Die Benennungspflicht des Datenschutzbeauftragten in Vereinen besteht unter anderem, wenn die Kerntätigkeit in einer umfangreichen Verarbeitung sensibler Daten oder systematischen Überwachung betroffenen Personen liegt.
Kategorie: Aufsichtsbehörden
Bußgeld wegen fehlender Einbindung des Datenschutzbeauftragten
Wegen der unzureichenden Einbindung des Datenschutzbeauftragten musste ein Unternehmen aus Luxemburg nun ein Bußgeld in Höhe von 15.000 Euro zahlen. Der betreffende Datenschutzbeauftragte wurde nicht bei allen Datenschutzfragen einbezogen. Die Behörde stellte daher u.a. einen Verstoß gegen Art. 38 Abs. 1 DSGVO fest. Hiernach ist sicherzustellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle Fragen, die mit dem Schutz personenbezogener Daten zusammenhängen, eingebunden wird.
Fälle der Einbeziehung
In der Praxis ist eine Einbindung des Datenschutzbeauftragten insbesondere in folgenden Fällen erforderlich:
- vor der Auswahl eines Auftragsverarbeiters,
- vor der Aufnahme neuer Verarbeitungstätigkeiten,
- bei Datenschutzvorfällen,
- bei der Durchführung einer Datenschutz-Folgenabschätzung,
- bei der Gestaltung von Betriebs- bzw. Dienstvereinbarungen,
- bei allen sonstigen Projekten und Maßnahmen, bei denen personenbezogene Daten eine Rolle spielen
Datenschutzorganisation
Die Einbindung des Datenschutzbeauftragten erfordert überhaupt erstmal eine Organisation des Datenschutzes im eigenen Unternehmen. Im ersten Schritt ist die Benennung des Datenschutzbeauftragten allen Mitarbeitern bekannt zu machen. Um als Ansprechpartner für das Thema Datenschutz im Unternehmen zur Verfügung zu stehen, sollten neben den Kontaktdaten vor allem die Aufgaben und Zuständigkeiten des Datenschutzbeauftragten in einer Leitlinie zusammengefasst werden. Nach dieser sollte jeder Mitarbeiter verpflichtet werden, datenschutzrelevante Themen an den Datenschutzbeauftragten zu melden.
Frühzeitige Einbindung
Oft werden dem Datenschutzbeauftragten abgeschlossene Vorgänge zur Kenntnis gebracht. Dann ist es meist zu spät, um noch Veränderungen zu bewirken oder grundsätzliche Fragen mit der Aufsichtsbehörde abzustimmen. Die Einbindung des Datenschutzbeauftragten sollte daher möglichst schon im Prozess der Auswahl oder Entscheidung über eine neue Verarbeitungstätigkeit erfolgen. Nur so wird sichergestellt, dass auch die Anforderungen der DSGVO berücksichtigt werden und nachträglich kein zusätzlicher Planungsaufwand entsteht. Sinnvoll ist es daher zum Beispiel auch, den Datenschutzbeauftragten bereits vor der Auswahl eines neuen Dienstleisters oder vor dem Kauf einer neuen Software ins Boot zu holen.
Wegen der unzureichenden Einbindung des Datenschutzbeauftragten musste ein Unternehmen aus Luxemburg ein Bußgeld in Höhe von 15.000 Euro zahlen. Der betreffende Datenschutzbeauftragte wurde nicht bei allen Datenschutzfragen einbezogen. Die Behörde stellte daher u.a. einen Verstoß gegen Art. 38 Abs. 1 DSGVO fest. Hiernach ist sicherzustellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle Fragen, die mit dem Schutz personenbezogener Daten zusammenhängen,eingebunden wird.
Über die Frage, welche Art der Verschlüsselung bei Berufgeheimnisträgern zwingend erforderlich ist, herrscht bei den Aufsichtsbehörden bisher noch Uneinigkeit.
Der Sächsische Datenschutzbeauftragte hält den unverschlüsselten E-Mail-Versand von Schriftsätzen vor dem Hintergrund des § 203 StGB z.B. für “eine absolut ungeeignete Kommunikationsform” (Seite 138, 8. Tätigkeitsbericht des Sächsischen Datenschutzbeauftragten).
Das Verwaltungsgericht Mainz hat nun mit Urteil vom 17.12.2020 entschieden, dass der Versand einer E-Mail ohne Nutzung einer sog. Ende-zu-Ende-Verschlüsselung oder sonstiger über eine (obligatorische) Transportverschlüsselung hinausgehenden Sicherungsmaßnahmen keinen Verstoß gegen Art. 5 Abs. 1 lit. f, Abs. 2 DSGVO darstellt.
