30. Tätigkeitsbericht zum Datenschutz und zur Informationsfreiheit

2.2 Empfehlungen des 29. Tätigkeitsberichts Empfehlungen des 29. Tätigkeitsberichts Stand der Umsetzung  Ich empfehle den meiner Aufsicht unterliegenden Nach Besprechungen bei einzelnen Projekten hat sich Stellen, mich auch bei zeitkritischen Projekten frühzei- eine gewisse Besserung bei der frühzeitigten Bereit- tig einzubinden. Dadurch kann dem Datenschutz und stellung von Dokumenten eingestellt. Leider gilt diese damit auch dem Schutz der Betroffenenrechte von Feststellung nicht für aller Projekte. Anfang an ausreichend Rechnung getragen werden. (vgl. 29. TB Nr. 4.1.4, 4.1.8, 4.1.9)  Ich empfehle dem Bundesrat, eine Stellvertreterin Die Wahl erfolgte am 25. Juni 2021. bzw. einen Stellvertreter des gemeinsamen Vertreters nach § 17 Abs. 1 BDSG zu wählen. (vgl. 29. TB Nr. 10.1)  Ich empfehle, bei der Registermodernisierung statt Bis auf die Weiterentwicklung des Datencockpits auf eine einheitliche Personenkennziffer auf mehrere wurde keiner meiner Empfehlungen gefolgt. bereichsspezifische Identifikatoren zurückzugreifen. Zumindest sollte das 4-Corner-Modell für jede Daten- übermittlung eingesetzt und eine strenge Zweckbin- dung für die Verwendung der ID-Nr. festgelegt werden. Das Datencockpit sollte zeitnah zu einer echten Bestandsdatenauskunft weiterentwickelt werden. (vgl. 29. TB Nr. 5.1)  Ich empfehle, dass die meiner Aufsicht unterliegenden Auch wenn überwiegend ein Bewusstsein für die An- Stellen ihre Datenübermittlungen an Drittländer im forderungen der Schrems II-Entscheidung des EuGH Hinblick auf die Anforderungen des Schrems II-Urteils bei den von mir beaufsichtigten Stellen attestiert des EuGH sorgfältig überprüfen und erforderliche werden kann, sind Anpassungen oft mit komplexen Anpassungen vornehmen. Fragestellungen behaftet. Bei meinen Kontrollen (vgl. 29. TB Nr. 4.3) werde ich die bereits erkennbaren Anpassungsbemü- hungen begleiten und weiter überwachen.  Ich empfehle, die Gesetze, Projekte und Maßnahmen, Eine Evaluierung ist bislang nicht erfolgt. Dies sollte die im Rahmen der Corona-Pandemie unter hohem unverzüglich nachgeholt werden, sobald eine ende- Druck und innerhalb kürzester Fristen entwickelt und mische Lage erreicht wird. umgesetzt wurden, nach Ende der Pandemielage bewusst und sorgfältig zu evaluieren. (vgl. 29. TB Nr. 4.1.3, 4.1.4)  Ich empfehle, „digitale Gesundheitsanwendungen“ „Digitale Gesundheitsanwendungen“ werden (noch) in der sicheren Telematikinfrastruktur oder auf nicht in der sicheren Telematikinfrastruktur oder maschinell lesbaren Datenträgern an die Nutzer zu auf maschinell lesbaren Datenträgern an die Nutzer übermitteln. Zudem sollte für die Bereitstellung der übermittelt. Ebenso wenig wurde bislang für die Be- „digitalen Gesundheitsanwendungen“ in der Telema- reitstellung der „digitalen Gesundheitsanwendungen“ tikinfrastruktur ein App-Store neu geschaffen und von ein von schweigepflichtigen Akteuren des Gesund- schweigepflichtigen Akteuren des Gesundheitssys- heitssystems betriebener App-Store geschaffen. tems betrieben werden. (vgl. 29. TB Nr. 5.6)  Ich empfehle klarzustellen, dass die Ausübung von Eine Klarstellung in diese Richtung ist bislang nicht Datenschutzrechten nicht zu Strafschärfungen in erfolgt. Disziplinarverfahren führen darf. (vgl. 29. TB Nr. 6.10) Empfehlungen aus älteren Tätigkeitsberichten und deren Umsetzungsstand finden Sie unter www.bfdi.bund.de/tb-empfehlungen. Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 11

3 Gremien 3.1 Konferenz der unabhängigen Im Jahr 2021 hat der Arbeitskreis erste Ergebnisse in Datenschutzaufsichtsbehörden einem Zwischenbericht zusammengefasst und der DSK vorgelegt. Der Zwischenbericht enthält neben einer Be- des Bundes und der Länder (DSK) standsaufnahme auch konkrete Vorschläge zu den drei Themenfeldern „DSK als europäischer Player“, „Mutige- Die DSK ist der Zusammenschluss der unabhängigen re/schnellere Positionierung“ sowie „verbindliche Mehr- Datenschutzaufsichtsbehörden des Bundes und der Län- der. Sie verfolgt das Ziel, die Datenschutzgrundrechte heitsentscheidungen“. Konkret wird u. a. vorgeschlagen, zu schützen, eine einheitliche Anwendung des europä- →→ ein Präsidium der DSK zu bilden ischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten. →→ spezifische Sprecherfunktionen zu etablieren und Der Vorsitz der DSK wechselt jährlich. 2021 nahm die →→ eine gemeinsame Geschäftsstelle einzurichten. Saarländische Landesbeauftragte Monika Grethel diese Auf dieser Grundlage wird der AK DSK 2.0 seine Arbeit Aufgabe wahr. Pandemiebedingt fanden alle Konferen- fortsetzen und dabei insbesondere die rechtlichen zen im Videoformat statt. Es wurden zwei Entschließun- Rahmenbedingungen für eine engere Kooperation unter gen zum Themenbereich Corona-Pandemie und vier Wahrung der Unabhängigkeit der Aufsichtsbehörden Beschlüsse zu verschiedenen Einzelfragen der Verarbei- prüfen. tung von Positivdaten durch Auskunfteien, zur Verarbei- tung des Datums „Impfstatus“ sowie zur Nichtanwen- Ich werde mich weiter dafür einsetzen, die DSK fort- dung technischer und organisatorischer Maßnahmen zuentwickeln und die Aufsichtspraxis innerhalb der auf Wunsch der betroffenen Person verabschiedet. deutschen