ÜBERMITTLUNG PERSONENBEZOGENER DATEN IN DRITTLÄNDER

Eines der derzeit meist diskutiertesten datenschutzrechtlichen Themen stellt die Übermittlung personenbezogener Daten in Drittländer dar. Als Drittland sind im Sinne der Datenschutz-Grundverordnung (DS-GVO) sämtliche Länder zu verstehen, welche nicht Mitglied der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) sind und somit die Normen der DS-GVO nicht unmittelbar Wirkung entfalten. In den Mittelpunkt rückte die Betrachtung dieses Themas insbesondere durch die Rechtsprechung des Europäischen Gerichtshofes (EuGH), welcher das EU-US-Privacy Shield kippte. Auch wenn aktuelle Ereignisse darauf hindeuten, dass sowohl die EU als auch die USA auch ein Nachfolgeabkommen hinarbeiten, stellen diese keine belastbare Übermittlungsgrundlage dar.


AKTUELLE SITUATION

Für verantwortliche Stellen verspricht die aktuelle Situation einen nicht zu vernachlässigenden Handlungsbedarf. So ist eine Übermittlung personenbezogener Daten in Drittländer nicht ausschließlich bei einer aktiven Übermittlung vorliegend, sondern bereits im Falle der reinen Möglichkeit einer Kenntnisnahme. Diese ist beispielsweise bei der Nutzung von Dienstleistern in datenschutzrechtlichen Drittländern anzunehmen, welche Cloud-Services oder andere Dienstleistungen im Rahmen einer Auftragsverarbeitung zur Verfügung stellen.

Als Übermittlungsgrundlage kommen hierbei fast ausschließlich die sogenannten Standardvertragsklauseln bzw. Standarddatenschutzklauseln zum Einsatz. Diese wurden bereits im vergangenen Jahr durch die Europäische Kommission in einer überarbeiteten Version zur Verfügung gestellt. Sowohl für die verantwortliche Stelle im Anwendungsbereich der DS-GVO als auch für den Dienstleister im datenschutzrechtlichen Drittstaat ergeben sich in diesem Zusammenhang eine Reihe von Pflichten.


DIE NEUEN STANDARDDATENSCHUTZKLAUSELN

Bei Standarddatenschutzklauseln handelt es sich um eine besondere vertragliche Vereinbarung zwischen datenübermittelnder und datenempfangender Stelle, im Rahmen derer datenschutzrechtliche Rechten und Pflichten festgelegt werden. Hierdurch wird eine Vereinheitlichung des hohen Datenschutzniveaus auf beiden Seiten angestrebt. Im Rahmen des „Schrems II“-Urteils konstatierte der EuGH jedoch, dass ein solches Datenschutzniveau nicht allein durch ein Abkommen oder vertragliche Regelungen erreicht werden könne. Es bedürfe darüber hinaus weiterer geeigneter Garantien, welche die weitreichenden Zugriffsmöglichkeiten von Ermittlungsbehörden oder anderer staatlicher Einrichtungen einschränken.

Waren die bisherigen Standardvertragsklauseln für Datenübermittlungen in Drittländer in den Versionen „Verantwortlicher – Auftragsverarbeiter“ und „Verantwortlicher – Verantwortlicher“ verfügbar, erscheinen die neuen Standardvertragsklauseln hingegen nur in einer Version. Dafür bieten diese einen neuen modularen Aufbau, welcher es ermöglicht, dass ein jeweils auf den Einzelfall angepasstes Vertragswerk erstellt werden kann. Neben den bereits genannten Konstellationen finden sich ebenfalls Module für Datenübermittlungen von einem Auftragsverarbeiter an einen weiteren Auftragsverarbeiter sowie von einem Auftragsverarbeiter an einen Verantwortlichen. Weiterhin können von nun an auch Festlegungen hinsichtlich des anwendbaren Rechts sowie hinsichtlich des Gerichtsstandes getroffen und leichter weitere Vertragspartner in die Regelungen aufgenommen werden.

Gänzlich neu ist die Implementierung des risikobasierten Ansatzes, welcher insbesondere den Anforderungen des „Schrems II“-Urteils gerecht werden soll. Hierbei ist vor Vertragsschluss eine Dokumentation („Transferfolgenabschätzung“ / „Transfer Impact Assessment“) vorzunehmen. Darüber hinaus getroffene technische oder organisatorische Garantien müssen geeignet sein, einem möglichen Zugriff auf personenbezogene Daten von staatlichen Behörden entgegenzuwirken.

Sollte eine staatliche Behörde dennoch einen Datenzugriff (erkennbar) beabsichtigen, so hat der Dienstleister im Drittland den beziehungsweise die Vertragspartner hierüber umgehend zu informieren. Darüber hinaus obliegt es dem Dienstleister die Rechtmäßigkeit für einen solchen Zugriff zu überprüfen und gegebenenfalls dagegen rechtlich vorzugehen. Sollten ihm derartige Maßnahmen unmöglich sein, so sind die Vertragspartner hierüber in Kenntnis zu setzen und das jeweilige Vorgehen ist dokumentiert nachzuweisen.

Ergänzend sei erwähnt, dass wie bereits bei den bisherigen Standardvertragsklauseln auch im Rahmen der neuen Version keine Veränderungen, jedoch Ergänzungen von vertraglichen Regelungen vorgenommen werden können. Darüber hinaus ist sicherzustellen, dass die neuen Standardvertragsklauseln bis Dezember 2022 auch in bereits bestehenden Vertragsverhältnissen umzusetzen sind. Es besteht somit nahezu für jeden Verantwortlichen unmittelbarer Handlungsbedarf.


DIE SOGENANNTE TRANSFERFOLGENABSCHÄTZUNG

Die Verpflichtung zur Durchführung einer Transferfolgenabschätzung im Rahmen des Abschlusses von Standardvertragsklauseln ergibt sich aus Klausel 14. Darin heißt es unter anderem: „Die Parteien sichern zu, keinen Grund zu der Annahme zu haben, dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland, einschließlich Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die öffentlichen Behörden den Zugang zu diesen Daten gestatten, den Datenimporteur an der Erfüllung seiner Pflichten gemäß diesen [Standardvertrags-]Klauseln hindern.“ Hieraus ergibt sich ebenfalls die Verpflichtung, dass auch der Auftragsverarbeiter im Drittland den Verantwortlichen hierzulande bei der Durchführung der Transferfolgenabschätzung zu unterstützen hat.

Um eine Einschätzung entsprechend der Vorgaben vornehmen zu können, sieht Klausel 14 die Berücksichtigung bestimmter Aspekte als verpflichtend an. Hierzu gehören nach dem Wortlaut der Klausel:

– Die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle, beabsichtigte Datenweiterleitungen, die Art des Empfängers, den Zweck der Verarbeitung, die Kategorien und das Format der übermittelten personenbezogenen Daten, den Wirtschaftszweig, in dem die Übertragung erfolgt, den Speicherort der übermittelten Daten,

– die angesichts der besonderen Umstände der Übermittlung relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes (einschließlich solcher, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang von Behörden zu diesen Daten gestatten) sowie die geltenden Beschränkungen und Garantien,

– alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß der Standardvertragsklauseln eingerichtet wurden, einschließlich Maßnahmen, die während der Übermittlung und bei der Verarbeitung personenbezogener Daten im Bestimmungsland angewandt werden.

