I. Neues aus den Datenschutzbehörden

1. EU-Kommission: Angemessenheitsbeschluss für die USA angenommen

Am 10. Juli 2023 hat die EU-Kommission das EU-US Data Privacy Framework (DPF) und den Angemessenheitsbeschluss für die USA angenommen. Damit wird für die USA ein mit der EU vergleichbares Schutzniveau für personenbezogene Daten angenommen, wenn diese im Rahmen des DPF übermittelt werden. Der Angemessenheitsbeschluss dient somit als Grundlage für Datenübermittlungen an nach dem DPF zertifizierte US-Organisationen, sodass in diesen Fällen der bisher notwendige Rückgriff auf zusätzliche Maßnahmen wie die EU-Standardvertragsklauseln (SCC) von 2021 und die Daten-Transfer-Folgenabschätzung entfallen. Dies soll den Datenverkehr zwischen der EU und den USA erleichtern, nachdem das vorherige sog. Privacy Shield durch das Schrems II-Urteil des Europäischen Gerichtshof (EuGH) im Juli 2020 für ungültig erklärt wurde.

Jedoch bestehen auch drei Jahre danach hinsichtlich des neuen DPF große Bedenken: Ebenfalls noch am 10. Juli 2023 teilte die NGO "My Privacy is None of Your Business" (NOYB) um Maximilian Schrems mit, bereits verschiedene Verfahrensoptionen gegen das neue Abkommen bis zum EuGH vorbereitet zu haben, da dieses weitgehend eine Kopie des ungültigen Abkommens sei. Der Digitalverband Bitkom e.V. geht ebenfalls von einer Überprüfung durch die Gerichte aus. Unter Beteiligung der deutschen Datenschutzbehörden hatte im Frühjahr 2023 zudem der Europäische Datenschutzausschuss (das European Data Protection Board, EDPB) eine kritische Stellungnahme zum DPF veröffentlicht. Zu den deutschen Datenschutzbehörden, die bisher Stellungnahmen veröffentlicht haben, zählt u.a. der Thüringer Landesbeauftragte für Datenschutz. Angesichts der absehbaren gerichtlichen Entscheidungen zu dem neuen Privacy Shield sollten Unternehmen, die Daten an US-Unternehmen übertragen möchten, prüfen, ob bereits abgeschlossene SCC bestehen bleiben oder neue SCC als „doppelter Boden“ abgeschlossen werden sollten.

Den Volltext des Angemessenheitsbeschlusses finden Sie hier. Mehr zu dem Thema erfahren Sie hier in unserem Blog.

2. EU-Kommission: Geplante Verbesserung der Durchsetzung der DSGVO

In einer Pressemitteilung kündigte die EU-Kommission am 4. Juli dieses Jahres an, die Zusammenarbeit der Datenschutzbehörden bei der Durchsetzung der Europäischen Datenschutz-Grundverordnung (DSGVO) hinsichtlich grenzüberschreitender Sachverhalte verbessern zu wollen. Hierzu soll eine Verordnung zur DSGVO mit konkreten Verfahrensvorschriften zur DSGVO zur Harmonisierung, der verstärkten Abstimmung der Behörden untereinander und der Vermeidung von Meinungsverschiedenheiten zwischen den Behörden beitragen.

3. EDPB: Guidelines zur Berechnung von DSGVO-Bußgeldern

DSGVO-Bußgelder können bis zu EUR 20 Mio. oder 4 % des weltweiten Jahresumsatzes eines Unternehmens betragen. Die Guidelines 04/2022 des EDPB zur Berechnung von DSGVO-Bußgeldern vom 24. Mai 2023 sollen die Methoden zur Ermittlung der Höhe der Bußgelder, die durch die verschiedenen Datenschutzbehörden ausgesprochen werden können, harmonisieren. Das EDPB hat hierfür ein Fünf-Schritte-System entwickelt, das in den Guidelines näher erläutert wird und u.a. auf die Schwere des DSGVO-Verstoßes, aber auch auf mildernde Umstände abstellt. Einen Überblick über DSGVO-Bußgelder des vergangenen Jahres erhalten Sie mit dem CMS Enforcement Tracker Report.

4. EDPB: Empfehlungen zu BCR

Die finalen Empfehlungen 1/2022 des EDPB zum Antrag auf Genehmigung und zu den Elementen und Grundsätzen in verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules, BCR) erschienen am 30. Juni 2023 auf der Homepage des EDPB. Unternehmen sollten überprüfen, ob ihre BCR den Empfehlungen entsprechen.

5. Norwegen: Vorübergehendes Verbot von verhaltensbasiertem Marketing auf Facebook und Instagram

Mit Pressemitteilung vom 17. Juli 2023 hat die norwegische Datenschutzbehörde bekannt gegeben, Meta mit vorläufiger Geltung vom 4. August 2023 bis Oktober dieses Jahres die Anpassung von Werbung mittels sog. Behavioral Marketing in Norwegen untersagt zu haben. Die Behörde stellt dabei u.a. auf eine Entscheidung des EuGH vom 4. Juli 2023 (C-252/21) ab (mehr hierzu unten in diesem Newsletter).

