Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (Interludium KW25/2021)“
Was? Ist es denn schon wieder Wochenende? Nein. Aber es passieren gerade so viele spannende Sachen, dass wir uns entschieden haben einen Zwischenbericht zu veröffentlichen, sozusagen ein Interludium zwischen den Hauptwerken.
Und so ist hier jetzt „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (Interludium KW 25/2021)“.
Am Wochenende gibt es wieder den regulären Bericht, dann aber vielleicht ein wenig kürzer…
- Aufsichtsbehörden
- Rechtsprechung
- Gesetzgebung
- Veröffentlichungen
- Standarddatenschutzklauseln (Drittstaaten)
- Überblick zur Vertragsgestaltung zu MS 365
- Veranstaltungen
- 4.3.1 „Digital mobil im Alter“ – Digitale Teilhabe für ältere Menschen
- 4.3.2 EFDPO Open Talks bringt Datenschutzexperten aus ganz Europa zusammen
- 4.3.3 change4rare: DATA – gläserner Patient oder endlich Durchblick?
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 Empfehlungen zu Drittstaatentransfer des EDSA
Der Europäische Datenschutzausschuss hat seine Empfehlungen 01/2020 zu den weiteren Maßnahmen zum Drittstaatentransfer am 18. Juni 2021 in einer finalen Fassung zunächst nur auf Englisch veröffentlicht. Vorausgegangen war eine Konsultation, so dass es zum Entwurf auch etliche Änderungen gibt. Eine feine Darstellung der erfolgten Änderungen findet sich hier. Dabei wird das Vorgehen bei den sechs Prüfungsschritten erläutert:
- Step 1: Know your transfers
- Step 2: Identify the transfer tools you are relying on
- Step 3: Assess whether the Article 46 GDPR transfer tool you are relying on is effective in light of all circumstances of the transfer
- Step 4: Adopt supplementary measures
- Step 5: Procedural steps if you have identified effective supplementary measures
- Step 6: Re-evaluate at appropriate intervals …
Hervorheben kann man, dass auch der Zugriff aus einem Drittstaat als Transfer bewertet (RN 13) und dass Art. 49 DS-GVO ein Ausnahmecharakter zugeschrieben wird (RN 25). Hinweise zur Bewertung der rechtlichen Situation finden sich in RN 43, wobei ich finde, dass bei RN 43.3 auch ein risikobasierter Ansatz interpretierbar ist, wenn es ausreicht, dass dargelegt wird, warum man davon ausgeht, dass für diesen Transfer keine weiteren Maßnahmen erforderlich sind. Unter RN 49 finden sich Hinweise zum Vorgehen beim Transfer in die USA.
1.2 SDPC nach Art. 46 Abs. 2 lit. c reichen alleine nicht aus, um Schrems II zu erfüllen
Die Überschrift sagt es bereits aus, die DSK hat dazu eine Pressemeldung verfasst (sie bleiben nur bei der Bezeichnung SCC).
2 Rechtsprechung
2.1 10.000 Schmerzensgeld bei unbefugter Datenweitergabe – auch ohne Art. 82 DS-GVO
Ein Unfallgeschädigter führt als Kläger zwei Prozesse: Einmal gegen seine Unfallversicherung über den Umfang und Folgen der Verletzungen und einmal gegen die Haftpflichtversicherung des Unfallgegners. Beide Versicherungen werden durch dieselbe Rechtsanwaltskanzlei vertreten. Die Unfallversicherung lässt ein Gutachten über den Gesundheitszustand des Klägers erstellen. Die Kanzlei hat sich durch die Unfallversicherung telefonisch bestätigen lassen, dass sie Informationen aus dem Gutachten in dem anderen Prozess um die Haftpflichtansprüche verwenden darf. Der zuständige Bearbeiter der Unfallversicherung erlaubte die Verwendung. Ein Einverständnis des Klägers und Unfallgeschädigten lag ihm nicht vor. Der Kläger machte darauf einen Schadensersatz in Höhe von 25.000 Euro gegen die Unfallversicherung geltend und berief sich dabei auf § 241 II BGB, aus dem sich ein vertragliches Verschwiegenheitsverbot ableite.
Das Gericht sah die besondere Sensibilität der Daten auch schon aus der Regelung des § 213 VVG (Versicherungsvertragsgesetz) als gegeben an. Bei der Betrachtung datenschutzrechtlicher Fragestellungen prüft das Gericht dann Art. 6 Abs. 1 lit. f DS-GVO und bejaht bei der Interessensabwägung das überwiegende Interesse des Klägers. Art. 9. Abs. 1 DS-GVO wird nicht geprüft und daher übersehen, dass die Verarbeitungsgrundlage „Wahrung berechtigter Interessen“ bei Gesundheitsdaten durch den Gesetzgeber nicht vorgesehen wurde. Allein schon wegen der Verletzung der Persönlichkeitsrecht wurde ein Schadensersatz über § 823 BGB in Höhe von 10.000 Euro zugesprochen, weil das Gericht hier einen schwerwiegenden Eingriff annahm, da es um höchstpersönliche Daten der Intimsphäre ginge. Auf die Frage, ob auch ein Anspruch gem. Art. 82 Abs. 1 DS-GVO, der eine ausdrückliche Reglung zum immateriellen Schadenersatz enthält, besteht, käme es nach Ansicht des Gerichts nach alledem nicht mehr an.
3 Gesetzgebung
3.1 Angemessenheitsbeschluss UK
Er ist noch nicht im Europäischen Amtsblatt veröffentlicht und doch ist der Entwurf des Angemessenheitsbeschlusses für das Vereinigte Königreich schon Gegenstand der Diskussionen.
