Home / Aktuelles & Termine / it.sec blog

Und schon wieder gab es eine datenschutzrechtliche Entscheidung, die für Aufregung sorgt, diesmal durch den EuGH.

Hintergrund:

Im Bemühen, gegen Facebook und dessen intransparenter Datenverarbeitung vorzugehen, erließ bereits 2011 das ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) gegen die Wirtschaftsakademie der IHK eine Verfügung, wonach diese ihre Fanpage auf Facebook zu deaktivieren habe. Die Überlegung dabei war, dass die Wirtschaftsakademie selbst zwar keine Daten sammle, durch seine Entscheidung, eine Fanpage zu eröffnen, es jedoch Facebook erst ermöglichte, Cookies, also kleine Dateien auf den Festplatten der Besucher der Fanpage zu platzieren. Cookies erlauben es, Informationen über einen bestimmten Zeitraum vorzuhalten und den Rechner des Besuchers zu identifizieren. Daher nahm das ULD die Wirtschaftsakademie als Verantwortlichen in Anspruch. Nachdem das ULD in den Instanzen vor den unteren nationalen Gerichten unterlegen war, landete die Sache beim BVerwG, das – um eine einheitliche europäische Rechtsprechung zu gewährleisten – die relevanten rechtlichen Entscheidungsgrundlagen vorab durch den EuGH beurteilen ließ. Dabei hatte der EuGH zu insgesamt sechs verschiedenen Fragen Stellung zu beziehen.

Im Fokus dieses Artikels stehen dabei die ersten beiden Fragen. Dabei wollte das BVerwG geklärt haben, ob es im Rahmen der Datenverarbeitung mehr als einen Verantwortlichen geben könne, auch wenn diese nicht auf dieselben Daten Zugriff haben.

Entscheidung:

Mit seiner Entscheidung befand der EuGH, dass der Begriff des Verantwortlichen zum Schutz der Rechte der Bürger weit auszulegen sei. Nicht nur Facebook träfe daher die Verantwortung für die im Rahmen der Fanpages gesammelten Daten, sondern auch der Betreiber der Fanpage, der es insbesondere auch Nicht-Facebook-Mitgliedern erlaube, seine Fanpage zu besuchen. Der Betreiber ermögliche Facebook dadurch, Cookies im Speicher der jeweiligen Benutzer abzulegen und dadurch deren Verhalten zu analysieren. Im Rahmen der Funktion Facebook Insight, die den Betreibern von Fanpages zur Verfügung steht, würden den Betreibern zwar lediglich anonymisierte Auswertungen zur Verfügung gestellt, gleichwohl verfüge Facebook über eine Vielzahl an Einzelinformationen von Betroffenen, aus denen die Statistiken erstellt würden. Über diese Informationen verfüge Facebook ausschließlich aus dem Grund, dass der Betreiber der Fanpage die entsprechende Parametrisierung der gewünschten Informationen vorgenommen habe. Daher sei dieser zumindest mit für die Verarbeitung der Daten verantwortlich. Es komme insbesondere nicht darauf an, dass alle Verantwortlichen Zugriff auf dieselben Daten haben, um eine gemeinsame Verantwortlichkeit zu begründen.

Ausblick:

Was bedeutet das konkret für Fanseiten bei Facebook? Zunächst einmal noch nichts, denn wie dargestellt, handelt es sich bei der Entscheidung des EuGH um eine Auslegungshilfe für die Richter, die die entsprechende Vorschriften nun anwenden müssen. Eine Entscheidung durch das BVerwG steht indes noch aus. Insofern dürften sich die Aufsichtsbehörden im Moment noch zurückhalten und zunächst den Abschluss des Verfahrens abwarten, bevor sie in irgendeiner Weise tätig werden.

Andererseits ist die Entscheidung jedoch ein guter Anlass, den eigenen Einsatz von „Datensammelstellen“ in sozialen Netzwerken oder auf andere Weise (z.B. auch WhatsApp) zu überdenken. Die Unternehmen, als Kunden der Datensammler haben nämlich plötzlich als Verantwortliche ein eigenes Interesse daran, genau zu erfahren, welche Daten von wem gesammelt werden und was mit diesen Daten passiert. Erhalten sie diesbezüglich keine Information von den Mitverantwortlichen, haben sie es in der Hand, ihre Seiten zu schließen und könnten damit den großen Anbietern ihre Geschäftsgrundlage mit dem Datenhandel entziehen. Als Vertragspartner können, nein, müssen die Unternehmen von den Anbietern mehr Transparenz verlangen, wie mit den gesammelten Daten umgegangen wird. Nicht zuletzt sind sie als Verantwortliche dazu verpflichtet, die Besucher ihrer Webseiten entsprechend der DSGVO zu informieren, was sie nur dann können, wenn sie selbst wissen, was mit den Daten passiert.

