Ein Jahr Datenschutz-Grundverordnung

Wir blicken nun auf ein Jahr DS-GVO zurück. Hier erläutern wir die Auswirkungen in Deutschland seit Inkraftreten der Verordnung.

Ein Jahr Datenschutz-Grundverordnung (DS-GVO)

Einleitung

Vor genau einem Jahr ersetzte die EU-Datenschutz-Grundverordnung (DS-GVO) die aus dem Jahr 1995 stammende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Bevor im Mai 2020 die EU Kommission die Evaluierung der DS-GVO vornehmen wird, wollen wir bereits das erste Jubiläum zum Anlass nehmen, das erste Jahr DS-GVO zu beleuchten und einen Ausblick auf noch zu erwartende Entwicklungen zu bieten. Als Fazit voranstellen lässt sich sicherlich, dass der Datenschutz bereits seit Inkrafttreten der DS-GVO in ganz Europa eine völlig neue Bedeutung erfährt. Die Umsetzung der neuen (und teils auch alten) Anforderungen dauert in den meisten Unternehmen aber noch an. 

Auswirkungen in Deutschland

Mit Geltungswirkung der DS-GVO zum 25.05.2018 schienen zwei Gefühlsausprägungen zu dominieren: Durch Unsicherheit geprägter Aktionismus und andererseits besonnenes oder leichtfertiges Zuwarten. Mit Beginn des „DS-GVO-Hypes“ bildeten sich mit Blick auf die gesetzlich angedrohten Bußgelder der teils neuen, teils alten Anforderungen Mythen innerhalb der Wirtschaftswelt. Webseiten wurden offline genommen, Klingelschilder demontiert, Handwerker mussten Teppich- und Raummaße DS-GVO-konform verarbeiten und Gesichter in Fotoalben wurden geschwärzt. Viele Punkte haben sich zwischenzeitlich relativiert. Beispielsweise im Bereich der Personenfotografie äußerten sich Aufsichtsbehörden beschwichtigend. Mit Urteilen vom 18.6.2018 (15 W 27/18) und 8.10.2018 (15 U 110/18) hat das OLG Köln eine weitere Anwendbarkeit des KunstUrhG jedenfalls im journalistischen Bereich bejaht. Abzuwarten bleibt, ob sich diese Auffassung auch in höheren Instanzen und bundesweit durchsetzen kann. Dennoch: Das „one size fits all“ Prinzip der DS-GVO führt nach wie vor vielfach aufgrund des für unverhältnismäßig hoch erachteten Bürokratie- und Dokumentationsaufwand zu viel Kritik. 

Auf der anderen Seite blieben und bleiben viele Unternehmen noch weitgehend untätig. Vor dem Hintergrund, dass die Aufsichtsbehörden bisher eher selten öffentlichkeitswirksam eingeschritten waren und die große Abmahnwelle ausblieb, werden sich diese Unternehmen in ihrer Vorgehensweise vermutlich zunächst bestätigt fühlen. In Deutschland gab es bisher weniger als 100 Bußgeldbescheide, welche sich der Höhe nach ganz überwiegend eher am unteren Ende des Bußgeldrahmens bewegt haben dürften. Doch die Aufsichtsbehörden haben bereits angekündigt, nach Ablauf einer gewissen Schonfrist verstärkt von den ihnen zur Verfügung stehenden Sanktionsmitteln Gebrauch machen zu wollen. Zum Vorbild nehmen könnten sich die deutschen Datenschutzwächter die französische Datenschutzaufsichtsbehörde. Gegen Google verhängte diese Anfang 2019 bereits ein Bußgeld in Höhe von 50 Millionen Euro wegen mangelnder Transparenz bei den Informationen zur Verwendung der erhobenen Daten. Trotz der – in Absolutheit betrachtet – hohen Summe steht hierbei jedoch zu vermuten, dass es sich dabei zunächst um einen Schuss vor den Bug gehandelt haben dürfte. 

Die gering ausfallenden Sanktionen deutscher Unternehmen mögen in Teilen natürlich auch der Tatsache geschuldet sein, dass zumindest in Deutschland mit dem BDSG in seiner alten Fassung regelungstechnisch bereits ein solides Datenschutzniveau gewährleistet war. Die DS-GVO hat im Vergleich zur alten Rechtslage nur wenig an den grundlegenden Datenschutzbestimmungen geändert. Vielmehr übernimmt sie die Begriffe aus der Richtlinie 95/46/EG und ergänzt sie durch neue Präzisierungen. Unternehmen, welche bereits im Vor-DS-GVO-Zeitalter an ihrer Datenschutz-Compliance arbeiteten, dürften sich insofern weitgehend entspannt zurückgelehnt haben. 

Doch mit der Hoffnung, es werde auch weiterhin nur die Großen treffen, dürften die wenigen untätig abwartenden Unternehmen schon in näherer Zukunft nicht mehr gut fahren. Freilich liegt und lag der Fokus der Aufsichtsbehörden tatsächlich zunächst auf den im großen Stil personenbezogene Daten verarbeitenden Playern der Wirtschaft. Begründet liegen dürfte diese aufsichtsbehördliche Vorgehensweise neben der voran zu stellenden Überlastung der Behörden auch damit, dass mit dem Vorgehen gegen Großkonzerne das Bewusstsein der Bevölkerung für den Datenschutz weiter geschärft werden kann. Gerade Unternehmen, welche technisch und organisatorisch noch nicht nachgebessert haben, besonders sensible oder besondere Kategorien von Daten verarbeiten oder ihre Kunden über Prozesse nicht transparent informieren, sind gut beraten, die Zurückhaltung der Behörden nicht fehl zu interpretieren. 

Denn festzustellen ist aus der Beraterperspektive bereits jetzt, dass betroffene Personen kritischer geworden sind. Dies zeigt schon die hohe Zahl von geltend gemachten Betroffenenrechten, insbesondere in Form von Auskunftsansprüchen und dem Recht auf Löschung, wobei insbesondere das Löschen von Daten viele Unternehmen vor praktische Probleme in der Umsetzung stellt. Neben dem starken öffentlichen Fokus auf das Thema Datenschutz mag die Erhöhte Sensibilität der Betroffenen auch daran liegen, dass Unternehmen sich mittlerweile transparenter zeigen (müssen), was im Nebeneffekt zu kritischen Rückfragen der betroffenen Personen führt. So zeigt sich, dass Verbraucher auch den Weg zu den Aufsichtsbehörden nicht scheuen, insbesondere wenn geltend gemachte Betroffenenansprüche aus ihrer Sicht nicht zufriedenstellend erfüllt wurden. 

Handreichungen der Behörden und Unterstützung durch Berater

Auch „ein Jahr danach“ herrscht noch vielfach Rechtsunsicherheit bei der praktischen Umsetzung der Vorgaben aus der DS-GVO und dem neuen BDSG. Aufsichtsbehörden werden daher auch künftig gefordert sein, Unternehmen weitere Hilfestellung zu geben. Zur Unterstützung haben sich die Aufsichtsbehörden zwar bereits mit einer großen Zahl an Publikationen hervorgetan. Was den Detailgrad der Handreichungen und auch die erforderliche Abstimmung der europäischen Behörden untereinander angeht, besteht, jedenfalls aus unserer Sicht, noch Potential zur Verbesserung. Um bei der hohen Zahl von (sich teils widersprechenden) Guidelines, Leitfäden, sonstigen Angaben der Behörden und Urteilen nicht den Überblick zu verlieren und selbige richtig einordnen zu können, sind viele Unternehmen auf externe Beratung angewiesen. Berater können den Unternehmen dabei helfen, Widersprüche zu erkennen und mit Auslegung zu schließende Lücken der zur Verfügung stehenden Texte einzuordnen, um somit eine weitgehend rechtssichere Umsetzung der gestellten Anforderungen zu gewährleisten. 

Wichtigstes Ziel der Datenschutz-Grundverordnung war, Transparenz zu schaffen. Dies dürfte den meisten Unternehmen ansatzweise bereits gelungen sein. Nun gilt es, im Wege von Soforthilfemaßnahmen erstellte Datenschutzinformationen nochmals mit der technischen und organisatorischen Realität abzugleichen und den propagierten Datenschutz im Unternehmen auch tatsächlich zu leben. 

Ausblick

Mit Spannung zu beobachten bleiben die Entwicklungen rund um den Gesetzgebungsprozess der e-Privacy-Verordnung. Diese dürfte auf lange Sicht im Zusammenhang mit dem Tracking von Internetnutzern mittels der Verwendung von Cookies für Klarheit sorgen. Hier bleibt zu hoffen, dass das ursprünglich für 2018 geplante Gesetz noch vor dem zweiten Jahrestag der DS-GVO verabschiedet wird.

Softwarehersteller, welche Unternehmen bei der technischen Umsetzung effizienter Löschkonzepte unterstützen können, werden sich einen klaren Wettbewerbsvorteil gegenüber der Konkurrenz erarbeiten. Abzuwarten bleiben weitere Entwicklungen aus der Rechtsprechung und Einlassungen der Datenschutzaufsichtsbehörden. Und doch werden auch in nächster Zeit – auch für uns Berater –viele Fragen offenbleiben. Gerne unterstützen wir Sie auch in Zukunft dabei, mit bestehenden Rechtsunsicherheiten umzugehen.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Das neue Geschäftsgeheimnisgesetz (GeschGehG)

Wir beleuchten das neue Geschäftsgeheimnisgesetz und gehen darauf ein, was Unternehmen beachten müssen.

Das neue Geschäftsgeheimnisgesetz (GeschGehG)

Einführung

Seit dem 26.4.2019 ist das neue Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) in Kraft. Dieses dient der Umsetzung der Geschäftsgeheimnis-RL 2016/943/EU. Damit ist der bislang sporadisch gesetzlich geregelte Schutz von Geschäftsgeheimnissen (siehe §§ 17-19 UWG, die nun keine Anwendung mehr finden) und daraus resultierende vertragliche Schadensersatzansprüche, weil Arbeitnehmer eine Nebenpflicht zum Schutz von Geschäfts- und Betriebsgeheimnissen gem. § 242 BGB trifft, und der durch die Rechtsprechung geformte Geheimnisbegriff in einem Spezialgesetz zusammengefasst und konkretisiert.

Vorliegend sollen die Punkte aufgelistet werden, die Unternehmen besonders beachten müssen.

Geschäftsgeheimnis

Definition

Das Geschäftsgeheimnisgesetz definiert in § 2 Nr. 1 den Begriff des Geschäftsgeheimnisses als eine Information:

  1. die weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne Weiteres zugänglich ist und daher von wirtschaftlichem Wert ist und
  2. die Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber ist und
  3. bei der ein berechtigtes Interesse an der Geheimhaltung besteht.

Das Kriterium des „berechtigten Interesses an der Geheimhaltung“ gründet in der nach altem Recht üblichen Differenzierung zwischen Betriebs- und Geschäftsgeheimnis. Durch die Aufnahme dieses Kriteriums hat der Gesetzgeber die zuvor im deutschen Recht praktizierte Trennung (Geschäftsgeheimnisse: organisatorische und kaufmännische Details; Betriebsgeheimnisse: technische Informationen) beider Begriffe aufgehoben.

Zu beachten ist das Kriterium der angemessenen Geheimhaltungsmaßnahmen durch den Geheimnisinhaber. Unternehmen müssen nun aktiv werden, damit ihr schützenswertes Know-how vom Schutz des neuen Gesetzes profitiert.

Geheimhaltungsmaßnahmen

Die angemessenen Geheimhaltungsmaßnahmen aus § 2 Nr. 1 GeschGehG richten sich nach der Geschäftsgeheimnis-RL 2016/943/EU, die sich wiederum an die in Art. 39 des TRIPS-Abkommens enthaltene Definition der „nicht offenbarten Informationen“ anlehnt.

Unternehmen müssen aktiv Maßnahmen zur Geheimhaltung ergreifen, um in den Schutz des Gesetzes zu kommen. Diese Geheimhaltungsmaßnahmen können in Form von technischem, organisatorischem und vertraglichem Know-how-Schutz durchgeführt werden, müssen also objektiven Maßstäben genügen.

Damit unterscheidet sich das Geschäftsgeheimnisgesetz von der bisherigen Rechtslage, wonach ein subjektiver Geheimhaltungswille ausreichte, an den keine hohen Anforderungen gestellt wurden und es teilweise für ausreichend befunden wurde, wenn sich dieser Geheimhaltungswille aus der Natur der geheim zuhaltenden Tatsachen ergab. 

