Home / Aktuelles & Termine / it.sec blog

Monatlich gehen in Deutschland um die 50.000 neue Webseiten online. Alle diese Seiten sind gesetzlich verpflichtet, eine Datenschutzerklärung bereitzustellen. Dass ist jedoch häufig nicht der Fall.

Ab Mai 2018 kann dies empfindliche Bußgelder nach sich ziehen. Vor allem eine Webseite bietet für Aufsichtsbehörden und Verbände eine einfache Möglichkeit zu kontrollieren, ob die datenschutzrechtlichen Vorgaben umgesetzt wurden.

§ 13 TMG und auch Art 12 ff DSGVO legt jedem Webseitenbetreiber die Pflicht auf, eine Datenschutzerklärung auf seiner Webseite einzupflegen. Diese sollte im Idealfall mit nur einem Klick von jeder Seite aus erreichbar sein.

In dieser Datenschutzerklärung muss der Betreiber der Webseite den Nutzer in allgemein verständlicher Form u.a. über Art, Umfang, Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über mögliche Weitergaben von Daten an Staaten außerhalb der Europäischen Union bzw. des EWR unterrichten.

Die Nutzer müssen u.a. über Folgendes informiert werden:

  • die Erhebung von IP-Adressen,
  • die vom Browser übermittelten Daten,
  • Gewinnspiele,
  • Benutzerkonto,
  • Newsletter,
  • Webtracking,
  • Cookies,
  • Online-Bewerbungen,
  • Kontaktformulare,
  • Foren,
  • Plugins,
  • Widerspruchsrecht.

Es müssen stets die Zwecke angegeben werden, zu denen die Daten verarbeitet und an wen sie weitergegeben werden, sowie die jeweilige Rechtsgrundlage der Datenverarbeitung.

Wer den Nutzer einer Webseite nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet, begeht gemäß § 16 TMG und Art 83 Abs. 5 DSGVO eine Ordnungswidrigkeit, die mit einem Bußgeld von bis zu 4 % des weltweit erzielten Vorjahresumsatzes oder bis zu 20.000.000 € geahndet werden kann. Auch kann ein Verstoß gegen das Wettbewerbsrecht vorliegen, so dass eine Abmahnung erfolgen kann.

Dr. Bettina Kraft
Volljuristin, Senior Consultant für Datenschutz

In seiner Pressemitteilung vom 04.10.2017 hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) klargestellt, dass das Profiling der Webseitenbesucher und Facebook-Nutzer mit Hilfe des Trackingverfahrens ‚Facebook Custom Audience‘ nur mit Einwilligung der betroffenen Personen möglich ist (die Pressemitteilung ist abrufbar unter https://www.lda.bayern.de/media/pm2017_07.pdf).

Das Marketing-Werkzeug ‚Facebook Custom Audience‘ kann durch Unternehmen auf zwei verschiedene Arten genutzt werden: Zum einen können Listen mit personenbezogenen Kundendaten, wie z.B. E-Mail-Adressen, an Facebook Inc. übermittelt werden. Facebook Inc. gleicht diese Daten dann wiederum mit ihren Nutzerkonten ab, um so dem Unternehmen eine zielgruppengenaue Werbeaktion auf der Facebook-Plattform zu ermöglichen. Zum anderen kann ‚Facebook Custom Audience‘ über ein Pixel in die Webseite eingebunden werden, um die Internetaktivitäten der Webseitenbesucher zu tracken und diese Informationen direkt an Facebook Inc. weiterzuleiten, damit dem Unternehmen auch hier wieder eine zielgruppengenaue Werbeaktion auf der Facebook-Plattform möglich wird. Auch bei diesem Verfahren werden personenbezogene Daten an Facebook Inc. übermittelt.

