Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Blog News
Im letzten Jahr ist beim Datenschutz viel passiert: u.a. Schrems II, wonach das Privacy-Shield-Abkommen zur Übermittlung von Daten zwischen der EU und den USA für ungültig erklärt wurde; Brexit-Verhandlungen und -Einigungen; Phishing-Angriffe auf IT-Sicherheit in Unternehmen. Und allem voran natürlich das weltweite Thema Nummer eins – die Corona-Pandemie. Videokonferenzen, Homeoffice und Impfungen haben die Rechtswelt vor einige Probleme gestellt, die uns wohl auch weiterhin beschäftigen werden. Zudem sollten Webseiten-Betreiber nochmal genauestens ihre Internetseite überprüfen – bevor die Aufsichtsbehörden das tun. Denn nach dem „Planet49“-Urteil hat die Niedersächsische Datenschutzbehörde nun Unternehmen zu ihrem Consent-Layer bzw. dem Cookie-Tracking auf ihrer Webseite befragt. Eine Zusammenfassung dieser und weiterer aktuellen Themen, die es anzugehen gilt – und zwar spätestens jetzt. Von uns bekommen Sie die aktuellen Datenschutz-News: Was war und ist 2021 wichtig in Bezug auf Cookies, Corona und IT-Sicherheit?
Wie Cookie-Banner auf Webseiten im Detail aussehen müssen, ist immer wieder vor Gericht verhandelt worden. Dazu hatte das Landgericht (LG) Köln m Oktober letzten Jahres beschlossen, dass das Setzen von Cookies ohne aktive Einwilligung ein Wettbewerbsverstoß ist. Soll heißen: Nutzer müssen selbst („aktiv“) anklicken, dass sie den Cookies zustimmen. Eine stumme Duldung durch einen bloßen Hinweis wie „Wenn sie diese Webseite weiter nutzen, gehen wir von Ihrer Einwilligung aus“ genügt nicht! (Beschluss des LG Köln vom 29.10.2020 - Az.: 31 O 194/20)
Zudem sind Cookies von Drittanbietern auch nur dann erlaubt, wenn sie wirklich technisch notwendig sind. Dazu zählen z.B. Login-Funktionen, Sicherheitsfunktionen, Warenkorbfunktionen und einige selbst gehostete Statistik-Tools. Webseiten-Betreiber sollten das schnellstmöglich auch bei sich so umsetzen und sich also mit folgenden Fragen befassen: Habe ich Dienste von Drittanbietern bei mir geschaltet? Welche weiteren Cookies sind auf meiner Seite gesetzt? Habe ich das alles in die Datenschutzerklärung aufgenommen? Wenn nicht, muss das natürlich unbedingt nachgeholt werden!
Seit der österreichische Datenschützer mit seiner Klage vor dem EuGH Erfolg hatte und damit das Privacy-Shield-Abkommen für ungültig erklärt wurde, ist eine Datenübermittlung zwischen der EU und den USA nicht mehr so einfach möglich… Webseiten-Betreiber sollten also genau gucken, welche verbundenen Dienste außerhalb der EU sie bei sich haben und diese so einbinden, dass es rechtskonform ist. Meist geht das, indem die AGBs angepasst, Nutzungsverträge oder zusätzliche Vereinbarungen getroffen werden – alles im Sinne der Standardverträge der EU (den Standardvertragsklauseln bzw. SSCs). Vermutlich wird die Europäische Kommission noch bis März dieses Jahres die SSC 2.0 verabschieden. Sie sollten also entsprechende Vorkehrungen treffen, damit ihre Webseite bzw. Datenübermittlungen auf ihrer Webseite diesen Anforderungen entsprechen!
Der viel genutzte Messenger-Dienst WhatsApp hat seine Nutzungsbedingungen aktualisiert – und könnte damit an Beliebtheit einbüßen. So wechseln bereits immer mehr Nutzer zu anderen Apps, bei denen persönliche Daten sicherer sind. Denn: Laut den neuen Nutzungsbedingungen kann WhatsApp künftig personenbezogene Daten an andere Facebook-Unternehmen weitergeben. Bisher konnte man das als Nutzer untersagen. Aber nun werden wohl zwischen WhatsApp, Facebook und Instagram jegliche Daten ausgetauscht – zu Werbezwecken. In Europa muss es dafür zwar erst noch eine Vereinbarung von WhatsApp mit der irischen Aufsichtsbehörde geben (dazu hatte das Unternehmen sich selbst verpflichtet). Aber wenn diese Vereinbarung geschlossen wurde, steht der der Weitergabe von WhatsApp-Nutzerdaten nichts mehr im Wege, vor allem von Metadaten und Kontaktdaten.
