Der Prä­si­dent des Baye­ri­schen Lan­des­am­tes für Daten­schutz­auf­sicht (BayL­DA), Micha­el Will, stell­te am Diens­tag, den 13. Juli 2021 den Tätig­keits­be­richt sei­ner Be-
hör­de für das Jahr 2020 vor. „Auch im Daten­schutz war 2020 – das Jahr der Pan­de­mie­be­kämp­fung – geprägt von neu­en Arbeits­be­din­gun­gen genau­so wie von
unzäh­li­gen neu­en Fra­ge­stel­lun­gen. Das Daten­schutz­recht hat die­se Bewäh­rungs­pro­be gut bestan­den und die wider­strei­ten­den Inter­es­sen effek­ti­ver Seu­chen­ab­wehr in Unter­neh­men wie Ver­ei­nen und Trans­pa­renz bzw. Kon­trol­le des Ein­zel­nen über sei­ne Daten aus­ba­lan­ciert. Trotz guter Aus­gangs­be­din­gun­gen blei­ben die anhal­tend hohen Fall­zah­len gera­de bei Beschwer­den und Daten­schutz­ver­let­zun­gen eine Herausforderung.“

Der nach der Daten­schutz-Grund­ver­ord­nung (DS-GVO) jähr­lich vor­zu­le­gen­de Tätig­keits­be­richt der der­zeit aus 33 Beschäf­tig­ten bestehen­den Daten­schutz­auf­sichts­be­hör­de für die baye­ri­schen Unter­neh­men und Ver­ei­ne umfasst auf 86 Sei­ten sta­ti­sti­sche Über­sich­ten und knap­pe Erläu­te­run­gen der Schwer­punkt­the­men der ver­schie­de­nen Bran­chen und Daten­schutz­be­rei­che wie dem Inter­net, der Video­über­wa­chung oder dem Tech­ni­schen Daten­schutz und der Cybersicherheit.

Erst­mals wur­de nicht nur der Bericht selbst in rein digi­ta­ler Form ver­öf­fent­licht, auch die Vor­stel­lung in einer Pres­se­kon­fe­renz vor Pres­se- und Fach­öf­fent­lich­keit wur­de in eine Online-Kon­fe­renz ver­legt. Will erläu­ter­te: „Die­se rein digi­ta­le Prä­sen­ta­ti­on spie­gelt die Kern­the­men des Berichts­jah­res wie­der: Coro­na und den Inter­na­tio­na­len Daten­ver­kehr. Die Ent­schei­dung des Euro­päi­schen Gerichts­hofs in der Rechts­sa­che „Schrems II“ hat uns nicht anders als allen Ver­ant­wort­li­chen in Betrie­ben oder im Ehren­amt schwie­ri­ge Auf­ga­ben auf­ge­zeigt, die bei der Mehr­zahl der gän­gi­gen Daten­ver­ar­bei­tun­gen wie E‑Mail- und Cloud-Dien­sten oder Video­kon­fe­renz­sy­ste­men zu berück­sich­ti­gen sind. Die­se Auf­ga­ben und ihre pra­xis­ge­rech­te Hand­ha­bung wer­den sicher auch 2021 zu den Schwer­punkt­be­rei­chen unse­rer Bera­tung und Prü­fung zählen.“

Die sta­ti­sti­schen Aus­wer­tun­gen des Berichts zei­gen, dass die Pan­de­mie trotz aller anhal­ten­den Bedro­hun­gen im Cyber­raum nicht zu einer Zunah­me der Mel­dun­gen von Daten­schutz­ver­let­zun­gen geführt hat. Die­se blei­ben mit 3752 Mel­dun­gen knapp 10 % hin­ter dem Spit­zen­wert des Vor­jah­res. Eben­so haben sich die an das BayL­DA gerich­te­ten Bera­tungs­an­fra­gen mit rd. 2600 Ein­gän­gen auf hohem Niveau, den­noch aber zumin­dest 20 % hin­ter dem Wert des Vor­jah­res sta­bi­li­siert. Der Rück­gang bestä­tigt damit vor allem den Erfolg pro­ak­ti­ver Bera­tung durch all­ge­mei­ne Infor­ma­ti­ons­an­ge­bo­te im Inter­net­auf­tritt des BayLDA. 