Zusätzlich zu den gem. § 242 BGB aus dem Arbeitsvertrag entstammenden Nebenpflichten zum Schutz von Geschäfts- und Betriebsgeheimnissen, sollten vertragliche Geheimhaltungsmaßnahmen durch arbeitsrechtliche Vereinbarungen, wie mit einer Verschwiegenheitsverpflichtung, aufgenommen werden. Ebenso ist es empfehlenswert Verschwiegenheitsvereinbarungen (Non-Disclosure Agreements) zu vereinbaren, die die Zeit nach dem Ausscheiden aus dem Unternehmen regeln. Sonst könnte der Arbeitnehmer diese für eigene Zwecke verwenden. Dabei ist zu beachten, nicht die Grenze zum nachvertraglichen Wettbewerbsverbot zu überschreiten, da sonst die Unwirksamkeit der Verschwiegenheitsverpflichtung droht.

Ob die Geheimhaltungsmaßnahmen angemessen sind, hängt vom Einzelfall ab und kann folgende Kriterien umfassen:

  • Wert des Geschäftsgeheimnisses und dessen Entwicklungskosten,
  • Bedeutung für das Unternehmen,
  • übliche Geheimhaltungsmaßnahmen im Unternehmen (Zugangssperren, Passwörter, IT-Sicherheitsmaßnahmen),
  • Art der Kennzeichnung der Information,
  • Verschwiegenheitsverpflichtungen mit Arbeitnehmern und Geschäftspartnern.

Denkbar ist, die Angemessenheit von Geheimhaltungsmaßnahmen nach den Kriterien der technischen und organisatorischen Maßnahmen des Art. 32 DS-GVO zu beurteilen.

Reverse Engineering

Ebenfalls im Gegensatz zur bisherigen Rechtslage in Deutschland legitimiert § 3 Abs. 1 Nr. 2 GeschGehG nun ausdrücklich das Reverse Engineering, also das Kopieren eines funktionierenden Produkts durch Beobachten, Untersuchen, Rückbauen oder Testen desselben. Der europäische Gesetzgeber will so – im Rahmen bestehender gewerblicher Schutzrechte wie Patent- oder Designrechte – den technischen Fortschritt fördern.  Für Unternehmen gilt damit besondere Vorsicht im Umgang mit Prototypen und Musterstücken und ob, wem und in welchem Umfang sie diese zur Verfügung stellen. 

Tatbestandslose Offenlegung

Besondere Beachtung verdient die Ausnahme des § 5 Nr. 2 GeschGehG. Dieser betrifft Whistleblower, also Hinweisgeber, die zur Aufdeckung einer rechtswidrigen Handlung oder eines beruflichen oder sonstigen Fehlverhaltens, ein Geschäftsgeheimnis erlangen, nutzen oder offenlegen, um das allgemeine öffentliche Interesse zu schützen und so nicht dem Tatbestand des § 4 GeschGehG unterfallen.

Problematisch ist hier die unpräzise Formulierung „Sonstiges Fehlverhalten“. Zwar wird der Rechtfertigungsgrund durch das Kriterium des allgemeinen öffentlichen Interesses eingeschränkt, trotzdem lässt sich befürchten, dass böswillige Mitarbeiter sogar Hinweise aus Rache oder anderen, wenig edlen Motiven veröffentlichen, um die neu gewonnene Straffreiheit auszunutzen.

Jedoch bietet die unpräzise Formulierung „Sonstiges Fehlverhalten“ auch dem Whistleblower keinen Freifahrtschein, da nicht abzusehen ist, wie ein Gericht im Einzelfall entscheiden wird und bei rechtswidrigem Verhalten seinerseits nicht eine hundertprozentige Straffreiheit erwarten kann. Sollte der Whistleblower jedoch in gutem Glauben gehandelt haben, ist er trotzdem durch die allgemeinen Irrtumsvorschriften geschützt.

Aber auch Journalisten werden von der Vorschrift des § 5 Nr. 2 GeschGehG geschützt. 

Empfehlungen für die Praxis

Unternehmen sollten überprüfen, ob ihre Geschäftsgeheimnisse ausreichenden Geheimhaltungsmaßnahmen unterliegen. Dazu muss zum einen eine sichere IT-Infrastruktur vorhanden sein, zum anderen müssen hinreichende Vertraulichkeitsverpflichtungen mit den Arbeitnehmern, sonstigen Dienstleistern und Geschäftspartnern ausformuliert sein.

Vor Inkrafttreten des Geschäftsgeheimnisgesetzes befanden sich Unternehmen bei Verstößen von Mitarbeitern gegen Geheimhaltungsmaßnahmen in der paradoxen Situation, dass sie zur gerichtlichen Durchsetzung von Sanktionen im Zweifelsfall vor Gericht die Inhaberschaft von Geschäftsgeheimnissen durch Preisgabe eben jener nachweisen müssen. Diese unbefriedigende Situation konnte dann nur durch den Verzicht auf gerichtliche Durchsetzung vermieden werden. Leider hat sich durch das neue Gesetz nichts an der Situation geändert, so dass der Gang vor Gericht wohl überlegt sein muss.

Um Mitarbeiter vom externen Whistleblowing abzuhalten, im Falle, dass das Unternehmen sich sonstiges Fehlverhalten zu Schulde kommen lässt, ist eine interne Whisteblowing-Strategie zu empfehlen, auch wenn dies keine hundertprozentige Sicherheit bietet. Dies kann sich jedoch noch durch die geplante EU-Whistleblower-Richtlinie ändern, da diese eine interne Meldung vorranging verlangt.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Neues Recht der Datenportabilität

Wir beleuchten das Recht auf Datenportabilität aus Art. 20 DS-GVO und gehen unter anderem auf dessen Inhalt und praktische Bedeutung ein.

Neues Recht der Datenportabilität

Einführung

Mit der neuen Datenschutz-Grundverordnung (DS-GVO) haben Nutzer seit Mai 2018 die Möglichkeit, eigene Daten beim Wechsel eines Informationssystems zu übernehmen. Dieses Recht wird „Datenportabilität“ oder auch Datenübertragbarkeit genannt und findet in Art. 20 DS-GVO seinen Niederschlag.

Inhalt der Vorschrift

Nach Art. 20 DS-GVO können Betroffene die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format erhalten. Wenn die automatisierte Datenverarbeitung auf einer Einwilligung beruhte oder zur Durchführung eines Vertrages erfolgte, können Betroffene diese Daten einem anderen Verantwortlichen übermitteln und zwar ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden. Soweit technisch machbar, kann der Betroffene die Übermittlung direkt von einem für die Verarbeitung Verantwortlichen einem anderen Verantwortlichen für die Verarbeitung erwirken.

Voraussetzungen der Geltendmachung

Art. 20 DS-GVO setzt für die Geltendmachung des Rechts folgende Voraussetzungen voraus: Es muss sich um personenbezogene Daten im Sinne des Art. 4 Nr. 1 DS-GVO handeln, die dem Verantwortlichen bereitgestellt worden sind. Weiter muss die Verarbeitung der personenbezogenen Daten auf einer Einwilligung oder einem Vertrag beruhen und mithilfe automatisierter Verfahren erfolgen. Zweck der Einführung einer Datenportabilität ist die Stärkung der Kontrolle der Betroffenen über ihre personenbezogenen Daten, die automatisch verbreitet werden. Ebenso soll durch die Regelung die Mitnahme eingestellter Daten erleichtert werden.

Praktische Bedeutung

Die Meinungen über die neu eingeführte Datenportabilität gehen auseinander. Von Datenschützern wird die Änderung als ein „Meilenstein“ gesehen, indem sie mehr Rechtssicherheit auch für Unternehmer sowie für alle Marktteilnehmer gleiche Bedingungen schafft. Es geht um eine Anpassung des Datenschutzes an den Wandel des digitalen Zeitalters sowie eine Vereinheitlichung der Regelungen in den einzelnen Mitgliedstaaten der EU. Besonders aus der Wirtschaft hagelt es Kritik gegen die Vorschrift. Die Regelung sei zu vage und unklar formuliert und finde einen zu großen Anwendungsbereich. Ferner entstünden für alle betroffenen Unternehmen zusätzliche Kosten. Bezüglich der Datenportabilität wird eingewandt, dass der Nutzer nicht immer von seinem in Art. 20 DS-GVO eingeräumten Recht Gebrauch machen möchte. Zudem ziele der Gesetzgeber auf die Social Media Plattform „Facebook“ ab, wobei auch andere Unternehmen in den Adressatenkreis der Vorschrift fielen. Diese Kritik kann aber leicht beanstandet werden. Ein Anspruch ist ein Recht und eben keine bindende Verpflichtung für den Berechtigten. Er kann geltend gemacht werden, muss aber nicht. Ferner hat die Art.-29-Gruppe der europäischen Datenschutzbeauftragten bereits in ihrer Stellungnahme vom 13. Dezember 2016 den weitergefassten Anwendungsbereich der Datenportabilität thematisiert.

Probleme

Die neue Regelung bringt aber auch viele offene Fragen mit sich. Beispielsweise ist unklar, welche Schnittstellen und Datenformate die verschiedenen Diensteanbieter für die Datenportabilität zur Verfügung stellen sollen. Aus technischer Sicht ist einzuwenden, dass die meisten Diensteanbieter keine separaten Datenbanken für Rohdaten haben, was zur Aufdeckung von Kerntechniken und Geschäftsinformationen und somit zum Verstoß gegen geistige Eigentumsrechte und Geschäftsgeheimnisse führen könne. Grund dafür wäre, dass mit der Übermittlung der Daten auch detaillierte Hintergrundinformationen über die technische Einrichtung des ursprünglichen Verantwortlichen und die verwendeten Algorithmen transportiert werden können. Zudem ist noch nicht geklärt, wie kompatibel die untereinander übertragenden Dienste sein müssen. Probleme ergeben sich bei den unterschiedlichen Angeboten der Dienste. Ein Beispiel ist die Angabe des Geschlechts in sozialen Netzwerken. Während Facebook zwischen 60 verschiedenen Geschlechtern unterscheidet, tut Google+ es nur zwischen „männlich“, „weiblich“ und „unbestimmt“. Hier wäre die Datenportabilität praktisch nicht einfach umzusetzen und stellt die Diensteanbieter also vor große Probleme. Ein weiteres Problem ist die Konstellation in einem Drei-Personen-Verhältnis, wenn also etwa bei Kommunikationspartnern per Telefon oder E-Mail Daten von Dritten hinzukommen. Die Privatheit von Außenstehenden ist zu schützen, womit Datenschützer vermuten, dass die Diensteanbieter erst einmal alle Ordner nebst Inhalten eines Webmail-Services oder Listen von Anrufen herausgeben. Keinesfalls dürfe es aber zu einer Nutzung der Informationen für den Fall der Kundengewinnung durch die Kontaktliste Dritter kommen. Auch der Bundesverband für Informationswirtschaft, Telekommunikation und Neue Medien e.V. (bitkom) sieht die Daten Dritter bei der Geltendmachung personenbezogener Daten problematisch und fordert zur Erleichterung für die Entscheidung im konkreten Einzelfall detaillierte Ergänzungen. Als Beispiel kann der Begriff „Bereitstellung der Daten“ durch den Betroffenen genannt werden. Im Rahmen der Auslegung des Zwecks der Vorschrift, auch durch die Gesetzesbegründung der EU-Kommission ist die bessere Kontrolle über die Daten durch den Betroffenen maßgeblich, wonach es ausreichen sollte, lediglich die entsprechenden benötigten Daten zur Weiternutzung des neuen Dienstes zu transportieren. Bezüglich der praktischen Umsetzung wird bemängelt, dass die dafür benötigten technischen Standards für die unproblematische Ausübung des Rechts im Moment fehlen. Aufgrund des hohen dafür beanspruchten Zeitaufwands wird ein Vorliegen einer rechtzeitigen Lösung bis zum Inkrafttreten der Vorschrift als sehr unrealistisch gesehen. Standards seien gerade für den Anbieterwechsel innerhalb einzelner Sektoren wie Gesundheitswesen und Telekommunikation wichtig, um die Umsetzung der Datenportabilität zu vereinfachen. Um das Recht der Datenportabilität ausüben zu können, müsse allerdings zunächst die Identität der Betroffenen durch die Diensteanbieter geprüft werden. Das Verfahren einer Identitätsprüfung sei allerdings den Verantwortlichen bislang unbekannt. Auch das verdeutlicht wieder die Notwenigkeit eines möglichen Leitfadens der Aufsichtsbehörden zur allgemeinen Regelung des Authentifizierungsverfahrens.

