ANGEMESSENHEITSBESCHLÜSSE FÜR DAS VEREINIGTE KÖNIGREICH

In unserem Blog-Beitrag „Die datenschutzrechtlichen Folgen des Brexit“ stellten wir Ende letzten Jahres dar, welche kurz- und langfristigen Auswirkungen der Austritt des Vereinigten Königreichs aus der Europäischen Union aus datenschutzrechtlicher Sicht haben könnte. Zum damaligen Zeitpunkt deutete vieles darauf hin, dass das Vereinigte Königreich spätestens zum 01. Juli 2021 als datenschutzrechtliches Drittland anzusehen sein und somit für Übermittlungen personenbezogener Daten die gleichen Anforderungen wie beispielsweise in die USA gelten würden. Zu Ende Juni hat die Europäische Kommission jedoch zwei Angemessenheitsbeschlüsse zum Vereinigten Königreich angenommen, sodass sich die Rechtslage nun anders darstellt.


ÜBERMITTLUNGEN PERSONENBEZOGENER DATEN AN DRITTLÄNDER ODER INTERNATIONALE ORGANISATIONEN

Nach Kapitel V der Datenschutz-Grundverordnung (DS-GVO) hinsichtlich der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen bedarf es für eine solche zusätzlich zu einer einschlägigen Übermittlungsgrundlage ebenfalls der Erfüllung der Bedingungen der Artt. 44 ff. DS-GVO. Hierdurch soll gemäß Art. 44 Satz 2 DS-GVO auch bei einer Verarbeitung in Drittländern und durch internationale Organisationen eine Sicherstellung des durch die Verordnung gewährleisteten Schutzniveaus erreicht werden.

Neben einem Angemessenheitsbeschluss der Europäischen Kommission im Sinne des Art. 45 Abs. 3 DS-GVO kann eine Übermittlung personenbezogener Daten in diesem Zusammenhang ebenfalls auf geeignete Garantien nach Art. 46 DS-GVO gestützt werden. Hierzu zählen insbesondere die sogenannten Binding Corporate Rules (BCR), Standarddatenschutzklauseln der Europäischen Kommission oder einer Aufsichtsbehörde, genehmigte Verhaltensregeln oder einzeln ausgehandelte und durch die zuständige Aufsichtsbehörde genehmigte Vertragsklauseln, die zwischen den Vertragsparteien vereinbart wurden. Weiterhin kann eine derartige Übermittlung personenbezogener Daten ebenfalls auf eine ausdrückliche Einwilligung der betroffenen Person, nachdem sie über die bestehenden Risiken einer solchen Datenübermittlung aufgeklärt wurde, auf Grundlage eines Vertrages sowie auf die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen gestützt werden, sofern eine Übermittlung hierfür zwingend erforderlich ist.


DATENÜBERMITTLUNG AUF GRUNDLAGE EINES ANGEMESSENHEITSBESCHLUSSES

Die Europäische Kommission kann auf Grundlage des Art. 45 DS-GVO einen Beschluss treffen, nach welchem für ein Drittland oder eine internationale Organisation ein angemessenes Schutzniveau festgestellt wird. Gemäß Art. 45 Abs. 2 DS-GVO hat die Kommission hierbei folgende Kriterien zu berücksichtigen:

– Die Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten, einschlägige Rechtsvorschriften, auch in Bezug auf die öffentliche Sicherheit, Verteidigung, nationale Sicherheit und Strafrecht sowie der Zugang der Behörden zu personenbezogenen Daten, die Anwendung dieser und datenschutzrechtlicher Vorschriften sowie die Möglichkeit zur Durchsetzung von Rechten der betroffenen Person und die Wirksamkeit der verwaltungsrechtlichen und gerichtlichen Rechtsbehelfe;

– Die Existenz und wirksame Funktionsweise unabhängiger Aufsichtsbehörden für die Einhaltung und Durchsetzung datenschutzrechtlicher Vorschriften, einschließlich angemessener Durchsetzungsbefugnisse sowie für die Unterstützung und Beratung von betroffenen Personen bei der Ausübung ihrer Rechte und für die Zusammenarbeit mit Aufsichtsbehörden anderer Mitgliedstaaten;

– Die eingegangenen internationalen Verpflichtungen, die sich aus rechtsverbindlichen Übereinkünften oder Instrumenten sowie aus der Teilnahme an multilateralen oder regionalen Systemen insbesondere in Bezug auf den Schutz personenbezogener Daten ergeben.

Sofern die Kommission unter Berücksichtigung der aufgeführten Kriterien eine Angemessenheit des Datenschutzniveaus feststellt, übernimmt diese die Aufgabe der regelmäßigen Überwachung, im Rahmen derer stets die aktuellen Entwicklungen innerhalb des Drittlandes oder der internationalen Organisation berücksichtigt werden.

Zum gegenwärtigen Zeitpunkt verfügen folgende Länder und Gebiete über einen Angemessenheitsbeschluss der Europäischen Kommission: Andorra, Argentinien, Färöer-Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Kanada (beschränkt auf Datenübermittlungen an „commercial organisations“), Neuseeland, Schweiz, Uruguay und das Vereinigte Königreich. Weiterhin ist ein Angemessenheitsbeschluss für das Land Südkorea absehbar.

In die zuvor genannten Länder kann eine Übermittlung personenbezogener Daten auf Grundlage des Angemessenheitsbeschlusses erfolgen. Es bedarf sodann – neben der Beachtung der sonstigen datenschutzrechtlichen Vorschriften – keiner weiteren besonderen Vorkehrungen.


HINTERGRÜNDE ZU DEN ANGEMESSENHEITSBESCHLÜSSEN FÜR DAS VEREINIGTE KÖNIGREICH

Für das Vereinigte Königreich liegen nunmehr zwei Angemessenheitsbeschlüsse vor: Zum einen im Anwendungsbereich der DS-GVO und zum anderen im Rahmen der Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im Rahmen der Strafverfolgung. Ausdrücklich vom sachlichen Geltungsbereich der Angemessenheitsbeschlüsse ausgenommen sind jedoch Datenübermittlungen im Zusammenhang mit der Einwanderungskontrolle des Vereinigten Königreichs.

Insgesamt liegen den Angemessenheitsbeschlüssen der Europäischen Kommission folgende Erwägungen zugrunde:

– Die datenschutzrechtlichen Regelungen haben sich seit Austritt des Vereinigten Königreichs aus der Europäischen Union nicht verändert. Die bisherig durch die DS-GVO auferlegten Grundsätze sowie Rechte und Pflichten wurden in das nationale Recht übernommen.

– Hinsichtlich des möglichen Zugriffs auf personenbezogene Daten durch Ermittlungsbehörden sieht das Rechtssystem des Vereinigten Königreichs geeignete Garantien vor. So müssen Datenverarbeitungen durch Nachrichtendienste stets erforderlich sowie verhältnismäßig sein und bedürfen der vorherigen Genehmigung durch ein unabhängiges Rechtsorgan. Weiterhin stehen betroffenen Personen gerichtliche Rechtsbehelfe zur Verfügung. Zudem unterliegt das Vereinigte Königreich auch zukünftig einer Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte, der Europäischen Menschenrechtskonvention sowie dem Übereinkommen des Europarates zum Schutz des Menschen bei der automatisierten Verarbeitung personenbezogener Daten.

– Die Geltungsdauer der Angemessenheitsbeschlüsse ist erstmalig per Klausel zeitlich beschränkt. Die Beschlüsse laufen grundsätzlich nach einer Geltungsdauer von vier Jahren ab. Soweit das Datenschutzniveau nach Ablauf der vier Jahren weiterhin dem der DS-GVO entspricht, ist der Annahmeprozess erneut zu durchlaufen.


