0351 418866840
kontakt@rechtsanwalt-harzewski.de

Anwaltskanzlei Harzewski

Kategorie: Zusammenarbeit mit Dritten

Mehrere Spieler mit einer Hand am Ball, wie Unternehmen einer Unternehemnsgruppe

Datenweitergabe im Konzern: DSGVO kennt kein Konzernprivileg

von

am 13. Mai 2025

in Zusammenarbeit mit Dritten

Ein aktuelles Urteil des Bundesarbeitsgerichts (BAG) zeigt: Die Datenweitergabe im Konzern unterliegt denselben datenschutzrechtlichen Anforderungen wie gegenüber externen Dritten. Die DSGVO kennt kein Konzernprivileg – wer innerhalb einer Unternehmensgruppe personenbezogene Daten weitergibt, muss die Vorgaben der Datenschutz-Grundverordnung einhalten.

200 € Schadenersatz für unzulässige Datenübermittlung

In einem jüngst entschiedenen Fall (Pressemitteilung des BAG vom 08.05.2025) hatte ein Unternehmen sensible Mitarbeiterdaten – darunter Gehalt, Adresse und Steuer-ID – im Rahmen eines Softwaretests an die Konzernzentrale übermittelt. Eine bestehende Betriebsvereinbarung erlaubte jedoch nur die Weitergabe bestimmter, ausgewählter Informationen.

Das BAG stellte einen Verstoß gegen Art. 6 Abs. 1 DSGVO fest und sprach dem betroffenen Mitarbeiter immateriellen Schadenersatz nach Art. 82 Abs. 1 DSGVO in Höhe von 200 € zu.

Konzernstrukturen schützen nicht vor DSGVO-Pflichten

Ein häufiger Irrtum: Innerhalb einer Unternehmensgruppe gelte die Weitergabe personenbezogener Daten nicht als Übermittlung. Tatsächlich gilt:

Jede juristische Person im Konzern ist eigenständiger Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO.

Das bedeutet: Datenweitergaben im Konzern müssen immer datenschutzrechtlich geprüft und rechtlich abgesichert sein – entweder durch eine passende Rechtsgrundlage oder durch eine vertragliche Regelung wie bei der Auftragsverarbeitung.

Vertragliche Absicherung ist Pflicht

Die Konstellationen innerhalb einer Unternehmensgruppe sind vielfältig: Es kann sich um eine bloße Datenübermittlung, eine Auftragsverarbeitung oder eine gemeinsame Verantwortlichkeit handeln. Je nach Einordnung fordert die DSGVO den Abschluss spezifischer Verträge:

  • Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO (z. B. bei zentraler IT oder Personalservice)

  • Vertrag über gemeinsame Verantwortlichkeit gem. Art. 26 DSGVO (z. B. bei konzernweiter Nutzung eines gemeinsamen CRM-Systems)

Eine fehlende oder fehlerhafte vertragliche Regelung kann nicht nur zu Bußgeldern führen – sie entzieht auch jeder Datenweitergabe die rechtliche Grundlage.

Datensparsamkeit & Transparenz – auch im Alltag

Die DSGVO verpflichtet Verantwortliche zur Datenminimierung: Es dürfen nur solche personenbezogenen Daten verarbeitet werden, die für den konkreten Zweck erforderlich sind. Dieser Grundsatz gilt nicht nurfür Softwaretests oder konzerninterne Datenflüsse – sondern auch im täglichen Umgang mit Beschäftigtendaten.

Ein besonders drastischer Fall: Das Arbeitsgericht Duisburg (Urteil vom 26.09.2024, Az. 3 Ca 77/24) verurteilte eine Vereinspräsidentin zu 10.000 € Schadenersatz, nachdem sie in einer Rundmail an 10.000 Mitglieder den Krankheitsstand eines Mitarbeiters öffentlich gemacht und dessen Erkrankung infrage gestellt hatte. Hier wurde Art. 9 DSGVO (besondere Kategorien personenbezogener Daten) verletzt.

Was daraus folgt? Selbst gut gemeinte oder beiläufige Mitteilungen überKrankmeldungen können datenschutzrechtlich heikel sein.
Arbeitgeber sollten sichdaher bei Abwesenheitsinformationen auf neutrale Formulierungen wie „nicht im Haus“oder „aktuell abwesend“ beschränken. Eine explizite Nennung des Gesundheitszustandsist nur in absoluten Ausnahmefällen zulässig – etwa, wenn eine konkrete Einwilligungvorliegt oder zwingende gesetzliche Gründe dies erfordern.

Praxistipps für Arbeitgeber und Datenschutzverantwortliche

  • Echte Daten sind keine Testdaten: Wenn Software getestet wird, sollten möglichst anonymisierte oder pseudonymisierte Datensätze verwendet werden.

  • Transparenz schaffen: Beschäftigte müssen wissen, was mit ihren Daten passiert – auch innerhalb der Unternehmensgruppe.

  • Betriebsvereinbarungen einhalten: Bestehende Regelungen dürfen nicht überschritten werden.

  • Gesundheitsdaten schützen: Informationen über Krankmeldungen sind besonders sensibel – neutrale Formulierungen wie „aktuell nicht im Dienst“ sind in der Regel ausreichend.

  • Vertragliche Regelungen prüfen: Ist die Datenweitergabe eine Auftragsverarbeitung oder gemeinsame Verantwortlichkeit? Dann braucht es vertragliche Regelungen.

