Video­kon­fe­renz als Online Dienst: Rah­men­be­din­gun­gen und Emp­feh­lun­gen Doku­ment als pdf mit Tabel­le Zur tabel­la­ri­schen Über­sicht Die­ses Papier soll Unter­neh­men, Behör­den und Ver­ei­ne bei der Aus­wahl geeig­ne­ter Video­kon­fe­renz-Dien­ste unter­stüt­zen. Es gibt einen auf das Wesent­li­che beschränk­ten Über­blick über die recht­li­chen und tech­ni­schen Daten­schutz-Anfor­de­run­gen, beschreibt eini­ge gän­gi­ge Anbie­ter und stellt tabel­la­risch eine Über­sicht an Eigen­schaf­ten der Soft­wares […]


Arti­kel anzeigen…

Das BSI am 21. Okto­ber sei­nen neu­en Lage­be­richt 2021 vor­ge­legt, in dem das Bun­des­amt ins­ge­samt eine kri­ti­sche Bedro­hungs­la­ge fest­stellt: Cyber­an­grif­fe führ­ten zu schwer­wie­gen­den IT-Aus­fäl­len in Kom­mu­nen, Kran­ken­häu­sern und Unter­neh­men. Sie ver­ur­sach­ten zum Teil erheb­li­che wirt­schaft­li­che Schä­den und bedroh­ten exi­stenz­ge­fähr­dend Pro­duk­ti­ons­pro­zes­se, Dienst­lei­stungs­an­ge­bo­te und ihre Kund­schaft. Der neue Lage­be­richt macht auch deut­lich, dass die erfolg­rei­che Digi­ta­li­sie­rung unse­res Lan­des zuneh­mend gefähr­det ist.

Als Kon­se­quenz aus der Bedro­hungs­la­ge for­dert das BSI, der Infor­ma­ti­ons­si­cher­heit einen höhe­ren Stel­len­wert bei­zu­mes­sen. Im Rah­men von Digi­ta­li­sie­rungs­pro­jek­ten soll­te die Cyber-Sicher­heit fest ver­an­kert wer­den sowie die gesam­te Lie­fer­ket­te umfassen.

Pres­se­mit­tei­lung des BSI zum Lage­be­richt: https://​www​.bsi​.bund​.de/​D​E​/​S​e​r​v​i​c​e​-​N​a​v​i​/​P​r​e​s​s​e​/​P​r​e​s​s​e​m​i​t​t​e​i​l​u​n​g​e​n​/​P​r​e​s​s​e​2​0​2​1​/​2​1​1​0​2​1​_​L​a​g​e​b​e​r​i​c​h​t​.​h​tml

Bericht zur Lage der IT-Sicher­heit in Deutsch­land 2021: https://​www​.bsi​.bund​.de/​D​E​/​S​e​r​v​i​c​e​-​N​a​v​i​/​P​u​b​l​i​k​a​t​i​o​n​e​n​/​L​a​g​e​b​e​r​i​c​h​t​/​l​a​g​e​b​e​r​i​c​h​t​_​n​o​d​e​.​h​tml

Mit LfDI-Tool DS-GVO.clever erstel­len klei­ne Unter­neh­men, Gewer­be­trei­ben­de und Hand­werks­be­trie­be schnell und ein­fach ihre Datenschutzhinweise

Kor­rek­te Daten­schutz­er­klä­run­gen zu for­mu­lie­ren fällt ins­be­son­de­re klei­ne­ren Unter­neh­men und Ver­ei­nen schwer, da sie nicht über die Res­sour­cen ver­fü­gen, exter­ne Daten­schutz­be­auf­trag­te ein­zu­schal­ten oder mit der eige­nen Rechts­ab­tei­lung tätig zu werden.

Das LfDI-Tool DS-GVO.clever hilft kon­kret, ein­fach und wirk­sam. Es war bis­lang vor allem eine Hil­fe­stel­lung für Ver­ei­ne; jetzt kön­nen auch klei­ne Unter­neh­men, Gewer­be­trei­ben­de und Hand­werks­be­trie­be das Tool nut­zen und inner­halb kur­zer Zeit ihre Daten­schutz­in­for­ma­tio­nen erstel­len. Es geht dabei nicht nur um Daten­ver­ar­bei­tun­gen auf der Unter­neh­mens­web­sei­te, son­dern unter ande­rem auch um die Ver­ar­bei­tung von Kund*innen- und Beschäf­tig­ten­da­ten. Auch in der neu­en Ver­si­on fin­den sich wie­der zahl­rei­che Info-But­tons und Hin­wei­se auf wei­te­re Hil­fe­stel­lun­gen des LfDI, wie Erklär­vi­de­os oder Praxisratgeber.

