Skip to content

Wir erläutern, was unter Bestandsdatenauskunft zu verstehen ist und in welchem Verhältnis sie zu den Grundrechten steht.

BVerfG: Regelungen zur Bestandsdatenauskunft gehen noch immer zu weit

Einleitung

Nach einigen Jahren hat das Bundesverfassungsgericht (BVerfG) sich erneut mit der Bestandsdatenauskunft auseinandergesetzt. Grund dafür waren zwei Verfassungsbeschwerden, wobei eine der Verfassungsbeschwerden 2013 von einem heutigen Piraten-Europapolitiker und einer seiner ehemaligen Parteikolleginnen eingelegt und von etwas mehr als 6.000 Bürgerinnen und Bürgern unterstützt wurde. Die Beschwerde-führer kritisierten insbesondere, dass Sicherheitsbehörden aufgrund der geltenden Gesetzeslage ohne große Hürden personenbezogene Daten einsehen könnten und sie deswegen in ihren Grundrechten verletzt seien.

Nachdem die Regelungen zur Bestandsdatenauskunft bereits 2012 nach einem Beschluss des BVerfG (Beschl. v. 24.01.2012, Az. 1 BvR 1299/05, „Bestandsdatenauskunft I“) abgeändert wurden, stehen sie nun wieder im Visier des Karlsruher Gerichts. Erst kürzlich hat das BVerfG erneut darüber entschieden, ob sie mit der Verfassung vereinbar sind oder sie einer erneuten Änderung bedürfen.

Bestandsdatenauskunft und ihre rechtliche Grundlage

Als Bestandsdaten werden gem. § 3 Nr. 3 des Telekommunikationsgesetzes (TKG) solche personenbezogenen Daten bezeichnet, die im Rahmen eines Telekommunikationsvertrages zu dessen Begründung, inhaltlicher Ausgestaltung, Änderung oder Beendigung erhoben werden. Dazu zählen bspw. der Name, die Adresse, die Telefonnummer oder auch Passwörter und IP-Adressen der Kunden. Bestimmte gesetzliche Regelungen befugen nun Sicherheitsbehörden, von den Telekommunikationsunternehmen Auskunft über diese Kundendaten zu erlangen (sog. Bestandsdatenauskunft). Dabei geht es insbesondere um die Auskunft über den Anschlussinhaber eines Telefonanschlusses oder einer bestimmten IP-Adresse. Sofern die jeweiligen gesetzlichen Voraussetzungen erfüllt sind, sind die Telekommunikationsanbieter zur Auskunft verpflichtet. Dies betrifft jedoch nicht die sog. Verkehrsdaten, welche sich auf die Nutzung des Telekommunikationsdienstes oder deren Inhalt beziehen, sondern ausschließlich die Bestandsdaten der Kunden.

Als gesetzliche Grundlage für die Bestandsdatenauskunft dient insbesondere der § 113 TKG. Danach dürfen Sicherheitsbehörden die jeweiligen Bestandsdaten anfordern, wenn dies im Einzelfall der Verfolgung von Straftaten oder Ordnungswidrigkeiten, der Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung oder der Erfüllung von gesetzlichen Aufgaben der Behörden dient. Die in § 113 TKG berechtigten Behörden sind bspw. die Bundespolizei, das Bundeskriminalamt oder auch Nachrichtendienste.

Entscheidung des BVerfG 

In seinem neusten Beschluss (Beschl. v. 27.05.2020, Az. 1 BvR 1873/13, 1 BvR 2618/13, “Bestandsdatenauskunft II”) entschied das BVerfG erneut für die Kläger und begründete seine Entscheidung damit, dass § 113 TKG keine ausreichende und verhältnismäßige Rechtsgrundlage für die Bestandsdatenauskunft darstelle. Dies liege daran, dass die Norm zu weit und unbestimmt gefasst sei. Die Eingriffsschwellen für die Sicherheitsbehörden seien zu niedrig, sodass die derzeitige Fassung des § 113 TKG gegen das Recht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 i.V.m Art 1 Abs. 1 des Grundgesetzes (GG) und gegen das Telekommunikationsgeheimnis aus Art. 10 Abs. 1 GG verstoße. Nach Auffassung des Gerichts seien neben dem § 113 TKG auch andere Bundesgesetze verfassungswidrig, die maßgeblich die Bestandsdatenauskunft betreffen.

Die Karlsruher Richter verlangten, dass der Gesetzgeber sowohl für die Übermittlung der Bestandsdaten an die Behörden als auch für dessen Abruf durch die Behörden eine verhältnismäßige Rechtsgrundlage ausarbeite. Diese müsste dann eine hinreichende Begrenzung der Verwendungszwecke der Daten beinhalten. Davon sei jedenfalls dann auszugehen, wenn tatbestandliche Eingriffsschwellen und ein hinreichend gewichtiger Rechtsgüterschutz in den jeweiligen Normen vorgesehen würden. Das BVerfG betonte zudem, dass eine Bestandsdatenauskunft nicht per se verfassungswidrig sei, sondern nur die derzeitige gesetzliche Grundlage.

Folge der Entscheidung ist, dass § 113 TKG und andere Bundesgesetze, die die Bestandsdatenauskunft betreffen, abgeändert werden müssen, um den Grundrechten der Betroffenen gerecht zu werden und sie nicht in unverhältnismäßiger Weise zu verletzen. Dies soll nun bis spätestens Ende 2021 geschehen. In der Übergangszeit könne § 113 TKG jedoch weiterhin eine Bestandsdatenauskunft legitimieren, sofern die jeweilige Auskunft zur Abwehr einer konkreten Gefahr erforderlich oder bezüglich der Nachrichtendienste zur Aufklärung im Einzelfall geboten sei oder wenn für die Verfolgung von Straftaten und Ordnungswidrigkeiten zumindest ein Anfangsverdacht bestehe, so das BVerfG.

Fazit

Die Änderung der Vorschriften zur Bestandsdatenauskunft in 2012 waren nach Ansicht des BVerfG nicht ausreichend. Die Rechtsgrundlagen, insbesondere § 113 TKG, seien derzeit immer noch zu unbestimmt und würden die Betroffenen in ihren Grundrechten auf informationelle Selbstbestimmung und das Telekommunikationsgeheimnis (Art. 2 Abs.1 i.V.m Art 1 Abs. 1 und Art. 10 Abs. 1 GG) verletzen.

Als Folge des Urteils wird nun eine weitere Änderung der Vorschriften über die Bestandsdatenauskunft erwartet. Für die Reformierung der Gesetze hat der Gesetzgeber nun bis zum 31.12.2021 Zeit. In der Zwischenzeit findet § 113 TKG jedoch weiterhin mit gewissen Einschränkungen Anwendung.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Der BGH bestätigt nun das BKartA, sodass Facebook seine Nutzungsbedingungen vorerst anpassen muss.

BGH im Eilverfahren: Facebooks Datenerhebung behindert den Wettbewerb

Einleitung

Bereits im Februar 2019 sprach das Bundeskartellamt (BKartA) gegen Facebook eine Verbotsverfügung aus, weil es der Meinung war, Facebook behindere mit seinen Nutzungsbedingungen den Wettbewerb und nutze seine marktbeherrschende Position aus. Das BKartA setzte Facebook sodann eine Frist von zwölf Monaten, um seine Nutzungsbedingungen anzupassen. Bereits nach vier Monaten sollten Lösungsvorschläge präsentiert werden. Facebook hat gegen die Verfügung umgehend Beschwerde am Oberlandesgericht (OLG) Düsseldorf eingelegt, welches im Rahmen des vorläufigen Rechtsschutzes die aufschiebende Wirkung der Verfügung angeordnet hat. Dies bedeutet, dass die Entscheidung des BKartA nicht vollzogen werden darf, bis im Hauptsacheverfahren darüber entschieden wurde. Für Facebook heißt das, sich nicht an das Verbot bzw. die Auflagen des BKartA halten zu müssen, bis das OLG über die Rechtmäßigkeit der Verfügung entschieden hat. Das BKartA hat sich daraufhin ebenfalls im Eilverfahren an den Bundesgerichtshof (BGH) gewandt, um die aufschiebende Wirkung der Verfügung beseitigen zu lassen. Der BGH hat nun geprüft, ob die Gewährung der aufschiebenden Wirkung der Verfügung gerechtfertigt ist. Hierbei entscheidet der BGH nicht in der Hauptsache selbst, also ob das Verhalten von Facebook gegen kartellrechtliche Bestimmungen verstößt, sondern, ob ernstliche Zweifel bezüglich der Rechtmäßigkeit der Verbotsverfügung des BKartA bestehen.  

Nutzungsbedingungen von Facebook

Um Facebook nutzen zu können, müssen User zuerst einem plattformübergreifenden Umgang mit ihren Daten zustimmen. Das soziale Netzwerk sammelt und verarbeitet nicht nur Daten, die die jeweiligen Nutzer auf ihrem Facebook-Profil preisgeben, sondern auch Daten von Dritt-Webseiten und -Apps wie Instagram und WhatsApp (welche zu Facebook gehören). Dies dient dazu, genauere Profile der Nutzer zu erstellen und bspw. gezielt Werbung zu platzieren.

Ansicht des BKartA

Das BKartA ist der Ansicht, dass die Nutzungsbedingungen einen Verstoß gegen § 19 Abs. 1 des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) darstellen. Durch das plattformübergreifende Datensammeln nutze Facebook seine marktbeherrschende Stellung aus, da den Nutzern keine Wahl gelassen werde, ob sie die Verknüpfung der Daten zulassen wollen oder nicht. Missbräuchlich sei, entgegen der Vorschriften der Datenschutz-Grundverordnung (DS-GVO) die private Nutzung von Facebook vom scheinbar grenzenlosen Sammeln von Daten und Erstellen von Profilen abhängig zu machen und den Nutzer quasi zur Zustimmung zu „zwingen“.

Entscheidung des BGH (Beschl. v. 23.06.2020, Az. KVR 69/19)

Der BGH setzte sich im Eilverfahren damit auseinander, ob ernstliche Zweifel bezüglich der Rechtmäßigkeit der Verbotsverfügung des BKartA bestehen. Dies erfolgt nur aufgrund einer summarischen Prüfung, was bedeutet, dass auf eine umfangreiche Beweisaufnahme verzichtet wird, um dem Charakter des Eilverfahrens gerecht zu werden und schnell eine Entscheidung zu erlangen. Nach seiner Prüfung stellte der BGH sich auf die Seite des BKartA. Das Karlsruher Gericht war ebenfalls der Auffassung, dass keine ernstlichen Zweifel an der marktbeherrschenden Stellung von Facebook auf dem deutschen Markt bestünden und diese Stellung von dem sozialen Netzwerk bei Verwendung ihrer Nutzungsbedingungen missbräuchlich ausgenutzt werde. Ausschlaggebend sei wieder die fehlende Wahlmöglichkeit der Nutzer, ob sie dem umfangreichen Datensammeln zustimmen wollen oder nicht. Dieser Umstand beeinträchtige schließlich die Privatautonomie und die Wahrung des Rechts auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m Art 1 Abs. 1 Grundgesetz) der Facebook-Nutzer, sowie die Kontrollfunktion des Wettbewerbs. Letztere könne durch die nach Ansicht des BGH kartellrechtlich relevante Ausbeutung der Nutzer von Facebook nicht mehr wirksam ausgeübt werden.

