Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat Facebook durch aufsichtsbehördliche Untersagungsverfügung verboten, personenbezogene Daten von WhatsApp zu eigenen Zwecken zu verarbeiten. Es wurde auch der sofortige Vollzug angeordnet. Damit steht die von WhatsApp seit Wochen und Monaten propagierte Zusammenschaltung der Datenbestände zur Debatte. In den letzten Tagen hat WhatsApp den Druck auf seine Nutzer durch immer häufigere "NagScreens" gesteigert, der Datenweitergabe an den Mutterkonzern Facebook endlich zuzustimmen, wenn dies nicht bis am 15.05.2021 geschehe, dann werde man WhatsApp für die "nicht willigen" User deaktivieren.

Nach unserer Ansicht ist es datenschutzrechtlich auch höchst fragwürdig, dass es nicht möglich ist, eine einmal erteilte Erlaubnis / Einwilligung wieder rückgängig zu machen. Dabei sieht die DSGVO explizit ein Widerrufsrecht vor, das man genauso einfach ausüben können muss wie die Erteilung der Einwilligung. Auch hiergegen wird verstoßen.

Viele User sind daher in der letzten Zeit schon auf datenschutzkonforme Messenger wie Threema und Signal ausgewichen und haben sich von dem bisherigen Marktführer "WhatsApp" verabschiedet.

Nach Ansicht von DURY LEGAL genau das richtige Vorgehen. Warum sollte man sich dazu drängen lassen, mit seinen Daten zu bezahlen, wenn es kostengünstige bzw. kostenfreie datenschutzkonforme Alternativen wie Threema und Signal gibt?

Lesen Sie nachfolgend die Pressemitteilung zu WhatsApp, Facebook, Datenschutz & DSGVO:

Patientendaten im Krankenhaus sind besonders schützenswert und dürfen nur unter bestimmten Voraussetzungen verarbeitet werden. Aber nicht jeder Vorgang, bei dem solche Patientendaten betroffen sind, stellt auch eine Datenverarbeitung dar, die unter die Regelungen der Datenschutzgrundverordnung (DSGVO) fällt. Das Oberverwaltungsgericht Hamburg entschied mit seinem Beschluss vom 15. Oktober 2020 (Az.: 5 Bs 152/20), dass die bloße Lagerung von alten Patientenakten keine Datenverarbeitung im Sinne der DSGVO ist.

Lesen Sie mehr zu diesem Thema...

Seit kurzem müssen alle Apps im App Store angeben, welche Nutzerdaten sie verwenden. Damit will Apple seinen Nutzern mehr Datenschutz gewährleisten. Wie die Kennzeichnung konkret aussieht und was sie bezwecken soll, erfahren Sie im folgendem Blogbeitrag.

Mitte Juli 2020 haben wir bereits auf dem Blog der Website-Check GmbH, dem Legal Tech Unternehmen der DURY GRUPPE, über das Ende des EU-US Privacy Shield-Abkommens zwischen der EU und den USA berichtet. Bei dem EU-US Privacy Shield Abkommen handelte es sich seit dem Jahr 2016 um die formelle Rechtsgrundlage für die Übertragung (Verarbeitung) von personenbezogenen Daten in die USA. Zuvor hatten die EU und die USA breits das sog. Safe-Harbor Abkommen abgeschlossen, das aber im Oktober 2015 - ebenfalls vom EuGH - gekippt wurde. Bereits 2016 unkten viele Experten - u.a. auch von DURY LEGAL - dass das Nachfolgeabkommen "EU-US Privacy-Shield" genauso auf Sand gebaut sei, wie Safe-Harbor.

Der Europäische Gerichtshof (EuGH) urteilte dementsprechend am 16.07.2020 in der Rechtssache „Schrems II“ (C 311/18) - wie von den meisten Fachkreisen seit langer Zeit erwartet - dass das EU-US Privacy-Shield Abkommen nicht das Papier wert ist, auf dem es gedruckt war.

Seit dem 16. Juli 2020 haben also alle Unternehmen, die auf Cloud- und SaaS-Dienste von Unternehmen aus den USA oder deren Tochtergesellschaften gesetzt haben, ein ernsthaftes Problem; jedenfalls wenn von den Verarbeitungsvorgängen personenbezogene Daten betroffen sind. Dies betrifft insb. auch den Einsatz von Amazon-Webservices (AWS), Google-Cloud-Platform (GCP) und Microsoft-Azure, aber auch die Nutzung von Content-Delivery-Networks, wie z.B. Cloudfront, oder die Einbindung von Facebook-Services. 

