BfDI zum Urteil im Verfahren gegen 1&1

/in /von

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, sieht sich durch die Entscheidung des Landgerichts Bonn bestätigt: „Das LG Bonn hat heute geurteilt, dass 1&1 für seinen Verstoß haftet. Das zeigt: Datenschutzverstöße bleiben nicht ohne Folgen.“

Für den BfDI ist es das erste große Gerichtsverfahren seit Inkrafttreten der DSGVO. Dabei wurden wichtige und grundsätzliche Fragestellungen geklärt. Das Gericht folgte der Auffassung des BfDI in wesentlichen Punkten: Die 1&1 Telecom GmbH hat durch unzureichende Sicherheitsmaßnahmen im Callcenter einen Datenschutzverstoß begangen. Sie muss als Unternehmen nach den Maßstäben der DSGVO dafür haften: „Ich bin überzeugt, dass diese Entscheidung in den Chefetagen von Unternehmen wahrgenommen wird. Ich warte noch auf die schriftliche Begründung des Urteils, aber klar ist schon jetzt: Kein Unternehmen kann es sich mehr leisten den Datenschutz zu vernachlässigen.“

Der BfDI hatte den Telekommunikationsdienstleister 1&1 Telecom GmbH im Dezember 2019 mit einer Geldbuße belegt. Aufgrund eines unzureichenden Authentifizierungsverfahrens bei der telefonischen Kundenbetreuung der 1&1 Telecom GmbH konnten Anrufer allein mit Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Daten dieser Person erhalten. Hierin sah der BfDI einen Verstoß gegen die Datenschutzgrundverordnung.

Die Pressemitteilungen des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit können hier abgerufen werden.

Download BfDI zum Urteil im Verfahren gegen 1&1 als PDF

BayLDA: Checkliste der technischen und organisatorischen Maßnahmen (TOMS) nach Art. 32 DSGVO

/in /von

Das Bayerische Landesamt für Datenschutzaufsicht (Datenschutz-Aufsichtsbehörde für Unternehmen in Bayern) hat eine lesenswerte Checkliste für kleine und mittlere Unternehmen veröffentlicht, welche technischen und organisatorischen Maßnahmen zur Erfüllung der DSGVO-Vorgaben an die Informationssicherheit (Art. 32 DSGVO – Sicherheit der Verarbeitung) geprüft werden sollten.

Die Datenschutzgrundverordnung fordert von Unternehmen an sich, die eigenen technischen und organisatorischen Maßnahmen im Rahmen eines strukturierten Prozesses laufend auf ihre Tauglichkeit gemessen an der Risiko-Situation zu prüfen und anzupassen. Neben der in der Unternehmenspraxis dazu bei größeren Organisationen weit verbreiteten Norm zur Informationssicherheit (ISO 27001/27002 und der darauf aufbauenden Norm ISO27701 für das Datenschutz-Management) steht kleineren Unternehmen und Kommunen der Zertifizierungs-Standard ISIS12 zur Verfügung. Der öffentliche Bereich im Bund orientiert sich am IT-Grundschutz-Kompendium des BSI (und dem daran methodisch angelehnten Standard-Datenschutzmodell SDM, dessen Ansatz im Gegensatz zur ISO27001/27002 nicht die Risiko-Perspektive des Unternehmens sondern des Betroffenen einnimmt).

Die Checkliste kann also kein strukturiertes Informationssicherheits-Management ersetzen (und will dies explizit auch nicht), gibt aber gerade kleineren (mit der Befassung beim Thema Informationssicherheit fachlich häufig überforderten) Unternehmen eine praxistaugliche Übersicht an die Hand, welche Themen im Bereich Informationssicherheit adressiert bzw. geprüft werden sollten.

Die Checkliste des Bayerischen Landesamts für Datenschutzaufsicht zu den technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO können Sie hier einsehen.