Dage­gen errei­chen die Ein­gangs­zah­len bei Beschwer­den und Kon­troll­an­re­gun­gen mit 6185 Fäl­len einen wei­te­ren Höchst­wert. Will stellt hier­zu fest: „Trotz des ste­ti­gen Aus­baus und der hohen Effi­zi­enz unse­rer Behör­de bleibt die Ver­zehn­fa­chung der Ein­gangs­zah­len im zurück­lie­gen­den Jahr­zehnt eine zen­tra­le Her­aus­for­de­rung unse­res Teams auch in den kom­men­den Jah­ren, zumal wir gleich­zei­tig Kern­auf­ga­ben der DS-GVO wie der wich­ti­gen, aber auch anspruchs­vol­len Zusam­men­ar­beit unter dem Dach des Euro­päi­schen Daten­schutz­aus­schus­ses gerecht wer­den wol­len und müssen.“

Der Tätig­keits­be­richt für das Jahr 2020 ist eben­so wie ein Video­mit­schnitt der vir­tu­el­len Pres­se­kon­fe­renz unter fol­gen­dem Link erreich­bar: https://​www​.lda​.bay​ern​.de/​d​e​/​t​a​e​t​i​g​k​e​i​t​s​b​e​r​i​c​h​t​e​.​h​tml

Pres­se­mit­tei­lung der Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der vom 21.06.2021

Mit Durch­füh­rungs­be­schluss vom 4. Juni 2021 hat die Euro­päi­sche Kom­mis­si­on neue Stan­dard­ver­trags­klau­seln erlas­sen, die eine rechts­kon­for­me Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in Dritt­län­der ermög­li­chen sol­len. Die Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der (Daten­schutz­kon­fe­renz, DSK) weist wie auch der Euro­päi­sche Daten­schutz­aus­schuss (EDSA) dar­auf hin, dass auch bei Ver­wen­dung der neu­en EU-Stan­dard­ver­trags­klau­seln eine Prü­fung der Rechts­la­ge im Dritt­land und zusätz­li­cher ergän­zen­der Maß­nah­men erfor­der­lich ist.

In ihrem Beschluss ist die EU-Kom­mis­si­on unter ande­rem auf die „Schrems II“-Entscheidung des Euro­päi­schen Gerichts­hofs (EuGH) ein­ge­gan­gen. Der EuGH hat­te in sei­nem Urteil vom 16. Juli 2020 (Rs. C‑311/​18 – Schrems II) fest­ge­stellt, dass Über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten in die USA nicht län­ger auf Basis des soge­nann­ten Pri­va­cy Shiel­ds erfol­gen kön­nen. Die von der EU-Kom­mis­si­on beschlos­se­nen Stan­dard­ver­trags­klau­seln kön­nen zwar grund­sätz­lich wei­ter­hin als Rechts­grund­la­ge für Über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten in Dritt­län­der her­an­ge­zo­gen wer­den. Aller­dings müs­sen alle Ver­ant­wort­li­chen ergän­zend eine Prü­fung durch­füh­ren, ob die Rechts­la­ge oder die Pra­xis in dem jewei­li­gen Dritt­land nega­ti­ven Ein­fluss auf das durch die Stan­dard­ver­trags­klau­seln gewähr­lei­ste­te Schutz­ni­veau haben kön­nen. Ist dies der Fall, etwa weil die Behör­den des Dritt­lands über­mä­ßi­ge Zugriffs­rech­te auf ver­ar­bei­te­te Daten haben, müs­sen die Ver­ant­wort­li­chen vor der Daten­über­mitt­lung in das Dritt­land zusätz­li­che Maß­nah­men ergrei­fen, um wie­der ein Schutz­ni­veau zu gewähr­lei­sten, das dem in der Euro­päi­schen Uni­on garan­tier­ten Niveau der Sache nach gleich­wer­tig ist. Ist dies nicht mög­lich, müs­sen die Über­mitt­lun­gen unterbleiben.

Für die Prü­fung der Rechts­la­ge im Dritt­land und der ergän­zen­den Maß­nah­men kön­nen Ver­ant­wort­li­che die „Emp­feh­lun­gen 01/​2020 zu Maß­nah­men zur Ergän­zung von Über­mitt­lungs­tools zur Gewähr­lei­stung des uni­ons­recht­li­chen Schutz­ni­veaus für per­so­nen­be­zo­ge­ne Daten“ her­an­zie­hen. Deren end­gül­ti­ge Fas­sung hat der EDSA nach öffent­li­cher Kon­sul­ta­ti­on am 18. Juni 2021 beschlos­sen (https://​edpb​.euro​pa​.eu/​s​y​s​t​e​m​/​f​i​l​e​s​/​2​021 – 06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf ).

An der beschrie­be­nen Situa­ti­on und den sich dar­aus erge­ben­den Ver­pflich­tun­gen hat sich durch die neu­en Stan­dard­ver­trags­klau­seln nichts geän­dert. Die­se regeln die bis­her nur aus der Recht­spre­chung des EuGH fol­gen­den Anfor­de­run­gen nun viel­mehr aus­drück­lich (Klau­sel 14). Die EU-Kom­mis­si­on und der EDSA haben die neu­en Stan­dard­ver­trags­klau­seln und die Emp­feh­lun­gen 01/​2020 bewusst auf­ein­an­der abge­stimmt. Das heißt, auch bei Ver­wen­dung der neu­en Klau­seln muss der Daten­ex­por­teur die Rechts­la­ge und ‑pra­xis des Dritt­lands prü­fen und ggf. zusätz­li­che Schutz­maß­nah­men ergrei­fen bzw., wenn dies nicht gelingt, von der Über­mitt­lung Abstand nehmen.