Demnach sei generell die Verwendung einer Transportverschlüsselung bei Berufsgeheimnisträgern (SSL/TLS) datenschutzrechtlich ausreichend, sofern keine Anhaltspunkte für besonders sensible Daten bestehen oder sonstige Umstände hinzutreten
Pauschal kann nicht allein deshalb von einer besonderen Schutzbedürftigkeit ausgegangen werden, nur weil eine mandatsbezogene Kommunikation eines Berufsgeheimnisträgers erfolgt. Dies sei vielmehr für jeden Einzelfall zu prüfen.
Lediglich bei Daten, die unter Art. 9 oder 10 DSGVO fallen, seien in jedem Fall besondere Schutzmaßnahmen zu ergreifen, da insoweit schon aufgrund der allgemeinen datenschutzrechtlichen Wertung stets von einem hohen Risiko ausgegangen werden muss. Gleiches dürfte für Fälle gelten, wenn etwa ein „Interesse krimineller und ressourcenreicher Dritter“ absehbar ist. Darüber hinaus sei es aber sachgerecht, bei nicht von Art. 9 und 10 DSGVO erfassten Daten im Rahmen einer mandatsbezogenen Kommunikation von Rechtsanwälten als Berufsgeheimnisträger in Zweifelsfällen eine widerlegliche Vermutung für einen besonderen Schutzbedarf der übermittelten Informationen zu sehen.
Ohne Vorliegen eines hohen Risikos bietet die Transportverschlüsselung bei Berufgeheimnisträgern also ein ausreichendes Schutzniveau.
Das Landgericht Bonn (Urteil vom 11.11.2020, Aktenzeichen: 29 OWi 1/20) ist dem stark umsatzbezogenen Ansatz des Bußgeldkonzeptes nicht gefolgt. Das Konzept der Aufsichtsbehörden ist unter https://www.datenschutzkonferenz-online.de/media/ah/20191016_bußgeldkonzept.pdf abrufbar. Grob zusammengefasst berechnet sich hiernach ein Bußgeld nach dem erzielten Vorjahresumsatz eines Unternehmens. Aus Sicht vieler Unternehmen ist das erst einmal eine gute Nachricht.
Nun aber zur schlechten Nachricht: Das Gericht sieht bei schweren Datenschutzverstößen auch die Möglichkeit, Bußgelder an den Obergrenzen (10 Millionen bzw. 20 Millionen Euro) auszurichten. Dabei stellt esauch fest, dass diese dann die Existenz der Unternehmen bedrohen können.
Umsatz nicht als Zumessungsgesichtspunkt
Nach Auffassung des Landgerichts soll der Umsatz eines Unternehmens, wie im Bußgeldkonzept vorgesehen, nicht als Zumessungsgesichtspunkt herangezogen werden. Nach Art. 83 Abs. 2 S. 2 DSGVO sollen dagegen in erster Linie tatbezogene Gesichtspunkte, wie Art, Schwere und Dauer des Verstoßes, eine Rolle spielen.
Aufgrund des Umsatzes kann aber die Bußgeldobergrenze bestimmt werden, die den Rahmen für eine Einordnung des konkreten Datenschutzverstoßes gibt. Zum anderen müssen Bußgelder nach Art. 83 Abs. 1 DSGVO abschrecken. Je größer das Unternehmen ist, desto höher soll demnach das Bußgeld ausfallen, um seine spezialpräventive Wirkung zu entfalten. Nach Ansicht des Gericht ist daher die Höhe des Umsatzes ein geeigneter Indikator.
Bußgeldkonzept versagt bei schweren Datenschutzverstößen
Das Bußgeldkonzept der Aufsichtsbehörden versage aber, bei schweren Datenschutzverstößen umsatzschwacher Unternehmen und leichten Datenschutzverstößen umsatzstarker Unternehmen. Hier gerate die am Umsatz orientierte Zumessung in Widerstreit zu der Zumessung anhand der tatbezogenen Kriterien in Art. 83 Abs. 2 S. 2 DSGVO, die dann Vorrang haben müssen.
Nach Auffassung des Gerichts ist es aber so auch bei schweren Datenschutzverstößen möglich, gegen umsatzschwache Unternehmen eine existenzbedrohende Geldbuße zu verhängen.
