Datenschutz

Die Entscheidung des EuGH zum Privacy Shield hat jede Menge Staub aufgewirbelt und Fragen offen gelassen. Bisher ist weitestgehend davon ausgegangen worden, dass bis zur Klärung der Rechtslage (etwa eines neuen Abkommens) seitens der Behörden wie auch schon zu Zeiten des Safe-Harbour-Urteils nichts weiter unternommen werde.

Es sind bereits stichprobenartige Kontrollen durch die Datenschutzbehörden vorgenommen worden. Dabei wurden der rechtskonforme Einsatz von Tracking-Diensten unter die Lupe genommen und Anhörungsverfahren eingeleitet. Meistens soll es bei den Kontrollen um den Analysedienst „Google Analytics“ gegangen sein.

Jetzt soll nach einer Pressemitteilung des Landesbeauftragten für Datenschutz Baden-Württemberg eine groß angelegte Kontrolle durchgeführt werden. Dabei sollen zwar zunächst die sog. „Big Player“, später aber flächendeckend kontrolliert werden. Die Behörden wollen damit die einheitliche Einhaltung der Vorgaben zum Datenschutz bei Trackingdiensten erreichen.

„Der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg wird daher zeitgleich mit anderen deutschen Aufsichtsbehörden in einem groß angelegten Verfahren Online-Angebote auf eine rechtskonforme Einbindung von Tracking-Technologien prüfen. Die Prüfung wurde länderübergreifend vorbereitet. Sie wird in enger Zusammenarbeit der beteiligten Landesdatenschutzbehörden innerhalb des jeweiligen Zuständigkeitsbereiches in völliger Unabhängigkeit durchgeführt.

Gegenstand dieser Prüfung werden in einem ersten Schritt die Internetpräsenzen von Medienunternehmen sein. Diese setzen Tracking-Dienste häufig in besonders großem Umfang auf ihren Websites ein. Wollen Medienunternehmen Tracking-Technologien nutzen, können diese nur erlaubt sein, wenn die/der Nutzer*in hierin wirksam einwilligt – d.h. informiert, freiwillig, vorab, separat und in Kenntnis einer zumutbaren Möglichkeit, die Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen“ lautet die Pressemitteilung.

Bei einem Verstoß gegen die Vorschriften würden die Behörden zunächst ein Anhörungsverfahren eröffnen, in dem der Betroffene Verwender Gelegenheit zur Stellungnahme erhält. Die Behörden sind befugt, ein Bußgeldverfahren einzuleiten, wenn der Vorwurf nicht entkräftet werden kann.

 

Daher sollten Webseitenbetreiber es möglichst gar nicht erst zu einer Anhörung kommen lassen.

 

Wir haben bereits regelmäßig darüber informiert, dass Tracking Dienste ausschließlich nach erfolgter wirksamer (und im besten Fall auf dokumentierter) Einwilligung des Nutzers aktiv werden dürfen. Hierzu muss die Einwilligung ausdrücklich und informiert erfolgen.

Dies kann unter anderem durch sog. Cookie-Consent-tools erfolgen. Es öffnet sich dann beim Betreten der Seite ein Overlay, bei dem alle Cookie-Einwilligungen einzeln abgefragt werden können. Diese dürfen nicht vorab schon eingestellt sein. Außerdem muss die Möglichkeit bestehen, jederzeit mit Wirkung für die Zukunft Cookies wieder zu deaktivieren.

Es reicht ausdrücklich nicht aus, einen Hinweis zu erteilen, nach dem das Weitersurfen auf der Webseite eine konkludente Einwilligung darstellt!

 

Nun ist nach wie vor die mit dem Privacy-Shield-Urteil aufgetretene Problematik der „informierten“ Einwilligung damit leider noch nicht beseitigt, jedenfalls nicht in jedem Fall. Nachdem nämlich nun der Privacy-Shield nicht mehr wirksam ist, kann das Schutzniveau des Datentransfers nur noch über die sog. Standardvertragsklauseln der EU legitimiert werden. Der Bundesbeauftragte für den Datenschutz hat dazu jedoch mitgeteilt, dass eine Übermittlung von Daten in die USA nur dann über Standardvertragsklauseln begründet werden kann, wenn zusätzliche Maßnahmen getroffen werden, die das gleiche Datenschutzniveau wie in der Europäischen Union gewährleisten.