Der BGH bestätigt mithin einen Marktmissbrauch und sieht keine ernsthaften Zweifel an der Rechtmäßigkeit der Verbotsverfügung des BKartA. Die Karlsruher Richter sind der Meinung, dass die Nutzungsbedingungen in der Hinsicht angepasst werden müssten, dass die Nutzer des sozialen Netzwerks der Verknüpfung ihrer Daten von anderen Webseiten und Diensten aktiv zustimmen müssten und zudem eine Nutzung möglich wäre, sofern sie die Verknüpfung der Profile ablehnen würden.

Fazit

Im Ergebnis lehnte der BGH die Entscheidung des OLG Düsseldorf, die Anordnung der aufschiebenden Wirkung, ab und hob sie auf. Daraus folgt, dass Facebook sich zunächst an die Verbotsverfügung des BKartA halten muss, bis in der Hauptsache entschieden wurde. Somit stoppt der BGH zunächst das umfangreiche Datensammeln von dem sozialen Netzwerk. Wie das OLG sich im Hauptsacheverfahren entscheidet und der Rechtsstreit ausgeht, bleibt abzuwarten.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Nächste Runde im Duell von Datenschutzaktivist und Jurist Max Schrems gegen Facebook aufgrund der Datenübermittlung aus der EU in die USA.

EuGH: EU-US Privacy Shield ist nichtig

Einleitung

Seit einigen Jahren kritisiert der österreichische Datenschutzaktivist und Jurist Max Schrems die Datenübermittlung von Facebook aus der EU in die USA. Nach seiner Ansicht werde bei den Datentransfers den europäischen Datenschutzvorschriften der Datenschutz-Grundverordnung (DS-GVO) nicht gerecht. Schrems hatte zuletzt bei der irischen Datenschutzbehörde Beschwerde gegen Facebook eingelegt. Die Beschwerde richtet sich gegen die Weiterleitung der Daten von Facebook in Irland an ihren Mutterkonzern in den Vereinigten Staaten. Schrems begründet seine Beschwerde damit, dass kein angemessenes Datenschutzniveau in den USA gewährleistet sei, da Facebook dort dazu verpflichtet sei, seinen Behörden wie NSA oder FBI Zugang zu den aus der EU übermittelten Daten zu gewähren, ohne dass die Betroffenen dagegen vorgehen könnten. Nach Ansicht des österreichischen Datenschutzaktivisten sei ein angemessener Datenschutz auch nicht durch den EU-US Privacy Shield (im Folgenden: Privacy Shield) oder die Standardvertragsklauseln gewahrt. Schrems möchte mit seiner Beschwerde erreichen, dass seine personenbezogenen Daten von Facebook nicht mehr in die Vereinigten Staaten übermittelt werden. Facebook ist hingegen der Ansicht, dass die Datenübermittlung rechtmäßig erfolge und das europäische Datenschutzrecht ferner nicht anzuwenden sei, wenn die personenbezogenen Daten zum Zwecke der nationalen Sicherheit verarbeitet werden.

Der irische High Court hat nun den Europäischen Gerichtshof (EuGH) angerufen, um zu klären, ob der Privacy Shield und die Standardvertragsklauseln mit dem europäischen Datenschutzrecht vereinbar sind.

Datentransfer in ein Drittland nach DS-GVO 

Eine Datenübermittlung aus der EU in Drittländer erfolgt gem. Art. 44 ff. DS-GVO. Ein Datentransfer in ein Drittland ist stets zulässig, wenn die Europäische Kommission einen Angemessenheitsbeschluss gemäß Art. 45 Abs. 1 DS-GVO erlässt, welcher besagt, dass das jeweilige Drittland über ein angemessenes, mit dem Unionsrecht vergleichbares Datenschutzniveau verfügt. Bisher wurden transatlantische Datenübermittlungen häufig mit dem Privacy Shield gerechtfertigt. Der Privacy Shield ist eine Absprache zwischen der US-Regierung und der EU-Kommission, welches die Gewährleistung eines angemessenes Schutzniveaus für personenbezogene Daten, welche aus der EU übermittelt wurden, vorsieht.

Zudem können Standardvertragsklauseln der EU-Kommission eine Rechtsgrundlage für den Datentransfer in die Vereinigten Staaten darstellen. Bisher bedienten sich etliche US-Konzerne den Standardvertragsklauseln, sofern Daten aus der EU in die USA weitergeleitet wurden. 

Entscheidung des EuGH

In seinem neusten Urteil (16.07.2020, Az.: C-311/18) stellt der EuGH auf Anfrage eines irischen Gerichts zunächst klar, dass das EU-Recht, vor allem die DS-GVO generell dann Anwendung finde, wenn eine Übermittlung personenbezogener Daten zu gewerblichen Zwecken erfolge. Dies gelte auch in Fällen, in denen die jeweiligen Daten direkt oder im Anschluss von Behörden des Drittlandes verarbeitet werden könnten. Eine Datenverarbeitung durch Behörden in einem Drittland könne nicht dazu führen, dass die Datenübermittlung nicht den Anforderungen der DS-GVO unterliegen müsse.

Des Weiteren entschied der EuGH, dass der Privacy Shield den europäischen Datenschutzvorschriften nicht gerecht werde. Dies sei darauf zurückzuführen, dass die Überwachungsgesetze in den Vereinigten Staaten zu umfangreich seien, sodass ein angemessener Schutz der personenbezogenen Daten von EU-Bürgern auch durch den Privacy Shield nicht gewährleistet sei. Darüber hinaus kritisierte der EuGH, dass keine ausreichenden Betroffenenrechte zur Verfügung stünden, um gegen den Datentransfer bzw. den Zugriff der US-amerikanischen Behörden auf die europäischen Daten, gerichtlich vorzugehen. Der EuGH erklärte den Privacy Shield mithin für nichtig.

Die Verwendung von Standardvertragsklauseln beanstandeten die Luxemburger Richter dagegen nicht. Es sei keine Kollision mit der europäischen Grundrechts-Charta (GRCh) ersichtlich. Der Beschluss der EU-Kommission zu Standardvertragsklauseln (Beschluss 2010/87) sehe die benötigten Maßnahmen vor, um in der Praxis gewährleisten zu können, dass das von der EU verlangte Datenschutzniveau eingehalten werde und dass bei einem Verstoß gegen die Klauseln eine Verarbeitung und Übermittlung ausgesetzt oder verboten werde. 

Fazit

Nachdem der EuGH bereits den Vorgänger des Privacy Shields, das Safe Harbor Abkommen, welches Schrems ebenfalls beanstandet hatte, im Jahr 2015 für ungültig erklärt hatte (Urt. v. 06.10.2015, Az.: C-362/14), teilt der Privacy Shield nun dasselbe Schicksal. Grund seien die ausgiebigen US-amerikanischen Überwachungsgesetze, welche die US-Behörden zur Überwachung „ausländischer Kommunikation“ weitläufig befugen. Zudem seien die Betroffenenrechte der EU-Bürger unzureichend. Alles in allem sei kein angemessenes Datenschutzniveau in den USA gegeben, so die Luxemburger Richter. Die Standardvertragsklauseln seien nicht zu beanstanden, sofern sie in dem jeweiligen Drittland auch eingehalten würden.

Folge des Urteils ist, dass viele Datenübermittlungen, welche sich auf den Privacy Shield als Rechtsgrundlage gestützt hatten, nun nicht mehr rechtmäßig sind. Dies könnte starke Auswirkungen auf Unternehmen haben, die auf den Bestand des Privacy Shields vertraut haben.

Darüber hinaus wird empfohlen, dass in der EU ansässige Unternehmen ihre Datenübermittlungen und Datenverarbeitungsabkommen betreffend Datenübermittlungen in die USA gründlich überprüfen sollten. Wenn die transatlantischen Datentransfers durch den “Privacy Shield” gerechtfertigt sind, ist unverzüglich zu Standardvertragsklauseln überzugehen, um einen angemessenen Datenschutz zu gewährleisten. Findet diese Umstellung nicht statt, drohen hohe Geldstrafen (Art. 83 DS-GVO). 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir beleuchten, wie das Merkmal der Angemessenheit zum Schutz von Geheimnissen nach dem Geschäftsgeheimnisgesetz auszulegen ist.

Schutz von Geschäftsgeheimnissen
nach § 2 Nr. 1 GeschGehG

Einleitung

Wie zuvor berichtet, ist seit dem 26. April 2019 das neue Geschäftsgeheimnisgesetz (GeschGehG) in Kraft getreten, welches der Umsetzung der Geschäftsgeheimnis-Richtlinie 2016/943/EU dient.

Vor Umsetzung der Richtlinie ins deutsche Recht wurden Geschäftsgeheimnisse in § 17 des Gesetzes gegen den unlauteren Wettbewerb (UWG) geschützt. Hier wurde für die Klassifikation als Geschäftsgeheimnis und demnach dem Schutz der Information lediglich ein subjektiver Wille zur Geheimhaltung als ausreichend angesehen. Der Anwendungsbereich des GeschGehG ist hingegen klarer eingegrenzt und schützt nur solche Informationen, welche auch objektiv als Geschäftsgeheimnisse zu qualifizieren sind. Gemäß § 2 Nr. 1 GeschGehG liegt ein zu schützendes Geschäftsgeheimnis vor, wenn die jeweilige Information nur einem begrenzten Personenkreis zugänglich und daher von wirtschaftlichem Wert ist, angemessene Geheimhaltungsmaßnahmen ergriffen wurden und ein berechtigtes Interesse an der Geheimhaltung der Information besteht.

Was unter angemessen Geheimhaltungsmaßnahmen zu verstehen ist, ist eine Frage der Auslegung. Im Folgenden wird das Merkmal der Angemessenheit der Geheimhaltungsmaßnahmen näher beleuchtet.

Gesetzesbegründung

In der Gesetzesbegründung (Drucksache 19/4724, S. 24) wird ausgeführt, dass die Art der Geheimhaltungsmaßnahme von der Art des Geschäftsgeheimnisses und den konkreten Umständen der Nutzung abhängt. In Betracht kämen insbesondere physische Zugangsbeschränkungen oder vertragliche Sicherungsmechanismen.

Ob die jeweiligen Geheimhaltungsmaßnahmen angemessen sind, hängt demnach vom Einzelfall ab und kann folgende Kriterien umfassen:

  • Wert des Geschäftsgeheimnisses und dessen Entwicklungskosten,
  • Bedeutung für das Unternehmen,
  • übliche Geheimhaltungsmaßnahmen im Unternehmen (Zugangssperren, Passwörter, IT-Sicherheitsmaßnahmen),
  • Art der Kennzeichnung der Information,
  • Verschwiegenheitsverpflichtungen mit Arbeitnehmern und Geschäftspartnern.