Darüber hinaus empfehlen wir darzulegen, aus welchen zwingenden Gründen es einer solchen Übermittlung personenbezogener Daten beziehungsweise des Einsatzes des Dienstleisters in dem Drittland bedarf. In diesem Zusammenhang sollte gegebenenfalls auf fehlende gleichwertige Alternativen innerhalb der EU / des EWR verwiesen werden. Unter Berücksichtigung der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO sollte auch die Betrachtung und der Ausschluss derartiger Alternativen in die datenschutzrechtliche Dokumentation aufgenommen werden. Die Transferfolgenabschätzung ist auf Anfrage der Aufsichtsbehörde vorzulegen.

Die Durchführung einer Transferfolgenabschätzung ist grundsätzlich nicht an eine bestimmte Form gebunden, soweit eine Nachweisbarkeit der Durchführung möglich ist. In diesem Zusammenhang bietet es sich an, die Transferfolgenabschätzung als Anlage zum jeweiligen Verzeichnis der Verarbeitungstätigkeiten zu nehmen.


FAZIT

Der Beitrag zeigt auf, welche datenschutzrechtlichen Verpflichtungen aktuell mit Übermittlungen personenbezogener Daten in Drittländer im Zusammenhang stehen. Im Rahmen unseres neuen Leitfadens „Drittlandtransfer – Datenschutzrechtliche Grundlagen und Hinweise für verantwortliche Stellen“ geben wir einen thematischen Überblick und stellen Handlungsempfehlungen dar. Die weiteren Entwicklungen, insbesondere hinsichtlich eines Nachfolgeabkommens zwischen der EU und der USA, sind im Blick zu behalten.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

TERMINHINWEIS: DATENSCHUTZSPRECHSTUNDE

Wir sehen es als unsere Aufgabe an, möglichst viele Personen für die Themen Datenschutz und Informationssicherheit begeistern zu können, wichtige Anforderungen zu erläutern und praxistaugliche Umsetzungsmöglichkeiten abzubilden. Da wir uns insbesondere im Rahmen der datenschutzrechtlichen Beratung oft mit Irrtümern und Fehlvorstellungen konfrontiert sehen, wollen wir in unserem neuen Format, der Datenschutzsprechstunde, regelmäßig für alle Interessierten eine Möglichkeit zum Austausch und zur Diskussion bieten. Die nächste Sprechstunde findet am 14. Juni 2022 in der Zeit von 11:00 Uhr bis 12:00 Uhr statt. Zur Anmeldung.

    Tags:
  • Datenübermittlungen
  • Drittlandübermittlung
  • EU-US-Privacy Shield
  • Standardvertragsklauseln
  • Transferfolgenabschätzung
Lesen

LG MÜNCHEN I ZUR NUTZUNG VON GOOGLE FONTS

In unserem Blog-Beitrag „Analyse, Karten, Schriftarten & Co. – Datenschutz bei Internetseiten“ haben wir bereits im Februar des vergangenen Jahres auf die datenschutzrechtlichen Besonderheiten bei der Implementierung von Drittinhalten auf der Internetseite betrachtet. In diesem Zusammenhang empfahlen wir die Installation von Webschriftarten auf den Servern der verantwortlichen Stelle. Mit Urteil vom 20. Januar 2022 hat das LG München I (Az. 3 O 17493/20) nun entschieden, dass die dynamische Einbindung von Google Fonts nicht auf das berechtigte Interesse der verantwortlichen Stelle gestützt werden kann.


WAS SIND WEBSCHRIFTARTEN UND GOOGLE FONTS?

Internetseiten stellen neben Präsenzen in sozialen Netzwerken zunehmend eines der wichtigsten Kommunikationskanäle von Unternehmen und Behörden dar. Dementsprechend ist das Bedürfnis groß, die Elemente der Internetseite an die Corporate Identity des Unternehmens anzupassen sowie durch die Nutzung besonderer Schriftarten den Wiedererkennungswert zu erhöhen. Verschiedene Anbieter stellen hierfür umfangreiche Bibliotheken an Webschriftarten, meist zur kostenfreien Nutzung, zur Verfügung. Einer der am meist verbreitetsten Anbieter in diesem Bereich ist Google mit dem Produkt „Google Fonts“.


WIESO IST DAS DATENSCHUTZRECHTLICH RELEVANT?

In der Regel können derartige Schriftarten über zwei verschiedene Varianten auf einer Internetseite implementiert werden: Zu unterscheiden ist zwischen der Installation der Webschriftarten auf den Server der verantwortlichen Stelle („statisch“) und dem permanenten Abruf der Webschriftarten über die Server des Anbieters der Webschriftarten („dynamisch“).

Während bei der Einbindung der Webschriftarten über die Server der verantwortlichen Stelle keine datenschutzrechtlichen Besonderheiten zu beachten sind, sieht das bei einem Abruf über die Server des jeweiligen Anbieters anders aus: Rufen Nutzende eine Internetseite auf, welche über eine dynamische Implementierung von Webschriftarten verfügt, erfolgt zugleich ein Verweis auf die Bibliothek des jeweiligen Anbieters. Hierbei erfolgt eine Übermittlung personenbezogener Daten, zum Beispiel in Form von IP-Adressen. Oftmals ist damit automatisch eine Verarbeitung der personenbezogenen Daten in datenschutzrechtlichen Drittländern verbunden. So beispielsweise auch bei der Nutzung von Google Fonts. Zwar verfügt Google ebenfalls über Server innerhalb der Europäischen Union, jedoch kann grundsätzlich eine weltweite Datenverarbeitung nicht ausgeschlossen werden. Eine solche unterliegt stets den speziellen datenschutzrechtlichen Vorschriften des Kapitel V der Datenschutz-Grundverordnung (DS-GVO).


WAS HAT DAS GERICHT ENTSCHIEDEN?

Im Rahmen des benannten Verfahrens beanstandete der Kläger die dynamische Nutzung von Google Fonts sowie die hierbei stattfindende Übermittlung personenbezogener Daten ohne Einwilligung der jeweiligen Nutzenden. Die beklagte verantwortliche Stelle stützte die Einbindung von Google Fonts und die diesbezügliche Datenverarbeitung auf die Rechtsgrundlage des berechtigten Interesses gemäß Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO. Das Gericht stellte diesbezüglich eine unerlaubte Weitergabe der IP-Adresse des Klägers und mithin eine Verletzung des Rechts auf informationelle Selbstbestimmung fest. Nach Ansicht des Gerichtes könne die dargestellte Datenverarbeitung nicht auf die Rechtsgrundlage des berechtigten Interesses gestützt werden, da eine Nutzung von Webschriftarten auch ohne Übermittlung personenbezogener Daten möglich sei.

Weiterhin steht dem Kläger ein Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO zu. Dies gilt insbesondere vor dem Hintergrund des Kontrollverlustes des Klägers über seine personenbezogenen Daten sowie die Übermittlung personenbezogener Daten in datenschutzrechtliche Drittländer. Für das Gericht erscheint der geltend gemachte Schadensersatz von 100 € für angemessen. Die beklagte verantwortliche Stelle hat darüber hinaus  zukünftig vergleichbare Datenverarbeitungen zu unterlassen. Zuwiderhandlungen können mit einem Ordnungsgeld von bis zu 250.000 €, ersatzweise mit Ordnungshaft bis zu sechs Monaten geahndet werden.


EMPFEHLUNGEN FÜR DIE PRAXIS

Verantwortlichen Stellen ist anzuraten sämtliche Internetseiten auf den Einsatz von Webschriftarten und vergleichbaren Diensten von Drittanbietern (z.B. Content Delivery Networks, kurz: CDN) zu untersuchen. Zu empfehlen ist dabei grundsätzlich die Implementierung dieser Dienste und Elemente auf den Servern der verantwortlichen Stelle.