Fazit

Zusammenfassend ist zu sagen, dass die Einführung der Datenportabilität das Datenschutzrecht wesentlich ändert. Die direkte Datenübermittlung spielt eine größere Rolle als zunächst für hauptsächlich die Social Media Plattformen vorgesehen, in dem auch kleinere Unternehmen unter den Anwendungsbereich der Vorschrift fallen. Befürwortet wird der vereinfachte Anbieterwechsel für Kunden und damit die Anpassung des Datenschutzrechts an das digitale Zeitalter. Probleme sind allerdings noch hinsichtlich der Umsetzung der Datenportabilität aus Gründen der Kapazitäten der Unternehmen zu sehen. Es wird sich zeigen, wie Unternehmen die volle Gewährleistung dieses Rechts sichern wollen. Bezüglich der einheitlichen und vereinfachten praktischen Umsetzung der Neuerung bleiben allerdings noch Leitlinien und Auslegungshilfen abzuwarten.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Verschlüsselung von E-Mails

Die Verschlüsselung von E-Mails ist mit Blick auf die DS-GVO essenziell. Wir beleuchten nun die verschiedenen Verschlüsselungsmethoden.

Verschlüsselung von E-Mails

Einführung

Spätestens seit Anwendungsbeginn der DS-GVO am 25. Mai 2018 sollten Unternehmen auch im Zusammenhang mit der E-Mail-Kommunikation umfangreiche technische Sicherheitsmaßnahmen zum Schutze der Rechte und Freiheiten der von Datenverarbeitungen betroffenen Personen gewährleisten. Doch auch in Ansehung zu schützender Geschäftsgeheimnisse sollte zwingend angedacht werden, sich mit dem Thema der E-Mail Verschlüsselung auseinanderzusetzen. Schließlich kann der unverschlüsselte E-Mail Versand mit dem einer Postkarte verglichen werden. Nachfolgend wollen wir Ihnen in aller Kürze aus der Perspektive eines Rechtsanwalts darstellen, welche Möglichkeiten hierzu bestehen. 

Kategorien von Verschlüsselungsmethoden

Es existieren zwei grundlegende Verschlüsselungsmechanismen: Punkt-zu-Punkt-Verschlüsselung/Transportverschlüsselung und Ende-zu-Ende-Verschlüsselung.

Vorauszuschicken ist, dass eine E-Mail nicht nur aus Daten in Form des versendeten Inhalts (Body) besteht, sondern auch umfangreiche Metadaten wie Absender und Empfänger, das Datum und den Betreff (Header) enthält.

Eine Punkt-zu-Punkt-Verschlüsselung verschlüsselt nur die einzelnen Abschnitte im Versandkanal, das heißt, von wem, wann und von wo die E-Mail versandt wurde. Das sind die Metadaten. Eine Verschlüsselung des E-Mail-Inhalts kann sehr aufwändig mithilfe einer Ende-zu-Ende-Verschlüsselung vorgenommen werden, wobei jedoch die Metadaten nicht verschlüsselt werden und weiter einsehbar bleiben. 

Punkt-zu-Punkt-Verschlüsselung/Transportverschlüsselung

Bei der Punkt-zu-Punkt-Verschlüsselung bei E-Mails lautet der aktuelle Standard TLS – entweder mit oder ohne STARTTLS. TLS ist der Nachfolger von SSL. Eine Verschlüsselung erfolgt hier jedoch nur auf Transportebene, das heißt, dass nur die Kommunikation zwischen zwei E-Mail-Servern verschlüsselt erfolgt. Die interne Weitergabe der E-Mail auf dem Server des Host-Providers der E-Mail an den Adressaten verläuft unverschlüsselt. STARTTLS dient nur der Einleitung einer mit TLS verschlüsselten Kommunikation. Zuerst beginnt die Kommunikation unverschlüsselt, indem der E-Mail-Client über STARTTLS die angebotenen Möglichkeiten des E-Mail-Servers anfragt. Erst dann erfolgt ein Aufbau einer verschlüsselten Verbindung.

Da die Kommunikation zwischen E-Mail-Client und E-Mail-Server unverschlüsselt abläuft, ist die Authentizität der E-Mail nicht gewährleistet. Dies kann durch Signieren korrigiert werden. Das Signieren muss im Client oder Browser aktiviert werden. Mithilfe eines Zertifikats wird dann festgestellt, ob die E-Mail tatsächlich vom angegebenen Absender stammt und auf dem Weg zum Empfänger nicht verändert wurde.

Für die Verschlüsselung auf Transportebene lässt sich auf die durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) erarbeiteten Richtlinie „BSI TR-03108: Secure E-Mail Transport“ zurückgreifen. Diensteanbieter können auf Grundlage dieser Richtlinie durch das BSI zertifiziert werden. 

Ein Problem bei STARTTLS ist, dass das Mailprogramm den unverschlüsselten Port aussucht und erst danach die Verschlüsselung benutzt. Dabei muss sich das Mailprogramm mit dem Server abstimmen. Ist das Mailprogramm so konfiguriert, dass es eine Verschlüsselung zwingend voraussetzt, können sich Server und das Mailprogramm nicht einig werden und die E-Mail wird unverschlüsselt übertragen.

Ende-zu-Ende-Verschlüsselung

Um auf Nummer sicher zu gehen, bedarf es einer Ende-zu-Ende-Verschlüsselung. Dabei haben sich zwei Verfahren etabliert: S/MIME und OpenPGP. Außerdem kann eine Ende-zu-Ende-Verschlüsselung in Form einer symmetrischen oder asymmetrischen Verschlüsselung erfolgen. Bei der symmetrischen Verschlüsselung besitzen Versender und Empfänger einen gemeinsamen Schlüssel (Single-Key-Verfahren). Dabei wird eine Information mit einem Kennwort verschlüsselt. Diese Information wird zusammen mit dem Schlüssel übertragen, z.B. PDF-Datei, ZIP-Archiv. Dieses Verfahren lässt sich jedoch mit hohem Rechenaufwand (Brute-Force-Attacke) aushebeln. Außerdem kann der Empfänger nicht überprüfen, von wem das Dokument stammt.

Von der Single-Key-Methode hebt sich Ende-zu-Ende-Verschlüsselung ab. Hierbei handelt es sich um eine asymmetrische Verschlüsselung (Public-Key-Verfahren), da Versender und Empfänger über jeweils einen individuellen Schlüssel verfügen. Das darauf basierende Verfahren heißt RSA. Im Falle der asymmetrischen Verschlüsselung müssen sowohl Sender als auch Empfänger gegenseitig ihre Schlüssel austauschen, was zugleich das größte Problem in der Praxis offenbart: Sämtliche Kommunikationspartner müssen vor Aufnahme der Kommunikation ihre öffentlichen PGP-Schlüssel austauschen. Mithilfe eines solchen Schlüssels lässt sich dann die Nachricht des jeweils anderen entschlüsseln und lesen. Das Dokument muss somit mit dem eigenen (private key) Schlüssel 1 verschlüsselt werden, um mit dem dazu korrespondierenden Schlüssel 2 (public key) – der zuvor dem Empfänger übermittelt werden muss – entschlüsselt werden zu können.

Cloud Mail

Neben den oben genannten Optionen existiert mit der Cloud-Mail ein weiteres Verfahren mit Ende-zu-Ende-Verschlüsselung. Dabei wird eine E-Mail nicht direkt an den Adressaten versendet, sondern in eine Cloud hochgeladen, zu der man sich mittels eines zuvor telefonisch übermittelten Passworts anmelden muss. Technisch bedingt können die Teilnehmer die Nachricht nur in diesem Portal lesen.

DS-GVO Vorgaben der Landesbeauftragten für Datenschutz NRW

In NRW empfiehlt der Landesbeauftragte für Datenschutz, die Einhaltung der von der DS-GVO geforderten technischen und organisatorischen Maßnahmen bezüglich des E-Mail-Versandes anhand mehrerer Punkte:

  • Es soll mindestens eine Punkt-zu-Punkt-Verschlüsselung verwendet werden.
  • Einhalten der Richtlinie BSI TR-03108.
  • Bei besonders sensiblen Daten muss eine Ende-zu-Ende-Verschlüsselung verwendet werden.
  • Keine personenbezogenen Daten innerhalb der Betreffzeile.

Eine länderübergreifende Empfehlung der Datenschutzkonferenz (DSK) steht noch aus.

Verschlüsselung im Unternehmen und Umsetzung in der Praxis

Wollen Sie wichtige Dokumente und Nachrichten schützen, empfiehlt sich eine Ende-zu-Ende-Verschlüsselung, damit keine unbefugten Dritten Ihre Dokumente lesen können. Besonders relevant ist diese Verschlüsselungsmethode, wenn sie wichtige Geschäftsgeheimnisse schützen möchten. Das Einrichten ist allerdings mit etwas Aufwand verbunden. 

Dabei empfiehlt sich beispielsweise die Installation des Programms Gpg4win. Anschließend muss ein neuer Schlüssel (Key) und ein dazu korrespondierendes Alias erstellt werden. Um Anonymität zu gewährleisten, sollten bei der Angabe der E-Mail-Adresse als auch des Alias neue Fantasie-Namen genutzt werden. Eine funktionsfähige E-Mail-Adresse wird nicht benötigt. Um nachher mit anderen Personen zu kommunizieren, muss der eigene Schlüssel weitergegeben werden und der öffentliche Schlüssel des Absenders einer verschlüsselten E-Mail importiert werden. Eine nutzerfreundliche Anleitung zur Verteilung öffentlicher Schlüssel hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt. Das Projekt heißt „EasyGPG“. Grundlage ist ein Web Key Directory (WKD), was die sonst bei PGP üblichen öffentlichen Key Server ersetzt. Das Web Key Directory muss vom E-Mail-Provider angeboten werden. Dabei durchsucht der E-Mail-Client das Web Key Directory automatisch nach dem zu einer E-Mail zugehörigen Schlüssel und stellt diesen anschließend per HTTPS bereit.

WKD ist in GnuPG seit Version 2.1.12 implementiert. Unter den E-Mail-Clients unterstützen Thunderbird mit der Erweiterung Enigmail 2.0 und Outlook mit GpgOL seit Version 2.2.0 das Web Key Directory.

Wenn Ihnen potentielle Einblicke Dritter egal sind, Sie jedoch nicht möchten, dass man mitverfolgen kann mit wem Sie kommunizieren, greifen Sie auf eine Punkt-zu-Punkt-Verschlüsselung zurück. Diese lässt sich einfach aktivieren; auf vielen Rechnern ist sie schon standardmäßig aktiviert. Verschlüsselte E-Mails erkennen Sie in Outlook an dem Schloss-Zeichen.

Fazit

Die Einrichtung einer Ende-zu-Ende-Verschlüsselung wäre das Optimum, um sicher Inhalte zu verschicken. In der Praxis steckt die Umsetzung bei vielen Nutzern aufgrund von Überforderung oder mangelnder Sensibilität, besonders aber auch aufgrund der jahrzehntelangen laxen Einstellung und fehlenden Standards seitens des Monopolisten bei PC-Betriebssystem im Umgang mit persönlichen Daten, noch in den Kinderschuhen.

Solange sich eine Ende-zu-Ende-Verschlüsselung noch nicht als Standard etabliert hat, empfiehlt sich für die Kommunikation vertraulicher Daten diese als Anhang einer E-Mail in eine externe Datei auszulagern (Z.B. PDF) und separat mit einem Kennwort zu verschlüsseln. Alternativ kann man auch personenbezogene Daten verschlüsselt auf sichere Cloudspeicher hochladen.

Die Datenschutzkonferenz (DSK) erarbeitet derzeit Empfehlungen zur datenschutzkonformen E-Mail-Kommunikation. Daher stehen die obigen Ausführungen unter dem Vorbehalt späterer Anpassungen an die Empfehlungen.

Gerne können Sie zur vertraulichen Kommunikation unseren PGP-Schlüssel erfragen.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Facebooks Custom Lookalike Audiences und Datenschutz

Aktuell und heiß diskutiert: die Custom Lookalike Audiences. Hier erfahren Sie, was Lookalike Audiences sind, wie diese funktionieren und wie sie datenschutzrechtlich einzuordnen sind.

