Kategorie: Allgemein

Neue WhatsApp-Datenschutzrichtlinien – Update verschoben

21. Januar 2021

Nachdem der zu Facebook gehörende Instant-Messenger-Dienst WhatsApp viel Kritik für die Einführung der neuen Datenschutzregeln erhalten hat, sogar Jan Böhmermann zum Boykott aufrief und viele Nutzer zu WhatsApp Rivalen wie Threema, Signal oder Telegram wechselten, verschiebt WhatsApp die Einführung der neuen Datenschutzrichtlinie.

Ursprünglich sollten die Nutzer bis zum 8. Februar den neuen Bedingungen zustimmen, wenn sie den Chatdienst weiter nutzen wollten.

Laut WhatsApp sollte durch die Änderung der aktualisierten Nutzungsbedingungen und Datenschutzrichtlinie vor allem die Kommunikation mit Unternehmen, die WhatsApp als Kommunikationstool mit ihren Kunden verwenden, verbessert werden. Nachdem einige Medien jedoch darüber berichteten, dass die Änderung dazu führe, dass WhatsApp nun auch die Daten deutscher Nutzer mit Facebook austauschen und zu Werbezwecken nutzen dürfte, hagelte es Kritik.

WhatsApp selbst teilte nach der Kritik nun mit, dass die geplante Aktualisierung erst ab dem 15. Mai gelten soll. Kein Account solle demnach am 8. Februar gesperrt oder gelöscht werden. An der Ende-zu-Ende Verschlüsselung, mit der weder WhatsApp noch Facebook die privaten Nachrichten seiner Nutzer lesen könne, solle nichts geändert werden. Ebenso wenig daran, dass WhatsApp keine Protokolle seiner Nutzer aufbewahrt oder Standortdaten speichert.

Eine Verschiebung des Datums soll WhatsApp nun dabei helfen, Fehlinformationen darüber, wie Datenschutz und Sicherheit bei WhatsApp funktionieren, auszuräumen.

Tatsächlich ist es so, dass WhatsApp, wenn auch der erfolgreichste Messenger-Dienst weltweit, in Sachen Datenschutz in Deutschland immer wieder in Kritik gerät. Dies vor allem deshalb, da der Austausch von Nutzerdaten mit anderen Unternehmen des Facebook-Konzerns als problematisch eingestuft wird und Facebook dadurch beispielsweise neben den jeweiligen WhatsApp Nutzerdaten auch Zugriff auf die Telefonnummern und sonstigen Informationen aus dem Adressbuch des jeweiligen WhatsApp Nutzers bekommt.

Zulässigkeit der Nennung von Klarnamen in Bewertungsportalen

19. Januar 2021

Mit der Frage, ob eine Kundin ihre persönliche Bewertung einer Bäckereimitarbeiterin in einer Online-Rezension teilen durfte, musste sich vor kurzem das LG Essen (Az.: 4 O 9/20) beschäftigen.

Der Sachverhalt

Auf dem Bewertungsportal einer großen Suchmaschinenbetreiberin hinterließ die Kundin einer Bäckerei nach ihrem Besuch die folgende Bewertung:
“Ich bin hier immer zum Frühstücken und sonst auch immer zufrieden und finde das Team sehr sehr nett aber wurde heute so unfreundlich “bedient” von Frau (T…?)! Nicht schön in einer Bäckerei zu arbeiten aber Menschen derart unfreundlich zu behandeln.”
Die Bäckereiangestellte Frau T. verlangte daraufhin von der Suchmaschinenbetreiberin die Löschung der Rezension, mit Verweis auf das in der DSGVO bestehende Recht auf Löschung – in diesem Fall konkret Art. 17 Abs. 1 lit. d DSGVO.

Meinungsfreiheit und Betroffenrechte in Einklang bringen

Damit Frau T. tatsächlich ein Recht zur Löschung zusteht, müssen ihre personenbezogenen Daten unrechtmäßig verarbeitet worden sein. Entscheidend ist dabei eine Abwägung zwischen dem Recht der Freien Meinungsäußerung der Kundin und den Betroffenrechten von Frau T. Für eine solche Abwägung muss immer eine Abwägung im konkreten Einzelfall vorgenommen werden. Mit Art. 17 Abs. 3 bietet die DSGVO jedoch bereits selbst Anknüpfungspunkte dafür, wann Betroffenen kein Recht auf Löschung zusteht. Im vorliegenden Fall hat das LG Essen für seine Entscheidung Art. 17 Abs. 3 lit. a DSGVO herangezogen, wonach personenbezogene Daten nicht gelöscht werden müssen, wenn sie “zur Ausübung des Rechts auf freie Meinungsäußerung und Information” verarbeitet werden.

