Reaktion von Microsoft auf die Empfehlungen des Europäischen Datenschutzausschusses in Folge des „Schrems II“-Urteils des EuGH
Seit der EuGH in seinem „Schrems II"-Urteil das „Privacy Shield“ zwischen der EU und den USA gekippt hat, kann eine Datenübermittlung in die USA nicht mehr hierauf gestützt werden. Wir haben hierüber bereits berichtet (siehe Blog-Beitrag "EU-US-Datenschutzvereinbarung „Privacy Shield“ ungültig").
Einzig praktikable Möglichkeit zur Absicherung der Datenübermittlung in die USA ist derzeit der Abschluss der EU-Standardvertragsklauseln mit dem Datenimporteur. Allerdings müssen hierbei zusätzlich weitere Maßnahmen ergriffen werden, um ein Datenschutzniveau, das dem innerhalb des Europäischen Wirtschaftsraums entspricht, sicherzustellen. In diesem Zusammenhang hat der Europäische Datenschutzausschuss am 11.11.2020 Empfehlungen für Transfer- und Überwachungsmaßnahmen im Rahmen des internationalen Datentransfers ausgesprochen.
Als Reaktion auf diese Empfehlungen hat Microsoft in einem Anhang zu den Standardvertragsklauseln („Additional Safeguards Addendum to Standard Contractual Clauses“ – abrufbar unter https://aka.ms/defendingyourdataterms) neue Datenschutzmaßnahmen festgelegt, die neben den bereits implementierten Maßnahmen zum Einsatz kommen sollen und nach Angaben von Microsoft die Empfehlungen des Europäischen Datenschutzausschusses sogar übersteigen:
- Microsoft verpflichtet sich dazu, jede Anfrage einer staatlichen Stelle nach Daten seiner Kunden anzufechten, wenn es dafür eine rechtliche Grundlage gibt.
- Microsoft gewährt Nutzern seiner Kunden, deren Daten aufgrund einer Anfrage einer staatlichen Stelle unter Verletzung der EU-Datenschutz-Grundverordnung (EU-DSGVO) von Microsoft offengelegt werden mussten, eine finanzielle Entschädigung.
Geltung nur für Unternehmenskunden und Kunden aus dem öffentlichen Sektor
Zu beachten ist, dass die neuen Maßnahmen nur für Unternehmenskunden und Kunden aus dem öffentlichen Sektor gelten sollen. Privatkunden sind demnach hiervon nicht erfasst.
Zumindest teilweise positive Rezeption durch die Aufsichtsbehörden
Zwar wird durch die neuen Datenschutzmaßnahmen von Microsoft die bei der Datenübermittlung in die USA problematische Möglichkeit des Zugriffs von amerikanischen Behörden auf personenbezogene Daten nicht verhindert. Dennoch werden sie zumindest von den bayerischen, baden-württembergischen und hessischen Aufsichtsbehörden honoriert, die die Bereitschaft von Microsoft, europäische Datenschutzstandards einzuhalten, und die dahingehende Anpassung der Verträge begrüßen.
Fazit
Da die neuen Maßnahmen von Microsoft zwar einen Schritt in die richtige Richtung darstellen, jedoch letztlich die Problematik des Drittlandtransfers nicht abschließend lösen, sind Unternehmen gut damit beraten, die sich bei der Verwendung von Microsoft-Produkten ergebenden Risiken im Rahmen einer Datenschutz-Folgenabschätzung (DSFA) abzuwägen.
Bettina Förster
Consultant für Datenschutz
In unserer heutigen Kommunikation sind Videokonferenzen nicht mehr wegzudenken. Deren Bedeutung hat sich durch die Corona-Krise noch weiter vergrößert. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat aus diesem Grund im Oktober 2020 eine Orientierungshilfe veröffentlicht, in der sie die datenschutzrechtlichen Anforderungen an die Durchführung von Videokonferenzen erläutert. Die wichtigsten Punkte werden im Folgenden zusammengefasst.
Der Verantwortliche hat verschiedene Möglichkeiten ein Videokonferenzsystem zu betreiben. Er kann das Videokonferenzsystem selbst betreiben, durch einen externen IT-Dienstleister betreiben lassen oder einen Online-Dienst nutzen.
Selbst betriebener Dienst
Aus datenschutzrechtlicher Sicht ist es am vorteilhaftesten das Videokonferenzsystem selbst zu betreiben, da der Verantwortliche dadurch selbst entscheiden kann, welche Software verwendet wird und welche Daten verarbeitet werden. Auch muss dann kein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abgeschlossen werden. Allerdings liegt es in diesem Fall am Verantwortlichen geeignete technische und organisatorische Maßnahmen zum Schutz der Daten zu ergreifen und das Videokonferenzsystem zu betreiben und zu warten, d.h. der Verantwortliche muss dazu sowohl in technischer als auch in personeller Sicht in der Lage sein.
