Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht

Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

Ende September 2022 veröffentlichte der Digitalverband Bitkom die Ergebnisse der Umfrage „Datenschutz in der deutschen Wirtschaft: DSGVO & internationale Datentransfers“, die auf einer Befragung von 500 Unternehmen mit einer Größe ab 20 Beschäftigten basierte. Die Unternehmen sollten dabei eine Selbsteinschätzung zur Umsetzung der rechtlichen Vorgaben der Datenschutzgrundverordnung (DSGVO) vornehmen. 40 % der Unternehmen gehen davon aus, die Vorgaben der DSGVO bereits größtenteils umgesetzt zu haben. 22 % der befragten Unternehmen gaben sogar an, die Regelungen der DSGVO bereits vollständig umgesetzt zu haben, was zusammen etwa zwei Dritteln der befragten Unternehmen entspricht. Auf der anderen Seite schätzt ein Drittel der Unternehmen die eigene Situation so ein, dass erst teilweise mit der Umsetzung begonnen wurde. Kritisiert wurden vor allem sich häufig ändernde Regelungen sowie die bestehende Rechtsunsicherheit zu den genauen Vorgaben der DSGVO und deren divergierende Auslegung. Gesondert abgefragt wurde auch die Bedeutung von Datenübermittlungen in Drittstaaten, insbesondere in die USA. Die Unternehmen machten deutlich, wie wichtig eine Rechtsgrundlage für internationale Datentransfers ist. Bei 89 % der Unternehmen war die Nutzung von Cloud-Diensten, vor allem von amerikanischen Anbietern, der wichtigste Grund für einen internationalen Datentransfer. Fast zwei Drittel der Unternehmen gaben zudem an, dass der Verzicht auf internationale Datenübermittlungen für sie gravierende nachteilige Folgen hätte. Nach Wegfall des Privacy Shields greift der Großteil der Unternehmen (91 %) zur Absicherung der Datentransfers nunmehr auf Standardvertragsklauseln zurück.

Passend hierzu informieren wir Sie in diesem Monat über die aktuellen Bestrebungen, einen neuen Rechtsrahmen für Datenübermittlungen in die USA zu schaffen. Darüber hinaus berichten wir wie gewohnt über weitere aktuelle Geschehnisse aus dem Datenschutzrecht.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Transparenz der Datenverarbeitung

Das verfassungsrechtlich verankerte Recht auf informationelle Selbstbestimmung besagt, dass Betroffene grundsätzlich darüber entscheiden können, welche ihrer personenbezogenen Daten von welcher Stelle zu welchem Zweck verarbeitet werden dürfen. Zur Ausübung dieses Rechts ist es zunächst erforderlich, dass Betroffene überhaupt darüber informiert werden, in welchen Fällen eine Verarbeitung personenbezogener Daten stattfindet und welche Informationen zu der eigenen Person einer verantwortlichen Stelle vorliegen. Ausgehend von diesem Ansatz gehört der Grundsatz der Transparenz der Datenverarbeitung zu den wesentlichen Prinzipien der Datenschutz-Grundverordnung (DSGVO).

Der Zweck und der Inhalt des Transparenzgrundsatzes sowie praktische Umsetzungshinweise hinsichtlich der Erfüllung von Informationspflichten, der Einholung von Einwilligungen und der Beantwortung von Auskunftsanfragen sollen in dem folgenden Beitrag erläutert werden.

Zum vollständigen Schwerpunktthema

Dekret für einen neuen Rechtsrahmen zur Datenübermittlung in die USA

US-Präsident Joe Biden hat am 7. Oktober 2022 ein Dekret unterzeichnet, welches auf US-amerikanischer Seite die rechtliche Grundlage für einen neuen Rechtsrahmen zur Datenübermittlung in die USA schafft.

In der Vergangenheit dienten zunächst das Safe-Harbor-Abkommen und anschließend das EU-US Privacy Shield der Absicherung von Datenübermittlungen in die USA. Die beiden Regelwerke wurden jedoch von dem Europäischen Gerichtshof (EuGH) in den Urteilen „Schrems I“ (EuGH, Urt. v. 06.10.2015 – Az. C-362/14) und „Schrems II“ (EuGH, Urt. v. 16.07.2020 – Az. C-311/18, wir berichteten in unserem Datenschutz-Newsletter im August 2020) für ungültig erklärt. Der Grund hierfür war, dass das Datenschutzniveau in den USA nach Ansicht des EuGH nicht den Standards in der EU entspricht. Insofern kritisierte der EuGH insbesondere die weitreichenden Zugriffsmöglichkeiten von US-Geheimdiensten auf personenbezogene Daten.

