Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht

Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

am 12.11.2019 hat der Europäische Datenschutzausschuss seine dritte „Jährliche Überprüfung des EU-US-Privacy-Shield“ veröffentlicht. Der Bericht bestätigt, dass die USA seit der Überprüfung im Vorjahr diverse Verbesserungen vorgenommen hat, um die Daten von EU-Bürgern in den USA zu schützen. Zu den wesentlichen Verbesserungen gehört es nach Auffassung des Europäischen Datenschutzausschusses, dass US-Unternehmen, die unter dem EU-US-Privacy-Shield zertifiziert sind, stichprobenartig auf die Einhaltung des EU-Datenschutzrechts überprüft werden. Insgesamt sei das EU-US-Privacy Shield eine „Erfolgsgeschichte“.

Die Erfolgsgeschichte könnte jedoch bald enden. Gegenwärtig ist das EU-US-Privacy-Shield und dessen Schutzniveau Gegenstand eines Verfahrens vor dem Europäischen Gerichtshof (EuGH, Az. T-738/16). Der Ausgang dieses Verfahrens könnte den Datenaustausch zwischen der EU und den USA massiv beeinflussen, wenn der EuGH – wie bei dem Vorgängerabkommen Safe Harbor – nicht von einer angemessenen Absicherung der Datenübermittlung ausgeht. Für diese Auffassung gibt es durchaus einige Argumente, etwa die Ausdehnung der Zugriffsbefugnisse für staatliche Stellen durch den US-Cloud-Act.

Zur Bewertung der Einhaltung der geltenden datenschutzrechtlichen Vorgaben und Prüfung eines angemessenen Datenschutzniveaus hat die Datenschutzkonferenz („DSK“), der Zusammenschluss der Datenschutzbehörden der Länder und des Bundes, eine neue Version des Datenschutz-Standardmodells veröffentlicht. Mit dem Datenschutz-Standardmodell befassen wir uns in dieser Ausgabe im Rahmen unseres Schwerpunktthemas genauer.

Daneben informieren wir Sie wie gewohnt über weitere Neuigkeiten zu verschiedenen datenschutzrechtlichen Fragenstellungen, etwa über die Bewertung der DSK zum Einsatz von Windows 10 in Unternehmen und das bisher höchste DSGVO-Bußgeld in Deutschland gegen die „Deutsche Wohnen“.

Aufgrund der Feiertage erhalten Sie den nächsten Datenschutz-Newsletter erst wieder am Dienstag, den 14. Januar 2020. Wir wünschen Ihnen daher schon jetzt frohe und besinnliche Feiertage sowie viel Vergnügen bei der Lektüre dieser Ausgabe!

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters können Sie sich an die E-Mail-Adresse datenschutz@brandi.net wenden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Das Standard-Datenschutzmodell der Aufsichtsbehörden

Bei einer generellen Überprüfung der datenschutzrechtlichen Vorgaben, sind eine Vielzahl von Einzelnormen zu berücksichtigen, aus denen sich jeweils konkrete Anforderungen für die Verarbeitungsaktivitäten ableiten lassen. Zahlreiche Normen definieren dabei nur abstrakte Vorgaben, die dann in der konkreten Situation interpretiert werden müssen. Die verantwortliche Stelle muss etwa gem. Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen treffen, mit denen die Risiken für die Rechte und Freiheiten natürlicher Personen gemindert werden können. Daneben gelten weitere Grundsätze wie der Grundsatz der Datenminimierung und der Grundsatz der Verhältnismäßigkeit. Konkrete Vorgaben dazu, welche Schutzmaßnahmen getroffen werden müssen und wie die datenschutzrechtlichen Prinzipien umgesetzt werden können, enthält die DSGVO nicht. Die zutreffende Interpretation der Datenschutz-Grundsätze in der DSGVO, also die Subsumtion unter den Verordnungstext, ist deswegen insbesondere für juristische Laien vielfach nur schwer nachzuvollziehen.