Obwohl Unternehmen in beiden Fällen personenbezogene Daten (u.a. Name, E-Mail-Adresse, Internetaktivitäten) an einen Dritten (= Facebook Inc.), zudem in einen Drittstaat, zu Werbezwecken übermitteln, stellt die Aufsichtsbehörde fest, dass ‚Facebook Custom Audience‘ oftmals nicht in datenschutzrechtlich zulässiger Weise eingesetzt wird, entweder weil Unternehmen keine Ahnung haben, wie diese Trackingverfahren funktionieren, oder sich keine Gedanken darüber machen, welche Vorgaben eigentlich für eine solche Datenverarbeitung gelten (-> Art. 6 Abs. 1, Art. 44 ff, Art. 13 DSGVO, § 7 UWG).

Daher gibt das BayLDA den verantwortlichen Unternehmen in seiner Pressemitteilung Vorgaben an die Hand. Die Aufsichtsbehörde weist zudem darauf hin, dass der Einsatz von ,Facebook Custom Audience‘ zukünftig Gegenstand von Prüfaktionen sein wird und Unternehmen, die dieses Produkt in unzulässiger Weise einsetzen, mit Bußgeldern rechnen müssen: „Unternehmen, die (…) nicht wissen, wie solche Werbetools tatsächlich funktionieren, können auch ihre Nutzer nicht richtig informieren. Wer das nicht kann, darf eben solche Tools nicht einsetzen. (…) Adressat (…) eines Bußgeldbescheides [ist] nicht Facebook, sondern das jeweilige Unternehmen, das dieses Werbemittel unzulässig einsetzt.“

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Im Kontext des Safe Harbor-Urteils des EuGH vom 06.10.2015 stellten die Aufsichtsbehörden ebenso die Zulässigkeit des alternativen Rechtsinstruments der Standardvertragsklauseln für Datenübermittlungen in die USA in Frage. Da die derzeitige Gesetzeslage in den USA den Sicherheitsbehörden eine grundrechtswidrige Massenüberwachung erlaube, kann der Datenimporteur eben gerade nicht garantieren, dass er seines Wissens keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs und die Einhaltung seiner vertraglichen Pflichten unmöglich machen bzw. sich nachteilig auf die Garantien und Pflichten auswirken, die die Klauseln bieten sollen (vgl. Klausel 5 der Standardvertragsklauseln).

Die Aufsichtsbehörden haben daher gemäß den Beschlüssen der EU-Kommission, die im Annex die Standardvertragsklauseln enthalten, die Möglichkeit, Datenübermittlungen in die USA auf Grundlage von Standardvertragsklauseln per verwaltungsrechtlicher Anordnung zu verbieten (vgl. Art. 4 Abs. 1 lit. a) des Beschlusses 2010/87/EU). Max Schrems hatte die irische Aufsichtsbehörde mittels einer Beschwerde darauf verwiesen.

Daraufhin hatte die Aufsichtsbehörde die rechtliche Prüfung der Wirksamkeit der Standardvertragsklauseln an den irischen High Court weitergeleitet. Dieser legte die Frage zur Gültigkeit der Standardvertragsklauseln als Grundlage für Datenübermittlungen in Drittstaaten dem EuGH zur Entscheidung vor.

Es bleibt abzuwarten, wie das Urteil des EuGHs ausfallen wird. Sollte er entscheiden, dass eine Datenübermittlung nicht rechtssicher auf der Grundlage der Standardvertragsklauseln möglich ist, könnte dies die Beauftragung von Dienstleistern in den USA aufgrund der damit verbundenen Datenübermittlungen erheblich erschweren. Denn bei weitem nicht alle US-Unternehmen sind Privacy Shield-zertifiziert.

Insbesondere, wäre dann zu klären, ob die Klauseln dennoch einbezogen werden können, wenn aus den USA zwar auf Daten zugegriffen wird, die Daten dort selbst aber nicht physisch gespeichert werden, sondern in der EU verbleiben (z.B. bei Fernwartungsdienstleistungen). Ein US-Berufungsgericht urteilte unlängst, dass Unternehmen den amerikanischen Sicherheitsbehörden auf deren Anforderung hin den Zugang zu Servern in der EU verweigern dürfen, und hatte damit die Gesetzeslage in den USA etwas abgemildert.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Die bemerkenswerten Ergebnisse einer repräsentativen Bitkom-Umfrage (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V.), abrufbar unter https://www.bitkom.org/Presse/Presseinformation/Jedes-dritte-Unternehmen-hat-sich-noch-nicht-mit-der-Datenschutzgrundverordnung-beschaeftigt.html, liegen vor: Demnach beschäftigen sich aktuell nur 49 Prozent der befragten Unternehmen mit der Umsetzung der Datenschutzgrundverordnung (DSGVO). Weitere 13 Prozent haben erste Maßnahmen begonnen und umgesetzt. Dagegen haben sich 33 Prozent gar nicht mit der Umsetzung der Datenschutzvorgaben beschäftigt, 13 Prozent tun dies bewusst nicht. Über die Gründe kann man nur spekulieren.