Das Landgericht Bonn (Urteil vom 11.11.2020, Aktenzeichen: 29 OWi 1/20) hat gegen 1&1 ein Bußgeld in Höhe von 900.000,00 Euro verhängt. Das Unternehmen hatte zur Authentifizierung eines Kunden nur den Namen und das Geburtsdatum abgefragt und so zu Unrecht eine Telefonnummer herausgegeben.
Hintergrund
Bei telefonischen Anfragen dürfen zur Identifizierung nicht nur Daten wie das Geburtsdatum und die Anschrift abgefragt werden. Diese stellen kein geheimes Wissen dar. Daher sollten auch noch zusätzliche Informationen angefordert werden, welche nur der Betroffene kennt.
Zum damaligen Zeitpunkt entsprach die bloße Abfrage von Namen und Geburtsdatum wohl der überwiegenden Praxis. Sogar die Aufsichtsbehörde in Baten-Württemberg schreibt hierzu in ihrem Hinweis:
„Bei telefonischen Anfragen ist es – auch in anderen Kontexten, bspw. bei Fragen zu Verträgen – gängige Praxis, dass der Verantwortliche von der betroffenen Person zusätzliche Informationen abfragt, um sicherzugehen, dass es sich tatsächlich um die richtige Person handelt. Typischerweise handelt es sich dabei um Daten wie Geburtsdatum und Anschrift der betroffenen Person.“
Entscheidung der Aufsichtsbehörde
Die zuständige Aufsichtsbehörde sah aufgrund dieses Verstoßes sogar ein Bußgeld von 9,55 Millionen Euro als angemessen an. Die Aufsichtsbehörden haben sich auf ein einheitliches Konzept zur Bußgeldzumessung, welches nun unter https://www.datenschutzkonferenz-online.de/media/ah/20191016_bußgeldkonzept.pdf abrufbar ist. Hiernach werden Unternehmen anhand ihres Umsatzes in Größenklassen eingeteilt.
Gericht kippt Bußgeldkonzept
Das Landgericht Bonn ist diesem stark umsatzbezogenen Ansatz nicht gefolgt.
In meinem Beitrag auf https://rechtsanwalt-harzewski.de lesen Sie mehr zur Entscheidung.
Das Bußgeldkonzept kann meiner Auffassung nach daher in der jetzigen Form nicht mehr angewendet werden.
In seinem Urteil vom 15.09.2020 trifft das Landgericht Rostock Urteil vom 15.09.2020, Az.: 3 O 762/19 (noch nicht rechtskräftig) weitere Aussagen zu Anforderungen an Cookie-Banner.
bisherige Rechtsprechung und Entwicklung
Aufgrund der bisherigen Rechtsprechung des EuGH (Urteil vom 01.10.2019 - C-673/17) und BGH (Urteil vom 28.05.2020, I ZR 7/16) war bereits geklärt, dass
- für nicht technisch-notwendige Cookies eine aktive, ausdrückliche Einwilligung erforderlich ist
- voreingestellte Ankreuzkästchen dabei nicht erlaubt sind.
In der Praxis haben sich Cookie-Banner bzw, Consent-Layer etabliert, in welchen der Button für die Zustimmung farbig hervorgehoben ist. Dagegen findet sich meist ein Button für die Ablehnung der nicht notwendigen Cookies, welcher meist unscheinbar und frau daher kommt. Hierdurch sollen die Nutzer zur Einwilligung verleitet werden, ohne sich weiter mit den Einzelheiten befassen zu müssen.
Keine wirksame Einwilligung
Im konkreten Fall ging es vor dem Landgericht Rostock um folgenden Cookie-Banner:
Das Landgericht sah hierin keine wirksame Einwilligung. Hierzu führte es wie folgt aus:
„Eine wirksame Einwilligung ist […] mit dem nunmehr verwendeten Cookie-Banner nicht möglich. Denn auch bei diesem sind sämtliche Cookies vorausgewählt und werden durch Betätigung des grün unterlegten „Cookie zulassen ‚-Buttons „aktiviert“. Damit entspricht die Gestaltung des Cookie-Banners grundsätzlich der Gestaltung in dem durch den BGH entschiedenen Fall. Zwar hat der Verbraucher die Möglichkeit sich die Details anzeigen zu lassen und einzelne Cookies abzuwählen. Tatsächlich wird der Verbraucher jedoch regelmäßig den Aufwand eines solchen Vorgehens scheuen und deshalb den Button ohne vorherige Information über die Details betätigen. Damit weiß der Verbraucher aber gerade nicht, welche Tragweite seine Erklärung hat.
