DATENSCHUTZBEAUFTRAGTE – ERKLÄRBÄR UND VERBÜNDETER, ABER AUCH IMMER FACHLICH GEEIGNET?


WARUM WIRD EIN DATENSCHUTZBEAUFTRAGTER BENÖTIGT?

Weil die Verordnung es, aufgrund von verschiedenen Vorgaben, fordert. Allein mit der Bestellung ist es aber nicht getan, hiernach fängt die Arbeit eigentlich erst an (auch wenn immer noch vielfach falsch verstanden). Der Datenschutzbeauftragte benötigt einen Ansprechpartner, oftmals einen Datenschutzkoordinator, als Schnittstelle zum Unternehmen und berät diesen bei seiner Arbeit und der Umsetzung der Dokumentationspflichten und der Implementierung eines Datenschutzmanagementsystems. So weit, so gut.


WAS, WENN KEINE BESTELLPFLICHT BESTEHT?

Sie sind keinesfalls raus aus der Verantwortung der Umsetzung des Datenschutzes und begeben sich allein auf den steinigen und manchmal schlecht beleuchteten Datenschutzweg. Hierbei stellt sich ebenfalls die Frage, ob derjenige die Voraussetzungen erfüllt oder auch nur die zeitlichen Ressourcen hat, das entsprechende Wissen zu erlangen und die geforderte Dokumentation umzusetzen.


WAS KANN DER DATENSCHUTZBEAUFTRAGTE, WAS SOLLTE ER MITBRINGEN?

Wie sind die Weiterbildungsnachweise verschiedener Institutionen zu bewerten? Sind Juristen die besseren Datenschutzbeauftragten oder Beschäftigte der IT oder wer sonst? Benötigt man überhaupt einen Nachweis oder wie kann eine Eignung festgestellt werden?

Schwierige Fragen und nicht pauschal zu beantworten. Am ehesten gilt: Es kommt darauf an, was jeder Datenschutzbeauftragte aus den Weiterbildungen macht und/oder inwiefern er sich selbständig fortwährend weiterbildet. Nimmt er sich genug Zeit für die Fragen und Antworten? Ist er in der Lage individuell zu reagieren und kann er sich gut anpassen? Im besten Fall ist er sogar empathisch.

Persönlich denke ich, dass der Bereich Datenschutz ein sehr großes Betätigungsfeld ist und nicht jeder alles wissen kann und dennoch zumindest wissen muss, woher Informationen zu bekommen sind. Vor einigen Jahren bin ich bei einem Seminar darauf angesprochen worden, dass es doch recht sportlich sei, als Nicht-Juristin in diesem Bereich anzutreten. Das ist richtig, aber es meint im Umkehrschluss eben auch, dass wir Nicht-Juristen und Nicht-ITler noch einmal mehr lernen müssen. Unmöglich ist es nicht, empfinde ich.


MIT ANDEREN WORTEN: WAS MACHT ER EIGENLICH, DAS UNS HILFT?

Als gesetzliche Vorgabe ist seine Bestellung verstanden, doch wie kann der Datenschutzbeauftragte mit seinem Wissen genutzt werden und wie können dem Unternehmen Vorteile daraus erwachsen? Mit anderen Worten, was macht der eigentlich, das uns hilft?

Ich für mich habe diesen Beruf wie folgt verstanden und erfahre in der Praxis, dass ich zumindest auf dem richtigen Weg zu sein scheine: Wir als Datenschutzbeauftragte sind beratend tätig und versuchen den Menschen in ihrem täglichen Tun Sicherheit zu geben. Sicherheit im Umgang mit Verarbeitungen von personenbezogenen Daten und den zugehörigen Personengruppen. Hier geht es um mehr als das zur Verfügung stellen von vorgefertigten Unterlagen, welche manchmal nur schlecht auf die Bedürfnisse verschiedener Branchen zugeschnitten sind. Oftmals ist es notwendig, Musterdokumente auf spezielle Bedürfnisse anzupassen. Dazu gehört die geduldige Erläuterung, wie und warum die entsprechenden Dokumente eingesetzt werden sollten.

Was ist mit den vielen individuellen Fragen, die von verschiedenen Fragenden ausgehen? Inwieweit betreffen uns die anliegenden Rechtsgebiete zu diesen Fragen? Wie weit geht die Beratungstätigkeit und wie weit darf sie überhaupt gehen? Ich sage dazu, dass alle Fragen gestellt werden dürfen und das die Fachkenntnis des Datenschutzbeauftragten erwägen lässt, inwieweit dies seinen Fachbereich betrifft.

Um die Beschäftigten in ihrer Arbeit sicherer werden zu lassen, sollte der Datenschutzbeauftragte die Verantwortlichen von der Notwendigkeit datenschutzrechtlicher Regelungen überzeugen. Überzeugung wirkt sich immer auch auf andere Beteiligte aus. Eine verabschiedete Richtlinie oder Handlungsanweisung kann für Respekt und vielleicht sogar für Glücksgefühle sorgen, so meine Erfahrung.


JEDE WOCHE GIBT ES NEUE HERAUSFORDERUNGEN

Jede Woche gibt es neue Herausforderungen, in Form von Informationen über Gerichtsurteile, Bußgeldverfahren, Handlungsempfehlungen verschiedener Aufsichtsbehörden (die nicht immer derselben Auffassung sind) und Weiteres. Da die verantwortlichen Stellen in allen Bereichen entsprechende Informationen zu verarbeiten haben, welche oft unmittelbar mit ihrem Geschäftsinhalt zu tun haben, ist die Rolle des Datenschutzbeauftragten umso wichtiger, als das er auch als Verbreiter von Informationen arbeitet – auch hier gilt: vorsortierte Informationen für die jeweilige Branche.

Darf man das erwarten? Ich denke ja, unbedingt. Ein Datenschutzbeauftragter sollte einbezogen werden, befragt, angeschrieben, in Schulungen einbezogen werden – gelöchert werden, solange und so viel es notwendig ist. Weiß er keine Antwort, sollte er recherchieren und sich proaktiv zur Fragestellung verhalten. Der Datenschutzbeauftragte ist Verbündeter, Freund und Helfer und keine Vermeider, auch wenn es manchmal auf den ersten Blick so scheint. Ein guter Datenschutzbeauftragter macht sich mit auf die Suche nach individuellen Lösungen und hat die Herausforderungen im Blick.


WARUM ICH DAS SCHREIBE?

