Skip to content

Wir beleuchten, wie das Merkmal der Angemessenheit zum Schutz von Geheimnissen nach dem Geschäftsgeheimnisgesetz auszulegen ist.

Schutz von Geschäftsgeheimnissen
nach § 2 Nr. 1 GeschGehG

Einleitung

Wie zuvor berichtet, ist seit dem 26. April 2019 das neue Geschäftsgeheimnisgesetz (GeschGehG) in Kraft getreten, welches der Umsetzung der Geschäftsgeheimnis-Richtlinie 2016/943/EU dient.

Vor Umsetzung der Richtlinie ins deutsche Recht wurden Geschäftsgeheimnisse in § 17 des Gesetzes gegen den unlauteren Wettbewerb (UWG) geschützt. Hier wurde für die Klassifikation als Geschäftsgeheimnis und demnach dem Schutz der Information lediglich ein subjektiver Wille zur Geheimhaltung als ausreichend angesehen. Der Anwendungsbereich des GeschGehG ist hingegen klarer eingegrenzt und schützt nur solche Informationen, welche auch objektiv als Geschäftsgeheimnisse zu qualifizieren sind. Gemäß § 2 Nr. 1 GeschGehG liegt ein zu schützendes Geschäftsgeheimnis vor, wenn die jeweilige Information nur einem begrenzten Personenkreis zugänglich und daher von wirtschaftlichem Wert ist, angemessene Geheimhaltungsmaßnahmen ergriffen wurden und ein berechtigtes Interesse an der Geheimhaltung der Information besteht.

Was unter angemessen Geheimhaltungsmaßnahmen zu verstehen ist, ist eine Frage der Auslegung. Im Folgenden wird das Merkmal der Angemessenheit der Geheimhaltungsmaßnahmen näher beleuchtet.

Gesetzesbegründung

In der Gesetzesbegründung (Drucksache 19/4724, S. 24) wird ausgeführt, dass die Art der Geheimhaltungsmaßnahme von der Art des Geschäftsgeheimnisses und den konkreten Umständen der Nutzung abhängt. In Betracht kämen insbesondere physische Zugangsbeschränkungen oder vertragliche Sicherungsmechanismen.

Ob die jeweiligen Geheimhaltungsmaßnahmen angemessen sind, hängt demnach vom Einzelfall ab und kann folgende Kriterien umfassen:

  • Wert des Geschäftsgeheimnisses und dessen Entwicklungskosten,
  • Bedeutung für das Unternehmen,
  • übliche Geheimhaltungsmaßnahmen im Unternehmen (Zugangssperren, Passwörter, IT-Sicherheitsmaßnahmen),
  • Art der Kennzeichnung der Information,
  • Verschwiegenheitsverpflichtungen mit Arbeitnehmern und Geschäftspartnern.

Eine eindeutige Konkretisierung ist also nicht vorhanden. Vielmehr muss die Gesamtsituation zur Beurteilung der Angemessenheit herangezogen werden. In der Geschäftsgeheimnis-Richtlinie wird ebenfalls nicht näher auf den Begriff der Angemessenheit eingegangen.

Auslegung unter Berücksichtigung der Normhistorie

Da die Gesetzbegründung die Angemessenheit nicht näher definiert, muss für eine weitere Konkretisierung des Begriffs auf die Normgeschichte der Richtlinie zurückgegriffen werden. Die Geschäftsgeheimnis-Richtlinie nimmt in ihren Vorbemerkungen Bezug auf das 1994 von den Gründungsmitgliedern der Welthandelsorganisation (WTO, World Trade Organization) beschlossene „Abkommen über handelsbezogene Aspekte der Rechte des geistigen Eigentums“ (TRIPS-Abkommen). Das TRIPS-Abkommen setzt in Art. 39 Nr. 2 lit. c) für den Geschäftsgeheimnisbegriff voraus, dass angemessene Schritte unternommen wurden, um die betroffene Information geheim zu halten. Allerdings wird auch im TRIPS-Abkommen nicht näher darauf eingegangen, was genau unter angemessenen Maßnahmen zu verstehen ist. Demnach ist zum weiteren Verständnis des Begriffs der Angemessenheit auf die Normhistorie des TRIPS-Abkommens einzugehen.

Das TRIPS-Abkommen hat eine Formulierung des US-amerikanischen Uniform Trade Secrets Act (UTSA) übernommen. Der Uniform Trade Secrets Act definiert Geschäftsgeheimnisse (“trade secrets”) in Sec. 1 (4) als Informationen, einschließlich Formeln, Mustern, Kompilationen, Programmen, Vorrichtungen, Methoden, Techniken oder Verfahren, die einen unabhängigen wirtschaftlichen Wert, ob tatsächlich oder potenziell, daraus ableiten, dass sie anderen Personen, die aus seiner Offenlegung oder Nutzung wirtschaftlichen Wert erhalten können, nicht allgemein bekannt sind und nicht ohne weiteres mit angemessenen Mitteln ermittelt werden können. Zudem müssen den Umständen nach angemessenen Maßnahmen unternommen wurden, um die betroffenen Informationen geheim zu halten.

Nach Ansicht der englischsprachigen Literatur bedarf es für die Angemessenheit der Geheimhaltungsmaßnahmen weder der absoluten noch der größtmöglichen Sicherheit. Stattdessen soll das Erfordernis der Angemessenheit der Maßnahmen bewirken, dass Personen, die mit einem Geschäftsgeheimnis in Berührung kommen, sich diesem Umstand aufgrund äußerer Anzeichen bewusst oder sich dessen nur durch eigene Fahrlässigkeit nicht bewusst sind. Die Formulierung „den Umständen nach“ impliziert, dass die Größe des Unternehmens einen entscheidenden Einfluss auf die Beurteilung der Angemessenheit haben dürfte. Zusätzlich zu den allgemeinen Sicherungsmaßnahmen im Unternehmen ist es unerlässlich für den Geheimnisschutz, dass die betroffene Information den vorgebrachten Sicherungsmaßnahmen unterlegen haben muss. Wenn sich jedoch bereits aus persönlichen und beruflichen Sonderbeziehungen eine Geheimhaltungspflicht ergibt, beispielsweise im Verhältnis zwischen dem Anwalt und seinen Mandaten, sind keine weiteren Maßnahmen notwendig.

Praxis

In der Praxis sollten zum Schutz von Geschäftsgeheimnissen grundlegende Maßnahmen getroffen werden. Unternehmen sollten vertragliche Maßnahmen ergreifen, welche bereits in die Arbeitsverträge aufgenommen werden. Es empfiehlt sich jedoch, besonders vertrauliche Dokumente als solche zu kennzeichnen. Zudem sind organisations- und informationstechnische Regelungen zu treffen. In der täglichen Organisation sollte insbesondere sichergestellt werden, dass nur berechtige Mitarbeiter Zugriff auf entsprechende geheime Informationen bekommen. Darüber hinaus sollten sicherheitstechnische Maßnahmen umgesetzt werden. Hierzu bedarf es meist eines angepassten Sicherheitskonzepts.

Inwiefern hier ein Rückgriff auf die Regelungen der Datenschutz-Grundverordnung (DS-GVO) möglich ist, ist fraglich. Das GeschGehG und die DS-GVO verfolgen unterschiedliche Zwecke. Die DS-GVO dient dem Schutz personenbezogener Daten, das GeschGehG eben nur dem Schutz von Geschäftsgeheimnissen. Für personenbezogene Daten gilt die DS-GVO automatisch. Das GeschGehG entfaltet hingegen erst Wirkung nachdem angemessene Geheimhaltungsmaßnahmen ergriffen worden sind.

Fazit

Da im deutschen Recht der Begriff der Angemessenheit im Rahmen von Geheimhaltungsmaßnahmen neu ist, ist damit zu rechnen, dass die Rechtsprechung diesen noch näher konkretisieren wird. Diese Aufgabe hat der europäische Gesetzgeber offensichtlich der Rechtsprechung überlassen, da Erwägungsgrund 14 der Geschäftsgeheimnis-Richtlinie explizit eine homogene Definition des Geschäftsgeheimnisses, und damit auch der Angemessenheit der Geheimhaltungsmaßnahmen, verlangt.

Bis dahin bietet es sich an, sich an den Grundsätzen des amerikanischen Rechts zu orientieren. Nicht nur, weil der europäische Begriff der Angemessenheit der Maßnahmen auf den amerikanischem zurückzuführen ist, sondern auch, weil insbesondere internationale Unternehmen darauf zurückgreifen.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir erklären, welche Voraussetzungen gelten und wie das Recht auf Einschränkung vom Recht auf Löschung abzugrenzen ist.

Das Recht auf Einschränkung der Verarbeitung nach Art. 18 DS-GVO

Einleitung

Artikel 18 der Datenschutz-Grundverordnung (DS-GVO) enthält das Recht auf Einschränkung der Verarbeitung von personenbezogenen Daten. Als Initiativrecht des Betroffenen muss es geltend gemacht und beantragt werden, um als gewünschte Rechtsfolge die Begrenzung der Datenverarbeitung herbeizuführen. Unter Einschränkung der Verarbeitung ist gem. Art. 4 Nr. 4 DS-GVO „die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken“, zu verstehen. Eine Markierung ist ein unmissverständlicher Einschränkungsvermerk im System des Verantwortlichen (s. Erwägungsgrund 67 der DS-GVO). Abzugrenzen ist Art. 18 DS-GVO vom Recht auf Löschung aus Art. 17 DS-GVO, bei dem die personenbezogenen Daten vollständig gelöscht und nicht nur wie bei Art. 18 DS-GVO deren Verarbeitung eingeschränkt.

Voraussetzungen

Voraussetzungen Ein Einschränkungsrecht steht nicht jedem zu: um eine Einschränkung der Verarbeitung verlangen zu können, muss der Betroffene eine der in Art. 18 Abs. 1 lit a-d DS-GVO genannten Voraussetzungen erfüllen. Dies ist der Fall, wenn der Betroffene die Richtigkeit der verarbeiteten Daten bestreitet (lit. a) oder er Widerspruch gegen die Verarbeitung eingelegt hat (lit. d). Die Einschränkung der Datenverarbeitung gilt dann für die Zwischenzeit, in der Abwägungsentscheidungen bezüglich der Verarbeitung getroffen werden.

Ein Einschränkungsrecht steht dem Betroffenen zudem alternativ zu einem Löschungsrecht aus Art. 17 DS-GVO zu. Gem. Art. 18 Abs. 1 lit. b DS-GVO kann der Betroffene eine Einschränkung verlangen, wenn die Verarbeitung seiner personenbezogenen Daten unrechtmäßig erfolgt, er eine Löschung aber explizit ablehnt. Des Weiteren steht dem Betroffenen ein Einschränkungsrecht gem. Art 18 Abs. 1 lit. c DS-GVO zu, wenn die personenbezogenen Daten vom Verantwortlichen zur Verarbeitung nicht länger benötigt werden, der Betroffene sie aber nicht löschen will, weil die Daten noch zur Geltendmachung seiner Rechtsansprüche gebraucht werden. Demnach setzen lit. b und c voraus, dass dem Betroffenen ein Löschungsrecht zusteht, er dieses jedoch ablehnt und die (mildere) Einschränkung der Verarbeitung verlangt. Dies liegt daran, dass eine Löschung in einigen Fällen nicht dem berechtigten Interesse des Betroffenen entspricht, sodass eine Einschränkung praktikabler erscheint.

Rechtsfolgen

Sobald ein Betroffener sein Recht auf Einschränkung geltend gemacht hat, dürfen seine personenbezogenen Daten gem. Abs. 2 nur noch mit seiner Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen verarbeitet werden. Darüber hinaus kann eine Datenverarbeitung trotz Einschränkung erfolgen, wenn sie dem Schutz der Rechte anderer natürlicher oder juristischer Personen dient oder aus Gründen eines wichtigen öffentlichen Interesses der EU oder eines Mitgliedstaates geboten ist.

Als Folge der Einschränkung treffen den Verantwortlichen Mitteilungspflichten aus Art. 18 Abs. 3 und Art. 19 DS-GVO. Demnach muss der Verantwortliche dem Betroffenen im Voraus mitteilen, wenn die Einschränkung der Verarbeitung aufgehoben wird. Zudem ist er verpflichtet, Dritte, an welche die Daten des Betroffenen weitergegeben wurden, über die Einschränkung zu informieren, sodass sie ihre Verarbeitungsprozesse ebenfalls beschränken. Diese Pflicht besteht jedoch nur, soweit die Unterrichtung möglich ist und für den Verantwortlichen keinen unverhältnismäßigen Aufwand darstellt. Darüber hinaus ist dem Betroffenen Auskunft über die Empfänger seiner Daten zu erteilen, sofern er dies vom Verantwortlichen verlangt.

Anwendungsbereich

Betroffene können ein Interesse an einer Einschränkung haben, wenn sie eine Löschung als zu radikal empfinden, diese nicht möglich oder nicht praktisch erscheint. Ein solcher Fall läge vor, wenn von vornherein damit gerechnet werden kann, dass die betroffene Person dem Verantwortlichen die Daten zu einem späteren Zeitpunkt wieder übermitteln möchte; im Fall der Einschränkung müssen die Daten dann nur wieder freigeschaltet und nicht neu erhoben werden. Art. 18 DS-GVO kann zudem zur Anwendung kommen, wenn der Kunde eines Unternehmens seine Daten weiterhin zur Vertragserfüllung gespeichert haben will, die Nutzung für Werbezwecke allerdings einschränkt werden soll.