FAZIT

Die Angemessenheitsbeschlüsse für das Vereinigte Königreich bieten für die Übermittlung personenbezogener Daten für verantwortliche Stellen (zunächst) Rechtssicherheit. Insbesondere mit Blick auf das „Schrems II“-Urteil des Europäischen Gerichtshofes (EuGH) und die entsprechenden Auswirkungen auf Datenübermittlungen in die USA werden jedoch die weiteren rechtlichen Entwicklungen und Rechtsprechungen des EuGH abzuwarten sein. Erst im Oktober des vergangenen Jahres befand dieser die weitreichenden Datenverarbeitungsbefugnisse von Ermittlungsbehörden des Vereinigten Königreiches für unzulässig. Möglicherweise ereilt den Angemessenheitsbeschlüssen somit in nicht allzu ferner Zukunft ein ähnliches Schicksal wie dem EU-US-Privacy Shield.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Angemessenheitsbeschluss
  • Brexit
  • Drittlandübermittlung
  • Europäische Kommission
  • Vereinigtes Königreich
Lesen

DIE NEUEN STANDARDVERTRAGSKLAUSELN

Am 04. Juni 2021 hat die Europäische Kommission die überarbeiteten Standardvertragsklauseln verabschiedet. Nach dem sogenannten „Schrems II“-Urteil des Europäischen Gerichtshofes (EuGH) bilden die bisherigen Standardvertragsklauseln den wesentlichen Baustein für die Übermittlung personenbezogener Daten in datenschutzrechtliche Drittländer. Darüber hinaus sind nach Urteil des EuGH ergänzend zu diesen im Rahmen eines Drittlandtransfers weitere geeignete Garantien zu treffen, welche ein adäquates Datenschutzniveau gewährleisten können. Dies sorgte in den vergangenen Monaten insbesondere im Rahmen der Inanspruchnahme US-amerikanischer Dienstleister verbreitet für erhebliche Rechtsunsicherheiten.  Die neuen Standardvertragsklauseln sollen hierbei unter Berücksichtigung der Anforderungen  des EuGH-Urteils „unkomplizierte“ Abhilfe schaffen. Doch ist dem wirklich so?


WAS SIND STANDARDVERTRAGSKLAUSELN?

Im Falle einer Übermittlung personenbezogener Daten an ein datenschutzrechtliches Drittland – also einem Land außerhalb der Europäischen Union (EU) beziehungsweise des Europäischen Wirtschaftsraums (EWR) – oder an internationale Organisationen, richtet sich die Rechtmäßigkeit der Verarbeitung neben den allgemeinen Grundsätzen ebenfalls nach den besonderen Bestimmungen des Kapitel V der Datenschutz-Grundverordnung (DS-GVO). Die Übermittlung kann nach diesem Kapitel unter anderem dann zulässig sein, sofern geeignete Garantien nach Art. 46 DS-GVO vorliegen. Hierzu gehören gemäß Art. 46 Abs. 2 lit. c DS-GVO die sogenannten Standarddatenschutzklauseln, auch Standardvertragsklauseln genannt. Diese werden in einem Prüfverfahren durch die Europäische Kommission erlassen.

Bei Standardvertragsklauseln handelt es sich um eine besondere vertragliche (Muster-)Vereinbarung zwischen datenübermittelnder und datenempfangender Stelle, im Rahmen derer – ähnlich wie in Verträgen zur Auftragsverarbeitung – datenschutzrechtliche Rechten und Pflichten festgelegt werden. Hierdurch wird eine Vereinheitlichung des hohen Datenschutzniveaus auf beiden Seiten angestrebt. Im Rahmen des „Schrems II“-Urteils konstatierte der EuGH jedoch, dass ein solches Datenschutzniveau nicht allein durch ein Abkommen oder vertragliche Regelungen erreicht werden könne. Es bedürfe darüber hinaus weiterer geeigneter Garantien, welche die weitreichenden Zugriffsmöglichkeiten von Ermittlungsbehörden oder anderer staatlicher Einrichtungen einschränken. Als gängiges Beispiel ist hierbei die Gewährleistung der Verschlüsselung personenbezogener Daten zu nennen.

In der Praxis stieß die Anforderung an weitere geeignete Garantien auf allgemeine Verunsicherung, solche lassen sich nur sehr schwer oder kaum umsetzen. Zu Teilen ist gänzlich unklar, ob und wie ein rechtskonformer Einsatz von entsprechenden Dienstleistern erfolgen kann. Doch die neuen Standardvertragsklauseln sollen  genau an diesem Punkt ansetzen, sodass ein „höchstmögliches Niveau an Rechtssicherheit“ erreicht werden kann.


WAS BEINHALTEN DIE NEUEN STANDARDVERTRAGKLAUSELN?

Mit Veröffentlichung der neuen Standardvertragsklauseln durch die Europäische Kommission, treten diese am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der EU in Kraft (Art. 4 Abs. 1 des Durchführungsbeschlusses 2021/914 der Kommission). Neben den Standardvertragsklauseln für Datenübermittlungen an Drittländer wurde ebenfalls eine Version für Datenübermittlungen innerhalb der EU und des EWR bereitgestellt. Die Nutzung dieser bietet sich beispielsweise an, wenn sowohl Verantwortlicher als auch Auftragsverarbeiter auf den Abschluss eines „neutralen“ Vertrages zur Auftragsverarbeitung bestehen (vgl. Erwägungsgrund 81 Satz 4 zur DS-GVO).

Waren die bisherigen Standardvertragsklauseln für Datenübermittlungen in Drittländer in den Versionen „Verantwortlicher – Auftragsverarbeiter“ und „Verantwortlicher – Verantwortlicher“ verfügbar, erscheinen die neuen Standardvertragsklauseln hingegen nur in einer Version. Dafür bieten diese einen neuen modularen Aufbau, welcher es ermöglicht, dass ein jeweils auf den Einzelfall angepasstes Vertragswerk erstellt werden kann. Neben den bereits genannten Konstellationen finden sich ebenfalls Module für Datenübermittlungen von einem Auftragsverarbeiter an einen weiteren Auftragsverarbeiter sowie von einem Auftragsverarbeiter an einen Verantwortlichen. Weiterhin können von nun an auch Festlegungen hinsichtlich des anwendbaren Rechts sowie hinsichtlich des Gerichtsstandes getroffen und leichter weitere Vertragspartner in die Regelungen aufgenommen werden.

Gänzlich neu ist die Implementierung des risikobasierten Ansatzes, welcher insbesondere den Anforderungen des „Schrems II“-Urteils des EuGH gerecht werden soll. Hierbei ist vor Vertragsschluss eine Dokumentation hinsichtlich der beteiligten Akteure, der Art und Sensibilität der zu verarbeitenden personenbezogenen Daten, der jeweiligen rechtlichen Rahmenbedingungen im Drittland sowie die diesbezüglich getroffenen vertraglichen, technischen oder organisatorischen Garantien, vorzunehmen. Zu letztgenannten Punkt sind die Empfehlungen des Europäischen Datenschutzausschusses (EDSA) zu „Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus von personenbezogenen Daten“ vom 10. November 2020 lesenswert. Derartige Garantien müssen grundsätzlich geeignet sein, einem möglichen Zugriff auf personenbezogene Daten von staatlichen Behörden entgegenzuwirken.

Sollte eine staatliche Behörde dennoch einen Datenzugriff (erkennbar) beabsichtigen, so hat der Dienstleister im Drittland den bzw. die Vertragspartner hierüber umgehend zu informieren. Darüber hinaus obliegt es dem Dienstleister die Rechtmäßigkeit für einen solchen Zugriff zu überprüfen und gegebenenfalls dagegen rechtlich vorzugehen. Sollten ihm derartige Maßnahmen unmöglich sein, so sind die Vertragspartner hierüber in Kenntnis zu setzen und das jeweilige Vorgehen ist dokumentiert nachzuweisen.  

Ergänzend sei erwähnt, dass wie bereits bei den bisherigen Standardvertragsklauseln auch im Rahmen der neuen Version keine Veränderungen, jedoch Ergänzungen von vertraglichen Regelungen vorgenommen werden können.


WIE KANN EINE UMSETZUNG ERFOLGEN?

Im Rahmen von neuen Vertragsschlüssen dürfen die bisherigen Standardvertragsklauseln nur noch bis September 2021 verwendet werden (vgl. Art. 4 Abs. 2, 3 des Durchführungsbeschluss 2021/914 der Kommission). Bis Dezember 2022 sind darüber hinaus in sämtlichen Vertragsverhältnissen die neuen Standardvertragsklauseln zur Anwendung zu bringen (vgl. Art. 4 Abs. 4 des Durchführungsbeschluss 2021/914 der Kommission). Für verantwortliche Stellen ergibt sich somit eine maximale Umsetzungsfrist von 18 Monaten. Hierbei empfehlen wir folgendes Vorgehen:

– Evaluierung eingesetzter Dienstleister mit Bezug zu einem Drittland. Dieser kann bereits dann gegeben sein, wenn es sich bei dem Dienstleister um ein Tochterunternehmen eines in einem Drittland ansässigen Mutterunternehmens handelt;

– Durchführung einer Risikoabschätzung für den jeweiligen Einzelfall unter Beachtung der oben aufgeführten Kriterien. Fällt diese positiv aus, kann ein Abschluss der neuen Standardvertragsklauseln erfolgen;

– Auswahl der erforderlichen Module sowie gegebenenfalls Ergänzung von vertraglichen Regelungen und Zusendung der Standardvertragsklauseln an den Dienstleister im Drittland zur Unterzeichnung.


