Microsoft veröffentlicht Ergänzung zu den Standardvertragsklauseln

Seitdem der Europäische Gerichtshof (EuGH) mit der sogenannte Schrems II-Entscheidung die Datenübermittlung in die USA durch die Unzulässigkeitserklärung des EU-US-Privacy-Shield ins Wanken gebracht hatte, herrschen in der Datenschutzpraxis zahlreiche Fragen und Unsicherheiten , ob und wie künftig eine Datenübermittlung in sogenannte Drittländer (insbesondere in die USA) stattfinden kann. Unklar ist insbesondere, wie die vom EuGH geforderten geeigneten Garantien zur Sicherstellung eines angemessenen Datenschutzniveaus durch die verantwortlichen Organisationen erreicht werden können. Nun ist in dieser Sache mit Microsoft der erste Dienstleister aktiv geworden. 


Was ist passiert?

Microsoft hat ein Additional Safeguards Addendum to Standard Contractual Cluases veröffentlich. In dieser Ergänzung der Standardvertragsklauseln unterbreitet der US-Dienstleister Vorschläge für Garantien zur Stärkung der Betroffenenrechte. Insbesondere werden folgende relevante Zusagen seitens Microsoft gegeben: 

(1) Microsoft verpflichtet sich, bei einer Anordnung zur Herausgabe von Daten durch US-Behörden dazu (Ziff. 1 des Addendum): 
– alle Maßnahmen zu ergreifen, damit der Anfragende die Daten unmittelbar bei dem Kunden von Microsoft erfragen muss; 
– den Kunden unverzüglich zu benachrichtigen und für den Fall der Untersagung einer solchen Benachrichtigung des Kunden, alle rechtmäßigen Anstrengungen zu unternehmen, um das Recht auf Aufhebung des Verbots zu erwirken, damit dem Kunden so bald wie möglich so viele Informationen wie möglich mitgeteilt werden und 
– alle rechtmäßigen Anstrengungen zu unternehmen, um die geltend gemachte Offenlegung wegen Rechtsmängeln oder Konflikten mit dem Recht der Europäischen Union oder dem geltenden Recht der Mitgliedstaaten anzufechten.

(2) Microsoft gewährt den Betroffenen im Falle einer Offenlegung von Daten auf Anordnung einer US-Behörde einen Anspruch auf Ersatz des Schadens, der durch die Offenlegung entstanden ist (Ziff. 2 des Addendum). 


Wie reagieren die Aufsichtsbehörden zur Maßnahme von microsoft?

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, der Bayrische Landesbeauftragte für den Datenschutz und das Bayrische Landesamt für Datenschutzaufsicht und der Hessische Beauftragte für Datenschutz und Informationsfreiheit äußern sich wie folgt: 

„Damit [mit dem Additional Safeguards Addendum] sei, so die gemeinsame Bewertung der beteiligten Datenschutzaufsichtsbehörden, zwar die Transferproblematik in die USA nicht generell gelöst – denn eine Ergänzung der Standardvertragsklauseln könne eben nicht dazu führen, dass der vom Europäischen Gerichtshof als unverhältnismäßig beanstandete Zugriff der US-amerikanischen Geheimdienste auf die Daten unterbunden werde.“
Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg Dr. Stefan Brink

„Die Vorschläge von Microsoft sind ein wertvoller Impuls für die gemeinsame Suche nach Rechtssicherheit für Datenübermittlungen in die USA genauso wie in andere Staaten, deren Rechtsordnung den Schutzstandard des europäischen Datenschutzrechts nicht hinreichend gewährleisten können. Der Europäische Gerichtshof hat eindeutig entschieden, dass Datenflüsse aus Europa in die USA ohne zusätzliche Maßnahmen nicht mehr zulässig sind. Microsoft hat mit seiner heute vorgestellten Initiative diese Forderung des Europäischen Gerichtshofs und der für die Durchsetzung der DSGVO zuständigen Datenschutzaufsichtsbehörden in einem ersten Schritt aufgegriffen. Gerade für kleine und mittlere Unternehmen, die auf den unkomplizierten und trotzdem datenschutzkonformen Einsatz von Standardprodukten in besonderem Maße angewiesen sind, ist dies eine ermutigende Nachricht.“ 
Präsident des Bayrischen Landesamt für Datenschutzaufsicht Michael Will

„Bayerische öffentliche Stellen sollten in erster Linie Dienstleistungen in Anspruch nehmen, die auf Datentransfers in Drittländer verzichten. Allerdings wäre es realitätsfremd zu glauben, dass dies für alle gängigen Büroanwendungen möglich ist. Umso wichtiger ist es, wenn auch US-amerikanische Anbieter von Büroanwendungen die Anforderungen der Datenschutz-Grundverordnung erfüllen. Ich halte die aktuellen Vorschläge von Microsoft für einen ersten wichtigen Ausgangspunkt für die kommenden Verhandlungen.“ 
Der Bayerische Landesbeauftragte für den Datenschutz Prof. Dr. Petri

“Die Frage, ob in den USA ein angemessener Datenschutz für europäische Exportunternehmen besteht, ist durch eine Abwägungsentscheidung zu beantworten. Dies war durch die begrenzte Kalkulierbarkeit der bisherigen US-Regierung betriebenen Handelspolitik belastet. Angesichts des Wahlergebnisses kann künftig von einer Verbesserung der Verhandlungssituation ausgegangen werden. Aber auch dann ist ein Verhandlungserfolg nur zu erwarten, wenn die Datenschutzprobleme schrittweise ergebnisoffen auf allen Entscheidungsebenen diskutiert werden. Es kommt nur darauf an, dass die relevanten Argumente auf den Tisch gebracht werden. Wer das macht, ist unerheblich. Die eigentliche Abwägung kann dann aber nur durch die zuständigen Gremien erfolgen.“
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Michael Ronellenfitsch

Eine kritische Auseinandersetzung erfolgt durch Matthias Bergt – Referatsleiter des Referates I B der Berliner Beauftragten für Datenschutz Informationsfreiheit – in seinem Beitrag „Zusatz zu Standardvertragsklauseln: Massenweise Nebelkerzen von Microsoft und manchen Datenschutz-Aufsichtsbehörden“.  


Welche neuen Erkenntnisse in Sachen internationaler Datentransfer gibt es noch?

 Unlängst veröffentlichte bereits der Europäische Datenschutzausschuss (EDSA) ein Paper mit Empfehlungen zu „zusätzlichen Maßnahmen“ für Datenübermittlungen in Drittländer. Dieses Dokument enthält erste Handlungsempfehlungen zur Ausgestaltung von Schutzmaßnahmen. Das Papier des EDSA wurde zunächst in eine Öffentliche Konsultation bis zum 21.12.2020 gegeben. 

Zudem veröffentlichte die EU-Kommission am 12.11.2020 – nur einem Tag nach der Veröffentlichung durch den EDSA – den Entwurf der neuen Standard Contractual Clauses. In dieser Sache läuft die öffentliche Konsultation noch bis zum 10.12.2020. 


Fazit

Seit dem viel zitierten Urteil des EuGH stehen Verantwortliche und Auftragsverarbeiter bei geplanten Datenübermittlung in Drittstaaten vor einigen herausfordernden Aufgaben. Mit dem Vorgehen eines der größten Technologieunternehmen wird zwar – so auch die Aufsichtsbehörden – keines Falles schlagartig die Problematik der Drittsaatentransfers gelöst, insbesondere da die vorgelegte Ergänzung der Standardvertragsklauseln nicht die generelle Zugriffsmöglichkeiten der US-Geheimdienste unterbindet. Den bisher veröffentlichten Stellungnahmen der einzelnen Landesdatenschutzbeauftragten lässt sich dennoch entnehmen, dass die Maßnahme als ein Fingerzeig in die richtige Richtung gewertet werden kann, auch wenn diese Euphorie augenscheinlich nicht von allen Aufsichtsbehörden geschürt wird. Es wird nunmehr eine Bewertung des Vorschlages von Microsoft seitens der Datenschutzkonferenz abzuwarten sein. 

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Datenübermittlungen
  • Drittstaaten
  • Microsoft
  • Schrems II
  • Standardvertragsklauseln
Lesen

Orientierungshilfe der DSK: Orientierung? Hilfe?

Am 23. Oktober 2020 hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (kurz: Datenschutzkonferenz [DSK]) eine Orientierungshilfe zum Einsatz von Videokonferenzsystemen herausgegeben. Die sich hieraus ergebenden datenschutzrechtlichen Anforderungen haben wir bereits in der letzten Woche dargestellt. Der folgende Beitrag setzt sich kritisch mit der Frage auseinander, ob die Orientierungshilfe der DSK ihrem Namen gerecht wird. Antwort vorweg: Ja, aber. Für Datenschutz-Praktiker ist die Orientierungshilfe teils wirklich hilfreich und definitiv lesenswert.


Hilfreich und lesenswert – Aber:

Auf 25 Seiten (!) werden oft allgemeine Datenschutzgrundsätze wiederholt, statt sie auf das Thema anzuwenden. Man muss (bestenfalls) schmunzeln, wenn mittendrin (Seite 13 unten und Seite 14 oben, unter Ziff. 3.5.1) von den Verantwortlichen etwas verlangt wird, das die Datenschutzkonferenz nicht schafft: Informationen, die „für einen durchschnittlichen Nutzer des Dienstes ohne übermäßigen Aufwand verständlich sind“. „Übermäßig komplexe Formulierungen und technische oder juristische Fachbegriffe sollten vermieden werden“. In dieser Hinsicht gut gelungen ist die anfängliche Unterscheidung zwischen möglichen Betriebsmodellen (On-Premise, externer IT-Dienstleister, Online-Dienst). Aber: Zwischen den beiden letztgenannten Fällen besteht datenschutzrechtlich kein nennenswerter Unterschied. Ausreichend wäre die Differenzierung: Auftragsverarbeiter beteiligt – ja oder nein.

