EuG stärkt relativen Personenbezug – Datenschutz News KW 19/2023

Moderation:

Was ist in der KW 19 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:

• Neue Themenfolge zum Thema Cyber Versicherung am 16.05.2023
• Kein Anspruch auf Übersendung einer Prüfungskopie
• Abgrenzung von pseudonymisierten und anonymisierten Daten (Rechtssache T‑557/20)
• LG Köln: Telekom darf keine personenbezogenen Daten an Google in die USA übermitteln (LG Köln, Urt. v. 23.03.2023 –  33 O 376/22)
• CNIL verhängt 5,2 Mio. € Bußgeld gegen Clearview AI

Empfehlungen & Lesetipps

• Donnerstag, 25. Mai 2023, 11-13 Uhr – Transparenz für alle: Datenschutzerklärung und Verzeichnis von Verarbeitungstätigkeiten
• Kurioses: Verlust von Beschwerdemeldungen Berliner Aufsichtsbehörde

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/eug-starkt-relativen-personenbezug-datenschutz-news-kw-19-2023

#TeamDatenschutz #TeamInfoSec #DSTalk

Transkript zur Folge: Ja, ich fange einfach nochmal von vorne an. Blöcken, blicken, sind ja alles so schwierige Worte. Diese Umlaute, ja, vor allem die Unfreiwilligen. Genau. Herzlich willkommen zum Datenschutztalk, Ihrem Podcast für die Themen Datenschutz und Informationssicherheit. Wir starten heute wieder gemeinsam mit Ihnen ins Wochenende und blicken vorher natürlich nochmal zurück auf die Woche des Datenschutzes. Wie Sie das von uns gewohnt sind und wir sind heute meine Wenigkeit, Heiko Gossen und bei mir begrüße ich recht herzlich den Kollegen David Schmidt. Hallo David. Heute ist Freitag, der zwölfte Mai zweitausenddreiundzwanzig. Ich habe das Gefühl, es könnte eine kurze, schnelle Folge werden. Es sind nicht so viele Themen heute, aber wir schauen mal, was wir alles dabei haben, oder? We will see. Was hast du denn heute in petto. Ich habe heute zwei Urteile mitgebracht. Ähm zum einen geht es um die Übersendung von Prüfungskopien und zum anderen um die Einwilligung nach Artikel 49 in die Drittstaatenübermittlung. Wie sieht’s denn bei dir aus? Ich habe auch ein Urteil und zwar vom europäischen Gericht, und wir hätten dann nochmal eine Entscheidung, ein einem kleine Mahngebühr gegen und natürlich nicht zu vergessen einen kleinen Veranstaltungstipp Zumindest für eine kleine Zielgruppe unserer Zuhörerschaft. Bevor wir bei einsteigen, hätte ich noch zwei Servicehinweise. Zum einen ganz wichtig, am Sonntag ist Muttertag. Äh da natürlich an alle, die da noch nichts dran gedacht haben, vielleicht noch mal der Kleine Hinweise und hat nicht so viel mit Datenschutz zu tun, außer dass natürlich ähm jeder weiß, äh hoffentlich wer seine Mutter ist, aber das ist ein anderes Thema. Und das andere wäre noch ein Hinweis, nämlich ähm dann haben wir ja nächste Woche auch einen Feiertag und wenn man so überlegt, dann veröffentlichen wir veröffentlichen wir doch noch mal eine Themenfolge, damit man über den Feiertag und das lange Wochenende natürlich auch möglichst viel vom Datenschutztalk hören kann. Und dazu haben wir eine Themenfolge vorbereitet, in der Markus unser werter Kollege, mit Hanno Kingsmann gesprochen hat über das Thema Cyber-Versicherung und die beiden schauen in der Folge unter anderem darauf, wo Cyberversicherung eigentlich herkommen, ähm inwieweit das auch letztendlich bezüglich Schadensersatz vielleicht noch Relevanz hat. Sie beleuchten einmal dann auch die versicherten Ereignisse, Leistungen im Schadensfall und wie das in der Praxis nachher natürlich auch. Funktioniert. Also da kann ich schon mal ein wenig neugierig machen. Dienstagmorgen geht die Folge online. Das äh neugierig machen ist dir, was mich betrifft damit schon