23. Juli 2021
Ein Examensabsolvent hat Anspruch auf zur Verfügung Stellung einer kostenfreien Kopie der eigenen Examensklausuren mitsamt Prüfergutachten. Das hat das Oberverwaltungsgericht Münster (OVG Münster) mit Urteil vom 08.06.2021, 16 A 1582/20 entschieden und folgt damit einer extensiven Auslegung des Auskunftsanspruchs aus Art. 15 Abs. 3 DSGVO.
Das Verfahren
Dem Rechtsstreit vorausgegangen war ein Antrag des Klägers aus dem Jahr 2018 auf kostenlose Übersendung von Kopien seiner angefertigten Examensklausuren. Da das Prüfungsamt dem Examensabsolventen die Kopien seiner Examensklausuren nur gegen Zahlung eines Vorschusses zur Verfügung stellen wollte, zu dessen Zahlung der Kläger unter Berufung auf die Datenschutz-Grundverordnung nicht bereit war, erhob der Kläger Klage vor dem Verwaltungsgericht Gelsenkirchen. Das VG Gelsenkirchen verurteilte das Land NRW dazu, dem Kläger unentgeltlich Kopien seiner Examensklausuren nebst Prüfergutachten zur Verfügung zu stellen.
Die dagegen eingelegte Berufung des Landesjustizprüfungsamts (LJPA) hat das OVG Münster zurückgewiesen und bestätigte damit das Urteil der Vorinstanz.
Zur Begründung führte es aus, dass der Kläger gem. Art. 15 Abs. 3 DSGVO i.V.m. Art. 12 Abs. 5 DSGVO einen Anspruch auf unentgeltliche zur Verfügung Stellung einer Kopie seiner Examensklausuren nebst Prüfergutachten habe.
Der Auskunftsanspruch
Art. 15 DSGVO gewährt betroffenen Personen das Recht von einem Verantwortlichen z.B. einem Unternehmen oder einer Behörde Auskunft über ihre dort gespeicherten personenbezogenen Daten zu verlangen und verpflichtet dabei zugleich den Verantwortlichen, der betroffenen Person bestimmte Informationen auf Antrag zur Verfügung zu stellen. Nach Art. 15 Abs. 3 DSGVO stellt der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, der betroffenen Person zur Verfügung. Welche Daten und Informationen von diesem Auskunftsanspruch aus Art. 15 Abs. 3 DSGVO umfasst sind, ist umstritten. Insbesondere über die Frage, ob Prüfungsklausuren nebst Prüfergutachten von diesem Anspruch umfasste Informationen darstellen können, besteht Uneinigkeit.
Während eine Auffassung davon ausgeht, der Auskunftsanspruch müsse auf solche Informationen beschränkt werden, die Art. 15 Abs. 1 DSGVO ausdrücklich nennt, so dass betroffene Personen nur eine Kopie der Informationen darüber verlangen können, ob ihre personenbezogenen Daten gespeichert werden und um welche es sich dabei ggf. handelt (sog. enge/restriktive Auslegung). Geht eine andere Meinung – so auch das OVG Münster – von einer weiten Auslegung des Auskunftsanspruchs aus.
Die Entscheidung
Im vorliegenden Fall entschied das OVG daher, dass es sich bei den angefertigten Klausuren und den dazugehörigen Prüfergutachten um personenbezogene Daten i.S.v. Art. 4 Nr. 1 DSGVO handle, die durch das LJPA i.S.v. Art. 4 Nr. 2 DSGVO verarbeitet wurden und daher vom Auskunftsanspruch aus Art. 15 Abs. 3 DSGVO umfasst seien. Diese Auffasung, so das OVG Münster, würde auch durch die Rechtsprechung des Europäischen Gerichtshofs (EuGH) bestätigt. So hat der EuGH u.a. in einem Urteil vom 20. Dezember 2017 entschieden, dass die schriftlichen Antworten eines Prüflings in einer berufsbezogenen Prüfung und etwaige Anmerkungen des Prüfers dazu Informationen über den Prüfling und damit personenbezogene Daten darstellen.
Offengelassen hat das OVG, ob der Ausnahmetatbestand des Art. 12 Abs. 5 S. 2 DSGVO auch Fälle umfasst, in denen betroffene Personen mit der Ausübung des Auskunftsanspruchs allein oder ganz überwiegend datenschutzfremde Zwecke verfolgt.
