Schlagwort: Datenübermittlung
9. Dezember 2021
Am 19.11.2021 hat der Europäische Datenschutzausschuss (EDSA) neue Leitlinien zum Zusammenspiel zwischen der Anwendung von Art. 3 DSGVO und den Bestimmungen über internationale Datenübermittlungen im Kapitel V (Art. 44 – 50 DSGVO) veröffentlicht. Die Leitlinien sollen den für die Verarbeitung Verantwortlichen und den Auftragsverarbeitern in der EU in Zukunft dabei helfen, festzustellen, ob eine Verarbeitung einen internationalen Datentransfer darstellt und somit besondere Pflichten auslöst. Vor allem seit dem Urteil des EuGH vom 16.7.2020 zum EU-US-Privacy-Shield in der Rechtssache Schrems II ist das Schaffen von Rechtsklarheit in diesem Bereich besonders bedeutsam.
Allgemeine Grundsätze der Datenübermittlung gemäß Art. 44 ff. DSGVO
Nach Art. 44 DSGVO ist eine Übermittlung personenbezogener Daten für deren Verarbeitung nur zulässig, wenn Verantwortliche und Auftragsverarbeiter die Bedingungen aus Art. 44 bis 50 DSGVO einhalten. Datentransfers in Länder, für die kein Angemessenheitsbeschluss nach Art. 45 DSGVO vorliegt, können dazu führen, dass Verantwortliche oder Auftragsverarbeiter zusätzliche Schutzmaßnahmen ergreifen müssen. Fraglich ist, wann von einer Übermittlung personenbezogener Daten auszugehen ist, denn hierzu enthält die DSGVO keine Konkretisierungen. Vor diesem Hintergrund widmen sich die Leitlinien dem Zusammenspiel von Art. 3 DSGVO und Kapitel V der DSGVO.
Die Leitlinien stellen für die Ermittlung, ob ein solcher Transfer personenbezogener Daten an ein Drittland oder eine internationale Organisation vorliegt, drei Kriterien auf:
1. Der Datenexporteur unterliegt den Vorschriften der DSGVO. Dies ergibt sich aus Art. 3 DSGVO. Der EDSA verweist hierbei konkretisierend auf die Leitlinien 3/2018 zum territorialen Anwendungsbereich der DSGVO hin.
2. Der Datenexporteur übermittelt die personenbezogenen Daten an den Datenimporteur oder stellt sie ihm zur Verfügung. Relevant ist dabei, dass der EDSA bei diesem Kriterium betont, dass, wenn die Erhebung von Daten direkt bei betroffenen Personen in der EU auf deren eigene Initiative hin erfolgt, nicht von einem Datentransfer im Sinne der Art. 44 bis 50 DSGVO auszugehen ist. Denn hierbei gebe es keinen veranlassenden „Exporteur“.
3. Der Datenimporteur befindet sich (geografisch) in einem Drittland oder ist eine internationale Organisation.
Der EDSA macht deutlich, dass der Exporteur nicht in der EU oder dem EWR ansässig sein muss. Wichtig ist lediglich, dass der Empfänger der Daten (der Importeur) zwingend in einem Drittland ansässig sein muss. Für eine Anwendung der Vorschriften in Kapitel V der Datenschutz Grundverordnung ist es gerade keine Voraussetzung, dass der Exporteur unbedingt in der EU ansässig sein muss.
Liegen die Kriterien sodann gemeinsam vor, haben sich Verantwortliche und Auftragsverarbeiter an die besonderen Pflichten für Datentransfers in Art. 44 bis 50 DSGVO zu halten. Ferner nennt der EDSA bespielhaft weitere Sicherungsinstrumente wie den Rückgriff auf Standardvertragsklauseln und Zertifizierungsmechanismen. Die Leitlinien sollen insbesondere mehr Normenklarheit für Anwender und mehr Kohärenz innerhalb der Auslegung durch die verschiedenen nationalen Datenschutzbehörden in der EU schaffen. Die öffentliche Konsultation läuft bis Ende Januar 2022.