Die Nutzung der Rechtsgrundlage der Einwilligung kann für die benannten Datenverarbeitungen nicht empfohlen werden: Findet bei der jeweiligen Verarbeitungstätigkeit eine Übermittlung personenbezogener Daten in ein datenschutzrechtliches Drittland statt, richtet sich diese Verarbeitung nach Kapitel V der DS-GVO. Dabei kann zwar ebenfalls eine Einwilligung nach Art. 49 Abs. 1 Satz 1 lit. a) DS-GVO herangezogen werden, jedoch ausschließlich im Ausnahmefall. Ein solcher Ausnahmefall ist im Rahmen regelmäßig wiederkehrender Datenverarbeitungen für eine Vielzahl von Nutzenden jedoch nach Auffassung der Aufsichtsbehörden grundsätzlich zu verneinen.

Sofern Unsicherheiten in der Anwendung des Gerichtsurteils oder in der weiteren Handhabung der datenschutzrechtlichen Vorschriften im Zusammenhang mit der Internetseite bestehen, empfehlen wir die Kontaktaufnahme mit Ihrem Datenschutzbeauftragten. Gern hilft Ihnen in diesen Fällen auch das DID Dresdner Institut für Datenschutz weiter.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.


TERMINHINWEIS: DATENSCHUTZSPRECHSTUNDE

Auch das neue Jahr wollen wir nutzen, um möglichst viele Personen für die Themen Datenschutz und Informationssicherheit begeistern zu können, wichtige Anforderungen zu erläutern und praxistaugliche Umsetzungsmöglichkeiten abzubilden. Da wir uns insbesondere im Rahmen der datenschutzrechtlichen Beratung oft mit Irrtümern und Fehlvorstellungen konfrontiert sehen, wollen wir in unserem neuen Format, der Datenschutzsprechstunde, regelmäßig für alle Interessierten eine Möglichkeit zum Austausch und zur Diskussion bieten. Die nächste Sprechstunde findet am 08. Februar 2022 in der Zeit von 11:00 Uhr bis 12:00 Uhr statt. Zur Anmeldung.

    Tags:
  • Drittlandübermittlung
  • Internetseite
  • Schadenersatz
  • Urteil
  • Webschriftarten
Lesen

DER DATENSCHUTZ-JAHRESRÜCKBLICK TEIL I

Das Jahr 2021 war – selbstredend nicht für uns Datenschützer – erneut im starken Rahmen durch die Einwirkungen der Coronavirus-Krankheit-2019 (COVID-2019) geprägt. Insbesondere mit Blick auf die in diesem Zusammenhang anfallenden Verarbeitungen von Gesundheitsdaten als besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DS-GVO stellen sich einige rechtliche und praktische Fragen. Hinzu treten Dauerbrenner wie der Einsatz von Dienstleistern in datenschutzrechtlichen Drittländern, die Nutzung von Microsoft 365, der datenschutzkonforme Einsatz von Cookies und vergleichbaren Diensten sowie rechtliche und praktische Handhabung von Betroffenenrechten. Darüber hinaus hat die ein oder andere Aufsichtsbehörde einen Wechsel an der Position der/des Landesdatenschutzbeauftragten vollzogen oder zumindest ist die Stelle derzeit vakant. Im nachfolgenden Beitrag werfen wir einen Blick zurück und beginnen mit den Monaten Januar bis April 2021:


JANUAR 2021

Das Jahr begann für viele Datenschützer mit Fragen rund um die Datenübermittlung in das Vereinigte Königreich. Wir haben dazu noch im Jahr 2020 berichtet. Die Datenschutzkonferenz (DSK) hatte kurz vor dem Jahreswechsel in einer Pressemitteilung veröffentlicht, dass Übermittlungen personenbezogener Daten von der EU in das Vereinigte Königreich Großbritannien und Nordirland für eine Übergangsperiode nicht als Übermittlungen in ein Drittland (Art. 44 DS-GVO) angesehen werden. Die Rechtslage entspannte sich ein wenig, als die Europäische Kommission zwei Angemessenheitsbeschlüsse für das Vereinigte Königreich angenommen hat. Diese Angemessenheitsbeschlüsse für das Vereinigte Königreich bieten für die Übermittlung personenbezogener Daten für verantwortliche Stellen (zunächst) Rechtssicherheit.

Am 8. Januar 2021 erklärte die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen in einer Pressemitteilung, dass eine Geldbuße über 10,4 Millionen Euro gegenüber der notebooksbilliger.de AG ausgesprochen wurde. Das Unternehmen hatte über mindestens zwei Jahre seine Beschäftigten per Video überwacht, ohne dass dafür eine Rechtsgrundlage vorlag. Die unzulässigen Kameras erfassten unter anderem Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche. Im gegenständlichen Fall war die Videoüberwachung aber auf einen bestimmten Zeitraum noch auf konkrete Beschäftigte beschränkt. Hinzu kam, dass die Aufzeichnungen in vielen Fällen 60 Tage gespeichert wurden.


FEBRUAR 2021

In einer Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg wird bekannt gegeben, dass das das Prüfverfahren beim VfB Stuttgart 1893 e.V. und der VfB Stuttgart 1893 AG abgeschlossen sei und ein Bußgeldverfahren eröffnet werde. Geprüft wurden die Datenverarbeitungen in Verein und AG rund um die Mitgliederversammlung zur Entscheidung über die Ausgliederung der Profifußballabteilung im Jahr 2017, sowie einzelne Datentransfers an einen externen Dienstleister der VfB Stuttgart 1893 AG im Jahr 2018 und Fragen zur aktuellen Umsetzung der geltenden Rechtslage unter der DS-GVO.

Am 18. Februar 2021 hat das Landgericht Berlin das Bußgeldverfahren der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) gegen die Deutsche Wohnen SE eingestellt. Am 30.09.2019 hatte die BlnBDI gegen die Deutsche Wohnen SE einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro wegen Verstößen gegen die DS-GVO festgesetzt. Mitteilungen seitens des Landgericht Berlin gegenüber den Medien zufolge leidet der Bescheid unter gravierenden Mängeln, da ein Verfahrenshindernis vorliegt, genauer gesagt, weil Angaben zur konkreten Tathandlungen von Leitungspersonen oder gesetzlichen Vertretern fehlen. Das Landgericht folgte in seiner Entscheidung damit einer anderen Rechtsauffassung hinsichtlich der Auslegung des deutschen Ordnungswidrigkeitenrechts als die deutschen Datenschutz-Aufsichtsbehörden vertreten. In einer späteren Pressemitteilung der BlnBDI wurde bekannt, dass die Staatsanwaltschaft Berlin Rechtsmittel gegen den Beschluss des Landgerichts Berlin eingelegt hat.


MÄRZ 2021

Anfang März überschlugen sich die Meldungen zu Sicherheitslücken bei Microsoft Exchange-Mail-Servern. Mit der Pressemitteilung vom 5. März 2021 warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) über kritische Schachstellen, die bei den auch in Deutschland sehr weit verbreiteten Exchange-Servern auftraten und somit über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert sind. Das BSI empfiehlt in dieser Mitteilung allen Betreibern von betroffenen Exchange-Servern, sofort die von Microsoft bereitgestellten Patches einzuspielen. Anfällige Exchange-Systeme sollten aufgrund des sehr hohen Angriffsrisikos dringend auf entsprechende Auffälligkeiten geprüft werden.