Rechtsanwalt Robert Harzewski

Data Privacy Framework

Data Privacy Framework

von

am 20. Juli 2023

in Urteile, Zusammenarbeit mit Dritten

Sicherlich haben Sie bereits mitbekommen, dass das sogenannte Data Privacy Framework von der Europäischen Kommission beschlossen wurde. Der Datenaustausch zwischen der EU und den USA soll damit wieder rechtssicher werden.

Für alle Interessierten stellen sich im Wesentlichen nun zwei Fragen:

1. Kann ich meine Daten nun wieder in die USA übermitteln?
2. Wie lang wird das Data Privacy Framework halten?

 

1. Kann ich meine Daten nun wieder in die USA übermitteln?

 

Für den Moment gibt es wieder eine Rechtsgrundlage für die Datenübertragung in die USA. In dem Beschluss der Kommission wird festgelegt, dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die innerhalb des neuen Rahmens aus der EU an US-Unternehmen übermittelt werden. Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten daher aus der EU in die USA übermittelt werden, ohne dass zusätzliche Datenschutzgarantien eingeführt werden müssen. Dies betrifft aber nur solche Unternehmen, die am EU-US-Datenschutzrahmen teilnehmen. Vor einer Datenübermittlung ist daher zu prüfen, ob der US-Datenempfänger von der Datenschutzbehörde zertifiziert ist. Eine Übersicht der zertifizierten Unternehmen finden Sie auf der Data Privacy Framework List.

 

2. Wie lang wird das Data Privacy Framework halten?

Auch wenn Sie den Beschluss drehen und wenden, Sie werden kein Mindesthaltbarkeitsdatum finden.
Die Frage zur Rechtslage nach einem angemessenen Datenschutzniveau in den Vereinigten Staaten ist seit Jahren umstritten. In der Vergangenheit musste der EuGH bereits zweimal eingreifen. Mit den Schrems I und Schrems II Entscheidungen in den Jahren 2015 und 2020 erklärte das Gericht die Vorgänger-Beschlüsse für unwirksam.

Was könnte nun nach Schrems I und Schrems II kommen? Max Schrems hat die neue Klage bereits angekündigt. In einem Webinar, welches hier abgerufen werden kann, spricht er von einer 90%igen Wahrscheinlichkeit, dass das Data Privacy Framework nicht halten wird.
Der EuGH wird wohl mind. 2 Jahre für eine Entscheidung brauchen. Es gibt jedoch auch die Möglichkeit, dass das Gericht den Angemessenheitsbeschluss vorläufig aussetzt. Das könnte schon innerhalb eines halben Jahres passieren, ist aber wenig wahrscheinlich.

Auch wenn es inzwischen wieder mehr Rechtssicherheit gibt, sollte der Einsatz von US-Anbietern weiterhin kritisch hinterfragt werden. In vielen Bereichen gibt es gute europäische Lösungen, welche dann auch nicht betroffen sind, wenn der EuGH den Beschluss erneut für unwirksam erklärt.

 

Rechtsanwalt Robert Harzewski

Facebook-Fanpage abschalten

Staatskanzlei muss Facebook-Fanpage abschalten

von

am 7. Juli 2023

in Zusammenarbeit mit Dritten

Seit geraumer Zeit blicken wir mit Spannung auf die Auseinandersetzung zwischen Aufsichtsbehörden mit öffentlichen Stellen und deren Facebook-Fanpages. Heute wurde nun bekannt, dass die Sächsische Datenschutzbeauftragte Dr. Juliane Hundert der Sächsischen Staatskanzlei untersagt hat, die Facebook-Fanpage „facebook.com/Freistaat.Sachsen“ weiter zu betreiben. Demnach muss die Seite nun innerhalb von 4 Wochen abgeschaltet werden.

Nach der heute veröffentlichten Pressemitteilung kann die Staatskanzlei die Einhaltung der Grundsätze des Datenschutzrechts nicht nachweisen. Um die mit dem Auftritt einhergehenden Rechtsverletzungen gegenüber den betroffenen Personen zu unterbinden, muss die Seite daher abgeschaltet werden.

Die Staatskanzlei hatte zuvor argumentiert, dass sie die Fanpage benötige, um der Informationspflicht gegenüber der Öffentlichkeit nachzukommen. Dem erteilte die Sächsische Datenschutzbeauftragte aber eine klare Absage. Denn die Öffentlichkeitsarbeit darf nur auf rechtmäßige Weise betrieben werden. Die Nutzung von Facebook hingegen ist derzeit nicht ohne Rechtsverstöße möglich.

Wie ein solcher Bescheid, inklusive Verwarnung, aussieht, kann man sich hier anschauen.

Die Sächsische Datenschutzbeauftragte fordert außerdem auch andere öffentliche Stellen auf, sich nicht hinter der Staatskanzlei zu verstecken, sondern aktiv und umgehend die datenschutzwidrige Nutzung ihrer Facebook-Fanpages zu beenden. Die Staatskanzlei selbst kann nun innerhalb eines Monats Klage beim Verwaltungsgericht Dresden erheben. Es bleibt also weiterhin spannend.