Warum ich das schreibe? Weil ich mich oft frage, wann endlich eine Prüfinstanz für Datenschutzbeauftragte installiert wird. Wann wird es endlich ein Qualitätsmessinstrument geben und wir uns alle daran messen können müssen? Ich hinterfrage meine Arbeit beinahe jeden Tag um die bestmögliche Leistung zu erbringen und lerne jeden Tag hinzu. Ganz ehrlich? Anders würde ich niemals zu dieser verantwortungsvollen Aufgabe antreten wollen und hoffe, dass es allen Kolleginnen und Kollegen ebenfalls um diese Sache geht. Meine Hoffnung liegt in den, hoffentlich bald zu ergründenden, Zertifizierungen und der Erbringung von Fachkenntnis der einzelnen Bearbeiter.

Über die Autorin: Frauke Kühling-Schieferdecker ist Betriebswirtin der Handwerkskammer und ist als externe Datenschutz- und Informationssicherheitsbeauftragte beim Dresdner Institut für Datenschutz tätig. Im Fokus ihrer Beratungstätigkeit liegen insbesondere mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie die Autorin gerne per E-Mail kontaktieren.

    Tags:
  • Bestellpflicht
  • Datenschutzbeauftragter
  • Datenschutzkoordinator
  • Fachkenntnis
  • Tätigkeitsumfang
Lesen

SIE SIND FÜR DIE DATENSCHUTZKOORDINATION ZUSTÄNDIG?

Die Kollegen schauen mitleidig-erleichtert herüber. Sie waren zur falschen Zeit am falschen Ort und haben die Aufgabe der Datenschutzkoordination „überholfen“ bekommen? Es fühlt sich undankbar und unproduktiv an und eigentlich wollten Sie anders wahrgenommen werden! Verantwortung schon, aber doch nicht dieser Kram, den sowieso keiner machen wollte….


DIE TÄTIGKEIT DER DATENSCHUTZKOORDINATION

Ich weiß, wovon Sie sprechen, weil es mir ganz genauso ging – damals, als ich den Datenschutz am Horizont auf mich zukommen sah. Ergeben und etwas maulig nahm ich mich der Sache an. Die erste großartige Erkenntnis: juristisches Kauderwelsch und – für mich – völlig unklare Begrifflichkeiten. Einige Zeit versuchte ich, das Thema zu ignorieren. Recht erfolgreich. Ein paar Mails des externen Datenschutzbeauftragten taten nicht weiter weh.

Dann, ein paar Jahre vor dem 25. Mai 2018 warf die DS-GVO ihre mächtigen Schatten voraus und die Geschäftsführung drängte auf Gespräche, Ergebnisse. Ich kramte die Mails hervor und las mich durch die gesendeten Unterlagen – warum der ganze Zauber eigentlich? Bei den vielen Versuchen zu verstehen, den Sinn der Antwortmails auszumachen, scheiterte ich immer wieder. Nachfragen halfen nur so mäßig weiter und so vergingen gute und schlechte Tage. Was ich unterschätzte war, dass steter Tropfen auch hier den Stein höhlte und ich mit jedem neuen Versuch zu verstehen, wirklich etwas verstand.

Es gelang mir immer besser, auf Kundenanfragen, Mitarbeiteranfragen und Fragen der Geschäftsführung zu antworten. Bald auch auf die Fragen des externen Datenschutzbeauftragten und ich wurde sicherer und ruhiger. So wurde ich immer häufiger eingebunden, nach meiner Einschätzung befragt und konnte weiterhelfen und maßgeblich zur Strukturierung der Arbeitsweise beitragen. Das sorgte für Vertrauen auf allen Seiten. Der Einführung der DS-GVO sahen wir gut vorbereitet entgegen.

Am Ende beschloss ich, mich hauptsächlich diesem Beratungsbereich zu widmen und anderen Menschen einen Zugang zu ihrer Aufgabe in der Datenschutzkoordination zu ermöglichen. Allerdings ist auch zu sagen, dass sich dieser Idee ein langer und manchmal steiniger Weg anschloss und ich hart dafür arbeiten musste, heute „eine vom DID“ sein zu können. Durch verschiedenste Erfahrungen erlaube ich mir, das genauso zu sagen. Heute bin ich geprüfte Datenschutzbeauftragte und zertifizierte Beauftragte für Informationssicherheit und verstehe mich als Dolmetscherin, als Verbündete und als Motivatorin für alle Diejenigen, die sich hier wiederfinden. Und – und das hätte ich zu Beginn dieser Geschichte niemals gedacht – ich mache diese Arbeit unglaublich gerne. Das Fachgebiet ist sehr spannend, ich habe viele, tolle Mandate mit überaus freundlichen und sehr engagierten Datenschutzkoordinatorinnen und -koordinatoren und, ebenfalls sehr wichtig, ein hervorragend ausgebildetes, dynamisches, ehrgeiziges Team aus empathischen und herzlichen Kolleginnen und Kollegen.


WARUM ICH IHNEN MEINE GESCHICHTE ERZÄHLE?

Damit Sie nicht verzweifeln, weil neben der normalen Arbeit, zu welcher Sie eigentlich angetreten sind, der Umsetzung vieler Rechtsvorschriften jetzt noch die Umsetzung des Datenschutzes auf Ihrem Tisch liegt. Versuchen Sie es als Kompliment zu verstehen. Es bedarf besonderen Vertrauens der Geschäftsführung, Ihnen diese Aufgabe zu übergeben. Sie schützen das Unternehmen mit Ihrem Wissen und Ihrem Engagement ein Datenschutzmanagement aufzubauen. Sie kennen das Unternehmen, nach dieser gründlichen Durchleuchtung der Prozesse, wie kaum eine andere Person. Sie werden in der Lage sein, Mitarbeiter, Geschäftsführung wie Kunden zu beraten – man wird auf Sie hören.

Sie werden die Person sein, welche den direkten Kontakt zum externen Datenschutzbeauftragten hält und welche bspw. in der Meldekette für Datenschutzvorfälle ganz oben steht. Sie werden die Menschen unter Umständen schulen, beruhigen, ihnen alle notwendigen Dokumente zur Verfügung stellen, damit sie in ihrem alltäglichen Tun sicher sind. Sie können an Treffen der örtlichen Erfa-Kreise teilnehmen und bekommen aktuelle Informationen des Datenschutzbeauftragten in der Regel mit zuallererst. Mit anderen Worten: Dieser Bereich kann eine große Chance sein, eigene Strukturen zu schaffen und große, positive Wahrnehmung und Respekt zu erfahren.

Wenn ich die Zeilen überfliege, ist dies kein Kondolenzschreiben geworden, sondern eher eine Hommage an die Datenschutzkoordinatorinnen und -koordinatoren die ich kenne und sehr schätze. Wenn Sie Fragen haben oder Anmerkungen, melden Sie sich gerne bei mir – das meine ich völlig ernst. Und herzliche Grüße an Alle, die sich angesprochen fühlen.