35,3 Millionen Euro Bußgeld wegen Datenschutzverstößen im Servicecenter von H&M

/in /von

Im Fall der Überwachung von mehreren hundert Mitarbeiterinnen und Mitarbeitern des H&M Servicecenters in Nürnberg durch die Center-Leitung hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) einen Bußgeldbescheid in Höhe von 35.258.707,95 Euro gegen die H&M Hennes & Mauritz Online Shop A.B. & Co. KG erlassen.

Die Gesellschaft mit Sitz in Hamburg betreibt ein Servicecenter in Nürnberg. Mindestens seit dem Jahr 2014 kam es bei einem Teil der Beschäftigten zu umfangreichen Erfassungen privater Lebensumstände. Entsprechende Notizen wurden auf einem Netzlaufwerk dauerhaft gespeichert. Nach Urlaubs- und Krankheitsabwesenheiten – auch kurzer Art – führten die vorgesetzten Teamleader einen sogenannten Welcome Back Talk durch. Nach diesen Gesprächen wurden in etlichen Fällen nicht nur konkrete Urlaubserlebnisse der Beschäftigten festgehalten, sondern auch Krankheitssymptome und Diagnosen. Zusätzlich eigneten sich einige Vorgesetzte über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Mitarbeitenden an, das von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen reichte. Die Erkenntnisse wurden teilweise aufgezeichnet, digital gespeichert und waren mitunter für bis zu 50 weitere Führungskräfte im ganzen Haus lesbar. Die Aufzeichnungen wurden bisweilen mit einem hohen Detailgrad vorgenommen und im zeitlichen Verlauf fortgeschrieben. Die so erhobenen Daten wurden neben einer akribischen Auswertung der individuellen Arbeitsleistung u.a. genutzt, um ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten. Die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führte zu einem besonders intensiven Eingriff in die Rechte der Betroffenen.

Bekannt wurde die Datenerhebung dadurch, dass die Notizen infolge eines Konfigurationsfehlers im Oktober 2019 für einige Stunden unternehmensweit zugreifbar waren. Nachdem der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit über die Datensammlung durch Presseberichte informiert wurde, ordnete er zunächst an, den Inhalt des Netzlaufwerks vollständig „einzufrieren“ und verlangte dann die Herausgabe. Das Unternehmen kam dem nach und legte einen Datensatz von rund 60 Gigabyte zur Auswertung vor. Vernehmungen zahlreicher Zeuginnen und Zeugen bestätigten nach Analyse der Daten die dokumentierten Praktiken.

Die Aufdeckung der erheblichen Verstöße hat die Verantwortlichen zur Ergreifung verschiedener Abhilfemaßnahmen veranlasst. Dem HmbBfDI wurde ein umfassendes Konzept vorgelegt, wie von nun an am Standort Nürnberg Datenschutz umgesetzt werden soll. Zur Aufarbeitung der vergangenen Geschehnisse hat sich die Unternehmensleitung nicht nur ausdrücklich bei den Betroffenen entschuldigt. Sie folgt auch der Anregung, den Beschäftigten einen unbürokratischen Schadenersatz in beachtlicher Höhe auszuzahlen. Es handelt sich insoweit um ein bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß. Weitere Bausteine des neu eingeführten Datenschutzkonzepts sind unter anderem ein neu berufener Datenschutzkoordinator, monatliche Datenschutz-Statusupdates, ein verstärkt kommunizierter Whistleblower-Schutz sowie ein konsistentes Auskunfts-Konzept.

Hierzu Prof. Dr. Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Der vorliegende Fall dokumentiert eine schwere Missachtung des Beschäftigtendatenschutzes am H&M-Standort Nürnberg. Das verhängte Bußgeld ist dementsprechend in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken.