31. März 2021
Ein Verstoß gegen die Bestimmungen des 5. Kapitels der DSGVO (Art. 44 ff. DSGVO) liegt dann nicht vor, wenn personenbezogene Daten von Beschäftigten vor der Einführung der DSGVO am 25. Mai 2018 an eine Konzernmutter in ein Drittland (USA) übermittelt wurden. Auch ein Anspruch auf Schadensersatz gem. Art. 82 DSGVO im Zusammenhang mit der Datenübermittlung und weitergehenden Verarbeitung von personenbezogenen Daten an bzw. bei der Konzernmutter in den USA steht einem Beschäftigten nicht zu. Das hat das Landesarbeitsgericht (LArbG) Baden-Württemberg mit Urteil v. 25.02.2021, Az. 17 Sa 37/20 entschieden.
Wie wir bereits berichteten, stellt die Datenübermittlung in die USA seit dem Schrems-II-Urteil viele Unternehmen vor Herausforderungen. Eine Datenübermittlung in ein Drittland ist seitdem nur unter Einhaltung der in Kapitel 5 genannten Anforderungen der DSGVO zulässig, die in der Praxis aber nur selten vorliegen. Werden diese Anforderungen nicht eingehalten und erfolgt eine Datenübermittlung dennoch, liegt ein Verstoß gegen die Bestimmungen der DSGVO vor.
Dieser Verstoß kann zu einem Recht auf Schadensersatz nach Art. 82 DSGVO führen. Danach hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen. Nur wenn der Verantwortliche nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, wird er von der Haftung befreit.
Sachverhalt
Einen solchen Schadensersatzanspruch hat der Kläger im vorliegenden Fall geltend gemacht. Diesen begründete er damit, dass er durch die im Jahr 2017 erfolgte Datenübermittlung seines Arbeitgebers an die Konzernmutter in den USA und wegen der dortigen Verarbeitung seiner Daten, einen immateriellen Schaden erlitten habe. Als Schaden machte er die Gefahr eines Missbrauchs der Daten durch die Ermittlungsbehörden in den USA oder andere Konzerngesellschaften bzw. einen Kontrollverlust geltend.
Die Entscheidung
Das Gericht erkannte in dem konreten Fall zwar an, dass solche Umstände grundsätzlich zur Begründung eines immateriellen Schadens im Sinne von Art. 82 DSGVO in Betracht kommen. Es verneinte eine Haftung des Arbeitgebers vorliegend jedoch, da es an einem konkreten Verstoß gegen die Bestimmungen der DSGVO fehlte. Insbesondere erfordere Art. 82 DSGVO, dass der Schaden “wegen eines Verstoßes” gegen die DSGVO entstanden ist, d.h. einem Verordnungsverstoß zugeordnet werden könne (Kausalität). Einen solchen Anknüpfungspunkt für den Schaden konnte das Gericht vorliegend aber nicht feststellen, da die Datenübermittlung in die USA stattgefunden hat, als die DSGVO noch nicht in Geltung war.
22. Oktober 2020
Die Regierung des Vereinigten Königreichs gerät zunehmend unter Druck, eine Regelung über den Datentransfer mit der EU zu erreichen. Gelingt dies nicht, droht das UK zum 31. Dezember dieses Jahres zum unsicheren Drittland zu werden. Verantwortliche und Auftragsverarbeiter, die Daten in das UK übermitteln, müssten dann selbst sicherstellen, dass das Schutzniveau der DSGVO für natürliche Personen nicht untergraben wird.
Am 31. Januar 2020 trat das Vereinigte Königreich aus der EU aus. Das Austrittsabkommen sieht eine Übergangsphase bis zum 31. Dezember 2020 vor, nach der das UK alle EU-Regeln einhält und damit auch die Vorgaben der DSGVO. Nach Ablauf der Übergangsphase wird das UK nach der DSGVO zum EU-Drittland. Datenübermittlungen in Drittländer sind nach den Art. 44 ff. DSGVO nur unter bestimmten weiteren Voraussetzungen zulässig. Für die Zulässigkeit kommt es darauf an, ob in dem Drittland ein angemessenes Schutzniveau sichergestellt werden kann.