Externer Dienstleister
Der Verantwortliche kann einen externen IT-Dienstleister zum Betrieb der Software beauftragen und mit diesem einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO schließen. Der Auftragsverarbeiter ist unter besonderer Berücksichtigung seiner Zuverlässigkeit und der Geeignetheit, der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählen. Hinsichtlich der Software ist zu prüfen, ob Datenabflüsse an den Hersteller oder Dritte erfolgen. Für die Datenabflüsse muss entweder eine Rechtsgrundlage bestehen oder sie müssen unterbunden werden.
Online Dienst
Der Verantwortliche kann schließlich auch bereits bestehende Online-Dienste nutzen. Auch in diesem Fall muss er einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abschließen. Bei der Auswahl des Anbieters muss der Verantwortliche insbesondere darauf achten, dass die Anforderungen der DSGVO eingehalten werden und geeignete technische und organisatorische Maßnahmen vorhanden sind.
Da viele Anbieter von Videokonferenzsystem die Daten in den USA verarbeiten, sind zusätzlich die Anforderungen der Art. 44 ff. DSGVO zu beachten. Eine Datenübermittlung in die USA kann seit der Ungültigkeitserklärung des Privacy Shield durch den EuGH nicht mehr auf dieses gestützt werden. Denkbar ist aber eine Verwendung von Standardvertragsklauseln und anderen vertraglichen Garantien, es müssen jedoch zusätzliche Maßnahmen ergriffen werden, um das gleiche Datenschutzniveau wie in den EU-Mitgliedsstaaten gewährleisten zu können. Es ist deshalb eine sorgfältige Prüfung vorzunehmen! Im Zweifel muss der Datenexport unterbleiben.
Außerdem muss der Verantwortliche die Software prüfen, z.B. auf Datenabflüsse und Zugriffsrechte, und ggf. Anpassungen vornehmen. Sollte der Anbieter Daten auch zu eigenen Zwecken oder Zwecken Dritter (z.B. zum Nutzerverhalten oder Tracking zu Werbezwecken) verarbeiten, ist für jede Offenlegung von personenbezogenen Daten eine Rechtsgrundlage erforderlich. Für diesen Fall ist außerdem eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO zu prüfen und ggf. eine entsprechende Vereinbarung abzuschließen.
Pflichten des Verantwortlichen
Der Verantwortliche hat bei der Nutzung von Videokonferenzsystem verschiedene Pflichten. Er muss insbesondere:
- seine Informationspflichten aus Art. 13, 14 DSGVO erfüllen und die Teilnehmer klar und eindeutig über die mit der Nutzung des Dienstes verbundenen Datenverarbeitungen informieren.
- Die Datenverarbeitungen nur bei Vorliegen einer Rechtsgrundlage vorzunehmen.
- die Betroffenenrechte gemäß Art. 15 bis 21 DSGVO gewährleisten.
- Auftragsverarbeitungsverträge nach Art. 28 DSGVO abschließen.
- die Veranstaltung der Videokonferenz in das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) aufnehmen.
- sorgfältig prüfen, ob Daten in Drittländer (insbesondere die USA) übermittelt werden dürfen. Hierbei müssen zusätzliche Maßnahmen ergriffen werden, um das gleiche Datenschutzniveau wie in den EU-Mitgliedsstaaten gewährleisten zu können.
Fazit
Prüfen Sie vor der Einführung eines Videokonferenzsystems daher sorgfältig, ob es datenschutzkonform ist und welche weiteren Anforderungen beachtet werden müssen.
Es ist außerdem empfehlenswert eine Richtlinie zur Durchführung von Videokonferenzen im Unternehmen zu implementieren, um einen reibungslosen Ablauf zu gewährleisten und die Mitarbeiter darin gleichzeitig aufzuklären und zu sensibilisieren.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz
Schrems II Urteil des EuGH
Nachdem der EuGH mit seinem Urteil vom 16. Juli 2020, Rechtssache C-311/18 — „Schrems II“ den EU – U.S. Privacy Shield für unwirksam erklärt hat, genügt die Teilnahme am U.S. Privacy Shield nicht mehr, um innerhalb der EU als datenschutzkonform zu gelten.
Schweizer Bundesbeauftragte für Datenschutz und Information (FDPIC) prüft Swiss- U.S. Privacy Shield
Zwar ist die Schweiz nicht Mitglied der EU und daher nicht an das Urteil des EuGH gebunden. Dennoch wurde der Swiss- U.S. Privacy Shield nun vor dem Hintergrund des EuGH Urteils neu bewertet. In seinem Positionspapier vom 08.09.2020 kommt der Schweizer Bundesbeauftragte für Datenschutz und Information (FDPIC) zu dem Schluss, dass auch der Swiss- U.S. Privacy Shield kein angemessenes Sicherheitsniveau für den Datenaustausch zwischen der Schweiz und der USA bietet.