Nicht überraschend, trotzdem ärgerlich ist, dass die DSK ganz schwierige aktuelle Themen (nämlich gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO und Drittstaatstransfer, insbesondere in die USA) anspricht, ohne brauchbare Aussagen zu treffen:

Beim Thema gemeinsamer Verantwortlichkeit (in der Orientierungshilfe unter Ziff. 3.3) dürfte für Videokonferenzsysteme richtig sein, dem Dienstleister eine Datenverarbeitung zu eigenen Zwecken schlicht zu untersagen. Die nach der EuGH-Rechtsprechung schwierige Frage der Abgrenzung zwischen separaten Verarbeitungen verschiedener Verantwortlicher und der Verarbeitung in gemeinsamer Verantwortlichkeit stellt sich dann nicht.

Hinsichtlich des Drittstaat-Transfers (insbesondere in die USA): Fast alle Anbieter von Videokonferenzsystemen sind entweder selbst in den USA tätig oder haben dort ansässige Sub-Auftragsverarbeiter eingeschaltet. Die Ausführungen des EuGH im Urteil Schrems II (16.07.2020, Rechtssache C-311/18) laufen darauf hinaus, dass DS-GVO-Verantwortliche für ein angemessenes Datenschutzniveau bei Datenempfängern in den USA den Zugriff dortiger Geheimdienste insbesondere nach FISA 702 ausschließen müssen. Dies ist (natürlich) unmöglich. Weder die Datenschutzkonferenz, noch der Europäische Datenschutzausschuss können dafür Wege aufzeigen. Sie behelfen sich mit (richtigen, aber völlig inhaltsleeren) Formulierungen: Die Verantwortlichen müssten im Einzelfall sorgfältig prüfen, angemessene Maßnahmen ergreifen, Datenschutz-Grundsätze beachten – und so weiter und so fort (in der Orientierungshilfe S. 16-18 unter 3.5.6). Sehr viel konkreter und konsequenter ist die Empfehlung, soweit irgend möglich auf Drittstaats-Transfers zu verzichten, also EU-Dienstleister zu bevorzugen (z.B. LfDI Baden-Württemberg). Aber ist eine „Daten-Insel EU“ lebensnah? Die Orientierungshilfe Videokonferenzsysteme geht insoweit immerhin an die Grenzen offizieller Äußerungen, wenn sie schreibt: „Es bedarf noch weiterer Analysen, um im Lichte dieser vom EuGH klargestellten Anforderungen konkretere Aussagen dahingehend treffen zu können, ob […] personenbezogene Daten in die USA […] übermittelt werden können“ (Ziff. 2.3, Seite 7 unten). Eine „eingehende Analyse“ der EuGH-Entscheidung war bei Entstehung der Orientierungshilfe, drei Monate nach dem EuGH-Urteil, natürlich längst abgeschlossen. Sie führt eben zu dem unerträglichen, praktisch nicht umsetzbaren Ergebnis, dass mit den Anforderungen des EuGH keine Übermittlung personenbezogener Daten in die USA (und viele Staaten dieser Welt) möglich ist.


Orientierungshilfe In Teilen missverständlich

In einer kurzen und übersichtlichen Orientierungshilfe hätten zwei typische Datenschutz-Gefahren bei Videokonferenzsystemen mehr Beachtung verdient:

Teilnehmer an Videokonferenzen sind meist über die Funktionen der Software nicht ausreichend informiert, also höchst unsicher in deren Handhabung. Nutzer werden ganz ohne Vorbereitung oder mit Einweisung unter hohem Zeitdruck „allein gelassen“. Oft genug müssen sie „im Selbstversuch“ herausfinden, wie die Software funktioniert, wie z.B. Video- und Audiofunktionen aktiviert / deaktiviert werden. Eine kurze Unterweisung des Nutzers vor Einsatz der Software ist deshalb (auch) unter Datenschutz-Aspekten obligatorisch.

Der heimliche „Mitschnitt“ von Ton (und Bild) wird von vielen Nutzern nicht als strafbar (§ 201 StGB) erkannt. Die Mitschnittmöglichkeit nehmen viele Nutzer als zusätzlichen Vorteil der Videokonferenzsysteme (im Vergleich mit traditionellen persönlichen Treffen) wahr, von der man (spielerisch oder „vorsorglich“) Gebrauch macht. Darin liegt eines der größten Datenschutz-Risiken beim Einsatz von Videokonferenzsystemen. In der Orientierungshilfe wird es unter Ziff. 3.4.8 (Seite 13) nur sehr versteckt erwähnt.

Zuletzt zwei Punkte, bei denen die Orientierungshilfe in die Irre führt:

(1) Entgegen Ziff. 4.2.4 (dort dritter Spiegelstrich) sind Gastzugänge bei Videokonferenzsystemen nicht nur zulässig, wenn alle Teilnehmer „untereinander bekannt sind“. Vielmehr dürfen Systeme auch mit völlig offenem Teilnehmerkreis betrieben werden. Notwendig ist dafür nur, dass die offene Teilnahme bekannt ist (Beispiel: Online-Besprechung einer Bürgerinitiative).

(2) In Ziff. 4.8 verlangt die Orientierungshilfe, dass Teilnehmende die technische Möglichkeit haben müssten, „Kamera und Mikrofon auszuschalten, wobei getrennte Deaktivierungsmöglichkeiten für Audio- und Videoübertragung vorzusehen sind“. Eine solche „Abschaltmöglichkeit“ ist datenschutzrechtlich nirgends generell vorgeschrieben. Es gibt im Gegenteil sogar Anwendungsfälle (z.B.: Bild- und Tonübertragung bei Hauptversammlungen von Aktiengesellschaften), bei denen die lückenlose Übertragung der versammlungsleitenden Personen rechtlich gefordert wird.


Fazit

Dank an die DSK für die Stellungnahme zu einem Thema, das in Corona-Zeiten naturgemäß jeden Datenschutzbeauftragten beschäftigt. Bitte an die DSK: Orientierungshilfen noch kürzer, klarer, konkreter.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht.

    Tags:
  • Datenschutzkonferenz
  • Kommentar
  • Orientierungshilfe
  • Schrems II
  • Videokonferenzen
Lesen

Einsatz von Videokonferenzsystemen

Im Zuge der Corona-Pandemie wurde durch Veränderungen im beruflichen Alltag – insbesondere bei der Durchführung von Meetings und Besprechungen – und einer damit gleichlaufenden Verlagerung von Tätigkeiten ins Homeoffice der Bedarf an Videokonferenzen merklich gesteigert. Mit dem Einsatz und der Verwendung von sogenannten Videokonferenzsystemen gehen eine Vielzahl von datenschutzrechtlichen Fragestellungen einher, welche im folgenden Beitrag näher beleuchtet werden sollen.


Welche Arten von Videokonferenzsystem sind zu unterscheiden?

Für Verantwortliche bieten sich bei dem Einsatz von Videokonferenzsystem grundsätzlich drei Möglichkeiten:

(1) Betrieb der ausgewählten Software auf eigenen Servern. Diese Lösung wird als sogenannte „on-permise-Lösung“ bezeichnet, also ein Nutzungsmodell auf eigenen IT-Ressourcen. Der Veranstalter der Konferenz ist für die jeweilige Videokonferenz demnach auch der Verantwortliche i.S.d Art. 4 Nr. 7 Datenschutz-Grundverordnung (DS-GVO).

(2) In Abwandlung zur ersten Alternative kann sich der Verantwortliche bei dem Betrieb der Software der Serverleistung eines externen IT-Dienstleisters bedienen. Der auf diesem Wege eingesetzte Dienstleister ist ein Auftragsverarbeiter i.S.d. Art. 4 Nr. 8 DS-GVO.

(3) Schließlich besteht die Möglichkeit, dass Verantwortliche Videokonferenzsysteme über einen cloudbasierten Online-Dienst („Software-as-a-Service“) nutzen. Der Anbieter einer solchen Softwarelösung ist regelmäßig nicht als Verantwortlicher der konkreten Konferenz, sondern als Auftragsverarbeiter zu qualifizieren. Verarbeitet der Anbieter, die im Rahmen der Konferenz übermittelten Daten jedoch zu eigenen Zwecken, ist er für diese Datenverarbeitung insoweit als Verantwortlicher einzustufen.

Je nach Ausgestaltung des Einsatzes der Anwendung müssen Verantwortliche unterschiedlichen Anforderungen nach den Bestimmungen der DS-GVO nachkommen. Dies betrifft allen voran die Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO, wonach der Verantwortliche die Einhaltung der Datenschutzgrundsätze jederzeit nachweisen können muss. Erforderlich ist mithin die Anlage eines Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO. Unter Umständen kann die Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DS-GVO geboten sein. Darüber hinaus ist insbesondere bei dem Einsatz eines Auftragsverarbeiters ein Auftragsverarbeitungsvertrag gemäß Art. 28 Abs. 3 DS-GVO mit dem betroffenen Dienstleister abzuschließen.


Auf welche Rechtsgrundlage kann die Durchführung einer Videokonferenz gestützt werden?