6. UK: ICO veröffentlicht Q&A für Arbeitgeber zu Auskunftsrechten

Das Information Commissioner's Office (ICO) aus Großbritannien hat ein Q&A für Arbeitgeber zu Auskunftsrechten (Subject Access Rights, SAR) veröffentlicht. In dem Q&A werden Informationen zum Inhalt und Umfang des Auskunftsrechts sowie zu Ausnahmen gegeben.

7. Bayern, NRW und Niedersachsen: Tätigkeitsberichte für das Jahr 2022

Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat Mitte Juni dieses Jahres den Tätigkeitsbericht für das Jahr 2022 veröffentlicht. Wie die Tätigkeitsberichte einiger anderer Behörden für das vorherige Jahr setzt der Bericht aus Bayern u.a. Schwerpunkte bei COVID-Immunitätsnachweisen und Videokonferenzen. Auch zur Einbindung von Web Fonts äußert sich der Bericht. Der BayLfD nutzt seinen Tätigkeitsbericht zudem für einen Blick in die Zukunft und eine kritische Beleuchtung einiger Aspekte der europäischen Datenstrategie, mit der eine umfassende Datennutzung in der EU ermöglicht werden soll.

Im Juni 2023 hat zudem die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) den Tätigkeitsbericht für das Jahr 2022 vorgestellt und nennt u.a. den Zensus 2022, Veröffentlichungen im Internet und Bewertungsportale sowie den Schutz von Gesundheitsdaten als einige der maßgeblichen Themen des Vorjahrs. Auch die Landesbeauftragte für den Datenschutz Niedersachsen (LfD) hat ihren Tätigkeitsbericht für das Jahr 2022 vorgelegt und setzt u.a. Schwerpunkte bei Themen wie Microsoft 365, den internationalen Datenverkehr und PUR-Abo-Modellen auf Webseiten.

8. Niedersachsen: PUR-Abo-Modelle auf Webseiten

Zu den besagten PUR-Abo-Modellen auf Webseiten veröffentlichte die LfD aus Niedersachsen am 5. Juli 2023 eine Pressemitteilung, in der sie den Abschluss der Prüfung von Medienwebseiten bekannt gibt. Im Zuge einer bundesweiten Überprüfung habe man der Mitteilung zufolge in Niedersachsen bei einer geringen Anzahl von Webseiten datenschutzrechtliche Mängel bei der Einbindung einer Anzahl von bis zu 760 Cookies oder Drittdiensten sowie beim Real Time Bidding, dem Cookie-Banner und Dark Patterns festgestellt. Im Rahmen dieser koordinierten Medienprüfung hat die Datenschutzkonferenz (DSK) in einem Beschluss im März dieses Jahres eine rechtliche Bewertung von Pur-Abo-Modellen veröffentlicht.

Die LfD berichtet, dass die überprüften Medienunternehmen die Anforderungen zwar weitgehend umgesetzt haben, aber dass weitere Nachprüfungen beabsichtigt seien.

In einer hörenswerten Podcast-Episode berichtet hierzu: Auslegungssache 89: Cookies und (k)ein Ende | heise online.

II. DSGVO-Bußgelder

1. Frankreich: Bußgeld in Höhe von EUR 40 Mio.

Die französische Aufsichtsbehörde hat ein Bußgeld in Höhe von EUR 40 Mio. auf Basis der DSGVO gegen ein auf Retargeting Werbung spezialisiertes Unternehmen verhängt, da u.a. der Nachweis erfolgter Einwilligungen in das Tracking nicht erbracht werden konnte, die Datenschutzerklärung unvollständig sei und Auskunftsersuchen nicht angemessen beantwortet worden seien. Bei der Bemessung der Höhe des Bußgelds habe die Behörde beachtet, dass eine hohe Anzahl von Personen betroffen war.

2. Schweden: Bußgeld in Höhe von EUR 4,9 Mio.

Die Aufsichtsbehörde aus Schweden hat im Juni dieses Jahres ein Bußgeld in Höhe von EUR 4,9 Mio. gegen einen Musik-Streaming-Dienst verhängt. Als Grund hierfür sah die Behörde eine unzureichende Erfüllung von Betroffenenrechten hinsichtlich der Informationen u.a. zu Datenübermittlungen sowie der Sprache, in der datenschutzrelevante Informationen bereitgestellt wurden.

3. Italien: Bußgeld in Höhe von EUR 240.000

In Italien hat die Aufsichtsbehörde ein Bußgeld in Höhe von EUR 240.000 gegen ein Bekleidungsunternehmen ausgesprochen. Die Behörde nennt die Speicherung einer größeren Menge von Kundendaten auf unbestimmte Zeit sowie die Sicherung der Verwaltungsdatenbank von Geschäftsmitarbeitern aus sieben Ländern mit nur einem Passwort als Gründe für das Bußgeld. Bei der Bußgeldbemessung habe die Behörde beachtet, dass eine hohe Anzahl von Personen betroffen war.