Die EU-Kommission kann in sogenannten Angemessenheitsbeschlüssen feststellen, dass in einem Drittland ein angemessenes Schutzniveau besteht. Datenexporteure und Datenimporteure können sich bei Datenübermittlungen in das betreffende Land dann auf diesen Angemessenheitsbeschluss berufen. Aktuell führt die EU-Kommission eine Bewertung der Datenschutzrechtslandschaft des Vereinigten Königreichs durch und evaluiert, ob sie einen solchen Angemessenheitsbeschluss erlassen kann. Seit März werden dafür Gespräche geführt und Dokumente vorgelegt.
Am 13.10.2020 veröffentlichte das britische Oberhaus einen Bericht über die zukünftigen Beziehungen des Vereinigten Königreichs zur EU. Dem Bericht zu Folge sieht das Oberhaus die Gefahr, dass die EU-Kommission keinen Angemessenheitsbeschluss für das UK erlassen wird. Deswegen fordert es, dass die britische Regierung auf einen baldigen Abschuss der Bewertung der EU-Kommission drängt.
Grund zur Sorge besteht durchaus. Denn so äußerte Věra Jourová, Vizepräsidentin der EU-Kommission und Kommissarin für Werte und Transparenz, Zweifel, ob das Vereinigte Königreich Änderungen in seiner nationalen Gesetzgebung durchführen wird, die von der Linie der DSGVO abweichen.
Auch bereits existierenden Gesetze des UK könnten dem Angemessenheitsbeschluss entgegenstehen. Der EuGH entschied erst am 6. Oktober 2020 (auch) über Überwachungsgesetze des UK. Laut dem EuGH sind die in den Gesetzen vorgeschriebenen flächendeckenden und pauschalen Speicherungen von Internet- und Verbindungsdaten nicht zulässig. Ausnahmen seien nur möglich, wenn es um die Bekämpfung schwerer Kriminalität oder den konkreten Fall einer Bedrohung der nationalen Sicherheit gehe.
Kommt es nicht zum Erlass eines Angemessenheitsbeschlusses, müssen Verantwortliche und Auftragsverarbeiter, die Daten in dieses Drittland übermitteln wollen, selbst geeignete Garantien zur Gewährleistung eines angemessenen Schutzniveaus vorsehen, damit Datenübermittlungen in das Drittland zulässig sind. Als geeignete Garantien kommen Binding Corporate Rules, die Verwendung von Standardvertragsklauseln der EU-Kommission (SCC), genehmigte Verhaltensregeln und genehmigte Zertifizierungsmechanismen und einzeln ausgehandelte Vertragsklauseln in Betracht.
In Bezug auf Standardvertragsklauseln bei Datentransfers in die USA hat der EuGH festgestellt, dass diese wegen der Überwachungsgesetze in den USA ohne weitere Maßnahmen nicht ausreichen, ein angemessenes Datenschutzniveau sicherzustellen. Eine ähnliche Situation könnte sich schlimmmstenfalls zum Jahreswechsel auch bei dem Vereinigten Königreich einstellen.
12. August 2020
Eine Behörde darf einen Bescheid, der sensible personenbezogener Daten enthält, nicht per Telefax übermitteln, wenn der Bescheid stattdessen auf sicherem Weg zum Empfänger gelangen kann. Das entschied jedenfalls das OVG Lüneburg in seinem Beschluss vom 22.07.2020.
Wie es zu der Entscheidung kam
Der Kläger vertrieb explosionsgefährliche Stoffe an nationale Sicherheitsbehörden. Für den Transport der Stoffe nutzte er Fahrzeuge, für die er regelmäßig Übermittlungssperren bei der zuständigen Behörde beantragte. Eine Übermittlungssperre begrenzt die sonst nach dem Straßenverkehrsgesetz vorgesehenen Übermittlungen personenbezogener Daten aus den Fahrzeugregistern an Behörden, Institutionen und Privatpersonen, wenn für eine Sperre erhebliche öffentliche Interessen sprechen.