Insgesamt sollte in dem EuGH Urteil damit keine Bedrohung gesehen werden, sondern vielmehr eine Chance für die Unternehmen. Ihre Auffassung und ihre datenschutzrechtlichen Belange könnten künftig im Rahmen der Vertragsgestaltung mit den „Großen“ eher Beachtung finden. Facebook, WhatsApp & Co. könnten durch die Entscheidung des EuGH gezwungen sein, die Verarbeitung personenbezogener Daten transparenter zu gestalten und es damit auch ihren Kunden nun endlich ermöglichen, ihrer datenschutzrechtlichen Verantwortung nachzukommen, denn gemäß dem ULD bedeutet die Entscheidung des EuGH „dass zwischen [den Unternehmen] und Facebook geklärt sein muss, welche Datenschutzpflichten sie selbst zu erfüllen haben und für welche Facebook zuständig ist. Dies gilt insbesondere für die Informationspflichten“. Damit sollten die Anbieter der Sozialen Netzwerke den Unternehmen, wenn sie diese als Kunden nicht verlieren möchten, auch im Bereich Datenschutz nun weit entgegenkommen.

C. Lürmann
Rechtsanwältin
Consultant Datenschutz

Cookies sind kurze Textinformationen, die beim Besuch von Webseiten auf dem PC oder Smartphone platziert werden, um beispielsweise Einstellungen der Internetseiten, den Login-Status oder den Inhalt des Einkaufswagens in Online-Shops zu speichern. Diese sogenannten funktionalen Cookies sind in der Regel durch das berechtigte Interesse des Webseiten-Betreibers rechtlich abgedeckt.

Daneben gibt es Tracking-Cookies, die Betreibern von Webseiten dazu dienen, Benutzerprofile zu erstellen. Datenschutzrechtlich waren Tracking Cookies bereits relevant. Gemäß 15 Abs. 3 Telemediengesetz (TMG) waren Nutzer nach dem Opt-Out-Prinzip lediglich über ihr Widerspruchsrecht zu informieren. In der Regel wurde dies durch einen Datenschutzhinweis auf der Webseite oder durch das Einblenden eines Cookie-Banners beim Aufruf der Webseite umgesetzt.

Mit ihrem Positionspapier vom 26.04.2018 bewertet die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) die rechtliche Situation völlig neu. Die Wirksamkeit des Telemediengesetzes im Bereich des Datenschutzes wird darin klar hinter die DSGVO gestellt.

Die DSK formuliert im genannten Positionspapier im Hinblick auf Cookies Folgendes: „Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen (…) bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.“

Das Positionspapier in Gänze können Sie unter folgendem Link einsehen: https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Technik/Inhalt/TechnikundOrganisation/Inhalt/Zur-Anwendbarkeit-des-TMG-fuer-nicht-oeffentliche-Stellen-ab-dem-25_-Mai-2018/Positionsbestimmung-TMG.pdf

Daher gilt nun bereits ab 25.05.2018 und nicht erst mit Einführung der für das Jahr 2019 erwarteten neuen ePrivacy-Verordnung, dass erst durch einen aktiven Klick des Webseitenbesuchers auf ein entsprechendes Feld im Banner („Ich stimme zu“) sämtliche Cookies aktiviert werden. Webseiten sollten also dringend auf technisch notwendige Cookies reduziert werden, für die es ein berechtigtes Interesse geben kann. Für alle anderen Cookies muss die ausdrückliche und aktive Einwilligung durch den Webseiten-Besucher erteilt werden.

L. Fuchs
Beraterin für Datenschutz

Der Einsatz des Messenger-Dienstes WhatsApp im Unternehmen wird immer beliebter, ist es doch ein bequemes und günstiges Kommunikationsmittel.