Das Tool steht auf der Home­page des Lan­des­be­auf­trag­ten bereit. LfDI Ste­fan Brink: „Die Daten­schutz-Grund­ver­ord­nung unter­schei­det nicht zwi­schen Kon­zer­nen und Klein­be­trie­ben. Wir hel­fen klei­ne­ren Betrie­ben, damit sie sehr ein­fach funk­tio­nie­ren­de Daten­schutz­hin­wei­se selbst erstel­len können.“

Die Unter­neh­men sind und blei­ben ver­ant­wort­lich für ihre Daten­ver­ar­bei­tun­gen – mit „DS-GVO.clever“ kön­nen sie ihren Infor­ma­ti­ons­pflich­ten auf ein­fa­che Wei­se gerecht wer­den. Hand­werks­be­trie­be und ande­re klei­ne­re Unter­neh­men kön­nen sich ger­ne auch an den Lan­des­be­auf­trag­ten wen­den, wenn sie wei­te­re Unter­stüt­zung benötigen.

Das Bil­dungs­zen­trum BIDIB bie­tet zusätz­lich online-Schu­lun­gen an, damit Inter­es­sier­te sich mit „DS-GVO.clever“ ver­traut machen kön­nen.
https://​www​.baden​-wuer​t​tem​berg​.daten​schutz​.de/​o​f​f​e​n​e​-​v​e​r​a​n​s​t​a​l​t​u​n​g​en/

DS-GVO.clever:
https://​www​.baden​-wuer​t​tem​berg​.daten​schutz​.de/​d​s​-​g​v​o​.​c​l​e​v​er/

Der BfDI, Pro­fes­sor Ulrich Kel­ber, for­dert eine recht­li­che Klar­stel­lung, zur Abfra­ge des Impf- und Test­sta­tus von Beschäf­tig­ten: “Ich rate zu einer bun­des­ein­heit­li­chen Rege­lung, die einen Flicken­tep­pich ver­hin­dert. Der Ver­ord­nungs­ge­ber ist jetzt in der Pflicht zu han­deln.

Der BfDI steht hier­zu bereits mit den betei­lig­ten Bun­des­mi­ni­ste­ri­en in Kon­takt. Mit weni­gen Aus­nah­men, wie bei­spiels­wei­se im Gesund­heits­be­reich, kön­nen Arbeit­ge­ber und Dienst­her­ren momen­tan weder den Impf- oder Test­sta­tus ihrer Beschäf­tig­ten erfra­gen oder irgend­ei­ne Art von Testungs­pflicht anord­nen. Der BfDI betont, dass hier daten­schutz­freund­li­che Rege­lun­gen im Sin­ne der infor­ma­tio­nel­len Selbst­be­stim­mung der Beschäf­tig­ten getrof­fen wer­den soll­ten: Je nach­dem, ob man sich für 2G oder 3G ent­schei­det, müss­te die Arbeit­ge­be­rin oder der Arbeit­ge­ber auch gar nicht wis­sen, wel­chen kon­kre­ten Sta­tus ihre Beschäf­tig­ten haben. Eine Unter­schei­dung der Nach­wei­se wäre dann nicht notwendig.

Um die gefor­der­te Rechts­klar­heit zu schaf­fen, wird der BfDI die betei­lig­ten Bun­des­mi­ni­ste­ri­en wei­ter­hin inten­siv beraten.

Um im digi­ta­len Zeit­al­ter Fotos von Kin­dern in Sozia­len Medi­en oder dem Inter­net zu ver­öf­fent­li­chen, müs­sen alle gemein­sam Sor­ge­be­rech­tig­ten ein­ver­stan­den sein (OLG Düs­sel­dorf Beschluss vom 20.07.2021, Az: 1 UF 74/​21). Das OLG Düs­sel­dorf bestä­tigt die Ent­schei­dung des OLG Olden­burg (Beschluss vom 24.05.2018, Az: 13 W 10/​18).

Den Ent­schei­dun­gen der bei­den Ober­lan­des­ge­rich­te lagen ähn­li­che Sach­ver­hal­te zugrun­de. Die Eltern der betrof­fe­nen Kin­der leben getrennt. Die neue Lebens­ge­fähr­tin bzw. der neue Lebens­ge­fähr­te eines Eltern­teil ver­öf­fent­licht Fotos der Kin­der zu Wer­be­zwecken im Inter­net (Sozia­le Medi­en, Home­page). Von dem wei­te­ren Eltern­teil lag kei­ne Ein­wil­li­gung vor.

Ent­schei­dun­gen, die erheb­li­che Bedeu­tung im Leben eines Kin­des haben, sind von den Eltern gemein­sam zu tref­fen. Dies gilt unab­hän­gig davon, ob die Eltern zusam­men (§§ 1629, 1627, 1628 BGB) oder getrennt leben (§§ 1687, 1628 BGB).

Die Ver­öf­fent­li­chung von Kin­der­fo­tos im Inter­net hat erheb­li­che Kon­se­quen­zen für das Leben der Kin­der. Das WWW ver­gisst nichts. Fotos las­sen sich aus dem Inter­net kaum ent­fer­nen, so die Ober­lan­des­ge­rich­te. Die Ent­schei­dung der Eltern für oder gegen eine Ver­öf­fent­li­chung von Fotos hat erheb­li­che Bedeu­tung für die Ent­wick­lung und das Wohl der Kin­der. Das ergibt sich aus der Begrün­dung des Beschlus­ses durch das OLG Düs­sel­dorf. Fehlt bei gemein­sa­mer elter­li­cher Sor­ge die Zustim­mung eines Sor­ge­be­rech­tig­ten, so fehlt die Ein­wil­li­gung und somit die Rechts­grund­la­ge für die Ver­ar­bei­tung der Fotos.