Der Kläger widersprach Ende 2015 gegenüber der für die Erteilung der Genehmigung der Übermittlungssperren zuständigen Behörde der Übersendung von Faxen mit unverschlüsselten Daten. Er wies auf die Gefahren hin, wenn Kriminelle von den Sprengstofflieferungen erführen. Die Behörde bestätigte Anfang 2016, dass sie beim Umgang mit personenbezogenen Daten die Vorgaben des Datenschutzrechts einhalte und keine personenbezogenen Daten unverschlüsselt übermittle.
Trotz dessen erhielt der Anwalt des Klägers 2017 einen Bescheid der Behörde per Fax. Das Fax enthielt unter anderem Name und Anschrift des Klägers sowie die Fahrzeugidentifikationsnummer und das amtliche Kennzeichen des Fahrzeuges.
Die Entscheidung des OVG Lüneburg
Auf Antrag des Klägers hin stellt das VG Osnabrück fest, dass die unverschlüsselte Kommunikation dieser Daten rechtswidrig war. Der Antrag der Behörde auf Zulassung der Berufung vor dem OVG Lüneburg blieb erfolglos.
Zur Begründung führte das OVG Lüneburg aus, die Behörde habe angesichts der besonderen Schutzbedürftigkeit des Klägers und seiner personenbezogenen Daten bei der Übermittlung dieser Daten ein erhöhtes Schutzniveau einzuhalten. Die unverschlüsselte Übermittlung per Telefax genüge den Anforderungen an ein angemessenes Schutzniveau nicht. In seinem Urteil verweist das OVG Lüneburg auf eine Äußerung des Landesbeauftragten für Datenschutz und Informationssicherheit Nordrhein-Westfalen auf seiner Internetseite, wonach der Versand per Telefax mit dem einer Postkarte vergleichbar sei. Bei der unverschlüsselten Übermittlung könnten unberechtigte Dritte jederzeit zugreifen. Zudem sei die Gefahr eines Irrläufers durch falsche Eingaben hoch.
Die Beklagte hätte nach Ansicht des OVG Lüneburg eine andere verfügbare und zumutbare Übermittlungsart nutzen müssen, wie etwa den Versand per Post oder per Bote an die nur 150 m von der Behörde entfernte Kanzlei. Die Nutzung eines Faxgeräts könne in Ausnahmefällen zulässig sein, wenn Verschlüsselungsgeräte verwendet würden. Entscheidungserheblich sei nicht, ob die Benutzung von Faxgeräten dem Stand der Technik entspricht, sondern ob Sicherungsmaßnahmen verfügbar sind und dem Stand der Technik entsprechen.
Folgen der Entscheidung
Die Entscheidung wurde zwar nach altem Datenschutzrecht und nicht nach der Datenschutz-Grundverordnung entschieden, die Rechtslage hat sich diesbezüglich aber nicht wesentlich geändert. Die Entscheidung kann sicherlich im Hinblick auf die Sicherheit von Faxservern kritisiert werden und auch die Übersendung per Post oder Bote bürgt gewisse Risiken. Trotz dessen kann die Entscheidung nicht nur für Behörden, sondern etwa auch für Anwälte oder Ärzte relevant sein. Es muss in jedem Einzelfall abgewogen werden, ob eine unverschlüsselte Übermittlung personenbezogener Daten unter Abwägung der Interessen der betroffenen Person zulässig ist.
13. Februar 2019
Im Rahmen der siebten Tagung des Europäischen Datenschutzausschusses (EDSA) am 12. Februar 2019 wurden unter anderem die datenschutzrechtlichen Herausforderungen im Rahmen des Brexit diskutiert.
