[IITR – 23.12.21] Am 20.12.2021 fand auf unsere Einladung ein Webinar mit Herrn Michael Will (Präsident des Bayerischen Landesamts für Datenschutzaufsicht) statt. Er gab den mehr als 800 Anwesenden einen Ausblick auf das kommende Jahr und erläuterte die aktuelle Situation seiner Datenschutz-Aufsichtsbehörde. Im Folgenden finden Sie eine Zusammenfassung der diskutierten Themen.
1. “3G am Arbeitsplatz”
Herr Will wies zu Beginn auf die durch sein Haus erstellte FAQ-Sammlung zum Umgang mit dem Thema “3G am Arbeitsplatz” hin. Ergänzend steht inzwischen auch eine begleitende Orientierungshilfe der Datenschutz-Konferenz (DSK) (als Zusammenschluss der Datenschutz-Aufsichtsbehörden in Deutschland) zur Verfügung.
2. TTDSG Umsetzung in der Praxis
Im Rahmen der Diskussion um die TTDSG-Umsetzung in der Praxis unterstrich Herr Will das vorläufige Verfahrensstadium des „Cookiebot-Urteils“. Er führte aus, dass sein Haus mit einer Vielzahl von Beschwerden zur korrekten Ausgestaltung von Webseitentracking befasst sei.
Vereinfacht gesprochen drehen sich die meisten Fragen beim Webseiten-Tracking um zwei zentrale Aspekte:
- (a) bietet der Webseiten-Betreiber eine Wahlmöglichkeit “ja/nein” (auf gleicher Ebene) zum Thema Webseiten-Tracking und
- (b) welche Tracking-Maßnahmen sind ohne Einwilligung noch zulässig?
Inzwischen ist auch hier eine Orientierungshilfe der Datenschutz-Konferenz (DSK) veröffentlicht worden. Kurz angesprochen wurde die Frage, welche Auswirkung die Anpassung des TTDSG auf Auftragsverarbeitungsverträge mit Videokonferenz-Anbietern und deren Einordnung als eigene Verantwortliche haben würde. Auch hier ist eine Befassung im Rahmen der Datenschutz-Konferenz (DSK) für 2022 geplant.
3. Datenschutz im Koalitionsvertrag
Kurze Erwähnung fand der Koalitionsvertrag. Neben dem Aspekt der Beibehaltung der Aufsichtsstruktur in den Ländern sowie der geplanten Stärkung der Datenschutz-Konferenz (DSK). Von großem praktischen Interesse dürfte die Diskussion sein, inwieweit Standards für Anonymisierung gesetzt und ein “De-Anonymisieren” unter Strafe gestellt werden könnte („relatives Anonymisierungsverständnis“).
4. „Privacy Shield 2.0“
Im Hinblick auf die Datentransfer-Situation insbesondere mit den USA betonte Herr Will die Anforderung an Unternehmen, diese in so genannten “Transfer Impact Assessments” auf ihre datenschutzrechtliche Zulässigkeit zu überprüfen. Er skizzierte dabei auch die Rechtsauffassung, wonach die Frage des Zugriffs von US-Behörden letztlich auf der Ebene des Auftragsverarbeiters zu klären sei. Würde dieser einen Zugriff durch US-Behörden im durch den EuGH-skizzierten Umfang DSGVO-widrig gestatten wäre dies ein Anlass, der seine Zuverlässigkeit aus DSGVO-Sicht in Frage stellen würde – sollte er sich indes an die DSGVO halten und einen Zugriff verweigern könnte ein Datentransfer im Rahmen des “Transfer Impact Assessments” als zulässig erachtet werden.
5. Zertifizierung nach DSGVO
Das Jahr 2022 wird Datenschutz-Zertifizierung nach der DSGVO für Produkte und Dienstleistungen auf die Agenda bringen. Management-Systeme sind dagegen weiter ausgenommen. Herr Will sieht hier eine besondere Herausforderung für sein Haus, den anstehenden Antragsverfahren und darin gebundenen zahlreichen Fragen gerecht werden zu können. Auch der europäische Datenschutz-Ausschuss hat das Thema der Zertifizierung als mögliches Mittel für außereuropäische Datentransfers aktuell auf die Tagesordnung gesetzt, wobei hier aus Sicht von Herrn Will eher allgemeine Ausführungen zu erwarten sein dürften.
6. Bußgeld-Praxis in 2022
Die Aufsichtspraxis des Bayerischen Landesamts für Datenschutzaufsicht für 2022 wird verstärkt im technischen Bereich liegen. Dies unterstreichen auch jüngste Publikationen zu den Themen “Log4Shell” und Ransomware Prävention. Es sei für Unternehmen ferner wichtig, die zentralen Datenschutz-Themen zu adressieren und bei den Basis-Themen “sattelfest” zu sein. Angesprochen auf die Ankündigung von Herrn Professor Kelber (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit), Social Media Auftritte im Bund ab Januar 2022 untersagen zu wollen, führte Herr Will aus, dass man dies derzeit nur im Beschwerdefall aufgreifen werde.
7. Umsetzung der DSGVO im europäischen Kontext
Angesprochen auf die jüngsten Diskussionen auf europäischer Ebene zur Umsetzung der DSGVO insb. im Hinblick auf Facebook in Irland unterstrich Herr Will, dass aus seiner Sicht die Zusammenarbeit funktioniere und man hier über den Europäischen Datenschutzausschuss auch zu beachtlichen Fortschritten gekommen sei. Die teils geäußerte Kritik am One-Stop-Shop-Mechanismus teile er nicht. Die Zusammenarbeit funktioniere, der Europäische Datenschutzausschuss sei arbeitsfähig.
Eine Prognose im Hinblick auf die anstehenden Entscheidungen zum Umfang des Ersatzes von immateriellem Schaden unter der DSGVO wollte Herr Will nicht stellen. Entsprechende Urteile (zuletzt in München) lassen aber erwarten, dass hier entsprechende Ansprüche entstehen – diese Diskussion dürfte im Jahr 2022 noch vertieft werden.
Der Beitrag Zusammenfassung: Datenschutz-Ausblick 2022 mit Michael Will erschien zuerst auf Das Datenschutz-Blog.