Ergebnis

Das LG Essen verneint damit ein Löschrecht von Frau T. Im Ergebnis muss die Suchmaschinenbetreiberin damit die in Frage stehene Rezension nicht löschen. Um sich nicht in die Gefahr eines Datenschutzverstoßes zu begeben, sollten Nutzer nichtsdestotrotz Vorsicht walten lassen. Im besten Fall sollte auf die Veröffentlichung von personenbezogenen Daten verzichtet werden.

BVerfG: Erweiterte Datennutzung (“Data-Mining”) nach dem Antiterrordateigesetz teilweise verfassungswidrig

15. Januar 2021

In seinem Urteil vom 11. Dezember 2020 entschied das Bundesverfassungsgericht, dass Sicherheitsbehörden das sogenannte „Data Mining“ zu Zwecken der Gefahrenabwehr und der Strafverfolgung nicht nutzen dürfen. Beim „Data-Mining“ geht es um eine erweiterte Datennutzung nach dem Antiterrordateigesetz (ATDG).

Bei der erweiterten Datennutzung handelt es sich um eine automatische Auswertung großer personenbezogener Datenmengen zur Feststellung bestimmter Hintergründe, Verknüpfungen und verborgener Zusammenhänge, auf deren Basis Polizei- und Verfassungsschutz zu ausgewählten Projekten gemeinsame Dateien hätten anlegen und auswerten können.

Diese sollte sich auf § 6a Absatz 2 Satz 1 des Antiterrordateigesetzes (ATDG) stützen:

Eine [an der Antiterrordatei] beteiligte Behörde des Bundes darf zur Erfüllung ihrer gesetzlichen Aufgaben die in der Datei nach § 3 gespeicherten Datenarten mit Ausnahme der nach § 4 verdeckt gespeicherten Daten erweitert nutzen, soweit dies im Rahmen eines bestimmten einzelfallbezogenen Projekts für die Verfolgung qualifizierter Straftaten des internationalen Terrorismus im Einzelfall erforderlich ist, um weitere Zusammenhänge des Einzelfalls aufzuklären. “

Die Richter entschieden, dass dieser Teil des ATDG verfassungswidrig und damit unanwendbar ist. Diese Maßnahme stelle einen Eingriff in das Recht auf informationelle Selbstbestimmung dar und ist dementsprechend mit Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG unvereinbar. 

 „Die heutige Entscheidung stärkt den Datenschutz“ äußert auch Professor Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) und sieht sich in seiner Rechtsauffassung bestätigt. „Solche Techniken bedürfen einer klaren Rechtsgrundlage mit eigenständigen Eingriffsschwellen.“

Auch der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) Dr. Lutz Hasse begrüßt das Urteil: „Wiederum ein guter Tag für den Schutz der Privatsphäre sowie für die verfassungsrechtlich gebotene Trennung zwischen Polizei und Nachrichtendiensten.“

Diese Entscheidung bestärkt die Linie der verfassungsrechtlichen Rechtsprechung der letzten Jahre. Ein Eingriff in die Datenschutzrechte einer betroffenen Person sind an ihrer Intensität zu messen und bedürfen klarer Rechtsgrundlagen.

Datenschutzproblem mit “reCAPTCHA”- Dienst von Google

Nicht selten werden Webseiten heutzutage Opfer von massiven Spamangriffen oder anderweitigen Manipulationsversuchen. Um sich davor zu schützen setzt eine Vielzahl dieser Seiten auf sogenannte “Captchas”.

Was ist ein Captcha und wofür wird es verwendet?

