Jahresrückblick Datenschutz 2021

Nun ist auch das Jahr 2021 zu Ende gegangen und hinterlässt bei vielen Menschen gemischte Gefühle. Aufgrund der Pandemie sind erneut viele Dinge auf der Strecke geblieben, andere waren aber durchaus wieder möglich oder konnten nachgeholt werden. Ganz ähnlich lief es auch mit dem Datenschutz im Jahr 2021, der gemischte Gefühle hinterlässt. Einige schlechte Nachrichten hat es gegeben, echte Knaller wie das Schrems II-Urteil sind aber zum Glück ausgeblieben. Und es gab auch einige gute Nachrichten. Auf die wichtigsten datenschutzrechtlichen Ereignisse möchten wir mit diesem Beitrag noch einmal zurückblicken.

Sicherheitslücken und Schadsoftware

Zunächst mussten wir im Jahr 2021 auch wieder auf Bedrohungen des Datenschutzes und der IT-Sicherheit hinweisen. So gab es im März aufgrund einer Sicherheitslücke Angriffe auf Microsoft Exchange Server (https://www.datarea.de/sondernewsletter-angriffe-auf-microsoft-exchange-server/) und Ende des Jahres wurde die Log4J-Sicherheitslücke bekannt, welche ein bisher kaum dagewesenes Ausmaß hat (https://www.datarea.de/bsi-ruft-warnstufe-rot-aus-zero-day-luecke-in-log4j/). Andererseits gab es auch gute Nachrichten, denn die Ermittlungsbehörden konnten die berüchtigte Schadsoftware Emotet neutralisieren (https://www.datarea.de/schadsoftware-emotet-infrastruktur-zerschlagen/). Perspektivisch werden uns Warnungen vor Sicherheitslücken und Schadsoftware nicht erspart bleiben, denn mit der Digitalisierung schreitet auch deren Ausnutzung durch Cyber-Kriminelle immer weiter voran. Und im Zweifel lernen diese schneller als Behörden.

Datenschutz und Corona

Mit 3-G-Pflicht am Arbeitsplatz, Home Office bei hohen Inzidenzen und sich regelmäßig ändernden Coronaregeln hat die Pandemie auch 2021 wieder Fragen und Arbeitsaufwand im Datenschutz erzeugt.

Dabei ging es um Videokonferenzsysteme (https://www.datarea.de/berliner-datenschutzbeauftragte-aktualisiert-hinweise-zu-anbietern-von-videokonferenzdiensten/), Corona-Schnelltests für Mitarbeiter (https://www.datarea.de/verpflichtung-zum-angebot-von-coronatests-was-ist-aus-datenschutzsicht-zu-beachten/), Datenschutzorganisation im Home Office (https://www.datarea.de/home-office-und-papierunterlagen/) und die Durchsetzung der 3-G-Regeln (https://www.datarea.de/duerfen-arbeitgeber-den-impfstatus-erfassen/, https://www.datarea.de/datenschutzkonferenz-mit-beschluss-zur-erfassung-des-impfstatus/; https://www.datarea.de/3g-pflicht-am-arbeitsplatz-was-ist-aus-datenschutzsicht-zu-beachten/).

Datenübermittlung in Drittstaaten

Nachdem uns 2020 das Schrems II-Urteil bereits Beschäftigte, war das Thema Datenübermittlungen in Drittstaaten noch lange nicht geklärt.

Die EU-Kommission legte mit einer neuen Version von Standardvertragsklauseln nach, welche die geforderten Zusatzmaßnahmen aus dem Urteil berücksichtigen sollen (https://www.datarea.de/verabschiedung-neuer-standardvertragsklauseln-durch-die-eu-kommission/).

Kurz darauf erklärten die Aufsichtsbehörden nach einer gewissen Schonzeit seit dem Schrems II-Urteil vermehrt die Datenübermittlungen in Drittstaaten prüfen zu wollen (https://www.datarea.de/aufsichtsbehoerden-pruefen-datenuebermittlungen-in-drittstaaten/).

Google setzte im Oktober 2021 für Neukunden bereits die neuen Standardvertragsklauseln um, dabei gab es für Kunden von Google einiges zu beachten (https://www.datarea.de/google-setzt-neue-standardvertragsklauseln-um-was-ist-zu-beachten/9.

Die Bayerische Datenschutzaufsicht erklärte die Nutzung von des beliebten Newslettertools Mailchimp aufgrund von Datenübermittlungen in die USA in einem Fall für unzulässig (https://www.datarea.de/mailchimp/).

Und auch unsere Freunde von der Insel konnten Aufmerksamkeit erregen. Denn nach dem –  Ende 2020 endgültig vollzogenen –  Brexit stellt Großbritannien einen Drittstaat dar, weshalb eine Rechtsgrundlage für Datenübermittlungen dorthin vorliegen muss. So wurde GB von der EU-Kommission aufgrund eines angemessenen Datenschutzniveaus mit einem Angemessenheitsbeschluss bedacht (https://www.datarea.de/angemessenheitsbeschluss-fuer-grossbritannien/), nur um wenig später anzukündigen, sich von den europäischen Datenschutzregeln zukünftig abwenden zu wollen (https://www.datarea.de/grossbritannien-kuendigt-abwendung-von-der-dsgvo-an/).

Cookies und Webseiten

Herr Schrems ruht sich nicht auf den Lorbeeren des Schrems II-Urteils aus und kämpft weiter für bessere Datenschutzbedingungen mit seiner Organisation NOYB, indem er gegen Webseitenbetreiber und deren seiner Meinung nach nicht datenschutzkonforme Cookie-Banner vorgeht (https://www.datarea.de/datenschutzaktivisten-gegen-cookie-banner/). Bald darauf begannen auch die Aufsichtsbehörden im EU-Ausland Cookie-Banner, welche ihrer Meinung nach nicht mit dem Datenschutz vereinbar sind, zu überprüfen (https://www.datarea.de/datenschuetzer-gehen-gegen-cookie-banner-vor/). Und auch der deutsche Gesetzgeber setzte mit dem TTDSG nun „neue“ bekannte Regeln zu Cookies nach Urteilen des EuGH und des BGH endgültig um (https://www.datarea.de/das-ttdsg-endlich-mehr-klarheit-fuer-die-nutzung-von-cookies/).

Schließlich erklärte das VG Wiesbaden Ende des Jahres die Nutzung des weitläufig genutzten Cookie-Consent-Managers Cookiebot noch für unzulässig (https://www.datarea.de/vg-wiesbaden-erklaert-cookiebot-fuer-unzulaessig/).

Sonstige Ereignisse und Meldungen

Andere Behörden und Gerichte blieben in datenschutzrechtlicher Hinsicht natürlich auch nicht untätig:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Kontaktieren Sie uns

Office Radebeul
+ 49 (0)351 27220880

E-Mail:
info@datarea.de

Log in