Bei der Durchführung einer Videokonferenz handelt es sich unstreitig um eine Verarbeitung personenbezogener Daten. Zur rechtmäßigen Verarbeitung bedarf es gemäß Art. 5 Abs. 1 lit. a), Art. 6 DS-GVO einer belastbaren Rechtsgrundlage. Die konkrete Erlaubnisnorm ist in Kontext der jeweiligen Verarbeitungssituation zu bestimmen. Erfolgt die Videokonferenz über einen cloudbasierten Dienst, um beispielsweise einen Online-Kurs oder ein Seminar durchzuführen, wird die Verarbeitung regelmäßig zur Erfüllung eines Vertrages gemäß Art. 6 Abs. 1 S. 1 lit. b) DS-GVO erforderlich sein. Ebenso kommt Art. 6 Abs. 1 lit. f) DS-GVO in Betracht. Abhängig vom Einzelfall wird die Teilnehme von Mitarbeitern in vielen Fällen gemäß Art. 88 Abs. 1 DS-GVO i.V.m. § 26 Abs. 1 S. 1 BDSG zur Durchführung des Beschäftigungsverhältnisses erforderlich sein. Daneben kann ebenfalls die Einwilligung der Teilnehmer gemäß Art. 6 Abs. 1 S. 1 lit. a) DS-GVO herangezogen werden.

Außerdem sind weitere Rechtsgrundlagen zu überprüfen, wenn neben der eigentlichen Durchführung der Videokonferenz andere Verarbeitungstätigkeiten durchgeführt werden, beispielsweise die Aufzeichnung der Konferenz oder die Übermittlung personenbezogener Daten in Drittländer.


Wer muss die Datenschutzinformationen erfüllen?

Der Veranstalter einer Videokonferenz muss die Informationspflichten gemäß Art. 13 DS-GVO gegenüber allen Betroffenen erfüllen. Nicht ausreichend ist hierbei auf die Datenschutzinformationen des Diensteanbieters zu verweisen. Diese Hinweise können nicht die Informationspflichten des Verantwortlichen ersetzen. Dieser muss gegenüber den Betroffenen für seinen Verantwortungsbereich den Informationspflichten nachkommen und unter Umständen Betroffenenrechte umsetzen. Von der Informationsverpflichtung werden unter anderem Hinweise zum Verantwortlichen und gegebenenfalls zum Datenschutzbeauftragten, zu den Verarbeitungszwecken sowie zur Rechtsgrundlage für die Verarbeitung, und den berechtigten Interessen, die bei einer Verarbeitung gemäß Art. 6 Abs. 1 S. 1 lit. f) DS-GVO umfasst werden sowie der Speicherdauer. Ferner muss über die Betroffenenrechte und das Beschwerderecht bei der Aufsichtsbehörde informiert werden.

Im Rahmen der Informationspflichten ist insbesondere zu beachten, dass gemäß Art. 13 Abs. 1 lit. f) DS-GVO anzugeben ist, wenn eine Übermittlung personenbezogener Daten in ein Drittland erfolgt und ob diese Übermittlung auf einen Angemessenheitsbeschluss der EU-Kommission oder andere Garantien gestützt wird.

Möglich ist es bspw. den Teilnehmenden einer Videokonferenz im Vorfeld per E-Mail die Informationen zur Verfügung zu stellen. In Betracht gezogen werden kann auch, dass der Text auf der Organisationswebseite zur Verfügung gestellt wird und in der Konferenzeinladung eine entsprechende Verlinkung erfolgt.


Welche technischen und organisatorischen Maßnahmen müssen Verantwortliche treffen?

Der Verantwortliche muss dafür Sorge tragen, dass nach den Grundsätzen der Art. 5 Abs. 1 lit. f) DS-GVO, Art. 24, Art. 25 und Art. 32 DS-GVO geeignete technische und organisatorische Maßnahmen getroffen werden, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Mittlerweile haben sich folgende generische technische und organisatorische Maßnahmen herausgebildet (Auflistung nicht abschließend):
– Wird keine on-permise-Lösung genutzt, müssen Serverstandorte überprüft werden,
– Verschlüsselte Übertragung (Transportverschlüsselung oder ggf. Ende-zu-Ende-Verschlüsselung),
– Aufzeichnungsfunktion der Konferenz deaktivieren,
– Verhaltensüberwachung beziehungsweise Aufmerksamkeitstracking ausschalten,
– Zugangsbeschränkungen durch Login,
– Zutritt zur Konferenz regeln (beispielsweise über Warteraumfunktionen),
– Möglichkeiten zu Hintergründen und Weichzeichnern (»background blur«) aufzeigen,
– Privacy by Default (Kamera und Mikrofon deaktivieren, Freigabe durch Teilnehmer selbst ermöglichen),
– Löschung von Protokollen und Aufzeichnungen, sobald sie nicht mehr erforderlich sind,
– Datensparsame Zugangsmöglichkeiten (beispielsweise über den Browser oder per Telefon).


Welche HErausforderungen ergeben sich bei dem Einsatz von Dienstleistern in sogenannten Drittstaaten?

Herausforderungen ergeben sich außerdem bei einer mit dem Einsatz von Konferenzsystemen verbundenen Übermittlung von personenbezogenen Daten in sogenannte Drittländer, insbesondere die USA, durch beispielsweise den Einsatz eines entsprechenden Dienstleisters. Hierbei rücken – durch die Unzulässigkeitserklärung des sog. Privacy-Shields durch den Europäischen Gerichtshof – die sogenannten Standarddatenschutzklauseln als Legitimationsgrundlage in das Blickfeld der Verantwortlichen. Diese sind jedoch zur Sicherstellung geeigneter Garantien nicht ausreichend. Vielmehr bedarf es der Sicherstellung weiterer technische und organisatorischer sowie rechtlicher Maßnahmen.


Fazit

Vor der Inbetriebnahme eines entsprechenden Videokonferenzsystems müssen Verantwortliche einzelfallbezogen eine Reihe von datenschutzrechtlichen Anforderungen umsetzen. Nur so kann der rechtkonforme Einsatz gewährleistet werden.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Auftragsverarbeitung
  • Datenschutzinformation
  • Drittstaaten
  • Technische-organisatorische Maßnahmen
  • Videokonferenzen
Lesen

E-Mail-Verschlüsselung bei Berufsgeheimnisträgern

Die Kommunikation von Berufsgeheimnisträgern erfolgt heute zu einem großen Teil per E-Mail. E-Mails enthalten zusätzlich zu den Inhaltsdaten (d.h. dem Text der Mail und etwaigen Anhängen) auch Metadaten wie Absender und Empfänger, das Datum und den Betreff. Regelmäßig handelt es sich bei diesen Informationen um personenbezogene Daten gemäß Art. 4 Nr. 1 Datenschutz-Grundverordnung (DS-GVO). Der folgende Beitrag stellt eine datenschutzrechtliche Beurteilung der aktuellen Rechtslage dar.


Besteht eine (datenschutzrechtliche) Verschlüsselungspflicht?

Art. 32 DS-GVO führt diesbezüglich aus, dass für die Datenverarbeitung Verantwortliche geeignete technische und organisatorische Maßnahmen zu ergreifen haben, um ein dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessenes Schutzniveau zu gewährleisten. Nach Art. 5 Abs. 1 lit. f) DS-GVO müssen Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet.  Dies umfasst u.a. den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung durch geeignete technische und organisatorische Maßnahmen.


Welche Intensität muss die Verschlüsselung aufweisen?

Man unterscheidet bei der Verschlüsselung von E-Mails grundsätzlich zwei Wege: Die Transport- und die Inhaltsverschlüsselung.

– Transportverschlüsselung: Die E-Mail-Nachrichten werden durch einen verschlüsselten Tunnel geschickt. Jedoch liegen die E-Mails nicht nur bei Absender und Empfänger im Klartext vor, sondern auch auf dazwischenliegenden Knoten. Nachrichten können also mitgelesen werden.

– Inhaltsverschlüsselung: Hierbei wird der E-Mail-Inhalt verschlüsselt. Jedoch bleiben die sogenannten Metadaten (Absender, Betreff der Nachricht, Empfänger usw.) unverschlüsselt und damit lesbar.

Sowohl Ende-zu-Ende-Verschlüsselung als auch Transportverschlüsselung mindern für ihren jeweiligen Anwendungszweck Risiken für die Vertraulichkeit der übertragenen Nachrichten. Der Einsatz von Transportverschlüsselung bietet einen Basis-Schutz und stellt eine Mindestmaßnahme zur Erfüllung der gesetzlichen Anforderungen dar. In Verarbeitungssituationen mit normalen Risiken wird dabei bereits durch die Transportverschlüsselung eine ausreichende Risikominderung erreicht.[1] TLS („Transport Layer Security“) ist das Standardprotokoll für die Transportverschlüsselung und wird von den namenhaften europäischen Providern standardmäßig angeboten.

Einen deutlich weitergehenden Schutz der Vertraulichkeit der Inhaltsdaten erreichen Sie durch eine Ende-zu-Ende-Verschlüsselung, wofür derzeit die Internet-Standards S/MIME (RFC 5751) und OpenPGP (RFC4880) i.d.R. in Verbindung mit PGP/MIME (RFC 3156) zur Verfügung stehen. Technologien wie S/MIME oder PGP fehlt es nach wie vor am fehlenden Vernetzungseffekt.

