Home / Aktuelles & Termine / it.sec blog

Mit Art. 3 Abs. 2 DSGVO tritt das Marktortprinzip in Kraft. Damit gilt die Datenschutzgrundverordnung (DSGVO) zwingend auch für jedes außereuropäische Unternehmen, wenn es Waren und Dienstleistungen betroffenen Personen innerhalb der EU anbietet. Die Zahlung eines Entgelts spielt dabei keine Rolle. Daher fallen auch Anbieter Sozialer Netzwerke (= Plattformbetreiber) hierunter (vgl. unter https://www.lda.bayern.de/media/dsk_kpnr_7_marktortprinzip.pdf).

Bisher ist unklar, inwieweit neben den Plattformbetreibern auch Unternehmen und Behörden (= Inhalteanbieter), die sich auf diesen Plattformen präsentieren und hierüber Inhalte anbieten, als Verantwortliche i.S.v. Art. 4 Nr. 7 DSGVO hinsichtlich der damit einhergehenden Datenverarbeitung anzusehen sind.

Die deutschen Aufsichtsbehörden haben bisher zumindest für öffentliche Stellen eine "datenschutzrechtliche Mitverantwortung" angenommen (vgl. unter https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2017/11/2017.11.02._Richtlinie-zur-Nutzung-sozialer-Netzwerke-durch-%C3%B6ff.-Stellen.pdf#). Denn auch die Inhalteanbieter leisten „einen wesentlichen Beitrag zur Realisierung des Geschäftsmodels" der Plattformbetreiber (vgl. unter https://www.datenschutzzentrum.de/artikel/983-.html).

Das Bundesverwaltungsgericht legte am 25.02.2016 dem EuGH in einem Verfahren, bei dem die Aufsichtsbehörde in Schleswig-Holstein beteiligt ist, u.a. die Frage zur diesbezüglichen datenschutzrechtlichen Verantwortung vor (vgl. unter https://www.datenschutzzentrum.de/artikel/1013-.html).

Der Generalanwalt hat in seinen Schlussanträgen zu dieser Rechtssache am 24.10.2017 festgestellt (vgl. unter https://www.datenschutzzentrum.de/artikel/1171-EuGH-Generalanwalt-Keine-Verantwortungsluecken-im-Datenschutz-bei-dem-Betrieb-von-Facebook-Fanpages.html), dass auch ein Inhalteanbieter, der solche Plattformen Sozialer Netzwerke nutzt, sich dabei nicht einfach „seinen Verpflichtungen im Bereich des Schutzes personenbezogener Daten (…) entziehen“ darf. Dies solle auch dann gelten, wenn der Inhalteanbieter selbst „keinen Zugang zu den Daten hat“ und auch die „Geschäftsbedingungen im Vorhinein vom [Plattformbetreiber] vorbereitet werden und nicht verhandelbar sind“.

Folgt der EuGH dieser Einschätzung, dann werden sich die Inhalteanbieter die Datenverarbeitungen durch die Plattformbetreiber, die in den wenigsten Fällen datenschutzrechtlichen Vorgaben entsprechen (so hatte bspw. die französische Aufsichtsbehörde im Mai 2017 ein Bußgeld gegen Facebook verhängt, https://www.cnil.fr/en/facebook-sanctioned-several-breaches-french-data-protection-act), zurechnen lassen müssen.

Angesichts der Bußgelder, die sich durch die Datenschutzgrundverordnung (DSGVO) drastisch erhöhen, würden Unternehmen mit der Nutzung solcher Plattformen ein hohes Risiko eingehen, wenn sie mit dem Plattformbetreiber als „gemeinsam für die Verarbeitung Verantwortliche“ auftreten. Daher bliebe wohl am Ende nur die Möglichkeit, sich gegen die Nutzung solcher Plattformen zu entscheiden, sofern die Plattformbetreiber ihre Datenverarbeitungen nicht an gesetzliche Vorgaben anpassen.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Am 26.07.2017 hatten wir darüber berichtet, dass das geplante Fluggastdaten-Abkommen der EU mit Kanada nach einem Gutachten des EuGH nicht mit den Grundsätzen der Europäischen Grundrechtecharta zu vereinbaren ist (das Gutachten 1/15 des EuGH vom 26.07.2017 ist abrufbar hier.).