In sei­nem Urteil „Schrems II“ hat der Euro­päi­sche Gerichts­hof das Daten­schutz­ni­veau in den USA im Detail geprüft und für unzu­rei­chend befun­den. Im Fall von Daten­über­mitt­lun­gen in die USA sind daher regel­mä­ßig ergän­zen­de Maß­nah­men erfor­der­lich, die einen Zugriff der US-Behör­den auf die ver­ar­bei­te­ten Daten ver­hin­dern. Sol­che Maß­nah­men sind aller­dings nur für weni­ge Fäl­le denkbar.

Unter­neh­men und ande­re Akteu­re, die per­so­nen­be­zo­ge­ne Daten in Dritt­län­der über­mit­teln, müs­sen gegen­über der Auf­sichts­be­hör­de nach­wei­sen kön­nen, dass sie die hier dar­ge­stell­te Prü­fung zum Schutz­ni­veau im Dritt­land im Ein­zel­fall durch­ge­führt haben und zu einem posi­ti­ven Ergeb­nis gekom­men sind. Die deut­schen Auf­sichts­be­hör­den haben mit Bera­tun­gen und Prü­fun­gen dazu begon­nen, ob und wie die Anfor­de­run­gen des „Schrems II“-Urteils ein­ge­hal­ten werden.

Wei­te­re Infor­ma­tio­nen zur DSK: www​.daten​schutz​kon​fe​renz​-online​.de

Ver­ant­wort­li­che sind hier in der Pflicht, einen wich­ti­gen Bei­trag zur Pan­de­mie­be­kämp­fung zu lei­sten und zugleich die sen­si­blen Daten ihrer Kun­din­nen und Kun­den sorg­sam zu ver­ar­bei­ten. Micha­el Will, Prä­si­dent des Lan­des­amts für Daten­schutz­auf­sicht appel­liert des­halb an die Ver­ant­wort­li­chen: „Daten­schutz und Pan­de­mie­be­kämp­fung sind weder unver­söhn­li­che Gegen­spie­ler noch dop­pel­te Büro­kra­tie für die Unter­neh­men. Nur bei­de gemein­sam sichern das Ver­trau­en der Kun­din­nen und Kun­den auf dem Weg zurück in unse­rer gewohn­ten Alltag.“

Das Lan­des­amt für Daten­schutz­auf­sicht hat bereits in der Ver­gan­gen­heit viel­fäl­ti­ge Hin­wei­se ent­wickelt, die die pra­xis­ge­rech­te Umset­zung infek­ti­ons- und daten­schutz­recht­li­cher Anfor­de­run­gen unter­stüt­zen: https://​www​.lda​.bay​ern​.de/​d​e​/​t​h​e​m​a​_​c​o​r​o​n​a​_​g​a​s​t​r​o​n​o​m​i​e​.​h​tml. Eine beson­de­re War­nung gilt allen, die Kon­takt­da­ten sorg­los mit offe­nen Kon­takt­li­sten auf Papier erfas­sen wol­len und damit den Daten­schutz ihrer Gäste miss­ach­ten. Statt­des­sen emp­fiehlt das Lan­des­amt bei Papier­nut­zung Ein­zel­bö­gen mit den aktu­ell gefor­der­ten Anga­ben, für die ein Muster zum Down­load bereitsteht.

Ange­bo­te digi­ta­ler Kon­takt­da­ten­er­fas­sung kön­nen eine wert­vol­le Ent­la­stung bie­ten und stel­len durch lei­stungs­fä­hi­ge Ver­schlüs­se­lungs­ver­fah­ren sicher, dass Unbe­fug­te die Daten nicht für eige­ne Zwecke miss­brau­chen. Wei­te­re Infor­ma­tio­nen fin­den Sie unter https://​www​.lda​.bay​ern​.de/​d​e​/​t​h​e​m​a​_​l​u​c​a​.​h​tml sowie hier: https://​www​.daten​schutz​kon​fe​renz​-online​.de/​m​e​d​i​a​/​o​h​/​2​0​2​1​0​4​2​9​_​D​S​K​_​O​H​_​K​o​n​t​a​k​t​n​a​c​h​v​e​r​f​o​l​g​u​n​g​.​pdf.