Einschätzung desSchweizer Bundesbeauftragte für Datenschutz und Information (FDPIC)
Seit dem 11.01.2017 gilt die USA bei der Schweiz als Land mit „angemessenem Schutzniveau unter bestimmten Umständen“. Das bedeutet, dass Datentransfers bzgl. personenbezogener Daten zwischen der Schweiz und U.S. Unternehmen, welche sich für den Swiss- U.S. Privacy Shield zertifizieren haben lassen, als geschützt gelten.
Doch auch der Schweizer Bundesbeauftragte für Datenschutz und Information (FDPIC) bemängelt in dem Positionspapier vom 08.09.2020 unter anderem den Zugriff auf personenbezogene Daten durch die U.S. Behörden. Betroffene Personen aus der Schweiz haben demnach keine ausreichend durchsetzbaren Rechte in den USA. Dies gilt umso mehr, nachdem die Wirksamkeit des Ombudsmann- Prinzips, welches einen Rechtbehelf innerhalb der USA zusichern soll, mangels Transparenz nicht eingeschätzt werden kann. Zudem fehlen hinreichende Garantien der USA hinsichtlich der Beschränkung des Zugriffsrechts der U.S. Behörden auf personenbezogene Daten. Der Bundesbeauftragte für Datenschutz und Information (FDPIC) erklärt im Positionspapier weiter, dass ein solcher Eingriff durch U.S. Behörden in die Privatsphäre und die informationelle Selbstbestimmung der betroffenen Personen in der Schweiz vor diesem Hintergrund gegen die Grundsätze der rechtmäßigen Bearbeitung von personenbezogener Daten im Sinne des Schweizer Datenschutzgesetzes verstößt.
Hat die Einschätzung desSchweizer Bundesbeauftragte für Datenschutz und Information (FDPIC) Auswirkungen auf den Swiss- U.S. Privacy Shield?
Die Einschätzung des Schweizer Bundesbeauftragte für Datenschutz und Information (FDPIC) hat keinen direkten Einfluss auf die Anwendung des Swiss- U.S. Privacy Shield. Derzeit gibt es hierzu auch noch keine Rechtsprechung der Schweizer Gerichte. Es bleibt daher ungewiss, ob ein Zugriff der U.S. Behören auf personenbezogene Daten beim internationalen Datentransfers mit dem Schweizer Datenschutzgesetz konform ist.
Fazit
Zwar wurden im Positionspapier vom 08.09.2020 bereits Handlungsstrategien für betroffene Unternehmen veröffentlicht, wie zum Beispiel die Benutzung der EU Standarddatenschutzklauseln. Hierbei handelt es sich jedoch lediglich um eine Empfehlung und keine zwingend einzuhaltende Vorgabe.
Letztlich können sich Schweizer und U.S. Unternehmen daher derzeit noch weiterhin auf den Swiss- U.S. Privacy Shield berufen.
Laura Piater
Justiziarin
Consultant für Datenschutz
Mit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) wurde das Recht des Einzelnen manifestiert, dass seine personenbezogenen Daten zu einem, zu bestimmenden, Zeitpunkt wieder gelöscht werden müssen. Unterschieden wurde in Art. 17 DSGVO zwischen unveröffentlichten Daten (Abs. 1) und veröffentlichten Daten (Abs. 2).Grundgedanke der Regelung des Art. 17 Abs. 2 DSGVO war dabei, dass Informationen über Personen nur so lange öffentlich auffindbar sein sollen, wie diese auch benötigt werden. Es war ein Versuch den Ausspruch: „Das Internet vergisst nicht“ umzukehren und dem Verantwortlichen die Pflicht aufzuerlegen, einmal veröffentlichte Daten auch wieder zu „ent-öffentlichen“.
Sowohl selbstständig veröffentlichende Verantwortliche, insbesondere (Online-)Zeitungen oder auch Verbände und Unternehmen mittels Pressemitteilungen als auch Suchmaschinenbetreiber, die lediglich bereits online vorhandene Informationen darstellen, sind in diesem Zusammenhang besonders gefordert: Wann müssen Informationen über Personen gelöscht werden, welche Informationen über Personen dürfen nicht (mehr) angezeigt werden?