ÜBERPRÜFUNG DURCH AUFSICHTSBEHÖRDEN

Auch wenn den verantwortlichen Stellen eine Übergangsfrist von 18 Monaten gewährt wird, empfiehlt sich die zeitnahe Anwendung der neuen Standardvertragsklauseln unter Durchführung des dargestellten Verfahrens. Eine Vielzahl datenschutzrechtlicher Aufsichtsbehörden überprüfen derzeit bundesländerübergreifend bei verantwortlichen Stellen die Gewährleistung einer rechtskonformen Übermittlung personenbezogener Daten in Drittländer. Hierbei werden insbesondere die Umsetzung der Anforderungen aus dem „Schrems II“-Urteil sowie hinsichtlich der oben genannten empfohlenen Maßnahmen des EDSA überprüft.


FAZIT

Zusammenfassend lässt sich festhalten, dass die neuen Standardvertragsklauseln das in den letzten Monaten bereits etablierte Vorgehen im Zusammenhang mit einem Einsatz von Dienstleistern in datenschutzrechtlichen Drittländern aufgreift und in einen (zunächst) rechtssicheren Rahmen packt. Der bisherige Aufwand wird hierdurch jedoch keinesfalls reduziert, die Verpflichtung zur Erstellung einer umfangreichen Dokumentation verbleibt. Unklar bleibt jedoch, für welchen Zeitraum die neuen Standardvertragsklauseln tatsächlich Rechtssicherheit bringen. Die Organisation noyb des Gründers Max Schrems äußerte sich hierzu bereits teilweise kritisch.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • EuGH
  • Europäischer Datenschutzausschuss
  • Risikobasierter Ansatz
  • Schrems II
  • Standardvertragsklauseln
Lesen

AUSKUNFTSANFRAGEN VON ERMITTLUNGS- UND STRAFVERFOLGUNGSBEHÖRDEN

Fast jedes Unternehmen und jede Einrichtung hat bereits ein Auskunftsersuchen von einer Ermittlungs- und Strafverfolgungsbehörde (Staatsanwaltschaft, Polizei, Zoll etc.) erhalten. Häufig handelt es sich zunächst um telefonische Anfragen und fast immer ist „besondere Eile“ geboten. Schließlich möchte man ja „nicht die Täter schützen, oder“? Die zuständigen Mitarbeiter sehen sich dann häufig in einem Zwiespalt und fragen sich: „Darf ich die Daten herausgeben? Muss ich?“


DIE RECHTLICHE ZULÄSSIGKEIT STELLT DOCH DIE ANFRAGENDE BEHÖRDE SICHER, ODER?

Nein! Zunächst einmal ist es wichtig, dass Sie sich vor Augen halten, dass die anfragende Behörde Fragen stellen darf, dies aber noch nicht zwingend heißt, dass Sie diese auch beantworten dürfen/müssen. Grundsätzlich ist nämlich die übermittelnde Stelle für die Datenverarbeitung verantwortlich, sodass erhebliche Bußgelder oder Klageverfahren drohen können. Gerade im Falle von Ermittlungsverfahren ist das Eskalationsrisiko hoch! Ausnahmen vom Verantwortlichkeitsgrundsatz können sich in bestimmten Fällen jedoch aus dem Landesrecht oder spezialgesetzlichen Vorschriften z.B. für Übermittlungen durch eine öffentliche Stelle des Landes an eine andere öffentliche Stelle, beispielsweise gemäß § 6 Abs. 1 Satz 2 Sächsisches Datenschutzdurchführungsgesetz (SächsDSDG) ergeben.

Sowohl die übermittelnde als auch die empfangende Stelle benötigen auch in Straf- und Ermittlungsverfahren für die Datenverarbeitung eine Rechtsgrundlage („Verbot mit Erlaubnisvorbehalt“). In der Regel werden die Daten ursprünglich für einen anderen Zweck erhoben worden sein, sodass es sich um eine „Weiterverarbeitung zu einem anderen Zweck“ handelt. Die Datenschutz-Grundverordnung enthält keine spezielle Übermittlungsgrundlage zur Abwehr von Gefahren für die staatliche/öffentliche Sicherheit und die Verfolgung von Straftaten. Diese ergeben sich jedoch zum Teil aus dem Bundes- bzw. Landesrecht, beispielsweise § 24 Bundesdatenschutzgesetz (BDSG), § 4 Abs. 1 Nr. 3 SächsDSDG. Gemäß § 24 Abs. 1 Nr. 1 BDSG ist die Übermittlung zulässig, wenn die Daten zur Verfolgung von Straftaten (keine Ordnungswidrigkeiten!) erforderlich sind und die Interessen des Betroffenen an dem Ausschluss der Übermittlung nicht überwiegen. Für die empfangende Behörde wird sich die Erhebungs- bzw. Ermittlungsbefugnis i.d.R. aus den spezialgesetzlichen Regelungen ergeben (beispielsweise Strafprozessordnung, Polizeigesetze der Länder, Mindestlohngesetz, Schwarzarbeitsbekämpfungsgesetz).


DATENSCHUTZ IST KEIN TÄTERSCHUTZ

Immer wieder sieht sich der Datenschutz mit dem Vorwurf konfrontiert, dass er die Täter schützen würde. Dies ist jedoch nicht der Fall! Vielmehr sind generelle/großflächige Überwachungsmaßnahmen bereits mit Blick auf die – unserem Rechtssystem zu Recht zu Grunde liegende – Unschuldsvermutung problematisch, da man damit alle betroffenen Personen einem Generalverdacht aussetzt. Umgekehrt ist die Verarbeitung der Daten der Täter aber auf Basis konkreter Verdachtsmomente und im erforderlichen – das heißt insbesondere auch verhältnismäßigen – Umfang zulässig. Im Rahmen der Interessenabwägung spielt auch das Verhalten der betroffenen Person, also z.B. dessen Schuld oder der konkrete Vorwurf eine wesentliche Rolle. Das Interesse, einer Strafverfolgung zu entgehen, wird aber gerade nicht geschützt. Gleichzeitig sollen „Bagatellvorwürfe“ nicht zu einem unverhältnismäßigen Risiko für unsere Freiheitsrechte z.B. durch einen stetigen Überwachungsdruck führen.

Straf- und Ermittlungsbehörden wollen und sollen – zum Wohle der Allgemeinheit und im Rahmen ihrer gesetzlichen Aufgaben – Beweise sammeln bzw. Tatverdächtige finden. Hierfür müssen umfangreiche Daten erarbeitet werden und es ist verständlich, dass auch bestehende Datensammlungen von Unternehmen und sonstigen Einrichtungen genutzt werden (sollen). Dabei darf aber nicht übersehen werden, dass sich die angefragte Stelle in einer zum einen rechtlich angreifbaren Position befindet, zum anderen aber natürlich i.d.R. auch ein legitimes Interesse besteht, die eigenen Mitarbeiter, Kunden o.ä. zu schützen. Die Straf- und Ermittlungsbehörden sollten dies daher im Rahmen Ihrer Anfragen berücksichtigen und bei ihren Anfragen Sorgfalt und Verständnis zeigen.


AUCH WENN DRUCK AUFGEBAUT WIRD: BLEIBEN SIE RUHIG UND GELASSEN!

Verlangen Sie grundsätzlich ein schriftliches Auskunftsersuchen bzw. bei sensiblen Anfragen einen entsprechenden Bescheid der Staatsanwaltschaft. Telefonische Auskünfte sollten grundsätzlich nicht erteilt werden, da Sie in diesem Fall i.d.R. nicht sicherstellen können, dass die anfragende Person tatsächlich offiziell im Auftrag der Behörde anfragt. Lässt sich dies im Einzelfall aufgrund besonderer Eile nicht umgehen, prüfen Sie die Echtheit, indem Sie die Hauptnummer der Dienststelle recherchieren und sich verbinden lassen. Unterziehen Sie auch Anfragen per Mail und Fax einer bestmöglichen Echtheitskontrolle. Unabhängig davon fehlen bei mündlichen Anfragen im Zweifel wichtige Nachweise („Rechenschaftspflicht“).

Neben einem Ermittlungs- bzw. Aktenzeichen sollte sich aus der Anfrage immer ergeben, um welchen Tatvorwurf es sich handelt bzw. was der Zweck der Anfrage ist und auf welche Rechtsgrundlage die Ermittlungsbehörde sich stützt. Dies benötigen Sie, um zu prüfen, ob die Anfrage sich im Rahmen der Zuständigkeit der anfragenden Stelle bewegt und für die Aufgabenerfüllung erforderlich ist sowie gegebenenfalls im Rahmen einer erforderlichen Interessenabwägung.

