DAFTA 2020: „Schrems II“, Office 365 etc. – Daten­schutz­prak­ti­ker for­dern von Behör­den prak­ti­sche Hil­fe­stel­lung anstatt pau­scha­ler Verbote

Vom 19. bis 20.11.2020 führt die Gesell­schaft für Daten­schutz und Daten­si­cher­heit (GDD) e.V., ihre 44. Daten­schutz­fach­ta­gung (DAFTA) durch. Die tra­di­tio­nell im Köl­ner Mater­nus­haus abge­hal­te­ne Ver­an­stal­tung fin­det auf Grund der Coro­na-Pan­de­mie in die­sem Jahr kom­plett online statt.

Peter Bie­sen­bach, NRW Justiz­mi­ni­ster, begrüßt das Urteil, mit dem das LG Bonn am 11.11.2020 das Buß­geld des Bun­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit gegen den Tele­kom­mu­ni­ka­ti­ons­an­bie­ter 1&1 von ursprüng­lich 9,5 Mil­lio­nen Euro auf 900.000 € her­ab­ge­setzt hat. Mit sei­ner Ent­schei­dung habe das Gericht der daten­ver­ar­bei­ten­den Wirt­schaft wich­ti­ges Ver­trau­en in den Rechts­staat zurück­ge­ge­ben. Die­se müs­se nun nicht mehr mit der Angst vor irra­tio­na­len Buß­gel­dern der Ver­wal­tungs­be­hör­den leben, son­dern dür­fe damit rech­nen, dass Daten­schutz­ver­stö­ße zwar emp­find­li­che, aber risi­ko­ad­äqua­te Sank­tio­nen nach sich zie­hen.

Zur lan­ge geplan­ten ePri­va­cy-Ver­ord­nung berich­tet Rolf Ben­der, Bun­de­mi­ni­ste­ri­um für Wirt­schaft und Ener­gie, dass nun­mehr lei­der klar sei, dass auch im Rah­men der deut­schen Rats­prä­si­dent­schaft kei­ne Ver­stän­di­gung im EU-Mini­ster­rat mehr erreicht wer­de. Damit sei es jetzt an den Por­tu­gie­sen, sich um eine all­ge­mei­ne Aus­rich­tung zu bemü­hen, damit in die Ver­hand­lun­gen mit EU-Par­la­ment und EU-Kom­mis­si­on ein­ge­tre­ten wer­den kön­ne. Auf natio­na­ler Ebe­ne sei mit dem Tele­kom­mu­ni­ka­ti­ons-Tele­me­di­en-Daten­schutz-Gesetz (TTDSG) ein neu­es Stamm­ge­setz für den Daten­schutz geplant, wel­ches die Daten­schutz­re­ge­lun­gen im Tele­kom­mu­ni­ka­ti­ons- und Tele­me­di­en­be­reich zusam­men­füh­re. Die Res­sort­ab­stim­mung soll „sehr bald“ abge­schlos­sen wer­den, so Ben­der. Danach fol­ge die Anhö­rung der Ver­bän­de zum Gesetz­ent­wurf.

Prof. Dr. Gün­ter Krings, MdB, Par­la­men­ta­ri­scher Staats­se­kre­tär beim Bun­des­mi­ni­ster des Innern, für Bau und Hei­mat, begrüßt das Bestre­ben, die Daten­schutz­re­ge­lun­gen im Tele­kom­mu­ni­ka­ti­ons- und Tele­me­di­en­be­reich in einem ein­heit­li­chen Gesetz zusam­men­zu­füh­ren. Der gegen­wär­tig bestehen­de recht­li­che Flicken­tep­pich müs­se schnellst­mög­lich besei­tigt und Rechts­si­cher­heit geschaf­fen wer­den. Die ePri­va­cy-VO kön­ne nicht län­ger abge­war­tet wer­den. Der deut­sche Gesetz­ge­ber habe die Mög­lich­keit, durch das natio­na­le Gesetz­ge­bungs­vor­ha­ben Wege für einen ange­mes­se­nen Inter­es­sen­aus­gleich im ePri­va­cy-Bereich auf­zu­zei­gen.

Nach Prof. Dr. Her­wig Hof­mann, Uni­ver­si­tät Luxem­burg, Kla­ge­ver­tre­ter im Fall Schrems II, ist die seit 2013 dau­ern­de „Schrems Saga“ auch mit dem EuGH Urteil aus dem Juli die­ses Jah­res (Schrems II – C‑311/​18) wei­ter­hin nicht abge­schlos­sen. Die DPC in Irland habe ihr Ver­fah­ren erneut aus­ge­setzt und der Euro­päi­sche Daten­schutz­aus­schuss zwei „Schrems II Task For­ces“ ein­ge­setzt. Die Stan­dard­ver­trags­klau­seln habe der EuGH aus sei­ner Sicht zurecht erhal­ten, so Hof­mann. Inso­fern sei­en aber nun der Trans­port­weg der Daten und die Situa­ti­on im Dritt­staat jeweils im Ein­zel­fall zu prü­fen.

Tho­mas Zer­dick, Refe­rats­lei­ter beim Euro­päi­schen Daten­schutz­be­auf­trag­ten, stell­te die Auf­ga­ben des Euro­päi­schen Daten­schutz­aus­schus­ses (EDSA) vor und ging dabei ins­be­son­de­re auf die The­men Schrems II und Coo­kies ein. Mit­tels des in der DS-GVO vor­ge­se­he­nen Streit­bei­le­gungs­ver­fah­ren kön­ne der Aus­schuss auch in strit­ti­gen Fra­gen zu ver­bind­li­chen Beschlüs­sen kom­men. Durch rasche Stel­lung­nah­men zu Beginn der Coro­na-Pan­de­mie habe der EDSA über­dies gezeigt, dass der Daten­schutz kein Hin­der­nis bei der Pan­de­mie­be­kämp­fung sein müs­se.

