Home / Aktuelles & Termine / it.sec blog

Der Austritt von Großbritannien ist beschlossen. Neben zahlreichen Unklarheiten, blieb ebenso fraglich, in welcher Form das Land mit dem Datenschutz umgehen wird. Bis zum endgültigen Austritt besteht zwar auch für Großbritannien die Umsetzungspflicht der Datenschutzgrundverordnung (DSGVO), nicht aber danach.

In einer offiziellen Absichtserklärung vom 7. August dieses Jahres hat die Regierung des Landes erklärt, dass es die Bestimmungen der DSGVO in nationales Recht umsetzen will. Dabei erklärte die Regierung, dass mit der Reform des Datenschutzrechts der einzelnen Person mehr Kontrolle über seine Daten gegeben werden soll. Auch sollen die Bußgelder in gleicher Weise bemessen werden, wie es die DSGVO vorsieht, also in den schwerwiegendsten Fällen einer Datenschutzverletzung bis zu 20 Millionen Euro (oder hier bis zu 17 Millionen Pfund) oder bis zu 4% vom gesamten Jahresumsatz.

Weitere grundlegende Ziele und Pflichten aus der DSGVO sollen ebenfalls in britisches Recht umgesetzt werden (z.B. das Recht auf Vergessenwerden).

Oberster Zweck der Reform wird es wohl sein, dass sich Großbritannien als Drittland mit angemessenem Datenschutzniveau etablieren kann. um auch nach dem Brexit einen ungehinderten Fluss der personenbezogenen Daten zwischen dem Land und den EU-Staaten garantieren zu können.

Bisher konnte die Regierung noch keinen konkreten Gesetzesentwurf vorlegen, allerdings gibt es bereits Pläne, welche Reformen sich vollziehen sollen. Die Regierung hat hierzu ein PDF-Dokument veröffentlicht.

Ob und in welcher Form die Regierung garantieren kann, dass auch noch nach dem Austritt des Landes die neuen Regelungen in Kraft bleiben, ist abzuwarten.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Das zwischen der EU und Kanada geplante Abkommen zur Übermittlung von Fluggastdaten ist nach heutigem Urteil des EuGHs nicht mit den Grundsätzen der Datenschutzgrundverordnung (DSGVO) zu vereinbaren.

Das Abkommen sollte festlegen, dass sensible Daten der Fluggäste (Kreditkartendaten, Essenswünsche, Angaben zum Gepäck und Kommentare des Flugpersonals) ohne Anlass oder Verdacht für einen Zeitraum von 5 Jahren gespeichert und an Kanada übermittelt werden dürfen. Darüber hinaus hätte Kanada die Daten ebenfalls speichern, verarbeiten und sogar an andere Drittländer übermitteln dürfen.

Eine solche Regelung hätte die angestrebte Datenhoheit einer jeden betroffenen Person in hohem Maße beschnitten, wenn nicht ganz ausgesetzt.

Sofern die EU und Kanada weiterhin ein solches Abkommen anstreben, wird eine umfangreiche Anpassung der enthaltenen Regelungen notwendig. Es ist jedoch fraglich, ob eine Anpassung wirklich möglich ist. Denn um mit der DSGVO konform zu sein, müssen alle Grundsätze beachtet werden. Damit würde wohl aber der angestrebte Zweck des ursprünglichen Abkommens kaum noch erreicht werden können.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Am 05.07.2017 wurde das Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) verkündet.

Mit Art. 1 DSAnpUG-EU wurde das Bundesdatenschutzgesetz (BDSG-Neu) neu beschlossen, um Regelungsaufträge und Handlungsoptionen (Öffnungsklauseln) aus der Datenschutzgrundverordnung (DSGVO) umzusetzen. Das BDSG-Neu wird am 25.05.2018 in Kraft treten.

