Category Archives: Europa

Google Analytics: Neuer Vertrag zur Auftragsdatenverarbeitung für deutsche Unternehmen verfügbar

Posted on by

Im Juni diesen Jahres informierte der Hamburger Datenschutzbeauftragte darüber, dass sich die Aufhebung der Safe Harbor Entscheidung durch den Europäischen Gerichtshof unmittelbar auf den Einsatz des Dienstes Google Analytics auswirke (hier mein Beitrag dazu). In dem ursprünglich von Google zur Verfügung gestellten Vertrag zur Auftragsdatenverarbeitung wurde nämlich in Ziffer 4.7 auf die „Safe Harbor-Vereinbarung“ verwiesen. Diese Angemessenheitsentscheidung der Europäischen Kommission konnte jedoch nach dem Urteil des Europäischen Gerichtshofs nicht mehr als Grundlage einer Datenübermittlung von personenbezogenen Daten auf Server von Google in die USA dienen. Daher wurde damals durch die Behörde auch eine Überprüfung der empfohlenen Maßnahmen eingeleitet und Gespräche mit Google geführt.

Nun hat Google für deutsche Kunden des Dienstes Google Analytics einen neuen Vertrag zur Auftragsdatenverarbeitung bereitgestellt. Dieser ist hier abrufbar (PDF). In diesem Vertrag wird in Ziffer 4.7 nun auch nicht mehr auf Safe Harbor verwiesen. Es scheint sich bei diesem Vertragsformular, welches von deutschen Webseiten- oder App-Betreibern, die Analytics einsetzen möchten, unterzeichnet werden muss, um eine mit Blick auf den seit kurzem in Kraft getretenen EU-US Datenschutzschild (Privacy Shield) angefertigte Vertragsversion zu handeln. Der Titel des Dokuments wird als „(Privacy Shield version)“ bezeichnet.

Das passt. Denn seit dem 22. September 2016 ist die Google Inc. auch offiziell unter dem EU-US Datenschutzschild zertifiziert. Unternehmen, die den Dienst Google Analytics einsetzen möchten, können sich für eine Übermittlung personenbezogener Daten an Google in den USA daher nun auf die Teilnahme des US-Unternehmens an dem Datenschutzschild berufen (vgl. auch die Information in der Datenschutzerklärung von Google).

Allein die Zertifizierung von Google unter dem Datenschutzschild reicht jedoch noch nicht aus, damit personenbezogene Daten zulässigerweise auf dieser Grundlage in die USA übermittelt werden dürfen. Erforderlich ist zudem, dass das jeweilige deutsche Unternehmen ein Vertrag zur Auftragsdatenverarbeitung mit Google abschließt (vgl. auch Anhang II, III. Zusatzgrundsätze, Ziffer 10 a. i. des Beschlusses zum Datenschutzschild). Diese Auffassung haben auch bisher die deutschen Datenschutzbehörden zu Safe Harbor vertreten und die Landesdatenschutzbeauftragte in Nordrhein-Westfalen hat erst kürzlich einen Leitfaden zur Anwendung des Datenschutzschildes veröffentlicht, in dem diese Auffassung bestätigt wurde (mein Beitrag dazu hier). Hierüber informiert Google auch in den Google Analytics Bedingungen. Neben dem Abschluss dieses Vertrages zur Auftragsdatenverarbeitung muss insbesondere darauf geachtet werden, in der eigenen Datenschutzerklärung auf den Einsatz des Dienstes hinzuweisen, eine Widerspruchsmöglichkeit bereitzustellen und durch entsprechende Einstellungen im Google-Analytics-Programmcode die Kürzung von IP-Adressen in Auftrag zu geben (Funktion „_anonymizeIp()). Vielleicht gibt es in näherer Zukunft auch noch eine offizielle Information des Hamburger Datenschutzbeauftragten oder einer anderen Aufsichtsbehörde.

 

Datentransfers in die USA unter dem EU-US Privacy Shield: Datenschutzbehörde NRW veröffentlicht Leitfaden für Unternehmen

Posted on by

Die Landesbeauftragte für den Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LfDI) hat auf ihrer Webseite ein Dokument zu den Anforderungen an Datentransfers in die USA auf der Grundlage des EU-US-Datenschutzschildes (EU-US Privacy Shield) veröffentlicht (PDF, Stand: 12.09.2016 (17 Seiten)). Mit den Informationen (die in der Form von Fragen und Antworten bereitgestellt werden) richtet sich die Behörde schwerpunktmäßig an verantwortliche Stellen in Deutschland bzw. Nordrhein-Westfalen. Die Behörde weist zudem darauf hin, dass zur Umsetzung der Angemessenheitsentscheidung der europäischen Kommission weitere Abstimmungen zwischen den Aufsichtsbehörden und Deutschland und der EU erforderlich sind. Man sollte die Angaben in dem Dokument daher nicht als abschließend betrachten. Dennoch gibt der Leitfaden einen ersten groben Überblick, was deutsche Datenschutzbehörden in Zukunft von verantwortlichen Stellen in Deutschland im Hinblick auf die Einschaltung von US-Unternehmen im Rahmen des Datenschutzschildes verlangen könnten.

Insbesondere weist die LfDI darauf hin, dass bei einer Verarbeitung personenbezogener Daten aus der EU in den USA im Auftrag einer verantwortliche Stelle, neben den Zulässigkeitsvoraussetzungen der sog. zweiten Stufe der Datenverarbeitung (§§ 4b, 4c BDSG) auch die Anforderungen des § 11 BDSG zu erfüllen sind. Denn, so die Behörde, die Voraussetzungen des § 11 BDSG betreffen die sog. erste  Stufe des Datenumgangs (also die Frage der Rechtmäßigkeit der Datenübermittlung) und müssen daher unabhängig davon eingehalten werden, wo die Auftragsdatenverarbeitung stattfindet.

Zudem verlangt die Behörde von verantwortlichen Stellen, dass zusätzliche Prüfpflichten zu erfüllen sind, wenn sie sich in der zweiten Stufe auf das Datenschutzschild berufen möchten (S. 2). Nach Ansicht der LfDI zählen zu diesen Pflichten, dass sich die verantwortliche Stelle vergewissern muss, dass

  • das datenempfangende US-Unternehmen eine gültige Zertifizierung besitzt und
  • dass diese auch eingehalten wird.

Die verantwortliche Stelle muss dafür mindestens klären,

  • ob die Zertifizierung tatsächlich vorliegt,
  • diese noch gültig ist (diese muss jährlich erneuert werden) und
  • ob die zu übermittelnden Daten von der Zertifizierung abgedeckt sind.

Zudem, so die LfDI sollten sich verantwortliche Stellen ebenfalls nachweisen lassen, wie das US-Unternehmen seinen Informationspflichten aus dem Datenschutzschild gegenüber den von der Datenverarbeitung betroffenen Personen nachkommt.

Erwähnenswert ist zudem auch der Hinweis der Behörde, dass er sich vorbehält, aufgrund von Ergebnissen der jährlichen Überprüfung des Datenschutzschildes und auch eigenen Erkenntnissen, Datenübermittlungen unter dem Datenschutzschild gegebenenfalls in Einzelfällen auszusetzen (S. 4).

Die Anforderungen der LfDI ähneln jenen Vorgaben, die deutschen Aufsichtsbehörden bereits in ihrer „Orientierungshilfe – Cloud Computing“ (Stand 09.10.2014, PDF), damals noch zu Safe Harbor, formuliert haben.

Unter anderem wurde dort nämlich darauf hingewiesen, dass

auch eine gültige Safe-Harbor-Zertifizierung des Cloud-Anbieters (und ggf. des Unter-Anbieters) den Cloud-Anwender nicht von dem Erfordernis befreit, schriftliche Vereinbarungen entsprechend § 11 Abs. 2 BDSG zu treffen (S. 18).