„Fin­ger weg von jeder Zen­tra­li­sie­rung“ posi­tio­niert sich Dr. Ste­fan Brink, Lan­des­be­auf­trag­ter für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Baden-Würt­tem­berg, im Hin­blick auf die aktu­el­le Dis­kus­si­on um die Zen­tra­li­sie­rung der Daten­schutz­auf­sicht. Seit 2016 habe es eine „mas­si­ve“ Koor­di­na­ti­on der natio­na­len Behör­den gege­ben. Ohne­dies sei der Daten­schutz ein euro­päi­sches The­ma und vor allem auf die­ser Ebe­ne müs­se eine Ver­ein­heit­li­chung erfol­gen. Die natio­na­le Auf­sichts­struk­tur spie­le aus sei­ner Sicht eher eine unter­ge­ord­ne­te Rol­le.
Nach der Auf­fas­sung von Brink ver­bie­ten sich pau­scha­le Aus­sa­gen zur Zuläs­sig­keit des Ein­sat­zes bestimm­ter Soft­ware­pro­duk­te, wie z.B. Micro­soft Office 365. Aus sei­ner Sicht müs­se vor einer Unter­sa­gung des Ein­sat­zes durch die Behör­de im Übri­gen zunächst geprüft wer­den, ob es im kon­kre­ten Fall zumut­ba­re Alter­na­tiv­an­ge­bo­te ohne Trans­fer­pro­ble­me gibt.

Hin­sicht­lich der im gele­ak­ten TTDSG-Ent­wurf vor­ge­se­he­nen Per­so­nal Infor­ma­ti­on Manage­ment Ser­vices (PIMS) warn­te Klaus Mül­ler, Vor­stand des Ver­brau­cher­zen­tra­le Bun­des­ver­bands (vzbv), zur Vor­sicht. Sol­che Dien­ste sei­en aus sei­ner Sicht zwar prin­zi­pi­ell zu begrü­ßen. Es müs­se aller­dings sicher­ge­stellt sein, dass es sich bei die­sen nur um neu­tra­le Inter­me­diä­re ohne eige­ne wirt­schaft­li­che Inter­es­sen an der Ver­wer­tung der ver­wal­te­ten Infor­ma­tio­nen han­de­le. Letz­te­res schlie­ße indes nicht aus, dass ent­spre­chen­de Anbie­ter für ihre Dien­ste auch Ent­gel­te erhe­ben dür­fen.

Achim Schlos­ser, Euro­pean netID Foun­da­ti­on, Mon­ta­baur, sprach sich für einen euro­päi­schen Ansatz im Hin­blick auf die Dien­ste von Iden­ti­täts- und Ein­wil­li­gungs­treu­hän­dern aus. Euro­pa­wei­te Rah­men­be­din­gun­gen erleich­ter­ten die Durch­set­zung gegen­über den gro­ßen Inter­net­an­bie­tern.

Vor dem Hin­ter­grund, dass mit einem zügi­gen Erlass von novel­lier­ten euro­pa­recht­li­chen ePri­va­cy-Vor­ga­ben im All­ge­mei­nen bzw. Rah­men­be­din­gun­gen zu PIMS im Beson­de­ren nicht zu rech­nen ist, waren sich die Teil­neh­mer der den poli­ti­schen Vor­mit­tag der DAFTA abschlie­ßen­den Podi­ums­dis­kus­si­on jedoch einig, dass der natio­na­le Weg über das geplan­te TTDSG ein guter Ansatz sei. Es sei zu hof­fen, dass das Gesetz­ge­bungs­ver­fah­ren zum TTDSG noch in die­ser Legis­la­tur­pe­ri­ode zum Abschluss kom­me, so Prof. Dr. Rolf Schwart­mann, Vor­stands­vor­sit­zen­der der GDD e.V., Bonn.

Andre­as Jas­pers, Geschäfts­füh­rer der GDD, reg­te an, dass im Rah­men des Gesetz­ge­bungs­ver­fah­rens zum TTDSG der Arbeit­ge­ber als mög­li­cher Adres­sat straf­recht­lich rele­van­ter Ver­stö­ße gegen das Fern­mel­de­ge­heim­nis aus­ge­nom­men wer­den soll­te. Zudem soll­te ein Ein­satz von rei­nen Online­ana­ly­se­tools auch ohne Ein­wil­li­gung der Nut­zer mög­lich sein, so Jas­pers.


Zur GDD:
Die GDD wur­de 1977 in Bonn gegrün­det und unter­stützt seit­dem Unter­neh­men, ins­be­son­de­re deren Daten­schutz­be­auf­trag­te, bei der Lösung der viel­fäl­ti­gen mit Daten­schutz und Daten­si­cher­heit ver­bun­de­nen tech­ni­schen, recht­li­chen und orga­ni­sa­to­ri­schen Fra­gen. Sie tritt als gemein­nüt­zi­ger ein­ge­tra­ge­ner Ver­ein für einen sinn­vol­len, ver­tret­ba­ren und tech­nisch rea­li­sier­ba­ren Daten­schutz ein. Zusam­men mit DATAKONTEXT (über das Onlinelern­por­tal UNIVADO) rich­tet die GDD in die­sem Jahr die Daten­schutz­fach­ta­gung DAFTA aus. 