Art. 7 DSAnpUG-EU tritt gemäß Art. 8 Abs. 2 DSAnpUG-EU jedoch bereits einen Tag nach Verkündung in Kraft und sieht bis zum 25.05.2018 noch eine Änderung des bisherigen Bundesdatenschutzgesetzes (BDSG) vor: Der nun neu eingeführte § 42b BDSG sieht einen Rechtsbehelf vor, welcher es den Aufsichtsbehörden für den Datenschutz bereits jetzt ermöglicht, gegen Angemessenheitsbeschlüsse oder Beschlüsse der Europäischen Kommission über die Anerkennung von Standardvertragsklauseln (zukünftig: „Standarddatenschutzklauseln“) vorzugehen: So können die Aufsichtsbehörden ab sofort das Bundesverwaltungsgericht veranlassen, beispielsweise den Durchführungsbeschluss zum EU-US Privacy Shield ((EU) 2016/1250 vom 12.07.2016) oder den Beschluss der EU-Kommission vom 05.02.2010 (2010/87/EU), der im Annex die Standardvertragsklauseln enthält, einer gerichtlichen Überprüfung zu unterziehen bzw. die Frage zur Gültigkeit eines solchen Beschlusses dem EuGH zur Entscheidung vorzulegen.

Die Einführung des § 42b BDSG ist damit die Konsequenz aus dem Safe Harbor-Urteil des EuGH vom 06.10.2015, in dem der EuGH festgestellt hat (vgl. Urteil im Volltext, insbesondere Rn 65, unter http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d2dc30dd54db4a4232764d349fe6a58e115fe8fb.e34KaxiLc3qMb40Rch0SaxuRbx10?text=&docid=169195&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=199052), dass es der nationalen Kontrollstelle an der Befugnis fehlte, die von ihr für begründet erachteten Beschwerden betroffener Personen gegen die Übermittlung ihrer personenbezogenen Daten in die USA auf Basis von Safe Harbor vor den nationalen Gerichten geltend machen zu können.

Im Kontext des Safe Harbor-Urteils des EuGH stellten die Aufsichtsbehörden ebenso die Zulässigkeit des alternativen Rechtsinstruments der Standardvertragsklauseln für Datenübermittlungen in die USA in Frage und kritisierten den nachfolgenden Angemessenheitsbeschluss basierend auf den Abreden zum EU-US Privacy Shield als unzureichend (vgl. ULD Schleswig-Holstein zum Urteil des Gerichtshofs der Europäischen Union vom 6. Oktober 2015, S. 4, https://www.datenschutzzentrum.de/uploads/internationales/20151014_ULD-Positionspapier-zum-EuGH-Urteil.pdf bzw. die Stellungnahme der Artikel-29-Gruppe (zukünftig: Europäischer Datenschutzausschuss), die aus Vertretern der Aufsichtsbehörden der Mitgliedstaaten besteht, abrufbar unter http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/20160726_wp29_wp_statement_eu_us_privacy_shield_en.pdf).

Es bleibt daher spannend, inwiefern die deutschen Aufsichtsbehörden nun diese Möglichkeit, die ihnen § 42b BDSG eröffnet, ausschöpfen und Feststellungsklage beim Bundesverwaltungsgericht einreichen werden.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Sofern Microsoft-Kunden mit Sitz in der EU/EWR die Online-Dienste der Microsoft Corporation (z.B. Office 365) nutzen, werden personenbezogene Daten, für die sie verantwortlich sind, von Microsoft im Auftrag verarbeitet und in Rechenzentren gespeichert, die sich u.a. auch in Drittstaaten befinden.

Die von Microsoft zur Verfügung gestellten Online Services Terms (OST) in ihrer jeweils aktuellen Form müssen daher den Vorgaben der Artikel 28 sowie 44 ff Datenschutzgrundverordnung (DSGVO) entsprechen.

Was ist dabei für die Verantwortlichen als schwierig anzusehen?

Der Aufbau des Textes ist eher undurchsichtig gestaltet:
Zum einen ist der Aufbau der OST insgesamt recht unübersichtlich gestaltet. Dies zeigt sich einmal dadurch, dass die einzelnen Bestandteile der notwendigen Bestimmungen im Sinne von Art. 28 Abs. 3 DSGVO nicht zusammenstehen, sondern im gesamten Text oder über Verweise zu anderen Verträgen, einzelnen Abschnitten oder Anhängen eher versatzstückhaft zu finden sind. So ergeben der eigentliche Volumenlizenzvertrag sowie die Data Processing Terms (DPT) (S. 11 ff der OST in der Version vom Juli 2017) den Vertrag zur Auftragsverarbeitung. Gleichzeitig sieht die Erfüllung des Volumenlizenzvertrags die Erfüllung der Standardvertragsklauseln (Anhang 3 zu den OST in der Version vom Juli 2017, auf welchen in den DPT verwiesen wird) vor (vgl. S. 11 ff der OST in der Version vom Juli 2017). Das erschwert eine schnelle Übersicht aller Regelungen erheblich. Alle wichtigen Bestimmungen müssen also aus verschiedenen Passagen und Bestimmungen herausgelesen und vom Verantwortlichen erst zu einem Gesamtbild zusammengesetzt werden. Zudem gelten die DPT nur für bestimmte Online-Dienste.

