Skip to content

Bisher konnten sich die europäischen Organe nicht auf eine Fassung der geplanten ePrivacy-Verordnung einigen. Steht diese nun vor dem Aus?

ENTWICKLUNGEN DER EPRIVACY-VERORDNUNG

Einführung 

Seit 2016 gibt es Verhandlungen über eine ePrivacy-Verordnung in der EU, welche die bisherige ePrivacy-Richtlinie (2002/58/EG) aus dem Jahr 2002 ablösen soll, da diese als veraltet angesehen wird und den Fortschritten in Technik und Wirtschaft nicht mehr gerecht wird, bzw. die neuen Belange teils unzulänglich regelt. Die Umsetzung der Richtlinie erfolgte in Deutschland im Telemediengesetz (TMG) und dem Telekommunikationsgesetz (TKG).  

Die ePrivacy-Verordnung soll die Richtlinie schließlich aktualisieren und ergänzend neben die Datenschutz-Grundverordnung (DS-GVO) treten. Ursprünglich war geplant, dass die DS-GVO und die ePrivacy-Verordnung gemeinsam am 25. Mai 2018 in Kraft treten sollten. Die ePrivacy-Verordnung bekam in der Vergangenheit jedoch viel Gegenwind, sodass ein mögliches Inkrafttreten derzeit nicht in Sicht ist. 

Im Folgenden geben wir einen kurzen Überblick über das Thema ePrivacy und beleuchten die Entwicklungen bezüglich der geplanten Verordnung.  

Was ist die ePrivacy-Verordnung? Was soll geregelt werden?  

Die geplante ePrivacy-Verordnung geht auf eine Gesetzesinitiative der Europäischen Kommission aus Januar 2017 zurück und soll die Privatsphäre von Bürgern im Onlinebereich stärken. Sie beschäftigt sich in erster Linie mit elektronischen Kommunikationsdaten, welche als personenbezogene Daten einzustufen sind. Ziel ist es, dass Privatsphäre zur Standardeinstellung in Browsern wird. 

Die ePrivacy-Verordnung präzisiert die DS-GVO also im Hinblick auf elektronische Kommunikationsdaten und schließt damit ein paar Regelungslücken. Im Großen und Ganzen soll durch die Verordnung die Sicherheit elektronischer Kommunikationsdaten geregelt und schließlich festgelegt werden, unter welchen Voraussetzungen und Bedingungen diese Daten von Betreibern elektronischer Kommunikationsnetze und -dienste verarbeitet werden dürfen. Es werden auch Betroffenenrechte aufgegriffen: es soll Regelungen zur Speicherung und Löschung der elektronischen Kommunikationsdaten geben, sowie weitere Vorgaben zum Schutz der gespeicherten Daten der Endnutzer. Zudem soll die Verordnung die bisherigen Regeln zur Einwilligung in die Datenverarbeitung präzisieren und Vorgaben bezüglich bereitzustellender Informationen und Privatsphäreeinstellungen bei elektronischer Kommunikation enthalten. Des Weiteren soll eine Ende-zu-Ende-Verschlüsselung obligatorisch werden, sodass auch ein Eingreifen seitens staatlicher Stellen stärker reguliert wird. 

Ebenso soll es Regelungen für den Telekommunikationssektor geben. Darunter fallen bspw. Vorgaben für die Anzeige von Rufnummern, deren Unterdrückung, die Sperrung eingehender Anrufe, sowie für unerbetene Kommunikation, Direktwerbung über elektronische Kommunikationsdienste an Endnutzer und Informationspflichten über erkannte Sicherheitsrisiken.  

Letztlich beinhaltet die ePrivacy-Verordnung auch Sanktionen für mögliche Verstöße und beschreibt die Aufgaben der Aufsichtsbehörden.   

Wen wird die ePrivacy-Verordnung betreffen? 

Sobald die ePrivacy-Verordnung in Kraft tritt, sind vor allem Unternehmen mit dem Sitz innerhalb der EU betroffen. Daneben ist die Verordnung aber nach dem sog. Marktortprinzip auch auf solche Unternehmen anwendbar, die ihre elektronischen Kommunikationsdienste innerhalb der EU anbieten. Nicht-EU-Unternehmen benötigen dann einen EU-Vertreter.  

Zu den betroffenen Unternehmen zählen neben den konventionellen Telekommunikationsdiensten auch OTT-I-Dienste (Over-the-top-Dienste der ersten Kategorie), insbesondere Messenger- und E-Mail-Dienste, sowie Anbieter von Internettelefonie. In den Anwendungsbereich der Verordnung fallen zudem nur elektronische Kommunikationsdienste, die öffentlich zugänglich sind, also von einem Anbieter für den Endnutzer bereitgestellt werden.  

Entwicklungen der ePrivacy-Verordnung 

Bisher bekamen die jeweiligen Ausarbeitungen der ePrivacy-Verordnung viel Gegenwind – sowohl seitens zahlreicher Wirtschaftsverbände als auch der EU-Mitgliedstaaten. Bereits 2017 hat die Europäische Kommission einen Gesetzesentwurf für die ePrivacy-Verordnung erlassen, woraufhin das Europäische Parlament noch im selben Jahr einen Änderungsvorschlag abgegeben hat. Lange konnte sich nur der Europäische Rat nicht auf eine einheitliche Linie festlegen. Nachdem etliche Vorschläge innerhalb des Rates von den EU-Mitgliedstaaten abgelehnt wurden, kam es am 10. Februar 2021 schließlich zu einem Konsens.  

Seitdem stehen Trilogverhandlungen zwischen dem Rat, der Kommission und dem Parlament an – bisher jedoch ohne Ergebnis. Die jeweiligen Entwürfe bezüglich der geplanten Verordnung unterscheiden sich in vielerlei Hinsicht, insbesondere in Bezug auf eine Einwilligung in die Datenverarbeitung bzw. deren Ausnahmetatbestände. 

Zunächst sind sich alle drei Organe einig, dass eine Einwilligung nach den Vorgaben der DS-GVO für die Nutzung vorliegen muss, es sei denn, einer der gelisteten Ausnahmetatbestände greift ein. Die in der Privacy-RL genannten Erlaubnistatbestände für eine Datenverarbeitung ohne Einwilligung des Betroffenen werden auch in allen drei Entwürfen größtenteils übernommen, zum Beispiel, wenn die Verarbeitung der Durchführung von Kommunikationsvorgängen dient oder für die Bereitstellung eines Dienstes erforderlich ist.  

Bezüglich weitergehender Erlaubnistatbestände herrscht derzeit Uneinigkeit bei der Kommission, dem Parlament und dem Rat. Zwar halten alle drei Entwürfe der Verordnung eine Ausnahme zur Reichweitenmessung für zulässig, der Umfang dieser Ausnahme ist jedoch umstritten. Während die Kommission und das Parlament diese nur im Namen des Diensteanbieters ohne Einwilligung gestatten, bedarf es nach Ansicht des Rates auch keiner Einwilligung bei der gemeinsamen Verarbeitung durch den betreibenden Diensteanbieter und einem externen Dienstleister (sofern die Voraussetzungen der gemeinsamen Verantwortlichkeit i.S.d. Art. 26 DS-GVO gewahrt sind). Darüber hinaus sehen die Entwürfe des Parlaments und des Rates eines Erlaubnistatbestand vor, sofern die Verarbeitung einer Aktualisierung zum Zwecke der Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit oder Authentizität dient. Zudem sieht der Europäische Rat eine Ausnahme vom Einwilligungsprinzip darin, wenn die Verarbeitung eine Aufrechterhaltung oder Wiederherstellung der Sicherheit darstellt oder die Verarbeitung mit dem ursprünglichen Zweck der Verarbeitung vereinbar ist, sofern diese vorher nicht aufgrund einer ausdrücklichen Einwilligung des Betroffenen oder zum Schutz des öffentlichen Interesses erfolgte.  

Obwohl die oben genannten, nicht abschließenden Unterschiede zunächst nicht sonderlich schwerwiegend oder ausschlaggebend wirken, sind sie dies in der Praxis jedoch schon. Jeder kleinste Unterschied sorgt dafür, dass die Rechtslage sich beispielsweise in Bezug auf die Nutzung von Cookies erheblich verändert. In einigen Punkten, insbesondere bei Unterschieden in sprachlichen Feinheiten, dürften sich die europäischen Organe relativ zeitnah einigen können, wohingegen andere deutlich auseinander gehen und die Parteien grundverschiedenen Ansichten haben. Es bleibt also abzuwarten, wie sich die Trilogverhandlungen entwickeln und ob letztlich ein Kompromiss gefunden werden kann.  

 “Übergangsregelungen” im TTDSG 

Die Bundesregierung hat im Mai 2021 zudem das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) verabschiedet, welches am 01. Dezember 2021 in Kraft treten soll und bestätigt damit erstmals die in Deutschland geltende Regelung zu aktuellen Themen wie Webtracking oder Cookies. Durch das TTDSG werden jedoch auch keine neuen Regelungen aufgestellt, sondern nur die bereits bestehenden Vorschriften, welche sich bisher im TKG und TMG befanden, zusammengetragen und somit der status quo nochmal klargestellt. Änderungen und eine klare europäische Linie bezüglich der Thematik sollen dann durch die ePrivacy-Verordnung eintreten.  

Fazit  

Aufgrund der anhaltenden Verhandlungen innerhalb der EU, erscheint es erstmal unwahrscheinlich, dass sich der Rat, die Kommission und das Parlament in Kürze auf eine Fassung der ePrivacy-Verordnung einigen können. 

Demnach wird es voraussichtlich noch einige Zeit dauern, bis die ePrivacy-Verordnung, namentlich ein Kompromiss, von allen drei europäischen Organen abgesegnet und dann auch verabschiedet wird. Bisher ist es noch sehr unklar, ob und wie die Ansichten der jeweiligen Akteure bezüglich ePrivacy auf einen Nenner gebracht werden können. Die ePrivacy-Verordnung wird daher (mit hoher Wahrscheinlichkeit) nicht mehr vor 2022 erwartet werden können. 

