In unserem ersten Teil des Jahresrückblicks haben wir bereits die Monate Januar bis Juni betrachtet. Im Rahmen des heutigen Blog-Beitrags widmen wir uns den Monaten Juli bis Dezember und greifen neben nennenswerten Bußgeldern ebenfalls interessante Entwicklungen im Bereich internationaler Datenübermittlungen auf.

Juli 2022

Sommerloch weit gefehlt. Auch in den Sommermonaten konnten datenschutzrechtliche Themen Schlagzeilen machen. Allen voran das gegenüber der Volkswagen AG verhangene Bußgeld in Höhe von 1,1 Millionen Euro. Hintergrund waren Forschungsfahrten des Unternehmens mittels eines mit Kameras ausgestatteten Fahrzeugs im Jahr 2019. Moniert wurden seitens der zuständigen Aufsichtsbehörde insbesondere die fehlenden Hinweisschilder und weiterführenden Datenschutzinformationen, welche die Verkehrsteilnehmer über den Einsatz von Videokameras und die weitere Datenverarbeitung informierten. Weiterhin fehlte es an einem erforderlichen Vertrag zur Auftragsverarbeitung mit einem Dienstleister sowie an dem Nachweis der Durchführung einer Datenschutz-Folgenabschätzung. An der Datenverarbeitung als solches war laut der Pressemitteilung der Landesbeauftragten für den Datenschutz Niedersachsen ausdrücklich nichts auszusetzen.

Weiterhin führten einige Datenschutz-Aufsichtsbehörden eine Überprüfung von Auftragsverarbeitungsverträgen bei Webhostern durch. Ziel sei es laut Pressemitteilung der Sächsischen Datenschutzbeauftragten Webhoster und Verantwortliche bei einem Abschluss von rechtskonformen Verträgen zur Auftragsverarbeitung zu unterstützen. Hintergrund der Überprüfung seien regelmäßige Anfragen von Verantwortlichen, die sich mit nicht-konformen Auftragsverarbeitungsverträgen gängiger Webhoster konfrontiert sahen. An der gemeinschaftlichen Überprüfung beteiligten sich weiterhin die Aufsichtsbehörden aus Berlin, Niedersachsen, Rheinland-Pfalz, Sachsen-Anhalt und Bayern. Auf welche Inhalte Sie bei einer Überprüfung von Verträgen zur Auftragsverarbeitung besonderen Wert legen sollten, haben wir in einem Blog-Beitrag zusammengefasst.

August 2022

Mit der Rückkehr aus den Sommerferien gingen bei zahlreichen Unternehmen und Behörden die ersten Abmahnungen hinsichtlich der dynamischen Einbindung von Google Fonts ein. Zum damaligen Zeitpunkt ahnte noch keiner, in welchem Ausmaß die Abmahnwelle in den kommenden Wochen und Monaten Datenschutzbeauftragte und Verantwortliche auf Trab halten würde. Auch wenn die Rechtmäßigkeit dieser Abmahnungen angezweifelt werden darf, zeigt sich wieder einmal, wie wichtig es ist, die eigenen Datenverarbeitungen, Prozesse und Anwendungen zu kennen. Dies gilt aufgrund der Reichweite und Öffentlichkeitswirksamkeit insbesondere für Internetpräsenzen. So widmeten wir uns in dem Beitrag „Quick-Check: Datenschutz auf Internetseiten“ den speziellen rechtlichen Anforderungen sowie einfach zu bedienenden Überprüfungsmöglichkeiten.

September 2022

Auch der September hielt für Datenschutzbeauftragte und Verantwortliche ein interessantes Bußgeld parat: Die Berliner Beauftragte für Datenschutz und Informationsfreiheit verhing laut Pressemitteilung gegen ein Unternehmen wegen eines Interessenkonflikts des Datenschutzbeauftragten ein Bußgeld in Höhe von 525.000€. Im vorliegenden Fall handelte es sich bei der Person des Datenschutzbeauftragten zugleich um den Geschäftsführer zweier Unternehmen. Da diese Unternehmen zugleich als Auftragsverarbeiter für das Unternehmen tätig waren, für welches er als Datenschutzbeauftragter benannt wurde, sah die Aufsichtsbehörde einen Interessenkonflikt gegeben. Trotz erster Verwarnung durch die Aufsichtsbehörde im Jahr 2021 nahm das betroffene Unternehmen keine Änderungen vor, sodass es letztendlich zu einem Bußgeld in dieser Größenordnung kam.