Der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit (BfDI), Pro­fes­sor Ulrich Kel­ber, sieht sich durch die Ent­schei­dung des Land­ge­richts Bonn bestä­tigt: „Das LG Bonn hat heu­te geur­teilt, dass 1&1 für sei­nen Ver­stoß haf­tet. Das zeigt: Daten­schutz­ver­stö­ße blei­ben nicht ohne Folgen.“

Für den BfDI ist es das erste gro­ße Gerichts­ver­fah­ren seit Inkraft­tre­ten der DSGVO. Dabei wur­den wich­ti­ge und grund­sätz­li­che Fra­ge­stel­lun­gen geklärt. Das Gericht folg­te der Auf­fas­sung des BfDI in wesent­li­chen Punk­ten: Die 1&1 Tele­com GmbH hat durch unzu­rei­chen­de Sicher­heits­maß­nah­men im Call­cen­ter einen Daten­schutz­ver­stoß began­gen. Sie muss als Unter­neh­men nach den Maß­stä­ben der DSGVO dafür haf­ten: „Ich bin über­zeugt, dass die­se Ent­schei­dung in den Chef­eta­gen von Unter­neh­men wahr­ge­nom­men wird. Ich war­te noch auf die schrift­li­che Begrün­dung des Urteils, aber klar ist schon jetzt: Kein Unter­neh­men kann es sich mehr lei­sten den Daten­schutz zu vernachlässigen.“

Der BfDI hat­te den Tele­kom­mu­ni­ka­ti­ons­dienst­lei­ster 1&1 Tele­com GmbH im Dezem­ber 2019 mit einer Geld­bu­ße belegt. Auf­grund eines unzu­rei­chen­den Authen­ti­fi­zie­rungs­ver­fah­rens bei der tele­fo­ni­schen Kun­den­be­treu­ung der 1&1 Tele­com GmbH konn­ten Anru­fer allein mit Anga­be des Namens und Geburts­da­tums eines Kun­den weit­rei­chen­de Infor­ma­tio­nen zu wei­te­ren per­so­nen­be­zo­ge­nen Daten die­ser Per­son erhal­ten. Hier­in sah der BfDI einen Ver­stoß gegen die Datenschutzgrundverordnung.

Die Pres­se­mit­tei­lun­gen des Bun­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit kön­nen hier abge­ru­fen werden.

Down­load BfDI zum Urteil im Ver­fah­ren gegen 1&1 als PDF

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (Daten­schutz-Auf­sichts­be­hör­de für Unter­neh­men in Bay­ern) hat eine lesens­wer­te Check­li­ste für klei­ne und mitt­le­re Unter­neh­men ver­öf­fent­licht, wel­che tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Erfül­lung der DSGVO-Vor­ga­ben an die Infor­ma­ti­ons­si­cher­heit (Art. 32 DSGVO – Sicher­heit der Ver­ar­bei­tung) geprüft wer­den sollten.

Die Daten­schutz­grund­ver­ord­nung for­dert von Unter­neh­men an sich, die eige­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men im Rah­men eines struk­tu­rier­ten Pro­zes­ses lau­fend auf ihre Taug­lich­keit gemes­sen an der Risi­ko-Situa­ti­on zu prü­fen und anzu­pas­sen. Neben der in der Unter­neh­mens­pra­xis dazu bei grö­ße­ren Orga­ni­sa­tio­nen weit ver­brei­te­ten Norm zur Infor­ma­ti­ons­si­cher­heit (ISO 27001/​27002 und der dar­auf auf­bau­en­den Norm ISO27701 für das Daten­schutz-Manage­ment) steht klei­ne­ren Unter­neh­men und Kom­mu­nen der Zer­ti­fi­zie­rungs-Stan­dard ISIS12 zur Ver­fü­gung. Der öffent­li­che Bereich im Bund ori­en­tiert sich am IT-Grund­schutz-Kom­pen­di­um des BSI (und dem dar­an metho­disch ange­lehn­ten Stan­dard-Daten­schutz­mo­dell SDM, des­sen Ansatz im Gegen­satz zur ISO27001/​27002 nicht die Risi­ko-Per­spek­ti­ve des Unter­neh­mens son­dern des Betrof­fe­nen einnimmt).

Die Check­li­ste kann also kein struk­tu­rier­tes Infor­ma­ti­ons­si­cher­heits-Manage­ment erset­zen (und will dies expli­zit auch nicht), gibt aber gera­de klei­ne­ren (mit der Befas­sung beim The­ma Infor­ma­ti­ons­si­cher­heit fach­lich häu­fig über­for­der­ten) Unter­neh­men eine pra­xis­taug­li­che Über­sicht an die Hand, wel­che The­men im Bereich Infor­ma­ti­ons­si­cher­heit adres­siert bzw. geprüft wer­den sollten.

Die Check­li­ste des Baye­ri­schen Lan­des­amts für Daten­schutz­auf­sicht zu den tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men nach Art. 32 DSGVO kön­nen Sie hier ein­se­hen.


Im Fall der Über­wa­chung von meh­re­ren hun­dert Mit­ar­bei­te­rin­nen und Mit­ar­bei­tern des H&M Ser­vice­cen­ters in Nürn­berg durch die Cen­ter-Lei­tung hat der Ham­bur­gi­sche Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit (HmbBfDI) einen Buß­geld­be­scheid in Höhe von 35.258.707,95 Euro gegen die H&M Hen­nes & Mau­ritz Online Shop A.B. & Co. KG erlassen.