Ausdrücklich positiv ist das Bemühen der Konzernleitung zu bewerten, die Betroffenen vor Ort zu entschädigen und das Vertrauen in das Unternehmen als Arbeitgeber wiederherzustellen. Die transparente Aufklärung seitens der Verantwortlichen und die Gewährleistung einer finanziellen Kompensation zeigen durchaus den Willen, den Betroffenen den Respekt und die Wertschätzung zukommen zu lassen, die sie als abhängig Beschäftigte in ihrem täglichen Einsatz für ihr Unternehmen verdienen.“

https://datenschutz-hamburg.de/pressemitteilungen/2020/10/2020-10-01-h-m-verfahren

EuGH: Anlasslose Vorratsdatenspeicherung bleibt verboten

/in /von

Der europäische Gerichtshof (EuGH) bestätigte mit seinen heutigen Entscheidungen, dass die anlasslose Vorratsdatenspeicherung (VDS) nicht mit dem europäischen Recht vereinbar ist. Entgegenstehende nationale Gesetze zur Überwachung der Telekommunikation und des Internetverhaltens der Bevölkerung sind daher unwirksam. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Dr. Stefan Brink begrüßt: „Das Urteil stärkt die Rechte der europäischen Bürgerinnen und Bürger und schützt sie vor unverhältnismäßigen Eingriffen in ihre persönlichen Freiheiten, die gerade von Sicherheitspolitikern immer wieder gefordert werden.“

Allerdings relativiere der EuGH seine bislang völlig klare Absage an jede Vorratsdatenspeicherung, wenn er Spielräume für solche Überwachungen im Falle der „konkreten und ernsthaften Bedrohung der nationalen Sicherheit“ sieht. Dazu LfDI Stefan Brink: „Es ist bedauerlich, dass der EuGH von seiner glasklaren Ansage ‚Keine VDS‘ abrückt und damit eine nationale Debatte um eine ‚situative VDS‘ neu entfacht. Diese Debatte können wir gerade in Zeiten von Corona, wo Grundrechte wie das Recht auf informationelle Selbstbestimmung ohnehin schon unter Druck geraten, so gut brauchen wie Keuchhusten.“

Jede anlasslose Vorratsdatenspeicherung ist schädlich, so LfDI Brink weiter: Nach wissenschaftlicher Analyse nutzt sie den Sicherheitsbehörden nicht wirklich – stattdessen würden Millionen unbescholtener Bürgerinnen und Bürger durchleuchtet und beim Internetsurfen ausspioniert. „Strafverfolgung sollte sich gegen Verdächtige richten – nicht gegen jedermann. Die 450 Millionen Europäer wollen moderne Kommunikationsmittel wie das Internet überwachungsfrei nutzen – und sollen das auch in Zukunft unbeschwert tun können!“, so Brink abschließend.

Das Europäische Gericht hatte sich mit Verfahren aus Frankreich, Großbritannien und Belgien befasst und die dortige Vorratsdatenspeicherung zurechtgestutzt.

Link: https://www.baden-wuerttemberg.datenschutz.de/europaeischer-gerichtshof-anlasslose-vorratsdatenspeicherung-bleibt-verboten/

LfDI BW: Neue Orientierungshilfe zur Videoüberwachung durch nicht-öffentliche Stellen

/in /von

Täglich greift die Videoüberwachung in Rechte und Freiheiten von Personen ein, ohne dass die Mehrzahl dafür einen Anlass gegeben hat. Mit großer Streubreite wird aufgezeichnet, zu welcher Uhrzeit, an welchem Tag, in welchem Zustand, mit welchem Erscheinungsbild, wie lange und an welchem Ort sich Betroffene aufhalten, wie sie diesen Bereich nutzen, wie sie sich dort verhalten und ob sie allein oder in Begleitung sind. Bereits eine einfache Überwachungsanlage verarbeitet in erheblichem Umfang personenbezogene Daten, ohne dass der Großteil der erfassten Informationen für Überwachende je eine Rolle spielt.

