Situation nach Schrems II-Urteil des EuGH
Nach dem Schrems II- Urteil des EuGH vom 16. Juli 2020, Rechtssache C-311/18, ist es gängige Praxis geworden, dass Unternehmen EU-Standarddatenschutzklauseln abgeschlossen haben, um einen Datentransfer in einen Drittstaat entsprechend abzusichern. Doch auch dieses Vorgehen verursachte bisher Unsicherheiten bei den Unternehmen, da nicht klar war, ob und welche zusätzlichen Maßnahmen getroffen werden müssen, um das gleiche Datenschutzniveau wie in den EU-Mitgliedsstaaten gewährleisten zu können.
Empfehlungen des European Data Protection Board (EDPB)
Am 11.11.2020 hat das EDBP hierauf reagiert und Empfehlungen für Transfer- und Überwachungsmaßnahmen im Rahmen des internationalen Datentransfers veröffentlicht.
Um herauszufinden, ob Datenexporteure zusätzliche Maßnahmen ergreifen müssen, um einen sicheren Datentransfer in Drittstaaten zu gewährleisten, soll gemäß EDPB wie folgt vorgegangen werden :
-
Welche Datenübermittlungen in Drittstaaten liegen im Unternehmen vor?
Beispiel: Archivierung von personenbezogenen Daten auf Servern eines Dienstleisters mit Sitz in einem Drittstaat. -
Auf welche Garantie stützt sich das Unternehmen bei der Datenübertragung gem. Art. 46 DSGVO?
Beispiel: SCC oder Binding Corporate Rules. -
Beurteilung des eingesetzten Übertragungsinstruments unter Berücksichtigung aller Umstände der Datenübertragung auf seine Wirksamkeit hin.
Beispiel: Im Rahmen des Schrems II Urteils des EuGH wurde festgestellt, dass die Zugriffsrechte der Behörden unter Abschnitt 702 der US-FISA nicht auf das notwendige beschränkt sind und damit dem Verhältnismäßigkeitsgrundsatz der DSGVO widersprechen. -
Festlegung zusätzlicher Maßnahmen (technische, organisatorische oder vertragliche Maßnahmen).
Beispiel: Pseudonymisierung oder Verschlüsselung der übertragenen personenbezogenen Daten. -
Weitere Verfahrensschritte für die zusätzlich festgelegten Maßnahmen.
Beispiel: Zusätzliche vertragliche Vereinbarungen zur Umsetzung der zusätzlich festgelegten Sicherheitsvorkehrungen müssen getroffen werden (Bsp. Aufbewahrung des Entschlüsselungscodes), welche den SCC nicht entgegen stehen dürfen und das Schutzniveau der DSGVO einhalten. -
Überwachung und Bewertung des Datentransfers in regelmäßigen Abständen.
Beispiel: Es ist wurde ein Prozess implementiert, der die Datenübertragung in das Drittland stoppt, sobald Änderungen in der Gesetzgebung des Drittlandes dazu führen, dass die festgelegten Sicherheitsmaßnahmen zur Datenübertragung nicht mehr ausreichend sind.
Im Whitepaper des EDPB wird nach wie vor festgehalten, dass Unternehmen selbst für die Datensicherheit verantwortlich sind und nicht jede Datenverarbeitung in einem Drittstaat entsprechend abgesichert werden kann.
Entwurf für neue Standarddatenschutzklauseln (SCC) der Europäischen Kommission
Auch die Europäische Kommission hat am 13.11.2020 auf das Schrems II-Urteil reagiert und einen Entwurf über neue SCC veröffentlicht.
Die nachfolgenden Regelungen sind nun explizit in dem Entwurf der neuen SCC enthalten:
- Die Einhaltung der SCC soll nicht durch die Rechtslage des Bestimmungslandes vereitelt werden
- Die Informationspflicht gegenüber der betroffenen Personen bei Anfragen von Behörden besteht weiterhin.
- Es werden Rechtsmittel zur Anfechtung der Entscheidung eingelegt, sofern betroffene Personen bei behördlichen Maßnahmen nicht benachrichtigt werden dürfen.
Derzeit befinden sich die neuen Klauseln noch in der öffentlichen Konsultation und sind noch nicht von der Europäischen Kommission angenommen worden.
Fazit
Unternehmen sind gut damit beraten, die weiteren Entwicklungen hinsichtlich SCC und dem internationalen Datentransfer im Auge zu behalten. Es sollten entsprechende Prozesse für den internationalen Datentransfer im Unternehmen implementiert werden, welche sich an den Vorgaben des EDPB orientieren.