Insbesondere auf Grund von Überlegungen in UK die Regelungen des bisherigen geltenden Datenschutzrechts, das sich an der GDPR orientiert, zu ersetzen, wird es spannend werden, ob und ab wann deutsche Aufsichtsbehörden von der Möglichkeit des § 21 BDSG Gebrauch machen.
Dass die EU-Kommission eine Überprüfung ihrer Entscheidung gemäß Art. 45 Abs. 4 und 5 DS-GVO angesichts der politischen Dimension anwenden wird, mag man anzweifeln.
Wenn man sich nun naiv fragt, was macht eigentlich den Unterschied in den rechtlichen Rahmenbedingungen hinsichtlich der Überwachungsmaßnahmen zwischen USA und UK aus, kann man sich bei dieser Veröffentlichung informieren. Ist zwar nicht ganz aktuell, aber trotzdem hilfreich.
4 Veröffentlichungen
4.1 Standarddatenschutzklauseln (Drittstaaten)
Es war vorhersehbar: Die Unfähigkeit, die Standard Data Protection Clauses in Art. 46 Abs. 2 lit. c DS-GVO richtig als SDPC, sondern (wie unter der RL 95/46) weiterhin als SCC abzukürzen, führt nun dazu, dass man immer zweimal hinsehen muss, um zu erkennen, ob es um die AV oder den Drittstaatentransfer geht.
Es gibt auch schon die ersten „Generatoren“, die anbieten aus dem modularen Aufbau der SDPC die passenden Klauseln auszufiltern. Aber hier gilt wie bei allen Vertragstextgeneratoren: Ob dies immer für den jeweiligen Einzelfall passt, wird nicht garantiert und sollte immer nochmal durch fachkundige Personen überprüft werden.
Hilfreich dabei sind die ersten Veröffentlichungen, die sich allgemein damit befassen oder mit der Fragestellung nach Haftungsbegrenzungen innerhalb der SDPC dazu.
4.2 Überblick zur Vertragsgestaltung zu MS 365
Eine gut nachvollziehbare Übersicht über die Vertragsgestaltungen beim Einsatz von MS 365 findet sich auf den Webseiten der Universität Würzburg.
Aber Vorsicht: Maßgeblich ist immer das, was Microsoft mit dem Verantwortlichen vertraglich regelt, nicht das, was irgendwo im Netz auffindbar ist!
4.3 Veranstaltungen
4.3.1 „Digital mobil im Alter“ – Digitale Teilhabe für ältere Menschen
23.06.2021, 16:00 – 16:45 Uhr, CDR Impuls – eine Veranstaltungsreihe der CDR-Initiative des BMJV, Veranstaltung ist online und kostenlos, Anmeldung erforderlich, Teilnehmerzahl auf 100 beschränkt.
4.3.2 EFDPO Open Talks bringt Datenschutzexperten aus ganz Europa zusammen
24.06.2021, 15:00 – 18:00 Uhr, der Dachverband European Federation of Data Protection Officers (EFDPO) hat sich unter anderem zum Ziel gesetzt, ein europäisches Netzwerk von nationalen Verbänden zum Austausch von Informationen, Erfahrungen und Methoden zu schaffen und die Qualität der Ausbildung und der beruflichen Praxis zu verbessern, deswegen werden in vier Fachpanels berufsständische Themen wie die Rolle des DSB in den Ländern Europas oder die Frage, inwiefern es Konflikte zwischen Art. 39 DS-GVO und nationalen Gesetzen zur Rechtsberatung gibt, andererseits Fragen aus den speziellen Fachgebieten Gesundheitsdatenschutz sowie IT-Sicherheit und KI behandelt; die Diskussionsrunden finden in englischer Sprache statt, über einen Chat gibt es auch die Möglichkeit, Fragen zu stellen, die Teilnahme ist kostenlos, Anmeldung erforderlich.
4.3.3 change4rare: DATA – gläserner Patient oder endlich Durchblick?
24.06.2021, 16:30 – 18:00 Uhr, beim virtuellen Round Table dabei sein und den Dialog über seltene Krankheiten vorantreiben, Veranstaltung ist online und kostenlos, Anmeldung erforderlich.
5 Gesellschaftspolitische Diskussionen
5.1 Arzttermin über doctolib?
Wem vertrauen Sie Ihre Gesundheitsdaten an? Bei Untersuchungen von mobilsicher.de wurde herausgefunden, dass bei bestimmten Konstellationen Daten auch an andere wie z.B. Facebook weitergegeben werden. Also: Immer überlegen, ob man bei den Consentbanner schnell zustimmt, weil man es eilig hat oder genervt ist oder ob man sich die 20 Sekunden zum Auswählen der Verwendungszwecke nimmt, mit denen man tatsächlich einverstanden ist.
Und die schöne Meldung zum Schluss: doctolib hat dem Bericht zufolge die Einbindung der entsprechenden Cookies eingestellt.
Franks Nachtrag: Na, dann war das doch auf jeden Fall ein verdienter BigBrotherAwards 2021 für doctolib…
6 Sonstiges/Blick über den Tellerrand
Wir blicken zum Wochenende wieder regulär über den Tellerrand…
7. Franks Zugabe
7.1 Ransomware-Zahlungen steuerlich absetzbar?
Zumindest in den USA scheint das zu funktionieren. Hoffentlich bei uns nicht.
Lustig zu lesen ist auch das Update bei der entsprechenden Meldung in Fefes Blog.
Das ist doch mal ein Steuersparmodell.
7.2 Eine Empfehlung sollte es werden…
Da bin ich mir sicher, dass der Account Manager des VPN99-Teams sich das Ergebnis seiner Bemühungen anders vorgestellt hat.