Deshalb herrschen weiterhin Rechtsunsicherheiten für Unternehmen, vor allem im Bereich von Nutzer-Tracking und Cookies. Solange noch keine Verordnung erlassen und in Kraft getreten ist, muss sich also weiter an den Vorschriften der DS-GVO, sowie dem TMG und dem TKG, bzw. ab Dezember 2021 an dem TTDSG orientiert werden. 

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countrie

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir informieren sie über die Reichweite des Auskunftsanspruchs nach Art. 15 DS-GVO.

Der BGH äußerte sich erstmals zur Reichweite des Auskunftsanspruchs nach Art.15 DS-GVO

Einführung 

Der Bundesgerichtshof („BGH“) setzte sich in seinem Urteil vom 15. Juni 2021 (Az. VI ZR 576/19) mit der Reichweite des Auskunftsanspruchs nach Art. 15 DS-GVO auseinander. Dabei geht der BGH grundsätzlich von einer weiten Reichweite des Auskunftsbegehrens aus. 

Im vorliegenden Urteil ging es um einen Versicherungsnehmer (Kläger), der bei seinem Versicherungsunternehmen (Beklagte) eine kapitalbildende Lebensversicherung abgeschlossen hat. Der Versicherungsnehmer verklagte das Versicherungsunternehmen unter anderem wegen ausstehender Rückzahlung der Versicherungsprämien. Im Rahmen seines Klagebegehrens verfolgte er auch einen umfassenden Auskunftsanspruch, da ihm seines Erachtens kein vollständiger Auskunftsanspruch hinsichtlich seiner Daten gewährt wurde. Zu Beginn der Klage stützte sich der Auskunftsanspruch noch auf § 34 BDSG und wurde im Verlauf durch Art. 15 DS-GVO ersetzt. Der Kläger verlangte Auskunft über die gesamte Korrespondenz der Parteien, einschließlich der Daten des vollständigen Prämienkontos, Zweitschriften und Nachträge zum Versicherungsschein, sowie Telefon-, Gesprächs- und Bewertungsvermerke der Beklagten zum Versicherungsverhältnis. Die Beklagte weigerte sich so weitreichende Auskünfte zu erteilen, da diese ihres Erachtens nicht von Art. 15 DS-GVO erfasst seien. 

Das Amtsgericht Brühl wies die Klage mit der Begründung ab, dass weder ein Rückzahlungsanspruch noch ein weitreichender Auskunftsanspruch im Sinne des damals noch geltenden § 34 BDSG bestünde. Wenn überhaupt bestünde lediglich ein “Basisanspruch” und diesem sei die Beklagte nach Auffassung des Amtsgerichts Brühl ausreichend nachgekommen. Das Landgericht Köln wies die Berufung als unzulässig ab, sodass die Klage auf Auskunft letztlich vom BGH zu entscheiden war. 

Voraussetzungen von Art. 15 DS-GVO 

Die Norm ermöglicht jedem Betroffenen das Recht einen Auskunftsanspruch über seine personenbezogenen Daten, die von dem Verantwortlichen verarbeitet werden, zu verlangen. Art. 15 DS-GVO bezieht sich allerdings nicht nur auf personenbezogene Daten, sondern auch auf weitere Auskünfte hinsichtlich: 

  • des Verarbeitungszwecks,  
  • der Kategorien personenbezogener Daten, die verarbeitet werden; 
  • die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen; 
  • falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer; 
  • das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung; 
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde; 
  • wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten; 
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. 

Die in Art. 15 Abs.1 DS-GVO genannten Auskunftsmöglichkeiten eröffnen somit einen umfassenden Bereich, den man beim Auskunftsanspruch eines Betroffenen berücksichtigen muss.  

Grundsätzlich unterliegt die Ausübung dieses Auskunftsanspruches keinen besonderen Formerfordernissen. Die Auskunft kann schriftlich, persönlich, telefonisch oder auch per E-Mail beantragt werden.  

Bei der Beantragung muss zudem kein Grund für die gewünschten Auskünfte genannt werden.  

BGH bestätigt weiten Umfang des Auskunftsanspruchs 

Bereits 2007 hatte sich der EuGH im Rahmen eines Urteils für einen weiten Umfang des Auskunftsanspruches ausgesprochen. Damals bezog sich der EuGH noch auf die Richtlinie 95/46/EG (Datenschutzrichtlinie) zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, die schließlich von der DS-GVO abgelöst wurde. Dennoch wurde bereits damals ein umfangreicher Auskunftsanspruch anerkannt, der die Betroffenen berechtigt ihre Datenverarbeitung einzusehen, über sie informiert zu werden und Berichtigung oder ggf. Löschung zu verlangen. Dieser Linie folgt nun auch der BGH und hat erstmals zum weiten Umfang des Auskunftsanspruch nach Art.15 DS-GVO Stellung bezogen. Im vorliegenden Urteil hat der BGH folgende Feststellungen getroffen, an die man sich zukünftig bei der Bearbeitung eines Auskunftsanspruches orientieren kann: 

Demnach sind alle personenbezogenen Daten i.S.d. Art. 4 Nr.1 DS-GVO von Art. 15 DS-GVO erfasst. Gemäß des BGH ist diese Norm auch nicht dahingehend teleologisch zu reduzieren, dass nur „signifikante biografische Informationen“ erfasst werden. Das ergibt sich bereits aus dem Erwägungsgrund Nr. 63 S.1 der DS-GVO. Danach soll der Betroffene in angemessenen Abständen sein Auskunftsrecht bezüglich seiner personenbezogenen Daten ausüben können, um zu erfahren welche Daten und zu welchen Zwecken die Daten verarbeitet werden. Der Betroffene soll sich durch die Auskunft der Bearbeitung seiner Daten bewusstwerden und die Möglichkeit haben die Rechtmäßigkeit der Datenverarbeitung zu überprüfen.  

Der BGH entschied weiter, dass selbst Dokumente, die der Betroffene bereits kennt, vom Auskunftsbegehren erfasst werden können.  

Der Auskunftsberechtigte kann sogar wiederholt Auskunft verlangen. 

Auch die Korrespondenz mit Dritten wird erfasst. Selbst interne Vermerke fallen unter Art. 15 DS-GVO, da die Norm nicht voraussetzt, dass die fraglichen Daten extern zugänglich sind. 

Anhand der Feststellungen des BGH zeigt sich, dass im Rahmen eines Auskunftsanspruches eine umfassende Sammlung an personenbezogenen Daten herauszugeben ist. Der Verantwortliche kann keine „Rosinenpickerei“ vornehmen und nur die Daten rausgeben, die seines Erachtens ausreichend sind, um dem Auskunftsanspruch zu entsprechen. 

Einschränkungen des Auskunftsanspruchs nach Art. 15 DS-GVO  

So viele Daten der Auskunftsanspruch auch umfasst, so ergeben sich gleichwohl Einschränkungen des Auskunftsumfangs. Hierzu zählen unter anderem Daten, die im Rahmen einer internen rechtlichen Analyse über die betroffene Person zusammengefasst wurden. Grundsätzlich können diese Analysen personenbezogene Daten enthalten, die Beurteilung der Rechtslage stellt aber keine Information über den Betroffenen dar. Zum anderen werden keine Daten über Provisionszahlungen oder Ähnliches erfasst. 

Auswirkungen von Ausschlussnormen  

Im zugrundeliegenden BGH-Urteilbleiben die Auswirkungen von Ausschlussnormen wie beispielsweise Art. 12 Abs. 5 S. 2 und Art. 15 Abs. 4 DS-GVO hingegen unberücksichtigt. Dennoch sollten diese im Rahmen des Auskunftsanspruchs Beachtung finden. 

Art. 12 Abs. 5 S.2 DS-GVO schließt z.B. einen Auskunftsanspruch gem. Art. 15 DS-GVO dann aus, wenn dieser offenkundig unbegründet ist. Bei exzessiven Anträgen kann der Verantwortliche zudem ein angemessenes Entgelt für die entstehenden Verwaltungskosten verlangen oder sich sogar gänzlich weigern tätig zu werden. Exzessives Verhalten wird angenommen, wenn es sich um häufige Wiederholungen von Anträgen handelt oder Anträge ohne stichhaltigen Grund in kurz hintereinander geschalteten Zeitintervallen gestellt werden. Die Zeitintervalle sind zu kurz, wenn es offensichtlich unmöglich ist, dass sich die Umstände seit Antragsstellung geändert haben können. 

Schließlich beschränkt Art. 15 Abs. 4 DS-GVO die Herausgabe von Kopien darauf, dass keine Rechte und Freiheiten anderer Personen beeinträchtigt werden dürfen. 

Fazit 

Die gerichtliche Auseinandersetzung mit dem gesetzlichen Auskunftsanspruch gem. Art. 15 DS-GVO ist für den Rechtsanwender durchaus zu begrüßen, da er zukünftig für mehr Rechtssicherheit im Umgang mit dem Auskunftsanspruch nach Art. 15 DS-GVO sorgen wird. 

Allerdings kann die weitgehende Auslegung für die Verantwortlichen zu einem hohen Arbeitsaufwand führen. Ferner können sie sich Schadensersatzansprüchen gem. Art. 82 DS-GVO aussetzen, wenn sie dem Auskunftsanspruch nicht wie geschuldet entsprechen. 

Zu beachten ist jedoch schließlich, dass mögliche Ausschlussnormen gerichtlich noch gar nicht behandelt wurden, sodass es abzuwarten bleibt, ob die beschlossene weite Auslegung im Rahmen von rechtlichen (weiteren) Auseinandersetzungen doch noch begrenzt wird. 

Für weitere Fragen stehen wir Ihnen gerne zur Verfügung.   

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Neue Entwicklungen bezüglich der Datenübermittlungen in Drittländer.