Will stellt dazu fest: „Der unbe­dach­te Umgang mit Kon­takt­da­ten auf Papier war im ersten Jahr der Pan­de­mie viel zu oft Anlass für Ein­zel­fall­un­ter­su­chun­gen bis hin zu Geld­bu­ßen. Sol­che Ver­fah­ren sind unnö­tig und ver­meid­bar. Neben unse­ren Hil­fe­stel­lun­gen für papier­ge­bun­de­ne Kon­takt­da­ten­er­fas­sung sehen wir mitt­ler­wei­le eini­ge lei­stungs­fä­hi­ge elek­tro­ni­sche Kon­takt­da­ten­er­fas­sungs­ver­fah­ren, die daten­schutz­recht­lich gute Lösun­gen ermög­li­chen. Unse­re bis­he­ri­gen Prü­fun­gen geben trotz eini­ger kri­ti­scher Dis­kus­sio­nen bis­lang kei­nen Anlass, von sol­chen Ver­fah­ren abzu­ra­ten, soweit die Anwen­dungs­hin­wei­se der Her­stel­ler zuver­läs­sig umge­setzt werden.“

Soll­ten Ver­ant­wort­li­che die Vor­la­ge von nega­ti­ven Test­ergeb­nis­sen, Impf- oder Gene­sungs­be­stä­ti­gun­gen oder Atte­ste zur Befrei­ung von der Mas­ken­pflicht über­prü­fen müs­sen, dür­fen die­se Nach­wei­se nach dem Wort­laut der ein­schlä­gi­gen gesetz­li­chen Bestim­mun­gen ledig­lich vor­ge­legt, also gesich­tet, jedoch nicht kopiert wer­den. Wei­te­re Infor­ma­tio­nen dazu fin­den Sie hier: https://​www​.lda​.bay​ern​.de/​m​e​d​i​a​/​v​e​r​o​e​f​f​e​n​t​l​i​c​h​u​n​g​e​n​/​2​0​2​1​0​3​1​0​_​B​e​f​r​e​i​u​n​g​_​M​N​B​.​pdf.

Län­der­über­grei­fen­de Kon­trol­le der Daten­schutz­auf­sichts­be­hör­den von Unter­neh­men zur Umset­zung der Schrems II Ent­schei­dung des Euro­päi­schen Gerichtshofs

Pres­se­infor­ma­ti­on der Lan­des­be­auf­trag­ten für den Daten­schutz und für das Recht auf Akten­ein­sicht vom 01.06.2021

Im Rah­men einer län­der­über­grei­fen­den Kon­trol­le wer­den Daten­über­mitt­lun­gen durch Unter­neh­men in Staa­ten außer­halb der Euro­päi­schen Uni­on oder des Euro­päi­schen Wirt­schafts­raums (Dritt­staa­ten) über­prüft. Das Ziel ist die brei­te Durch­set­zung der Anfor­de­run­gen des Euro­päi­schen Gerichts­hofs in sei­ner Schrems-II-Ent­schei­dung vom 16. Juli 2020 (Rs. C‑311/​18). Dar­in hat das Gericht fest­ge­stellt, dass Über­mitt­lun­gen in die USA nicht län­ger auf Basis des soge­nann­ten Pri­va­cy Shiel­ds erfol­gen kön­nen. Der Ein­satz der Stan­dard­da­ten­schutz­klau­seln für Daten­über­mitt­lun­gen in Dritt­staa­ten ist fer­ner nur noch unter Ver­wen­dung wirk­sa­mer zusätz­li­cher Maß­nah­men aus­rei­chend, wenn die Prü­fung des Ver­ant­wort­li­chen erge­ben hat, dass im Emp­fän­ger­staat kein gleich­wer­ti­ges Schutz­ni­veau für die per­so­nen­be­zo­ge­nen Daten gewähr­lei­stet wer­den kann. Das Urteil des EuGH erfor­dert in vie­len Fäl­len eine grund­le­gen­de Umstel­lung lan­ge prak­ti­zier­ter Geschäfts­mo­del­le und ‑abläu­fe.

Die an der Kon­trol­le teil­neh­men­den Behör­den – dar­un­ter die bran­den­bur­gi­sche Lan­des­da­ten­schutz­be­auf­trag­te – schrei­ben nun die jeweils aus­ge­wähl­ten Unter­neh­men auf der Basis eines gemein­sa­men Fra­ge­ka­ta­logs an. Dabei wird es unter ande­rem um den Ein­satz von Dienst­lei­stern zum E‑Mail-Ver­sand, zum Hosting von Inter­net­sei­ten, zum Web­tracking, zur Ver­wal­tung von Bewer­ber­da­ten und um den kon­zern­in­ter­nen Aus­tausch von Kun­den­da­ten und Daten der Beschäf­tig­ten gehen. Jede Auf­sichts­be­hör­de ent­schei­det indi­vi­du­ell, in wel­chen die­ser The­men­fel­der sie tätig wird.