Jedes Unternehmen (= Verantwortlicher), das veranlasst oder zulässt, dass seine Mitarbeiter mittels WhatsApp personenbezogene Daten verarbeiten, für die das Unternehmen verantwortlich ist (z.B. Beschäftigtendaten, Kontaktdaten von Geschäftspartnern), muss sicherstellen, dass dabei die Vorgaben aus der Datenschutzgrundverordnung (DSGVO) eingehalten werden.

Wenn die Mitarbeiter den Messenger-Dienst WhatsApp über ihre dienstlichen Smartphones nutzen, wird „automatisch das lokal hinterlegte Adressbuch des [Mitarbeiters] mit ausgelesen und alle diese Kontaktdaten ungefragt“ an die WhatsApp Inc. (= Anbieter des Messenger-Dienstes) übermittelt und auf deren Servern, die sich u.a. in den USA befinden, gespeichert (vgl. Thüringer Landesbeauftragter für Datenschutz und Informationsfreiheit: 3. Tätigkeitsbericht Datenschutz: Nicht-öffentlicher Bereich, 2016/2017, S. 375, abrufbar unter https://tlfdi.de/mam/tlfdi/presse/3._tb_nicht-oeff._webversion_tlfdi.pdf). Zusätzlich werdenMeta-Daten (IP-Adresse, Geräte-ID, Zeitpunkt usw.)“, die anfallen, wenn der Mitarbeiter mit seinen Kommunikationspartnern chattet, an die WhatsApp Inc. übermittelt, wobei „deren weitere Nutzung völlig unklar“ sei (vgl. Thüringer Landesbeauftragter für Datenschutz und Informationsfreiheit: 3. Tätigkeitsbericht Datenschutz, a.a.O., S. 376). Auch die ausgetauschten Textnachrichten und Bilder werden vom Anbieter erhoben und gespeichert, sofern die Ende-zu-Ende-Verschlüsselung nicht genutzt wird oder werden kann.

Darüber hinaus konnte nur durch eine Anordnung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit verhindert werden, dass diese Daten an die Facebook Inc. übermittelt wurden, nachdem diese 2014 die WhatsApp Inc. übernahm (vgl. https://www.datenschutz-hamburg.de/news/detail/article/oberverwaltungsgericht-bestaetigt-verbot-des-datenaustauschs-zwischen-whatsapp-und-facebook.html?tx_ttnews%5BbackPid%5D=1&cHash=d9c26b0f5befd174c7b50a4870037136).

Möchte ein Unternehmen also den Messenger-Dienst WhatsApp einsetzen, müsste es die damit verbundenen Datenübermittlungen an Dritte (u.a. WhatsApp Inc.) sowie in Drittstaaten ohne angemessenes Datenschutzniveau (u.a. USA) absichern und die betroffenen Personen, d.h. die Mitarbeiter, die WhatsApp nutzen (müssen), deren Kommunikationspartner sowie diejenigen Personen, deren Kontaktdaten sich im Adressbuch des Smartphones des Mitarbeiters befinden, vollständig i.S.v. Art. 13, 14 DSGVO informieren.

Und das dürfte dem Unternehmen nach derzeitigem Kenntnisstand kaum möglich sein.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Mit Art. 3 Abs. 2 DSGVO tritt das Marktortprinzip in Kraft. Damit gilt die Datenschutzgrundverordnung (DSGVO) zwingend auch für jedes außereuropäische Unternehmen, wenn es Waren und Dienstleistungen betroffenen Personen innerhalb der EU anbietet. Die Zahlung eines Entgelts spielt dabei keine Rolle. Daher fallen auch Anbieter Sozialer Netzwerke (= Plattformbetreiber) hierunter (vgl. unter https://www.lda.bayern.de/media/dsk_kpnr_7_marktortprinzip.pdf).

Bisher ist unklar, inwieweit neben den Plattformbetreibern auch Unternehmen und Behörden (= Inhalteanbieter), die sich auf diesen Plattformen präsentieren und hierüber Inhalte anbieten, als Verantwortliche i.S.v. Art. 4 Nr. 7 DSGVO hinsichtlich der damit einhergehenden Datenverarbeitung anzusehen sind.

Die deutschen Aufsichtsbehörden haben bisher zumindest für öffentliche Stellen eine "datenschutzrechtliche Mitverantwortung" angenommen (vgl. unter https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2017/11/2017.11.02._Richtlinie-zur-Nutzung-sozialer-Netzwerke-durch-%C3%B6ff.-Stellen.pdf#). Denn auch die Inhalteanbieter leisten „einen wesentlichen Beitrag zur Realisierung des Geschäftsmodels" der Plattformbetreiber (vgl. unter https://www.datenschutzzentrum.de/artikel/983-.html).