Die neuen Standardvertragsklauseln

Einführung 

Die Europäische Kommission hat am 4.6.2021 zwei neue Pakete
von Standardvertragsklauseln (SVK), häufig auch SCCs (Standard Contractual
Clauses) genannt, veröffentlicht (Standardvertragsklauseln-EU und Standardvertragsklauseln-Drittländer). Die SCCs sind nun auf die DS-GVO aktualisiert und sollen helfen, das Vakuum zu schließen, das seit dem Schrems II-Urteil des Europäischen Gerichtshofs vom 16.07.2020 (Schrems II-Urteil) insbesondere beim transatlantischen Datenaustausch herrscht.

Die Wahrscheinlichkeit, dass die neuen SCCs für Ihr Unternehmen relevant sind, ist groß, so dass Sie diesem Thema Aufmerksamkeit schenken sollten.

Hintergrund

Wann immer personenbezogene Daten in ein Drittland übertragen werden, sind die Vorgaben der Art. 44 ff. DS-GVO zu beachten, damit das durch die DS-GVO gewährleistete Schutzniveau nicht untergraben wird.

Eines der Werkzeuge, mit denen Drittlandtransfers rechtlich abgesichert werden können, sind SCCs. Die Bedeutung der SCCs wurde größer, nachdem der Europäische Gerichtshof zunächst in einer ersten Entscheidung (Safe Harbour-Urteildas Safe Harbour Regime für nichtig erklärte, mit dem Datentransfers zwischen den USA und der EU legitimiert werden konnten. Maßgeblich für diese Entscheidung war unter anderem das Fehlen hinreichender Rechtsschutzmöglichkeiten für Europäer in den USA, wenn diese gegen Datenverarbeitungen vorgehen wollten.

Wenige Monate nach der Entscheidung wurde das politisch und wirtschaftlich
gewünschte, rechtlich aber umstrittene EU-U.S.-Privacy Shield als Nachfolger
für Safe Harbour verkündet. Umstritten war das Privacy Shield insbesondere deshalb, weil es das Problem des mangelnden Rechtsschutzes nicht löste. In seiner viel beachteten Entscheidung erklärte der Europäische Gerichtshof
(Schrems II) sodann das Privacy Shield für unwirksam. 

Das Gericht stellte zudem fest, dass die bisherigen SCCs bei Datentransfers in
Länder ohne Angemessenheitsbeschluss durchaus weiterverwendet werden können, allerdings zusätzliche Garantien verabredet werden müssen, um hinreichenden Schutz zu gewährleisten. Dies stellte Unternehmen vor eine kaum lösbare Aufgabe. 

Warum ist dies für Sie relevant? 

Wissen Sie im Einzelfall, wann Sie oder die von Ihnen genutzten Softwareprodukte oder Systeme personenbezogenen Daten übermitteln? Wissen Sie auch, wohin die Daten von dort gegebenenfalls übermittelt werden? Unter Umständen finden in Ihrem Unternehmen Datenexporte statt, von denen Sie bislang nichts wussten und die, sofern möglich, neben den Ihnen bekannten Datentransfers auf eine rechtlich solide Basis gebracht werden müssen. 

Die neuen SCCs

Datenexporteure können je nach Vertragsverhältnis mit den
neuen SCCs aus vier Modulen für unterschiedliche Szenarien wählen:

  1. Übermittlung
    von Verantwortlichen an Verantwortliche (C2C)
  2. Übermittlung
    von Verantwortlichen an Auftragsverarbeiter (C2P)
  3. Übermittlung
    von Auftragsverarbeitern an Auftragsverarbeiter (P2P)
  4. Datentransfer
    von Auftragsverarbeitern an Verantwortliche (P2C)

Die Regelungen zwischen zwei Auftragsverarbeitern und von Auftragsverarbeitern an Verantwortliche stellen eine sinnvolle Ergänzung zu den bislang angebotenen SCCs dar. 

Die SCCs enthalten verschiedene Anhänge, mit denen die konkret vorliegende Situation transparent erfasst werden kann. Besonders interessant ist auch, dass die Klauseln regeln, wie mit Ersuchen von Behörden im Drittland nach einer Weitergabe der übermittelten personenbezogenen Daten umzugehen ist.

So wie in der DS-GVO werden auch die Betroffenenrechte in
den modernisierten SCCs
besonders gestärkt. Beispielsweise muss der Datenimporteur Betroffene benachrichtigen, wenn ein rechtsverbindlicher Antrag der Behörde auf Herausgabe seiner personenbezogenen Daten vorliegt. Wird dem Datenimporteur eine Benachrichtigung behördlich untersagt, soll er sich bestmöglich um eine Aufhebung der Untersagung bemühen.

Durch die Standardvertragsklauseln werden die Voraussetzungen des Art. 28 Abs. 3 und 4 DS-GVO erfüllt, sodass die Ansicht einzelner deutscher Datenschutzbehörden, dass gegebenenfalls zusätzliche Klauseln im Falle von Übermittlungen an Auftragsverarbeiter benötigt werden, keinen Bestand mehr hat.

In den neuen SCCs sind nunmehr Haftungsregelungen enthalten für den Fall, dass eine unberechtigte Herausgabe von Daten vorgenommen wird. Diese waren zuvor optional.

Chance und Risiko gleichzeitig ist die Flexibilität der SCCs. Sie basieren wie die DS-GVO auf einem risikobasierten Ansatz. Das bedeutet aber auch, dass es den Parteien obliegt, die Risiken für etwaige Betroffene abzuschätzen. Sie müssen mit Ihrem Vertragspartner prüfen und abwägen, ob die Rechtslage und der Umgang mit Herausgabeansprüchen vor Ort einen angemessenen Schutz der personenbezogenen Daten gewährleistet. Ist dies nicht der Fall, dürfen keine Daten transferiert werden oder es sind zusätzliche Schutzmaßnahmen zu ergreifen. Dies können technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Daten wie Pseudonymisierung oder Verschlüsselung sind.  

Drei wichtige Daten

Folgende Zeitpunkte sind für Ihre Planungen relevant:

  • 27.06.2021: Die neuen SCCs treten in Kraft.

  • 27.09.2021: Die alten SCCs werden aufgehoben.
  • 27.12.2022: Ab dem 27.09.2021 gilt eine 15-monatige Umsetzungsfrist: Mit Ablauf des 27.12.2022 müssen alle alten Verträge, die vor dem 27.09.2021 geschlossen wurden, die neuen SCCs einbeziehen, d.h. bis dahin dürfen bestehende Verträge die alten SCCs noch verwenden. Danach dürfen die alten SCCs nicht mehr verwendet werden.
  • Neuverträge: Ab dem 27.09.2021 können nur noch die neuen SCCs verwendet werden.

Was ist zu tun? 

Im Rahmen der zeitlichen Vorgaben sind Ihre Vertragsbeziehungen gegebenenfalls anzupassen. Exportieren Sie personenbezogene Daten oder arbeiten Sie mit Datenexporteuren zusammen? Sind die bisherigen Regelungen ausreichend? Sind Sie überhaupt schon auf „Schrems II“ hin aktiv geworden? Liegen bei Ihnen die bisher nicht geregelten Situationen 3 oder 4 vor? Beachten Sie, dass im Hinblick auf Bestandsverträge zu prüfen ist, ob zusätzliche Garantien vereinbart wurden und diese ausreichend sind. Rechtzeitig vor Ablauf der Übergangsfrist sind neue Verträge zu verhandeln.

Bei Neuverträgen ist wichtig, dass Sie mit der Auswahl der zur Verfügung stehenden Handlungsoptionen für ein ausreichendes Schutzniveau sorgen und aktiv werden, wenn Anlass zu Zweifeln daran besteht, dass (weiterhin) ein ausreichendes Schutzniveau gewährleistet ist.

Als spezialisierte Datenschutz- und IT-Kanzlei stehen wir Ihnen in allen diesen Fragen gerne zur Verfügung. Wir begleiten und unterstützen Sie in der Lösungsfindung für einen rechtssicheren Umgang mit personenbezogenen Daten!

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countrie

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir informieren Sie über den Entwicklungsstand der E-Evidence-Verordnung.

E-Evidence-Verordnung –
Ein Mittel Zur Kriminalitätsbekämpfung?

Einführung 

Seit 2017 wird über eine e-Evidence Verordnung diskutiert. Diese Verordnung, im vollen Namen „Verordnung über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen“, wurde 2017 von der EU-Kommission vorgeschlagen. Ziel ist es den Behörden den Zugriff auf private Daten von Bürgerinnen und Bürgern im Rahmen eines Ermittlungsverfahrens zu vereinfachen. 

Ausschlagegebend für die Diskussion und den Vorschlag der EU-Kommission war der Anstieg von länderübergreifenden Anfragen durch Strafverfolgungsbehörden zur Herausgabe von elektronischen Beweismitteln. Da die meisten Daten auf Servern im Ausland gespeichert sind, stellt die Anforderung und Herausgabe von Daten einen enormen bürokratischen Prozess dar. Bereits vor einigen Jahren wurde für diese Fälle eine Zusammenarbeit zwischen den Ländern entwickelt, wie beispielsweise die Richtlinie zur Europäische Ermittlungsanordnung (2014/41/EU) oder das Budapester ÜbereinkommenDiese Übereinkommen ermöglichen den Mitgliedsstaaten derzeit Rechtshilfe in Strafverfahren und Verwaltungsverfahren, die auch strafrechtlich verfolgt werden können.  Um entsprechende Auskünfte zu erhalten, muss der Mitgliedsstaat die jeweiligen Formalitäten und Verfahrensvoraussetzungen des ersuchenden Mitgliedsstaats befolgen. Die Europäische Ermittlungsanordnung enthält grundsätzlich umfassende Regelungen zu jeder erforderlichen Ermittlungsmaßnahme und umfasst auch den Zugang zu elektronischen Beweismitteln.  Aufgrund des steigenden Bedarfs und schnellerem Zugang zu elektronischen Beweismittelngenügt diese Form der Zusammenarbeit nicht mehrDenn laut der EU-Kommission dauert es im Durchschnitt zehn Monate, bis eine Herausgabeanforderung erfolgreich beantwortet wird. Daher soll dieser Herausgabeprozess nun durch die e-Evidence-Verordnung vereinfacht werden. Die Verordnung soll die Europäische Ermittlungsanordnung nicht ersetzen, sondern insbesondere im Bereich der elektronischen Beweismittel ergänzen. 