Es scheint generell keine gute Woche für Meta, dem Konzern hinter Facebook, zu sein. Mit Urteil vom 04.07.2023 hat der EuGH gerade erst festgestellt, dass Facebook offenbar auch sensible Daten wie solche über die ethnische Herkunft oder sexuelle Orientierung verarbeitet und hierfür wohl eine wirksame Rechtsgrundlage fehle.

 

Rechtsanwalt Robert Harzewski

Google Fonts und Google Analytics

Google Fonts und Google Analytics

von

am 6. Februar 2022

in Urteile, Zusammenarbeit mit Dritten

Bis zum Jahr 2020 war die Welt noch in Ordnung. Corona war hier noch als Bier bekannt und Dienste wie Google Fonts und Google Analytics oder andere US-Webdienste wurden ohne großes Grübeln auf der eigenen Website eingebunden.

 

Die Gefahr auf der eigenen Website

Seit dem Urteil des EuGH vom 16.07.2020, Az.: C-311/18 (Schrems II), dürfen keine Daten mehr auf Grundlage des Privacy Shield in die USA übermittelt werden. Die Inanspruchnahme von US-Anbietern, nur auf Basis des Privacy Shield, ist seitdem nicht mehr möglich.

Nach der Entscheidung des Europäischen Gerichtshofes hatte die EU-Kommission am 04.06.2021 neue Standarddatenschutzklauseln veröffentlicht, welche in den Klauseln 14 und 15 auch „Schrems II“ umsetzen. Da sich die USA und die EU noch immer nicht auf ein Nachfolgeabkommen verständigen konnten, werden nun häufig Standarddatenschutzklauseln als Legitimierung für die Drittlandsübermittlung herangezogen.

Eigentlich könnte die Welt also wieder in Ordnung sein. Da das Datenschutzniveau in den USA aber immer noch als unzureichend bewertet wird, halten die Aufsichtsbehörden ergänzende Prüfungen und Maßnahmen trotz der neuen Klauseln für Datenexporte nötig. Im Klartext: Auch bei Verwendung der neuen Klauseln muss ein Datenexporteur die Rechtslage des Drittlands prüfen und zusätzliche Schutzmaßnahmen ergreifen. Gelingt dies nicht, so darf er zum Beispiel die US-Webdienste nicht auf seiner Website einbinden und nutzen.

Im Ergebnis ist noch immer fraglich, ob die vom Europäischen Datenschutzausschuss empfohlenen Maßnahmen überhaupt von den Anbietern umgesetzt werden können.

Aktuelle Entscheidungen im Einzelnen:

 

Google- Webfonts

Das Landgericht München hält die automatische Weitergabe der IP-Adresse eines Website- Nutzers an Google für einen unzulässiger Eingriff in das allgemeine Persönlichkeitsrecht, wenn der Website-Nutzer darin nicht eingewilligt hat (LG München, Urteil vom 20.01.2022, Az.: 3 O 17493/20). Eine Rechtfertigung könne sich dabei auch nicht über das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) des Websitebetreibers ergeben, da Google Fonts auch ohne dass beim Aufruf der Webseite eine Verbindung zu einem Google-Server hergestellt wird, genutzt werden können. Dieses Urteil betrifft daher sämtliche Dienste von US-Anbietern, die auf der eigenen Website eingebunden werden.

 

Google Analytics

Nach Auffassung der österreichischen Aufsichtsbehörde verstößt die Einbindung von Google Analytics auf Webseiten gegen die Datenschutzgrundverordnung (DSGVO). Dazu schreibt die Behörde in ihrer Begründung: Die mit Google abgeschlossenen "Standardschutzklauseln" würden kein "angemessenes Schutzniveau" bieten, etwa um die "Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichtendienste" zu beseitigen. Im Rahmen der Nutzung von Google Analytics werden zumindest eine einzigartige Nutzer-ID-Nummer, IP-Adresse und Browserparameter an Google übermittelt.

 

Cookiebot

Auch zum Cookie-Banner des Anbieters Cookiebot gibt es eine nennenswerte Entscheidung des VG Wiesbaden vom 01.12.2021, Az.: 6 L 738/21.WI. Das Gericht hat den Websitebesitzer verpflichtet, den Dienst „Cookiebot“ auf seiner Webseite zu beenden, da dieser mit der rechtswidrigen Übermittlung personenbezogener Daten der Webseitennutzer einhergehe. Cookiebot verarbeite die vollständige IP-Adresse der Endnutzer auf Servern eines Unternehmens, dessen Unternehmenszentrale sich in den USA befinde. Hierdurch entstehe ein Drittland-Bezug, nämlich zu den USA, welcher im Hinblick auf die sog. Schrems II-Entscheidung des Europäischen Gerichtshofs so unzulässig sei.

 

Ausweg Einwilligung

Der Ausweg könnte eine Nutzereinwilligungen per Consent Banner sein, welche die Weitergabe von IP-Adressen in die USA legitimieren würde. Nach Art.49 Abs.1 DSGVO soll dies für den bestimmten Fall möglich sein. Umstritten ist noch, ob dies aus der Perspektive des Nutzers zu beurteilen ist. Der Europäische Datenschutzausschuss sieht für den Fall wiederholter, massenhafter oder routinemäßiger Datenübermittlungen in Art. 49 Abs. 1 DSGVO keine wirksame Rechtsgrundlage.