Eine eindeutige Konkretisierung ist also nicht vorhanden. Vielmehr muss die Gesamtsituation zur Beurteilung der Angemessenheit herangezogen werden. In der Geschäftsgeheimnis-Richtlinie wird ebenfalls nicht näher auf den Begriff der Angemessenheit eingegangen.

Auslegung unter Berücksichtigung der Normhistorie

Da die Gesetzbegründung die Angemessenheit nicht näher definiert, muss für eine weitere Konkretisierung des Begriffs auf die Normgeschichte der Richtlinie zurückgegriffen werden. Die Geschäftsgeheimnis-Richtlinie nimmt in ihren Vorbemerkungen Bezug auf das 1994 von den Gründungsmitgliedern der Welthandelsorganisation (WTO, World Trade Organization) beschlossene „Abkommen über handelsbezogene Aspekte der Rechte des geistigen Eigentums“ (TRIPS-Abkommen). Das TRIPS-Abkommen setzt in Art. 39 Nr. 2 lit. c) für den Geschäftsgeheimnisbegriff voraus, dass angemessene Schritte unternommen wurden, um die betroffene Information geheim zu halten. Allerdings wird auch im TRIPS-Abkommen nicht näher darauf eingegangen, was genau unter angemessenen Maßnahmen zu verstehen ist. Demnach ist zum weiteren Verständnis des Begriffs der Angemessenheit auf die Normhistorie des TRIPS-Abkommens einzugehen.

Das TRIPS-Abkommen hat eine Formulierung des US-amerikanischen Uniform Trade Secrets Act (UTSA) übernommen. Der Uniform Trade Secrets Act definiert Geschäftsgeheimnisse (“trade secrets”) in Sec. 1 (4) als Informationen, einschließlich Formeln, Mustern, Kompilationen, Programmen, Vorrichtungen, Methoden, Techniken oder Verfahren, die einen unabhängigen wirtschaftlichen Wert, ob tatsächlich oder potenziell, daraus ableiten, dass sie anderen Personen, die aus seiner Offenlegung oder Nutzung wirtschaftlichen Wert erhalten können, nicht allgemein bekannt sind und nicht ohne weiteres mit angemessenen Mitteln ermittelt werden können. Zudem müssen den Umständen nach angemessenen Maßnahmen unternommen wurden, um die betroffenen Informationen geheim zu halten.

Nach Ansicht der englischsprachigen Literatur bedarf es für die Angemessenheit der Geheimhaltungsmaßnahmen weder der absoluten noch der größtmöglichen Sicherheit. Stattdessen soll das Erfordernis der Angemessenheit der Maßnahmen bewirken, dass Personen, die mit einem Geschäftsgeheimnis in Berührung kommen, sich diesem Umstand aufgrund äußerer Anzeichen bewusst oder sich dessen nur durch eigene Fahrlässigkeit nicht bewusst sind. Die Formulierung „den Umständen nach“ impliziert, dass die Größe des Unternehmens einen entscheidenden Einfluss auf die Beurteilung der Angemessenheit haben dürfte. Zusätzlich zu den allgemeinen Sicherungsmaßnahmen im Unternehmen ist es unerlässlich für den Geheimnisschutz, dass die betroffene Information den vorgebrachten Sicherungsmaßnahmen unterlegen haben muss. Wenn sich jedoch bereits aus persönlichen und beruflichen Sonderbeziehungen eine Geheimhaltungspflicht ergibt, beispielsweise im Verhältnis zwischen dem Anwalt und seinen Mandaten, sind keine weiteren Maßnahmen notwendig.

Praxis

In der Praxis sollten zum Schutz von Geschäftsgeheimnissen grundlegende Maßnahmen getroffen werden. Unternehmen sollten vertragliche Maßnahmen ergreifen, welche bereits in die Arbeitsverträge aufgenommen werden. Es empfiehlt sich jedoch, besonders vertrauliche Dokumente als solche zu kennzeichnen. Zudem sind organisations- und informationstechnische Regelungen zu treffen. In der täglichen Organisation sollte insbesondere sichergestellt werden, dass nur berechtige Mitarbeiter Zugriff auf entsprechende geheime Informationen bekommen. Darüber hinaus sollten sicherheitstechnische Maßnahmen umgesetzt werden. Hierzu bedarf es meist eines angepassten Sicherheitskonzepts.

Inwiefern hier ein Rückgriff auf die Regelungen der Datenschutz-Grundverordnung (DS-GVO) möglich ist, ist fraglich. Das GeschGehG und die DS-GVO verfolgen unterschiedliche Zwecke. Die DS-GVO dient dem Schutz personenbezogener Daten, das GeschGehG eben nur dem Schutz von Geschäftsgeheimnissen. Für personenbezogene Daten gilt die DS-GVO automatisch. Das GeschGehG entfaltet hingegen erst Wirkung nachdem angemessene Geheimhaltungsmaßnahmen ergriffen worden sind.

Fazit

Da im deutschen Recht der Begriff der Angemessenheit im Rahmen von Geheimhaltungsmaßnahmen neu ist, ist damit zu rechnen, dass die Rechtsprechung diesen noch näher konkretisieren wird. Diese Aufgabe hat der europäische Gesetzgeber offensichtlich der Rechtsprechung überlassen, da Erwägungsgrund 14 der Geschäftsgeheimnis-Richtlinie explizit eine homogene Definition des Geschäftsgeheimnisses, und damit auch der Angemessenheit der Geheimhaltungsmaßnahmen, verlangt.

Bis dahin bietet es sich an, sich an den Grundsätzen des amerikanischen Rechts zu orientieren. Nicht nur, weil der europäische Begriff der Angemessenheit der Maßnahmen auf den amerikanischem zurückzuführen ist, sondern auch, weil insbesondere internationale Unternehmen darauf zurückgreifen.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir erklären, welche Voraussetzungen gelten und wie das Recht auf Einschränkung vom Recht auf Löschung abzugrenzen ist.

Das Recht auf Einschränkung der Verarbeitung nach Art. 18 DS-GVO

Einleitung

Artikel 18 der Datenschutz-Grundverordnung (DS-GVO) enthält das Recht auf Einschränkung der Verarbeitung von personenbezogenen Daten. Als Initiativrecht des Betroffenen muss es geltend gemacht und beantragt werden, um als gewünschte Rechtsfolge die Begrenzung der Datenverarbeitung herbeizuführen. Unter Einschränkung der Verarbeitung ist gem. Art. 4 Nr. 4 DS-GVO „die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken“, zu verstehen. Eine Markierung ist ein unmissverständlicher Einschränkungsvermerk im System des Verantwortlichen (s. Erwägungsgrund 67 der DS-GVO). Abzugrenzen ist Art. 18 DS-GVO vom Recht auf Löschung aus Art. 17 DS-GVO, bei dem die personenbezogenen Daten vollständig gelöscht und nicht nur wie bei Art. 18 DS-GVO deren Verarbeitung eingeschränkt.

Voraussetzungen

Voraussetzungen Ein Einschränkungsrecht steht nicht jedem zu: um eine Einschränkung der Verarbeitung verlangen zu können, muss der Betroffene eine der in Art. 18 Abs. 1 lit a-d DS-GVO genannten Voraussetzungen erfüllen. Dies ist der Fall, wenn der Betroffene die Richtigkeit der verarbeiteten Daten bestreitet (lit. a) oder er Widerspruch gegen die Verarbeitung eingelegt hat (lit. d). Die Einschränkung der Datenverarbeitung gilt dann für die Zwischenzeit, in der Abwägungsentscheidungen bezüglich der Verarbeitung getroffen werden.

Ein Einschränkungsrecht steht dem Betroffenen zudem alternativ zu einem Löschungsrecht aus Art. 17 DS-GVO zu. Gem. Art. 18 Abs. 1 lit. b DS-GVO kann der Betroffene eine Einschränkung verlangen, wenn die Verarbeitung seiner personenbezogenen Daten unrechtmäßig erfolgt, er eine Löschung aber explizit ablehnt. Des Weiteren steht dem Betroffenen ein Einschränkungsrecht gem. Art 18 Abs. 1 lit. c DS-GVO zu, wenn die personenbezogenen Daten vom Verantwortlichen zur Verarbeitung nicht länger benötigt werden, der Betroffene sie aber nicht löschen will, weil die Daten noch zur Geltendmachung seiner Rechtsansprüche gebraucht werden. Demnach setzen lit. b und c voraus, dass dem Betroffenen ein Löschungsrecht zusteht, er dieses jedoch ablehnt und die (mildere) Einschränkung der Verarbeitung verlangt. Dies liegt daran, dass eine Löschung in einigen Fällen nicht dem berechtigten Interesse des Betroffenen entspricht, sodass eine Einschränkung praktikabler erscheint.

Rechtsfolgen

Sobald ein Betroffener sein Recht auf Einschränkung geltend gemacht hat, dürfen seine personenbezogenen Daten gem. Abs. 2 nur noch mit seiner Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen verarbeitet werden. Darüber hinaus kann eine Datenverarbeitung trotz Einschränkung erfolgen, wenn sie dem Schutz der Rechte anderer natürlicher oder juristischer Personen dient oder aus Gründen eines wichtigen öffentlichen Interesses der EU oder eines Mitgliedstaates geboten ist.

Als Folge der Einschränkung treffen den Verantwortlichen Mitteilungspflichten aus Art. 18 Abs. 3 und Art. 19 DS-GVO. Demnach muss der Verantwortliche dem Betroffenen im Voraus mitteilen, wenn die Einschränkung der Verarbeitung aufgehoben wird. Zudem ist er verpflichtet, Dritte, an welche die Daten des Betroffenen weitergegeben wurden, über die Einschränkung zu informieren, sodass sie ihre Verarbeitungsprozesse ebenfalls beschränken. Diese Pflicht besteht jedoch nur, soweit die Unterrichtung möglich ist und für den Verantwortlichen keinen unverhältnismäßigen Aufwand darstellt. Darüber hinaus ist dem Betroffenen Auskunft über die Empfänger seiner Daten zu erteilen, sofern er dies vom Verantwortlichen verlangt.

Anwendungsbereich

Betroffene können ein Interesse an einer Einschränkung haben, wenn sie eine Löschung als zu radikal empfinden, diese nicht möglich oder nicht praktisch erscheint. Ein solcher Fall läge vor, wenn von vornherein damit gerechnet werden kann, dass die betroffene Person dem Verantwortlichen die Daten zu einem späteren Zeitpunkt wieder übermitteln möchte; im Fall der Einschränkung müssen die Daten dann nur wieder freigeschaltet und nicht neu erhoben werden. Art. 18 DS-GVO kann zudem zur Anwendung kommen, wenn der Kunde eines Unternehmens seine Daten weiterhin zur Vertragserfüllung gespeichert haben will, die Nutzung für Werbezwecke allerdings einschränkt werden soll.