Grundsätzlich handelt es sich bei einem Captcha („completely automated public Turing test to tell computers and humans apart“) um ein Tool, das auf Webseiten eingesetzt wird, um Menschen und maschinelle Programme („Bots“) auseinanderzuhalten. Sinn und Zweck dieser Tools ist es die eigene Webseite vor Bot-Angriffen zu schützen, indem man ihnen von vornherein die Zugriffmöglichkeit auf bestimmte Teile der Webseite, oder aber der gesamten Webseite vorenthält. So sollen etwa Manipulationen von Umfragen, übermäßige Serveranfragen oder aber Fake-User aufgehalten werden.

Die gängigsten Erscheinungsformen eines Captchas sind in Form von verschwommenen Buchstaben, einer einfachen Matheaufgabe oder auch einer Bilderreihenfolge. Zumindest in der Theorie sollen diese Aufgaben nur von Menschen gelöst werden können.

Google, „reCAPTCHA“ und ein Datenschutzproblem

Ganz vorne bei Entwicklung und Einsatz dieser Tools ist der Internetriese Google, dessen eigener Captcha-Dienst „reCAPTCHA“ auf über 6 Millionen Webseiten benutzt wird und mittlerweile bereits in seiner dritten Version vorliegt. Doch was in der Theorie wie eine sorgfältige Schutzvorrichtung wirkt, kann für normale Nutzer ein Datenschutzrisiko darstellen. Denn verborgen im Hintergrund von reCAPTCHA läuft ein JavaScript-Element. Ein solches ist in der Lage Benutzerverhalten auszuwerten. So werden neben IP-Adresse auch Daten wie Mausbewegungen und Tastaturanschläge, Infos über das Betriebssystem und Verweildauer an Google weitergeleitet, ohne dass der Benutzer davon etwas mitbekommt. In den seltensten Fällen wird der Nutzer auf eine solche Analyse hingewiesen. Auch die allgemeine Datenschutzerklärung von Google bietet keine spezifischen Informationen zu reCAPTCHA.

Ein Problem, dass auch das Landesamt für Datenschutzaufsicht Bayern (BayLDA) sieht und in seinen FAQ zutreffend einen Hinweis in Bezug auf reCAPTCHA gibt:

„Website-Betreiber sollten unbedingt Alternativen prüfen. Wird dennoch Google reCAPTCHA eingebunden, muss sich der Verantwortliche im Klaren sein, dass er den rechtmäßigen Einsatz gem. Art. 5 Abs. 1, 2 DS-GVO nachweisen können muss. Wer nicht darlegen kann, wie Google die Nutzerdaten verarbeitet, kann den Nutzer nicht transparent informieren und den rechtmäßigen Einsatz nicht nachweisen.“

Betreiber von Webseiten sollten daher im besten Fall auf die Nutzung von reCAPTCHA und anderen Analysetools verzichten, um sich keinem rechtlichen Risiko auszusetzen.

Schmerzhafter Lottogewinn

14. Januar 2021

Ein Lottogewinner gewann nicht nur die Lotterie, sondern auch einen Rechtsstreit vor dem LG Köln. In diesem erwirkte er eine einstweilige Verfügung gegen den Lotterieveranstalter.

Gewinner einer hohen Lotteriesumme wollen nicht immer, dass ihr Bekanntenkreis von dem Gewinn in Kenntnis gesetzt wird. Zum Ärger des Gewinners einer sechsstelligen Summe veröffentlichte der Lotterieveranstalter allerdings unbefugt dessen Vor- und Nachnamen in verschiedenen Publikationen und online.

Nachdem der Veranstalter die Abgabe einer Unterlassenserklärung verweigert hatte, erwirkte der Gewinner vor dem LG Köln eine einstweilige Verfügung. In dieser stellte das Gericht fest, dass sich der Verfügungsanspruch aus §§ 823 Abs. 1 und 2 (i.V.m. Art. 6 DSGVO), 1004 BGB, Artt. 1 und 2 GG ergibt. Laut LG Köln verletzt die unzulässige Namensnennung rechtswidrig das Recht auf informationelle Selbstbestimmung und damit das allgemeine Persönlichkeitsrecht des Geschädigten. Auch eine Einwilligung oder sonstige Rechtsgrundlage gem. Art. 6 DSGVO als Basis für eine zulässige Datenverarbeitung lagen nicht vor.

