Jahresrückblick 2020

Jahresrückblick 2020

Im Datenschutz wird es nicht langweilig. Das zeigen schon die letzten Jahre. Im Jahr 2018 mussten wir uns alle den neuen Herausforderungen der DSGVO stellen. Im Jahr 2019 standen die Fanpages vor dem Aus. Wer dachte, in 2020 würde nun ein bisschen Ruhe einkehren, hatte sich getäuscht. Als ob die Pandemie nicht schon genug die Welt aus den Fugen geworfen hätte, sorgten die Gerichte und Aufsichtsbehörden für einigen Trubel in der Datenschutzwelt. Aber lesen Sie selbst.

Das Jahr 2020 begann bereits vielversprechend – im Januar beherrschten Meldungen über Datenpannen die Nachrichten. So legte eine Emotet-Welle das Kammergericht Berlin lahm und beim Autovermieter Buchbinder lagen mal eben drei Millionen Kundendaten öffentlich im Netz.

Dann nahmen die Gerichte Fahrt auf. Bereits durch die Vorgaben des Europäischen Gerichtshofs (EuGH), aus dem Planet 49 -Urteil, war jeder des Themas Cookie-Banner überdrüssig. Im Mai kam dann die Klarstellung des Bundesgerichtshofs (BGH): Cookies dürfen grundsätzlich nur mit Einwilligung der Nutzer eingesetzt werden (BGH Urteil v. 28.5.2020, Az. I ZR 7/16, „Cookie-Einwilligung II“). Einzige Ausnahme seien technisch notwendige Cookies. Die Aufsichtsbehörde Niedersachsen hat außerdem kürzlich eine Handreichung zu datenschutzkonformen Einwilligungen auf Webseiten veröffentlicht; der Europäische Datenschutzausschuss hatte im Mai bereits eine Guideline zu den grundlegenden Voraussetzungen einer Einwilligung veröffentlicht.

Der größte Knall in 2020 – mal abgesehen von der Corona-Pandemie – kam allerdings aus dem Europäischen Gerichtshof (EuGH), der im Juli das bis dahin geltende EU-US Privacy Shield-Abkommen für ungültig erklärte (Urteil v. 16.07.20, Az. C-311/18, „Schrems-II“). Weitergehende Informationen zu diesem Thema wurden inzwischen unter anderem von dem Europäischen Datenschutzausschuss (EDSA), dem Bundesbeauftragten für Datenschutz und Informationssicherheit (BfDI) und der Datenschutzkonferenz (DSK) veröffentlicht. Eine Übersicht über Beiträge ausgewählter Stellen zum Urteil finden Sie zudem auf der Webseite des GDD. In Reaktion auf das Urteil hat die EU-Kommission kürzlich einen neuen Entwurf für aktualisierte Standardvertragsklauseln veröffentlicht.

Beide Urteile wurden inmitten der Corona-Pandemie veröffentlicht – insbesondere das EuGH-Urteil heizte so die vorhandenen Diskussionen rund um die Themen Homeoffice und Videokonferenzen noch weiter an. Apropos Videokonferenzen – im Mai dieses Jahres legte sich die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) kurzerhand mit Microsoft an. So veröffentlichte die BlnBDI Informationen zur „Durchführung von Videokonferenzen während der Kontaktbeschränkungen“ und machte in dieser deutlich, dass die gängigen Produkte, unter anderem der Dienst „Teams“ von Microsoft, nicht datenschutzkonform genutzt werden könnten. Gegen diese Informationen wehrte sich Microsoft; die BlnBDI nahm die in Frage stehenden Informationen zunächst von der Website, um sie dann wenige Tage später nur marginal angepasst wieder zu veröffentlichen. Wenige Monate später verständigte sich die DSK dann auf eine gemeinsame Orientierungshilfe zum Thema Videokonferenzsysteme mit einer Checkliste für den Einsatz solcher Systeme.

Corona machte auch nicht vor der Datenschutzwelt halt. Die Eindämmung der Pandemie und die damit verbundenen Erfassungen und Nachverfolgung von Fällen, stellen immer auch einen Eingriff in die informationelle Selbstbestimmung der betroffenen Person dar. Nicht nur Flughäfen und Krankenhäuser mussten sich Teststrategien ausdenken, auch der Arbeitgeber musste Konzepte entwickeln, um seine Mitarbeiter bestmöglich vor dem Virus zu schützen. Bereits Anfang April hat die Datenschutzkonferenz (DSK) in einer Entschließung darauf hingewiesen, dass auch in Zeiten der Pandemie Datenverarbeitungen auf eine Rechtsgrundlage zu stützen sind und erforderlich für den jeweiligen Zweck sein müssen. Dieser abstrakt formulierten Stellungnahme folgten glücklicherweise noch konkrete Hilfestellungen im Kontext Datenschutz und Corona. So veröffentlicht der Bundesbeauftragte für Datenschutz auf seiner Webseite fortlaufend Informationen zu verschiedenen Themenbereichen der Corona-Pandemie. Hier finden sich auch Verweise auf Aussagen der Landesbehörden. Im September hat die DSK auch noch einmal konkret zu dem Einsatz von Wärmebildkameras bzw. elektronischer Temperaturerfassung im Rahmen der Corona-Pandemie Stellung bezogen. Nach ihrer Ansicht scheitert die datenschutzrechtliche Rechtmäßigkeit solcher Fiebermessungen an der Erforderlichkeit der Datenverarbeitung zur Bekämpfung der Pandemie. Allein aus der Erkenntnis, dass eine Person Fieber hat, könne sich nicht schließen lassen, dass diese Person auch tatsächlich mit dem Corona-Virus infiziert ist. Neben den Behörden geben auch die Verbände Antworten zu datenschutzrechtlichen Fragen in Zeiten von Corona. So bietet die Gesellschaft für Datenschutz und Datensicherheit (GDD e.V.) beispielsweise eine Linksammlung zu der Thematik an. Zu guter Letzt gaben auch wir Ihnen Hilfestellungen rund um das Thema Corona an die Hand. Ob nun Fragestellungen zum Thema „Corona allgemein“ oder speziell zu den Videokonferenzen – wir informierten Sie über den Umgang mit dem Datenschutz in den Krisenzeiten.