Man sollte sich also ernsthaft überlegen, ob man diesen Handel mit den eigenen privaten Daten in Kauf nimmt oder ob man nicht lieber zu sichereren Alternativen wechselt. Signal ist dahingehend wirklich empfehlenswert. Und zu geschäftlichen Zwecken bietet sich Threema an. Hier lassen sich nämlich auch Verträge abschließen – und zwar mit dem nötigen Datenschutz, der bei WhatsApp fehlt. Bei dem Facebook-Unternehmen ist nun nämlich auch nicht mehr gewährleistet, dass Nachrichten wirklich Ende-zu-Ende verschlüsselt sind. Die Passage, dass WhatsApp selbst niemals Zugriff auf den privaten Schlüssel zu Entschlüsselung haben wird, wurde einfach aus den Nutzungsbedingungen gestrichen…
Der Austritt Großbritanniens aus der EU hatte viele Fragen und Probleme aufgeworfen. Es ist ein schier endloses Thema gewesen. Jetzt ist der Brexit endlich vollzogen. Obwohl – naja, noch nicht so ganz. Schon wieder hat es nämlich einen Zeitaufschub gegeben. Wegen der „Kurzfristigkeit der Umstände“ gibt es eine erneute sechsmonatige Übergangsphase. Im Datenschutzrecht gibt es nämlich noch einiges zu klären…
Im Kern lautet die Frage: Ist Großbritannien ein Drittland oder erhält es einen Angemessenheitsbeschluss? Beim Drittland-Status müssten mit britischen Dienstleistern je einzeln Standardverträge geschlossen werden. Mit einem Angemessenheitsbeschluss hingegen wäre Großbritannien weiterhin EU-Mitglied – also aus Sicht des Datenschutzes zumindest. Die Schweiz hat so einen Angemessenheitsbeschluss und somit datenschutzrechtlich eine EU-Zugehörigkeit. Allerdings scheint es unwahrscheinlich, dass UK auch solch ein Recht von der EU eingeräumt werden wird...
EU-DSGVO wird durch die britische General Data Protection Regulation ersetzt
Brexit 2021: Sind Datenübermittlungen ins Vereinigte Königreich möglich?
Um die Ausbreitung von COVID-19 zu verhindern, sind Unternehmen angehalten, ihre Mitarbeiter ins Homeoffice zu schicken, soweit das möglich ist. Hinsichtlich des Virus ist das zwar sinnvoll, aber birgt das Homeoffice stattdessen andere, rechtliche Risiken. So sollte darauf geachtet werden, dass auch beim Arbeiten von zu Hause aus der Datenschutz unbedingt eingehalten wird! Dafür sollten bestimmte Prüfschritte und Vorarbeiten vorgenommen werden – je nach Risiko, Arbeitssituation und Verarbeitungskontext von Daten (Artikel 5, 24, 25, 32 (DSGVO)).
Zwar gilt es als eine besondere Notlage, wenn man sich von heute auf morgen wegen Corona plötzlich gezwungen sieht, seine Beschäftigten ins Homeoffice zu schicken. Einige Pflichten kann man dann erstmal zurückstellen. Aber man sollte die nötigen datenschutzrechtlichen Maßnahmen schnellstmöglich nachholen. Zum Beispiel müssen Geräte und Verbindungen verschlüsselt, Vereinbarungen über Schutzpflichten oder Freigaben von Geräten getroffen, Passwortrichtlinien überprüft sowie Mitarbeitervereinbarungen, Richtlinien und technische Richtlinien angepasst werden. Geschützt werden müssen dabei personenbezogene Daten von Kunden und Geschäftsgeheimnisse. Auch muss verhindert werden, dass sich bei den Beschäftigten betriebliche Daten von der Arbeit für das Unternehmen mit den privaten Daten auf ihren Geräten zu Hause vermischen.
Besondere Aufmerksamkeit beim Thema Datenschutz im Homeoffice sollte man den sogenannten Auftragsverarbeitungsverträgen (AVV) zukommen lassen. Darin steht nämlich, dass man sich als Dienstleister gegenüber seinen Kunden verpflichtet, ihre personenbezogenen Daten nur so zu verarbeiten, wie sie das möchten, und dabei natürlich ein angemessenes Sicherheitsniveau einzuhalten. Auf dieser Grundlage ist es bisher üblich gewesen, dass ein Unternehmen seine Beschäftigten nur dann ins Homeoffice schicken kann, wenn der Auftraggeber dem auch zustimmt.