Der Umstand, dass der Nutzer bei dem nun verwendeten Cookie-Banner auch die Möglichkeit hat, über den Bereich „Nur notwendige Cookies verwenden“ seine Einwilligung auf technisch notwendige Cookies zu beschränken, ändert an der Beurteilung nichts. Insoweit ist festzuhalten, dass dieser Button gar nicht als anklickbare Schaltfläche zu erkennen ist. Zudem tritt er auch neben dem grün unterlegten und damit als vorbelegt erscheinenden „Cookie zulassen“-Button in den Hintergrund. Diese Möglichkeit wird von einer Vielzahl der Verbraucher deshalb regelmäßig gar nicht als gleichwertige Einwilligungsmöglichkeit wahrgenommen werden. Daran ändert auch der Einleitungstext nichts, da dieser bereits nicht darüber aufklärt, welche Cookies wie vorbelegt sind und damit durch welchen Button, welche Cookies „aktiviert“ werden.“
Anforderungen an Cookie-Banner – Hinweise der Aufsicht
Zuletzt hatte die niedersächsische Aufsichtsbehörde Hinweise zur datenschutzkonformen Einwilligungen auf Webseiten und zu Anforderungen an Cookie-Banner veröffentlicht. Diese können hier heruntergeladen werden.
Auch nach Auffassung der Behörde sind der Beeinflussung des Nutzerverhaltens (sogenanntes Nudging) Grenzen gesetzt, so dass eine verhaltensmanipulierende Ausgestaltungen zu einer Unwirksamkeit der Einwilligung führen können.
Häufige Fehler sind nach Auffassung der Behörde auch:
- nicht konkret genug beschriebene Verarbeitungszwecke (wie z.B. nur „im Ihr Surferlebnis zu verbessern“ oder „um Webanalyse durchzuführen“)
- der fehlende Hinweis auf das Widerrufsrecht auf der ersten Ebene des Consent-Layer
- unklare Bezeichnung der Schaltfläche für Zustimmung (wie z.B. „Alle akzeptieren“)
Ein weiteres Problem ist oft die fehlende Umsetzung des einfachen Widerrufs
Sofern ein Consent-Fenster eingesetzt wird, sollte dem Nutzer eine leicht auffindbare Möglichkeit gegeben werden, dieses jederzeit wieder öffnen und seine zuvor vorgenommenen Einstellungen ändern zu können. Hierfür bietet es sich zum Beispiel an, im Header oder Footer der Webseite, wo regelmäßig das Impressum und die Datenschutzhinweise zu finden sind, einen Link auf den Consent-Layer einzufügen, der zum Beispiel „Datenschutz-Einstellungen“ heißen könnte. Eine andere Alternative ist, diesen Link in den Datenschutzhinweisen einzubinden.
Nach dem Wegfall des Privacy-Shields bleibt in der Praxis eine große Verunsicherung, wie mit US-Dienstleistern umzugehen ist, die nicht ersetzt werden können. Nach dem Urteil des EuGH (Schrems 2) ist der Datentransfer in die USA allein unter der Verwendung der Standardvertragsklauseln unzulässig. Für die Verarbeitung im Drittland USA braucht es zusätzliche Maßnahmen.
In der Praxis stellt sich daher nun die Frage, welche zusätzlichen Garantien zu Standardvertragsklauseln denn ausreichend währen.
Zulässigkeit der Datenverarbeitung im Drittstaat
Nachfolgende Übersicht zeigt noch einmal auf welcher Grundlage eine Datenverarbeitung im Drittstaat zulässig sein kann. Im Fall der Standardvertragsklauseln oder Standarddatenschutzklauseln muss zudem überprüft werden, ob ein gleichwertiges Schutzniveau bei der Verarbeitung im Drittland existiert.
Stellungnahme des Europäische Datenschutzausschusses (EDSA)
Zur Frage, welche zusätzlichen Maßnahme in Betracht kommen können, hat sich nun auch der Europäische Datenschutzausschuss (EDSA) geäußert. Die Empfehlung kann hier abgerufen werden.
Der Europäische Datenschutzausschuss stellt, wenig hilfreich fest, dass:
- die ergänzenden Maßnahmen grundsätzlich vertraglicher, technischer oder organisatorischer Art sein können.
- vertragliche und organisatorische Maßnahmen aber allein nicht ausreichen, um den Zugriff von Behörden aus dem Drittland zu verhindern.
- es Fälle gibt, in denen nur technische Maßnahmen diesen Zugriff verhindern können.
Sie müssen daher von Fall zu Fall ermitteln, welche zusätzlichen Maßnahmen wirksam sein könnten.