Was beinhaltet der Vorschlang? 

Ziel ist zunächst die effizientere und sichere Gestaltung der Rechtshilfe, um die Zusammenarbeit zwischen den Behörden und Diensteanbietern zu verbessern und Lösungen im Zusammenhang mit der Ermittlungsarbeit im Cyberspace zu gewährleisten. 

Der Vorschlag gibt dazu den Behörden zwei Instrumente zur Hand, zum Einen die Herausgabeanordnung und zum Anderen die Sicherungsanordnung. Bei der Sicherungsanordnung müssen bestimmte Daten zunächst gespeichert werden, um für eine eventuelle spätere Herausgabe zur Verfügung zu stehen. Kommt der Dienstanbieter der Aufforderung nicht innerhalb der zehntägigen Frist nach (im Notfall innerhalb von 6 Stunden), dann wird ihm gegenüber ein Bußgeld verhängt in Höhe von 2 % des weltweiten Jahresumsatzes. 

Um diese Instrumente zu nutzen, muss zwingend die Verfolgung einer Straftat vorausgehen. Anordnungen müssen demnach von einer Justizbehörde oder von einem Gericht erlassen oder validiert werden. 

Eine weitere Maßnahme soll die Ernennung eines Vertreters durch einen Diensteanbieter sein, der auf die Anfragen der Behörden schnell und kompetent reagieren kann. Der Vertreter soll dann im Rahmen seiner  Tätigkeit auch über die Rechtmäßigkeit der Anordnung entscheiden. 

Grundsätzlich soll der Vollstreckungsstaat nicht in den Anordnungsprozess eingebunden werden, doch ist dafür ein Ausnahmefall vorgesehen. Immer dann, wenn der Diensteanbieter sich weigert der Anordnung nachzukommen, wird der Vollstreckungsstaat mit einbezogen.  

Die Maßnahmen zielen insbesondere auf die Herausgabe von Transaktions-, Inhalts-, Teilnehmer- und Zugangsdaten ab. Laut des Vorschlags sind jedoch nur die Transaktions- und Inhaltsdaten besonders schutzbedürftig, obwohl es sich bei allen Daten um personenbezogene Auskünfte handelt. Jedoch stehen nur diese beiden Daten unter einem Richtervorbehalt und die anderen Daten können von einem Staatsanwalt angeordnet werden. 

Kritik am Vorschlag 

Der Vorschlang erfährt seit der Vorlage im Jahr 2017 immer wieder zahlreiche Kritik. Erst kürzlich wieder hat sich öffentlich ein Bündnis aus Medienverbänden und –unternehmen an die Abgeordneten des EU-Parlaments gewandt, um dem Entwurf der e-Evidence-VO nicht zuzustimmen. Mit dieser Bitte stehen sie nicht allein, auch zahlreiche Anwaltsverbände und Datenschutzkritiker haben stets ihre Bedenken zum Vorschlag geäußert. 

Die schnellere und grenzüberschreitende Bearbeitung sowie der erleichterte Zugang zu elektronischen Beweismitteln sind durchaus nachvollziehbar. Doch bestehen hinsichtlich der praktischen Anwendung Bedenken, insbesondere mit Blick auf die Erforderlichkeit einer neuen Verordnung und die mangelnde Berücksichtigung der Eingriffsintensität in die Schutzrechte von betroffenen Personengruppen, beispielsweise bleiben der Schutz von Berufsgeheimnisträgern oder Immunitäten unbeachtet. 

Gibt man die justizielle Überprüfung einfach an Privatpersonen ab, führt dies unweigerlich zu einem Einschnitt der notwendigen Rechtsstaatlichkeit. Zudem drohen bei Nichtbefolgung der Privatperson hohe Sanktionen, sodass dieser eher gewillt ist Daten im Rahmen einer Anordnung herauszugeben unabhängig davon wessen Schutzrechte ggf. dadurch betroffen sind. Staatliche Institutionen haben im Gegensatz dazu ganz andere Möglichkeiten sich gegen die Anordnung zu wehren oder zumindest eine ordentliche Überprüfung vorzunehmen. 

Des Weiteren führt die mangelnde Mitwirkung des Vollstreckungslandes dazu, dass dieser den Grundrechtsschutz der betroffenen Person sowie des Diensteanbieters nicht überprüfen oder überhaupt gewährleisten kann. Da gerade in Deutschland der Grundrechtsschutz und der Datenschutz sehr hohe Hürden haben, ist zu erwarten, dass diese Schutzmechanismen ausgehöhlt werden. Kritisiert wird in diesem Zusammenhang auch der schwierig auszuübende Rechtsbehelf. Ein Rechtsbehelf kann nur in dem Anordnungsstaat eingelegt werden und dieser Vorgang führt beim Betroffenen zu praktischen Schwierigkeiten (Distanz, Sprache, finanzielle Aufwendungen). 

Einer einfachen Umsetzung stehen ebenfalls die verschiedenen Strafgesetze der einzelnen Mitgliedstaaten entgegen. Für die unterschiedlichen Straftaten gibt es jeweils unterschiedliche Strafrahmen. Dementsprechend ist es schwierig einheitliche Regelungen festzulegen. Das ist auch für das Verfahren der Herausgabeanordnung problematisch. Denn für die Ermittlung wird zwar die Verfolgung einer Straftat gefordert, diese muss aber nur im Anordnungsstaat vorliegen und nicht im Herausgabeland selbst. Werden beispielweise in einem Mitgliedsstaat bestimmte Taten überhaupt bestraft anders als in Deutschland (bspw.: politische Meinungsäußerung, Abtreibung), dann kann der entsprechende Mitgliedstaat dementsprechend unter niedrigeren Voraussetzungen Daten in Deutschland herausverlangen als deutsche Behörden selbst. Selbst der vorgeschlagene Mindeststrafrahmen von drei Jahren kann dabei keine Abhilfe schaffen. Denn dadurch können die entstehenden intensiven Grundrechtseingriffe nicht gerechtfertigt werden. 

Bisher ist auch noch nicht abschließend geklärt, ob es tatsächlich als Verordnung oder als Richtlinie verabschiedet wird. Ursprünglich wollte die EU-Kommission den Vorschlag als Richtlinie umsetzen. Das EU-Parlament fordert hingegen die Festlegung als Verordnung. 

Schließlich könnte man noch kritisieren, dass dieser Vorschlag erfolgt ist, ohne vorher die Vorgängerregelung, die europäische Ermittlungsordnung, zu evaluieren.  

Verhandlungen zwischen der EU mit den USA über ein Abkommen zum Austausch elektronischer Beweismittel 

Parallel zu den Diskussionen über eine e-Evidence-Verordnung hat die EU-Kommission Verhandlungen mit den USA über den Datenzugriff von USBehörden aufgenommen. Als Grundlage für die Verhandlungen will die USA ein Abkommen zum Austausch elektronischer Beweismittel nehmen, das sie bereits im Oktober 2019 mit Großbritannien abgeschlossen haben. Auch der CLOUD Act soll als Verhandlungsgrundlage dienen. 

Doch insbesondere mit dem CLOUD Act als Grundlage geraten die Verhandlungen in die Kritik der Datenschützer, weil der CLOUD Act nicht mit der DSG-VO vereinbar ist. Der Cloud Act ermächtigt US-Unternehmen ihre Daten an Drittstaaten weiterzugeben, sofern ein zwischen den USA und dem Drittstaat entsprechendes Abkommen besteht. Ein derartiges Abkommen kann aus Sicht der USA aber nur Zustandekommen, wenn der Drittstaat im Gegenzug den direkten Zugriff für US-Behörden ermöglicht. Aufgrund der datenschutzrechtlichen Unterschiede, wäre ein Abkommen zum jetzigen Zeitpunkt so nicht möglich. Beispielsweise sieht ein Datenzugriff durch die USA unter anderem eine Echtzeitdatenerfassung vor. Dieser und weitere Aspekte erschweren die Einigung über ein Abkommen mit den USA. Dennoch versucht die EU-Kommission Regelungen der e-Evidence-VO auf die USA zu erweitern, um den Strafverfolgungsbehörden die Ermittlung zu erleichtern. Wie die Verhandlungen mit den USA ausgehen, bleibt schließlich abzuwarten und hängt von den Trilog-Verhandlungen der EU-Institutionen zur e-Evidence-VO ab. 

Fazit 

Liest man den Vorschlag der EU-Kommission zu der geplanten e-EvidenceVerordnung sind die Vorhaben durchaus plausibel und nachvollziehbar. Dennoch bleiben noch einige Fragen ungeklärt und in der praktischen Anwendung wird kein ausreichender Schutz für mehrere betroffene Personengruppen erreicht. Zudem wird der Diensteanbieter in die Position einer Justizbehörde gedrängt, er allein muss entscheiden, ob Daten herausgegeben werden oder nicht ohne eine qualifizierte Überprüfung, die sonst durch Einschaltung einer Justizbehörde erfolgt. Ein Mittel zur Kriminalitätsbekämpfung kann diese Verordnung zwar sein, doch missachtet sie in der jetzigen Form wesentliche Schutzrechte und weist rechtsstaatliche Nachteile auf, die es unbedingt zu beseitigen gilt.  

Im Rahmen eines Kompromissvorschlages hat das EU-Parlament im Dezember 2020 beschlossen interinstitutionelle Verhandlungen über die e-Evidence-Verordnung aufzunehmen. Am 10. Februar 2021 begann der Trilog zwischen den EU-Institutionen unter Führung der portugiesischen Präsidentschaft und am 20. Mai 2021 startet der nächste Trilog-Termin. 

