Ihr Kinderlein kommet, oh kommet doch all…Wir haben es fast geschafft, das Christkind naht und das Jahr ist fast vorbei. Daher ist es auch wieder Zeit für unseren obligatorischen Jahresrückblick, geprägt von Datenpannen die durch die Medien gingen, Corona-Datenschutzthemen und neuen Gesetzgebungen…

10.400.000 EURO BUSSGELD WEGEN VERSTÖSSEN BEI DER VIDEOÜBERWACHUNG

Die Landesbeauftragte für den Datenschutz in Niedersachsen, Barbara Thiel, verhängte gegen den Online-Versandhandel Notebooksbilliger.de ein Bußgeld von 10,4 Millionen Euro. Aufgrund unrechtmäßiger Videoüberwachung der eigenen Mitarbeitern, ähnelt der Fall dem Bußgeld gegen H&M von 35,3 Millionen Euro durch die Hamburger Aufsichtsbehörde. Auch hier wurden Mitarbeiter ohne Einwilligung bzw. Rechtsgrundlage abgehört und aufgezeichnet.

Abgesehen von den eigene Mitarbeitern wurden teilweise auch Kunden des Unternehmens überwacht. Die Überwachungsanlagen waren zum Teil auf Sitzgelegenheiten in den Verkaufsräumen ausgerichtet. Die dadurch Betroffenen besitzen hohe Schützenswerte Interessen, welche höher als die Interessen des Unternehmens anzusehen sind.

KRITISCHE SICHERHEITSLÜCKE AUF MS EXCHANGE SERVER

Im März diesen Jahres gab es gezielte Angriffe von chinesischen Staatshackern auf Exchange-Server. Notfall-Patches wurden zwar sofort released um die Sicherheitslücke direkt zu schließen. Die Lücke ermöglichte aber einen dauerhaften Zugriff mit Systemberechtigung auf den kompletten Exchange-Servern, wodurch Informationen aus den Postfächern und Adressbüchern ausgelesen werden konnten.

Der amerikanische Konzern macht die Hackergruppe Hafnium für den Angriff verantwortlich. Besondere Fokus der Angriff läge besonders auf Gesundheitseinrichtungen, Anwaltskanzleien, Hochschuleinrichtungen und Rüstungsunternehmen. Das BSI rief Bedrohungslage 4 aus, was bedeutet, dass die Bedrohungslage extrem kritisch ist, viele Dienste ausfallen und somit nicht mehr erreichbar sind. Betroffene Unternehmen mussten dies bei den Aufsichtsbehörden als Datenpanne melden.

DATENLECK BEI FACEBOOK: MINDESTENS 500 MILLIONEN BETROFFENE

Im April waren Personenbezogene Daten von knapp einer halben Milliarde Facebook-Nutzern im Netz aufgetaucht. Dabei handelte es sich nicht nur um E-Mail-Adressen, sondern unter anderem auch um Telefonnummern, die mit den betroffenen Konten verknüpft waren. Verantwortliche des US-Konzern spielten den Vorfall leichtfertig herunter. Der Konzern argumentierte, dass hierbei keine neue Daten betroffen waren. Es handle sich bei den betroffenen Daten um Konten und Personen, die bereits beim letzten Datenleck betroffen waren. Ein schwacher Trost für die Betroffenen und ein Schlag ins Gesicht des Datenschutzes. Prompt wurden auch Spam-SMS an die betroffenen Rufnummern versendet.

EU-KOMMISSION NIMMT ANGEMESSENHEITSBESCHLUSS ZUM VEREINIGTEN KÖNIGREICH AN

Die Kommission hat Ende Juni den Angemessenheitsbeschluss zum Vereinigten Königreich angenommen.. Personenbezogene Daten können seither wieder ungehindert aus der Europäischen Union in das Vereinigte Königreich fließen, wo für sie dort ein Schutzniveau gilt, das dem nach dem EU-Recht garantierten Schutzniveau der Sache nach gleichwertig ist. Der Angemessenheitsbeschluss enthält starke Garantien für den Fall etwaiger künftiger Abweichungen, darunter eine Verfallsklausel, durch die die Geltungsdauer auf vier Jahre begrenzt wird.

NEUE STANDARDVERTRAGSKLAUSELN VERÖFFENTLICHT

Im Juni veröffentlichte die EU-Kommission die neuen Standardvertragskluaseln (SCC). Sie enthalten eine Vielzahl von „Schrems-II“-Verpflichtungen, damit die Anforderungen des Europäischen Gerichtshofs und des Europäischen Datenschutzausschusses an Drittlandtransfers erfüllt werden. Dennoch wird der Abschluss der neuen Standardvertragsklauseln allein in der Regel nicht ausreichen, um diese Anforderungen vollständig zu erfüllen. Vielmehr wird nach wie vor häufig die Implementierung ergänzender Schutzmaßnahmen erforderlich sein. Sie sehen eine obligatorische Datentransfer-Folgenabschätzung (TIA) vor, die von den Beteiligten durchgeführt werde muss. Beide Parteien müssen versichern, dass sie keine Zweifel an der Einhaltung europäischer Datenschutzstandards im Land des Datenimporteurs haben. Dies könnte im Hinblick gerade auf US-Importeure in Anbetracht der Schrems II-Entscheidung des EuGH in Teilen unter Umständen problematisch werden. Die Folgenabschätzung ist zu dokumentieren und den Aufsichtsbehörden auf Verlangen vorzulegen. Die neuen Standardvertragsklauseln sind bereits seit dem 27.09.2021 zwingend für Neuverträge zu verwenden. Spätestens bis zum 27.12.2022 muss eine Umstellung sämtlicher Altverträge auf die neuen Klauseln erfolgt sein.