Das Bundesverwaltungsgericht legte am 25.02.2016 dem EuGH in einem Verfahren, bei dem die Aufsichtsbehörde in Schleswig-Holstein beteiligt ist, u.a. die Frage zur diesbezüglichen datenschutzrechtlichen Verantwortung vor (vgl. unter https://www.datenschutzzentrum.de/artikel/1013-.html).

Der Generalanwalt hat in seinen Schlussanträgen zu dieser Rechtssache am 24.10.2017 festgestellt (vgl. unter https://www.datenschutzzentrum.de/artikel/1171-EuGH-Generalanwalt-Keine-Verantwortungsluecken-im-Datenschutz-bei-dem-Betrieb-von-Facebook-Fanpages.html), dass auch ein Inhalteanbieter, der solche Plattformen Sozialer Netzwerke nutzt, sich dabei nicht einfach „seinen Verpflichtungen im Bereich des Schutzes personenbezogener Daten (…) entziehen“ darf. Dies solle auch dann gelten, wenn der Inhalteanbieter selbst „keinen Zugang zu den Daten hat“ und auch die „Geschäftsbedingungen im Vorhinein vom [Plattformbetreiber] vorbereitet werden und nicht verhandelbar sind“.

Folgt der EuGH dieser Einschätzung, dann werden sich die Inhalteanbieter die Datenverarbeitungen durch die Plattformbetreiber, die in den wenigsten Fällen datenschutzrechtlichen Vorgaben entsprechen (so hatte bspw. die französische Aufsichtsbehörde im Mai 2017 ein Bußgeld gegen Facebook verhängt, https://www.cnil.fr/en/facebook-sanctioned-several-breaches-french-data-protection-act), zurechnen lassen müssen.

Angesichts der Bußgelder, die sich durch die Datenschutzgrundverordnung (DSGVO) drastisch erhöhen, würden Unternehmen mit der Nutzung solcher Plattformen ein hohes Risiko eingehen, wenn sie mit dem Plattformbetreiber als „gemeinsam für die Verarbeitung Verantwortliche“ auftreten. Daher bliebe wohl am Ende nur die Möglichkeit, sich gegen die Nutzung solcher Plattformen zu entscheiden, sofern die Plattformbetreiber ihre Datenverarbeitungen nicht an gesetzliche Vorgaben anpassen.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Wohnungsmangel ist v.a. in vielen großen Städten Realität. Immobilienmakler können daher unter einer Vielzahl von Interessenten auswählen, von denen sie eine Menge personenbezogener Daten anfordern (z.B. Namensangaben, Geburtsdatum, Kontaktdaten, Anschrift, Familienstand, Angaben zum bestehenden Arbeitsverhältnis), u.a. auch sensible Daten, wie Personalausweisdaten sowie Angaben zu Vermögensverhältnissen (z.B. Lohn-und Gehaltsnachweise, Schufa-Auskunft).

Der Datenschutzgrundsatz der Datenminimierung ist für die meisten Immobilienmakler dabei anscheinend kein Thema. So hat das Bayerische Landesamt für Datenschutzaufsicht in einer Prüfaktion bei 86 Immobilienmaklern, veranlasst durch die anhaltenden Beschwerden betroffener Personen, festgestellt, dass „bei fast allen geprüften Maklern (…) erheblicher Handlungsbedarf bezüglich des Umfangs der erhobenen personenbezogenen Daten“ besteht (siehe Tätigkeitsbericht 2015/2016, S. 22, abrufbar unter https://www.lda.bayern.de/media/baylda_report_07.pdf).

