Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht


Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

gemäß einer Studie der Unternehmensberatung asolit in Zusammenarbeit mit dem Verband der Internetwirtschaft e.V. (eco) haben nur 13 Prozent der 606 befragten mittleren und großen Unternehmen ihre Datenverarbeitungsprozesse an die Anforderungen der Datenschutz-Grundverordnung (DSGVO) angepasst. Insgesamt gaben 30 der befragten Unternehmen an, alle Vorgaben der DSGVO zu erfüllen. Über die Hälfte der Unternehmen (56%) befindet sich aktuell noch in der Umsetzungsphase, während ungefähr ein Viertel der Befragten (27%) noch gar mit der Evaluierung der eigenen Datenverarbeitung hinsichtlich der DSGVO begonnen hat.

Kurz vor dem Start der DSGVO haben wir für Sie in unserem Schwerpunktthema in diesem Monat noch einmal eine zusammenfassende Übersicht einschließlich einer Checkliste zur Vorbereitung auf den 25. Mai 2018 zusammengestellt. Zusätzlich informieren wir Sie wie gewohnt über aktuelle Urteile, neue Gesetzgebungsverfahren sowie aktuelle Aktivitäten der Datenschutzaufsichtsbehörden. Mit dem nächsten Newsletter, der im Juni erscheinen wird, hoffen wir Ihnen praktische Erfahrungen zur DSGVO mitteilen zu können.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters können Sie sich an die E-Mail-Adresse datenschutz@brandi.net wenden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage; wir freuen uns auf Ihr Feedback. Viel Vergnügen bei der Lektüre dieser Ausgabe!

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Checkliste DSGVO

Ab dem 25. Mai 2018 finden die Regelungen der europäischen Datenschutz-Grundverordnung Anwendung. Die zweijährige Umsetzungsfrist ist fast abgelaufen, noch weniger als ein Monat bleibt für die letzten Anpassungen. Vor diesem Hintergrund ist jetzt eine gute Gelegenheit, noch einmal den Stand der eigenen Vorbereitungen zu überprüfen. Wir haben hierzu eine Übersicht erstellt, die wesentliche Vorkehrungen zur Umsetzung der neuen rechtlichen Anforderungen beschreibt und zusammenfasst. Bestandteil unserer Übersicht ist auch eine zusammenfassende Checkliste über wichtige Maßnahmen, die von allen Unternehmen bis zum 25. Mai 2018 umgesetzt sein sollten.

Zum Schwerpunktthema

USA vs. Microsoft: Supreme Court stellt Verfahren ein

Seit mehreren Jahren versucht die US-Regierung vor amerikanischen Gerichten die Herausgabe von Daten aus dem E-Mail-Konto eines vermeintlichen Drogenkriminellen zu erwirken. Microsoft hatte sich geweigert, einem von einem amerikanischen Gericht beschlossenen Durchsuchungsbefehl zur Herausgabe der E-Mails des Kontoinhabers zu entsprechen, da die betreffenden E-Mails nicht auf Servern in den USA, sondern auf Microsoft-Servern in Irland gespeichert sind.

Die US-Regierung hatte argumentiert, ein Zugriff auf Daten von US-Anbietern sei wichtig für den Kampf gegen kriminelle Bedrohungen, wobei es keinen Unterschied machen dürfe, in welchem Staat der US-Konzern die Daten speichere. Nach Ansicht von Microsoft käme eine Entscheidung zugunsten US-Regierung einer exterritorialen Anwendung der US-Gesetze gleich. Zuständig für Irland seien aber ausschließlich irische Gerichte; zudem seien aufgrund des Serverstandorts die Datenschutzgesetze in Irland zu beachten.

Nach einer Niederlage in erster Instanz und einem Sieg in zweiter Instanz durch Microsoft sollte nun in letzter Instanz das oberste amerikanische Gericht, der US Supreme Court, entscheiden. Dieser hat das Verfahren allerdings am 17. April 2018 eingestellt.

Grund für die Einstellung des Verfahrens ist ein neues Gesetz, der sogenannten CLOUD Act ("Clarifying Lawful Overseas Use of Data Act") vom 23. März 2018. Darin wird festgelegt, dass Unternehmen wie Microsoft die Daten ihrer Kunden auf Verlangen der Regierung unabhängig vom Speicherort herausgeben müssen. Zwar gibt es bestimmte Einschränkungen, so dass der CLOUD Act vor allem die Daten von US-Bürgern, US-Unternehmen oder Einwohner der USA betrifft. Der Fall USA vs. Microsoft ist mit dem CLOUD Act abschließend geklärt, da die US-Regierung zumindest nach neuem amerikanischen Recht einen Anspruch auf Herausgabe der Daten erhält. Der CLOUD Act wurde in den USA kurzfristig an das vieldiskutierte US-Budgetgesetz angehängt und damit ohne eine Diskussion in den Ausschüssen und im Parlament beschlossen.

