Dr. Alexander GollandSchriftleitungDatenschutz-Berater Liebe Leserinnen und Leser, Habemus App - nach zähem Ringen (und Investitionen von zig Millionen Euro) ist die offizielle Corona-Warn-App der Bundesregierung endlich da. Wenig später die Frage: Darf ich eigentlich kontrollieren, ob meine Gäste oder Kunden die App installiert haben? Für Beschäftigte scheint es klar: Arbeitgeber dürfen, so die überwiegende Auffassung unter Arbeitsrechtlern, grundsätzlich die App-Nutzung nicht vorschreiben. Ebenfalls dürfte der Zugang zu Behörden oder Betrieben der privaten Daseinsvorsorge nicht von der App abhängig gemacht werden. Der Einkauf im Supermarkt und die Fahrt mit dem Bus dorthin bleibt also in jedem Fall ohne ...161
Ninja Marnau Die Corona-Warn-App: Was kann datenschutzfreundliche Technik Am 16. Juni wurde sie von der Bundesregierung, RKI, SAP und Telekom in einer großen Pressekonferenz vorgestellt: Die Corona-Warn-App. Eine App und die zugehörige Infrastruktur, die es mithilfe von Kontakt-Tracing über Bluetooth Low Energy ermöglichen soll, Nutzer:innen frühzeitig zu warnen, wenn sie nahen Kontakt zu einem später positiv getesteten SARS-CoV-2 Infizierten hatten. Öffentliche Debatte über Technikgestaltung Dieser Pressekonferenz sind Wochen und Monate der Diskussion über die App, ihr Design, realistische und unrealistische Erwartungen an ihre Wirkung, Vertrauensverlust und langsamer Vertrauenswiederaufbau vorausgegangen. Im Zuge der Diskussion über Kontakt-Tracing ...162
Dr. Jan-Michael Grages Risikosteuerung durch vertragliche Haftungsregelungen Wann und wo sind Haftungsregelungen relevant? Der Abschluss von Verträgen ist im Datenschutz an der Tagesordnung. Dies gilt für Verträge über die Auftragsvereinbarung und die gemeinsame Verantwortlichkeit, um den gesetzlichen Vorgaben zu entsprechen. Hinzu kommen Verträge zur Strukturierung von Datenübermittlungen. Häufig fehlen dabei Regelungen, wer unter den Vertragspartnern bei Datenschutzverstößen die Last durch Schadensersatzforderungen oder Bußgelder tragen soll. Das hat mehrere Gründe: Einerseits werden die Datenschutzverträge manchmal erst im Anschluss an die kommerzielle Einigung auf der Fachebene nachgeschoben. Dann ist es für Verhandlungen über Haftungsfragen zu spät. Andererseits ist es ...168
Dr. Dennis-Kenji Kipker Neues vom IT-SiG 2.0 Meilensteine des aktuellen zweiten Referentenentwurfs Das BSI als "Superbehörde" und als "Hackerbehörde" Eine Schlagzeile, die seit dem ersten Entwurf für das IT-SiG 2.0 die Runde machte, ist das BSI als "Superbehörde". Wenngleich der Begriff ein wenig in die Irre führt, da das BSI immer noch dem Geschäftsbereich des Bundesministeriums des Innern (BMI) nachgeordnet ist, so gibt er doch zumindest schon eine Tendenz vor, in welche Richtung die gesetzliche Regulierung der IT-Sicherheit in Deutschland geht: Wo das 1991 gegründete BSI früher in erster Linie für den sicheren Einsatz von ...172
Guido Hansch Whistleblowing-Richtlinie EU 2019/1937: Neue Compliance-Anforderungen für Unternehmen (Teil 1) Hintergrund und Schutzbereich Am 16.12.2019 ist die "Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden" (EU-2019/1937 "Whistleblower-Richtlinie") in Kraft getreten. Die nationale Umsetzung dieser Richtlinie muss demnach innerhalb von zwei Jahren (bis zum 17.12.2021) erfolgen. Das Ziel des europäischen Normgebers war es, Hinweisgeber zu ermutigen, Verstöße gegen das Unionsrecht zu melden und diese Hinweisgeber mit einem umfassenden Schutz vor Repressalien seitens des betreffenden Unternehmens auszustatten. Bereits an dieser Stelle wird ein zentrales Problem erkennbar, nämlich die Tatsache, dass ...175
