Neues Jahr - neue Urteile, Leitlinien und Orientierungshilfen

Zum Jahreswechsel werden ja oft Strom-, Wasser- und Heizungszähler abgelesen. Die Datenschutzkonferenz hat nun eine Orientierungshilfe zur Datenverarbeitung im Zusammenhang mit funkbasierten Zählern herausgegeben. Sie bietet einen Überblick über die erfassten Datenkategorien, die relevanten Rechtsgrundlagen sowie die Rechte der betroffenen Personen, sowohl Mieter als auch Vermieter und Hausverwaltungen. Außerdem enthält sie Empfehlungen zur datenschutzkonformen Verarbeitung der Verbrauchsdaten.

Eine weitere Orientierungshilfe der Datenschutzkonferenz beschäftigt sich mit den datenschutzrechtlichen Anforderungen für Anbieter digitaler Dienste. Sie bietet einen Überblick über den Anwendungsbereich des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG), das Regelungen zum Schutz der Privatsphäre bei der Nutzung von Endeinrichtungen sowie Vorgaben zu technischen und organisatorischen Maßnahmen enthält; und hier insbesondere §25 TDDDG, wonach die Speicherung von und der Zugriff auf Informationen in Endeinrichtungen in der Regel nur mit einer ausdrücklichen Einwilligung der Nutzenden zulässig sind. Ein besonderes Augenmerk liegt auf der Gestaltung der entsprechenden Einwilligungsbanner, um Nutzungsfreundlichkeit und Transparenz in Einklang zu bringen.

Und schließlich hat die Hamburger Datenschutzaufsicht einen „Familienguide für den digitalen Dschungel“ herausgegeben – sicherlich auch gerade kurz nach Weihnachten von besonderer Bedeutung, nachdem in vielen Familien neue Geräte verschenkt wurden.

Das OLG München hat derweil entschieden, dass das Weiterleiten von E-Mails mit sensiblen Daten oder Daten Dritter vom Firmen-E-Mail-Account an den privaten Account eine außerordentliche Kündigung rechtfertigen kann. Es sei zwar nicht grundsätzlich jeder Verstoß gegen die DSGVO ein wichtiger Kündigungsgrund im Sinne von § 626 Abs. 1 BGB, vielmehr würde dies von den Inhalten der Mails und der Häufigkeit der Weiterleitung abhängen. (Der Kläger hatte mehrfach dienstliche E-Mails mit sensiblen Informationen über Gehälter, Provisionen und internen Vorgängen an seine private E-Mail-Adresse weitergeleitet. Er argumentierte, dies sei  notwendig gewesen, um seine Arbeit effizient zu erledigen und sollte der Selbstabsicherung in einem späteren Haftungsfall dienen.) Nach Art. 5 Abs. 1 f) DSGVO müssen personenbezogene Daten jedoch so verarbeitet werden, dass ihre Vertraulichkeit gewährleistet bleibt. Die Weiterleitung solcher E-Mails an einen privaten Account stellt ein hohes Risiko für die Vertraulichkeit und Sicherheit der darin enthaltenen Daten dar, da private E-Mail-Konten in der Regel nicht den gleichen Sicherheitsstandards unterliegen wie geschäftliche Systeme. Daher war vorliegend die außerordentliche Kündigung des Vorstands einer Aktiengesellschaft gerechtfertigt.

Neues gibt es auch vom EuGH: Im Oktober 2024 wurde entschieden, dass die Daten, die ein Kunde für eine Bestellung von apothekenpflichtigen Arzneimitteln über eine Online-Plattform angibt (einschließlich Namen, Lieferadresse und für die Individualisierung der Arzneimittel notwendige Informationen), als Gesundheitsdaten im Sinne von Art. 9 DSGVO gelten. Im vorliegenden Fall hatte eine Apotheke seit 2017 Medikamente auch bei Amazon vertrieben. Durch die Verarbeitung der Daten  können Informationen über den Gesundheitszustand einer natürlichen Person offengelegt werden, entschied das Gericht. Ob die bestellende Person dabei auch diejenige ist, die die Medikamente benötigt, sei unerheblich. Da die Verarbeitung von Gesundheitsdaten ein hohes Schutzniveau verlangt, sei eine besondere, darauf ausgerichtete Einwilligung erforderlich.

Eine weitere EuGH-Entscheidung mit Bezug zu Artikel 9 DSGVO (Verarbeitung besonderer Kategorien personenbezogener Daten) hat mal wieder Max Schrems erstritten: Soziale Netzwerke dürfen demnach nicht sämtliche personenbezogene Daten für Zwecke zielgerichteter Werbung verarbeiten. Der Grundsatz der Datenminimierung (Artikel 5) verbiete, dass eine Online-Plattform uneingeschränkt, zeitlich unbegrenzt und ohne Unterscheidung nach ihrer Art personenbezogene Daten für zielgerichtete Werbezwecke aggregiert, analysiert und verarbeitet. Max Schrems hatte in einer öffentlichen Podiumsdiskussion Informationen über seine sexuelle Orientierung offengelegt. Da diese Daten außerhalb der Plattform öffentlich gemacht worden waren, entschied der EuGH, dass Meta sie nicht fürs Behavioural Online Advertising sammeln, analysieren und weiter verarbeiten darf, d.h. keine personalisierte Werbung auf dieser Basis ausspielen darf – und das obwohl Max Schrems die Information selbst preisgegeben hat.