Rechtsprechung des Bundesgerichtshofs (BGH)
Mit seinem jüngsten Urteil hat der BGH nun die Grenzen des Rechts auf Vergessenwerdens aufgezeigt. Im Verfahren VI ZR 405/18 ging es darum, dass ein ehemaliger Geschäftsführer eines Verbands erreichen wollte, dass ein erschienener Artikel über finanzielle Unregelmäßigkeiten in der Ergebnisliste eines Internet-Suchdienstes nicht mit seinem Namen in Verbindung gebracht werden sollte. Während das oberste deutsche Gericht (BGH) bislang davon ausging, dass die Schutzinteressen der betroffenen Personen regelmäßig Vorrang genießen, wies es nun darauf hin, dass bei Prüfung eines Löschverlangens zwischen den Interessen der betroffenen Personen und denen der Öffentlichkeit abgewogen werden müssen. Darüber hinaus könne sich die betroffene Person im Rahmen der Grundrechtsabwägung nicht auf nationale Vorschriften berufen, da das Datenschutzrecht abschließend Europäisch geregelt ist und damit Anwendungsvorrang genießt. Die Klage blieb hier erfolglos, da die Berichterstattung im konkreten Fall rechtmäßig war.
Im Rahmen eines weiteren Verfahrens VI Z8R 476/18 kam es gerade auf die Rechtmäßigkeit der Berichterstattung an. Hier bestritten die betroffenen Personen die Rechtmäßigkeit einer Berichterstattung und verlangten die Löschung ihrer Namen und Bilder vom beklagten Suchmaschinen-Betreiber. In diesem Fall legte der BGH dem EuGH zwei Fragen zur Vorabentscheidung vor:
- Darf in einer vorzunehmenden Grundrechtsabwägung maßgeblich darauf abgestellt werden, dass der betroffenen Person andere Rechtsmittel (etwa eine einstweilige Verfügung gegen den Webseitenbetreiber, zu dem ein Link führt) zur Verfügung stehen?
- Muss bei einer Bildersuche der Kontext einer Berichterstattung mit berücksichtigt werden auch wenn der Kontext nicht mit angezeigt wird?
Bewertung
Durch das erste Verfahren wurde seitens des BGH der europäische Kontext der Datenschutz-Grundverordnung gestärkt. Er hat deutlich gemacht, dass Europäische Normen nur im Europäischen Wertekontext zu messen sind. Darüber hinaus hat das Gericht jedoch auch deutlich gemacht, dass bei der Kollision zwischen verschiedenen europäischen Grundrechten eine Abwägung im Einzelfall vorzunehmen ist, ebenso wie dies bei nationalen Grundrechten auf nationaler Ebene der Fall ist. Das Gericht ebnet damit den Weg zu einer einheitlichen Europäischen Rechts- und damit Werteordnung.
Die Entscheidung des EuGHs zu den beiden Vorabfragen darf mit Spannung erwartet werden. Insbesondere bei Bejahung der zweiten Frage wäre die Entwicklung künstlicher Intelligenz zur Feststellung eines Kontextes, in dem ein Bild veröffentlicht wird, offensichtlich stark gefordert.
C. Lürmann
Rechtsanwältin
Consultant für Datenschutz
EuGH-Urteil
Nach dem Urteil des EuGH vom 14.05.2019 (C‑55/18) müssen Unternehmen die Arbeitszeiten ihrer Arbeitnehmer erheben und speichern, und zwar vollumfänglich. Denn ohne eine solche Arbeitszeiterfassung, entfalte die EU-Richtlinie zur Verbesserung der Sicherheit und des Gesundheitsschutzes der Arbeitnehmer bei der Arbeit keinerlei Wirkung. Hierüber hatten wir bereits berichtet.
Bisher sind Unternehmen in Deutschland nur vereinzelt verpflichtet, Arbeitszeiten zu erfassen: So müssen bspw. die Überstunden der Mitarbeiter (§ 16 ArbZG), die Arbeitszeiten von Jugendlichen (§ 50 JArbSchG) sowie die Arbeitszeiten von geringfügig Beschäftigten oder solchen, die in besonderen Wirtschaftsbereichen (z.B. Gaststättengewerbe) tätig sind, (§ 17 MiLoG) aufgezeichnet werden.
Konsequenzen des EuGH-Urteil
Die Mitgliedstaaten müssen nun entsprechende Gesetze erlassen, die die Unternehmen verpflichten, „ein objektives, verlässliches und zugängliches System einzurichten, um die von einem jeden Arbeitnehmer geleistete tägliche Arbeitszeit zu erfassen.“ Derzeit ist in Deutschland ein entsprechender Gesetzesentwurf noch nicht veröffentlicht, so dass über die genaue Regelung noch spekuliert werden darf. Laut Information einer Sprecherin des Bundesarbeitsministeriums am 13.01.2020 laufen jedoch bereits Vorarbeiten.