Auswirkungen auf die Praxis:
Ob andere Gerichte dieser extensiven Auslegung des Auskunftsanspruchs folgen werden, bleibt abzuwarten. Wegen der grundsätzlichen Bedeutung der Rechtssache hat das OVG die Revision zugelassen. Das Urteil dürfte aber auch für die Praxis und Unternehmen, die Prüfungen abseits von juristischen Staatsexamensklausuren anbieten, von Bedeutung sein. Inbesondere dann, wenn die zur Verfügung Stellung von Prüfungsunterlagen auch Auswirkungen auf das Geschäftsmodell und interne Prüfungsabläufe hat, kann dieses Urteil Verantwortliche bei der Erfüllung des Auskunftsbegehrens vor neue Herausforderungen – nicht nur finanziell – stellen. Auch der Nachweis, ob datenschutzfremde Zwecke verfolgt werden, dürfte in der Praxis nur schwer zu erbringen sein.
21. Juli 2021
Anfang dieser Woche kam es im Rahmen des sogenannten Pegasus Project zu Enthüllungen, die den Missbrauch der Software Pegasus der israelischen Firma NSO betreffen. Das Pegasus Project ist dabei ein Zusammenschluss von Reporterinnen und Reportern aus verschiedensten Ländern. Deren Recherchen begannen, nachdem u.a. Amnesty International eine Liste mit über 50.000 Handynummern aus mehr als 50 Ländern zugespielt wurde. Beteiligt waren an dem Projekt u.a. die ZEIT, die Süddeutsche, The Guardian (GB), Le Monde (FR) und die Washington Post (US).
Bei der Software Pegasus handelt es sich um eine Überwachungssoftware, die eigentlich Verbrechen und Terrorismus gezielt bekämpfen soll. Sie kann unbemerkt auf den Handys der Betroffenen installiert werden. Häufig erhalten Betroffene eine SMS, die z.B. von einem Paketzusteller stammen soll und erhalten in dieser SMS einen Downloadlink. Wird auf diesen geklickt, landet die Software auf dem Handy. Allerdings ist es Pegasus wohl auch möglich, auf das Handy zu gelangen, ohne dass die SMS überhaupt angezeigt und angeklickt werden. Auch über WLAN- oder Mobilfunknetze kann Pegasus auf das Handy gelangen. NSO bietet seinen Kunden verschiedene Möglichkeiten an, die Software auf dem Gerät der Zielperson zu installieren. Dabei werden Software-Schwachstellen von Betriebssystemen, die den Herstellern noch nicht bekannt sind (sogenannte ‚Zero-Day-Exploits‘) ausgenutzt. Ist Pegasus einmal auf dem Handy, hat die Software die komplette Kontrolle. Sie kann Daten kopieren und versenden, verschlüsselte Nachrichten lesen und unbemerkt Kamera oder Mikrofon des Gerätes anschalten. Die kopierten Daten können von Telefonbuch- und Kalendereinträgen, über Fotos bis hin zu dem Browserverlauf und Nachrichten alles umfassen. Auch Anrufe können abgehört werden und Standortdaten weitergegeben. Weiterhin können Sicherheitsupdates des Herstellers von der Software unterdrückt werden.
Nun sollen mit dieser Software diverse Menschenrechtsaktivisten, Journalistinnen und Oppositionelle überwacht worden sein. Auch hochrangige Politiker wie Frankreichs Präsident Macron und Belgiens Premierminister Michel sollen Opfer der Überwachungen geworden sein. Benutzt worden sein soll die Software dabei u.a. von Polizeibehörden und Geheimdiensten in Saudi-Arabien, Mexiko und Ungarn.
Die Firma NSO streitet diese Vowürfe ab, erste Länder haben währendessen schon Ermittlungen aufgenommen.
Ausführlichere Erklärungen zur Funktionsweise der Pegasus Software können diesem Video entnommen werden.
16. Juli 2021
Der Europäische Datenschutzausschuss erließ seine erste verbindliche Eilentscheidung gemäß Art.66 Abs. 2 DSGVO auf Antrag der HmbBfDI (Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit), nachdem diese die vorläufige Maßnahme gegen Facebook erlassen hatte. Die Maßnahme, die auf der Grundlage von Art. 66 Abs. 1 DSGVO angeordnet wurde, hatte das Verbot der Verarbeitung von WhatsApp-Nutzerdaten durch Facebook zum Gegenstand. Nach Ansicht der HmbBfDI wurde dies mit der diesjährigen von WhatsApp in die Wege geleiteten Änderung der Nutzungsbedingungen und Datenschutzbestimmungen für europäische Nutzer begründet.