Was ist das Beson­de­re an der Ent­schei­dung des OLG Düsseldorf?

Das Gericht setz­te sich umfas­send mit den Per­sön­lich­keits­schutz aus­ein­an­der. Neben der fami­li­en­recht­li­chen Rege­lung wer­den daten­schutz­recht­li­che (DSGVO) und urhe­ber­recht­li­che (Kunst­UrhG) Rege­lun­gen beleuchtet.

Das OLG Düs­sel­dorf stellt in sei­ner Ent­schei­dung klar, die in der DSGVO genann­te „elter­li­che Ver­ant­wor­tung“ (Art. 8, Art. 40 und ErwG. 38) ent­spricht der „elter­li­che Sor­ge“ nach deut­schem Recht. Ist eine Ein­wil­li­gung (Art. 6 Abs. 1 lit. a DSGVO) erfor­der­lich und hat die Ver­ar­bei­tung der Daten erheb­li­che Bedeu­tung für ein Kind, muss die Erklä­rung bei­der Sor­ge­be­rech­tig­ten vor­lie­gen. Erst dann ist die Ein­wil­li­gung wirk­sam. Die Zustim­mung der Eltern ist nicht auf die an Kin­der gerich­te­te Dien­ste der Infor­ma­ti­ons­ge­sell­schaft (Art. 8 DSGVO) begrenzt. Eine gemein­sa­me Ein­wil­li­gung der Sor­ge­be­rech­tig­ten kann für jede Ein­wil­li­gung erfor­der­lich werden.

Außer­dem stellt das Gericht in einem Neben­satz klar, dass es auf die Ein­wil­li­gung des betrof­fe­nen Kin­des nicht ankommt, solang die Ein­wil­li­gung der Sor­ge­be­rech­tig­ten nicht vor­liegt. Die Ent­schei­dung des OLG Düs­sel­dorf macht deut­lich, dass min­der­jäh­ri­ge Kin­der nicht gegen den Wil­len der Sor­ge­be­rech­tig­ten in eine Ver­ar­bei­tung ein­wil­li­gen kön­nen. Sagen die Eltern „Nein“ oder liegt eine sonst unwirk­sa­me Ein­wil­li­gung der Eltern vor, führt das „Ja“ der Min­der­jäh­ri­gen nicht zu einer recht­mä­ßi­gen Verarbeitung.

Es bleibt abzu­war­ten, ob die­se Aus­sa­ge durch wei­te­re Ent­schei­dun­gen bestä­tigt wird.

Das Gericht lässt das Ver­hält­nis zwi­schen DSGVO und Kunst­UrhG unge­klärt, weil es dar­auf in der Ent­schei­dung nicht ankommt. Auch die Ein­wil­li­gung nach § 22 Kunst­UrhG ist bei gemein­sa­mer elter­li­cher Sor­ge von bei­den Sor­ge­be­rech­tig­ten abzu­ge­ben. Da die Ein­wil­li­gung des einen Eltern­teils fehlt, liegt auch nach § 22 Kunst­UrhG kei­ne wirk­sa­me Ein­wil­li­gung vor.

Ergeb­nis: Bei der Ver­öf­fent­li­chung von Fotos im Inter­net, die Kin­der ablich­ten, ist dar­auf zu ach­ten, dass die Ein­wil­li­gung bei­der Sor­ge­be­rech­tig­ten vor­liegt. In jede Daten­ver­ar­bei­tung, die erheb­li­che Bedeu­tung für die Ent­wick­lung eines Kin­des hat, kann durch bei­de Sor­ge­be­rech­tig­ten nur gemein­sam ein­ge­wil­ligt werden.

Autorin: Rechts­an­wäl­tin Sascha Lotz­kat, exter­ne betrieb­li­che Daten­schutz­be­auf­trag­te, Fach­an­wäl­tin für Arbeitsrecht

Die Daten­schüt­zer von noyb haben im Mai eine Beschwer­de­wel­le gegen mani­pu­la­ti­ve und rechts­wid­ri­ge Coo­kie-Ban­ner auf gro­ßen Web­sites gestar­tet. Ein Teil der betrof­fe­nen Fir­men hat inzwi­schen nach­ge­bes­sert. Ande­re müs­sen nun mit for­ma­len Beschwer­den rechnen.

Die euro­päi­sche Daten­schutz­or­ga­ni­sa­ti­on noyb legt bei ihrem Kampf gegen rechts­wid­ri­ge Coo­kie-Zustim­mungs­ab­fra­gen im Inter­net nach. Nach einer ersten Beschwer­de­wel­le, die sich Ende Mai noch an die Web­sei­ten­be­trei­ber selbst rich­te­te, will das Team um den öster­rei­chi­schen Daten­schutz­ak­ti­vi­sten Max Schrems nun 422 for­ma­le Beschwer­den bei zehn Daten­schutz­be­hör­den ein­rei­chen. Nach Ansicht der Akti­vi­sten ver­sto­ßen die Fir­men mit mani­pu­la­ti­ven Coo­kie-Ban­nern gegen die euro­päi­sche Daten­schutz-Grund­ver­ord­nung (DSGVO).