Datenschutzaufsichtsbehörden noch stärker zu harmonisieren. Darüber hinaus erarbeitete die DSK Orientierungshilfen zum Schutz von personenbezogenen Daten bei Über- mittlung per E-Mail und für Anbieterinnen und Anbieter Ich empfehle der Bundesregierung, die im Koalitions- von Telemedien ab dem 1. Dezember 2021 sowie Anwen- vertrag angekündigte Institutionalisierung der DSK dungshinweise für Anforderungen an datenschutzrecht- und die verbesserte verbindliche Kooperation der liche Zertifizierungen. deutschen Datenschutzaufsichtsbehörden durch die entsprechenden gesetzgeberischen Maßnahmen als- 3.1.1 Arbeitskreis DSK 2.0 bald in Angriff zu nehmen. Die Zusammenarbeit der unabhängigen Datenschut- zaufsichtsbehörden des Bundes und der Länder sollte weiter verbessert werden. Dazu hat der Arbeitskreis 3.1.2 Positivdaten Auskunfteien DSK 2.0 in einem Zwischenbericht erste Ergebnisse vorgestellt und Vorschläge unterbreitet, wie dieses Ziel Eine Verarbeitung von sogenannten Positivdaten aus erreicht werden kann. Verträgen über Mobilfunkdienste und Dauerhandels- konten ist nur aufgrund wirksamer Einwilligung mög- Innerhalb der DSK besteht Einvernehmen, dass sie sich lich. Auch ein so genannter „Engergieversorgerpool“ weiterentwickeln, schneller und flexibler werden sowie darf nicht zu gläsernen Verbrauchern führen. sich kurzfristig in aktuelle datenschutzpolitische öffent- liche Diskussionen einbringen muss. Deshalb hatte sie Die Konferenz der unabhängigen Datenschutzaufsichts- im Juni 2020 einen Arbeitskreis DSK 2.0 auf Leitungsebe- behörden des Bundes und der Länder (DSK) hatte bereits ne eingerichtet, der die Zusammenarbeit einschließlich im Jahr 2018 festgestellt, dass Auskunfteien Positivdaten der Arbeitsweise der DSK evaluieren und Vorschläge für zu Privatpersonen grundsätzlich nicht auf Grundlage der eine Neugestaltung erarbeiten sollte (vgl. 29. TB Interessenabwägung des Art. 6 Abs. 1 Abs. 1 lit. f DSGVO Nr. 3.1.6). erheben dürfen. 12 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021

In der öffentlichen Wahrnehmung wird die Tätigkeit von Weniger bekannt ist, dass es auf Seiten der Auskunfteien Auskunfteien überwiegend mit der Speicherung und und ihrer Vertragspartner auch ein Interesse gibt, so Weitergabe von so genannten Negativdaten in Verbin- genannte Positivdaten zu verarbeiten. Positivdaten sind dung gebracht. Dabei geht es um Informationen über Informationen über bestehende Verträge, die von den negative Zahlungserfahrungen oder Zinsen und Tilgung Verbraucherinnen und Verbrauchern vertragsgemäß von Krediten, Zahlungsausfälle bei einer Ratenzahlung bedient werden. Auch diese Positivdaten gehen unter oder eine Privatinsolvenz. Die Meldung solcher Daten an Umständen in die Berechnung der Wahrscheinlichkeit die Auskunfteien, die Speicherung und die Beauskunf- eines Zahlungsausfalls (Score) ein. Diese Informationen tung dieser Daten werden in der Regel auf die Interes- können nach Ansicht der Datenschutzaufsichtsbehörden senabwägung gemäß Art. 6 Abs. 1 Satz 1 lit. f) DSGVO – abgesehen von bestimmten Ausnahmen im Bankenbe- gestützt. Diese Datenverarbeitungen sind demnach dann reich – nur auf der Basis einer wirksamen Einwilligung erlaubt, wenn es ein berechtigtes Interesse entweder der betroffenen Person verarbeitet werden. Es überwiegt der Auskunftei oder ihrer Vertragspartner gibt und bei solchen Positivdaten regelmäßig das schutzwürdi- schutzwürdige Interessen der betroffenen Verbrauche- ge Interesse der betroffenen Person, selbst über die rinnen und Verbraucher nicht überwiegen. Verwendung ihrer Daten zu bestimmen. Bereits die Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 13

Übermittlung solcher Daten durch deren Vertragspart- son zulässig. Dafür müssen die allgemeinen Anforderun- ner an eine Auskunftei kann nicht auf Art. 6 Abs. 1 Abs. gen gewahrt werden. Insbesondere darf die Erteilung 1 lit. f DSGVO gestützt werden: Solange eine Person ihre der Einwilligung nicht zur Bedingung des Vertragsab- vertraglichen Verpflichtungen einhält, gibt es keinen schlusses gemacht werden. Grund, ohne ihre Zustimmung Daten über ihre Verträge Zeitgleich mit den Erörterungen zur Verarbeitung von oder ihr Zahlungsverhalten vorzuhalten. Positivdaten gab es bei Auskunfteien und Energiever- Die DSK hatte bereits bei ihrem Beschluss im Jahr 2018 sorgern im Berichtszeitraum Überlegungen, einen angedacht, sich mit der Verarbeitung von Positivda- sogenannten Energieversorgerpool zu schaffen. In ten bei Dauerschuldverhältnissen zu einem späteren diesem zentralen Datenpool sollten auch Positivdaten Zeitpunkt zu befassen, was im Berichtszeitraum nun der der Vertragspartner gespeichert und an andere Ener- Fall war. Besonders ging es um die Frage, ob für die ver- gieversorger übermittelt werden. Informationen über breitete Praxis der Übermittlung und Verarbeitung von die Anzahl abgeschlossener Verträge und die jeweilige Positivdaten zu Verträgen über Mobilfunkdienste und Vertragsdauer können Hinweise darauf geben, ob eine Dauerhandelskonten von Privatpersonen eine andere längere Vertragsbeziehung zu einem Stromversorger Bewertung erforderlich ist. Dies betrifft beispielsweise beabsichtigt oder regelmäßig Angebote für Neukunden die verbreitete