Im Fokus stand die Möglichkeit eines Austritts Großbritanniens ohne Abkommen mit der EU („No-Deal-Szenario“). Dies hätte zur Folge, dass Großbritannien im datenschutzrechtlichen Sinn ein Drittland darstellen würde (wir berichteten). Drittländer sind Staaten, die kein Mitglied der Europäischen Union und nicht Teil des Europäischen Wirtschaftsraumes (EWR) sind. An die Übermittlung personenbezogener Daten in Drittländer stellt die DSGVO besondere Anforderungen (Art. 44 bis 46 DSGVO). Der EDSA einigte sich auf ein Informationspapier, das Vorkehrungen für betroffene Unternehmen und Behörden erläutert um diese DSGVO-Anforderungen zu erfüllen. Laut Ankündigung wird das Informationspapier auf der Homepage des Ausschusses veröffentlicht.
Der Ausschuss ist ein unabhängiges Gremium, das zum Ziel hat
eine einheitliche Anwendung Europäischer Datenschutzvorschriften zu fördern. Im
Ausschuss sind alle nationalen Datenschutzaufsichtsbehörden des EWR und der
Europäische Datenschutzbeauftragte vertreten.
25. Juli 2018
Von der Datenschutzgrundverordnung (DSGVO) sind nicht nur Unternehmen im EU-Raum betroffen, sondern auch solche, die sich in Drittländern befinden.
Grundsätzlich wird in der DSGVO der einheitliche Schutz für den Umgang mit personenbezogenen Daten in der Europäischen Union geregelt. Jedes Unternehmen, das personenbezogene Daten von EU-Bürgern verarbeitet, muss sich an die Regelungen der DSGVO halten. Hat ein Unternehmen den Sitz außerhalb der EU (aus Datenschutzsicht sogenannte Drittländer), gilt die DSGVO gleichermaßen, sobald diese Unternehmen Daten von Bürgern der EU-Mitgliedsstaaten verarbeiten oder als Auftragsverarbeiter in Vertragsbeziehungen zu EU-Unternehmen stehen.
Neu im Vergleich zur bisherigen Rechtslage ist das sogenannte Marktortprinzip im Rahmen des territorialen Anwendungsbereichs der DSGVO. Art. 3 Abs. 2 DSGVO (räumlicher Anwendungsbereich) besagt, dass die Verordnung Anwendung findet, sobald ein nicht in der Union niedergelassener Verantwortlicher oder Auftragsverarbeiter Daten von Personen verarbeitet, die sich in der EU befinden.
Das bedeutet, dass unter anderem Betreiber von Online-Portalen, Exporteure, Versandhändler sowie jegliche Dienstleister, die Leistungen in der EU anbieten und dabei personenbezogene Daten verarbeiten, betroffen sind. Das Marktortprinzip gilt demnach auch für Unternehmen, die weder einen Sitz noch eine Niederlassung in der EU haben, jedoch Personen in der EU entgeltlich oder unentgeltlich Waren oder Dienstleistungen anbieten oder deren Verhalten beobachten (Profiling, Tracking).
4. August 2017
Mitte dieser Woche fand in Berlin der sogenannte Diesel-Gipfel statt. Auf diesem Gipfel haben die deutschen Hersteller von Diesel-Fahrzeugen zugesagt, rund 5,3 Millionen Autos mit einer neuen Abgas-Software auszustatten. Mit diesem kostenlosen Update soll der Ausstoß des Atemgifts Stickoxid verringert werden.
Neben der Frage, ob dieses Software-Update wirklich zu einer relevanten Absenkung des Stickoxidausstoßes führt, zeigt sich nun, dass die Autohersteller möglicherweise auch grundsätzliche datenschutzrechtliche Aspekte nicht mitbedacht haben. Die entsprechende Software-Nachrüstung betrifft vor allem ältere Dieselfahrzeuge. Gerade solche älteren Modelle sind oftmals aber schon an neue Besitzer weiterverkauft, sodass die Hersteller in den meisten Fällen die neuen Besitzer der Fahrzeuge nicht kennen werden. Demnach müsste für eine Nachrüstung das Kraftfahrtbundesamt der Industrie den Herstellern Namen und Adresse der Käufer übermitteln.