Datenschutzrechtliche Herausforderungen
Unternehmen sollten gleichwohl bereits jetzt beginnen, ein Verfahren zur Arbeitszeiterfassung einzuführen. Dabei ist aus datenschutzrechtlicher Sicht folgendes zu beachten:
- Das zur Arbeitszeiterfassung ausgewählte Datenverarbeitungssystem muss den Anforderungen von Privacy by Design & Privacy by Default entsprechen und - sofern es sich um einen Cloud-Dienst handelt - die Vorgaben der DSK (Gremium der deutschen Datenschutzaufsichtsbehörden) erfüllen. Es sollte hierbei darauf geachtet werden, dass keine Daten erfasst werden, die nicht benötigt werden. Außerdem sollte das System unbedingt über eine Löschfunktion verfügen.
- Die für den Zweck erforderlichen Datenarten sowie die Regellöschfristen sind im Vorfeld zu bestimmen. Hier wäre es wünschenswert, dass der Gesetzgeber diese bereits vorgibt.
- Es sollte abgeklärt werden, welche Auswertungen des Datenbestands notwendig sind, um die Einhaltung der Arbeitszeitregeln effektiv kontrollieren zu können. Sofern Sie planen, diese Daten für Produktivitätsplanungen zu verwenden achten Sie darauf, dass eine Anonymisierungsfunktion enthalten ist, die Sie auch nach der Löschung der personenbezogenen Daten noch weiterhin verwenden können.
- Empfänger der Daten/Auswertungen bzw. zum Zugriff Berechtigte sind ebenfalls festzulegen, u.a. Serverstandorte, Arbeitnehmer selbst, interne Stellen im Unternehmen (Vorgesetzte, Personalabteilung, IT), Auftragsverarbeiter, ggf. Berechtigte anderer Konzerngesellschaften oder öffentliche Stellen. Empfehlenswert ist ein differenziertes Zugriffskonzept, welches nach dem Need-to-know Prinzip Berechtigungen vergibt. So muss der Mitarbeiter aus der Abteilung Lohn und Gehalt ggfs. einen Abwesenheitsgrund kennen, um die Lohnzahlung zu bestimmen, bei der Personaleinsatzplanung reicht es zu wissen, dass ein Mitarbeiter nicht da sein wird. Hinterfragen Sie auch kritisch, ob die Daten bei den Empfängern tatsächlich benötigt werden, oder ob ggfs. anonymisierte Daten für die Zwecke ausreichen.
- Erforderliche Verträge (Verträge zur Auftragsverarbeitung, Joint Control-, Intercompany-Vertrag) sind abzuschließen und etwaige Datenübermittlungen in Drittstaaten nach Art. 44 ff DSGVO abzusichern. Hier ist zum einen an den Anbieter der Software zu denken, zum anderen an einen etwaigen Austausch der Daten innerhalb einer Unternehmensgruppe, insbesondere, wenn eine einheitliche Lösung für sämtliche Unternehmen einer Gruppe geplant ist.
- Die Arbeitnehmer sind über die damit verbundene Datenverarbeitung und über die Auswirkungen, die die Auswertungen für sie haben, zu informieren. Hierzu sollten Sie die datenschutzrechtliche Mitarbeiterinformation entsprechend anpassen bzw. ergänzen. Sofern vorhanden, ist der Betriebsrat von Beginn an einzubeziehen.
- Die Daten müssen durch geeignete Maßnahmen geschützt werden, und zwar bereits bei der Migration der Daten aus anderen Systemen sowie beim Betrieb des neuen Datenverarbeitungssystems selbst. Gerade hierbei sollten Sie darauf achten, dass die teilweise sensiblen Daten möglichst verschlüsselt vorliegen, so dass diejenigen, die den Transfer der Daten durchführen nicht davon Kenntnis nehmen können.
Wenn Sie ein Zeiterfassungssystem einführen möchten und hierbei datenschutzrechtliche Unterstützung benötigen, unterstützen wir Sie selbstverständlich gerne.
C. Lürmann
Rechtsanwältin
Consultant für Datenschutz
Mit Spannung haben die Datenschützer in Europa auf den Dezember 2019 gewartet, sollte doch der Schlussantrag des Generalanwalts im Verfahren C-311/18 ein Indiz dafür geben, ob der Datenaustausch mit den USA weiterhin auf den Privacy Shield gestützt werden kann, ja ob der Privacy Shield an sich überhaupt die Qualität hat, die Daten der EU-Bürger in den USA sicher zu schützen.
Doch es kam anders.
Ausgangsfrage
Eigentlich geht es in dem Verfahren nämlich gar nicht um den Privacy Shield, sondern um die Standardvertragsklauseln gem. Beschluss 2010/87/EU. Der Beschwerdeführer Herr Schrems beruft sich im Wesentlichen auf die Unangemessenheit dieser vertraglichen Garantien unter Hinweis auf die Eingriffe in die Ausübung seiner Grundrechte, die sich aus der Tätigkeit der amerikanischen Nachrichtendienste ergeben. Daher sollte der EuGH in einer Vorabentscheidung prüfen, ob in den USA ein angemessener Schutz der Daten von Unionsbürgern sichergestellt ist und falls nicht, im Anschluss feststellen, ob dann ggfs. ein Rückgriff auf den Privacy Shield zulässig sei mit der Folge, dass dieser ebenfalls auf dem Prüfstand stünde.