Das Risiko, dass damit die Rechte von Betroffenen verletzt werden, hat sich in den vergangenen Jahren deutlich erhöht. Grund dafür sind die geringen Anschaffungskosten und die verbesserte Qualität der Technik. Moderne Kameras zeigen Bilder in höchster Auflösung. In Echtzeit können diese in der ganzen Welt eingesehen und fast unbegrenzt gespeichert werden. Mehr als ein Smartphone oder Tablet braucht es dafür oft nicht. Dabei werden Kameras nicht nur zur Sicherheit eingesetzt. Kameras erfassen und verarbeiten Daten von Personen, um personalisierte Werbung anzuzeigen oder Produkte zielgruppengenau anzubieten. Softwaregesteuerte Videotechnik vermisst in der Öffentlichkeit Gesichtszüge und Gefühlsregungen von Personen oder verfolgt das Bewegungs-  oder Einkaufsverhalten von Kunden. Die erfassten Informationen werden in Sekundenbruchteilen ausgewertet und vervielfältigt. Betroffene haben kaum Einfluss auf eine solche Erfassung und erfahren selten, was mit den Aufnahmen geschieht.
Die Orientierungshilfe „Videoüberwachung durch nicht-öffentliche Stellen“ wurde grundlegend überarbeitet und an die rechtlichen Rahmenbedingungen der seit dem 25. Mai 2018 geltenden Datenschutz-Grundverordnung angepasst. Dabei wurden die Leitlinien 3/2019 des Europäischen Datenschutzausschusses zur Verarbeitung personenbezogener Daten durch Videogeräte, Version 2.0, angenommen am 29. Januar 2020, berücksichtigt. Neu hinzugekommen sind die Abschnitte zur Videoüberwachung in der Nachbarschaft und zur datenschutzrechtlichen Bewertung von Tür- und Klingelkameras, Drohnen und Wildkameras sowie Dashcams.

Mit der Orientierungshilfe erhalten Betroffene und Verantwortliche Informationen über die Voraussetzungen für eine datenschutzgerechte Videoüberwachung in unterschiedlichen Lebensbereichen. Im Anhang finden sich Muster für Hinweisschilder, die es den Verantwortlichen erleichtern, den Transparenzpflichten gem. Art. 12 ff. DS-GVO nachzukommen. Darüber hinaus wird eine Checkliste mit den wichtigsten Prüfungspunkten im Vorfeld einer Videoüberwachung bereitgestellt.

Orientierungshilfe Videoüberwachung durch nicht-öffentliche Stellen (PDF-Dokument)

GDD: Handlungsempfehlungen nach dem Ende des Privacy-Shield

/in /von

Der EuGH hat das EU-Privacy Shield mit seinem Urteil vom 16.07.2020 (Az: C-311/18) für ungültig erklärt und an die Pflichten für Datenexporteure und Datenimporteure bei Anwendung der EU-Standardvertragsklauseln, insbesondere hinsichtlich einer rechtskonformen Datenübermittlung, erinnert. Datenexportierende verantwortliche Stellen mit Sitz in der Europäischen Union oder in Ländern des Europäischen Wirtschaftsraums stehen nun vor der Herausforderung, wie personenbezogene Daten weiterhin rechtskonform in Drittländer übermittelt werden können. Die GDD möchte Handlungsempfehlungen bezüglich des Endes des Privacy-Shields geben, um Verantwortliche und deren Datenschutzbeauftragte bei der Umsetzung zu unterstützen.Dabei erstrecken sich die Empfehlungen auch darauf, ob und wie der Einsatz der sog. EU-Standardvertragsklauseln aussehen kann sowie eine Beschäftigung mit der Frage, wie die sog. Angemessenheitsbeschlüsse der EU-Kommission bzgl. der jeweiligen Drittländer zu bewerten sind.

Die Ausarbeitung der GDD beschäftigt sich ebenso mit dem Instrument der „anderen Garantien (Art. 46 DS-GVO) bzw. Ausnahmen für bestimmte Fälle (Art. 49 DS-GVO)“

>> Zu den Handlungsempfehlungen der Gesellschaft für Datenschutz und Datensicherheit (GDD e.V.)

LfDI BW: Was jetzt in Sachen internationaler Datentransfer?

/in /von

Der LfDI gibt Hinweise und legt sein weiteres Vorgehen zum Urteil des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020, Rechtssache C-311/18 („Schrems II“) fest.

Lesen Sie hier die entsprechende Orientierungshilfe zu Schrems II .