In seiner Empfehlung vom 10.11.2020 gibt der EDSA weitere Beispiele für zusätzliche Maßnahmen:
Technische Maßnahmen
- starke Verschlüsselung von personenbezogenen Daten vor der Übermittlung bei Datenspeicherung zu Sicherungszwecken (kein Zugriff des Dienstleisters erforderlich)
- Übertragung ausschließlich pseudonymisierter Daten, so dass Zuordnung zu bestimmten Personen im Drittland nicht möglich ist
- Verschlüsselung von Daten, die lediglich Drittländer durchqueren
Bei Cloud-Anbietern, die Zugriff auf die Daten benötigen, um ihre Dienstleistung überhaupt ausführen zu können oder bei Fernzugriffen soll es dagegen keine wirksamen technischen Maßnahmen geben.
Vertragliche Maßnahmen
- Verpflichtung des Dienstleisters auf die Einhaltung bestimmter technischer Maßnahmen
- Information/ Auskunft über das Recht des Zugriffs auf Daten im Drittland von Seiten der Behörden
- Klauseln die bestätigen, dass keine Hintertüren für den Zugriff auf das System existieren
- Vereinbarung von Vertragsstrafen, außerordentlichen Kündigungsrechten bei Nichteinhaltung der zusätzlichen Maßnahmen
- Stärkung der Kontrollrechte
- Mitteilungspflicht des Dienstleister, bevor sich Änderungen durch Gesetzgebung oder Praxis des Drittlandes ergeben mit Klauseln, die dann eine Aussetzung/ Rückgabe der verarbeiteten Daten möglich machen
- Verpflichtung des Dienstleisters, behördliche Anordnungen zunächst anzufechten und auszusetzen sowie wenn mögliche eine gerichtliche Entscheidung zu erwirken
- Mitteilungspflichten, wenn Anfragen von Behörden erfolgen
Organisatorische Maßnahmen
- Richtlinien für Fälle verdeckter oder behördlicher Anfragen, um auf Daten zuzugreifen
- Verfahren zur Schulung für Personal, welches bei diesen Anfragen zuständig ist
- Protokollierung eingegangener behördlicher Anfragen und des weiteren Verfahrens
- Datenminimierung z.B. durch eingeschränkte Zugriffsrechte bei Supportfällen
- Einhaltung von Zertifizierungen und Standards
Prüfschritte
Wenn ein Wechsel des US-Dienstleisters für Sie nicht in Betracht kommt, dann sollten Sie die in meinem Beitrag "Privacy Shield ist ungültig" aufgezählten Prüfschritte durchgehen.
Kommen Sie gern auf mich zu, wenn Sie zum Beispiel bei der Beurteilung des Risikos und der Schutzmaßnahmen Hilfe brauchen.
Überraschend hat der EuGH den Beschluss der EU-Kommission über die Angemessenheit des vom „Privacy Shield“ gebotenen Schutzes für ungültig erklärt. Auf Basis des Privacy Shield dürfen nun keine personenbezogenen Daten mehr in die USA übermittelt werden.
Dieser Beitrag zeigt Ihnen kurz die Hintergründe, die Entscheidung des Gerichts und die praktischen Folgen des Urteils.
Hintergrund
Die Datenschutzgrundverordnung (DSGVO) stellt innerhalb der Europäischen Union bzw. im Europäischen Wirtschaftsraum (EWR) einen einheitlichen Datenschutz sicher. Dieser soll bei der Übermittlung von personenbezogenen Daten in ein anderes Land (außerhalb EU bzw. EWR) nicht untergraben werden. Daher dürfen personenbezogene Daten in der Regel nur dann in ein Drittland übermittelt werden, wenn dieses ein angemessenes Schutzniveau gewährleisten kann.
Das angemessene Datenschutzniveau kann insbesondere durch einen sogenannten Angemessenheitsbeschluss der EU-Kommission oder aber auch durch den Abschluss von sogenannten Standardvertragsklauseln nachgewiesen werden.
Angemessenheitsbeschluss
Eine Übermittlung personenbezogener Daten in einen Drittstaat ist zulässig, wenn für das betreffende Drittland ein Angemessenheitsbeschluss der Europäischen Kommission vorliegt.
Ein Angemessenheitsbeschluss bescheinigt dem Drittland oder der betreffenden Organisation ein angemessenes Datenschutzniveau. Zugleich wird die Übermittlung von Daten in ein Drittland oder an eine betreffende Organisation privilegiert, so dass es keiner weiteren Genehmigungen bedarf. Im Rahmen des Beschluss zum EU-US Privacy-Shield hatten sich mehr als 5000 US-Unternehmen zertifiziert. Die Übermittlung von Daten an diese Unternehmen war daher bisher zulässig.