Praxis, Mobiltelefone über die Laufzeit genutzt werden. Verbraucher, die regelmäßig das kos- eines Mobilfunkvertrages in monatlichen Raten abzu- tengünstigste Angebot am Markt wählen und dazu den zahlen. Mit Dauerhandelskonten sind wiederum Verträ- Anbieter wechseln möchten, könnten dann von Versor- ge gemeint, bei denen die betroffene Person Waren auf gungsunternehmen bei preislich attraktiven Angeboten Kredit erhält, indem sie beispielsweise eine von einem ausgeschlossen werden, obwohl sie ausschließlich von Händler bereitgestellte Kundenkarte nutzt und die ge- ihren Rechten als Kunden Gebrauch gemacht haben. kauften Waren durch monatliche Abbuchungen oder auf andere Weise nachträglich bezahlt. Ich begrüße es, dass die DSK auch zum sogenannten Energieversorgerpool klar Stellung bezogen hat. Der Die DSK kam zu dem Ergebnis, dass für die Übermitt- Wunsch, „Schnäppchenjäger“ in einem Datenpool zu lung der Positivdaten durch die Mobilfunkdienstean- erfassen, um sie bei Vertragsanbahnung als solche iden- bieter und die Handelsunternehmen zwar berechtigte tifizieren und von Angeboten ausschließen zu können, Interessen bestehen, die Qualität der Bonitätsbewertun- stellt kein berechtigtes Interesse i. S. d. Art. 6 Abs. 1 Abs. gen zu verbessern und die beteiligten Wirtschaftsakteure 1 lit. f DSGVO dar. Zudem überwiegen insoweit auch vor kreditorischen Risiken zu schützen. Allerdings ist die die schutzwürdigen Interessen und Grundrechte der DSK auch der Auffassung, dass die Interessen, Grund- Kundinnen und Kunden. Die DSK hat es nicht akzeptiert, rechte und Grundfreiheiten der betroffenen Personen dass ein ausdrücklich erwünschtes Verhalten – hier die regelmäßig dieses berechtigte Interesse der Verantwort- Suche nach dem preisgünstigsten Energieanbieter – zu lichen oder Dritter an der Verarbeitung der Positivdaten negativen Konsequenzen für die Verbraucherinnen und überwiegen. Besondere Umstände, die in diesen Fällen Verbraucher führt. eine Verarbeitung von Positivdaten auf der Basis der Interessenabwägung rechtfertigen, konnte die DSK nicht 3.1.3 Arbeitskreis Microsoft feststellen. Die Auskunfteien haben damit argumentiert, die Verarbeitung von Positivdaten sei besonders dann Für Verantwortliche ist es eine Bredouille: Da gibt es von Vorteil für die Verbraucherinnen und Verbraucher, eine Software wie Microsoft 365, die vielerorten ein- wenn sonst wenige Informationen zu einer Person gesetzt wird, sich gleichzeitig aber einer gewichtigen vorlägen. Dieses Argument überzeugt aber nicht. Zum Datenschutzkritik ausgesetzt sieht. Wie lässt sich so ein einen lässt sich auch damit nicht begründen, warum Konflikt mit dem Datenschutz vermeiden? Die DSK hat eine Verarbeitung gegen den Willen der Person zulässig einen intensiven Dialog mit Microsoft begonnen, um sein soll. Zum anderen ist dieses Argument überhaupt für mehr Klarheit zu sorgen und Verantwortlichen eine nur aus der Logik heraus verständlich, dass aus dem Empfehlung an die Hand zu geben. fehlenden Vorhandensein von Daten zu einer Person Bereits Ende 2020 wurde von der DSK eine Dialogrunde häufig eine negative Bewertung folgt, obwohl aus dem mit Microsoft initiiert, um gemeinsam datenschutzrecht- Nichtvorhandensein von Daten keine Schlüsse gezogen liche Nachbesserungen der vertraglichen Grundlagen werden können. für die Online-Dienste des Unternehmens zu erreichen. Eine Übermittlung und Verarbeitung von Positivdaten Unter der Leitung der Aufsichtsbehörden aus Branden- über Mobilfunkdienstverträge und Dauerhandelskonten burg und Bayern (LDA) engagieren sich aktuell auch die durch Vertragspartner und Auskunfteien sind nur auf Aufsichtsbehörden aus Berlin, Schleswig-Holstein, Sach- der Grundlage einer Einwilligung der betroffenen Per sen, Mecklenburg-Vorpommern, Baden-Württemberg, 14 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021

Hessen und mein Haus in diesem Arbeitskreis. Im Fokus Die DSK hat in ihrer Entschließung den Gesetzgeber auf- stehen Fragen zur Auftragsverarbeitung gem. Art. 28 DS- gefordert, entsprechende Gesetzgebungsverfahren in die GVO und die praktischen Auswirkungen der Rechtspre- Wege zu leiten. Die Verarbeitung von Gesundheitsdaten chung des EuGH auf den internationalen Datentransfer zu privatwirtschaftlichen Zwecken muss den Anforde- (Rechtssache C-311/18 „Schrems II“). rungen der europäischen Datenschutz-Grundverord- nung genügen. Unter den Begriff der Gesundheitsdaten Die DSK hatte bereits im Vorfeld einige Kritikpunkte ge- fallen auch Informationen zum Impfstatus oder das Er- äußert, z. B. wenn Microsoft bei der Diensteerbringung gebnis eines Coronatests. Der besonders strenge Schutz personenbezogene Daten auch für eigene Zwecke nutzt. der Datenschutz-Grundverordnung lässt eine Verarbei- Dies erfordert eine tragfähige Rechtsgrundlage für die tung nur unter Ausnahmen zu. Ohne eine gesetzliche Bereitstellung dieser Daten aus dem Auftragsverhältnis Grundlage wäre eine Verarbeitung lediglich mit Einwilli- der Verantwortlichen/Kunden an Microsoft. Die Prüfung gung möglich. Dies ist insbesondere problematisch, was einer tragfähigen Rechtsgrundlage setzt wiederum die die Freiwilligkeit einer solchen Einwilligung im Beschäf- Kenntnis der konkreten Zwecke und genutzten