LfDI BW: Strafzettel wegen Falschparken? Erst prüfen, dann zahlen!

/in /von

Viele Kundinnen und Kunden von Baumärkten, Supermärkten oder Einkaufszentren, die auf dem angrenzenden Parkplatz parken, sind im Glauben, sie würden kostenfrei parken. Das kann teuer werden! Denn viele augenscheinlich marktzugehörigen Parkplätze werden von privaten Unternehmen betrieben, die für rechtswidrig abgestellte Fahrzeuge – bspw. einer fehlenden oder abgelaufenen Parkscheibe – Strafzettel ausstellen. Hierbei werden nicht selten Forderungen von 30 oder 40 Euro aufgerufen, die sich empfindlich erhöhen, sollte der Fahrzeughalter nicht innerhalb von zwei Wochen zahlen. Doch häufig ist das Vorgehen der Unternehmen unzulässig. Daher rät der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, auf Folgendes zu achten:

1. Haben Sie als Fahrzeughalter*in den Wagen selbst geparkt?

Stellt ein Park-Kontroll-Unternehmen fest, dass Ihr Fahrzeug widerrechtlich auf dem Gelände parkt, erhalten Sie als Fahrzeughalter*in ein Schreiben, in dem Sie zur Zahlung einer Strafgebühr aufgefordert werden. Hierbei geht der Parkplatzbetreiber davon aus, dass Sie selbst den Wagen geparkt haben – denn nur so wäre die Forderung einer Strafzahlung rechtskonform. Sollten Sie also gar nicht gefahren sein, liegt auch kein Vertragsschluss zwischen Ihnen und dem Parkplatzunternehmen vor, auf dessen Grundlage eine Strafe erhoben werden könnte. Dies sieht auch der Bundesgerichtshof so. Sollten Sie also nicht selbst den Wagen geparkt haben, können Sie hierfür auch nicht belangt werden.

2. Ist der Datenverarbeitungszweck in der Datenschutzerklärung korrekt angegeben?

In dem Schreiben mit der geforderten Strafzahlung verweist das Parkplatz-Kontroll-Unternehmen auch auf ihre Datenschutzerklärung, in der zumeist als Zweck der Datenverarbeitung angegeben wird, Sie als Fahrzeughalter*in wegen des Parkverstoßes belangen zu können. Wenn sich das Unternehmen jedoch gar nicht sicher ist, dass Sie es waren, die/der falsch geparkt hat, dann können Ihre Daten ja auch nicht zu diesem Zweck verarbeitet werden. Hier liegt also ein DS-GVO-Verstoß vor.
Der Parkplatzbetreiber darf Sie jedoch dazu auffordern, bei der Ermittlung des rechtswidrig Parkenden behilflich zu sein und Sie um Auskunft bitten, wer als Fahrer*in in Betracht kommt. Hierauf müssen Sie reagieren, sonst ist das Unternehmen berechtigt, seine Forderung an Sie als Fahrzeughalter*in richten. In der Datenschutzerklärung des Parkplatz-Unternehmens sollte als Zweck der Datenverarbeitung folglich angegeben sein, dass diese zum Zweck der Ermittlung des Falschparkers erfolgt ist.

Was folgt daraus für Sie?

Sollte weder ein widerrechtliches Parken Ihrerseits noch eine DS-GVO-konforme Schuldnerermittlung vorliegen, müssen Sie als Fahrzeughalter*in weder der geforderten Zahlung nachkommen noch auf Mahnungen reagieren – auch nicht von Inkasso-Unternehmen. Vielmehr dürften die ermittelten Daten der Fahrzeughalterin/des Fahrzeughalters unter diesen Umständen gar nicht an ein Inkasso-Unternehmen weitergeleitet werden.

Hinweis: Um dem Ärger zu entgehen, werfen Sie beim Aussteigen aus dem Auto einfach einen Blick über den Parkplatz. Wenn der Parkplatz von einem externen Unternehmen geführt wird, sind in Sichtweite Hinweisschilder angebracht, die auf die geltende Parkplatzordnung hinweisen.