Die Gesell­schaft mit Sitz in Ham­burg betreibt ein Ser­vice­cen­ter in Nürn­berg. Min­de­stens seit dem Jahr 2014 kam es bei einem Teil der Beschäf­tig­ten zu umfang­rei­chen Erfas­sun­gen pri­va­ter Lebens­um­stän­de. Ent­spre­chen­de Noti­zen wur­den auf einem Netz­lauf­werk dau­er­haft gespei­chert. Nach Urlaubs- und Krank­heits­ab­we­sen­hei­ten – auch kur­zer Art – führ­ten die vor­ge­setz­ten Team­lea­der einen soge­nann­ten Wel­co­me Back Talk durch. Nach die­sen Gesprä­chen wur­den in etli­chen Fäl­len nicht nur kon­kre­te Urlaubs­er­leb­nis­se der Beschäf­tig­ten fest­ge­hal­ten, son­dern auch Krank­heits­sym­pto­me und Dia­gno­sen. Zusätz­lich eig­ne­ten sich eini­ge Vor­ge­setz­te über Ein­zel- und Flur­ge­sprä­che ein brei­tes Wis­sen über das Pri­vat­le­ben ihrer Mit­ar­bei­ten­den an, das von eher harm­lo­sen Details bis zu fami­liä­ren Pro­ble­men sowie reli­giö­sen Bekennt­nis­sen reich­te. Die Erkennt­nis­se wur­den teil­wei­se auf­ge­zeich­net, digi­tal gespei­chert und waren mit­un­ter für bis zu 50 wei­te­re Füh­rungs­kräf­te im gan­zen Haus les­bar. Die Auf­zeich­nun­gen wur­den bis­wei­len mit einem hohen Detail­grad vor­ge­nom­men und im zeit­li­chen Ver­lauf fort­ge­schrie­ben. Die so erho­be­nen Daten wur­den neben einer akri­bi­schen Aus­wer­tung der indi­vi­du­el­len Arbeits­lei­stung u.a. genutzt, um ein Pro­fil der Beschäf­tig­ten für Maß­nah­men und Ent­schei­dun­gen im Arbeits­ver­hält­nis zu erhal­ten. Die Kom­bi­na­ti­on aus der Aus­for­schung des Pri­vat­le­bens und der lau­fen­den Erfas­sung, wel­cher Tätig­keit sie jeweils nach­gin­gen, führ­te zu einem beson­ders inten­si­ven Ein­griff in die Rech­te der Betroffenen.

Bekannt wur­de die Daten­er­he­bung dadurch, dass die Noti­zen infol­ge eines Kon­fi­gu­ra­ti­ons­feh­lers im Okto­ber 2019 für eini­ge Stun­den unter­neh­mens­weit zugreif­bar waren. Nach­dem der Ham­bur­gi­sche Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit über die Daten­samm­lung durch Pres­se­be­rich­te infor­miert wur­de, ord­ne­te er zunächst an, den Inhalt des Netz­lauf­werks voll­stän­dig „ein­zu­frie­ren“ und ver­lang­te dann die Her­aus­ga­be. Das Unter­neh­men kam dem nach und leg­te einen Daten­satz von rund 60 Giga­byte zur Aus­wer­tung vor. Ver­neh­mun­gen zahl­rei­cher Zeu­gin­nen und Zeu­gen bestä­tig­ten nach Ana­ly­se der Daten die doku­men­tier­ten Praktiken.

Die Auf­deckung der erheb­li­chen Ver­stö­ße hat die Ver­ant­wort­li­chen zur Ergrei­fung ver­schie­de­ner Abhil­fe­maß­nah­men ver­an­lasst. Dem HmbBfDI wur­de ein umfas­sen­des Kon­zept vor­ge­legt, wie von nun an am Stand­ort Nürn­berg Daten­schutz umge­setzt wer­den soll. Zur Auf­ar­bei­tung der ver­gan­ge­nen Gescheh­nis­se hat sich die Unter­neh­mens­lei­tung nicht nur aus­drück­lich bei den Betrof­fe­nen ent­schul­digt. Sie folgt auch der Anre­gung, den Beschäf­tig­ten einen unbü­ro­kra­ti­schen Scha­den­er­satz in beacht­li­cher Höhe aus­zu­zah­len. Es han­delt sich inso­weit um ein bis­lang bei­spiel­lo­ses Bekennt­nis zur Unter­neh­mens­ver­ant­wor­tung nach einem Daten­schutz­ver­stoß. Wei­te­re Bau­stei­ne des neu ein­ge­führ­ten Daten­schutz­kon­zepts sind unter ande­rem ein neu beru­fe­ner Daten­schutz­ko­or­di­na­tor, monat­li­che Daten­schutz-Sta­tus­up­dates, ein ver­stärkt kom­mu­ni­zier­ter Whist­leb­lower-Schutz sowie ein kon­si­sten­tes Auskunfts-Konzept.

Hier­zu Prof. Dr. Johan­nes Cas­par, der Ham­bur­gi­sche Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit: „Der vor­lie­gen­de Fall doku­men­tiert eine schwe­re Miss­ach­tung des Beschäf­tig­ten­da­ten­schut­zes am H&M‑Standort Nürn­berg. Das ver­häng­te Buß­geld ist dem­entspre­chend in sei­ner Höhe ange­mes­sen und geeig­net, Unter­neh­men von Ver­let­zun­gen der Pri­vat­sphä­re ihrer Beschäf­tig­ten abzuschrecken.

Aus­drück­lich posi­tiv ist das Bemü­hen der Kon­zern­lei­tung zu bewer­ten, die Betrof­fe­nen vor Ort zu ent­schä­di­gen und das Ver­trau­en in das Unter­neh­men als Arbeit­ge­ber wie­der­her­zu­stel­len. Die trans­pa­ren­te Auf­klä­rung sei­tens der Ver­ant­wort­li­chen und die Gewähr­lei­stung einer finan­zi­el­len Kom­pen­sa­ti­on zei­gen durch­aus den Wil­len, den Betrof­fe­nen den Respekt und die Wert­schät­zung zukom­men zu las­sen, die sie als abhän­gig Beschäf­tig­te in ihrem täg­li­chen Ein­satz für ihr Unter­neh­men verdienen.“

https://​daten​schutz​-ham​burg​.de/​p​r​e​s​s​e​m​i​t​t​e​i​l​u​n​g​e​n​/​2​0​2​0​/​1​0​/​2​020 – 10-01-h-m-verfahren