Über die Autorin: Frauke Kühling-Schieferdecker ist Betriebswirtin der Handwerkskammer und ist als externe Datenschutz- und Informationssicherheitsbeauftragte beim Dresdner Institut für Datenschutz tätig. Im Fokus ihrer Beratungstätigkeit liegen insbesondere mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie die Autorin gerne per E-Mail kontaktieren.

    Tags:
  • Datenschutzkoordination
  • Datenschutzkoordinator
  • Datenschutzkoordinatorin
  • Erfa-Kreis
  • Erfahrungsbericht
Lesen

DREI JAHRE DATENSCHUTZ-GRUNDVERORDNUNG

Am 25. Mai 2021 jährt sich das Datum zur Anwendbarkeit der Datenschutz-Grundverordnung (DS-GVO) bereits zum dritten Mal. Bestanden in den ersten beiden Jahren die Herausforderungen insbesondere in der Bewältigung des Überraschungsmomentes sowie der Ergründung, medialen Aufbereitung und Beseitigung von Datenschutz-Mythen und Rechtsunsicherheiten, waren die vergangenen zwölf Monate hauptsächlich durch pandemiebedingte Fragestellungen geprägt. Home-Office, Kontaktnachverfolgung und Videokonferenzen – selbstverständlich inklusive der stets mitschwingenden Datenübermittlung in Drittländer – bestimmten in dieser Zeit die Arbeit aller Datenschützenden. Anlass genug für eine kurze Betrachtung des datenschutzrechtlichen Ist-Zustandes.


EVALUATION DER DS-GVO IM JAHR 2020

Gemäß Art. 97 Abs. 1 S. 1 DS-GVO hatte die Kommission bis zum 25. Mai 2020 dem Europäischen Parlament und dem Rat einen Bericht über die Bewertung und Überprüfung der DS-GVO vorzulegen. Dieser wurde mit rund einem Monat Verspätung am 24. Juni 2020 veröffentlicht. Gegenstand dieses Berichts können gemäß Art. 97 Abs. 2 DS-GVO insbesondere die Anwendung und Wirkweise des Kapitels V der DS-GVO über die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen sowie des Kapitels VII bezüglich der Zusammenarbeit und Kohärenz der Aufsichtsbehörden sein. Die Kommission hat dabei die Möglichkeit unter Berücksichtigung der Entwicklungen in der Informationstechnologie und die Fortschritte in der Informationsgesellschaft geeignete Vorschläge zur Änderung der Verordnung vorzulegen.

In ihrem Bericht zieht die Kommission eine überwiegend positive Bilanz, greift in den Ausführungen aber insbesondere hinsichtlich der Zusammenarbeit der Aufsichtsbehörden untereinander zu kurz. Zwar ist hervorzuheben, dass die (personelle) Ausstattung der Aufsichtsbehörden zur Sicherstellung ihrer Aufgaben und Befugnisse gemäß Artt. 57, 58 DS-GVO nicht den aktuellen Anforderungen entspricht, jedoch stellt dies nur ein Teil des wesentlichen Problems dar. Im Speziellen am Beispiel der irischen Datenschutzaufsichtsbehörde wird deutlich, dass das sogenannte „One-Stop-Shop-Prinzip“ Potenzial zu Nachbesserungen bietet: Von 197 bei der irischen Aufsichtsbehörde anhängigen Verfahren, liegen gerade einmal zu vier Verfahren Entscheidungen vor.


DAS PROBLEM MIT DER DRITTLANDÜBERMITTLUNG

Mit Urteil vom 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) in der „Schrems II“-Entscheidung das sogenannte „EU-US-Privacy Shield“ für unzulässig erklärt. Die Begründung liegt darin, dass innerhalb der USA insbesondere aufgrund der Zugriffsmöglichkeiten von Geheimdiensten Datenverarbeitungen keinem gleichwertigen Datenschutzniveau unterliegen. Zwar sind Datenübermittlungen in die USA weiterhin möglich, beispielsweise unter Nutzung der Standardvertragsklauseln, jedoch sind hierbei technische und organisatorische Maßnahmen zu treffen, um einen möglichen Zugriff seitens der US-Behörden grundsätzlich auszuschließen.

Speziell im Bereich von Internetseiten, z.B. bei der Implementierung von US-amerikanischen Videodiensten, stellt sich immer wieder die Frage, auf welche Rechtsgrundlage nach Kapitel V der DS-GVO  die Datenverarbeitung gestützt werden kann. Insbesondere unter Berücksichtigung der Rechtsprechung des EuGH und BGH zur Cookie-Thematik drängt sich hierbei oftmals die ausdrückliche Einwilligung der betroffenen Person gemäß Art. 49 Abs. 1 S. 1 lit. a DS-GVO auf. Strittig ist dabei jedoch, ob die „Ausnahmen für bestimmte Fälle“ nach Art. 49 DS-GVO überhaupt im Rahmen von Internetseiten und den damit einhergehenden regelmäßigen Datenverarbeitungen und einer Vielzahl von Anwendungsfällen herangezogen werden dürfen. Wird dies verneint – eine nicht selten vertretene Meinung – führt das zwangsläufig zum Ausschluss derartiger Inhalte mit datenschutzrechtlichem Drittlandbezug. An dieser Stelle tritt bei Seitenbetreibern vor allem bei Diensten mit fehlenden gleichwertigen Alternativen innerhalb der EU schnell Ernüchterung ein. Es muss somit die Frage erlaubt sein, ob sich der internationale Datenschutz mit der DS-GVO in der Sackgasse befindet.


HERAUSFORDERUNGEN IN DER PANDEMIE

Im Rahmen der Pandemiebekämpfung wurden vermehrt Stimmen nach einer Lockerung des Datenschutzes beziehungsweise zu einer größeren Flexibilität in der Anwendung datenschutzrechtlicher Regelungen laut. Hierbei wird oft vergessen, dass es sich bei dem Recht auf informationelle Selbstbestimmung um ein aus den Grundrechten hergeleitetes Recht eines jeden Einzelnen handelt. Datenschutz ist somit Grundrechtsschutz.

Auch die Behauptung, der Datenschutz habe 70.000 Todesfälle verursacht, entbehrt jeglicher Grundlage. Ein exakter Blick auf die Normen der DS-GVO ergibt schnell: Datenverarbeitungen zum Schutz „lebenswichtiger Interessen“ (Art. 6 Abs. 1 S. 1 lit. d DS-GVO) sind ebenso ausdrücklich vorgesehen und zulässig wie Datenverarbeitungen „aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren“ (Art. 9 Abs. 2 lit. i DS-GVO). Auch ein Blick in andere Länder zeigt, dass Datenschutz und ein erfolgreiches Pandemiemanagement einander nicht widersprechen müssen. Das in diesem Zusammenhang oftmals positiv vorangestellte Land Israel hat bereits im Jahr 2011 ein den europäischen Regelungen gleichwertiges Datenschutzniveau attestiert bekommen. Und auch in anderen Bereichen scheinen die rechtlichen Gegebenheiten nicht sonderlich von den hiesigen abzuweichen.