Eine Lösung in der Breite kann vermutlich die sog. qualifizierte Transportverschlüsselung darstellen. E-Mails werden nach der vollautomatischen Verifizierung des Empfänger-Servers über eine sichere TLS-Verschlüsselung übertragen. Hierbei wird zunächst die IP-Adresse eines Empfänger-Systems fälschungssicher abgerufen. Anschließend erfolgt eine TLS-Zertifikatsprüfung des Servers und schließlich wird eine verschlüsselte Übertragung nur dann vorgenommen, wenn die vom BSI erlaubten Algorithmen, Chiffren und Schlüssellängen verwendet werden. In vielen Fällen ist die qualifizierte Transportverschlüsselung durch eine Erweiterung des E-Mail-Systems durch ein sog. Add-on möglich.

Grundsätzlich sollten E-Mails mit personenbezogenen Daten, sofern diese nicht pseudonymisiert werden, mindestens mit einer „Transportverschlüsselung“ versendet werden. Es ist jedoch zu berücksichtigen, dass bei einer Transportverschlüsselung die E-Mails auf den E-Mail-Servern im Klartext vorliegen und grundsätzlich einsehbar sind. Bei besonders schützenswerten Daten (z.B. Kontobewegungsdaten, Finanzierungsdaten, Daten zum Gesundheitszustand, Mandantendaten von Rechtsanwälten und Steuerberatern, Beschäftigtendaten) ist eine alleinige Transportverschlüsselung möglicherweise nicht ausreichend. Bei besonders sensiblen Daten sollte daher eine Inhaltsverschlüsselung das Mittel der Wahl darstellen. Sollte dies nicht gewährleistet werden können, sind ggf. alternative Übertragungswege denkbar.[2]

Entsprechende Alternativen können serverseitige Verschlüsselungslösungen, sog. E-Mail-Gateways, darstellen. Bei einem Secure E-Mail-Gateway laufen im Gegensatz zur Ende-zu-Ende-Verschlüsselung sämtliche kryptografischen Vorgänge, etwa das Verschlüsseln und Signieren von Inhalten, über ein dediziertes E-Mail-Gateway. Das Gateway wird an zentraler Stelle des Unternehmensnetzwerks implementiert und wahlweise als Aufsatz für einen bereits vorhandenen E-Mail-Server oder als eigenständiger Server eingesetzt. Weitere Alternativen können der elektronische Austausch über eine gesicherte Verbindung (Web-Portal des Verantwortlichen mit Zugangsbeschränkungen) oder die klassische postalische Zusendung darstellen.


Worauf muss noch geachtet werden?

Weitere relevante Kriterien sind zum einen Schnittstellen zu weiterer Sicherheitssoftware (bspw. Virenscanner, Firewall) sowie die E-Mail-Archivierung. Um die E-Mails gesetzeskonform identifizieren zu können, sollte das Archivsystem auf die E-Mail-Inhalte im Klartext zugreifen können.


Ist ein Verzicht auf die E-Mail-Verschlüsselung möglich?

Ein Unterschreiten der genannten Sicherheitsanforderungen ist datenschutzrechtlich hinnehmbar, sofern eine freiwillige und informierte Einwilligung der betroffenen Person in eine unverschlüsselte E-Mail-Kommunikation vorliegt. Dies bedeutet unter anderem, dass der Berufsgeheimnisträger eine Verschlüsselung der E-Mail-Kommunikation angeboten haben muss.

Maßstab für die Anforderungen an eine derartige Einwilligung ist Art. 7 DS-GVO. Der Berufsgeheimnisträger hat hiernach nachzuweisen, dass die betroffene Person in Kenntnis aller Risiken durch entsprechende Aufklärung sein Einverständnis erteilt hat, unverschlüsselt zu kommunizieren. Zu Bedenken ist, dass eine solche Einwilligung der betroffenen Person, mit der ein direkter E-Mail-Kontakt besteht, allein nicht ausreichend ist, sofern auch personenbezogene Daten eines Dritten kommuniziert werden.

Von einer informierten Einwilligung ist nicht auszugehen, wenn die betroffene Person, etwa ein Mandant, die unverschlüsselte E-Mail-Kommunikation beginnt. Die Einholung einer pauschalen Einwilligung im Rahmen des der Rechtsbeziehung zugrundeliegenden allgemeinen Vertragswerkes (z.B. Mandatsvereinbarung, Behandlungsvertrag) dürfte problematisch sein, wenn diese mit der entsprechenden Aufklärung zusammen nicht besonders hervorgehoben ist.


Fazit

In der Konsequenz müssen Verantwortliche i.S.d Art. 4 Nr. 7 DS-GVO – also auch Berufsgeheimnisträger unabhängig von ihrer Organisationsform – daher E-Mail-Kommunikation, die personenbezogene Daten enthält, dem Stand der Technik entsprechend datensicher organisieren, um sich keines Verstoßes gegen die genannten Normen vorwerfen lassen zu müssen.

[1] Orientierungshilfe der Datenschutzkonferenz zu „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail vom 13. Mai 2020.

[2] So die Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen und der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz in entsprechenden Pressemitteilungen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Art. 32 DS-GVO
  • Berufsgeheimnisträger
  • E-Mail-Verschlüsselung
  • Einwilligung
  • Sicherheit der Verarbeitung
Lesen

Emotet – Aktuelle Informationen

Die bekannteste Schadsoftware-Familie Emotet breitet sich erneut rasant aus. Mehr als 27.800 Varianten wurden durch Experten von GDATA im ersten Halbjahr 2020 bisher identifiziert. Durch die neuste Version wird dem Nutzer suggeriert, dass für die Nutzung von Microsoft Word ein Upgrade notwendig sei, damit die Inhalte einer Datei aufgerufen werden können. Die Nachrichten nutzen Social Engineering, um Nutzer davon zu überzeugen, den Dateianhang zu öffnen. Anknüpfungspunkte sind beispielsweise Rechnungen, Versandinformationen, Lebensläufe, Details zu einer Bestellung oder wichtige Informationen zur COVID-19-Pandemie. Insbesondere das aktuelle Infektionsgeschehen rund um die COVID-19-Pandemie wird immer wieder als Aufhänger genutzt (bspw. über Bereitstellung von Schutzmasken, Beantragung von Krediten und Förderungen sowie Empfehlungen und Ratschlägen der WHO oder des Bundesministeriums für Gesundheit).


Was ist Emotet?

Bei Emotet handelt es sich um eine Schadsoftware, die ursprünglich als Trojaner zur Manipulation von Online-Banking-Transaktionen entwickelt wurde. Mittlerweile hat sich der Virus jedoch als eine Art Allzweckwaffe der Cyberkriminellen etabliert. Der Grund hierfür ist eine einzigartige Flexibilität und Funktionalität des Schädlings. Emotet fungiert in vielen Fällen lediglich als „Türöffner“. Es handelt sich um einen sog. Maleware-Distributor. Die Gefahr durch Emotet liegt außerdem darin, dass bei einer Infektion neben den E-Mail-Kontakten des Nutzers auch Kommunikationsinhalte ausgelesen werden.


Wie funktioniert Emotet?

Der Trojaner ist in der Lage, authentisch aussehende E-Mails zu verschicken. Emotet erlangt die entsprechendenInformationen durch das Auslesen von Kontaktbeziehungen und E-Mail-Inhalten aus den Postfächern infizierter Systeme. Diese Informationen nutzen die Täter zur weiteren Verbreitung des jeweiligen Schadprogramms. Es werden gezielt E-Mails verschickt, die scheinbar von bereits bekannten Kontakten kommen und oft auch Auszüge aus einer früheren Kommunikation enthalten. Aufgrund der korrekten Angabe der Namen und E-Mail-Adressen von Absender und Empfänger in Betreff, Anrede und Signatur wirken diese Nachrichten authentisch. Sprachlich weisen die E-Mails kaum noch Fehler in Rechtsschreibung oder Grammatik auf. Dies verleitet zum unbedachten Öffnen des infizierten Dateianhangs oder der in der Nachricht enthaltenen Links.

Ist das System erst einmal infiziert, lädt Emotet weitere Schadsoftware nach, wie zum Beispiel den Banking-Trojaner Trickbot. Es kann aber grundsätzlich jede Art von Malware entalten sein, welche Zugangsdaten ausspäht und den Cyberkriminellen einen Zugriff auf die IT-Infrastruktur gewährt. Emotet durchsucht das Adressbuch und Kommunikationen seiner Opfer und verbreitet sich im Anhang von vermeintlich authentischen E-Mails im Schneeballsystem immer weiter. Außerdem wird eine Verbreitung im gesamten Netzwerk des Opfers möglich. Die Schadprogramme führen zu einem Datenabfluss oder ermöglichen durch Verschlüsselung die vollständige Kontrolle über das System. Bei Verschlüsselung folgt meist eine Lösegeldforderung zur Wiederherstellung der Dateien.


Wie kann man sich schützen?

Neben allgemein erforderlichen technischen und organisatorischen Maßnahmen wie bspw. Installation von Sicherheitsupdates für Betriebssystem und Anwendungsprogramme (Web-Browser, E-Mail-Clients, Office-Anwendungen usw.), regelmäßige Backups und Einschränkungen von administrativen Benutzer-Rechten kann der bedeutsamste Schutz durch das Deaktivieren von Makros in Office-Anwendungen erreicht werden. Setzen Sie zudem eine Antiviren-Software ein und aktualisieren Sie diese immer wieder. Viele Infektionsfälle betreffen E-Mails mit angehängten .doc-Dateien, also veralteten Word-Versionen. Es empfiehlt sich, derartige Anhänge generell abzuweisen.