Der euro­päi­sche Gerichts­hof (EuGH) bestä­tig­te mit sei­nen heu­ti­gen Ent­schei­dun­gen, dass die anlass­lo­se Vor­rats­da­ten­spei­che­rung (VDS) nicht mit dem euro­päi­schen Recht ver­ein­bar ist. Ent­ge­gen­ste­hen­de natio­na­le Geset­ze zur Über­wa­chung der Tele­kom­mu­ni­ka­ti­on und des Inter­net­ver­hal­tens der Bevöl­ke­rung sind daher unwirk­sam. Der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Baden-Würt­tem­berg Dr. Ste­fan Brink begrüßt: „Das Urteil stärkt die Rech­te der euro­päi­schen Bür­ge­rin­nen und Bür­ger und schützt sie vor unver­hält­nis­mä­ßi­gen Ein­grif­fen in ihre per­sön­li­chen Frei­hei­ten, die gera­de von Sicher­heits­po­li­ti­kern immer wie­der gefor­dert werden.“

Aller­dings rela­ti­vie­re der EuGH sei­ne bis­lang völ­lig kla­re Absa­ge an jede Vor­rats­da­ten­spei­che­rung, wenn er Spiel­räu­me für sol­che Über­wa­chun­gen im Fal­le der „kon­kre­ten und ernst­haf­ten Bedro­hung der natio­na­len Sicher­heit“ sieht. Dazu LfDI Ste­fan Brink: „Es ist bedau­er­lich, dass der EuGH von sei­ner glas­kla­ren Ansa­ge ‚Kei­ne VDS‘ abrückt und damit eine natio­na­le Debat­te um eine ‚situa­ti­ve VDS‘ neu ent­facht. Die­se Debat­te kön­nen wir gera­de in Zei­ten von Coro­na, wo Grund­rech­te wie das Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung ohne­hin schon unter Druck gera­ten, so gut brau­chen wie Keuchhusten.“

Jede anlass­lo­se Vor­rats­da­ten­spei­che­rung ist schäd­lich, so LfDI Brink wei­ter: Nach wis­sen­schaft­li­cher Ana­ly­se nutzt sie den Sicher­heits­be­hör­den nicht wirk­lich – statt­des­sen wür­den Mil­lio­nen unbe­schol­te­ner Bür­ge­rin­nen und Bür­ger durch­leuch­tet und beim Inter­net­sur­fen aus­spio­niert. „Straf­ver­fol­gung soll­te sich gegen Ver­däch­ti­ge rich­ten – nicht gegen jeder­mann. Die 450 Mil­lio­nen Euro­pä­er wol­len moder­ne Kom­mu­ni­ka­ti­ons­mit­tel wie das Inter­net über­wa­chungs­frei nut­zen – und sol­len das auch in Zukunft unbe­schwert tun kön­nen!“, so Brink abschließend.

Das Euro­päi­sche Gericht hat­te sich mit Ver­fah­ren aus Frank­reich, Groß­bri­tan­ni­en und Bel­gi­en befasst und die dor­ti­ge Vor­rats­da­ten­spei­che­rung zurechtgestutzt.

Link: https://​www​.baden​-wuer​t​tem​berg​.daten​schutz​.de/​e​u​r​o​p​a​e​i​s​c​h​e​r​-​g​e​r​i​c​h​t​s​h​o​f​-​a​n​l​a​s​s​l​o​s​e​-​v​o​r​r​a​t​s​d​a​t​e​n​s​p​e​i​c​h​e​r​u​n​g​-​b​l​e​i​b​t​-​v​e​r​b​o​t​en/

Täg­lich greift die Video­über­wa­chung in Rech­te und Frei­hei­ten von Per­so­nen ein, ohne dass die Mehr­zahl dafür einen Anlass gege­ben hat. Mit gro­ßer Streu­brei­te wird auf­ge­zeich­net, zu wel­cher Uhr­zeit, an wel­chem Tag, in wel­chem Zustand, mit wel­chem Erschei­nungs­bild, wie lan­ge und an wel­chem Ort sich Betrof­fe­ne auf­hal­ten, wie sie die­sen Bereich nut­zen, wie sie sich dort ver­hal­ten und ob sie allein oder in Beglei­tung sind. Bereits eine ein­fa­che Über­wa­chungs­an­la­ge ver­ar­bei­tet in erheb­li­chem Umfang per­so­nen­be­zo­ge­ne Daten, ohne dass der Groß­teil der erfass­ten Infor­ma­tio­nen für Über­wa­chen­de je eine Rol­le spielt.