Das Auskunftsersuchen sollte grundsätzlich auch beinhalten, inwieweit eine Pflicht zur Auskunft besteht. Ist dies nicht der Fall, sollte eine etwaige Verpflichtung erfragt werden. Eine datenschutzrechtliche Übermittlungsbefugnis beinhaltet grundsätzlich keine Verpflichtung. Eine solche kann sich aber aus der Strafprozessordnung (u.a. §§ 95, 98a 161a Abs. 1 oder 163 Abs. 3 StPO) oder spezialgesetzlichen Normen z.B. durch § 32 Bundesmeldegesetz, §§ 15 ff. Mindestlohngesetz ergeben. Die Abklärung einer Auskunftspflicht dient der zusätzlichen Absicherung der übermittelnden Stelle, da die Datenübermittlung in diesem Fall auch von Art. 6 Abs. 1 lit. c DS-GVO („rechtliche Verpflichtung“) gedeckt ist.

Es sollten immer nur die tatsächlich erforderlichen Daten übermittelt werden. Beispielsweise sollte eine Herausgabe vollständiger Personallisten der letzten Jahre hinsichtlich der Verhältnismäßigkeit hinterfragt werden. Sind Sie der Ansicht, dass abgefragte Daten keine Aussagen zu den fraglichen Punkten treffen, so besprechen Sie dies im Vorfeld mit der anfragenden Stelle. Lassen die von der anfragenden Stelle übermittelnden Daten keine eindeutige Zuordnung zu einer Person zu (z.B. Namensgleichheit), so bitten Sie um weitere Informationen bzw. versuchen Sie den Kreis im Gespräch mit der ermittelnden Stelle weiter einzuschränken.

Selbstverständlich sind bei der Datenübermittlung an Behörden entsprechende technische und organisatorische Maßnahmen (z.B. Artt. 32, 25 DS-GVO) zu gewährleisten, z.B. persönliche Übergabe, Verschlüsselung, Einschreiben.

Zu guter Letzt muss geprüft werden, inwieweit die Betroffenen über die Datenübermittlung informiert werden müssen (Art. 13 DS-GVO). Offizielle Auskunftsanfragen bzw. Bescheide der Staatsanwaltschaft untersagen dies i.d.R., um eine Gefährdung des Ermittlungsverfahrens auszuschließen. Unabhängig davon kann die Informationspflicht aber auch bereits gesetzliche ausgeschlossen sein (z.B. §§ 32, 33 BDSG, § 8 SächsDSDG oder spezialgesetzlich). Im Zweifel fragen Sie bitte im Vorfeld einer Information bei der anfragenden Stelle nach.


FAZIT

Der richtige Umgang mit Auskunftsanfragen von Straf- und Ermittlungsbehörden ist abhängig von den Umständen des Einzelfalls und birgt u.U. hohe Haftungsrisiken. Die Bearbeitung sollte entsprechend sorgfältig erfolgen und dokumentiert werden. Im Zweifel sollten Sie die Anfrage daher immer an Ihre/n Datenschutzbeauftragte/n weiterleiten und mit diesem/r das weitere Vorgehen besprechen.

Über die Autorin: Kristin Beyer ist als externe Datenschutzbeauftragte beim Dresdner Institut für Datenschutz tätig. Sie unterstützt in Ihrem Fachbereich insbesondere Hoch-/Schulen, sonstige Bildungseinrichtungen sowie Forschungseinrichtungen in allen Fragen des Datenschutzes.

    Tags:
  • Auskunft
  • Datenübermittlungen
  • Ermittlungsbehörde
  • Strafverfolgung
  • telefonische Anfrage
Lesen

ABGEHÖRT? VIDEOKAMERA, ALEXA, SIRI & CO BEI HÄUSLICHER PFLEGE

Sprachassistenten können Waren bestellen, das Licht dimmen, den Fernseher und das Smartphone bedienen. Videokameras übertragen Bilder zu Plätzen überall auf der Welt und ermöglichen so einen Blick in die Ferne. Immer häufiger finden sich in den Wohnungen pflegebedürftiger Menschen Videoüberwachungskameras und Sprachassistenten. Diese werden meist von deren Angehörigen angeschafft, um mitzubekommen, wenn Hilfe benötigt wird. Dieses mag in guter Absicht geschehen. Mit diesen Geräten bringt man allerdings digitale Spitzel ins Haus, die auch Mitarbeitende häuslicher Pflegedienste tangieren. Gleichermaßen werden sie gefilmt und ihre Worte werden von den Sprachassistenten erfasst und verarbeitet.


WAS BEDEUTET DAS DATENSCHUTZRECHTLICH?

Fraglich ist, ob die DS-GVO und das Bundesdatenschutzgesetz hier helfen können, die Persönlichkeitsrechte der Pflegenden zu schützen. Diese Verarbeitung personenbezogener Daten im ausschließlich privaten Bereich unterfällt dem sog. Haushaltsprivileg Art. 2 Abs. 2 lit. c DS-GVO und daher nicht in den Anwendungsbereich der DS-GVO. Daraus folgt nun aber nicht, dass diese Art der Überwachung Dritter in einem rechtsfreien Raum ohne Einschränkung zulässig wäre.

Dreh- und Angelpunkt der rechtlichen Beurteilung einer privaten (Video-) Überwachung ist das allgemeine Persönlichkeitsrecht genauer gesagt eine Verletzung desselben. Der Bundesgerichtshof definierte 2010 in seinem Urteil (Az. VI ZR 176/09), was bei der privaten Videoüberwachung laut Datenschutz zu beachten ist und sich auf eine Sprachüberwachung übertragen lässt. Im Urteil heißt es:

„(…) Eine Videoüberwachung greift in das allgemeine Persönlichkeitsrecht der Betroffenen in seiner Ausprägung als Recht der informationellen Selbstbestimmung ein; dieses Recht umfasst die Befugnis des Einzelnen, grundsätzlich selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden, und daher grundsätzlich selbst über die Preisgabe und Verwendung persönlicher Daten zu bestimmen.“

Eine Videokamera im privaten Umfeld (Grundstück, Wohnung) ist regelmäßig zulässig. Kommen fremde Personen in den Überwachungsbereich, ist die Aufnahme nur erlaubt, wenn die betroffenen Personen dem ausdrücklich zugestimmt haben. Wenn keine Einwilligung der gefilmten Personen vorliegt, muss immer abgewogen werden, ob das allgemeine Persönlichkeitsrecht von Personen, die sich im überwachten Bereich aufhalten, ausreichend berücksichtigt wird. Aus einem Verstoß gegen diese Prinzipien ergibt sich regelmäßig ein zivilrechtlicher Unterlassungsanspruch. Dieser kann bereits dann bestehen werden, wenn Betroffene eine Videoüberwachung nur ernsthaft befürchten müssen.

Videokameras im privaten Bereich übertragen häufig nur Livebilder oder die Speicherung von Daten findet auf internen SD-Karten statt. Zudem lässt sich das Problem mit der Videokamera in vielen Fällen noch mit einem Standortwechsel oder einem Handtuch über der Kamera lösen. Die Datenverarbeitung bei Sprachassistenten ist meist tiefgehender und undurchschaubarer. Sprachassistenten funktionieren wie Abhörwanzen und bei deren Anbietern gehört das Abhören und weitere Verarbeitung der Daten i. d. R. zum Geschäftsmodell.


BESONDERE PROBLEMATIK BEI SPRACHASSISTENTEN

Die Geräte müssen ständig an sein, um das jeweilige Aktivierungswort hören zu können. Sobald das Gerät den Befehl hört, findet eine Datenübertragung an den Anbieterserver statt. Die Analyse der Sprachbefehle findet in der Infrastruktur und damit im Einflussbereich der Anbieter statt. Diese verfolgen dann auch eigene Zwecke wie die Datenanalyse zur Verbesserung der Spracherkennungs- und Sprachverständnissysteme, der Erstellung von Stimmprofilen bis hin zur Auswertung von Spracheingaben für (werbliche) Empfehlungen. Wenn die Daten auf den Servern des Anbieters gespeichert sind, bleiben sie dort in der Regel auch, bis sie aktiv gelöscht werden. Nicht nur die Hersteller verarbeiten Daten, sondern auch Drittanbieter, die mit den Sprachassistenten verbunden sind. Hier ist das Löschen weitaus komplizierter. Insbesondere können Dritte, in diesen Fall die Pflegenden, ihre Rechte beim Anbieter schwerlich durchsetzen.