Oft in Vergessenheit gerät zudem, dass durch den Datenschutz und die Aufsichtsbehörden im Rahmen der Pandemiebekämpfung zahlreiche Maßnahmen mitgetragen werden. Seien es die vielfältigen Listen zur Kontaktnachverfolgung in Restaurants, Geschäften sowie im Rahmen körpernaher Dienstleistungen, die Realisierung von (nicht immer ganz datenschutzkonformen) Homeoffice-Lösungen oder die Nutzung von Videokonferenzsystemen mit Drittlandbezug. Letztgenanntes ist insbesondere im Zusammenhang mit Homeschooling ein viel diskutiertes Thema. Aber hat sich tatsächlich der Datenschutz die Defizite in diesem Bereich zuzuschreiben?


DER SCHLECHTE RUF DES DATENSCHUTZES

Vielfach steht der Datenschutz im Fokus diverser und kontroverser Diskussionen. Diese haben dabei häufig eines gemeinsam: Der Datenschutz verhindere ein bestimmtes Vorgehen oder verbaue Chancen und Möglichkeiten. Leider wird im Hinblick auf solche Debatten zu selten der tatsächliche Wahrheitsgehalt derartiger Behauptungen überprüft. Damit soll nun keine absolut konträre Darstellung erfolgen, grundsätzlich sei alles möglich. Durch die datenschutzrechtlichen Regelungen werden jedoch viel eher Rahmenbedingungen festgelegt, die datenverarbeitende Stellen zu achten und durch technische und organisatorische Maßnahmen sicherzustellen haben. Abstrakt betrachtet gilt Gleiches für eine Vielzahl weiterer Rechtsgebiete.

Dem Datenschutz fehlt es eindeutig an gutem Marketing. Hier gilt es in den nächsten Jahren große Arbeit zu leisten. Denn durch die zunehmende Digitalisierung werden auch die datenschutzrechtlichen Themen weiterhin an Bedeutung, aber auch an Komplexität gewinnen. Großes Potenzial bietet hierzulande die Verbesserung von Koordination und Kommunikation der datenschutzrechtlichen Aufsichtsbehörden untereinander. Deutschland bietet mit seinen 16 Bundesländern ein beachtliches Ausmaß von 17 Landesdatenschutzbeauftragten, ergänzt durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Im Zweifelsfall ergibt sich somit ein Konvolut an datenschutzrechtlichen Auffassungen zu identischen Sachverhalten in Deutschland. Dem Laien kann es in diesem Fall nur an Verständnis fehlen, wenn die DS-GVO auf eine europaweite Vereinheitlichung des Datenschutzrechts abzielt, dann aber Sachverhalte in Berlin und Potsdam jeweils kaum unterschiedlicher bewertet werden könnten. Ein mögliches Instrument besteht hierbei in Form der sogenannten „Datenschutzkonferenz“ (DSK) bereits.

Dass die DS-GVO grundsätzlich ein großes Potenzial bietet und einen Schritt in die richtige Richtung geht, ist kaum zu bestreiten. Das zeigen auch die zahlreichen „Nachahmungen“ der DS-GVO in anderen Ländern und Regionen, wie z.B. Brasilien oder Kalifornien. Nur bedarf es einer stetigen Beobachtung der technischen und rechtlichen Rahmenbedingungen sowie eine damit einhergehende Weiterentwicklung der datenschutzrechtlichen Normierungen. Zukünftige Evaluationen sollten diesen Anforderungen in ausreichendem Umfang Rechnung tragen. In diesem Sinne können wir nur gespannt darauf warten, welche Herausforderungen uns das vierte Jahr der DS-GVO bieten wird.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Corona-Pandemie
  • Datenschutz-Grundverordnung
  • Datenschutzkonferenz
  • Drittlandübermittlung
  • Evaluation
Lesen

MESSENGER-DIENSTE UND DATENSCHUTZ – „WÜRDE ICH SELBST WOLLEN, DASS…?“

Die Nutzung von Messenger-Diensten stellt die Datenschutzbeauftragten von Unternehmen, Behörden, Kommunen und Schulen regelmäßig vor (datenschutz-)rechtliche Herausforderungen. Der unkomplizierten und zeitsparenden Kommunikationsmöglichkeit stehen meist erhebliche Bedenken hinsichtlich der intransparenten Verarbeitung personenbezogener Daten gegenüber. Ein datenschutzkonformer Einsatz ist im dienstlichen Umfeld oftmals nicht möglich. Doch auch im Rahmen der privaten Nutzung sollte die Wahl eines geeigneten Messenger-Dienstes sorgfältig geprüft werden. Die Aktualisierung der Geschäftsbedingungen von WhatsApp sorgt nun für ein Umdenken vieler Nutzer.


DIE NUTZUNG VON WHATSAPP IM DIENSTLICHEN UMFELD

Erst im Mai des vergangenen Jahres äußerte sich der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) Prof. Ulrich Kelber dahingehend, dass der Einsatz von WhatsApp für Bundesbehörden ausgeschlossen ist. Der Argumentation folgend dürfte Selbiges auch für weitere Behörden und Kommunen gelten. Aber auch hinsichtlich der Nutzung des Messenger-Dienstes an Schulen fällt das Urteil der Landesdatenschutzbeauftragten bereits seit längerer Zeit negativ aus. Weiterhin wird auch die Nutzung von WhatsApp zur betrieblichen Kommunikation in Unternehmen in der Regel als datenschutzrechtlich unzulässig einzustufen sein. Die Begründungen der einzelnen Aufsichtsbehörden fallen meist ähnlich aus:

(1) Bei einer Nutzung von WhatsApp findet eine Übermittlung von Namen und Telefonnummern aus dem Adressbuch des Nutzenden statt. Hierbei werden auch diejenigen Kontakte an WhatsApp übermittelt, die den Messenger-Dienst nicht nutzen. Außerhalb der privaten Nutzung ist hierfür eine Rechtsgrundlage gemäß Art. 6 Abs. 1 DS-GVO (Datenschutz-Grundverordnung) erforderlich, welche in den allermeisten Fällen jedoch nicht vorliegt: Eine Interessenabwägung wird aufgrund der intransparenten Datenverarbeitung regelmäßig gegen die Nutzung von WhatsApp ausfallen, das Einholen von Einwilligungen aller Adressbucheinträge ist in der Praxis nahezu unmöglich.