Zudem stellten die Behörden damals fest, dass, solange eine flächendeckende Kontrolle der Selbstzertifizierungen US-amerikanischer Unternehmen durch die Kontrollbehörden in Europa und den USA nicht gewährleistet sei, auch die Unternehmen in Deutschland eine Verpflichtung treffe, gewisse Mindestkriterien zu prüfen, bevor sie personenbezogene Daten an ein auf der Safe-Harbor-Liste geführtes US-Unternehmen übermitteln (S. 17).

Diese Vorgaben scheint die Behörde nun in den Anwendungsbereich des Datenschutzschildes übertragen zu wollen.

Auch in den Zusatzgrundsätzen des Datenschutzschildes selbst was die europäische Kommission darauf hin, dass wenn personenbezogene Daten aus der EU in den USA im Auftrag verarbeitet werden sollen, dafür ein Vertrag geschlossen werden muss, unabhängig davon, ob der Auftragsverarbeiter der Vereinbarung zum Datenschutzschild beigetreten ist oder nicht (Anhang II, III.   Zusatzgrundsätze, 10. Obligatorische Verträge bei Weitergabe, a. Datenverarbeitung im Auftrag). Zu beachten ist freilich, dass sich diese Zusatzgrundsätze des Datenschutzschildes nicht direkt an verantwortliche Stellen in der Europäischen Union oder Deutschland richten. Der Beschluss der europäischen Kommission ist vielmehr an die Mitgliedstaaten gerichtet. Die Einhaltung der Grundsätze des Datenschutzschildes obliegt zudem den US-amerikanischen Unternehmen, die sich selbst zertifizieren möchten.

Man darf gespannt sein, welche gemeinsame Position die deutschen Behörden zu Datentransfers unter dem Datenschutzschild entwickeln. Die nun vorliegenden Leitlinien der Aufsichtsbehörde aus Nordrhein-Westfalen geben verantwortlichen Stellen zumindest jedoch einen ersten Hinweis darauf, wie sich die Aufsichtsbehörden eine Umsetzung der Regelungen des Datenschutzschildes in der Praxis vorstellen.

Erste Anmerkungen zum Referentenentwurf für das neue Allgemeine Bundesdatenschutzgesetz

Posted on by

Die europäische Datenschutz-Grundverordnung (DSGVO), welche ab dem 25. Mai 2018 in Europa anwendbar sein wird, stellt dem Grunde nach eine Verordnung nach Art. 288 Abs. 2 AEUV dar. Bekanntermaßen enthält sie jedoch Öffnungsklauseln für nationale Gesetzgeber, die sowohl die Möglichkeit zur Schaffung nationaler Regelungen beinhalten und in gewissen Bereichen die Mitgliedstaaten sogar verpflichten legislativ tätig zu werden.

Vor diesem Hintergrund hat das Bundesinnenministerium hat einen Referentenentwurf für ein „Datenschutz-Anpassungs- und -Umsetzungsgesetz EU“ erarbeitet, der nun auch veröffentlicht wurde (PDF).

Bereits aus dem Umfang des Referentenentwurfs (immerhin 62 Paragrafen für ein Allgemeines Bundesdatenschutzgesetz) wird deutlich, dass auch mit Anwendbarkeit der DSGVO keine vollständige Harmonisierung des Datenschutzrechts in Europa existieren wird, sondern gewisse Bereiche weiter national (und durchaus auch divergierend) geregelt werden können bzw. müssen. In Zukunft wird man sich im Datenschutzrecht also nicht allein nur mit den Vorgaben der DSGVO befassen können.

Passend finde ich den Hinweis des BMI in der Entwurfsbegründung:

Damit entsteht für das Datenschutzrecht ein komplexes Regelungssystem aus unions- und mitgliedstaatlichen Vorschriften, das den Rechtsanwender vor eine anspruchsvolle Aufgabe stellt.

Nachfolgend möchte ich nur einige initiale Anmerkungen zu Teilen des Referentenentwurfs machen. Überdies sollte beachtet werden, dass sich bei diesem Entwurf noch nicht um den finalen Entwurf des Gesetzes handelt. Auch andere Ministerien, wie das Bundesministerium für Justiz und Verbraucherschutz oder auch das Wirtschaftsministerium, werden dem Entwurf für ein „Allgemeines Bundesdatenschutzgesetz“ (ABDSG) ihren Stempel aufdrücken wollen.

Anwendungsbereich
Das ABDSG soll künftig als allgemeines Datenschutzrecht des Bundes die Funktion haben, die bislang das BDSG hatte. Eine Auffangfunktion. Bereichsspezifische Regelungen des Bundes können also auch in Zukunft abweichendes Datenschutzrecht regeln. Das ABDSG gilt sowohl für nicht-öffentliche als auch öffentliche Stellen (des Bundes), § 2 Abs. 1 ABDSG.

Zweck des BDSG ist es insbesondere, das allgemeine deutsche Datenschutzrecht sowohl an die DSGVO als auch an die Richtlinie (EU) 2016/680 anzupassen. § 1 Abs. 2 Nr. 1 ABDSG verdeutlicht, dass für den Bereich der Wirtschaft in Zukunft fast ausschließlich die DSGVO die ausschlaggebenden datenschutzrechtlichen Maßgaben setzt. Nur in vereinzelten Bereichen gestattet die DSGVO abweichende nationale Regelung. Diese nationalen Regelungen sollen sich dann im ABDSG finden.

Erwähnenswert ist hier noch die Regelung des § 2 Abs. 4 ABDSG, nach der das ABDSG nur Anwendung findet, soweit der verantwortliche oder Auftragsverarbeiter personenbezogene Daten im Rahmen der Tätigkeiten einer inländischen Niederlassung verarbeitet. Durch diese Vorschrift soll geregelt werden, dass das ABDSG zur Anwendung kommt, wenn eine Datenverarbeitung durch eine in Deutschland ansässige Niederlassung vorliegt. Dies bedeutet aber auch, dass das ABDSG nicht anwendbar ist, wenn etwa ein Verantwortlicher nicht in der Europäischen Union niedergelassen ist, nach Art. 3 Abs. 2 DSGVO jedoch den Regelungen der DSGVO unterliegt, etwa weil er Personen in Deutschland Waren oder Dienstleistungen anbietet. In einem solchen Fall fehlt es nämlich an einer inländischen Niederlassung.

Erlaubnistatbestände für öffentliche Stellen
In § 4 ABDSG sollen spezifische Erlaubnistatbestände für Verarbeitungen durch öffentliche Stellen geschaffen werden. Das BMI möchte hier von den Öffnungsklauseln der Art. 6 Abs. 1 lit. e i. V. m. Art. 6 Abs. 3 S. 1 DSGVO Gebrauch machen. Die in § 4 Abs. 2 ABDSG aufgeführten Zwecke dienen insbesondere der Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe. Nach Abs. 2 Nr. 8 wird klargestellt, dass die Verarbeitung von personenbezogenen Daten zur Gewährleistung der Netz-, Daten- und Informationssicherheit ein öffentliches Interesse darstellt. Nach der Begründung zum Entwurf muss, wo dies erforderlich ist, das Sammeln, Auswerten und Untersuchen von Informationen über Sicherheitsrisiken oder -vorkehrungen und die gegenseitige Information, Beratung und Warnung von Staat, Wirtschaft oder Gesellschaft möglich sein. Ganz bewusst hat sich das BMI zudem dagegen entschieden, die Erlaubnis nur auf für das Gemeinwohl besonders wichtige Einrichtungen (wie z.B. Betreiber kritischer Infrastrukturen) zu beschränken.