Der Gerichts­hof hat sei­ne Erwar­tung klar for­mu­liert, dass die Behör­den unzu­läs­si­ge Trans­fers „aus­set­zen oder ver­bie­ten“. Das Aus­set­zen einer Über­mitt­lung kann vor­aus­sicht­lich in vie­len Fäl­len im koope­ra­ti­ven Dia­log mit den Unter­neh­men gelin­gen. Wo dies nicht mög­lich ist, wird mit den zur Ver­fü­gung ste­hen­den auf­sichts­be­hörd­li­chen Maß­nah­men reagiert. Die Auf­sichts­be­hör­den sind sich der beson­de­ren Her­aus­for­de­run­gen, die das EuGH-Urteil zu Schrems II für die Unter­neh­men in Deutsch­land und Euro­pa mit sich bringt, bewusst. Sie ste­hen für Ver­ständ­nis­fra­gen auch im wei­te­ren Ver­lauf des Prü­fungs­ver­fah­rens zur Ver­fü­gung, soweit dies nach Maß­ga­be der vor­han­de­nen Kapa­zi­tä­ten mög­lich ist.

Der Fra­gen­ka­ta­log zu den jewei­li­gen Fall­grup­pen kann am Ende die­ser Sei­te abge­ru­fen werden:

Die Pres­se­mit­tei­lun­gen der Lan­des­be­auf­trag­ten für den Daten­schutz und für das Recht auf Akten­ein­sicht Bran­den­burg kön­nen hier abge­ru­fen werden.

Wäh­rend die Macher der Luca-App wei­ter­hin ver­su­chen, die Sicher­heits­be­den­ken zahl­rei­cher Ent­wick­ler abzu­wie­geln, zeigt ein Secu­ri­ty-Exper­te ein­drück­lich, wie leicht sich dar­über sogar Mal­wa­re in Gesund­heits­äm­ter ein­schleu­sen lässt.

Schon seit Wochen tobt in Deutsch­land ein hef­ti­ger Streit um die Luca-App zur Kon­takt­ver­fol­gung. Wäh­rend sie in der Bevöl­ke­rung, wohl nicht zuletzt durch den rüh­ri­gen Mar­ke­ting-Ein­satz schwä­bi­scher Pop-Pro­mi­nenz, vor­wie­gend als hip­pe Hoff­nung auf mehr Frei­hei­ten gese­hen wird, sehen ande­re in ihr ein regel­rech­tes Teufels(werk)zeug. Neben grund­sätz­li­chen Fra­gen über die Not­wen­dig­keit und den Daten­schutz ent­spre­chen­der Lösun­gen im All­ge­mei­nen geht es dabei vor allem ganz kon­kret um die man­gel­haf­te Sicher­heit von Luca. Immer wie­der zei­gen Soft­ware- und Secu­ri­ty-Exper­ten anhand von Schwach­stel­len auf, dass die Lösung tech­nisch offen­sicht­lich nicht ganz aus­ge­reift ist. Bis­lang konn­ten die Macher die­se jedoch in der öffent­li­chen Wahr­neh­mung recht locker als ver­meint­li­che Klei­nig­kei­ten vom Tisch wischen. In aktu­el­len Umfra­gen schen­ken die Deut­schen der Luca-App sogar mehr Ver­trau­en, als der offi­zi­el­len Corona-Warn-App.

Dass es sich bei den Schwach­stel­len aber kei­nes­wegs nur um unbe­deu­ten­de Kin­der­krank­hei­ten han­delt, macht jetzt der Secu­ri­ty-Exper­te Mar­cus Mengs anhand einer kürz­lich ent­deck­ten Lücke  mehr als deut­lich. Die­se betrifft die bei der Namens­ein­ga­be erlaub­ten Zei­chen. Nach­dem Luca-Chef Patrick Hen­nig gegen­über der Zeit behaup­tet hat­te, eine Code-Injek­ti­on sei dar­über nicht mög­lich, schau­te sich Mengs die Sache noch ein­mal genau­er an und bewies jetzt weni­ge Tage spä­ter prompt das genaue Gegen­teil. Er zeigt dabei nicht nur, dass sich über die Aus­nut­zung der Schwach­stel­le sehr wohl Code ein­schleu­sen ins Luca-Backend lässt, son­dern auch, was damit alles mög­lich wird. Da Hacker über die­se Hin­ter­tür sogar Zugang zu ange­schlos­se­nen Gesund­heits­äm­tern bekom­men könn­ten, ist das Gefah­ren­po­ten­zi­al enorm.

Mit einem simu­lier­ten Gesund­heits­amts­sy­stem demon­striert Mengs in sei­ner Demo etwa, dass sich auf die­sem Weg sen­si­ble Daten aus den Netz­wer­ken der Behör­den absau­gen las­sen. In die ande­re Rich­tung könn­ten Hacker damit auch Mal­wa­re ein­schleu­sen. In sei­nen Ver­su­chen tauch­te dabei ledig­lich eine klei­ne Warn­mel­dung von Office bei den zu infi­zie­ren­den Cli­ents auf, die vie­le Behör­den­mit­ar­bei­ter wohl ein­fach wegklicken wür­den. Ist die­se Hür­de genom­men, könn­ten die Angrei­fer bei­spiels­wei­se wei­te­re Schäd­lin­ge nach­la­den um damit im inter­nen Netz auf Raub­zug zu gehen, oder die Ämter gar mit einer Ran­som­wa­re-Attacke lahmlegen.