Datenschutzrechtlich Relevanz entfaltet dieser Vorfall insbesondere im Zusammenhang mit der Auslegung und Anwendung von Art. 33 DS-GVO und der in diesem Rahmen möglichen Meldepflicht von IT-Sicherheitsvorfällen. Die sogenannte Hafnium-Sicherheitslücke betreffend äußerten sich auch die deutschen Datenschutz-Aufsichtsbehörden zum Teil sehr unterschiedlich. Das Bayrische Landesamt für Datenschutzaufsicht und der Bayrische Landesbeauftragte für den Datenschutz gingen in einer gemeinsamen Praxishilfe vom Vorliegen einer Meldepflicht gemäß Art. 33 Abs. 1 DS-GVO nicht nur in den Fällen einer Kompromittierung, sondern auch beim verspäteten Einspielen der Sicherheitsupdates aus.  Hingegen vertrat die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LdI NRW) in einer Mitteilung die Ansicht, dass nach intensiver Untersuchung der Systeme keine Hinweise für einen Datenabfluss und eine Manipulation von personenbezogenen Daten vorliegen und keine besonders sensiblen personenbezogenen Daten in den betroffenen Systemen verarbeitet worden sein, zumeist ein eher geringes Risiko für die Rechte und Freiheiten natürlicher Personen vorliegt. In diesen Fällen nahm die LdI NRW eine Dokumentationspflicht gemäß Art. 33 Abs. 5 DS-GVO an. Eine Übersicht über die Äußerungen der Aufsichtsbehörden findet sich hier. Die vielen unterschiedlichen Ansichten sorgten für extreme Rechtsunsicherheit bei verantwortlichen Stellen und Auftragsverarbeitern. Die Hafnium-Sicherheitslücke zum Anlass genommen hat eine Unterarbeitsgruppe des AK Datenschutzes der Bitkom einen entsprechenden Leitfaden zur Auslegung der Art. 33 und Art. 34 DS-GVO veröffentlicht. Erforderlich ist bei der Behandlung von IT-Sicherheitsvorfällen im Rahmen der Art. 33 und Art. 34 DS-GVO stets eine exakte Betrachtung und Bewertung des Vorliegens einer Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DS-GVO.

Mittlerweile waren auch Kontakt-Nachverfolgungs-Apps auf den Plan vieler Datenschützer getreten. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg veröffentlicht die Stellungnahme vom 2. März 2021 zur „Luca-App“. Die DSK veröffentlicht zu dieser Thematik am 26. März 2021 eine Stellungnahme zur Kontaktnachverfolgung in Zeiten der Corona-Pandemie. Dabei weißt weist sie ausdrücklich darauf hin, dass digitale Verfahren zur Verarbeitung von Kontakt- und Anwesenheitsdaten datenschutzkonform betrieben werden müssen. Eine digitale Erhebung und Speicherung kann bei entsprechender technischer Ausgestaltung durch eine geeignete dem Stand der Technik entsprechende Verschlüsselung inklusive eines geeigneten sicheren Schlüsselmanagements einen im Vergleich mit Papierformularen besseren Schutz der Kontaktdaten vor unbefugter Kenntnisnahme und Missbrauch gewährleisten.


APRIL 2021

Im April nahmen langsam die Diskussionen rund um das Thema Durchführung von Online-Prüfungen wieder zu. So äußerte sich wiederrum der Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg in einer Pressemitteilung: Online-Prüfungen sollen dazu dienen, Wissen und Fähigkeiten der Studierenden abzufragen und diese nicht übermäßig zu überwachen. Digitale Formate zur Kontrolle von Prüfungen – Online-Proctoring – können massiv in die Rechte von Studierenden eingreifen. Beim Online-Proctoring werden Studierende mitunter aufgefordert, die Webcam und das Mikrofon am Gerät dauerhaft während der Prüfung einzuschalten und sicherzustellen, dass keine unerlaubten Hilfsmittel und niemand anderes im Privatraum des Studierenden sind. Zur Unterbindung von Täuschungshandlungen dürfen die Kamera- und Mikrofonfunktion nur aktiviert werden, soweit dies für das Prüfungsformat zwingend erforderlich ist. Eine darüberhinausgehende Raumüberwachung darf nicht stattfinden. Die Videoaufsicht ist im Übrigen so einzurichten, dass der Persönlichkeitsschutz und die Privatsphäre der Betroffenen „nicht mehr als zu berechtigten Kontrollzwecken erforderlich“ eingeschränkt werden.

Weiter geht es in den kommenden Wochen mit den Monaten Mai bis August 2021 sowie September bis Dezember 2021, dann unter anderem mit den Themen TTDSG, Diskussionen rund um die Erhebung von Immunisierungs- und Testdaten von Beschäftigten, dem Urteil des BGH zu Art. 15 DS-GVO, den neuen Standarddatenschutzklauseln und einem Ausblick auf den Wechsel an der Spitze im Haus der sächsischen Datenschutz-Aufsichtsbehörde.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Angemessenheitsbeschluss
  • Datenschutzkonferenz
  • Datenschutzverletzung
  • Drittlandübermittlung
  • Jahresrückblick
Lesen

DAS NEUE TTDSG UND VIDEOKONFERENZDIENSTE

Das TTDSG heißt eigentlich „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ (TTDSG) und soll am 01.12.2021 in Kraft treten. Bereits in unseren Beiträgen aus Dezember 2020 sowie Mai 2021 haben wir über die wesentlichen Inhalte des damaligen Gesetzesentwurfes berichtet. Dieser Blogbeitrag soll nun zur Information über das verabschiedete Gesetz dienen und zentrale Aspekte, insbesondere im Hinblick auf Videokonferenzdienste, kurz darstellen.


BRAUCHEN WIR NOCH EIN DATENSCHUTZGESETZ?

Der Gesetzgeber hat sich mit der Novellierung des bereits bestehenden Telekommunikations- (TKG) sowie Telemediengesetzes (TMG) dafür entschieden, für diesen Bereich ein eigenes Gesetz zur Konkretisierung der allgemeinen Datenschutzanforderungen, insbesondere aus der Datenschutz-Grundverordnung (DS-GVO) sowie Bundesdatenschutzgesetz (BDSG) und Landesdatenschutzgesetzen, zu schaffen. Übrigens etwas, worum Datenschützer und Unternehmen in Bezug auf den Beschäftigtendatenschutz seit Jahr(zehnt)en bitten. Eine Novellierung der bisherigen Regelungen war aufgrund der seit 2018 geltenden DS-GVO sowie der ePrivacy-Richtline von 2002 (geänderte Fassung von 2009) dringend geboten und soll nach dem Wunsch des Gesetzgebers die bestehenden Rechtsunsicherheiten – zumindest in diesem Bereich – beseitigen. Zentral ist sicherlich die explizite Regelung des Einwilligungserfordernisses bei Cookies, Browser Fingerprinting, Smarthome etc. und deren Ausnahmen (§ 25 TTDSG) sowie die Möglichkeit von Diensten zur entsprechenden zentralen Einwilligungsverwaltung (§ 26 TTDSG). Darüber hinaus wurden Regelungen z.B. zum lang umstrittenen „Digitalen Erbe“ aufgenommen. Sowohl das TMG als auch das TKG bleiben grundsätzlich bestehen, das TKG wurde jedoch im gleichen Zuge modernisiert.


FÜR WEN GILT DAS GESETZ?

Zunächst einmal gilt das Gesetz nur für Anbieter von Telemedien- bzw. Telekommunikationsdiensten. Zu den Telemediendiensten nach § 1 Abs. 1 S. 1 TMG zählen zum Beispiel Internetauftritte, Onlineshops sowie Werbe-E-Mails (siehe hierzu auch Praxishilfe der GDD zum TTDSG).