Weiterhin hat es der EuGH Meta untersagt, persönliche Daten zeitlich unbegrenzt zu verwenden. So dürfte ein Like von vor zehn Jahren nicht mehr ohne Weiteres Einfluss darauf haben, was man heute sieht. Die Entscheidung gilt auch für alle anderen Unternehmen, die Werbung personalisieren. Max Schrems‘ Organisation noyb schlussfolgert: Nach diesem Urteil darf nur ein kleiner Teil des Datenbestands von Meta für Werbung verwendet werden und nicht alles aus den letzten zwanzig Jahren seit der Gründung von Facebook. Dies gelte sogar, wenn Nutzer explizit zugestimmt haben, dass ihnen personalisierte Werbung angezeigt werden darf. Allerdings ergeben sich weder aus dem Urteil noch aus der DSGVO konkrete Fristen, bis wie weit in der Vergangenheit die Online-Plattformen Daten nutzen dürfen.

Im dritten Urteil hat der EuGH entschieden, dass die Polizei auf personenbezogene Daten auf Handys nicht nur im Falle schwerer Kriminalität zugreifen darf, sofern der Zugriff durch ein Gericht oder eine unabhängige Behörde genehmigt wurde und die Verhältnismäßigkeit gewahrt bleibt. Konkret hatte die österreichische Polizei im Rahmen einer Drogenkontrolle etwas Cannabis gefunden und daraufhin das Handy der Person sichergestellt. Im Einklang mit österreichischem Recht versuchte die Polizei, das Handy ohne vorherige Genehmigung zu entsperren, um auf die gespeicherten Daten zuzugreifen. Weder wurden die Entsperrungsversuche dokumentiert noch der Betroffene informiert. Der erfuhr erst im Nachhinein davon, nachdem er bereits gegen die Sicherstellung Beschwerde eingelegt hatte.

Zwar stellte das Gericht klar, dass ein schwerwiegender Eingriff in die Grundrechte des Betroffenen vorliegen kann, da Nachrichten, Fotos oder der Browserverlauf tiefgreifende Einblicke ins Privatleben geben und sensible Informationen enthalten. Eine entscheidende Rolle bei der Bewertung, ob der Zugriff verhältnismäßig ist, spiele zwar die Schwere der Straftat, die den Ermittlungen zugrunde liegt. Jedoch sollte der Zugriff nicht pauschal auf schwere Kriminalität beschränkt werden, um nicht die Befugnisse der Ermittlungsbehörden unangemessen einzuschränken. Dies würde die Gefahr erhöhen, dass jemand straflos davonkommen könnte. Zum Schutz der Daten stellte der EuGH jedoch klar, dass erstens die Polizei immer eine unabhängige Genehmigung braucht, dass zweitens der Zugang zu den Daten, v.a. welche Straftaten diesen legitimieren, durch den nationalen Gesetzgeber geregelt sein muss und dass drittens die betroffene Person über die Gründe für den Datenzugriff informiert werden muss, sobald dies die Ermittlungen nicht mehr gefährdet.

Nicht nur der Europäische Gerichtshof war in letzter Zeit wieder sehr aktiv, sondern auch der Europäische Datenschutzausschuss. Dieser hat beispielsweise die Kriterien für die vorzunehmende Interessensabwägung nach Art. 6 Abs. 1 f) DSGVO überarbeitet. Gemäß der neuen Leitlinien müssen drei Kriterien kumulativ erfüllt sein: Erstens muss die Verarbeitung personenbezogener Daten dem berechtigten Interesse des Verantwortlichen oder eines Dritten dienen. Es muss genau formuliert werden und legitim sein. Zweitens muss die Verarbeitung für die Zwecke des verfolgten berechtigten Interesses notwendig sein und es soll geprüft werden, ob es nicht ebenso wirksam durch andere Mittel erreicht werden kann. Drittens dürfen die Interessen oder Grundfreiheiten der betroffenen Person keinen Vorrang vor den berechtigten Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten haben. Die Leitlinien geben eine detaillierte Anleitung, wie die Bewertung im Rahmen konkreter Beispiele wie der Betrugsbekämpfung, der Verarbeitung personenbezogener Daten von Kindern oder für die Zwecke des Direktmarketings durchgeführt werden kann und sie beleuchten auch die Rechte der betroffenen Person im Verhältnis zu Art. 6 Abs. 1 lit. f DSGVO.

Die EU plant, für Besucher aus dem (visafreien) Ausland auch eine Reisegenehmigung (ETIAS) einzuführen, ähnlich dem ESTA-System in den USA. Der Start hat sich schon mehrfach verzögert, weil es – Überraschung! – unter anderem Bedenken beim Datenschutz gibt. Der Europäische Datenschutzausschuss hat die EU-Kommission in einem offenen Brief zur Einhaltung der datenschutzrechtlichen Anforderungen bei der Implementierung aufgefordert.

Und zu guter Letzt hat der Europäische Datenschutzausschuss eine Stellungnahme zu den Pflichten von Verantwortlichen bei der Beauftragung von Auftrags- und Unterauftragsverarbeitern veröffentlicht: Verantwortliche müssend demnach jederzeit Informationen über deren Identität bereithalten. Diese sollen von den Auftragsverarbeitern bereitgestellt und aktualisiert werden. Außerdem müssen Verantwortliche hinreichende Garantien bieten, dass sie geeignete Maßnahmen zum Schutz der betroffenen Personen ergreifen und die Verarbeitung im Einklang mit der DSGVO erfolgt. In der Stellungnahme geht es auch um Drittlandsübermittlungen, die der Auftragsverarbeiter entsprechend dokumentieren muss. Das ist doch mal ein guter Neujahrsvorsatz. :-)

Weitere Artikel

Konfigurationsbox öffnen