Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht

Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

in unserem Datenschutz-Newsletter informieren wir Sie regelmäßig über aktuelle datenschutzrechtliche Entwicklungen. Auch in dieser Ausgabe finden Sie wie gewohnt Beiträge zu aktuellen Entwicklungen aus dem Datenschutzrecht, unter anderem zu einer Prüfaktion deutscher Aufsichtsbehörden zum internationalen Datentransfer. In dem Schwerpunktthema berichten wir in diesem Monat über die neuen Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittstaaten.

Nicht nur in unserem Newsletter halten wir Sie über aktuelle rechtliche Themen auf dem Laufenden. In unserem BRANDI Report und neuerdings auch in unserem BRANDI Blog berichten wir regelmäßig über aktuelle rechtliche Themen und Neuigkeiten aus der Kanzlei. Über die aktuelle Ausgabe des BRANDI Reports und den neuen BRANDI Blog informieren wir in diesem Newsletter.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer,  Dr. Christoph Rempe und das Datenschutzteam von BRANDI

Thema des Monats: Die neuen Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittstaaten

Internationale Datentransfers erfolgen im Unternehmensalltag im Zusammenhang mit der Nutzung einer Vielzahl von Online-Anwendungen. Dies gilt etwa für den Einsatz von Videokonferenzdiensten wie Microsoft Teams und Zoom, die Nutzung von Anwendungen wie Office 365 sowie die Einbindung von Cloud- und E-Mail-Services, aber auch für die Zusammenarbeit und den Austausch von Daten mit anderen Konzerngesellschaften. Nachdem der EuGH das EU-US-Privacy-Shield-Abkommen im vergangenen Jahr in seiner Entscheidung Schrems II vom 16.07.2020 für ungültig erklärt und allgemein die weitere Nutzung der Standardvertragsklauseln unter die Bedingung gestellt hatte, dass insoweit zusätzliche Schutzmaßnahmen etabliert werden, war die Rechtsunsicherheit im Hinblick auf die rechtliche Absicherung internationaler Datentransfers nicht nur unternehmensseitig verhältnismäßig hoch. In der Folge veröffentlichten die Datenschutzbehörden bislang keine einheitlichen und verlässlichen Leitlinien zu der Frage, wie Unternehmen bei der Umsetzung der konkretisierten rechtlichen Anforderungen an internationale Datenübermittlungen vorzugehen haben, um diese rechtskonform auszugestalten.

Zum vollständigen Schwerpunktthema

EuGH: Nicht federführende Datenschutzbehörden dürfen unter bestimmten Voraussetzungen DSGVO-Verstöße vor Gericht geltend machen

Der Europäische Gerichtshof (EuGH) hat entschieden, dass neben der federführenden Datenschutz-Aufsichtsbehörde unter bestimmten Voraussetzungen auch eine andere nationale Datenschutz-Aufsichtsbehörde ihre Befugnis, vermeintliche Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) vor einem Gericht eines Mitgliedstaates geltend zu machen, ausüben kann (vgl. Pressemitteilung des EuGH zum Urt. v. 15.06.2021, Az. C-645/19). Grenzüberschreitende Verfahren wegen DSGVO-Verstößen dürfen damit nicht nur von den nationalen Aufsichtsbehörden eingeleitet werden, die an dem EU-Sitz des betroffenen Unternehmens ansässig sind.

Der Entscheidung liegt eine Unterlassungsklage gegen Facebook Ireland, Facebook Inc. und Facebook Belgium vor der Nederlandstalige rechtbank van eerste aanleg Brussel (niederländischsprachiges Gericht erster Instanz Brüssel, Belgien) zugrunde, die mit dem Ziel erhoben wurde, angebliche Datenschutzverstöße von Facebook abzustellen. Die Vorwürfe bezogen sich unter anderem auf die Sammlung und Nutzung von Informationen über das Surfverhalten von belgischen Internetnutzern mittels verschiedener Technologien wie Cookies, Social Plugins oder Pixeln. Das Gericht entschied, dass die Nutzer nicht ausreichend über diese Datenverarbeitung informiert worden seien und dass keine wirksamen Einwilligungen der Nutzer vorlägen.