Wer ein Telekommunikationsanbieter ist, beantwortet sich nach dem neuen § 3 TKG. Hierzu gehören sogenannte nummerngebundene sowie – neu – nummernunabhängige interpersonelle Kommunikationsdienste. Letztere werden auch „Over-the-top-Dienste“ (OTT) genannt. Die Internetanbieter, deren Infrastruktur zur Erbringung genutzt werden, haben auf diese keinen Einfluss. Gemeint sind z.B. webbasierte E-Mail-Dienste oder Messenger- Dienste wie WhatsApp oder Threema. Diese wurden bisher nicht von den telekommunikationsrechtlichen Vorgaben (siehe hierzu auch EuGH-Urteil vom 13.06.2019 – C-193/18) erfasst, sodass allein die allgemeinen Datenschutzregeln, insbesondere der DS-GVO, galten. Dienste, welche allein die Weitergabe von Inhalten (z.B. Nachrichtenportale) zum Ziel haben, sind auch weiterhin keine Telekommunikationsanbieter.


HANDELT ES SICH BEI VIDEOKONFERENZDIENSTEN DANN NOCH UM AUFTRAGSVERARBEITER?

Ob es sich bei Videokonferenzdiensten um Telekommunikationsdienste handelt und welche Auswirkungen dies auf die datenschutzrechtliche Beurteilung hat, ist derzeit noch nicht abschließend geklärt. Hierbei muss sicherlich zwischen den verschiedenen Arten des Einsatzes (insbesondere SaaS/Online-Dienst bzw. on-Premise) unterschieden werden. Eine gute Darstellung hierzu findet sich in der DSK-Orientierungshilfe Videokonferenzsysteme. Derzeit wird von den Aufsichtsbehörden davon ausgegangen, dass es sich bei der Nutzung von Videokonferenzen und Messengern in Form von SaaS/Online-Diensten in der Regel um eine Auftragsverarbeitung handelt. Allerdings verweist die Berliner Aufsichtsbehörde im Rahmen der – zugegebenermaßen viel diskutierten – Prüfung der Verträge verschiedener Anbieter darauf, dass der deutsche Gesetzgeber diese eigentlich aufgrund der EU-Vorgaben bereits bis zum 21. Dezember 2020 im Rahmen neuer Regelungen für „Over-the-top-Dienste“ (OTT) hätte regeln müssen und es nur mangels einer deutschen Regelung bei der alten Rechtslage bleibt.

Anders sieht dies jedoch bisher bei Telekommunikationsanbietern aus, insofern diese keine hierüber hinausgehenden Zusatzdienste anbieten. Der Anbieter der Telekommunikationsleistungen (z.B. Telefon, Internet) wird insoweit nach dem Verständnis der Artikel-29-Gruppe als Verantwortlicher für die – technisch bzw. zur Sicherheitsabwehr notwendigen – Verkehrsdaten sowie für die Verarbeitung der Rechnungsdaten verantwortlich. Für die inhaltliche Komponente und diesbezügliche Datenverarbeitungen im Rahmen der Angebotsnutzung sind die Anwender allein verantwortlich. Entsprechend ist beispielsweise kein Auftragsverarbeitungsvertrag in Bezug auf die Nutzung eines E-Mail-Anbieters erforderlich.  Es gilt also zu hinterfragen, inwieweit diese Ausführungen noch – die Aussagen der Artikel-29-Gruppe entstammen aus der Zeit vor der DS-GVO und auch vor dem Urteil des EUGH – gelten können und beispielsweise auch auf Messenger- und Videokonferenzdienste anwendbar sind.


WAS UNTERSCHEIDET VIDEOKONFERENZDIENSTE VON KLASSISCHEN TELEKOMMUNIKATIONSANBIETERN?

Unstrittig ist sicherlich, dass ein Videokonferenzsystem in der Regel neben der reinen Videotelefonie noch weitere Funktionen beinhaltet. Denn neben der Möglichkeit der Aufzeichnung existieren häufig auch parallele Chatmöglichkeiten sowie die Möglichkeit des Austauschs von Daten. Insofern könnte man davon ausgehen, dass die Dienste über die „reine Telekommunikation“ hinausgehen. Zusammengefasst dienen diese Funktionen aber alle dem Ziel der Kommunikation zwischen den beteiligten Parteien. Aus einem Brief wurde eine E-Mail und aus dieser ein Messenger-Dienst. Und aus dem Telefon wurde die Videotelefonie und schließlich in Verbindung mit Messengern-Diensten – und der damit verbundenen Möglichkeit, neben Texten auch Dokumente zu teilen – das Videokonferenzsystem als Basis weiterer kollaborativer Systeme.

Entsprechend einem klassischen Telekommunikationsdienst werden die übertragenen Inhalte bei all diesen Systemen allein durch die Nutzer gesteuert. Demgegenüber hat der Nutzer keinen Einfluss auf die technische Datenübertragung, da diese häufig aus Gründen der Diensterbringung, Systemsicherheit oder Abrechnung durch den Systemanbieter gesteuert wird.


WAS SPRICHT NOCH FÜR EINE AUFTRAGSVERARBEITUNG ODER EINE GEMEINSAME DATENVERARBEITUNG?

Unter diesem Gesichtspunkt kann die Annahme einer Auftragsverarbeitung als Versuch gesehen werden, die möglicherweise höheren Risiken dieser Systeme zu minimieren. Gleichzeitig bietet ein Vertrag zur Auftragsverarbeitung vermeintliche Rechtssicherheit, da dieser gleichzeitig eine Rechtsgrundlage für die Verarbeitung der Daten durch den Dienstleister beinhaltet. Durch die Notwendigkeit einen geeigneten Dienstleister auszuwählen, soll sichergestellt werden, dass nur möglichst datenschutzfreundliche Dienste eingesetzt werden, wodurch wiederum seitens der Kunden Druck auf die Anbieter ausgeübt werden. Mit mäßigem Erfolg, wie man sieht…

Demgegenüber besteht bei Annahme einer gemeinsamen oder auch parallelen alleinigen Verantwortung von Anbieter und Anwender keine Privilegierung mehr, das heißt der Diensteanbieter würde gegenüber den Betroffenen mehr in die Pflicht genommen werden. Er muss insbesondere eine eigene Rechtsgrundlage für die systemimmanenten Datenverarbeitungen vorweisen können und ist für die Einhaltung der diesbezüglichen Betroffenenrechte allein verantwortlich. Eine ausführliche Darstellung der Datenverarbeitung durch beide Parteien wird auch unabhängig von einer Auftragsverarbeitung aus Gründen der Informiertheit zu fordern sein.

Daneben wird es auch hier Wettbewerbsdruck auf die Anbieter geben. Denn die Systeme müssen Funktionen vorweisen können, welche es dem Anwender als inhaltlich Verantwortlichen gestatten, selbst datenschutzfreundlich agieren zu können. Hierbei ist grundsätzlich auch zu prüfen, ob es mildere Mittel gibt oder die Datenverarbeitung eingeschränkt werden kann. Dabei muss auch berücksichtigt werden, dass die Systeme nicht nur ein höheres Risikopotenzial haben, sondern in weiten Teilen auch mehr technische Schutzmöglichkeiten (z.B. Moderationsrechte, Passwortschutz, Verschlüsselung) bieten, als dies beispielsweise bei Telefon, Fax und E-Mail möglich ist. Ob ein entsprechender Dienst durch den Nutzer im Rahmen eines beruflichen Kontextes (z.B. Webmeeting mit Geschäftspartnern, Studienberatung, digitale Lehre) nutzbar ist, wird sich daher auch weiterhin im Wesentlichen nach der Erforderlichkeit, der bestehenden Rechtsgrundlage und den spezifisch getroffenen technischen und organisatorischen Maßnahmen bestimmen. Hierbei ist stets auch zu berücksichtigen, inwieweit andere Kommunikationsteilnehmer verpflichtet sind, das entsprechende System zu nutzen und der Datenverarbeitung durch den Diensteanbieter zuzustimmen.