Facebooks Custom Lookalike Audiences und Datenschutz

Einführung: Custom Lookalike Audiences

Zur Steigerung der sogenannten persönlichen Reichweite gibt es das Instrument der Lookalike Audiences. Lookalike Audiences sind Zwillingszielgruppen und dienen der Neukundengewinnung. Ausgehend von der bestehenden Source Audience, also der Custom Audience aus Pixel-Daten oder Fans der Unternehmens-Fanpage, kann man nun eine neue Audience erstellen, die der Source Audience in demografischen Daten und Interessen ähnelt. Personen, mit denen noch keine geschäftliche Kontakte bestanden, die jedoch ein ähnliches Interessenprofil wie Bestandskunden haben, sollen daher durch Anzeigen als potentielle Kunden gewonnen werden.

Diese Zielgruppenfunktion ist aber nicht nur auf Facebook begrenzt, sondern kann vielmehr auch auf anderen Social Media-Kanälen wie beispielsweise Instagram angewandt werden. Wichtig ist, dass nur dann eine Lookalike Audience erstellt werden kann, wenn man „Inhaber“ der Ausgangsquelle, der sogenannten Source Audience, ist.

Unabhängig von der konkreten Zielsetzung können Lookalike Audiences vielfach eingesetzt werden, wie beispielsweise um mehr Käufe, Downloads oder Traffic zu generieren. Dabei steht dem Ersteller der Lookalike Audiences ein großer Spielraum zu. Nach Angabe der Source Audience bestimmt der Ersteller den Ort, auf den abgezielt werden soll, und danach die Größe seiner Zielgruppe. Jedoch wird die Ähnlichkeit der Profile proportional zu einer ansteigenden Größe der Reichweite geringer.

Viele Werber greifen auf dieses Instrument zum Marketing zurück, um Werbekosten durch Steuerverluste zu senken, indem gezielt Personen mit einem vermuteten Interesse an der Werbung beworben werden.

Facebook Custom Audience über die Kundenliste

Die am häufigsten verwendete Methode der Facebook Lookalike Audiences funktioniert über die Kundenliste. Der Werbende verwendet eine Liste mit Kundendaten wie der E-Mail-Adresse als Grundlage der Lookalike Audience. Dafür lädt er diese bei Facebook hoch, indem die Daten der Kunden im Browser durch das Verfahren „Secure Hash Algorithm 256“ gehasht und anschließend verschlüsselt an Facebook übermittelt werden. Dort kommt es zu einem Abgleich der Hashwerte durch Facebook mit vorhandenen Nutzerdaten. Zusätzlich erlangt Facebook Kenntnis von der Nutzung der sozialen Medien einzelner Betroffener. Nun werden die Übereinstimmungen zu einer Custom Audience zusammengefasst und für den Werbenden gespeichert.

Facebook Custom Audience Pixel-Verfahren

Neben der Möglichkeit der Erstellung einer Lookalike Audience mittels Kundenliste steht Werbenden noch die Alternative des Pixel-Verfahrens zur Verfügung. Bei diesem Verfahren ist die Webseite der Ausgangspunkt. Der Seitenbetreiber verwendet einen unsichtbaren Pixel, indem er ihn als Code auf die Webseite einbindet. Dieser Pixel erkennt Wiederkehrer und erstellt von ihnen ein pseudonymes Nutzungsprofil, wodurch Facebook die Besucher der Webseite erkennt und ihnen künftig Werbeanzeigen des Webseiten-Inhabers anzeigt.

Datenschutzrechtliche Einordnung

Bei der rechtlichen Einordnung der Custom Lookalike Audiences ist eine differenzierte Ansicht nach den verschiedenen Verfahren vorzunehmen.

Das Pixel-Verfahren

Das Pixel-Verfahren ist aus datenschutzrechtlicher Hinsicht im Ergebnis nicht als rechtswidrig einzuordnen. Im Datenschutzrecht gilt allgemein das Prinzip des Verbots mit Erlaubnisvorbehalt: danach ist eine Datenverarbeitung grundsätzlich immer rechtswidrig, es sei denn die Verarbeitung geschieht im Rahmen einer rechtlichen Erlaubnis. Bislang wurde vertreten, dass es unter die Erlaubnisnorm § 15 Abs. 3 Telemediengesetz (TMG) fällt. § 15 Abs. 3 TMG erlaubt Dienstanbietern die Erstellung pseudonymer Nutzungsprofile für Zwecke der Werbung, Marktforschung oder bedarfsgerechten Gestaltung von Telemedien. Allerdings hat der Betroffene ein Widerspruchsrecht in Bezug auf die Nutzung seiner Daten, über das er informiert werden muss. Dafür ist eine Opt-Out-Lösung im Rahmen der Datenschutzerklärung heranzuziehen, um dem Betroffenen einen Widerspruch zu ermöglichen.

Folgende Inhalte muss der Hinweis über die Custom Audiences enthalten:

  • Zweck der Datenverarbeitung
  • Art der betroffenen personenbezogenen Daten
  • Rechtsgrundlage der Datenverarbeitung (Art. 6 Abs. 1 lit. f) DS-GVO)
  • Benennung des berechtigten Interesses
  • Einsatz eines Tracking-Verfahrens
  • Möglichkeit eines Opt-Out-Verfahrens

Jedoch liegt folgende Problematik vor: Ursprünglich wollte der europäische Gesetzgeber neben der DS-GVO am 25. Mai 2018 auch die ePrivacy-VO einführen. Dadurch bezweckte er ein einfacheres Zusammenspiel der aktualisierten europäischen Regelungen im Rahmen des Datenschutzrechts und der elektronischen Kommunikation. Allerdings blieb die ePrivacy-VO im Gesetzgebungsstadium aufgrund politischer Differenzen stecken.

Die ePrivacy-VO wird die ePrivacy-Richtlinie ablösen, welche wiederrum durch die nationalen Gesetze Telemediengesetz und Telekommunikationsgesetz umgesetzt werden. Die ePrivacy-VO entfaltet unmittelbare Wirkung, jedoch herrscht bislang noch ein Schwebezustand. Unternehmen stehen vor der Frage, ob neben der DS-GVO auch das TMG zu beachten ist. Nur dann kann § 15 Abs. 3 TMG eine Erlaubnisnorm für das Pixelverfahren darstellen.

Exkurs: Anwendbarkeit des Telemediengesetzes

Hinsichtlich des Telemediengesetzes kann festgestellt werden, dass der Gesetzgeber keine Änderungen am TMG vorgenommen hat, womit das Gesetz in erste Linie in Kraft bleibt.

Das Beratungsorgan der Datenschutzaufsichtsbehörden in Deutschland, die Datenschutzkonferenz (DSK), hat nun zu dieser Problematik Stellung genommen:

Die DS-GVO genießt Anwendungsvorrang. Die datenschutzrechtlichen Regelungen aus dem TMG könnten aufgrund von Kollisionsvorschriften, Umsetzungsauftrags oder einer Öffnungsklausel aus der DS-GVO vorrangig anwendbar sein. Art. 95 DS-GVO ist eine Kollisionsregel der DS-GVO zur ePrivacy-VO, womit die Grundsätze der ePrivacy-Richtlinie weiterhin gelten können. Diese Kollisionsregel findet nach Auffassung der DSK aber nicht auf den 4. Abschnitt des TMG Anwendung. Grund dafür ist, dass der 4. Abschnitt Umsetzungsregelungen der inzwischen aufgehobenen Datenschutzrichtlinie enthält und damit bereits durch den Anwendungsbereich der DS-GVO reformiert wurde. In der Konsequenz können die §§ 12, 13 und 15 TMG nicht mehr angewandt werden. §§ 12 ff. TMG regeln die Beurteilung der Rechtmäßigkeit der Reichweitenmessung und des Einsatzes von Tracking-Mechanismen. Diese Lücke wird nicht durch entsprechende Anwendung der ePrivacy-Richtlinie geschlossen, ferner greift nur die DS-GVO. Mithin ist taugliche Rechtsgrundlage für eine Datenverarbeitung somit Art. 6 Abs. 1 DS-GVO. Auch gelten die Grundsätze für die Datenverarbeitung nach Art. 5 DS-GVO verbindlich.

Tracking-Mechanismen dienten der Untersuchung von Nutzern im Internet oder der Erstellung von Nutzerprofilen, darunter fiele auch der Einsatz von Cookies. Würden Tracking-Mechanismen eingesetzt, bedürfe es nach neuster Ansicht der DSK aufgrund der unmittelbaren Geltung der DS-GVO auf Verarbeitungen der elektronischen Kommunikation einer DS-GVO-konformen Einwilligung des Betroffenen. Nach Art. 7 DS-GVO müsse der Betroffene die Einwilligung abgeben, bevor es zur Datenverarbeitung komme und zu diesem Zweck umfassend informiert werde.

Danach sollte die Verarbeitung derzeit nicht mehr auf § 15 Abs. 3 TMG gestützt werden.

Kritik an dieser Auffassung

Allerdings ist der gezogene Schluss der DSK nicht unproblematisch. Die bloße Anwendbarkeit der DS-GVO bedeutet nicht zwingend, dass eine Datenverarbeitung nur auf eine rechtskonforme Einwilligung nach Art. 7 DS-GVO gestützt werden kann. Vielmehr könnte eine Datenverarbeitung von einem anderen Rechtfertigungsgrund wie Art. 6 Abs. 1 lit. f) DS-GVO getragen werden. Danach ist eine Datenverarbeitung zur Wahrung von berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Maßgeblich ist also, ob der Einsatz von Cookies und anderen Tracking-Mechanismen von einem berechtigten Interesse gerechtfertigt werden kann. Der Begriff des berechtigten Interesses wird weit gefasst, so dass Direktwerbung und Marktforschung darunter fallen. Jedoch ist bislang unklar, ob für die Wahrung dieser Interessen auch die Verwendung von Werbe-Tools erforderlich ist oder nicht vielmehr ein milderes Mittel gleich geeignet ist. Diesbezüglich ist die Rechtslage noch unsicher. Nach Auffassung der DSK überwiegen bei einer Abwägung der Interessen beider Parteien stets die Betroffeneninteressen, sodass Art. 6 Abs. 1 lit. f) DS-GVO effektiv gesehen nicht eingreift und somit keine Rechtsfertigungsnorm darstellt.

Für die rechtssichere Verwendung der Nutzerdaten für das Pixel-Verfahren bedürfte es entsprechend einer informierten Einwilligung. Diese müsste idealerweise bereits bei Erheben des Datums eingeholt werden.

Das Listen-Verfahren

Bei den Custom Lookalike Audiences mittels Listen-Verfahrens hingegen sieht es etwas anders aus: eine Erlaubnisnorm greift hier nicht ein, sodass der Webseitenbetreiber auf eine rechtskonforme Einwilligung zur Datenverarbeitung angewiesen ist. Anderenfalls ist die Datenverarbeitung nicht gerechtfertigt. Widerruft der Betroffene also seine Einwilligung, so entfällt damit die Rechtsgrundlage, die Datenverarbeitung darf nicht weiter vorgenommen werden, der Nutzer ist von der Kundenliste zu streichen und Facebook über den Widerruf zu informieren.

Auch im Übrigen stellen sich in Bezug auf das Listen-Verfahren mehrere Fragen. Die bayerische Datenschutzbehörde ist der Auffassung, dass das verwendete SHA-265-Verfahren, mittels dem personenbezogene Daten gehasht und verschlüsselt an Facebook gesendet werden, kein geeignetes Anonymisierungsverfahren darstellt. Ein Anonymisierungsverfahren macht datenschutzrechtlich gesehen nur dann Sinn, wenn durch das Verfahren ausgeschlossen werden kann, dass die einzelnen Daten einer natürlichen Person zugeordnet werden können. Bei dem SHA-265-Verfahren kann dies aber nicht gewährleistet werden, da weiterhin trotz Hashing ein Rückschluss auf einen konkreten Nutzer von Facebook möglich ist. Facebook benutzt hinsichtlich der Verschlüsselung der E-Mail-Adressen von Facebook-Nutzern und denen der Custom Audience das gleiche Verfahren, so dass durch einen Vergleich der Hashwerte festgestellt werden kann, welcher Facebook-Nutzer auch Kunde in der Custom Audience ist. Diese Feststellung des Personenbezugs stellt also gerade keine Anonymisierung dar. Auch befürchtet die Datenschutzbehörde eine mögliche Zurückrechnung des Klartexts mittels der Brute-Force-Methode, wodurch die personenbezogenen Daten für Facebook letztendlich nicht verschlüsselt sind. Dass damit kein ausreichender Datenschutz gewahrt wird, ist offensichtlich.

