherheit und es dafür keine vergleichbaren, milderen Mittel gibt, erscheint zumindest diskutabel.
Gemeinsame Verantwortlichkeit und Social Media
Joint Controller und Auftragsverarbeitung unterscheidet sich dadurch, dass bei der Auftragsverarbeitung der Auftraggeber gegenüber dem Auftragnehmer weisungsbefugt ist. Das heißt: Der Auftragnehmer verarbeitet die Daten nur nach Anweisung des Auftraggebers und nicht zu eigenen Zwecken. Der Auftraggeber ist hier „Herr der Daten“.
Bei einem Joint Controller (zu deutsch auch: gemeinsame Verantwortlichkeit, Art. 26 DSGVO) sind beide Parteien gleichberechtigt und entscheiden gemeinsam über Art und Zwecke der Verarbeitung.
Zum speziellen Fall Facebook wurde bereits mit Urteil des Europäischen Gerichtshofs (EuGH) vom 5. Juni 2018 in der Rechtssache C-210/161entschieden, dass hier keine Auftragsverarbeitung, sondern eine gemeinsame Verantwortlichkeit vorliegt. Dies wird damit begründet, dass sowohl das Unternehmen die auf der Unternehmens-Facebook-Fanpage gesammelten Daten nutzt, als auch Facebook selbst, indem Facebook Nutzerstatistiken erstellt und für eigene Zwecke auswertet.
Basierend auf diesem Urteil stellt sich die Frage, ob für die Nutzung andere Social Media Dienstleister ein Vertrag zur Auftragsverarbeitung überhaupt ausreichend ist. Die Social Media Anbieter behalten sich zumeist vor, die Daten zu eigenen Zwecken zu nutzen. Dies ist keinesfalls mit einem Auftragsverarbeitungsverhältnis vereinbar. Wie Sie wissen, herrscht hier eine strenge Weisungsgebundenheit seitens des Auftragnehmers gegenüber Ihrem Unternehmen. Wenn die Daten zu weiteren Zwecken dienen, also nicht ausschließlich dem Zweck, den Ihr Unternehmen verlangt, liegt keine Auftragsverarbeitung vor und es ist zu prüfen, ob stattdessen ein Joint-Controller-Vertrag gem. Art. 26 DSGVO abzuschließen ist. Allerdings bieten die meisten Social Media Dienste den Abschluss dieses Vertrages nicht an, sodass Sie hier in einem Dilemma stecken. Als Nutzer dieser Dienste stehen Sie – für den Fall, dass eigentlich eine gemeinsame Verantwortung vorliegt – eben mit in der Verantwortung. Bei Nutzung der Dienste haben Sie jedoch keinen Einfluss darauf und müssen die von den Diensten zur Verfügung gestellten Verträge nutzen; die sich zurzeit nur auf die Auftragsverarbeitung berufen.
Die DSGVO und die USA
Mit dem Schrems-II-Urteil des EuGH vom 16.07.2020 wurde das EU-US-Privacy Shield für ungültig erklärt. Folglich sind seitdem Datenübermittlungen aus der EU in die USA, die sich zuvor auf dieses Abkommen gestützt hatten unrechtmäßig (Wir berichteten.
Einen Ausblick, wie es an dieser Front weitergeht, kann nur schwer gegeben werden. Vielleicht kann der Personalwechsel im Weißen Haus ein Wendepunkt darstellen. Zumindest gibt es bereits seit dem 01.01.2020 im Bundesstaat Kalifornien ein Datenschutzgesetz (CCPA), das der DSGVO zumindest nachempfunden ist. Es läge dann an der Biden-Regierung, ein entsprechendes Bundesgesetz zu erlassen. Tatsächlich absehbar ist ein solches Vorgehen momentan allerdings nicht.
Aufsichtsbehörden werden aktiver
Es ist ein Trend, der sich schon Anfang letzten Jahres abgezeichnet hat: Die Anzahl der Bußgelder, die wegen Datenschutzverstößen verhängt werden, steigt drastisch. Dies liegt zum einen daran, dass die „Schonfrist“ für Unternehmen zur Umsetzung der Forderungen aus der DSGVO nun endgültig vorbei zu sein scheint. Andererseits sind die Menschen nach über zwei Jahren Datenschutzgrundverordnung viel mehr auf dieses Thema sensibilisiert und sich ihrer Rechte bewusst. Das führt wahrscheinlich dazu, dass viel mehr Verstöße (die es zuvor wahrscheinlich auch schon gegeben hat) überhaupt aufgedeckt werden. Also wieder ein Grund mehr, das Thema Datenschutz im Unternehmen ernst zu nehmen und anzupacken.
Egal was 2021 nun auch bereithalten mag: Wir sind gewappnet und auch in diesem neuen Jahr der verlässliche Partner in Sachen Datenschutz!
Weiterführende Links
https://www.datenschutzkonferenz-online.de/media/pm/20201228_pm_Brexit.pdf
https://sidit.de/blog/eughurteil-zum-euus-privacy-shieldhttps://sidit.de/blog/euus-privacy-shield-gekippt-und-jetzt
https://sidit.de/blog/euus-privacy-shield-gekippt-was-passiert-mit-den-standardvertragsklausel
https://sidit.de/blog/schrems-ii-bayerisches-landesamt-fur-datenschutzaufsicht-positioniert-sich,
https://sidit.de/blog/handlungsleitfaden-zum-umgang-mit-schrems-ii
Kein Kommentar