Coo­kies sind klei­ne Daten­sät­ze, die Web­sei­ten hin­ter­le­gen, um die Nut­zer iden­ti­fi­zier­bar zu machen. Mit ihrer Hil­fe kön­nen indi­vi­du­el­le Pro­fi­le erstellt wer­den, die weit­rei­chen­de Rück­schlüs­se über Surf­ver­hal­ten, Vor­lie­ben und Lebens­ge­wohn­hei­ten zulas­sen. Die­ses Wis­sen wird dann etwa für per­so­na­li­sier­te Wer­bung herangezogen.

Nach den Schrei­ben an mehr als 500 Unter­neh­men am 31. Mai sei­en 42 Pro­zent aller Ver­stö­ße auf mehr als 516 Web­sites besei­tigt wor­den. Zu den Unter­neh­men, die die Ver­wen­dung von «dark pat­terns» zur Ein­ho­lung der Zustim­mung voll­stän­dig ein­ge­stellt haben, gehö­ren glo­ba­le Mar­ken wie Master­card, Proc­ter & Gam­ble, Fore­ver 21, Seat oder Nikon.

Unter „dark pat­terns“ ver­steht man Bedien­ober­flä­chen, die Nut­zer zu einer Hand­lung brin­gen sol­len, die nicht ihren eigent­li­chen Absich­ten ent­spricht. Im Fall von Coo­kie-Hin­wei­sen wer­den But­tons, Auf­bau und Beschrif­tung gezielt so gewählt, dass die Web­site-Besu­cher am ehe­sten eine daten­schutz­un­freund­li­che Aus­wahl treffen.

Nur eine Min­der­heit der ange­schrie­be­nen Unter­neh­men kam der Auf­for­de­rung von noyb nach, den Wider­ruf so ein­fach wie die Ertei­lung der Ein­wil­li­gung zu gestal­ten. Nur 18 Pro­zent hät­ten eine sol­che Opti­on qua­si als Wider­rufs­sym­bol auf ihrer Web­site eingerichtet.

Unter­neh­men wol­len Recht auf Manipulation

In dem Coo­kie-Streit hat es die wer­be­trei­ben­de Indu­strie mit einem ein­fluss­rei­chen Geg­ner zu tun. Schrems hat in zwei spek­ta­ku­lä­ren Fäl­len bereits Face­book in die Knie gezwun­gen. Er setz­te zum einen im Okto­ber 2015 vor dem Euro­päi­schen Gerichts­hof (EuGH) durch, dass die von Face­book genutz­te trans­at­lan­ti­sche Daten­schutz­ver­ein­ba­rung „Safe Har­bor“ gekippt wur­de. Im Juni 2020 brach­te er vor dem EuGH schließ­lich auch die Nach­fol­ge­re­ge­lung „Pri­va­cy Shield“ zu Fall.

Schrems erklär­te nun, Unter­neh­men hät­ten die Befürch­tung geäu­ßert, dass ihre Kon­kur­ren­ten die Vor­schrif­ten nicht ein­hal­ten, was zu einem unfai­ren Wett­be­werb füh­ren wür­de. „Ande­re sag­ten, dass sie auf eine kla­re Ent­schei­dung der Behör­den war­ten, bevor sie die Geset­ze ein­hal­ten. Wir hof­fen daher, dass die Daten­schutz­be­hör­den bald Ent­schei­dun­gen und Sank­tio­nen erlas­sen werden.“

Unab­hän­gig von der Über­prü­fung der mehr als 500 Web­sei­ten in der ersten Beschwer­de­wel­le nah­men Schrems und sein Team auch grö­ße­re glo­ba­le und natio­na­le Web­sites unter die Lupe, die indi­vi­du­el­le „Coo­kie-Ban­ner“ ver­wen­den und daher eine manu­el­le Über­prü­fung erfor­dern. Dazu gehö­ren alle gro­ßen Platt­for­men wie Ama­zon, Twit­ter, Goog­le oder Face­book. „Sie alle haben sich gewei­gert, ihre Ban­ner zu ver­bes­sern“, erklär­ten die Daten­schutz-Akti­vi­sten. Noyb rei­che des­halb wei­te­re 36 Beschwer­den gegen die­se Unter­neh­men ein.

Grö­ße­re Akteu­re und Sei­ten, die stark von Wer­bung abhän­gig sind, haben unse­re Ver­war­nung weit­ge­hend igno­riert“, beklag­te Schrems. „Sie argu­men­tie­ren teil­wei­se offen, dass sie das Recht hät­ten, Nut­zer mit Mani­pu­la­tio­nen zu einem Klick auf den “Okay”-Button zu brin­gen.“ Schrems setz­te sich für „kla­re gesamt­eu­ro­päi­sche Regeln“ ein. „Im Moment hat ein deut­sches Unter­neh­men das Gefühl, dass die Aus­le­gung der DSGVO durch die fran­zö­si­schen Behör­den nur für Frank­reich gilt, obwohl das Recht über­all gleich gel­ten sollte.“