Wirksamkeit der Standardvertragsklauseln
Der Generalanwalt stellte fest, dass die Standardvertragsklauseln nicht bereits dadurch unwirksam würden, weil diese die Behörden im Drittland nicht selbst zur Einhaltung der in den Standardvertragsklauseln niedergelegten Grundsätze verpflichten. Es müsse vielmehr untersucht werden, ob eine Pflicht für den Verantwortlichen oder die jeweilige Kontrollstelle (in der Regel die Aufsichtsbehörde) bestünde, die Übertragung auszusetzen oder zu verbieten, sofern die Standardvertragsklauseln aufgrund des Rechtes des Drittlandes nicht eingehalten werden könnten. Dies sei durch Art. 58 Abs. 2 litt. f) und j) DSGVO sichergestellt, so dass die datenschutzrechtlichen Belange der Unionsbürger ausreichend gewahrt seien. In der zu überprüfenden Entscheidung gehe es damit ausschließlich um die Frage, ob die irische Aufsichtsbehörde im konkreten Fall ihren Befugnissen zur Ergreifung von Maßnahmen korrekt nachgekommen sei. Konkret: Die irische Aufsichtsbehörde hätte die Befugnisse der nationalen Sicherheitsbehörden in den USA selbst abwägen sollen und je nach Ergebnis dann die Übermittlung der Daten erlauben oder verbieten können. Dies zu beurteilen, sei jedoch Aufgabe des vorlegenden Gerichts.
Wirksamkeit des Privacy Shields
Eine Entscheidung zur Wirksamkeit des Privacy Shields hält der Generalanwalt in diesem Verfahren folgerichtig nicht für notwendig, da der vorliegende Rechtsstreit ausschließlich die korrekte Anwendung der DSGVO durch die Irische Aufsichtsbehörde betreffe. Zudem verweist der Generalanwalt auf die offene Rechtssache T-738/16, eine Nichtigkeitsklage die Gültigkeit des Privacy Shields betreffend. Ob die Ausführungen, die der Generalanwalt hilfsweise in seinem Schlussantrag zur Wirksamkeit des Privacy Shields gemacht hat, dort ebenfalls Berücksichtigung finden werden, bleibt abzuwarten.
Pragmatismus
Bereits zu Beginn seiner Stellungnahme wies der Generalanwalt darauf hin, dass seine Analyse ein vernünftiges Maß an Pragmatismus enthalte, um die Interaktion mit anderen Teilen der Welt zu ermöglichen („reasonable degree of pragmatism in order to allow interaction with other parts of the world“). Es bleibt zu hoffen, dass das zweite Ziel, nämlich die Notwendigkeit, die in den Rechtsordnungen der EU anerkannten Grundwerte durchzusetzen, hierbei nicht auf der Strecke bleibt.
Im Lichte des Pragmatismus wäre es jedenfalls für die Rechtsanwender, die Unternehmen und die Datenschutzbeauftragten deutlich einfacher gewesen, der Generalanwalt hätte schon jetzt eine deutliche Empfehlung hinsichtlich der Wirksamkeit des Privacy Shields ausgesprochen. Stattdessen möchte er die konkrete Entscheidung, ob die Rechte von Unionsbürger in einem Drittland ausreichend gewahrt werden, und welche Maßnahmen im gegenteiligen Fall zu treffen sind, den mehr als 40 verschiedenen Datenschutz-Aufsichtsbehörden selbst überantworten.
Vielleicht hat der EuGH ja ein Einsehen mit den vor allem europaweit vertretenen Unternehmen, die sich gerne an die gesetzlichen Vorgaben halten möchten und denen es aus unserer Sicht nicht zugemutet werden kann, sich ggfs. je nach unterschiedlicher Auffassung der lokalen zuständigen Aufsichtsbehörde unterschiedlich zu verhalten.
Wir werden Sie wie immer über die aktuellen Entscheidungen auf dem Laufenden halten.
C. Lürmann
Rechtsanwältin
Consultant für Datenschutz
Am 01.10.2019 erging ein entscheidendes Urteil des EuGH zum Einsatz von Cookies. Der EuGH hat Folgendes dabei klargestellt:
- Das Endgerät des Website-Besuchers und die in diesen Geräten gespeicherten Informationen sind Teil seiner Privatsphäre.
- Die Einwilligung in das Platzieren und Abrufen der Cookies muss durch eine aktive Handlung erfolgen, etwa durch Anklicken eines Kästchens. Der Haken darf nicht bereits voreingestellt sein.