HAT DIES EINFLUSS AUF DIE ZULÄSSIGKEIT DER NUTZUNG US-AMERIKANISCHER DIENSTE?

Spannend dürfte auch der Einfluss auf die Problematik der Datenübermittlung in die USA oder andere datenschutzrechtliche Drittländer durch Nutzung entsprechender Dienste sein. Hier müsste konkret beleuchtet werden, inwieweit überhaupt Daten gemäß Art. 44 DS-GVO vom Verantwortlichen bzw. in dessen Einflussbereich übermittelt werden und inwieweit die Verarbeitung der Daten in den USA durch andere Rechtsgrundlagen und im Verantwortungsbereich des Dienstleisters gedeckt sein kann. Im Falle eines einfachen Telefonats unter Nutzung eines amerikanischen Telefonanbieters sowie der Nutzung eines amerikanischen E-Mail-Anbieters kann der Zugriff durch amerikanische Ermittlungsbehörden faktisch ebenfalls nicht ausgeschlossen werden. Insoweit – bei Abkehr von der bisherigen Annahme einer Auftragsverarbeitung – die Verantwortung bei dem jeweiligen Anbieter und nicht durch den Nutzer initialisiert wurde, liegt keine Übermittlung nach Art. 44 DS-GVO, sondern eine eigene Datenerhebung durch den Anbieter vor. Dem Anbieter obliegt jedoch unabhängig davon die Einhaltung der Anforderungen nach DS-GVO, da in der Regel der räumliche Anwendungsbereich nach Art. 3 DS-GVO eröffnet sein wird. Der Anwender wird seinerseits im Rahmen der oben genannten Punkte prüfen müssen, ob sich der Einsatz des Dienstes mit seinen rechtlichen Anforderungen in Einklang bringen lässt.


FAZIT

Es bleibt abzuwarten, ob und in welchem Umfang sich die Aufsichtsbehörden zum datenschutzrechtlichen Einfluss des TTDSG allgemein sowie in Bezug auf Videokonferenzdienste positionieren. Wir können nur hoffen, dass dies zeitnah und in Abstimmung aller deutschen Aufsichtsbehörden erfolgt. Alles andere würde dazu führen, dass verantwortliche Stellen neben den sonstigen bestehenden Corona-Unsicherheiten auch in Hinblick auf die Anwendung von Systemen, welche in weiten Bereichen ein Homeoffice erst möglich macht, allein gelassen werden.

Über die Autorin: Kristin Beyer ist Wirtschaftsjuristin und als externe Datenschutzbeauftragte beim Dresdner Institut für Datenschutz tätig. Sie unterstützt in Ihrem Fachbereich insbesondere Hoch-/Schulen, sonstige Bildungseinrichtungen sowie Forschungseinrichtungen in allen Fragen des Datenschutzes.

    Tags:
  • Auftragsverarbeitung
  • Drittlandübermittlung
  • Telemedien
  • TTDSG
  • Videokonferenzen
Lesen

ANGEMESSENHEITSBESCHLÜSSE FÜR DAS VEREINIGTE KÖNIGREICH

In unserem Blog-Beitrag „Die datenschutzrechtlichen Folgen des Brexit“ stellten wir Ende letzten Jahres dar, welche kurz- und langfristigen Auswirkungen der Austritt des Vereinigten Königreichs aus der Europäischen Union aus datenschutzrechtlicher Sicht haben könnte. Zum damaligen Zeitpunkt deutete vieles darauf hin, dass das Vereinigte Königreich spätestens zum 01. Juli 2021 als datenschutzrechtliches Drittland anzusehen sein und somit für Übermittlungen personenbezogener Daten die gleichen Anforderungen wie beispielsweise in die USA gelten würden. Zu Ende Juni hat die Europäische Kommission jedoch zwei Angemessenheitsbeschlüsse zum Vereinigten Königreich angenommen, sodass sich die Rechtslage nun anders darstellt.


ÜBERMITTLUNGEN PERSONENBEZOGENER DATEN AN DRITTLÄNDER ODER INTERNATIONALE ORGANISATIONEN

Nach Kapitel V der Datenschutz-Grundverordnung (DS-GVO) hinsichtlich der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen bedarf es für eine solche zusätzlich zu einer einschlägigen Übermittlungsgrundlage ebenfalls der Erfüllung der Bedingungen der Artt. 44 ff. DS-GVO. Hierdurch soll gemäß Art. 44 Satz 2 DS-GVO auch bei einer Verarbeitung in Drittländern und durch internationale Organisationen eine Sicherstellung des durch die Verordnung gewährleisteten Schutzniveaus erreicht werden.

Neben einem Angemessenheitsbeschluss der Europäischen Kommission im Sinne des Art. 45 Abs. 3 DS-GVO kann eine Übermittlung personenbezogener Daten in diesem Zusammenhang ebenfalls auf geeignete Garantien nach Art. 46 DS-GVO gestützt werden. Hierzu zählen insbesondere die sogenannten Binding Corporate Rules (BCR), Standarddatenschutzklauseln der Europäischen Kommission oder einer Aufsichtsbehörde, genehmigte Verhaltensregeln oder einzeln ausgehandelte und durch die zuständige Aufsichtsbehörde genehmigte Vertragsklauseln, die zwischen den Vertragsparteien vereinbart wurden. Weiterhin kann eine derartige Übermittlung personenbezogener Daten ebenfalls auf eine ausdrückliche Einwilligung der betroffenen Person, nachdem sie über die bestehenden Risiken einer solchen Datenübermittlung aufgeklärt wurde, auf Grundlage eines Vertrages sowie auf die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen gestützt werden, sofern eine Übermittlung hierfür zwingend erforderlich ist.


DATENÜBERMITTLUNG AUF GRUNDLAGE EINES ANGEMESSENHEITSBESCHLUSSES

Die Europäische Kommission kann auf Grundlage des Art. 45 DS-GVO einen Beschluss treffen, nach welchem für ein Drittland oder eine internationale Organisation ein angemessenes Schutzniveau festgestellt wird. Gemäß Art. 45 Abs. 2 DS-GVO hat die Kommission hierbei folgende Kriterien zu berücksichtigen:

– Die Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten, einschlägige Rechtsvorschriften, auch in Bezug auf die öffentliche Sicherheit, Verteidigung, nationale Sicherheit und Strafrecht sowie der Zugang der Behörden zu personenbezogenen Daten, die Anwendung dieser und datenschutzrechtlicher Vorschriften sowie die Möglichkeit zur Durchsetzung von Rechten der betroffenen Person und die Wirksamkeit der verwaltungsrechtlichen und gerichtlichen Rechtsbehelfe;

– Die Existenz und wirksame Funktionsweise unabhängiger Aufsichtsbehörden für die Einhaltung und Durchsetzung datenschutzrechtlicher Vorschriften, einschließlich angemessener Durchsetzungsbefugnisse sowie für die Unterstützung und Beratung von betroffenen Personen bei der Ausübung ihrer Rechte und für die Zusammenarbeit mit Aufsichtsbehörden anderer Mitgliedstaaten;

– Die eingegangenen internationalen Verpflichtungen, die sich aus rechtsverbindlichen Übereinkünften oder Instrumenten sowie aus der Teilnahme an multilateralen oder regionalen Systemen insbesondere in Bezug auf den Schutz personenbezogener Daten ergeben.

