Liebe Grüße aus der Welt des Datenschutzes und herzlich willkommen zum DSGVO.CARE Newsletter MÄRZ 2021!

Und wieder mal ist ein Monat vorbei! Wir schreiben den März 2021 und damit gibts auch gleichzeitig ein erstes Pandemie-Jubiläum... Hurra! kinda... sort of... not really...

Aber hier gehts nicht um COVID, sondern um DSGVO und damit auch gleich zum ersten Thema:

1. Deutsche Wohnen entgeht 14,5 Mio EURO Bußgeld

Im September 2019 verhängte die Landesdatenschutzbeauftragte von Berlin gegen die Immobiliengesellschaft Deutsche Wohnen ein Bußgeld in Höhe von 14,5 Mio EURO. Der Grund? Jede Menge Daten die ohne Rechtsgrundlage nach Ablauf von Fristen weiter gespeichert wurden.

Eben dieses Bußgeld wurde vor Kurzem durch das Landgericht Berlin gekippt. Nettes Detail am Rande: gekippt wurde das Bußgeld übrigens aus genau dem gleichen Grund aus dem auch unlängst hier zu Lande das 18 Mio EURO Bußgeld gegen die Post aufgehoben wurde. Die Berliner Datenschutzbehörde hat nämlich nur das Unternehmen bestraft und keine natürliche Person beschuldigt.

Freilich... es handelt sich hierbei um eine durchaus strittige Frage und es haben - aus diversen dogmatischen Gründen - beide Sichtweisen ein gewisses Für und Wider. Es ändert jedoch nichts an der Tatsache, dass die DSGVO selber klar für die direkte Verhängung gegen Unternehmen spricht. Und auch kann man nicht argumentieren, dass sich diese Frage zuvor in Deutschland noch nicht aufgetan hat. Denn so hat etwa das LG Bonn unlängst klipp und klar vertreten, dass definitiv nicht auf das Verschulden eines Vorstandes ankommt, sondern einzig und allein auf das Unternehmen als juristische Person.

Wie es jetzt weitergeht wird spannend, denn interessanterweise sehen die verknoteten Wege des deutschen Verfahrensrecht nicht vor, dass sich die Berliner Datenschutzbehörde direkt an die Berufungsinstanz wenden kann. Stattdessen muss man auf den "Goodwill" der Staatsanwaltschaft hoffen.

Unsere Meinung hierzu: ja klar... Rechtsentwicklung ist wie die Evolution: also definitiv nicht von "intelligent design" geprägt. Bis man seinen Rythmus gefunden braucht es schon mal ein paar Anläufe und auch ein gelegentliches Hinfallen. Wirft einem auch niemand vor, aber wenn man es schafft trotz einer klar vorgegebenen Linie (hust hust: DSGVO) dezent die Orientierung zu verlieren, dann relativiert sich der Nimbus an Kompetenz der der Justiz eigentlich inhärent sein sollte.

1. UK: ANGEMESSENHEITSBESCHLUSS

Aber jetzt mal weg vom europäischen Gedanken. Wenden wir uns der Insel zu. Und hier gibt es gute News! Auch wenn die Beziehung in letzter Zeit nicht gerade rosig, sondern vielmehr Rosenkriegs-Flair hatte und in erster Linie vom BREXIT-Scheidungskrieg und dem Gerangel um den Impfstoff geprägt war, so scheint es langsam, dass wir wieder ein Level erreichen wo man nicht die Strassenseite wechselt wenn man sich begegnet.

Zumindest in Bezug auf DSGVO, werden wir aber ein wenig vernünftiger, denn die EU-Kommission arbeitet zur Zeit mit Hochdruck daran einen Angemessenheitsbeschluss für das UK auf die Beine zu stellen. In Anbetracht dessen, dass die Schonfrist für Drittlandsübermittlungen im Sommer 2021 endet wird das aber langsam auch Zeit!!!

2. ÜBERMITTLUNG VON GESUNDHEITSDATEN ZWECKS FORSCHUNGSZWECKEN

Ja und was gibt es sonst noch? Naja last but not least haben wir vom Team DSGVO.CARE uns unlängst mit der praktischen Frage auseinandersetzen müssen, ob man als Arztpraxis/Labor/etc... denn sensible Daten zu Forschungs- und Studienzwecken an andere Labore/Praxen/etc... weiterleiten kann (besser: darf!). Die Antwort auf diese Frage wollen wir natürlich nicht geheim halten:

Zu aller erst die Antwort in Kürze: Ja! JA! Das darf man!

Die längere Antwort: Ja, das darf man! Die Daten müssen aber bitte schön pseudonymisiert sein. Und pseudonymisiert heißt hierbei, dass es aus Sicht des Empfängers nicht möglich sein darf, dass dieser wieder personenbezogene Daten daraus herstellen kann.

Die Begründung für diese Antwort: Eigentlich sieht die DSGVO ja vor, dass Daten, welche für einen bestimmten Zweck erhoben worden sind nicht ohne weiteres für andere Zwecke verwendet werden dürfen (Zweckbindung). Will man jetzt Daten, welche man zum Beispiel in seiner Rolle als Hausarzt zwecks Patientenbehandlung aufgenommen hat jetzt plötzlich für andere Zwecke verwenden (zum Beispiel für Newsletterversand) dann geht das nicht so ohne weiteres, da man eine neue Rechtsgrundlage braucht.

Bei weniger sensiblen personenbezogenen Daten kann man sich hier meist mit der Interessenasabwägung (berechtigtem Interesse) Abhilfe schaffen. Wie aber jeder findige Datenschutzrechtler weiß gibt es diese Option nicht bei sensiblen Art 9 Daten, nicht wahr?

Falsch! In Bezug auf die Forschung gibt es hier auf Basis von Art 89 DSGVO eine Privilegierung, welche eine Zweckänderung hinsichtlich Forschung erleichtert. Genau genommen handelt es sich hierbei um eine Öffnungsklausel, sodass der nationale Gesetzgeber eine Regelung treffen kann, aber wir wollen jetzt mal nicht kleinlich sein und die gefühlt 100.000 einzelnen Gesetzesbestimmungen im österreichischen Recht hierzu heraussuchen, denn leider haben wir das nicht im DSG geregelt, sondern in so gut wie jedem einzelnem Materiengesetz.

Und was erlaubt diese schöne Bestimmung?

Ja wie schon erwähnt: man darf Art. 9 Daten zu Forschungszwecken auf Basis berechtigter Interessen weiterverarbeiten und somit auch an andere Stellen versenden. Bedenken muss man jedoch folgendes:

    1. es muss zu Forschungszwecken dienen
    1. die Daten sind jedenfalls zu pseudonymisieren (und zwar in so einer Art und Weise, dass der Empfänger keinen Personenbezug mehr herstellen kann).

Und das wars auch schon wieder.

Das Team DSGVO.CARE wünscht einen angenehmen März.