Die Datenschutz-Grundverordnung sieht bei der Verarbeitung von personenbezogenen Daten von Kindern und Jugendlichen besondere Anforderungen vor. Aus diesem Grund ist insbesondere bei der Gestaltung von Medien-Angeboten, die sich explizit an Kinder und Jugendliche richten, wichtig, datenschutzrechtliche Belange vorab zu prüfen und im Entwicklungsprozess aktiv und angemessen zu berücksichtigen. Für die datenschutzgerechte Gestaltung von Internetseiten und Apps hat der gemeinsame Rundfunkdatenschutzbeauftragte von BR, SR, WDR, Deutschlandradio und ZDF einen entsprechenden Leitfaden veröffentlicht. Der Leitfaden umfasst Hinweise beispielsweise zu den besonderen Anforderungen an technisch-organisatorischen Maßnahmen, Datenschutzinformationen oder Betroffenenrechte. Für Verantwortliche, die ein solches Angebot unterhalten oder für die Zukunft beabsichtigen, ist ein Blick in den Leitfaden empfehlenswert.

Oktober 2022

„Gefährdungslage im Cyber-Raum hoch wie nie“ lautet das Fazit des Berichts „Die Lage der IT-Sicherheit in Deutschland 2022“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Der Bericht zeigt eindrücklich die Vielfalt der Angriffsvektoren und die technische Fortentwicklung auf der Seite der Angreifer. Abgebildet werden hierbei neben den (wieder einmal) gestiegenen Angriffszahlen jedoch ebenfalls die abzuleitenden zielgruppenspezifischen Erkenntnisse und Maßnahmen für die Gesellschaft, die Wirtschaft sowie den Staat und die Verwaltung, welche auch einen Einblick in die zu erwartenden technischen Entwicklungen geben. Einige Inhalte des Berichts finden Sie zusammengefasst auch in unserem entsprechenden Beitrag.

November 2022

Bereits zu Beginn des Monats befassten wir uns in einem Blog-Beitrag über die aktuellen datenschutzrechtlichen Entwicklungen bezüglich der Nutzung von Microsoft 365. Thematisiert wurden hierbei insbesondere die vertraglichen Anpassungen seitens Microsoft, aber auch die seitens der Verantwortlichen zu treffenden Maßnahmen, welche einen datenschutzfreundlichen Einsatz von Microsoft 365 ermöglichen. Nur wenige Wochen später lautete das Fazit der Datenschutzkonferenz (DSK), dass Microsoft 365 nicht datenschutzkonform eingesetzt werden könne. Das gelte, „solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird […].“ Die Reaktion von Microsoft und weiteren Personen haben wir für Sie in einem gesonderten Beitrag zusammengefasst. Die weiteren Entwicklungen bleiben abzuwarten.

Dezember 2022

Am 16. Dezember 2022 hat der Bundestag das lange erwartete Hinweisgeberschutzgesetz beschlossen. Mit dem Hinweisgeberschutzgesetz erfolgt die überfällige Umsetzung der europäischen Whistleblowing-Richtlinie. Ziel dieses Gesetzes ist die nachhaltige Verbesserung des bislang lückenhaften Schutzes von Hinweisgebern, um jegliche Benachteiligung auszuschließen. Weiterhin sollen Hinweisgeber durch das Gesetz Rechtssicherheit erlangen. Nach der Whistleblower-Richtlinie sind Unternehmen ab einer Größe von 50 Beschäftigten verpflichtet, ein Whistleblowing-System einzurichten. Bei der Einrichtung müssen jedoch verschiedene Aspekte berücksichtigt werden, unter anderem datenschutzrechtliche Belange, welche wir in einem gesonderten Blog-Beitrag dargestellt haben.

Zum 27. Dezember 2022 endete nach 18 Monaten die Übergangsfrist zur Umsetzung der neuen Standardvertragsklauseln. Bei Standardvertragsklauseln handelt es sich um eine besondere vertragliche (Muster-)Vereinbarung zwischen datenübermittelnder und datenempfangender Stelle, im Rahmen derer – ähnlich wie in Verträgen zur Auftragsverarbeitung – datenschutzrechtliche Rechten und Pflichten festgelegt werden. Am 04. Juni 2021 hatte die Europäische Kommission die überarbeiteten Standardvertragsklauseln unter Berücksichtigung des „Schrems II“-Urteils des Europäischen Gerichtshofs verabschiedet. Zur Aktualisierung der Vertragswerke wurde den verantwortlichen Stellen eine Übergangsfrist bis Dezember dieses Jahres eingeräumt. Welche Handlungserfordernisse sich für Sie ergeben, wenn in Ihrem Unternehmen oder Behörde bislang keine Aktualisierung erfolgte, können Sie unserem Blog-Beitrag „Handlungsbedarf: Standardvertragsklauseln“ entnehmen.

Damit beenden wir unseren kleinen Jahresrückblick für das Jahr 2022. Wir bedanken uns recht herzlich bei Ihnen, dass Sie uns als Leser:innen unseres Blogs auch in diesem Jahr begleitet haben und sind mit Ihnen gemeinsam gespannt, welche Aufgaben auf uns im neuen Jahr warten. In diesem Sinne wünschen wir Ihnen einen guten und vor allem gesunden Start in das Jahr 2023!

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

DATENÜBERMITTLUNGEN IN ANDERE STAATEN

Die DS-GVO regelt den Datenschutz in der gesamten Europäischen Union (darüber hinaus auch in den EWR-Staaten) einheitlich. Bei Datenübermittlungen innerhalb der EU (also auch aus einem Mitgliedstaat in einen anderen Mitgliedstaat) gelten keine zusätzlichen Anforderungen. Der Datenaustausch von Akteuren in verschiedenen Mitgliedstaaten wird behandelt wie der Datenaustausch innerhalb ein und desselben EU-Staats. Etwas ganz anderes gilt bei Datenübermittlungen an einen Verantwortlichen oder Auftragsverarbeiter außerhalb des EWR: Zusätzlich zu den allgemeinen Anforderungen – vor allem: Rechtsgrundlage für den konkreten Datentransfer und datenschutzkonforme Ausgestaltung – verlangt die DS-GVO entweder einen Angemessenheitsbeschluss der Kommission für den Zielstaat (Art. 45 Abs. 3), geeignete Garantien für ein angemessenes Datenschutzniveau im Zielstaat (Art. 46) oder die Voraussetzungen für eine der Ausnahmeregelungen in Art. 49.

AUSNAHMEREGELUNGEN DES ART. 49 DS-GVO

Artikel 49 regelt ausdrücklich „Ausnahmen“. In den Normalfällen nach Art. 45 Abs. 3 und Art. 46 wird verlangt, dass der Datenempfänger im Drittstaat ein „angemessenes Datenschutzniveau“ gewährleistet. Wenn anfangs vielleicht noch zu diesem Begriff verschiedene Vorstellungen existierten, hat der Europäische Gerichtshof (als letztzuständige Institution für die Auslegung des EU-Rechts) in den Entscheidungen Safe Harbour und Privacy Shield eindeutig geklärt: „Angemessenes Datenschutzniveau“ bei einem Datenempfänger bedeutet, dass dort eine Behandlung der Daten nach den Vorschriften der DSGVO garantiert werden muss. Mit anderen Worten: Die DS-GVO-Pflichten werden auf den ausländischen Datenempfänger „projiziert“; nur wenn der Empfänger diese Pflichten erfüllen wird, darf der Verantwortliche die Daten aus der EU übermitteln.

Ein großes Problem: Jeder Akteur in jedem Staat auf dieser Erde – gleichgültig, ob Unternehmen in Brasilien oder Behörden in Indonesien – unterliegt den jeweiligen nationalen Gesetzen. Vereinfacht und auf den Punkt gebracht: Wenn die nationalen Gesetze in einem Drittstaat nicht vollständig den Datenschutzregeln der DS-GVO entsprechen, kann eine Person oder ein Unternehmen in diesem Drittstaat die Einhaltung der Regelungen der DS-GVO auch nicht gewährleisten. Diese – eigentlich offensichtliche – Tatsache wurde bei Ausgestaltung der „Regelfälle“ in Art. 45 Abs. 3 und Art. 46 DSGVO völlig übersehen:

ANGEMESSENHEITSBESCHLUSS DER KOMMISSION

Artikel 45 DS-GVO sieht vor, dass die EU-Kommission unter anderem Drittstaaten durch Beschluss ein angemessenes Datenschutzniveau attestieren kann (Eine Liste der bisherigen Angemessenheitsbeschlüsse finden Sie hier). Auf dieser Grundlage bzw. der Vorgänger-Richtlinie (RL 95/46/EG) erließ die Kommission auch die Beschlüsse zu Safe Harbour und Privacy Shield. In beiden Fällen entschied der EuGH, die Kommission habe das Datenschutzniveau falsch (nämlich zu günstig) beurteilt. Dies wurde u.a. damit begründet, dass weder Safe Harbour noch Privacy Shield gegen einen Datenzugriff US-amerikanischer Sicherheitsbehörden bei dem jeweiligen Datenempfänger in den USA schützen können.

Es liegt auf der Hand, dass die Kommission eigentlich sofort ihren Angemessenheitsbeschluss betreffend Kanada aufheben müsste. Darin hatte sie ausdrücklich nur für den nicht-öffentlichen Bereich Kanadas (hauptsächlich die dortigen Wirtschaftsunternehmen) ein angemessenes Datenschutzniveau bestätigt. Kanadische Behörden gewährleisten in den Augen der EU keinen ausreichenden Datenschutz (u.a. wegen Einbindung der dortigen Geheimdienste in die von Edward Snowden veröffentlichte massenhafte E-Mail-Auswertung). Die Kommissions-Entscheidung zu Kanada beruht offenbar auf der vom EuGH nun eindeutig abgelehnten Ansicht, Unternehmen eines Staates könnten auch dann angemessenen Datenschutz gewährleisten, wenn nach den dort geltenden staatlichen Gesetzen die Sicherheitsbehörden DS-GVO-widrige Datenverarbeitungen durchführen dürfen.

Ob die anderen Angemessenheitsentscheidungen (u.a. zugunsten Israels) unter diesem Aspekt einer Überprüfung Stand halten würden, mag dahinstehen. Viel wichtiger ist: Für gerade einmal zwölf Staaten hat die Kommission ein gleichwertiges Datenschutzniveau anerkannt; davon besitzen nur sechs eine wirtschaftlich nennenswerte Bedeutung. Für den „ganz normalen“ und notwendigen weltweiten Datenaustausch bietet Art. 45 DS-GVO somit keine Grundlage.

VEREINBARUNGEN ZWISCHEN AKTEUREN

Damit bleibt der Blick auf die in Art. 46 DS-GVO gelisteten Wege. Diese bestehen durchweg in Vereinbarungen zwischen den beteiligten Unternehmen, Behörden etc. oder Selbstverpflichtungen der beteiligten Akteure. Ohne, dass man auf die einzelnen Varianten speziell eingehen müsste (z.B. Binding Corporate Rules, Standardvertragsklauseln, Verhaltensregeln) ist spätestens mit den EuGH-Entscheidungen zu Safe Harbour und Privacy Shield klar: Ein „angemessenes Datenschutzniveau“ setzt nach Auffassung des EuGH stets voraus, dass die beteiligten Akteure auch im Stande sind, ihre Vereinbarungen, Selbstverpflichtungen etc. im jeweiligen Drittstaat einzuhalten. Wenn sie nach dort geltenden Gesetzen oder nach den dortigen Machtverhältnissen gar nicht im Stande sind, die auf dem Papier gegebene Zusagen zu erfüllen, dann bewirken die Datenschutzpapiere (natürlich) auch kein „angemessenes Datenschutzniveau“.

Besonders deutlich wird das Dilemma am Beispiel der Sicherheitsbehörden / Geheimdienste: Für die Datenverarbeitung durch Sicherheitsbehörden der EU-Staaten enthält Art. 2 Abs. 2 DSGVO Ausnahmeregelungen. Sie werden also nicht an den Vorschriften der DS-GVO gemessen. Diese Ausnahmen gelten aber nur für EU-Behörden. Mit anderen Worten: Geheimdienste von Drittstaaten müssen die DS-GVO-Vorgaben einhalten, damit diesen Drittstaaten ein angemessenes Datenschutzniveau zugesprochen wird (so auch die Sichtweise des EuGH). Beim Brexit könnte sich dies auswirken: Solange Großbritannien EU-Mitglied war, benötigten Datenübermittlungen in das Vereinigte Königreich keine zusätzliche Prüfung. Wenn nach Jahresende die Übergangsregelungen ohne Ersatz auslaufen sollten („harter Brexit“), könnte ein „angemessenes Datenschutzniveau“ im Vereinigten Königreich mit Hinweis auf die Tätigkeit der britischen Geheimdienste verneint werden.

FAZIT

Das Modell der DS-GVO für den internationalen Datentransfer ist schlicht nicht praxistauglich. Auf EU-Ebene gibt es jedoch keine Anzeichen für ein grundsätzliches Problembewusstsein und Änderungsbereitschaft. Vernünftige Regelungen sind nicht in Sicht. Denkbar wären verschiedene Lösungen – dazu in einem späteren Beitrag mehr; dieser ist bereits viel zu lang geraten.