Die Angaben zu den Verarbeitungsstandorten sind teilweise widersprüchlich:
Zum einen gibt Microsoft an, dass die Daten in den USA, aber eben auch in allen Ländern verarbeitet werden können, in welchen das Unternehmen einen Standort bzw. eine Tochtergesellschaft hat (vgl. S. 9 der OST in der Version vom Juli 2017). Zum anderen wird je nach Online-Dienst ein gesonderter Ort genannt, an denen die Daten physisch gespeichert werden, entweder begrenzt auf ein sog. „Geo“ (z.B. Europäische Union oder Vereinigtes Königreich), die USA, das Land, in dem der Kunde seinen Mandanten-Account bereitstellt oder den Dienst konfiguriert, wo er bereitgestellt werden soll (vgl. S. 12 der OST in der Version vom Juli 2017), wenn nicht bei dem jeweiligen Online-Dienst zusätzliche Standorte gelten. Gleichzeitig wird über die Webseite http://www.microsoft.com/online/legal/v2/?docid=25&langid=de-DE der Speicherort am Sitz des Microsoft-Kunden festgemacht, also z.B., wenn der Sitz in der Europäische Union ist, werden Daten in Irland, den Niederlanden, Österreich, Finnland und den USA gespeichert. Die Standortangaben begrenzen sich zudem auf das Land, genaue Adressen werden nicht bekannt gegeben.
Zusammen mit den Standorten der zahlreichen eingesetzten Auftragsverarbeiter, sämtlichen Microsoft-Gesellschaften und den Rechenzentren an unbestimmten Orten eröffnet sich zugleich ein sehr großes wie auch für den Verantwortlichen undurchsichtiges Gebiet, in dem eine Verarbeitung stattfinden kann.

Ein Einspruch gegen den Einsatz weiterer Auftragsverarbeiter ist faktisch nicht möglich:
Weiterhin ist auch beachtlich, dass mit Abschluss des Vertrags der Verantwortliche in den OST zustimmt, dass Microsoft weitere Auftragsverarbeiter einsetzen darf, ohne die eingesetzten Dienstleister zu benennen oder auf die Webseite zu verlinken, wo die Liste der Auftragsverarbeiter bereitgestellt wird.
Microsoft stellt spätestens 6 Monate vor Bestimmung eines neuen Auftragsverarbeiters eine Liste mit den konkreten Daten dieser weiteren Verarbeiter zur Verfügung. Allerdings kann ein Einspruch des Verantwortlichen gegen einen dieser Verarbeiter dann nur durch eine Kündigung des Dienstes, welcher durch den weiteren Auftragsverarbeiter umgesetzt werden soll, wirksam gemacht werden. Sollte dieser Dienst ein Teil einer größeren Anwendung sein, stellt die Teilkündigung dann sogar eine Kündigung der gesamten Anwendung dar.
Sofern der Dienst also noch weiter genutzt werden soll, ist faktisch ein wirksamer Einspruch gegen den weiteren Auftragsverarbeiter nicht möglich.
Ob diese Auslegung des Einspruchs des Verantwortlichen mit der DSGVO konform ist, ist doch wenigstens fraglich.

