Gespräch mit Michael Will: Was bringt der Datenschutz in 2023?
22.12.2022
[IITR – 22.12.22] Am 20.12.2022 fand das mit 1000 Teilnehmern ausgebuchte Web-Seminar mit Herrn Michael Will, Präsident des bayerischen Landesamts für Datenschutzaufsicht, statt. Wir nutzten diese Gelegenheit um das Jahr 2022 mit datenschutzrechtlicher Brille Revue passieren zu lassen und einen kleinen Ausblick zu wagen, welche Themen uns voraussichtlich im Jahr 2023 beschäftigen werden.
Ausklang der Pandemie: Aufräumen nicht vergessen!
Vor einem Jahr stellte sich die Frage, wie die „3G-Pflicht“ am Arbeitsplatz (möglichst) datenschutzkonform zu erfüllen sei. Nachdem die Rechtsgrundlage für ein Erheben derart sensibler Daten weggefallen ist (das Infektionsschutzgesetz sieht eine solche Regel nicht mehr vor) gilt es, die – wenn nicht schon längst geschehen – die gespeicherten Daten darüber rückstandslos zu löschen. Auch ein Rückgriff auf das “Hausrecht” zur Aufrechterhaltung vergleichbarer Maßnahmen durch Private sei unzulässig.
TTDSG: Alles neu?!
Entgegen mancher Vermutung hat sich mit In-Kraft-Treten des Telekommunikation-Telemedien-Datenschutz-Gesetzes (kurz TTDSG) rechtlich eigentlich nicht viel geändert. Das Umsetzungsgesetz zur ePrivacy-Richtlinie stellt dar, was vorher bereits galt: „Je Eingriff, desto Einwilligung.“
Auf die Kernaspekte heruntergebrochen gilt für das Setzen technisch nicht notwendiger Cookies die Einwilligung. Eine solche kann mittels Cookie-Banner eingeholt werden, wobei insbesondere darauf zu achten ist, dass vor Akzeptieren bzw. Ablehnen und nach Ablehnen keine unerwünschten Cookies gesetzt oder Verbindungen zu Drittservern aufgebaut werden. Außerdem sollte es ebenso einfach sein, Tools abzulehnen wie anzunehmen.
Mit Blick auf den Markt hätte sich viel getan, wofür verschiedene Entwicklungen – sicherlich auch die Arbeit von „none of your business“ (kurz noyb) um Herrn Max Schrems – beigetragen hat.
Internationaler Datentransfer: Aller guten Dinge sind drei?
Seit längerem – ehrlicherweise bereits seit dem Schrems-II-Urteil im Juli 2020 – wird ein Nachfolgekonstrukt zur Angemessenheit von EU-US-Datentransfers erwartet. Nun kurz vor Weihnachten wurde ein erster Entwurf dazu veröffentlicht, der im besten Fall in einem Adäquanzbeschluss mündet.
Ob die Vereinbarungen letztlich hielten, sei jedoch schwer abzuschätzen. Auch die Alternative eines völkerrechtlich bindenden Vertrages stünde zwar immer noch im Raum, jedoch seien die zeitlichen Rahmenbedingungen schwer zu prognostizieren.
Microsoft 365: Rechtswidrig und verboten?
Die Datenschutzkonferenz (kurz DSK) als Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder hat sich zum Einsatz von Microsoft 365 geäußert, wobei vielfach von einem Verbot zu lesen war. Dem wurde klar widersprochen, das Resultat der Einschätzung sei vielmehr, dass auf Grundlage des neuen Auftragsverarbeitungsvertrag von Microsoft das Einhalten der Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO mangels ausreichender Information in Frage stünde, was wiederum zu einem datenschutzwidrigen Einsatz von Microsoft 365 bei den Verantwortlichen führen würde.
Die Kritik von Microsoft, man würde sich nun lediglich auf das Unternehmen stürzen, das zu Gesprächen bereit war, käme zu früh, denn man müsse den Aufsichtsbehörden Zeit gewähren, auch andere Anbieter aus dieser Branche prüfen zu können.
Es drehe sich jedoch nicht einzig darum, der eigenen Dokumentationspflichten nachkommen zu können, auch die undurchsichtige Analyse von Microsoft im Hintergrund sei datenschutzrechtlich bedenklich.
Microsoft hat indessen angekündigt, die Datenverarbeitungsvorgänge für EU-Kunden auf die Europäische Union zu beschränken. Auch war zu hören, dass Microsoft voraussichtlich im Januar 2023 überarbeitete Datenschutz-Verträge für seine EU-Kunden anbieten würde, um die Anforderungen der Datenschutzkonferenz zu adressieren.
Datenschutzbeauftragte: Welche Anforderungen?
Angekündigt wurde ein Papier der DSK zur Funktion und Position des Datenschutzbeauftragten, nachdem durch die europäischen Aufsichtsbehörden ein gemeinsamer Kontrollschwerpunkt bei diesem Thema gesetzt werden soll. Der Datenschutzbeauftragte hätte als ursprünglich deutsche Besonderheit den Weg in die Datenschutzgrundverordnung gefunden und sei nun etwas ausführlicher zu betrachten. Grundsätzlich komme dem Datenschutzbeauftragten aber eine Kontroll- und Überwachungsfunktion und keine originäre Ausführungsfunktion zu.
Entscheidungen auf europäischer Ebene
Von europäischer Seite würden darüber hinaus Entscheidungen durch den EuGH zum immateriellen Schadenersatz und ein Positionspapier zur Anonymisierung erwartet. Da der inhaltliche Fokus derzeit aber bei anderen Themen läge, könnte sich das Positionspapier zeitlich noch etwas verzögern. Derzeit offen zwischen Industrie und Aufsichtsbehörden ist noch die Frage, ob die Anonymisierung von personenbezogenen Daten begrifflich eine “Verarbeitung” im Sinne der DSGVO darstellt und als solche einer Rechtfertigung bedarf.
Primär anlassbezogene Prüfungen in Deutschland
Angesichts der knappen Besetzung der Aufsichtsbehörden seien Überprüfungen primär anlassbezogen, d.h. beschwerdebezogen zu erwarten. So sei es im Zuge dessen aber durchaus denkbar, dass bestimmte Prozesse – bspw. zur Auskunft oder bei einer Datenschutzverletzung – seitens der Behörde nicht nur in der Theorie überprüft würden. – Man solle angesichts der erhöhten Bedrohungslage außerdem ein besonderes Augenmerk auf Themen der Informations-Sicherheit legen.
Die Datenschutzaufsichtsbehörden seien jedoch – und das hat bereits 2022 gezeigt – nicht mehr die einzigen Akteure, die eine effektivere Durchsetzung der DSGVO vorantrieben. Immer weitere Private wie NGOs, Verbände oder Interessensgemeinschaften würden sich auf Themen fokussieren und dadurch Schwerpunkte setzen. Das hätte die Abmahnwelle zu Google Fonts gezeigt.
Fazit: Wer die Basisthemen adressiert hat, kann auf Entwicklungen reagieren
Grundlage für Unternehmen stellten unverändert die Basisthemen dar, die es zu bewerkstelligen gäbe. Sollte dies gelingen, könne man sich und sein Unternehmen besser auf neuere, derzeit noch nicht absehbare Entwicklungen einstellen und diese bewerkstelligen. – Datenschutz sei und bleibe in allen Bereichen ein kontinuierliches Projekt.