Der Prä­si­dent des Baye­ri­schen Lan­des­am­tes für Daten­schutz­auf­sicht (BayL­DA), Micha­el Will, stell­te am Diens­tag, den 13. Juli 2021 den Tätig­keits­be­richt sei­ner Be-
hör­de für das Jahr 2020 vor. „Auch im Daten­schutz war 2020 – das Jahr der Pan­de­mie­be­kämp­fung – geprägt von neu­en Arbeits­be­din­gun­gen genau­so wie von
unzäh­li­gen neu­en Fra­ge­stel­lun­gen. Das Daten­schutz­recht hat die­se Bewäh­rungs­pro­be gut bestan­den und die wider­strei­ten­den Inter­es­sen effek­ti­ver Seu­chen­ab­wehr in Unter­neh­men wie Ver­ei­nen und Trans­pa­renz bzw. Kon­trol­le des Ein­zel­nen über sei­ne Daten aus­ba­lan­ciert. Trotz guter Aus­gangs­be­din­gun­gen blei­ben die anhal­tend hohen Fall­zah­len gera­de bei Beschwer­den und Daten­schutz­ver­let­zun­gen eine Herausforderung.“

Der nach der Daten­schutz-Grund­ver­ord­nung (DS-GVO) jähr­lich vor­zu­le­gen­de Tätig­keits­be­richt der der­zeit aus 33 Beschäf­tig­ten bestehen­den Daten­schutz­auf­sichts­be­hör­de für die baye­ri­schen Unter­neh­men und Ver­ei­ne umfasst auf 86 Sei­ten sta­ti­sti­sche Über­sich­ten und knap­pe Erläu­te­run­gen der Schwer­punkt­the­men der ver­schie­de­nen Bran­chen und Daten­schutz­be­rei­che wie dem Inter­net, der Video­über­wa­chung oder dem Tech­ni­schen Daten­schutz und der Cybersicherheit.

Erst­mals wur­de nicht nur der Bericht selbst in rein digi­ta­ler Form ver­öf­fent­licht, auch die Vor­stel­lung in einer Pres­se­kon­fe­renz vor Pres­se- und Fach­öf­fent­lich­keit wur­de in eine Online-Kon­fe­renz ver­legt. Will erläu­ter­te: „Die­se rein digi­ta­le Prä­sen­ta­ti­on spie­gelt die Kern­the­men des Berichts­jah­res wie­der: Coro­na und den Inter­na­tio­na­len Daten­ver­kehr. Die Ent­schei­dung des Euro­päi­schen Gerichts­hofs in der Rechts­sa­che „Schrems II“ hat uns nicht anders als allen Ver­ant­wort­li­chen in Betrie­ben oder im Ehren­amt schwie­ri­ge Auf­ga­ben auf­ge­zeigt, die bei der Mehr­zahl der gän­gi­gen Daten­ver­ar­bei­tun­gen wie E‑Mail- und Cloud-Dien­sten oder Video­kon­fe­renz­sy­ste­men zu berück­sich­ti­gen sind. Die­se Auf­ga­ben und ihre pra­xis­ge­rech­te Hand­ha­bung wer­den sicher auch 2021 zu den Schwer­punkt­be­rei­chen unse­rer Bera­tung und Prü­fung zählen.“

Die sta­ti­sti­schen Aus­wer­tun­gen des Berichts zei­gen, dass die Pan­de­mie trotz aller anhal­ten­den Bedro­hun­gen im Cyber­raum nicht zu einer Zunah­me der Mel­dun­gen von Daten­schutz­ver­let­zun­gen geführt hat. Die­se blei­ben mit 3752 Mel­dun­gen knapp 10 % hin­ter dem Spit­zen­wert des Vor­jah­res. Eben­so haben sich die an das BayL­DA gerich­te­ten Bera­tungs­an­fra­gen mit rd. 2600 Ein­gän­gen auf hohem Niveau, den­noch aber zumin­dest 20 % hin­ter dem Wert des Vor­jah­res sta­bi­li­siert. Der Rück­gang bestä­tigt damit vor allem den Erfolg pro­ak­ti­ver Bera­tung durch all­ge­mei­ne Infor­ma­ti­ons­an­ge­bo­te im Inter­net­auf­tritt des BayLDA. 

Dage­gen errei­chen die Ein­gangs­zah­len bei Beschwer­den und Kon­troll­an­re­gun­gen mit 6185 Fäl­len einen wei­te­ren Höchst­wert. Will stellt hier­zu fest: „Trotz des ste­ti­gen Aus­baus und der hohen Effi­zi­enz unse­rer Behör­de bleibt die Ver­zehn­fa­chung der Ein­gangs­zah­len im zurück­lie­gen­den Jahr­zehnt eine zen­tra­le Her­aus­for­de­rung unse­res Teams auch in den kom­men­den Jah­ren, zumal wir gleich­zei­tig Kern­auf­ga­ben der DS-GVO wie der wich­ti­gen, aber auch anspruchs­vol­len Zusam­men­ar­beit unter dem Dach des Euro­päi­schen Daten­schutz­aus­schus­ses gerecht wer­den wol­len und müssen.“