perso- tigungsbereich angeht. Um Rechtsklarheit, Rechtssicher- nenbezogenen Daten voraus. heit und einheitliche Lösungen zu erreichen, bedarf es In der Dialogrunde geht es u. a. darum, diese Transpa- gesetzlicher Regelungen. renz herzustellen, um auf dieser Grundlage eine rechtli- Um die von der DSK geforderte Rechtsklarheit zu schaf- che Bewertung abzuleiten. Aus meiner Sicht sollte sich fen, habe und werde ich die beteiligten Bundesministe- diese Transparenz selbstverständlich in den vertragli- rien weiterhin intensiv beraten und auf eine gesetzliche chen Grundlagen wiederfinden. Nur so können Verant- Regelung drängen. wortliche/Kunden ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO gerecht werden. Generell diskutiert die 3.1.4.2 Verarbeitung des Datums „Impfstatus“ von DSK aber auch andere vertragliche Verbesserungsvor- Beschäftigten durch die Arbeitgeberin oder den Arbeit- schläge, so auch beim Einsatz von Unterauftragneh- geber mern. Die Verarbeitung des Datums „Impfstatus“ von Be- Ich möchte diesen Dialogprozess mit Blick auf die Fra- schäftigten darf nur mit einer ausdrücklichen gesetz- gen zur Auftragsverarbeitung gem. Art. 28 DSGVO mög- lichen Ermächtigung erfolgen. Auch in Zeiten der lichst zeitnah abschließen und als DSK-Handlungsemp- COVID-19-Pandemie. fehlungen für Verantwortliche/Kunden veröffentlichen, die einschlägige Microsoft-Produkte einsetzen wollen. Arbeitgeberinnen und Arbeitgeber dürfen das Datum „Impfstatus“ grundsätzlich nur mit einer ausdrückli- In einem weiteren Schritt wird sich die Dialogrunde mit chen gesetzlichen Ermächtigung verarbeiten. In dem den konkreten Auswirkungen des Schrems-II-Urteils Beschluss der DSK wird auch klargestellt, dass § 26 Abs. befassen. Hier ebnen die neuen rechtlichen Anforde- 3 Satz 1 BDSG nicht als eine solche in Betracht kommt. rungen, aber auch veränderte Kundenwünsche, den Weg Die Verarbeitung von Gesundheitsdaten, wie z. B. der für eine verstärkt europazentrierte Datenverarbeitung. Impfstatus, ist nur ausnahmsweise erlaubt (vgl. Art. 9 Mit der Initiative des sog. „EU Data Boundary“ kündigt Abs. 1 DSGVO). auch Microsoft die Möglichkeit einer EU-Datengrenze an Auf die Einwilligung Beschäftigter kann die Verarbei- und bietet perspektivisch europäischen Kunden so die tung solcher Daten nur dann gestützt werden, wenn sie Möglichkeit, ihre Daten ausschließlich innerhalb der Eu- freiwillig und damit rechtswirksam erteilt wurde, vgl. ropäischen Union zu verarbeiten und zu speichern. Ich Art. 26 Abs. 3 S 2 und Abs. 2 BDSG. In einem Über- und werde diese Entwicklungen weiter intensiv begleiten. Unterordnungsverhältnis, wie es im Regelfall im Be- schäftigungsverhältnis gegeben ist, bestehen Zweifel an 3.1.4 Wichtige Beschlüsse und Entschließungen der Freiwilligkeit und somit auch an der Rechtswirksam- keit der Einwilligung. 3.1.4.1 Coronavirus: Es ist notwendig, Nachweise über Impfungen, Testergebnisse und Genesungen gesetzlich Auf diesen Missstand habe ich den Gesetzgeber lange zu regeln hinweisen müssen, bis es eine gesetzliche Regelung gab. Eine Verarbeitung von Gesundheitsdaten wie Impfnach- 3.1.4.3 Maßnahmen zum Schutz personenbezogener weis oder Körpertemperaturmessung gehören gesetz- Daten bei der Übermittlung per E-Mail lich geregelt. Hierbei müssen zwingend die strengen Vorgaben des Art. 9 Abs. 2 DSGVO eingehalten werden. Bei der Übermittlung von E-Mails bestehen Risiken, die mit einer Verletzung von Vertraulichkeit und Integrität Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 15

personenbezogener Daten verbunden sind. Verantwort- Die Arbeitsweise des EDSA wurde auch im Jahr 2021 liche und Auftragsverarbeitende müssen einschätzen durch die Auswirkungen der COVID-19-Pandemie be- können, welche Schäden ein Bruch von Vertraulichkeit stimmt. Mit einer Ausnahme fanden alle Plenarsitzungen und Integrität anrichten können. Können Anforderun- in Form von Videokonferenzen statt. Dabei hat der EDSA gen an eine sichere Übermittlung nicht erfüllt werden, die hohe Dichte an Plenarsitzungen verfestigt und insge- muss ein anderer – sicherer – Kommunikationskanal samt 15 Mal konferiert. Hinzu kommen zahlreiche Sitzun- gewählt werden. gen der Arbeitsgruppen (expert subgroups) des EDSA. Die DSK hat in ihrer Orientierungshilfe zum Schutz per- Ein Schwerpunkt der Arbeiten lag auch in diesem Be- sonenbezogener Daten bei der Übermittlung per E-Mail richtszeitraum auf der Erarbeitung von Leitlinien nach Überlegungen zu Anforderungen an die Verfahren zum Art. 70 DSGVO zur einheitlichen Umsetzung der DSGVO E-Mail-Versand und -Empfang angestellt. Sie behandelt in Europa. Daneben hat der Ausschuss auch Stellung- die Risiken, die mit einer Verletzung der Vertraulichkeit nahmen im Kohärenzverfahren nach Art. 64 DSGVO und Integrität personenbezogener Daten verbunden angenommen. In meinem letzten Tätigkeitsbericht sind. Sie geht dabei von typischen Verarbeitungssituati- habe ich auf erste Entscheidungen gegenüber weltweit onen aus, um praxisrelevante Anwendungsfälle aufzu- führende Tech-Unternehmen hingewiesen. Hier hat es zeigen. Insbesondere wird auf die Ende-zu-Ende-Ver- weitere Entwicklungen gegeben, darunter eine erste Ent- schlüsselung als auch die Transportverschlüsselung scheidung im