Bereits im Frühjahr 2022 hatten die Europäische Kommission und die USA eine grundsätzliche Einigung über einen neuen „transatlantischen Datenschutzrahmen“ („Trans-Atlantic Data Privacy Framework“, wir berichteten in unserem Datenschutz-Newsletter im April 2022) erzielt. In den neuen Regelungen sind insbesondere strengere Vorgaben für den geheimdienstlichen Zugriff auf Daten von Europäern vorgesehen. Der Zugriff soll zukünftig nur noch möglich sein, wenn dies zur Verfolgung definierter nationaler Sicherheitsziele erforderlich ist. Außerdem soll es für EU-Bürger einen zweistufigen Mechanismus geben, um sich über aus ihrer Sicht rechtswidrige Zugriffe auf ihre Daten zu beschweren. Beschwerden sollen danach zunächst vom Verantwortlichen für den Schutz von Bürgerrechten im Büro des US-Geheimdienstdirektors geprüft werden. Dessen Entscheidung soll anschließend vor einem spezialisierten Gericht überprüfbar sein.

Im nächsten Schritt werden nun zunächst die vorgesehenen Maßnahmen überprüft, wobei auch der Europäische Datenschutzausschuss (EDSA) konsultiert wird. Ob es in der Folge tatsächlich zu einem Angemessenheitsbeschluss der Europäischen Kommission kommen wird und ob ein solcher im Anschluss auch einer etwaigen Überprüfung durch den EuGH standhalten kann, bleibt abzuwarten.

(Johanna Schmale)

LDI NRW: Erste deutsche Kriterien für Datenschutz-Zertifizierung

Die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW), Bettina Gayk, genehmigte am 7. Oktober 2022 erstmals Kriterien für die Zertifizierung von Auftragsverarbeitern (Pressemitteilung v. 07.10.2022). Mittels des Zertifikats „European Privacy Seal“ (EuroPriSe) können Unternehmen künftig nachweisen, dass sie bei ihren Auftragsverarbeitungen die datenschutzrechtlichen Regelungen der DSGVO einhalten.

Nach Art. 42 Abs. 1 DSGVO kann die Einhaltung der Vorschriften der DSGVO von Unternehmen mittels einer datenschutzrechtlichen Zertifizierung nachgewiesen werden. Entsprechende Zertifikate können von akkreditierten Zertifizierungsstellen ausgestellt werden, soweit die Zertifizierungskriterien von dem betreffenden Unternehmen erfüllt werden. Welche Anforderungen für die Akkreditierung einer Zertifizierungsstelle erfüllt sein müssen, ergibt sich dabei aus Art. 43 Abs. 2 DSGVO. Die Zertifizierungsstelle muss unter anderem ihre Unabhängigkeit und ihr Fachwissen nachweisen sowie über einen genehmigten Kriterienkatalog i. S. v. Art. 42 Abs. 5 DSGVO, anhand dessen die zu zertifizierenden Unternehmen überprüft werden, verfügen.

Die EuroPriSe Cert GmbH ist europaweit nunmehr das erste private Unternehmen, dessen Kriterien zur Zertifizierung von Unternehmen von der Aufsichtsbehörde und der Deutschen Akkreditierungsstelle GmbH (DAkkS) genehmigt wurden und das somit als Zertifizierungsstelle akkreditiert wurde. Frau Gayk erklärte hierzu: „Wir haben gemäß dem europäischen Datenschutzrecht geprüft, ob die Kriterien, nach denen die Zertifikate an Auftragsverarbeiter erteilt werden sollen, tatsächlich die Einhaltung der DSGVO bei der Verarbeitung personenbezogener Daten sicherstellen – und damit die Persönlichkeitsrechte wahren.“ Das Zertifizierungsverfahren EuroPriSe entstand im Rahmen eines zunächst von der EU-Kommission geförderten Projekts, das die Einführung eines europäischen Datenschutzgütesiegels zum Ziel hatte.

(Christina Prowald)

LDI NRW akkreditiert erste Überwachungsstelle für Verhaltensregeln

Am 14. September 2022 hat die Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI NRW) erstmals eine Überwachungsstelle für Verhaltensregeln nach der DSGVO in Deutschland akkreditiert (Pressemitteilung v. 14.09.2022).

Verhaltensregeln i. S. v. Art. 40 DSGVO sind verbindliche Vorgaben eines Verbands oder einer anderen Vereinigung, die datenschutzrechtliche Verhaltensweisen der jeweiligen Mitglieder festlegen, dabei die Besonderheiten der einzelnen Verarbeitungsbereiche berücksichtigen und zur ordnungsgemäßen Einhaltung der DSGVO beitragen sollen. Nach Art. 41 Abs. 1 DSGVO können die Aufsichtsbehörden unabhängige Stellen mit der Überwachung der Einhaltung dieser Verhaltensregeln beauftragen, sofern diese über das geeignete Fachwissen verfügen.