Wir können angesichts der Höhe möglicher Bußgelder, die bei Verstößen gegen die DSGVO ausgesprochen werden können, nur dazu raten, sich mit dem Thema zu beschäftigen. Zum einfachen Einstieg hat der Bitkom vier kostenlose Leitfäden für die Praxis erstellt, abrufbar unter https://www.bitkom.org/Themen/Datenschutz-Sicherheit/DSGVO.html. Ab dem 25. Mai 2018 gilt das neue Datenschutzrecht!

Dr. Wolfhard Steinmetz
Consultant für Datenschutz

Ein Passwort ist eines der wichtigsten Mittel, die eigenen oder betrieblichen personenbezogenen Daten zu schützen. Dabei steht doch aber immer auch die Frage im Raum, wie ein solches Passwort zu gestalten ist, damit es die Daten auch nachhaltig schützen kann.

Bisher waren die Vorgaben, was ein sicheres Passwort ausmacht, recht klar. Die Verwendung von Passwörtern mit mind. 8 Zeichen bestehend aus einer Kombination von Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen sowie ein Passwortwechsel alle 90 Tage sollten einem Hacker die Arbeit besonders erschweren.

Vor Kurzem hat jedoch das National Institute of Standard and Technology (NIST), welches diese Regeln erst ins Leben rief, diese Annahme revidiert. Der ursprüngliche Autor dieser Vorgaben, Bill Burr, hatte dazu auch erklärt, dass die damaligen Annahmen ein Irrtum gewesen seien.

Dies ist nicht darauf zurückzuführen, dass die Vorgaben damals generell falsch waren, doch aber darauf, dass sich seit 2003, das Veröffentlichungsdatum der alten Passwort-Regeln, die Technik erheblich weiterentwickelt hat. Auch haben die zahlreichen Hackerangriffe der letzten Zeit dafür gesorgt, dass es ausführliche Wörterbücher von verwendeten Passwörtern gibt, in welchen Angreifer „nachschlagen“ können.

Es ist also in der heutigen Zeit um vieles einfacher als noch vor 14 Jahren, Passwörter mithilfe einer Software auszulesen.

Daher ist ein neues Herangehen an die Passworterstellung angebracht. Das NIST hat in seinem neu veröffentlichten Leitfaden festgestellt, dass besonders die Passwortlänge eine entscheidende Rolle bei der Sicherheit spielt.

Es wird geraten, möglichst lange Passwörter mit mindestens 12 Zeichen und einer zufälligen Zeichenabfolge zu vergeben, also z.B. eine Wortreihe, die logisch keinen Sinn ergibt, wie SchuhDatenschutzRegen. Sonderzeichen können ebenso nützlich sein, aber auch beim Einsatz dieser gilt, ein Muster bei der Passwortvergabe, das einfach zu identifizieren ist, sollte vermieden werden. Denn Software, welche versucht Passwörter auszulesen, kann dies schneller tun, wenn dem Passwort ein Muster zugrunde liegt.

Auch sollten zu jeder Zeit für unterschiedliche Portale oder Anwendungen verschiedene Passwörter verwendet werden. Denn sollte doch einmal ein Passwort in unbefugte Hände geraten, sind nicht auch noch alle anderen Anwendungen oder Benutzerkonten in Gefahr, ausgespäht zu werden.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Am 6. Juli 2017 hat das Verwaltungsgericht (VG) Karlsruhe in seinem Urteil eine Verfügung des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) aufgehoben (VG Karlsruhe Urteil vom 6.7.2017, 10 K 7698/16).

