​Unzu­läs­si­ge Daten­über­mitt­lun­gen in die USA

(hmbbfdi, 6.6.2016) Der EuGH hat die Safe Har­bor-Ent­schei­dung im Okto­ber 2015 auf­ge­ho­ben und damit einen  wesent­li­chen Pfei­ler für eine recht­mä­ßi­ge Daten­über­mitt­lung an US-Unter­neh­men für unwirk­sam erklärt. Dar­auf­hin wur­den durch den Ham­bur­gi­schen Daten­schutz­be­auf­trag­ten Prü­fun­gen bei 35 inter­na­tio­nal agie­ren­den Ham­bur­ger Unter­neh­men durchgeführt.

Die Prü­fun­gen haben erge­ben, dass die über­wie­gen­de Mehr­heit der Unter­neh­men den Daten­trans­fer im Rah­men einer mehr­mo­na­ti­gen Umset­zungs­frist recht­zei­tig auf soge­nann­te Stan­dard­ver­trags­klau­seln umge­stellt hat. Eini­ge weni­ge Unter­neh­men hat­ten aber auch ein hal­bes Jahr nach Weg­fall der Safe Har­bor-Ent­schei­dung kei­ne zuläs­si­ge Alter­na­ti­ve geschaf­fen. Die Daten­über­mitt­lun­gen die­ser Unter­neh­men in die USA erfolg­ten damit ohne recht­li­che Grund­la­ge und waren rechtswidrig.

Wäh­rend eini­ge der ein­ge­lei­te­ten Ver­fah­ren noch nicht abge­schlos­sen wer­den konn­ten und ande­re Prü­fun­gen noch lau­fen, sind mitt­ler­wei­le drei Buß­geld­be­schei­de wegen der unzu­läs­si­gen Über­mitt­lung von Mit­ar­bei­ter- und Kun­den­da­ten in die USA rechts­kräf­tig gewor­den. Die betrof­fe­nen Unter­neh­men haben nach Ein­lei­tung des Buß­geld­ver­fah­rens ihre Über­mitt­lun­gen recht­lich auf Stan­dard­ver­trags­klau­seln umgestellt.

Dazu Johan­nes Cas­par, der Ham­bur­gi­sche Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit: „Dass die Unter­neh­men schließ­lich doch noch eine recht­li­che Grund­la­ge für die Über­mitt­lung geschaf­fen haben, war bei der Bemes­sung der Buß­gel­der posi­tiv zu berück­sich­ti­gen. Für künf­tig fest­ge­stell­te Ver­stö­ße wird sicher­lich ein schär­fe­rer Maß­stab anzu­le­gen sein.

Im wei­te­ren Ver­lauf bleibt nun abzu­war­ten, ob die Nach­fol­ge­re­ge­lung zu Safe Har­bor, der Pri­va­cy Shield, den die EU-Kom­mis­si­on Ende Febru­ar vor­ge­legt hat, ein ange­mes­se­nes Daten­schutz­ni­veau her­stellt. Dar­an waren nicht zuletzt sei­tens der Art. 29-Daten­schutz­grup­pe, dem gemein­sa­men Gre­mi­um der Daten­schutz­be­hör­den der EU-Mit­glied­staa­ten und des Euro­päi­schen Daten­schutz­be­auf­trag­ten,  erheb­li­che Zwei­fel geäu­ßert wor­den. EU-Kom­mis­si­on und US-Regie­rung sind hier auf­ge­for­dert, den Ent­wurf in wesent­li­chen Punk­ten nach­zu­bes­sern. Vor die­sem Hin­ter­grund wird auch über die Zuläs­sig­keit der der­zeit nicht bean­stan­de­ten alter­na­ti­ven Über­mitt­lungs­in­stru­men­te, ins­be­son­de­re soge­nann­ter Stan­dard­ver­trags­klau­seln, zu ent­schei­den sein.”

https://​www​.daten​schutz​-ham​burg​.de/​n​e​w​s​/​d​e​t​a​i​l​/​a​r​t​i​c​l​e​/​u​n​z​u​l​a​e​s​s​i​g​e​-​d​a​t​e​n​u​e​b​e​r​m​i​t​t​l​u​n​g​e​n​-​i​n​-​d​i​e​-​u​s​a​.​h​tml

​Der Lan­des­be­auf­trag­te für den Daten­schutz Baden-Würt­tem­berg emp­fiehlt vor allem, die Über­mitt­lung der Wer­bungs-ID, Micro­softs Smart­S­creen-Fil­ter und die Erken­nung des Ein­ga­be- und Schreib­ver­hal­tens zu deak­ti­vie­ren. All die­se Funk­tio­nen sind werk­sei­tig aktiviert.

Der Lan­des­be­auf­trag­te für den Daten­schutz hat den vom ihm ver­öf­fent­lich­ten Leit­fa­den zu den Daten­schutz­ein­stel­lun­gen bei Win­dows 10 über­ar­bei­tet. Das 27 Sei­ten umfas­sen­de PDF-Doku­ment ist auf der Web­site des Amtes kosten­los als Down­load ver­füg­bar. Anwen­der erhal­ten mit dem Leit­fa­den auch eine aus­führ­li­che Anlei­tung, wie sich die nach Mei­nung des Daten­schüt­zers als bedenk­lich bewer­te­ten Funk­tio­nen abschal­ten lassen.