Bevor es dann zu einem Urteil in der Hauptsache kam, einigten sich die Parteien durch einen Vergleich, der unter anderem die Zahlung eines Schmerzensgeldes in Höhe von 8000€ beinhaltete.

Zoom stellt Kunden Checkliste zu Datenschutz-Einstellungen bei Videokonferenzen zur Verfügung

12. Januar 2021

Datenschutz und IT-Sicherheit stehen für Zoom-Nutzer an oberster Stelle. In den letzten Monaten hat Zoom seine Anwendungen durch zahlreiche Funktionen erweitert, mit denen Kunden die Nutzung der Möglichkeit von Videokonferenzen individuell anpassen können. Besonders sachdienlich ist hierfür die von der Konferenz der Datenschutzaufsichtsbehörden (DSK) im Oktober 2020 veröffentlichte Orientierungshilfe und die zugehörige Checkliste zu Videokonferenzsystemen. Beide Dokumente geben umfassende Empfehlungen zu Datenschutz-Einstellungen ab, die bei der Installation sowie der Nutzung von Videokonferenzsystemen berücksichtigt werden sollten.

Zoom hat nun eine eigene Checkliste veröffentlicht, die auf einer Zusammenfassung der DSK-Checkliste basiert und die wichtigsten Datenschutzeinstellungen enthält. Hiermit will das Unternehmen die existierenden Zoom-Funktionalitäten und -Einstellungsmöglichkeiten näher erläutern.

“Damit erlauben wir es unseren Kunden, einfacher die volle Kontrolle über ihre Daten zu wahren und Zoom an ihre Bedürfnisse anzupassen”, so Ansgar Baums, Government Relations von Zoom. “Die DSK-Orientierungshilfe zu Videokonferenzen ist extrem hilfreich – wir bedanken uns ausdrücklich bei den Datenschutzbehörden für ihre Arbeit”. 

Zoom präsentierte jüngst eine Reihe von neuen Sicherheitsfunktionen und Datenschutzmaßnahmen, darunter auch die Ende-zu-Ende-Verschlüsselung (E2EE) sowie eine Möglichkeit zur Datenlokalisierung für den EU-Raum.
“Die Übereinstimmung mit der DSK-Checkliste zeigt, dass wir auf dem richtigen Weg sind”, äußerte sich Ansgar Baums.

Internationalen Nutzern steht die Zoom-Checkliste auch auf Englisch zur Verfügung.

Bußgeld in Höhe von 10,4 Mio. Euro wegen Videoüberwachung von Beschäftigten

Die Datenschutzbeauftragte des Landes Niedersachsen (LfD Niedersachsen) hat gegen die notebooksbilliger.de AG wegen Datenschutzverstößen ein Bußgeld in Höhe von 10,4 Millionen Euro verhängt. Dabei handelt es sich um eines der höchsten Bußgelder, das bisher von einer deutschen Aufsichtsbehörde wegen eines Verstoßes gegen Datenschutzbestimmungen verhängt wurde. Der Bußgeldbescheid ist allerdings noch nicht rechtskräftig. Auch hat das Unternehmen seine Videoüberwachung nach Angaben des LfD Niedersachsens mittlerweile in rechtmäßiger Weise ausgestaltet.

Vorwurf: Umfassende Videoüberwachung ohne konkrete Verdachtsmomente

Hintergrund des verhängten Bußgeldes ist die im Unternehmen durchgeführte Videoüberwachung von Beschäftigten, die von der Datenschutzbeauftragten des LfD Niedersachsen – Barbara Thiel – als “schwerwiegend” bezeichnet und für unzulässig erklärt wurde. Mit dem Ziel, Straftaten zu verhindern und aufzuklären habe das Unternehmen eine weiträumige Videoüberwachung eingeführt, die sowohl Arbeitsplätze als auch Verkaufsräume, Lager sowie Aufenthaltsbereiche erfasse. Zudem seien die Aufnahmen oftmals 60 Tage lang gespeichert worden sein.