Der Anfechtungsklage war die Verfügung des LfDI in Form eines Verwaltungsakts gegen eine Auskunftei vorangegangen, ihr Löschkonzept entsprechend der Datenschutzgrundverordnung (DSGVO) anzupassen. Die Auskunftei sollte personenbezogene Daten, die sie nach dem 24.5.2018 unter Einbeziehung von Informationen über Forderungen für Bonitätsauskünfte speichert, spätestens nach Ablauf von drei Jahren, beginnend mit dem Zeitpunkt der Fälligkeit der Forderung, löschen, es sei denn, dass die betroffene Person zu diesem Zeitpunkt zahlungsunfähig oder zahlungsunwillig gewesen sei.

Die Auskunftei hatte daraufhin erklärt, sie werde ihr Löschkonzept bis zum 25.05.2018 entsprechend der DSGVO überarbeiten. Dabei wolle sie jedoch die noch ausstehende Absprache hierzu zwischen dem Düsseldorfer Kreis und dem Verband für Wirtschaftsauskunfteien abwarten.

Daraufhin erließ der LfDI einen entsprechenden Verwaltungsakt auf Grundlage von § 38 Abs. 5 S. 1 BDSG i.V.m. Erwägungsgrund 39 und Art. 58 Abs. 2 lit. e) DSGVO, der die Auskunftei dazu verpflichten sollte, ihr Löschkonzept auf oben erläuterte Weise bereits jetzt anzupassen. Zwar läge momentan noch kein Verstoß gegen datenschutzrechtliche Vorschriften vor, ein solcher sei jedoch ab dem 25.05.2018 „schon deutlich vorgezeichnet“, da die Auskunftei nicht verbindlich zugesichert hätte, ihre Löschpraxis entsprechend zu ändern.

Das VG Karlsruhe stellte fest, dass es für den Erlass eines solchen Verwaltungsaktes bereits an einer Ermächtigungsgrundlage mangele. Weder bestünden derzeit Datenschutz-Verstöße noch wären entsprechende „Missstände (…) nach dem 24.05.2018 zu erwarten.“ Die von der Aufsichtsbehörde vorgegebene Regellöschfrist ergebe sich weder aus der DSGVO noch aus dem BDSG-Neu und entsprechend sei die „Prüf- und Löschpraxis“ der Auskunftei „noch völlig ungewiss“. Des Weiteren sei auch fraglich, ob aus dem Erwägungsgrund 39 „eine Rechtsgrundlage hergeleitet werden kann“. Auf jeden Fall durfte sich die Aufsichtsbehörde schon nicht auf Art. 58 Abs. 2 lit. e) DSGVO stützen, „da diese Vorschrift erst ab dem 25.05.2018 Gültigkeit beanspruchen wird (…).“

Darüber hinaus erfülle die Aufsichtsbehörde mit ihrer datenschutzrechtlichen Verfügung auch nicht die „Anforderungen an die Bestimmtheit eines Verwaltungsaktes.“

Dieses Urteil lässt somit den Schluss zu, dass die Aufsichtsbehörden die Verantwortlichen nicht dazu verpflichten können, die Vorgaben der Datenschutzgrundverordnung bereits im Vorhinein zu erfüllen. Dem Verantwortlichen wird damit eingeräumt, tatsächlich die gesamte Zeit bis zum Ablauf der Umsetzungsfrist nutzen zu können, um die Prozesse des Unternehmens inhaltlich und formal an die Datenschutzgrundverordnung anzupassen. Weiterhin kann aus dem Urteil auch geschlossen werden, dass die bisher etablierten Regellöschfristen anhand der DSGVO tatsächlich neu bewertet werden müssen.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Der europäische Gerichtshof für Menschenrechte, im Folgenden ‚Gerichtshof‘ genannt, hat im Fall einer Kündigung eines Arbeitnehmers entschieden, dass die der Kündigung vorangegangene Aufzeichnung von dessen Online-Aktivitäten zu stark in sein Recht auf Achtung des Privat- und Familienlebens gemäß Art. 8 der Europäischen Menschenrechtskonvention (MRK) eingreife. Damit seien weder die Überwachung noch die Kündigung auf Basis der mit der Überwachung erhobenen Daten rechtens gewesen.