Über die Kontakt- und Selbstauskunftsformulare müssen die Interessenten oftmals ihre Daten in vollem Umfang preisgeben, bevor konkrete vertragliche Verhandlungen überhaupt stattfinden – nach dem Motto, wer sich nicht transparent macht, bekommt schon gar keinen Besichtigungstermin. Insbesondere die Anforderung von Personalausweiskopien wird hierbei von den Aufsichtsbehörden bemängelt, zumal eine automatisierte Speicherung der Ausweisdaten bereits nach dem PAuswG unzulässig ist. In Kombination mit Defiziten bei der Datensicherheit und Datenlöschung drohen der Immobilien-Branche empfindliche Geldbußen ab dem 25.05.2018, wenn die Datenschutzgrundverordnung (DSGVO) verbindlich wird. Daher sollten auch Immobilienmakler die verbleibende Zeit nutzen, ihre Prozesse zur Datenerhebung und -verarbeitung an datenschutzrechtliche und datensicherheitstechnische Vorgaben anzupassen.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Am 26.07.2017 hatten wir darüber berichtet, dass das geplante Fluggastdaten-Abkommen der EU mit Kanada nach einem Gutachten des EuGH nicht mit den Grundsätzen der Europäischen Grundrechtecharta zu vereinbaren ist (das Gutachten 1/15 des EuGH vom 26.07.2017 ist abrufbar hier.).

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat in ihrer Entschließung vom 09.11.2017 an die jeweils zuständigen Gesetzgeber appelliert, die bestehenden Instrumente der Verwendung von Fluggastdaten (PNR-Daten) zur Abwehr terroristischer Straftaten und schwerer Kriminalität hinsichtlich der Aussagen im Gutachten des EuGH zu überprüfen und entsprechend „nachzubessern“ (die Entschließung ist abrufbar hier.)

Zwar sei die Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität „eine dem Gemeinwohl dienende Zielsetzung der Union (…), die auch schwere Eingriffe rechtfertigen kann“, so dass die „Übermittlung der PNR-Daten (…) und ihre anschließende Verarbeitung geeignet sind, die Verwirklichung des (…) verfolgten Ziels des Schutzes der öffentlichen Sicherheit zu gewährleisten“. Dennoch sei es nicht erforderlich, besondere Kategorien personenbezogener Daten oder solche, die die Rekonstruktion eines solchen Datums zulassen, zu verarbeiten. Zudem muss die Speicherdauer der PNR-Daten sämtlicher Fluggäste auf das absolut Notwendige beschränkt werden - eine anlasslose Vorratsspeicherung von Reisedaten einschließlich sensibler Daten ist nach wie vor grundrechtswidrig.

Zu den PNR-Instrumenten gehören neben dem geplanten Fluggastdaten-Abkommen der EU mit Kanada ebenso das deutsche Gesetz über die Verarbeitung von Fluggastdaten zur Umsetzung der Richtlinie (EU) 2016/681 (FlugDaG) als auch das geplante Entry-Exit-System (EES), mit dem die Ein- und Ausreisedaten von Nicht-EU-Staatsangehörigen an den Außengrenzen der EU-Mitgliedstaaten erfasst werden, sowie das EU-weite Reiseinformations- und -genehmigungssystem (ETIAS) für die Sicherheitsüberprüfung von nicht visumpflichtigen Personen vor ihrer Einreise in die EU.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

In seiner Pressemitteilung vom 04.10.2017 hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) klargestellt, dass das Profiling der Webseitenbesucher und Facebook-Nutzer mit Hilfe des Trackingverfahrens ‚Facebook Custom Audience‘ nur mit Einwilligung der betroffenen Personen möglich ist (die Pressemitteilung ist abrufbar unter https://www.lda.bayern.de/media/pm2017_07.pdf).

Das Marketing-Werkzeug ‚Facebook Custom Audience‘ kann durch Unternehmen auf zwei verschiedene Arten genutzt werden: Zum einen können Listen mit personenbezogenen Kundendaten, wie z.B. E-Mail-Adressen, an Facebook Inc. übermittelt werden. Facebook Inc. gleicht diese Daten dann wiederum mit ihren Nutzerkonten ab, um so dem Unternehmen eine zielgruppengenaue Werbeaktion auf der Facebook-Plattform zu ermöglichen. Zum anderen kann ‚Facebook Custom Audience‘ über ein Pixel in die Webseite eingebunden werden, um die Internetaktivitäten der Webseitenbesucher zu tracken und diese Informationen direkt an Facebook Inc. weiterzuleiten, damit dem Unternehmen auch hier wieder eine zielgruppengenaue Werbeaktion auf der Facebook-Plattform möglich wird. Auch bei diesem Verfahren werden personenbezogene Daten an Facebook Inc. übermittelt.