Argumentiert wird aber auch, dass aus Sicht des betroffenen Website-Nutzers im Standardfall gerade nur eine gelegentliche Nutzung vorliegt. Selten wird es vorkommen, dass Nutzer eine Seite mehrfach hintereinander besuchen.
Kommt ein Verzicht auf die eingebundenen US-Webdienste also nicht in Betracht, sollte die Übermittlungen personenbezogener Daten in die USA ebenfalls auf eine Einwilligung gestützt werden. Hier schreibt Art. 49 Abs. 1 DSGVO vor, dass Nutzer über die bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien vorher zu informieren sind. Dies sollte idealerweise bereits im Cookie-Banner erfolgen.

 

Rechtsanwalt Robert Harzewski

Risikoprüfung trotz neuer Standarddatenschutzklauseln

Risikoprüfung trotz neuer Standarddatenschutzklauseln

von

am 28. Juli 2021

in Zusammenarbeit mit Dritten

Neue Standarddatenschutzklauseln

Die EU-Kommission hat am 04.06.2021 neue Standarddatenschutzklauseln veröffentlicht. Diese können hier aufgerufen werden.

Die alten Standardvertragsklauseln waren nur in zwei verschiedenen Versionen verfügbar.  Die neuen Klauseln sind dagegen wie ein Baukasten bestehend aus folgenden Modulen aufgebaut:

  • Modul 1 Controller-to-Controller (Übermittlung an einen eigenständigen Kooperationspartner)
  • Modul 2 Controller to Processor (Übermittlung an einen weisungsgebunden Dienstleister)
  • Modul 3 Processor to Processor (Übermittlung vom EU-Dienstleister an einen Subdienstleister im Drittland)
  • Modul 4 Processor to Controller (Übermittlung vom EU-Dienstleister an den Auftraggeber im
    Drittland)

Der modulare Aufbau macht die künftige Verwendung ein wenig kompliziert. Die Verträge sind händisch anzupassen und die richtigen Module und Optionen auszuwählen. Bei größeren Dienstleistern ist jedoch zu erwarten, dass diese die Arbeit übernehmen.

Bei neuen Verträgen dürfen ab dem 27.09.2021 nur noch die neuen Klauseln benutzt werden. Die bestehenden alten Standardvertragsklauseln können noch bis zum 27.12.2022 verwendet werden.

 

Risikoprüfung trotz neuer Standarddatenschutzklauseln

Der EuGH hatte bereits in seiner Entscheidung vom 16.07.2020 festgestellt, dass Standarddatenschutzklauseln grundsätzlich wirksam sind, da sie wirksame Mechanismen zur Sicherung eines angemessenen Schutzniveaus beim Datenimporteur enthalten. Allerdings reicht der Abschluss der Klauseln nicht in den Fällen, wo im Drittland kein gleichwertiges Schutzniveau gewährleistet werden kann.

Nach der Rechtsprechung des EuGHs müssen Verantwortliche bei der Verwendung der Klauseln daher eine Prüfung der Rechtslage im Drittland durchführen und auch klären, ob zusätzliche Maßnahmen ergriffen werden müssen. Die Vorgaben des EuGH wurden von der Kommission dabei in den  Klausel 14 und 15 umgesetzt.

In Ihrer Pressemitteilung vom 21.06.2021 weist nun die Datenschutzkonferenz (DSK) noch einmal darauf hin, dass sich an der generellen Prüfpflicht, also einer Risikoprüfung trotz neuer Standarddatenschutzklauseln, nichts ändert.

 

Umfang der Prüfung

Weitere Informationen zum Umfang der Prüfung und zu möglichen Maßnahmen finden Sie in meinem Beitrag Maßnahmen bei Standardvertragsklauseln und in den entsprechenden Empfehlungen des Europäische Datenschutzausschusses (EDSA).

 

Stellungnahmen der Aufsichtsbehörden

Die Hessische Beauftragte für Datenschutz weist in seiner Pressemitteilung in diesem Zusammenhang noch einmal darauf hin, dass ohne zusätzliche Schutzmaßnahmen ein Transfer von personenbezogenen Daten in Drittländer wie die USA nicht zulässig ist. Er erwartet konkret, dass Verantwortliche

  • nachweisen können, dass sie die erforderlichen Prüfungen durchgeführt haben und
  • erste Schritte eingeleitet haben, um betreffende Verfahren DSGVO-konform zu gestalten,
  • umgehende Wechsel von Dienstleistern/ Verfahren durchführen, wo funktional gleichwertige, datenschutzgerecht einsetzbare Alternativen existieren,
  • für den Fall komplexerer Verfahren ein Fahrplan für die Umsetzung erstellen.

Auch von der bayerischen Aufsicht (BayLDA) wird die Erwartungshaltung formuliert, dass Übermittlungen ins Drittland, welche nicht die Anforderungen der DSGVO erfüllen, beendet werden müssen. Dies kann vor allem in den Fällen erforderlich sein, wo der Datenempfänger in den Anwendungsbereich des US-Gesetzes FISA 702 fällt und nicht garantiert werden kann, dass US-Behörden keinen Zugang erhalten können.

Rechtsanwalt Robert Harzewski

Bewertung des Datenschutzniveaus

Bewertung des Datenschutzniveaus

von

am 3. März 2021

in Zusammenarbeit mit Dritten

Die Bewertung des Datenschutzniveaus verursacht nach Wegfall des Privacy-Shields bei vielen Verantwortlichen noch immer Sorgenfalten. Nach Auffassung des EDSA soll jeder Datenexporteur grundsätzlich selbst beurteilen, ob die Rechtsordnung des Drittlandes den Schutz der übermittelten Daten sicherstellt.