ANSPRUCH AUF KOPIEN ALLER PERSONENBEZOGENER DATEN BEI AUSKUNFTSERSUCHEN

Das Oberlandesgericht München schockierte im Oktober mit einem richtungsweisenden Urteil bezüglich Art. 15 DSGVO. Betroffene Personen haben gemäß Artikel 15 Absatz 3 DSGVO Anspruch auf Kopien aller ihrer personenbezogenen Daten. Der Kläger verlangte, dass die Beklagten ihm Kopien aller personenbezogenen Daten, einschließlich der angeforderten Notizen, Vermerke und Dokumente, zu Verfügung zu stellen. In der Verhandlung stellte das Gericht fest, dass es sich bei den fraglichen Daten tatsächlich um personenbezogene Daten handelte, und verurteilte die Beklagten, der Betroffenen Person Kopien aller ihrer personenbezogenen Daten auszuhändigen. Die Beklagten legten beim OLG München Berufung ein, um die Entscheidung des Erstgerichts aufzuheben. Das Berufungsgericht wies die Klage der Beklagten ab und bestätigte die Entscheidung des Erstgerichts.

Die Beklagte musste so dementsprechend, dem Kläger Kopien von Telefonnotizen, Notizen und Protokollen aushändigen.

NEUE DOKUMENTATIONS- UND AUFBEWAHRUNGSPFLICHTEN IN DER TELEFONWERBUNG SEIT DEM 01.10.2021

Seit dem 01.10.2021 gelten mit einem neuen §7a UWG ausdrückliche Dokumentations- und Einwilligungspflichten für Verbrauchereinwilligungen in Bezug auf Telefonwerbemaßnahmen. Diese sollen eine lückenlosere und effizientere Durchsetzung des Einwilligungserfordernisses begünstigen. Wie die Dokumentation und Aufbewahrung rechtssicher durchzuführen ist, gibt das Gesetz nicht vor, wird aber durch Auslegungsleitlinien der Bundesnetzagentur konkretisiert. Von besonderer Bedeutung ist hierbei auch der Umgang mit „Alteinwilligungen“, für die bei ab dem 01.10.2021 erneuter erstmaliger Verwendung zwingend vor dem Telefonanruf die neuen Dokumentationsmaßstäbe einzuhalten sind.

DATENSCHUTZ UND 3G AM ARBEITSPLATZ

Galt es aus Datenschutzsicht bis zum Herbst noch, dass auf keinen Fall der Impfstatus der Mitarbeiter erhoben werden durfte, so änderte sich dies schlagartig im November. Die neu hinzugekommenen Regelungen des betrieblichen Infektionsschutzes in §28b des Infektionsschutzgesetzes, die befristet bis einschließlich 19. März 2022 gelten, sehen vor, dass  Arbeitgeber und Beschäftigte bei Betreten der Arbeitsstätte eine Impf- und Genesenennachweis oder eine aktuelle Bescheinigung über einen negativen Coronatest mitführen müssen. Arbeitgeber müssen kontrollieren, ob die Beschäftigten dieser Verpflichtung nachkommen und diese Kontrollen dokumentieren.

TELEKOMMUNIKATION-TELEMEDIEN-DATENSCHUTZGESETZ (TTDSG) SEIT 1.12.2021 IN KRAFT

Am 1.12.2021 ist das Telekommunikations-Telemediendatenschutz-Gesetz (TTDSG) – in Kraft getreten. Es ist ein Bundesgesetz und enthält spezifische Datenschutzvorschriften für Anbieter von Telekommunikationsdiensten (insbesondere Telefon- und Internetanschlüsse) und Telemediendiensten (Webseiten). Vorschriften zum Datenschutz und für den Schutz der Privatsphäre in der Telekommunikation. Das TTDSG enthält nur wenige Datenschutzvorschriften für Telemedien, die die DS-GVO ergänzen. Es ist nun klargestellt, dass auf Webseiten grundsätzlich die Vorschriften der DS-GVO anzuwenden sind. Das TTDSG enthält im Unterschied zum bisher geltenden TMG keine spezifischen Erlaubnistatbestände für Bestands- und Nutzungsdaten bei Telemedien, sodass allein Art. 6 und Art. 9 DS-GVO für die Rechtmäßigkeit der Verarbeitung maßgeblich sind. § 21 TTDSG regelt nur, in welchen Fällen ein Auskunftsanspruch gegenüber dem Anbieter von Telemedien für Bestandsdaten besteht. Es gibt auch keine Sonderregelung für die elektronische Einwilligung mehr (ehemals § 13 Abs. 2 und 3 TMG), so dass allein die Vorschriften der DS-GVO maßgeblich sind. Neu ist § 23 TTDSG, wonach Anbieter von geschäftsmäßigen Telemediendiensten unter besonderen Voraussetzungen verpflichtet werden können, an Strafverfolgungsbehörden und die Polizei Passwörter oder Zugangsdaten für Webseiten weitergeben zu müssen. Für Anbieter von Telemedien gibt es eine Ausnahmeregelung. Danach ist keine Einwilligung notwendig, wenn der Einsatz der Cookies oder die Einbindung von Drittdiensten unbedingt erforderlich sind, damit Anbieter eines Telemediendienstes einen vom jeweiligen Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen können. Da es sich um eine Ausnahmeregelung handelt, ist grundsätzlich von einem engen Verständnis auszugehen, so dass es nur wenige Cookies und Drittdienste geben wird, die ohne eine Einwilligung auf der Webseite eingesetzt werden können.