Der Umfang der Videoüberwachung wurde nun durch das LfD Niedersachsen als unzulässig eingestuft. Zur Verhinderung und Aufdeckung von Straftaten dürfe eine Videoüberwachung nur anlassbezogen erfolgen, und auch nur dann, wenn mildere Mittel wie Taschenkontrollen nicht in Betracht kommen. Im Falle eines begründeten Verdachts dürften einzelne Personen überwacht werden, wobei die Überwachung zeitlich begrenzt werden müsse. Ein Generalverdacht oder eine Präventivfunktion seien hingegen nicht ausreichend, sodass die Überwachung aller Beschäftigter unrechtmäßig sei. Zudem seien hier auch Kunden von der Videoüberwachung betroffen gewesen.

Besondere Schwere des Grundrechtseingriffs betont

Die Datenschutzbeauftragte betonte noch einmal, dass es sich bei der Videoüberwachung von Beschäftigten um einen besonders intensiven Eingriff in das Persönlichkeitsrecht handle, “da damit theoretisch das gesamte Verhalten eines Menschen beobachtet und analysiert werden kann. Das kann nach der Rechtsprechung des Bundesarbeitsgerichts dazu führen, dass die Betroffenen den Druck empfinden, sich möglichst unauffällig zu benehmen, um nicht wegen abweichender Verhaltensweisen kritisiert oder sanktioniert zu werden.“ Aus diesem Grund muss die Videoüberwachung strengen Kriterien folgen.

notebooksbilliger.de kündigt Einspruch an

Die notebooksbilliger.de AG hat angekündigt, gegen den Bußgeldbescheid juristisch vorzugehen. Der CEO des Unternehmens, Oliver Hellmold, bezeichnet die Höhe des Bußgeldes in Relation zur Größe und Finanzkraft des Unternehmens sowie zur Schwere des Verstoßes als unverhältnismäßig. Auch wird bestritten, dass es zu einer systematischen Überwachung der Beschäftigten gekommen sei. Das Videosystem sei hierfür technisch gar nicht ausgelegt gewesen. Durchaus schwer wiegt der Vorwurf des Unternehmens, die Aufsichtsbehörde habe den Sachverhalt nicht ausreichend ermittelt, insbesondere habe man sich vor Ort kein Bild von der Ausgestaltung der Videoüberwachung gemacht. Stattdessen wolle man ein Exempel statuieren, um “ein möglichst abschreckendes Bußgeldregime in Sachen Datenschutz zu etablieren.“ Ziel des juristischen Vorgehens sei aber nicht nur, die Höhe des Bußgeldes anzugreifen und stellvertretend für alle mittelständischen Unternehmen gegen “ungerechte Verfahren” vorzugehen, sondern auch prüfen zu lassen, “ob die Datenschutzbehörde darauf verzichten konnte, einen konkreten Verstoß einer Leitungsperson im Unternehmen festzustellen.“ Gegenstand der juristischen Auseinandersetzung sollen also auch grundlegende Fragen werden, sodass es sich anbietet, das kommende Verfahren aufmerksam zu verfolgen.

Überwachung am Arbeitsplatz

11. Januar 2021

Die Überwachung von Angestellten ist für manche Arbeitgeber nicht nur per Videoüberwachung eine Option (wir berichteten), sondern auch direkt am Arbeitsrechner. Aufgrund der Zunahme der Home-Office-Tätigkeit weltweit, haben sich manche Arbeitgeber, getreu dem Motto „Vertrauen ist gut, Kontrolle ist besser“, auch intensiver mit dem Thema auseinandergesetzt, als zuvor.

Dabei ist aber zu beachten, dass – genau wie bei einer Videoüberwachung – eine anlasslose Überwachung ohne konkrete Verdachtsmomente rechtlich nicht zulässig ist. Der Vorgesetzte darf solche Kontrollen nur einführen, wenn er einen konkreten Verdacht auf ein pflichtwidriges oder strafbares Handeln zu seinen Lasten hegt.

Eine Überwachung am Arbeitsplatz ist technisch unkompliziert über Logfiles möglich, wenn der Angestellte einen Laptop vom Arbeitgeber erhält oder die gesamte Arbeitsumgebung auf einem Terminalserver des Arbeitgebers liegt.