Der Arbeitnehmer war Angestellter in einem Unternehmen mit Sitz in Rumänien; dieses hatte den Mitarbeitern untersagt, die betrieblichen Arbeitsmittel und elektronischen Kommunikationsmedien für private Zwecke zu nutzen. Über einen Messenger-Dienst, der ausschließlich der Geschäftskorrespondenz diente, kommunizierte der Arbeitnehmer dennoch mit seinem Bruder und seiner Verlobten. Dabei wurden nicht nur die Verbindungsdaten, sondern ebenso die vollständigen Kommunikationsinhalte und damit sehr intime Gesprächsverläufe durch den Arbeitgeber aufgezeichnet. Auf Grundlage dieser Beweise für die Privatnutzung wurde dem Arbeitnehmer die Kündigung ausgesprochen.

Nachdem der Arbeitnehmer vor zwei nationalen Instanzen mit der Klage gegen seinen ehemaligen Arbeitgeber scheiterte, reichte der Arbeitnehmer Klage wegen Verletzung seines Rechts auf Achtung des Privat- und Familienlebens beim Gerichtshof ein.

Der Gerichtshof rügte in seinem Urteil, dass die Vorinstanzen in ihren Urteilen nicht ausreichend berücksichtigt hätten, inwiefern der Arbeitnehmer im Vorhinein über die Überwachungsmaßnahmen, die Art und Weise sowie den Umfang der Überwachung informiert worden war und inwieweit diese Überwachung unverhältnismäßig in das Privatleben des Arbeitnehmers eingegriffen hätte. Denn nach Feststellung des Gerichtshofs war die Überwachung unzulässig, so dass die dabei erhobenen Daten schon nicht zur Beendigung des Beschäftigungsverhältnisses hätten verarbeitet werden dürfen.

In seinem Urteil hat der Gerichtshof zugleich sechs Punkte festgelegt, welche zur Beurteilung der Zulässigkeit der Beschäftigtenüberwachung und der damit verbundenen Datenverarbeitung herangezogen werden sollen: Ausreichende Informierung der betroffenen Person (Transparenz), Rechtmäßigkeit der Datenverarbeitung, insbesondere ob ein berechtigtes Interesse des Arbeitgebers besteht, Einschränkung der Datenverarbeitung auf das erforderliche Maß (Datenminimierung), Zweckbindung und Verhältnismäßigkeit der Datenverarbeitung sowie Wahrung der Vertraulichkeit durch Schutzmaßnahmen, die den potenziellen Bedrohungen für die Rechte und Freiheiten der betroffenen Person bei einer solchen Überwachung Rechnung tragen.

Der Gerichtshof hat damit klargestellt, dass der Arbeitgeber sich auch bei der Überprüfung der Einhaltung des Privatnutzungsverbots an die Datenschutzprinzipien halten muss, so dass auch hier eine Datenverarbeitung, die zu einer anlass- und lückenlosen Beschäftigtenkontrolle führt, nicht zulässig ist.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Die technischen Möglichkeiten, miteinander zu kommunizieren, ohne dabei im gleichen Raum oder sogar im gleichen Land zu sein, nehmen in der heutigen Zeit immer stärker zu. Dabei ist die Videotelefonie eine jener Methoden, welche eine schnelle und dennoch auch persönliche Kommunikation ermöglichen.

Diese Möglichkeit nutzen Unternehmen bereits in vielen Bereichen. Insbesondere werden zunehmend Bewerbungsgespräche über den Online-Dienst Skype abgehalten, anstatt den potentiellen Kandidaten vor Ort zu empfangen. Dies erspart Arbeitgeber und Bewerbern Zeit und Kosten.