Damit dem Einschränkungsgesuch der Betroffenen auch gerecht werden kann, sollen geeignete technische und organisatorische Maßnahmen ergriffen werden, damit die jeweiligen personenbezogenen Daten nicht für andere als die in Abs. 2 genannten Zwecke verwendet werden. Es soll durch die jeweiligen Maßnahmen gewährleistet werden, dass die Daten in keiner Weise weiterverarbeitet oder verändert werden. Erwägungsgrund 67 der DS-GVO nennt ein paar Beispiele dazu, wie eine Einschränkung ablaufen kann. Hierzu zählen unter anderem die vorübergehende Übertragung der jeweiligen Daten auf ein anderes Verarbeitungssystem, eine Sperrung der Daten für Nutzer, sowie eine vorübergehende Entfernung der Daten von einer Website.

Frühere Regelungen im Bundesdatenschutzgesetz (BDSG aF)

Art. 18 DS-GVO entspricht im weitesten Sinne dem Recht auf Sperrung statt Löschung aus §§ 20 Abs. 3-7 und 35 Abs. 3 und 4 BDSG aF. Im BDSG aF wurde stets von Datensperrung gesprochen, dies meint aber ebenso wie das Recht auf Einschränkung der Verarbeitung die vorübergehende Unbrauchbarmachung von personenbezogenen Daten, ohne diese gänzlich zu löschen. Im Wesentlichen stimmen die Regelungen im BDSG aF und der DS-GVO überein, dennoch gibt es kleine Unterschiede.

Art. 18 DS-GVO beinhaltet beispielsweise eine Einwilligungslösung, wohingegen die Vorschriften des BDSG aF von einer Widerspruchslösung ausgingen. Zudem ist die Regelung in der DS-GVO etwas schärfer als § 20 Abs. 3 bis 7 BDSG aF, in dessen Abs. 7 noch weitere Fälle aufgezählt sind, in denen eine Nutzung und Übermittlung der „gesperrten“ Daten ohne Einwilligung als zulässig angesehen wird. Als Beispiel ist die Verarbeitung zu wissenschaftlichen Zwecken zu nennen. Das Einschränkungsrecht der DS-GVO lässt eine weitere Nutzung der jeweiligen Daten nur zur Geltendmachung von Rechtsansprüchen, sowie bei Gebotenheit der Verarbeitung im öffentlichen Interesse, zu (s.o.). Ein weiterer Unterschied besteht darin, dass nach § 20 Abs. 4 und § 35 Abs. 4 BDSG aF eine Datensperrung auch ausdrücklich für den Fall vorgesehen war, dass die Richtigkeit der Daten zwar bestritten wird, im Ergebnis aber weder die Richtigkeit noch die Unrichtigkeit der Daten feststellbar ist. Eine Regelung zu den Fällen des sog. „non liquet“ (lat.: es ist nicht klar), in denen sich die Richtigkeit oder Unrichtigkeit der Daten nicht feststellen lässt, findet sich in der DS-GVO hingegen nicht. Solch eine ausdrückliche Bestimmung findet sich nur außerhalb der DS-GVO in § 58 Abs.1 S. 3, 4 BDSG, der eine Einschränkung der Datenverarbeitung auch dann vorsieht.

Fazit

Art. 18 DS-GVO ist ein Teil der Betroffenenrechte aus der DS-GVO und entspricht weitestgehend dem Recht auf Sperrung aus dem BDSG aF. Es ist scharf zu trennen vom Recht auf Vergessenwerden aus Art. 17 DS-GVO, welches auf die Löschung von personenbezogenen Daten abzielt. Das Einschränkungsrecht aus Art 18 DS-GVO kann in manchen Fällen interessengerechter sein als das Recht auf Datenlöschung aus Art. 17 DS-GVO. Dies liegt daran, dass die Daten teilweise noch zur Geltendmachung von Rechtsansprüchen benötigt werden oder der Betroffene die Verarbeitung seiner Daten beispielsweise nur im Rahmen von Werbung untersagen möchte, einer weiteren Verarbeitung aber zustimmt. Zudem ist zu beachten, dass den Verantwortlichen erweiterte Mitteilungspflichten aus Art. 18 Abs. 3 und Art 19 DS-GVO treffen.

In der Praxis wird bisher relativ selten vom Recht auf Einschränkung Gebrauch gemacht. Ein Antrag auf Datenlöschung ist indes viel häufiger.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir erläutern, was unter einem immateriellen Schaden zu verstehen ist und inwieweit Schadenserstaz für solche Schäden geleistet wird.

Art. 82 DS-GVO: Immaterieller Schadensersatz bei datenschutzverstößen

Einleitung

Sofern Verstöße gegen die Datenschutz-Grundverordnung (DS-GVO) einen Schaden verursachen, ist dieser dem Betroffenen gem. Art. 82 Abs. 1 DS-GVO zu ersetzen. Im Gegensatz zur alten Fassung des Bundesdatenschutzgesetzes (BDSG a.F.) sind nicht nur Vermögensschäden, sondern auch ausdrücklich immaterielle Schäden erfasst. Im BDSG a.F. wurde lediglich vom Oberbegriff des Schadens gesprochen, womit regelmäßig nur ein materieller Schaden gemeint war.

In der DS-GVO wird der Begriff des immateriellen Schadens nicht weiter definiert, es ist mithin schwierig abzugrenzen, was genau darunterfällt und in welcher Höhe Schadensersatz zu gewähren wäre. Im Folgenden soll näher darauf eingegangen werden, was unter einem immateriellen Schaden im Sinne der DS-GVO zu verstehen ist und welche Arten von Schäden darunterfallen.  

Begriff des immateriellen Schadens

Nach allgemeiner Definition ist unter einem immateriellen Schaden ein Nichtvermögensschaden zu verstehen. Der Begriff des Nichtvermögensschadens muss nun weiter konkretisiert werden. Gemäß Erwägungsgrund 146 S. 3 der DS-GVO ist nach europäischer Rechtsprechung ein weites Begriffsverständnis des immateriellen Schadens zugrunde zu legen. Danach könnte jeder  Verstoß gegen die Vorschriften der DS-GVO, unabhängig von seinem Schweregrad, bereits einen immateriellen Schaden begründen. Diese Auslegung wurde auch schon für Entscheidungen von österreichischen und niederländischen Gerichten beherzigt. Hierfür spricht zunächst, dass der Wortlaut des Art. 82 Abs. 1 DS-GVO keine Beschränkung auf bspw. schwere Verstöße vorsieht. Im Umkehrschluss müssten also auch nur leichte Persönlichkeitsrechtsverletzungen zu einem immateriellen Schaden führen können. Zudem sollte der Schadensersatz der DS-GVO durch eine großzügige Schadensersatzgewährung eine abschreckende Wirkung entfalten, in der Hoffnung die Anzahl an Verstößen in Zukunft minimieren zu können. Die Gegenansicht kritisiert, dass durch die weite Auslegung des Nichtvermögensschadens ein erhöhtes Missbrauchspotenzial des nahezu voraussetzungslosen immateriellen Schadensersatzanspruchs folgen könnte. Zudem stünde die weite Auslegung im Widerspruch zum deutschen Schadensrecht . Dies liegt daran, dass das deutsche Recht keinen Strafschadensersatz kennt und traditionell zurückhaltend und restriktiv mit Nichtvermögensschäden umgeht. Aufgrund der weiten Auslegung könnten Betroffene sodann immaterielle Bagatellschäden im Bereich des Datenschutzrechts geltend machen, in anderen Schutzbereichen des Allgemeinen Persönlichkeitsrechts jedoch nicht, da hier ein enges Begriffsverständnis des Nichtvermögensschadens zugrunde gelegt wird.

Da von deutschen Gerichten der Begriff des immateriellen Schadens enger verstanden wird, gewähren sie nur in zurückhaltender Weise Schadensersatz. Ein Schaden soll erst mit einer konkreten und nicht nur individuell empfundenen Persönlichkeitsrechtsverletzung gegeben sein. Dies wird unter anderem auf Erwägungsgrund 85 der DS-GVO gestützt, welcher als Beispiele für einen Schaden eine Rufschädigung oder eine Diskriminierung  nennt. Hiervon lässt sich eine gewisse Erheblichkeitshürde ableiten, sodass bloße Bagatellschäden, sowie individuell empfundene Unannehmlichkeiten nicht ersatzfähig sind. Einen Bagatellschaden hat das Amtsgericht Diez (Urt. v. 07.11.2018, Az.: 8 C 130/18) bspw. bei einer unerlaubten E-Mail-Werbung angenommen. Es handelte sich lediglich um eine E-Mail, welche nach Ansicht des Gerichts keinen spürbaren Nachteil, sondern nur eine Unannehmlichkeit für den Empfänger darstellte. Ob bei mehrfachen Bagatellschäden desselben Betroffenen ausnahmsweise ein Schadensersatz gewährt werden kann, ist aufgrund der geringen Anzahl an deutschen Urteilen bisher noch ungeklärt.

Höhe des Schadensersatzes

Die Bezifferung der Schadenshöhe orientiert sich an der Genugtuungs- und Abschreckungsfunktion des Schmerzensgeldes und steht mithin im Ermessen der Gerichte. Auf diesem Wege soll ebenfalls erreicht werden, künftigen Datenschutzverstößen entgegenzuwirken.

Kausalität und Beweislast

Art. 82 Abs. 1 DS-GVO fordert eine gewisse Kausalität zwischen dem Datenschutzverstoß und dem entstandenen Schaden. Der Schaden muss gerade wegen des Verstoßes gegen die DS-GVO entstanden sein. Folglich wird eine hinreichende Kausalität verlangt. Dem schließen sich auch deutsche Gerichte an.

Im Unionsrecht fehlen allgemeine Bestimmungen zur Beweislastregelung, sodass in den konkreten Fällen auf das nationale Recht zurückgegriffen werden muss. Im deutschen Recht ist derweil noch umstritten, welche Beweislastregeln gelten sollen.

Teilweise wird vertreten, dass aus der Rechenschaftspflicht des Verantwortlichen aus Art. 5 Abs. 2 DS-GVO und den Nachweispflichten des Verantwortlichen aus Art. 24 Abs. 1 DS-GVO eine weitgehende Beweislastumkehr zulasten des Verantwortlichen folgt, sodass der Verantwortliche das Nichtvorliegen des Datenschutzverstoßes belegen muss.

Die Gegenansicht zieht die  heran, sodass jede Partei die Beweislast für ihre Behauptungen trägt. Jedoch wird gem. Art. 82 Abs. 3 DS-GVO ein Verschulden des Verantwortlichen widerlegbar vermutet. Daraus folgt, dass der Verantwortliche von einer Haftung nur befreit ist, sofern er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist. Als Beispiel für die bisherige deutsche Rechtsprechung folgt das LG Karlsruhe (Urt. v. 02.08.2019, Az.: 8 O 26/19) letztgenannter Ansicht und zieht die zivilprozessualen Regeln heran, sodass der Betroffene grundsätzlich die Beweislast für den haftungsbegründenden Tatbestand trägt, das Verschulden des Verantwortlichen jedoch nach Art. 82 Abs. 3 DS-GVO vermutet wird.

Beide Ansätze stellen einen großen Unterschied zum Schadensersatzanspruch nach dem BDSG a.F. dar, wonach keine Verschuldensvermutung zulasten des Verantwortlichen galt. In der Vergangenheit war es schwer für Geschädigte, das Vorliegen des haftungsbegründenden Tatbestands hinreichend belegen zu können.  Mithin scheiterten die Ansprüche auf immateriellen Schadensersatz meist aufgrund der Beweislastregeln.

Fazit

Innerhalb der EU findet derweil keine einheitliche Anwendung des Art. 82 Abs. 1 DS-GVO statt, da der Begriff des immateriellen Schadens unterschiedlich weit ausgelegt wird. Vor allem die deutsche Rechtsprechung verwendet entgegen des Wortlauts des Erwägungsgrundes 146 der DS-GVO (weite Auslegung) eine enge Auslegung des immateriellen Schadensbegriffs. Deutsche Gerichte fordern bisher einen spürbaren Persönlichkeitsrechtsverstoß, der weit über eine Bagatelle hinausgeht. Zudem bestehen unterschiedliche Ansichten bezüglich der Beweislast.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Ist die Arbeit im Home Office mit den strengen Regeln der DS-GVO vereinbar? Wir erklären, was aus datenschutzrechtlicher Sicht zu beachten ist.

DATENSCHUTZ IM HOME OFFICE

Einleitung

Aufgrund der andauernden Corona-Pandemie verschlägt es immer mehr Arbeitnehmer ins Home Office. Viele Unternehmen ermöglichen ihren Arbeitnehmern bereits seit Mitte März ihre Arbeit von zuhause aus zu verrichten. Dies führte zu einer plötzlichen Digitalisierung der Arbeitsplätze ohne jegliche Vorlaufzeit. Etliche Unternehmen hatten nicht genügend Zeit, um sich auf die Heimarbeit ihrer Angestellten vorzubereiten und technische Maßnahmen für einen reibungslosen Ablauf bereitzustellen. Da die Arbeit von zuhause aus jedoch wegen der Verringerung des Infektionsrisikos enorm wichtig ist, geschah dies quasi von einem auf den anderen Tag. Es war und ist vor allem für Betriebe, die vorher noch keinerlei Erfahrung mit Heimarbeit hatten und bei denen die Arbeit aus dem Home Office eher unüblich war, eine große Umstellung.