Eine „Orientierungshilfe“ dazu gibt es seitens des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/08/LfDI-BW-Orientierungshilfe-zu-Schrems-II.pdf):

Es muss im Zielland ein Schutzniveau für die personenbezogenen Daten

sichergestellt sein, das dem in der Europäischen Union entspricht. Der Verantwortliche (also der Webseitenbetreiber) muss für den Einzelfall prüfen, ob das Recht des Drittlandes ein angemessenes Schutzniveau bietet und entsprechende zusätzliche Maßnahmen treffen bzw. mit dem Datenimporteur vereinbaren. Wo der Verantwortliche auch mit zusätzlichen Maßnahmen keinen geeigneten Schutz vorsehen kann, muss er den Transfer aussetzen/beenden.

Das gilt insbesondere dann, wenn das Land Datenimporteurs (hier also beispielhaft USA) diesem Pflichten auferlegt, die den hier erforderlichen Schutz gegen den Zugriff von Behörden stören. Wenn also der Datenimporteur aufgrund eigener Pflichten gegenüber seinen Behörden (etwas weil er ihnen den Zugang zu den Daten ermöglichen muss) das Schutzniveau der EU nicht einhalten kann, ist der Transfer nicht erlaubt, sofern nicht andere Maßnahmen den Schutz gewährleisten.

Als Beispiel werden genannt:

  • Verschlüsselung, bei der nur der Datenexporteur den Schlüssel hat und die auch von US-Diensten nicht gebrochen werden kann
  • Anonymisierung oder Pseudonymisierung, bei der nur der Datenexporteur die Zuordnung vornehmen kann

 

Wenn Sie Daten in ein anderes Drittland übermitteln sollten Sie nach Ansicht des LfDI die Rechtslage in dem genannten Land überprüfen, insbesondere hinsichtlich der Zugriffsmöglichkeiten des Geheimdienstes und der dem Betroffenen zustehenden Rechte und Rechtsschutzmöglichkeiten und auch hier die genannten Ergänzungen der Garantien der Standardvertragsklauseln aufnehmen.

 

Der LfDI schlägt folgende Checkliste zur Abarbeitung vor, wobei Kontaktaufnahmen möglichst schriftlich festzuhalten sind, um gegebenenfalls bei einer Prüfung den Willen zur Einhaltung der DSGVO demonstrieren zu können:

 

–      Machen Sie eine Bestandsaufnahme machen: wo und wie exportieren Sie Daten in Drittländer? (darunter können auch Zugriffsmöglichkeiten von privaten oder öffentlichen Stellen in Drittstaaten auf bei Ihnen vorgehaltene Daten zählen, ein physischer Export der Daten ist also nicht erforderlich

 

–      Setzen Sie sich mit Ihrem Dienstleister/Vertragspartner im Drittland in Verbindung. Informieren Sie ihn über die EuGH Entscheidung und die Konsequenzen.

 

–      informieren Sie sich über die Rechtslage im Drittland (öffentliche Stellen wie die Datenschutz-Aufsichtsbehörden, der Europ. Datenschutz- Ausschuss (EDSA), die EU-Kommission oder das Auswärtige Amt sollten dazu Hilfestellungen geben können)

 

–      überprüfen Sie, ob es für das Drittland einen Angemessenheitsbeschluss nach Art. 45 DS-GVO gibt Für die USA wurde dieser nun für ungültig erklärt, aber für Argentinien, Kanada, Japan, Neuseeland oder die Schweiz besteht diese Möglichkeit z.B. noch, s. eine ausführliche Liste hier: https://ec.europa.eu/info/law/lawtopic/data-protection/international-dimension-data-protection/adequacydecisions_en ;ggfls. können Sie sich auch auf verbindliche interne Datenschutzvorschriften gemäß Artikel 47 (BCRs) berufen

 

–      überprüfen Sie, ob Sie die von der EU-Kommission beschlossenen Standardvertragsklauseln für das jeweilige Land nutzen können (Art. 46 Abs. 2c DS-GVO) – diese sind abrufbar unter https://eurlex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32010D0087.