Für europäische Unternehmen dürfte der CLOUD Act von Bedeutung sein, wenn sie ihre Daten auf europäischen Server von US-Unternehmen speichern. Zumindest theoretisch droht dann auch ein Zugriff der US-Regierung auf die dort gespeicherten Daten. Es ist deutschen Unternehmen deswegen zu empfehlen, möglichst deutsche oder europäische Cloud-Anbieter einzuschalten oder eine eigene Cloud-Lösung zu verwenden.

EU-Kommission zum Zugriff auf außereuropäische Cloud-Daten

Am 17. April 2018, dem Tag der Entscheidung des US Supreme Courts, hat die EU-Kommission einen eigenen Verordnungs- und einen Richtlinienentwurf zum Zugriff auf außereuropäische Cloud-Daten vorgestellt. Justizbehörden aus den EU-Mitgliedstaaten sollen danach Daten unabhängig von ihrem Speicherort unmittelbar bei Diensteanbietern anfordern können. Betroffene Diensteanbieter sollen regelmäßig innerhalb von 10 Tagen auf die Herausgabeverlangen reagieren müssen, wobei in Notfällen eine Reduzierung der Frist auf die zu sechs Stunden möglich ist.

Neben dem Zugriff auf Cloud-Daten beinhaltet das neue "Paket zur Terrorismusbekämpfung" noch eine Reihe anderer Vorschriften, die Strafverfolgungsbehörden die Arbeit erleichtern sollen, wie beispielsweise die Verbesserung von Sicherheitsmerkmalen auf Personalausweisen und Maßnahmen zur Bekämpfung der Terrorismusfinanzierung.

Die Entwürfe der EU-Kommission werden nun im EU-Parlament und EU-Rat verhandelt. Es ist zu erwarten, dass an den Entwürfen ähnlich wie seinerzeit am ersten Entwurf der DSGVO noch einige Änderungen vorgenommen werden.

Österreich novelliert kurzfristig Datenschutzgesetz

Die Österreichische Regierung hat kurzfristig und wenige Wochen vor dem Inkrafttreten der DSGVO das eigene Datenschutzgesetz (DSG) novelliert. Ursprünglich war das DSG bereits 2017 an die DSGVO angepasst worden (DSG 2017). Mit der jetzt verabschiedeten Novellierung (DSG 2018) wurden unter anderem konkrete Regelungen für die Prüfpraxis der österreichischen Aussichtsbehörden festgelegt. Gemäß des neuformulierten § 11 DSG (2018) sollen die Aufsichtsbehörden etwa bei erstmaligen Verstößen von ihren Abhilfebefugnissen insbesondere durch Verwarnungen Gebrauch machen. Zudem wird im neuen § 30 Abs. 5 DSG (2018) festgelegt, dass die österreichischen Aufsichtsbehörden keine Bußgelder gegen Behörden verhängen dürfen. Auch wird explizit klargestellt, dass Unternehmen im Rahmen der Auskunftserteilung bei Anfragen von Betroffenen keine Betriebs- oder Geschäftsgeheimnisse offenbaren müssen.

Die vollständigen Änderungen durch die Novellierung können im Abänderungsantrag des österreichischen Nationalrats nachgelesen werden.

Datenschutzbehörde Schleswig-Holstein: Praxis-Reihe „Datenschutzbestimmungen praktisch umsetzen“

Die Datenschutzaufsichtsbehörde Schleswig-Holstein („ULD“) hat eine neue Reihe von Informationsdokumenten verfügbar gemacht, in denen jeweils auf ca. 15 Seiten Praxishinweise zur Umsetzung der DSGVO erteilt werden. Die ersten zwei Ausgaben beschäftigen sich mit dem „Datenschutz in Vereinen“ und dem Thema „Datenschutzbeauftragte“. Die Reihe soll sukzessiv erweitert werden. Die nächste Ausgabe wurde bereits angekündigt und soll sich mit dem Thema Auftragsverarbeitung auseinandersetzen.

Neben der Praxis-Reihe stehen auf der Homepage des ULD auch weitere Materialien zum Thema Datenschutz zur Verfügung. Die umfangreichen Informationsmaterialien können auf der Homepage des ULD heruntergeladen werden.