Wir werden Sie über die kommenden Entwicklungen informieren. 

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countrie

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Grundsätzlich gilt, dass ausschließlich die sogenannte “federführende Behörde” für Datenschutzverstöße zuständig sei, so der Generalanwalt des EuGH.

Grenzüberschreitende Zuständigkeit von Datenschutzbehörden  

Einführung 

Der Europäische Gerichtshof (EuGH) befasst sich derzeit in einem Vorabentscheidungsverfahren mit der Frage der grenzüberschreitenden Zuständigkeit von Datenschutzbehörden. Hintergrund der Rechtssache C-645/19 ist ein 2015 entstandener Rechtsstreit zwischen der belgischen Datenschutzbehörde (Gegevensbeschermingsautoriteit) und Facebook Belgium. Die belgische Datenschutzbehörde leitete ein Verfahren gegen Facebook ein und rügte dabei mehrere Datenschutzverstöße, insbesondere die Nutzung von Cookies ohne explizite Einwilligung der Nutzer oder die Datenerhebung auf Webseiten Dritter durch Social Plugins oder Pixel. Facebook ist dabei der Ansicht, dass die belgische Datenschutzbehörde für die Führung des Verfahrens nach Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) gar nicht mehr zuständig sei. Zuständig sei nun lediglich die irische Datenschutzbehörde (Irish Data Protection Commission), da Facebook seinen europäischen Hauptsitz in Irland hat.  

Das Berufungsgericht in Brüssel hat sich schließlich an den EuGH gewandt, um die Frage der grenzüberschreitenden Zuständigkeit von Datenschutzbehörden zu klären. Ein Urteil des EuGH steht derzeit noch aus, der zuständige Generalanwalt Michal Bobek hat in seinen Schlussanträgen aber bereits Stellung genommen. 

Erwägungen des Generalstaatsanwalts 

Zur Beantwortung der Zuständigkeitsfrage bezieht sich der Generalanwalt vor allem auf den Wortlaut des Art. 56 Abs. 1 und Abs. 6 DS-GVO und ist somit der Auffassung, dass für eine grenzüberschreitende Datenverarbeitung ausschließlich die federführende Datenschutzbehörde zuständig sei. Die federführende Datenschutzbehörde ist diejenige, in dessen Hoheitsgebiet sich der Hauptsitz des Unternehmens oder dessen einziger Sitz in der EU befindet. Im vorliegenden Fall wäre das somit die irische Datenschutzbehörde. 

Von der Zuständigkeit der federführenden Datenschutzbehörde sei dann vor allem auch die Einleitung und Führung eines gerichtlichen Verfahrens umfasst. Zwar dürften nationale Datenschutzbehörden bei Verstößen auf ihrem Hoheitsgebiet grundsätzlich tätig werden (Art. 55 Abs. 1 i.V.m. Art. 57 Abs. 1 lit. A DS-GVO), ihre Zuständigkeit sei jedoch ausdrücklich auf nationale Datenverarbeitungsvorgänge beschränkt. Für eine grenzüberschreitende Datenverarbeitung seien die nationalen Datenschutzbehörden gerade nicht zuständig, sofern sie nicht gleichzeitig die federführenden Datenschutzbehörden sind 

Die Zuständigkeitsregelung der DS-GVO bezwecke vor allem die besondere Stellung der federführenden Behörde, um frühere Kooperationsschwierigkeiten und Unsicherheiten bezüglich fremder nationaler Regelwerke endgültig zu beseitigen, so Bobek. Trotz alleiniger Zuständigkeit der federführenden Datenschutzbehörde sei diese aber dennoch dazu angehalten mit den betroffenen nationalen Datenschutzbehörden eng zusammenzuarbeiten.  

Nichtsdestotrotz hält der Generalanwalt es für möglich, dass die nationalen Datenschutzbehörden unter engen Voraussetzungen auch bei grenzüberschreitender Datenverarbeitung tätig werden können. Das ist seiner Ansicht nach der Fall, wenn: 

  1. die nationale Datenschutzbehörde außerhalb des sachlichen Anwendungsbereichs der DS-GVO agiert oder 
  2. die nationale Datenschutzbehörde Untersuchungen zu grenzüberschreitenden Datenverarbeitungen anstellt, die durch Behörden in Ausübung eines öffentlichen Interesses oder öffentlicher Gewalt oder durch Verantwortliche erfolge, die keine Niederlassung in der EU haben oder 
  3. es sich um eine dringliche Mnahme handelt oder 
  4. die federführende Datenschutzbehörde beschlossen habe, selbst nicht tätig zu werden.  

 Fazit  

Es ist festzuhalten, dass nach Ansicht des Generalanwalts Bobek bei einer grenzüberschreitenden Datenverarbeitung lediglich die federführende Datenschutzbehörde zuständig sei. Nur unter engen Voraussetzungen sei es den nationalen Datenschutzbehörden gestattet, selbst ein gerichtliches Verfahren einzuleiten. 

Die Erwägungen des Generalanwalts sind für die Richter am EuGH nicht bindend, es bleibt also abzuwarten, wie das Luxemburger Gericht in der Sache entscheiden wird. Häufig wird jedoch der Auffassung der Generalanwälte gefolgt.  

Ein Urteil des EuGH bezüglich der Zuständigkeit wird nun in den kommenden Monaten erwartet. In der konkreten Rechtssache muss dann im Anschluss noch das belgische Gericht entscheiden.  

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countrie

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

EU-Kommission veröffentlicht ersten Entwurf für einen Angemessenheitsbeschluss für das Vereinigte Königreich

Neues zur Datenübermittlung ins Vereinigte Königreich nach dem Brexit

Aktueller Stand

Nachdem wir zuletzt noch berichtet hatten, dass ein Angemessenheitsbeschluss für die Übermittlung personenbezogener Daten aus der EU in das Vereinigte Königreich derzeit auf sich warten lässt, kommt jetzt endlich Bewegung in die Diskussion.

So hat die Europäische Kommission nun mehr am 19.02.2021 mitgeteilt, dass sie das Verfahren zur Annahme von zwei Angemessenheitsbeschlüssen (1. Allgemeine Datenschutzverordnung und 2. Strafverfolgungsrichtlinie) für die Übermittlung personenbezogener Daten in das Vereinigte Königreich eingeleitet hat.

Vor dem Hintergrund der aktuellen Rechtsunsicherheiten im Zusammenhang mit der Übermittlung persönlicher Daten zwischen Unternehmen auf beiden Seiten des Ärmelkanals sind dies in jedem Fall gute Nachrichten. Zwar wird der Datenverkehr zwischen der EU und dem Vereinigten Königreich aufgrund einer bedingten, im Handels- und Kooperationsabkommen zwischen der EU und dem Vereinigten Königreich vereinbarten Übergangsregelung sichergestellt. Datenübermittlungen personenbezogener Daten aus der EU in das Vereinigte Königreich sollten somit vorübergehend nicht als Übermittlung an einen Drittstaat gelten und sind daher ohne weitere Garantien wie z.B. Standardvertragsklauseln oder Corporate Binding Rules möglich.

Allerdings gilt diese nur bis zu einem etwaigen Angemessenheitsbeschluss durch die Europäische Kommission, längstens jedoch für vier Monate und ist um zwei Monate verlängerbar und läuft insofern spätestens am 30. Juni 2021 aus, so dass die entsprechenden Rechtsfragen wieder neu verhandelt werden müssten.

Derzeit existieren Angemessenheitsbeschlüsse für die Übermittlung personenbezogener Daten in folgende Drittländer:

  • Andorra
  • Argentinien
  • Kanada
  • Färöer-Inseln
  • Guernsey
  • Israel
  • Isle of Man
  • Japan
  • Jersey
  • Neuseeland
  • Schweiz
  • Uruguay

Aussicht und nächsten Schritte

Als nächster Schritt ist die Einholung einer Stellungnahme des Europäischen Datenschutzausschusses (EDPB) vorgesehen, der sich wiederum aus Vertretern der EU-Mitgliedstaaten zusammensetzt. Sobald dieses Verfahren im Weiteren abgeschlossen ist, könnte die Kommission die beiden Angemessenheitsbeschlüsse schließlich erlassen.

Wir werden Sie über die weiteren aktuellen Geschehnisse informieren und verweisen darauf, dass unabhängig der Frage zur Datenübermittlung auch die Benennung eines UK-Vertreters („UK-GDPR Representative“) erforderlich sein könnte, wenn Sie nicht in UK ansässig sind und als Verantwortlicher oder Auftragsverarbeiter personenbezogene Daten von Individuen in UK verarbeiten. Umgekehrt kann es sein, dass Sie einen EU-GDPR Vertreter benötigen, wenn Sie as als Verantwortlicher oder Auftragsverarbeiter personenbezogene Daten von Individuen in der EU verarbeiten. Wir bieten beide Dienste an. Sprechen Sie uns an!

 
 
 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Einen Elektronikhändler aus Niedersachsen erreichte ein Bußgeldbescheid in Millionenhöhe wegen unzulässiger Videoüberwachung von Mitarbeitern.

Bußgeldbescheid in Höhe von 10,4 Millionen € wegen DS-GVO-Verstoß

Einleitung

Im Dezember 2020 erreichte ein Elektronikunternehmen aus Sarstedt ein Bußgeldbescheid der Landesbeauftragten für Datenschutz (LfD) des Landes Niedersachsen. Gerügt wurde ein Verstoß gegen die Datenschutz-Grundverordnung (DS-GVO), namentlich eine unzulässige Videoüberwachung der Mitarbeiter. Das verhängte Bußgeld betrug 10,4 Millionen € und ist somit das bisher höchste Bußgeld, dass die LfD Niedersachen bisher verhängt hat. Im Folgenden beleuchten wir die Grundsätze für eine Videoüberwachung unter der DS-GVO und gehen genauer auf die Begründung der Datenschutzbehörde und die Reaktion des Elektronikhändlers ein.