Und was nun?

Festzuhalten bleibt, dass die Custom Lookalike Audiences datenschutzrechtlich nicht unproblematisch sind. Während die DSK kürzlich noch der Auffassung war, es bedürfe in Bezug auf das Pixel-Verfahren keiner Einwilligung als Rechtfertigungsgrund, so änderte sie ihre Meinung mit Veröffentlichungen wie „EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreiber“ und „Zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018“ und sieht nun sowohl in Bezug auf das Listen-Verfahren, als auch auf das Pixel-Verfahren das Erfordernis einer DS-GVO-konformen Einwilligung.

Zwar strahlt die Auffassung der DSK keine rechtliche Bindungswirkung aus, allerdings ist sie auch nicht zu unterschätzen. Die Gerichte orientieren sich an den Einschätzungen der Aufsichtsbehörden und weichen nicht wesentlich von ihnen ab.

Bei der Nutzung von Custom Audiences sollte der Betroffene über deren Einsatz jedenfalls in der Datenschutzerklärung informiert werden. Während bei der Verwendung des Listen-Verfahrens eine Einwilligung des Betroffenen vorliegen muss, liegt in Bezug auf das Pixel-Verfahren bislang noch kein Erfordernis vor.

Das EuGH-Fanpage-Urteil

Nicht nur die Facebook Custom Lookalike Audiences sind aus der Perspektive des Datenschutzrechts höchst interessant, sondern auch das Urteil des EuGH in Bezug auf eine Fanpage auf Facebook sorgte für Aufmerksamkeit. Hintergrund des Rechtsstreits ist, dass weder der Betreiber einer Fanpage über Facebook noch Facebook Ireland Ltd selber den Nutzer der Fanpage über die von Facebook vorgenommenen Datenverarbeitungen in Form des Setzen von Cookies und der damit verbundenen Datenerhebung informiert haben. Der EuGH entscheid nun im Rahmen eines Vorabentscheidungsersuchens, dass der Betreiber der Fanpage neben Facebook mitverantwortlich für die Datenverarbeitung ist.

Eine gemeinsame Verantwortlichkeit von Dienstanbietern für Verarbeitungen personenbezogener Daten regelt Art. 26 DS-GVO. Konsequenz dessen ist die gemeinsame Haftung beider Verantwortlicher, sodass sie zusammen eine Vereinbarung zur Erfüllung ihrer Pflichten, wie beispielsweise der Informationspflichten, abschließen müssen. Danach müsste Facebook dem Fanpage-Betreiber diverse Informationen über die Datenverarbeitungen offenlegen, damit letzterer seinen Informationspflichten nachkommen kann. Inwiefern Facebook die Fanpage-Betreiber letztendlich dahingehend unterstützen wird, bleibt abzuwarten.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Messenger-Dienste auf betrieblichen Smartphones

Wir gehen darauf ein, welche Gefahren Messenger-Apps wie WhatsApp auf betrieblichen Smartphones mit sich bringen.

Messenger-Dienste auf betrieblichen Smartphones

Einführung

Im Zeitalter der Digitalisierung lösen internetbasierte Instant-Messenger-Dienste wie WhatsApp die früher so beliebte SMS nahezu vollkommen ab. Momentan nutzen rund 1,5 Milliarden Menschen weltweit WhatsApp. Allein diese Zahl verdeutlicht, wie alltagstauglich internetbasierte Messenger-Dienste geworden sind. Doch Messenger-Dienste spielen nicht nur im Privatleben der Menschen eine Rolle, sondern vermehrt auch im beruflichen Alltag. Mit der Bereitstellung eines beruflichen Smartphones vom Arbeitgeber sind die Kommunikationsplattformen auch dort zu einem festen Bestandteil geworden. Aber Achtung: diese Dienste sind aus datenschutzrechtlicher Sicht mit Vorsicht zu genießen.

Vorteile der Nutzung von WhatsApp auf dem betrieblichen Smartphone

WhatsApp ist ein Instant-Messenger-Dienst und wird zum Austausch von Textnachrichten, Bild-, Video- und Ton-Dateien aber auch Kontaktdaten, Dokumenten und Standortinformationen genutzt. Als deutschlandweit eine der meist genutzten Apps und mehr als 1,5 Milliarden Nutzern weltweit ist der Messenger-Dienst auch in der unternehmerischen Nutzung sehr beliebt. Arbeitgeber koppeln häufig ein betriebliches Smartphone mit einer erlaubten Privatnutzung oder fördern die Verwendung privater Smartphones zu unternehmerischen Zwecken, damit das für den Arbeitnehmer attraktiver ist. Neben WhatsApp zählen auch Outlook oder andere E-Mail-Clients zu den genutzten Diensten auf einem betrieblichen Smartphone.

Probleme, die WhatsApp mit sich bringt

So attraktiv die Nutzung von WhatsApp auf dem betrieblichen Smartphone ist, so viele Probleme bringt sie jedoch auch mit sich. Bereits im Frühjahr 2017 kam das Amtsgericht Bad Hersfeld (Beschl. v. 20.03.2017, Az. F 111/17) zu dem Ergebnis, dass Nutzer von WhatsApp durch die Funktionsweise der fortlaufenden Datenübermittlung von Kontaktdaten aus dem Smartphone-Adressbuch an das US-Unternehmen ohne die Einholung einer Erlaubnis der Kontaktpersonen aus dem Adressbuch gegenüber diesen Personen eine deliktische Handlung begehen.

Zugriff auf das Adressbuch

Datenschutzrechtliche Probleme bringt bereits die Kernfunktionsweise von WhatsApp mit sich. Stimmt der Nutzer den Nutzungsbedingungen von WhatsApp zu, so erstellt WhatsApp eine Liste mit allen Kontakten aus dem Adressbuch des Smartphones. Diese Liste wird mit den bereits auf dem WhatsApp-Server befindlichen Kontakten abgeglichen. Damit gewährt der Nutzer WhatsApp einen Zugriff auf sowohl die Kontakte, die selbst auch die Plattform nutzen, als auch solche, die es nicht tun. Faktisch führt diese Vorgehensweise zu einer Zwangsvernetzung. Zwar hat der Nutzer eingewilligt, dass WhatsApp auf sein Adressbuch zugreift, problematisch ist jedoch, dass die Einwilligung der Personen fehlt, deren Daten sich im Adressbuch befinden, die aber noch nicht mit WhatsApp vernetzt sind.

Nach dem Grundsatz des Verbots mit Erlaubnisvorbehalt bedarf es im betrieblichen Umfeld für die Übermittlung der Kontaktdaten an einen in den Vereinigten Staaten von Amerika befindlichen Server eines Erlaubnistatbestandes nach Art. 6 und 44 ff. DS-GVO. Eine Rechtsgrundlage zur Übermittlung der Kontaktdaten wird aufseiten des WhatsApp Nutzers nur dann nicht benötigt, wenn dieser den Messenger rein im privaten Umfeld nutzt. Denn nach Art. 2 Abs. 2 lit. c) DS-GVO findet die Datenschutz-Grundverordnung dann keine Anwendung, wenn die Verarbeitung durch eine natürliche Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten erfolgt (so auch schon § 1 Abs. 1 S. 2 BDSG a. F.).

Soweit die Ausnahme nach Art. 2 DS-GVO nicht einschlägig ist, kommt für die Verarbeitung der Kontaktdaten nach überwiegender Auffassung allein die Einwilligung der Betroffenen in Betracht. Für eine solche wirksame Einwilligung gilt es allerdings, den Betroffenen über die vollständigen Verarbeitungsvorgänge zu informieren sowie die Betroffenenrechte umsetzen zu können. Mangels Kenntnis der Datenübertragung liegt die Einwilligung des Betroffenen jedoch denkbar fern, womit der Zugriff auf das Adressbuch eine rechtswidrige Handlung darstellt, wofür ggf. der Arbeitgeber des Nutzers, welcher WhatsApp den Zugriff gewährt, einzustehen hat.

Das AG Bad Hersfeld lehnte in oben zitiertem Beschluss die Einordnung dieser Zugriffsmöglichkeit als Verletzungshandlung nach dem Bundesdatenschutzgesetz (BDSG a.F) ab, da das BDSG a.F bei rein persönlichen Tätigkeiten nicht eingreift, vgl. § 1 Abs. 1 S. 2 BDSG a. F. Wird ein Smartphone und damit auch WhatsApp jedoch auch betrieblich genutzt, greift diese Ausnahme nicht ein und ein datenschutzrechtlicher Verstoß bleibt möglich. Unabhängig davon kann sich der Nutzer von WhatsApp nach § 823 Abs. 2 BGB in Verbindung mit dem informationellen Selbstbestimmungsrecht aus Art. 1 Abs. 1 iVm. Art. 2 Abs. 1 GG schadensersatzpflichtig machen. Das informationelle Selbstbestimmungsrecht ist eine Ausprägung des verfassungsrechtlich geschützten allgemeinen Persönlichkeitsrechts und umfasst das Recht des Einzelnen, über die Preisgabe und Verwendung seiner persönlichen Daten selbst zu bestimmen. Der deliktische Anspruch aus § 823 Abs. 2 BGB iVm. einem Schutzgesetz ist auch nicht von § 7 BDSG-alt gesperrt (vgl. BT-Drs. 14/4458). Zudem kann der Nutzer keine Ausführungen zu den konkreten Datenverarbeitungen machen und damit nicht die Betroffenenrechte aus der Datenschutz-Grundverordnung (DS-GVO) wie beispielsweise das Auskunftsrecht nach Art. 15 Abs. 1 DS-GVO erfüllen.

Des Weiteren speichert WhatsApp auch alle Metadaten. Das sind Informationen darüber, wer mit wem wann mit welcher Speichergröße und welcher Art kommuniziert hat.

Datenverarbeitungen durch WhatsApp

Zunächst empfängt die WhatsApp Ireland Limited die gespeicherten Daten. Von dort aus werden die Daten zunächst intern mit den Facebook-Unternehmen geteilt, denen WhatsApp seit 2014 unterliegt. Zu guter Letzt verlässt ein Teil der Daten das Unternehmen und nimmt den Weg zu externen Partnern von Facebook auf. Hier kommt es auch zu Datenübermittlungen außerhalb der EU in Drittländer, wo sie wiederum verarbeitet und gespeichert werden.

Verantwortlichkeit bei einem Geschäftshandy

Grundsätzlich liegt die Verantwortlichkeit in datenschutzrechtlicher Hinsicht bei dem Nutzer des Messenger-Dienstes. Danach könnte also der Arbeitnehmer für die Einhaltung des Datenschutzrechts verantwortlich sein. Stellt ein Arbeitgeber seinem Angestellten ein Geschäftshandy zur betrieblichen Verwendung zur Verfügung, so liegt die Verantwortlichkeit jedenfalls diesbezüglich nicht bei dem Nutzer des Smartphones, sondern bei dem Arbeitgeber. Dieser muss diverse datenschutzrechtliche Pflichten erfüllen und haftet im Falle eines Verstoßes gegen geltendes Datenschutzrecht. Aus diesem Grund sollte der Arbeitgeber sich bereits vor der Einführung von betrieblichen Smartphones über die datenschutzkonforme Nutzung der Geräte und der Kommunikationsmöglichkeiten informieren.

Besonderheiten können sich jedoch dann ergeben, wenn der Arbeitgeber dem Arbeitnehmer eine private Nutzung des betrieblichen Smartphones gestattet. Der Arbeitnehmer sollte auf Anweisung des Arbeitgebers die private von der betrieblichen Nutzung strikt trennen und mithilfe technischer Mittel wie beispielsweise einem Mobile Device Management die Trennung von privaten und betrieblichen Daten sicherstellen. Dies dient beispielsweise dem Zweck, dass zu betrieblichen Zwecken verarbeitete Kontaktdaten nicht übermittelt werden.

Dennoch haften primär Arbeitgeber gegenüber dem Betroffenen nach Art. 82 DS-GVO. Der Arbeitnehmer haftet dem Arbeitgeber gegenüber im Innenverhältnis nach den Grundsätzen des innerbetrieblichen Schadensausgleichs, in der Regel vollumfänglich jedoch nur im Falle von grober Fahrlässigkeit oder von Vorsatz.