In Zeiten wie diesen wird der Gesundheitsschutz großgeschrieben, dennoch darf der Datenschutz nicht völlig vernachlässigt werden. Es muss sich auch weiterhin an die Vorschriften der Datenschutz-Grundverordnung (DS-GVO) gehalten werden, auch wenn dies vor allem zu Anfang schwierig erscheint, gerade weil viele Unternehmen vorher nicht auf Heimarbeit ausgerichtet waren. Um den Datenschutz auch jetzt gewährleisten zu können, müssen Arbeitgeber nun dafür Sorge tragen, dass entsprechende Maßnahmen getroffen werden, um die Heimarbeit sicher zu gestalten.

Umsetzung vom Home Office

Eine generelle Pflicht des Arbeitnehmers, im Home Office zu arbeiten, gibt es nicht. Der Arbeitgeber kann seine Arbeitnehmer nur dann anweisen Heimarbeit zu leisten, wenn sie dies individualvertraglich vereinbart haben oder es in einem Tarifvertrag oder einer Betriebsvereinbarung ausdrücklich geregelt ist. Sofern es an solch einer Regelung fehlt, bedarf es stets der Zustimmung des Arbeitnehmers.

Viele Unternehmen haben nun wegen des Gesundheitsschutzes weitestgehend auf Heimarbeit umgestellt und deshalb auf Home Office-Vereinbarungen und -Richtlinien zurückgegriffen, häufig in Form von Zusätzen zu den Arbeitsverträgen oder als Betriebsvereinbarungen. In den Vereinbarungen wird in der Regel der Ablauf der Heimarbeit festgelegt, um den arbeitsrechtlichen und datenschutzrechtlichen Anforderungen zu entsprechen. Zudem werden die Arbeitnehmer über neue Pflichten in Bezug auf den Datenschutz informiert.

Datenschutz im Home Office

Die Arbeit aus dem Home Office birgt einige Risiken für den Schutz personenbezogener Daten, insbesondere für Vertraulichkeit, Integrität und ggf. auch Verfügbarkeit. Unter normalen Umständen, wenn im Büro gearbeitet wird, hat der Arbeitgeber die Kontrolle über die Datenverarbeitung. Sobald die Beschäftigten zuhause arbeiten, besteht jedoch häufig keine unmittelbare Kontroll- und Zugriffmöglichkeit des Arbeitgebers auf die jeweiligen Daten und deren Verarbeitung, sowie die IT-Sicherheit im Allgemeinen. Dies ist insbesondere dann der Fall, wenn die Heimarbeit nicht ausschließlich über Firmen-Endgeräte und per VPN (Virtual Private Network) des Unternehmens erfolgt.

Um den Schutz der personenbezogenen Daten zu gewährleisten, sind technische und organisatorische Maßnahmen vom Arbeitgeber zu treffen. Es sollen vor allem die Übertragungswege gesichert und Daten verschlüsselt werden. Zudem sollen den Arbeitnehmern klare Vorgaben zur Nutzung von eventuell bereitgestellten Endgeräten (wie Laptops) und zur Einrichtung des häuslichen Arbeitsplatzes gegeben werden. Dies geschieht meist über Online-Schulungen und/oder die jeweiligen Home Office-Richtlinien.

Sofern möglich, statten die Unternehmen ihre Angestellten mit Firmen-Hardware aus, die von der jeweiligen IT-Abteilung datenschutzkonform eingerichtet und abgesichert wurde. Indem Laptops und Handys vom Arbeitgeber zur Verfügung gestellt werden, können zumindest die technischen Datenschutzvorgaben und ggf. auch die IT-Sicherheit gewährleistet werden, insbesondere in Bezug auf Zugriffsbeschränkungen und Löschregeln. Da manche Unternehmen aufgrund der kurzen Zeit nicht über genügend Firmen-Hardware verfügen, kann es den Arbeitnehmern auch gestattet sein, ihre eigenen Endgeräte für die Arbeit zu nutzen. Das sind dann Fälle des BYOD (bring your own device). Die Nutzung von eigener Hardware darf aber nur in Absprache mit dem Arbeitgeber erfolgen.  

Damit der Arbeitsplatz zuhause sicher ist, sollte eine VPN-Verbindung zum Firmennetzwerk bestehen (am besten noch mit anschließender Zwei-Faktor-Authentifizierung). Des Weiteren ist darauf zu achten, dass eine sichere (passwortgeschützte) WLAN-Verbindung genutzt wird und eine intakte Firewall besteht. Zudem sollten Passwörter verwendet werden, um den Zugriff von Dritten auf die Arbeitsmaterialien zu verhindern. Unter Dritten sind auch und vor allem Personen aus dem eigenen Haushalt zu verstehen.

Darüber hinaus ist darauf zu achten, dass, sofern Papierakten oder Papierdokumente genutzt werden, diese nach der Arbeit und auch in Pausen sicher weggeschlossen werden, um einen Zugriff von Seiten Dritter zu vermeiden. Die Entsorgung von den Papierdokumenten sollte sodann auch nicht im Hausmüll erfolgen.  

Video-Konferenzen und Datenschutz

Viele Unternehmen nutzen Video-Konferenzen, damit Meetings und Besprechungen auch im Home Office stattfinden können. Der Arbeitsalltag soll so „normal“ wie möglich sein. Da in den jeweiligen Konferenzen häufig die Bildschirme gespiegelt und personenbezogene Daten geteilt werden sowie ggf. auch über Betriebsgeheimnisse gesprochen wird, stellt sich die Frage, was bei Video-Konferenzen datenschutzrechtlich zu beachten ist.

Es ist zunächst bei der Auswahl des Anbieters darauf zu achten, wo dieser seinen Sitz hat. Es sollten möglichst Dienstleister aus der EU/dem EWR in Anspruch genommen werden, da diese den Vorschriften der DS-GVO unmittelbar unterliegen. Anbieter mit Sitz in einem Drittland dürfen die Daten nur verarbeiten, sofern in dem jeweiligen Land ein angemessenes Schutzniveau gewährleistet ist (Art. 45 DS-GVO) oder geeignete Garantien bestehen (Art. 46 DS-GVO). Bei der Auswahl sollten des Weiteren etwaige Business-Versionen der Video-Tools bevorzugt werden, da sie häufig über höhere Sicherheitsstandards verfügen.

Sobald die Auswahl auf einen Anbieter bzw. eine Software gefallen ist, sollte darauf geachtet werden, dass zusätzlich technische und organisatorische Maßnahmen zum Schutz der Daten getroffen werden. Es sollte bspw. sichergestellt sein, dass das Programm die gesendeten Daten auch verschlüsselt übermittelt. Zudem sind in dem jeweiligen Programm ggf. die Datenschutzeinstellungen nochmal manuell zu konfigurieren, um einen umfassenden Schutz der personenbezogenen Daten zu gewährleisten. Die Vorabeinstellungen sind nicht immer die datenschutzfreundlichsten. Es ist hierbei insbesondere sicherzustellen, dass übermittelte Dateien und Videomitschnitte nach einem festen Zeitraum gelöscht werden.

Des Weiteren ist zu beachten, dass Einladungen zu Video-Konferenzen nur an die Personen, bzw. Mitarbeiter gehen, die auch die nötige Freigabe für die zu besprechenden Themen und Inhalte haben. Während der Video-Konferenz sollten die Teilnehmer zudem darauf achten, möglichst vor einem neutralen Hintergrund zu sitzen, damit nicht mehr Informationen und Daten als nötig geteilt werden. Um dies zu verhindern gibt es bei manchen Softwares auch die Möglichkeit, während der Video-Konferenz den Hintergrund verschwimmen zu lassen. Die Beteiligten der Video-Konferenz sind außerdem stets darüber zu informieren, wenn Teile oder auch die ganze Sitzung mitgeschnitten wird.

Fazit

Es ist festzuhalten, dass viele Unternehmen nicht darauf ausgerichtet waren, die Arbeitsplätze der Beschäftigten zu digitalisieren, schon gar nicht in solch einer kurzen Zeit. Inzwischen hat sich die anfängliche Aufregung um die plötzliche Umstellung ins Home Office wieder etwas gelegt; dies ist vor allem darauf zurückzuführen, dass viele Unternehmen schnell gehandelt haben, indem sie Home Office-Vereinbarungen mit ihren Arbeitnehmern getroffen haben, die nun für Rechtssicherheit sorgen. Es lag an den Arbeitgebern auch weiterhin für einen ausreichenden Datenschutz zu sorgen und den Regeln der DS-GVO gerecht zu werden. Arbeitgeber und Arbeitnehmer unterliegen demnach den Pflichten, personenbezogene Daten auch bei der Heimarbeit vertraulich zu behandeln, indem der Zugriff von Dritten verhindert wird, sowie Verschlüsselungen und Passwörter genutzt werden.

Bei Video-Konferenzen ist ganz besonders darauf zu achten, dass der Datenschutz gewahrt wird. Es ist wichtig, sich vor der Nutzung der jeweiligen Software darüber zu informieren, in welchem Land der Anbieter seinen Sitz hat. Dies entscheidend darüber, ob der Dienstleister unmittelbar an die Vorschriften der DS-GVO gebunden ist oder nicht. Zudem sind die Vorabeinstellungen der Video-Tools genauestens zu prüfen: Daten sollten verschlüsselt übermittelt werden und es sollten feste Löschzeiträume vorliegen.

 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Im Folgenden beleuchten wir die beiden Datenschutzkonzepte und ihre Auswirkungen auf das Gewährleistungsrecht.

Privacy by design und privacy by default

Einleitung

Die Grundsätze Privacy by Design und Privacy by Default sind in Art. 25 Abs. 1 und 2 DS-GVO verankert. Sie verpflichten die Verantwortlichen zu Datenschutz durch Technikgestaltung bzw. zu datenschutzfreundlichen Voreinstellungen. Verantwortliche sollen geeignete technische und organisatorische Maßnahmen (TOMs) treffen, die darauf ausgelegt sind, die Datenschutzgrundsätze wirksam umzusetzen und um sicherzustellen, dass durch Voreinstellungen einer Software grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind, verarbeitet werden. Mit den genannten Datenschutzgrundsätzen ist bspw. die Datenminimierung gem. Art. 5 Abs. 1 lit. c DS-GVO gemeint, die vorschreibt, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen.

Regelung vor Einführung der DS-GVO

Das Konzept des Privacy by Design war dem Datenschutzrecht schon vor der Einführung der DS-GVO geläufig; es war bereits in Art. 17 der Richtlinie 95/46/EG (Datenschutzrichtlinie) angelegt, welcher die Verpflichtung enthielt, geeignete technische und organisatorische Maßnahmen zu ergreifen, die zum Schutz gegen eine unrechtmäßige Verarbeitung erforderlich sind. Art. 25 DS-GVO präzisiert dies und führt eine Rechtspflicht mit echter Verpflichtungsqualität ein. Demnach können die Aufsichtsbehörden über Art. 58 Abs. 2 lit. d DS-GVO die Einhaltung und Umsetzung anordnen und den Verantwortlichen kann im Fall eines Verstoßes ein Bußgeld treffen.

Pflichteninhalt des Art. 25 DS-GVO

Normadressat

Durch die Verpflichtungen des Art. 25 DS-GVO wird ausschließlich der Verantwortliche adressiert. Verantwortlicher ist im Sinne des Art. 4 Abs. 1 Nr. 7 DS-GVO diejenige Stelle, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Die Hersteller von Produkten, Diensten und Anwendungen sind also nicht unmittelbar von der Pflicht zum Datenschutz durch Technikgestaltung betroffen. Gleichsam liegt dem Art. 25 DS-GVO jedoch der Gedanke zugrunde, dass die unmittelbare Verpflichtung des Verantwortlichen zu einer Nachfrage beim Hersteller nach datenschutzrechtlich zulässigen Produkten führt und die Regelungen des Art. 25 DS-GVO so auch mittelbar auf die Hersteller ausstrahlen.

Inhalt der Verpflichtungen

Datenschutz durch Technikgestaltung (Privacy by Design) ist präventiv ausgerichtet und betrachtet Technik nicht nur als Regelungsgegenstand des Datenschutzes, sondern vielmehr als potenzielles Durchsetzungswerkzeug, indem die Vorgaben des Datenschutzes bereits in die Programmierung und Konzeption von Datenverarbeitungsvorgängen eingebunden und schließlich berücksichtigt werden. So hat der Verpflichtete bereits bei der Produktentwicklung, der Einführung von Systemen und der Gestaltung von Prozessen geeignete technischen und organisatorischen Maßnahmen vorzusehen, um die Datenschutzgrundsätze (bspw. Datenminimierung oder Transparenz) umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen. Technische Maßnahmen sind in diesem Zusammenhang sowohl physische Vorkehrungen, die sich auf den Vorgang der Datenverarbeitung erstrecken (bspw. bauliche Maßnahmen, um den Zutritt Unbefugter zu verhindern) als auch Vorkehrungen, die den Software- und Hardwareprozess der Verarbeitung datenschutzkonform ausgestalten. Organisatorische Maßnahmen hingegen umfassen hauptsächlich äußere Rahmenbedingungen des technischen Verarbeitungsprozesses. Zum Privacy by Design zählen demnach Maßnahmen wie Pseudonymisierung und Anonymisierung, bei denen personenbezogene Identifikationsmerkmale von Inhaltsdaten getrennt werden. Darüber hinaus ist auch die systemseitige Gewährleistung erfasst, nach der bereits erhobene personenbezogene Daten schnellstmöglich wieder gelöscht werden. Art. 25 DS-GVO zielt ebenfalls darauf ab, dass eine technische Umsetzung des Widerspruchsrechts realisiert wird, sodass der Betroffene seinen Widerspruch mittels automatisierter Verfahren ausüben kann.