Wann ist eine Videoüberwachung am Arbeitsplatz zulässig?

Die Videoüberwachung am Arbeitsplatz ist ein heikles Thema und wird deshalb häufig diskutiert. Aus datenschutzrechtlicher Sicht stellt sie einen erheblichen Eingriff in das Persönlichkeitsrecht der Arbeitnehmer dar. Aus diesem Grund darf eine Videoüberwachung nur erfolgen, wenn sie im konkreten Fall gerechtfertigt ist. Eine Rechtfertigung läge bspw. nach Art. 6 Abs. 1 DS-GVO vor, wenn berechtigte Interessen für eine Videoüberwachung bestünden. Hierfür müsste also zunächst ein berechtigtes Interesse des Arbeitsgebers für eine Videoüberwachung gegeben sein. Dieses Interesse, bspw. ein Eigentumsrecht aus Art. 14 GG oder ein Hausrecht, müsste dann das allgemeine Persönlichkeitsrecht der Arbeitnehmer aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG überwiegen.

Es gibt keine starren Höchstfristen für die Speicherung des Videomaterials. Grundsätzlich gilt jedoch, dass die Speicherung der Daten so lange zulässig ist, wie sie zur Zweckerreichung der Videoüberwachung erforderlich ist und keine schutzwürdigen Interessen der Betroffenen entgegenstehen.

Eine Videoüberwachung ist demnach unter den oben genannten strengen Voraussetzungen zulässig. Sofern die Videoüberwachung unzulässig ist, stellt sie einen Verstoß gegen die DS-GVO dar. In einem solchen Fall steht es den Datenschutzbehörden frei, neben oder zusätzlich zu den Maßnahmen aus Art. 58 Abs. 2 DS-GVO, Bußgelder gem. Art. 83 DS-GVO von bis zu 20 Millionen € oder 4 % des Jahresumsatzes (je nachdem was höher ist) zu verhängen.

Begründung der LfD und Reaktion des Elektronikhändlers

Die LfD rügte eine ihrer Ansicht nach unzulässige Videoüberwachung von Mitarbeitern und Kunden, welche über zwei Jahre stattfand. Von den installierten Kameras wurden die Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche erfasst.

Das Unternehmen rechtfertigte die Videoüberwachung zunächst damit, dass Straftaten so schneller ausgeklärt werden können und sie die Kameras vor allem installiert hatten, um den Warenfluss zu verfolgen. Mitarbeiter sollten zu keinem Zeitpunkt kontrolliert oder deren Verhalten analysiert werden.

Aus Sicht der LfD sei die konstante Überwachung jedoch nicht verhältnismäßig und würde einen zu schwerwiegenden Eingriff in die Persönlichkeitsrechte der Betroffenen darstellen. Insb. stünden andere Mittel zur allgemeinen Diebstahlprävention zur Verfügung, namentlich stichprobenartige Taschenkontrollen der Mitarbeiter. Eine wie hier dauerhafte Videoüberwachung der Arbeitnehmer komme einem Generalverdacht sehr nah. Die langfristige Videoüberwachung zur Diebstahlprävention verlange jedoch gerade einen konkreten Verdacht gegen eine bestimmte Person, um ein berechtigtes Interesse des Arbeitgebers zu begründen, welches gegenüber den Persönlichkeitsrechten der Mitarbeiter überwiegt.

Die LfD kritisierte zudem, dass das Videomaterial im vorliegenden Fall 60 Tage lang gespeichert wurde, was ihrer Ansicht nach deutlich zu lange und unverhältnismäßig sei.

Aus Sicht des Elektronikhändlers ist der Bußgeldbescheid unzulässig. Das Unternehmen rügte vor allem, dass der Sachverhalt seitens der LfD nicht ausreichend ermittelt wurde. Sie hätten Mitarbeiter der Behörde innerhalb der zwei Jahre häufiger eingeladen und dazu aufgerufen, sich die Überwachungssituation vor Ort genauer anzusehen. Dem sei die Behörde jedoch nicht nachgekommen.  Zudem sei die Höhe des Bußgeldes unverhältnismäßig und stünde nach Angaben des Geschäftsführers „in keiner Relation zur Größe und Finanzkraft des Unternehmens sowie zur Schwere des angeblichen Verstoßes“.

Fazit

Es ist festzuhalten, dass die Videoüberwachung am Arbeitsplatz nur unter strengen Voraussetzungen erlaubt ist, um die Persönlichkeitsrechte der Mitarbeiter zu wahren. Ein Verstoß gegen die Voraussetzungen der DS-GVO berechtigt die Datenschutzbehörden dann im Ergebnis dazu, hohe Bußgelder gegen die Unternehmen zu verhängen. Die LfD Niedersachsen und das Elektronikunternehmen sind bezüglich der Zulässigkeit des Bescheides und der Höhe des Bußgeldes unterschiedlicher Auffassungen. Aus diesem Grund ist der Bußgeldbescheid auch noch nicht rechtskräftig. Das Unternehmen hat Einspruch gegen ihn eingelegt, sodass im weiteren Verlauf ein Gericht über den Fall zu entscheiden hat. Es ist demnach abzuwarten, wie das zuständige Gericht den Sachverhalt beurteilen wird. Es bleibt also spannend, ob das horrende Bußgeld seitens der Justiz als angemessen und gerechtfertigt angesehen wird.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir erklären die arbeitsrechtlichen Maßnahmen bei unterlassener Meldepflicht hinsichtlich Datenschutzvorfällen.

Fehlerkultur im Zusammenhang mit Datenpannen

Spannungsfeld zwischen Meldepflicht und arbeitsrechtlichen Sanktionen

Die Zahl bei den Landesaufsichtsbehörden für den Datenschutz gemeldeten Datenvorfällen ist seit Einführung der DS-GVO gestiegen. Allein in  NRW wurden im Jahr 2019 12.500 Fälle gemeldet. Davon waren 2.235 Meldungen sog. Datenpannen gem. Art. 33 DS-GVO. Die  Datenpannen werden häufig durch die eigenen Mitarbeiter verursacht. Dies geschieht unter anderem durch das Öffnen von Phishing-Emails, Datenweitergabe an Unbefugte, etwa in Form von fehladressierten E-Mails, oder das Unterlassen von Updates. Die Folgen für das Unternehmen können verheerend sein. Neben den datenschutzrechtlichen Sanktionen, insbesondere hoher Geldbußen, erwartet das Unternehmen auch einen Imageschaden. Die Meldung eines solchen Vorfalls dient daher als zentrale organisatorische Maßnahme im Unternehmen und sorgt für den Schutz der IT-Infrastruktur und somit auch des Datenschutzes. Dennoch kommen viele Arbeitnehmer ihrer Meldepflicht aus Furcht vor den arbeitsrechtlichen Konsequenzen nicht nach. 

Was sind die Voraussetzungen für die Meldepflicht? 

Die Meldepflicht des Arbeitgebers an die entsprechenden Aufsichtsbehörden bei Datenpannen ergibt sich aus Art. 33 DS-GVO. Die DS-GVO sieht jedoch kein standardisiertes Vorgehen für die Meldung durch den Arbeitnehmer vor.  Die Meldepflicht von Arbeitnehmern für IT-Sicherheits- und Datenschutzvorfälle ergibt sich zum einen aus dem Arbeitsverhältnis und zum anderen aus den vom Arbeitgeber eingeführten Security Policies ergibt.   

Voraussetzung für die Meldepflicht ist das Wissen des Mitarbeiters über IT- oder Datenschutzvorfälle. Zudem dient die Meldepflicht dazu, dass der Mitarbeiter seiner Schadensminderungspflicht gegenüber seinem Arbeitgeber nachkommt. 

Bei Verletzung der Meldepflicht sind die arbeitsrechtlichen Konsequenzen meist abhängig vom Schweregrad des Sicherheitsfehlers. Bei schweren Pflichtverletzungen ist eine ordentliche oder fristlose Kündigung möglich, wie es beim aktuellen Datenschutzvorfall des VfB Stuttgarts zu sehen ist Bei weniger schweren Pflichtverletzungen kommt vielleicht nur eine Abmahnung in Betracht. Letztlich entscheidet der Einzelfall. Da man aber nicht direkt die Schwere des Schadens abschätzen kann, könnte sich aus einem Bagatellschaden noch ein größerer Sicherheitsschaden entstehen und schließlich doch zu härteren arbeitsrechtlichen Konsequenzen führen. Die Beweislast trifft  in der Regel den Arbeitgeber. 

Die angedrohten Sanktionen und die darin enthaltene Selbstbelastung können dazu führen, dass die Mitarbeiter die Sicherheitsvorfälle nicht anzeigen und es kommt zu einem Unterlassen der Meldepflicht.  

Verzicht auf arbeitsrechtliche Sanktionen?  

Die arbeitsrechtlichen Grundsätze zum innerbetrieblichen Schadenausgleich besagen, dass der Arbeitnehmer nur haftet bei Vorsatz und grober Fahrlässigkeit, sowie bei mittlerer Fahrlässigkeit nur anteilig haftet. Bei Vorfällen, die auf fahrlässiges oder leicht fahrlässiges Verhalten des Arbeitnehmers basieren, könnte demnach auf eine arbeitsrechtliche Sanktion verzichtet werden.  

Auf diese Weise können die Mitarbeiter motiviert werden ihre Meldepflicht einzuhalten, selbst wenn ein Fehlverhalten ihrerseits vorliegt. Dem Arbeitgeber ist diese Überlegung zu empfehlen, da er auf die zeitnahe Meldung des Arbeitsnehmers angewiesen ist, um größere Schäden am Unternehmen zu vermeiden. Ein gänzlicher Verzicht ist in der Praxis nicht möglich, da sich die Arbeitnehmer sonst nicht mehr verpflichtet fühlen würden die arbeitsrechtlichen Regelungen einzuhalten. Ferner muss der Arbeitgeber in der Lage sein der eigenen gesetzlichen Meldepflicht nachzukommen, die im Fall von Art. 33 DS-GVO innerhalb von 72 Stunden nach Kenntniserlangung erfolgen muss. Die Frist wird auch dann ausgelöst, wenn ein Wissensvertreter Kenntnis über die Datenpanne erlangt hat.  