mal gelungen. Sehr schön. Jetzt bist du dran, äh uns neugierig zu machen mit deinem ersten Thema. Ja, sehr gerne. Ich beginne heute beim Amtsgericht Frankfurt. Das hat eine interessante Entscheidung zum Anspruch auf über Sendung einer Prüfungskopie getroffen. Einordnung, was passiert war. Die spätere Klägerin absolvierte bei der Beklagten einen Sprachtest und fiel dabei leider durch. Daraufhin begehrte sie gemäß Artikel 15 Absatz 3, Datenschutzgrundverordnung, die Herausgabe einer Prüfungskopie inklusive ihrer Antworten und der Bewertung. Wurde ihr dann durch den Testanbieter verwehrt mit der Begründung, dass ein Geheimhaltungsinteresse hinsichtlich der Testinhalte bestehe. Der Klägerin, dann angeboten, dass sie sich stattdessen ihren korrigierten Test in den Räumlichkeiten des Anbieters anschauen darf. Davon machte die Klägerin aber keinen Gebrauch, sondern klagte stattdessen auf Herausgabe der Kopie. Das Amtsgericht Frankfurt entschied dass es sich bei den Antworten der getesteten Person und bei den entsprechenden Korrekturen zwar um personenbezogene Daten erhandelt, schloss sich dann aber der Argumentation des Testanbieters an, dass sich hier dass hier das Geheimhaltungsinteresse der Testfragen überwiegt. Würden die Testfragen nach jeder herausgegeben werden, müssten diese ständig neu konzipiert werden und das stehe dann in diesem Fall zumindest nach Einschätzung des Gerichts den Rechten auf unternehmerische Freiheit und dem geistigen Eigentum entgegen. Das Gericht sah deshalb ein Verwehrungsgrund, der, aus der aber Auskünftung der Kopie gemäß Artikel 15 Absatz 4 Datenschutzgrundverordnung, Demnach darf ja das Recht auf Erhaltung einer Kopie nicht die Recht und Freiheiten anderer Personen beeinträchtigen und das fand ich tatsächlich ganz interessant, denn man denkt ja bei diesem Ausschlussgrund zuerst immer an die Persönlichkeitsrechte anderer Personen, aber es können natürlich auch andere Rechte einschlägig sein. Finde ich tatsächlich gut, da nochmal drauf hinzuweisen, ne, dass man sich halt schon darüber noch mal Gedanken machen kann und wenn man’s halt auch gut begründen kann, dass halt wirklich ein Grund sein kann, warum bestimmte Daten dann nicht bei Auskunft werden müssen. Sehr gut. Ich, einmal zum Europäischen Gericht, das ist die erste Instanz dort, die hatte nämlich entschieden in einem Verfahren, des einheitlichen Abwicklungsausschusses gegen den äh europäischen Datenschutzbeauftragten und zwar zur Frage des relativen Personenbezugs, also ganz konkret, ging es halt in die frei äh um die Frage, ob Daten, die an einen Dritten übermittelt werden, pseudonymisierte Daten als personenbezogene Daten anzusehen, auch wenn der Empfänger keine Möglichkeit hat, diese Daten zu entschlüsseln beziehungsweise auf die natürliche Person zurückzuschließen. Hintergrund war eine Übermittlung von pseudonymisierten Daten, letztendlich von Anteilseignern einer Bank im Rahmen einer Abwicklung in Spanien und äh die wurden halt zur Durchführung von Prüfungsaufgaben mit einer numerischen, also die Namen und äh die Merkmale direkt, die die Person identifizierten ersetzt durch einen numberischen äh Wert nach Basis eines Schlüssels, also typische Pseudonymisierung, weil sie halt für den äh Ausschuss ähm diesen Abwicklungsausschuss natürlich trotzdem noch zurückzuführen waren, da sie eine Datenbank hatten. Der das Beratungsunternehmen, was hier diese Prüfungen durchgeführt hat, das hatte aber diesen Schlüssel nicht und konnte entsprechend auch nicht diese Daten wieder auflösen. Das hatte der europäische Datenschutzbeauftragte aber bemängelt und