Standardvertragsklauseln
Bietet ein Drittland kein angemessenes Datenschutzniveau, können ohne aufsichtsbehördliche Genehmigung auch Standard-Datenschutzklauseln der Europäischen Kommission verwendet werden. In diesem Fall verpflichtet sich das außereuropäische Unternehmen zur Einhaltung eines angemessenen und den Anforderungen aus der DSGVO entsprechenden Datenschutzniveaus.
Das Urteil des EuGH
Nach dem Urteil des EuGH (Urteil vom 16.07.2020, Az.: C-311/18) dürfen nun keine Daten mehr auf Grundlage des Privacy Shield in die USA übermittelt werden. Die Inanspruchnahme von US-Anbietern, nur auf Basis des Privacy Shield ist daher rechtswidrig.
Nach amerikanischem Recht können Unternehmen verpflichtet werden, die ihr übermittelten personenbezogenen Daten amerikanischen Behörden wie der National Security Agency (NSA) und dem Federal Bureau of Investigation (FBI) zur Verfügung zu stellen.
Hierzu stellte das Gericht fest:
„Die von der Kommission im [Privacy Shield] bewerteten Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in die Vereinigten Staaten übermittelt werden, zugreifen und sie verwenden dürfen, [sind] nicht dergestalt geregelt, dass damit Anforderungen erfüllt würden, die den im Unionsrecht nach [nach dem Grundsatz der Verhältnismäßigkeit] bestehenden Anforderungen der Sache nach gleichwertig wären.“
Weiter heißt es:
„[Es kann] nicht angenommen werden […], dass die auf diese Vorschriften gestützten Überwachungsprogramme auf das zwingend erforderliche Maß beschränkt sind.“
Die Pressemitteilung kann hier abgerufen werden: https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf
Das Urteil steht hier zum Dowload bereit: http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=9732082
Praktische Folgen
[Aktualisiert am 11.09.2020]
Die Übermittlung von Daten in die USA, die ausschließlich auf der Grundlage vom Privacy Shield erfolgt, muss entweder eingestellt werden oder benötigt eine andere Grundlage. Hierfür gibt es leider keine Übergangsfrist. Im Fall der Datenübermittlung in die USA reichen Standardvertragsklauseln ohne weitere zusätzliche Garantien nicht aus.
Die Aufsichtsbehörde aus Baden Württemberg empfiehlt insoweit den Abschluss gesonderter Vereinbarungen. Dies können Sie in der entsprechenden Orientierungshilfe ab S. 11 nachlesen.
Ich persönlich glaube nicht, dass der Abschluss einer zusätzlichen Vereinbarungen mit den großen US-Anbietern gelingen wird. Die Diskussion darüber bleibt unübersichtlich. Meine Empfehlung ist: Suchen Sie nach Alternativen aus Deutschland oder zumindest der EU.
Folgende Prüfungsschritte sollten Sie zumindest unternehmen, wenn ein Wechsel des Dienstleisters für Sie nicht in Betracht kommt:
Schritt 1: Bestandsaufnahme
Finden Sie zunächst heraus, welche Daten in die USA übermittelt werden. Daten können grundsätzlich an Auftragsverarbeiter, Gemeinsam Verantwortliche oder selbst Verantwortliche übermittelt werden. Prüfen Sie auch die Subauftragnehmer ihrer Auftragsverarbeiter. Diese finden Sie regelmäßig im Auftragsverarbeitungsvertrag bzw. in dessen Anlagen. Sie werden feststellen, dass zahlreiche deutsche Anbieter noch immer US-Dienste nutzen.
Schritt 2: Prüfen der Rechtsgrundlage
Prüfen Sie nun, ob mit den betreffenden US-Anbietern Standardvertragsklauseln abgeschlossen wurden. Eher selten kommen als Rechtsgrundlage auch erforderliche Datentransfers oder Einwilligungen (Art. 49 DSGVO) der Betroffenen in Betracht.
Schritt 3: Anfrage beim Dienstleister
Um das Datenschutzniveau prüfen zu können, müssen Sie nun jeden einzelnen Dienstleister anfragen. Ein Muster stelle ich Ihnen bei Anfrage gern zur Verfügung. Aufgrund der mitunter langen Antwortzeiten sollten Sie sich intern eine Frist setzen und nach deren Ablauf erneut nachfragen.