Zusätzliche Maßnahmen zur Einhaltung der Meldepflicht? 

Der Arbeitgeber sollte interne Prozesse festlegen, um Verletzungen des Schutzes personenbezogener Daten aufdecken und abstellen zu können. Dazu kann ein “incident response plan” eingeführt werden, der eine umgehende Weiterleitung an die Führungsebene ermöglicht. Diesbezüglich helfen interne Richtlinien weiter, welche u.a die Definition von Datenpannen umfasst und die Verantwortlichen sowie weitere Ansprechpartner nennt. 

Im Allgemeinen empfiehlt es sich, die Mitarbeiter für das Thema Meldepflicht und die damit einhergehenden Schäden besser zu sensibilisieren. Denn um den Mitarbeiter überhaupt in die Haftung miteinzubeziehen, muss dieser auch fähig sein IT-Sicherheits- und Datenschutzvorfälle zu erkennen. Sensibilisierungsmaßnahmen können in Form von IT-Security-Schulungen oder Awareness Trainings erfolgen.  

In Anlehnung an die Whistle-Blower-Fälle könnte man ein anonymisiertes und/oder pseudonymisiertes Meldesystem einrichten, welches eine „sichere“ Meldung von Vorfällen ermöglicht. Der Nachteil an einem Meldesystem ist jedoch meist die gänzliche Pflichtentbindung des Arbeitnehmers bei Verursachung eines Sicherheitsfehlers. 

LAG Kiel nimmt eine andere Betrachtung vor 

Das LAG Kiel hat in einem Urteil vom 06.08.2019 entschieden, dass die Meldung einer Datenpanne keine arbeitsvertragliche Pflicht des Arbeitnehmers darstellt. Im betreffenden Fall hat der Arbeitgeber ein standardisiertes Meldeverfahren in Form einer Arbeitsanweisung festgelegt. Die inhaltlichen Vorgaben der Arbeitsanweisung stellten laut LAG Kiel ein Ordnungsverhalten dar, welches der zwingenden Mitbestimmung des Betriebsrates gem. § 87 Abs.1 Nr.1 BetrVG unterliegt. 

Dabei verkennt das Gericht allerdings die ständige Rechtsprechung des Bundesarbeitsgerichts, wonach positiv festgestellt werden muss, ob eine Maßnahme die betriebliche Ordnung betrifft. Eine derartige Feststellung ist der Entscheidung des LAG Kiel nicht zu entnehmen.  

Diese Entscheidung des LAG Kiel ist insbesondere auch in eiligen Datenschutzfällen fragwürdig. Denn liegt eine mitbestimmungswidrige Anweisung des Arbeitgebers vor, ist diese nicht verbindlich für den Arbeitnehmer. Der Arbeitnehmer ist somit nicht verpflichtet eine Datenpanne zu melden. Gerade im Hinblick auf die Meldefrist für den Arbeitgeber durch die DS-GVO erscheint diese Vorgehensweise nicht praktikabel. 

Abzuwarten bleibt, ob und wie das BAG sich zu dieser Betrachtung äußert. 

Fazit 

Unter Berücksichtigung dieser Erkenntnisse lohnt es sich also für den Arbeitgeber auf Sanktionen wie Abmahnung oder Kündigung in gewissen Fällen zu verzichten. Statt übermäßiger Sanktionierung sollte im Unternehmen eine umfassende Aufklärung über die Meldepflicht und die Konsequenzen bei Unterlassung erfolgen, damit die Arbeitnehmer bei Erkennen eines Datenschutzvorfalls schneller agieren. Ferner sollte eine Abstimmung mit den Sozialpartnern erfolgen, damit keine Komplikationen bei Einführung von Meldesystemen entstehen. 

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countrie

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir erklären die ergänzenden Maßnahmen zur Standarddatenschutzklausel.

Gibt es noch Hoffnung für den US-Datentransfer?

Einleitung

Im Juli diesen Jahres kippte der Europäische Gerichtshof den transatlantischen „Privacy Shield“. Dieses Urteil hatte und hat weitreichende Auswirkungen auf den Datentransfer zwischen der EU und den Vereinigten Staaten. Um dennoch einen Datentransfer zu gewährleisten, werden nun ergänzende Maßnahmen vorgeschlagen, die in Verbindung mit den Standarddatenschutzsklauseln einen gleichwertigen Datenschutz darstellen sollen. Dazu hat das European Data Protection Board (EDPB) eine schriftliche Empfehlung zur praktischen Vorgehensweise veröffentlicht. 

Diese Empfehlungen beinhalten zunächst einen Sechs-Schritte-Plan, in dem es vorrangig darum geht, wie Daten sicher übermittelt werden können. Im Anschluss daran erfolgt dann eine Erläuterung über die neuen ergänzenden Maßnahmen. Diese sollen in Kombination mit bereits bestehenden Transfer Tools eingesetzt werden, um einen gleichwertig geschützten Datentransfer in Drittländer vornehmen zu können, insbesondere dort wo der Schutz allein aufgrund der Standarddatenschutzklauseln nach dem Urteil nicht mehr gewährleistet ist. 

Was für ergänzende Maßnahmen sind das? 

Es gibt drei Kategorien, in die die Maßnahmen eingeteilt sind: technisch, vertraglich und organisatorisch.  

Die technischen Maßnahmen betreffen überwiegend die Verschlüsselung und Pseudonymisierung von Daten einer Datenübermittlung. Diesbezüglich werden in den Empfehlungen Fallbeispiele angeführt, wie die Datenspeicherung bei einem externen Provider oder die Verschlüsselung bei Durchquerung des Drittlandes aussehen sollte, um nach Ansicht des EDPB als angemessene Maßnahme zu gelten. Insbesondere soll eine Verschlüsselung und Pseudonymisierung vor der Datenübermittlung erfolgen, womit eine Entschlüsselung beim Übermittlungs– und Verarbeitungsprozess durch unberechtigte Parteien unmöglich gemacht oder zumindest erschwert werden soll. Allerdings sind derartige technische Maßnahmen bei Cloud-Anbietern oder bei Fernzugriffen auf Geschäftsdaten regelmäßig nur schwer umsetzbar, da in beiden Bereichen eine Verschlüsselung die Arbeitsprozesse behindern kann. 

Die vertraglichen Maßnahmen umfassen die Einführung verpflichtender Klauseln zur Absicherung der technischen Maßnahmen, Informationspflichten, verstärkte Kontrollrechte, Mitteilungspflichten sowie die Anfechtung von behördlichen Anordnungen. 

Die organisatorischen Maßnahmen dienen der angemessenen Umsetzung und Erhaltung der zuvor benannten Maßnahmen. Sie können aus internen Richtlinien, Organisationsmethoden sowie Standards bestehen, die die verantwortlichen Parteien anwenden und auch den Datenimporteuren in Drittländern auferlegt werden können. Des Weiteren wird die Durchführung entsprechender Schulungen empfohlen, um Mitarbeiter für die Überprüfung dieser Prozesse auszubilden. 

Können diese Maßnahmen den Datentransfer in die Vereinigten Staaten sichern?  

Die schriftlichen Empfehlungen legen sich nicht auf die Vereinigten Staaten fest, sondern umfassen allgemein Drittstaaten, wozu nach Wegfall des Privacy Shields nun eben auch die Vereinigten Staaten zählen. Da die Einstellung des Datentransfers in die Vereinigten Staaten wirtschaftlich betrachtet höchst problematisch und nahezu unmöglich ist, zumindest zum gegenwärtigen Zeitpunkt, kann man nur vermuten, dass das EDPB angesichts der verhältnismäßig schnellen Veröffentlichung seiner Empfehlungen dieses Problem erkannt hat und den betroffenen Unternehmen dennoch Möglichkeiten an die Hand geben will, um einen Datentransfer in die Vereinigten Staaten zu legitimieren. Die Anwendbarkeit und Legitimierungswirkung der empfohlenen Maßnahmen sei erst einmal dahingestellt, da die Maßnahmen zumindest dann nicht ausreichend sein können, wenn die Datenimporteure und das Telekommunikations-Sicherheitsgesetz der Vereinigten Staaten (FISA) fallen  

So wurde im Schrems-II-Urteil zwar die weitere Nutzung von Standardvertragsklauseln als zulässig erachtet, aber zusätzlich vor deren Nutzung muss nunmehr von den Datenexporteuren und –importeuren geprüft werden, ob die Standardvertragsklauseln einen ausreichenden Schutz bieten oder ggf. noch weitere Maßnahmen zur Gewährleistung des Datenschutzes erfolgen müssen. Für die Vereinigten Staaten dürfte dies meist der Fall sein. Darüber hinaus ist aber auch jedes andere Drittland betroffen, sofern es nicht den europäischen Datenschutzstandards gerecht wird.  

Wie sieht die praktische Umsetzbarkeit aus? 