Die Corona-Pandemie als eine Notlage kann diese Vorgabe ein wenig lockern. So dürfen die Auftraggeber Geschäftspartnern generell nicht einfach ohne Grund verbieten, Homeoffice zu machen (sofern dort alle Sicherheitsmaßnahmen eingehalten werden). Dennoch sollten Sie sicherheitshalber Ihre AVVs prüfen und die einzelnen Unternehmen um Erlaubnis bitten, ihre Beschäftigten von zu Hause aus arbeiten zu lassen!
► Was macht ein Auftragsverarbeiter?
► Bestandsdaten - einfach erklärt
Immer mehr Privatpersonen und Unternehmen, vor allem im Gesundheitssektor, werden Opfer vom sogenannte Spear Phishing. Es handelt sich hierbei um eine personalisierte Form des klassischen Phishing Angriffs. So werden gezielt Personen angeschrieben – und zwar mit Informationen, die ihnen vertraut sind. Damit werden sie dazu verleitet, quasi intuitiv einen Link anzuklicken oder einen E-Mail-Anhang zu öffnen. Und mit diesem Klick startet dann der eigentliche Angriff.
Wie man sich dagegen schützen kann? Am sinnvollsten ist die Sensibilisierung: Mitarbeiter geschult werden, z.B. durch Angriffs-Simulationen. So können sie am besten lernen, wie man eine Phishing-Mail/einen versuchten Phishing-Angriff erkennt und wie man dann damit umgeht.
Die neuen Standardverträge zur Datenübermittlung zwischen der EU und den USA hatten wir bereits angesprochen. Sie werden wohl noch im ersten Quartal dieses Jahres beschlossen werden – und sicherlich eine große Rolle spielen. Daneben gibt es aber noch einige weitere Themen, die 2021 auf uns zukommen. Zum Beispiel will Apple für mehr Datenschutz in seinen Apps sorgen. Bereits seit Dezember müssen App-Entwickler deswegen bei IOS 14.3 ihre Datenschutzpraktiken angeben. Auf diese und ähnliche Weisen werden sie künftig zu noch mehr Transparenz aufgefordert werden. Außerdem werden Corona und IT-Sicherheit uns weiterhin begleiten. Und auch 2021 müssen die üblichen Routinen im Datenschutz durchgeführt werden. Hierzu im Folgenden mehr Details:
Es wird z.B. um die Fragen gehen, inwiefern Mitarbeiter zur Impfung verpflichtet werden können bzw. offenlegen müssen, ob sie geimpft sind oder nicht. Kann es Sonderregeln für Geimpfte geben? Auch werden wir bis dahin wohl noch weiterhin im Homeoffice arbeiten müssen. Generell sind Zoom und Teams derzeit rechtssicher. Aber noch ist beim Thema Videokonferenzen datenschutzrechtlich nicht alles abschließend geklärt...
IT-Sicherheit ist ein Punkt der immer wichtiger wird. Viel zu oft bestehen hier noch zu große Lücken, sodass Angriffe verheerende Folgen haben. Das gilt es unbedingt nachzubessern! Zum Schutz vor Angriffen auf das Unternehmen empfiehlt sich deswegen ein Informationsmanagementsystem (ISMS), in dem auch jegliche gesetzlichen Anforderungen eingebunden werde (Geschäftsgeheimnisgesetz, Vertraulichkeitsvereinbarungen).
Wie immer muss geprüft werden, ob sich Auftragsverarbeiter an alle Anforderungen aus den AV-Verträgen halten. Daneben muss weiterhin stets der Datenschutz im Unternehmen dokumentiert werden – derzeit natürlich ergänzt durch die neuen Verarbeitungen wie Homeoffice und Videokonferenzen. Daran sollten auch die Unternehmens-Richtlinien angepasst werden.
Datenschutz ist ein laufender Prozess, der stetig neue Anpassung an sich verändernde Gesetzeslagen erfordert. Als Kanzlei für Datenschutzrecht beraten wir von SBS LEGAL Sie kompetent und fachlich versiert in allen Belangen des Datenschutzes. Unser Team aus erfahrenen Anwälten sorgt dafür, dass Unternehmen (darunter auch solche mit Geschäftssitz außerhalb der EU) den hohen Anforderungen des Datenschutzrechtes in jeder Hinsicht gerecht werden und die von der Rechtsprechung gesetzten Maßstäbe souverän umsetzen – und das schon seit vielen Jahren.
Wir stehen auch Ihnen gern als Partner zur Seite. Sie brauchen Hilfe im Datenschutzrecht? Kontaktieren Sie uns gern. Wir freuen uns bereits jetzt, Ihren Erfolg zu gestalten.