Ein Erkennungsmerkmal ist, dass im Absenderfeld der Name nicht zur angezeigten E-Mail-Adresse passt. Auffallend sind zudem ein sehr kurzer Text sowie Dateianhänge oder eingefügte Links mit der Aufforderung, diese zu öffnen. Die Schadsoftware verbirgt sich dann entweder im angehängten Dokument oder auf der verlinkten Website. Öffnen Sie auch bei vermeintlich bekannten Absendern nur mit Vorsicht Dateianhänge von E-Mails (insbesondere Office-Dokumente) und prüfen Sie in den Nachrichten enthaltene Links, bevor sie diese anklicken. Links und Anhänge sollten keinesfalls sorglos geöffnet werden. Eine entsprechende Sensibilisierung der Beschäftigten ist daher in jedem Fall ratsam, da der wohl entscheidendste Sicherheitsfaktor der Mensch bleibt. Wird im eigenen Posteingang eine verdächtige Nachricht eines bekannten Absenders erkannt, sollte der angegebene Absender informiert werden.


Was ist bei einer Infizierung zu tun?

Informieren Sie Ihr Umfeld – und zuerst die IT – über die Infektion, denn Ihre E-Mailkontakte sind in diesem Fall besonders gefährdet. Die Schäden können sowohl wirtschaftlich als auch datenschutzrechtlich immens sein. Die Folge einer Infektion durch Emotet ist häufig ein großflächiger oder nahezu vollständiger Ausfall der IT-Infrastruktur. Aus diesen Gründen sollten in jedem Fall die betroffenen Rechner von Netzwerk isoliert werden. Anschließend müssen alle Schadkomponenten entfernt werden. Alle bei dem betroffenen System genutzten Zugangsdaten sind im Regelfall zu ändern, da diese abgegriffen werden konnten.


Ist eine Meldung an die Aufsichtsbehörde und eine Information der Betroffenen erforderlich?
(Art. 33, 34 DS-GVO)

Sollte es zu einer Infektion durch Emotet kommen, liegt eine Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DS-GVO, weshalb eine ist eine Meldung an die zuständige Datenschutzaufsichtsbehörde gemäß Art. 33 DS-GVO verpflichtend ist.

Eine Information an das betriebliche Umfeld ist schon deshalb sinnvoll, da nur so eine Ausbreitung von Emotet gestoppt werden kann. Bestehende Kontakte bzw. Kommunikationspartner werden mit hoher Wahrscheinlichkeit auf Grund der abgegriffenen Daten attackiert. Durch eine entsprechende Information besteht die Chance, dass eine Vorbereitung auf einen personalisierten Angriff ermöglicht wird. Datenschutzrechtlich besteht gemäß Art. 34 DS-GVO sogar eine Verpflichtung zur Benachrichtigung der Betroffenen, falls ein hohes Risiko für diese vorliegt – bei einer Emotet-Infektion ist davon auszugehen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Datenschutzverletzung
  • Emotet
  • Informationssicherheit
  • IT-Sicherheit
  • Schadsoftware
Lesen

Äußerung der Datenschutzkonferenz zu MS Office 365

Durch eine am 02. Oktober 2020 herausgegebene Pressemitteilung wurde bekannt, dass die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, kurz: DSK) die Bewertung ihres Arbeitskreises Verwaltung zur Auftragsverarbeitung bei Microsoft Office 365 vom 15. Juli 2020 mehrheitlich zustimmend zur Kenntnis genommen hat. Die Entscheidung der Datenschutzkonferenz erging mit einer knappen Mehrheit von neun Stimmen bei acht Gegenstimmen. Gegen die uneingeschränkte Zustimmung sprachen sich unter anderem die Landesbeauftragten für den Datenschutz Baden-Württemberg, Bayern, Hessen und im Saarland sowie der Präsident des Bayerischen Landesamts für Datenschutzaufsicht aus, das für die Microsoft Deutschland GmbH zuständig ist.


Was Wurde Geprüft?

Der Arbeitskreis hatte „die dem Einsatz des Produktes Microsoft Office 365 zu Grunde liegenden Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft Onlinedienste (Data Processing Addendum / DPA) – jeweils Stand: Januar 2020“ geprüft und hinsichtlich der Erfüllung der Anforderungen von Art. 28 Abs. 3 Datenschutz-Grundverordnung (DS-GVO) bewertet. Im Einzelnen:

(1) Zunächst kritisiert der Beschluss die fehlende Beschreibung von Art und Zweck der Verarbeitung – selbst wenn es unter der Berücksichtigung des Dienstes MS Office 365 als cloudspezifischer Dienst sachdienlich sein kann, beide Kategorien verallgemeinert darzustellen – insbesondere wenn es um die Verarbeitung besonderer personenbezogener Daten im Sinne von Art. 9 DS-GVO geht. Es soll hierbei der Abstraktionsgrad auf Seiten von Microsoft verringert werden.

(2) Weiterhin merkt der Arbeitskreis an, dass innerhalb der Datenschutzbestimmungen für Microsoft Online-Dienste zwar darauf verwiesen wird, dass Microsoft als ein unabhängiger Verantwortlicher anzusehen ist, soweit personenbezogene Daten im Zusammenhang mit den legitimen Geschäftszwecken von Microsoft verarbeitet werden. Jedoch geht aus den Bestimmungen nicht eindeutig hervor, welche personenbezogenen Daten in diesem Rahmen verarbeitet werden. Zudem liegt für die Übermittlung weiterer personenbezogener Daten vom Verantwortlichen an Microsoft, z.B. im Rahmen der Telemetriedaten, neben dem Auftragsverarbeitungsvertrag keine weitere belastbare Rechtsgrundlage vor. Die ist insbesondere für öffentliche Stellen problematisch, da diese sich gemäß Art. 6 Abs. 1 S. 2 DS-GVO in der Erfüllung ihrer Aufgaben vorgenommenen Verarbeitungen nicht auf ein etwaiges berechtigtes Interesse im Sinne des Art. 6 Abs. 1 S. 1 lit. f) DS-GVO berufen können.

(3) Ferner kritisiert der Arbeitskreis, dass Microsoft Daten offenlegen muss, wenn die Datenschutzbestimmungen es vorsehen oder dies gesetzlich vorgeschrieben ist. Insbesondere wird hierbei auf den sogenannten Cloud-Act verwiesen, dem Microsoft als US-Dienstleister unterliegt.

(4) Gerügt wird außerdem, dass seitens Microsoft keine ausreichende Darstellung erfolgt, welche dem Risiko angemessenen Maßnahmen der angebotene Onlinedienst für die Verarbeitung von personenbezogenen Daten bietet. Die derzeitige Darstellung zu den technischen und organisatorischen Maßnahmen allein reiche nicht aus, um eine objektive Einschätzung zu treffen, ob die Maßnahmen dem Risiko angemessen sind.

(5) Außerdem wird angemerkt, dass durch Microsoft Daten, die zu eigenen Zwecken verarbeitet werden, nicht gelöscht werden.

(6) Schließlich wird eine fehlende Transparenz hinsichtlich des Einsatzes von Unterauftragnehmern kritisiert. Diesbezüglich soll Microsoft in Zukunft proaktiv Mechanismen zur Benachrichtigung der Kunden treffen.


Was wurde nicht geprüft?

Microsoft hat seine OST sowie seine DPA seit Januar 2020 bereits mehrfach überarbeitet und angepasst. Hierbei wurden Änderungen in den Verträgen und auch in den Dokumentationen vorgenommen. Die Prüfung des Arbeitskreises beruht nicht auf den aktualisierten Dokumenten. Es erfolgt keine differenzierte Betrachtung einzelner Produkte. Microsoft Office 365 ist vielmehr ein Oberbegriff für eine ganze Produktgruppe, welche strenggenommen in Office 365 und Microsoft 365 zu unterteilen sind. Innerhalb der Produktgruppen gibt es zudem zahlreiche Produkte, Lizenzen und Konfigurationsmöglichkeiten. Keine Berücksichtigung fand ferner das Urteil des Europäischen Gerichtshofes (EuGH) vom 16. Juli 2020 in der Rechtssache C-311/18 (Schrems II).


Welche Auswirkungen hat der Beschluss für die Praxis?

Festzuhalten bleibt, dass nicht alle Aufsichtsbehörden der DSK der datenschutzrechtlichen Bewertung des Arbeitskreises folgen. Die Datenschutzaufsichtsbehörden Baden-Württembergs, Bayerns, Hessens und des Saarlands stellen klar, dass auch sie bei Microsoft Office 365 erhebliche datenschutzrechtliche Verbesserungspotenziale sehen, gerade auch mit Blick auf die jüngste Entscheidung des EuGH zu internationalen Datentransfers. Sie unterstützen im Grundsatz die Zielsetzungen des Arbeitskreises, soweit er Ansatzpunkte für datenschutzrechtliche Verbesserungen des Produkts Microsoft Office 365 formuliert. Seine Gesamtbewertung können sie allerdings schon deshalb nicht teilen, weil sie zu undifferenziert ausfällt. Die genannten Aufsichtsbehörden sehen die Bewertung des Arbeitskreises Verwaltung vom 15. Juli 2020 zwar als relevante Arbeitsgrundlage, aber noch nicht als entscheidungsreif an. Das gilt umso mehr, als bislang noch keine förmliche Anhörung von Microsoft zu den Bewertungen des Arbeitskreises Verwaltung erfolgt ist.

Ziel des Beschlusses war es, dass eine Grundlage geschaffen wird, auf deren Basis in den Dialog mit Microsoft getreten werden kann. Diese Gespräche sollen federführend durch den Landesbeauftragten für den Datenschutz Brandenburg und das Bayerischen Landesamts für Datenschutzaufsicht zeitnah aufgenommen werden.