4. Griechenland: Bußgeld in Höhe von EUR 150.000

Die griechische Datenschutzbehörde sprach im Mai 2023 ein Bußgeld in Höhe von EUR 150.000 gegen ein Telekommunikations- und Medienunternehmen aus, da dieses entgegen bereits erfolgter Widersprüche von betroffenen Personen mehrere E-Mails mit werbendem Inhalt versendet und Auskunftsansprüche nicht erfüllt habe. Dieser Sachverhalt stellte sich aufgrund der Überprüfung des Unternehmens in Folge der Beschwerde durch eine Einzelperson heraus.

5. Spanien: Bußgeld in Höhe von EUR 3.000

Die Datenschutzbehörde in Spanien hat eine Privatperson mit einem Bußgeld in Höhe von EUR 3.000 versehen. Auch dieses Bußgeld hat seinen Ursprung in der Beschwerde einer anderen Einzelperson. In dem vorliegenden Fall hatte der Verantwortliche eine Quittung mit personenbezogenen Daten einer dritten Person ausgestellt, woraufhin der Empfänger der Quittung eine Beschwerde bei der Datenschutzbehörde einreichte, die daraufhin eine Untersuchung einleitete und feststellte, dass der Verantwortliche keine angemessenen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen hatte.

III. Aktuelle Gerichtsentscheidungen

1. EuGH: Nationale Wettbewerbsbehörden dürfen DSGVO-Verstöße prüfen

Am 4. Juli 2023 hat der EuGH entschieden, dass nationale Wettbewerbsbehörden (in dem vorliegenden Fall das Bundeskartellamt (BKartA)) im Rahmen der Prüfung des Missbrauchs einer marktbeherrschenden Stellung auch DSGVO-Verstöße prüfen und feststellen können, wobei sie etwaige Entscheidungen und Untersuchungen der nach der DSGVO zuständigen Aufsichtsbehörde zu beachten haben (C-252/21). Der Bundesbeauftragte für den Datenschutz und Informationsfreiheit (BfDI) begrüßte in einer Pressemitteilung das EuGH-Urteil und die Einstufung der Einhaltung von Datenschutzanforderungen als wettbewerbsrelevant.

2. EuGH: Zum Umfang des Auskunftssrecht nach Art. 15 DSGVO

Mit Urteil vom 22. Juni 2023 hat der EuGH erneut zum Auskunftsrecht nach Art. 15 DSGVO entschieden (C-579/21). Das Gericht wies darauf hin, dass hiernach jede betroffene Person das Recht hat, zu erfahren, zu welchem Zeitpunkt und aus welchen Gründen ihre personenbezogenen Daten abgefragt worden sind, wobei die Tätigkeit des Verantwortlichen als Bankgeschäft hierbei keine Auswirkungen habe. In dem zugrundliegenden Sachverhalt hatte ein Arbeitnehmer einer Bank, dessen Kunde er zugleich war, erfahren, dass andere Mitarbeiter dessen personenbezogene Daten abgefragt hatten. Der EuGH entschied, dass die DSGVO-Auskunft Informationen zu solchen sog. Protokolldateien (Logdateien) umfassen könne, wobei hinsichtlich der Identität der Abfragenden ihrerseits der Schutz von deren personenbezogenen Daten zu beachten sei. Die LDI NRW stellt eine kurze Zusammenfassung des Urteils zur Verfügung.

3. BAG: Kein grundsätzliches Verwertungsverbot von Aufnahmen aus offener Videoüberwachung in Kündigungsschutzprozess

Am 29. Juni 2023 urteilte das Bundesarbeitsgericht (BAG), dass in einem Kündigungsschutzprozess grundsätzlich kein Verwertungsverbot in Bezug auf Aufzeichnungen aus einer offenen und mit Hinweisschildern erfolgten Videoüberwachung bestehe, welche ein vorsätzlich vertragswidriges Verhalten des Arbeitnehmers belegen sollen (2 AZR 296/22). Dies gelte dem BAG zufolge auch in dem Fall, dass die Überwachungsmaßnahme des Arbeitgebers nicht vollständig im Einklang mit den Vorgaben des Datenschutzrechts stehe.

4. BAG: Zum Betriebsratsvorsitzenden als Datenschutzbeauftragter

Das BAG hat außerdem mit Urteil vom 6. Juni 2023 (9 AZR 383/19) entschieden, dass der Vorsitz im Betriebsrat einer Wahrnehmung der Aufgaben des Beauftragten für den Datenschutz typischerweise entgegenstehe und den Arbeitgeber in aller Regel berechtigt, die Bestellung nach Maßgabe der alten bis zum 24. Mai 2018 gültigen Fassung des Bundesdatenschutzgesetztes (BDSG) zu widerrufen. Eine Zusammenfassung der Entscheidung erhalten Sie in der dazugehörigen Pressemitteilung des BAG.

IV. Hilfreiche Links