Datenschutz durch datenschutzfreundliche Voreinstellungen (Privacy by Default) ist so umzusetzen, dass anhand von Standardeinstellungen grundsätzlich nur personenbezogene Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind. Um dem gerecht zu werden, muss das System in seinen Grundeinstellungen so eingerichtet und konfiguriert sein, dass ein datenschutzkonformes Arbeiten ermöglicht wird. Für den Hersteller bedeutet dies, dass die Produkte so zur Verfügung gestellt werden müssen, dass datenschutzfreundliche Einstellungen bereits eingepflegt und nachvollziehbar dokumentiert sind.

Mögliche Konsequenzen für das Gewährleistungsrecht

Durch die verbindlichen Verpflichtungen des Art. 25 DS-GVO tritt nun noch dringender als zuvor die Frage auf, ob ein Softwareprodukt, das den Grundsätzen des Datenschutzrechts nicht genügt, mit einem Sachmangel behaftet ist und Gewährleistungsansprüche auslöst. Abhängig davon, ob sich der Vertragsinhalt auf die dauerhafte Überlassung von Standardsoftware ohne Anpassungsarbeiten oder die Erstellung von Individualsoftware mit einem konkreten Funktionsumfang bezieht, handelt es sich entweder um einen Kaufvertrag (§ 433 BGB) oder einen Werkvertrag (§ 631 BGB). Damit Gewährleistungsrechte ausgelöst werden, bedarf es stets eines Sachmangels. Dieser liegt gem. §§ 434, 633 BGB grundsätzlich vor, wenn die Ist-Beschaffenheit des Produkts negativ von seiner Soll-Beschaffenheit abweicht.

§ 434 Abs. 1 S. 1, 633 Abs. 2 S. 1 BGB: Vereinbarte Beschaffenheit

Eine Beschaffenheitsvereinbarung der Parteien gem. §§ 434 Abs. 1 S. 1, 633 Abs. 2 S. 1 BGB wäre gegeben, wenn die Parteien sich ausdrücklich vertraglich darüber einigen, welche personenbezogenen Daten in welcher Weise über die Software verarbeitet werden sollen und dass die Software den datenschutzrechtlichen Vorgaben genügen soll. Fehlt es der Software sodann an der Erfüllung dieser datenschutzrechtlichen Voraussetzungen, liegt zwar ein Sachmangel vor, dieser ergibt sich aber nicht unmittelbar aus der Ausstrahlungswirkung des Art. 25 DS-GVO, sondern maßgeblich aus der parteilich vereinbarten Beschaffenheit.

§ 434 Abs. 1 S. 2 Nr. 1, 633 Abs. 2 S. 2 Nr. 1 BGB: Eignung der Sache zur vertragsgemäßen Verwendung

Ein Mangel liegt nach dem subjektiven Fehlerbegriff der §§ 434 Abs. 1 S. 2 Nr. 1, 633 Abs. 2 S. 2 Nr. 1 BGB auch dann vor, wenn sich die Software nicht für die nach dem Vertrag vorausgesetzte Verwendung eignet. In diesem Zusammenhang kann auch die fehlende Einhaltung von gesetzlichen Ge- oder Verboten durch den Vertragsgegenstand die vertraglich vorausgesetzte Verwendung entfallen lassen. Dieser Grundsatz wurde vom Oberlandesgericht Hamm (OLG Hamm, Urt. v. 14.11.1994, Az. 31 U 105/94) bereits auch auf Softwareprodukte übertragen, sodass ein Softwareprodukt auch dann mangelhaft sein kann, wenn es grundsätzlich funktionsfähig ist, aber nicht die gesetzlichen Anforderungen erfüllt. Dies wird nach überwiegender Auffassung jedoch dahingehend wieder eingeschränkt, dass die Parteien die konkrete Verwendung zur Datenverarbeitung in der Vertragsverhandlung hätten erwähnen müssen, damit die gesetzlichen Anforderungen des Datenschutzrechts für den Anbieter erkennbar sind.

§ 434 Abs. 1 S. 2 Nr. 2, 633 Abs. 2 Nr. 2 BGB: Übliche Beschaffenheit

Ein Sachmangel ist zudem gegeben, wenn das Produkt nicht die übliche vertragliche Beschaffenheit aufweist. Hiervon können auch die rechtlichen Vorgaben des Datenschutzrechts erfasst sein. Werden diese Vorgaben von der Software nicht realisiert, entfällt die Eignung für den gewöhnlichen Gebrauch. Die vorausgesetzte Verwendung zur Verarbeitung von personenbezogenen Daten muss sich aber aus dem Vertrag ergeben, sodass ein Sachmangel wohl nur dann vorliegt, wenn die Software ihrer Funktionsweise nach gerade auf die Verarbeitung personenbezogener Daten angelegt ist.

Fazit

Privacy by Design und Privacy by Default stellen Maßnahmen dar, die darauf ausgerichtet sind, personenbezogene Daten der Betroffen zu schützen und dies durch zeitlich vorhergehende Vorkehrungen zu gewährleisten. Die jeweilige Technik oder Software soll so gestaltet sein, dass es von vornherein zu weniger Datenschutzverstößen kommt und die Voreinstellungen der jeweiligen Software bereits datenschutzfreundlich sind. Letzteres soll vor allem dazu beitragen, dass auch die Daten von technikunerfahrenen Nutzern geschützt sind, ohne dass diese eigenhändig Einstellungen zum Schutz ihrer Daten treffen müssen.  

Eine Software, die nach der vertraglich vorausgesetzten Verwendung oder der gewöhnlichen Beschaffenheit zur Verarbeitung personenbezogener Daten genutzt wird und erkennbar von einem datenschutzrechtlich Verantwortlichen erworben wird, muss den Anforderungen des Art. 25 DS-GVO entsprechen. Damit wird über den Umweg der vertraglichen Leistungspflicht die Verpflichtung indirekt auch auf Hersteller ausgeweitet. Bei einem Softwareerwerb könnten nun durch einen Verstoß gegen die Prinzipien des Art. 25 DS-GVO Gewährleistungsrechte ausgelöst werden. Es kann jedoch nicht pauschal gesagt werden, dass das Gewährleistungsrecht auf datenschutzrechtliche Verstöße bei Softwareprodukten Anwendung findet. Es kommt gezielt darauf an, ob der Software ein Sachmangel innewohnt. Dies muss sodann im Einzelfall anhand der konkreten vertraglichen Ausgestaltung und der jeweiligen Software geprüft werden.

 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Datenschutz für personenbezogene Daten wird auch auch weiterhin in den USA eher lasch behandelt. Gelten hier noch Standardklauseln?

Vorlagefragen beim EuGH
(Az. C-311/18) – Zulässigkeit von Standardvertragsklauseln

 

Einleitung

Als das Safe-Harbor-Abkommen vom EuGH gekippt wurde, behauptete die im Fall beklagte Facebook Inc., dass sie sich in Bezug auf den Datentransfer mit den USA auf sogenannte Standardvertragsklauseln (standard contractual clauses – SCC) im Sinne der Richtlinie 95/46/EG stütze. Daraufhin reichte der aus der Rechtssache C-362/14 (Safe-Harbor) bekannte österreichische Datenschützer Maximilian Schrems erneut Beschwerde beim irischen Datenschutzbeauftragten (Data Protection Commissioner – DPC) ein, woraufhin die irische Datenschutzbehörde Klage gegen denselben und Facebook Inc. beim Irischen High Court einreichte. Dieser wiederum rief am 29. Juni 2018 den EuGH an, um Antworten auf seine Vorlagefragen zu erbitten.

Die Vorlagefragen sind unter der Rechtssache C-311/18 auf der Seite des EuGH vorzufinden. Gegenstand ist zum einen die Zulässigkeit von Standardvertragsklauseln unter Zugrundelegung europäischer Rechtsnormen und zum anderen unter welchen Gesichtspunkten diese zu beurteilen ist. Diesbezüglich hat der Generalwalt des EuGH eine Stellungname am 19. Dezember 2019 veröffentlicht.

Einschätzung des Generalanwalts

Der Generalanwalt hat festgestellt, dass gegen die Verwendung von Standardvertragsklauseln grundsätzlich keine Bedenken bestehen. Das Verwenden von Standardvertragsklauseln wurde durch die Richtlinie 95/46/EG ermöglicht und durch den Beschluss 2010/87 der EU-Kommission genauer festgelegt. Auch die mittlerweile in Kraft getretene Verordnung 2016/679 (DS-GVO) sieht gemäß Art. 46 Abs. 2 lit. d) DS-GVO die Verwendung von Standardvertragsklauseln vor. Dort heißen sie jedoch nun Standarddatenschutzklauseln. Sie bestehen aus einem Set I und einem Set II. Unabhängig davon muss Facebook den Anforderungskatalog aus Art. 28 DS-GVO einhalten, da Facebook Ireland als Auftragsverarbeiter für Facebook Inc. fungiert.

Demnach folgt bereits aus Art. 1 des Beschlusses 2010/87, dass die Verwendung der im Anhang gelisteten Standardvertragsklauseln als „angemessene Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten von Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte nach Artikel 26 Abs. 2 der Richtlinie 95/46/EG gelten.“

Allerdings betont der Generalanwalt, dass es gemäß Art. 58 DS-GVO Aufgabe der jeweiligen nationalen Datenschutzbehörde ist, zu prüfen, ob sich ein Unternehmen im Einzelfall an die vereinbarten Standardvertragsklauseln hält und gegebenenfalls Maßnahmen zu ergreifen (Rn. 21 der Stellungnahme).

Folgt der EuGH der Ansicht des Generalanwalts nicht, muss die Kommission neue Standarddatenschutzklauseln erlassen.

Sollte der EuGH hingegen der Ansicht des Generalanwalts Folge leisten, ist die Beurteilung, ob Facebook Ireland Ltd. die in Europa gesammelten Daten an das in den USA ansässige Mutterunternehmen Facebook Inc. weiterleiten darf, von der Einschätzung der irischen Datenschutzbehörde abhängig.

Trotz erheblicher Kritik und Zweifeln an der DS-GVO-Konformität, kann die irische Datenschutzbehörde die Standarddatenschutzklauseln für zulässig erklären, sodass sich letztlich nichts an der Wirksamkeit des Datentransfers von Facebook in die USA ändern würde.

Diese Kritik und besonders die Bestimmungen der nach dem Safe-Harbor-Urteil in Kraft getretenen DS-GVO sollte der EuGH in seiner Entscheidung berücksichtigen.

Kritikpunkte

Die Übermittlung der personenbezogenen Daten von Facebook Ireland Ltd. an das Mutterunternehmen Facebook Inc. soll nur dieses berechtigen, diese Daten zu verarbeiten. Dass das in der Praxis so geschieht, ist jedoch äußerst fraglich. Zum einen ist seit den Enthüllungen von Edward Snowden bekannt, dass der amerikanische Geheimdienst NSA durch sein Programm PRISM in erheblichem Ausmaß transatlantische Glasfaserkabel anzapft und sich so Zugang zu diesen Daten verschaffen kann. Zum anderen erlaubt das Privacy Shield-Abkommen – wie bereits zuvor das Safe-Harbor-Abkommen, dass sich amerikanische US-Sicherheitsbehörden im Rahmen des Patriot Acts ohne Benachrichtigung der Betroffenen sich Zugang zu den von amerikanischen Unternehmen verarbeiteten Daten verschaffen können. Diese Bedenken hat die US-Regierung nach der Safe-Harbor-Entscheidung versucht auszuräumen indem sie schriftlich zugesagt hat, dass eine Überwachung der EU-Daten durch staatliche Einrichtungen nur nach klaren Regelungen und Limitierungen erfolgen soll. Insbesondere soll die wahllose Massenüberwachung von Daten ein Ende haben. Um die Einhaltung dieser Vereinbarung zu kontrollieren, soll es eine jährliche Bestandsaufnahme geben. Aber lediglich eine Limitierung bedeutet auch, dass ein Zugriff durch US-Behörden weiterhin möglich ist und nicht, dass der Zugriff verboten ist.

Ebenso ist festzustellen, dass europäische Bürger weiterhin keine wirksame Handhabe gegen amerikanische Unternehmen bei Datenschutzpannen haben. Zwar gibt es eine Ombudsstelle an die sich Betroffene wenden können. Dies läuft jedoch ins Leere, da Betroffene mangels Informationspflichten gar nicht von der Überwachung ihrer Daten erfahren.

Seit März 2018 ist in den USA der so genannte „Cloud Act“ in Kraft. Dieser erlaubt US-Behörden den Zugriff auf Daten amerikanischer Internet-Firmen und IT-Dienstleister, sogar wenn sie ihre Daten außerhalb der USA speichern, zum Beispiel in der EU. Da gleichzeitig Art. 3 der DS-GVO festlegt, dass für die Verarbeitung von personenbezogenen Daten innerhalb der Union ausschließlich die Bestimmungen der DS-GVO gelten, geht es um die Frage, wie weit eine Rechtsordnung in das Hoheitsgebiet eines anderen Staates hineinragen darf.