Obwohl Unternehmen in beiden Fällen personenbezogene Daten (u.a. Name, E-Mail-Adresse, Internetaktivitäten) an einen Dritten (= Facebook Inc.), zudem in einen Drittstaat, zu Werbezwecken übermitteln, stellt die Aufsichtsbehörde fest, dass ‚Facebook Custom Audience‘ oftmals nicht in datenschutzrechtlich zulässiger Weise eingesetzt wird, entweder weil Unternehmen keine Ahnung haben, wie diese Trackingverfahren funktionieren, oder sich keine Gedanken darüber machen, welche Vorgaben eigentlich für eine solche Datenverarbeitung gelten (-> Art. 6 Abs. 1, Art. 44 ff, Art. 13 DSGVO, § 7 UWG).

Daher gibt das BayLDA den verantwortlichen Unternehmen in seiner Pressemitteilung Vorgaben an die Hand. Die Aufsichtsbehörde weist zudem darauf hin, dass der Einsatz von ,Facebook Custom Audience‘ zukünftig Gegenstand von Prüfaktionen sein wird und Unternehmen, die dieses Produkt in unzulässiger Weise einsetzen, mit Bußgeldern rechnen müssen: „Unternehmen, die (…) nicht wissen, wie solche Werbetools tatsächlich funktionieren, können auch ihre Nutzer nicht richtig informieren. Wer das nicht kann, darf eben solche Tools nicht einsetzen. (…) Adressat (…) eines Bußgeldbescheides [ist] nicht Facebook, sondern das jeweilige Unternehmen, das dieses Werbemittel unzulässig einsetzt.“

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Im Kontext des Safe Harbor-Urteils des EuGH vom 06.10.2015 stellten die Aufsichtsbehörden ebenso die Zulässigkeit des alternativen Rechtsinstruments der Standardvertragsklauseln für Datenübermittlungen in die USA in Frage. Da die derzeitige Gesetzeslage in den USA den Sicherheitsbehörden eine grundrechtswidrige Massenüberwachung erlaube, kann der Datenimporteur eben gerade nicht garantieren, dass er seines Wissens keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs und die Einhaltung seiner vertraglichen Pflichten unmöglich machen bzw. sich nachteilig auf die Garantien und Pflichten auswirken, die die Klauseln bieten sollen (vgl. Klausel 5 der Standardvertragsklauseln).

Die Aufsichtsbehörden haben daher gemäß den Beschlüssen der EU-Kommission, die im Annex die Standardvertragsklauseln enthalten, die Möglichkeit, Datenübermittlungen in die USA auf Grundlage von Standardvertragsklauseln per verwaltungsrechtlicher Anordnung zu verbieten (vgl. Art. 4 Abs. 1 lit. a) des Beschlusses 2010/87/EU). Max Schrems hatte die irische Aufsichtsbehörde mittels einer Beschwerde darauf verwiesen.

Daraufhin hatte die Aufsichtsbehörde die rechtliche Prüfung der Wirksamkeit der Standardvertragsklauseln an den irischen High Court weitergeleitet. Dieser legte die Frage zur Gültigkeit der Standardvertragsklauseln als Grundlage für Datenübermittlungen in Drittstaaten dem EuGH zur Entscheidung vor.

Es bleibt abzuwarten, wie das Urteil des EuGHs ausfallen wird. Sollte er entscheiden, dass eine Datenübermittlung nicht rechtssicher auf der Grundlage der Standardvertragsklauseln möglich ist, könnte dies die Beauftragung von Dienstleistern in den USA aufgrund der damit verbundenen Datenübermittlungen erheblich erschweren. Denn bei weitem nicht alle US-Unternehmen sind Privacy Shield-zertifiziert.

Insbesondere, wäre dann zu klären, ob die Klauseln dennoch einbezogen werden können, wenn aus den USA zwar auf Daten zugegriffen wird, die Daten dort selbst aber nicht physisch gespeichert werden, sondern in der EU verbleiben (z.B. bei Fernwartungsdienstleistungen). Ein US-Berufungsgericht urteilte unlängst, dass Unternehmen den amerikanischen Sicherheitsbehörden auf deren Anforderung hin den Zugang zu Servern in der EU verweigern dürfen, und hatte damit die Gesetzeslage in den USA etwas abgemildert.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Am 6. Juli 2017 hat das Verwaltungsgericht (VG) Karlsruhe in seinem Urteil eine Verfügung des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) aufgehoben (VG Karlsruhe Urteil vom 6.7.2017, 10 K 7698/16).