Die größte Herausforderung seitens Microsoft dürfte die Anpassung hinsichtlich der Offenlegung z.B. gegenüber Strafverfolgungsbehörden (beispielsweise aufgrund des Cloud-Act) sein. Microsoft selbst setzt bereits vor dem Urteil des EuGH auf die sogenannten EU-Standardvertragsklauseln. Jedoch kann auch so ein Zugriff durch US-Behörden nicht ausgeschlossen werden. Ein Problem, welches jedoch nahezu alle US-Dienstleister gleichermaßen betrifft. Abzuwarten bleibt hier die Entwicklung hinsichtlich der Wirksamkeit der Standardvertragsklauseln.

Aufgrund der vorangestellten Ausführungen sind derzeit wohl keine konkreten Maßnahmen seitens der Aufsichtsbehörden aufgrund des Dokumentes des Arbeitskreises zu erwarten. Vielmehr geht die DSK selbst davon aus, dass eben jenes Dokument zunächst eine Gesprächsgrundlage mit Microsoft bilden kann. Organisationen in der Praxis sollten in aller erster Linie Ruhe bewahren und keine voreiligen Entscheidungen treffen. Vielmehr sollte mit größter Sorgfalt die weitere Entwicklung beobachtet werden. Deutlich wird jedoch, dass ohne jegliche Konfiguration Produkte aus den Gruppen Office 365 und Microsoft 365 nicht datenschutzkonform genutzt werden können.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Auftragsverarbeitung
  • Datenschutzkonferenz
  • Microsoft
  • Office 365
  • Standardvertragsklauseln
  • USA
Lesen

Löschpflicht vs. Aufbewahrungsfrist

Im Rahmen der datenschutzrechtlichen Beratung stellt die rechtskonforme Aufbewahrung und Vernichtung personenbezogener Unterlagen einen zentralen Themenkomplex dar. Grundsätzlich darf eine Verarbeitung (dementsprechend auch die Aufbewahrung) nur so lange erfolgen, wie es für die Zwecke der Datenverarbeitung zwingend erforderlich ist. Dies gilt jedoch nicht ausnahmslos. Der folgende Beitrag soll kurz das Verhältnis der Löschpflicht zu gesetzlichen Aufbewahrungsfristen darstellen und Umsetzungstipps an die Hand geben.


Das Verhältnis von Löschpflichten zu Aufbewahrungsfristen

Personenbezogene Daten müssen entsprechend des Art. 17 DS-GVO insbesondere dann gelöscht werden, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Dementsprechend entscheidet der konkrete Zweck einer Datenverarbeitung maßgeblich über die maximal zulässige Speicherdauer personenbezogener Daten. Unter Zugrundelegung des Zwecks ist nach dem Grundsatz der Speicherbegrenzung des Art. 5 Abs.1 lit. e DS-GVO eine Löschung zum frühestmöglichen Zeitpunkt vorzunehmen. Dabei darf keine Möglichkeit mehr existieren, auf die Daten ohne unverhältnismäßigen Aufwand zuzugreifen oder diese wiederherzustellen. Als Orientierung dient hierbei beispielsweise DIN 66399.

Ausnahmen bestehen dann, wenn der Löschpflicht gesetzliche Aufbewahrungsfristen entgegenstehen. So ergeben sich beispielsweise aus § 147 AO oder § 257 HGB Aufbewahrungsfristen für Geschäftsunterlagen von sechs bzw. zehn Jahren. Weitere spezialgesetzliche Ausnahmen lassen sich unter anderem im Banken- und Versicherungsgesetz, Aktiengesetz, Produkthaftungsgesetz oder auch im Bürgerlichen Gesetzbuch finden. Grundsätzlich gilt hierbei: Spezialgesetzliche Aufbewahrungsfristen gehen stets den datenschutzrechtlichen Löschpflichten vor. Dementsprechend dürfen personenbezogene Daten nicht gelöscht werden, sofern derartige Aufbewahrungsfristen bestehen. Bei der Aufbewahrung sind die datenschutzrechtlichen Grundsätze, insbesondere durch die Festlegung von Zutritts- und Zugriffsberechtigungen, einzuhalten.

Von einer Löschung kann ebenfalls – zumindest vorübergehend – abgesehen werden, wenn eine Aufbewahrung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen notwendig ist. Weitere Ausnahmen bestehen, sofern die Löschung personenbezogener Daten die Verwirklichung im öffentlichen Interesse liegender Archivzwecke, wissenschaftlicher oder historischer Forschungszwecke sowie statistischer Zwecke ernsthaft beein-trächtigen oder unmöglich machen würde. Bei öffentlichen Stellen ist zudem eine Anbietungspflicht an die Landesarchive zu prüfen. Beinhalten Unterlagen keinerlei personenbezogene Daten, können diese ohne datenschutzrechtliche Vorgaben allein nach unternehmerischen Kriterien (Nutzen / Aufwand) aufbewahrt bzw. archiviert werden.


Die Archivierung aufbewahrungspflichtiger Unterlagen

Unterlagen, welche für den laufenden Geschäftsbetrieb nicht mehr benötigt werden, sind getrennt von den Unterlagen des laufenden Geschäftsbetriebes aufzubewahren. Dabei ist eine Aufbewahrung im Original nicht immer zwingend erforderlich. Die Aufbewahrungspflicht im Original besteht lediglich für Eröffnungsbilanzen, Jahresabschlüsse sowie Konzernabschlüsse. Alle anderen Unterlagen können auch als Wiedergabe auf einem Bild- oder Datenträger aufbewahrt werden, solange dies den Grundsätzen ordnungsgemäßer Buchführung entspricht. Dabei muss jedoch eine jederzeitige Verfügbarkeit, unverzügliche Lesbarkeit sowie eine maschinelle Auswertbarkeit gewährleistet werden. Werden diese Anforderungen erfüllt, können die Originalunterlagen vernichtet werden, wenn dem keine Sondervorschriften entgegenstehen.

Nach dem Ablauf der gesetzlichen Aufbewahrungsfristen sind auch die archivierten Unterlagen datenschutzgerecht zu vernichten. Etwas anderes kann sich im Einzelfall ergeben, wenn die verantwortliche Stelle eine darüber hinausgehende Aufbewahrungsbedürftigkeit hinreichend darlegen kann. Diese ist jedoch entsprechend zu dokumentieren.

Der Kreis der Zugriffsberechtigten ist für die archivierten Unterlagen auf einige wenige Beschäftigte einzuschränken. Die Festlegung der zugriffsberechtigten Mitarbeiter kann zum Beispiel mittels eines Archivierungskonzeptes erfolgen.


Das Archivierungskonzept

Damit unternehmensübergreifend eine geeignete Archivierung gewährleistet werden kann, empfiehlt sich die Erstellung und Etablierung eines internen Archivierungskonzeptes. Darin werden unter anderem unternehmensrelevante Aufbewahrungsfristen, die technische und organisatorische Umsetzung des Archivsystems sowie diesbezügliche Schulungen der Beschäftigten festgelegt. Bei der Umsetzung eines Archivierungskonzeptes innerhalb Ihrer Organisation steht Ihnen Ihr Datenschutzbeauftragter oder das Dresdner Institut für Datenschutz gern beratend zur Seite.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen.

    Tags:
  • Archivierung
  • Aufbewahrungsfrist
  • Datenschutz
  • DS-GVO
  • Konzept
  • Löschpflicht
Lesen

In der Sackgasse: Internationaler Datenschutz mit der DS-GVO

Zunächst ein warnender Hinweis: Es folgen einige grundsätzliche Gedanken zum Konzept der Datenschutz-Grundverordnung (DS-GVO) für den internationalen Datenschutz. Wer Praxis-Tipps sucht, kann diesen Blog-Beitrag also überspringen – Sie finden unsere Vorschläge zum bestmöglichen Umgang mit der Situation in unserem Beitrag vom 17. August 2020.

Die Entscheidung des Europäischen Gerichtshofs gegen den Privacy Shield (Urteil vom 16.07.2020, Az.: C-311/18, „Schrems II“) wird momentan (auch von uns) wegen der kurzfristigen Folgen für die Datenschutz-Praxis untersucht und diskutiert. Sie gibt aber ebenso Anlass, das Konzept der DS-GVO für den internationalen Datenschutz einmal grundsätzlich zu prüfen.

Ergebnis vorab: Für die Übermittlung personenbezogener Daten in Drittstaaten (Staaten außerhalb des Europäischen Wirtschaftsraums / EWR) stellt die DS-GVO Anforderungen, die in der Praxis nicht erfüllbar sind. Notwendig und wünschenswert ist ein vollständig neues Regelungskonzept, dass auch mit Änderungen des Textes der DS-GVO verbunden wäre. Leider wird in absehbarer Zeit sicher nichts dergleichen in Angriff genommen. Es fehlt schon an einer öffentlichen Diskussion des Problems. So schweigt zum Beispiel auch der Evaluierungsbericht der EU-Kommission vom Juni zu diesem Thema. Im Einzelnen:


Datenübermittlungen in andere Staaten

Die DS-GVO regelt den Datenschutz in der gesamten Europäischen Union (darüber hinaus auch in den EWR-Staaten) einheitlich. Bei Datenübermittlungen innerhalb der EU (also auch aus einem Mitgliedstaat in einen anderen Mitgliedstaat) gelten keine zusätzlichen Anforderungen. Der Datenaustausch von Akteuren in verschiedenen Mitgliedstaaten wird behandelt wie der Datenaustausch innerhalb ein und desselben EU-Staats. Etwas ganz anderes gilt bei Datenübermittlungen an einen Verantwortlichen oder Auftragsverarbeiter außerhalb des EWR: Zusätzlich zu den allgemeinen Anforderungen – vor allem: Rechtsgrundlage für den konkreten Datentransfer und datenschutzkonforme Ausgestaltung – verlangt die DS-GVO entweder einen Angemessenheitsbeschluss der Kommission für den Zielstaat (Art. 45 Abs. 3), geeignete Garantien für ein angemessenes Datenschutzniveau im Zielstaat (Art. 46) oder die Voraussetzungen für eine der Ausnahmeregelungen in Art. 49.