(2) Bei der Nutzung von WhatsApp und insbesondere im Rahmen des zuvor beschriebenen Kontaktbuchabgleichs findet eine Übermittlung personenbezogener Daten in die USA statt. Da es sich bei den USA um einen datenschutzrechtlichen Drittstaat handelt, sind hierbei die besonderen Anforderungen der Artt. 44 ff. DS-GVO zu beachten. Den Abschluss von Standardvertragsklauseln, die eine Datenübermittlung unter bestimmten Umständen legitimieren könnten, bietet WhatsApp jedoch nicht an.

(3) Weiterhin nutzt WhatsApp durch die Kommunikationsverläufe aggregierte personenbezogene Daten für eigene Zwecke. Zwar findet grundsätzlich eine Ende-zu-Ende verschlüsselte Kommunikation statt, dies gilt jedoch grundsätzlich nur für die Inhalte der Gesprächsverläufe und nicht für die dabei anfallenden Metadaten. Hierzu gehören insbesondere IP-Adressen, Standortdaten, Zeitstempel, Angaben zu Sender und Empfänger sowie weitergehende Informationen über das Smartphone und Betriebssystem. Es ist somit grundsätzlich möglich eine detaillierte Profilbildung über die Nutzenden vorzunehmen. Auf die Aussage des BfDI Prof. Ulrich Kelber, es sei davon auszugehen, dass WhatsApp diese Daten an Facebook weitergebe, entgegnete WhatsApp lediglich, dass eine Übermittlung dieser Daten nicht stattfinde. Auch im Rahmen der überarbeiteten WhatsApp Datenschutzrichtlinie erfolgt jedoch ausschließlich eine recht allgemeine Beschreibung der Verwendungszwecke.

(4) Zudem ist anzumerken, dass die Datenverarbeitungen von WhatsApp zu Teilen nicht transparent und präzise dargestellt werden und demnach nicht den Anforderungen des Art. 12 Abs. 1 S. 1 DS-GVO entsprechen. In der WhatsApp Datenschutzrichtlinie heißt es beispielsweise: „Aus diesen Gründen und auf diese Weise verarbeiten wir deine Daten: Zur Bereitstellung von Messungen, Analysen und sonstigen Unternehmensservices, wenn wir die Daten als Datenverantwortlicher verarbeiten. Berechtigte Interessen, auf die wir uns stützen: Zur Bereitstellung genauer und zuverlässiger aggregierter Berichte für Unternehmen und sonstige Partner, um eine genaue Preisgestaltung und genaue Leistungsstatistiken zu gewährleisten, und um den Wert aufzuzeigen, den unsere Partner durch die Nutzung unserer Dienste realisieren; und im Interesse von Unternehmen und sonstigen Partnern, um ihnen zu helfen, Erkenntnisse über ihre Kunden zu erlangen und ihre Geschäfte zu verbessern und unsere Preismodelle zu validieren, die Effektivität und Verbreitung ihrer Dienste und Nachrichten zu bewerten und Aufschluss darüber zu erlangen, wie die Menschen mit ihnen auf unseren Diensten interagieren.Verwendete Datenkategorien: Wir verwenden Informationen, die in den Abschnitten Informationen, die du zur Verfügung stellst, Automatisch erhobene Informationen und Informationen Dritter dieser Datenschutzrichtlinie zu diesen Zwecken. […].“ [Unterstreichungen durch den Autor]. Ob eine derartige allgemeine Beschreibung der Datenverarbeitung und unter Nutzung unzähliger Verweise den Anforderungen einer präzisen, transparenten, verständlichen und leicht zugänglichen Datenschutzinformation genügen, ist äußerst fraglich.

Weitere Kritikpunkte lauten, dass der Quellcode von WhatsApp nicht offengelegt wird, keine näheren Informationen zu gegebenenfalls bestehenden Sicherheitsaudits vorliegen und darüber hinaus Tracker zur Analyse des Nutzungsverhaltens eingebunden sind. Grundsätzlich ähnliche Bedenken gelten auch hinsichtlich der Nutzung von Telegram. Dieser Dienst wird zu Unrecht oft als geeignete Alternative empfohlen.


DIE NUTZUNG VON MESSENGER-DIENSTEN IM PRIVATEN UMFELD

Doch auch im Rahmen der privaten Nutzung von Messenger-Diensten, für die die Regelungen der DS-GVO regelmäßig nicht einschlägig sind, sollten datenschutzrechtliche Aspekte schon vor der Wahl eines bestimmten Dienstes berücksichtigt werden. Denn bereits aus der Erhebung von Metadaten lassen sich weitestgehend Rückschlüsse zum Verhalten einzelner Personen ziehen.

Nicht selten wird einer datenschutzversierten Person hinsichtlich datenschutzrechtlicher Bedenken das Argument entgegengehalten, dass ein solches Geschäftsmodell billigend in Kauf genommen werde, da man ohnehin nichts zu verbergen habe. Dass eine solche Argumentation wesentlich zu kurz greift, dürfte einem Jeden mit Blick auf einzelne Berichte bewusstwerden, wonach soziale Netzwerke durchaus in der Lage sind anhand psychologischer Analysen nutzende Personen auszumachen, die sich „nervös“, „gestresst“, „überfordert“, „ängstlich“, „dumm“, „nutzlos“ oder „wie ein Versager“ fühlen. Für Werbetreibende bestehe daraufhin die Chance, diesen Personen durch Werbung in derartigen Situationen gezielt anzusprechen.

Aber auch fernab von solchen Szenarien sollte die Praxis vieler Messenger-Dienste hinsichtlich des zwingenden Kontaktbuchabgleichs ebenfalls im privaten Kontext kritisch hinterfragt werden. Zwar sind die Regelungen der DS-GVO im Rahmen ausschließlich persönlicher oder familiärer Tätigkeiten gemäß Art. 2 Abs. 2 lit. c DS-GVO nicht einschlägig, jedoch greift bei Datenverarbeitungen im privaten Umfeld oftmals das allgemeine Persönlichkeitsrecht. Frei nach Kant gilt es hierbei sich zu fragen: „Würde ich selbst wollen, dass Freunde und Bekannte meine Telefonnummer an Internetdienste weitergeben, zu denen ich in keinerlei Verbindung stehe?“ Eine solche ungewollte Offenlegung von Kontaktdaten findet zudem meist schon auf einer niedrigeren Ebene statt: Durch Hinzufügen zu Gruppenchats werden bei einigen Messenger-Diensten für alle Mitglieder sichtbar die Telefonnummern sämtlicher Teilnehmer ungewollt dargestellt. Hier gilt es die Verwendung alternativer Messenger-Dienste zu prüfen.