Fazit

Es bleibt offen, ob dem Generalanwalt Tatsachen vorliegen, die eine tatsächliche Sicherheit des Datenverkehrs garantieren und die keinen Einzug in seine Stellungnahme gehalten haben, oder ob er schlichtweg ignoriert, dass der Datentransfer in die USA von amerikanischen Geheimdiensten kontinuierlich angezapft wird und das amerikanische Recht weiterhin einen eher laschen Umgang mit personenbezogenen Daten vorsieht.

Das letzte Wort hat jedoch der EuGH. Dieser folgt zwar oft den Empfehlungen seiner Generalanwälte, aber auch nicht immer. Eine umfassende Beurteilung der Standarddatenschutzklauseln sollte alle diese genannten Kritikpunkte berücksichtigen. Dass der EuGH jedoch nicht davor zurückschreckt, Urteile mit weitreichenden Konsequenzen für bestehende Rahmenverträge zu sprechen, hat er mit dem Safe-Harbor-Urteil bereits demonstriert.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Im Folgenden gehen wir darauf ein, inwieweit Windows mit den Regelungen der DS-GVO vereinbar ist.

Sicherheitsbedenken von Windows unter der DS-GVO

Einleitung

Bislang sind vor allem Facebook, Google und Amazon medientechnisch negativ aufgefallen, was den Umgang mit personenbezogenen Daten angeht. Eher unauffällig, aber nicht minder umfangreich, ist in der Hinsicht auch Microsoft, besonders mit seinem Betriebssystem Windows 10 und seiner Office-Suite, zu nennen. Dies ist auf den ersten Blick nicht jedem Anwender klar, da Microsoft seine Produkte gegen ein Entgelt anbietet, Google und Facebook hingegen „kostenlos“ sind. Dass Microsoft mittlerweile auch auf den Zug der Datensammler aufgesprungen ist, ist der neuen Vermarktungsstrategie des jüngsten Windows-Sprösslings Windows 10 geschuldet. Musste man für vergangene Windows-Versionen pro Lizenz noch mindestens 100€ bezahlen, war Windows 10 für Windows 7 und 8 Nutzer kostenlos.

Dies ist natürlich nicht einer plötzlichen aufkeimenden Wohltätermentalität seitens Microsofts zu verdanken, sondern die Ausnutzung einer Monopolstellung und dem immer größer werdenden Wert, der mit dem Sammeln von personenbezogenen Daten einhergeht. Dies ist der Tatsache geschuldet, dass Microsoft zum einen Pionier in der Betriebssystemsparte war, und sich somit frühzeitig im unternehmerischen und als Resultat dessen auch im privaten Bereich etablieren konnte, zum anderen konnten Konkurrenzprodukte nicht die gleiche Nutzerfreundlichkeit bieten wie Windows und Office.

Dass Microsoft bislang unter dem Schirm der medialen Aufmerksamkeit geblieben ist, kann sich jedoch nun ändern. Zwar war Windows 7 datenschutzrechtlich nicht unbedenklich, allerdings ist die Thematik des Datenschutzes erst mit Einführung der DS-GVO in den Fokus einer breiten Öffentlichkeit geraten. 

Microsoft hat schon vor einiger Zeit angekündigt, den Support von Windows 7 am 14. Januar 2020 einzustellen, so dass der Thematik Ende 2019 eine neue Brisanz zuteilkommt, da immer noch zahlreiche Behörden und Großunternehmen auf Windows 7 setzen. Damit wird nach dem Supportende von Windows 7 die Einhaltung der von der DS-GVO verlangten technischen und organisatorischen Maßnahmen schwierig nachzuweisen sein.

Bereits 2017, und somit vor Anwendungsbeginn der DS-GVO, hat die niederländische Datenschutzaufsichtsbehörde AP kritisiert, dass Microsoft die Nutzer von Windows 10 Home und Windows 10 Pro nicht klar genug darüber informiert, welche Daten für welchen Zweck erfasst und ausgewertet werden. Seitdem hat sich nicht viel getan wie dem Abschlussbericht des niederländischen Justizministeriums vom 13. November 2019 zu entnehmen ist.

Neben Windows 10 Home und Windows 10 Pro bietet Microsoft noch die teurere Version Windows 10 Enterprise an. Diese hat die niederländische Datenschutzaufsichtsbehörde explizit nicht bemängelt, da sie nur über minimale Datenübermittlung an Microsoft verfügt, aber komplett lässt sich diese auch da nicht ausschalten.

Umstellung auf Servicekonzept

Das Etablieren der neuen Vermarktungsstrategie im Rahmen der Einführung von Windows 10 hatte eine Abkehr von der bisherigen Praxis der Lizenzpolitik und Etablierung eines Servicekonzepts zur Folge, indem Microsoft nicht mehr alle paar Jahre ein neues Windows veröffentlichte, sondern seit Windows 10 dieses immer wieder „rundumerneuert“. Somit ist Windows 10 nicht gleich Windows 10. Neben unterschiedlichen Editionen für unterschiedliche Zielgruppen (S, Education, Home, Pro, Enterprise) gibt es von jeder Edition unterschiedliche Versionen (1507, 1511, 1607, 1703, 1709, 1803, 1809, 1903, 1909). Keine funktionstechnischen Unterschiede gibt es zwischen den 32- und 64-bit-Architekturen. Diese Versionen sind das Resultat von „Funktionsupdates“ die ca. zwei Mal pro Jahr kostenlos von Microsoft zur Verfügung gestellt werden und neue Funktionen anbieten, aber auch sicherheitsrelevante Updates beinhalten. Zusätzlich erscheinen jenen Monat kleine Updates, die meist Sicherheitslücken beheben. Zu beachten ist, dass diese großen „Funktionsupdates“ zur Folge haben können, dass sicherheitsrelevante Einstellungen im Betriebssystem verloren gehen und neu aktiviert werden müssen oder aber auch die Systemintegrität durch neue Funktionen beeinträchtigt wird. 

Kritikpunkte 

Konkret wirft das niederländische Justizministerium Microsoft vor, dass nicht ohne weiteres ersichtlich ist, welche Daten erhoben werden und weshalb, was den Grundsätzen des Art. 5 DS-GVO zuwiderläuft. Nur durch Eigeninitiative (siehe unten MS Diagnostic Data Viewer) ist erkennbar, dass der Datentransfer etwa Informationen über persönliche Daten zur Softwareinstallation, mithilfe des Webbrowsers Edge besuchten Webseiten, Suchanfragen an Bing und sogar die Klickpfade der Office-Produkte umfasst. Abgesehen davon, geschieht dieser Datentransfer im Hintergrund, ohne dass der Anwender dies einfach überprüfen und komplett unterbinden könnte.

Als in den USA ansässiges Unternehmen finden auf Microsoft die Art. 44 ff. DS-GVO Anwendung. Mit dem Privacy Shield existiert ein Angemessenheitsbeschluss gemäß Art. 45 Abs. 3 DS-GVO, der die Übermittlung der Daten in die USA rechtfertigt. Allerdings ist zu beachten, dass gegen den Privacy Shield ein Verfahren vor dem Europäischen Gerichtshof anhängig ist (Az. C-311/18), so dass eine Rechtmäßigkeit in Zukunft eventuell einer neuerlichen Überprüfung bedarf.

Nutzung in Behörden

Besonders bedenklich ist, dass Windows 10 nicht nur in privaten Haushalten genutzt wird, sondern ebenfalls in Behörden, Krankenhäusern und Unternehmen verbreitet ist.

In einer vom Bundesinnenministerium in Auftrag gegebenen Studie des Beratungsunternehmens PwC Strategy& zur Software-Nutzung in der Bundesverwaltung wurde eine starke Abhängigkeit von Microsoft-Produkten festgestellt. Diese Abhängigkeit resultiert in einer Gefährdung der digitalen Souveränität des Staates. Zwar gewährt Microsoft hohe Rabatte beim Kauf von Volumenlizenzen, kann diese Praxis aber jederzeit ändern. Durch die Einführung von monatlichen Abonnements, zum Beispiel Office 365, erhöht Microsoft bereits seine Einflussmöglichkeiten auf die Preispolitik. 

Typisch in der Bundesverwaltung ist die Verwendung von Outlook, Exchange mit Windows und auch noch Windows Server als Basis der zugrundeliegenden Serverinfrastruktur. Da Microsoft keine offenen Schnittstellen zur Verfügung stellt, ist ein Austauschen eines Produkts aus dieser Anwendungskette nicht ohne weiteres möglich.

Zusätzlich ist dies auch kaum gewollt, da ein Großteil des Personals der Bundesverwaltung Microsoft Office und Windows nicht nur im Arbeitsalltag, sondern auch im privaten Umfeld nutzt und somit über entsprechende Fähigkeiten und Fachwissen verfügt. Auch würde der Umstieg auf eine andere Software einen erheblichen Schulungsaufwand mit sich bringen. 

Lösungsansätze

Welche Möglichkeiten gibt es dann Windows 10 weiter zu nutzen und trotzdem die DS-GVO-Konformität zu wahren? Mit dieser Frage hat sich die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) beschäftigt. Dazu hat sie am 6. November 2019 ein spezielles Prüfschema zur Anwendung von Windows 10 erstellt: Link Prüfschema

Beibehalten von Windows 

Als Quintessenz lässt sich vorab feststellen, dass zwar die Übermittlung von Daten an Microsoft in bislang keiner Edition und Version durch eine Änderung der Konfigurationseinstellungen komplett abgestellt werden kann und sich das Kommunikationsverhalten und die Konfigurationsmöglichkeiten von Windows 10 mit neuen Versionen ändern können. Allerdings ist nach gründlicher vorangegangener Prüfung eine datenschutzkonforme Verwendung von Windows 10 möglich.

Wie bei jeder Prüfung von Geschäftsprozessen, bei denen personenbezogene Daten verwendet werden, ist dabei folgendes Schema anzuwenden:

  1. Beschreibung des Geschäftsprozesses / der Verarbeitungstätigkeit (Art, Umfang, Umstände und Zwecke der Verarbeitung)
  2. Ermittlung der an Microsoft übermittelten personenbezogenen Daten mit dem Tool MS Diagnostic Data Viewer, welches kostenlos über den Microsoft-eigenen AppStore bezogen werden kann.
  3. Anschließend kann abgeglichen werden, ob die Übermittlung rechtmäßig im Sinne des Art. 6 Abs. 1 S.1 DS-GVO erfolgt oder ob gegebenenfalls Anpassungen an der Konfiguration vorgenommen werden müssen.

Mithilfe dieses Prozederes kann die Integrität der geeigneten technischen und organisatorischen Maßnahmen nach den Bestimmungen der DS-GVO gewährleistet werden. Allerdings ist dies mit nicht unerheblichem Aufwand verbunden, da das Tool MS Diagnostic Data Viewer Einarbeitungszeit erfordert und aufgrund der regelmäßigen Updates von Windows 10 eine kontinuierliche Überprüfung notwendig ist. Natürlich geht es auch pragmatischer – wenn der Rechner keinen Internetzugang braucht, kann man einfach den (Netzwerk-) Stecker ziehen.

Abkehr von Microsoft

Wem das zu viel Aufwand ist und / oder die Lizenzkosten an Microsoft nicht mehr erbringen möchte, kann natürlich auch komplett die Systemarchitektur wechseln und auf Microsoft-Produkte verzichten. Die Frage einer möglichen Abkehr von Microsoft mag aufgrund des riesigen Aufwands unbequem erscheinen, könnte jedoch auf lange Sicht gesehen eine ernsthafte Alternative darstellen. Das beste Datenschutzgesetz nützt nichts, wenn aufgrund unsicherer bzw. anfälliger Infrastruktur jegliche Datenschutzbestimmungen ins Leere laufen. Übergangsweise ließe sich auch ein paralleler Betrieb von Linux-Systemen und Windows betreiben. Zudem ist Linux in der Lage eine Windows-Umgebung zu emulieren (zum Beispiel mit der Laufzeitumgebung Wine). Auch lassen sich mit LibreOffice (früher OpenOffice) Word-Dateien öffnen.

Diesbezüglich gab es in der Bundesrepublik bereits mehr oder weniger erfolgreiche Bemühungen. Die Kommunalverwaltungen Mannheim und München sowie die Niedersächsische Polizei und Finanzverwaltung haben ihren begonnen Umstieg auf Linux-Distributionen wieder rückgängig gemacht und sind zurück zu Windows gewechselt. Hingegen wird Linux erfolgreich in den Bremer Schulen angewandt. 

Ähnliche Bemühungen laufen in Frankreich, Großbritannien und Spanien. In Italien wurde sogar ein verpflichtendes Gesetz zur Nutzung von Open-Source-Software erlassen.

Fazit

Diese Maßnahmen sind jedoch nur ein Tropfen auf den heißen Stein. Vereinzelte Umstellungen sind begrüßenswert, allerdings konterkariert die zwangsläufige Kommunikation innerhalb von Ländern mit anderen, Microsoftbasierten-Systemen den Zweck der Datenintegrität und gefährdet diese, da immer Server außerhalb der EU im Spiel sein werden. 