Zum Einsatz von Skype im Bewerberauswahlverfahren hat sich die Berliner Beauftragte für Datenschutz und Informationsfreiheit in ihrem aktuellen Jahresbericht geäußert. So werden bei einem Bewerbungsgespräch über den Online-Dienst Skype nicht nur die für die Entscheidung über die Begründung des Beschäftigungsverhältnisses erforderlichen personenbezogenen Daten verarbeitet, sondern darüber hinaus sowohl Bild- als auch Tonaufnahmen erhoben und etwaige Chatprotokolle sowie sonstige Nutzungsdaten für 90 Tage gespeichert. Gleichzeitig werden die Daten an die Microsoft Corporation und damit an einen Dritten übermittelt, womit ebenso eine Datenübermittlung in Drittstaaten verbunden ist. Die dabei notwendigen Einwilligungen der Bewerber für eine solche Datenverarbeitung lassen sich auch nicht wirksam einholen, da das Kriterium der Freiwilligkeit nur unzureichend erfüllt sei. Daher wird vom Einsatz des Online-Dienstes Skype abgeraten.

Leider wird dabei von der Aufsichtsbehörde unberücksichtigt gelassen, ob und wenn ja, welche Änderungen sich in dieser Bewertung ergäben, wenn Skype for Business eingesetzt und die Microsoft Corporation als Auftragsverarbeiter des Arbeitgebers tätig wird, ob durch deren Privacy Shield-Zertifizierung die Rechte der betroffenen Personen nicht doch ausreichend gewahrt und diese hinreichend informiert würden und unter welchen Voraussetzungen eine Einwilligung der Bewerber dennoch wirksam eingeholt werden könnte.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Am 22.08.2017 hatten wir über die bekannt gewordene Datenschutzverletzung der Berliner Verkehrsbetriebe (BVG) berichtet.

Mittlerweile hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit in einer Prüfaktion bei der BVG herausgefunden, dass dem leitenden Angestellten Zugangsrechte für ein Laufwerk eingerichtet wurden, das nicht nur vom Personalrat, sondern ebenso von der Schwerbehindertenvertretung sowie der Frauenbeauftragten genutzt wird, und auf welchem sich auch Dateien befanden, die besondere Kategorien personenbezogener Daten enthielten. Der Führungskraft waren damit Zugriffe auf die dort liegenden Unterlagen möglich, wobei mindestens ein Dokument auch „geöffnet, angesehen und ausgedruckt“ worden sein soll (die Pressemitteilung ist abrufbar unter https://datenschutz-berlin.de/content/nachrichten/pressemitteilungen).

Die Aufsichtsbehörde stellte des Weiteren fest, dass nicht nur ein unbeabsichtigter Fehler der IT-Abteilung bei der Einrichtung der Berechtigungen, sondern „erhebliche Mängel in der Datenschutzorganisation“ zu der Datenschutzverletzung geführt hätten. Neben mangelnder Maßnahmen zur Trennungskontrolle, gebe es keinen ausreichend definierten Prozess, nach welchem Berechtigungen dokumentiert vergeben werden. Auch die zum Zwecke der Datenschutzkontrolle notwendigen Protokollierungen, um Zugänge zum Laufwerk sowie Zugriffe auf die dort enthaltenen Dateien aufzuzeichnen, wurden nicht vorgenommen. Zudem sei die BVG auch ihren Melde- und Benachrichtigungspflichten nach Bekanntwerden der Datenschutzverletzung nicht unverzüglich nachgekommen.

Richtigerweise betont die Aufsichtsbehörde in ihrer Pressemitteilung, dass die BVG kein Einzelfall sei, sondern viele Unternehmen immer noch zu wenig für den Schutz personenbezogener Daten, für die sie verantwortlich sind, täten. Diese sollten sich bewusst sein, dass ab dem 25.05.2018 hierfür Bußgelder in Höhe von bis zu 10.000.000 Euro oder 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden können.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Die Übermittlung personenbezogener Daten aus Europa in die USA ist in Zeiten von Cloud-Diensten und internationalen Unternehmen ein wichtiges Thema.