Der Tätig­keits­be­richt für das Jahr 2020 ist eben­so wie ein Video­mit­schnitt der vir­tu­el­len Pres­se­kon­fe­renz unter fol­gen­dem Link erreich­bar: https://​www​.lda​.bay​ern​.de/​d​e​/​t​a​e​t​i​g​k​e​i​t​s​b​e​r​i​c​h​t​e​.​h​tml

Pres­se­mit­tei­lung der Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der vom 21.06.2021

Mit Durch­füh­rungs­be­schluss vom 4. Juni 2021 hat die Euro­päi­sche Kom­mis­si­on neue Stan­dard­ver­trags­klau­seln erlas­sen, die eine rechts­kon­for­me Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in Dritt­län­der ermög­li­chen sol­len. Die Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der (Daten­schutz­kon­fe­renz, DSK) weist wie auch der Euro­päi­sche Daten­schutz­aus­schuss (EDSA) dar­auf hin, dass auch bei Ver­wen­dung der neu­en EU-Stan­dard­ver­trags­klau­seln eine Prü­fung der Rechts­la­ge im Dritt­land und zusätz­li­cher ergän­zen­der Maß­nah­men erfor­der­lich ist.

In ihrem Beschluss ist die EU-Kom­mis­si­on unter ande­rem auf die „Schrems II“-Entscheidung des Euro­päi­schen Gerichts­hofs (EuGH) ein­ge­gan­gen. Der EuGH hat­te in sei­nem Urteil vom 16. Juli 2020 (Rs. C‑311/​18 – Schrems II) fest­ge­stellt, dass Über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten in die USA nicht län­ger auf Basis des soge­nann­ten Pri­va­cy Shiel­ds erfol­gen kön­nen. Die von der EU-Kom­mis­si­on beschlos­se­nen Stan­dard­ver­trags­klau­seln kön­nen zwar grund­sätz­lich wei­ter­hin als Rechts­grund­la­ge für Über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten in Dritt­län­der her­an­ge­zo­gen wer­den. Aller­dings müs­sen alle Ver­ant­wort­li­chen ergän­zend eine Prü­fung durch­füh­ren, ob die Rechts­la­ge oder die Pra­xis in dem jewei­li­gen Dritt­land nega­ti­ven Ein­fluss auf das durch die Stan­dard­ver­trags­klau­seln gewähr­lei­ste­te Schutz­ni­veau haben kön­nen. Ist dies der Fall, etwa weil die Behör­den des Dritt­lands über­mä­ßi­ge Zugriffs­rech­te auf ver­ar­bei­te­te Daten haben, müs­sen die Ver­ant­wort­li­chen vor der Daten­über­mitt­lung in das Dritt­land zusätz­li­che Maß­nah­men ergrei­fen, um wie­der ein Schutz­ni­veau zu gewähr­lei­sten, das dem in der Euro­päi­schen Uni­on garan­tier­ten Niveau der Sache nach gleich­wer­tig ist. Ist dies nicht mög­lich, müs­sen die Über­mitt­lun­gen unterbleiben.

Für die Prü­fung der Rechts­la­ge im Dritt­land und der ergän­zen­den Maß­nah­men kön­nen Ver­ant­wort­li­che die „Emp­feh­lun­gen 01/​2020 zu Maß­nah­men zur Ergän­zung von Über­mitt­lungs­tools zur Gewähr­lei­stung des uni­ons­recht­li­chen Schutz­ni­veaus für per­so­nen­be­zo­ge­ne Daten“ her­an­zie­hen. Deren end­gül­ti­ge Fas­sung hat der EDSA nach öffent­li­cher Kon­sul­ta­ti­on am 18. Juni 2021 beschlos­sen (https://​edpb​.euro​pa​.eu/​s​y​s​t​e​m​/​f​i​l​e​s​/​2​021 – 06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf ).

An der beschrie­be­nen Situa­ti­on und den sich dar­aus erge­ben­den Ver­pflich­tun­gen hat sich durch die neu­en Stan­dard­ver­trags­klau­seln nichts geän­dert. Die­se regeln die bis­her nur aus der Recht­spre­chung des EuGH fol­gen­den Anfor­de­run­gen nun viel­mehr aus­drück­lich (Klau­sel 14). Die EU-Kom­mis­si­on und der EDSA haben die neu­en Stan­dard­ver­trags­klau­seln und die Emp­feh­lun­gen 01/​2020 bewusst auf­ein­an­der abge­stimmt. Das heißt, auch bei Ver­wen­dung der neu­en Klau­seln muss der Daten­ex­por­teur die Rechts­la­ge und ‑pra­xis des Dritt­lands prü­fen und ggf. zusätz­li­che Schutz­maß­nah­men ergrei­fen bzw., wenn dies nicht gelingt, von der Über­mitt­lung Abstand nehmen.

In sei­nem Urteil „Schrems II“ hat der Euro­päi­sche Gerichts­hof das Daten­schutz­ni­veau in den USA im Detail geprüft und für unzu­rei­chend befun­den. Im Fall von Daten­über­mitt­lun­gen in die USA sind daher regel­mä­ßig ergän­zen­de Maß­nah­men erfor­der­lich, die einen Zugriff der US-Behör­den auf die ver­ar­bei­te­ten Daten ver­hin­dern. Sol­che Maß­nah­men sind aller­dings nur für weni­ge Fäl­le denkbar.