FAZIT

Wie oben erwähnt, steht den Pflegenden zwar ein Rückgriff auf die Bestimmungen der Datenschutzgrundverordnung und des Bundesdatenschutzgesetzes nicht zur Verfügung, um ihre Betroffenrechte durchzusetzen, da die Verarbeitung personenbezogener Daten im privaten Bereich stattfindet. Es können aber andere Rechtsgrundlagen die personenbezogene Daten schützen, wie das allgemeine Persönlichkeitsrecht, das Recht auf informationelle Selbstbestimmung,  das Recht am eigenen Bild  und die Vertraulichkeit des Wortes.

Bevor es soweit kommt ist es sicherlich angeraten, die Nutzer dieser Systeme, in diesem Fall zu Pflegende und Angehörige, auf die Problematik hinzuweisen und eine Abschaltung während der Pflegezeit zu besprechen oder dies im Pflegevertrag festzuschreiben.

Über die Autorin: Tanja Albert ist als externe Datenschutz- und IT-Sicherheitsbeauftragte beim Dresdner Institut für Datenschutz tätig. Sie berät neben Einrichtungen im Gesundheits-, sozialen und kirchlichen Bereich auch Unternehmen im Ausland.

    Tags:
  • Bundesgerichtshof
  • Häusliche Pflege
  • Persönlichkeitsrecht
  • Sprachassistenten
  • Videokameras
Lesen

MICROSOFT VERÖFFENTLICHT ERGÄNZUNG ZU DEN STANDARDVERTRAGSKLAUSELN

Seitdem der Europäische Gerichtshof (EuGH) mit der sogenannte Schrems II-Entscheidung die Datenübermittlung in die USA durch die Unzulässigkeitserklärung des EU-US-Privacy-Shield ins Wanken gebracht hatte, herrschen in der Datenschutzpraxis zahlreiche Fragen und Unsicherheiten , ob und wie künftig eine Datenübermittlung in sogenannte Drittländer (insbesondere in die USA) stattfinden kann. Unklar ist insbesondere, wie die vom EuGH geforderten geeigneten Garantien zur Sicherstellung eines angemessenen Datenschutzniveaus durch die verantwortlichen Organisationen erreicht werden können. Nun ist in dieser Sache mit Microsoft der erste Dienstleister aktiv geworden. 


WAS IST PASSIERT?

Microsoft hat ein Additional Safeguards Addendum to Standard Contractual Cluases veröffentlich. In dieser Ergänzung der Standardvertragsklauseln unterbreitet der US-Dienstleister Vorschläge für Garantien zur Stärkung der Betroffenenrechte. Insbesondere werden folgende relevante Zusagen seitens Microsoft gegeben: 

(1) Microsoft verpflichtet sich, bei einer Anordnung zur Herausgabe von Daten durch US-Behörden dazu (Ziff. 1 des Addendum): 
– alle Maßnahmen zu ergreifen, damit der Anfragende die Daten unmittelbar bei dem Kunden von Microsoft erfragen muss; 
– den Kunden unverzüglich zu benachrichtigen und für den Fall der Untersagung einer solchen Benachrichtigung des Kunden, alle rechtmäßigen Anstrengungen zu unternehmen, um das Recht auf Aufhebung des Verbots zu erwirken, damit dem Kunden so bald wie möglich so viele Informationen wie möglich mitgeteilt werden und 
– alle rechtmäßigen Anstrengungen zu unternehmen, um die geltend gemachte Offenlegung wegen Rechtsmängeln oder Konflikten mit dem Recht der Europäischen Union oder dem geltenden Recht der Mitgliedstaaten anzufechten.

(2) Microsoft gewährt den Betroffenen im Falle einer Offenlegung von Daten auf Anordnung einer US-Behörde einen Anspruch auf Ersatz des Schadens, der durch die Offenlegung entstanden ist (Ziff. 2 des Addendum). 


WIE REAGIEREN DIE AUFSICHTSBEHÖRDEN ZUR MAßNAHME VON MICROSOFT?

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, der Bayrische Landesbeauftragte für den Datenschutz und das Bayrische Landesamt für Datenschutzaufsicht und der Hessische Beauftragte für Datenschutz und Informationsfreiheit äußern sich wie folgt: 

„Damit [mit dem Additional Safeguards Addendum] sei, so die gemeinsame Bewertung der beteiligten Datenschutzaufsichtsbehörden, zwar die Transferproblematik in die USA nicht generell gelöst – denn eine Ergänzung der Standardvertragsklauseln könne eben nicht dazu führen, dass der vom Europäischen Gerichtshof als unverhältnismäßig beanstandete Zugriff der US-amerikanischen Geheimdienste auf die Daten unterbunden werde.“
Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg Dr. Stefan Brink

„Die Vorschläge von Microsoft sind ein wertvoller Impuls für die gemeinsame Suche nach Rechtssicherheit für Datenübermittlungen in die USA genauso wie in andere Staaten, deren Rechtsordnung den Schutzstandard des europäischen Datenschutzrechts nicht hinreichend gewährleisten können. Der Europäische Gerichtshof hat eindeutig entschieden, dass Datenflüsse aus Europa in die USA ohne zusätzliche Maßnahmen nicht mehr zulässig sind. Microsoft hat mit seiner heute vorgestellten Initiative diese Forderung des Europäischen Gerichtshofs und der für die Durchsetzung der DSGVO zuständigen Datenschutzaufsichtsbehörden in einem ersten Schritt aufgegriffen. Gerade für kleine und mittlere Unternehmen, die auf den unkomplizierten und trotzdem datenschutzkonformen Einsatz von Standardprodukten in besonderem Maße angewiesen sind, ist dies eine ermutigende Nachricht.“ 
Präsident des Bayrischen Landesamt für Datenschutzaufsicht Michael Will

„Bayerische öffentliche Stellen sollten in erster Linie Dienstleistungen in Anspruch nehmen, die auf Datentransfers in Drittländer verzichten. Allerdings wäre es realitätsfremd zu glauben, dass dies für alle gängigen Büroanwendungen möglich ist. Umso wichtiger ist es, wenn auch US-amerikanische Anbieter von Büroanwendungen die Anforderungen der Datenschutz-Grundverordnung erfüllen. Ich halte die aktuellen Vorschläge von Microsoft für einen ersten wichtigen Ausgangspunkt für die kommenden Verhandlungen.“ 
Der Bayerische Landesbeauftragte für den Datenschutz Prof. Dr. Petri

“Die Frage, ob in den USA ein angemessener Datenschutz für europäische Exportunternehmen besteht, ist durch eine Abwägungsentscheidung zu beantworten. Dies war durch die begrenzte Kalkulierbarkeit der bisherigen US-Regierung betriebenen Handelspolitik belastet. Angesichts des Wahlergebnisses kann künftig von einer Verbesserung der Verhandlungssituation ausgegangen werden. Aber auch dann ist ein Verhandlungserfolg nur zu erwarten, wenn die Datenschutzprobleme schrittweise ergebnisoffen auf allen Entscheidungsebenen diskutiert werden. Es kommt nur darauf an, dass die relevanten Argumente auf den Tisch gebracht werden. Wer das macht, ist unerheblich. Die eigentliche Abwägung kann dann aber nur durch die zuständigen Gremien erfolgen.“
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Michael Ronellenfitsch

Eine kritische Auseinandersetzung erfolgt durch Matthias Bergt – Referatsleiter des Referates I B der Berliner Beauftragten für Datenschutz Informationsfreiheit – in seinem Beitrag „Zusatz zu Standardvertragsklauseln: Massenweise Nebelkerzen von Microsoft und manchen Datenschutz-Aufsichtsbehörden“.  


WELCHE NEUEN ERKENNTNISSE IN SACHEN INTERNATIONALER DATENTRANSFER GIBT ES NOCH?

 Unlängst veröffentlichte bereits der Europäische Datenschutzausschuss (EDSA) ein Paper mit Empfehlungen zu „zusätzlichen Maßnahmen“ für Datenübermittlungen in Drittländer. Dieses Dokument enthält erste Handlungsempfehlungen zur Ausgestaltung von Schutzmaßnahmen. Das Papier des EDSA wurde zunächst in eine Öffentliche Konsultation bis zum 21.12.2020 gegeben. 

Zudem veröffentlichte die EU-Kommission am 12.11.2020 – nur einem Tag nach der Veröffentlichung durch den EDSA – den Entwurf der neuen Standard Contractual Clauses. In dieser Sache läuft die öffentliche Konsultation noch bis zum 10.12.2020. 