Gemäß dem Durchführungsbeschluss (EU) 2016/1250 der Europäischen Kommission vom 12.07.2016 bieten US-Unternehmen, die eine Privacy Shield-Zertifizierung besitzen, ein angemessenes Datenschutzniveau. Eine Übermittlung personenbezogener Daten ist dann gemäß Art. 45 DSGVO zulässig. Diese Zertifizierung muss erst durch die Unternehmen erworben werden, somit ist nicht jedes Unternehmen aus den USA zwingend auch nach den Richtlinien des Privacy-Shields zertifiziert.

Unter dem folgenden Link kann geprüft werden, ob das US-Unternehmen, dem man Daten übermitteln möchte, eine Privacy-Shield-Zertifizierung aufweist: https://www.privacyshield.gov/list.

Aufgrund der Abreden zum EU-US Privacy Shield müssen diese US-Unternehmen den betroffenen Personen verschiedene Rechte einräumen, welche dann direkt gegenüber den zertifizierten Unternehmen geltend gemacht werden können.

Bei vermuteten Datenschutzverstößen kann man sich auch an die nationalen Aufsichtsbehörden wenden. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat hierzu ein Beschwerdeformular veröffentlich, welches mit den anderen europäischen Datenschutzbehörden abgestimmt wurde. Auch die Aufsichtsbehörden von Bayern, NRW und Baden-Württemberg haben ebenfalls entsprechende Formulare veröffentlicht. Dieses gilt allerdings nur für Beschwerden gegenüber privaten Unternehmen. Sollte eine betroffene Person befürchten, dass auf ihre personenbezogenen Daten durch US-amerikanische Sicherheitsbehörden oder Nachrichtendienste zugegriffen wurde, kann auch dies einer Prüfung unterzogen werden. Für ein solches Vorgehen steht ein separates Formular zur Verfügung. Entsprechende Fälle werden dann durch eine Ombudsperson des US-Außenministeriums bearbeitet.

Die entsprechenden Formulare sind u.a. auf der Internetseite der Berliner Beauftragten für Datenschutz und Informationsfreiheit unter https://datenschutz-berlin.de/content/eu-us-privacy-shield-informationen-und-beschwerdemoeglichkeiten abrufbar.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

ADCERT Angemessenheitsbeschluss Anwendbarkeit Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Audit Aufsichtsbehörde Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch BAG BDSG-Neu Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betrieblicher E-Mail-Account betrieblicher Internetzugang Betroffenenrechte BfDI BGH biometrische Daten Biometrische und genetische Daten Bitkom Bonitätsprüfung Brexit Bundesarbeitsgericht Bußgeld BVG Cloud CNIL Compliance Cookie Datenlöschung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutzerklärung Datenschutzgrundverordnung Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO DSK dynamische IP-Adresse eCall-Technologie EES Einwilligung Einwilligungserklärung Entsorgung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU-Datenschutz-Grundverordnung EuGH Facebook Fahrzeugdaten Fahrzeuge Fernmeldegeheimnis FlugDaG Fluggastdaten Gemeinsam Verantwortliche Home Office Informationspflichten Informationssicherheit IP-Adresse Irland IT-Forensik IT-forensische Untersuchung IT-Sicherheit Joint Control Kanada Konzern konzerninterner Datentransfer Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Marktortprinzip Meldepflicht Meldescheine Microsoft NIST One Stop Shop Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Personalausweiskopien personenbezogene Daten PNR-Daten PNR-Instrumente Privacy by Default Privacy by Design Privacy Shield Privatnutzung Privatnutzungsverbot Profiling Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte der betroffenen Person Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Siegel Skype Sony PSN Standardvertragsklauseln Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telemediendienst Telemediengesetz TKG TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe USA Vereinbarung Vernichtung von Datenträgern Verordnung (EU) 2015/758 Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Vorteile Webseite Webseiten Webtracking Webtrecking Werbung Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 42a BDSG § 42b BDSG § 88 TKG

An dieser Stelle wollen wir von Zeit zu Zeit unsere Web-Logs ("blogs") pflegen und unsere Meinung zu bestimmten Themen kundtun.

Die einzelnen Posts stellen jeweils die Meinung des Autors dar und nicht zwangsläufig jene der it.sec. Die Inhalte sind stellen keine Beratung dar und übernehmen für die Inhalte keine Haftung.

Tags

Mo Di Mi Do Fr Sa So
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30