Schritt 4: Beurteilung des Risikos und der Schutzmaßnahmen
Nach Erhalt der Auskunft folgt die Bewertung des Risikos für die Betroffenen. Hier kommt es insbesondere darauf an, welche Daten Gegenstand der Verarbeitung sind und welche Schutzmaßnahmen vom jeweiligen Dienstleister getroffen worden. Insbesondere folgende Punkte sollten überprüft werden:
• Verarbeitung auf EU-Servern
• Verschlüsselung der Daten, Schutz vor behördlichen Zugriffen
• Zusicherung der Prüfung und Abwehr von Anfragen der US-Behörde
• Zusicherung der Information über Behördenanfragen
• Zusicherung einer Vertragsstrafe bei Verstößen
• Nachweis von Maßnahmen durch Audits
Schritt 5: Weitere Nutzung oder Einstellung
Ist im Ergebnis ein angemessenes Datenschutzniveau gewährleistet, so können Sie den Anbieter weiter nutzen. Wenn nicht, dann sollten Sie die Verarbeitung einstellen und eine Alternative für den Dienstleister suchen.
Schritt 6: Anpassung der Hinweise und des Verzeichnisses
Unabhängig davon, ob Sie den Dienstleister weiter nutzen oder kündigen sind die Informationspflichten (Art. 13 Abs. 1 f DSGVO) und das Verzeichnis der Verarbeitungstätigkeiten anzupassen.
Update vom 20.11.2020
Inzwischen gibt es eine Stellungnahme des Europäische Datenschutzausschusses (EDSA) zur Frage, welche zusätzlichen Maßnahme in Betracht kommen können. Hierzu lesen mehr in meinem Beitrag unter: https://rechtsanwalt-harzewski.de/massnahmen-bei-standardvertragsklauseln/.
Die Organisation von Max Schrems (noyb) hat inzwischen Beschwere gegenüber 101 europäischen Unternehmen erhoben. Hierunter zählen Firmen wie TV Spielfilm, Lieferando und chefkoch, die ihre Websites noch immer unter Verwendung von Facebook Connect und Google Analytics betreiben. Die Übersicht aller Unternehmen finden Sie hier: https://noyb.eu/en/eu-us-transfers-complaint-overview.
Zum Nachlesen: Häufig gestellte Fragen zum Urteil des Gerichtshofs der Europäischen Union in der Rechtssache C-311/18 — Data Protection Commissioner gegen Facebook Ireland Ltd und Maximillian Schrems: abrufbar unter https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_faqs_schrems_ii_202007_adopted_de.pdf
Kommen Sie gern auf mich zu, wenn Sie zum Beispiel bei der Beurteilung des Risikos und der Schutzmaßnahmen Hilfe brauchen.
Auf die Widerruflichkeit der Einwilligung muss vor Abgabe hingewiesen werden. Die Ausübung des Widerrufs muss dabei so einfach wie die Erteilung sein (Art. 7 Abs. 3 S. 4 DSGVO).
Nach Ansicht des EDPB muss der Widerruf nicht durch die gleiche Aktion erfolgen. Wenn die Zustimmung aber auf elektronischem Wege durch einen Mausklick, ein Wischen oder einen Tastendruck eingeholt wird, dann muss der Betroffene seine Einwilligung in gleicher Weise widerrufen können. Demnach ist auch ein Verweis auf ein anderes Medium oder eine andere Schnittstelle unzulässig. Wird die Einwilligung also per Mausklick eingeholt, dann kann deren Widerruf nicht per E-Mail, Fax oder durch einen Anruf verlangt werden.
Häufig wird eine Einwilligung von Betroffenen eingeholt, obwohl für die entsprechende Verarbeitung eine andere Rechtsgrundlage zur Verfügung steht. Auf diese Praxis sollte dringend verzichtet werden.
Denn nach Ansicht des Gremiums der europäischen Datenschutzaufsichtsbehörden (EDPB) ist es nicht zulässig, zwischen den Rechtsgrundlagen zu wechseln. Auch nach Auffassung der deutschen Aufsichtsbehörden verbietet sich ein Rückgriff auf eine andere Rechtsgrundlage, wenn z.B. eine zusätzlich eingeholte Einwilligung widerrufen wird. Dieser soll nach dem Grundsatz der Transparenz und Fairness unzulässig sein.
Widerruft ein Betroffener also seine Einwilligung oder ist diese nicht wirksam, so ist die entsprechende Verarbeitung vom Verantwortlichen einzustellen. Problematisch ist dies dann, wenn der Verantwortliche aber noch zur Verarbeitung vertraglich (Art. 6 Abs. lit. b DSGVO) oder gesetzlich (Art. 6 Abs. lit. c DSGVO) verpflichtet ist.
Beispiel: Die Mustermann GmbH lässt ihre Beschäftigten eine Einwilligung unterzeichnen, dass dienstliche E-Mails gespeichert werden dürfen. Ein Mitarbeiter widerruft seine Einwilligung. Nach Art. 6 Abs. 1 lit. c DSGVO iVm. mit § 257 Abs. 1 Nr. 2, 3, Abs. 4 HGB müssen jedoch Handelsbriefe 6 Jahre aufbewahrt werden. Die Mustermann GmbH kann daher ihrer gesetzlichen Aufbewahrungspflicht nicht nachkommen, da ein Wechsel der Rechtsgrundlage im Nachhinein nicht möglich ist.
Ich empfehle daher, mithilfe des Verarbeitungsverzeichnisses zu überprüfen, ob bestehende Einwilligungen durch andere Rechtsgrundlagen ersetzt werden können.
Die Guidelines 05/2020 on consent under Regulation 2016/679 des EDPB, abrufbar in englischer Sprache unter https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf
Der regelmäßige Passwortwechsel entsprich nach dem aktuellen IT-Grundschutzkompendium nicht mehr dem Stand der Technik. Das Positive: Bei Verwendung von sicheren Passwörtern sparen Sie
sich also künftig Arbeitsaufwände.
Im entsprechenden Baustein ORP.4.A8 heißt es:
„IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden. Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen.“
Die DSK hatte bereits im März 2019 klargestellt, dass ein regelmäßiger Passwortwechsel nicht mehr erforderlich ist, sofern starke Passwörter verwendet werden.
Um eine Kompromittierung zu erkennen, sollten Nutzer-Passworte mit Blacklists abgeglichen werden, z.B. über https://haveibeenpwned.com/ oder https://sec.hpi.de/ilc/search?lang=de.
In den aktuellen Tätigkeitsberichten aus Bayern und Baden-Württemberg werden die häufigsten Datenschutzverletzungen benannt.
Gefahr von Datenschutzverletzungen
Diese sind Cyberangriffe, Verschlüsselungstrojaner, Malware, Verlust, Diebstahl, Software- und Buchungsfehler sowie Fehlversendungen.
Viele Vorfälle hätte man bereits durch Basis-Schutzmaßnahmen vermeiden können. Hierzu gehören zum Beispiel das regelmäßige Einspielen von Sicherheitsupdates und das richtige Durchführen von Datensicherungen ohne großen Aufwand.
Weitere Informationen finden Sie im Bericht aus Bayern auf Seite 63.
Auf das extrem gefährliche Schadprogram Emotet weist der Bericht aus Baden-Württemberg hin. Lesen Sie hierzu ausführlich ab Seite 28 des Tätigkeitsberichts.
Der nachlässige Umgang mit E-Mails kann existenzbedrohend werden. Beschäftigte sollten sensibilisiert und auf die aktuellen Gefahren in Bezug auf Spear Phishing hingewiesen werden. Es ist zu empfehlen, dass Nutzer überhaupt keine schadhaften Anhänge mehr öffnen.
Insgesamt gab es seit Inkraftreten der DSGVO wohl über 160.000 Verstöße mit Strafen in einem Gesamtwert von 114 Millionen Euro.
Fallgruppen von Datenschutzverletzungen
Folgende Fallgruppen kommen bei Datenschutzverletzungen besonders häufig vor:
• Fehlversand von Unterlagen (einfache Verwechslung der Empfängerperson bei Nach- Namensgleichheit; fehlerhaft hinterlegte Kontaktdaten; falschen Zustellung an einen unberechtigten Dritten; automatisierte Kuvertierung, bei der mehrere Briefbögen lediglich einem Briefumschlag beigefügt werden und somit zu einer fehlerhaften Zustellung führen; nichtautomatisierte, händische Kuvertierung von „Massenpost“)
• Verwendung eines offenen E-Mail-Verteilers
• Einbruch und Diebstahl
• Allgemein der Verlust von Unterlagen oder Datenträgern (Verlieren von USB-Sticks, das Verlorengehen von Unterlagen bei Umzügen oder sogar der Verlust infolge eines Brandes)
• Verlust von Unterlagen auf dem Postweg oder durch den Eingriff/die Zerstörung von Briefkästen durch Dritte