Facebook Ireland, Facebook Inc. und Facebook Belgium legten hiergegen Berufung beim Hof van beroep te Brussel (Berufungsgericht Brüssel, Belgien) ein. Das Berufungsgericht hatte unter anderem Zweifel daran, ob die belgische Datenschutzbehörde als Rechtsnachfolgerin des ursprünglich klagenden Präsidenten des belgischen Ausschusses für den Schutz des Privatlebens gegen Facebook Belgium vorgehen kann, da Facebook Ireland als für die Verarbeitung der betreffenden Daten Verantwortlicher anzusehen sei. Unter der DSGVO und insbesondere gemäß dem dort vorgesehenen Verfahren der Zusammenarbeit und Kohärenz sei möglicherweise nur der irische Datenschutzbeauftragte befugt, unter der Kontrolle der irischen Gerichte eine Unterlassungsklage zu erheben. Diese Frage legte das Gericht dem EuGH vor, der mit seiner Entscheidung nun die Möglichkeiten zum Vorgehen nationaler Datenschutz-Aufsichtsbehörden gegen internationale Konzerne wie Facebook gestärkt hat.

(Johanna Schmale)

OVG NRW: Namentliche Nennung von Unternehmen in TKG-Bußgeldverfahren nur auf Basis gesetzlicher Ermächtigung möglich

Das Oberverwaltungsgericht Nordrhein-Westfalen (OVG NRW) hat entschieden, dass die namentliche Nennung eines mit einem Bußgeld belasteten Unternehmens im Rahmen der Pressearbeit einer Behörde ein rechtfertigungsbedürftiger Grundrechtseingriff sein kann (Beschluss vom 17.5.2021, Az. 13 B 331/21). Die namentliche Nennung sei jedenfalls dann, wenn die Meldung einen Eingriffscharakter aufweist, nur auf Basis einer gesetzlichen Ermächtigung zulässig. Im konkreten Fall hatte die Bundesnetzagentur (BNetzA) in einer Pressemitteilung über die Verhängung eines Bußgeldes gegen einen Call-Center-Betreiber informiert. Dieser ging gegen die Nennung seines Unternehmens in einer Pressemitteilung der Behörde nunmehr erfolgreich vor. Das OVG NRW sah in der namentlichen Nennung einen Eingriff in das Grundrecht auf Berufsfreiheit, der im vorliegenden Fall nicht gerechtfertigt sei, weil keine Ermächtigungsgrundlage für die Namensnennung bestehe. Insbesondere habe der Gesetzgeber keine Rechtsgrundlage für die von der Behörde vorgebrachten Zwecke der „Abschreckung“ und „Anprangerung“ geschaffen. Anders als im Kartellrecht sei im vorliegenden Verfahren auch keine Veröffentlichung zur Information der Geschädigten notwendig, damit diese etwaige Schadenersatzansprüche geltend machen könnten.

Das Urteil, das inhaltlich zu einem Bußgeld unter den Vorschriften des Telekommunikationsgesetzes (TKG) ergangen ist, könnte auch maßgeblichen Einfluss auf die Namensnennung bei datenschutzrechtlichen Bußgeldern haben. Bisher gehört es zur Praxis der Datenschutz-Aufsichtsbehörden, dass diese die Unternehmen, gegen die Bußgelder verhängt werden, konkret benennen. Eine gesetzliche Ermächtigungsgrundlage ist hierfür aber nicht ersichtlich. Es kann höchstens überlegt werden, ob – ähnlich wie im Kartellrecht – die Information der Betroffenen zur Geltendmachung von Schadenersatzansprüchen als Rechtfertigung des Eingriffs unter den Grundsätzen der behördlichen Presse-, Öffentlichkeits- und Informationsarbeit in Frage kommt. Folgt man dieser Argumentation nicht, dürften Behörden zukünftig bei der Berichterstattung über Bußgeldverfahren die bußgeldbelasteten Unternehmen nicht mehr namentlich benennen. Bis diese Frage gerichtlich geklärt ist, ist zu erwarten, dass Unternehmen zukünftig verstärkt gegen die Namensnennung in behördlichen Pressemitteilungen vorgehen werden.

(Robert Bommel)

Datenschutz-Aufsichtsbehörden: Gemeinsame Prüfaktion zum internationalen Datentransfer

Die Datenschutz-Aufsichtsbehörden der Bundesländer Baden-Württemberg, Bayern, Berlin, Bremen, Brandenburg, Hamburg, Niedersachsen, Rheinland-Pfalz und des Saarlandes haben Kontrollen von Datenübermittlungen in Drittstaaten in Unternehmen beschlossen (vgl. Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit v. 01.06.2021).