Eine Sprecherin der Bundesdatenschutzbeauftragten Andrea Voßhoff bestätigte, dass eine solche Datenweitergabe durch das Kraftfahrtbundesamt einer ausdrücklichen Einwilligung der Betroffenen oder einer einschlägigen gesetzlichen Grundlage bedürfe. Eine ausdrückliche Einwilligung dürfte jedoch in kaum einem Fall vorliegen. Demnach prüft das Verkehrsministerium aktuell, ob es eine gesetzliche Grundlage für die Übermittlung der Daten der Fahrzeugbesitzer gibt. Eine Datenübermittlung käme eventuell dann in Betracht, wenn ein Fahrzeugrückruf aufgrund erheblicher Mängel für die Verkehrssicherheit oder die Umwelt rechtlich geboten sei.
8. Juni 2016
Nachdem der Europäische Gerichtshof Ende vergangenen Jahres das Safe-Harbor-Abkommen , auf dessen Rechtsgrundlage bis dahin der Datenaustauch zwischen den USA und Staaten der EU fußte, für ungültig erklärt hatte, waren deutsche Unternehmen dazu angehalten, eine alternative Rechtsgrundlage zu finden oder de facto den Datentransfer in die USA einstellen. Die meisten Unternehmen sind dazu übergegangen, ihren Datenaustausch auf die (freilich nicht unumstrittenen) EU-Standardvertragsklauseln zu stützen.
Dass dem Erfordernis einer alternativen Rechtsgrundlage nach dem Fall von Safe-Harbor nicht alle betroffenen Unternehmen nachgekommen sind, kommt nun den ersten teuer zu stehen. Drei Hamburger Firmen wurden zu Bußgeldzahlungen in (verhältnismäßig glimpflicher) Höhe zwischen 8.000 € und 11.000 € belangt, weil sie noch nicht auf eine rechtssichere Alternative umgestellt hatten, wie heise online mitteilt.
Laut Spiegel Online handelt es sich bei den drei Firmen um Adobe, Punica und Unilever. Die Bußgelder fielen vor allem deshalb verhältnismäßig gering aus, weil alle drei Unternehmen noch während des Bußgeldverfahrens das gerügte Versäumnis nachgeholt und die rechtliche Grundlage ausgebessert hatten. Zudem kam ihnen zu Gute, dass sie die Ersten waren, die von der Datenschutzbehörde negativ geprüft wurden. Unternehmen, die jetzt noch nicht auf eine rechtssichere Alternative umgestellt haben, werden mit deutlich höheren Bußgeldern rechnen müssen, sagt Prof. Dr. Johannes Caspar, Landesdatenschutzbeauftragter in Hamburg. Laut Gesetz sind sogar bis zu 300.000 € möglich; weitere Verfahren wurden bereits eröffnet.
19. August 2013
Aktueller Berichterstattung zufolge überträgt der Instant Messenger WhatsApp mittlerweile die Nachrichten und andere Daten verschlüsselt, so dass Dritte, die im gleichen WLAN unterwegs sind, nicht mehr in der Lage seien, Nachrichten anderer mitzulesen. Überdies habe eine Registrierung des Benutzers vor der ersten Inanspruchnahme des Instant Messengers zu erfolgen. Da der Benutzer nunmehr einen Bestätigungscode, den er via SMS bekomme, eingeben müsse, sei es schwieriger die Identität andere User zu hacken.
Weiterhin bleibe WhatsApp aus datenschutzrechtlicher Sicht aber bedenklich, da WhatsApp auf Telefonbücher ungefragt zugreifen könne, die darauf vorhandenen Daten ausspähe und die Daten in die USA übermittele. Laut den AGBs von WhatsApp werden aber nur die Nutzernamen und Telefonnummern übermittelt, nicht aber die dazugehörigen Namen oder Daten.
