Klimakrise, Energiekrise, Ukrainekrieg, Inflation, Corona: Die Liste an Krisen und Herausforderungen ist lang, sie zu lösen ist alles andere als einfach. Zumindest ein Problem aber scheint sich etwas abzuschwächen. Nach drei Jahren hat das Coronavirus an Schrecken verloren. Viele Menschen sind geimpft oder nach einer Erkrankung genesen. Im ÖPNV sind daher inzwischen in einigen Bundesländern keine Masken mehr nötig, ebenso wenig brauchen Arbeitnehmer am Arbeitsplatz längst keine 3G-Nachweise mehr vorzulegen. Mit dem Auslaufen der 3G-Regelung gibt es also auch keinen Grund mehr dafür, dass Unternehmen die Daten ihrer Mitarbeiter in Bezug auf Impfstatus und Gesundheitszustand aufbewahren. Die damit verbundenen datenschutzrechtlichen Löschfristen stellen aber viele Unternehmen durchaus vor Herausforderungen – nicht zuletzt deshalb, weil das Thema oft aus dem Fokus geraten ist.

Corona ist aber nicht das einzige Thema, das das Datenschutzjahr 2022 geprägt hat. In unserem Jahresrückblick lassen wir alle wichtigen Entscheidungen und Ereignisse Datenschutz und Informationssicherheit betreffend noch einmal Revue passieren.

IT-SICHERHEIT SO NOTWENDIG WIE NIE

Mit Beginn des Ukrainekrieges wuchs auch der Stellenwert des Themas IT-Sicherheit. Nach Aussage des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist „die Bedrohungslage so hoch wie nie“. Das BSI stellt eine erhöhte Bedrohungslage für Deutschland im Kontext des Krieges in der Ukraine fest, die auf eine „ohnehin schon angespannte Gesamtbedrohungslage“ trifft. Besonders im Fokus steht dabei die kritische Infrastruktur. Das BSI ruft vor diesem Hintergrund Behörden, Unternehmen und Organisationen dazu auf, ihre IT-Sicherheitsmaßnahmen zu überprüfen und der gegebenen Bedrohungslage anzupassen.

Gerade für Unternehmen bleibt Ransomware die Hauptbedrohung. 69% aller Spam-Mails waren Phishing- oder Erpressungsversuche. Auch aus datenschutzrechtlichen Gesichtspunkten ist das Thema IT- und Informationssicherheit unumgänglich, um personenbezogene Daten entsprechend zu schützen.

PRIVACY SHIELD 2.0 IN DEN STARTLÖCHERN?

In einer gemeinsamen Erklärung der Europäischen Kommission und der Vereinigten Staaten zum transatlantischen Datenschutzrahmen vom 25. März 2022 haben die EU und die USA eine Erklärung zum Privacy-Shield-Nachfolger abgegeben.

Nach der EuGH-Entscheidung im Juli 2020, auch bekannt unter der Bezeichnung Schrems-II, gibt es bis heute kein neues Abkommen für den EU-US-Datentransfer. Dies stellt besonders Unternehmen auf eine harte Probe. Bei der Auswahl der Dienstleister müssen Abwägungen getroffen werden, für viele Verarbeitungsvorgänge sind nun komplizierte Datenschutzfolgeabschätzungen notwendig und grundsätzlich ist eine Datenübertragung in die USA an strenge Bedingungen geknüpft (Wir berichten hierüber ausführlich).

Doch direkt nach dem Teaser folgte die Ernüchterung: Aufsichtsbehörden, Juristen und Datenschützer schlugen Alarm, die ersten Entwürfe gingen in die richtige Richtung, seien jedoch zu halbherzig. Im Oktober unterzeichnete US-Präsident Joe Biden eine neue Executive-Order, die viele Skeptiker überzeugen sollte. Auf dem Papier wird der Umfang der potentiellen Überwachung von EU-Bürgern zumindest eingeschränkt. Auch wurde ein neuer Rechtsschutzmechanismus für EU-Bürger*innen angekündigt, was einen großen Kritikpunkt des letzten EuGH-Urteils entkräften würde. Bis dato ist noch viel im Entwurf-Status, es gilt die Entwicklung genau zu beobachten.