Laura Piater
Justiziarin
Consultant für Datenschutz
Urteil des OLG Stuttgart vom 27.2.2020, 2 U 257/19
In seinem noch nicht rechtskräftigen Urteil beschäftigt sich das OLG Stuttgart mit der Frage, ob eine fehlende Datenschutzerklärung auf der Webseite eines Händlers für einen Interessensverband abmahnfähig ist.
Insbesondere die Frage zur Abmahnfähigkeit einer fehlenden Datenschutzerklärung wird seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) heftig diskutiert und wurde durch die Gerichte in den verschiedenen ersten Instanzen jeweils unterschiedlich beantwortet. Die OLG Stuttgart geht in seiner jüngsten Entscheidung hierzu davon aus, dass Art. 13 DSGVO die entsprechende Norm aus dem Telemediengesetz (§ 13 TMG) als niederrangiges (nationales) Recht verdrängt und damit alleinige Anwendung findet.
Das Gericht stellte fest, dass die datenschutzrechtlichen Informationspflichten auch dazu dienten, dem Verbraucher die Kontaktaufnahme mit dem Webseitenbetreiber zu ermöglichen und geht daher davon aus, dass Datenschutz auch dem Verbraucherschutz dient. Verbraucher hätten auch ein Interesse daran u.a. zu erfahren, zu welchen Zwecken die Daten verarbeitet werden. Sowie was passiert, wenn der Verbraucher die gewünschten Daten nicht bereitstellt. Daher sei ein Bezug zum Wettbewerbsrecht gegeben. Die Einzelheiten hierzu sind in dem Urteil nachzulesen.
Im Übrigen bejaht das Gericht auch eine Klagebefugnis des klagenden Interessenverbands. Durch die Datenschutzgrundverordnung sei nicht abschließend geregelt, wie private Rechtsansprüche durchgesetzt werden. Die Klagebefugnis der Verbände füge sich vielmehr in den Wertungsrahmen der DSGVO ein und diene dazu, dass auch die Mitbewerber bei der Überwachung der Datenschutzregeln einen wesentlichen Beitrag leisten können.
Konsequenzen des Urteils
Nachdem die ursprünglich befürchtete Abmahnwelle mit Beginn der Geltung der DSGVO bezüglich fehlender oder fehlerhafter Datenschutzerklärung auf den Webseiten zunächst ausgeblieben war, ist aufgrund und unter Verweis auf das vorliegende Urteil mit einer rapide ansteigenden Zahl von Abmahnungen zu rechnen. Umfassende Rechtsklarheit zur Frage der Abmahnfähigkeit wird zwar erst die Entscheidung des BGH hierzu bringen. Gleichwohl ist allen Webseitenbetreibern dringend anzuraten, sich nochmals ausgiebig mit den Datenschutzerklärungen auf ihren Webseiten zu befassen und eine umfassende und gesetzeskonforme Erklärung zu implementieren.
Falls Sie hierbei Unterstützung benötigen, sprechen Sie uns gerne an.
C. Lürmann
Rechtsanwältin
Consultant für Datenschutz
EuGH-Urteil
Nach dem Urteil des EuGH vom 14.05.2019 (C‑55/18) müssen Unternehmen die Arbeitszeiten ihrer Arbeitnehmer erheben und speichern, und zwar vollumfänglich. Denn ohne eine solche Arbeitszeiterfassung, entfalte die EU-Richtlinie zur Verbesserung der Sicherheit und des Gesundheitsschutzes der Arbeitnehmer bei der Arbeit keinerlei Wirkung. Hierüber hatten wir bereits berichtet.
Bisher sind Unternehmen in Deutschland nur vereinzelt verpflichtet, Arbeitszeiten zu erfassen: So müssen bspw. die Überstunden der Mitarbeiter (§ 16 ArbZG), die Arbeitszeiten von Jugendlichen (§ 50 JArbSchG) sowie die Arbeitszeiten von geringfügig Beschäftigten oder solchen, die in besonderen Wirtschaftsbereichen (z.B. Gaststättengewerbe) tätig sind, (§ 17 MiLoG) aufgezeichnet werden.