WhatsApp Business – Die betriebliche Version von WhatsApp

WhatsApp Business ist ein für Unternehmen spezifizierter Kanal zur Kommunikation zwischen Händlern und ihren Kunden. Während es bislang unklar war, ob die Nutzung von WhatsApp nach den Lizenzbestimmungen auch zu geschäftlichen Zwecken gestattet war, bestehen nun im Hinblick darauf keine Unklarheiten mehr.

Im Unterschied zum „normalen“ WhatsApp kann in der Business-Version ein Profil des Unternehmens hinterlegt werden, das Unternehmen kann Chats in Kategorien wie beispielsweise Neukunden etc. sortieren, sowie automatische Antworten einrichten. WhatsApp Business ist lediglich kundenfreundlich gestaltet, hat sich datenschutzrechtlich gesehen aber nicht wirklich verändert. Der Nutzer des Messenger-Dienstes braucht nach wie vor eine rechtliche Grundlage für jede Datenverarbeitung. Diese kann in einer eingeholten DS-GVO-konformen Einwilligung des Kunden liegen, oder aber die Datenverarbeitung wird von einem anderen Rechtfertigungsgrund getragen. Greift kein Rechtsfertigungsgrund ein, handelt auch der Nutzer der Business-Version des Messenger-Dienstes unberechtigt und haftet. 

Handlungsmöglichkeiten

Datenschutzrechtliche Verstöße nach der DS-GVO werden streng geahndet und sollten daher nicht unterschätzt werden. Die drohenden Bußgelder können bis zu 20 Millionen Euro oder bis zu 4 % des weltweit erzielten unternehmerischen Umsatzes betragen. Aus diesem Grund verbieten bereits zahlreiche Unternehmen ihren Arbeitnehmern die Nutzung von Messenger-Diensten auf dem betrieblichen Smartphone. Wer auf WhatsApp und Co trotz der datenschutzrechtlichen Bedenken nicht verzichten kann, kann einen datenschutzrechtlichen Verstoß gegen die DS-GVO nur dann vermeiden, wenn die Kontaktdaten von Kunden nicht im Kontaktbuch eingetragen und gespeichert werden, sondern beispielsweise nur eine Speicherung in einem internen und verschlüsselten Container erfolgt. Eine alternative Handlungsmethode der Zugriffsverweigerung auf das Adressbuch durch WhatsApp hätte eine beeinträchtigende Funktionsweise zur Folge, indem anstelle des Namens der Kontaktperson nur seine Telefonnummer angezeigt wird oder der Nutzer bei Zugriffsverweigerung zum Zeitpunkt der Installation der App überhaupt keine Kontakte angezeigt bekäme und somit auf eine Kontaktaufnahme durch den Chatpartner warten müsste. Für jeden Anruf wäre die Telefonnummer des Kunden händisch einzutippen. Diese Lösung ist allerdings nicht sehr praktikabel, und in der Praxis bei einem großen Unternehmen mit vielen Kunden auch realistisch kaum umzusetzen.

WhatsApp ist aber nicht der einzige Messangerdienst auf dem Markt. Alternative Möglichkeiten stellen beispielsweise die Messanger Threema, Teamwire, Wire, Signal, Hoccer, Siilo, Beekeeper und SIMSme dar. Diese Dienste geben vor, die Kommunikationsdaten zu verschlüsseln  und im Anschluss, ohne sie abzufangen, zu löschen. Die Dienste unterscheiden sich in der konkreten Ausformung, stellen jedoch WhatsApp gegenüber den Nachteil dar, dass die Dienste in der Regel für die Nutzer kostenpflichtig sind, oder aber die Kommunikation nicht über die Telefonnummer des Kunden abläuft, sondern mittels einer eigen für den Dienst entwickelten ID. Im Einzelnen sind die Dienste jeweils auf einen bestimmten speziellen Markt ausgerichtet, wie zum Beispiel Siilo sich speziell an Ärzte, Kliniken und Zahnmediziner richtet und die sensiblen Patientendaten entsprechend behandelt.

Fazit

Zusammenfassend kann man sagen, dass die Benutzung von Messenger-Diensten datenschutzrechtlich nicht unproblematisch ist und daher ein hohes Haftungspotential mit sich bringt. Vorreiter der datenschutzrechtlich kritisiertesten Nachrichtendienste ist WhatsApp, durch welches sich der Nutzer einer hohen Gefahr der Haftung aussetzt. Bei der Bereitstellung eines betrieblichen Smartphones tritt an Stelle des App-Nutzers die Verantwortlichkeit des Arbeitgebers. Neben der ausreichenden Berücksichtigung des Beschäftigtendatenschutzes sollte der Arbeitgeber sich bereits im Vorfeld verschiedene technische Sicherungsmittel der Daten und sichere Kommunikationsmöglichkeiten überlegen. 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

EU-US-Datenschutzschild – die aktuelle Entwicklung

Zur aktuellen Entwicklung des EU-US-Datenschutzschildes: die Kommission pocht auf Ernennung einer ständigen Ombudsperson.

EU-US-Datenschutzschild – die aktuelle Entwicklung

Einführung

Die EU-Kommission hat am 19. Dezember 2018 die US-Behörden dazu aufgefordert bis zum 28. Februar 2019 eine ständige Ombudsperson für den Datenschutz zu benennen. Deren Aufgabenbereich soll sich zukünftig auf die Bearbeitung von Beschwerden erstrecken, die sich auf den von US-Behörden vorgenommenen Zugriff auf personenbezogene Daten von EU-Bürgern beziehen. Es handelt sich dabei um solche personenbezogenen Daten, die explizit aufgrund des EU-US-Datenschutzschilds an hieran teilnehmende Unternehmen in den USA übermittelt werden.

Das EU-US-Datenschutzschild und die aktuelle Lage

Am 12. Juli 2016 wurde das EU-US-Datenschutzschild beschlossen, welches am 1. August 2016 in Kraft trat. Das EU-US-Datenschutzschild ist ein vom US-Handelsministerium in Kooperation mit der EU-Kommission eingerichtetes Programm. Primäres Ziel des EU-US-Datenschutzschild ist der Schutz der personenbezogenen Daten von EU-Bürgern und die Sicherstellung von Rechtssicherheit für Unternehmen. Es zeichnet sich durch strenge Datenschutzstandards aus, wodurch einem Missbrauch der Daten von EU-Bürgern vorgebeugt werden soll.

Das Datenschutzschild bildet den Nachfolger des Datenschutzabkommens Safe Harbor, welches  letztlich als rechtlich nicht haltbar eingestuft wurde. Dieses Abkommen war in vielerlei Hinsicht nachteilhaft und somit zukünftig nicht mehr praktikabel. Es galt beispielsweise nur für amerikanische Unternehmen und nicht für Behörden der USA. Einen weiteren, für sein Scheitern letztlich ausschlaggebenden Kritikpunkt bildete die nicht vorhandene Möglichkeit des gerichtlichen Rechtsschutzes europäischer Bürger gegen die Maßnahmen durch die  US-Behörden.

Die zweite Überprüfung des EU-US-Datenschutzschilds

Am 18. Oktober 2018 wurde eine erneute Überprüfung des EU-US-Datenschutzschilds vorgenommen. Beteiligt an den Sitzungen im Rahmen der Überprüfung waren die Vertreter aller US-Ministerien, deren Zuständigkeit im Bereich der Durchführung des Datenschutzschilds liegt. Hierunter fallen die Federal Trade Commission, das Office of the Director of National Intelligence, das Justizministerium und das Außenministerium.

Ergebnisse der Überprüfung

Die Umsetzung der erforderlichen Maßnahmen, namentlich der Ausbau der Zertifizierungsverfahren durch das US-Handelsministerium und die daran anknüpfende Intensivierung der Überwachung des datenschutzrechtlichen Rahmens führen zur Möglichkeit einer schnellen Überprüfung, ob die aus dem Datenschutzschild resultierenden Bedingungen tatsächlich eingehalten werden. Die Einführung einer sogenannten Systemkontrolle soll durch ein Zufallsprinzip prüfen, ob die vom Datenschutzschild vorgegebenen Grundsätze auch umgesetzt wurden. Das Datenschutzschild wird von den Teilnehmern der Sitzung als Erfolg eingestuft. Als Grund hierfür ist eindeutig die Zertifizierung großer Konzerne aus der digitalen Wirtschaft anzuführen. Aktuell wurden insgesamt über 3850 Unternehmen zertifiziert. Bei der Aufnahme eines Unternehmens in die Datenschutzschild-Liste ist von der Einhaltung der entsprechenden Datenschutzstandards auszugehen. Ein dauerhaft gleichbleibender Datenschutzstandard wird dabei durch eine jährlich vorzunehmende erneute Zertifizierung sichergestellt. Die zuständige Kommission sieht hierin einen operativen Rahmen, der geeignet ist eine kontinuierliche Verbesserung vorzunehmen und darauf basierend die Funktionsweise des Datenschutzschilds verbessert.

Notwendigkeit der Ernennung einer Ombudsperson

Zur dauerhaften Aufrechterhaltung eines angemessenen Datenschutzniveaus und Gewährleistung eines irgend gearteten Rechtsbehelfs ist die Ernennung einer Ombudsperson die notwendige Konsequenz. Die Ombudsperson soll sich um Beschwerden über den Zugriff von US-Behörden auf personenbezogene Daten kümmern, die aus der EU im Rahmen des Privacy Shields an teilnehmende Unternehmen in den USA übermittelt werden.

Der Kommissionsvizepräsident formulierte klar und deutlich den Wunsch nach der Benennung einer ständigen Ombudsperson bis spätestens 28.02.2019, damit zwischen EU und USA im Datenschutzbereich ein uneingeschränktes Vertrauen zu Recht vorherrschen darf. Im Falle der stetigen Umsetzung der von der EU-Kommission präsentierten Empfehlungen würde ein höheres Datenschutzniveau gewährleistet. Offen formulierte die Kommission, bei Nichtbenennung einer Ombudsperson geeignete Maßnahmen im Einklang mit der Datenschutz-Grundverordnung zu ergreifen.

Arbeitsweise der US-Wettbewerbsbehörde

Die US-Wettbewerbsbehörde („Federal Trade Commission“) nimmt eine Überwachung der Grundsätze des Datenschutzschilds vor und ist berechtigt im Falle von Unklarheiten die am Datenschutzschild partizipierenden Unternehmen vorzuladen und zu befragen.

Bei der Zertifizierung eines US-Unternehmens unter dem EU-US-Datenschutzschild ist das Unternehmen verpflichtet die betroffene Person vor einer geplanten Datenübermittlung in Kenntnis zu setzen und ihr so die freie Wahl im Hinblick auf eine Zustimmung oder Ablehnung selbst zu überlassen.

Zwingende Voraussetzung für den Beitritt zum EU-US-Datenschutzschild ist die Vornahme einer jährlichen neuen Zertifizierung. Zertifizierungen nach Art. 42 DS-GVO werden für eine Höchstdauer von drei Jahren erstellt und können ggf. verlängert werden.

Fazit

Das EU-US-Datenschutzschild soll das Vertrauen der Europäer in einen funktionierenden Datenschutz durch Gewährleistung von absoluter Datensicherheit wiederherstellen. Eine zentrale Rolle spielt hierbei die Ernennung einer ständigen Ombudsperson. 

Allen am EU-US-Datenschutzschild teilnehmenden Unternehmen wird die Einhaltung der erforderlichen Mindeststandards, die Europa im Bereich des Datenschutzes fordert, belegt. Dies erleichtert den Geschäftsverkehr für alle Beteiligten. Die Einholung zusätzlicher Genehmigungen von Unternehmen in den USA ist folglich entbehrlich.

In Anbetracht der zu beobachtenden Entwicklung der digitalen Wirtschaft sollte das EU-US-Datenschutzschild seinen Ruf als funktionierendem Instrument der Datensicherung durch stetige Weiterentwicklung und Durchführung der entsprechenden Maßnahmen gerecht werden.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Geldentschädigungen für Verletzungen des Rechts am eigenen Bild

Wir berichten, wann eine Verletzung des Persönlichkeitsrechts einen Entschädigungsanspruch ermöglicht.

Geldentschädigung für Verletzungen des Rechts am eigenen Bild

Zum Sachverhalt

Im Urteil vom 22.11.2018 (Az. I-4 U 140/17) hat das OLG Hamm Stellung dazu bezogen, wann eine Verletzung des Rechts am eigenen Bild einen Anspruch des Verletzten auf eine Geldentschädigung gegen den Schädiger zur Folge haben kann.