Ziel der Aktion sei nach Angaben der Berliner Datenschutz-Aufsichtsbehörde die breite Durchsetzung der Anforderungen des EuGH aus seinem Urteil „Schrems II“ (EuGH, Urt. v. 16.07.2020, Az. C-311/18). In dem Urteil hatte der EuGH das EU-US Privacy Shield für unwirksam erklärt und die Anforderungen an den Einsatz von Standardvertragsklauseln konkretisiert. Insbesondere aufgrund des Risikos eines Zugriffs von Behörden in Drittstaaten auf die übermittelten Daten hatte der EuGH entschieden, dass verantwortliche Stellen im Einzelfall überprüfen müssen, ob der jeweilige Datenempfänger die datenschutzrechtlichen Anforderungen der Standardvertragsklauseln tatsächlich einhalten kann und ob ein angemessenes Schutzniveau gewährleistet ist und dass sie bei Bedarf zusätzliche Schutzmaßnahmen treffen müssen.

Im Rahmen der Prüfaktion – so die Ankündigung der Behörden – kontaktieren die beteiligten Aufsichtsbehörden ausgewählte Unternehmen und befragen sie anhand gemeinsam festgelegter Fragebögen. Die abgefragten Themen betreffen zum Beispiel den konzerninternen Austausch von Kunden- und Beschäftigtendaten sowie den Einsatz von Dienstleistern zum E-Mail-Versand, zum Hosting von Internetseiten und zur Verwaltung von Bewerberdaten sowie den Einsatz von Webtracking. Die einzelnen Behörden entscheiden nach Angaben der Berliner Datenschutzbehörde individuell, welche Themenbereiche sie überprüfen und ob die Fragen an regionale Besonderheiten angepasst werden. Die Landesbeauftragte für den Datenschutz Niedersachsen kündigte etwa an, Fragebögen zu den Themen E-Mail- und Web-Hosting an 18 niedersächsische Unternehmen verschiedener Branchen zu versenden.

Die Prüfaktion zeigt, dass die Datenschutz-Aufsichtsbehörden die Durchsetzung der Anforderungen aus dem Urteil „Schrems II“ ernst nehmen. Unternehmen ist deshalb zu empfehlen, sofern dies nicht ohnehin schon geschehen ist, ihre Datenübermittlungen in Drittstaaten und deren Absicherung zu prüfen und bei Bedarf anzupassen.

(Johanna Schmale)

Angemessenheitsbeschluss für Datentransfers in das Vereinigte Königreich

Die EU-Kommission hat am 28.06.2021 einen Angemessenheitsbeschluss für die Datenübermittlung in das Vereinigte Königreich erlassen, der zunächst bis zum 27.06.2025 befristet ist.

Vorab war ein Angemessenheitsbeschluss für die Übermittlung personenbezogener Daten in das Vereinigte Königreich vorerst vor dem Europäischen Parlament gescheitert. Im Europäischen Parlament sprach sich eine knappe Mehrheit gegen den Beschluss aus.

Aufgrund des Brexit-Abkommens zwischen der EU und dem Vereinigten Königreich vom 31.12.2020 galt das Vereinigte Königreich trotz seines Austritts aus der EU für einen Übergangszeitraum bis zum 30.06.2021 bei der Übermittlung personenbezogener Daten nicht als Drittstaat im Sinne der DSGVO. In diesem Zeitraum waren Datenübermittlungen in das Vereinigte Königreich zunächst weiterhin unter unveränderten Bedingungen möglich.

Um eine Regelung für die Zeit nach dem Übergangszeitraum zu finden, hatte die Europäische Kommission im Februar 2021 einen Entwurf eines Angemessenheitsbeschlusses für die Übermittlung personenbezogener Daten in das Vereinigte Königreich veröffentlicht. Im April 2021 hat der Europäische Datenschutzausschuss (EDSA) eine Stellungnahme hierzu veröffentlicht, in der er zwar viele Aspekte des Datenschutzniveaus im Vereinigten Königreich als gleichwertig mit dem Datenschutzniveau in der EU identifiziert, aber auch Herausforderungen erkannt hat. Solche Herausforderungen seien unter anderem die weitreichenden Befugnisse von britischen Sicherheitsbehörden aufgrund des Investigatory Powers Act 2016 sowie das Treffen von Schutzvorkehrungen nach britischem Recht bei der Offenlegung personenbezogener Daten für andere Drittstaaten.