Damit ist es für Bür­ger wie Poli­tik und Ver­wal­tung glei­cher­ma­ßen spä­te­stens jetzt an der Zeit, die App-Stra­te­gie noch ein­mal genau zu über­den­ken. Dabei ste­hen sie vor einem para­do­xen Pro­blem. Wäh­rend die offi­zi­el­le Warn-App eher durch zu hohe Sicher­heits­an­sprü­che und eine tra­di­tio­nel­le Skep­sis gegen­über Behör­den aus­ge­bremst wird, set­zen die gegen­über Bür­ger und auch vie­le Unter­neh­mer lie­ber auf die offen­sicht­lich deut­lich ris­kan­te Alter­na­ti­ve. Dass die­se zudem zusätz­li­che Steu­er­gel­der kostet, ohne dafür einen ech­ten Mehr­wert zu bie­ten, wie Exper­ten schon län­ger kri­ti­sie­ren, wird damit fast schon zur Randnotiz.

Das Bun­des­ar­beits­ge­richt (BAG, Urteil vom 27. April 2021 – 2 AZR 342/​20) muss­te sich mit der Fra­ge befas­sen, in wel­chem Umfang eine Arbeit­ge­be­rin ihren Beschäf­tig­ten im Rah­men eines Aus­kunfts­ver­lan­gens nach Art. 15 Abs. 3 DS-GVO Kopien von deren per­so­nen­be­zo­ge­nen Daten zur Ver­fü­gung stel­len muss. Die Par­tei­en strit­ten im kon­kre­ten Fall dar­über, ob der Klä­ger von der Beklag­ten die Ertei­lung einer Kopie sei­nes E‑Mail-Ver­kehrs mit ihr sowie der E‑Mails, die ihn per­sön­lich erwäh­nen, ver­lan­gen kann.

Der Klä­ger war bei der Beklag­ten als Wirt­schafts­ju­rist beschäf­tigt. Nach­dem die Beklag­te das Arbeits­ver­hält­nis gekün­digt hat­te, erteil­te sie dem Klä­ger auf des­sen Ver­lan­gen im März 2019 Aus­kunft über sei­ne von ihr ver­ar­bei­te­ten per­so­nen­be­zo­ge­nen Daten bzw. deren Kate­go­rien. Außer­dem stell­te sie dem Klä­ger die gespei­cher­ten per­so­nen­be­zo­ge­nen Daten als sog. ZIP-Datei­en zur Ver­fü­gung. Mit sei­ner Kla­ge hat der Klä­ger u.a. gel­tend gemacht, die Beklag­te schul­de ihm gemäß Art.15 Abs. 3 DS-GVO wei­ter­hin eine Kopie sei­ner von ihr ver­ar­bei­te­ten per­so­nen­be­zo­ge­nen Daten. Zu die­sen gehör­ten auch der zwi­schen ihm und der Beklag­ten geführ­te E‑Mail-Ver­kehr sowie die­je­ni­gen E‑Mails, in denen er genannt wer­de. Das Arbeits­ge­richt hat die Kla­ge, soweit sie auf die Ertei­lung einer Kopie sei­ner per­so­nen­be­zo­ge­nen Daten gerich­tet ist, abge­wie­sen. Das Lan­des­ar­beits­ge­richt hat ihr teil­wei­se ent­spro­chen und sie im Übri­gen abge­wie­sen. Es hat ange­nom­men, der Klä­ger habe zwar einen Anspruch auf Ertei­lung einer Kopie sei­ner per­so­nen­be­zo­ge-nen Daten, die Gegen­stand der Ver­ar­bei­tung sind. Ein wei­ter­ge­hen­der Anspruch, ins­be­son­de­re auf Kopien des voll­stän­di­gen E‑Mail-Ver­kehrs, bestehe dage­gen nicht. Mit sei­ner Revi­si­on ver­folg­te der Klä­ger sein Begeh­ren, soweit er damit unter­le­gen ist, weiter.

Das BAG hat nun ent­schie­den, dass ein Kla­ge­an­trag auf Über­las­sung einer Kopie von E‑Mails nicht hin­rei­chend bestimmt sei (iSv. § 253 Abs. 2 Nr. 2 ZPO), wenn die E‑Mails, von denen eine Kopie zur Ver­fü­gung gestellt wer­den soll, nicht so genau bezeich­net sind, dass im Voll­streckungs­ver­fah­ren unzwei­fel­haft ist, auf wel­che E‑Mails sich die Ver­ur­tei­lung bezieht.