Ausnahmeregelungen des Art. 49 DS-GVO

Art. 49 regelt ausdrücklich „Ausnahmen“. In den Normalfällen nach Art. 45 Abs. 3 und Art. 46 wird verlangt, dass der Datenempfänger im Drittstaat ein „angemessenes Datenschutzniveau“ gewährleistet. Wenn anfangs vielleicht noch zu diesem Begriff verschiedene Vorstellungen existierten, hat der Europäische Gerichtshof (als letztzuständige Institution für die Auslegung des EU-Rechts) in den Entscheidungen Safe Harbour und Privacy Shield eindeutig geklärt: „Angemessenes Datenschutzniveau“ bei einem Datenempfänger bedeutet, dass dort eine Behandlung der Daten nach den Vorschriften der DSGVO garantiert werden muss. Mit anderen Worten: Die DS-GVO-Pflichten werden auf den ausländischen Datenempfänger „projiziert“; nur wenn der Empfänger diese Pflichten erfüllen wird, darf der Verantwortliche die Daten aus der EU übermitteln.

Ein großes Problem: Jeder Akteur in jedem Staat auf dieser Erde – gleichgültig, ob Unternehmen in Brasilien oder Behörden in Indonesien – unterliegt den jeweiligen nationalen Gesetzen. Vereinfacht und auf den Punkt gebracht: Wenn die nationalen Gesetze in einem Drittstaat nicht vollständig den Datenschutzregeln der DS-GVO entsprechen, kann eine Person oder ein Unternehmen in diesem Drittstaat die Einhaltung der Regelungen der DS-GVO auch nicht gewährleisten. Diese – eigentlich offensichtliche – Tatsache wurde bei Ausgestaltung der „Regelfälle“ in Art. 45 Abs. 3 und Art. 46 DSGVO völlig übersehen:


Angemessenheitsbeschluss der Kommission

Art. 45 DSGVO sieht vor, dass die EU-Kommission unter anderem Drittstaaten durch Beschluss ein angemessenes Datenschutzniveau attestieren kann (Eine Liste der bisherigen Angemessenheitsbeschlüsse finden Sie hier). Auf dieser Grundlage bzw. der Vorgänger-Richtlinie (RL 95/46/EG) erließ die Kommission auch die Beschlüsse zu Safe Harbour und Privacy Shield. In beiden Fällen entschied der EuGH, die Kommission habe das Datenschutzniveau falsch (nämlich zu günstig) beurteilt. Dies wurde u.a. damit begründet, dass weder Safe Harbour noch Privacy Shield gegen einen Datenzugriff US-amerikanischer Sicherheitsbehörden bei dem jeweiligen Datenempfänger in den USA schützen können.

Es liegt auf der Hand, dass die Kommission eigentlich sofort ihren Angemessenheitsbeschluss betreffend Kanada aufheben müsste. Darin hatte sie ausdrücklich nur für den nicht-öffentlichen Bereich Kanadas (hauptsächlich die dortigen Wirtschaftsunternehmen) ein angemessenes Datenschutzniveau bestätigt. Kanadische Behörden gewährleisten in den Augen der EU keinen ausreichenden Datenschutz (u.a. wegen Einbindung der dortigen Geheimdienste in die von Edward Snowden veröffentlichte massenhafte E-Mail-Auswertung). Die Kommissions-Entscheidung zu Kanada beruht offenbar auf der vom EuGH nun eindeutig abgelehnten Ansicht, Unternehmen eines Staates könnten auch dann angemessenen Datenschutz gewährleisten, wenn nach den dort geltenden staatlichen Gesetzen die Sicherheitsbehörden DS-GVO-widrige Datenverarbeitungen durchführen dürfen.

Ob die anderen Angemessenheitsentscheidungen (u.a. zugunsten Israels) unter diesem Aspekt einer Überprüfung Stand halten würden, mag dahinstehen. Viel wichtiger ist: Für gerade einmal zwölf Staaten hat die Kommission ein gleichwertiges Datenschutzniveau anerkannt; davon besitzen nur sechs eine wirtschaftlich nennenswerte Bedeutung. Für den „ganz normalen“ und notwendigen weltweiten Datenaustausch bietet Art. 45 DS-GVO somit keine Grundlage.


Vereinbarungen zwischen Akteuren

Damit bleibt der Blick auf die in Art. 46 DS-GVO gelisteten Wege. Diese bestehen durchweg in Vereinbarungen zwischen den beteiligten Unternehmen, Behörden etc. oder Selbstverpflichtungen der beteiligten Akteure. Ohne, dass man auf die einzelnen Varianten speziell eingehen müsste (z.B. Binding Corporate Rules, Standardvertragsklauseln, Verhaltensregeln) ist spätestens mit den EuGH-Entscheidungen zu Safe Harbour und Privacy Shield klar: Ein „angemessenes Datenschutzniveau“ setzt nach Auffassung des EuGH stets voraus, dass die beteiligten Akteure auch im Stande sind, ihre Vereinbarungen, Selbstverpflichtungen etc. im jeweiligen Drittstaat einzuhalten. Wenn sie nach dort geltenden Gesetzen oder nach den dortigen Machtverhältnissen gar nicht im Stande sind, die auf dem Papier gegebene Zusagen zu erfüllen, dann bewirken die Datenschutzpapiere (natürlich) auch kein „angemessenes Datenschutzniveau“.

Besonders deutlich wird das Dilemma am Beispiel der Sicherheitsbehörden / Geheimdienste: Für die Datenverarbeitung durch Sicherheitsbehörden der EU-Staaten enthält Art. 2 Abs. 2 DSGVO Ausnahmeregelungen. Sie werden also nicht an den Vorschriften der DS-GVO gemessen. Diese Ausnahmen gelten aber nur für EU-Behörden. Mit anderen Worten: Geheimdienste von Drittstaaten müssen die DS-GVO-Vorgaben einhalten, damit diesen Drittstaaten ein angemessenes Datenschutzniveau zugesprochen wird (so auch die Sichtweise des EuGH). Beim Brexit könnte sich dies auswirken: Solange Großbritannien EU-Mitglied war, benötigten Datenübermittlungen in das Vereinigte Königreich keine zusätzliche Prüfung. Wenn nach Jahresende die Übergangsregelungen ohne Ersatz auslaufen sollten („harter Brexit“), könnte ein „angemessenes Datenschutzniveau“ im Vereinigten Königreich mit Hinweis auf die Tätigkeit der britischen Geheimdienste verneint werden.


Fazit

Das Modell der DS-GVO für den internationalen Datentransfer ist schlicht nicht praxistauglich. Auf EU-Ebene gibt es jedoch keine Anzeichen für ein grundsätzliches Problembewusstsein und Änderungsbereitschaft. Vernünftige Regelungen sind nicht in Sicht. Denkbar wären verschiedene Lösungen – dazu in einem späteren Beitrag mehr; dieser ist bereits viel zu lang geraten.

    Tags:
  • Datenübermittlungen
  • EU-US-Privacy Shield
  • EuGH
  • Internationaler Datenschutz
  • Kommentar
  • Schrems II
Lesen

Datenschutz im Berufsalltag

Es gibt kaum noch Bereiche, in denen personenbezogene Daten nicht regelmäßig verarbeitet werden. Ein bedachter und verantwortungsvoller Umgang hilft, die Gefahr von Datenschutzverletzungen auf ein Minimum zu reduzieren. Im Folgenden finden Sie einige Anregungen für einen datenschutzkonformen Umgang, welche an dieser Stelle unter Berücksichtigung der häufigsten Datenschutzverletzungen am Arbeitsplatz zusammengefasst wurden.


Sichern Sie Ihren Arbeitsplatz vor Zugriffen Dritter

Beim Verlassen des Arbeitsplatzes dürfen keine Dokumente und Dateien mit personenbezogenen Daten offenliegend zurückgelassen werden. Sichern Sie aus diesem Grund die verwendeten Endgeräte per passwortgeschützten Sperrbildschirm, schließen Sie geöffnete Akten und verwahren Sie diese nach Möglichkeit in verschließbaren Aktenschränken. Bei einer längeren Abwesenheitszeit sind zudem die Büroräume zu verschließen. Dabei sollten die verwendeten Schlüssel keine näheren Bezeichnungen enthalten, die im Falle eines Verlustes Rückschlüsse auf die Zugehörigkeit zulassen. Geben Sie zudem unter keinen Umständen personengebundene Schlüssel oder Passwörter weiter.


Schützen Sie Personenbezogene Daten vor neugierigen Blicken

Zum Schutz vor neugierigen Blicken sollte Ihr Arbeitsplatz so eingerichtet sein, dass Besucher oder andere unbefugte Dritte keine Einsicht auf Ihren Bildschirm nehmen können. Ist dies aufgrund der örtlichen Gegebenheiten nicht möglich, können Blickschutzfolien einen gleichwertigen Effekt erzielen. Die Verwendung von Blickschutzfolien empfiehlt sich außerdem bei der Nutzung mobiler Endgeräte an öffentlichen Plätzen und in Verkehrsmitteln. Besucher der Geschäftsräume sollten stets nur unter Aufsicht Zugang erhalten.