Auch der Einsatz von Office 365 ist derzeit nicht ohne weiteres datenschutzkonform möglich. Hierzu hatte ich bereits in der Dezember-Ausgabe meines Newsletters im vergangen Jahr berichtet. Das Unternehmen, also Microsoft, informiert nun, wie es mit Anfragen von US-Strafverfolgungsbehörden umgeht, die Zugriff auf Daten fordern, die auf Cloud-Servern von Microsoft, aber außerhalb der USA liegen. Dies können Sie hier nachlesen: https://news.microsoft.com/de-de/im-daten-dschungel-wie-microsoft-mit-dem-cloud-act-umgeht/

Im Rahmen der 100. Sitzung der DSK hatte die Aufsichtsbehörde aus Berlin nun um Unterstützung bei der Erarbeitung von Vorschlägen für ein gemeinsames
Vorgehen der deutschen Aufsichtsbehörden zur Umsetzung des EuGH-Urteils „Schrems II“ gebeten. Dabei hat sie vorgeschlagen, hinsichtlich der Rechtssituation in den USA ein Gutachten zu beauftragen (DSK, Protokoll der 100. Sitzung, TOP 22). Dies würde eine einheitliche Bewertung des Datenschutzniveaus aller Aufsichtsbehörden ermöglichen.

Es bleibt also die Hoffnung, dass schon es schon bald weitere Hilfestellungen geben wird. Das wäre insbesondere konstruktiver, als die unablässige Warnung vor einzelnen Anbietern. Zuletzt hatte die Landesbeauftragte für den Datenschutz in Berlin vor der Nutzung führender Videokonferenzsysteme wie Microsoft Teams, Skype, Zoom, Google Meet, GoToMeeting, Teamviewer und Cisco WebEx abgeraten.

Lesen Sie dazu auch den Beitrag im Handelsblatt, den Sie hier aufrufen können.

Rechtsanwalt Robert Harzewski

Neue Standarddatenschutzklauseln

Neue Standarddatenschutzklauseln

von

am 28. Januar 2021

in Zusammenarbeit mit Dritten

Zur Erinnerung: Der EuGH hatte am 16.07.2020 den Privacy Shield und damit einer der wichtigsten Grundlagen für die Übermittlung von Daten in die USA für ungültig erklärt. Lesen Sie dazu mehr in meinem Beitrag: Privacy Shield ist ungültig.

 
Mit dem Wegfall nutzten viele US-Dienstleister die Möglichkeit, den Datentransfer über die Standarddatenschutzklauseln zu rechtfertigen. Da der EuGH aber auch festgestellt hat, dass in den USA kein gleichwertiges Schutzniveau gewährleistet werden kann, war die Vereinbarung zusätzlicher Maßnahmen erforderlich. Hierzu gab es die Empfehlungen des Europäischen Datenschutzausschusses (EDSA), worüber ich in meinem Beitrag zu Maßnahmen bei Standardvertragsklauseln berichtet habe.

 

Neue Standarddatenschutzklauseln

Momentan gibt es eine intensive Diskussion zu den neuen Standarddatenschutzklauseln. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, ist sehr zufrieden mit dem bisherigen Ergebnis (Pressemitteilung vom 15.01.2021).

 
Die neuen Klauseln sollen nun solche Garantien vorsehen, um etwaige Auswirkungen der Gesetze des Drittlands auf die Einhaltbarkeit der Klauseln durch den Datenimporteur zu regeln.

 

Übergangsregelung für den Transfer personenbezogener Daten in das Vereinigte Königreich

In Handels- und Kooperationsabkommen zwischen dem Vereinigten Königreich und der Europäischen Union ist eine neue Übergangsregelung für einen Zeitraum von maximal 6 Monaten seit dem 01.01.2021 für Datenübermittlungen vorgesehen. Innerhalb dieser Übergangsfrist wird der Datentransfer nach Großbritannien und Nordirland nicht als Transfers in ein Drittstaat angesehen.

 
Die Pressemitteilung der DSK vom 28.12.2020 können Sie hier abrufen.

Gibt es bis zum Auslauf der Frist keinen Angemessenheitsbeschluss der EU-Kommission wird wohl auch hier ein Umstieg auf Standarddatenschutzklausen nötig sein. Die Aufsichtsbehörde aus Baden Württemberg empfiehlt, sich auf dieses Szenario schon einmal vorzubereiten.

Die aktuelle Meldung vom Landesbeauftragten für Datenschutz in Baden Württemberg können Sie hier einsehen.

Rechtsanwalt Robert Harzewski

Standardvertragsklauseln

Maßnahmen bei Standardvertragsklauseln

von

am 20. November 2020

in Aufsichtsbehörden, Zusammenarbeit mit Dritten

Nach dem Wegfall des Privacy-Shields bleibt in der Praxis eine große Verunsicherung, wie mit US-Dienstleistern umzugehen ist, die nicht ersetzt werden können. Nach dem Urteil des EuGH (Schrems 2) ist der Datentransfer in die USA allein unter der Verwendung der Standardvertragsklauseln unzulässig. Für die Verarbeitung im Drittland USA braucht es zusätzliche Maßnahmen.