Das Risi­ko, dass damit die Rech­te von Betrof­fe­nen ver­letzt wer­den, hat sich in den ver­gan­ge­nen Jah­ren deut­lich erhöht. Grund dafür sind die gerin­gen Anschaf­fungs­ko­sten und die ver­bes­ser­te Qua­li­tät der Tech­nik. Moder­ne Kame­ras zei­gen Bil­der in höch­ster Auf­lö­sung. In Echt­zeit kön­nen die­se in der gan­zen Welt ein­ge­se­hen und fast unbe­grenzt gespei­chert wer­den. Mehr als ein Smart­pho­ne oder Tablet braucht es dafür oft nicht. Dabei wer­den Kame­ras nicht nur zur Sicher­heit ein­ge­setzt. Kame­ras erfas­sen und ver­ar­bei­ten Daten von Per­so­nen, um per­so­na­li­sier­te Wer­bung anzu­zei­gen oder Pro­duk­te ziel­grup­pen­ge­nau anzu­bie­ten. Soft­ware­ge­steu­er­te Video­tech­nik ver­misst in der Öffent­lich­keit Gesichts­zü­ge und Gefühls­re­gun­gen von Per­so­nen oder ver­folgt das Bewe­gungs–  oder Ein­kaufs­ver­hal­ten von Kun­den. Die erfass­ten Infor­ma­tio­nen wer­den in Sekun­den­bruch­tei­len aus­ge­wer­tet und ver­viel­fäl­tigt. Betrof­fe­ne haben kaum Ein­fluss auf eine sol­che Erfas­sung und erfah­ren sel­ten, was mit den Auf­nah­men geschieht.
Die Ori­en­tie­rungs­hil­fe „Video­über­wa­chung durch nicht-öffent­li­che Stel­len“ wur­de grund­le­gend über­ar­bei­tet und an die recht­li­chen Rah­men­be­din­gun­gen der seit dem 25. Mai 2018 gel­ten­den Daten­schutz-Grund­ver­ord­nung ange­passt. Dabei wur­den die Leit­li­ni­en 3/​2019 des Euro­päi­schen Daten­schutz­aus­schus­ses zur Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch Video­ge­rä­te, Ver­si­on 2.0, ange­nom­men am 29. Janu­ar 2020, berück­sich­tigt. Neu hin­zu­ge­kom­men sind die Abschnit­te zur Video­über­wa­chung in der Nach­bar­schaft und zur daten­schutz­recht­li­chen Bewer­tung von Tür- und Klin­gel­ka­me­ras, Droh­nen und Wild­ka­me­ras sowie Dashcams.

Mit der Ori­en­tie­rungs­hil­fe erhal­ten Betrof­fe­ne und Ver­ant­wort­li­che Infor­ma­tio­nen über die Vor­aus­set­zun­gen für eine daten­schutz­ge­rech­te Video­über­wa­chung in unter­schied­li­chen Lebens­be­rei­chen. Im Anhang fin­den sich Muster für Hin­weis­schil­der, die es den Ver­ant­wort­li­chen erleich­tern, den Trans­pa­renz­pflich­ten gem. Art. 12 ff. DS-GVO nach­zu­kom­men. Dar­über hin­aus wird eine Check­li­ste mit den wich­tig­sten Prü­fungs­punk­ten im Vor­feld einer Video­über­wa­chung bereitgestellt.

Ori­en­tie­rungs­hil­fe Video­über­wa­chung durch nicht-öffent­li­che Stel­len (PDF-Doku­ment)

Der EuGH hat das EU-Pri­va­cy Shield mit sei­nem Urteil vom 16.07.2020 (Az: C‑311/​18) für ungül­tig erklärt und an die Pflich­ten für Daten­ex­por­teu­re und Daten­im­por­teu­re bei Anwen­dung der EU-Stan­dard­ver­trags­klau­seln, ins­be­son­de­re hin­sicht­lich einer rechts­kon­for­men Daten­über­mitt­lung, erin­nert. Daten­ex­por­tie­ren­de ver­ant­wort­li­che Stel­len mit Sitz in der Euro­päi­schen Uni­on oder in Län­dern des Euro­päi­schen Wirt­schafts­raums ste­hen nun vor der Her­aus­for­de­rung, wie per­so­nen­be­zo­ge­ne Daten wei­ter­hin rechts­kon­form in Dritt­län­der über­mit­telt wer­den kön­nen. Die GDD möch­te Hand­lungs­emp­feh­lun­gen bezüg­lich des Endes des Pri­va­cy-Shiel­ds geben, um Ver­ant­wort­li­che und deren Daten­schutz­be­auf­trag­te bei der Umset­zung zu unterstützen.Dabei erstrecken sich die Emp­feh­lun­gen auch dar­auf, ob und wie der Ein­satz der sog. EU-Stan­dard­ver­trags­klau­seln aus­se­hen kann sowie eine Beschäf­ti­gung mit der Fra­ge, wie die sog. Ange­mes­sen­heits­be­schlüs­se der EU-Kom­mis­si­on bzgl. der jewei­li­gen Dritt­län­der zu bewer­ten sind.

Die Aus­ar­bei­tung der GDD beschäf­tigt sich eben­so mit dem Instru­ment der „ande­ren Garan­tien (Art. 46 DS-GVO) bzw. Aus­nah­men für bestimm­te Fäl­le (Art. 49 DS-GVO)“

» Zu den Hand­lungs­emp­feh­lun­gen der Gesell­schaft für Daten­schutz und Daten­si­cher­heit (GDD e.V.)

Der LfDI gibt Hin­wei­se und legt sein wei­te­res Vor­ge­hen zum Urteil des Euro­päi­schen Gerichts­hofs (EuGH) vom 16. Juli 2020, Rechts­sa­che C‑311/​18 („Schrems II“) fest.

Lesen Sie hier die ent­spre­chen­de Ori­en­tie­rungs­hil­fe zu Schrems II .

Vie­le Kun­din­nen und Kun­den von Bau­märk­ten, Super­märk­ten oder Ein­kaufs­zen­tren, die auf dem angren­zen­den Park­platz par­ken, sind im Glau­ben, sie wür­den kosten­frei par­ken. Das kann teu­er wer­den! Denn vie­le augen­schein­lich markt­zu­ge­hö­ri­gen Park­plät­ze wer­den von pri­va­ten Unter­neh­men betrie­ben, die für rechts­wid­rig abge­stell­te Fahr­zeu­ge – bspw. einer feh­len­den oder abge­lau­fe­nen Park­schei­be – Straf­zet­tel aus­stel­len. Hier­bei wer­den nicht sel­ten For­de­run­gen von 30 oder 40 Euro auf­ge­ru­fen, die sich emp­find­lich erhö­hen, soll­te der Fahr­zeug­hal­ter nicht inner­halb von zwei Wochen zah­len. Doch häu­fig ist das Vor­ge­hen der Unter­neh­men unzu­läs­sig. Daher rät der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Baden-Würt­tem­berg, auf Fol­gen­des zu achten:

1. Haben Sie als Fahrzeughalter*in den Wagen selbst geparkt?

Stellt ein Park-Kon­troll-Unter­neh­men fest, dass Ihr Fahr­zeug wider­recht­lich auf dem Gelän­de parkt, erhal­ten Sie als Fahrzeughalter*in ein Schrei­ben, in dem Sie zur Zah­lung einer Straf­ge­bühr auf­ge­for­dert wer­den. Hier­bei geht der Park­platz­be­trei­ber davon aus, dass Sie selbst den Wagen geparkt haben – denn nur so wäre die For­de­rung einer Straf­zah­lung rechts­kon­form. Soll­ten Sie also gar nicht gefah­ren sein, liegt auch kein Ver­trags­schluss zwi­schen Ihnen und dem Park­platz­un­ter­neh­men vor, auf des­sen Grund­la­ge eine Stra­fe erho­ben wer­den könn­te. Dies sieht auch der Bun­des­ge­richts­hof so. Soll­ten Sie also nicht selbst den Wagen geparkt haben, kön­nen Sie hier­für auch nicht belangt werden.

2. Ist der Daten­ver­ar­bei­tungs­zweck in der Daten­schutz­er­klä­rung kor­rekt angegeben?

In dem Schrei­ben mit der gefor­der­ten Straf­zah­lung ver­weist das Park­platz-Kon­troll-Unter­neh­men auch auf ihre Daten­schutz­er­klä­rung, in der zumeist als Zweck der Daten­ver­ar­bei­tung ange­ge­ben wird, Sie als Fahrzeughalter*in wegen des Park­ver­sto­ßes belan­gen zu kön­nen. Wenn sich das Unter­neh­men jedoch gar nicht sicher ist, dass Sie es waren, die/​der falsch geparkt hat, dann kön­nen Ihre Daten ja auch nicht zu die­sem Zweck ver­ar­bei­tet wer­den. Hier liegt also ein DS-GVO-Ver­stoß vor.
Der Park­platz­be­trei­ber darf Sie jedoch dazu auf­for­dern, bei der Ermitt­lung des rechts­wid­rig Par­ken­den behilf­lich zu sein und Sie um Aus­kunft bit­ten, wer als Fahrer*in in Betracht kommt. Hier­auf müs­sen Sie reagie­ren, sonst ist das Unter­neh­men berech­tigt, sei­ne For­de­rung an Sie als Fahrzeughalter*in rich­ten. In der Daten­schutz­er­klä­rung des Park­platz-Unter­neh­mens soll­te als Zweck der Daten­ver­ar­bei­tung folg­lich ange­ge­ben sein, dass die­se zum Zweck der Ermitt­lung des Falsch­par­kers erfolgt ist.

Was folgt dar­aus für Sie?

Soll­te weder ein wider­recht­li­ches Par­ken Ihrer­seits noch eine DS-GVO-kon­for­me Schuld­ner­er­mitt­lung vor­lie­gen, müs­sen Sie als Fahrzeughalter*in weder der gefor­der­ten Zah­lung nach­kom­men noch auf Mah­nun­gen reagie­ren – auch nicht von Inkas­so-Unter­neh­men. Viel­mehr dürf­ten die ermit­tel­ten Daten der Fahrzeughalterin/​des Fahr­zeug­hal­ters unter die­sen Umstän­den gar nicht an ein Inkas­so-Unter­neh­men wei­ter­ge­lei­tet werden.

Hin­weis: Um dem Ärger zu ent­ge­hen, wer­fen Sie beim Aus­stei­gen aus dem Auto ein­fach einen Blick über den Park­platz. Wenn der Park­platz von einem exter­nen Unter­neh­men geführt wird, sind in Sicht­wei­te Hin­weis­schil­der ange­bracht, die auf die gel­ten­de Park­platz­ord­nung hinweisen.

Pres­se­mit­tei­lung der Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der vom 28.07.2020

Der Euro­päi­sche Gerichts­hof (EuGH) hat in sei­nem Urteil vom 16. Juli 2020 (Rechts­sa­che C‑311/​18) den Beschluss 2016/​1250 der Euro­päi­schen Kom­mis­si­on zur Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in die USA (Pri­va­cy Shield) für unwirk­sam erklärt. Zugleich hat der EuGH fest­ge­stellt, dass die Ent­schei­dung 2010/​87/​EG der Kom­mis­si­on über Stan­dard­ver­trags­klau­seln (Stan­dard Con­trac­tu­al Clau­ses – SCC) grund­sätz­lich wei­ter­hin gül­tig ist.

Die Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der (DSK) sieht mit die­sem Urteil die Daten­schutz­grund­rech­te der Bür­ger und Bür­ge­rin­nen in der Euro­päi­schen Uni­on gestärkt. Für die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in die USA und ande­re Dritt­län­der hat das Urteil nach einer ersten Ein­schät­zung der DSK fol­gen­de Auswirkungen:

  1. Die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in die USA auf der Grund­la­ge des Pri­va­cy Shield ist unzu­läs­sig und muss unver­züg­lich ein­ge­stellt wer­den. Der EuGH hat das Pri­va­cy Shield für ungül­tig erklärt, weil das durch den EuGH bewer­te­te US-Recht kein Schutz­ni­veau bie­tet, das dem in der EU im Wesent­li­chen gleich­wer­tig ist. Das US-Recht, auf das der EuGH Bezug genom­men hat, betrifft z. B. die nach­rich­ten­dienst­li­chen Erhe­bungs­be­fug­nis­se nach Sec­tion 702 FISA und Exe­cu­ti­ve Order 12 333.
  2. Für eine Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in die USA und ande­re Dritt­län­der kön­nen die bestehen­den Stan­dard­ver­trags­klau­seln der Euro­päi­schen Kom­mis­si­on zwar grund­sätz­lich wei­ter genutzt wer­den. Der EuGH beton­te jedoch die Ver­ant­wor­tung des Ver­ant­wort­li­chen und des Emp­fän­gers, zu bewer­ten, ob die Rech­te der betrof­fe­nen Per­so­nen im Dritt­land ein gleich­wer­ti­ges Schutz­ni­veau wie in der Uni­on genie­ßen. Nur dann kann ent­schie­den wer­den, ob die Garan­tien aus den Stan­dard­ver­trags­klau­seln in der Pra­xis ver­wirk­licht wer­den kön­nen. Wenn das nicht der Fall ist, soll­te geprüft wer­den, wel­che zusätz­li­chen Maß­nah­men zur Sicher­stel­lung eines dem Schutz­ni­veau in der EU im Wesent­li­chen gleich­wer­ti­gen Schutz­ni­veaus ergrif­fen wer­den kön­nen. Das Recht des Dritt­lan­des darf die­se zusätz­li­chen Schutz­maß­nah­men jedoch nicht in einer Wei­se beein­träch­ti­gen, die ihre tat­säch­li­che Wir­kung ver­ei­telt. Nach dem Urteil des EuGH rei­chen bei Daten­über­mitt­lun­gen in die USA Stan­dard­ver­trags­klau­seln ohne zusätz­li­che Maß­nah­men grund­sätz­lich nicht aus.
  3. Die Wer­tun­gen des Urteils fin­den auch auf ande­re Garan­tien nach Arti­kel 46 DSGVO Anwen­dung wie ver­bind­li­che inter­ne Daten­schutz­vor­schrif­ten („bin­ding cor­po­ra­te rules“ – BCR), auf deren Grund­la­ge eine Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in die USA und ande­re Dritt­staa­ten erfolgt. Daher müs­sen auch für Daten­über­mitt­lun­gen auf der Grund­la­ge von BCR ergän­zen­de Maß­nah­men ver­ein­bart wer­den, sofern die Rech­te der betrof­fe­nen Per­so­nen im Dritt­land nicht ein gleich­wer­ti­ges Schutz­ni­veau wie in der Uni­on genie­ßen. Auch die­se Maß­nah­men müs­sen für die über­mit­tel­ten Daten ein im Wesent­li­chen gleich­wer­ti­ges Daten­schutz­ni­veau wie in der EU garan­tie­ren können.
  4. Die Über­mitt­lung von per­so­nen­be­zo­ge­nen Daten aus der EU in die USA und ande­re Dritt­staa­ten nach Arti­kel 49 DSGVO ist wei­ter­hin zuläs­sig, sofern die Bedin­gun­gen des Arti­kels 49 DSGVO im Ein­zel­fall erfüllt sind. Zur Anwen­dung und Aus­le­gung die­ser Vor­schrift hat der Euro­päi­sche Daten­schutz­aus­schuss Leit­li­ni­en veröffentlicht.
  5. Ver­ant­wort­li­che, die wei­ter­hin per­so­nen­be­zo­ge­ne Daten in die USA oder ande­re Dritt­län­der über­mit­teln möch­ten, müs­sen unver­züg­lich über­prü­fen, ob sie dies unter den genann­ten Bedin­gun­gen tun kön­nen. Der EuGH hat kei­ne Über­gangs- bzw. Schon­frist eingeräumt.

Auch wenn der EuGH in sei­ner Ent­schei­dung an ver­schie­de­nen Stel­len die vor­ran­gi­ge Ver­ant­wor­tung des Über­mitt­lers von per­so­nen­be­zo­ge­nen Daten und des Emp­fän­gers beton­te, hat er auch den Auf­sichts­be­hör­den eine Schlüs­sel­rol­le bei der Durch­set­zung der DSGVO und wei­te­ren Ent­schei­dun­gen über Daten­über­mitt­lun­gen in Dritt­län­der zuge­wie­sen. Die deut­schen Auf­sichts­be­hör­den wer­den sich in ihrem Vor­ge­hen mit ihren Kol­le­gin­nen und Kol­le­gen im Euro­päi­schen Daten­schutz­aus­schuss abstim­men und zukünf­tig auch zu spe­zi­fi­sche­ren Fra­ge­stel­lun­gen beraten.

Nach dem Urteil des EuGH hat der Euro­päi­sche Daten­schutz­aus­schuss nach einer ersten Stel­lung­nah­me in sei­ner Sit­zung am 23. Juli 2020 zen­tra­le Fra­gen und Ant­wor­ten (FAQ) zur Umset­zung des Urteils ver­öf­fent­licht. Die DSK befür­wor­tet die Posi­tio­nie­rung des Euro­päi­schen Daten­schutz­aus­schus­ses. Der eng­li­sche Text der FAQ ist auf der Web­sei­te des Euro­päi­schen Daten­schutz­aus­schus­ses unter https://​edpb​.euro​pa​.eu/​n​e​w​s​/​n​e​w​s​/​2​0​2​0​/​e​u​r​o​p​e​a​n​-​d​a​t​a​-​p​r​o​t​e​c​t​i​o​n​-​b​o​a​r​d​-​p​u​b​l​i​s​h​e​s​-​f​a​q​-​d​o​c​u​m​e​n​t​-​c​j​e​u​-​j​u​d​g​m​e​n​t​-​c​-​3​1​1​1​8​-​s​c​h​r​e​m​s​_de zu finden.

Die Web­sei­te der Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der kann hier abge­ru­fen werden.