Geben Sie keine Auskünfte an unbefugte Dritte

Generell gilt bei der Erteilung von Auskünften, dass sowohl das berechtigte Interesse des Auskunftssuchenden als auch das schutzwürdige Interesse der betroffenen Person zu beachten und gegeneinander abzuwägen sind. Sofern eine Auskunft telefonisch verlangt wird, besteht die größte Schwierigkeit darin, den Anrufer eindeutig zu identifizieren. Vereinbaren Sie hierbei gegebenenfalls einen Rückruf und überprüfen Sie die hierfür angegebene Telefonnummer mit möglicherweise bereits bekannten Nummern. Ansonsten gilt: Prüfen Sie die Befugnis des Anfragenden, eine derartige Auskunft zu erhalten. Dieser muss sein Auskunftsrecht nachweisen, auch wenn es sich um Polizei oder Staatsanwaltschaft handelt. Beschränken Sie die Auskunft auf den absolut notwendigen Umfang und erteilen Sie die Auskünfte in Textform.


Nutzen Sie E-Mail- und Internetdienste bewusst

Achten Sie bei der Verwendung von Internet und E-Mail auf verdächtige oder ungewöhnliche Inhalte. Öffnen Sie Anhänge oder Links in E-Mails nur dann, wenn Sie den Absender kennen und einen Phishing-Versuch sicher ausschließen können.


Trennen Sie berufliches von Privatem

Die Trennung von beruflichen und privaten Angelegenheiten ist auch im Bereich des Datenschutzes unbedingt zu beherzigen. Dementsprechend sollten über den vom Arbeitgeber zur Verfügung gestellten Arbeitsmitteln, wie beispielsweise Endgeräte und Zugänge zu E-Mail-Postfächern, ausschließlich für geschäftliche Zwecke genutzt werden. Ebenso ist der Einsatz von privaten Geräten und Zugängen für geschäftliche Zwecke zu unterlassen, sofern dies nicht ausdrücklich von der Geschäftsführung erlaubt wurde.


Vernichten Sie Dokumente und Hardware mit personenbezogenen Daten Datenschutzgerecht

Werden Dokumente oder Hardware mit personenbezogenen Daten nicht mehr benötigt, sind diese datenschutzkonform zu entsorgen. Dabei muss sichergestellt werden, dass die Möglichkeit eines weiteren Zugriffs oder einer Wiederherstellung ausgeschlossen werden kann. Eine einfache Entsorgung der jeweiligen Datenträger über den Hausmüll ist nicht ausreichend. Papierunterlagen sind zumindest zu schreddern (vgl. DIN 66399, DIN EN 15713), Festplatten fachgerecht, beispielsweise über einen speziellen Dienstleister, zu entsorgen. Beachten Sie zudem, dass moderne Multifunktionsgeräte zum Teil ebenso über Festplatten verfügen, die personenbezogene Daten enthalten können.


Achten SIe auch im Homeoffice auf einen datenschutzkonformen Umgang

Auch bei der Arbeit im Homeoffice muss auf einen datenschutzkonformen Umgang mit personenbezogenen Daten geachtet werden. Stellen Sie aus diesem Grund sicher, dass Sie sämtliche der hier aufgeführten Anregungen stets auch bei der Arbeit zu Hause umsetzen.


Meldung von Datenschutzverletzungen

Sollte Ihnen dennoch eine Datenschutzverletzung unterlaufen sein oder haben Sie Kenntnis von einer solchen erlangt, wenden Sie sich bitte umgehend sowohl an Ihren Vorgesetzten als auch an Ihren Datenschutzbeauftragten. Diese untersuchen den Vorfall und entscheiden anschließend über das weitere Vorgehen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen.

    Tags:
  • Arbeitsplatz
  • Berufsalltag
  • Datenschutz
  • Datenschutzverletzung
  • DS-GVO
  • Homeoffice
Lesen

Das EuGH-Urteil zum EU-US-Privacy Shield

… und dessen Auswirkungen für die Praxis. Der Europäische Gerichtshof (EuGH) hat sich mit Urteil vom 16. Juli 2020 (Az.: C-311/18) – sog. „Schrems II“-Entscheidung – zur Übermittlung personenbezogener Daten in Drittländer positioniert. Mittelpunkt der Entscheidung bildet die Unzulässigkeitserklärung des Beschlusses 2916/1250 der Europäischen Kommission in die USA (sog. „EU-US-Privacy-Shield“). Darüber hinaus stellt der EuGH fest, dass die Entscheidung 2010/87/EG der Europäischen Kommission (sog. „Standardvertragsklausel“) grundsätzlich (zunächst) weithin Gültigkeit behalten.


Was Wurde entschieden?

Der Österreicher Max Schrems hatte gegen die Facebook Ireland Ltd. geklagt. In der Begründung brachte er vor, dass Daten der Nutzer des Social-Media-Plattform zu großen Teilen auf den Servern in den Vereinigten Staaten gespeichert werden. In den USA könne jedoch u.a. aufgrund der Zugriffsrechte der US-Geheimdienste kein angemessenes Schutzniveau garantiert werden.

Der EuGH stellte nunmehr in seinem Urteil fest, dass die Übermittlung personenbezogener Daten in die USA auf der Grundlage des EU-US-Privacy Shield unzulässig ist und unverzüglich eingestellt werden muss, weil das durch den EuGH bewertete US-Recht kein Schutzniveau bietet, das dem in der EU im Wesentlichen gleichwertig ist. Somit wurde die Hauptgrundlage für einen Datentransfer zwischen der EU und den USA entzogen. Konsequenz ist, dass der Einsatz der meisten US-Unternehmen wie bspw. Cloudflare, Facebook, Google, LinkedIn, MailChimp Twitter, YouTube, etc. torpediert wurde.


Ist eine Datenübermittlung in die USA weiterhin möglich?

Das Urteil hebt nicht den kompletten Datentransfer in die USA auf. Eine Datenübermittlung bleibt weiterhin zulässig, sofern die Voraussetzungen der Art. 44 bis Art. 49 DS-GVO erfüllt sind, d.h. eine gültige Rechtsgrundlage für die Übermittlung von personenbezogenen Daten in ein Drittland vorliegt. Bei den USA handelt es sich um ein solches Drittland. Nach dem Wegfall des Privacy-Shields rücken allem voran die Standardvertragsklauseln (nach Art. 46 Abs. 2 lit. c) DS-GVO „Standarddatenschutzklauseln“ genannt) ins Blickfeld. Diese Klauseln können auch nach Ansicht des EuGHs grundsätzlich eine gültige Rechtsgrundlage für die Datenübermittlung darstellen. Voraussetzung ist jedoch, dass das europäische Datenschutzniveau entsprechend eingehalten wird.

Mittlerweile hat der Europäische Datenschutzausschuss diesbezüglich Leitlinien veröffentlicht, welche Verantwortlichen bei der Anwendung der Norm eine Hilfestellung leisten sollen. Als weitere Handlungsmöglichkeit wird immer häufiger in Betracht gezogen, die betroffenen Personen jeweils in die Übertragung ihrer personenbezogenen Daten in die USA einwilligen zu lassen.


Welcher Handlungsbedarf ergibt sich für Verantwortliche in der Praxis?

Verantwortliche, die weiterhin personenbezogene Daten in die USA übermitteln wollen, müssen alternative Rechtsgrundlagen wie bspw. die Standardvertragsklauseln in Betracht ziehen und diese entsprechend überprüfen. Hierfür ist es ratsam sich zunächst einen Überblick zu verschaffen, welche US-Dienstleister eingesetzte werden und ob eine Übermittlung personenbezogener Daten von Betroffenen an diese Unternehmen erfolgt.

Ergibt sich nach der Überprüfung, dass Sie den US-Unternehmen personenbezogene Daten Ihrer Nutzer übermitteln, bedarf es anschließend einer Regelung zur Legitimation der Datenübermittlung, z.B. Abschluss von Standardvertragsklauseln, Nutzung einer Einwilligungslösung, Verwendung von Servern innerhalb der EU usw. Bei der Verwendung der Standardvertragsklausel sollte bei den US-Unternehmen nachgehakt werden, wie die vertraglichen Garantien eingehalten werden und durch welche geeigneten technischen Maßnahmen sie den Zugriff der US-Behörden unterbinden.

Insbesondere ergibt sich voraussichtlich auch Handlungsbedarf hinsichtlich der meisten Datenschutzinformationen. So enthalten zahlreiche Informationen einen Hinweis auf den EU-US-Privacy-Shield als Rechtsgrundlage für die Datenübermittlung. Diese Formulierungen sind nunmehr entsprechend anzupassen.

Mittlerweile haben die deutschen Datenschutzaufsichtsbehörden angekündigt, bundesweit Webseiten hinsichtlich der rechtkonformen Einbindung von Tracking-Technologien zu überprüfen (hierzu die Pressemitteilung des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg). Gleichzeitig hat auch Max Schrems mit seiner „NGO noyb“ 101 Beschwerden gegen zahlreiche Unternehmen in Europa eingereicht.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Datenübermittlungen
  • EU-US-Privacy Shield
  • EuGH
  • Schrems II
  • Standardvertragsklauseln
  • USA
Lesen
1 2