Unter­neh­men und ande­re Akteu­re, die per­so­nen­be­zo­ge­ne Daten in Dritt­län­der über­mit­teln, müs­sen gegen­über der Auf­sichts­be­hör­de nach­wei­sen kön­nen, dass sie die hier dar­ge­stell­te Prü­fung zum Schutz­ni­veau im Dritt­land im Ein­zel­fall durch­ge­führt haben und zu einem posi­ti­ven Ergeb­nis gekom­men sind. Die deut­schen Auf­sichts­be­hör­den haben mit Bera­tun­gen und Prü­fun­gen dazu begon­nen, ob und wie die Anfor­de­run­gen des „Schrems II“-Urteils ein­ge­hal­ten werden.

Wei­te­re Infor­ma­tio­nen zur DSK: www​.daten​schutz​kon​fe​renz​-online​.de

Ver­ant­wort­li­che sind hier in der Pflicht, einen wich­ti­gen Bei­trag zur Pan­de­mie­be­kämp­fung zu lei­sten und zugleich die sen­si­blen Daten ihrer Kun­din­nen und Kun­den sorg­sam zu ver­ar­bei­ten. Micha­el Will, Prä­si­dent des Lan­des­amts für Daten­schutz­auf­sicht appel­liert des­halb an die Ver­ant­wort­li­chen: „Daten­schutz und Pan­de­mie­be­kämp­fung sind weder unver­söhn­li­che Gegen­spie­ler noch dop­pel­te Büro­kra­tie für die Unter­neh­men. Nur bei­de gemein­sam sichern das Ver­trau­en der Kun­din­nen und Kun­den auf dem Weg zurück in unse­rer gewohn­ten Alltag.“

Das Lan­des­amt für Daten­schutz­auf­sicht hat bereits in der Ver­gan­gen­heit viel­fäl­ti­ge Hin­wei­se ent­wickelt, die die pra­xis­ge­rech­te Umset­zung infek­ti­ons- und daten­schutz­recht­li­cher Anfor­de­run­gen unter­stüt­zen: https://​www​.lda​.bay​ern​.de/​d​e​/​t​h​e​m​a​_​c​o​r​o​n​a​_​g​a​s​t​r​o​n​o​m​i​e​.​h​tml. Eine beson­de­re War­nung gilt allen, die Kon­takt­da­ten sorg­los mit offe­nen Kon­takt­li­sten auf Papier erfas­sen wol­len und damit den Daten­schutz ihrer Gäste miss­ach­ten. Statt­des­sen emp­fiehlt das Lan­des­amt bei Papier­nut­zung Ein­zel­bö­gen mit den aktu­ell gefor­der­ten Anga­ben, für die ein Muster zum Down­load bereitsteht.

Ange­bo­te digi­ta­ler Kon­takt­da­ten­er­fas­sung kön­nen eine wert­vol­le Ent­la­stung bie­ten und stel­len durch lei­stungs­fä­hi­ge Ver­schlüs­se­lungs­ver­fah­ren sicher, dass Unbe­fug­te die Daten nicht für eige­ne Zwecke miss­brau­chen. Wei­te­re Infor­ma­tio­nen fin­den Sie unter https://​www​.lda​.bay​ern​.de/​d​e​/​t​h​e​m​a​_​l​u​c​a​.​h​tml sowie hier: https://​www​.daten​schutz​kon​fe​renz​-online​.de/​m​e​d​i​a​/​o​h​/​2​0​2​1​0​4​2​9​_​D​S​K​_​O​H​_​K​o​n​t​a​k​t​n​a​c​h​v​e​r​f​o​l​g​u​n​g​.​pdf.

Will stellt dazu fest: „Der unbe­dach­te Umgang mit Kon­takt­da­ten auf Papier war im ersten Jahr der Pan­de­mie viel zu oft Anlass für Ein­zel­fall­un­ter­su­chun­gen bis hin zu Geld­bu­ßen. Sol­che Ver­fah­ren sind unnö­tig und ver­meid­bar. Neben unse­ren Hil­fe­stel­lun­gen für papier­ge­bun­de­ne Kon­takt­da­ten­er­fas­sung sehen wir mitt­ler­wei­le eini­ge lei­stungs­fä­hi­ge elek­tro­ni­sche Kon­takt­da­ten­er­fas­sungs­ver­fah­ren, die daten­schutz­recht­lich gute Lösun­gen ermög­li­chen. Unse­re bis­he­ri­gen Prü­fun­gen geben trotz eini­ger kri­ti­scher Dis­kus­sio­nen bis­lang kei­nen Anlass, von sol­chen Ver­fah­ren abzu­ra­ten, soweit die Anwen­dungs­hin­wei­se der Her­stel­ler zuver­läs­sig umge­setzt werden.“

Soll­ten Ver­ant­wort­li­che die Vor­la­ge von nega­ti­ven Test­ergeb­nis­sen, Impf- oder Gene­sungs­be­stä­ti­gun­gen oder Atte­ste zur Befrei­ung von der Mas­ken­pflicht über­prü­fen müs­sen, dür­fen die­se Nach­wei­se nach dem Wort­laut der ein­schlä­gi­gen gesetz­li­chen Bestim­mun­gen ledig­lich vor­ge­legt, also gesich­tet, jedoch nicht kopiert wer­den. Wei­te­re Infor­ma­tio­nen dazu fin­den Sie hier: https://​www​.lda​.bay​ern​.de/​m​e​d​i​a​/​v​e​r​o​e​f​f​e​n​t​l​i​c​h​u​n​g​e​n​/​2​0​2​1​0​3​1​0​_​B​e​f​r​e​i​u​n​g​_​M​N​B​.​pdf.