Damit wird nun vermieden, dass das Vereinigte Königreich seit dem 01.07.2021 als Drittstaat im Sinne der DSGVO gilt.

(Johanna Schmale)

Pangea Net: Newsletter zur Durchsetzung der DSGVO

Mit dem Inkrafttreten der DSGVO hat der Schutz personenbezogener Daten in vielen deutschen Unternehmen an Bedeutung gewonnen. Die künftige Durchsetzung der DSGVO wurde vor dem Beginn ihrer Anwendbarkeit am 25.05.2018 mit Spannung erwartet. Mittlerweile, ungefähr drei Jahre später, gibt es bereits eine Vielzahl an aufsichtsbehördlichen Verfahren und Gerichtsentscheidungen, die sich mit der DSGVO befassen, sowie nationale Gesetze, die die DSGVO ergänzen oder von ihr abweichen. Die Pangea Net-Praxisgruppe für Datenschutz- und IT-Recht hat dies zum Anlass genommen, sich in ihrem aktuellen Newsletter mit der Durchsetzung der DSGVO in Deutschland zu beschäftigen.

Pangea Net ist ein Zusammenschluss unabhängiger Rechtsanwaltskanzleien aus über 25 Ländern zu einem internationalen Kanzlei-Netzwerk. Die Praxisgruppe für Daten­schutz- und IT-Recht besteht aus Experten des IT- und Datenschutz­rechts der verschiedenen Kanzleien. In dem zweimal jährlich erscheinenden Pangea-Newsletter informiert die Praxisgruppe über spannende Themen aus diesem Bereich, zum Beispiel über aktuelle Entwicklungen, nationale Vorschriften zum Schutz der Pri­vatsphäre und Aktivitäten von Aufsichtsbehörden sowie über recht­liche Aspekte von neuen Technologien.

Um in dem Pangea-Newsletter einen umfassenden Einblick in die Durchsetzung der DSGVO im internationalen Kontext und die rechtlichen Rahmenbedingungen zu geben, haben Pangea-Mitglieder aus verschiedenen Ländern Fragestellungen aus ihrer nationalen Perspektive aufbereitet und die nationalen Vorgaben und Besonderheiten in einzelnen Beiträgen zusammengefasst. Das Datenschutz-Team von BRANDI hat sich mit einem Beitrag aus deutscher Perspektive an dem Newsletter beteiligt und darin insbesondere über die nationalen Datenschutzregelungen in Deutschland, Untersuchungen und Sanktionen der deutschen Datenschutz-Aufsichtsbehörden sowie die Benennung eines Datenschutzbeauftragten informiert. Auffällig ist im internationalen Vergleich, dass in Deutschland für Unternehmen, abhängig von dem jeweiligen Bundesland, die einzelnen Landes-Datenschutzbehörden zuständig sind, bei denen teilweise eine unterschiedliche Handhabung datenschutzrechtlicher Themen zu beobachten ist. In Deutschland besteht demnach die Besonderheit, dass ein Sachverhalt, abhängig von dem Bundesland und der zuständigen Datenschutz-Aufsichtsbehörde, durchaus unterschiedlich bewertet werden kann.

(Johanna Schmale)

In eigener Sache: BRANDI Blog und BRANDI Report

In unserem BRANDI Report berichten wir regelmäßig über aktuelle rechtliche Themen und Neuigkeiten aus der Kanzlei. Die aktuelle Ausgabe wurde von der BRANDI Kompetenzgruppe für IT und Datenschutz mitgestaltet, weshalb darin auch über aktuelle Datenschutzthemen berichtet wird. Sie ist im Juli 2021 erschienen und kann auf unserer Homepage heruntergeladen werden.

Ganz neu haben wir mit dem BRANDI Blog ein weiteres Medium ins Leben gerufen, in dem wir über aktuelle rechtliche Ereignisse berichten. Der Blog enthält kurze Beiträge verschiedener Autoren aus unserer Kanzlei zu unterschiedlichen Rechtsthemen. Darunter befinden sich auch Datenschutzthemen; aktuell wird beispielsweise über die Verschlüsselung von E-Mails und datenschutzrechtliche Aspekte bei der Nutzung der Luca-App berichtet. Der Blog kann ebenfalls auf unserer Homepage abgerufen werden. Wir wünschen Ihnen viel Freude bei der Lektüre!

(Johanna Schmale)