Lesen Sie nachfolgend, wie sich der aktuelle Stand der Sach- und Rechtslage bzgl. der Entwicklungen nach dem EuGH-Urteil in der Rechtssache "Schrems II" (C-311/18) momentan darstellt und welches Vorgehen die Datenschutz Experten von DURY LEGAL empfehlen:

Wie nun bekannt wurde, hat das LG Hamburg mit Urteil vom 04.09.2020 (Az.: 324 S 9/19) entschieden, dass bei Verstößen gegen die DSGVO dem Betroffenen nicht ohne Weiteres ein Anspruch auf Ersatz immaterieller
Schäden („Schmerzensgeld“) aus Art. 82 DSGVO oder sonst einem rechtlichen Aspekt zusteht.

Ein Schadensersatzanspruch kann nach Ansicht des LG Hamburg nur dann eingreifen, wenn auch tatsächlich ein Schaden eingetreten ist.

Allein der Verstoß gegen datenschutzrechtliche Vorschriften führt nicht zu einer Verpflichtung des Verantwortlichen zur Zahlung von Schadensersatz (so auch LG Karlsruhe, Urteil vom 2.8.2019 – 8 O 26/19 = ZD 2019, 511).

Volltext:
http://www.rechtsprechung-hamburg.de/jportal/portal/page/bsharprod.psml?doc.id=JURE200013067&st=ent&doctyp=juris-r&showdoccase=1&paramfromHL=true#focuspoint

Datenschutzverstöße können schnell teuer werden, insbesondere dann, wenn man ein öffentliches Unternehmen (wie z.B. eine Krankenkasse) ist. Dass Bußgelder jeden treffen können zeigt das neuste Beispiel aus Baden-Württemberg. Obwohl die AOK Baden-Württemberg sich laut Aussage des Landesdatenschutzbeauftragen „konstruktiv“ verhalten hat, wurde gegen diese ein Bußgeld in Höhe von 1,24 Millionen Euro verhängt, da sie unberechtigterweise Daten aus älteren Gewinnspielen zu Werbezwecken genutzt hat.

Zu Zeiten der Corona Krise sind gerade die Videokonferenz- und Webtools stark gefragt. Dies erkennt man auch an den steigenden Nutzerzahlen der größten Dienstanbieter. So hat z.B. Zoom laut eigenen Angaben einen Zuwachs von 10 auf 200 Millionen täglichen Nutzern durchlaufen (https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/).

Aber auch die anderen Anbieter am Markt wie z.B. Microsoft Teams, Goto Meeting oder auch Webex haben einen massiven Anstieg der Nutzerzahlen zu verzeichnen. Dies liegt insbesondere auch darin begründet, dass viele Anbieter ihre kostenlosen Varianten mit einer Menge neuer Leistungen angereichert haben um neue Kunden zu locken.
Neben der Problematik des Datenschutz in Corona Zeiten  und der Umstellung auf das Home-Office stellen die Web- und Videokonferenztools den Verantwortlichen vor die meisten Probleme.

Erfahren Sie mehr zum Thema Videokonferenz und Datenschutz.

Die Corona-Pandemie breitet sich in Deutschland weiter aus. Die Bundesländer haben mittlerweile Ausgangsbeschränkungen erlassen und die Ministerpräsidenten der Länder haben nun auch ein Kontaktverbot erlassen. Dies führt zwangsläufig dazu, dass viele Arbeitgeber, falls möglich, ihre Arbeitnehmer ins Home-Office schicken wollen. Home-Office wird dabei typischerweise als berufliche Tätigkeit bezeichnet, die von zu Hause aus unter Einsatz von Telekommunikation vorgenommen wird.
Erfahren Sie mehr zu dem Thema und ob Home-Office vom Arbeitgeber angeordnet werden kann und falls ja, welche datenschutzrechtlichen Vorkehrungen getroffen werden müssen.

UPDATE 20.05.2020: Linkliste zu Veröffentlichungen staatlicher Stellen / Aufsichtsbehörden zum Thema "Home-Office und Datenschutz / Homeoffice-Richtlinie" ergänzt:

Die Corona-Pandemie (Covid-19 bzw. "SARS-CoV-2") hat nun auch Deutschland getroffen. Dies führt dazu, dass viele öffentliche Einrichtungen, Restaurants und Bars geschlossen haben. Arbeitgeber stehen nun vor der rechtlichen Frage, ob sie im Zusammenhang mit der Corona-Pandemie personenbezogene Daten ihrer Mitarbeiter sowie Gästen und Besuchern verarbeiten dürfen, um geeignete Abwehrmaßnahmen zur Verhinderung weiterer Infektionen treffen zu können. Dazu können beispielsweise Fragebögen oder Fiebermessungen gehören.

Erfahre Sie mehr zum Thema Datenschutz und die Corona-Pandemie.