Der Anfechtungsklage war die Verfügung des LfDI in Form eines Verwaltungsakts gegen eine Auskunftei vorangegangen, ihr Löschkonzept entsprechend der Datenschutzgrundverordnung (DSGVO) anzupassen. Die Auskunftei sollte personenbezogene Daten, die sie nach dem 24.5.2018 unter Einbeziehung von Informationen über Forderungen für Bonitätsauskünfte speichert, spätestens nach Ablauf von drei Jahren, beginnend mit dem Zeitpunkt der Fälligkeit der Forderung, löschen, es sei denn, dass die betroffene Person zu diesem Zeitpunkt zahlungsunfähig oder zahlungsunwillig gewesen sei.

Die Auskunftei hatte daraufhin erklärt, sie werde ihr Löschkonzept bis zum 25.05.2018 entsprechend der DSGVO überarbeiten. Dabei wolle sie jedoch die noch ausstehende Absprache hierzu zwischen dem Düsseldorfer Kreis und dem Verband für Wirtschaftsauskunfteien abwarten.

Daraufhin erließ der LfDI einen entsprechenden Verwaltungsakt auf Grundlage von § 38 Abs. 5 S. 1 BDSG i.V.m. Erwägungsgrund 39 und Art. 58 Abs. 2 lit. e) DSGVO, der die Auskunftei dazu verpflichten sollte, ihr Löschkonzept auf oben erläuterte Weise bereits jetzt anzupassen. Zwar läge momentan noch kein Verstoß gegen datenschutzrechtliche Vorschriften vor, ein solcher sei jedoch ab dem 25.05.2018 „schon deutlich vorgezeichnet“, da die Auskunftei nicht verbindlich zugesichert hätte, ihre Löschpraxis entsprechend zu ändern.

Das VG Karlsruhe stellte fest, dass es für den Erlass eines solchen Verwaltungsaktes bereits an einer Ermächtigungsgrundlage mangele. Weder bestünden derzeit Datenschutz-Verstöße noch wären entsprechende „Missstände (…) nach dem 24.05.2018 zu erwarten.“ Die von der Aufsichtsbehörde vorgegebene Regellöschfrist ergebe sich weder aus der DSGVO noch aus dem BDSG-Neu und entsprechend sei die „Prüf- und Löschpraxis“ der Auskunftei „noch völlig ungewiss“. Des Weiteren sei auch fraglich, ob aus dem Erwägungsgrund 39 „eine Rechtsgrundlage hergeleitet werden kann“. Auf jeden Fall durfte sich die Aufsichtsbehörde schon nicht auf Art. 58 Abs. 2 lit. e) DSGVO stützen, „da diese Vorschrift erst ab dem 25.05.2018 Gültigkeit beanspruchen wird (…).“

Darüber hinaus erfülle die Aufsichtsbehörde mit ihrer datenschutzrechtlichen Verfügung auch nicht die „Anforderungen an die Bestimmtheit eines Verwaltungsaktes.“

Dieses Urteil lässt somit den Schluss zu, dass die Aufsichtsbehörden die Verantwortlichen nicht dazu verpflichten können, die Vorgaben der Datenschutzgrundverordnung bereits im Vorhinein zu erfüllen. Dem Verantwortlichen wird damit eingeräumt, tatsächlich die gesamte Zeit bis zum Ablauf der Umsetzungsfrist nutzen zu können, um die Prozesse des Unternehmens inhaltlich und formal an die Datenschutzgrundverordnung anzupassen. Weiterhin kann aus dem Urteil auch geschlossen werden, dass die bisher etablierten Regellöschfristen anhand der DSGVO tatsächlich neu bewertet werden müssen.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Die technischen Möglichkeiten, miteinander zu kommunizieren, ohne dabei im gleichen Raum oder sogar im gleichen Land zu sein, nehmen in der heutigen Zeit immer stärker zu. Dabei ist die Videotelefonie eine jener Methoden, welche eine schnelle und dennoch auch persönliche Kommunikation ermöglichen.

Diese Möglichkeit nutzen Unternehmen bereits in vielen Bereichen. Insbesondere werden zunehmend Bewerbungsgespräche über den Online-Dienst Skype abgehalten, anstatt den potentiellen Kandidaten vor Ort zu empfangen. Dies erspart Arbeitgeber und Bewerbern Zeit und Kosten.

