Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht


Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

am 17. Juli wurde das Freihandelsabkommen „Jefta“ zwischen der Europäischen Union (EU) und Japan unterzeichnet. Gemeinsam mit dem Freihandelsabkommen haben Japan und die EU zugleich entschieden, sich gegenseitig ein gleichwertiges Datenschutzniveau anzuerkennen. Damit wird der Austausch personenbezogener Daten zwischen Japan und der EU nach dem Abschluss des formellen Genehmigungsverfahrens ab 2019 deutlich erleichtert.

Wir nehmen diese Meldung zum Anlass, um in diesem Monat die „Datenverarbeitung mit Auslandsbezug unter der DSGVO“ als Schwerpunkt in den Fokus zu nehmen. Wir erklären dabei, was ein sog. „Angemessenheitsbeschluss“ nach der DSGVO ist, welche Folgen sich daraus ergeben und welche rechtlichen Alternativen dazu existieren. Daneben berichten wir Ihnen wie gewohnt über aktuelle Urteile, Aktivitäten der Aufsichtsbehörden und andere Neuigkeiten aus der Welt des Datenschutzes.

Bei Rückmeldungen oder Fragen im Zusammenhang mit den Themen des Newsletters können Sie sich an die E-Mail-Adresse datenschutz@brandi.net wenden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage; wir freuen uns auf Ihr Feedback. Viel Vergnügen bei der Lektüre dieser Ausgabe!

Dr. Sebastian Meyer, Dr. Christoph Rempe und das Datenschutzteam von BRANDI

Thema des Monats: Datenverarbeitung mit Auslandsbezug unter der DSGVO

Für die Verarbeitung von personenbezogenen Daten durch europäische Unternehmen gelten die strengen Vorgaben der DSGVO. Wenn personenbezogene Daten an Unternehmen übertragen werden, die ihren Sitz außerhalb der EU, also in „Drittstaaten“ haben, ist dies nicht ohne Weiteres datenschutzrechtlich erlaubt.

Zunächst sollte bei einer Datenverarbeitung mit Auslandsbezug überprüft werden, ob die Regelungen der DSGVO überhaupt anwendbar sind. Falls ja, müssen die besonderen Voraussetzungen der DSGVO für die Verarbeitung von personenbezogenen Daten im Ausland erfüllt sein.

Zum Schwerpunktthema

EuGH zum Datenschutz bei handschriftlichen Notizen

Der europäische Gerichtshof hat entschieden, dass auch handschriftliche Notizen, die nicht an Dritte weitergegeben werden, den datenschutzrechtlichen Regelungen unterfallen (Urteil vom 10.07.2018, Az. C-25/17). Im konkreten Fall hatten die „Verkünder“ der Zeugen Johovas handschriftliche Notizen zu den von ihnen besuchten Haushalten erstellt. Die Schriftstücke, die Informationen zu den Familienverhältnissen und der religiösen Überzeugung der Besuchten enthielten, dienten insbesondere als Gedächtnisstützen. Zudem wurde festgehalten, welche Personen keine weiteren Besuche wünschten. Nach Angaben der Zeugen Jehovas wurden die Daten weder innerhalb der Gemeinschaft weitergeleitet noch an einem anderen Ort zentral gespeichert.

Der EuGH sah in der Erhebung der Daten dennoch eine datenschutzrechtlich relevante Datenverarbeitung und stellte insoweit auf die leichte Wiederauffindbarkeit der Informationen ab. Zudem seien die „Hausbesuche“ der Zeugen Jehovas auch keine ausschließlich persönliche oder familiäre Tätigkeit, die vom Anwendungsbereich des Datenschutzrechts ausgenommen sind. Weiterhin sei es unerheblich, dass die Informationen von mehreren eigenständig verantwortlichen Personen zusammengetragen worden sind. Nach Auffassung des EuGH können vielmehr auch mehrere Beteiligte in unterschiedlichem Ausmaß zusammenwirken und so gemeinsam für „die Verarbeitung Verantwortliche“ im Sinne des Datenschutzrechts sein.

Die Entscheidung erging noch zum alten Datenschutzrecht der EU-Datenschutzrichtlinie 95/46/EG. Aber auch unter dem neuen Datenschutzrecht der DSGVO wäre der Fall nicht anders zu entscheiden, da die Definition des datenschutzrechtlich Verantwortlichen letztlich gleich geblieben ist.

Unternehmen sollten sich durch die Entscheidung des EuGH in Erinnerung rufen, dass auch für handschriftliche Notizen das Datenschutzrecht gilt.

„Positivliste“ zur Datenschutzfolgenabschätzung

Die Datenschutzkonferenz (DSK), der Zusammenschluss der Datenschutzaufsichtsbehörden des Bundes und der Länder, hat eine Liste der Verarbeitungstätigkeiten veröffentlicht, bei denen ihrer Ansicht nach eine Datenschutzfolgenabschätzung durchzuführen sei. Die Liste kann hier heruntergeladen werden. In der Liste stellt die DSK verschiedene Verarbeitungstätigkeiten anhand typischer Einsatzfelder und praktischer Beispiele dar. Eine Liste der Verfahren, bei denen keine Datenschutzfolgenabschätzung notwendig wird, soll folgen. Hinsichtlich des Umfangs der nach Ansicht der DSK erforderlichen Datenschutzfolgenabschätzungen trifft das Dokument hingegen keine Aussage.

Unternehmen sollten gemeinsam mit ihrem Datenschutzbeauftragten überprüfen, welche Datenverarbeitungen im Unternehmen gegebenenfalls den von der DSK benannten Fallbeispielen entsprechen.

BSI: Krypto-Angriffe in Deutschland und Frankreich

Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat gemeinsam mit französischen Kollegen der ANSSI einen Cyber-Lagebericht herausgegeben. In dem Bericht werden insbesondere Krypto-Trojaner und Krypto-Miner thematisiert, die die Rechner der Opfer entweder verschlüsseln oder heimlich für das Schürfen von Kryptogeld missbrauchen. Die Gefährdungslage insbesondere durch Krypto-Trojaner wird von beiden Behörden als besorgniserregend eingeschätzt.

In Ergänzung zur Darstellung der aktuellen Lage gibt der Bericht verschiedene Hinweise zum Schutz vor den dargestellten Angriffen.

Der gesamte Lagebericht kann hier heruntergeladen werden.

Sicherheitslücke in Bluetooth-Verbindungen

Aufgrund einer Sicherheitslücke im Bluetooth können Angreifer den Datenverkehr von Bluetooth-Verbindungen mitlesen und manipulieren. Die Schwachstelle, die von israelischen Sicherheitsforschern entdeckt wurde, betrifft viele namhafte Hardware-Hersteller, darunter Apple und Intel. Damit der Angriff funktioniert, muss der Angreifer jedoch in Funkreichweite zu seinen Opfern sein und während des ersten Verbindungsaufbaus zwischen zwei Geräten eingreifen.

Es ist zu empfehlen, die von den Herstellern zur Verfügung gestellten Updates zu installieren, die eine Absicherung der Bluetooth-Verbindungen ermöglichen sollen.

Homepage der Datenschutzkonferenz online

Die DSK hat nun einen offiziellen Webauftritt. Auf der Homepage sollen zentrale Entscheidungen, Orientierungshilfen und Kurzpapiere der DSK abrufbar zur Verfügung gestellt werden. Somit bauen die Datenschutz-Aufsichtsbehörden durch den neuen Internetauftritt ihr gemeinsames Informationsangebot aus.