- Der Website-Besucher muss vollständig über die verwendeten Cookies und deren Funktionsweise informiert werden.
Aus dem Urteil ergeben sich folgende Aufgaben für Website-Betreiber:
Cookies überprüfen
Auch wenn es im Urteil nicht explizit erwähnt wird, so dürfen für den Betrieb einer Website technisch notwendige Cookies auch weiterhin ohne Einwilligung eingesetzt werden, bspw. Cookies zur Benutzer-Authentifizierung im Log-In-Bereich einer Website. Für alle anderen - und das dürfte der Großteil der verwendeten Cookies sein - muss die Einwilligung eingeholt werden.
HINWEIS: Es ist notwendig, dass der Betreiber die Funktionsweise der Cookies und etwaige Empfänger kennt. Andernfalls kann er die Website-Besucher nicht ausreichend hierüber in der Datenschutzerklärung informieren.
Einwilligung einholen
Über ein Auswahlmenü muss es den Website-Besuchern möglich sein, die jeweiligen Cookies bzw. Cookie-Kategorien auszuwählen und sich hierüber gezielt zu informieren (u.a. zu den Zwecken, Empfängern und zur Speicherdauer), um dann zu entscheiden, ob sie diese aktivieren möchten oder nicht.
Bis zur Erteilung der Einwilligung oder wenn keine Einwilligung erteilt wird, dürfen die Cookies nicht platziert werden.
Widerruf beachten
Da die Website Besucher ihre erteilte Einwilligung auch jederzeit widerrufen können, sollte eine Widerrufslösung technisch implementiert werden.
Vorgaben der Aufsichtsbehörden umsetzen
Der EuGH hat in seinem Urteil die Auffassung der deutschen Aufsichtsbehörden vom 26. April 2018 bestätigt.
HINWEIS: Die Aufsichtsbehörden verlangen aber nicht nur eine Einwilligung für das Setzen von Cookies, sondern für alle Verfahren, bei denen potentiell Daten und Informationen zu den Website-Besuchern gesammelt werden, ohne dass dies für den Betrieb der Website erforderlich ist, bspw. auch für Verfahren zur Verfolgung der Website-Besucher durch Zählpixel oder Browser-Fingerprinting. Auch diese Verfahren sollten daher in die technische Einwilligungslösung einbezogen werden.
S. Kieselmann
Beraterin für Datenschutz
Verwendet ein Internetnutzer die Google-Suchmaschine, wird seine Suche zu der jeweiligen Domain des Staates weitergeleitet, welche anhand seiner IP-Adresse identifiziert wird. Nutzt er also eine IP-Adresse, die ihn bspw. in Frankreich ansässig erscheinen lässt, werden ihm ggf. Einträge zu einem anderen Menschen gar nicht erst angezeigt, wenn er diesen anhand von dessen Namen sucht.
So musste Google gemäß der Entscheidung des EuGH vom 13.05.2014 Einträge zu einem Betroffenen, die ihn namentlich erwähnten samt Angaben zu seinen Schulden, „auslisten“. Die Links zu von Dritten veröffentlichten Internetseiten mit Informationen zu ihm tauchten dann in der Ergebnisliste auf die entsprechende Suchanfrage hin nicht mehr auf.
Mit seinem Urteil vom 24.09.2019 hat der EuGH nun klargestellt, wie weit diese „Löschpflicht“ von Google reicht: Hat eine betroffene Person ein Recht auf eine solche Auslistung, ergibt sich damit noch nicht, dass dieses Recht über das Hoheitsgebiet der Mitgliedstaaten hinausgeht. Das bedeutet, dass die Einträge zu dieser Person erst einmal weiterhin über Domains anderer Staaten, die keine EU-Mitglieder sind, abrufbar bleiben. Google muss die entsprechenden Einträge dort nicht auslisten, sondern nur wirksam verhindern, dass Internetnutzer in EU-Mitgliedstaaten diese Einträge in ihrer Ergebnisliste auffinden.
Der EuGH weist aber darauf hin, dass eine Aufsichtsbehörde dennoch in Einzelfällen befugt sein kann, Suchmaschinenbetreiber wie Google anzuweisen, die Einträge in allen Versionen ihrer Suchmaschine auszulisten, wenn eine Grundrechtsabwägung ergibt, dass das Recht der betroffenen Person auf Achtung ihres Privatlebens und auf Schutz der sie betreffenden personenbezogenen Daten höher zu werten ist als das Recht auf freie Information.
S. Kieselmann
Beraterin für Datenschutz
Der Europäische Gerichtshof (EuGH) hat am 29.07.2019 über die Konsequenzen einer Einbindung des Facebook-Like-Buttons auf der Website entschieden. Seitenbetreiber müssen die Nutzer in diesem Fall informieren und deren Einwilligung einholen.