Die Einsetzung der ergänzenden Maßnahmen ist hilfreich, allerdings ist die praktische Umsetzung schwierig. Zu einer umfassenden Dokumentationspflicht kommt hinzu, dass die ergänzenden Maßnahmen viele individuelle Absprachen zwischen den datenverarbeitenden Parteien erfordern. Zudem garantiert die Einsetzung einer einzelnen Maßnahme nicht automatisch den erforderlichen Datenschutz. Ganz im Gegenteil muss eine konkrete Abwägung der verschiedenen Maßnahmen vorgenommen werden, die im jeweiligen Drittland zum Einsatz kommen sollen. Denn jedes Drittland hat verschiedene Gesetze und Regelungen, die Auswirkungen auf das EU-Datenschutzniveau haben und daher andere Maßnahmen erforderlich machen. Daher ist es unabdingbar, dass diverse Informationsquellen über das Zielland herangezogen werden. Dazu zählen Rechtsprechung der Europäischen Union, Berichte von zwischenstaatlichen Organisationen, nationale Rechtsprechung und Einschätzungen und Berichte von nationalen oder europäischen Datenschutzbehörden (wie bspw. des EDPB) Letztlich muss immer eine Einzelfallentscheidung getroffen werden, die auch eine Kombination aus mehreren Maßnahmen voraussetzen kann 

Fazit 

Folglich gibt es nicht den einen Lösungsweg. Doch bieten die Empfehlungen eine Orientierungshilfe, um den Datentransfer in Drittländer dennoch anhand von Standardvertragsklauseln zu ermöglichen. Bei alldem gilt es die eigene Verantwortlichkeit für den Datentransfer zu beachten. Daher sollten Datenexporteure und –importeure die Empfehlungen des EDPB vor der Datenübermittlung oder Datenverarbeitung berücksichtigen und sich detailliert über die Regelungen im Drittland informieren, in welches die Daten transferiert oder verarbeitet werden.  

In diesem Zusammenhang ist es auch empfehlenswert den neuen Entwurf der SCCs zu lesen, welcher vermutlich zu Beginn des nächsten Jahres in Kraft treten wird und die Verordnung von 2010 ablösen soll. Bis zum 10.12.2020 hatten Betroffene die Möglichkeit sich zu diesem Entwurf zu äußeren. Besonders besorgt sind einige Betroffene über den Umsetzungszeitraum von einem Jahr ab Inkrafttreten, da viele Forderungen in der Praxis nicht entsprechend schnell umgesetzt werden können.  

Zwar greift der neue Entwurf die oben benannten Maßnahmen auf und wird auf diese Weise den Anforderungen des Schrems-II-Urteils gerecht, aber für die Unternehmen bedeutet das, dass sie mit erheblichem Aufwand eine umfassende Übersicht über ihre Datentransfers vornehmen müssen. 

 

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countrie

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Bisher ist noch kein Angemessenheitsbeschluss für das Vereinigte Königreich in Sicht. Wir erläutern, was für einen solchen Beschluss sprechen könnte und warum auch Bedenken bestehen.

Neues zur Datenübermittlung ins Vereinigte Königreich nach dem Brexit

Einführung

Großbritannien ist am 31.01.2020 aus der EU ausgetreten und seitdem kein Mitgliedstaat mehr. Bis zum 31.12.2020 dauert jedoch noch der sog. Übergangszeitraum an, in dem EU-Recht, vor allem die Datenschutz-Grundverordnung (DS-GVO) noch direkte Anwendung findet. Wie zuvor berichtet, wird das Vereinigte Königreich ab dem 01.01.2021 dann zum Drittland im Sinne der DS-GVO, sodass ein Datentransfer nur noch anhand der Art. 44 ff. DS-GVO zulässig ist. Ein uneingeschränkter Drittlandstransfer bedarf demnach eines Angemessenheitsbeschlusses der Europäischen Kommission, der besagt, dass in dem jeweiligen Drittland ein angemessenes, mit dem der EU vergleichbares, Datenschutzniveau vorliegt. Sofern kein Angemessenheitsbeschluss vorliegt, kann eine Datenübermittlung anhand geeigneter Garantien stattfinden: es kann vor allem auf Standardvertragsklauseln oder Binding Corporate Rules (BCRs) zurückgegriffen werden.

Angemessenheitsbeschluss für das Vereinigte Königreich?

Bisher hat die EU-Kommission noch keinen Angemessenheitsbeschluss für einen Datentransfer in das Vereinigte Königreich erlassen. Es bleibt also abzuwarten, ob und wie schnell sich die Kommission entscheiden wird.

Fraglich ist, ob das Datenschutzniveau in Großbritannien als angemessen angesehen wird. Dafür könnte zunächst sprechen, dass das Vereinigte Königreich maßgeblich im Prozess der Entstehung und Einführung der DS-GVO (als Mitgliedstaat) beteiligt war und 2018 den UK-DPA (Data Protection Act) erlassen hat, welcher viele Regelungen aus der DS-GVO aufgegriffen und umgesetzt hat. Im Zuge des Erlasses der UK-GDPR 2019 hat die Rechtslage sich im Vereinigten Königreich nun weitgehend der DS-GVO angenähert. Deswegen hatten sich viele Menschen und vor allem Unternehmen erhofft, dass der Angemessenheitsbeschluss nur eine Formalität ist und deshalb zügig von der EU-Kommission erlassen wird, um schnellstmöglich Rechtssicherheit zu schaffen. Dies ist nun nicht der Fall; die Kommission überprüft derweil eingehend das Datenschutzniveau in dem ehemaligen Mitgliedstaat.

Einem Angemessenheitsbeschluss könnte jedoch die neuere Rechtsprechung des Europäischen Gerichtshofs (EuGH) und ein Abkommen zwischen dem Vereinigten Königreich und den Vereinigten Staaten entgegenstehen, bzw. diesen erschweren.

Im Folgenden wird näher auf die Auswirkungen des zuvor erwähnten Abkommens und der EuGH-Rechtsprechung auf einen möglichen Angemessenheitsbeschluss eingegangen.

Auswirkungen des Datenschutzabkommens zwischen den USA und dem Vereinigten Königreich?

Die USA und das Vereinigte Königreich haben Ende 2019 ein Abkommen getroffen, welches die Strafverfolgungsbehörden des jeweils anderen Landes dazu ermächtigt, zum Zwecke der Strafverfolgung umfangreichen Zugang zu elektronischen Beweismitteln, einschließlich personenbezogenen Daten, die sich im Besitz eines Unternehmens mit Sitz im jeweils anderen Land befinden, zu erlangen (Agreement between the UK and US on Access to Electronic Data for the Purpose of Countering Serious Crime). Am 28.02.2020 trat das Abkommen dann in Kraft. Der Europäische Datenschutzausschuss (European Data Protection Board, EDPB) hat in einem Brief bereits seine Bedenken bezüglich des Abkommens geäußert und klargestellt, dass es auch Einfluss auf die Abgabe eines möglichen Angemessenheitsbeschlusses hat. Der Datenschutzausschuss kritisierte vor allem, dass aus dem Abkommen nicht eindeutig hervorgehe, dass die Beantragung der Datenauskunft der vorherigen gerichtlichen Genehmigung bedürfe. Zudem sei nicht ersichtlich, dass das getroffene Abkommen in Bezug auf den Datenschutz Vorrang vor anderen innerstaatlichen Gesetzen, wie bspw. dem Cloud Act in den USA habe. Dies sei jedoch notwendig, damit ein Abkommen dem Schutzniveau der EU gerecht werde, vor allem, wenn das Land keinen Angemessenheitsbeschluss der EU-Kommission vorweisen könne.

Auswirkungen der Nichtigkeit des Privacy Shields auf einen Angemessenheitsbeschluss?

Auch die Nichtigkeit des Privacy Shields könnte Auswirkungen auf den Erlass eines Angemessenheitsbeschlusses des Vereinigten Königreichs haben. Wie zuvor berichtet, ist das Privacy Shield vom EuGH am 16.07.2020 für ungültig erklärt worden, weil den US-Geheimdiensten und -Behörden zu umfangreiche Befugnisse bezüglich des Zugriffs und des Sammelns von personenbezogenen Daten aufgrund innerstaatlicher Gesetze zustehen und dass Nicht-US-Bürger sich nicht ausreichend gegen einen möglichen Verstoß ihrer Rechte wehren konnten.

Im Vereinigten Königreich könnte es nun ähnlich aussehen, da sie aufgrund ihrer ebenfalls weitgehenden Überwachungsgesetze im Investigatory Powers Act und mit der Mitgliedschaft in der Five Eyes Alliance (UKUSA-Vereinbarung), ihren Behörden auch in großem Umfang Zugriff auf personenbezogene Daten ermöglichen. Aus der Rechtsprechung des EuGH zum Privacy Shield geht jedoch klar hervor, dass ausladende Überwachungsgesetze als nicht vereinbar mit dem EU-Datenschutzniveau angesehen werden. Die Nichtigkeit des Privacy Shields schmälert demnach die Chancen für einen Angemessenheitsbeschluss des Vereinigten Königreichs.

Auswirkungen der EuGH-Rechtsprechung zu Privacy International?

Kürzlich hat der EuGH in der Sache Privacy International (Urteil vom 06.10.2020, Az. C-623/17) geurteilt, dass die britische Regelung zur umfangreichen und anlasslosen Vorratsdatenspeicherung nach dem EU-Recht nicht zulässig sei. Britische Überwachungsgesetze wie der Investigatory Powers Act, welcher britischen Sicherheitsbehörden weitreichende Befugnisse zum Sammeln und Speichern von personenbezogenen Daten der Bevölkerung verschafft, würden gegen die EU-Grundrechte verstoßen.

Daraus folgt, dass das Datenschutzniveau von den Luxemburger Richtern als nicht angemessen angesehen wird. Dies wird sicherlich auch für die Kommission von entscheidender Bedeutung sein. Das Urteil wird einen möglichen Angemessenheitsbeschluss nun erheblich erschweren, gerade weil das Privacy Shield unter anderem wegen zu umfangreicher Befugnisse der Geheimdienste und Sicherheitsbehörden gekippt wurde. Im Vereinigten Königreich ist die Situation nun sehr ähnlich.

Fazit

Nun bleibt es weiter abzuwarten, wie die Europäische Kommission bezüglich des Angemessenheitsbeschlusses entscheiden wird. Aufgrund der neueren EuGH-Rechtsprechung ist ein Angemessenheitsbeschluss jedoch eher unwahrscheinlich. Ein Datentransfer in das Vereinigte Königreich muss ab dem 01.01.2021 also zunächst über Standardvertragsklauseln oder BCRs erfolgen.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!