Damit dem Einschränkungsgesuch der Betroffenen auch gerecht werden kann, sollen geeignete technische und organisatorische Maßnahmen ergriffen werden, damit die jeweiligen personenbezogenen Daten nicht für andere als die in Abs. 2 genannten Zwecke verwendet werden. Es soll durch die jeweiligen Maßnahmen gewährleistet werden, dass die Daten in keiner Weise weiterverarbeitet oder verändert werden. Erwägungsgrund 67 der DS-GVO nennt ein paar Beispiele dazu, wie eine Einschränkung ablaufen kann. Hierzu zählen unter anderem die vorübergehende Übertragung der jeweiligen Daten auf ein anderes Verarbeitungssystem, eine Sperrung der Daten für Nutzer, sowie eine vorübergehende Entfernung der Daten von einer Website.

Frühere Regelungen im Bundesdatenschutzgesetz (BDSG aF)

Art. 18 DS-GVO entspricht im weitesten Sinne dem Recht auf Sperrung statt Löschung aus §§ 20 Abs. 3-7 und 35 Abs. 3 und 4 BDSG aF. Im BDSG aF wurde stets von Datensperrung gesprochen, dies meint aber ebenso wie das Recht auf Einschränkung der Verarbeitung die vorübergehende Unbrauchbarmachung von personenbezogenen Daten, ohne diese gänzlich zu löschen. Im Wesentlichen stimmen die Regelungen im BDSG aF und der DS-GVO überein, dennoch gibt es kleine Unterschiede.

Art. 18 DS-GVO beinhaltet beispielsweise eine Einwilligungslösung, wohingegen die Vorschriften des BDSG aF von einer Widerspruchslösung ausgingen. Zudem ist die Regelung in der DS-GVO etwas schärfer als § 20 Abs. 3 bis 7 BDSG aF, in dessen Abs. 7 noch weitere Fälle aufgezählt sind, in denen eine Nutzung und Übermittlung der „gesperrten“ Daten ohne Einwilligung als zulässig angesehen wird. Als Beispiel ist die Verarbeitung zu wissenschaftlichen Zwecken zu nennen. Das Einschränkungsrecht der DS-GVO lässt eine weitere Nutzung der jeweiligen Daten nur zur Geltendmachung von Rechtsansprüchen, sowie bei Gebotenheit der Verarbeitung im öffentlichen Interesse, zu (s.o.). Ein weiterer Unterschied besteht darin, dass nach § 20 Abs. 4 und § 35 Abs. 4 BDSG aF eine Datensperrung auch ausdrücklich für den Fall vorgesehen war, dass die Richtigkeit der Daten zwar bestritten wird, im Ergebnis aber weder die Richtigkeit noch die Unrichtigkeit der Daten feststellbar ist. Eine Regelung zu den Fällen des sog. „non liquet“ (lat.: es ist nicht klar), in denen sich die Richtigkeit oder Unrichtigkeit der Daten nicht feststellen lässt, findet sich in der DS-GVO hingegen nicht. Solch eine ausdrückliche Bestimmung findet sich nur außerhalb der DS-GVO in § 58 Abs.1 S. 3, 4 BDSG, der eine Einschränkung der Datenverarbeitung auch dann vorsieht.

Fazit

Art. 18 DS-GVO ist ein Teil der Betroffenenrechte aus der DS-GVO und entspricht weitestgehend dem Recht auf Sperrung aus dem BDSG aF. Es ist scharf zu trennen vom Recht auf Vergessenwerden aus Art. 17 DS-GVO, welches auf die Löschung von personenbezogenen Daten abzielt. Das Einschränkungsrecht aus Art 18 DS-GVO kann in manchen Fällen interessengerechter sein als das Recht auf Datenlöschung aus Art. 17 DS-GVO. Dies liegt daran, dass die Daten teilweise noch zur Geltendmachung von Rechtsansprüchen benötigt werden oder der Betroffene die Verarbeitung seiner Daten beispielsweise nur im Rahmen von Werbung untersagen möchte, einer weiteren Verarbeitung aber zustimmt. Zudem ist zu beachten, dass den Verantwortlichen erweiterte Mitteilungspflichten aus Art. 18 Abs. 3 und Art 19 DS-GVO treffen.

In der Praxis wird bisher relativ selten vom Recht auf Einschränkung Gebrauch gemacht. Ein Antrag auf Datenlöschung ist indes viel häufiger.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir erläutern, was unter einem immateriellen Schaden zu verstehen ist und inwieweit Schadenserstaz für solche Schäden geleistet wird.

Art. 82 DS-GVO: Immaterieller Schadensersatz bei datenschutzverstößen

Einleitung

Sofern Verstöße gegen die Datenschutz-Grundverordnung (DS-GVO) einen Schaden verursachen, ist dieser dem Betroffenen gem. Art. 82 Abs. 1 DS-GVO zu ersetzen. Im Gegensatz zur alten Fassung des Bundesdatenschutzgesetzes (BDSG a.F.) sind nicht nur Vermögensschäden, sondern auch ausdrücklich immaterielle Schäden erfasst. Im BDSG a.F. wurde lediglich vom Oberbegriff des Schadens gesprochen, womit regelmäßig nur ein materieller Schaden gemeint war.

In der DS-GVO wird der Begriff des immateriellen Schadens nicht weiter definiert, es ist mithin schwierig abzugrenzen, was genau darunterfällt und in welcher Höhe Schadensersatz zu gewähren wäre. Im Folgenden soll näher darauf eingegangen werden, was unter einem immateriellen Schaden im Sinne der DS-GVO zu verstehen ist und welche Arten von Schäden darunterfallen.  

Begriff des immateriellen Schadens

Nach allgemeiner Definition ist unter einem immateriellen Schaden ein Nichtvermögensschaden zu verstehen. Der Begriff des Nichtvermögensschadens muss nun weiter konkretisiert werden. Gemäß Erwägungsgrund 146 S. 3 der DS-GVO ist nach europäischer Rechtsprechung ein weites Begriffsverständnis des immateriellen Schadens zugrunde zu legen. Danach könnte jeder  Verstoß gegen die Vorschriften der DS-GVO, unabhängig von seinem Schweregrad, bereits einen immateriellen Schaden begründen. Diese Auslegung wurde auch schon für Entscheidungen von österreichischen und niederländischen Gerichten beherzigt. Hierfür spricht zunächst, dass der Wortlaut des Art. 82 Abs. 1 DS-GVO keine Beschränkung auf bspw. schwere Verstöße vorsieht. Im Umkehrschluss müssten also auch nur leichte Persönlichkeitsrechtsverletzungen zu einem immateriellen Schaden führen können. Zudem sollte der Schadensersatz der DS-GVO durch eine großzügige Schadensersatzgewährung eine abschreckende Wirkung entfalten, in der Hoffnung die Anzahl an Verstößen in Zukunft minimieren zu können. Die Gegenansicht kritisiert, dass durch die weite Auslegung des Nichtvermögensschadens ein erhöhtes Missbrauchspotenzial des nahezu voraussetzungslosen immateriellen Schadensersatzanspruchs folgen könnte. Zudem stünde die weite Auslegung im Widerspruch zum deutschen Schadensrecht . Dies liegt daran, dass das deutsche Recht keinen Strafschadensersatz kennt und traditionell zurückhaltend und restriktiv mit Nichtvermögensschäden umgeht. Aufgrund der weiten Auslegung könnten Betroffene sodann immaterielle Bagatellschäden im Bereich des Datenschutzrechts geltend machen, in anderen Schutzbereichen des Allgemeinen Persönlichkeitsrechts jedoch nicht, da hier ein enges Begriffsverständnis des Nichtvermögensschadens zugrunde gelegt wird.

Da von deutschen Gerichten der Begriff des immateriellen Schadens enger verstanden wird, gewähren sie nur in zurückhaltender Weise Schadensersatz. Ein Schaden soll erst mit einer konkreten und nicht nur individuell empfundenen Persönlichkeitsrechtsverletzung gegeben sein. Dies wird unter anderem auf Erwägungsgrund 85 der DS-GVO gestützt, welcher als Beispiele für einen Schaden eine Rufschädigung oder eine Diskriminierung  nennt. Hiervon lässt sich eine gewisse Erheblichkeitshürde ableiten, sodass bloße Bagatellschäden, sowie individuell empfundene Unannehmlichkeiten nicht ersatzfähig sind. Einen Bagatellschaden hat das Amtsgericht Diez (Urt. v. 07.11.2018, Az.: 8 C 130/18) bspw. bei einer unerlaubten E-Mail-Werbung angenommen. Es handelte sich lediglich um eine E-Mail, welche nach Ansicht des Gerichts keinen spürbaren Nachteil, sondern nur eine Unannehmlichkeit für den Empfänger darstellte. Ob bei mehrfachen Bagatellschäden desselben Betroffenen ausnahmsweise ein Schadensersatz gewährt werden kann, ist aufgrund der geringen Anzahl an deutschen Urteilen bisher noch ungeklärt.

Höhe des Schadensersatzes

Die Bezifferung der Schadenshöhe orientiert sich an der Genugtuungs- und Abschreckungsfunktion des Schmerzensgeldes und steht mithin im Ermessen der Gerichte. Auf diesem Wege soll ebenfalls erreicht werden, künftigen Datenschutzverstößen entgegenzuwirken.

Kausalität und Beweislast

Art. 82 Abs. 1 DS-GVO fordert eine gewisse Kausalität zwischen dem Datenschutzverstoß und dem entstandenen Schaden. Der Schaden muss gerade wegen des Verstoßes gegen die DS-GVO entstanden sein. Folglich wird eine hinreichende Kausalität verlangt. Dem schließen sich auch deutsche Gerichte an.

Im Unionsrecht fehlen allgemeine Bestimmungen zur Beweislastregelung, sodass in den konkreten Fällen auf das nationale Recht zurückgegriffen werden muss. Im deutschen Recht ist derweil noch umstritten, welche Beweislastregeln gelten sollen.

Teilweise wird vertreten, dass aus der Rechenschaftspflicht des Verantwortlichen aus Art. 5 Abs. 2 DS-GVO und den Nachweispflichten des Verantwortlichen aus Art. 24 Abs. 1 DS-GVO eine weitgehende Beweislastumkehr zulasten des Verantwortlichen folgt, sodass der Verantwortliche das Nichtvorliegen des Datenschutzverstoßes belegen muss.

Die Gegenansicht zieht die  heran, sodass jede Partei die Beweislast für ihre Behauptungen trägt. Jedoch wird gem. Art. 82 Abs. 3 DS-GVO ein Verschulden des Verantwortlichen widerlegbar vermutet. Daraus folgt, dass der Verantwortliche von einer Haftung nur befreit ist, sofern er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist. Als Beispiel für die bisherige deutsche Rechtsprechung folgt das LG Karlsruhe (Urt. v. 02.08.2019, Az.: 8 O 26/19) letztgenannter Ansicht und zieht die zivilprozessualen Regeln heran, sodass der Betroffene grundsätzlich die Beweislast für den haftungsbegründenden Tatbestand trägt, das Verschulden des Verantwortlichen jedoch nach Art. 82 Abs. 3 DS-GVO vermutet wird.

Beide Ansätze stellen einen großen Unterschied zum Schadensersatzanspruch nach dem BDSG a.F. dar, wonach keine Verschuldensvermutung zulasten des Verantwortlichen galt. In der Vergangenheit war es schwer für Geschädigte, das Vorliegen des haftungsbegründenden Tatbestands hinreichend belegen zu können.  Mithin scheiterten die Ansprüche auf immateriellen Schadensersatz meist aufgrund der Beweislastregeln.

Fazit

Innerhalb der EU findet derweil keine einheitliche Anwendung des Art. 82 Abs. 1 DS-GVO statt, da der Begriff des immateriellen Schadens unterschiedlich weit ausgelegt wird. Vor allem die deutsche Rechtsprechung verwendet entgegen des Wortlauts des Erwägungsgrundes 146 der DS-GVO (weite Auslegung) eine enge Auslegung des immateriellen Schadensbegriffs. Deutsche Gerichte fordern bisher einen spürbaren Persönlichkeitsrechtsverstoß, der weit über eine Bagatelle hinausgeht. Zudem bestehen unterschiedliche Ansichten bezüglich der Beweislast.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Ist die Arbeit im Home Office mit den strengen Regeln der DS-GVO vereinbar? Wir erklären, was aus datenschutzrechtlicher Sicht zu beachten ist.

DATENSCHUTZ IM HOME OFFICE

Einleitung

Aufgrund der andauernden Corona-Pandemie verschlägt es immer mehr Arbeitnehmer ins Home Office. Viele Unternehmen ermöglichen ihren Arbeitnehmern bereits seit Mitte März ihre Arbeit von zuhause aus zu verrichten. Dies führte zu einer plötzlichen Digitalisierung der Arbeitsplätze ohne jegliche Vorlaufzeit. Etliche Unternehmen hatten nicht genügend Zeit, um sich auf die Heimarbeit ihrer Angestellten vorzubereiten und technische Maßnahmen für einen reibungslosen Ablauf bereitzustellen. Da die Arbeit von zuhause aus jedoch wegen der Verringerung des Infektionsrisikos enorm wichtig ist, geschah dies quasi von einem auf den anderen Tag. Es war und ist vor allem für Betriebe, die vorher noch keinerlei Erfahrung mit Heimarbeit hatten und bei denen die Arbeit aus dem Home Office eher unüblich war, eine große Umstellung.

In Zeiten wie diesen wird der Gesundheitsschutz großgeschrieben, dennoch darf der Datenschutz nicht völlig vernachlässigt werden. Es muss sich auch weiterhin an die Vorschriften der Datenschutz-Grundverordnung (DS-GVO) gehalten werden, auch wenn dies vor allem zu Anfang schwierig erscheint, gerade weil viele Unternehmen vorher nicht auf Heimarbeit ausgerichtet waren. Um den Datenschutz auch jetzt gewährleisten zu können, müssen Arbeitgeber nun dafür Sorge tragen, dass entsprechende Maßnahmen getroffen werden, um die Heimarbeit sicher zu gestalten.

Umsetzung vom Home Office

Eine generelle Pflicht des Arbeitnehmers, im Home Office zu arbeiten, gibt es nicht. Der Arbeitgeber kann seine Arbeitnehmer nur dann anweisen Heimarbeit zu leisten, wenn sie dies individualvertraglich vereinbart haben oder es in einem Tarifvertrag oder einer Betriebsvereinbarung ausdrücklich geregelt ist. Sofern es an solch einer Regelung fehlt, bedarf es stets der Zustimmung des Arbeitnehmers.

Viele Unternehmen haben nun wegen des Gesundheitsschutzes weitestgehend auf Heimarbeit umgestellt und deshalb auf Home Office-Vereinbarungen und -Richtlinien zurückgegriffen, häufig in Form von Zusätzen zu den Arbeitsverträgen oder als Betriebsvereinbarungen. In den Vereinbarungen wird in der Regel der Ablauf der Heimarbeit festgelegt, um den arbeitsrechtlichen und datenschutzrechtlichen Anforderungen zu entsprechen. Zudem werden die Arbeitnehmer über neue Pflichten in Bezug auf den Datenschutz informiert.

Datenschutz im Home Office

Die Arbeit aus dem Home Office birgt einige Risiken für den Schutz personenbezogener Daten, insbesondere für Vertraulichkeit, Integrität und ggf. auch Verfügbarkeit. Unter normalen Umständen, wenn im Büro gearbeitet wird, hat der Arbeitgeber die Kontrolle über die Datenverarbeitung. Sobald die Beschäftigten zuhause arbeiten, besteht jedoch häufig keine unmittelbare Kontroll- und Zugriffmöglichkeit des Arbeitgebers auf die jeweiligen Daten und deren Verarbeitung, sowie die IT-Sicherheit im Allgemeinen. Dies ist insbesondere dann der Fall, wenn die Heimarbeit nicht ausschließlich über Firmen-Endgeräte und per VPN (Virtual Private Network) des Unternehmens erfolgt.

Um den Schutz der personenbezogenen Daten zu gewährleisten, sind technische und organisatorische Maßnahmen vom Arbeitgeber zu treffen. Es sollen vor allem die Übertragungswege gesichert und Daten verschlüsselt werden. Zudem sollen den Arbeitnehmern klare Vorgaben zur Nutzung von eventuell bereitgestellten Endgeräten (wie Laptops) und zur Einrichtung des häuslichen Arbeitsplatzes gegeben werden. Dies geschieht meist über Online-Schulungen und/oder die jeweiligen Home Office-Richtlinien.

Sofern möglich, statten die Unternehmen ihre Angestellten mit Firmen-Hardware aus, die von der jeweiligen IT-Abteilung datenschutzkonform eingerichtet und abgesichert wurde. Indem Laptops und Handys vom Arbeitgeber zur Verfügung gestellt werden, können zumindest die technischen Datenschutzvorgaben und ggf. auch die IT-Sicherheit gewährleistet werden, insbesondere in Bezug auf Zugriffsbeschränkungen und Löschregeln. Da manche Unternehmen aufgrund der kurzen Zeit nicht über genügend Firmen-Hardware verfügen, kann es den Arbeitnehmern auch gestattet sein, ihre eigenen Endgeräte für die Arbeit zu nutzen. Das sind dann Fälle des BYOD (bring your own device). Die Nutzung von eigener Hardware darf aber nur in Absprache mit dem Arbeitgeber erfolgen.  

Damit der Arbeitsplatz zuhause sicher ist, sollte eine VPN-Verbindung zum Firmennetzwerk bestehen (am besten noch mit anschließender Zwei-Faktor-Authentifizierung). Des Weiteren ist darauf zu achten, dass eine sichere (passwortgeschützte) WLAN-Verbindung genutzt wird und eine intakte Firewall besteht. Zudem sollten Passwörter verwendet werden, um den Zugriff von Dritten auf die Arbeitsmaterialien zu verhindern. Unter Dritten sind auch und vor allem Personen aus dem eigenen Haushalt zu verstehen.

Darüber hinaus ist darauf zu achten, dass, sofern Papierakten oder Papierdokumente genutzt werden, diese nach der Arbeit und auch in Pausen sicher weggeschlossen werden, um einen Zugriff von Seiten Dritter zu vermeiden. Die Entsorgung von den Papierdokumenten sollte sodann auch nicht im Hausmüll erfolgen.  

Video-Konferenzen und Datenschutz

Viele Unternehmen nutzen Video-Konferenzen, damit Meetings und Besprechungen auch im Home Office stattfinden können. Der Arbeitsalltag soll so „normal“ wie möglich sein. Da in den jeweiligen Konferenzen häufig die Bildschirme gespiegelt und personenbezogene Daten geteilt werden sowie ggf. auch über Betriebsgeheimnisse gesprochen wird, stellt sich die Frage, was bei Video-Konferenzen datenschutzrechtlich zu beachten ist.

Es ist zunächst bei der Auswahl des Anbieters darauf zu achten, wo dieser seinen Sitz hat. Es sollten möglichst Dienstleister aus der EU/dem EWR in Anspruch genommen werden, da diese den Vorschriften der DS-GVO unmittelbar unterliegen. Anbieter mit Sitz in einem Drittland dürfen die Daten nur verarbeiten, sofern in dem jeweiligen Land ein angemessenes Schutzniveau gewährleistet ist (Art. 45 DS-GVO) oder geeignete Garantien bestehen (Art. 46 DS-GVO). Bei der Auswahl sollten des Weiteren etwaige Business-Versionen der Video-Tools bevorzugt werden, da sie häufig über höhere Sicherheitsstandards verfügen.

Sobald die Auswahl auf einen Anbieter bzw. eine Software gefallen ist, sollte darauf geachtet werden, dass zusätzlich technische und organisatorische Maßnahmen zum Schutz der Daten getroffen werden. Es sollte bspw. sichergestellt sein, dass das Programm die gesendeten Daten auch verschlüsselt übermittelt. Zudem sind in dem jeweiligen Programm ggf. die Datenschutzeinstellungen nochmal manuell zu konfigurieren, um einen umfassenden Schutz der personenbezogenen Daten zu gewährleisten. Die Vorabeinstellungen sind nicht immer die datenschutzfreundlichsten. Es ist hierbei insbesondere sicherzustellen, dass übermittelte Dateien und Videomitschnitte nach einem festen Zeitraum gelöscht werden.

Des Weiteren ist zu beachten, dass Einladungen zu Video-Konferenzen nur an die Personen, bzw. Mitarbeiter gehen, die auch die nötige Freigabe für die zu besprechenden Themen und Inhalte haben. Während der Video-Konferenz sollten die Teilnehmer zudem darauf achten, möglichst vor einem neutralen Hintergrund zu sitzen, damit nicht mehr Informationen und Daten als nötig geteilt werden. Um dies zu verhindern gibt es bei manchen Softwares auch die Möglichkeit, während der Video-Konferenz den Hintergrund verschwimmen zu lassen. Die Beteiligten der Video-Konferenz sind außerdem stets darüber zu informieren, wenn Teile oder auch die ganze Sitzung mitgeschnitten wird.

Fazit

Es ist festzuhalten, dass viele Unternehmen nicht darauf ausgerichtet waren, die Arbeitsplätze der Beschäftigten zu digitalisieren, schon gar nicht in solch einer kurzen Zeit. Inzwischen hat sich die anfängliche Aufregung um die plötzliche Umstellung ins Home Office wieder etwas gelegt; dies ist vor allem darauf zurückzuführen, dass viele Unternehmen schnell gehandelt haben, indem sie Home Office-Vereinbarungen mit ihren Arbeitnehmern getroffen haben, die nun für Rechtssicherheit sorgen. Es lag an den Arbeitgebern auch weiterhin für einen ausreichenden Datenschutz zu sorgen und den Regeln der DS-GVO gerecht zu werden. Arbeitgeber und Arbeitnehmer unterliegen demnach den Pflichten, personenbezogene Daten auch bei der Heimarbeit vertraulich zu behandeln, indem der Zugriff von Dritten verhindert wird, sowie Verschlüsselungen und Passwörter genutzt werden.

Bei Video-Konferenzen ist ganz besonders darauf zu achten, dass der Datenschutz gewahrt wird. Es ist wichtig, sich vor der Nutzung der jeweiligen Software darüber zu informieren, in welchem Land der Anbieter seinen Sitz hat. Dies entscheidend darüber, ob der Dienstleister unmittelbar an die Vorschriften der DS-GVO gebunden ist oder nicht. Zudem sind die Vorabeinstellungen der Video-Tools genauestens zu prüfen: Daten sollten verschlüsselt übermittelt werden und es sollten feste Löschzeiträume vorliegen.

 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Im Folgenden beleuchten wir die beiden Datenschutzkonzepte und ihre Auswirkungen auf das Gewährleistungsrecht.

Privacy by design und privacy by default

Einleitung

Die Grundsätze Privacy by Design und Privacy by Default sind in Art. 25 Abs. 1 und 2 DS-GVO verankert. Sie verpflichten die Verantwortlichen zu Datenschutz durch Technikgestaltung bzw. zu datenschutzfreundlichen Voreinstellungen. Verantwortliche sollen geeignete technische und organisatorische Maßnahmen (TOMs) treffen, die darauf ausgelegt sind, die Datenschutzgrundsätze wirksam umzusetzen und um sicherzustellen, dass durch Voreinstellungen einer Software grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind, verarbeitet werden. Mit den genannten Datenschutzgrundsätzen ist bspw. die Datenminimierung gem. Art. 5 Abs. 1 lit. c DS-GVO gemeint, die vorschreibt, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen.

Regelung vor Einführung der DS-GVO

Das Konzept des Privacy by Design war dem Datenschutzrecht schon vor der Einführung der DS-GVO geläufig; es war bereits in Art. 17 der Richtlinie 95/46/EG (Datenschutzrichtlinie) angelegt, welcher die Verpflichtung enthielt, geeignete technische und organisatorische Maßnahmen zu ergreifen, die zum Schutz gegen eine unrechtmäßige Verarbeitung erforderlich sind. Art. 25 DS-GVO präzisiert dies und führt eine Rechtspflicht mit echter Verpflichtungsqualität ein. Demnach können die Aufsichtsbehörden über Art. 58 Abs. 2 lit. d DS-GVO die Einhaltung und Umsetzung anordnen und den Verantwortlichen kann im Fall eines Verstoßes ein Bußgeld treffen.

Pflichteninhalt des Art. 25 DS-GVO

Normadressat

Durch die Verpflichtungen des Art. 25 DS-GVO wird ausschließlich der Verantwortliche adressiert. Verantwortlicher ist im Sinne des Art. 4 Abs. 1 Nr. 7 DS-GVO diejenige Stelle, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Die Hersteller von Produkten, Diensten und Anwendungen sind also nicht unmittelbar von der Pflicht zum Datenschutz durch Technikgestaltung betroffen. Gleichsam liegt dem Art. 25 DS-GVO jedoch der Gedanke zugrunde, dass die unmittelbare Verpflichtung des Verantwortlichen zu einer Nachfrage beim Hersteller nach datenschutzrechtlich zulässigen Produkten führt und die Regelungen des Art. 25 DS-GVO so auch mittelbar auf die Hersteller ausstrahlen.

Inhalt der Verpflichtungen

Datenschutz durch Technikgestaltung (Privacy by Design) ist präventiv ausgerichtet und betrachtet Technik nicht nur als Regelungsgegenstand des Datenschutzes, sondern vielmehr als potenzielles Durchsetzungswerkzeug, indem die Vorgaben des Datenschutzes bereits in die Programmierung und Konzeption von Datenverarbeitungsvorgängen eingebunden und schließlich berücksichtigt werden. So hat der Verpflichtete bereits bei der Produktentwicklung, der Einführung von Systemen und der Gestaltung von Prozessen geeignete technischen und organisatorischen Maßnahmen vorzusehen, um die Datenschutzgrundsätze (bspw. Datenminimierung oder Transparenz) umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen. Technische Maßnahmen sind in diesem Zusammenhang sowohl physische Vorkehrungen, die sich auf den Vorgang der Datenverarbeitung erstrecken (bspw. bauliche Maßnahmen, um den Zutritt Unbefugter zu verhindern) als auch Vorkehrungen, die den Software- und Hardwareprozess der Verarbeitung datenschutzkonform ausgestalten. Organisatorische Maßnahmen hingegen umfassen hauptsächlich äußere Rahmenbedingungen des technischen Verarbeitungsprozesses. Zum Privacy by Design zählen demnach Maßnahmen wie Pseudonymisierung und Anonymisierung, bei denen personenbezogene Identifikationsmerkmale von Inhaltsdaten getrennt werden. Darüber hinaus ist auch die systemseitige Gewährleistung erfasst, nach der bereits erhobene personenbezogene Daten schnellstmöglich wieder gelöscht werden. Art. 25 DS-GVO zielt ebenfalls darauf ab, dass eine technische Umsetzung des Widerspruchsrechts realisiert wird, sodass der Betroffene seinen Widerspruch mittels automatisierter Verfahren ausüben kann.

Datenschutz durch datenschutzfreundliche Voreinstellungen (Privacy by Default) ist so umzusetzen, dass anhand von Standardeinstellungen grundsätzlich nur personenbezogene Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind. Um dem gerecht zu werden, muss das System in seinen Grundeinstellungen so eingerichtet und konfiguriert sein, dass ein datenschutzkonformes Arbeiten ermöglicht wird. Für den Hersteller bedeutet dies, dass die Produkte so zur Verfügung gestellt werden müssen, dass datenschutzfreundliche Einstellungen bereits eingepflegt und nachvollziehbar dokumentiert sind.

Mögliche Konsequenzen für das Gewährleistungsrecht

Durch die verbindlichen Verpflichtungen des Art. 25 DS-GVO tritt nun noch dringender als zuvor die Frage auf, ob ein Softwareprodukt, das den Grundsätzen des Datenschutzrechts nicht genügt, mit einem Sachmangel behaftet ist und Gewährleistungsansprüche auslöst. Abhängig davon, ob sich der Vertragsinhalt auf die dauerhafte Überlassung von Standardsoftware ohne Anpassungsarbeiten oder die Erstellung von Individualsoftware mit einem konkreten Funktionsumfang bezieht, handelt es sich entweder um einen Kaufvertrag (§ 433 BGB) oder einen Werkvertrag (§ 631 BGB). Damit Gewährleistungsrechte ausgelöst werden, bedarf es stets eines Sachmangels. Dieser liegt gem. §§ 434, 633 BGB grundsätzlich vor, wenn die Ist-Beschaffenheit des Produkts negativ von seiner Soll-Beschaffenheit abweicht.

§ 434 Abs. 1 S. 1, 633 Abs. 2 S. 1 BGB: Vereinbarte Beschaffenheit

Eine Beschaffenheitsvereinbarung der Parteien gem. §§ 434 Abs. 1 S. 1, 633 Abs. 2 S. 1 BGB wäre gegeben, wenn die Parteien sich ausdrücklich vertraglich darüber einigen, welche personenbezogenen Daten in welcher Weise über die Software verarbeitet werden sollen und dass die Software den datenschutzrechtlichen Vorgaben genügen soll. Fehlt es der Software sodann an der Erfüllung dieser datenschutzrechtlichen Voraussetzungen, liegt zwar ein Sachmangel vor, dieser ergibt sich aber nicht unmittelbar aus der Ausstrahlungswirkung des Art. 25 DS-GVO, sondern maßgeblich aus der parteilich vereinbarten Beschaffenheit.

§ 434 Abs. 1 S. 2 Nr. 1, 633 Abs. 2 S. 2 Nr. 1 BGB: Eignung der Sache zur vertragsgemäßen Verwendung

Ein Mangel liegt nach dem subjektiven Fehlerbegriff der §§ 434 Abs. 1 S. 2 Nr. 1, 633 Abs. 2 S. 2 Nr. 1 BGB auch dann vor, wenn sich die Software nicht für die nach dem Vertrag vorausgesetzte Verwendung eignet. In diesem Zusammenhang kann auch die fehlende Einhaltung von gesetzlichen Ge- oder Verboten durch den Vertragsgegenstand die vertraglich vorausgesetzte Verwendung entfallen lassen. Dieser Grundsatz wurde vom Oberlandesgericht Hamm (OLG Hamm, Urt. v. 14.11.1994, Az. 31 U 105/94) bereits auch auf Softwareprodukte übertragen, sodass ein Softwareprodukt auch dann mangelhaft sein kann, wenn es grundsätzlich funktionsfähig ist, aber nicht die gesetzlichen Anforderungen erfüllt. Dies wird nach überwiegender Auffassung jedoch dahingehend wieder eingeschränkt, dass die Parteien die konkrete Verwendung zur Datenverarbeitung in der Vertragsverhandlung hätten erwähnen müssen, damit die gesetzlichen Anforderungen des Datenschutzrechts für den Anbieter erkennbar sind.

§ 434 Abs. 1 S. 2 Nr. 2, 633 Abs. 2 Nr. 2 BGB: Übliche Beschaffenheit

Ein Sachmangel ist zudem gegeben, wenn das Produkt nicht die übliche vertragliche Beschaffenheit aufweist. Hiervon können auch die rechtlichen Vorgaben des Datenschutzrechts erfasst sein. Werden diese Vorgaben von der Software nicht realisiert, entfällt die Eignung für den gewöhnlichen Gebrauch. Die vorausgesetzte Verwendung zur Verarbeitung von personenbezogenen Daten muss sich aber aus dem Vertrag ergeben, sodass ein Sachmangel wohl nur dann vorliegt, wenn die Software ihrer Funktionsweise nach gerade auf die Verarbeitung personenbezogener Daten angelegt ist.

Fazit

Privacy by Design und Privacy by Default stellen Maßnahmen dar, die darauf ausgerichtet sind, personenbezogene Daten der Betroffen zu schützen und dies durch zeitlich vorhergehende Vorkehrungen zu gewährleisten. Die jeweilige Technik oder Software soll so gestaltet sein, dass es von vornherein zu weniger Datenschutzverstößen kommt und die Voreinstellungen der jeweiligen Software bereits datenschutzfreundlich sind. Letzteres soll vor allem dazu beitragen, dass auch die Daten von technikunerfahrenen Nutzern geschützt sind, ohne dass diese eigenhändig Einstellungen zum Schutz ihrer Daten treffen müssen.  

Eine Software, die nach der vertraglich vorausgesetzten Verwendung oder der gewöhnlichen Beschaffenheit zur Verarbeitung personenbezogener Daten genutzt wird und erkennbar von einem datenschutzrechtlich Verantwortlichen erworben wird, muss den Anforderungen des Art. 25 DS-GVO entsprechen. Damit wird über den Umweg der vertraglichen Leistungspflicht die Verpflichtung indirekt auch auf Hersteller ausgeweitet. Bei einem Softwareerwerb könnten nun durch einen Verstoß gegen die Prinzipien des Art. 25 DS-GVO Gewährleistungsrechte ausgelöst werden. Es kann jedoch nicht pauschal gesagt werden, dass das Gewährleistungsrecht auf datenschutzrechtliche Verstöße bei Softwareprodukten Anwendung findet. Es kommt gezielt darauf an, ob der Software ein Sachmangel innewohnt. Dies muss sodann im Einzelfall anhand der konkreten vertraglichen Ausgestaltung und der jeweiligen Software geprüft werden.

 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Datenschutz für personenbezogene Daten wird auch auch weiterhin in den USA eher lasch behandelt. Gelten hier noch Standardklauseln?

Vorlagefragen beim EuGH
(Az. C-311/18) – Zulässigkeit von Standardvertragsklauseln

 

Einleitung

Als das Safe-Harbor-Abkommen vom EuGH gekippt wurde, behauptete die im Fall beklagte Facebook Inc., dass sie sich in Bezug auf den Datentransfer mit den USA auf sogenannte Standardvertragsklauseln (standard contractual clauses – SCC) im Sinne der Richtlinie 95/46/EG stütze. Daraufhin reichte der aus der Rechtssache C-362/14 (Safe-Harbor) bekannte österreichische Datenschützer Maximilian Schrems erneut Beschwerde beim irischen Datenschutzbeauftragten (Data Protection Commissioner – DPC) ein, woraufhin die irische Datenschutzbehörde Klage gegen denselben und Facebook Inc. beim Irischen High Court einreichte. Dieser wiederum rief am 29. Juni 2018 den EuGH an, um Antworten auf seine Vorlagefragen zu erbitten.

Die Vorlagefragen sind unter der Rechtssache C-311/18 auf der Seite des EuGH vorzufinden. Gegenstand ist zum einen die Zulässigkeit von Standardvertragsklauseln unter Zugrundelegung europäischer Rechtsnormen und zum anderen unter welchen Gesichtspunkten diese zu beurteilen ist. Diesbezüglich hat der Generalwalt des EuGH eine Stellungname am 19. Dezember 2019 veröffentlicht.

Einschätzung des Generalanwalts

Der Generalanwalt hat festgestellt, dass gegen die Verwendung von Standardvertragsklauseln grundsätzlich keine Bedenken bestehen. Das Verwenden von Standardvertragsklauseln wurde durch die Richtlinie 95/46/EG ermöglicht und durch den Beschluss 2010/87 der EU-Kommission genauer festgelegt. Auch die mittlerweile in Kraft getretene Verordnung 2016/679 (DS-GVO) sieht gemäß Art. 46 Abs. 2 lit. d) DS-GVO die Verwendung von Standardvertragsklauseln vor. Dort heißen sie jedoch nun Standarddatenschutzklauseln. Sie bestehen aus einem Set I und einem Set II. Unabhängig davon muss Facebook den Anforderungskatalog aus Art. 28 DS-GVO einhalten, da Facebook Ireland als Auftragsverarbeiter für Facebook Inc. fungiert.

Demnach folgt bereits aus Art. 1 des Beschlusses 2010/87, dass die Verwendung der im Anhang gelisteten Standardvertragsklauseln als „angemessene Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten von Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte nach Artikel 26 Abs. 2 der Richtlinie 95/46/EG gelten.“

Allerdings betont der Generalanwalt, dass es gemäß Art. 58 DS-GVO Aufgabe der jeweiligen nationalen Datenschutzbehörde ist, zu prüfen, ob sich ein Unternehmen im Einzelfall an die vereinbarten Standardvertragsklauseln hält und gegebenenfalls Maßnahmen zu ergreifen (Rn. 21 der Stellungnahme).

Folgt der EuGH der Ansicht des Generalanwalts nicht, muss die Kommission neue Standarddatenschutzklauseln erlassen.

Sollte der EuGH hingegen der Ansicht des Generalanwalts Folge leisten, ist die Beurteilung, ob Facebook Ireland Ltd. die in Europa gesammelten Daten an das in den USA ansässige Mutterunternehmen Facebook Inc. weiterleiten darf, von der Einschätzung der irischen Datenschutzbehörde abhängig.

Trotz erheblicher Kritik und Zweifeln an der DS-GVO-Konformität, kann die irische Datenschutzbehörde die Standarddatenschutzklauseln für zulässig erklären, sodass sich letztlich nichts an der Wirksamkeit des Datentransfers von Facebook in die USA ändern würde.

Diese Kritik und besonders die Bestimmungen der nach dem Safe-Harbor-Urteil in Kraft getretenen DS-GVO sollte der EuGH in seiner Entscheidung berücksichtigen.

Kritikpunkte

Die Übermittlung der personenbezogenen Daten von Facebook Ireland Ltd. an das Mutterunternehmen Facebook Inc. soll nur dieses berechtigen, diese Daten zu verarbeiten. Dass das in der Praxis so geschieht, ist jedoch äußerst fraglich. Zum einen ist seit den Enthüllungen von Edward Snowden bekannt, dass der amerikanische Geheimdienst NSA durch sein Programm PRISM in erheblichem Ausmaß transatlantische Glasfaserkabel anzapft und sich so Zugang zu diesen Daten verschaffen kann. Zum anderen erlaubt das Privacy Shield-Abkommen – wie bereits zuvor das Safe-Harbor-Abkommen, dass sich amerikanische US-Sicherheitsbehörden im Rahmen des Patriot Acts ohne Benachrichtigung der Betroffenen sich Zugang zu den von amerikanischen Unternehmen verarbeiteten Daten verschaffen können. Diese Bedenken hat die US-Regierung nach der Safe-Harbor-Entscheidung versucht auszuräumen indem sie schriftlich zugesagt hat, dass eine Überwachung der EU-Daten durch staatliche Einrichtungen nur nach klaren Regelungen und Limitierungen erfolgen soll. Insbesondere soll die wahllose Massenüberwachung von Daten ein Ende haben. Um die Einhaltung dieser Vereinbarung zu kontrollieren, soll es eine jährliche Bestandsaufnahme geben. Aber lediglich eine Limitierung bedeutet auch, dass ein Zugriff durch US-Behörden weiterhin möglich ist und nicht, dass der Zugriff verboten ist.

Ebenso ist festzustellen, dass europäische Bürger weiterhin keine wirksame Handhabe gegen amerikanische Unternehmen bei Datenschutzpannen haben. Zwar gibt es eine Ombudsstelle an die sich Betroffene wenden können. Dies läuft jedoch ins Leere, da Betroffene mangels Informationspflichten gar nicht von der Überwachung ihrer Daten erfahren.

Seit März 2018 ist in den USA der so genannte „Cloud Act“ in Kraft. Dieser erlaubt US-Behörden den Zugriff auf Daten amerikanischer Internet-Firmen und IT-Dienstleister, sogar wenn sie ihre Daten außerhalb der USA speichern, zum Beispiel in der EU. Da gleichzeitig Art. 3 der DS-GVO festlegt, dass für die Verarbeitung von personenbezogenen Daten innerhalb der Union ausschließlich die Bestimmungen der DS-GVO gelten, geht es um die Frage, wie weit eine Rechtsordnung in das Hoheitsgebiet eines anderen Staates hineinragen darf.

Fazit

Es bleibt offen, ob dem Generalanwalt Tatsachen vorliegen, die eine tatsächliche Sicherheit des Datenverkehrs garantieren und die keinen Einzug in seine Stellungnahme gehalten haben, oder ob er schlichtweg ignoriert, dass der Datentransfer in die USA von amerikanischen Geheimdiensten kontinuierlich angezapft wird und das amerikanische Recht weiterhin einen eher laschen Umgang mit personenbezogenen Daten vorsieht.

Das letzte Wort hat jedoch der EuGH. Dieser folgt zwar oft den Empfehlungen seiner Generalanwälte, aber auch nicht immer. Eine umfassende Beurteilung der Standarddatenschutzklauseln sollte alle diese genannten Kritikpunkte berücksichtigen. Dass der EuGH jedoch nicht davor zurückschreckt, Urteile mit weitreichenden Konsequenzen für bestehende Rahmenverträge zu sprechen, hat er mit dem Safe-Harbor-Urteil bereits demonstriert.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Im Folgenden gehen wir darauf ein, inwieweit Windows mit den Regelungen der DS-GVO vereinbar ist.

Sicherheitsbedenken von Windows unter der DS-GVO

Einleitung

Bislang sind vor allem Facebook, Google und Amazon medientechnisch negativ aufgefallen, was den Umgang mit personenbezogenen Daten angeht. Eher unauffällig, aber nicht minder umfangreich, ist in der Hinsicht auch Microsoft, besonders mit seinem Betriebssystem Windows 10 und seiner Office-Suite, zu nennen. Dies ist auf den ersten Blick nicht jedem Anwender klar, da Microsoft seine Produkte gegen ein Entgelt anbietet, Google und Facebook hingegen „kostenlos“ sind. Dass Microsoft mittlerweile auch auf den Zug der Datensammler aufgesprungen ist, ist der neuen Vermarktungsstrategie des jüngsten Windows-Sprösslings Windows 10 geschuldet. Musste man für vergangene Windows-Versionen pro Lizenz noch mindestens 100€ bezahlen, war Windows 10 für Windows 7 und 8 Nutzer kostenlos.

Dies ist natürlich nicht einer plötzlichen aufkeimenden Wohltätermentalität seitens Microsofts zu verdanken, sondern die Ausnutzung einer Monopolstellung und dem immer größer werdenden Wert, der mit dem Sammeln von personenbezogenen Daten einhergeht. Dies ist der Tatsache geschuldet, dass Microsoft zum einen Pionier in der Betriebssystemsparte war, und sich somit frühzeitig im unternehmerischen und als Resultat dessen auch im privaten Bereich etablieren konnte, zum anderen konnten Konkurrenzprodukte nicht die gleiche Nutzerfreundlichkeit bieten wie Windows und Office.

Dass Microsoft bislang unter dem Schirm der medialen Aufmerksamkeit geblieben ist, kann sich jedoch nun ändern. Zwar war Windows 7 datenschutzrechtlich nicht unbedenklich, allerdings ist die Thematik des Datenschutzes erst mit Einführung der DS-GVO in den Fokus einer breiten Öffentlichkeit geraten. 

Microsoft hat schon vor einiger Zeit angekündigt, den Support von Windows 7 am 14. Januar 2020 einzustellen, so dass der Thematik Ende 2019 eine neue Brisanz zuteilkommt, da immer noch zahlreiche Behörden und Großunternehmen auf Windows 7 setzen. Damit wird nach dem Supportende von Windows 7 die Einhaltung der von der DS-GVO verlangten technischen und organisatorischen Maßnahmen schwierig nachzuweisen sein.

Bereits 2017, und somit vor Anwendungsbeginn der DS-GVO, hat die niederländische Datenschutzaufsichtsbehörde AP kritisiert, dass Microsoft die Nutzer von Windows 10 Home und Windows 10 Pro nicht klar genug darüber informiert, welche Daten für welchen Zweck erfasst und ausgewertet werden. Seitdem hat sich nicht viel getan wie dem Abschlussbericht des niederländischen Justizministeriums vom 13. November 2019 zu entnehmen ist.

Neben Windows 10 Home und Windows 10 Pro bietet Microsoft noch die teurere Version Windows 10 Enterprise an. Diese hat die niederländische Datenschutzaufsichtsbehörde explizit nicht bemängelt, da sie nur über minimale Datenübermittlung an Microsoft verfügt, aber komplett lässt sich diese auch da nicht ausschalten.

Umstellung auf Servicekonzept

Das Etablieren der neuen Vermarktungsstrategie im Rahmen der Einführung von Windows 10 hatte eine Abkehr von der bisherigen Praxis der Lizenzpolitik und Etablierung eines Servicekonzepts zur Folge, indem Microsoft nicht mehr alle paar Jahre ein neues Windows veröffentlichte, sondern seit Windows 10 dieses immer wieder „rundumerneuert“. Somit ist Windows 10 nicht gleich Windows 10. Neben unterschiedlichen Editionen für unterschiedliche Zielgruppen (S, Education, Home, Pro, Enterprise) gibt es von jeder Edition unterschiedliche Versionen (1507, 1511, 1607, 1703, 1709, 1803, 1809, 1903, 1909). Keine funktionstechnischen Unterschiede gibt es zwischen den 32- und 64-bit-Architekturen. Diese Versionen sind das Resultat von „Funktionsupdates“ die ca. zwei Mal pro Jahr kostenlos von Microsoft zur Verfügung gestellt werden und neue Funktionen anbieten, aber auch sicherheitsrelevante Updates beinhalten. Zusätzlich erscheinen jenen Monat kleine Updates, die meist Sicherheitslücken beheben. Zu beachten ist, dass diese großen „Funktionsupdates“ zur Folge haben können, dass sicherheitsrelevante Einstellungen im Betriebssystem verloren gehen und neu aktiviert werden müssen oder aber auch die Systemintegrität durch neue Funktionen beeinträchtigt wird. 

Kritikpunkte 

Konkret wirft das niederländische Justizministerium Microsoft vor, dass nicht ohne weiteres ersichtlich ist, welche Daten erhoben werden und weshalb, was den Grundsätzen des Art. 5 DS-GVO zuwiderläuft. Nur durch Eigeninitiative (siehe unten MS Diagnostic Data Viewer) ist erkennbar, dass der Datentransfer etwa Informationen über persönliche Daten zur Softwareinstallation, mithilfe des Webbrowsers Edge besuchten Webseiten, Suchanfragen an Bing und sogar die Klickpfade der Office-Produkte umfasst. Abgesehen davon, geschieht dieser Datentransfer im Hintergrund, ohne dass der Anwender dies einfach überprüfen und komplett unterbinden könnte.

Als in den USA ansässiges Unternehmen finden auf Microsoft die Art. 44 ff. DS-GVO Anwendung. Mit dem Privacy Shield existiert ein Angemessenheitsbeschluss gemäß Art. 45 Abs. 3 DS-GVO, der die Übermittlung der Daten in die USA rechtfertigt. Allerdings ist zu beachten, dass gegen den Privacy Shield ein Verfahren vor dem Europäischen Gerichtshof anhängig ist (Az. C-311/18), so dass eine Rechtmäßigkeit in Zukunft eventuell einer neuerlichen Überprüfung bedarf.

Nutzung in Behörden

Besonders bedenklich ist, dass Windows 10 nicht nur in privaten Haushalten genutzt wird, sondern ebenfalls in Behörden, Krankenhäusern und Unternehmen verbreitet ist.

In einer vom Bundesinnenministerium in Auftrag gegebenen Studie des Beratungsunternehmens PwC Strategy& zur Software-Nutzung in der Bundesverwaltung wurde eine starke Abhängigkeit von Microsoft-Produkten festgestellt. Diese Abhängigkeit resultiert in einer Gefährdung der digitalen Souveränität des Staates. Zwar gewährt Microsoft hohe Rabatte beim Kauf von Volumenlizenzen, kann diese Praxis aber jederzeit ändern. Durch die Einführung von monatlichen Abonnements, zum Beispiel Office 365, erhöht Microsoft bereits seine Einflussmöglichkeiten auf die Preispolitik. 

Typisch in der Bundesverwaltung ist die Verwendung von Outlook, Exchange mit Windows und auch noch Windows Server als Basis der zugrundeliegenden Serverinfrastruktur. Da Microsoft keine offenen Schnittstellen zur Verfügung stellt, ist ein Austauschen eines Produkts aus dieser Anwendungskette nicht ohne weiteres möglich.

Zusätzlich ist dies auch kaum gewollt, da ein Großteil des Personals der Bundesverwaltung Microsoft Office und Windows nicht nur im Arbeitsalltag, sondern auch im privaten Umfeld nutzt und somit über entsprechende Fähigkeiten und Fachwissen verfügt. Auch würde der Umstieg auf eine andere Software einen erheblichen Schulungsaufwand mit sich bringen. 

Lösungsansätze

Welche Möglichkeiten gibt es dann Windows 10 weiter zu nutzen und trotzdem die DS-GVO-Konformität zu wahren? Mit dieser Frage hat sich die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) beschäftigt. Dazu hat sie am 6. November 2019 ein spezielles Prüfschema zur Anwendung von Windows 10 erstellt: Link Prüfschema

Beibehalten von Windows 

Als Quintessenz lässt sich vorab feststellen, dass zwar die Übermittlung von Daten an Microsoft in bislang keiner Edition und Version durch eine Änderung der Konfigurationseinstellungen komplett abgestellt werden kann und sich das Kommunikationsverhalten und die Konfigurationsmöglichkeiten von Windows 10 mit neuen Versionen ändern können. Allerdings ist nach gründlicher vorangegangener Prüfung eine datenschutzkonforme Verwendung von Windows 10 möglich.

Wie bei jeder Prüfung von Geschäftsprozessen, bei denen personenbezogene Daten verwendet werden, ist dabei folgendes Schema anzuwenden:

  1. Beschreibung des Geschäftsprozesses / der Verarbeitungstätigkeit (Art, Umfang, Umstände und Zwecke der Verarbeitung)
  2. Ermittlung der an Microsoft übermittelten personenbezogenen Daten mit dem Tool MS Diagnostic Data Viewer, welches kostenlos über den Microsoft-eigenen AppStore bezogen werden kann.
  3. Anschließend kann abgeglichen werden, ob die Übermittlung rechtmäßig im Sinne des Art. 6 Abs. 1 S.1 DS-GVO erfolgt oder ob gegebenenfalls Anpassungen an der Konfiguration vorgenommen werden müssen.

Mithilfe dieses Prozederes kann die Integrität der geeigneten technischen und organisatorischen Maßnahmen nach den Bestimmungen der DS-GVO gewährleistet werden. Allerdings ist dies mit nicht unerheblichem Aufwand verbunden, da das Tool MS Diagnostic Data Viewer Einarbeitungszeit erfordert und aufgrund der regelmäßigen Updates von Windows 10 eine kontinuierliche Überprüfung notwendig ist. Natürlich geht es auch pragmatischer – wenn der Rechner keinen Internetzugang braucht, kann man einfach den (Netzwerk-) Stecker ziehen.

Abkehr von Microsoft

Wem das zu viel Aufwand ist und / oder die Lizenzkosten an Microsoft nicht mehr erbringen möchte, kann natürlich auch komplett die Systemarchitektur wechseln und auf Microsoft-Produkte verzichten. Die Frage einer möglichen Abkehr von Microsoft mag aufgrund des riesigen Aufwands unbequem erscheinen, könnte jedoch auf lange Sicht gesehen eine ernsthafte Alternative darstellen. Das beste Datenschutzgesetz nützt nichts, wenn aufgrund unsicherer bzw. anfälliger Infrastruktur jegliche Datenschutzbestimmungen ins Leere laufen. Übergangsweise ließe sich auch ein paralleler Betrieb von Linux-Systemen und Windows betreiben. Zudem ist Linux in der Lage eine Windows-Umgebung zu emulieren (zum Beispiel mit der Laufzeitumgebung Wine). Auch lassen sich mit LibreOffice (früher OpenOffice) Word-Dateien öffnen.

Diesbezüglich gab es in der Bundesrepublik bereits mehr oder weniger erfolgreiche Bemühungen. Die Kommunalverwaltungen Mannheim und München sowie die Niedersächsische Polizei und Finanzverwaltung haben ihren begonnen Umstieg auf Linux-Distributionen wieder rückgängig gemacht und sind zurück zu Windows gewechselt. Hingegen wird Linux erfolgreich in den Bremer Schulen angewandt. 

Ähnliche Bemühungen laufen in Frankreich, Großbritannien und Spanien. In Italien wurde sogar ein verpflichtendes Gesetz zur Nutzung von Open-Source-Software erlassen.

Fazit

Diese Maßnahmen sind jedoch nur ein Tropfen auf den heißen Stein. Vereinzelte Umstellungen sind begrüßenswert, allerdings konterkariert die zwangsläufige Kommunikation innerhalb von Ländern mit anderen, Microsoftbasierten-Systemen den Zweck der Datenintegrität und gefährdet diese, da immer Server außerhalb der EU im Spiel sein werden. 

Die föderale Struktur in der Bundesrepublik resultiert nicht nur in eigenen Softwarelösungen, sondern verursacht auch finanzielle Mehrbelastungen und ist sehr impraktikabel. Mangels einheitlicher Schnittstellen, zum Beispiel bei Polizeibehörden, können sich diese nicht austauschen oder andere Datenbanken abfragen. Dies ist zwar ein politisches Problem, im Rahmen einer Umstellung auf neue, einheitliche IT-Systeme würden sich jedoch so zwei Fliegen mit einer Klappe schlagen lassen.

Eine hundertprozentige Gewährleistung von Kontrolle und Sicherheit ist nur durch eine vollständige Umstellung auf andere Produkte möglich. Da die meisten Kommunen und Ministerien freiwillig nicht die Muße dazu haben, müsste der Gesetzgeber dies durch entsprechende Regelungen veranlassen. Und zwar nicht nur in Deutschland, sondern im Hinblick auf die Etablierung einheitlicher europäischer Standards und Gesetze und der Kommunikation zwischen den Mitgliedstaaten, ist hier der europäische Gesetzgeber gefragt. Es sollte im eigenen Interesse Europas sein, sich informationstechnisch komplett von den USA zu lösen und eigene Produkte zu entwickeln.

Der dazu nötige Aufwand ist nur im Moment der Umstellung enorm. Nach Installation und Umschulung können auf dieser Basis europaweit einheitliche Softwarelösungen für Kommunen genutzt werden. Die einmaligen Umstellungskosten könnten durch die wegfallenden Lizenzkosten an Microsoft und die Bündelung von Programmierressourcen und Verteilung auf alle Mitgliedstaaten langfristig amortisiert werden.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!