Das Schriftformerfordernis wird nicht gewahrt:
Mit Art. 28 Abs. 9 DSGVO ist ein Abschluss des Vertrags zur Auftragsverarbeitung in Schriftform nicht mehr zwingend. In den OST werden jedoch auch die Standardvertragsklauseln zum Bestandteil des Vertrages, um insbesondere die mit der Nutzung der Online-Dienste verbundene Datenübermittlung in Drittstaaten abzusichern. Die Standardvertragsklauseln sind aber nur wirksam, wenn sie, wie im Annex zum Beschluss der EU-Kommission vom 05.02.2010 (2010/87/EU) vorgegeben, verwendet und nicht verändert werden. Durch die Unterschriftsfelder und in den Anhängen durch den Satz "Dieser Anhang ist Bestandteil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden“ deutet vieles darauf hin, dass der Abschluss der Standardvertragsklauseln der Schriftform bedarf. Es bleibt also fraglich, ob Standardvertragsklauseln mit der aufgedruckten Unterschrift durch den Corporate Vice President von Microsoft und ohne Unterschrift des Microsoft-Kunden in letzter Konsequenz wirksam einbezogen werden können.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Die EU-Justizkommissarin Vera Jourova droht mit Kündigung des Privacy Shield. Von Beginn an stand das Privacy Shield Abkommen zwischen der Europäischen Union und den USA unter Kritik.

Das Privacy Shield (Nachfolger von Safe Harbour) ist ein informelles Übereinkommen im Bereich des Datenschutzrechts, das zwischen der Europäischen Union und den USA ausgehandelt wurde. Die Kommission hat am 12. Juli 2016 beschlossen, dass die Vorgaben des Privacy Shields dem Datenschutzniveau der Europäischen Union entsprechen.

Das Übereinkommen regelt den Schutz personenbezogener Daten, die aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen werden.

Jetzt soll damit eventuell schon wieder Schluss sein. Die EU-Justizkommissarin will sich Ende März mit Vertretern der neuen US-Regierung treffen um das Thema neu zu besprechen. Nach Trumps Executive Order vom 25.01.2017 werden Nicht-US-Bürger nämlich vom Schutz des Privacy Act ausgenommen. Das US-Justizministerium hat jedoch versichert, dass die USA weiter zum Privacy Shield stehe. Bei dem Termin Ende März soll nun geklärt werden, ob die bisher zugesagten Bedingungen von der USA tatsächlich eingehalten werden.

Andernfalls will die EU-Justizkommissarin das Privacy Shield-Abkommen außer Kraft setzen.

Dr. Bettina Kraft
Beraterin für Datenschutz
Justiziarin

ADCERT Anwendbarkeit Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 9 DSGVO Audit Aufsichtsbehörde Auftragsverarbeitung Auskunftsrecht Automatisierte Einzelentscheidung Autsch BAG BDSG-Neu Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betrieblicher E-Mail-Account betrieblicher Internetzugang Betroffenenrechte BfDI BGH biometrische Daten Biometrische und genetische Daten Brexit Bundesarbeitsgericht Bußgeld Cloud CNIL Compliance Cookie Datenlöschung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutzgrundverordnung Datenschutzprinzipien Datenschutzverletzung Datenübermittlung Datenübermittlung in Drittstaaten Datenverarbeitung Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO dynamische IP-Adresse eCall-Technologie Einwilligung Einwilligungserklärung Entsorgung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative EU-Datenschutz-Grundverordnung EuGH Facebook Fahrzeugdaten Fahrzeuge Fernmeldegeheimnis Fluggastdaten Gemeinsam Verantwortliche Home Office Informationspflichten Informationssicherheit IP-Adresse IT-Forensik IT-forensische Untersuchung IT-Sicherheit Joint Control Kanada Konzern konzerninterner Datentransfer Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Marktortprinzip Meldepflicht Meldescheine Microsoft One Stop Shop Passwörter. 2016 Personalausweiskopien personenbezogene Daten Privacy by Default Privacy by Design Privacy Shield Privatnutzung Privatnutzungsverbot Profiling Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte der betroffenen Person Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Siegel Sony PSN Standardvertragsklauseln Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telemediendienst Telemediengesetz TKG TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe USA Vereinbarung Vernichtung von Datenträgern Verordnung (EU) 2015/758 Vertrag zur Auftragsverarbeitung Videoüberwachung Vorteile Webseite Webseiten Webtrecking Werbung Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 42a BDSG § 42b BDSG § 88 TKG

An dieser Stelle wollen wir von Zeit zu Zeit unsere Web-Logs ("blogs") pflegen und unsere Meinung zu bestimmten Themen kundtun.

Die einzelnen Posts stellen jeweils die Meinung des Autors dar und nicht zwangsläufig jene der it.sec. Die Inhalte sind stellen keine Beratung dar und übernehmen für die Inhalte keine Haftung.

Tags

Mo Di Mi Do Fr Sa So
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31