Am Don­ners­tag (20.05.2021) hat das EU-Par­la­ment mit knap­per Mehr­heit die Zustim­mung zum Ange­mes­sen­heits­be­schluss mit UK abge­lehnt.
Das genaue Ver­fah­ren, wie das EU-Par­la­ment mit sei­nem LIBE-Aus­schuss in die Ent­schei­dungs­fin­dung für Durch­füh­rungs­rechts­ak­te der EU-Kom­mis­si­on ein­ge­bun­den ist, wird in die­sem infor­ma­ti­ven Bei­trag von BHO-Legel beschrie­ben.
Die Ableh­nung war mit 353 Stim­men zu 334 Stim­men bei 7 Ent­hal­tun­gen knapp.
Momen­tan lau­fen die näch­sten Ent­schlie­ßungs­an­trä­ge im EU-Par­la­ment. Es bleibt spannend…

Und wer Unter­neh­men mit Haupt­sitz in Groß­bri­tan­ni­en berät, soll­te nicht ver­ges­sen, zu prü­fen, ob ein Ver­tre­ter nach Art. 27 DS-GVO ein­ge­rich­tet wer­den muss, bevor dies als Daten­schutz­ver­stoß bewer­tet wird.

/​

Pres­se­mit­tei­lung des Lan­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Rhein­land-Pfalz vom 12.05.2021

Im Rah­men einer Infor­ma­ti­ons­of­fen­si­ve hat der Lan­des­da­ten­schutz­be­auf­trag­te Dut­zen­de Unter­neh­men, Ver­bän­de und staat­li­che Stel­len in Rhein­land-Pfalz ange­schrie­ben, um Ver­stö­ßen bei der Über­mitt­lung von Daten ins außer­eu­ro­päi­sche Aus­land vorzubeugen.

Nach einem Urteil des Euro­päi­schen Gerichts­hofs (EuGH) vom ver­gan­ge­nen Jahr sind Daten­über­mitt­lun­gen zum Teil auf eine neue Rechts­grund­la­ge zu stel­len. Der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Rhein­land-Pfalz, Pro­fes­sor Die­ter Kugel­mann, weist in dem nun ver­sand­ten Schrei­ben dar­auf hin: „Ich rate drin­gend dazu, alle in ihrem Unter­neh­men statt­fin­den­den Daten­ver­ar­bei­tungs­vor­gän­ge im Zusam­men­hang mit Dritt­län­dern anhand des von mei­ner Behör­de bereit­ge­stell­ten Prüf­sche­mas auf ihre Zuläs­sig­keit hin zu über­prü­fen und even­tu­el­len Hand­lungs­be­darf zu iden­ti­fi­zie­ren, um Daten­schutz­ver­stö­ße schnellst mög­lich abzu­stel­len oder zu verhindern.“

Pro­fes­sor Die­ter Kugel­mann sagt: „Das Grund­satz­ur­teil des Euro­päi­schen Gerichts­hofs, das soge­nann­te Schrems II-Urteil, betrifft fast jedes Unter­neh­men, jede Behör­de, Kom­mu­ne, Schu­le, Orga­ni­sa­ti­on oder Arzt­pra­xis. Denn sie ver­ar­bei­ten auto­ma­ti­siert per­so­nen­be­zo­ge­ne Daten, über­mit­teln die­se dabei – oft unbe­wusst – in Län­der außer­halb der Euro­päi­schen Uni­on bezie­hungs­wei­se des Euro­päi­schen Wirt­schafts­raums. Sie bewe­gen sich damit daten­schutz­recht­lich auf dün­nem Eis. Im Lau­fe die­ses Jahr ist es unse­re Auf­ga­be zu prü­fen, ob gege­be­nen­falls Daten­schutz­ver­ge­hen vor­lie­gen und Sank­tio­nen ver­hängt wer­den müs­sen. Zuvor wol­len mei­ne Mit­ar­bei­te­rin­nen und Mit­ar­bei­ter noch­mals die Unter­neh­men und Behör­den sen­si­bi­li­sie­ren. Wer bis jetzt noch nicht auf die neue Rechts­la­ge reagiert hat, muss umge­hend aktiv wer­den, sofern dies denn nötig ist.“

