MESSENGER-DIENSTE UND DATENSCHUTZ – „WÜRDE ICH SELBST WOLLEN, DASS…?“

Die Nutzung von Messenger-Diensten stellt die Datenschutzbeauftragten von Unternehmen, Behörden, Kommunen und Schulen regelmäßig vor (datenschutz-)rechtliche Herausforderungen. Der unkomplizierten und zeitsparenden Kommunikationsmöglichkeit stehen meist erhebliche Bedenken hinsichtlich der intransparenten Verarbeitung personenbezogener Daten gegenüber. Ein datenschutzkonformer Einsatz ist im dienstlichen Umfeld oftmals nicht möglich. Doch auch im Rahmen der privaten Nutzung sollte die Wahl eines geeigneten Messenger-Dienstes sorgfältig geprüft werden. Die Aktualisierung der Geschäftsbedingungen von WhatsApp sorgt nun für ein Umdenken vieler Nutzer.


DIE NUTZUNG VON WHATSAPP IM DIENSTLICHEN UMFELD

Erst im Mai des vergangenen Jahres äußerte sich der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) Prof. Ulrich Kelber dahingehend, dass der Einsatz von WhatsApp für Bundesbehörden ausgeschlossen ist. Der Argumentation folgend dürfte Selbiges auch für weitere Behörden und Kommunen gelten. Aber auch hinsichtlich der Nutzung des Messenger-Dienstes an Schulen fällt das Urteil der Landesdatenschutzbeauftragten bereits seit längerer Zeit negativ aus. Weiterhin wird auch die Nutzung von WhatsApp zur betrieblichen Kommunikation in Unternehmen in der Regel als datenschutzrechtlich unzulässig einzustufen sein. Die Begründungen der einzelnen Aufsichtsbehörden fallen meist ähnlich aus:

(1) Bei einer Nutzung von WhatsApp findet eine Übermittlung von Namen und Telefonnummern aus dem Adressbuch des Nutzenden statt. Hierbei werden auch diejenigen Kontakte an WhatsApp übermittelt, die den Messenger-Dienst nicht nutzen. Außerhalb der privaten Nutzung ist hierfür eine Rechtsgrundlage gemäß Art. 6 Abs. 1 DS-GVO (Datenschutz-Grundverordnung) erforderlich, welche in den allermeisten Fällen jedoch nicht vorliegt: Eine Interessenabwägung wird aufgrund der intransparenten Datenverarbeitung regelmäßig gegen die Nutzung von WhatsApp ausfallen, das Einholen von Einwilligungen aller Adressbucheinträge ist in der Praxis nahezu unmöglich.

(2) Bei der Nutzung von WhatsApp und insbesondere im Rahmen des zuvor beschriebenen Kontaktbuchabgleichs findet eine Übermittlung personenbezogener Daten in die USA statt. Da es sich bei den USA um einen datenschutzrechtlichen Drittstaat handelt, sind hierbei die besonderen Anforderungen der Artt. 44 ff. DS-GVO zu beachten. Den Abschluss von Standardvertragsklauseln, die eine Datenübermittlung unter bestimmten Umständen legitimieren könnten, bietet WhatsApp jedoch nicht an.

(3) Weiterhin nutzt WhatsApp durch die Kommunikationsverläufe aggregierte personenbezogene Daten für eigene Zwecke. Zwar findet grundsätzlich eine Ende-zu-Ende verschlüsselte Kommunikation statt, dies gilt jedoch grundsätzlich nur für die Inhalte der Gesprächsverläufe und nicht für die dabei anfallenden Metadaten. Hierzu gehören insbesondere IP-Adressen, Standortdaten, Zeitstempel, Angaben zu Sender und Empfänger sowie weitergehende Informationen über das Smartphone und Betriebssystem. Es ist somit grundsätzlich möglich eine detaillierte Profilbildung über die Nutzenden vorzunehmen. Auf die Aussage des BfDI Prof. Ulrich Kelber, es sei davon auszugehen, dass WhatsApp diese Daten an Facebook weitergebe, entgegnete WhatsApp lediglich, dass eine Übermittlung dieser Daten nicht stattfinde. Auch im Rahmen der überarbeiteten WhatsApp Datenschutzrichtlinie erfolgt jedoch ausschließlich eine recht allgemeine Beschreibung der Verwendungszwecke.

(4) Zudem ist anzumerken, dass die Datenverarbeitungen von WhatsApp zu Teilen nicht transparent und präzise dargestellt werden und demnach nicht den Anforderungen des Art. 12 Abs. 1 S. 1 DS-GVO entsprechen. In der WhatsApp Datenschutzrichtlinie heißt es beispielsweise: „Aus diesen Gründen und auf diese Weise verarbeiten wir deine Daten: Zur Bereitstellung von Messungen, Analysen und sonstigen Unternehmensservices, wenn wir die Daten als Datenverantwortlicher verarbeiten. Berechtigte Interessen, auf die wir uns stützen: Zur Bereitstellung genauer und zuverlässiger aggregierter Berichte für Unternehmen und sonstige Partner, um eine genaue Preisgestaltung und genaue Leistungsstatistiken zu gewährleisten, und um den Wert aufzuzeigen, den unsere Partner durch die Nutzung unserer Dienste realisieren; und im Interesse von Unternehmen und sonstigen Partnern, um ihnen zu helfen, Erkenntnisse über ihre Kunden zu erlangen und ihre Geschäfte zu verbessern und unsere Preismodelle zu validieren, die Effektivität und Verbreitung ihrer Dienste und Nachrichten zu bewerten und Aufschluss darüber zu erlangen, wie die Menschen mit ihnen auf unseren Diensten interagieren.Verwendete Datenkategorien: Wir verwenden Informationen, die in den Abschnitten Informationen, die du zur Verfügung stellst, Automatisch erhobene Informationen und Informationen Dritter dieser Datenschutzrichtlinie zu diesen Zwecken. […].“ [Unterstreichungen durch den Autor]. Ob eine derartige allgemeine Beschreibung der Datenverarbeitung und unter Nutzung unzähliger Verweise den Anforderungen einer präzisen, transparenten, verständlichen und leicht zugänglichen Datenschutzinformation genügen, ist äußerst fraglich.

Weitere Kritikpunkte lauten, dass der Quellcode von WhatsApp nicht offengelegt wird, keine näheren Informationen zu gegebenenfalls bestehenden Sicherheitsaudits vorliegen und darüber hinaus Tracker zur Analyse des Nutzungsverhaltens eingebunden sind. Grundsätzlich ähnliche Bedenken gelten auch hinsichtlich der Nutzung von Telegram. Dieser Dienst wird zu Unrecht oft als geeignete Alternative empfohlen.


DIE NUTZUNG VON MESSENGER-DIENSTEN IM PRIVATEN UMFELD

Doch auch im Rahmen der privaten Nutzung von Messenger-Diensten, für die die Regelungen der DS-GVO regelmäßig nicht einschlägig sind, sollten datenschutzrechtliche Aspekte schon vor der Wahl eines bestimmten Dienstes berücksichtigt werden. Denn bereits aus der Erhebung von Metadaten lassen sich weitestgehend Rückschlüsse zum Verhalten einzelner Personen ziehen.

Nicht selten wird einer datenschutzversierten Person hinsichtlich datenschutzrechtlicher Bedenken das Argument entgegengehalten, dass ein solches Geschäftsmodell billigend in Kauf genommen werde, da man ohnehin nichts zu verbergen habe. Dass eine solche Argumentation wesentlich zu kurz greift, dürfte einem Jeden mit Blick auf einzelne Berichte bewusstwerden, wonach soziale Netzwerke durchaus in der Lage sind anhand psychologischer Analysen nutzende Personen auszumachen, die sich „nervös“, „gestresst“, „überfordert“, „ängstlich“, „dumm“, „nutzlos“ oder „wie ein Versager“ fühlen. Für Werbetreibende bestehe daraufhin die Chance, diesen Personen durch Werbung in derartigen Situationen gezielt anzusprechen.

Aber auch fernab von solchen Szenarien sollte die Praxis vieler Messenger-Dienste hinsichtlich des zwingenden Kontaktbuchabgleichs ebenfalls im privaten Kontext kritisch hinterfragt werden. Zwar sind die Regelungen der DS-GVO im Rahmen ausschließlich persönlicher oder familiärer Tätigkeiten gemäß Art. 2 Abs. 2 lit. c DS-GVO nicht einschlägig, jedoch greift bei Datenverarbeitungen im privaten Umfeld oftmals das allgemeine Persönlichkeitsrecht. Frei nach Kant gilt es hierbei sich zu fragen: „Würde ich selbst wollen, dass Freunde und Bekannte meine Telefonnummer an Internetdienste weitergeben, zu denen ich in keinerlei Verbindung stehe?“ Eine solche ungewollte Offenlegung von Kontaktdaten findet zudem meist schon auf einer niedrigeren Ebene statt: Durch Hinzufügen zu Gruppenchats werden bei einigen Messenger-Diensten für alle Mitglieder sichtbar die Telefonnummern sämtlicher Teilnehmer ungewollt dargestellt. Hier gilt es die Verwendung alternativer Messenger-Dienste zu prüfen.


DATENSCHUTZFREUNDLICHE ALTERNATIVEN

Wer nun gerne auf eine datenschutzfreundlichere Alternative umsteigen möchte, hat zwischenzeitlich die Auswahl zwischen mehreren Anbietern. Eine direkte Vergleichsmöglichkeit bietet unter anderem die Übersicht von Mike Kuketz. Die gängigsten datenschutzfreundlichen Alternativen dürften in dieser Darstellung die Messenger-Dienste Threema sowie Signal sein. Auch der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg unterstützt grundsätzlich den Einsatz von Threema als datenschutzkonforme Alternative. Der Messenger-Dienst aus der Schweiz bietet zudem im dienstlichen Umfeld die Version „Threema Work“ an. Bei einem Einsatz dieser Version ist der Abschluss eines Vertrages zur Auftragsverarbeitung möglich, um den Anforderungen des Art. 28 DS-GVO nachkommen zu können.


FAZIT

Sowohl im dienstlichen als auch im privaten Umfeld sollten bei einem Einsatz von Messenger-Diensten die datenschutzrechtlichen Anforderungen betrachtet werden. Hierbei ist abzuwägen welche konkreten (funktionellen) Anforderungen an einen Messenger-Dienst bestehen und wie dieser datenschutzkonform eingesetzt werden kann. Auch wenn im privaten Umfeld keine Sanktionen gemäß den Regelungen der DS-GVO drohen, schadet ein Umdenken auch hier sicherlich nicht. Für unentschlossene WhatsApp-Nutzende verbleibt eine gewisse Bedenkzeit: Die neuen Nutzungsbedingungen gelten nunmehr erst ab dem 15. Mai 2021 verbindlich.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Kommentar
  • Messenger
  • Signal
  • Telegram
  • Threema
  • WhatsApp
Lesen

ORIENTIERUNGSHILFE DER DSK: ORIENTIERUNG? HILFE?

Am 23. Oktober 2020 hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (kurz: Datenschutzkonferenz [DSK]) eine Orientierungshilfe zum Einsatz von Videokonferenzsystemen herausgegeben. Die sich hieraus ergebenden datenschutzrechtlichen Anforderungen haben wir bereits in der letzten Woche dargestellt. Der folgende Beitrag setzt sich kritisch mit der Frage auseinander, ob die Orientierungshilfe der DSK ihrem Namen gerecht wird. Antwort vorweg: Ja, aber. Für Datenschutz-Praktiker ist die Orientierungshilfe teils wirklich hilfreich und definitiv lesenswert.


HILFREICH UND LESENSWERT – ABER:

Auf 25 Seiten (!) werden oft allgemeine Datenschutzgrundsätze wiederholt, statt sie auf das Thema anzuwenden. Man muss (bestenfalls) schmunzeln, wenn mittendrin (Seite 13 unten und Seite 14 oben, unter Ziff. 3.5.1) von den Verantwortlichen etwas verlangt wird, das die Datenschutzkonferenz nicht schafft: Informationen, die „für einen durchschnittlichen Nutzer des Dienstes ohne übermäßigen Aufwand verständlich sind“. „Übermäßig komplexe Formulierungen und technische oder juristische Fachbegriffe sollten vermieden werden“. In dieser Hinsicht gut gelungen ist die anfängliche Unterscheidung zwischen möglichen Betriebsmodellen (On-Premise, externer IT-Dienstleister, Online-Dienst). Aber: Zwischen den beiden letztgenannten Fällen besteht datenschutzrechtlich kein nennenswerter Unterschied. Ausreichend wäre die Differenzierung: Auftragsverarbeiter beteiligt – ja oder nein.

Nicht überraschend, trotzdem ärgerlich ist, dass die DSK ganz schwierige aktuelle Themen (nämlich gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO und Drittstaatstransfer, insbesondere in die USA) anspricht, ohne brauchbare Aussagen zu treffen:

Beim Thema gemeinsamer Verantwortlichkeit (in der Orientierungshilfe unter Ziff. 3.3) dürfte für Videokonferenzsysteme richtig sein, dem Dienstleister eine Datenverarbeitung zu eigenen Zwecken schlicht zu untersagen. Die nach der EuGH-Rechtsprechung schwierige Frage der Abgrenzung zwischen separaten Verarbeitungen verschiedener Verantwortlicher und der Verarbeitung in gemeinsamer Verantwortlichkeit stellt sich dann nicht.

Hinsichtlich des Drittstaat-Transfers (insbesondere in die USA): Fast alle Anbieter von Videokonferenzsystemen sind entweder selbst in den USA tätig oder haben dort ansässige Sub-Auftragsverarbeiter eingeschaltet. Die Ausführungen des EuGH im Urteil Schrems II (16.07.2020, Rechtssache C-311/18) laufen darauf hinaus, dass DS-GVO-Verantwortliche für ein angemessenes Datenschutzniveau bei Datenempfängern in den USA den Zugriff dortiger Geheimdienste insbesondere nach FISA 702 ausschließen müssen. Dies ist (natürlich) unmöglich. Weder die Datenschutzkonferenz, noch der Europäische Datenschutzausschuss können dafür Wege aufzeigen. Sie behelfen sich mit (richtigen, aber völlig inhaltsleeren) Formulierungen: Die Verantwortlichen müssten im Einzelfall sorgfältig prüfen, angemessene Maßnahmen ergreifen, Datenschutz-Grundsätze beachten – und so weiter und so fort (in der Orientierungshilfe S. 16-18 unter 3.5.6). Sehr viel konkreter und konsequenter ist die Empfehlung, soweit irgend möglich auf Drittstaats-Transfers zu verzichten, also EU-Dienstleister zu bevorzugen (z.B. LfDI Baden-Württemberg). Aber ist eine „Daten-Insel EU“ lebensnah? Die Orientierungshilfe Videokonferenzsysteme geht insoweit immerhin an die Grenzen offizieller Äußerungen, wenn sie schreibt: „Es bedarf noch weiterer Analysen, um im Lichte dieser vom EuGH klargestellten Anforderungen konkretere Aussagen dahingehend treffen zu können, ob […] personenbezogene Daten in die USA […] übermittelt werden können“ (Ziff. 2.3, Seite 7 unten). Eine „eingehende Analyse“ der EuGH-Entscheidung war bei Entstehung der Orientierungshilfe, drei Monate nach dem EuGH-Urteil, natürlich längst abgeschlossen. Sie führt eben zu dem unerträglichen, praktisch nicht umsetzbaren Ergebnis, dass mit den Anforderungen des EuGH keine Übermittlung personenbezogener Daten in die USA (und viele Staaten dieser Welt) möglich ist.


ORIENTIERUNGSHILFE IN TEILEN MISSVERSTÄNDLICH

In einer kurzen und übersichtlichen Orientierungshilfe hätten zwei typische Datenschutz-Gefahren bei Videokonferenzsystemen mehr Beachtung verdient:

Teilnehmer an Videokonferenzen sind meist über die Funktionen der Software nicht ausreichend informiert, also höchst unsicher in deren Handhabung. Nutzer werden ganz ohne Vorbereitung oder mit Einweisung unter hohem Zeitdruck „allein gelassen“. Oft genug müssen sie „im Selbstversuch“ herausfinden, wie die Software funktioniert, wie z.B. Video- und Audiofunktionen aktiviert / deaktiviert werden. Eine kurze Unterweisung des Nutzers vor Einsatz der Software ist deshalb (auch) unter Datenschutz-Aspekten obligatorisch.

Der heimliche „Mitschnitt“ von Ton (und Bild) wird von vielen Nutzern nicht als strafbar (§ 201 StGB) erkannt. Die Mitschnittmöglichkeit nehmen viele Nutzer als zusätzlichen Vorteil der Videokonferenzsysteme (im Vergleich mit traditionellen persönlichen Treffen) wahr, von der man (spielerisch oder „vorsorglich“) Gebrauch macht. Darin liegt eines der größten Datenschutz-Risiken beim Einsatz von Videokonferenzsystemen. In der Orientierungshilfe wird es unter Ziff. 3.4.8 (Seite 13) nur sehr versteckt erwähnt.

Zuletzt zwei Punkte, bei denen die Orientierungshilfe in die Irre führt:

(1) Entgegen Ziff. 4.2.4 (dort dritter Spiegelstrich) sind Gastzugänge bei Videokonferenzsystemen nicht nur zulässig, wenn alle Teilnehmer „untereinander bekannt sind“. Vielmehr dürfen Systeme auch mit völlig offenem Teilnehmerkreis betrieben werden. Notwendig ist dafür nur, dass die offene Teilnahme bekannt ist (Beispiel: Online-Besprechung einer Bürgerinitiative).

(2) In Ziff. 4.8 verlangt die Orientierungshilfe, dass Teilnehmende die technische Möglichkeit haben müssten, „Kamera und Mikrofon auszuschalten, wobei getrennte Deaktivierungsmöglichkeiten für Audio- und Videoübertragung vorzusehen sind“. Eine solche „Abschaltmöglichkeit“ ist datenschutzrechtlich nirgends generell vorgeschrieben. Es gibt im Gegenteil sogar Anwendungsfälle (z.B.: Bild- und Tonübertragung bei Hauptversammlungen von Aktiengesellschaften), bei denen die lückenlose Übertragung der versammlungsleitenden Personen rechtlich gefordert wird.


FAZIT

Dank an die DSK für die Stellungnahme zu einem Thema, das in Corona-Zeiten naturgemäß jeden Datenschutzbeauftragten beschäftigt. Bitte an die DSK: Orientierungshilfen noch kürzer, klarer, konkreter.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht.

    Tags:
  • Datenschutzkonferenz
  • Kommentar
  • Orientierungshilfe
  • Schrems II
  • Videokonferenzen
Lesen

IN DER SACKGASSE: INTERNATIONALER DATENSCHUTZ MIT DER DS-GVO

Zunächst ein warnender Hinweis: Es folgen einige grundsätzliche Gedanken zum Konzept der Datenschutz-Grundverordnung (DS-GVO) für den internationalen Datenschutz. Wer Praxis-Tipps sucht, kann diesen Blog-Beitrag also überspringen – Sie finden unsere Vorschläge zum bestmöglichen Umgang mit der Situation in unserem Beitrag vom 17. August 2020.

Die Entscheidung des Europäischen Gerichtshofs gegen den Privacy Shield (Urteil vom 16.07.2020, Az.: C-311/18, „Schrems II“) wird momentan (auch von uns) wegen der kurzfristigen Folgen für die Datenschutz-Praxis untersucht und diskutiert. Sie gibt aber ebenso Anlass, das Konzept der DS-GVO für den internationalen Datenschutz einmal grundsätzlich zu prüfen.

Ergebnis vorab: Für die Übermittlung personenbezogener Daten in Drittstaaten (Staaten außerhalb des Europäischen Wirtschaftsraums / EWR) stellt die DS-GVO Anforderungen, die in der Praxis nicht erfüllbar sind. Notwendig und wünschenswert ist ein vollständig neues Regelungskonzept, dass auch mit Änderungen des Textes der DS-GVO verbunden wäre. Leider wird in absehbarer Zeit sicher nichts dergleichen in Angriff genommen. Es fehlt schon an einer öffentlichen Diskussion des Problems. So schweigt zum Beispiel auch der Evaluierungsbericht der EU-Kommission vom Juni zu diesem Thema. Im Einzelnen:


DATENÜBERMITTLUNGEN IN ANDERE STAATEN

Die DS-GVO regelt den Datenschutz in der gesamten Europäischen Union (darüber hinaus auch in den EWR-Staaten) einheitlich. Bei Datenübermittlungen innerhalb der EU (also auch aus einem Mitgliedstaat in einen anderen Mitgliedstaat) gelten keine zusätzlichen Anforderungen. Der Datenaustausch von Akteuren in verschiedenen Mitgliedstaaten wird behandelt wie der Datenaustausch innerhalb ein und desselben EU-Staats. Etwas ganz anderes gilt bei Datenübermittlungen an einen Verantwortlichen oder Auftragsverarbeiter außerhalb des EWR: Zusätzlich zu den allgemeinen Anforderungen – vor allem: Rechtsgrundlage für den konkreten Datentransfer und datenschutzkonforme Ausgestaltung – verlangt die DS-GVO entweder einen Angemessenheitsbeschluss der Kommission für den Zielstaat (Art. 45 Abs. 3), geeignete Garantien für ein angemessenes Datenschutzniveau im Zielstaat (Art. 46) oder die Voraussetzungen für eine der Ausnahmeregelungen in Art. 49.


AUSNAHMEREGELUNGEN DES ART. 49 DS-GVO

Artikel 49 regelt ausdrücklich „Ausnahmen“. In den Normalfällen nach Art. 45 Abs. 3 und Art. 46 wird verlangt, dass der Datenempfänger im Drittstaat ein „angemessenes Datenschutzniveau“ gewährleistet. Wenn anfangs vielleicht noch zu diesem Begriff verschiedene Vorstellungen existierten, hat der Europäische Gerichtshof (als letztzuständige Institution für die Auslegung des EU-Rechts) in den Entscheidungen Safe Harbour und Privacy Shield eindeutig geklärt: „Angemessenes Datenschutzniveau“ bei einem Datenempfänger bedeutet, dass dort eine Behandlung der Daten nach den Vorschriften der DSGVO garantiert werden muss. Mit anderen Worten: Die DS-GVO-Pflichten werden auf den ausländischen Datenempfänger „projiziert“; nur wenn der Empfänger diese Pflichten erfüllen wird, darf der Verantwortliche die Daten aus der EU übermitteln.

Ein großes Problem: Jeder Akteur in jedem Staat auf dieser Erde – gleichgültig, ob Unternehmen in Brasilien oder Behörden in Indonesien – unterliegt den jeweiligen nationalen Gesetzen. Vereinfacht und auf den Punkt gebracht: Wenn die nationalen Gesetze in einem Drittstaat nicht vollständig den Datenschutzregeln der DS-GVO entsprechen, kann eine Person oder ein Unternehmen in diesem Drittstaat die Einhaltung der Regelungen der DS-GVO auch nicht gewährleisten. Diese – eigentlich offensichtliche – Tatsache wurde bei Ausgestaltung der „Regelfälle“ in Art. 45 Abs. 3 und Art. 46 DSGVO völlig übersehen:


ANGEMESSENHEITSBESCHLUSS DER KOMMISSION

Artikel 45 DS-GVO sieht vor, dass die EU-Kommission unter anderem Drittstaaten durch Beschluss ein angemessenes Datenschutzniveau attestieren kann (Eine Liste der bisherigen Angemessenheitsbeschlüsse finden Sie hier). Auf dieser Grundlage bzw. der Vorgänger-Richtlinie (RL 95/46/EG) erließ die Kommission auch die Beschlüsse zu Safe Harbour und Privacy Shield. In beiden Fällen entschied der EuGH, die Kommission habe das Datenschutzniveau falsch (nämlich zu günstig) beurteilt. Dies wurde u.a. damit begründet, dass weder Safe Harbour noch Privacy Shield gegen einen Datenzugriff US-amerikanischer Sicherheitsbehörden bei dem jeweiligen Datenempfänger in den USA schützen können.