Er erklärt die Not­wen­dig­keit des Leit­fa­dens damit, dass der Groß­teil der Optio­nen zur Daten­über­mitt­lung stan­dard­mä­ßig akti­viert sei. “Wenn Sie eine Daten­wei­ter­ga­be an Micro­soft unter­bin­den möch­ten, so müs­sen Sie die ent­spre­chen­den Optio­nen expli­zit aus­schal­ten”, heißt es in dem Doku­ment. Aus Sicht des baden-würt­tem­ber­gi­schen Daten­schutz­be­auf­trag­ten Jörg Kling­beil soll­ten ins­be­son­de­re die Über­mitt­lung der Wer­bungs-ID und der Smart­S­creen-Fil­ter sowie die Sprach­li­ste und die Funk­ti­on zur Erken­nung des Ein­ga­be- und Schreib­ver­hal­tens deak­ti­viert werden.

An der Wer­bungs-ID wird bemän­gelt, dass sich die Ana­ly­se des Nut­zungs­ver­hal­tens über das Micro­soft-Kon­to auch gerä­te­über­grei­fend bewerk­stel­li­gen lässt. Der Smart­S­creen-Fil­ter ist laut Micro­soft dazu gedacht, beim Besuch von Web­sei­ten dort vor­ge­hal­te­ne, bedroh­li­che Datei­en und Links zu ermit­teln. Tei­le des Inhalts und Infor­ma­tio­nen zu her­un­ter­ge­la­de­nen Datei­en wer­den des­halb zur Über­prü­fung an Micro­soft geschickt und anhand einer Black­list abge­gli­chen. Neben der Tat­sa­che, dass Micro­soft so viel über das Ver­hal­ten des Anwen­ders erfährt, kri­ti­siert der Daten­schutz­be­auf­trag­te auch, dass nach sei­nen Erkennt­nis­sen die kom­plet­te IP-Adres­se an Micro­soft über­tra­gen und dort für 60 Tage gespei­chert wird.

Die zur Ver­bes­se­rung der Hand­schrif­ten­er­ken­nung ein­ge­setz­te Funk­ti­on “Ein­ga­be- und Schreib­ver­hal­ten” löst Daten­schutz­be­den­ken aus, weil sämt­li­che mit­tels Stift ein­ge­ge­be­ne Tex­te an Micro­soft über­tra­gen wer­den, um eine zen­tra­le Ana­ly­se sicher­zu­stel­len. Hin­sicht­lich der Sprach­li­ste, deren Deak­ti­vie­rung eben­falls emp­foh­len wird, moniert Kling­beil, dass aus den Daten­schutz­be­stim­mun­gen nicht ersicht­lich ist, “um wel­che Funk­tio­na­li­tät es sich hier genau han­delt und ob dabei Daten an Micro­soft über­mit­telt werden”.

Schon im Sep­tem­ber 2015 hat­te Micro­soft selbst meh­re­re Bei­trä­ge auf sei­ner Web­site publi­ziert, in wel­chen es die vor­her bereits umstrit­te­nen Funk­tio­nen detail­liert erläu­tert. Über­dies stellt der Kon­zern aus Red­mond schon lan­ge her­aus, dass Win­dows 10 zum einen Daten samm­le, um die­se zur Ver­bes­se­rung des Pro­dukts zu nut­zen (zum Bei­spiel bei der Hand­schrif­ten­er­ken­nung und der Sprach­ein­ga­be) und dass Nut­zer zum ande­ren jeder­zeit selbst ent­schei­den könn­ten, wel­che Daten mit­ge­schnit­ten wer­den dür­fen. Das stimmt aller­dings nur teil­wei­se, da die frü­her “Feh­ler­be­richt­erstat­tung” genann­te Funk­ti­on nun nicht mehr optio­nal ist, son­dern bereits werk­sei­tig vor­ein­ge­stellt. Zudem lässt sie sich höch­stens noch ein­schrän­ken, jedoch nicht mehr kom­plett abschalten.

Vor allem in Unter­neh­men löste die­ses Vor­ge­hen sei­tens Micro­soft Befrem­den aus. Aller­dings ste­hen nicht nur für den Anwen­der, son­dern auch für Admi­ni­stra­to­ren zahl­rei­che Mög­lich­kei­ten für die Kon­fi­gu­ra­ti­on von Unter­neh­mens-PCs bereit, um das Sam­meln von Daten zu verhindern.

Aus unter­schied­li­chen Grün­den ste­hen die Daten­schutz­ein­stel­lun­gen bei Win­dows 10 respek­ti­ve die erwei­ter­te Daten­samm­lung durch das Betriebs­sy­stem trotz­dem stark in der Kri­tik. Im März reich­te die Ver­brau­cher­zen­tra­le Nord­rhein-West­fa­len gegen Micro­soft beim Land­ge­richt Mün­chen daher sogar eine Kla­ge ein. Die Daten­schutz­klau­sel von Win­dows 10 ist in ihren Augen zu pau­schal. Der zuvor erfolg­ten Auf­for­de­rung, eine straf­be­wehr­te Unter­las­sungs­er­klä­rung zu unter­zeich­nen und die Daten­schutz­klau­sel nicht mehr ein­zu­set­zen, woll­te der Kon­zern aus Red­mond nicht nachkommen.