Inhalt der Ausgabe 06/2021
Editorial
Inhalt
Privacy News
Wie kommt der Herausgeber einer Datenschutzzeitschrift („Privacy in Germany“, PinG) auf die Idee, eine Podcastreihe einzurichten, in der es um Bürgerrechte in der Coronakrise geht? Und wie wird ein Staatsrechtler nicht nur Gesprächspartner in zwei Podcasts, sondern Initiator und Mitherausgeber dieses Werks?
Die Coronakrise ist eine erhebliche Belastungsprobe für die Grundrechte, den Rechtsstaat und das Gemeinwesen. Aus ganz verschiedenen Perspektiven wurden in der Podcastreihe Bauchschmerzen, Störgefühle und Unbehagen deutlich, den Entscheidungsträgerinnen, Verfassungsrechtler und andere Expertinnen empfanden. In ihrer Gesamtheit ist aus den Podcastfolgen ein Zeitdokument entstanden, eine Idee aus Würzburg, die zu diesem Gemeinschaftswerk geführt hat.
Während das BDSG in der bis zum Inkrafttreten der DSGVO geltenden Fassung in seinem § 35 Abs. 2 Nr. 4 den Zeitraum, nach dessen Ablauf Auskunfteien Informationen zu abgeschlossenen Insolvenzverfahren zu löschen hatten, exakt benannte (nämlich am Ende des dritten Kalenderjahres beginnend mit dem Kalenderjahr, das der erstmaligen Speicherung folgt), enthält die DSGVO keine genaue zeitliche Vorgabe für die Dauer der Speicherung von Insolvenzdaten durch Auskunfteien. Die Praxis benötigt aber klare Regeln.
Am 27. August 2021 hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte der Schweiz (EDÖB) die neuen Europäischen Standardvertragsklauseln für den grenzüberschreitenden Datenaustausch auch für die Schweiz anerkannt. Dank den Standardvertragsklauseln (auch SCC oder standard contractual clauses genannt) können Personendaten auch in Länder transferiert werden, ohne dass diese ein – aus Sicht des schweizerischen DSG – angemessenes Schutzniveau haben (Art. 6 Abs. 2 DSG). Die bisher geltenden SCC sind noch bis am 29. September 2021 gültig, bereits bestehende SCC können noch bis anfangs 2023 verwendet werden.
♦ BAG, Beschl. v. 26.08.2021 – Az. 8 AZR 253/20 – Zur Rechtsnatur und Funktion des Schadensersatzanspruchs nach Art. 82 DSGVO
♦ KG, Beschl. v. 30.08.2021 – Az. 2 Ws 79/21, 2 Ws 93/21 – Verwertbarkeit von EncroChat-Daten
♦ DE: Neue Dokumentationserfordernisse für Einwilligungen in Telefonwerbung
♦ DE: Gesetzgeber nimmt Klarstellung zur datenschutzrechtlichen Stellung des Betriebsrats vor
♦ UK: Geplante Änderung des Datenschutzrechts in UK und mögliche Folgen für den Angemessenheitsbeschluss der Kommission
Bereits lange vor der Pandemie hatte ich diese Kolumne einmal dem Thema „Datenschutz und Schule“ gewidmet. Und damals wie heute war und bin ich mir des Wagnisses bewusst, dass dieses Thema schwerlich erwartet wird in einer „Zeitschrift für alle, die mit Datenschutz in Unternehmen zu tun haben“. Doch erstens haben viele der Lesenden sicherlich auch Kinder in Schulen und zweitens bildet die Debatte um den Schuldatenschutz so manchen Debattenpunkt des allgemeinen Datenschutzes lediglich in anderem Umfeld ab.
Privacy Topics
Der Beitrag untersucht den Anwendungsbereich sowie die einzelnen Tatbestandsmerkmale des am 01.12.2021 in Kraft tretenden § 25 Abs. 2 Nr. 2 TTDSG. Da die Norm auf Art. 5 Abs. 3 S. 2 Alt. 2 ePrivacy-Richtlinie gründet, untersucht der Beitrag anschließend die Anwendungspraxis in Bezug auf Art. 5 Abs. 3 S. 2 Alt. 2 ePrivacy-Richtlinie in den anderen EU-Mitgliedstaaten, um so Ansatzpunkte für mehr Auslegungs- und Anwendungssicherheit in Bezug auf den kommenden § 25 Abs. 2 Nr. 2 TTDSG aufzuzeigen.
Nach dem Wortlaut des am 1.12.2021 in Kraft tretenden § 3 TTDSG ist die Bindung von Arbeitgebern bzgl. ihrer betrieblichen E-Mail-Systeme an das dort kodifizierte einfachgesetzliche Fernmeldegeheimnis nicht auszuschließen. Mit seiner umfangreichen Normadressierung geht § 3 Abs. 2 TTDSG jedoch über die Vorgaben des Art. 5 Abs. 1 ePrivacy-RL i. V. m. Art. 2 Nr. 4 TK-Kodex sowie die Öffnungsklausel des Art. 95 DSGVO hinaus. Im Ergebnis wird § 3 TTDSG hier daher von den Regeln der DSGVO verdrängt.
Dieser Beitrag ist ein Follow-Up zum Beitrag des Autors in PinG 2021, S. 188 ff., welcher sich ausführlich mit der Auslegung der entscheidenden europarechtlichen Bestimmungen und dem Anwendungsvorrang der DSGVO beschäftigt.
Die Voraussetzungen und Bemessungsfaktoren eines Anspruchs auf immateriellen Schadensersatz gemäß Art. 82 DSGVO sind hoch umstritten. Bislang wurde europaweit nach nicht einheitlichen Kriterien und vielfach dogmatisch wenig überzeugend über geltend gemachte Schmerzensgeldansprüche entschieden. Das Bundesverfassungsgericht sowie der Österreichische Oberste Gerichtshof haben jüngst durch Vorlagebeschlüsse jeweils eine Entscheidung durch den Europäischen Gerichtshof angefordert. Vor dem Hintergrund der bisherigen Entscheidungen und den damit verbundenen Unklarheiten sind wegweisende Worte durch den Europäischen Gerichtshof dringend notwendig.
Privacy Compliance
Telemedizinische Anwendungen erleben aktuell einen regelrechten Boom. Hierzu gehören auch Videosprechstunden zwischen Ärztinnen bzw. Ärzten und PatientInnen. Neben den allgemeinen Anforderungen des Datenschutzrechts sind von den Behandelnden bei der Einrichtung der Videosprechstunde auch die besonderen Vorgaben nach § 365 SGB V i. V. m. der Anlage 31b zum Bundesmantelvertrag-Ärzte zu beachten. Diese werden im vorliegenden Beitrag aus Sicht der Behandelnden näher besprochen.
Jetzt bestellen – für den gesamten Campus.