DSK: Urteil des EuGH zur Übermittlung personenbezogener Daten in Drittländer („Schrems II“) stärkt den Datenschutz für EU-Bürgerinnen und Bürger

/in /von

Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 28.07.2020

Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 16. Juli 2020 (Rechtssache C-311/18) den Beschluss 2016/1250 der Europäischen Kommission zur Übermittlung personenbezogener Daten in die USA (Privacy Shield) für unwirksam erklärt. Zugleich hat der EuGH festgestellt, dass die Entscheidung 2010/87/EG der Kommission über Standardvertragsklauseln (Standard Contractual Clauses – SCC) grundsätzlich weiterhin gültig ist.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) sieht mit diesem Urteil die Datenschutzgrundrechte der Bürger und Bürgerinnen in der Europäischen Union gestärkt. Für die Übermittlung personenbezogener Daten in die USA und andere Drittländer hat das Urteil nach einer ersten Einschätzung der DSK folgende Auswirkungen:

  1. Die Übermittlung personenbezogener Daten in die USA auf der Grundlage des Privacy Shield ist unzulässig und muss unverzüglich eingestellt werden. Der EuGH hat das Privacy Shield für ungültig erklärt, weil das durch den EuGH bewertete US-Recht kein Schutzniveau bietet, das dem in der EU im Wesentlichen gleichwertig ist. Das US-Recht, auf das der EuGH Bezug genommen hat, betrifft z. B. die nachrichtendienstlichen Erhebungsbefugnisse nach Section 702 FISA und Executive Order 12 333.
  2. Für eine Übermittlung personenbezogener Daten in die USA und andere Drittländer können die bestehenden Standardvertragsklauseln der Europäischen Kommission zwar grundsätzlich weiter genutzt werden. Der EuGH betonte jedoch die Verantwortung des Verantwortlichen und des Empfängers, zu bewerten, ob die Rechte der betroffenen Personen im Drittland ein gleichwertiges Schutzniveau wie in der Union genießen. Nur dann kann entschieden werden, ob die Garantien aus den Standardvertragsklauseln in der Praxis verwirklicht werden können. Wenn das nicht der Fall ist, sollte geprüft werden, welche zusätzlichen Maßnahmen zur Sicherstellung eines dem Schutzniveau in der EU im Wesentlichen gleichwertigen Schutzniveaus ergriffen werden können. Das Recht des Drittlandes darf diese zusätzlichen Schutzmaßnahmen jedoch nicht in einer Weise beeinträchtigen, die ihre tatsächliche Wirkung vereitelt. Nach dem Urteil des EuGH reichen bei Datenübermittlungen in die USA Standardvertragsklauseln ohne zusätzliche Maßnahmen grundsätzlich nicht aus.
  3. Die Wertungen des Urteils finden auch auf andere Garantien nach Artikel 46 DSGVO Anwendung wie verbindliche interne Datenschutzvorschriften („binding corporate rules“ – BCR), auf deren Grundlage eine Übermittlung personenbezogener Daten in die USA und andere Drittstaaten erfolgt. Daher müssen auch für Datenübermittlungen auf der Grundlage von BCR ergänzende Maßnahmen vereinbart werden, sofern die Rechte der betroffenen Personen im Drittland nicht ein gleichwertiges Schutzniveau wie in der Union genießen. Auch diese Maßnahmen müssen für die übermittelten Daten ein im Wesentlichen gleichwertiges Datenschutzniveau wie in der EU garantieren können.
  4. Die Übermittlung von personenbezogenen Daten aus der EU in die USA und andere Drittstaaten nach Artikel 49 DSGVO ist weiterhin zulässig, sofern die Bedingungen des Artikels 49 DSGVO im Einzelfall erfüllt sind. Zur Anwendung und Auslegung dieser Vorschrift hat der Europäische Datenschutzausschuss Leitlinien veröffentlicht.
  5. Verantwortliche, die weiterhin personenbezogene Daten in die USA oder andere Drittländer übermitteln möchten, müssen unverzüglich überprüfen, ob sie dies unter den genannten Bedingungen tun können. Der EuGH hat keine Übergangs- bzw. Schonfrist eingeräumt.