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat in ihrer Entschließung vom 09.11.2017 an die jeweils zuständigen Gesetzgeber appelliert, die bestehenden Instrumente der Verwendung von Fluggastdaten (PNR-Daten) zur Abwehr terroristischer Straftaten und schwerer Kriminalität hinsichtlich der Aussagen im Gutachten des EuGH zu überprüfen und entsprechend „nachzubessern“ (die Entschließung ist abrufbar hier.)

Zwar sei die Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität „eine dem Gemeinwohl dienende Zielsetzung der Union (…), die auch schwere Eingriffe rechtfertigen kann“, so dass die „Übermittlung der PNR-Daten (…) und ihre anschließende Verarbeitung geeignet sind, die Verwirklichung des (…) verfolgten Ziels des Schutzes der öffentlichen Sicherheit zu gewährleisten“. Dennoch sei es nicht erforderlich, besondere Kategorien personenbezogener Daten oder solche, die die Rekonstruktion eines solchen Datums zulassen, zu verarbeiten. Zudem muss die Speicherdauer der PNR-Daten sämtlicher Fluggäste auf das absolut Notwendige beschränkt werden - eine anlasslose Vorratsspeicherung von Reisedaten einschließlich sensibler Daten ist nach wie vor grundrechtswidrig.

Zu den PNR-Instrumenten gehören neben dem geplanten Fluggastdaten-Abkommen der EU mit Kanada ebenso das deutsche Gesetz über die Verarbeitung von Fluggastdaten zur Umsetzung der Richtlinie (EU) 2016/681 (FlugDaG) als auch das geplante Entry-Exit-System (EES), mit dem die Ein- und Ausreisedaten von Nicht-EU-Staatsangehörigen an den Außengrenzen der EU-Mitgliedstaaten erfasst werden, sowie das EU-weite Reiseinformations- und -genehmigungssystem (ETIAS) für die Sicherheitsüberprüfung von nicht visumpflichtigen Personen vor ihrer Einreise in die EU.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Im Kontext des Safe Harbor-Urteils des EuGH vom 06.10.2015 stellten die Aufsichtsbehörden ebenso die Zulässigkeit des alternativen Rechtsinstruments der Standardvertragsklauseln für Datenübermittlungen in die USA in Frage. Da die derzeitige Gesetzeslage in den USA den Sicherheitsbehörden eine grundrechtswidrige Massenüberwachung erlaube, kann der Datenimporteur eben gerade nicht garantieren, dass er seines Wissens keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs und die Einhaltung seiner vertraglichen Pflichten unmöglich machen bzw. sich nachteilig auf die Garantien und Pflichten auswirken, die die Klauseln bieten sollen (vgl. Klausel 5 der Standardvertragsklauseln).

Die Aufsichtsbehörden haben daher gemäß den Beschlüssen der EU-Kommission, die im Annex die Standardvertragsklauseln enthalten, die Möglichkeit, Datenübermittlungen in die USA auf Grundlage von Standardvertragsklauseln per verwaltungsrechtlicher Anordnung zu verbieten (vgl. Art. 4 Abs. 1 lit. a) des Beschlusses 2010/87/EU). Max Schrems hatte die irische Aufsichtsbehörde mittels einer Beschwerde darauf verwiesen.

Daraufhin hatte die Aufsichtsbehörde die rechtliche Prüfung der Wirksamkeit der Standardvertragsklauseln an den irischen High Court weitergeleitet. Dieser legte die Frage zur Gültigkeit der Standardvertragsklauseln als Grundlage für Datenübermittlungen in Drittstaaten dem EuGH zur Entscheidung vor.

Es bleibt abzuwarten, wie das Urteil des EuGHs ausfallen wird. Sollte er entscheiden, dass eine Datenübermittlung nicht rechtssicher auf der Grundlage der Standardvertragsklauseln möglich ist, könnte dies die Beauftragung von Dienstleistern in den USA aufgrund der damit verbundenen Datenübermittlungen erheblich erschweren. Denn bei weitem nicht alle US-Unternehmen sind Privacy Shield-zertifiziert.