Sofern die Kommission unter Berücksichtigung der aufgeführten Kriterien eine Angemessenheit des Datenschutzniveaus feststellt, übernimmt diese die Aufgabe der regelmäßigen Überwachung, im Rahmen derer stets die aktuellen Entwicklungen innerhalb des Drittlandes oder der internationalen Organisation berücksichtigt werden.

Zum gegenwärtigen Zeitpunkt verfügen folgende Länder und Gebiete über einen Angemessenheitsbeschluss der Europäischen Kommission: Andorra, Argentinien, Färöer-Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Kanada (beschränkt auf Datenübermittlungen an „commercial organisations“), Neuseeland, Schweiz, Uruguay und das Vereinigte Königreich. Weiterhin ist ein Angemessenheitsbeschluss für das Land Südkorea absehbar.

In die zuvor genannten Länder kann eine Übermittlung personenbezogener Daten auf Grundlage des Angemessenheitsbeschlusses erfolgen. Es bedarf sodann – neben der Beachtung der sonstigen datenschutzrechtlichen Vorschriften – keiner weiteren besonderen Vorkehrungen.


HINTERGRÜNDE ZU DEN ANGEMESSENHEITSBESCHLÜSSEN FÜR DAS VEREINIGTE KÖNIGREICH

Für das Vereinigte Königreich liegen nunmehr zwei Angemessenheitsbeschlüsse vor: Zum einen im Anwendungsbereich der DS-GVO und zum anderen im Rahmen der Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im Rahmen der Strafverfolgung. Ausdrücklich vom sachlichen Geltungsbereich der Angemessenheitsbeschlüsse ausgenommen sind jedoch Datenübermittlungen im Zusammenhang mit der Einwanderungskontrolle des Vereinigten Königreichs.

Insgesamt liegen den Angemessenheitsbeschlüssen der Europäischen Kommission folgende Erwägungen zugrunde:

– Die datenschutzrechtlichen Regelungen haben sich seit Austritt des Vereinigten Königreichs aus der Europäischen Union nicht verändert. Die bisherig durch die DS-GVO auferlegten Grundsätze sowie Rechte und Pflichten wurden in das nationale Recht übernommen.

– Hinsichtlich des möglichen Zugriffs auf personenbezogene Daten durch Ermittlungsbehörden sieht das Rechtssystem des Vereinigten Königreichs geeignete Garantien vor. So müssen Datenverarbeitungen durch Nachrichtendienste stets erforderlich sowie verhältnismäßig sein und bedürfen der vorherigen Genehmigung durch ein unabhängiges Rechtsorgan. Weiterhin stehen betroffenen Personen gerichtliche Rechtsbehelfe zur Verfügung. Zudem unterliegt das Vereinigte Königreich auch zukünftig einer Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte, der Europäischen Menschenrechtskonvention sowie dem Übereinkommen des Europarates zum Schutz des Menschen bei der automatisierten Verarbeitung personenbezogener Daten.

– Die Geltungsdauer der Angemessenheitsbeschlüsse ist erstmalig per Klausel zeitlich beschränkt. Die Beschlüsse laufen grundsätzlich nach einer Geltungsdauer von vier Jahren ab. Soweit das Datenschutzniveau nach Ablauf der vier Jahren weiterhin dem der DS-GVO entspricht, ist der Annahmeprozess erneut zu durchlaufen.


FAZIT

Die Angemessenheitsbeschlüsse für das Vereinigte Königreich bieten für die Übermittlung personenbezogener Daten für verantwortliche Stellen (zunächst) Rechtssicherheit. Insbesondere mit Blick auf das „Schrems II“-Urteil des Europäischen Gerichtshofes (EuGH) und die entsprechenden Auswirkungen auf Datenübermittlungen in die USA werden jedoch die weiteren rechtlichen Entwicklungen und Rechtsprechungen des EuGH abzuwarten sein. Erst im Oktober des vergangenen Jahres befand dieser die weitreichenden Datenverarbeitungsbefugnisse von Ermittlungsbehörden des Vereinigten Königreiches für unzulässig. Möglicherweise ereilt den Angemessenheitsbeschlüssen somit in nicht allzu ferner Zukunft ein ähnliches Schicksal wie dem EU-US-Privacy Shield.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Angemessenheitsbeschluss
  • Brexit
  • Drittlandübermittlung
  • Europäische Kommission
  • Vereinigtes Königreich
Lesen

DREI JAHRE DATENSCHUTZ-GRUNDVERORDNUNG

Am 25. Mai 2021 jährt sich das Datum zur Anwendbarkeit der Datenschutz-Grundverordnung (DS-GVO) bereits zum dritten Mal. Bestanden in den ersten beiden Jahren die Herausforderungen insbesondere in der Bewältigung des Überraschungsmomentes sowie der Ergründung, medialen Aufbereitung und Beseitigung von Datenschutz-Mythen und Rechtsunsicherheiten, waren die vergangenen zwölf Monate hauptsächlich durch pandemiebedingte Fragestellungen geprägt. Home-Office, Kontaktnachverfolgung und Videokonferenzen – selbstverständlich inklusive der stets mitschwingenden Datenübermittlung in Drittländer – bestimmten in dieser Zeit die Arbeit aller Datenschützenden. Anlass genug für eine kurze Betrachtung des datenschutzrechtlichen Ist-Zustandes.


EVALUATION DER DS-GVO IM JAHR 2020

Gemäß Art. 97 Abs. 1 S. 1 DS-GVO hatte die Kommission bis zum 25. Mai 2020 dem Europäischen Parlament und dem Rat einen Bericht über die Bewertung und Überprüfung der DS-GVO vorzulegen. Dieser wurde mit rund einem Monat Verspätung am 24. Juni 2020 veröffentlicht. Gegenstand dieses Berichts können gemäß Art. 97 Abs. 2 DS-GVO insbesondere die Anwendung und Wirkweise des Kapitels V der DS-GVO über die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen sowie des Kapitels VII bezüglich der Zusammenarbeit und Kohärenz der Aufsichtsbehörden sein. Die Kommission hat dabei die Möglichkeit unter Berücksichtigung der Entwicklungen in der Informationstechnologie und die Fortschritte in der Informationsgesellschaft geeignete Vorschläge zur Änderung der Verordnung vorzulegen.

In ihrem Bericht zieht die Kommission eine überwiegend positive Bilanz, greift in den Ausführungen aber insbesondere hinsichtlich der Zusammenarbeit der Aufsichtsbehörden untereinander zu kurz. Zwar ist hervorzuheben, dass die (personelle) Ausstattung der Aufsichtsbehörden zur Sicherstellung ihrer Aufgaben und Befugnisse gemäß Artt. 57, 58 DS-GVO nicht den aktuellen Anforderungen entspricht, jedoch stellt dies nur ein Teil des wesentlichen Problems dar. Im Speziellen am Beispiel der irischen Datenschutzaufsichtsbehörde wird deutlich, dass das sogenannte „One-Stop-Shop-Prinzip“ Potenzial zu Nachbesserungen bietet: Von 197 bei der irischen Aufsichtsbehörde anhängigen Verfahren, liegen gerade einmal zu vier Verfahren Entscheidungen vor.