sog. Dringlichkeitsverfahren. als geeignete Verfahren für eine Risikominimierung Der EDSA hat zudem begonnen, seine Strategie für die abgestellt. Die DSK stellt durch den risikobasierten Jahre 2021 bis 2023 umzusetzen. Ansatz der Orientierungshilfe den Verantwortlichen und Auftragsverarbeitenden ein geeignetes Hilfsmittel im Leitlinien, Empfehlungen und Orientierungshilfen Umgang mit der Übermittlung von E-Mails zur Verfü- Der EDSA hat im Berichtszeitraum zahlreiche Leitlinien gung. und Empfehlungen sowie Orientierungshilfen verab- Die Orientierungshilfe finden Sie unter folgendem Link: schiedet, an denen ich regelmäßig als Berichterstatter www.bfdi.bund.de/orientierungshilfen oder Mitberichterstatter mitgearbeitet habe. Diese wurden zum Teil zur Wahrung von Transparenz und 3.2 Europäischer Datenschutzausschuss Beteiligung der öffentlichen Konsultation unterzogen. →→ Die Leitlinien 01/2021 zu Beispielen zu Benach- 3.2.1 Allgemeiner Bericht richtigungen über Datenschutzverletzungen Der Europäische Datenschutzausschuss (EDSA) hat (Guidelines 01/2021 on Examples regarding Data im Berichtszeitraum seine Arbeit an einer europaweit Breach Notification) betrachten Beispiele aus der einheitlichen Anwendung der Datenschutz-Grundver- Aufsichtspraxis der beteiligten Aufsichtsbehörden. ordnung weiter intensiviert. Hierzu wurden weitere Diese beinhalten die Aspekte der Risikobewertung Leitlinien angenommen, Empfehlungen ausgesprochen bei Datenpannen, die Rolle der technisch-organisa- und Stellungnahmen abgegeben. Auch die grenzüber- torischen Maßnahmen nach Art. 32 DSGVO sowie Vorschläge für Maßnahmen, die Verantwortliche schreitende Zusammenarbeit wurde weiter verstärkt. nach Datenpannen ergreifen sollten. Erste Verfahren der Streitbeilegung, darunter ein Ver- fahren der Dringlichkeit, wurden verhandelt. →→ Die Empfehlungen 01/2021 zu der Referenzgrund- lage für den Begriff „Angemessenheit“ in der Der Europäische Datenschutzausschuss (EDSA) ist Richtlinie zum Datenschutz bei der Strafverfolgung eine unabhängige europäische Einrichtung, die zur (JI-Richtlinie) setzen den Rahmen und die Min- einheitlichen Anwendung der Datenschutzvorschriften destanforderungen für die Annahme eines Angemes- in der gesamten Europäischen Union beiträgt und die senheitsbeschlusses auf der Basis des EU-Rechts. Zusammenarbeit zwischen den EU-Datenschutzbehör- den fördert. Diese Aufgaben habe ich bereits in meinen →→ Die Leitlinien 01/2020 zur Verarbeitung personen- vorangegangenen Tätigkeitsberichten näher erläutert. bezogener Daten im Zusammenhang mit vernetz- Als gemeinsamer Vertreter aller deutschen Aufsichtsbe- ten Fahrzeugen und mobilitätsbezogenen An- hörden ist der BfDI ein Mitglied des Ausschusses. Nähe- wendungen erläutern das Verhältnis zur geplanten re Ausführungen können über meinen Internetauftritt E-Privacy-Verordnung und Fragen der Verarbeitung abgerufen werden.1 von personenbezogenen Daten zu neuen Zwecken. 1 www.bfdi.bund.de/edsa 16 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021

→→ Die Leitlinien 02/2021 zu Sprachassistenten (Guide- →→ Die Empfehlungen 01/2020 zu Maßnahmen zur lines 02/2021 on Virtual Voice Assistants) zeigen die Ergänzung von Übermittlungstools zur Gewähr- wichtigsten Bezüge zur Rechtskonformität („Com- leistung des unionsrechtlichen Schutzniveaus pliance“). Darüber hinaus geben sie den Beteiligten für personenbezogene Daten (Recommendations praktische Empfehlungen, wie sie diese einhalten 01/2020 on measures that supplement transfer tools können. to ensure compliance with the EU level of protecti- on of personal data) zielen darauf ab, Datenexpor- →→ Die Leitlinien 9/2020 zu maßgeblichen und begrün- teure beim Ermitteln und durchführen geeigneter deten Einwänden gemäß Verordnung 2016/679 zusätzlicher Maßnahmen zu unterstützen. Dies um geben eine Anleitung, was unter einem „maßgeb- ein gleichwertiges Schutzniveau zu erreichen. Sie lichen und begründeten Einspruch“ betroffener enthalten mehrere Änderungen aus der öffentlichen Aufsichtsbehörden gegen Entscheidungsvorschläge Konsultation. Außerdem legen sie einen besonderen der federführenden Aufsichtsbehörden in gren- Schwerpunkt auf die Gepflogenheiten der Behörden züberschreitenden Aufsichtsfällen zu verstehen ist. eines Drittlandes. Erläutert werden die Verfahren und die Kriterien, die bei der Beurteilung eines Einspruchs zu berücksich- →→ Die Leitlinien 04/2021 über Verhaltensregeln als tigen sind. Instrument für Übermittlungen (Guidelines 04/2021 on codes of conduct as tools for transfers) haben den →→ Die Orientierungshilfe zur Bewertung von Zertifi- Zweck, die Voraussetzungen der Genehmigung von zierungskriterien (Guidance on certification criteria Verhaltensregeln durch eine zuständige Aufsichts- assessment [Addendum to Guidelines 1/2018 on behörde und Erklärung ihrer allgemeinen Gültigkeit certification and identifying certification criteria in innerhalb des EWR durch die Kommission als Über- accordance with Articles 42 and 43 of the Regulati- mittlungsinstrument zu präzisieren. on]) verfolgt das Ziel, Elemente aus den EDSA-Leit- linien 1/2018 zu verfeinern. Ziel ist eine einheitliche →→ Die Leitlinien 7/2020 zu den Begriffen „Verantwort- Bewertungen im Zusammenhang mit der Genehmi- licher“ und „Auftragsverarbeiter“ in der DSGVO gung von Zertifizierungskriterien zu etablieren. haben das Hauptziel, die Bedeutung der Begriffe zu klären. Darüber hinaus werden die verschiedenen →→ Die Leitlinien 03/2021 zur Anwendung von Art. 65 Rollen und die Verteilung der (rechtlichen) Verant- (1)(a) DSGVO (Guidelines 03/2021 on the application wortlichkeiten zwischen diesen Akteuren verdeut- of Article 65(1)(a) GDPR) beschreiben den Ablauf licht. einer Streitbeilegung durch den EDSA. Sie beziehen sich ausschließlich auf Fälle eines gescheiterten Ko- →→ Die Leitlinien 10/2020 zu Beschränkungen gemäß operationsverfahrens nach Art. 60 Abs. 4 DSGVO und Art. 23 der DSGVO (Guidelines 10/2020 on restric- sollen diese Verfahren einer Entscheidung zuführen. tions under Article 23 GDPR) zielen darauf ab, die Bedingungen für die Anwendung solcher Einschrän- →→ Die Leitlinien 8/2020 bezüglich der Zielgruppenan- kungen durch die Mitgliedstaaten oder den EU-Ge- sprache von Social-Media-Nutzern sollen – vor dem setzgeber im Lichte der Charta der Grundrechte Hintergrund mehrerer EuGH-Urteile – die Vertei- und der Datenschutz-Grundverordnung zu betonen. lung der Rollen und Verantwortlichkeiten zwischen Sie analysieren die Kriterien wie Beschränkungen Social-Media-Plattformen und Unternehmen oder angewendet werden, der zu beachtenden Bewer- anderen Nutzern der Targeting-Funktionen dieser tungen, die Art und Weise, wie betroffene Personen Social-Media-Plattformen, klarstellen. Außerdem ihre Rechte nach Aufhebung der Beschränkungen sollen sie die Wirkung der Datenverarbeitungsvor- ausüben können und die Folgen von Verstößen gegen gänge auf (Grund-)Rechte und Freiheiten betroffener Art. 23 DSGVO. Personen mit praktischen Beispielen verdeutlichen. →→ Die Leitlinien 05/2021 zum Zusammenspiel →→ Die Empfehlungen 02/2021 zur Rechtsgrundlage z wischen der Anwendung von Art. 3 und den Be- für die Speicherung von Kreditkartendaten aus- stimmungen über internationale Übermittlungen schließlich zum Zweck der Erleichterung weite- (Guidelines 05/2021 on the Interplay between the ap- rer Online-Transaktionen zielen auf europaweit plication of Article 3 and the provisions on internati- einheitliche Anforderungen an die Rechtmäßigkeit onal transfers as per Chapter V of the GDPR) erläu- einer Datenspeicherung von Kreditkartendaten im tern drei grundlegende Kriterien. Sie geben Beispiele Onlinehandel ab. Sie sorgen für ein klare Rechtslage zur Klärung, ob eine Verarbeitung eine Übermittlung und verhindern Wettbewerbsnachteile. in ein Drittland oder an eine internationale Orga Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 17

nisation ist und ob folglich die Bestimmungen von (Opinion 32/2021 regarding the European Commis- Kapitel V der DSGVO eingehalten werden müssen. sion Draft Implementing Decision pursuant to Regu- lation (EU) 2016/679 on the adequate protection of Stellungnahmen zu Angemessenheitsentscheidungen personal data in the Republic of Korea) konzentriert Der EDSA gibt in Verfahren eine Stellungnahme über die sich der EDSA auf allgemeine Aspekte der DSGVO. Entscheidung ab, ob ein Drittland oder eine internatio- Außerdem hat der EDSA den Fokus auf den Zugang nale Organisation über ein angemessenes Schutzniveau von Behörden zu personenbezogenen Daten, die aus für die Verarbeitung personenbezogener Daten verfü- dem Europäischen Wirtschaftsraum (EWR) in die gen. Bei seiner Beurteilung verwendet der EDSA Republik Korea für Zwecke der Strafverfolgung und der nationalen Sicherheit übermittelt werden. Dieses →→ die DSGVO-Referenzgrundlage für Angemessenheit, beinhaltet auch die Rechtsbehelfe, die Personen →→ die Empfehlungen des EDSA 2/2020 zu den we- im EWR zur Verfügung stehen. Der EDSA prüft, ob sentlichen europäischen Garantien in Bezug auf die im koreanischen Rechtsrahmen vorgesehenen Überwachungsmaßnahmen sowie Garantien wirksam sind. →→ die Entscheidungen des EuGH und des EGMR zum Stellungnahmen im Kohärenzverfahren / Entscheidun- Zugriff durch Behörden. gen im Kooperationsverfahren Im Jahr 2021 hat der EDSA sich zur Angemessenheit in Im Kohärenzverfahren hat der EDSA fast 40 Stellungnah- zwei Drittstaaten geäußert (s.a. 3.2.2.): men verfasst. →→ In der Stellungnahmen zur Angemessenheit im Diese betreffen zum großen Teil: Vereinigten Königreich (Opinion 14/2021 regarding the European Com- →→ durch Mitgliedstaaten vorgelegte verbindliche inter- ne Datenschutzvorschriften (Art. 47 DSGVO) mission Draft Implementing Decision pursuant to Regulation (EU) 2016/679 on the adequate protection →→ die Akkreditierung von Zertifizierungsstellen of personal data in the United Kingdom und Opinion (Art. 43 Abs. 3 DSGVO) 15/2021 regarding the European Commission Draft Implementing Decision pursuant to Directive (EU) →→ Stellen zur Überwachung der Einhaltung von Verhal- tensregeln (Art. 41 DSGVO). 