hat gesagt, hier wurden halt nach äh, Einige Beschwerden sind wohl eingegangen und äh der hat das halt sich angeschaut und hat dann gesagt, es waren halt äh personenbezogene Daten, die übermittelt wurden. Hat sich hier unter anderem auf die Breier Entscheidung von 216 bezogen. Wo es ja um die Frage der dynamischen IP-Adressen ging und inwieweit halt bei dynamischen IP-Adressen halt eine personenbezogenes Datum vorliegt oder nicht, Das hat das Gerücht sich jetzt nochmal angeschaut und ist aber zu einem Ergebnis gekommen, dass es halt äh letztendlich schon auch in dem Fall hier sich um, anonyme Daten für den Empfänger handeln kann, wenn er halt keine rechtlichen Möglichkeiten hat und auch vor allen Dingen keine verhältnismäßigen Möglichkeiten hat, an diesen Schlüssel zu kommen und damit auch diese, Rückführung zum Personenbezug herzustellen. Also im Gegensatz zur Breierentscheidung, wo wir ja davon ausgehen müssen, dass zum Beispiel Auskunftsrechte bestehen gegenüber dem Provider, der halt dann auch legitim natürlich den äh zum Beispiel Klarnamen zur der Person herausgeben muss, die hinter einer dynamischen IP-Adresse steckt ist es halt in dem Fall nicht so, also das heißt, das Gericht hat hier nochmal den relativen äh Personenbezug etwas äh geschärft oder gestärkt, damit glaube ich auch für die Praxis nochmal eine wichtige Entscheidung getroffen. Ich meine, diese Fälle sind ja durchaus in der Praxis häufiger schon mal, ein Thema, wo man halt drüber diskutieren kann, inwieweit halt für mich Pseudonymisierte Daten, für dich aber damit anonyme Daten letztendlich legitim übermittelt werden können oder nicht, Finde ich, wie gesagt, dahingehend sehr ähm gut. Es ist allerdings zu beachten, dass das Urteil noch nicht rechtskräftig ist und damit natürlich noch eine gewisse Vorsicht ähm, zu genießen äh hat, dass man das halt vielleicht noch nicht so stark belastet. Wobei ich glaube, wenn man das halt auch mit der Breierentscheidung zusammen liest, eigentlich nicht so, wirklich fundamental, dass man jetzt sagt, da durch ähm ergeben sich völlig neue Bewertungen, aber es ist halt, wie gesagt, finde ich auch mal ganz gut zur Unterstützung. Bei bestimmten Praxisfragen. Zum Beispiel verschlüsselte Daten, also Verlust von zum Beispiel verschlüsselten Daten ist ja immer so ein Fall, wo man halt drüber diskutieren kann, sind das jetzt halt personenbezogene Daten für den, zum Beispiel von einer Festplatte, von einem USB-Stick, was auch immer oder auch nicht. Ja finde ich auch ganz gut, den Ansatz das zu differenziert zu betrachten, öffnet natürlich gleichzeitig dann auch die Herausforderung, dass ich mir immer anschauen muss, wer denn welche Möglichkeiten hat, vielleicht doch aus vermeintlichen anonymisierten Daten wieder Pseudonyme zu machen oder sogar Klardaten zu machen. Absolut. Es entbindet mich nicht davon, kritisch hinzugucken, ja. Das sowieso nie. Ja kritisch war auch die Verbraucherzentrale Nordrhein-Westfalen mit ähm der Telekom und hat Klage gegenüber dem Landgericht Köln eingereicht. In der Klage ging es um verschiedene Themen, einmal um die Übermittlung von Daten an die Schufa zum Beispiel unter anderem aber auch um die Einbindung von äh Google Analytics auf der Webseite der Deutschen Telekom dort hat das Landgericht Köln jetzt entschieden, dass diese rechtswidrig war. Hintergrund war, dass die Telekom Google Analytics auf ihrer Webseite auf Basis der Einwilligung der Nutzer eingesetzt hat, konnte der Nutzer auf dem ersten Layer des Cooki-Banners in alle Dienste inklusive Google Analytics und der damit verbundenen Datenübermittlung per Klick