DATENSCHUTZFREUNDLICHE ALTERNATIVEN

Wer nun gerne auf eine datenschutzfreundlichere Alternative umsteigen möchte, hat zwischenzeitlich die Auswahl zwischen mehreren Anbietern. Eine direkte Vergleichsmöglichkeit bietet unter anderem die Übersicht von Mike Kuketz. Die gängigsten datenschutzfreundlichen Alternativen dürften in dieser Darstellung die Messenger-Dienste Threema sowie Signal sein. Auch der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg unterstützt grundsätzlich den Einsatz von Threema als datenschutzkonforme Alternative. Der Messenger-Dienst aus der Schweiz bietet zudem im dienstlichen Umfeld die Version „Threema Work“ an. Bei einem Einsatz dieser Version ist der Abschluss eines Vertrages zur Auftragsverarbeitung möglich, um den Anforderungen des Art. 28 DS-GVO nachkommen zu können.


FAZIT

Sowohl im dienstlichen als auch im privaten Umfeld sollten bei einem Einsatz von Messenger-Diensten die datenschutzrechtlichen Anforderungen betrachtet werden. Hierbei ist abzuwägen welche konkreten (funktionellen) Anforderungen an einen Messenger-Dienst bestehen und wie dieser datenschutzkonform eingesetzt werden kann. Auch wenn im privaten Umfeld keine Sanktionen gemäß den Regelungen der DS-GVO drohen, schadet ein Umdenken auch hier sicherlich nicht. Für unentschlossene WhatsApp-Nutzende verbleibt eine gewisse Bedenkzeit: Die neuen Nutzungsbedingungen gelten nunmehr erst ab dem 15. Mai 2021 verbindlich.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Kommentar
  • Messenger
  • Signal
  • Telegram
  • Threema
  • WhatsApp
Lesen

ORIENTIERUNGSHILFE DER DSK: ORIENTIERUNG? HILFE?

Am 23. Oktober 2020 hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (kurz: Datenschutzkonferenz [DSK]) eine Orientierungshilfe zum Einsatz von Videokonferenzsystemen herausgegeben. Die sich hieraus ergebenden datenschutzrechtlichen Anforderungen haben wir bereits in der letzten Woche dargestellt. Der folgende Beitrag setzt sich kritisch mit der Frage auseinander, ob die Orientierungshilfe der DSK ihrem Namen gerecht wird. Antwort vorweg: Ja, aber. Für Datenschutz-Praktiker ist die Orientierungshilfe teils wirklich hilfreich und definitiv lesenswert.


HILFREICH UND LESENSWERT – ABER:

Auf 25 Seiten (!) werden oft allgemeine Datenschutzgrundsätze wiederholt, statt sie auf das Thema anzuwenden. Man muss (bestenfalls) schmunzeln, wenn mittendrin (Seite 13 unten und Seite 14 oben, unter Ziff. 3.5.1) von den Verantwortlichen etwas verlangt wird, das die Datenschutzkonferenz nicht schafft: Informationen, die „für einen durchschnittlichen Nutzer des Dienstes ohne übermäßigen Aufwand verständlich sind“. „Übermäßig komplexe Formulierungen und technische oder juristische Fachbegriffe sollten vermieden werden“. In dieser Hinsicht gut gelungen ist die anfängliche Unterscheidung zwischen möglichen Betriebsmodellen (On-Premise, externer IT-Dienstleister, Online-Dienst). Aber: Zwischen den beiden letztgenannten Fällen besteht datenschutzrechtlich kein nennenswerter Unterschied. Ausreichend wäre die Differenzierung: Auftragsverarbeiter beteiligt – ja oder nein.

Nicht überraschend, trotzdem ärgerlich ist, dass die DSK ganz schwierige aktuelle Themen (nämlich gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO und Drittstaatstransfer, insbesondere in die USA) anspricht, ohne brauchbare Aussagen zu treffen:

Beim Thema gemeinsamer Verantwortlichkeit (in der Orientierungshilfe unter Ziff. 3.3) dürfte für Videokonferenzsysteme richtig sein, dem Dienstleister eine Datenverarbeitung zu eigenen Zwecken schlicht zu untersagen. Die nach der EuGH-Rechtsprechung schwierige Frage der Abgrenzung zwischen separaten Verarbeitungen verschiedener Verantwortlicher und der Verarbeitung in gemeinsamer Verantwortlichkeit stellt sich dann nicht.

Hinsichtlich des Drittstaat-Transfers (insbesondere in die USA): Fast alle Anbieter von Videokonferenzsystemen sind entweder selbst in den USA tätig oder haben dort ansässige Sub-Auftragsverarbeiter eingeschaltet. Die Ausführungen des EuGH im Urteil Schrems II (16.07.2020, Rechtssache C-311/18) laufen darauf hinaus, dass DS-GVO-Verantwortliche für ein angemessenes Datenschutzniveau bei Datenempfängern in den USA den Zugriff dortiger Geheimdienste insbesondere nach FISA 702 ausschließen müssen. Dies ist (natürlich) unmöglich. Weder die Datenschutzkonferenz, noch der Europäische Datenschutzausschuss können dafür Wege aufzeigen. Sie behelfen sich mit (richtigen, aber völlig inhaltsleeren) Formulierungen: Die Verantwortlichen müssten im Einzelfall sorgfältig prüfen, angemessene Maßnahmen ergreifen, Datenschutz-Grundsätze beachten – und so weiter und so fort (in der Orientierungshilfe S. 16-18 unter 3.5.6). Sehr viel konkreter und konsequenter ist die Empfehlung, soweit irgend möglich auf Drittstaats-Transfers zu verzichten, also EU-Dienstleister zu bevorzugen (z.B. LfDI Baden-Württemberg). Aber ist eine „Daten-Insel EU“ lebensnah? Die Orientierungshilfe Videokonferenzsysteme geht insoweit immerhin an die Grenzen offizieller Äußerungen, wenn sie schreibt: „Es bedarf noch weiterer Analysen, um im Lichte dieser vom EuGH klargestellten Anforderungen konkretere Aussagen dahingehend treffen zu können, ob […] personenbezogene Daten in die USA […] übermittelt werden können“ (Ziff. 2.3, Seite 7 unten). Eine „eingehende Analyse“ der EuGH-Entscheidung war bei Entstehung der Orientierungshilfe, drei Monate nach dem EuGH-Urteil, natürlich längst abgeschlossen. Sie führt eben zu dem unerträglichen, praktisch nicht umsetzbaren Ergebnis, dass mit den Anforderungen des EuGH keine Übermittlung personenbezogener Daten in die USA (und viele Staaten dieser Welt) möglich ist.