In der Praxis stellt sich daher nun die Frage, welche zusätzlichen Garantien zu Standardvertragsklauseln denn ausreichend währen.

Zulässigkeit der Datenverarbeitung im Drittstaat

Nachfolgende Übersicht zeigt noch einmal auf welcher Grundlage eine Datenverarbeitung im Drittstaat zulässig sein kann. Im Fall der Standardvertragsklauseln oder Standarddatenschutzklauseln muss zudem überprüft werden, ob ein gleichwertiges Schutzniveau bei der Verarbeitung im Drittland existiert.

Standardvertragsklauseln

Stellungnahme des Europäische Datenschutzausschusses (EDSA)

Zur Frage, welche zusätzlichen Maßnahme in Betracht kommen können, hat sich nun auch der Europäische Datenschutzausschuss (EDSA) geäußert. Die Empfehlung kann hier abgerufen werden.

Der Europäische Datenschutzausschuss stellt, wenig hilfreich fest, dass:

- die ergänzenden Maßnahmen grundsätzlich vertraglicher, technischer oder organisatorischer Art sein können.
- vertragliche und organisatorische Maßnahmen aber allein nicht ausreichen, um den Zugriff von Behörden aus dem Drittland zu verhindern.
- es Fälle gibt, in denen nur technische Maßnahmen diesen Zugriff verhindern können.

Sie müssen daher von Fall zu Fall ermitteln, welche zusätzlichen Maßnahmen wirksam sein könnten.

In seiner Empfehlung vom 10.11.2020 gibt der EDSA weitere Beispiele für zusätzliche Maßnahmen:

 

Technische Maßnahmen

- starke Verschlüsselung von personenbezogenen Daten vor der Übermittlung bei Datenspeicherung zu Sicherungszwecken (kein Zugriff des Dienstleisters erforderlich)
- Übertragung ausschließlich pseudonymisierter Daten, so dass Zuordnung zu bestimmten Personen im Drittland nicht möglich ist
- Verschlüsselung von Daten, die lediglich Drittländer durchqueren
Bei Cloud-Anbietern, die Zugriff auf die Daten benötigen, um ihre Dienstleistung überhaupt ausführen zu können oder bei Fernzugriffen soll es dagegen keine wirksamen technischen Maßnahmen geben.

 

Vertragliche Maßnahmen

- Verpflichtung des Dienstleisters auf die Einhaltung bestimmter technischer Maßnahmen
- Information/ Auskunft über das Recht des Zugriffs auf Daten im Drittland von Seiten der Behörden
- Klauseln die bestätigen, dass keine Hintertüren für den Zugriff auf das System existieren
- Vereinbarung von Vertragsstrafen, außerordentlichen Kündigungsrechten bei Nichteinhaltung der zusätzlichen Maßnahmen
- Stärkung der Kontrollrechte
- Mitteilungspflicht des Dienstleister, bevor sich Änderungen durch Gesetzgebung oder Praxis des Drittlandes ergeben mit Klauseln, die dann eine Aussetzung/ Rückgabe der verarbeiteten Daten möglich machen
- Verpflichtung des Dienstleisters, behördliche Anordnungen zunächst anzufechten und auszusetzen sowie wenn mögliche eine gerichtliche Entscheidung zu erwirken
- Mitteilungspflichten, wenn Anfragen von Behörden erfolgen

 

Organisatorische Maßnahmen

 

- Richtlinien für Fälle verdeckter oder behördlicher Anfragen, um auf Daten zuzugreifen
- Verfahren zur Schulung für Personal, welches bei diesen Anfragen zuständig ist
- Protokollierung eingegangener behördlicher Anfragen und des weiteren Verfahrens
- Datenminimierung z.B. durch eingeschränkte Zugriffsrechte bei Supportfällen
- Einhaltung von Zertifizierungen und Standards

 

Prüfschritte

Wenn ein Wechsel des US-Dienstleisters für Sie nicht in Betracht kommt, dann sollten Sie die in meinem Beitrag "Privacy Shield ist ungültig" aufgezählten Prüfschritte durchgehen.

Kommen Sie gern auf mich zu, wenn Sie zum Beispiel bei der Beurteilung des Risikos und der Schutzmaßnahmen Hilfe brauchen.

Rechtsanwalt Robert Harzewski

Privacy Shield ist ungültig

Privacy Shield ist ungültig

von

am 21. Juli 2020

in Aufsichtsbehörden, Urteile, Zusammenarbeit mit Dritten

Überraschend hat der EuGH den Beschluss der EU-Kommission über die Angemessenheit des vom „Privacy Shield“ gebotenen Schutzes für ungültig erklärt. Auf Basis des Privacy Shield dürfen nun keine personenbezogenen Daten mehr in die USA übermittelt werden.
Dieser Beitrag zeigt Ihnen kurz die Hintergründe, die Entscheidung des Gerichts und die praktischen Folgen des Urteils.

 

Hintergrund

Die Datenschutzgrundverordnung (DSGVO) stellt innerhalb der Europäischen Union bzw. im Europäischen Wirtschaftsraum (EWR) einen einheitlichen Datenschutz sicher. Dieser soll bei der Übermittlung von personenbezogenen Daten in ein anderes Land (außerhalb EU bzw. EWR) nicht untergraben werden. Daher dürfen personenbezogene Daten in der Regel nur dann in ein Drittland übermittelt werden, wenn dieses ein angemessenes Schutzniveau gewährleisten kann.
Das angemessene Datenschutzniveau kann insbesondere durch einen sogenannten Angemessenheitsbeschluss der EU-Kommission oder aber auch durch den Abschluss von sogenannten Standardvertragsklauseln nachgewiesen werden.