Die föderale Struktur in der Bundesrepublik resultiert nicht nur in eigenen Softwarelösungen, sondern verursacht auch finanzielle Mehrbelastungen und ist sehr impraktikabel. Mangels einheitlicher Schnittstellen, zum Beispiel bei Polizeibehörden, können sich diese nicht austauschen oder andere Datenbanken abfragen. Dies ist zwar ein politisches Problem, im Rahmen einer Umstellung auf neue, einheitliche IT-Systeme würden sich jedoch so zwei Fliegen mit einer Klappe schlagen lassen.

Eine hundertprozentige Gewährleistung von Kontrolle und Sicherheit ist nur durch eine vollständige Umstellung auf andere Produkte möglich. Da die meisten Kommunen und Ministerien freiwillig nicht die Muße dazu haben, müsste der Gesetzgeber dies durch entsprechende Regelungen veranlassen. Und zwar nicht nur in Deutschland, sondern im Hinblick auf die Etablierung einheitlicher europäischer Standards und Gesetze und der Kommunikation zwischen den Mitgliedstaaten, ist hier der europäische Gesetzgeber gefragt. Es sollte im eigenen Interesse Europas sein, sich informationstechnisch komplett von den USA zu lösen und eigene Produkte zu entwickeln.

Der dazu nötige Aufwand ist nur im Moment der Umstellung enorm. Nach Installation und Umschulung können auf dieser Basis europaweit einheitliche Softwarelösungen für Kommunen genutzt werden. Die einmaligen Umstellungskosten könnten durch die wegfallenden Lizenzkosten an Microsoft und die Bündelung von Programmierressourcen und Verteilung auf alle Mitgliedstaaten langfristig amortisiert werden.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Nach dem Brexit gilt das Vereinigte Königreich als Drittland, sodass für eine Datenübermittlung bestimmte Voraussetzungen vorliegen müssen.

Angemessenheitsbeschluss

Auswirkungen des Brexits auf die Datenübermittlung in das Vereinigte Königreich

Einleitung

Im Rahmen des bevorstehenden Austritts des Vereinigten Königreichs aus der EU (Brexit, voraussichtlich bis spätestens 31.01.2020) ist die Frage nach den Auswirkungen und Änderungen auf die rechtliche Beurteilung von Datenübermittlungen aus der EU an Unternehmen im Vereinigten Königreich von besonderer Bedeutung. Der britische Premierminister Boris Johnson und die EU Staaten haben sich am 17.10.2019 auf ein neues Abkommen geeinigt, dieses muss jedoch noch vom britischen Parlament abgesegnet werden. Bisher kam es im britischen Parlament nicht zu einer absoluten Mehrheit für Johnsons Brexit Deal. Das Parlament stimmte am 29.10.2019 aber einer Neuwahl zu, welche voraussichtlich am 12.12.2019 stattfinden soll. Am 06.11.2019 wurde das britische Parlament nun aufgelöst. Johnson hofft, dass ein neues Parlament seinem Brexit Deal zustimmt.

Im Rahmen des aktuellen Abkommens verpflichten sich die Parteien zur Gewährleistung eines hohen Schutzniveaus personenbezogener Daten, um den Datenfluss zwischen ihnen zu erleichtern. Es soll zudem einen Übergangszeitraum geben, in dem das Vereinigte Königreich zwar nicht Mitglied der EU ist, sich aber an dessen Richtlinien und Verordnungen halten muss. Des Weiteren soll die Europäische Kommission nach dem Austritt des Vereinigten Königreichs aus der EU mit Prüfungen über ein angemessenes Schutzniveau beginnen um spätestens bis Ende 2020 einen Angemessenheitsbeschluss vorbringen zu können. 

In Ermangelung eines bisher geschlossenen Austrittsabkommens zwischen der EU und dem Vereinigten Königreich besteht weiterhin die „Gefahr“ eines ungeregelten Brexits (No-Deal-Brexit). Sobald das Vereinigte Königreich aus der Europäischen Union ausgetreten ist, gilt es als Drittland im Sinne der Datenschutz-Grundverordnung (DS-GVO). Folglich darf eine Datenübermittlung nur unter bestimmten weiteren Voraussetzungen stattfinden. Ziel dieser weiteren Voraussetzungen ist die Erhaltung eines mit der EU vergleichbaren Datenschutzniveaus, wenn personenbezogene Daten an das Vereinigte Königreich übermittelt werden.

Datenübermittlungen aus der EU/dem EWR in das Vereinigte Königreich 

Die Zulässigkeitsprüfung einer Datenübermittlung an ein Unternehmen mit Sitz in einem Drittland erfolgt zweistufig. Zunächst müssen die Verarbeitung und Weitergabe der personenbezogenen Daten an sich zulässig sein. Des Weiteren muss der Datentransfer an ein Drittland gerechtfertigt sein. Eine Rechtfertigung des Auslandstransfers bilden die Art. 44 ff. DS-GVO. Ein Datentransfer in ein Drittland ist demnach stets zulässig, wenn die Europäische Kommission einen Angemessenheitsbeschluss gemäß Art. 45 Abs. 1 DS-GVO erlässt, welcher besagt, dass das jeweilige Drittland über ein angemessenes, mit dem EU-Recht vergleichbares Datenschutzniveau verfügt. Die bisherigen Angemessenheitsbeschlüsse der EU Kommission stammen noch aus der Zeit vor der DS-GVO, bilden aber dennoch weiterhin wirksame Rechtfertigungen für einen Auslandsdatentransfer.

Mangels Angemessenheitsbeschlusses der EU für das Vereinigte Königreich, müssen sog. „geeignete Garantien“ gemäß Art. 46 DS-GVO getroffen werden, um einen Datentransfer zu ermöglichen. Hierzu kann sich verschiedener Datentransferinstrumente bedient werden. Es obliegt den Verantwortlichen und Auftragsverarbeitern zu überprüfen, welche Mechanismen zur Datenübermittlung in das Vereinigte Königreich in der jeweiligen Situation am besten geeignet sind. 

Standarddatenschutzklauseln

In Betracht kommen zunächst Standarddatenschutzklauseln. Derzeit sieht die EU Kommission drei Zusammenstellungen von Standarddatenschutzklauseln vor, welche die Datenübermittlung von einem Verantwortlichen in einem EU-Land an einen Verantwortlichen oder einen Auftragsverarbeiter in einem Drittland regeln (2001/497/EG, 2004/915/EG, 2010/87/EG). Diese Klauseln können sodann in (auch bereits bestehende) Verträge eingebaut werden. Wichtig ist, dass diese Klauseln nicht abgeändert werden dürfen; sie müssen genauso übernommen und unterzeichnet werden, wie die Kommission sie genehmigt hat. Die Standarddatenschutzklauseln stammen aus der Zeit vor der DS-GVO, sind jedoch so lange wirksam, bis die EU Kommission sie durch einen Beschluss ändert, ersetzt oder aufhebt.

Verbindliche interne Datenschutzvorschriften (BCRs)

Des Weiteren können Unternehmensgruppen, d.h. multinationale Konzerne, verbindliche interne Datenschutzvorschriften verwenden, welche einen angemessenen Datenschutz innerhalb der Gruppe gewährleisten. Die Unternehmensgruppen verpflichten sich dadurch zur Bereitstellung geeigneter Garantien für die Übermittlung von personenbezogenen Daten, auch außerhalb der EU/des EWR. Bereits bestehende, nach der früheren Richtlinie 95/46/EG genehmigte, verbindliche interne Datenschutzvorschriften bleiben unter der DS-GVO wirksam und gelten als geeignete Garantien im Sinne des Art. 46 DS-GVO. Sie müssen jedoch an einigen Stellen aktualisiert werden, um den Voraussetzungen der DS-GVO vollständig zu entsprechen. Zukünftige verbindliche interne Datenschutzvorschriften bedürfen einer Genehmigung der zuständigen nationalen Aufsichtsbehörde, nachdem der Europäische Datenschutzausschuss (EDSA) Stellung genommen hat.

Verhaltensregeln und Zertifizierungsmechanismen

Zudem besteht die Möglichkeit, Datentransfers auf Grundlage von branchenspezifischen Verhaltensregeln nach Art. 40 DS-GVO zu legitimieren, soweit diese über rechtsverbindliche und durchsetzbare Verpflichtungen des Verantwortlichen oder Auftragsverarbeiters verfügen und von der zuständigen Aufsichtsbehörde genehmigt wurden, Art. 46 Abs. 2 lit. e DS-GVO. Dasselbe gilt für Zertifizierungen, Art. 46 Abs. 2 lit. f, 42 DS-GVO. 
Bisher gibt es noch keine Präzisierung des Inhalts der Verhaltenskodizes und Zertifizierungsmechanismen im Hinblick auf rechtliche Rahmenbedingungen und Verfahrensfragen; es ist sodann auf Leitlinien der europäischen Aufsichtsbehörden zu warten. 

Ad-hoc-Vertragsklauseln

Ad-hoc-Datenschutzklauseln können zwischen den jeweiligen Vertragspartnern (der EU/dem EWR und dem Vereinigten Königreich) individuell ausgehandelt werden, sodass sie in der jeweiligen Situation angemessene Garantien für die Datenübermittlung bilden. Diese müssen vor einem Datentransfer jedoch vom Europäischen Datenschutzbeauftragten (EDSB) genehmigt werden. Sofern Standarddatenschutzklauseln geändert werden, werden sie zu Ad-hoc-Vertragsklauseln. 

Ausnahmen

Im Einzelfall können auch Ausnahmeregelungen gemäß Art. 49 DS-GVO greifen. Dies ist beispielweise bei einer vorherigen informierten Einwilligung oder einer Datenübermittlung zur Erfüllung eines Vertrages der Fall. Diese Ausnahmen sind sehr eng auszulegen und gelten in der Regel nur bei gelegentlichen und sich nicht wiederholenden Datenübermittlungen. 

Fazit

Bis zum Austritt des Vereinigten Königreichs aus der EU sind von europäischen Unternehmen, welche im Rahmen ihrer wirtschaftlichen Tätigkeit personenbezogene Daten in das Vereinigte Königreich übermitteln, Vorkehrungen zu treffen, welche einen ausreichenden Schutz der Daten im Sinne der DS-GVO gewährleisten. Hierzu kann sich je nach Einzelfall verschiedener Datentransferinstrumente bedient werden, bis es zu einem Angemessenheitsbeschluss der EU Kommission für das Vereinigte Königreich gekommen ist.

Wir unterstützen Sie gerne bei der Bewältigung der mit dem Brexit einhergehenden datenschutzrechtlichen Herausforderungen.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir gehen näher darauf ein, was unter dem Auskunftsrecht der DS-GVO zu verstehen ist und welche Informationen davon umfasst sind.

Umfang des Auskunftsrechts des Betroffenen aus Art. 15 DS-GVO

Einleitung

Vor Inkrafttreten der DS-GVO wurden die Auskunftsrechte in den §§ 19, 34 Bundesdatenschutzgesetz (BDSG) der alten Fassung geregelt. Bemerkenswert am Bundesdatenschutzgesetz ist, dass es in seiner ursprünglichen Fassung bereits 1977 in Kraft getreten ist. Die Bundesrepublik war damit dem europäischen Gesetzgeber um Jahrzehnte voraus – dieser verabschiedete ein erstes Gesetz zum Datenschutz erst im Jahr 1995 mit der Richtlinie 95/46/EG, welche wiederum durch die Richtlinien 2002/58/EG und 2009/136/EG ergänzt wurde. Diese wiederum wurde durch die DS-GVO im Mai 2018 ersetzt.

Zwar ist die DS-GVO eine europaweit einheitliche Verordnung, so dass sich die zum Bundesdatenschutzgesetz a.F. existierende deutsche Rechtsprechung nicht per se zur Auslegung von europäischen Normen heranziehen lässt und stattdessen neu erarbeitet werden muss. Ob und inwiefern existierende Rechtsprechung zum BDSG a.F. im Rahmen der DS-GVO herangezogen werden kann, deren Artikel gleichbedeutend mit Normen aus den oben genannten Richtlinien sind, ist Sache des Einzelfalls. In den hier erörterten Urteilen hat das LG Köln im Rahmen der Auslegung von Art. 15 DS-GVO frühere Rechtsprechung des OLG Köln zum § 34 BDSG a.F. (Beschluss vom 26.07.2018, 9 W 15/18) herangezogen.

Die §§ 19, 34 BDSG a.F. wurden im Rahmen der Umsetzung der Artt. 10, 12 der Richtlinie 95/46/EG erlassen. Während der Auskunftsanspruch der §§ 19, 34 BDSG a.F. nur eine Auskunft über die gespeicherten Daten vorsieht, geht Art. 15 DS-GVO darüber hinaus und sieht eine Auskunft über die verarbeiteten Daten vor. Das heißt in der Praxis, dass nun nicht mehr Auskunft über die Speicherung der Daten selbst gegeben werden muss, sondern die Verarbeitung umfasst auch das Auslesen, Abfragen, Verändern, Übermitteln, Verbreiten oder Abgleichen von Daten. Quasi jede Handlung, bei der Daten verwendet werden, stellt eine Verarbeitung dar. Mit Inkrafttreten der DS-GVO steht dem Verbraucher nun auch der neue Anspruch des Rechts auf Kopie gem. Art. 15 Abs. 3 DS-GVO zu.

Vorliegend soll herausgearbeitet werden, wie weit der Auskunftsanspruch aus Art. 15 Abs. 1 DS-GVO reicht und ob und wie weit personenbezogene Daten aus der Vergangenheit mitumfasst sind. Auch wenn die DS-GVO mittlerweile seit knapp 1,5 Jahren gilt, ist das Auskunftsrecht des Art. 15 DS-GVO Gegenstand juristischer Auseinandersetzung. Dies ist vor allem der unpräzisen Ausgestaltung der Norm in Hinblick auf ihre Reichweite geschuldet. 