FAZIT

Seit dem viel zitierten Urteil des EuGH stehen Verantwortliche und Auftragsverarbeiter bei geplanten Datenübermittlung in Drittstaaten vor einigen herausfordernden Aufgaben. Mit dem Vorgehen eines der größten Technologieunternehmen wird zwar – so auch die Aufsichtsbehörden – keines Falles schlagartig die Problematik der Drittsaatentransfers gelöst, insbesondere da die vorgelegte Ergänzung der Standardvertragsklauseln nicht die generelle Zugriffsmöglichkeiten der US-Geheimdienste unterbindet. Den bisher veröffentlichten Stellungnahmen der einzelnen Landesdatenschutzbeauftragten lässt sich dennoch entnehmen, dass die Maßnahme als ein Fingerzeig in die richtige Richtung gewertet werden kann, auch wenn diese Euphorie augenscheinlich nicht von allen Aufsichtsbehörden geschürt wird. Es wird nunmehr eine Bewertung des Vorschlages von Microsoft seitens der Datenschutzkonferenz abzuwarten sein. 

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Datenübermittlungen
  • Drittstaaten
  • Microsoft
  • Schrems II
  • Standardvertragsklauseln
Lesen

EINSATZ VON VIDEOKONFERENZSYSTEMEN

Im Zuge der Corona-Pandemie wurde durch Veränderungen im beruflichen Alltag – insbesondere bei der Durchführung von Meetings und Besprechungen – und einer damit gleichlaufenden Verlagerung von Tätigkeiten ins Homeoffice der Bedarf an Videokonferenzen merklich gesteigert. Mit dem Einsatz und der Verwendung von sogenannten Videokonferenzsystemen gehen eine Vielzahl von datenschutzrechtlichen Fragestellungen einher, welche im folgenden Beitrag näher beleuchtet werden sollen.


WELCHE ARTEN VON VIDEOKONFERENZSYSTEMEN SIND ZU UNTERSCHEIDEN?

Für Verantwortliche bieten sich bei dem Einsatz von Videokonferenzsystem grundsätzlich drei Möglichkeiten:

(1) Betrieb der ausgewählten Software auf eigenen Servern. Diese Lösung wird als sogenannte „on-permise-Lösung“ bezeichnet, also ein Nutzungsmodell auf eigenen IT-Ressourcen. Der Veranstalter der Konferenz ist für die jeweilige Videokonferenz demnach auch der Verantwortliche i.S.d Art. 4 Nr. 7 Datenschutz-Grundverordnung (DS-GVO).

(2) In Abwandlung zur ersten Alternative kann sich der Verantwortliche bei dem Betrieb der Software der Serverleistung eines externen IT-Dienstleisters bedienen. Der auf diesem Wege eingesetzte Dienstleister ist ein Auftragsverarbeiter i.S.d. Art. 4 Nr. 8 DS-GVO.

(3) Schließlich besteht die Möglichkeit, dass Verantwortliche Videokonferenzsysteme über einen cloudbasierten Online-Dienst („Software-as-a-Service“) nutzen. Der Anbieter einer solchen Softwarelösung ist regelmäßig nicht als Verantwortlicher der konkreten Konferenz, sondern als Auftragsverarbeiter zu qualifizieren. Verarbeitet der Anbieter, die im Rahmen der Konferenz übermittelten Daten jedoch zu eigenen Zwecken, ist er für diese Datenverarbeitung insoweit als Verantwortlicher einzustufen.

Je nach Ausgestaltung des Einsatzes der Anwendung müssen Verantwortliche unterschiedlichen Anforderungen nach den Bestimmungen der DS-GVO nachkommen. Dies betrifft allen voran die Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO, wonach der Verantwortliche die Einhaltung der Datenschutzgrundsätze jederzeit nachweisen können muss. Erforderlich ist mithin die Anlage eines Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO. Unter Umständen kann die Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DS-GVO geboten sein. Darüber hinaus ist insbesondere bei dem Einsatz eines Auftragsverarbeiters ein Auftragsverarbeitungsvertrag gemäß Art. 28 Abs. 3 DS-GVO mit dem betroffenen Dienstleister abzuschließen.


AUF WELCHE RECHTSGRUNDLAGE KANN DIE DURCHFÜHRUNG EINER VIDEOKONFERENZ GESTÜTZT WERDEN?

Bei der Durchführung einer Videokonferenz handelt es sich unstreitig um eine Verarbeitung personenbezogener Daten. Zur rechtmäßigen Verarbeitung bedarf es gemäß Art. 5 Abs. 1 lit. a), Art. 6 DS-GVO einer belastbaren Rechtsgrundlage. Die konkrete Erlaubnisnorm ist in Kontext der jeweiligen Verarbeitungssituation zu bestimmen. Erfolgt die Videokonferenz über einen cloudbasierten Dienst, um beispielsweise einen Online-Kurs oder ein Seminar durchzuführen, wird die Verarbeitung regelmäßig zur Erfüllung eines Vertrages gemäß Art. 6 Abs. 1 S. 1 lit. b) DS-GVO erforderlich sein. Ebenso kommt Art. 6 Abs. 1 lit. f) DS-GVO in Betracht. Abhängig vom Einzelfall wird die Teilnehme von Mitarbeitern in vielen Fällen gemäß Art. 88 Abs. 1 DS-GVO i.V.m. § 26 Abs. 1 S. 1 BDSG zur Durchführung des Beschäftigungsverhältnisses erforderlich sein. Daneben kann ebenfalls die Einwilligung der Teilnehmer gemäß Art. 6 Abs. 1 S. 1 lit. a) DS-GVO herangezogen werden.

Außerdem sind weitere Rechtsgrundlagen zu überprüfen, wenn neben der eigentlichen Durchführung der Videokonferenz andere Verarbeitungstätigkeiten durchgeführt werden, beispielsweise die Aufzeichnung der Konferenz oder die Übermittlung personenbezogener Daten in Drittländer.


WER MUSS DIE DATENSCHUTZINFORMATION ERFÜLLEN?

Der Veranstalter einer Videokonferenz muss die Informationspflichten gemäß Art. 13 DS-GVO gegenüber allen Betroffenen erfüllen. Nicht ausreichend ist hierbei auf die Datenschutzinformationen des Diensteanbieters zu verweisen. Diese Hinweise können nicht die Informationspflichten des Verantwortlichen ersetzen. Dieser muss gegenüber den Betroffenen für seinen Verantwortungsbereich den Informationspflichten nachkommen und unter Umständen Betroffenenrechte umsetzen. Von der Informationsverpflichtung werden unter anderem Hinweise zum Verantwortlichen und gegebenenfalls zum Datenschutzbeauftragten, zu den Verarbeitungszwecken sowie zur Rechtsgrundlage für die Verarbeitung, und den berechtigten Interessen, die bei einer Verarbeitung gemäß Art. 6 Abs. 1 S. 1 lit. f) DS-GVO umfasst werden sowie der Speicherdauer. Ferner muss über die Betroffenenrechte und das Beschwerderecht bei der Aufsichtsbehörde informiert werden.

Im Rahmen der Informationspflichten ist insbesondere zu beachten, dass gemäß Art. 13 Abs. 1 lit. f) DS-GVO anzugeben ist, wenn eine Übermittlung personenbezogener Daten in ein Drittland erfolgt und ob diese Übermittlung auf einen Angemessenheitsbeschluss der EU-Kommission oder andere Garantien gestützt wird.

Möglich ist es bspw. den Teilnehmenden einer Videokonferenz im Vorfeld per E-Mail die Informationen zur Verfügung zu stellen. In Betracht gezogen werden kann auch, dass der Text auf der Organisationswebseite zur Verfügung gestellt wird und in der Konferenzeinladung eine entsprechende Verlinkung erfolgt.


WELCHE TECHNISCHEN UND ORGANISATORISCHEN MAßNAHMEN MÜSSEN VERANTWORTLICHE TREFFEN?

Der Verantwortliche muss dafür Sorge tragen, dass nach den Grundsätzen der Art. 5 Abs. 1 lit. f) DS-GVO, Art. 24, Art. 25 und Art. 32 DS-GVO geeignete technische und organisatorische Maßnahmen getroffen werden, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Mittlerweile haben sich folgende generische technische und organisatorische Maßnahmen herausgebildet (Auflistung nicht abschließend):
– Wird keine on-permise-Lösung genutzt, müssen Serverstandorte überprüft werden,
– Verschlüsselte Übertragung (Transportverschlüsselung oder ggf. Ende-zu-Ende-Verschlüsselung),
– Aufzeichnungsfunktion der Konferenz deaktivieren,
– Verhaltensüberwachung beziehungsweise Aufmerksamkeitstracking ausschalten,
– Zugangsbeschränkungen durch Login,
– Zutritt zur Konferenz regeln (beispielsweise über Warteraumfunktionen),
– Möglichkeiten zu Hintergründen und Weichzeichnern (»background blur«) aufzeigen,
– Privacy by Default (Kamera und Mikrofon deaktivieren, Freigabe durch Teilnehmer selbst ermöglichen),
– Löschung von Protokollen und Aufzeichnungen, sobald sie nicht mehr erforderlich sind,
– Datensparsame Zugangsmöglichkeiten (beispielsweise über den Browser oder per Telefon).