 

Angemessenheitsbeschluss

Eine Übermittlung personenbezogener Daten in einen Drittstaat ist zulässig, wenn für das betreffende Drittland ein Angemessenheitsbeschluss der Europäischen Kommission vorliegt.
Ein Angemessenheitsbeschluss bescheinigt dem Drittland oder der betreffenden Organisation ein angemessenes Datenschutzniveau. Zugleich wird die Übermittlung von Daten in ein Drittland oder an eine betreffende Organisation privilegiert, so dass es keiner weiteren Genehmigungen bedarf. Im Rahmen des Beschluss zum EU-US Privacy-Shield hatten sich mehr als 5000 US-Unternehmen zertifiziert. Die Übermittlung von Daten an diese Unternehmen war daher bisher zulässig.

 

Standardvertragsklauseln

Bietet ein Drittland kein angemessenes Datenschutzniveau, können ohne aufsichtsbehördliche Genehmigung auch Standard-Datenschutzklauseln der Europäischen Kommission verwendet werden. In diesem Fall verpflichtet sich das außereuropäische Unternehmen zur Einhaltung eines angemessenen und den Anforderungen aus der DSGVO entsprechenden Datenschutzniveaus.

 

Das Urteil des EuGH

Nach dem Urteil des EuGH (Urteil vom 16.07.2020, Az.: C-311/18) dürfen nun keine Daten mehr auf Grundlage des Privacy Shield in die USA übermittelt werden. Die Inanspruchnahme von US-Anbietern, nur auf Basis des Privacy Shield ist daher rechtswidrig.

Nach amerikanischem Recht können Unternehmen verpflichtet werden, die ihr übermittelten personenbezogenen Daten amerikanischen Behörden wie der National Security Agency (NSA) und dem Federal Bureau of Investigation (FBI) zur Verfügung zu stellen.

Hierzu stellte das Gericht fest:
„Die von der Kommission im [Privacy Shield] bewerteten Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in die Vereinigten Staaten übermittelt werden, zugreifen und sie verwenden dürfen, [sind] nicht dergestalt geregelt, dass damit Anforderungen erfüllt würden, die den im Unionsrecht nach [nach dem Grundsatz der Verhältnismäßigkeit] bestehenden Anforderungen der Sache nach gleichwertig wären.“

Weiter heißt es:
„[Es kann] nicht angenommen werden […], dass die auf diese Vorschriften gestützten Überwachungsprogramme auf das zwingend erforderliche Maß beschränkt sind.“

Die Pressemitteilung kann hier abgerufen werden: https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf

Das Urteil steht hier zum Dowload bereit: http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=9732082

 

Praktische Folgen

[Aktualisiert am 11.09.2020]

Die Übermittlung von Daten in die USA, die ausschließlich auf der Grundlage vom Privacy Shield erfolgt, muss entweder eingestellt werden oder benötigt eine andere Grundlage. Hierfür gibt es leider keine Übergangsfrist. Im Fall der Datenübermittlung in die USA reichen Standardvertragsklauseln ohne weitere zusätzliche Garantien nicht aus.
Die Aufsichtsbehörde aus Baden Württemberg empfiehlt insoweit den Abschluss gesonderter Vereinbarungen. Dies können Sie in der entsprechenden Orientierungshilfe ab S. 11 nachlesen.

Ich persönlich glaube nicht, dass der Abschluss einer zusätzlichen Vereinbarungen mit den großen US-Anbietern gelingen wird. Die Diskussion darüber bleibt unübersichtlich. Meine Empfehlung ist: Suchen Sie nach Alternativen aus Deutschland oder zumindest der EU.

Folgende Prüfungsschritte sollten Sie zumindest unternehmen, wenn ein Wechsel des Dienstleisters für Sie nicht in Betracht kommt:

 

Schritt 1: Bestandsaufnahme

Finden Sie zunächst heraus, welche Daten in die USA übermittelt werden. Daten können grundsätzlich an Auftragsverarbeiter, Gemeinsam Verantwortliche oder selbst Verantwortliche übermittelt werden. Prüfen Sie auch die Subauftragnehmer ihrer Auftragsverarbeiter. Diese finden Sie regelmäßig im Auftragsverarbeitungsvertrag bzw. in dessen Anlagen. Sie werden feststellen, dass zahlreiche deutsche Anbieter noch immer US-Dienste nutzen.

 

Schritt 2: Prüfen der Rechtsgrundlage

Prüfen Sie nun, ob mit den betreffenden US-Anbietern Standardvertragsklauseln abgeschlossen wurden. Eher selten kommen als Rechtsgrundlage auch erforderliche Datentransfers oder Einwilligungen (Art. 49 DSGVO) der Betroffenen in Betracht.

 

Schritt 3: Anfrage beim Dienstleister

Um das Datenschutzniveau prüfen zu können, müssen Sie nun jeden einzelnen Dienstleister anfragen. Ein Muster stelle ich Ihnen bei Anfrage gern zur Verfügung. Aufgrund der mitunter langen Antwortzeiten sollten Sie sich intern eine Frist setzen und nach deren Ablauf erneut nachfragen.