Zum Einsatz von Skype im Bewerberauswahlverfahren hat sich die Berliner Beauftragte für Datenschutz und Informationsfreiheit in ihrem aktuellen Jahresbericht geäußert. So werden bei einem Bewerbungsgespräch über den Online-Dienst Skype nicht nur die für die Entscheidung über die Begründung des Beschäftigungsverhältnisses erforderlichen personenbezogenen Daten verarbeitet, sondern darüber hinaus sowohl Bild- als auch Tonaufnahmen erhoben und etwaige Chatprotokolle sowie sonstige Nutzungsdaten für 90 Tage gespeichert. Gleichzeitig werden die Daten an die Microsoft Corporation und damit an einen Dritten übermittelt, womit ebenso eine Datenübermittlung in Drittstaaten verbunden ist. Die dabei notwendigen Einwilligungen der Bewerber für eine solche Datenverarbeitung lassen sich auch nicht wirksam einholen, da das Kriterium der Freiwilligkeit nur unzureichend erfüllt sei. Daher wird vom Einsatz des Online-Dienstes Skype abgeraten.

Leider wird dabei von der Aufsichtsbehörde unberücksichtigt gelassen, ob und wenn ja, welche Änderungen sich in dieser Bewertung ergäben, wenn Skype for Business eingesetzt und die Microsoft Corporation als Auftragsverarbeiter des Arbeitgebers tätig wird, ob durch deren Privacy Shield-Zertifizierung die Rechte der betroffenen Personen nicht doch ausreichend gewahrt und diese hinreichend informiert würden und unter welchen Voraussetzungen eine Einwilligung der Bewerber dennoch wirksam eingeholt werden könnte.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Abbinder Abmahnung Abmahnungen Abo-Falle ADCERT Angemessenheitsbeschluss Angriff Anklage Anwendbarkeit Anwendung Arbeitgeber Arbeitnehmer Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch Backup BAG BayDSG Bayerisches Datenschutzgesetz BDSG-Neu Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betroffenenrechte BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom Bonitätsprüfung Brexit Bundesarbeitsgericht Bußgeld Bußgelder BVG Cloud CNIL Compliance Cookie Custom Audience Cyber Dashcam Daten Datenlöschung Datenminimierung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung datenschutzkonform Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Deutsche Bahn Dienstleister Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO DSK dynamische IP-Adresse E-Mail e-Privacy-Verordnung eCall-Technologie EES EFAIL Einwilligung Einwilligungserklärung Einwilligungserklärungen Empfänger Entsorgung Erhebung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Parlament EuGH Europäische Union Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis FlugDaG Fluggastdaten Folgenabschätzung Foto Funkmäuse Funktastaturen Geldbörse Gemeinsam Verantwortliche Gesetz gegen den Unlauteren Wettbewerb Google Google Analytics hacken Hacker Home Office Immobilienmakler Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights interner Datenschutzbeauftragter Investition IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Sicherheit IT-Systeme Jin-hyok Joint Control Kanada Klagebefugnis Kontaktdaten Kontakte Konzern konzerninterner Datentransfer Kriminalität KUG Kundenbindung Kundenzufriedenheit Kunsturhebergesetz Lazarus Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Lösegeld Malware Markennamen Markenrecht Marktortprinzip Meldepflicht Meldescheine Meltdown Messenger Microsoft Misch-Account Mitarbeiter Mitbewerber MouseJack-Angriffe NIST Nordkorea Nutzungsbedingungen Öffnungsklauseln One Stop Shop Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Penetrationstest Personalausweiskopien personenbezogene Daten Personenbilder Persönlichkeitsrechte Pflichten Plattformbetreiber PNR-Daten PNR-Instrumente Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Privatsphäre Profiling Quantencomputer Ransomware reale Infrastruktur Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Regelungsaufträge Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management SamSam Sanktionen Schaden Schadprogramm Seitenbetreiber Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Skype Smartphone Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke Spectre Standardvertragsklauseln Supercomputer Risikolage Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telefonnummer Telemediendienst Telemediengesetz Telstra Security Report TKG TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe US-Regierung USA UWG Verantwortlicher Verantwortung Vereinbarung Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselungsverfahren Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Virus Vorteile WannaCry Webseite Webseiten Webtracking Webtrecking Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Widerruf Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zugangsdaten zulässig Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31