Es liegt auf der Hand, dass die Kommission eigentlich sofort ihren Angemessenheitsbeschluss betreffend Kanada aufheben müsste. Darin hatte sie ausdrücklich nur für den nicht-öffentlichen Bereich Kanadas (hauptsächlich die dortigen Wirtschaftsunternehmen) ein angemessenes Datenschutzniveau bestätigt. Kanadische Behörden gewährleisten in den Augen der EU keinen ausreichenden Datenschutz (u.a. wegen Einbindung der dortigen Geheimdienste in die von Edward Snowden veröffentlichte massenhafte E-Mail-Auswertung). Die Kommissions-Entscheidung zu Kanada beruht offenbar auf der vom EuGH nun eindeutig abgelehnten Ansicht, Unternehmen eines Staates könnten auch dann angemessenen Datenschutz gewährleisten, wenn nach den dort geltenden staatlichen Gesetzen die Sicherheitsbehörden DS-GVO-widrige Datenverarbeitungen durchführen dürfen.

Ob die anderen Angemessenheitsentscheidungen (u.a. zugunsten Israels) unter diesem Aspekt einer Überprüfung Stand halten würden, mag dahinstehen. Viel wichtiger ist: Für gerade einmal zwölf Staaten hat die Kommission ein gleichwertiges Datenschutzniveau anerkannt; davon besitzen nur sechs eine wirtschaftlich nennenswerte Bedeutung. Für den „ganz normalen“ und notwendigen weltweiten Datenaustausch bietet Art. 45 DS-GVO somit keine Grundlage.


VEREINBARUNGEN ZWISCHEN AKTEUREN

Damit bleibt der Blick auf die in Art. 46 DS-GVO gelisteten Wege. Diese bestehen durchweg in Vereinbarungen zwischen den beteiligten Unternehmen, Behörden etc. oder Selbstverpflichtungen der beteiligten Akteure. Ohne, dass man auf die einzelnen Varianten speziell eingehen müsste (z.B. Binding Corporate Rules, Standardvertragsklauseln, Verhaltensregeln) ist spätestens mit den EuGH-Entscheidungen zu Safe Harbour und Privacy Shield klar: Ein „angemessenes Datenschutzniveau“ setzt nach Auffassung des EuGH stets voraus, dass die beteiligten Akteure auch im Stande sind, ihre Vereinbarungen, Selbstverpflichtungen etc. im jeweiligen Drittstaat einzuhalten. Wenn sie nach dort geltenden Gesetzen oder nach den dortigen Machtverhältnissen gar nicht im Stande sind, die auf dem Papier gegebene Zusagen zu erfüllen, dann bewirken die Datenschutzpapiere (natürlich) auch kein „angemessenes Datenschutzniveau“.

Besonders deutlich wird das Dilemma am Beispiel der Sicherheitsbehörden / Geheimdienste: Für die Datenverarbeitung durch Sicherheitsbehörden der EU-Staaten enthält Art. 2 Abs. 2 DSGVO Ausnahmeregelungen. Sie werden also nicht an den Vorschriften der DS-GVO gemessen. Diese Ausnahmen gelten aber nur für EU-Behörden. Mit anderen Worten: Geheimdienste von Drittstaaten müssen die DS-GVO-Vorgaben einhalten, damit diesen Drittstaaten ein angemessenes Datenschutzniveau zugesprochen wird (so auch die Sichtweise des EuGH). Beim Brexit könnte sich dies auswirken: Solange Großbritannien EU-Mitglied war, benötigten Datenübermittlungen in das Vereinigte Königreich keine zusätzliche Prüfung. Wenn nach Jahresende die Übergangsregelungen ohne Ersatz auslaufen sollten („harter Brexit“), könnte ein „angemessenes Datenschutzniveau“ im Vereinigten Königreich mit Hinweis auf die Tätigkeit der britischen Geheimdienste verneint werden.


FAZIT

Das Modell der DS-GVO für den internationalen Datentransfer ist schlicht nicht praxistauglich. Auf EU-Ebene gibt es jedoch keine Anzeichen für ein grundsätzliches Problembewusstsein und Änderungsbereitschaft. Vernünftige Regelungen sind nicht in Sicht. Denkbar wären verschiedene Lösungen – dazu in einem späteren Beitrag mehr; dieser ist bereits viel zu lang geraten.

    Tags:
  • Datenübermittlungen
  • EU-US-Privacy Shield
  • EuGH
  • Internationaler Datenschutz
  • Kommentar
  • Schrems II
Lesen