Die nunmehr akkreditierte Überwachungsstelle überwacht die Einhaltung der Verhaltensregeln der Wirtschaftsauskunfteien, die das LDI NRW 2018 genehmigt hat. Die Regeln konkretisieren insbesondere Prüf- und Löschpflichten für personenbezogene Daten. Darüber hinaus dient die Überwachungsstelle Bürgerinnen und Bürgern als zentrale Stelle, an die sie sich wenden können, wenn sie der Auffassung sind, dass eine Wirtschaftsauskunftei ihre personenbezogenen Daten unrechtmäßig verarbeitet oder ihre Daten nicht länger gespeichert werden dürfen. Die Überwachungsstelle kann sodann eine Klärung der Frage herbeiführen, die für alle an den Verhaltensregeln beteiligten Stellen gilt.

(Christina Prowald)

EuGH: Speicherung von Kundendaten auf externen Servern bei technischer Störung vorübergehend zulässig

In seiner Entscheidung vom 20. Oktober 2022 hat der Europäische Gerichtshof (EuGH) entschieden, dass Kundendaten bei einer Serverstörung auch ohne Zustimmung der Betroffenen vorübergehend in einer externen Datenbank gespeichert werden dürfen (EuGH, Urt. v. 20.10.2022 – C-77/21). Eine Speicherung ist jedoch nur so lange zulässig, wie dies für die Durchführung von Tests und zur Behebung der Fehler erforderlich ist. Die Daten sind zu löschen, sobald die Störung beseitigt ist.

In dem Fall, der der Entscheidung zugrunde lag, kam es zu einer technischen Störung bei einem der führenden Anbieter von Internet- und Fernsehdiensten in Ungarn, im Rahmen derer der Betrieb der Server beeinträchtigt wurde. Für die Durchführung von Tests und zur Beseitigung der Störung legte das Unternehmen eine Testdatenbank auf einem externen Server an, die etwa ein Drittel der Daten seiner Privatkunden enthielt. Nach Behebung der Störung wurde diese Datenbank jedoch nicht umgehend gelöscht, was die ungarische Datenschutzaufsichtsbehörde daraufhin beanstandete.

Der EuGH stellte zunächst fest, dass es sich bei der Speicherung von personenbezogenen Daten in einer neu eingerichteten Datenbank um eine „Weiterverarbeitung“ handele. Das vorlegende Gericht habe zu bewerten, ob diese Weiterverarbeitung zum Zwecke der Durchführung von Tests und zur Behebung von Fehlern mit den Zwecken der ursprünglichen Erhebung, nämlich dem Abschluss und der Erfüllung von Abonnementverträgen, vereinbar sei. Dabei sei zu berücksichtigen, dass die Durchführung von Tests und die Behebung von Fehlern, die die Datenbank beeinträchtigen, einen konkreten Zusammenhang mit der Erfüllung der Abonnementverträge aufweise, da sich Störungen nachteilig auf die Erbringung der vereinbarten Dienstleistung auswirken können. Der EuGH entschied insofern, dass es einem Verantwortlich nicht verwehrt sei, in einer zur Durchführung von Tests und zur Behebung von Fehlern eingerichteten Datenbank personenbezogene Daten zu speichern, die zuvor in einer anderen Datenbank gespeichert worden seien, wenn diese Weiterverarbeitung mit den konkreten Zwecken, zu denen die Daten ursprünglich erhoben wurden, vereinbar sei.

Weiter führte der EuGH aus, dass Daten grundsätzlich nur so lange gespeichert werden dürften, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Insofern entschied der EuGH, dass es einem Verantwortlichen verwehrt sei, personenbezogene Daten, die zuvor für andere Zwecke erhoben worden seien, in einer zur Durchführung von Tests und zur Behebung von Fehlern eingerichteten Datenbank länger zu speichern als für die Durchführung der Tests und die Beseitigung der Störung erforderlich.

(Christina Prowald)

Berliner Datenschutzbeauftragte: Bußgeld wegen Interessenkonflikt des betrieblichen Datenschutzbeauftragten

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat am 20. September 2022 ein Bußgeld in Höhe von 525.000 Euro gegen die Tochtergesellschaft eines Berliner E-Commerce-Konzerns wegen eines Interessenkonflikts des betrieblichen Datenschutzbeauftragten verhängt (Pressemitteilung v. 20.09.2022). Das Bußgeld ist noch nicht rechtskräftig.