Auch wenn der EuGH in seiner Entscheidung an verschiedenen Stellen die vorrangige Verantwortung des Übermittlers von personenbezogenen Daten und des Empfängers betonte, hat er auch den Aufsichtsbehörden eine Schlüsselrolle bei der Durchsetzung der DSGVO und weiteren Entscheidungen über Datenübermittlungen in Drittländer zugewiesen. Die deutschen Aufsichtsbehörden werden sich in ihrem Vorgehen mit ihren Kolleginnen und Kollegen im Europäischen Datenschutzausschuss abstimmen und zukünftig auch zu spezifischeren Fragestellungen beraten.

Nach dem Urteil des EuGH hat der Europäische Datenschutzausschuss nach einer ersten Stellungnahme in seiner Sitzung am 23. Juli 2020 zentrale Fragen und Antworten (FAQ) zur Umsetzung des Urteils veröffentlicht. Die DSK befürwortet die Positionierung des Europäischen Datenschutzausschusses. Der englische Text der FAQ ist auf der Webseite des Europäischen Datenschutzausschusses unter https://edpb.europa.eu/news/news/2020/european-data-protection-board-publishes-faq-document-cjeu-judgment-c-31118-schrems_de zu finden.

Die Webseite der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder kann hier abgerufen werden.

BfDI zum Schrems II-Urteil des EuGH

/in /von

Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 16.07.2020

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber verbindet mit dem heutigen Urteil des Europäischen Gerichtshofes (EuGH) zum internationalen Datentransfer eine Stärkung der Rechte der Betroffenen: „Der EuGH macht deutlich, dass internationaler Datenverkehr weiter möglich ist. Dabei müssen aber die Grundrechte der europäischen Bürgerinnen und Bürger beachtet werden. Für den Datenaustausch mit den USA müssen jetzt besondere Schutzmaßnahmen ergriffen werden. Unternehmen und Behörden können Daten nicht mehr auf der Grundlage des Privacy Shield übermitteln, das der EuGH für unwirksam erklärt hat. Bei der Umstellung werden wir selbstverständlich intensiv beraten.“

Der BfDI wird sich bereits morgen mit seinen europäischen Kolleginnen und Kollegen abstimmen: „Der EuGH hat die Rolle der Datenschutzaufsichtsbehörden bestätigt und gestärkt. Sie müssen bei jeder einzelnen Datenverarbeitung prüfen und prüfen können, ob die hohen Anforderungen des EuGH erfüllt werden. Das bedeutet auch, dass sie den Datenaustausch untersagen, wenn die Voraussetzungen nicht erfüllt werden. Sowohl Unternehmen und Behörden als auch die Aufsichtsbehörden haben jetzt die komplexe Aufgabe, das Urteil praktisch anzuwenden. Wir werden auf eine schnelle Umsetzung in besonders relevanten Fällen drängen.“

Der EuGH schafft mit seiner Entscheidung einen klareren Rahmen für den internationalen Datenverkehr mit der Europäischen Union. Dabei stellt er hohe Anforderungen an die besonderen Schutzmaßnahmen wie etwa Standardvertragsklauseln, die Unternehmen und Behörden ergreifen und Aufsichtsbehörden kontrollieren müssen. Der BfDI wird nach Veröffentlichung des gesamten Urteils und den Beratungen im Europäischen Datenschutzausschuss eine weitere Stellungnahme abgeben. Dabei wird es insbesondere um die Überarbeitung der Standardvertragsklauseln durch die Europäische Kommission, als auch um die Notwendigkeit der USA, die Gewährleistung der Grundrechte der europäischen Bevölkerung der von US-Staatsangehörigen gleichzustellen, gehen.

Die Pressemitteilungen des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit können hier abgerufen werden.

Download BfDI zum Schrems II-Urteil des EuGH als PDF