ABMAHNWELLE GOOGLE WEBFONTS

Viele Experten rechneten nach dem Inkrafttreten der DSGVO im Mai 2018 mit großen Abmahnwellen. Doch diese blieben aus. Es dauerte fast vier Jahre bis zur ersten großen datenschutzrechtlichen Abmahnwelle. Auslöser war ein Urteil des Landgerichtes München (20.01.2022, Az. 3 O 17493/20) über die Google Webfonts. Im Verfahren vor dem LG München hatte die Betreiberin einer Internetseite Google Fonts dynamisch in ihre Website eingebunden, ohne dafür vorab (über ein Consent-Banner) von jedem Besucher eine Einwilligung einzuholen. Daran störte sich der Kläger und verlangte Unterlassung sowie Schadensersatz. Hintergrund ist, dass Google die dynamische IP-Adresse der betroffenen Person verarbeitet. Gemäß Datenschutzgrundverordnung stellt dies ein personenbezogenes Datum dar. Das LG München gab der Klage statt und sprach dem Kläger Schadensersatz in Höhe von 100 Euro zu. Das Urteil zog weite Kreise und stand stark in der Kritik, da einige Datenschützer darin die Gefahr für eine große Abmahnwelle sahen. Mitte des Jahres kam es so. Erst vereinzelt durch Privatpersonen, dann systematisch mit Massenschreiben durch Rechtsanwälte. Selbst Unternehmen mit bereits lokal eingebunden Webfonts wurden abgemahnt.

Grundsätzlich empfehlen wir – sofern Sie Abmahnungen erhalten – auf gar keinen Fall die geforderten Zahlungen zu tätigen, die Google Fonts lokal einzubinden und das Schreiben zu ignorieren. Sollten Sie daraufhin weitere Schreiben erhalten, sind möglicherweise juristische Schritte zu prüfen.

DIE CORONA-PANDEMIE UND DIE AUFBEWAHRUNG DER 3G-NACHWEISE

Mit Einführung der 3G-Regeln am Arbeitsplatz standen zahlreiche Unternehmen vor besonderen Herausforderungen. Zur Überprüfung und Dokumentation von Impfnachweisen der Mitarbeiter*innen mussten Informationspflichten erfüllt werden. Auch die stetigen Anpassungen der Infektionsschutzgesetze der einzelnen Bundesländer war nicht immer einfach. Besonders für Unternehmen mit unterschiedlichen Niederlassungen in verschiedenen Bundesländern brachte das Herausforderungen mit sich: Welche 3G-Daten musste und durften erhoben werden? Mussten die Mitarbeiter*innen darüber informieren, sofern sie ein positives Testergebnis hatten? Glücklicherweise sprangen die einzelnen Aufsichtsbehörden der Bundesländer beratend zur Seite und veröffentlichten konkrete Handlungsempfehlungen sowie datenschutzrechtliche Bewertungen bezüglich der Corona-Pandemie und dem Umgang mit den 3G-Nachweisen.

Mit der Beendigung von Maßnahmen zur Pandemiebekämpfung entfällt nun allerdings die Rechtsgrundlage für die Datenspeicherung. Gemäß dem Art. 17 Abs. 1 lit. a DSGVO sind Unternehmen nun verpflichtet diese Nachweise zu löschen. Impfnachweise gehören auch dazu.

DSK VERÖFFENTLICHT PRESSEMITTEILUNG ZUR NUTZUNG VON MICROSOFT 365

Bereits seit 2019 hat sich ein spezieller Arbeitskreis der Datenschutzkonferenz von Bund und Ländern (DSK) mit der Cloud-Software „Microsoft 365“ befasst und die Konformität von Datenerhebungen, -speicherungen und -übermittlungen überprüft. Am 22. September 2020 urteilte die DSK sodann mit knapper Mehrheit zu den Datenschutzproblemen des Dienstes. Nach einer Abstimmung der DSK, stimmten neun gegen und acht für die Bewertung eines DSGVO-konformen Einsatz von Microsoft 365. Die Veröffentlichung der Ergebnisse dieser Sitzung erfolgte erst zwei Monate später mit der klaren Aussage, dass Unternehmen und öffentliche Stellen einen datenschutzkonformen Einsatz von „Microsoft 365“ nicht gewährleisten können. Microsoft veröffentlichte am gleichen Tag eine Stellungnahme und zeigte sich enttäuscht von der Entscheidung des DSK.

Datenschutzrechtlich stellt die Entscheidung der DSK keine Neuerung dar. Die DSK ist schon seit mehreren Jahren dieser Ansicht. Die Anforderungen der DSK an Cloudienstleister sind aktuell nur sehr schwer umsetzbar. Grundsätzlich gilt es abzuwarten, wie genau die technische Argumentation der DSK ausfällt. Außerdem ist mit Spannung zu erwarten, wie Gerichte entscheiden beziehungsweise wie auch andere europäische Staaten reagieren. Womöglich würde ein Privacy Shield 2.0 hier Ruhe in die Debatte bringen.

 

FRÖHLICHE WEIHNACHTEN

Man kann gespannt sein, was 2022 datenschutzrechtlich auf Uns wartet. Wir möchten jedenfalls an dieser Stelle allen Lesern dieses Blogs, all unseren Kunden und Partnern ein besinnliches und friedliches Weihnachtsfest wünschen.
Frohes Fest – Merry Christmas – Joyeux Noël – Buon Natale – Feliz Navidad – Hyvää Joulua – メリークリスマス – С Рождеством