Hintergrund ist folgender: Im Januar hatte WhatsApp neue Datenschutzbestimmungen angekündgt. Nachdem diese bei den Nutzern auf große Kritik stießen, wurde das von WhatsApp angekündigte Ultimatum bis Mai verlängert und WhatsApp versuchte, die angestrebten Änderungen zu erklären. Letztendlich blieb die Erklärung aus und WhatsApp zog auch im Mai noch keine der angekündigten Konsequenzen. Diese umfassten unter anderem, dass alle, die bis Mai den Bedingungen nicht zugestimmt hätten, WhatsApp nicht mehr hätten nutzen können.
Nun entschied der EDPB im Rahmen des Eilverfahrens, dass die Voraussetzungen für den Nachweis des Vorliegens eines Verstoßes und einer Dringlichkeit nicht erfüllt seien.
Auf der Grundlage der vorgelegten Beweise kam der Europäische Datenschutzausschuss zwar zu dem Schluss, dass eine hohe Wahrscheinlichkeit besteht, dass Facebook bereits Nutzerdaten von WhatsApp als (gemeinsamer) Verantwortlicher für den gemeinsamen Zweck der Sicherheit und Integrität von WhatsApp und den anderen Facebook-Unternehmen verarbeitet. Angesichts der verschiedenen Widersprüche, Unklarheiten und Unsicherheiten, die in den nutzerorientierten Informationen von WhatsApp, in einigen schriftlichen Verpflichtungserklärungen von Facebook und in den schriftlichen Stellungnahmen von WhatsApp festgestellt wurden, entschied sich der Europäische Datenschutzausschuss jedoch dazu, dass er nicht in der Lage ist, mit Sicherheit feststellen zu können, welche Verarbeitungen tatsächlich durchgeführt werden.
Zum Vorliegen der Dringlichkeit vertrat der Europäische Datenschutzausschuss die Auffassung, dass Art.61 Abs. 8 DSGVO nicht anwendbar war. Denn der HmbBfDI konnte nicht nachweisen, dass die irische Datenschutzbehörde es versäumt hat, Informationen im Rahmen eines förmlichen Amtshilfeersuchens gemäß Art. 61 DSGVO bereitzustellen; da Facebook (wie auch WhatsApp) seinen europäischen Sitz in Irland hat, ist die dortige Datenschutzbehörde für das Unternehmen zuständig.
Der Europäische Datenschutzausschuss meldete zudem erhebliche Zweifel an der Rechtsgrundlage an, auf die sich Facebook bei der Nutzung der WhatsApp-Daten für eigene oder gemeinsame Verarbeitungen stützen möchte. Er greift damit wesentliche Teile der Argumentation des HmbBfDI auf. In Anbetracht der hohen Wahrscheinlichkeit diverser Verstöße, insbesondere im Hinblick auf die Sicherheit und Integrität von WhatsApp und der anderen Facebook-Unternehmen, war der Europäische Datenschutzausschuss der Ansicht, dass diese Angelegenheit zügig weiter untersucht werden muss.
14. Juli 2021
Die Bundesnetzagentur darf in seinen Pressemitteilungen über DSGVO-Bußgelder die betroffenen Unternehmen nicht namentlich nennen. Dies ging aus einem Beschluss des OVG NRW vom 17.05.2021 hervor.
Am 4. Januar 2021 veröffentlichte die Bundesnetzagentur eine Pressemitteilung, in welcher über die Verhängung eines Bußgeldes wegen unerlaubter Call-Center-Anrufe gem. §§ 20 Abs. 1 Nr. 1, 7, Abs. 2 Nr. 2 UWG berichtet wurde. Das sanktionierte Unternehmen wurde dabei namentlich genannt.