ORIENTIERUNGSHILFE IN TEILEN MISSVERSTÄNDLICH

In einer kurzen und übersichtlichen Orientierungshilfe hätten zwei typische Datenschutz-Gefahren bei Videokonferenzsystemen mehr Beachtung verdient:

Teilnehmer an Videokonferenzen sind meist über die Funktionen der Software nicht ausreichend informiert, also höchst unsicher in deren Handhabung. Nutzer werden ganz ohne Vorbereitung oder mit Einweisung unter hohem Zeitdruck „allein gelassen“. Oft genug müssen sie „im Selbstversuch“ herausfinden, wie die Software funktioniert, wie z.B. Video- und Audiofunktionen aktiviert / deaktiviert werden. Eine kurze Unterweisung des Nutzers vor Einsatz der Software ist deshalb (auch) unter Datenschutz-Aspekten obligatorisch.

Der heimliche „Mitschnitt“ von Ton (und Bild) wird von vielen Nutzern nicht als strafbar (§ 201 StGB) erkannt. Die Mitschnittmöglichkeit nehmen viele Nutzer als zusätzlichen Vorteil der Videokonferenzsysteme (im Vergleich mit traditionellen persönlichen Treffen) wahr, von der man (spielerisch oder „vorsorglich“) Gebrauch macht. Darin liegt eines der größten Datenschutz-Risiken beim Einsatz von Videokonferenzsystemen. In der Orientierungshilfe wird es unter Ziff. 3.4.8 (Seite 13) nur sehr versteckt erwähnt.

Zuletzt zwei Punkte, bei denen die Orientierungshilfe in die Irre führt:

(1) Entgegen Ziff. 4.2.4 (dort dritter Spiegelstrich) sind Gastzugänge bei Videokonferenzsystemen nicht nur zulässig, wenn alle Teilnehmer „untereinander bekannt sind“. Vielmehr dürfen Systeme auch mit völlig offenem Teilnehmerkreis betrieben werden. Notwendig ist dafür nur, dass die offene Teilnahme bekannt ist (Beispiel: Online-Besprechung einer Bürgerinitiative).

(2) In Ziff. 4.8 verlangt die Orientierungshilfe, dass Teilnehmende die technische Möglichkeit haben müssten, „Kamera und Mikrofon auszuschalten, wobei getrennte Deaktivierungsmöglichkeiten für Audio- und Videoübertragung vorzusehen sind“. Eine solche „Abschaltmöglichkeit“ ist datenschutzrechtlich nirgends generell vorgeschrieben. Es gibt im Gegenteil sogar Anwendungsfälle (z.B.: Bild- und Tonübertragung bei Hauptversammlungen von Aktiengesellschaften), bei denen die lückenlose Übertragung der versammlungsleitenden Personen rechtlich gefordert wird.


FAZIT

Dank an die DSK für die Stellungnahme zu einem Thema, das in Corona-Zeiten naturgemäß jeden Datenschutzbeauftragten beschäftigt. Bitte an die DSK: Orientierungshilfen noch kürzer, klarer, konkreter.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht.

    Tags:
  • Datenschutzkonferenz
  • Kommentar
  • Orientierungshilfe
  • Schrems II
  • Videokonferenzen
Lesen

IN DER SACKGASSE: INTERNATIONALER DATENSCHUTZ MIT DER DS-GVO

Zunächst ein warnender Hinweis: Es folgen einige grundsätzliche Gedanken zum Konzept der Datenschutz-Grundverordnung (DS-GVO) für den internationalen Datenschutz. Wer Praxis-Tipps sucht, kann diesen Blog-Beitrag also überspringen – Sie finden unsere Vorschläge zum bestmöglichen Umgang mit der Situation in unserem Beitrag vom 17. August 2020.

Die Entscheidung des Europäischen Gerichtshofs gegen den Privacy Shield (Urteil vom 16.07.2020, Az.: C-311/18, „Schrems II“) wird momentan (auch von uns) wegen der kurzfristigen Folgen für die Datenschutz-Praxis untersucht und diskutiert. Sie gibt aber ebenso Anlass, das Konzept der DS-GVO für den internationalen Datenschutz einmal grundsätzlich zu prüfen.

Ergebnis vorab: Für die Übermittlung personenbezogener Daten in Drittstaaten (Staaten außerhalb des Europäischen Wirtschaftsraums / EWR) stellt die DS-GVO Anforderungen, die in der Praxis nicht erfüllbar sind. Notwendig und wünschenswert ist ein vollständig neues Regelungskonzept, dass auch mit Änderungen des Textes der DS-GVO verbunden wäre. Leider wird in absehbarer Zeit sicher nichts dergleichen in Angriff genommen. Es fehlt schon an einer öffentlichen Diskussion des Problems. So schweigt zum Beispiel auch der Evaluierungsbericht der EU-Kommission vom Juni zu diesem Thema. Im Einzelnen:


DATENÜBERMITTLUNGEN IN ANDERE STAATEN

Die DS-GVO regelt den Datenschutz in der gesamten Europäischen Union (darüber hinaus auch in den EWR-Staaten) einheitlich. Bei Datenübermittlungen innerhalb der EU (also auch aus einem Mitgliedstaat in einen anderen Mitgliedstaat) gelten keine zusätzlichen Anforderungen. Der Datenaustausch von Akteuren in verschiedenen Mitgliedstaaten wird behandelt wie der Datenaustausch innerhalb ein und desselben EU-Staats. Etwas ganz anderes gilt bei Datenübermittlungen an einen Verantwortlichen oder Auftragsverarbeiter außerhalb des EWR: Zusätzlich zu den allgemeinen Anforderungen – vor allem: Rechtsgrundlage für den konkreten Datentransfer und datenschutzkonforme Ausgestaltung – verlangt die DS-GVO entweder einen Angemessenheitsbeschluss der Kommission für den Zielstaat (Art. 45 Abs. 3), geeignete Garantien für ein angemessenes Datenschutzniveau im Zielstaat (Art. 46) oder die Voraussetzungen für eine der Ausnahmeregelungen in Art. 49.