2016/680 on the adequate protection of personal data in the United Kingdom) stellt der EDSA fest, dass Auf Antrag der Hamburger Aufsichtsbehörde hat der sich die datenschutzrechtlichen Rahmen der EU und EDSA einen ersten verbindlichen Beschluss im Dring- des Vereinigten Königreichs in Kernbereichen stark lichkeitsverfahren gemäß Art. 66 Abs. 2 DSGVO erlassen, ähneln. Das gilt z. B.: nachdem diese einstweilige Maßnahmen gegen Face- book Ireland Ltd verfügt hatte. —— für Grundlagen rechtmäßiger und fairer Verar- beitung für legitime Zwecke Die Hamburger Aufsichtsbehörde hatte ein Verbot der Verarbeitung von WhatsApp-Nutzerdaten durch Face- —— die Zweckbindung, Datenqualität und Verhältnis- book Ireland Ltd für eigene Zwecke angeordnet. Dies mäßigkeit geschah nachdem eine Änderung der Nutzungsbedin- —— Datenspeicherung, Sicherheit und Vertraulich- gungen und Datenschutzbestimmungen für europäische keit, Nutzer von WhatsApp Ireland Ltd durchgeführt worden war. Der EDSA entschied mehrheitlich, dass die Voraus- —— Transparenz setzungen für den Nachweis eines Verstoßes und einer —— besondere Datenkategorien sowie Dringlichkeit nicht erfüllt seien. Daher erfolgte keine endgültige Maßnahme. —— automatisierte Entscheidungen und Profiling. In einem zweiten Verfahren erließ der EDSA einen Dennoch empfiehlt der EDSA, einzelne Punkte genau zu Streitbeilegungsbeschluss auf der Grundlage von Art. 65 untersuchen bzw. zu überwachen, z. B. bei der Ausnah- DSGVO. Hierdurch sollte der mangelnde Konsens meregelung für den Einwanderungsbereich und ihre über bestimmte Aspekte eines Beschlussentwurfs der Wirkungen auf die Rechte der betroffenen Personen irischen Aufsichtsbehörde als federführender Auf- geltenden Beschränkungen. sichtsbehörde in Bezug auf WhatsApp Ireland Ltd und →→ In der Stellungnahme zum Entwurf eines Angemes- den anschließenden Einsprüchen einiger betroffener senheitsbeschlusses der Europäischen Kommissi- Aufsichtsbehörden ausgeräumt werden. Der EDSA kam on für die Republik Korea zu dem Schluss, die irische Aufsichtsbehörde solle ihren 18 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021

Beschlussentwurf zu Verstößen gegen die Transparenz, 3.2.2 Drittlandübermittlungen / Schrems II- zur Berechnung der Geldbuße und zur Frist für die Um- Entscheidung setzung der Anweisung ändern. 3.2.2.1 Taskforce Supplementary Measures / Umsetzung Umsetzung der EDSA-Strategie 2021-2023 Schrems II Die EDSA-Strategie 2021-2023 habe ich bereits in mei- Auch im Jahr 2021 hat das „Schrems II“-Urteil des EuGH nem letzten Tätigkeitsbericht erläutert. Mit der Umset- (Rechtssache C-311/18) die Aufsichtsbehörden in der zung wurde – beispielhaft – bereits begonnen: EU und auf nationaler Ebene weiter beschäftigt. Ein →→ Um die Harmonisierung zu fördern und die Rechts- wichtiger Schritt im Hinblick auf die Umsetzung der Er- konformität (Compliance) zu erleichtern, werden die gebnisse des Schrems II-Urteils war die Arbeit der vom Leitlinien, Empfehlungen und Orientierungshilfen EDSA eingesetzten Taskforce Supplementary Measures. umgesetzt. Daneben wurden die Aufsichtsbehörden im Rahmen ihrer Beratungs- und Kontrolltätigkeit mit Fragen zur →→ Der EDSA richtet einen Expertenpool (Support Pool Umsetzung der Schrems II-Entscheidung konfrontiert, of Experts) ein, um eine effektive Durchsetzung und die es zu lösen gilt. die effiziente Zusammenarbeit zwischen nationalen Aufsichtsbehörden zu unterstützen. Dieser wird auf I. Das Schrems II-Urteil Ebene des EDSA eingesetzt, um Untersuchungen und In meinen letzten beiden Tätigkeitsberichten hatte ich Durchsetzungsmaßnahmen zu fördern, die für die bereits über das Schrems II-Verfahren berichtet. Der Mitglieder des EDSA von gemeinsamem Interesse EuGH hatte am 16. Juli 2020 mit seinem Schrems II-Ur- sind. Zudem hat der EDSA beschlossen, seine erste teil verkündet, dass die Regelungen des EU-US „Privacy koordinierte Maßnahme (Coordinated Enforcement Shield“ unwirksam sind. Auf Basis der Regelungen des Framework) zur Nutzung von Cloud-basierten Diens- Privacy Shields dürfen keine Datenübermittlungen mehr ten durch den öffentlichen Sektor zu starten. Die in den Gültigkeitsbereich US-amerikanischen Rechts Ergebnisse dieser nationalen Maßnahmen werden vorgenommen werden. Die Nichtigkeitserklärung des dann gebündelt und analysiert. EuGH betraf hingegen nicht das Übermittlungsins- →→ Den grundrechtlichen Ansatz für neue Technologien trument der Standardvertragsklauseln. Das Gericht stützt der EDSA mit seinem Statement on Digital and stellte fest, dass diese gegebenenfalls um „zusätzli- Data Strategy. Dabei äußert er im Kern übergreifend chen Maßnahmen“ (supplementary measures) ergänzt alle Bedenken, die die Rechtsakte (Data Governance werden müssten, damit die Daten im Drittland einen Act, Digital Services Act, Digital Markets Act und im Wesentlichen gleichwertigen Schutz genießen wie Artificial Intelligence Act) betreffen. Neben einem in der EU. Aus dem Urteil ergibt sich, dass die Stan- mangelnden Schutz der Grundrechte und Grundfrei- dardvertragsklauseln keinen hinreichenden Schutz vor heiten des Einzelnen besteht eine nur fragmentierte Zugriffen auf personenbezogene Daten aus der EU durch Aufsicht (s.a. 4.2 und 5.9). Nachrichtendienste oder andere Sicherheitsbehörden der USA bieten. Hier ist im Einzelfall die genaue Prüfung Querverweise: zusätzlicher Maßnahmen erforderlich. 3.2.2 Schwerpunkt Drittlandübermittlung, 3.2.4 Leitlini- Die Auswirkungen des Urteils auf andere Drittländer en Verantwortlichkeit, 3.2.6 Leitlinien Streitbeilegungs- und auf weitere Übermittlungsinstrumente gemäß Art. verfahren, 4.2 Künstliche Intelligenz, 5.9 EU Digitalisie- 46 DSGVO werden durch den Europäischen Datenschut- rungsgesetzgebung zausschuss (EDSA) im Rahmen der Arbeiten der Exper- tenuntergruppe „International Transfers“ behandelt (vgl. Nr. 3.2.2.2). Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 19