Nach dem Antrag des betroffenen Unternehmens auf eine einstweilige Anordnung entschied das OVG Münster, dass öffentliche Stellen zwar grundsätzlich dazu berechtigt seien, im Rahmen ihrer Kompetenzen Öffentlichkeits- und Informationsarbeit zu betreiben. Allerdings bedürften amtliche Äußerungen, die einen unmittelbaren Grundrechtseingriff darstellen oder einem solchen gleichchkommen, regelmäßig der Rechtfertigung durch eine Ermächtigungsgrundlage. Diese sah die BNetzA unter anderem in § 45n Abs. 8 S. 1 TKG, nach dem sie dazu ermächtigt ist, für Endnutzer relevante Informationen zu veröffentlichen. Die BNetzA sah die Relevanz gegeben, da auch während des Verfahrens weitere Anzeigen unerlaubter Werbung der Antragstellerin eingegangen seien. Die Veröffentlichung des Namens sei daher zum Schutze der Verbraucher und der Geschäftspartner aus generalpräventiven Gründen gerechtfertigt. Dementgegen sei die Pressemitteilung “vielmehr ziel- und zweckgerichtet als funktionales Äquivalent für die teils präventiven, teils repressiven Aufsichtsmaßnahmen” eingesetzt worden, so das OVG. Diese Aufsichtsmaßnahmen bedeuteten jedoch einen mittelbar-faktischen Nachteil für das betroffene Unternehmen und damit einen Eingriff in die Berufsfreiheit gem. Art. 12 Abs. 1 GG. Auch sei die öffentliche Bekanntmachung bußgeldbewehrter Rechtsverstöße außerhalb dessen, auf das der Gesetzgeber mit § 45n Abs. 8 S. 1 TKG abgezielt hat. Eine öffentliche Anprangerung begangener Rechtsverstöße sei von dem Kreis der in der Vorschrift genannten Informationen so weit entfernt, dass eine ausdrückliche gesetzliche Klarstellung zu erwarten wäre, hätte der Gesetzgeber auch hierzu ermächtigen wollen. Auch für andere Normen mit Eingriffsbefugnissen der BNetzA sah das OVG Münster keinen Raum.
Der Beschluss des OVG Münster könnte hinsichtlich der Berichterstattung über Bußgelder zu einer Neubewertung der Informationspolitik in Pressestellen von Datenschutzbehörden führen. Insbesondere auf Ebene der Verhältnismäßigkeit der Berichtserstattung wäre dabei zu beachten, dass eine öffentliche “Anprangerung” keinen Ersatz behördlicher Maßnahmen darstellt. Ein Bußgeld sei auf ein Verhalten in der Vergangenheit gerichtet, so das OVG. Wenn eine Aufsichtsbehörde das Verhalten eines Marktteilnehmers ändern möchte, bedarf es dazu aufsichtsrechtlicher Maßnahmen.
13. Juli 2021
Am 18.06.2021 ist das Betriebsrätemodernisierungsgesetz in Kraft getreten (BGBl. 2021 I S. 1762). In dem neuen § 79a Betriebsverfassungsgesetz (BetrVG) wird das datenschutzrechtliche Verhältnis zwischen Betriebsrat und Arbeitgeber geregelt. Damit endet der lange Streit um die datenschutzrechtliche Frage, ob der Betriebsrat dem Arbeitgeber als datenschutzrechtlich Verantwortlicher zuzuordnen oder als datenschutzrechtlich eigene verantwortliche Stelle einzuordnen ist. § 79a Satz 2 BetrVG stellt nun klar:
„Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften.“
Die in § 78a Satz 3 BetrVG normierte, gegenseitige Unterstützungspflicht bei der Einhaltung der datenschutzrechtlichen Vorschriften beruht laut der Gesetzesbegründung auf der datenschutzrechtlichen Verantwortlichkeit des Arbeitgebers einerseits und der innerorganisatorischen Selbständigkeit und Weisungsfreiheit des Betriebsrats andererseits. Der Betriebsrat ist danach zum Beispiel nicht verpflichtet, ein eigenes Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) zu führen, allerdings muss das Verarbeitungsverzeichnis des Arbeitgebers auch die Verarbeitungstätigkeiten des Betriebsrats enthalten. Hierfür ist der Arbeitgeber zwingend auf die Unterstützung des Betriebsrats angewiesen. Auch bei der Erfüllung etwaiger Auskunftsansprüche (Art. 15 DSGVO) die sich auf die durch den Betriebsrat verarbeiteten Daten beziehen, ist der Arbeitgeber auf die Unterstützung des Betriebsrats angewiesen.
Gemäß der Gesetzesbegründung muss der Betriebsrat innerhalb seines Zuständigkeitsbereichs auch eigenverantwortlich die Umsetzung technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit im Sinne der Art. 24 und 32 DSGVO sicherstellen. Hierfür hat der Arbeitgeber den Betriebsrat mit den erforderlichen Sachmitteln, wie etwa geeigneten Sicherungseinrichtungen für Unterlagen mit personenbezogenen Daten, auszustatten.
Auch wenn der neue § 78 BetrVG Unklarheiten bzgl. der Zuständigkeit für die einzuhaltenden Datenschutzmaßnahmen klärt, stehen Unternehmen und Betriebsräte weiterhin vor der Herausforderung diese innerhalb des gesetzlich abgesteckten Rahmens einvernehmlich umzusetzen. Die Festlegung und Umsetzung von entsprechenden Prozessen sind hierfür notwendig. Die Gesetzesbegründung hebt in diesem Zusammenhang auch die mögliche Inanspruchnahme der Beratung des betrieblichen Datenschutzbeauftragten durch den Betriebsrat hervor.
9. Juli 2021
In der Vergangenheit war es in Lettland nicht abwegig, dass Jedermann Einsicht in das Strafpunkteregister über Verstöße im Straßenverkehr nehmen konnte. Die Besonderheit liegt darin, dass der Einblick in das Register nicht nur auf eigene Verstöße beschränkt war. In seinem Urteil vom 22.6.2021, Rechtssache C-439/19 stellt der Europäische Gerichtshof (EuGH) nunmehr den Verstoß gegen die DSGVO durch die hierfür erlassene Erlaubnisnorm fest.
Der vorliegende Fall wurde dem EuGH vom Verfassungsgericht Lettland zur Vorabentscheidung vorgelegt, nachdem sich ein Betroffener gegen das unbeschränkte Einsichtsrecht Dritter vor dem lettischen Verfassungsgericht gewehrt hatte. Das Ziel der Klarstellung war zweckmäßig, da die DSGVO der lettischen Regelung inhaltlich entgegensteht. Nach dem lettischen Straßenverkehrsgesetz war es demnach möglich, Informationen über eingetragene Strafpunkte anderer Personen ohne besonderes Interesse zu einzusehen.
Bei Strafpunkten, die wegen Verkehrsverstößen verhängt werden, handelt es sich um personenbezogene Daten im Sinne der DSGVO. Diese werden ferner als besonders sensible Daten deklariert, da es sich um personenbezogene Daten über strafrechtliche Verurteilungen handelt. Der Zweck die Straßenverkehrssicherheit mit dieser Möglichkeit zu verbessern, sei in diesem Zusammenhang nicht nachgewiesen und damit nicht erforderlich. Strafpunkte der Öffentlichkeit zugänglich zu machen, stelle einen Eingriff in die Achtung des Privatlebens dar.
In Deutschland kann dem Betroffenen nach Art. 15 DSGVO Auskunft über die eigenen Punkte im Fahreignungsregister erteilt werden. Das Urteil des EuGH lässt auf weitere Auswirkungen auf die Veröffentlichung von Informationen über Straftaten oder Ordnungswidrigkeiten schließen.
Die Regierung in Bern vergibt einen Großauftrag für Cloud-Dienste an fünf Unternehmen. Unter anderem an einen chinesischen Anbieter. Der finanzielle Rahmen des gesamten Auftrags beläuft sich auf 110 Millionen Franken.
Cloud-Dienste haben eine wichtige Bedeutung für Privatpersonen, Unternehmen, aber eben auch für staatliche Stellen. Unter Cloud-Computing ist das Auslagern von Daten und Datenverarbeitung an eine externe IT-Infrastruktur zu verstehen. Vor allem aus Kostengründen spricht vieles dafür, in die Cloud zu gehen. Dadurch kann bei den Ausgaben für Hard- und Software gespart werden. Zudem werden die Rechen- und Speicherkapazität nach Bedarf bezahlt.