Schon lange findet man den Like-Button als Social-Media-Plugin auch auf Webseiten außerhalb von Facebook. Die Seitenbesucher können dadurch ihre Meinung kundtun und Inhalte schnell und unkompliziert auf Facebook teilen.
Das Problem am Like-Button ist, dass die Website, auf der er eingebunden ist, Daten an Facebook überträgt – und zwar mit Öffnen der Website und unabhängig davon, ob der Like-Button betätigt wird oder man überhaupt bei Facebook angemeldet oder registriert ist. Zu diesen Daten gehören z.B. die IP-Adresse und Cookies.
Der EuGH hat sich nun mit der Frage beschäftigt, wer für den Like-Button verantwortlich ist, und hat sich – ähnlich wie bei seiner Entscheidung zu Facebook-Fanpage-Betreibern – für eine gemeinsame Verantwortlichkeit von Facebook und dem Webseitenbetreiber entschieden. Denn der Seitenbetreiber und Facebook entscheiden auch gemeinsam über die Mittel und Zwecke des Datentransfers. Dies gilt allerdings nur für die Erhebung und Übermittlung der Daten an Facebook, nicht jedoch für die spätere Datenverarbeitung durch Facebook.
Konsequenz dieses Urteils ist, dass die Webseitenbetreiber die Seitenbesucher hinsichtlich dieser Datenerhebung und -übermittlung informieren und deren Einwilligung diesbezüglich einholen müssen. Dies kann beispielsweise durch ein Pop-Up geschehen, das auf die Datenschutzerklärung verweist und in dem die Seitenbesucher explizit die Social-Media-Funktionen aktivieren können.
Auch andere Anbeiter, wie z.B. Google, Twitter oder Pinterest, bieten solche Social Plugins an. Aufgrund des EuGH-Urteils sollten auch in diesen Fällen die Seitenbesucher entsprechend informiert und deren Einwilligung eingeholt werden. Andere Plugins, die ähnlich funktionieren, z.B. von Werbeanbietern, dürften davon ebenfalls betroffen sein.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz
Nach Ansicht der hessischen Aufsichtsbehörde ist der Einsatz von Office 365 als Cloud-Lösung derzeit nicht datenschutzkonform möglich:
- Es wird dabei eine sehr große Menge an Telemetrie-Daten (Funktions- und Diagnosedaten, Textausschnitte oder Betreffzeilen von E-Mails etc.) an Microsoft übermittelt, deren Verwendungszweck nicht hinreichend von Microsoft dargelegt werden konnte.
- Es bleibt unklar, inwiefern die Daten der anlasslosen Massenüberwachung amerikanischer Sicherheitsbehörden ausgesetzt sind.
Derzeit ist ein Vorlageverfahren beim EuGH anhängig, in welchem geprüft wird, ob die Instrumente zur Datenübermittlung in die USA, wie der Angemessenheitsbeschluss der EU-Kommission („Privacy Shield“), einen ausreichenden Schutz für die Rechte und Freiheiten der betroffenen Personen bewirken (vgl. EuGH: Rechtssache C-311/18: Vorabentscheidungsersuchen des High Court (Irland), eingereicht am 9. Mai 2018 — Data Protection Commissioner/Facebook Ireland Limited, Maximilian Schrems).
- Microsoft bietet seinen Kunden in Europa das Cloud-Modell durch die Option der deutschen Datentreuhand nicht mehr an. Dabei wurden die Zugriffe auf die Daten in der Cloud durch die T-Systems International GmbH überwacht.
Aufgrund dieser Punkte ist derzeit der Einsatz von Office 365 insbesondere im öffentlichen Bereich unzulässig, da „die digitale Souveränität staatlicher Datenverarbeitung“ hierdurch gefährdet würde.
Die Aufsichtsbehörden bemühen sich wohl, hier eine Lösung mit Microsoft zu finden. Laut der Aufsichtsbehörde in Mecklenburg-Vorpommern müssen sie jedoch „teilweise monatelang [auf Antworten von Microsoft] warten, da offenbar eine aufwendige microsoftinterne Abstimmung mit dem Hauptsitz in Redmond (USA) erforderlich“ ist (vgl. 14. TB der Aufsichtsbehörde MV, Ziffer 7.1.4, S. 30).
Sofern also auch namhafte Anbieter von Cloud-Lösungen sich nicht an die Vorgaben der DSGVO halten (können), werden deren Kunden ihre bereits etablierte Prozesse auch immer wieder umstellen müssen.
Denn, was für Microsoft gilt, gilt ebenso für die Cloud-Lösungen von Google und Apple.
Behörden und Unternehmen sollten dies bei der Beschaffung ihrer Technik daher immer berücksichtigen.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.