Auch den Aufsichtsbehörden wurde im Jahr 2020 nicht langweilig. Der Ruf nach pragmatischen Handreichungen, um die datenschutzrechtlichen Anforderungen aus den besagten Gerichtsurteilen sowie im Umgang mit der Pandemie zu erfüllen, war groß. Insbesondere der Beschluss der DSK zum Einsatz von Microsoft 365 sorgte für einigen Wirbel. Die Landesdatenschutzbeauftragten kamen zu dem Ergebnis, dass Microsoft 365 nicht datenschutzkonform eingesetzt werden könne. Besonders pikant an der Entscheidung war, dass diese hauchdünn zu Lasten von Microsoft ausfiel. Neun Aufsichtsbehörden stimmten gegen die Datenschutzkonformität, acht dafür. Wir berichteten hier darüber. Aber nicht nur Microsoft musste daran glauben – im Mai rückte Google Analytics erneut ins Visier der Datenschutzbehörden. Die DSK veröffentliche Hinweise zum datenschutzkonformen Einsatz des Tracking-Tools. Danach ist Google Analytics eigentlich nur mit vorheriger Einwilligung möglich sowie bei Abschluss eines entsprechenden Vertrages zur „Gemeinsamen Verantwortlichkeit“ mit Google. Diese Hinweise der DSK wurden vor dem Urteil des EuGH zum Privacy Shield veröffentlicht – das Urteil dürfte den Einsatz von Analytics noch einmal deutlich erschweren.

Die Meinungen der Aufsichtsbehörden gehen manchmal weit auseinander. Umso schwieriger wird es dadurch für Unternehmen, sich datenschutzrechtlich zu orientieren. Die unterschiedlichen Auffassungen können letztendlich auch zu Wettbewerbsvorteilen einzelner Unternehmen führen, wenn sie ihren Standort dort gewählt haben, wo die Behörde weniger restriktiv agiert. Es ist daher kaum verwunderlich, dass der Ruf nach einer einzigen Datenschutzbehörde immer lauter wird. In Europa nimmt Deutschland mit seinen 18 Datenschutzbehörden und den Datenschutzbeauftragten der Kirchen eine Sonderrolle ein. Verstärkt wird jetzt über die Vereinheitlichung des Datenschutzes unter einem Dach nachgedacht. Zumindest im wirtschaftlichen Bereich soll es dann nur noch eine Datenschutzaufsicht geben. Es wird spannend sein, diese Entwicklung im kommenden Jahr weiter zu verfolgen.

Wo die Aufsichtsbehörden sonst noch aktiv wurden:

Um das Thema der Bußgelder wurde es in diesem Jahr vergleichsweise ruhig – zumindest verglichen zum Vorjahr. Die Aufsichtsbehörden hatten offensichtlich mit anderen Dingen zu tun; außerdem sind einige zentrale Datenschutzfragen (auch hinsichtlich prozessualer Dinge) noch nicht abschließend geklärt.

Ganz untätig waren die Behörden allerdings auch im Bereich der Bußgelder nicht. Getreu dem Motto „nicht kleckern, sondern klotzen“ verhängte beispielsweise der Landesdatenschutzbeauftragte in Hamburg ein Rekordbußgeld von 35,2 Millionen Euro gegen den Modekonzern H&M.

Nur wenige Monate vorher sprach auch der Landesdatenschutzbeauftragte in Baden-Württemberg ein Millionenbußgeld aus – in diesem Fall gegen die AOK Baden-Württemberg in Höhe von 1,24 Millionen Euro wegen fehlender Einwilligungen in die Teilnahme an einem Gewinnspiel.

Doch es wurden in 2020 nicht nur Bußgelder verhängt, sondern auch massiv gekürzt. So beispielsweise das Bußgeld des Bundesbeauftragten für Datenschutz und Informationssicherheit (BfDI) gegen die 1&1 Telecom GmbH. Das Landgericht Bonn setzte das einst 9,55 Millionen Euro schwere Bußgeld nun aufgrund einer „unangemessenen“ Höhe auf 900.000 Euro herab. Der BfDI schien trotz allem zufrieden.

Fazit

Das Jahr 2020 wird aus vielerlei Gründen in die Geschichtsbücher eingehen. Auch datenschutzrechtlich hielt das Jahr viele – mehr oder minder erfreuliche – Überraschungen bereit. Uns als Datenschutzberater/innen wurde jedenfalls nicht langweilig. Vor allem gewisse Grundpfeiler des Datenschutzrechts wurden (mal wieder) ins Wanken gebracht. Uns wird das Jahr also vor allem im Hinblick auf Cookies, Drittstaatentransfers und „kreative“ Corona-Datenerfassungsideen in Erinnerung bleiben.