Differenzierung zwischen dem Auskunftsrecht und dem Recht auf Kopie

Vorab sei erwähnt, dass Abs. 1 des Art. 15 DS-GVO sich in zwei Teile gliedert – es handelt sich um ein zweistufiges Auskunftsrecht. Der erste Teil gewährt den eigentlichen Auskunftsanspruch: „Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten (…).“ Der zweite Teil gewährt das Recht auf zusätzliche Informationen, die in lit. a) – h) aufgeführt sind. Dass die Norm zwei selbstständige Rechte meint, ist aufgrund der Gestaltung in Form eines einzelnen Satzes nicht auf den ersten Blick zu erkennen. Das Recht auf eine Kopie setzt folgerichtig einen Anspruch auf die Auskunft voraus. Beide Ansprüche führen somit zum selben Ergebnis – der Unterschied liegt lediglich darin, dass Art. 15 Abs. 1 DS-GVO keine Vorgaben zur Darstellung der personenbezogenen Daten macht. Dies kann also tabellarisch, grafisch oder auf Wunsch des Betroffenen auch mündlich erfolgen. Hingegen erfordert der Anspruch auf eine Kopie aus Art. 15 Abs. 3 DS-GVO eine Darstellung der Daten 1-zu-1 in der Form, wie sie tatsächlich beim Verantwortlichen vorliegen – ergo der Wortlaut „Kopie“.

Anspruch auf vergangene Informationen

Bislang ist weder umfangreiche Rechtsprechung vorhanden, die Art. 15 DS-GVO zum Gegenstand hat, noch gibt es höchstrichterliche Urteile. Jedoch hat das Landgericht Köln dieses Jahr bereits zwei Urteile, diese Thematik betreffend, gesprochen: 26 O 25/18 vom 18. März 2019 sowie 26 S 13/18 vom 19. Juni 2019. Wie oben erwähnt, ist unstrittig, dass der Auskunftsanspruch des Art. 15 DS-GVO über den vormaligen Auskunftsanspruch aus § 34 BDSG a.F. hinausgeht. Allerdings war auch nach dem BDSG a.F. nicht klar, inwieweit vergangene Informationen vom Auskunftsanspruch umfasst sind.

Das Landgericht hat eine enge Auslegung des Art. 15 DS-GVO angenommen und den Auskunftsanspruch der Klägerin auf die alleinigen gespeicherten Daten der Klägerin beschränkt. Sonstige interne Daten, die im Rahmen des Unternehmenszwecks verarbeitet werden, sind nicht von Art. 15 DS-GVO umfasst: 

Nach der Auffassung der Kammer bezieht sich der Auskunftsanspruch aber nicht auf sämtliche internen Vorgänge der Beklagten, wie z.B. Vermerke, oder darauf, dass die betreffende Person sämtlichen gewechselten Schriftverkehr, der dem Betroffenen bereits bekannt ist, erneut ausgedruckt und übersendet erhalten kann.“

Das heißt, der Betroffene kann seinen Namen, Geburtsdatum, Identifikationsmerkmale, Gesundheitsdaten oder Kontonummer erfragen. Nutzt das Unternehmen die Daten um zum Beispiel interne Gutachten zu erstellen, werden diese nicht vom Auskunftsanspruch erfasst. Damit soll auch verhindert werden, dass Betroffene den Auskunftsanspruch „missbrauchen“ und den Verantwortlichen zum persönlichen E-Mail-/Postarchiv machen, was ansonsten einen riesigen Aufwand mit sich ziehen würde.

Damit folgte das LG einem Urteil des OLG Köln, welches im Rahmen des Auskunftsanspruchs des § 34 BDSG a.F. feststellte, dass dieser kein Ausforschungsanspruch sei und schon allein die Fairness gegenüber Unternehmen gebietet, dass diese internen Vorgänge unter Verschluss halten können. 

Damit ist auch die Frage nach den zurückliegenden gespeicherten Informationen vom LG Köln zum Teil beantwortet. Vergangene Korrespondenz mit oder über den Betroffenen ist nicht vom Auskunftsanspruch erfasst. Offen bleibt die Frage, ob eine sonstige vergangene Verarbeitung beauskunftet werden muss, soweit sie die in Art. 15 Abs. 1 lit. a) – h) DS-GVO aufgeführten Informationen enthält.

Es bleibt jedoch abzuwarten, ob ähnlich gelagerte Fälle vom BGH oder insbesondere vom EuGH, den Umfang des Auskunftsanspruchs des Art. 15 DS-GVO betreffend, anders beurteilt werden.

Fazit

Das LG Köln differenziert zwischen den personenbezogenen Daten, die der Verantwortliche vom Betroffenen erhalten hat und den Daten, die der Verantwortliche im Rahmen seines Unternehmenszweckes auf Basis der vorhandenen personenbezogenen Daten selbst erstellt hat.

Diese Interpretation ist auch praxisnah, da – angenommen es bestände eine uneingeschränkte Auskunftspflicht – ein Unternehmen sonst gezwungen wäre, sämtliche internen Verarbeitungsvorgänge über die betreffende Person wie zum Beispiel Analysen, Schriftverkehr und rechtliche Bewertungen, die das Unternehmen aufgrund der Natur seines Unternehmenszwecks selbst aufwändig erstellt hat, preiszugeben und damit im Zweifel auch Geschäftsgeheimnisse opfern müsste. Auch wäre eine solche Zusammenstellung mit erheblichem technischem Aufwand verbunden. Zu beachten ist die Abgrenzung zu Art. 13, 14 DS-GVO, die den Verantwortlichen ohne eine vorherige Handlung der betroffenen Person zur Informationspflicht gegenüber dieser verpflichten, wohingegen der Betroffene durch das Auskunftsrecht des Art. 15 DS-GVO erst nach einem vom Betroffenen geltend gemachten Auskunftsverlangen verpflichtet wird.

Anzumerken ist jedoch, dass eine darüberhinausgehende Auskunftserteilung geboten sein kann, wenn dem ebenfalls in der DS-GVO geregelten Transparenzgebot Rechnung getragen werden soll.

Unternehmen sollten ein Auskunftsersuchen zügig bearbeiten. Im Gegensatz zu Auskunftsersuchen nach dem § 34 BDSG a.F. gilt nun gem. Art. 12 Abs. 3 DS-GVO eine Frist von einem Monat. Diese soll jedoch vor allem komplexen Auskunftsanträgen vorbehalten sein. Wichtig ist, die Identität des Antragstellers zu überprüfen, da personenbezogene Daten selbstredend vertrauliche Informationen sind. Als Auskunftsersuchender sollte man nicht nur eine Auskunft nach Art. 15 Abs. 1 DS-GVO einholen, sondern auch direkt eine Kopie der Daten gemäß Art. 15 Abs. 3 DS-GVO.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir beleuchten den CCPA und vergleichen seine Regelungen mit denen der DS-GVO.

California Consumer Privacy Act (CCPA)

Einleitung

Da in den föderal organisierten USA der Bereich des Datenschutzes primär in den Aufgaben- und Zuständigkeitsbereich der Bundesstaaten fällt, existiert derzeit auf Bundesebene kein mit der Datenschutz-Grundverordnung (DS-GVO) vergleichbares Gesetz zur umfassenden Regelung des Datenschutzes. In der Hinsicht nimmt der Bundesstaat Kalifornien eine Außenseiter- und Vorreiterrolle ein. Der kalifornische Gesetzgeber hat mit dem „California Consumer Privacy Act“ (CCPA) ein Gesetz erlassen, das den Verbrauchern ein bis dato unbekanntes Datenschutzniveau gewähren soll. In Kraft treten wird das Gesetz zum 1. Januar 2020 (Gesetzestext: hier abrufbar). 

Neben der Tatsache, dass der CCPA ausgerechnet in der Heimat diverser Silicon Valley-Giganten entstand, ist vor allen Dingen bemerkenswert, dass das Gesetz von einer Bürgerinitiative ausging. Dies spiegelt unmissverständlich das Interesse der Bürger an einem funktionierenden Datenschutzsystem zur Steuerung des Umgangs mit personenbezogenen Informationen wider. Im Gegensatz zu früheren Versuchen, in den USA den Datenschutz im Bewusstsein von Unternehmen und Verbrauchern zu verankern, konnte der kalifornische Gesetzgeber rund um den „Cambridge Analytica“- Skandal die Gunst der Stunde nutzen, den Verbraucherschutz diverser kritischer Stimmen zum Trotz zu etablieren.

Anwendungsbereich der CCPA 

Der CCPA entfaltet Wirkung gegenüber allen Unternehmen, die personenbezogene Informationen von kalifornischen Verbrauchern verarbeiten. Das Unternehmen muss dabei nicht in Kalifornien ansässig sein. Somit können neben amerikanischen auch europäische Unternehmen in den Geltungsbereich des CCPA fallen (s.g. Marktortprinzip), welche bspw. über das Internet in Kaliforniern Waren oder Dienstleistungen anbieten. Indirekt dürfte das Gesetz zudem für Service Provider gelten, welche den kalifornischen Markt als adressierende Kunden haben. Von der Anwendung ausgenommen sind Unternehmen nur, wenn sie die personenbezogenen Daten zu einem Zeitpunkt erhoben haben, an dem sich der Verbraucher außerhalb von Kalifornien aufgehalten hat, kein Teil des Verkaufs bzw. der Weitergabe der personenbezogenen Daten in Kalifornien erfolgte und keine personenbezogenen Daten verkauft wurden, die vom Verbraucher zu einer Zeit erhoben wurden als er in Kalifornien befindlich war (Section 1798.145 (a) (6)).

Anwendbar ist der CCPA nur für Unternehmen, welche mindestens einen der folgenden Schwellenwerte erreichen (Section 1798.140 (c) (1) (A) – (C)):

  • jährliche Bruttoeinnahmen von mehr als USD 25 Millionen,
  • Verarbeitung von personenbezogenen Informationen im Umfang von 50.000 oder mehr Verbrauchern, Haushalten oder Gerätschaften, die von in Kalifornien ansässigen Personen stammen, für geschäftliche Zwecke des Unternehmens,
  • der Gewinn des Unternehmens resultiert zu 50 % oder mehr aus den jährlichen Einnahmen durch den Verkauf von personenbezogenen Informationen. 

Im Rahmen letzter Gesetzestextänderungen hat der Assembly Bill No. 25 vom 11. Oktober 2019 personenbezogene Daten, die über eine Person als Bewerber, Mitarbeiter, Eigentümer, Direktor, leitender Angestellter, medizinischer Angestellter oder Auftragnehmer dieses Unternehmens verarbeitet werden sowie personenbezogene Daten, die ausschließlich zum Zwecke der Aufrechterhaltung von Notfallkontakten gesammelt und verwendet wurden und schließlich personenbezogene Daten, die ausschließlich zur Verwaltung von Leistungen an die Angehörigen einer Person gesammelt und verwendet wurden, bis zum 1. Januar 2021 von der Anwendung der CCPA freigestellt.

Vergleich DS-GVO und CCPA 

In der Sache betrifft der CCPA überwiegend den Verbraucherschutzbereich. Die DS-GVO enthält dagegen umfassende Vorgaben hinsichtlich der Einhaltung und richtigen Umsetzung des Datenschutzes. Im CCPA sind beispielsweise keine Angaben zur Benennung eines Datenschutzbeauftragten zu finden. 

Einwilligung

Ein fundamentaler Unterschied wird bei Betrachtung der Bestimmungen deutlich, welche den Verkauf von personenbezogenen Daten regeln. Während nach der DS-GVO regelmäßig eine ausdrückliche Einwilligung des Verbrauchers in die Weitergabe erforderlich ist, genügt nach dem CCPA ein Widerruf (Opt-out). Section 1798.135 (a) (1) bestimmt, dass Unternehmen einen deutlich sichtbaren Link auf ihrer Webseite mit dem Titel „Do Not Sell My Personal Information“(Verkaufen Sie meine personenbezogenen Daten nicht) darstellen müssen, der den Verkauf der personenbezogenen Daten untersagt. Wenn Kinder zu den Verbrauchern gehören, gelten strengere Regeln. Kinder im Alter zwischen 13 und 16 Jahren müssen ausdrücklich ihre Einwilligung geben. Bei Kindern unter 12 Jahren entscheidet der Erziehungsberechtigte.

Dies hat vor allem auf Werbetreibende Auswirkungen. Zwar muss im Gegensatz zur DS-GVO kein Cookie-Banner mit Einwilligungsmöglichkeit auf der Webseite eingeblendet werden. Da aber auch der CCPA Cookies (First-Party und Third-Party-Cookies) als personenbezogene Daten klassifiziert, können Verbraucher nun durch die gesetzlich vorgeschriebene Opt-out-Möglichkeit verhindern, dass Werbetreibende mithilfe von Tracking passende Produktplatzierungen anzeigen können. Dies kann bei Websitebetreibern zu einer erheblichen Reduktion von Werbeeinnahmen führen. In der Folge könnte die Qualität von kostenfreien Angeboten sinken und/oder „Paywalls“ zur Finanzierung installiert werden.