Verarbeitung besonderer Kategorien personenbezogener Daten
In § 5 ABDSG (der nicht nur für öffentliche Stellen gilt) macht das BMI von der Öffnungsklausel des Art. 9 Abs. 2 lit. g) DSGVO Gebrauch. Besondere Kategorien personenbezogener Daten sollen in Zukunft auch dann verarbeitet werden dürfen, wenn dies aus Gründen eines „erheblichen öffentlichen Interesses“ erforderlich ist. Zu diesen erheblichen öffentlichen Interessen zählt das BMI etwa die Verarbeitung geometrischer Daten zu Zwecken der eindeutigen Identifikation einer Person (§ 5 Abs. 1 Nr. 1 ABDSG).

Zweckändernde Verarbeitung
In § 6 ABDSG schafft das BMI die Möglichkeit, personenbezogene Daten für einen anderen und auch mit dem Zweck der Erhebung unvereinbaren Zweck weiterzuverarbeiten. Diese Möglichkeit bietet Art. 6 Abs. 4 DSGVO. Die Regelung gilt sowohl für öffentliche als auch nicht-öffentliche Stellen. Man Meinungsbereich des § 6 dürfen auch besondere Kategorien personenbezogener Daten für andere und unvereinbare Zwecke weiterverarbeitet werden.

Beschränkungen der Betroffenenrechte
In den §§ 7 – 13 ABDSG macht das BMI von der Möglichkeit des Art. 23 DSGVO Gebrauch, dass in engen Grenzen die Betroffenenrechte beschränkt werden können. Nach § 7 Abs. 2 ABDSG wird die Informationspflicht des Verantwortlichen im Fall einer Weiterverarbeitung der Daten für andere Zwecke (Art. 13 Abs. 3 DSGVO) beschränkt. Soweit die Erteilung der Information einen unverhältnismäßigen Aufwand erfordern würde, muss der Verantwortliche nicht über diesen anderen Zweck informieren. Jedoch muss der verantwortliche in diesem Fall dafür sorgen, dass geeignete Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Person ergriffen werden. Hierzu zählt insbesondere die Bereitstellung der Informationen über die anderen Zwecke für die Öffentlichkeit, was etwa durch Informationen auf einer Webseite erfolgen kann.

Nach § 7 Abs. 3 ABDSG schränkt die allgemeine Informationspflicht nach Art. 13 DSGVO für Fälle der Videoüberwachung öffentlich zugänglicher Räume ein. In diesem Fall muss aber der Umstand der Beobachtung (etwa durch ein Hinweisschild) erkennbar sein.

In § 9 ABDSG wird das Auskunftsrecht der Betroffenen beschränkt. Nach § 9 Abs. 2 lit. d) ABDSG besteht das Recht auf Auskunft und Erhalt einer Kopie nach Art. 15 DS GVO nicht, wenn die gespeicherten Daten ausschließlichen (!) Zwecken der Datensicherung oder der Datenschutzkontrolle dienen. Zudem müsse die Erteilung der Auskunft einen unverhältnismäßigen Aufwand erfordern.

Interessant ist auch die Ausnahme nach § 9 Abs. 2 lit. e) ABDSG, wonach das Auskunftsrecht dann nicht besteht, wenn die Benachrichtigung die Geschäftszwecke des Verantwortlichen erheblich gefährden würde.
Das Recht auf Löschung von Daten (Art. 17 DSGVO) soll nach § 10 Abs. 2 ABDSG dann nicht bestehen, wenn die Löschung aufgrund der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßigen Aufwand möglich ist. Diese Beschränkung, so der Entwurf des BMI, dient dem Schutz der Rechte und Freiheiten anderer Personen (Art. 23 Abs. 1 lit. i) DSGVO).

Nach § 12 Abs. 2 ABDSG darf eine Einzelentscheidung, die gegenüber der betroffenen Person rechtliche Wirkung entfaltet und die ausschließlich auf einer automatisierten Verarbeitung beruht, auch über die in Art. 22 Abs. 2 DSGVO vorgesehenen Ausnahmen dann erfolgen, wenn diese Entscheidung im Rahmen des Abschlusses oder der Erfüllung eines Vertrages oder eines sonstigen Rechtsgeschäfts (hier geht des ABDSG über die Ausnahme des Art. 22 Abs. 2 lit. a) DSGVO hinaus) zwischen der betroffenen Person und dem Verantwortlichen ergeht und dem Begehren der betroffenen Person stattgegeben wird. Die Entscheidung (bzw. die ihr zugrundeliegende Verarbeitung) muss also nicht für die Erfüllung des Vertrages oder Rechtsgeschäftes erforderlich sein.

Datenschutzbeauftragter
§ 14 ABDSG sieht, über die Vorgaben der DS GVO hinausgehend, vor, wann zwingend ein Datenschutzbeauftragter zu bestellen ist. Insbesondere soll dies der Fall sein, wenn in der Regel mindestens 10 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind.

Klagerecht gegen Privacy Shield & Co.
Nachdem bereits vor einigen Monaten der Bundesrat ein neues Klagerecht für Aufsichtsbehörden gegen Angemessenheitsentscheidung der Europäischen Kommission für das Schutzniveau personenbezogener Daten in Drittstaaten gefordert hatte, wird dieses neue Klagerecht nun in § 28 ABDSG aufgenommen. Jedoch mit ein paar inhaltlichen Abweichungen zu dem ursprünglichen Vorschlag im Bundesrat.

Aufsichtsbehörden können danach bei der Prüfung eine Beschwerde einer betroffenen Person gegen eine Angemessenheitsentscheidung (wie jetzt zum Privacy Shield) im Wege einer Feststellungsklage vor das Bundesverwaltungsgericht ziehen. Interessant ist, welchen Inhalt der Antrag auf Feststellung haben soll. Der Antrag soll darauf lauten festzustellen, dass das Bundesverwaltungsgericht „die Zweifel der Aufsichtsbehörde an der Gültigkeit eines zur Rechtfertigung der Übermittlung angewendeten Angemessenheitsbeschlusses der Kommission teilt“. Der ursprüngliche Gesetzesvorschlag für einen neuen § 38b BDSG sah noch die Feststellung einer Ungültigkeit der Angemessenheitsentscheidung der Kommission vor. Die Ungültigkeit eines EU Rechtsaktes kann ein nationales Gericht jedoch gerade nicht feststellen. Hierauf hatte ich auch im Rahmen eines Blogbeitrages zu dem damaligen Gesetzesvorschlag hingewiesen.

Vertretung im Europäischen Datenschutzausschuss
Ausführlich regelt der Entwurf für das ABDSG zudem das Verfahren der Vertretung der deutschen Datenschutzbehörden im Europäischen Datenschutzausschuss (Kapitel 6). Grundsätzlich soll hier der oder die Bundesbeauftragte für den Datenschutz der gemeinsame Vertreter der deutschen Behörden sein. Zusätzlich stellen die Landesbehörden jedoch einen Stellvertreter. Dieser wird vom Bundesrat gewählt. Je nach der im europäischen Datenschutzausschuss beratenen Angelegenheit muss dann der gemeinsame Vertreter die Verhandlungsführung und das Stimmrecht im Europäischen Datenschutzausschuss auf den Vertreter der Landesbehörden übertragen.

Des Weiteren wird ausführlich das Verfahren der Zusammenarbeit der Aufsichtsbehörden des Bundes und der Länder geregelt.