Das Standard-Datenschutzmodell der Datenschutzaufsichtsbehörden der Länder und des Bundes („Datenschutzkonferenz“ bzw. „DSK“) soll den Einstieg in die Thematik erleichtern und die abstrakten Anforderungen der DSGVO in konkrete Schutzmaßnahmen überführen. Nach dem Ziel der DSK soll das Datenschutzrecht damit leichter verstanden und angewendet werden können.

Zum vollständigen Schwerpunktthema

DSK: Einsatz von Windows 10 in Unternehmen

Die DSK hat ein Prüfschema samt Anhang veröffentlicht, an dem sich Unternehmen orientieren können, wenn sie Windows 10 in ihren Unternehmen datenschutzkonform einsetzen möchten. Das Prüfschema gliedert sich in einen Überblick über die Funktionen und Datenübermittlungen bei Windows 10 sowie zusätzliche Hinweise zur rechtlichen Bewertung.

Das Hauptproblem im Rahmen der rechtlichen Bewertung von Windows 10 ist die Erhebung von Telemetriedaten durch Microsoft über das Nutzungsverhalten beim Einsatz von Windows 10. Die Übertragung dieser Telemetriedaten lässt sich zwar in den Versionen Windows 10 Pro und Windows 10 Enterprise reduzieren, aber auch bei sorgfältiger Konfiguration nicht vollständig unterbinden. Die korrekte Konfiguration und passende Bewertung wird dabei dadurch erschwert, dass Microsoft nicht nachvollziehbar darüber informiert, welche Informationen im Rahmen der Telemetriedaten konkret übermittelt werden. Hierdurch wird eine verlässliche rechtliche Bewertung für die Nutzung von Windows 10 nahezu unmöglich und der rechtskonforme Einsatz von Windows 10 deutlich erschwert.

Diese Problemstellungen erkennt auch die DSK, stellt sie im Rahmen des Prüfschemas aber nicht deutlich heraus. Dies mag damit zusammenhängen, dass ein flächendeckendes Verbot der Nutzung von Windows 10 im betrieblichen Umfeld, dass theoretisch Folge einer kritischen Würdigung der rechtlichen Gesichtspunkte sein könnte, gravierende Auswirkungen für die Wirtschaft und die deutschen Behörden hätten, da diese ganz überwiegend Windows 10 verwenden. Ein solches Ergebnis wäre daher wohl nicht vermittelbar und auch nicht durchsetzbar.

Die Landesdatenschutzbeauftragte von Niedersachsen hat unterdessen angedeutet, dass der Einsatz von Windows 10 vorerst nur bei Behörden überprüft wird. Das Problem könnte dadurch gelöst werden, dass Microsoft seine Dienste weiter an die Anforderungen der Behörden anpasst.

Bußgeld gegen Immobiliengesellschaft in Höhe von 14,5 Mio. Euro

Die Berliner Landesdatenschutzbeauftragte hat das bisher in Deutschland höchste DSGVO-Bußgeld in Höhe von 14,5 Mio. Euro gegen die Immobiliengesellschaft Deutsche Wohnen verhängt, weil diese ein bereits 2017 von der Behörde beanstandetes, aber auch bis 2019 nicht angepasstes datenschutzwidriges Archivsystems verwendet, in welchem personenbezogene Daten von Mietern gespeichert wurden. In den begutachteten Einzelfällen konnten daher teilweise Jahre alte private Angaben betroffener Mieterinnen und Mieter eingesehen werden. Es handelte sich dabei um Daten zu den persönlichen und finanziellen Verhältnissen der Mieterinnen und Mieter, wie z. B. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.