Ziel der Infor­ma­ti­ons­of­fen­si­ve ist, das Bewusst­sein der daten­ver­ar­bei­ten­den Stel­len zu schär­fen und damit die Daten­schutz­rech­te der betrof­fe­nen Per­so­nen, also aller Bür­ge­rin­nen und Bür­ger, mit Blick auf das Schrems II-Urteil zu stär­ken. In der Ent­schei­dung vom 16. Juli 2020 hat­te das Gericht fest­ge­stellt, dass Über­mitt­lun­gen in die USA nicht län­ger auf Basis des soge­nann­ten Pri­va­cy Shiel­ds erfol­gen kön­nen. Der Ein­satz der Stan­dard­da­ten­schutz­klau­seln für Daten­über­mitt­lun­gen in Dritt­staa­ten ist fer­ner gene­rell nur noch unter Ver­wen­dung wirk­sa­mer zusätz­li­cher Maß­nah­men aus­rei­chend, wenn die Prü­fung des Ver­ant­wort­li­chen erge­ben hat, dass im Emp­fän­ger­staat kein gleich­wer­ti­ges Schutz­ni­veau für die per­so­nen­be­zo­ge­nen Daten gewähr­lei­stet wer­den kann. Das Urteil des EuGH erfor­dert in vie­len Fäl­len eine grund­le­gen­de Umstel­lung lan­ge prak­ti­zier­ter Geschäfts­mo­del­le und ‑abläu­fe.

Der Gerichts­hof hat über­dies sei­ne Erwar­tung klar for­mu­liert, dass die Behör­den unzu­läs­si­ge Trans­fers „aus­set­zen oder ver­bie­ten“. Das Aus­set­zen einer Über­mitt­lung kann vor­aus­sicht­lich in vie­len Fäl­len im koope­ra­ti­ven Dia­log mit den Unter­neh­men gelin­gen. Wo dies nicht mög­lich ist, wird mit den zur Ver­fü­gung ste­hen­den auf­sichts­be­hörd­li­chen Maß­nah­men reagiert.

Nach den nun erfolg­ten Infor­ma­ti­ons­schrei­ben wird es stich­pro­ben­ar­ti­ge Kon­trol­len geben. „Kommt der Ver­ant­wort­li­che oder Auf­trags­ver­ar­bei­ter zu dem Schluss, dass eine Umstel­lung sei­ner Ver­trä­ge oder Pro­zes­se nicht erfor­der­lich sei, soll­te er dies sowie die Grün­de für die Ent­schei­dung doku­men­tie­ren. Dies kann sank­ti­ons­mil­dernd wir­ken, soll­te mei­ne Behör­de zu dem Ergeb­nis kom­men, dass sehr wohl Anpas­sun­gen zu tref­fen waren und sind“, sagt der Lei­ter der Daten­schutz­auf­sichts­be­hör­de Pro­fes­sor Die­ter Kugelmann.

Wei­te­re Infor­ma­tio­nen zu Schrems II fin­den Sie hier.

Die Pres­se­mit­tei­lun­gen des Lan­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Rhein­land-Pfalz kön­nen hier abge­ru­fen werden.

Fir­men lau­fen Gefahr, durch die Nut­zung von US-Cloud-Anbie­tern gegen EU-Recht zu ver­sto­ßen. Jetzt wei­ten die Auf­sichts­be­hör­den ihre Ermitt­lun­gen aus. Hohe Buß­gel­der drohen.“

Zum Arti­kel: https://​www​.han​dels​blatt​.com

Durch Aus­nut­zung kri­ti­scher Sicher­heits­lücken in der Soft­ware des Micro­soft Exchan­ge-Ser­vers ist es jüngst zu einer mas­si­ven, glo­ba­len Cyber-Angriffs­wel­le gekom­men, die erheb­li­che Daten­schutz­ri­si­ken aus­ge­löst hat.

Der BvD bie­tet hier­zu kurz­fri­stig zwei Webi­na­re an: 

Sicher­heits­lücken bei Micro­soft Exchan­ge – Wie umge­hen mit dem Risiko?

Ter­mi­ne: Don­ners­tag, 25.03.2021 und Mon­tag, 29.03.2021

In den Webi­na­ren erhal­ten Sie aus Sicht des IT System­be­triebs einen Über­blick über die Attacke, ihre Fol­gen und wel­che Risi­ken sie birgt. Wir erklä­ren, wie Sie her­aus­fin­den, ob Sie betrof­fen sind und wie Sie gegen den Angriff vor­ge­hen kön­nen. Um sol­che und ande­re Cyber-Attacken zu ver­hin­dern oder zumin­dest zu erschwe­ren und auf­zu­ar­bei­ten, bespre­chen wir dafür geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men und ihre Grenzen.

Mel­den Sie sich jetzt an!

Zu den Sicher­heits­lücken bei Micro­soft Exchan­ge-Ser­vern haben die bei­den baye­ri­schen Daten­schutz­auf­sichts­be­hör­den LDA und LfD eine gemein­sa­me „Pra­xis­hil­fe zu Micro­soft Exchan­ge Sicher­heits­lücken“ ver­öf­fent­licht sowie einen gemein­sa­men Fra­ge-und-Ant­wort-Bereich (FAQ) online zur Ver­fü­gung gestellt.

Lesen Sie hier aktu­el­le Pres­se­mit­tei­lun­gen zum Thema: