Datenschutz Jahresrückblick 2021 – Teil 3
Nach den Sommerferien ging es dann weiter mit den Nachwirkungen des Schrems II-Urteils. Aus mehreren Aufsichtsbehörden kamen erneut Warnungen über den Einsatz von Diensten, über die personenbezogene Daten in Drittstaaten übermittelt werden, so zum Beispiel aus Hamburg zum Dienst „Zoom“ und (weniger formal, aber im Kern mit denselben Aussagen) aus Niedersachsen zum Thema Office 365.
Auch das Thema Cookies und Tracking nahm schnell wieder Fahrt auf, spätestens im August mit der Information der Berliner Beauftragten für den Datenschutz und Informationsfreiheit über die Ergebnisse einer branchenübergreifenden Prüfaktion von Webseiten im Hinblick auf rechtswidriges Tracking. Auch die neue gesetzliche Regelung zum Einsatz von Cookies im neuen Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (kurz „TTDSG“) warf zu dem Zeitpunkt schon ihre Schatten voraus. Wir informierten im Infobrief 04/2021 über die mit dem Gesetz einhergehenden Neuerungen.
Und nochmal Drittstaatentransfers: Kurz vor Ablauf der Frist für die mögliche Nutzung der „alten“ Standardvertragsklauseln bei Neuverträgen am 27.09. regten sich die ersten großen Unternehmen und boten die schon lange erwarteten neuen Standardverträge in unterschiedlichen Konstellationen zum Abschluss an. Es wird im nächsten Jahr definitiv spannend, inwiefern sich die verschiedenen Module und Konstellationen der Klauseln in der Praxis etablieren werden und welche Auswirkungen dies auf die Legitimation der Datentransfers aus Sicht der Gerichte und Behörden hat.
Zum Jahresende meldete sich auch der Europäische Datenschutzausschuss noch einmal mit einer neuen Guideline – dieses Mal zu der in Fachkreisen durchaus umstrittenen Frage des Zusammenspiels zwischen dem Anwendungsbereich der DSGVO (Art. 3) und den Regelungen aus Kapitel 5 DSGVO (Drittstaatentransfers). Die Richtlinie gibt spannende Einblicke – zugegebenermaßen allerdings wohl eher für Personen, die sich täglich mit Datenschutz auseinandersetzen. Die Richtlinie steht nun zur öffentlichen Diskussion und wird daher wohl im neuen Jahr noch einmal aktualisiert werden.
Zu guter Letzt beschäftigte uns zum Ende des Jahres nochmal Corona. Durch die erneut angespannte Infektionslage und die damit einhergehenden verschärften Maßnahmen wurden schlussendlich die notwendigen gesetzlichen Grundlagen zur Durchsetzung von „3G“ am Arbeitsplatz geschaffen. Mit diesen ist es nun möglich, Informationen zum Impf- und Genesenenstatus der Beschäftigten auf rechtmäßige Art und Weise zu erheben und zu dokumentieren, auch wenn weiterhin viele Unklarheiten im Bezug auf die konkrete Durchführung der geforderten Kontrollen und Dokumentationen bestehen. Wir informierten Sie zu diesem Thema kurzfristig außerhalb des Infobriefs im Rahmen eines Infoblattes. Die bei den Kontrollen erhobenen Daten müssen spätestens sechs Monate nach Erhebung gelöscht werden – auch dieses Thema wird uns demnach in 2022 weiter verfolgen.
Und als wir dachten, das Jahr sei schon vorbei, kam eine weitere Schwachstelle in IT-Systemen – dieses Mal in der Java-Bibliothek „log4j“ – zum Vorschein, die zahlreiche Anwendungen und Systeme bedroht. Wir informierten hierzu kurzfristig auf unserer Webseite. Bezogen auf das kritische Thema der Meldepflicht in diesem Fall äußerten sich bisher (Stand 15.12.) Aufsichtsbehörden aus Bayern (BayLDA).