Simon Pentzien und Daniel Lösch Corona-Warn-App und Personenbezug: Eine kritische Betrachtung Einleitung Beiträge über die Corona-Warn-App dominieren seit dem Launch weite Teile der Medienlandschaft. Die allgemeine Resonanz ist von den App-Nutzern bis hin zu Datenschutz- und IT-Experten sehr positiv. Bei einer genauen Betrachtung verwundert dies nicht: Die App bietet ein hohes Datenschutzniveau. Auch scheint der Grundsatz Privacy by Design beinahe schulmäßig umgesetzt. Der nachfolgende Beitrag erhebt nicht den Anspruch, eine allgemeine datenschutzrechtliche Bewertung der Corona-Warn-App durchzuführen. Ziel ist vielmehr, auf Konstellationen hinzuweisen, in denen scheinbar "unbemerkt" ein Personenbezug bzw. eine Personenbeziehbarkeit vorliegt. Flankierend dazu behandeln die Verfasser die ...178
Tilman Herbrich Legitimate Interests Assessment (LIA): Methodik und Praxisleitfaden für Interessenabwägungen Frage Eines der zentralen Praxisthemen seit Geltung der DSGVO ist die lege artis durchgeführte Anwendung von Art. 6 Abs. 1 S. 1 lit. f) DSGVO als Rechtsgrundlage für die Datenverarbeitung. Während der juristische Laie von "berechtigten Interessen" spricht, auf deren Grundlage man personenbezogene Daten verarbeiten dürfe, hat sich im Gegensatz dazu in der Spruchpraxis des EuGH zur wortgleichen Vorgängerregelung in Art. 7 lit. f) RL 95/46/EG eine komplexe dreistufige Prüfung zur Anwendung der Rechtsgrundlage etabliert (C-13/16, C-40/17, C-708/18). Der interessierte Leser fragt sich: Mit welcher Methodik ist ...181
Dagmar Hartge und Dr. Nina Elisabeth Herbort Der beste Weg im aufsichtsbehördlichen Verfahren? Zugegebenermaßen ist der "beste" Weg im Kontext staatlicher Aufsichtstätigkeit ein denkbar unbestimmter Begriff, dessen Verwendung bereits diskutabel ist. Verantwortliche und Betroffene werden - freilich aus unterschiedlichen Gründen - fast immer eine andere Vorstellung von dem Begriff des "besten" Weges haben als die Datenschutz-Aufsichtsbehörden. Verantwortliche möchten bestenfalls gar nicht (von den Aufsichtsbehörden) behelligt werden; Betroffene wollen ebenfalls (von unbestellten Newslettern der Verantwortlichen) nicht behelligt werden, weshalb sie hingegen aufsichtsbehördliche Maßnahmen am besten fänden. Aus Sicht der Aufsichtsbehörde wiederum besteht der Wunsch nach einer punktgenauen Kommunikation mit ...184
Dr. Jan-Peter Ohrtmann und Carl Christoph Möller BGH entscheidet zu "Planet 49": "Werbe-Cookies erfordern grundsätzlich eine Einwilligung" Die Vorgeschichte Der Europäische Gerichtshof ("EuGH") hatte am 1. Oktober 2019 (Az.: C-673/17) im Planet49-Verfahren vielbeachtet über verschiedene vom BGH vorgelegte Fragen entschieden. Insbesondere hatte der EuGH in Anwendung von Art. 5 Abs. 3 der Richtlinie (EU) 2002/58/EG ("ePrivacy-Richtlinie") festgelegt, dass Cookies grundsätzlich der Einwilligung bedürfen, es sei denn, dass sie unbedingt erforderlich sind, um dem Nutzer den gewünschten Dienst zur Verfügung zu stellen. Dem steht im deutschen Recht, zumindest dem Wortlaut nach, § 15 Abs. 3 Satz 1 TMG ...188