Län­der­über­grei­fen­de Kon­trol­le der Daten­schutz­auf­sichts­be­hör­den von Unter­neh­men zur Umset­zung der Schrems II Ent­schei­dung des Euro­päi­schen Gerichtshofs

Pres­se­infor­ma­ti­on der Lan­des­be­auf­trag­ten für den Daten­schutz und für das Recht auf Akten­ein­sicht vom 01.06.2021

Im Rah­men einer län­der­über­grei­fen­den Kon­trol­le wer­den Daten­über­mitt­lun­gen durch Unter­neh­men in Staa­ten außer­halb der Euro­päi­schen Uni­on oder des Euro­päi­schen Wirt­schafts­raums (Dritt­staa­ten) über­prüft. Das Ziel ist die brei­te Durch­set­zung der Anfor­de­run­gen des Euro­päi­schen Gerichts­hofs in sei­ner Schrems-II-Ent­schei­dung vom 16. Juli 2020 (Rs. C‑311/​18). Dar­in hat das Gericht fest­ge­stellt, dass Über­mitt­lun­gen in die USA nicht län­ger auf Basis des soge­nann­ten Pri­va­cy Shiel­ds erfol­gen kön­nen. Der Ein­satz der Stan­dard­da­ten­schutz­klau­seln für Daten­über­mitt­lun­gen in Dritt­staa­ten ist fer­ner nur noch unter Ver­wen­dung wirk­sa­mer zusätz­li­cher Maß­nah­men aus­rei­chend, wenn die Prü­fung des Ver­ant­wort­li­chen erge­ben hat, dass im Emp­fän­ger­staat kein gleich­wer­ti­ges Schutz­ni­veau für die per­so­nen­be­zo­ge­nen Daten gewähr­lei­stet wer­den kann. Das Urteil des EuGH erfor­dert in vie­len Fäl­len eine grund­le­gen­de Umstel­lung lan­ge prak­ti­zier­ter Geschäfts­mo­del­le und ‑abläu­fe.

Die an der Kon­trol­le teil­neh­men­den Behör­den – dar­un­ter die bran­den­bur­gi­sche Lan­des­da­ten­schutz­be­auf­trag­te – schrei­ben nun die jeweils aus­ge­wähl­ten Unter­neh­men auf der Basis eines gemein­sa­men Fra­ge­ka­ta­logs an. Dabei wird es unter ande­rem um den Ein­satz von Dienst­lei­stern zum E‑Mail-Ver­sand, zum Hosting von Inter­net­sei­ten, zum Web­tracking, zur Ver­wal­tung von Bewer­ber­da­ten und um den kon­zern­in­ter­nen Aus­tausch von Kun­den­da­ten und Daten der Beschäf­tig­ten gehen. Jede Auf­sichts­be­hör­de ent­schei­det indi­vi­du­ell, in wel­chen die­ser The­men­fel­der sie tätig wird.

Der Gerichts­hof hat sei­ne Erwar­tung klar for­mu­liert, dass die Behör­den unzu­läs­si­ge Trans­fers „aus­set­zen oder ver­bie­ten“. Das Aus­set­zen einer Über­mitt­lung kann vor­aus­sicht­lich in vie­len Fäl­len im koope­ra­ti­ven Dia­log mit den Unter­neh­men gelin­gen. Wo dies nicht mög­lich ist, wird mit den zur Ver­fü­gung ste­hen­den auf­sichts­be­hörd­li­chen Maß­nah­men reagiert. Die Auf­sichts­be­hör­den sind sich der beson­de­ren Her­aus­for­de­run­gen, die das EuGH-Urteil zu Schrems II für die Unter­neh­men in Deutsch­land und Euro­pa mit sich bringt, bewusst. Sie ste­hen für Ver­ständ­nis­fra­gen auch im wei­te­ren Ver­lauf des Prü­fungs­ver­fah­rens zur Ver­fü­gung, soweit dies nach Maß­ga­be der vor­han­de­nen Kapa­zi­tä­ten mög­lich ist.

Der Fra­gen­ka­ta­log zu den jewei­li­gen Fall­grup­pen kann am Ende die­ser Sei­te abge­ru­fen werden:

Die Pres­se­mit­tei­lun­gen der Lan­des­be­auf­trag­ten für den Daten­schutz und für das Recht auf Akten­ein­sicht Bran­den­burg kön­nen hier abge­ru­fen werden.