Im vorliegenden Fall wurde der Kläger vom Beklagten gefilmt, wie er im Rahmen seiner beruflichen Tätigkeit am Flughafen das Gepäck des beklagten Touristen kontrollierte. Der gefilmte Gepäckkontrolleur erhob daraufhin Klage auf Zahlung einer Geldentschädigung wegen der Verletzung seines allgemeinen Persönlichkeitsrechts.

Aus dem Urteil

In seiner Entscheidung arbeitet das OLG Hamm heraus, dass nicht jede Verletzung des allgemeinen Persönlichkeitsrechts – und damit auch nicht jede Verletzung des Rechts am eigenen Bild – einen Anspruch des Verletzten auf eine Geldentschädigung gegen den Schädiger auslöst.

Das OLG Hamm stützte sich dabei auf die Grundsätze des Urteils des BGHs vom 12.12.1995 (VI ZR 223/94). Demnach begründet die „– schuldhafte – Verletzung des allgemeinen Persönlichkeitsrechts einen Anspruch auf eine Geldentschädigung nur, wenn es sich um einen schwerwiegenden Eingriff handelt und die Beeinträchtigung nicht in anderer Weise befriedigend aufgefangen werden kann.“

Dabei ist auf die Umstände des Einzelfalls abzustellen. Zu berücksichtigen sind dabei die Bedeutung und Tragweite des Eingriffs, also das Ausmaß der Verbreitung der Veröffentlichung, die Nachhaltigkeit und Fortdauer der Interessen- oder Rufschädigung des Verletzten, ferner Anlass und Beweggrund des Handelnden sowie der Grad seines Verschuldens.

Das Gericht hat folgende Umstände berücksichtigt:

  • Zwar hat der Beklagte die Videosequenz bewusst und heimlich aufgenommen; dies vermag jedoch keine schwerwiegende Verletzung des Persönlichkeitsrechts des Klägers zu begründen. Die Aufnahme fand in dem öffentlich, bzw. für jeden Besucher des Flughafens mit einer Bordkarte zugänglichen Gepäckkontrollbereich des Flughafens statt.
  • Der Beklagte hat zwar die Aufnahme auf einer Internetplattform veröffentlicht; dies geschah jedoch im Rahmen eines längeren Videozusammenschnitts, so dass diese – lediglich eine, höchstens zwei Sekunden lange – Szene mit dem Kläger innerhalb der einzelnen Videos nicht mehr als ein Beiwerk darstellt. Durch das Veröffentlichen auf einer Internetplattform verwertet der Beklagte das Video auch wirtschaftlich. Da die Szene aber nur einen kurzen Teil des hochgeladenen Videos darstellt, kann indes nicht von einem schwerwiegenden Eingriff in das Persönlichkeitsrecht gesprochen werden.
  • Schließlich liegt auch kein Fall einer hartnäckigen Rechtsverletzung vor, in dem der Verletzer sich bei der Verwendung von Bildnissen über den ausdrücklich erklärten entgegenstehenden Willen des Verletzten hinweggesetzt hat.

Das OLG Hamm berücksichtigte, dass die Veröffentlichung der Filmsequenz und die damit ausgelöste Beeinträchtigung des Persönlichkeitsrechts des Klägers nicht mehr rückgängig gemacht werden kann. Ebenso kann auch die Verurteilung des Beklagten zur Unterlassung und zur Vernichtung und Löschung des Bild- und Tonmaterials keinen Ausgleich bieten. Darum sollen geringere Anforderungen an die Zubilligung eines Geldentschädigungsanspruchs gestellt werden.

Jedoch ist die veröffentlichte Filmsequenz mangels schwerwiegenden Eingriffs nicht geeignet, die Persönlichkeit des Klägers in ihren Grundlagen zu berühren oder beim Kläger ein Gefühl des Ausgeliefertseins hervorzurufen, welches ein unabweisbares Bedürfnis für eine Geldentschädigung begründen könnte.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Die gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO

Wir erklären, was eine gemeinsame Verantwortlichkeit im Sinne der DS-GVO ist und welche Rechtsfolgen mit ihr einhergehen.

Die gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO

Einführung

Art. 26 Abs. 1 S. 1 Datenschutz-Grundverordnung (DS-GVO) kodifiziert das Rechtsinstitut der gemeinsamen Verantwortlichkeit. Dies ist notwendig, da viele Datenverarbeitungen nicht isoliert von einem Verantwortlichen vorgenommen werden, sondern durch Arbeitsteilung mehrere Stellen mit den betroffenen Daten in Berührung kommen. So soll die betroffene Person, deren personenbezogene Daten verarbeitet werden, jedem Verantwortlichen gegenüber ihre Rechte ausüben können. Eine vergleichbare, unmittelbar geltende europäische Norm existierte bislang nicht. Zwar sah die Datenschutzrichtlinie 95/46/EG eine gemeinsame Verantwortlichkeit in Teilen vor, allerdings benannte sie keine rechtlichen Konsequenzen dieser Verantwortlichkeit. Im BDSG a.F. gab es keinerlei Vorschriften zur gemeinsamen Verantwortlichkeit.

Prominentes Beispiel für die Anwendung von Art. 26 DS-GVO ist die Entscheidung des EuGH C-210/16, wonach der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich ist. Begründet wurde dies damit, dass der Betreiber durch die von ihm vorgegebenen Informationen für sein Zielpublikum an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt ist. Zum Beispiel kann der Betreiber Informationen über das Alter, Geschlecht,  Beziehungsstatus und berufliche Situation, Lebensstil und Interessen seiner Zielgruppe einholen.

Tatbestandsvoraussetzungen

Eine gemeinsame Verantwortlichkeit liegt nach Art. 26 Abs. 1 S. 1 DS-GVO vor, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Datenverarbeitung festlegen. Das heißt, sie müssen tatsächlich Einfluss auf die Entscheidung nehmen können. Inhaltlich geht es um die Entscheidung über den Zweck, also das erwartete oder beabsichtigte Ergebnis, und das Mittel, also die Art und Weise der Zielerreichung, so die Art. 29-Datenschutzgruppe.

Dabei ist es notwendig, dass alle Beteiligten der Datenverarbeitung wesentlich an der Entscheidung über das „Warum“ und das „Wie“ der Datenverarbeitung beteiligt sind und die Zusammenarbeit von den Beteiligten gewollt und ihnen bewusst ist. Das bedeutet, dass eine zufällige Zusammenarbeit der Beteiligten für eine gemeinsame Verantwortlichkeit nicht ausreicht. Maßgeblich ist also die kooperative Determinierung des Ziels der Datenverarbeitung und der Instrumente für diese Verarbeitung der Daten. Dabei ist zu berücksichtigen, dass die Beteiligten sich nicht gleichermaßen an der Entscheidung beteiligen müssen, sondern der Tatbeitrag durchaus unterschiedlich gestaltet sein kann. Das bedeutet, dass das Gesetz den Verantwortlichen verschiedene Möglichkeiten der Zusammenarbeit eröffnet. Die Formulierung „gemeinsam“ bedeutet also nicht gleichermaßen, sondern „zusammen mit“ oder „nicht alleine“.

Abgrenzung von der Auftragsverarbeitung

Die gemeinsame Verantwortlichkeit ist von der Auftragsverarbeitung abzugrenzen. Die Auftragsverarbeitung ist in Art. 28 Abs. 1 DS-GVO geregelt und zeichnet sich dadurch aus, dass es nur aufgrund eines Auftrags vom Verantwortlichen zu einer Datenverarbeitung kommt. Im Unterschied zur gemeinsamen Verantwortlichkeit, bei der alle Beteiligten einen Entscheidungsspielraum haben, kann der Auftragnehmer keinen eigenen Einfluss auf die Datenverarbeitung nehmen. Charakteristisch für die Auftragsverarbeitung ist die Weisungsgebundenheit des Auftragnehmers.

Rechtsfolgen einer gemeinsamen Verantwortlichkeit

Art. 26 Abs. 1 S. 2 DS-GVO normiert die Rechtsfolgen einer gemeinsamen Verantwortlichkeit. Danach müssen die an der Datenverarbeitung Beteiligten eine Vereinbarung treffen, in der sie bestimmen, wer von ihnen welche Verpflichtungen aus der DS-GVO erfüllt. Insbesondere haben sie sich über die Wahrung der Rechte von Betroffenen zu einigen und über die Erfüllung ihrer Informationspflichten aus Art. 13 und 14 DS-GVO.

Besonders hervorzuheben ist Art. 26 Abs. 3 DS-GVO. Die von der Datenverarbeitung betroffene Person kann ihre Rechte gegenüber jedem Verantwortlichen geltend machen. In Art. 82 Abs. 4 DS-GVO hat der Gesetzgeber ausdrücklich eine gesamtschuldnerische Haftung der gemeinsam Verantwortlichen normiert, um die Rechte des Betroffenen zu stärken. Damit kann ein nach der DS-GVO Verantwortlicher sich im Außenverhältnis nicht der Haftung entziehen. Wenn der Betroffene mehreren Verantwortlichen ausgesetzt ist, soll er seine Rechte auch gegenüber allen Verantwortlichen geltend machen können. Steht ein Verantwortlicher nach Art. 82 Abs. 4 DS-GVO für den gesamten Schadensersatz ein, kann er die anderen Verantwortlichen nach Art. 82 Abs. 5 DS-GVO in Regress nehmen.

Unterliegen die an der Datenverarbeitung Beteiligten der gemeinsamen Verantwortung, erfüllen ihre Pflichten aus der DS-GVO aber nicht, so drohen ihnen nach Art. 83 Abs. 4 lit. a DS-GVO Bußgelder bis zu 10 Millionen Euro oder bis zu 2 % des gesamten weltweit erzielten unternehmerisch erzielten Jahresumsatzes.

Abgrenzung der gemeinsamen Verantwortlichkeit von der alleinigen Verantwortlichkeit

Während die gemeinsame Verantwortlichkeit von der Auftragsverarbeitung an recht eindeutigen Kriterien abgegrenzt werden kann, ist die Abgrenzung der gemeinsamen Verantwortlichkeit (Joint Controller) von der alleinigen Verantwortlichkeit etwas kniffliger.

Die Art. 29-Datenschutzgruppe gab eine Einschätzung zur Rechtslage unter der Datenschutz-Richtlinie ab, die jedoch heute teilweise weiter vertreten wird. Diese Auffassung basiert auf einem funktionellen Ansatz. Sehr weit gefasst bedarf es keiner gleichwertigen Beteiligung jedes Verantwortlichen, sondern die Einbindung jedes Beteiligten kann unterschiedlich ausfallen. Des Weiteren reicht nach Ansicht der Art. 29-Datenschutzgruppe auch das alternative Vorliegen von entweder einer gemeinsamen Entscheidung über Zweck oder Mittel der Datenverarbeitung von den an der Verarbeitung Beteiligten zum Bejahen einer gemeinsamen Verantwortlichkeit. Diese Ansicht verstößt aber schon gegen den Wortlaut des Art. 26 Abs. 1 S. 1 DS-GVO. Das Gesetz fordert ausdrücklich die kumulative Entscheidung über den Zweck und die Mittel zur Datenverarbeitung und lässt somit wenig Interpretationsspielraum. Aus diesem Grund überzeugt die sehr weit gefasste Ansicht nicht.

Aus diesem Grund fordert die Gegenseite für die Bejahung einer gemeinsamen Verantwortlichkeit sowohl das gemeinsame Bestimmen eines Zweck und der Mittel. Das kann sowohl aus Art. 26 Abs. 1 S. 1 DS-GVO, als auch aus Erwägungsgrund 79 der DS-GVO abgeleitet werden. Diese insgesamt doch engere Auslegung entspricht auch der effektiven Umsetzung der DS-GVO. Für eine eindeutige Rechtsklarheit muss die Grenze zwischen der gemeinsamen und der einzelnen Verantwortlichkeit deutlich sein. Eine recht weite Auslegung würde jedoch dazu führen, dass die Grenze verschwimmt, was wiederum zu einer Rechtsunsicherheit führen würde. Damit müssen die Beteiligten sowohl über Zweck als auch Mittel entschieden haben. Der Telos, der in erster Linie der umfassende Schutz der betroffenen Person ist, wird sowohl bei einer gemeinsamen als auch bei einer alleinigen Verantwortlichkeit durch die DS-GVO umfassend gewahrt und damit nicht ausschlaggebend ist.