Kostengründe gaben wohl den Ausschlag
Doch das Auslagern staatlicher Daten an große ausländische Konzerne birgt auch Risiken, weshalb der Großauftrag an vier US-Firmen und einen chinesischen Konzern in der Schweiz auf Kritik stößt. Maßgeblicher Ausschlag war wohl der Preis. Die öffentlich einsehbare Meldung über die Vertragsvergabe gibt Hinweise: Erstens lautete eine der Bedingungen für die Bewerber, dass sie Rechenzentren auf mindestens drei Kontinenten haben und ihre Dienstleistungen einer internationalen Kundschaft zur Verfügung stellen müssen. Und zweitens hatten unter den Zuschlagskriterien die Faktoren Qualität und Preis das größte Gewicht. Kleinere Anbieter aus der Schweiz oder Europa hatten entsprechend wenig Chancen bei dieser Ausschreibung. Der Auftrag unterstreicht die derzeitige Dominanz weniger Cloud-Provider.
Jens Klessmann, der Leiter des Bereichs Digital Public Services am Fraunhofer-Institut für Offene Kommunikationssysteme, hält die Schweizer Entscheidung diesbezüglich für bemerkenswert und aus deutscher Sicht für “etwas Neues”. Jedoch bezeichnet er die US-Anbieter ebenfalls als schwierig, wenn es um Datenschutz geht. Wie sicher Schweizer Daten bei diesen Anbietern letztlich sind, hänge von der Art der Daten und ihrer Form ab, so Jens Klessmann. „Man kann beispielsweise Daten an ein chinesisches Unternehmen weitergeben, die ohnehin öffentlich sind. Und sensiblere Informationen können vorab verschlüsselt werden.“
Die Schweizer Bundesverwaltung hat gleichwohl im vergangenen Dezember ihre Cloud-Strategie veröffentlicht. Darin steht unter anderem, dass „in einem ersten Schritt“ nur solche Informationen in Clouds landen sollen, die nicht als „vertraulich“ oder „geheim“ klassifiziert sind. Laut Strategiepapier liegt es grundsätzlich in der Verantwortung der Schweizer Bundesministerien zu entscheiden, an welchen Stellen sie Cloud-Dienste in Anspruch nehmen wollen. Diese Entscheidung müssen sie „basierend auf einer Risikobeurteilung und Prüfung der Rechtkonformität“ treffen.
7. Juli 2021
Im Internet kursieren immer mehr Bilder von sexuellem Missbrauch von Kindern. Bis zum 21.12.2020 konnten Online-Anbieter Nachrichten nach Hinweisen auf Kindesmissbrauch filtern, die in Mail- oder Messengerdiensten verschickt wurden. Dies wurde dann an nationale Behörden gemeldet und die entsprechenden Inhalte aus dem Netz entfernt.
Dann trat jedoch ein neuer EU-Kodex für elektronische Kommunikation in Kraft, der dieses Filtern verbietet. Seitdem haben die Online-Anbieter darauf verzichtet, um nicht Gefahr zu laufen, dagegen zu verstoßen. Nun hat das Europaparlament jedoch einer Vereinbarung zugestimmt, die Anbietern das Scannen wieder ermöglicht. Es ist bislang eine Übergangslösung mit einer Frist von drei Jahren.
Einige Datenschützer sind der Ansicht, der Kompromiss greife zu weit in die Vertraulichkeit der Kommunikation ein. Gleichwohl wird diese gefundene Lösung überwiegend als Kompromiss zwischen Datenschutz und Kindeswohl betrachtet. EU-Innenkommissarin Johansson betont die Schutzmechanismen wie menschliche Aufsicht und Überprüfbarkeit. Zudem sei nur das erlaubt worden, was unbedingt nötig sei. Kinderrechtsorganisationen sehen ein Gleichgewicht zwischen Kinderschutz und Datenschutz.
Mit einem Rundschreiben vom 16.06.21 hat der Bundesdatenschutzbeauftragte (BfDI) Ulrich Kelber die obersten Bundesbehörden und die Bundesregierung aufgefordert, ihre Facebook-Fanpages zu löschen.
Das Schreiben knüpft an ein ähnliches, im Mai 2019 verschicktes, Schreiben an. Bereits in diesem wies Kelber darauf hin, dass ein datenschutzkonformer Auftritt bei Facebook nicht möglich sei. Dafür müsste nämlich eine Vereinbarung zur gemeinsamen Verantwortlichkeit der öffentlichen Stellen mit Facebook vorliegen, die den Anforderungen von Art. 26 DSGVO entspräche. Diesbezüglich habe das Presse- und Informationsamt der Bundesregierung (BPA) Facebook kontaktiert. Facebook habe aber vor kurzem nur das öffentlich bekannte “Page Controller Addendum” zurückgesendet. Dieses regelt die gemeinsame Verantwortung für Daten, die auf den Fanpages erhoben werden.