DAS PROBLEM MIT DER DRITTLANDÜBERMITTLUNG

Mit Urteil vom 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) in der „Schrems II“-Entscheidung das sogenannte „EU-US-Privacy Shield“ für unzulässig erklärt. Die Begründung liegt darin, dass innerhalb der USA insbesondere aufgrund der Zugriffsmöglichkeiten von Geheimdiensten Datenverarbeitungen keinem gleichwertigen Datenschutzniveau unterliegen. Zwar sind Datenübermittlungen in die USA weiterhin möglich, beispielsweise unter Nutzung der Standardvertragsklauseln, jedoch sind hierbei technische und organisatorische Maßnahmen zu treffen, um einen möglichen Zugriff seitens der US-Behörden grundsätzlich auszuschließen.

Speziell im Bereich von Internetseiten, z.B. bei der Implementierung von US-amerikanischen Videodiensten, stellt sich immer wieder die Frage, auf welche Rechtsgrundlage nach Kapitel V der DS-GVO  die Datenverarbeitung gestützt werden kann. Insbesondere unter Berücksichtigung der Rechtsprechung des EuGH und BGH zur Cookie-Thematik drängt sich hierbei oftmals die ausdrückliche Einwilligung der betroffenen Person gemäß Art. 49 Abs. 1 S. 1 lit. a DS-GVO auf. Strittig ist dabei jedoch, ob die „Ausnahmen für bestimmte Fälle“ nach Art. 49 DS-GVO überhaupt im Rahmen von Internetseiten und den damit einhergehenden regelmäßigen Datenverarbeitungen und einer Vielzahl von Anwendungsfällen herangezogen werden dürfen. Wird dies verneint – eine nicht selten vertretene Meinung – führt das zwangsläufig zum Ausschluss derartiger Inhalte mit datenschutzrechtlichem Drittlandbezug. An dieser Stelle tritt bei Seitenbetreibern vor allem bei Diensten mit fehlenden gleichwertigen Alternativen innerhalb der EU schnell Ernüchterung ein. Es muss somit die Frage erlaubt sein, ob sich der internationale Datenschutz mit der DS-GVO in der Sackgasse befindet.


HERAUSFORDERUNGEN IN DER PANDEMIE

Im Rahmen der Pandemiebekämpfung wurden vermehrt Stimmen nach einer Lockerung des Datenschutzes beziehungsweise zu einer größeren Flexibilität in der Anwendung datenschutzrechtlicher Regelungen laut. Hierbei wird oft vergessen, dass es sich bei dem Recht auf informationelle Selbstbestimmung um ein aus den Grundrechten hergeleitetes Recht eines jeden Einzelnen handelt. Datenschutz ist somit Grundrechtsschutz.

Auch die Behauptung, der Datenschutz habe 70.000 Todesfälle verursacht, entbehrt jeglicher Grundlage. Ein exakter Blick auf die Normen der DS-GVO ergibt schnell: Datenverarbeitungen zum Schutz „lebenswichtiger Interessen“ (Art. 6 Abs. 1 S. 1 lit. d DS-GVO) sind ebenso ausdrücklich vorgesehen und zulässig wie Datenverarbeitungen „aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren“ (Art. 9 Abs. 2 lit. i DS-GVO). Auch ein Blick in andere Länder zeigt, dass Datenschutz und ein erfolgreiches Pandemiemanagement einander nicht widersprechen müssen. Das in diesem Zusammenhang oftmals positiv vorangestellte Land Israel hat bereits im Jahr 2011 ein den europäischen Regelungen gleichwertiges Datenschutzniveau attestiert bekommen. Und auch in anderen Bereichen scheinen die rechtlichen Gegebenheiten nicht sonderlich von den hiesigen abzuweichen.

Oft in Vergessenheit gerät zudem, dass durch den Datenschutz und die Aufsichtsbehörden im Rahmen der Pandemiebekämpfung zahlreiche Maßnahmen mitgetragen werden. Seien es die vielfältigen Listen zur Kontaktnachverfolgung in Restaurants, Geschäften sowie im Rahmen körpernaher Dienstleistungen, die Realisierung von (nicht immer ganz datenschutzkonformen) Homeoffice-Lösungen oder die Nutzung von Videokonferenzsystemen mit Drittlandbezug. Letztgenanntes ist insbesondere im Zusammenhang mit Homeschooling ein viel diskutiertes Thema. Aber hat sich tatsächlich der Datenschutz die Defizite in diesem Bereich zuzuschreiben?


DER SCHLECHTE RUF DES DATENSCHUTZES

Vielfach steht der Datenschutz im Fokus diverser und kontroverser Diskussionen. Diese haben dabei häufig eines gemeinsam: Der Datenschutz verhindere ein bestimmtes Vorgehen oder verbaue Chancen und Möglichkeiten. Leider wird im Hinblick auf solche Debatten zu selten der tatsächliche Wahrheitsgehalt derartiger Behauptungen überprüft. Damit soll nun keine absolut konträre Darstellung erfolgen, grundsätzlich sei alles möglich. Durch die datenschutzrechtlichen Regelungen werden jedoch viel eher Rahmenbedingungen festgelegt, die datenverarbeitende Stellen zu achten und durch technische und organisatorische Maßnahmen sicherzustellen haben. Abstrakt betrachtet gilt Gleiches für eine Vielzahl weiterer Rechtsgebiete.

Dem Datenschutz fehlt es eindeutig an gutem Marketing. Hier gilt es in den nächsten Jahren große Arbeit zu leisten. Denn durch die zunehmende Digitalisierung werden auch die datenschutzrechtlichen Themen weiterhin an Bedeutung, aber auch an Komplexität gewinnen. Großes Potenzial bietet hierzulande die Verbesserung von Koordination und Kommunikation der datenschutzrechtlichen Aufsichtsbehörden untereinander. Deutschland bietet mit seinen 16 Bundesländern ein beachtliches Ausmaß von 17 Landesdatenschutzbeauftragten, ergänzt durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Im Zweifelsfall ergibt sich somit ein Konvolut an datenschutzrechtlichen Auffassungen zu identischen Sachverhalten in Deutschland. Dem Laien kann es in diesem Fall nur an Verständnis fehlen, wenn die DS-GVO auf eine europaweite Vereinheitlichung des Datenschutzrechts abzielt, dann aber Sachverhalte in Berlin und Potsdam jeweils kaum unterschiedlicher bewertet werden könnten. Ein mögliches Instrument besteht hierbei in Form der sogenannten „Datenschutzkonferenz“ (DSK) bereits.

Dass die DS-GVO grundsätzlich ein großes Potenzial bietet und einen Schritt in die richtige Richtung geht, ist kaum zu bestreiten. Das zeigen auch die zahlreichen „Nachahmungen“ der DS-GVO in anderen Ländern und Regionen, wie z.B. Brasilien oder Kalifornien. Nur bedarf es einer stetigen Beobachtung der technischen und rechtlichen Rahmenbedingungen sowie eine damit einhergehende Weiterentwicklung der datenschutzrechtlichen Normierungen. Zukünftige Evaluationen sollten diesen Anforderungen in ausreichendem Umfang Rechnung tragen. In diesem Sinne können wir nur gespannt darauf warten, welche Herausforderungen uns das vierte Jahr der DS-GVO bieten wird.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Corona-Pandemie
  • Datenschutz-Grundverordnung
  • Datenschutzkonferenz
  • Drittlandübermittlung
  • Evaluation
Lesen