 

Hinweis:

Standardvertragsklauseln werden eher nicht nutzbar sein, wenn Behörden oder sonstige Stellen des Drittlandes in unverhältnismäßiger Art und Weise in die Rechte der betroffenen Personen eingreifen können (z.B. ein massenhafter Abruf von Daten ohne Information der Betroffenen und ohne verfahrensrechtliche Sicherungen wie einen Richtervorbehalt) und es keinen wirksamen Rechtsschutz für die Betroffenen gibt. Für die USA wurde dies vom EuGH verneint. Eine Übermittlung von Daten mithilfe der Standardvertragsklauseln ist in die USA daher nur in eng begrenzten Fällen mithilfe zusätzlicher Garantien (z.B. Verschlüsselung, s.o. etc.) möglich.

 

–      Überprüfen Sie, ob Sie die Daten mithilfe der Standardvertragsklauseln und zusätzlicher Garantien in das jeweilige Land übertragen können. Dies beinhaltet insbesondere die Überlegung, ob Sie die Übertragung bzw. den Zugriff durch andere relativ vermeiden können (Verschlüsselung, Vereinbarung, dass die Daten innerhalb des Geltungsbereichs der DSGVO gehostet werden oder dass keine Datenübertragung in die USA vorgenommen wird)

 

–      Um Ihren Willen zu einem rechtskonformen Handeln zu demonstrieren und zu dokumentieren, sollten Sie zudem Kontakt mit dem jeweiligen Empfänger der Daten aufnehmen und sich insbesondere über eine Änderung der Bestimmungen der Standardvertragsklauseln verständigen.

 

Gerne sind wir Ihnen dabei im Einzelnen behilflich.

 

Diese Ankündigung und die damit verbundenen notwendigen Schritte sind, gelinde gesagt, für den juristischen Laien nur sehr schwer umsetzbar. Die Empfehlungen halten wir für fernab jeglicher Praktikabilität, jedoch bieten sie immerhin einen Anhaltspunkt dafür, was mit „zusätzlichen Maßnahmen“ gemeint sein kann.

 

Es gibt wieder Neuigkeiten in Sachen Datenschutz. Der Europäische Gerichtshof hat mit seinem heutigen Urteil (vom 16.07.2020) die EU-US Datenschutzvereinbarung „Privacy-Shield“ für ungültig erklärt.

Nachdem bereits 2015 das Safe-Harbor-Abkommen durch den EuGH für unwirksam erklärt worden war, hat die EU mit den USA das Privacy Shield vereinbart. Dieses sollte Nachfolger des Safe-Harbor Abkommens sein und die Grundlage für die datenschutzkonforme Übertragung personenbezogener Daten in die USA bilden. Jetzt hat der EuGH auch diesem Abkommen wieder eine Abfuhr erteilt.

 

Das Gericht erklärte zudem den Beschluss 2010/87 der Kommission (über die „Standardvertragsklauseln“ für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländer wie etwa die USA) dagegen für gültig und wirksam.

 

Dieses neue Urteil des EuGH betrifft alle Übertragungen von personenbezogenen Daten in die USA, die bisher durch Privacy Shield abgedeckt waren. Denkbar sind hier beispielhaft Daten im Rahmen von Paymentdienstleistungen, Hosting oder aber auch verschiedene Plugins oder Webseitenanalysetools.

 

Den Webseitenbetreiber oder Onlinehändler trifft jetzt die Frage, wie er noch die Rechtmäßigkeit der Datenübertragung sicher stellen kann, da die Übertragung aufgrund des Privacy Shield nun nicht mehr zulässig ist.


Nach wie vor bleibt die Übertragung von Daten aufgrund einer wirksamen Einwilligung durch den Betroffenen Nutzer. Problematisch an der Einwilligung ist jedoch, dass diese für ihre Wirksamkeit unter anderem „informiert“ erfolgen muss. Es muss also im Vorfeld eine Aufklärung des Betroffenen über das konkrete Risiko der Übermittlung seiner Daten in ein Drittland erfolgt sein, wenn diese nicht über ein adäquates Schutzniveau verfügt. Diese Aufklärung muss einen bestimmten Inhalt aufweisen, wie etwa die Mitteilung über den Empfänger, den Zielort, dortige Verarbeitungsvorgänge etc. Diese Informationen zu erhalten, ist meistens bereits so gut wie unmöglich.

 

Ferner kann auch die sog. „Erforderlichkeit zur Vertragsabwicklung“ die Übermittlung von Daten rechtfertigen.