Fazit

Damit ist festzuhalten, dass zunächst die Eigenschaft als Verantwortlicher nach Art. 4 Nr. 7 DS-GVO zu prüfen ist. Kann diese bejaht werden, so muss nach Art. 26 Abs. 1 S. 1 DS-GVO die Beziehung der an der Datenverarbeitung Beteiligten und damit die gemeinsame Verantwortlichkeit nachvollzogen und überprüft werden.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Die EU-Standardvertragsklauseln zur Datenverarbeitung

E-Evidence-Verordnung

Alles rund um die EU-Standardvertragsklauseln: die Unterscheidung im Verhältnis Controller-Controller und Controller-Prozessor sowie die Neuerungen durch die DS-GVO

E-Evidence-Verordnung

Die EU-Standardvertragsklauseln zur Datenverarbeitung

Zum Hintergrund 

Mit der fortschreitenden Übermittlung von Daten von einem europäischen Unternehmen an ein in einem Drittland niedergelassenen Unternehmen im Rahmen der Globalisierung steigt auch das Interesse an der Einhaltung eines angemessenen Datenschutzniveaus, angelehnt an den europäischen Datenschutz. Aufgrund der Vermutung, dass Drittländer kein ausreichendes, den europäischen Vorgaben entsprechendes Datenschutzniveau erfüllen, sofern die EU-Kommission für das jeweilige Drittland kein angemessenes Datenschutzniveau anerkannt hat, entwickelte man verschiedene Instrumente, die Vertragsparteien in ihre Vereinbarungen aufnehmen können, um ein angemessenes Datenschutzniveau herzustellen, da die Datentransfers andernfalls unzulässig wären. 

Die Standardvertragsklauseln 

Eins dieser Instrumente sind die Standardvertragsklauseln, die in drei verschiedene Versionen genutzt werden können. Zum einen gibt es zwei verschiedene Standardvertragsklauseln für die Datenübermittlung zwischen für die Verarbeitung Verantwortlichen (Controller-Controller-Transfer), die sich in der Haftung, Bindung an aufsichtsbehördliche Hinweise und die Gestaltungs- bzw. Ergänzungsspielräume unterscheiden, und die Standardvertragsklauseln für die Datenübermittlung zwischen für die Verarbeitung Verantwortlichen und nach deren Weisung handelnden Auftragsdatenverarbeitern (Controller-Prozessor-Transfer). Die Identität der Vertragsparteien ist also für die Auswahl der Standardvertragsklauseln entscheidend. Die Standardvertragsklauseln ersetzen jedoch nicht die vertragliche Vereinbarung zwischen den Parteien, sondern ergänzen sie um eine gesonderte Vereinbarung. 

Set II: Controller-Controller 

Das Modell „Set II“ der Standardvertragsklauseln (2004/915/EG) für das Verhältnis zwischen zwei Controllern, wurde von mehreren Wirtschaftsverbänden als sogenannte „alternative Standardvertragsklauseln“ entworfen und der Europäischen Kommission zur Genehmigung vorgelegt. Im Ergebnis ist auffällig, dass das Set II den Erfordernissen der Wirtschaft deutlich besser Rechnung trägt und somit gegenüber Set I vorzugswürdig ist. 

Ein Controller-to-Controller-Verhältnis liegt vor, wenn es eine Datenübermittlung zwischen zwei verantwortlichen Stellen gibt. Der Datenimporteur hat, im Gegensatz zum Auftragsdatenverarbeiter, eine Entscheidungsbefugnis in Bezug auf den Zweck und die Art der Datenverarbeitung. 

Set II wurde entwickelt, um die Wirtschaftsteilnehmer zur intensiveren Nutzung von Vertragsklauseln zu veranlassen, womit man für den Adressat attraktive Veränderungen schuf. Zu den Unterschieden im Vergleich zu Seit I gehören im Einzelnen flexiblere Prüfungspflichten und eine präzisere Regelung des Auskunftsrechts. Anders als Set I, das eine gesamtschuldnerische Haftung vorsieht, regelt Set II ein anderes Haftungssystem, bei dem auf die Sorgfalt abzustellen ist und nach dem sowohl der Datenexporteur als auch der Datenimporteur für die Verletzung ihrer jeweiligen Vertragspflichten haften. Zudem trifft den Datenexporteur ein Auswahlverschulden: er muss sich nach Klausel 1 lit. b des Standardvertrags (2004/915/EG) im Rahmen des Zumutbaren davon überzeugen, dass der Datenimporteur seine Rechtspflichten aus diesen Klauseln erfüllen kann. Ferner treffen den Datenexporteur weitere Pflichten in Bezug auf die Beschwerdeabhilfe des Drittbegünstigten. Diese Pflichten zeichnen sich in der Kontaktaufnahme zum Datenimporteur und in der Durchsetzung der Einhaltung der Vertragspflichten nach Klausel 1 lit. e nieder. Dem Betroffenen stehen ebenfalls Rechte der Rechtsverfolgung bei Nichteinhaltung der vertraglichen Pflichten durch den Datenexporteur und –importeur zu. 

Zum Ausgleich dieser für die Vertragspartner attraktiven Flexibilität und zur Verhinderung möglichen Missbrauchs regeln das Vertragswerk aber ein leichteres Verbot oder Aussetzung von Datenübermittlungen durch die Datenschutzkontrollen im Falle der Weigerung des Datenexporteurs zur Durchsetzung von Vertragspflichten oder der Weigerung des Datenimporteures zur redlichen Zusammenarbeit mit den Datenschutzkontrollen. 

Werden allerdings Mitarbeiterdaten an eine andere verantwortliche Stelle im Ausland übermittelt, ist die Verwendung des „Set II“ bezüglich der Übermittlung von Personaldaten nicht ausreichend. Begründet wird das damit, dass das datenexportierende Unternehmen nicht für Schäden einsteht, die die datenimportierende Stelle verursacht und zusätzlich besteht für den Datenexporteur die Option, die Beantwortung von Anfragen Betroffener auf den Datenimporteur zu übertragen. Der Arbeitgeber als Datenexporteur kann in dieser Konstellation aber für den Arbeitnehmer als Betroffenen nicht als umfassender Ansprechpartner fungieren, wofür aber letzterer ein schutzwürdiges Bedürfnis hat. Daher empfehlen wir, mit dem Datenimporteur in dieser Konstellation eine Ergänzungsvereinbarung zu treffen, sofern bei der Datenübermittlung an ein Unternehmen im Ausland Personaldaten betroffen sind. Alternativ kann als Lösung auch „Set I“ gewählt werden. 

Set I: Controller-Controller 

Im Gegensatz zu Set II liegt dem Set I eine gesamtschuldnerische Haftung zu Grunde. Gegenüber dem Betroffenen haften Datenexporteur und Datenimporteur für Schäden aufgrund jeglicher Verletzung der Bestimmungen, die der Begünstigtenklausel nach Klausel 3 unterliegen. Der Betroffene kann sowohl gegen den Datenexporteur, den –importeur als auch gegen beide vorgehen und Schadensersatz aufgrund eines Schadens wegen einer vertraglichen Pflichtverletzung verlangen. Der Datenexporteur unterliegt der Pflicht, den Betroffenen über die Datenübermittlug in ein Drittland ohne angemessenen Datenschutz in Kenntnis zu setzen und seine Anfragen diesbezüglich zu beantworten. Diese Beantwortungspflicht trifft auch den Datenimporteur, wenn sich der Betroffene an ihn wendet. 

Controller-Prozessor 

Die Controller-Prozessor-Standardvertragsklauseln sind heranzuziehen, wenn das EU-Unternehmen verantwortliche Stelle ist, der Datenimporteur aber Auftragsdatenverarbeiter. Das ist dann der Fall, wenn der Datenimporteur die Daten nur im Auftrag und nach den Weisungen des Datenexporteurs verarbeitet. Als Beispiele gelten in der Regel Call-Center, Cloud-Computing-Anbieter, externe IT-Admins, Marketingagenturen und externe Personalagenturen. 

Bei der Auftragsdatenverarbeitung findet eine Art „Einverleibung“ des Auftragnehmers in das Datenschutzkonzept des Auftraggebers statt, so dass der Datenimporteur beispielsweise die Daten lediglich mit vorheriger Einholung einer schriftlichen Einwilligung des Datenexporteurs weitergeben kann. Er bleibt an die Weisungen des Datenexporteurs gebunden. Es ist die Pflicht des Datenexporteurs, den Datenimporteur zu einer dem anwendbaren Datenschutzrecht und den Klauseln entsprechenden Datenverarbeitung anzuweisen. Zudem bleibt die Haftung in erster Linie bei dem Auftraggeber. Auch hier trifft den Datenexporteuer eine Informationspflicht des Betroffenen sowie eine Beantwortungspflicht von Datenexporteur und –importeur hinsichtlich Anfragen des Betroffenen. 

Das Werk der Standardvertragsklauseln kann in drei Teile unterteilt werden. Zunächst kommen die eigentlichen Standardvertragsklauseln, dann folgt der erste Anhang mit Angaben zu der konkreten Datenverarbeitung und ein zweiter Anhang mit Beschreibungen der technischen und organisatorischen Maßnahmen des Datenimporteurs schließt die Standardvertragsklauseln. Optional kann ein dritter Anhang über die Erfüllung des nationalen Rechts hinzugefügt werden. 

Die Neuerung der DS-GVO 

Die Datenschutz-Grundverordnung (DS-GVO), die ab dem 25. Mai 2018 gilt, sieht zudem die Möglichkeit neuer, speziell für die Auftragsverarbeitung vorgesehener Standardvertragsklauseln vor. Nach Art. 28 Abs. 7, 8 DS-GVO hat die EU-Kommission dazu die Erlass-Befugnis, sowie auch eine Aufsichtsbehörde im Einklang mit dem Kohärenzverfahren. 

Die von Art. 28 DS-GVO benannten Standardvertragsklauseln sind nicht die bislang existierenden, allgemein bekannten Standardvertragsklauseln, sondern vollkommen neue, jedoch wurden sie noch nicht von der dafür zuständigen Stele erlassen. 

Den Parteien bleibt es künftig überlassen, die Standardvertragsklauseln überhaupt, komplett oder nur teilweise für ihre vertraglichen Vereinbarungen heranzuziehen. Somit sind für die Vertragsparteien auch individualvertragliche Vereinbarungen möglich. Die Verantwortlichen haben sicherzustellen, einen ausreichenden Datenschutz einzuhalten und gegen keine Regelungen der DS-GVO zu verstoßen. 

Die Neuerung in der DS-GVO schafft die Möglichkeit weitergehender standardisierter Prozesse und Verarbeitungen. Beispiele dafür können Cloud-, Hosting- und Infrastrukturdienste oder Software-as-a-Software-Angebote sein. Die Heranziehung von Standardvertragsklauseln als einfache anerkannte Vertragsklauseln schafft einen ausgewogenen und datenschutzfreundlichen Rahmen sowohl für die Verantwortlichen als auch für die Betroffenen. 

Zuständig für den Erlass dieser Standardvertragsklauseln sind gemäß Art. 28 Abs. 8 DS-GVO die Aufsichtsbehörde im Einklang mit dem Kohärenzverfahren nach Art. 63 DS-GVO, und gemäß Art. 28 Abs. 7 DS-GVO die EU-Kommission im Einklang mit dem Prüfverfahren nach Art. 93 Abs. 2 DS-GVO. Die Bindung an das Kohärenz- und Prüfverfahren hat jedoch als Folge, dass es aufwändiger europaweiter Abstimmungen bedarf. Somit wird es wohl noch etwas länger dauern, bis man sich auf endgültig einsatzbare Standardvertragsklauseln einigt. 

Die bislang bekannten Standardvertragsklauseln wird es künftig unter dem Namen „Standarddatenklauseln“ weiter geben. Diese bleiben auch in ihrer konkreten Ausgestaltung so bestehen, sollte der Europäische Gerichtshof, der momentan über das Kriterium der ausreichenden Garantie hinsichtlich des Schutzes der Privatsphäre für Übermittlungen personenbezogener Daten in Drittländer und damit der Tauglichkeit der Standardvertragsklauseln zur Erfüllung ihres Zwecks, nicht die Untauglichkeit feststellt. Eine Kollision neuer Standardvertragsklauseln ist insofern ausgeschlossen, dass die in den Neuerungen erfasste Konstellation nicht von den bislang vorhandenen Standardvertragsklauseln abgedeckt ist wie die neue Möglichkeit von Standarddatenschutzklauseln für die Übermittlung durch Auftragsverarbeiter.

 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!