Personenbezogene Daten

In Bezug auf die Definition der „Personenbezogenen Daten“ (Englisch: personal information) ähneln sich beide Gesetze. Der CCPA versteht darunter alle Informationen, die „einen Verbraucher oder Haushalt identifizieren, sich darauf beziehen, beschreiben, in der Lage sind diesem zugeordnet zu werden, oder vernünftigerweise direkt oder indirekt mit einem bestimmten Verbraucher oder Haushalt verknüpft werden können“ (“Personal information” means information that identifies, relates to, describes, is capable of being associated with, or could reasonably be linked, directly or indirectly, with a particular consumer or household“) (Section 1798.140 (o) (1)).

Vor allem der letzte Teil der Norm ist interessant, da dieser über die Definition der DS-GVO hinausgeht. Damit wird nicht nur der einzelne Verbraucher vor Missbrauch seiner Daten geschützt, sondern zum Beispiel auch seine Familie, wenn sie einen Haushalt bildet und sich von etwaigen Haushalts- und Gerätedaten Rückschlüsse auf den Haushalt ziehen lassen sollten.

In Section 1798.140 (o) (1) (A) – (K) werden beispielhaft Indikatoren aufgezählt, die sämtliche kommerzielle Informationen im Hinblick auf die Kaufhistorie und die Konsumtendenzen, Internet- oder andere elektronische Netzwerkaktivitäten wie den Browserverlauf, Interaktionen mit Apps, Webseiten etc., Geolokalisierungsdaten und Interferenzen erfassen, die sich aus anderen personenbezogenen Daten ergeben, um ein Verbraucherprofil zu erstellen, das Präferenzen, Verhaltensweisen und Merkmale beschreibt. 

Im Unterschied zur DS-GVO bestimmt der CCPA in Section 1798.140 (o) (2), dass allgemein zugängliche Daten, die sich bei staatlichen Stellen befinden, nicht vom Anwendungsbereich des CCPA erfasst sind. Auch sieht der CCPA, im Gegensatz zur DS-GVO (Art. 9 Abs. 1), keinen erhöhten Schutz für sensible Datenkategorien, wie die politische Meinung oder sexuelle Orientierung des Einzelnen, vor.

Rechte der Verbraucher in Kalifornien nach CCPA 

Neben mit der DS-GVO vergleichbaren Informationspflichten finden sich im CCPA mit EU-Niveau vergleichbare Betroffenenrechte wieder. Zu nennen sind die Rechte auf Auskunft und Kopie eines „spezifischen Teils“ der Daten, das Recht auf Vergessenwerden, das Recht auf Nicht-Diskriminierung und nicht zuletzt das oben genannte Opt-out-Recht, um den Verkauf personenbezogener Daten an Dritte zu verhindern. 

Recht auf Löschung / „Vergessenwerden“ – Section 1798.105

Der CCPA gewährt dem Verbraucher ein großzügiges Recht zur Löschung seiner personenbezogenen Daten. Dafür ist – anders als in Art. 17 Abs. 1 lit. a) – f) DS-GVO – keine normierte Voraussetzung notwendig. Bereits der Wunsch des Verbrauchers reicht nach der CCPA aus. Dies kann das Unternehmen nur bei Vorliegen einem der in Section 1798.105 (d) (1) – (9) aufgezählten Gründe verweigern, zum Beispiel im Falle der Erforderlichkeit der Nutzung der personenbezogenen Informationen im Rahmen eines Vertragsverhältnisses.

Recht auf Auskunftserteilung – Section 1798.110, 1798.115

Ein Unternehmen kann vom Verbraucher verpflichtet werden, Angaben bezüglich der Art und den von einer Speicherung explizit betroffenen personenbezogenen Informationen offen zu legen. Unabdingbar ist auch die Mitteilung des Speicherungszwecks als auch die Benennung der Unternehmen, bei denen eine Datenerhebung vorgenommen wurde. Dies ist vergleichbar mit dem Recht auf Datenportabilität aus Artt. 13, 14 DS-GVO. 

Recht auf Opt-out – Section 1798.120

Wie oben erwähnt, erfordert der CCPA im Gegensatz zur DS-GVO keine ausdrückliche Einwilligung des Verbrauchers. Die Verbraucher haben jedoch das Recht den Verkauf oder die Offenlegung ihrer persönlichen Informationen zu verhindern. Eine Weitergabe ist grundsätzlich nur mit ausdrücklicher Zustimmung durchzuführen. Wählt ein Verbraucher die Opt-out-Möglichkeit muss das Unternehmen dies respektieren und darf erst nach zwölf Monaten erneut versuchen eine Einwilligung einzuholen (Section 1798.135 (a) (5)).

Recht auf Gleichbehandlung – Section 1798.125

Der CCPA weist ausdrücklich darauf hin, dass Verbraucher von Unternehmen nicht aufgrund der Tatsache diskriminiert werden dürfen, weil sie die ihnen durch den CCPA zugesprochenen Rechte 

auch tatsächlich geltend machen. In der Hinsicht ist der CCPA mit der DS-GVO identisch, die es ebenfalls Unternehmen verbietet, Verbraucher zu diskriminieren, die ihre Rechte geltend machen wollen.

Recht auf Datenübertragbarkeit – Section 1798.130

Durch das Recht auf Datenübertragbarkeit wird gewährleistet, dass die betroffene Person die Daten, die sie einem Unternehmen zur Verfügung gestellt hat, nach einer Anfrage in einem tragbaren und soweit technisch durchführbar in einem leicht verwendbaren Format erhält, um diese Informationen ungehindert an andere Unternehmen übermitteln zu können. Das Unternehmen muss dem innerhalb von 25 Tagen unentgeltlich nachkommen. Anders als in der DS-GVO, wo nicht explizit geregelt ist, welchen zeitlichen Rahmen das Auskunftsrecht aus Art. 15 DS-GVO abdeckt (siehe Blogartikel), gilt der Auskunftsanspruch der CCPA gem. Section 1798.130 (a) (2) nur für die letzten zwölf Monate.

Klagerecht – Section 1798.150 (a) (1)

Um die genannten Rechte durchzusetzen, steht den Verbrauchern in Kalifornien ein Klagerecht zu. Eine Privatperson kann nur gegen ein Unternehmen gerichtlich vorgehen, wenn personenbezogene unverschlüsselte (nonencrypted) und nicht-unerkenntliche (nonredacted) Daten widerrechtlich in Umlauf gekommen sind und das Unternehmen nicht seiner Pflicht nachgekommen ist, für ein angemessenes Sicherheitsniveau zu sorgen. In allen anderen Fällen ist nur der Generalstaatsanwalt zur Klageerhebung befugt. Die DS-GVO ermöglicht hingegen Betroffenen grundsätzlich gem. Art. 79 DS-GVO gegen jede Rechtsverletzung gerichtlich vorzugehen.,

Pflichten für Unternehmen 

Unternehmen sind angehalten, entsprechende Maßnahmen zur Umsetzung des CCPA vorzunehmen. Im Fokus steht hierbei die Anpassung der Datenschutzbestimmungen. Den Unternehmen obliegt gegenüber den Verbrauchern die Pflicht zur Mitteilung der Kategorien der personenbezogenen Informationen, die von der Speicherung betroffen sind. Die Verbraucher müssen darüber hinaus über die Ihnen aus dem CCPA zustehenden Rechte in Kenntnis gesetzt werden.

Zwar kennt der CCPA keine Auftragsdatenverarbeitung wie die DS-GVO, jedoch regelt Section 1798.140 (v) die sogenannten “Service provider”, also Verarbeiter, die im Auftrag eines in Kalifornien ansässigen Unternehmens Dienstleistungen erbringen. Die Voraussetzungen sind zwar nicht so umfangreich wie in Art. 28 DS-GVO, jedoch gleichen sich beide dahingehend, dass personenbezogene Daten nicht für einen anderen als den vereinbarten Zweck verwendet werden dürfen: 

“Service provider” means a sole proprietorship, partnership, limited liability company, corporation, association, or other legal entity that is organized or operated for the profit or financial benefit of its shareholders or other owners, that processes information on behalf of a business and to which the business discloses a consumer’s personal information for a business purpose pursuant to a written contract, provided that the contract prohibits the entity receiving the information from retaining, using, or disclosing the personal information for any purpose other than for the specific purpose of performing the services specified in the contract for the business, or as otherwise permitted by this title, including retaining, using, or disclosing the personal information for a commercial purpose other than providing the services specified in the contract with the business.

Dieser Passus muss in dem geschlossenen Vertrag enthalten sein. Zwar schreibt der CCPA keine den Artt. 28, 32 DS-GVO vergleichbare detaillierte Auflistung von Technischen und Organisatorischen Maßnahmen vor, jedoch folgt aus Section 17898.150 (a) (1) „Any consumer whose nonencrypted or nonredacted personal information, as defined in subparagraph (A) of paragraph (1) of subdivision (d) of Section 1798.81.5, is subject to an unauthorized access and exfiltration, theft, or disclosure as a result of the business’ violation of the duty to implement and maintain reasonable security procedures and practices appropriate to the nature of the information to protect the personal information may institute a civil action for any of the following:”, dass ein Unternehmen strafrechtlichen Sanktionen ausgesetzt ist, wenn personenbezogene unverschlüsselte (nonencrypted) und nicht-unerkenntliche (nonredacted) Daten widerrechtlich in Umlauf gekommen sind und das Unternehmen nicht seiner Pflicht nachgekommen ist, für ein angemessenes Sicherheitsniveau zu sorgen, so dass ein Unternehmen selbst Sorge dafür tragen muss, wirksame Sicherheitsstandards zu finden.

Folgen bei Rechtsverstößen

Bei Zuwiderhandlungen in Form einer vorsätzlichen Verletzung der Datenschutzpflichten gegen den CCPA ist eine Strafe in Höhe von USD 7.500,00 zu zahlen. 

Eine Strafe kann nur dann verhindert werden, wenn das Unternehmen innerhalb von 30 Tagen die Forderungen des Verbrauchers erfüllt. Liegt eine fahrlässige Verletzung vor, so wird eine Strafzahlung in Höhe von USD 2.500,00 fällig. Normiert ist zudem ein gesetzlicher Schadensersatz von USD 100,00 bis USD 750,00 pro Einwohner und Vorfall, sollten Unternehmen aufgrund mangelhafter Datensicherheit Opfer von Datendiebstahl oder anderen Formen des Datenverlusts werden. Bei größeren Unternehmen mit einer Vielzahl von Kunden können sich Datenpannen – Imageschäden außer Betracht gelassen – somit schnell zu Millionenbeträgen summieren.  

Fazit

Der CCPA dürfte eine deutliche Verbesserung für die Rechte und Freiheiten kalifornischer Verbraucher mit sich bringen. Den Bürgern Kaliforniens wird durch den CCPA die Möglichkeit eröffnet, über die Form des Umgangs mit ihren personenbezogenen Daten selbst frei zu entscheiden. Besteht der Wunsch nach Löschung der Daten oder der Verhinderung des Datenverkaufs, so ist der Bürger berechtigt die aus dem CCPA resultierenden Rechte geltend zu machen. Eine konsequente Anwendung des CCPA kann Vertrauen beim Verbraucher erzeugen, möglicherweise mit dem Effekt, dass dieser in Zukunft eher bereit ist, personenbezogene Daten herauszugeben, wenn er im Gegenzug qualitativ hochwertige Dienste nutzen kann.

Der CCPA sieht sich jedoch auch Kritik ausgesetzt – insbesondere die kalifornischen Internetfirmen sehen ihre Handlungsfähigkeit eingeschränkt und den Wirtschaftsstandort Kalifornien gefährdet. Diese wollen die Gefahr und die damit einhergehenden Konsequenzen eines Datenmissbrauchs nicht einsehen. Ihrer Auffassung nach kann die Handlungsfähigkeit Kaliforniens in ihrer Rolle als Wirtschaftsstandort möglicherweise beeinträchtigt werden. Diese Unternehmen fordern eine entsprechende Anpassung des Gesetzes, welches den Eintritt der zuvor genannten Bedenken verhindert.  

Auch datenschutzrechtlich gibt es Bedenken. Im Gegensatz zum Unionsrecht setzt der CCPA keine den Artikeln 44 ff. DS-GVO vergleichbare Gleichwertigkeit ausländischer Datenschutzregime voraus. Damit unterliegt der Transfer personenbezogener Daten aus Kalifornien in die EU – anders als aus der EU in die USA – keinen besonderen gesetzlichen Anforderungen. Ohne ein „angemessenes Schutzniveau” im Sinne der DS-GVO wird der Datentransfer aus der EU in Richtung Kalifornien vorläufig nicht privilegiert zu behandeln sein.

Somit obliegt es der US-Regierung auch auf Bundesebene ein Datenschutzsystem zu entwickeln, welches sich durchaus am CCPA als zentralem Leitbild orientieren kann, aber gleichzeitig auch den strengen Anforderungen der DS-GVO in Bezug auf den Datenaustausch personenbezogener Daten von EU-Bürgern mit den USA gerecht wird. 

Dies wäre wünschenswert, da mit dem EU-US Privacy Shield zwar ein Nachfolgeabkommen für das durch den EuGH für unwirksam erklärte Safe Harbour-Abkommen existiert. Dessen Wirksamkeit ist umstritten, aber nur indirekt auf dem Prüfstand vor dem EuGH. Siehe dazu: den Blogbeitrag zur Stellungnahme des EU-Generalstaatsanwalts vom 19. Dezember 2019.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!