WELCHE HERAUSFORDERUNGEN ERGEBEN SICH BEI DEM EINSATZ VON DIENSTLEISTERN IN SOGENANNTEN DRITTSTAATEN?

Herausforderungen ergeben sich außerdem bei einer mit dem Einsatz von Konferenzsystemen verbundenen Übermittlung von personenbezogenen Daten in sogenannte Drittländer, insbesondere die USA, durch beispielsweise den Einsatz eines entsprechenden Dienstleisters. Hierbei rücken – durch die Unzulässigkeitserklärung des sog. Privacy-Shields durch den Europäischen Gerichtshof – die sogenannten Standarddatenschutzklauseln als Legitimationsgrundlage in das Blickfeld der Verantwortlichen. Diese sind jedoch zur Sicherstellung geeigneter Garantien nicht ausreichend. Vielmehr bedarf es der Sicherstellung weiterer technische und organisatorischer sowie rechtlicher Maßnahmen.


FAZIT

Vor der Inbetriebnahme eines entsprechenden Videokonferenzsystems müssen Verantwortliche einzelfallbezogen eine Reihe von datenschutzrechtlichen Anforderungen umsetzen. Nur so kann der rechtkonforme Einsatz gewährleistet werden.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Auftragsverarbeitung
  • Datenschutzinformation
  • Drittstaaten
  • Technische-organisatorische Maßnahmen
  • Videokonferenzen
Lesen

IN DER SACKGASSE: INTERNATIONALER DATENSCHUTZ MIT DER DS-GVO

Zunächst ein warnender Hinweis: Es folgen einige grundsätzliche Gedanken zum Konzept der Datenschutz-Grundverordnung (DS-GVO) für den internationalen Datenschutz. Wer Praxis-Tipps sucht, kann diesen Blog-Beitrag also überspringen – Sie finden unsere Vorschläge zum bestmöglichen Umgang mit der Situation in unserem Beitrag vom 17. August 2020.

Die Entscheidung des Europäischen Gerichtshofs gegen den Privacy Shield (Urteil vom 16.07.2020, Az.: C-311/18, „Schrems II“) wird momentan (auch von uns) wegen der kurzfristigen Folgen für die Datenschutz-Praxis untersucht und diskutiert. Sie gibt aber ebenso Anlass, das Konzept der DS-GVO für den internationalen Datenschutz einmal grundsätzlich zu prüfen.

Ergebnis vorab: Für die Übermittlung personenbezogener Daten in Drittstaaten (Staaten außerhalb des Europäischen Wirtschaftsraums / EWR) stellt die DS-GVO Anforderungen, die in der Praxis nicht erfüllbar sind. Notwendig und wünschenswert ist ein vollständig neues Regelungskonzept, dass auch mit Änderungen des Textes der DS-GVO verbunden wäre. Leider wird in absehbarer Zeit sicher nichts dergleichen in Angriff genommen. Es fehlt schon an einer öffentlichen Diskussion des Problems. So schweigt zum Beispiel auch der Evaluierungsbericht der EU-Kommission vom Juni zu diesem Thema. Im Einzelnen:


DATENÜBERMITTLUNGEN IN ANDERE STAATEN

Die DS-GVO regelt den Datenschutz in der gesamten Europäischen Union (darüber hinaus auch in den EWR-Staaten) einheitlich. Bei Datenübermittlungen innerhalb der EU (also auch aus einem Mitgliedstaat in einen anderen Mitgliedstaat) gelten keine zusätzlichen Anforderungen. Der Datenaustausch von Akteuren in verschiedenen Mitgliedstaaten wird behandelt wie der Datenaustausch innerhalb ein und desselben EU-Staats. Etwas ganz anderes gilt bei Datenübermittlungen an einen Verantwortlichen oder Auftragsverarbeiter außerhalb des EWR: Zusätzlich zu den allgemeinen Anforderungen – vor allem: Rechtsgrundlage für den konkreten Datentransfer und datenschutzkonforme Ausgestaltung – verlangt die DS-GVO entweder einen Angemessenheitsbeschluss der Kommission für den Zielstaat (Art. 45 Abs. 3), geeignete Garantien für ein angemessenes Datenschutzniveau im Zielstaat (Art. 46) oder die Voraussetzungen für eine der Ausnahmeregelungen in Art. 49.


AUSNAHMEREGELUNGEN DES ART. 49 DS-GVO

Artikel 49 regelt ausdrücklich „Ausnahmen“. In den Normalfällen nach Art. 45 Abs. 3 und Art. 46 wird verlangt, dass der Datenempfänger im Drittstaat ein „angemessenes Datenschutzniveau“ gewährleistet. Wenn anfangs vielleicht noch zu diesem Begriff verschiedene Vorstellungen existierten, hat der Europäische Gerichtshof (als letztzuständige Institution für die Auslegung des EU-Rechts) in den Entscheidungen Safe Harbour und Privacy Shield eindeutig geklärt: „Angemessenes Datenschutzniveau“ bei einem Datenempfänger bedeutet, dass dort eine Behandlung der Daten nach den Vorschriften der DSGVO garantiert werden muss. Mit anderen Worten: Die DS-GVO-Pflichten werden auf den ausländischen Datenempfänger „projiziert“; nur wenn der Empfänger diese Pflichten erfüllen wird, darf der Verantwortliche die Daten aus der EU übermitteln.

Ein großes Problem: Jeder Akteur in jedem Staat auf dieser Erde – gleichgültig, ob Unternehmen in Brasilien oder Behörden in Indonesien – unterliegt den jeweiligen nationalen Gesetzen. Vereinfacht und auf den Punkt gebracht: Wenn die nationalen Gesetze in einem Drittstaat nicht vollständig den Datenschutzregeln der DS-GVO entsprechen, kann eine Person oder ein Unternehmen in diesem Drittstaat die Einhaltung der Regelungen der DS-GVO auch nicht gewährleisten. Diese – eigentlich offensichtliche – Tatsache wurde bei Ausgestaltung der „Regelfälle“ in Art. 45 Abs. 3 und Art. 46 DSGVO völlig übersehen:


ANGEMESSENHEITSBESCHLUSS DER KOMMISSION

Artikel 45 DS-GVO sieht vor, dass die EU-Kommission unter anderem Drittstaaten durch Beschluss ein angemessenes Datenschutzniveau attestieren kann (Eine Liste der bisherigen Angemessenheitsbeschlüsse finden Sie hier). Auf dieser Grundlage bzw. der Vorgänger-Richtlinie (RL 95/46/EG) erließ die Kommission auch die Beschlüsse zu Safe Harbour und Privacy Shield. In beiden Fällen entschied der EuGH, die Kommission habe das Datenschutzniveau falsch (nämlich zu günstig) beurteilt. Dies wurde u.a. damit begründet, dass weder Safe Harbour noch Privacy Shield gegen einen Datenzugriff US-amerikanischer Sicherheitsbehörden bei dem jeweiligen Datenempfänger in den USA schützen können.

Es liegt auf der Hand, dass die Kommission eigentlich sofort ihren Angemessenheitsbeschluss betreffend Kanada aufheben müsste. Darin hatte sie ausdrücklich nur für den nicht-öffentlichen Bereich Kanadas (hauptsächlich die dortigen Wirtschaftsunternehmen) ein angemessenes Datenschutzniveau bestätigt. Kanadische Behörden gewährleisten in den Augen der EU keinen ausreichenden Datenschutz (u.a. wegen Einbindung der dortigen Geheimdienste in die von Edward Snowden veröffentlichte massenhafte E-Mail-Auswertung). Die Kommissions-Entscheidung zu Kanada beruht offenbar auf der vom EuGH nun eindeutig abgelehnten Ansicht, Unternehmen eines Staates könnten auch dann angemessenen Datenschutz gewährleisten, wenn nach den dort geltenden staatlichen Gesetzen die Sicherheitsbehörden DS-GVO-widrige Datenverarbeitungen durchführen dürfen.

Ob die anderen Angemessenheitsentscheidungen (u.a. zugunsten Israels) unter diesem Aspekt einer Überprüfung Stand halten würden, mag dahinstehen. Viel wichtiger ist: Für gerade einmal zwölf Staaten hat die Kommission ein gleichwertiges Datenschutzniveau anerkannt; davon besitzen nur sechs eine wirtschaftlich nennenswerte Bedeutung. Für den „ganz normalen“ und notwendigen weltweiten Datenaustausch bietet Art. 45 DS-GVO somit keine Grundlage.