auf einen. Alle akzeptieren Button einwilligen Das Ablehnen war aber erst auf dem zweiten Lehrjahr möglich und dafür musste man dann auch einen kleineren ausgegrauteren Button finden und auf diesen klicken. Darin sah das Gericht ein Problem hinsichtlich der Freiwilligkeit, der Einwilligung, das ist ja eine Tendenz, die sich grade auch in anderen Urteilen, also an der Stelle die ganz klare Empfehlung, den Cookie-Banner zu prüfen und zu schauen, ob auch auf dem ersten Lehrjahr schon alles abgelehnt werden kann. Und interessant war jetzt, dass die Telekom ja auch hier die Einwilligung gemäß Artikel 94und, DSGVO in die Übermittlung an Google umsetzen wollte und diese dann letztendlich damit auch unwirksam wurde. Interessant finde ich dabei besonders, dass das Gericht im Umkehrschluss wohl davon ausgeht, dass eine Einwilligung nach Artikel 49 hier in Frage gekommen wäre. Diese vernünftig abgebildet worden wäre, obwohl er die Aufsichtsbehörden eher die Auffassung vertreten, dass eine solche im geschäftlichen Kontext gar nicht in Frage kommen kann. Weil der Artikel 49 ja eigentlich als Ausnahmetat bestand, konzipiert ist, der nur für bestimmte Fälle gelten kann und jedenfalls nicht für andauernde geschäftsmäßige Übermittlung in Drittstaaten. Das Gericht hat sich außerdem noch damit beschäftigt, ob nicht auch andere Tatbestände in Frage kommen, die eine Drittstaatenübermittlung legitimieren. Könnten, Dabei wurden sich vor allem die SCCs angeschaut. Die wurden wohl auch abgeschlossen. Ähm es konnte aber von der Telekom, nicht dargelegt werden, dass das erforderliche Assessment auch tiefgreifend genug durchgeführt wurde. Diese Diskussion inwieweit 49 die Einwilligungen für solche Fälle herangezogen werden kann oder nicht, ist halt tatsächlich ein Diskurs, der schon länger geführt wird zwischen der Aufsichtsbehörden und Unternehmen, die sich darauf stützen möchten. Bin da auch etwas äh eher dazu geneigt den Unternehmen zu folgen, zu sagen ähm warum soll man das halt nicht, tun können, weil es ja ein Einzelfall ist auf der Webseite für jeden User dort einzuwilligen oder nicht, aber wird wir müssen das heute nicht beantworten. Ich find’s gut, wenn das Gericht das grundsätzlich offensichtlich halt als möglich erachtet. Das haben Sie jetzt nicht ausdrücklich gesagt. Ähm es war jetzt eher meine Interpretation, weil Sie ja die Einwilligung geprüft haben, aber ich denke, Sie haben das offen gelassen und damit kann man im Umkehrschluss schon sagen, dass das Gericht die Möglichkeit sieht. Würde ich mich anschließen. Erst mal versuchen wir das so zu so nutzbar zu machen, Ja, ich würde einmal nach äh Frankreich schauen und zwar zur äh zu Clear Vio AI, letztes Jahr schon äh drüber berichtet, dass hier Bußgelder verhängt wurden, unter anderem von Frankreich, aber auch Griechenland und Italien hat jeweils 20 Millionen Euro Bußgeld gegen Clearvia wegen der unzulässigen, Verarbeitung von Daten verhängt. Großbritannien hatte auch siebeneinhalb Millionen Pfund. Als Bußgeld verhängt. Und äh Frankreich hatte unter anderem halt, ich glaube, die anderen aber auch, Clevie, äh aufgefordert halt die Daten unrechtmäßig äh erhobenen Daten zu löschen, hatte dafür eine Frist von zwei Monaten gesetzt. Dem ist Clear View nicht nachgekommen und deswegen gibt’s jetzt noch mal eine kleine Mahngebühr in Höhe von 5,2 Millionen Euro. Also von daher wird’s halt, finde ich jetzt schon deutlich happiger, ja, also sind nicht nur 10 Euro mal ein Gebühr. Ja und der Deckel wird immer voller, ne? Wird immer voller. Ich habe mal versucht rauszufinden, aber ich muss gestehen, ich hab’s