Beschäftigtendatenschutz
In § 33 ABDSG enthält der Referentenentwurf auch eine Vorschrift zur Datenverarbeitung im Beschäftigungskontext. Hier gibt es jedoch keine Überraschungen. Zitat aus der Entwurfsbegründung: „Absätze 1 bis 3 entsprechen § 32 Bundesdatenschutzgesetz.“

TMG
In dem Entwurf des ABDSG finden sich keine Regelungen zur Datenverarbeitung im Bereich der Telemedien. Man darf gespannt sein, ob hier eventuell noch das Bundeswirtschaftsministerium entsprechende Vorschläge unterbreitet. Da jedoch ohnehin fast alle Regelungen des TMG zum Datenschutz nicht auf einer Umsetzung der sogenannten ePrivacy-Richtlinie beruhen, werden die entsprechenden Vorschriften ab dem vom 25. Mai 2018 nicht mehr anwendbar sein.

Europäische Datenschützer: WhatsApp und Co. sollen wie TK-Anbieter reguliert werden

Posted on by

Die Europäische Kommission überarbeitet derzeit die geltenden Regeln zum Schutz der Privatsphäre und der Vertraulichkeit im Bereich der elektronischen Kommunikation. Die für diese Thematik einschlägige Richtlinie 2002/58/EG (konsolidiert durch Richtlinie 2009/136/EG, pdf; sog. ePrivacy Richtlinie) soll reformiert werden.

In einer neuen Stellungnahme (Stellungnahme 3/2016, pdf) haben sich nun auch die Vertreter der Datenschutzbehörden der verschiedenen Mitgliedstaaten (die Art. 29 Datenschutzgruppe) zu diesen Reformplänen geäußert und ihre Wünsche und Vorschläge für ein zukünftiges Regelwerk eingebracht.

Grundsätzlich unterstützen die Datenschützer das Ansinnen der europäischen Kommission, spezifische rechtliche Vorgaben für den Schutz der Privatsphäre und der Vertraulichkeit im Rahmen der elektronischen Kommunikation zu kreieren. Für den Schutz personenbezogener Daten gilt ab dem vom 20. Mai 2018 die Datenschutz-Grundverordnung (DSGVO). Die Vertraulichkeit der Kommunikation sollte jedoch durch ein spezielles rechtliches Instrument geschützt sein.

Nach Auffassung der Art. 29 Datenschutzgruppe werden die Regelungen der DSGVO nicht gelten, soweit die ePrivacy Richtlinie spezifische Pflichten mit demselben Ziel (wie jene in der DSGVO) vorsieht (Art. 95 DSGVO). In allen anderen Fällen soll die DSGVO anwendbar sein. Da jedoch, so die Datenschützer, Verkehrs-, Kommunikations- und Standortdaten in den meisten Fällen personenbezogene Daten darstellen, wird es in der Zukunft in einigen Fällen zu Überschneidungen der beiden gesetzlichen Instrumente kommen.

Der Wunsch der Datenschützer ist es, dass die Nachfolgeregelungen zur ePrivacy Richtlinie zusätzliche Vorgaben zum Schutz der Sicherheit der elektronischen Kommunikation vorsehen. Diese Schutzpflichten sollen insbesondere auch nicht davon abhängig sein, ob personenbezogene Daten verarbeitet werden.

Die Art. 29 Datenschutzgruppe fordert, dass die Nachfolgeregelungen zur ePrivacy Richtlinie den Wesensgehalt der aktuellen Regelungen beibehalten, diese jedoch effektiver und für die Praxis leichter anwendbar ausgestaltet werden sollen, insbesondere durch die Ausweitung des Anwendungsbereichs der Regelungen zur Geolokalisierung und den Verkehrsdaten.

Viele der aktuell geltenden Vorgaben der ePrivacy Richtlinie sind nicht auf Anbieter von Internettelefonie- , E-Mail- oder Kurznachrichtendiensten anwendbar. Nach Auffassung der Datenschützer muss die Nachfolgeregelung zur ePrivacy Richtlinie die Privatsphäre und Vertraulichkeit bei der Nutzung solcher Dienste, die sich für europäische Anwender als funktional gleichwertig zu den klassischen elektronischen Kommunikationsdiensten darstellen, schützen. Die Art. 29 Datenschutzgruppe Events in ihrer Stellungnahme beispielhaft Dienste wie WhatsApp, Google GMail, Skype and Facebook Messenger (sog. OTT-Dienste). Insbesondere müsse ein solcher Schutz für private Nachrichten zwischen einzelnen Nutzern oder auch Gruppen geschaffen werden. Die gesetzliche Verpflichtung zur Sicherstellung der Vertraulichkeit der Kommunikation muss nach Auffassung der Datenschützer ebenso für diese Diensteanbieter gelten.

Als problematisch sehen die europäischen Datenschützer die derzeit teils erheblich divergierende Auslegung und Anwendung der Regelungen der ePrivacy Richtlinie in den europäischen Mitgliedstaaten an. Welches gesetzgeberische Instrument die europäische Kommission für die Nachfolgeregelungen wählen soll, lassen die Datenschützer im Ergebnis zwar offen. Sie fordern jedoch, dass die neuen Regelungen eindeutig und klar sein müssen. Sollte eine Richtlinie gewählt werden, so dürften deren Regelungen nach Ansicht der Datenschützer jedoch nur wenig Interpretationsspielraum für die Mitgliedstaaten ermöglichen. Der europäische Datenschutzbeauftragte hat sich kürzlich in einer eigenen Stellungnahme (pdf) für das Instrument der Verordnung stark gemacht.

Auch fordert die Art. 29 Datenschutzgruppe, dass die Verarbeitung personenbezogener Daten im Rahmen des Angebots von öffentlich zugänglichen elektronischen Kommunikationsdiensten oder auch öffentlich zugänglichen privaten elektronischen Kommunikationsnetzen den Nachfolgeregelungen der ePrivacy Richtlinie unterfallen soll. Die Datenschützer beziehen sich hier auf das Angebot von WLANs in der Öffentlichkeit, etwa in Hotels, Bars oder Geschäften. Interessanterweise wird auch die Schaffung eines Hotspots durch eine Privatperson in die Überlegungen mit einbezogen.

Hinsichtlich des bekannten Art. 5 Abs. 3 (sog. Cookie-Regelung) fordern die Datenschützer, dass die geltenden Regelungen mit dem Ziel überarbeitet werden, die Vertraulichkeit der von Nutzern eingesetzten Geräte besser zu schützen. Die zukünftigen Vorgaben zur Erhebung bzw. zum Zugriff auf Informationen in dem Gerät eines Nutzers sollten weder von der Art des eingesetzten Gerätes noch von der Technologie des Unternehmens zum Zugriff auf die Informationen abhängen. Zusätzlich fordern die Datenschützer jedoch auch, dass die Europäische Kommission über weitere Ausnahmeregelungen für das grundsätzliche Erfordernis einer Einwilligung des Nutzers nachdenkt. Insbesondere soll es dann keine Einwilligung des Nutzers bedürfen, wenn die Verarbeitung von Informationen keine oder nur wenig Einfluss auf die Rechte der Nutzer und insbesondere auf die Vertraulichkeit der Kommunikation und ihre Privatsphäre hat. Beispielhaft nennen die Datenschützer hier das Thema „Sicherheit“. Wenn eine Verarbeitung von Informationen allein dafür erforderlich ist, um proaktiv oder auch defensiv ausgerichtet die technische Sicherheit eines Netzwerkes oder eines Dienstes zu gewährleisten, soll eine Einwilligung nicht erforderlich sein. Ein anders Beispiel sehen die Datenschützer im Bereich „Anonymisierung“. Wenn Informationen direkt nach der Erhebung unwiederbringlich anonymisiert werden, sei es auf dem Gerät oder an den Endpunkten des Netzwerkes, sollte eine Einwilligung nicht erforderlich sein. Diese Ausnahme dürfte jedoch zum Beispiel dann nicht gelten, wenn der Anbieter weiterhin Zugang zur den Quelldaten hat und damit die Möglichkeit einer De-Anonymisierung besteht.