 

Schritt 4: Beurteilung des Risikos und der Schutzmaßnahmen

Nach Erhalt der Auskunft folgt die Bewertung des Risikos für die Betroffenen. Hier kommt es insbesondere darauf an, welche Daten Gegenstand der Verarbeitung sind und welche Schutzmaßnahmen vom jeweiligen Dienstleister getroffen worden. Insbesondere folgende Punkte sollten überprüft werden:
• Verarbeitung auf EU-Servern
• Verschlüsselung der Daten, Schutz vor behördlichen Zugriffen
• Zusicherung der Prüfung und Abwehr von Anfragen der US-Behörde
• Zusicherung der Information über Behördenanfragen
• Zusicherung einer Vertragsstrafe bei Verstößen
• Nachweis von Maßnahmen durch Audits

 

Schritt 5: Weitere Nutzung oder Einstellung

Ist im Ergebnis ein angemessenes Datenschutzniveau gewährleistet, so können Sie den Anbieter weiter nutzen. Wenn nicht, dann sollten Sie die Verarbeitung einstellen und eine Alternative für den Dienstleister suchen.

 

Schritt 6: Anpassung der Hinweise und des Verzeichnisses

Unabhängig davon, ob Sie den Dienstleister weiter nutzen oder kündigen sind die Informationspflichten (Art. 13 Abs. 1 f DSGVO) und das Verzeichnis der Verarbeitungstätigkeiten anzupassen.

 

Update vom 20.11.2020

Inzwischen gibt es eine Stellungnahme des Europäische Datenschutzausschusses (EDSA) zur Frage, welche zusätzlichen Maßnahme in Betracht kommen können. Hierzu lesen mehr in meinem Beitrag unter: https://rechtsanwalt-harzewski.de/massnahmen-bei-standardvertragsklauseln/.

 

Die Organisation von Max Schrems (noyb) hat inzwischen Beschwere gegenüber 101 europäischen Unternehmen erhoben. Hierunter zählen Firmen wie TV Spielfilm, Lieferando und chefkoch, die ihre Websites noch immer unter Verwendung von Facebook Connect und Google Analytics betreiben. Die Übersicht aller Unternehmen finden Sie hier: https://noyb.eu/en/eu-us-transfers-complaint-overview.

Zum Nachlesen: Häufig gestellte Fragen zum Urteil des Gerichtshofs der Europäischen Union in der Rechtssache C-311/18 — Data Protection Commissioner gegen Facebook Ireland Ltd und Maximillian Schrems: abrufbar unter https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_faqs_schrems_ii_202007_adopted_de.pdf

Kommen Sie gern auf mich zu, wenn Sie zum Beispiel bei der Beurteilung des Risikos und der Schutzmaßnahmen Hilfe brauchen.

Rechtsanwalt Robert Harzewski

Flucht vor Social Media

Flucht vor Social Media

von

am 13. Februar 2020

in Zusammenarbeit mit Dritten

Sicher haben Sie mitbekommen, dass sich der Landesbeauftragte für Datenschutz aus Baden-Württemberg seit dem 31. Januar von Twitter verabschiedet hat. Man könnte fast von einer Flucht vor Social Media-Anbietern sprechen. Um das dahinterliegende Problem zu verstehen, braucht es einen Rückblick zur bisherigen Facebook-Rechtsprechung.

Fanpage-Betreiber sollten zumindest zwei Urteile kennen:

1. Der EuGH hatte am 05.06.2018 entschieden, dass Betreiber einer Facebook-Fanpage neben Facebook als Mitverantwortliche zu betrachten sind.
2. Das Bundesverwaltungsgericht hat am 11.09.2019 entschieden, dass Aufsichtsbehörden auch gegen Fanpage-Betreiber vorgehen können, um diese zur Abschaltung zu zwingen.

Das Problem: Die meisten Betreiber sozialer Nerzwerke bieten noch immer keine ausreichende Vereinbarung nach Art. 26 DSGVO an. Neben den zum Teil nicht umgesetzten Informationspflichten fehlt es auch an Rechtsgrundlagen. Der Betrieb fast aller sozialer Medien/Plattformen, insbesondere der Facebook-Fanpage, erfolgt daher rechtswidrig.

Die Landesdatenschutzbeauftragte aus Nordrhein-Westfalen fordert, dass sich Behörden aus Facebook zurückziehen. Sie sollen “ihre Accounts bei Facebook löschen”. Damit erst gar kein Risiko entsteht, dass Facebook Bürger ausspioniert, Daten abgegriffen und missbraucht werden.

Für den nichtöffentlichen Bereich warnt der Datenschutzbeauftragte aus Bayern davor, dass Fanpage-Betreiber damit rechnen müssen, Adressat von Anordnungen der Aufsichtsbehörden zu werden.

Rechtsanwalt Robert Harzewski

Anwaltskanzlei Harzewski

 
Königsbrücker Landstraße 5
01109 Dresden

Datenschutzbeauftragter Harzewski

 
Torgauer Str. 5
01127 Dresden

Sprechzeiten

 

Montag bis Freitag:

09.00 Uhr bis 18.00 Uhr

 

Dienstag:

20:00 Uhr bis 22:00 Uhr

Kontakt

Telefon:  0351 418866840

Telefax:  0351 418866849

E-Mail:    kontakt@rechtsanwalt-harzewski.de

Design von South Bird Design