Insbesondere, wäre dann zu klären, ob die Klauseln dennoch einbezogen werden können, wenn aus den USA zwar auf Daten zugegriffen wird, die Daten dort selbst aber nicht physisch gespeichert werden, sondern in der EU verbleiben (z.B. bei Fernwartungsdienstleistungen). Ein US-Berufungsgericht urteilte unlängst, dass Unternehmen den amerikanischen Sicherheitsbehörden auf deren Anforderung hin den Zugang zu Servern in der EU verweigern dürfen, und hatte damit die Gesetzeslage in den USA etwas abgemildert.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Das zwischen der EU und Kanada geplante Abkommen zur Übermittlung von Fluggastdaten ist nach heutigem Urteil des EuGHs nicht mit den Grundsätzen der Datenschutzgrundverordnung (DSGVO) zu vereinbaren.

Das Abkommen sollte festlegen, dass sensible Daten der Fluggäste (Kreditkartendaten, Essenswünsche, Angaben zum Gepäck und Kommentare des Flugpersonals) ohne Anlass oder Verdacht für einen Zeitraum von 5 Jahren gespeichert und an Kanada übermittelt werden dürfen. Darüber hinaus hätte Kanada die Daten ebenfalls speichern, verarbeiten und sogar an andere Drittländer übermitteln dürfen.

Eine solche Regelung hätte die angestrebte Datenhoheit einer jeden betroffenen Person in hohem Maße beschnitten, wenn nicht ganz ausgesetzt.

Sofern die EU und Kanada weiterhin ein solches Abkommen anstreben, wird eine umfangreiche Anpassung der enthaltenen Regelungen notwendig. Es ist jedoch fraglich, ob eine Anpassung wirklich möglich ist. Denn um mit der DSGVO konform zu sein, müssen alle Grundsätze beachtet werden. Damit würde wohl aber der angestrebte Zweck des ursprünglichen Abkommens kaum noch erreicht werden können.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

ADCERT Angemessenheitsbeschluss Anwendbarkeit Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Audit Aufsichtsbehörde Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch BAG BDSG-Neu Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betrieblicher E-Mail-Account betrieblicher Internetzugang Betroffenenrechte BfDI BGH biometrische Daten Biometrische und genetische Daten Bitkom Bonitätsprüfung Brexit Bundesarbeitsgericht Bußgeld BVG Cloud CNIL Compliance Cookie Dashcam Datenlöschung Datenminimierung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Schulungen Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO DSK dynamische IP-Adresse e-Privacy-Verordnung eCall-Technologie EES EFAIL Einwilligung Einwilligungserklärung Entsorgung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU-Datenschutz-Grundverordnung EuGH Facebook Fahrzeugdaten Fahrzeuge Fernmeldegeheimnis FlugDaG Fluggastdaten Funkmäuse Funktastaturen Gemeinsam Verantwortliche Google Google Analytics Home Office Immobilienmakler Informationspflichten Informationssicherheit Inhalteanbieter IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Sicherheit Joint Control Kanada Konzern konzerninterner Datentransfer Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Marktortprinzip Meldepflicht Meldescheine Meltdown Microsoft MouseJack-Angriffe NIST One Stop Shop Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Personalausweiskopien personenbezogene Daten Plattformbetreiber PNR-Daten PNR-Instrumente Privacy by Default Privacy by Design Privacy Shield Privatnutzung Privatnutzungsverbot Profiling Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte der betroffenen Person Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Siegel Skype Software-Entwicklung Sony PSN Soziale Netzwerke Spectre Standardvertragsklauseln Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telemediendienst Telemediengesetz TKG TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe USA Verantwortlicher Vereinbarung Vernichtung von Datenträgern Verordnung (EU) 2015/758 Verschlüsselte E-Mails Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Vorteile Webseite Webseiten Webtracking Webtrecking Werbung WhatsApp Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 42a BDSG § 42b BDSG § 88 TKG

An dieser Stelle wollen wir von Zeit zu Zeit unsere Web-Logs ("blogs") pflegen und unsere Meinung zu bestimmten Themen kundtun.

Die einzelnen Posts stellen jeweils die Meinung des Autors dar und nicht zwangsläufig jene der it.sec. Die Inhalte sind stellen keine Beratung dar und übernehmen für die Inhalte keine Haftung.

Tags

Mo Di Mi Do Fr Sa So
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31