auf die Schnelle nichts gefunden, ob hier Ei wirklich mal überhaupt eins von diesen Bußgeldern bezahlt hat und ob man dem überhaupt irgendwie habhaft werden kann. Seinerzeit weiß ich, hatten sie keinen Vertreter in der EU benannt. Ich weiß nicht, ob auch da nicht, ob sich das nicht geändert hat. Ähm, Wenn da jemand Hinweise hat, wenn da jemand eine Quelle hat, ob diese Bußgelder gezahlt hat oder es versucht auszusitzen, wir sind da sehr dankbar für Hinweise. Hier nochmal der Hinweis auch natürlich in den Shownotes gibt’s immer den Link zu Themen äh zur Blockseite auf unserer DE Seite, wo dann die Folge veröffentlicht ist und auch kommentiert werden kann. Also wenn da jemand einen Hinweis hat, ob diese Bußgelder jemals gezahlt wurden oder nicht, freuen wir uns über einen entsprechenden Kommentar auf der Webseite. Sehr gerne. Und damit komme ich zu einer Veranstaltung, die wir hier noch gerne erwähnen möchten und zwar ist es ein Angebot, pünktlich zum fünfjährigen ähm zur fünfjährigen anwendbar Keid der DSGVO, nämlich am fünfundzwanzigsten Fünften, diesen Monats also und äh diesen Jahres. Das Angebot ist von der Berliner Aufsichtsbehörde und richtet sich an Start-ups und Vereine. Da geht es in dem Vortrag am 255. unter anderem um die Transparenzanforderungen bei der Datenverarbeitung. Das Ganze ist, kostenfrei, ist aber auch sehr klar eingegrenzt, an wen sich das richtet, diese Start-up-Schule, nämlich halt an äh Vertreterinnen und Vertreter von Start-ups und Kleinstunternehmen, sowie gemeinnützigen Vereinen aus Berlin. Das heißt also, von außerhalb und wer aus größeren Unternehmen kommt, Der hat leider Pech gehabt. Aber weitersagen schadet nichts. Sagen, schadet nichts. Ein ganz gutes Angebot, finde ich, von der Behörde, der Berliner Behörde, ist aber auch ein kleines Hoppla passiert, dass wir so ein bisschen unter der Kategorie Kurioses führen möchten ähm und zwar wurde in einer Pressemitteilung der Behörde, ja jetzt veröffentlicht, dass aufgrund eines technischen Defekts alle Eingaben von Betroffenenbeschwerden im Zeitraum von 3. bis zum 8. Mai leider gelöscht wurden, also Wenn sie zufällig in dieser Zeit eine Beschwerde eingereicht haben sollten, dann ähm werden sie darum gebeten, das Formular nochmal auszufüllen und ähm natürlich bittet die Behörde dafür auch vielmals um Entschuldigung. Laufen, würde ich sagen, aber vielleicht kennt ihn ja mal jemand so ein bisschen was erklären zum Thema Datenschutz, Anforderungen, Verfügbarkeit und wie man da konzeptionell vorgehen kann, mit Backups et cetera pp. Es vielleicht gibt’s ja jemanden in Berlin, der da, Nähe ist und mal vorbei geht und ein bisschen was erklärt. Muss man mal schauen. Na gut Kann jedem mal passieren. Ähm wie gesagt, ist ja auch dann am Ende sitzen nur Menschen, die da arbeiten. Dann sei natürlich allen, die eine Beschwerde eingereicht haben, das nochmal vielleicht in Erinnerung gerufen. Jedenfalls wird zwischen dem dritten und 8. Mai was eingereicherte gerne noch mal einreichen. Sind wir durch für heute. David, dir ganz herzlichen Dank. Danke dir, Heiko. Und Ihnen bleibt natürlich äh hoffentlich ein schönes Wochenende vor der Tür und wenn Sie dann nächste Woche nicht vergessen, wann die Themenfolge reinzuhören, auch natürlich immer über Feedback. Ansonsten wenn ihnen gefällt, was wir hier machen, auch da freuen wir uns immer über positive Bewertungen auf den gängigen Plattformen, auch vielleicht auch mal kleinen Kommentar auf unserer ähm Folgenseite. Von daher fühlen sie sich frei. Wir freuen uns immer drüber und in diesem Sinne bleiben sie uns gewogen und auf bald.