VEREINBARUNGEN ZWISCHEN AKTEUREN

Damit bleibt der Blick auf die in Art. 46 DS-GVO gelisteten Wege. Diese bestehen durchweg in Vereinbarungen zwischen den beteiligten Unternehmen, Behörden etc. oder Selbstverpflichtungen der beteiligten Akteure. Ohne, dass man auf die einzelnen Varianten speziell eingehen müsste (z.B. Binding Corporate Rules, Standardvertragsklauseln, Verhaltensregeln) ist spätestens mit den EuGH-Entscheidungen zu Safe Harbour und Privacy Shield klar: Ein „angemessenes Datenschutzniveau“ setzt nach Auffassung des EuGH stets voraus, dass die beteiligten Akteure auch im Stande sind, ihre Vereinbarungen, Selbstverpflichtungen etc. im jeweiligen Drittstaat einzuhalten. Wenn sie nach dort geltenden Gesetzen oder nach den dortigen Machtverhältnissen gar nicht im Stande sind, die auf dem Papier gegebene Zusagen zu erfüllen, dann bewirken die Datenschutzpapiere (natürlich) auch kein „angemessenes Datenschutzniveau“.

Besonders deutlich wird das Dilemma am Beispiel der Sicherheitsbehörden / Geheimdienste: Für die Datenverarbeitung durch Sicherheitsbehörden der EU-Staaten enthält Art. 2 Abs. 2 DSGVO Ausnahmeregelungen. Sie werden also nicht an den Vorschriften der DS-GVO gemessen. Diese Ausnahmen gelten aber nur für EU-Behörden. Mit anderen Worten: Geheimdienste von Drittstaaten müssen die DS-GVO-Vorgaben einhalten, damit diesen Drittstaaten ein angemessenes Datenschutzniveau zugesprochen wird (so auch die Sichtweise des EuGH). Beim Brexit könnte sich dies auswirken: Solange Großbritannien EU-Mitglied war, benötigten Datenübermittlungen in das Vereinigte Königreich keine zusätzliche Prüfung. Wenn nach Jahresende die Übergangsregelungen ohne Ersatz auslaufen sollten („harter Brexit“), könnte ein „angemessenes Datenschutzniveau“ im Vereinigten Königreich mit Hinweis auf die Tätigkeit der britischen Geheimdienste verneint werden.


FAZIT

Das Modell der DS-GVO für den internationalen Datentransfer ist schlicht nicht praxistauglich. Auf EU-Ebene gibt es jedoch keine Anzeichen für ein grundsätzliches Problembewusstsein und Änderungsbereitschaft. Vernünftige Regelungen sind nicht in Sicht. Denkbar wären verschiedene Lösungen – dazu in einem späteren Beitrag mehr; dieser ist bereits viel zu lang geraten.

    Tags:
  • Datenübermittlungen
  • EU-US-Privacy Shield
  • EuGH
  • Internationaler Datenschutz
  • Kommentar
  • Schrems II
Lesen

DAS EUGH-URTEIL ZUM EU-US-PRIVACY SHIELD

… und dessen Auswirkungen für die Praxis. Der Europäische Gerichtshof (EuGH) hat sich mit Urteil vom 16. Juli 2020 (Az.: C-311/18) – sog. „Schrems II“-Entscheidung – zur Übermittlung personenbezogener Daten in Drittländer positioniert. Mittelpunkt der Entscheidung bildet die Unzulässigkeitserklärung des Beschlusses 2916/1250 der Europäischen Kommission in die USA (sog. „EU-US-Privacy-Shield“). Darüber hinaus stellt der EuGH fest, dass die Entscheidung 2010/87/EG der Europäischen Kommission (sog. „Standardvertragsklausel“) grundsätzlich (zunächst) weithin Gültigkeit behalten.


WAS WURDE ENTSCHIEDEN?

Der Österreicher Max Schrems hatte gegen die Facebook Ireland Ltd. geklagt. In der Begründung brachte er vor, dass Daten der Nutzer des Social-Media-Plattform zu großen Teilen auf den Servern in den Vereinigten Staaten gespeichert werden. In den USA könne jedoch u.a. aufgrund der Zugriffsrechte der US-Geheimdienste kein angemessenes Schutzniveau garantiert werden.

Der EuGH stellte nunmehr in seinem Urteil fest, dass die Übermittlung personenbezogener Daten in die USA auf der Grundlage des EU-US-Privacy Shield unzulässig ist und unverzüglich eingestellt werden muss, weil das durch den EuGH bewertete US-Recht kein Schutzniveau bietet, das dem in der EU im Wesentlichen gleichwertig ist. Somit wurde die Hauptgrundlage für einen Datentransfer zwischen der EU und den USA entzogen. Konsequenz ist, dass der Einsatz der meisten US-Unternehmen wie bspw. Cloudflare, Facebook, Google, LinkedIn, MailChimp Twitter, YouTube, etc. torpediert wurde.


IST EINE DATENÜBERMITTLUNG IN DIE USA WEITERHIN MÖGLICH

Das Urteil hebt nicht den kompletten Datentransfer in die USA auf. Eine Datenübermittlung bleibt weiterhin zulässig, sofern die Voraussetzungen der Art. 44 bis Art. 49 DS-GVO erfüllt sind, d.h. eine gültige Rechtsgrundlage für die Übermittlung von personenbezogenen Daten in ein Drittland vorliegt. Bei den USA handelt es sich um ein solches Drittland. Nach dem Wegfall des Privacy-Shields rücken allem voran die Standardvertragsklauseln (nach Art. 46 Abs. 2 lit. c) DS-GVO „Standarddatenschutzklauseln“ genannt) ins Blickfeld. Diese Klauseln können auch nach Ansicht des EuGHs grundsätzlich eine gültige Rechtsgrundlage für die Datenübermittlung darstellen. Voraussetzung ist jedoch, dass das europäische Datenschutzniveau entsprechend eingehalten wird.

Mittlerweile hat der Europäische Datenschutzausschuss diesbezüglich Leitlinien veröffentlicht, welche Verantwortlichen bei der Anwendung der Norm eine Hilfestellung leisten sollen. Als weitere Handlungsmöglichkeit wird immer häufiger in Betracht gezogen, die betroffenen Personen jeweils in die Übertragung ihrer personenbezogenen Daten in die USA einwilligen zu lassen.


WELCHER HANDLUNGSBEDARF ERGIBT SICH FÜR VERANTWORTLICHE IN DER PRAXIS?

Verantwortliche, die weiterhin personenbezogene Daten in die USA übermitteln wollen, müssen alternative Rechtsgrundlagen wie bspw. die Standardvertragsklauseln in Betracht ziehen und diese entsprechend überprüfen. Hierfür ist es ratsam sich zunächst einen Überblick zu verschaffen, welche US-Dienstleister eingesetzte werden und ob eine Übermittlung personenbezogener Daten von Betroffenen an diese Unternehmen erfolgt.

Ergibt sich nach der Überprüfung, dass Sie den US-Unternehmen personenbezogene Daten Ihrer Nutzer übermitteln, bedarf es anschließend einer Regelung zur Legitimation der Datenübermittlung, z.B. Abschluss von Standardvertragsklauseln, Nutzung einer Einwilligungslösung, Verwendung von Servern innerhalb der EU usw. Bei der Verwendung der Standardvertragsklausel sollte bei den US-Unternehmen nachgehakt werden, wie die vertraglichen Garantien eingehalten werden und durch welche geeigneten technischen Maßnahmen sie den Zugriff der US-Behörden unterbinden.

Insbesondere ergibt sich voraussichtlich auch Handlungsbedarf hinsichtlich der meisten Datenschutzinformationen. So enthalten zahlreiche Informationen einen Hinweis auf den EU-US-Privacy-Shield als Rechtsgrundlage für die Datenübermittlung. Diese Formulierungen sind nunmehr entsprechend anzupassen.

Mittlerweile haben die deutschen Datenschutzaufsichtsbehörden angekündigt, bundesweit Webseiten hinsichtlich der rechtkonformen Einbindung von Tracking-Technologien zu überprüfen (hierzu die Pressemitteilung des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg). Gleichzeitig hat auch Max Schrems mit seiner „NGO noyb“ 101 Beschwerden gegen zahlreiche Unternehmen in Europa eingereicht.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Datenübermittlungen
  • EU-US-Privacy Shield
  • EuGH
  • Schrems II
  • Standardvertragsklauseln
  • USA
Lesen