EU-US-Datenschutzschild: Europäische Datenschützer warten die erste gemeinsame Überprüfung ab

Posted on by

Nachdem die Europäische Kommission am 12. Juli 2016 das EU-US-Datenschutzschild (Privacy Shield) angenommen hat, äußerte sich heute in einer Pressemitteilung (pdf) die Art. 29 Datenschutzgruppe (die Vertreter der Datenschutzbehörden der Mitgliedstaaten) hierzu.

Grundsätzlich begrüßen die Datenschützer die Verbesserungen, welche sich gegenüber der im Jahre 2015 durch den Europäischen Gerichtshof für ungültig erklärten Safe Harbor-Entscheidung im Datenschutzschild finden. In ihrer Stellungnahme 01/2016 (pdf) zum Datenschutzschild beleuchteten die Datenschützer dennoch eine Vielzahl von aus ihrer Sicht verbesserungswürdigen Punkten. Einem Teil dieser Kritik hat die Europäische Kommission zusammen mit der US-amerikanischen Regierung nach Auffassung der Art. 29 Datenschutzgruppe nun in dem endgültigen Angemessenheitsbeschluss zum EU-US-Datenschutzschild Rechnung getragen.

Dennoch bemängeln die Datenschutzbeauftragten, dass ihrer Ansicht nach weiterhin gewisse Defizite sowohl im Teil der Regelungen zum privatwirtschaftlichen Datenaustausch als auch hinsichtlich des Zugangs zu personenbezogenen Daten durch US-amerikanische Behörden existieren. Nach Auffassung der Datenschutzbeauftragten stellt daher die erste jährliche Überprüfung der Funktionsweise des Datenschutzschildes (diese ist in dem Beschluss der Europäischen Kommission verbindlich vorgesehen) den Schlüsselmoment für die Frage der zukünftigen Effektivität des Datenschutzschildes dar. Im Rahmen dieser gemeinsamen Überprüfung werden sich daher auch die Datenschutzbehörden genau ansehen, ob die Europäische Kommission alle Kritikpunkte zu ihrer Zufriedenheit adressiert hat. Zudem, so die europäischen Datenschutzbeauftragten, wolle man insbesondere prüfen, ob sich die vorgesehenen Schutzmaßnahmen als tragfähig und effektiv erwiesen haben.

Das Ergebnis dieser ersten Überprüfung kann nach Auffassung der europäischen Datenschutzbeauftragten auch Einfluss auf andere Instrumente für die Datenübermittlung in Drittstaaten haben. Hierzu zählen insbesondere die sogenannten EU-Standardvertragsklauseln.

In ihrer Pressemitteilung gehen die europäischen Datenschutzbeauftragten nicht darauf ein, ob sie die Angemessenheitsentscheidung der europäischen Kommission bereits vor der ersten jährlichen Überprüfung angreifen möchten. Insbesondere die deutschen Aufsichtsbehörden hatten ja ein neues Klagerecht gefordert, um derartige Beschlüsse der Europäischen Kommission gerichtlich überprüfen lassen zu können. Insgesamt scheint die Pressemitteilung dafür zu sprechen, dass sich die europäischen Datenschutzbeauftragten zumindest planmäßig erstmalig inhaltlich mit dem neuen Datenschutzschild im Rahmen der jährlichen Überprüfung befassen werden und kein gemeinsames rechtliches Vorgehen geplant ist.

Das US-Handelsministerium hat in der Zwischenzeit auch eine offizielle Webseite zum EU-US-Datenschutzschild in Betrieb genommen. US-amerikanische Unternehmen können sich ab dem 1. August 2016 selbst zertifizieren.

Die Angemessenheitsentscheidung der Europäischen Kommission zum EU-US-Datenschutzschild findet man in deutscher Sprache hier (pdf; über die Webseite der österreichischen Datenschutzbehörde).

Generalanwalt zur Vorratsdatenspeicherung: Ja, aber…

Posted on by

Heute hat der Generalanwalt am europäischen Gerichtshof (EuGH), Saugmandsgaard Øe, seine Schlussanträge in den verbundenen Rechtssachen C-203/15 und C-698/15 vorgelegt. Es geht um die, gerade auch aus deutscher Sicht, wichtige Frage, inwiefern nationale Regelungen, die eine Speicherung von Kommunikationsdaten auf Vorrat vorsehen, mit europäischem Recht vereinbar sind.

Die Schlussanträge des Generalanwalts sind sehr ausführlich. Ich möchte daher nachfolgend nur einige Schlaglichter auf aus meiner Sicht besonders interessante Aspekte werfen.

Deutsche Regierung: Pflicht zur Vorratsdatenspeicherung nach EU-Recht zu beurteilen

Im Rahmen des Gesetzgebungsverfahrens zur Anpassung des Telekommunikationsgesetzes (TKG) in Deutschland und zur Einführung der Vorratsdatenspeicherung wurde teilweise vertreten, dass die neuen nationalen Regelungen sich nicht an europäische Standards messen lassen müssten, damit den neuen Regelungen im TKG kein europäisches Recht durchgeführt wird. Die deutsche Regierung hat bereits im Gesetzgebungsentwurf darauf hingewiesen, dass ihre Ansicht nach sehr wohl europäische Vorgaben zu beachten sind. Diese Ansicht bekräftigt die Bundesregierung noch einmal in dem Verfahren vor dem EuGH (Rz. 91). Die generelle Verpflichtung zur Vorratsspeicherung stellt eine Durchführung des Art. 15 Abs. 1 der Richtlinie 2002/58 dar. Auch die neuen Regelungen im TKG müssen also die Vorgaben europäischen Rechts beachten und aus diesem Grunde ist auch der Ausgang des hier vorliegenden Verfahrens für die Vorratsdatenspeicherung in Deutschland von besonderem Interesse.

Trennung zwischen Speicherung und Zugang

Der Generalanwalt trennt in seinen Schlussanträgen grundsätzlich zwischen der Verpflichtung und technischen Phase der Speicherung von Verkehrsdaten einerseits und dem späteren Zugang und technischen Zugriff auf diese gesammelten Verkehrsdaten durch nationale Behörden andererseits. Die Pflicht zur Speicherung fällt nicht unter die Ausnahmeregelung des Art. 1 Abs. 3 der Richtlinie 2002/58 (für Tätigkeiten im Rahmen der öffentlichen Sicherheit, der Landesverteidigung, der Sicherheit des Staates und der Tätigkeit des Staates im strafrechtlichen Bereich). Denn die Pflicht zur Speicherung trifft private Wirtschaftsteilnehmer im Rahmen ihrer privaten Tätigkeit (Rz. 94). Die in Art. 15 Abs. 1 der Richtlinie 2002/58 erlaube gerade die Einführung einer generellen Verpflichtung zur Vorratsdatenspeicherung. Die Inanspruchnahme dieser Befugnis durch den nationalen Gesetzgeber ist jedoch von der Einhaltung strenger Voraussetzungen abhängig (Rz. 116).

Der Generalanwalt stellt auch klar, dass seiner Ansicht nach die nationalen Bestimmungen die den Zugang zu den auf Vorrat gespeicherten Daten regeln nicht in den Anwendungsbereich der europäischen Charta der Grundrechte fallen (Rz. 123). Jedoch könne man seiner Ansicht nach die Problematik der Vorratsspeicherung und diejenige des nachgelagerten Zugangs nicht vollständig voneinander getrennt beobachten. Denn die konkrete Ausgestaltung des Zugangs ist von entscheidender Bedeutung für die Beurteilung der Frage, ob die Bestimmungen zur Einführung der Vorratsdatenspeicherung (also die vorgelagerte 1. Stufe) mit der Charta der Grundrechte der Europäischen Union und den Vorgaben der Richtlinie 2002/58 vereinbar sind (Rz. 125).

Zweifacher Eingriff: 6 kumulative Voraussetzungen zu erfüllen

Nach Auffassung des Generalanwalts stellt die generelle Verpflichtung zur Vorratsdatenspeicherung sowohl ein Eingriff in die in der Richtlinie 2002/58 verankerten Rechte als auch in die in den Art. 7 und 8 der Charta der Grundrechte verankerten Grundrechte dar (Rz. 127). Für eine Rechtfertigung dieser Eingriffe müssen sowohl die Vorgaben von Art. 15 Abs. 1 der Richtlinie 2002/58 und von Art. 52 Abs. 1 der Charta der Grundrechte der Europäischen Union, ausgelegt im Lichte des Urteils des EuGH in Sachen Digital Rights Ireland, erfüllt sein. Nach Auffassung des Generalanwalts müssen folgende Voraussetzungen kumulativ erfüllt werden:

  • Die Vorratsspeicherungspflicht muss eine gesetzliche Grundlage haben;
  • sie muss den Wesensgehalt der in der Charta verankerten Rechte wahren;
  • sie muss einer dem Gemeinwohl dienenden Zielsetzung entsprechen;
  • sie muss zur Verfolgung dieses Ziels geeignet sein;
  • sie muss für die Verfolgung des genannten Ziels erforderlich sein, und
  • sie muss in einer demokratischen Gesellschaft in angemessenem Verhältnis zur Verfolgung dieses Ziels stehen.

Einfache Kriminalität rechtfertigt keine generelle Verpflichtung zur Vorratsdatenspeicherung

teilweise wurde in dem Verfahren vorgebracht, dass jede Zielsetzung, die in Art. 15 Abs. 3 der Richtlinie 2002/58 oder auch in Art. 13 Abs. 1 der geltenden Datenschutzrichtlinie (95/46/EG) genannt sei eine generelle Verpflichtung zur Vorratsdatenspeicherung rechtfertigen könne auch bei Straftaten im Rahmen „einfacher“ Kriminalität oder im Kontext nicht strafrechtlicher Verfahren wäre die generelle Verpflichtung zur Vorratsdatenspeicherung gerechtfertigt (Rz. 169). Diese Auffassung teilt der Generalanwalt nicht. Seiner Ansicht nach schließt es das Erfordernis der Verhältnismäßigkeit in einer demokratischen Gesellschaft aus, dass die Bekämpfung einfacher Kriminalität eine Rechtfertigung für eine generelle Verpflichtung zur Vorratsdatenspeicherung sein kann. Die erheblichen Gefahren, die von dieser Verpflichtung ausgingen, stünden nämlich außer Verhältnis zu den Vorteilen, die sie bei der Bekämpfung leichter Kriminalität verschaffen würden (Rz. 172).

Erforderlichkeit: Einschränkung des Rechts aus Schutz personenbezogener Daten aus das „absolut Notwendige“

Im Rahmen der Prüfung der Erforderlichkeit der generellen Verpflichtung zur Vorratsdatenspeicherung macht der Generalanwalt unter anderem auch allgemeingültige Ausführung dazu, wann seiner Ansicht nach die Voraussetzungen der absoluten Notwendigkeit erfüllt sind. Das Merkmal der absoluten Notwendigkeit wird von dem EuGH gerade im Bereich des Datenschutzrechts und des Eingriffs in das entsprechende Grundrecht sehr oft ausgelegt und geprüft. Zuletzt etwa auch in seinem Schrems-Urteil zu Safe Harbor bei der Frage, welches Schutzniveau für personenbezogene Daten in der europäischen Union hinsichtlich der Verarbeitung dieser Daten durch staatliche Behörden existiert.

Nach Auffassung des Generalanwalts geht eine Verpflichtung zur Vorratsdatenspeicherung nicht über das absolut wendige hinaus, sofern mit dieser Speicherung bestimmte Garantien einhergehen die den Zugang zu den Daten, die Dauer der Vorratsspeicherung und den Schutz und die Sicherheit der Daten betreffen (Rz. 193). Diese Differenzierung ist meines Erachtens zum Verständnis der Schlussanträge sehr wichtig. Der Generalanwalt leitet in der Folge seine Auffassung aus früheren Urteilen des EuGH ab, dass dieser nicht entschieden habe, dass eine mangelnde Differenzierung bei der Erhebung und Speicherung personenbezogener Daten bedeuten würde, dass die Verpflichtung zu dieser Speicherung als solche über das absolut notwendige hinausgehen (Rz. 199). Sie geht jedoch dann über das absolut wendige hinaus, wenn, quasi als Auffanglager Schale einer fehlenden Differenzierung bei der Erhebung und Speicherung, keine geeigneten Garantien hinsichtlich der Datensicherheit und des Zugriffs auf die Daten vorhanden sind.

Diesbezüglich verweist der Generalanwalt auch auf das Urteil des EuGH in Sachen Schrems, wo das Gericht in Rz. 93 diese Zweigliedrigkeit bei der Auslegung des Begriffs des „absolut Notwendigen“ noch einmal klar formulierte. Der Generalanwalt folgert, dass eine Verpflichtung zur Vorratsspeicherung über das absolut notwendige stets dann hinausgeht, wenn mit ihr keine Garantien hinsichtlich des Datenzugangs, der Dauer der Vorratsspeicherung sowie des Schutzes und der Sicherheit der Daten einhergehen (Rz. 205).

Interessant sind die diesbezüglichen Verstellung des Generalanwalts insbesondere hinsichtlich der Frage, inwieweit die neue Angemessenheitsentscheidung der Europäischen Kommission zum Privacy Shield ein angemessenes Schutzniveau hinsichtlich personenbezogener Daten, die in die USA übertragen werden, gewährleistet. Vor der offiziellen Verabschiedung des Privacy Shield wurde ja gerade auch über die Thematik der generellen Erhebung und Speicherung von personenbezogenen Daten durch US-Behörden einerseits und den Vorgaben der US-Behörden hinsichtlich des Zugangs und der Nutzung dieser Daten andererseits diskutiert. Man könnte sich also meines Erachtens durchaus die Frage stellen, inwieweit die durch die US-Regierung zugesicherten Garantien den Anforderungen jener Garantien genügen, die der Generalanwalt in diesem Verfahren formuliert.

Konzerninterne Datentransfers: Hessische Aufsichtsbehörde verweist auf gesetzliche Erlaubnisnormen

Posted on by

Am 11.7.2016 hat der hessische Datenschutzbeauftragte seinen 44. Tätigkeitsbericht vorgestellt (pdf).

Unter anderem befasst sich der Datenschutzbeauftragte in seinem Bericht auch mit der Frage, unter welchen rechtlichen Voraussetzungen personenbezogene Daten von Arbeitnehmern in einem Konzern zwischen Unternehmen übermittelt werden dürfen. Bekanntermaßen kennt das deutsche Datenschutzrecht kein Konzernprivileg. Liegt also kein Fall der Auftragsdatenverarbeitung vor und werden personenbezogene Daten an eine andere verantwortliche Stelle im selben Konzern weitergegeben, so liegt datenschutzrechtlich betrachtet eine rechtfertigungsbedürftige „Übermittlung“ vor.

§ 32 BDSG

Der hessische Datenschutzbeauftragte weist darauf hin, dass als Rechtsgrundlage für die Übermittlung von Beschäftigtendaten insbesondere § 32 Abs. 1 Satz 1 BDSG in Betracht kommt. Diese Bestimmung setzt voraus, dass die Verarbeitung (im konkreten Fall die Übermittlung der Daten) für die Durchführung des Beschäftigungsverhältnisses „erforderlich ist“.

In der Praxis stellt sich dann freilich die Frage, wann von einer Erforderlichkeit der Verarbeitung auszugehen ist. Diesbezüglich verweist der Datenschutzbeauftragte auf den Arbeitsbericht der Ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ vom 11.01.2005. Zum einen sei von der Erforderlichkeit auszugehen, sofern der Arbeitsvertrag einen bei Vertragsabschluss für den Betroffenen erkennbaren Konzernbezug aufweist, wenn er also z. B. ein Tätigwerden des Arbeitnehmers auch in anderen Konzernunternehmen vorsieht. Zum anderen sei die Erforderlichkeit auch vorhanden, wenn bei der Einstellung des Arbeitnehmers deutlich erkennbar ist, dass die Personaldatenverarbeitung in einem anderen Konzernunternehmen zentralisiert ist. Wenn das Unternehmen dann noch entsprechend den Vorgaben des § 4 Abs. 3 BDSG über die Identität der verantwortlichen Stelle, die Zwecke der Verarbeitung sowie die Kategorien der Empfänger der Daten informiert, ist dies nach Auffassung des Datenschutzbeauftragten ausreichend, um die Datenübermittlung nach § 32 Abs. 1 Satz 1 BDSG zu legitimieren.

Dauerproblem: Einwilligung

In dem im Tätigkeitsbericht beschriebenen konkreten Fall trat der Umstand hinzu, dass der Arbeitgeber ursprünglich eine Einwilligung der Arbeitnehmer für die Übermittlung einholte. Zwar gesteht der hessische Datenschutzbeauftragte zu, dass auch die Einwilligung eine Grundlage für die konzerninterne Datenübermittlung darstellen kann. Jedoch führt er weiter aus:

Aufgrund des wirtschaftlichen Ungleichgewichts und der existentiellen Bedeutung des Beschäftigungsverhältnisses wird im Allgemeinen jedoch bezweifelt, dass auf Seiten der Beschäftigten die Einwilligung freiwillig erteilt werden kann.

Zwar ist es richtig, dass gerade in einem Beschäftigungsverhältnis möglicherweise ein Ungleichgewicht vorherrscht. Eventuell kann es dann auch an der Freiwilligkeit einer Einwilligung fehlen. Jedoch davon auszugehen, dass „im Allgemeinen“ bezweifelt werde, dass die Einwilligung von Beschäftigten nicht freiwillig erteilt werden könne, erscheint nicht angebracht. Es dürfte sich hierbei vielmehr um eine (von mindestens zwei) vertretene Ansicht handeln. Auch im Arbeitsverhältnis kann grundsätzlcih eine datenschutzrechtliche Einwilligung wirksam eingeholt werden. Im Jahr 2015 (Urteil vom 11.12.2014, 8 AZR 1010/13) hat dies auch das Bundesarbeitsgericht vertreten:

Auch im Rahmen eines Arbeitsverhältnisses können Arbeitnehmer sich grundsätzlich „frei entscheiden“, wie sie ihr Grundrecht auf informationelle Selbstbestimmung ausüben wollen.

Und unter der Datenschutz-Grundverordnung?

Auch die ab  dem 25. Mai 2018 anwendbare Datenschutz-Grundverordnung wird kein ausdrückliches Konzernprivileg kennen. Jedoch wird in Erwägungsgrund 48 S. 1 klargestellt, dass Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, ein berechtigtes Interesse haben können, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln.

Die europäische Datenschutz-Grundverordnung macht damit deutlich, dass eine konzerninterne Übermittlung von Beschäftigtendaten und auch Kundendaten als berechtigtes Interesse des Verantwortlichen angesehen werden kann und damit die Voraussetzungen des Erlaubnistatbestandes nach Art. 6 Abs. 1 lit. f) erfüllt sein können.

PrivacyShield: Doppelte Pflichten für US-Unternehmen ab Mai 2018?

Posted on by

Heute gab die Europäische Kommission bekannt, dass der sogenannte Artikel 31 Ausschuss (Vertreter der europäischen Mitgliedstaaten) den überarbeiteten Entwurf des EU-US Privacy Shield abgesegnet hat (4 Mitgliedstaaten haben sich jedoch wohl bei der Abstimmung enthalten). Nun muss nur noch die Europäische Kommission insgesamt den erforderlichen Angemessenheitsbeschluss fassen. Dies soll wohl Anfang kommender Woche geschehen. Eine für Montag angesetzte Aussprache bzw. Diskussion im LIBE-Ausschuss des europäischen Parlaments wird keine inhaltlichen Änderungen zur Folge haben.

Wie der finale Text nun konkret aussieht, wissen wir leider noch nicht. Spiegel Online veröffentlichte zumindest einen überarbeiteten Entwurf am 30. Juni 2016 (pdf). Eventuell handelt es sich hierbei auch um die finale Fassung.

Die Regelungen des Privacy Shield, also insbesondere die Grundsätze (Principles), müssen von US-amerikanischen Unternehmen eingehalten werden, wenn sie entweder als verantwortliche Stelle oder auch als Auftragsverarbeiter handeln und Person bezogenen Daten aus der Europäischen Union erhalten und verarbeiten.

Der Angemessenheitsbeschluss der Europäischen Kommission wird eine Übermittlung personenbezogener Daten an US-Unternehmen insoweit legitimieren, als es um die Frage des angemessenen Schutzniveaus in den USA geht (Art. 25 Abs. 6 Richtlinie 95/46/EG). Daneben ist zu beachten, dass die verantwortliche Stelle in Europa noch dafür Sorge zu tragen hat, dass die Datenverarbeitung in Form der Übermittlung selbst auch zulässig ist. Hierfür bedarf es also etwa eine Einwilligung, eines Vertrages mit der betroffenen Person oder aber berechtigte Interessen der verantwortlichen Stelle und keine entgegenstehenden schutzwürdigen Interessen der betroffenen Person.

Bei einer ersten Sichtung des Privacy Shield hat sich mir die Frage gestellt, was denn aus Sicht der amerikanischen Unternehmen ab dem vom 25. Mai 2018 zu beachten ist: die Grundsätze des Privacy Shield oder aber die gesetzlichen Vorgaben der Datenschutz-Grundverordnung (DSGVO)? Oder vielleicht sogar beide Instrumente und in diesen enthaltende Verpflichtungen parallel?

Nach Art 3 Abs. 2 DSGVO findet die Verordnung Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht, betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten. Wichtig bereits hier der Hinweis: auch ein Auftragsverarbeiter in einem Drittstaat muss sich also an die Vorgaben der DSGVO halten, wenn die Voraussetzungen von Art. 3 Abs. 3 DSGVO erfüllt sind. Zu denken ist etwa an ein Unternehmen, welches Clouddienste oder andere Onlinedienste direkt gegenüber Personen in der Union, im Auftrag eines Verantwortlichen in der EU, erbringt. Genauso kann eine Dienstleistung auch durch einen Verantwortlichen angeboten werden, der dies etwa gemeinschaftlich mit einem weiteren Verantwortlichen in der Union gestaltet und von diesem EU-Verantwortlichen personenbezogene Daten erhält.

Nach Erwägungsgrund 15 S. 2 des Privacy Shield sind die Grundsätze aber ausdrücklich nur auf die Verarbeitung personenbezogener Daten anwendbar, soweit die Verarbeitung nicht in den Anwendungsbereich des Unionsrechts fällt. Also etwa in dem oben erdachten Beispiel. Was bedeutet dies nun? Gilt für einen Auftragsverarbeiter oder Verantwortlichen in den USA dann allein die DSGVO? Oder eventuell doch auch parallel die Grundsätze des Privacy Shield? So könnte man evntuell Erwägungsgrund 15 S. 3 verstehen, nach dem das Privacy Shield keinen Einfluss auf die Anwendbarkeit von Unionsrecht hat, welches die Verarbeitung personenbezogener Daten in den Mitgliedstaaten regelt. Nach diesem Satz 3 ist die Anwendbarkeit des Privacy Shield zumindest nicht ausgeschlossen.

Mir scheinen die Vorgaben für US-Unternehmen hier in jedem Fall unklar zu sein. Wenn ein US-Unternehmen sich nicht an die Vorgaben des Privacy Shield halten würde, dann liefe es aber Gefahr, den „Angemessenheitsstatus“ zu verlieren und die Übermittlung aus der EU wäre eventuell unzulässig (zumindest soweit man sich auf das Privacy Shield beruft). Denn in einem Drittstaat befindet sich das Unternehmen ja die ganze Zeit, auch wenn es sich an die Vorgaben der DSGVO halten muss.

Dies ist nur ein erster Gedanke zu dem neuen Angemessenheitsbeschluss, dessen Anwendung und konkrete Umsetzung uns sicherlich in den nächsten Jahren noch beschäftigen wird.

Datenschutz-Grundverordnung: jede Datenverarbeitung muss auf ihre Vereinbarkeit mit den neuen Vorgaben überprüft werden

Posted on by

Am 24. Mai 2016 ist die europäische Datenschutz-Grundverordnung (DSGVO) in Kraft getreten. Ab dem vom 25. Mai 2018 wird sie in den europäischen Mitgliedstaaten und den Staaten des EWR unmittelbar anwendbar sein.

Unternehmen, Vereine, Verbände und andere Stellen, die bereits derzeit personenbezogene Daten verarbeiten, haben nun knapp zwei Jahre Zeit, sich auf die neuen Vorgaben einzustellen und gegebenenfalls Datenverarbeitungsprozesse, die interne Organisation, Datenschutzerklärungen, etc. auf ihre Konformität mit der DSGVO hin zu prüfen.

Diese Prüfung ist auch dringend erforderlich. Selbst für derzeit rechtmäßige Datenverarbeitungen, mögen sie auf einer Einwilligung oder auch auf einem Erlaubnistatbestand (wie zum Beispiel im Rahmen der Durchführung eines Vertrages) beruhen, wird es nach dem vom 25. Mai 2018 kein einfaches „weiter so“ allein aus dem Grund geben, weil die betreffende Datenverarbeitung derzeit zulässig ist.

Nach Art. 94 Abs. 1 DSGVO wird die noch existierende europäischen Datenschutzrichtlinie 95/46/EG mit Wirkung vom 25. Mai 2018 aufgehoben. Nationale Datenschutzgesetze, die die Vorgaben der europäischen Datenschutzrichtlinie umsetzen, sind zwar nicht per se ungültig, jedoch genießt das europäische Recht Anwendungsvorrang vor den nationalen Regelungen, soweit sich diese decken. Vorschriften wie etwa § 4a oder § 28 BDSG sind dann zum Großteil nicht mehr anwendbar.

Erwägungsgrund 171 S. 2 DSGVO bestimmt, dass Verarbeitungen, die zum Zeitpunkt der Anwendung der DSGVO (also zum 25. Mai 2018) bereits begonnen haben, innerhalb von zwei Jahren nach dem Inkrafttreten der DSGVO (also nach dem 24. Mai 2016) mit der DSGVO „in Einklang gebracht werden“ müssen. Dies bedeutet: nach dem vom 25. Mai 2018 müssen jegliche Datenverarbeitung die in den Anwendungsbereich der DSGVO fallen auch ihre Voraussetzungen erfüllen. Allein die aktuelle Rechtmäßigkeit von derzeit vorgenommen Datenverarbeitungen taugt also nicht, um sie in den Zeitraum nach dem vom 25. Mai 2018 zu übertragen.

Ganz konkret müssen für jede Datenverarbeitung die spezifischen Voraussetzungen aus der DSGVO, also etwa für die Einwilligung aus Art. 6 Abs. 1 lit. a und Art. 4 Nr. 11 DSGVO, erfüllt werden.

Die DSGVO erläutert diese Situation beispielhaft anhand der Einwilligung in Erwägungsgrund 171. Beruht danach die Verarbeitung auf einer Einwilligung gemäß der Richtlinie 95/46/EG, „so ist es nicht erforderlich, dass die betroffene Person erneut ihre Einwilligung dazu erteilt, wenn die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht“. Die entscheidende Aussage verbirgt sich am Ende des Satzes. Den Bedingungen dieser Verordnung. Allein darum geht es.

Zu beachten ist, dass sich diese Prüfung nicht allein auf die Erfüllung der Voraussetzungen eines jeweiligen Erlaubnistatbestandes beschränkt. Datenverarbeitungen müssen etwa nach Art. 5 Abs. 1 DSGVO auch alle dort aufgezählten Grundsätze kumulativ erfüllen. Das ergibt sich klar aus der Vorgabe „Bedingungen dieser Verordnung“, die sich gerade nicht auf „Voraussetzungen von Art. 6“ oder „Bedingungen des Art. 6“ beschränkt.

Irische Datenschutzbehörde veröffentlicht Jahresbericht 2015

Posted on by

Am 21. Juni 2016 hat die irische Datenschutzbeauftragte, Helen Dixon, den Tätigkeitsbericht der Aufsichtsbehörde für das Jahr 2015 vorgestellt.

Insbesondere, weil Irland der Standort europäischer Zentralen vieler „digital player“ darstellt, ist der Bericht der Behörde durchaus lesenswert. So wird unter anderem Über Prüfungen bei LinkedIn oder Facebook berichtet.

So berichtet die Behörde, dass man sich, nach einem Audit in 2013, oft mit Vertretern von LinkedIn im Jahre 2015 traf, um gemeinsam über mögliche Anpassungen der Plattform des beruflichen Online-Netzwerks zu reden. Konkrete Ergebnisse dieser Gespräche waren unter anderem Anpassungen bei den Kontrollmöglichkeiten für Mitglieder über die von ihnen bereit gestellten Informationen in dem sozialen Netzwerk.

Ein weiterer interessanter Aspekt sind internationale Datentransfers. Natürlich wird auch kurz das Urteil des EuGH zu Safe Harbor angesprochen. Nach dem Wegfall der betreffenden Kommissionsentscheidung als Grundlage für Datenübermittlungen in die USA, war (und ist es immer noch) für Unternehmen wichtig, alternative Instrumente zu finden. Für Datentransfers innerhalb eines Konzerns bieten sich insbesondere die Binding Corporate Rules (BCR) an. Hierbei handelt es sich um verbindliche, unternehmensinterne Richtlinien, die in Zusammenarbeit mit den europäischen Aufsichtsbehörden erstellt und von diesen genehmigt werden müssen.

Die irische Datenschutzbeauftragte berichtet, dass bereits im Jahr 2015 in vier Verfahren als federführende Aufsichtsbehörde für das Genehmigungsverfahren von BCR agierte. In den ersten Monaten des Jahres 2016 habe die Behörde zudem weitere Anträge von Unternehmen zur Prüfung von BCR erhalten. Diese Zunahme an beantragten Genehmigungsverfahren für BCR, insbesondere im Jahr 2016, dürfte auch mit dem Wegfall von Safe Harbor zusammenhängen. Wobei darauf hinzuweisen ist, dass BCR eben nur konzerninterne Datentransfers abdecken können und damit nicht für Datenübermittlungen an konzernfremde Unternehmen geeignet sind.