AUSNAHMEREGELUNGEN DES ART. 49 DS-GVO

Artikel 49 regelt ausdrücklich „Ausnahmen“. In den Normalfällen nach Art. 45 Abs. 3 und Art. 46 wird verlangt, dass der Datenempfänger im Drittstaat ein „angemessenes Datenschutzniveau“ gewährleistet. Wenn anfangs vielleicht noch zu diesem Begriff verschiedene Vorstellungen existierten, hat der Europäische Gerichtshof (als letztzuständige Institution für die Auslegung des EU-Rechts) in den Entscheidungen Safe Harbour und Privacy Shield eindeutig geklärt: „Angemessenes Datenschutzniveau“ bei einem Datenempfänger bedeutet, dass dort eine Behandlung der Daten nach den Vorschriften der DSGVO garantiert werden muss. Mit anderen Worten: Die DS-GVO-Pflichten werden auf den ausländischen Datenempfänger „projiziert“; nur wenn der Empfänger diese Pflichten erfüllen wird, darf der Verantwortliche die Daten aus der EU übermitteln.

Ein großes Problem: Jeder Akteur in jedem Staat auf dieser Erde – gleichgültig, ob Unternehmen in Brasilien oder Behörden in Indonesien – unterliegt den jeweiligen nationalen Gesetzen. Vereinfacht und auf den Punkt gebracht: Wenn die nationalen Gesetze in einem Drittstaat nicht vollständig den Datenschutzregeln der DS-GVO entsprechen, kann eine Person oder ein Unternehmen in diesem Drittstaat die Einhaltung der Regelungen der DS-GVO auch nicht gewährleisten. Diese – eigentlich offensichtliche – Tatsache wurde bei Ausgestaltung der „Regelfälle“ in Art. 45 Abs. 3 und Art. 46 DSGVO völlig übersehen:


ANGEMESSENHEITSBESCHLUSS DER KOMMISSION

Artikel 45 DS-GVO sieht vor, dass die EU-Kommission unter anderem Drittstaaten durch Beschluss ein angemessenes Datenschutzniveau attestieren kann (Eine Liste der bisherigen Angemessenheitsbeschlüsse finden Sie hier). Auf dieser Grundlage bzw. der Vorgänger-Richtlinie (RL 95/46/EG) erließ die Kommission auch die Beschlüsse zu Safe Harbour und Privacy Shield. In beiden Fällen entschied der EuGH, die Kommission habe das Datenschutzniveau falsch (nämlich zu günstig) beurteilt. Dies wurde u.a. damit begründet, dass weder Safe Harbour noch Privacy Shield gegen einen Datenzugriff US-amerikanischer Sicherheitsbehörden bei dem jeweiligen Datenempfänger in den USA schützen können.

Es liegt auf der Hand, dass die Kommission eigentlich sofort ihren Angemessenheitsbeschluss betreffend Kanada aufheben müsste. Darin hatte sie ausdrücklich nur für den nicht-öffentlichen Bereich Kanadas (hauptsächlich die dortigen Wirtschaftsunternehmen) ein angemessenes Datenschutzniveau bestätigt. Kanadische Behörden gewährleisten in den Augen der EU keinen ausreichenden Datenschutz (u.a. wegen Einbindung der dortigen Geheimdienste in die von Edward Snowden veröffentlichte massenhafte E-Mail-Auswertung). Die Kommissions-Entscheidung zu Kanada beruht offenbar auf der vom EuGH nun eindeutig abgelehnten Ansicht, Unternehmen eines Staates könnten auch dann angemessenen Datenschutz gewährleisten, wenn nach den dort geltenden staatlichen Gesetzen die Sicherheitsbehörden DS-GVO-widrige Datenverarbeitungen durchführen dürfen.

Ob die anderen Angemessenheitsentscheidungen (u.a. zugunsten Israels) unter diesem Aspekt einer Überprüfung Stand halten würden, mag dahinstehen. Viel wichtiger ist: Für gerade einmal zwölf Staaten hat die Kommission ein gleichwertiges Datenschutzniveau anerkannt; davon besitzen nur sechs eine wirtschaftlich nennenswerte Bedeutung. Für den „ganz normalen“ und notwendigen weltweiten Datenaustausch bietet Art. 45 DS-GVO somit keine Grundlage.


VEREINBARUNGEN ZWISCHEN AKTEUREN

Damit bleibt der Blick auf die in Art. 46 DS-GVO gelisteten Wege. Diese bestehen durchweg in Vereinbarungen zwischen den beteiligten Unternehmen, Behörden etc. oder Selbstverpflichtungen der beteiligten Akteure. Ohne, dass man auf die einzelnen Varianten speziell eingehen müsste (z.B. Binding Corporate Rules, Standardvertragsklauseln, Verhaltensregeln) ist spätestens mit den EuGH-Entscheidungen zu Safe Harbour und Privacy Shield klar: Ein „angemessenes Datenschutzniveau“ setzt nach Auffassung des EuGH stets voraus, dass die beteiligten Akteure auch im Stande sind, ihre Vereinbarungen, Selbstverpflichtungen etc. im jeweiligen Drittstaat einzuhalten. Wenn sie nach dort geltenden Gesetzen oder nach den dortigen Machtverhältnissen gar nicht im Stande sind, die auf dem Papier gegebene Zusagen zu erfüllen, dann bewirken die Datenschutzpapiere (natürlich) auch kein „angemessenes Datenschutzniveau“.

Besonders deutlich wird das Dilemma am Beispiel der Sicherheitsbehörden / Geheimdienste: Für die Datenverarbeitung durch Sicherheitsbehörden der EU-Staaten enthält Art. 2 Abs. 2 DSGVO Ausnahmeregelungen. Sie werden also nicht an den Vorschriften der DS-GVO gemessen. Diese Ausnahmen gelten aber nur für EU-Behörden. Mit anderen Worten: Geheimdienste von Drittstaaten müssen die DS-GVO-Vorgaben einhalten, damit diesen Drittstaaten ein angemessenes Datenschutzniveau zugesprochen wird (so auch die Sichtweise des EuGH). Beim Brexit könnte sich dies auswirken: Solange Großbritannien EU-Mitglied war, benötigten Datenübermittlungen in das Vereinigte Königreich keine zusätzliche Prüfung. Wenn nach Jahresende die Übergangsregelungen ohne Ersatz auslaufen sollten („harter Brexit“), könnte ein „angemessenes Datenschutzniveau“ im Vereinigten Königreich mit Hinweis auf die Tätigkeit der britischen Geheimdienste verneint werden.


FAZIT

Das Modell der DS-GVO für den internationalen Datentransfer ist schlicht nicht praxistauglich. Auf EU-Ebene gibt es jedoch keine Anzeichen für ein grundsätzliches Problembewusstsein und Änderungsbereitschaft. Vernünftige Regelungen sind nicht in Sicht. Denkbar wären verschiedene Lösungen – dazu in einem späteren Beitrag mehr; dieser ist bereits viel zu lang geraten.

    Tags:
  • Datenübermittlungen
  • EU-US-Privacy Shield
  • EuGH
  • Internationaler Datenschutz
  • Kommentar
  • Schrems II
Lesen