Es ist zu erwarten, dass die Deutsche Wohnen gegen den Bußgeldbescheid gerichtlich vorgehen wird. In diesem Sinne hat sich jedenfalls die Deutsche Wohnen direkt bei Bekanntgabe der Entscheidung der Aufsichtsbehörde geäußert. Während der Datenschutzverstoß selbst nur schwer in Abrede gestellt werden kann, dürfte vor allem die Berechnung der Bußgeldhöhe angreifbar sein. Das neue Bußgeldmodell der Datenschutzkonferenz zur Berechnung entsprechender Bußgelder ist ohnehin in der Kritik und klare gerichtliche Vorgaben gibt es bisher hierzu noch nicht. Über diese Problematik haben wir bereits in unserem letzten Schwerpunktthema berichtet.

Bei der Bewertung der Entscheidung der Aufsichtsbehörde fällt auf, dass es der Deutschen Wohnen trotz der relativ langen Dauer des Aufsichtsverfahrens offensichtlich nicht gelungen ist, innerhalb angemessener Zeit den von der Aufsichtsbehörde gerügten Zustand abzustellen. Vor diesem Hintergrund ist wenig verwunderlich, dass die Aufsichtsbehörde ein deutliches Signal setzen wollte.

Für andere Unternehmen, die Mieterdaten verarbeiten, hat das Bußgeldverfahren keine unmittelbare Auswirkung. Mittelbar dürfte ausgehend von der medialen Aufmerksamkeit, die dieses Thema durch die Berichterstattung erfährt, aber zukünftig wohl eine stärkere Sensibilisierung für das Thema „Archivierung von Mieterdaten“ bestehen. Unternehmen können sich bei einem ähnlichen Vorgehen nur schwerlich darauf berufen, dass Ihnen der Verstoß gegen das Datenschutzrecht in diesem Fall auch bei größter Sorgfalt nicht erkennbar war, und Mieter werden zukünftig ebenfalls häufig die Frage der Archivierung von Daten ansprechen.

Unabhängig von konkreten Anfragen kann es schon jetzt sinnvoll sein, die eigene Archivierung von Daten kritisch zu hinterfragen. Soweit ein Löschkonzept vorliegt, dass auch tatsächlich die Löschung von Altdaten vorsieht, dürften Unternehmen aber bereits deutlich besser als die Deutsche Wohnen aufgestellt sein, da diese ein Archivsystem verwendete, das keine solche Löschmöglichkeit vorsah.

Spanien: 30.000 Euro Bußgeld wegen Cookie-Banner

In Spanien wurde gegen den Fluganbieter Vueling ein Bußgeld in Höhe von 30.000 Euro verhängt, weil dieser auf der Homepage in einem Banner die Aussage verwendete, dass Nutzer mit dem Weitersurfen auf der Homepage der Verwendung von Cookies zustimmen.

Entgegen dem ersten Eindruck hängt dieses Bußgeld aber nicht mit der Entscheidung des europäischen Gerichtshofs vom 01.10.2019 zusammen, in der sich der EuGH mit den Anforderungen an den Einsatz von Cookies insbesondere in Deutschland beschäftigt hat (EuGH Az. C‑673/17). Vielmehr gibt es in Spanien ein nationales E-Commerce-Gesetz, dass seit einigen Jahren den Einsatz von Cookie-Management-Systemen vorschreibt. Die Aufsichtsbehörde hat den Verstoß gegen dieses nationale spanische Gesetz gerügt und musste insoweit nicht auf das Urteil des EuGHs zurückgreifen.

EU-Parlament bestätigt Europäischen Datenschutzbeauftragten

Das EU-Parlament hat den polnischen Juristen Wojciech Wiewiórowski zum europäischen Datenschutzbeauftragten benannt. Wiewiórowski hatte das Amt nach dem Tod seines Amtsvorgängers seit August bereits übergangsweise inne. Der polnische Verfassungsrechtler ist jetzt für einen Zeitraum von fünf Jahren gewählt worden.

Der Europäische Datenschutzbeauftragte („EDPS“) ist die Datenschutz-Aufsichtsbehörde für die europäischen Institutionen wie beispielsweise die EU-Kommission und das EU-Parlament; darüber hinaus stimmt sich der Europäische Datenschutzbeauftragte auch in Grundsatzfragen mit den anderen Aufsichtsbehörden ab.