Konsequenzen des EuGH-Urteil
Die Mitgliedstaaten müssen nun entsprechende Gesetze erlassen, die die Unternehmen verpflichten, „ein objektives, verlässliches und zugängliches System einzurichten, um die von einem jeden Arbeitnehmer geleistete tägliche Arbeitszeit zu erfassen.“ Derzeit ist in Deutschland ein entsprechender Gesetzesentwurf noch nicht veröffentlicht, so dass über die genaue Regelung noch spekuliert werden darf. Laut Information einer Sprecherin des Bundesarbeitsministeriums am 13.01.2020 laufen jedoch bereits Vorarbeiten.
Datenschutzrechtliche Herausforderungen
Unternehmen sollten gleichwohl bereits jetzt beginnen, ein Verfahren zur Arbeitszeiterfassung einzuführen. Dabei ist aus datenschutzrechtlicher Sicht folgendes zu beachten:
- Das zur Arbeitszeiterfassung ausgewählte Datenverarbeitungssystem muss den Anforderungen von Privacy by Design & Privacy by Default entsprechen und - sofern es sich um einen Cloud-Dienst handelt - die Vorgaben der DSK (Gremium der deutschen Datenschutzaufsichtsbehörden) erfüllen. Es sollte hierbei darauf geachtet werden, dass keine Daten erfasst werden, die nicht benötigt werden. Außerdem sollte das System unbedingt über eine Löschfunktion verfügen.
- Die für den Zweck erforderlichen Datenarten sowie die Regellöschfristen sind im Vorfeld zu bestimmen. Hier wäre es wünschenswert, dass der Gesetzgeber diese bereits vorgibt.
- Es sollte abgeklärt werden, welche Auswertungen des Datenbestands notwendig sind, um die Einhaltung der Arbeitszeitregeln effektiv kontrollieren zu können. Sofern Sie planen, diese Daten für Produktivitätsplanungen zu verwenden achten Sie darauf, dass eine Anonymisierungsfunktion enthalten ist, die Sie auch nach der Löschung der personenbezogenen Daten noch weiterhin verwenden können.
- Empfänger der Daten/Auswertungen bzw. zum Zugriff Berechtigte sind ebenfalls festzulegen, u.a. Serverstandorte, Arbeitnehmer selbst, interne Stellen im Unternehmen (Vorgesetzte, Personalabteilung, IT), Auftragsverarbeiter, ggf. Berechtigte anderer Konzerngesellschaften oder öffentliche Stellen. Empfehlenswert ist ein differenziertes Zugriffskonzept, welches nach dem Need-to-know Prinzip Berechtigungen vergibt. So muss der Mitarbeiter aus der Abteilung Lohn und Gehalt ggfs. einen Abwesenheitsgrund kennen, um die Lohnzahlung zu bestimmen, bei der Personaleinsatzplanung reicht es zu wissen, dass ein Mitarbeiter nicht da sein wird. Hinterfragen Sie auch kritisch, ob die Daten bei den Empfängern tatsächlich benötigt werden, oder ob ggfs. anonymisierte Daten für die Zwecke ausreichen.
- Erforderliche Verträge (Verträge zur Auftragsverarbeitung, Joint Control-, Intercompany-Vertrag) sind abzuschließen und etwaige Datenübermittlungen in Drittstaaten nach Art. 44 ff DSGVO abzusichern. Hier ist zum einen an den Anbieter der Software zu denken, zum anderen an einen etwaigen Austausch der Daten innerhalb einer Unternehmensgruppe, insbesondere, wenn eine einheitliche Lösung für sämtliche Unternehmen einer Gruppe geplant ist.
- Die Arbeitnehmer sind über die damit verbundene Datenverarbeitung und über die Auswirkungen, die die Auswertungen für sie haben, zu informieren. Hierzu sollten Sie die datenschutzrechtliche Mitarbeiterinformation entsprechend anpassen bzw. ergänzen. Sofern vorhanden, ist der Betriebsrat von Beginn an einzubeziehen.
- Die Daten müssen durch geeignete Maßnahmen geschützt werden, und zwar bereits bei der Migration der Daten aus anderen Systemen sowie beim Betrieb des neuen Datenverarbeitungssystems selbst. Gerade hierbei sollten Sie darauf achten, dass die teilweise sensiblen Daten möglichst verschlüsselt vorliegen, so dass diejenigen, die den Transfer der Daten durchführen nicht davon Kenntnis nehmen können.
Wenn Sie ein Zeiterfassungssystem einführen möchten und hierbei datenschutzrechtliche Unterstützung benötigen, unterstützen wir Sie selbstverständlich gerne.
C. Lürmann
Rechtsanwältin
Consultant für Datenschutz