Datenschutz Jahresrückblick 2021 – Teil 1
Auch das Jahr 2021 war wieder turbulent. Besonders die Themenkomplexe Drittstaatentransfers und Webseiten waren in unserer Beratungstätigkeit konstant hoch im Kurs. Das EuGH-Urteil zum Privacy Shield aus dem Juli 2020 wirkte weiter nach, während am Horizont schon neue Regelungen zu Cookies & Co. auf uns warteten. Aber schauen wir uns doch gemeinsam chronologisch an, was in diesem Jahr alles geschah
Mit Beginn des Jahres 2021 wurde Großbritannien durch den Austritt aus der EU formell zu einem Drittland. Das hätte auch direkte Auswirkungen auf den Datenschutz gehabt – wäre nicht kurz vor Ende der Frist noch ein Übergangsabkommen abgeschlossen worden. Dieses Abkommen regelte unter anderem, dass Datenübermittlungen nach Großbritannien bis zum Ende einer Übergangsfrist weiterhin gerechtfertigt sind und im Endeffekt so behandelt werden, als wäre Großbritannien weiterhin Teil der EU (wir informierten Sie im Rahmen des Infobriefs 01/2021 zu diesem Thema).
Ebenfalls im Januar wurde bekannt, dass die Datenschutzaufsichtsbehörde in Niedersachsen ein Bußgeld von 10,4 Millionen Euro gegenüber dem Onlinehändler notebooksbilliger.de verhängt hat. Der Grund war eine unrechtmäßige Videoüberwachung in den Geschäfts- und Verkaufsräumen des Unternehmens.
Ein weiteres Bußgeld verhängte im März dann die Aufsichtsbehörde in Baden-Württemberg. Dieses Mal erwischte es die VfB Stuttgart 1893 AG, die aufgrund von Mängeln im Datenschutzmanagement ein Bußgeld von 300.000 Euro bezahlen musste. Das Bußgeld fiel laut Hinweisen der Aufsichtsbehörde relativ niedrig aus, da sich das Unternehmen sehr kooperativ zeigte. Darüber hinaus hat sich die VfB Stuttgart 1893 AG dazu verpflichtet, das Projekt „Datenschutz macht Schule“ und weitere Projekte für die Schulung und Sensibilisierung von Kindern und Jugendlichen zu fördern.
Quasi zeitgleich sorgte das Thema „Hafnium“ für reichlich Überstunden in jeglichen Datenschutz- und IT-Sicherheitsteams. Der Grund war die bisher wohl umfangreichste Sicherheitslücke in Microsoft Exchange-Servern, die dazu führte, dass ein Großteil aller Exchange-Server angreifbar und vermutlich bei Bekanntwerden der Lücke schon mit Schadsoftware infiziert waren. Dadurch war es potenziell möglich, dass Daten abfließen, weshalb das Thema auch im Datenschutz eine hohe Relevanz hatte. Heiß diskutiert wurde dabei vor allem die Meldepflicht des Vorfalls an die Aufsichtsbehörde im Rahmen von Art. 33 DSGVO. Hinzu kam, dass die Schwachstelle kurz nach Bekanntwerden durch weitere verschiedene Ransomwares (z.B. „DearCry“) aktiv ausgenutzt wurde.
Wo wir gerade bei Datenschutzvorfällen sind: Bereits im Januar hatte der Europäische Datenschutzausschuss eine Richtlinie für die Meldung von Datenschutzvorfällen zur Konsultation veröffentlicht. Die vorläufige Richtlinie sowie das dazu abgegebene Feedback von diversen Stellen kann hier abgerufen werden.