 

Ein weitere, jedoch nicht echte, Alternative bilden die „Binding Corporate Rules“. Hier handelt es sich um verbindliche interne Datenschutzvereinbarungen, die den unternehmensinternen Umgang mit personenbezogenen Daten von Kunden und/oder Mitarbeitern regeln. Da diese sehr aufwendig (auch finanziell) sind und mit Datenschutzbehörden gemeinsam ausgearbeitet werden, sind Binding Corporate Rules für kleine Webseitenbetreiber und Onlinehändler eher irrelevant.

 

Zu guter Letzt können in Verträge mit US-Unternehmen die durch den EuGH ausdrücklich als zulässig erachteten Standardvertragsklauseln eingebracht werden. Hierdurch kann auch ein Mindeststandard im Datenschutz gewährleistet werden. Angesichts der jetzt akut vorliegenden Entscheidung stellt dies eher langfristig eine Lösungsmöglichkeit dar.

 

Zusammenfassend ist festzustellen, dass leider derzeit für die aktuelle Lage keine echte Lösungsmöglichkeit vorliegt, die kurzfristig umsetzbar wäre.

 

Aufgrund dieser Entscheidung des EuGH ist plötzlich im Prinzip fast der komplette Datentransfer personenbezogener Daten an US-server oder US-Firmen datenschutzrechtswidrig geworden.

 

Dementsprechend sind auch Sanktionen von nun an möglich.
Die künftige Entwicklung ist kaum absehbar. Wir erhoffen und erwarten seitens der Datenschutzbehörden baldige Unterstützung.
Wenn Sie also auf Nummer sicher gehen möchten, bleibt Ihnen zunächst nur die Unterbindung von Datentransfer personenbezogener Daten in die USA, bis das weitere Vorgehen geklärt ist. Es ist natürlich denkbar, dass ein weiteres Nachfolgeabkommen getroffen wird, wann und wie dies jedoch der Fall sein kann, ist nicht bekannt.

 

Den Volltext der Entscheidung können Sie unter folgendem Link nachlesen: http://curia.europa.eu/juris/documents.jsf?num=C-311/18

In einer Pressemittelung vom 30.06.2020 hat der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden Württemberg mitgeteilt, dass wegen eines Verstoßes gegen die Pflichten zu sicherer Datenverarbeitung (Art. 32 der Europäischen Datenschutz-Grundverordnung DS-GVO) die  Bußgeldstelle des LfDI Baden-Württemberg mit Bescheid vom 25.06.2020 gegen die  AOK Baden-Württemberg  eine  Geldbuße  von  1.240.000,- Euro  verhängt hat.

Zugleich habe Sie  – in konstruktiver Zusammenarbeit mit der AOK – die Weichen für eine Verbesserung der technischen und organisatorischen Maßnahmen zum Schutz persönlicher Daten bei der AOK Baden-Württemberg gestellt.

Die AOK Baden-Württemberg veranstaltete in den Jahren 2015 bis 2019 zu unterschiedlichen Gelegenheiten Gewinnspiele und erhob hierbei personenbezogene Daten der Teilnehmer, darunter deren Kontaktdaten und Krankenkassenzugehörigkeit. Dabei wollte die AOK die Daten der Gewinnspielteilnehmer auch zu Werbezwecken nutzen, sofern die Teilnehmer hierzu eingewilligt hatten. Mithilfe technischer und organisatorischer Maßnahmen, u. a. durch interne Richtlinien und Datenschutzschulungen, wollte die AOK hierbei sicherstellen, dass nur Daten solcher Gewinnspielteilnehmer zu Werbezwecken verwendet werden, die zuvor wirksam hierin eingewilligt hatten. Die von der AOK festgelegten Maßnahmen genügten jedoch nicht den gesetzlichen Anforderungen. In der Folge wurden die personenbezogenen Daten von mehr als 500 Gewinnspielteilnehmern ohne deren Einwilligung zu Werbezwecken verwendet. Versichertendaten waren hiervon nicht betroffen.

Die AOK Baden-Württemberg stellte unmittelbar nach Bekanntwerden des Vorwurfs alle vertrieblichen Maßnahmen ein, um sämtliche Abläufe grundlegend auf den Prüfstand zu stellen. Zudem gründete die AOK eine Task Force für Datenschutz im Vertrieb und passte neben den Einwilligungserklärungen insbesondere auch interne Prozesse und Kontrollstrukturen an. Weitere Maßnahmen sollen in enger Abstimmung mit dem LfDI erfolgen.

Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DS-GVO sprachen die umfassenden internen Überprüfungen und Anpassungen der technischen und organisatorischen Maßnahmen sowie die konstruktive Kooperation mit dem LfDI zu Gunsten der AOK. Auf diese Weise konnte in kurzer Zeit eine Steigerung des Schutzniveaus für personenbezogene Daten bei Vertriebstätigkeiten der AOK erreicht werden. Diese Verbesserungen und zusätzlichen Kontrollmechanismen wird die AOK zukünftig entsprechend den Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit fortführen und ggf. anpassen.

Bei der Bemessung der Geldbuße wurde neben Umständen wie der Größe und Bedeutung der AOK Baden-Württemberg insbesondere auch berücksichtigt, dass sie als eine gesetzliche Krankenversicherung wichtiger Bestandteil unseres Gesundheitssystems ist. Schließlich obliegt der AOK die gesetzliche Aufgabe, die Gesundheit der Versicherten zu erhalten, wiederherzustellen oder zu verbessern. Weil Bußgelder nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein müssen, war bei der Bestimmung der Bußgeldhöhe sicherzustellen, dass die Erfüllung dieser gesetzliche Aufgabe nicht gefährdet wird. Hierbei wurden die gegenwärtigen Herausforderungen für die AOK infolge der aktuellen Corona-Pandemie in besonderem Maße berücksichtigt.

„Datensicherheit ist eine Daueraufgabe“, betont der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Dr. Stefan Brink. „Technische und organisatorische Maßnahmen sind regelmäßig den tatsächlichen Verhältnissen anzupassen, um auf Dauer ein angemessenes Schutzniveau sicherzustellen.“ Der Sicherstellung datenschutzkonformer Zustände und der guten Zusammenarbeit von verantwortlichen Stellen mit dem LfDI als Aufsichtsbehörde wird dabei regelmäßig große Bedeutung beigemessen. „Wir streben keine besonders hohen Bußgelder, sondern ein besonders gutes und angemessenes Datenschutzniveau an“, so Brink abschließend.

Pressemitteilung:

https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-bussgeld-gegen-aok-baden-wuerttemberg-wirksamer-datenschutz-erfordert-regelmaessige-kontrolle-und-anpassung/

 

Stichwörter: DSGVO, Datenschutz, Datenschutzbeauftragter, Bußgeld, Datenschutzbehörde,

Das Arbeitsgericht Düsseldorf, Urteil vom 05.03.2020, Az.: 9 Ca 6557/18 hat ein Unternehmen dazu verurteilt, an einem ehemaligen Mitarbeiter 5.000 Euro Schadensersatz zu leisten.

Das Gericht kam zu der Feststellung, dass das Unternehmen auf einen vom ehemaligen Arbeitnehmer gestellten Auskunftsantrag gemäß Art 15 DSGVO verspätet und nicht vollständig Auskunft erteilt hat.

Gemäß Artikel 15 DSGVO besteht für Verantwortliche eine Verpflichtung dazu, Auskünfte über die Verarbeitung personenbezogener Daten zu erteilen. Der genaue Umfang dieser Auskunftspflicht ist allerdings aktuell noch umstritten.

Gemäß Art. 12 Abs. 3 DSGVO sind die Informationen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung zu stellen. Diese Frist kann bei komplexen Fällen um zwei Monate verlängert werden.

Wegen der verspäteten und zudem unvollständigen Auskunft seht nach der Auffassung des Gerichts dem Auskunftssuchenden ein immaterieller Schadenersatz zu. Dieser ergibt sich aus Art 82 DSGVO. Hinsichtlich der Höhe hat das Arbeitsgericht Düsseldorf festgestellt, dass im Sinne europarechtlichen Effektivitätsgrundsatzes wirksamer Anspruch auf Schadensersatz voraussetze, dass dieser abschreckend wirke.

Das Urteil ist nicht rechtskräftig. Das Arbeitsgericht Düsseldorf hat die Berufung zum Landesarbeitsgericht Düsseldorf zugelassen.

Das Urteil zeigt nochmal deutlich,  dass Unternehmen Auskunftsansprüche nicht auf leichte Schultern nehmen sollen, sondern hierbei eine besondere Sorgfalt an den Tag legen sollten.

Gerne stehen wir Ihnen im Bereich Datenschutz und Arbeitsrecht mit Rat und Tat zur Seite.