II. Taskforce Supplementary Measures – Empfehlungen bei Datenübermittlung an Drittländer hingewiesen. In des EDSA zu den zusätzlichen Maßnahmen meinem Zuständigkeitsbereich habe ich im Berichts- zeitraum mit Kontrollmaßnahmen zur Umsetzung der Wie bereits in meinem letzten Tätigkeitsbericht er- Schrems II-Anforderungen begonnen. wähnt, wurden am 10. November 2020 im EDSA die Empfehlungen zu den „zusätzlichen Maßnahmen“ Auf meiner Webseite unterstütze ich Verantwortliche angenommen („Recommendations 01/2020 on measures und Auftragsverarbeiter mit aktuellen Informationen that supplement transfer tools to ensure compliance zur Thematik. 4 with the EU level of protection of personal data“ – Ver- Die aus dem Schrems II-Urteil resultierenden, kom- sion 2.0). Diese Empfehlungen konnte der EDSA am 18. plexen Rechtsfolgen werden die deutschen und euro- Juni 2021 in seiner endgültigen Fassung verabschieden2. päischen Aufsichtsbehörden in ihrer Arbeit weiterhin Der abschließenden Annahme durch den EDSA war eine erheblich fordern. Abhilfe können langfristig einheitli- öffentliche Konsultation vorausgegangen. Die Ergeb- che, rechtsbasierte internationale Standards für globale nisse der Konsultation wurden durch ein Drafting Team Datentransfers sein, die auch den besonders kritischen ausgewertet, dem ich selbst und weitere Aufsichtsbehör- Aspekt des staatlichen Zugriffs auf personenbezogene den der Länder angehörten. Daten (sog. Government Access) erfassen. Die Empfehlungen sollen Datenexporteure bei der Bewertung unterstützen, ob bei einer Übermittlung von 3.2.2.2 Schwerpunkt Drittlandübermittlung Daten an Drittländer zusätzliche Maßnahmen erforder- Wenn Daten in ein Drittland oder an eine internationale lich sind. Die Empfehlungen enthalten dazu praktische Organisation übermittelt werden, müssen Verantwort- Beispiele für verschiedene Übermittlungsszenarien. Au- liche oder Auftragsverarbeiter zunächst prüfen, ob ßerdem findet sich in einem Annex eine nicht abschlie- die allgemeinen Voraussetzungen der DSGVO für eine ßende Liste möglicher zusätzlicher Maßnahmen, wie Datenübermittlung erfüllt sind. Außerdem muss den z. B. einer Datenverschlüsselung. zusätzlichen Anforderungen nach Kapitel V der DSGVO III. Umsetzung / Kontrollen Rechnung getragen werden. Mit dem sogenannten Schrems II-Urteil des EuGH (Rechtssache C-311/185) Im Schrems II-Urteil hat der EuGH eine klare Aufgaben- wurden neue Maßstäbe gesetzt. Die erheblichen zuweisung vorgenommen. Unternehmen und öffentli- Auswirkungen des Urteils auf Datenübermittlungen in che Stellen sind verpflichtet, selbständig die Rechtmä- Drittländer stellen an Verantwortliche, Auftragsverar- ßigkeit ihrer Datentransfers an Drittländer zu prüfen beiter und Aufsichtsbehörden hohe Anforderungen. Sie und gegebenenfalls anzupassen. Hierbei werden sie haben die Arbeit der Expert Subgroups International durch die Aufsichtsbehörden beraten und kontrolliert. Transfers (ITS ESG) und Borders, Travel and Law En- Wie bereits in meinem letzten Tätigkeitsbericht und in forcement (BTLE ESG) im Berichtsjahr geprägt. Kapitel 3.2.2.2 ausgeführt, haben die Aufsichtsbehör- den auf nationaler und europäischer Ebene Hilfestel- In Zusammenarbeit mit den Aufsichtsbehörden der lungen für Verantwortliche und Auftragsverarbeiter Länder in den Expert Subgroups ITS ESG und BTLE des (Datenexporteure) erarbeitet. Im Oktober 2020 habe ich Europäischen Datenschutzausschusses (EDSA) war der mit einem Informationsschreiben an die öffentlichen Schwerpunkt meiner Aktivitäten: Stellen des Bundes sowie die meiner Aufsicht unterlie- genden Unternehmen Hinweise zu den Auswirkungen →→ die Erarbeitung von Leitlinien und Empfehlungen für Datenübermittlungen an Drittländer oder inter- der Rechtsprechung des EuGH auf den internationalen nationale Organisationen sowie Datentransfer gegeben3. In dem Schreiben habe ich die Kernaussagen des Urteils zusammengefasst. Darüber →→ Stellungnahmen zu Angemessenheitsbeschlüssen hinaus habe ich auf die Verpflichtung der datenexpor- und sonstigen datenschutzrelevanten Entscheidun- tierenden Stelle zur Prüfung der Schrems II-Grundsätze gen der Europäischen Kommission. 2 Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal dataVersi- on 2.0 Adopted on 18 June2021, abrufbar unter: https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplemen- tarymeasurestransferstools_en.pdf 3 Informationsschreiben des BfDI, abrufbar unter: https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DokumenteBfDI/Rundschreiben/Allge- mein/2020/Rundschreiben-Informationen-Schrems-II.html 4 Informationen auf der BfDI Webseite, abrufbar unter: www.bfdi.bund.de/schrems-II 5 Schrems II“ Urteil des EuGH vom 16.07.2020, Rechtssache C-311/18, abrufbar unter: https://curia.europa.eu/juris/document/document.jsf?docid=228677&mode=lst&pageIndex=1&dir=&occ=first&part=1&text=&doclang=DE&- cid=40595668 20 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021

Zur nächsten Seite