Das Unternehmen hatte einen internen Datenschutzbeauftragten benannt, der in seiner Rolle als Datenschutzbeauftragter Entscheidungen kontrollieren sollte, die er selbst in anderer Funktion getroffen hatte. Konkret war der Datenschutzbeauftragte zugleich Geschäftsführer zweier Dienstleistungsgesellschaften, die im Auftrag genau des Unternehmens, für das er als Datenschutzbeauftragter benannt worden war, personenbezogene Daten verarbeiteten. Der Datenschutzbeauftragte musste dementsprechend die Einhaltung der datenschutzrechtlichen Regelungen durch die im Rahmen der Auftragsverarbeitung tätigen Dienstleistungsgesellschaften kontrollieren, die er zugleich leitete. Die Berliner Datenschutzbeauftragte sah in diesem Fall einen Interessenkonflikt gegeben und wertete die Doppelrolle als Verstoß gegen Art. 38 Abs. 6 S. 2 DSGVO. Die Regelung gibt vor, dass ausschließlich solche Personen die Funktion des Datenschutzbeauftragten ausüben dürfen, die keinem Interessenkonflikt durch andere von ihnen wahrgenommene Aufgaben und Pflichten unterliegen. Dies ist in der Regel etwa bei Führungspersonen der Fall, die durch ihre leitende Funktion selbst an Entscheidungen über die Verarbeitung personenbezogener Daten maßgeblich beteiligt sind.

Nachdem die Aufsichtsbehörde im Jahr 2021 bereits eine Verwarnung wegen eben jenes Verstoßes gegen das Unternehmen erteilte, der Verstoß jedoch seitens des Unternehmens nicht abgestellt wurde, verhängte die Aufsichtsbehörde nunmehr ein Bußgeld. Volker Brozio, kommissarischer Dienststellenleiter der BlnBDI, führte hierzu aus: „Dieses Bußgeld unterstreicht die bedeutende Rolle der Datenschutzbeauftragten in Unternehmen. Ein Datenschutzbeauftragter kann nicht einerseits die Einhaltung des Datenschutzrechts überwachen und andererseits darüber mitentscheiden. Eine solche Selbstkontrolle widerspricht der Funktion eines Datenschutzbeauftragten, der gerade eine unabhängige Instanz sein soll, die im Unternehmen auf die Einhaltung des Datenschutzes hinwirkt.“

(Christina Prowald)

Digitalcourage: Klage gegen Tracking in Deutsche-Bahn-App

Die in Bielefeld ansässige Bürgerrechtsorganisation Digitalcourage e.V., die auch jährlich die BigBrotherAwards – einen Datenschutz-Negativpreis – verleiht, hat am 20. Oktober 2022 Unterlassungsklage gegen die Deutsche Bahn wegen mangelnden Datenschutzes in der Reiseauskunfts- und Buchungsapp DB Navigator beim Landgericht Frankfurt eingereicht (Pressemitteilung v. 20.10.2022).

Anlass für die Klage war eine Untersuchung eines IT-Sicherheitsexperten, der im Rahmen seiner Blog-Serie „App-Check“ den DB Navigator aus datenschutzrechtlicher Sicht im April 2022 analysierte. Er stellte fest, dass die App der Deutschen Bahn personenbezogene Daten an externe Unternehmen weiterleitet, selbst wenn die Betroffenen die datenschutzfreundlichste Einstellung wählten. Beim erstmaligen Öffnen der App wird mittels eines Cookie-Banners die Einwilligung der Nutzer zur Setzung von Cookies abgefragt. Wählen die Nutzer hierbei die Option „Nur erforderliche Cookies zulassen“ aus, werden gleichwohl unter anderem Reiseinformationen der Nutzer an zehn verschiedene Dienstleister, darunter Adobe Analytics, weitergeleitet. Die Stiftung Warentest kam im Juli 2022 ebenfalls zu dem Ergebnis, dass die App mehr Daten als nötig übermittelt.

Der Blogbetreiber und Digitalcourage wandten sich daraufhin noch im April 2022 an die Deutsche Bahn und forderten die Beseitigung der Mängel. Die Deutsche Bahn wies die Kritik zurück und nahm keine Änderungen an der App vor, woraufhin Digitalcourage nunmehr Klage erhob. In einer Pressemitteilung wies die Deutsche Bahn die Kritik erneut zurück und betonte: „Alle Technologieanbieter, die im DB Navigator in der Kategorie „erforderlich“ aufgelistet sind, verarbeiten Daten ausschließlich zu den Zwecken, die vielfältigen Funktionen und die Stabilität der App für mehr als zwei Millionen Kund:innen täglich zu gewährleisten. Verarbeitet werden dabei keine identifizierenden personenbezogenen Informationen, sondern nur pseudonymisierte Daten, die sich für den einzelnen Anbieter isoliert als anonyme Dateninhalte darstellen. Keiner der Anbieter ist in der Lage, die Daten an anderer Stelle oder gar zu eigenen Marketingzwecken einzusetzen. Ein Webseiten- oder App-übergreifendes Nachverfolgen von Kund:innen mit diesen Cookies ist nicht möglich.“  

(Christina Prowald)