Dieses Addendum hält Kelber aber für nicht genügend, damit die öffentlichen Stellen ihrer Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO nachkommen können. Die Rechenschaftspflicht sieht vor, dass die Einhaltung der Grundsätze der DSGVO nachgewiesen werden kann. Insbesondere ein pauschales Verweisen der Nutzer an Facebook, wenn es um die Verarbeitung ihrer Daten im Rahmen einer Fanpage geht, sei dafür nicht ausreichend.
Als Konsequenz verlangt Kelber nun, Facebook-Fanpages von Behörden und der Regierung sollten bis Ende des Jahres gelöscht werden. Sollte dies nicht geschehen, so wolle er die in Art. 58 DSGVO zur Verfügung stehenden Abhilfemaßnahmen gebrauchen. Dies könnten z.B. Verbote oder Löschungsanordnungen sein. Auch weist er die Behörden auf die Vorbildfunktion hin, die sie in Sachen Datenschutz hätten.
Die Bundesregierung teilte mit, sie habe die Einschätzung des Bundesdatenschutzbeauftragten zur Kenntnis genommen und werde diese prüfen. Würde Sie sich dazu entscheiden dem Rat zu folgen, würde sie eine enorme Reichweite einbüßen. Die zentrale Fanpage der Bundesregierung hat auf Facebook 870.000 Fans und über eine Million Abonnenten.
5. Juli 2021
Die Europäische Kommission hat am 28. Juni 2021 den Angemessenheitsbeschluss im Rahmen der Datenschutzgrundverordnung angenommen. Das Datenschutzniveau in Großbritannien wurde damit von der Kommission als angemessen für europäische Standards anerkannt und personenbezogene Daten können nun trotz Brexit ungehindert aus der Europäischen Union in das Vereinigte Königreich übermittelt werden.
Zur Begründung führte die Kommission aus, dass das Vereinigte Königkreich weiterhin auf den selben Regeln basiert, die galten als es noch Mitglied der EU war. Auch die Grundsätze, Rechte und Pflichten der DSGVO seien vollständig in das seit dem Brexit geltende Rechtssystem übernommen worden.
Im Vorfeld war der Angemessenheitsbeschluss häufig wegen des ungehinderten und unkontrollierten Zugriffs britischer Geheimdienste auf personenbezogene Daten in Kritik geraten. Zudem hatte der Europäische Gerichtshof für Menschenrechte (EGMR) im Mai erst ein Urteil erlassen, indem es die Massenüberwachung durch britische Geheimdienste als Verstoß gegen die Menschenrechte gewertet hatte. Auch dieser Kritik begegnete der Beschluss, indem er dem Vereinigten Königreich in Bezug auf den Zugriff auf personenbezogene Daten starke Garantien zusprach. Ein wichtiges Element des Beschlusses ist daher, dass insbesondere die Geheimdienste bei Datenerhebungen der vorherigen Genehmigung durch ein unabhängiges Rechtsorgan unterliegen. Ebenso, dass alle ergriffenen Maßnahmen notwendig und verhältnismäßig sein müssen.
Neu an dem Angemessenheitsbeschluss ist auch, dass dieser erstmals eine sog. Verfallsklausel (“sunset clause”) enthält, durch den die Geltungsdauer des Beschlusses auf vier Jahre begrenzt wird. Während dieser Zeit hat die Kommission angekündigt, dass Datenschutzniveau im Vereinigten Königreich ständig im Blick zu behalten und im Falle von Abweichungen entsprechend einzugreifen. Sollte nach Ablauf der vier Jahre weiterhin ein angemessenes Datenschutzniveu vorliegen, kann der Beschluss auch verlängert werden.
Durch den Angemessenheitsbeschluss hat die Europäische Kommission eine Rechtsgrundlage für Datenübermittlungen in das Vereinigte Königreich für die nächsten vier Jahre geschaffen. Sollte der Beschluss nicht zufrieden stimmen, sind Klagen gegen diesen – ähnlich wie dies mit dem Privacy-Shield im Schrems-II-Urteil geschah – möglich.