Daneben gibt es die Option, dass auch eine Überwachung der Arbeitsweise und -Intensität der Angestellten direkt durch das genutzte Programm möglich ist. Beispielsweise bieten die Microsoft Office-Programme die Möglichkeit an, eine Produktivitätsbewertung vorzunehmen. Damit ist es möglich Daten darüber zu sammeln, wie viele Dateien der Angestellte aufruft, mit Kollegen teilt oder als Anhang verschickt. Gesammelt werden Kennzahlen wie: Kommunikation, Besprechungen, Zusammenarbeit an Inhalten, Teamarbeit, Mobilität, Endpunktanalyse, Netzwerkverbindungen und Microsoft 365 Apps-Integrität.

Microsoft weist darauf hin, dass die Informationen nur zur Weiterentwicklung der digitalen Transformationen mit Microsoft 365 vorgesehen sind. Allerdings können besonders neugierige Arbeitgeber anhand dieser Daten eine Produktivitätsbewertung auslesen und mit anderen Mitarbeitern vergleichen.

Diese Produktivitätsbewertung ist standardmäßig deaktiviert. Arbeitgeber sollten sich auch gut überlegen, ob sie diese Option aktivieren möchten. Denn wenn Angestellte mitbekommen, dass sie untereinander verglichen werden, führt das zu einer größeren Stressbelastung und kann letztlich die Produktivität verringern.

Eine solche systematische personenbezogene Überwachung darf außerdem rechtlich nicht ohne Einwilligung des Mitarbeiters erfolgen. Eine Ausnahme stellt der oben erwähnte konkrete Verdachtsmoment dar.

Arbeitgeber sollten also entweder ganz auf eine Überwachung verzichten oder die Ergebnisse anonymisiert bzw. in übergeordneten systematisch angelegten Zahlengruppen anzeigen lassen. So sind keine Rückschlüsse auf den einzelnen Mitarbeiter möglich, aber es ist trotzdem ersichtlich, bei welchen Punkten Verbesserungsbedarf besteht.

Google will iPhone-Apps zukünftig auch mit Datenschutz-Label versehen

7. Januar 2021

Die Gerüchte, dass Google die Aktualisierung hauseigener iOS-Apps vermeidet, um Datenzugriffe nicht offenlegen zu müssen, hat Google nun dementiert. 

Wie bereits darüber berichtet wurde, hat Apple die Datenschutz-Anforderungen von iOS-Apps im App Store verschärft. Nachdem nun Apple die Entwickler zu mehr Datenschutz-Transparenz verpflichtet hat, wurde es ruhig um die iOS-Apps von Gmail, Google Drive & Co. Dies erweckte den Eindruck, das Unternehmen wolle App-Updates bewusst zurückhalten, um Apples neue Datenschutz-Kennzeichnung nicht erfüllen zu müssen. Nach Apples Deadline erschienen zwar noch zwei Google-App-Updates im App Store, darunter „Google Präsentationen“ – jedoch ohne die zu diesem Zeitpunkt eigentlich vorgeschriebene Kennzeichnung. Möglicherweise hatte Google die Updates schon vor der Deadline eingereicht.

Dem Portal „Techcrunch“ bestätigte nun ein Google-Sprecher, dass noch in dieser oder nächster Woche Updates im App Store erscheinen werden. Google werde die Privacy Labels dem gesamten, eigenen iOS-App-Katalog hinzufügen. Grund für die Verzögerung könnten unter anderem die Weihnachtsfeiertage gewesen sein, im Vorfeld derer nur selten Updates veröffentlich werden. 

Die Apps von Google werden dann auch mit den entsprechenden Datenschutz-Hinweisen versehen. Zu den bekanntesten Anwendungen gehören Dienste wie YouTube, Chrome, Gmail, Maps und Google Drive. Auch andere große App-Anbieter wie Pinterest haben bisher noch keine Details für die Datenschutz-Kennzeichnung übermittelt. Von den meisten Entwicklern wird erwartet, dass sie passende Updates im Laufe des Januars veröffentlichen.

Brexit und Datentransfers: Einigung auf Übergangsregelungen

5. Januar 2021

Zum 01.01.2021 wurde der Brexit nun “endlich” offiziell vollzogen, und noch rechtzeitig vor Ablauf der Übergangsfrist konnten sich die EU und das Vereinigte Königreich (UK) auf ein Handels- und Kooperationsabkommen einigen. Dieses ist zwar bisher lediglich provisorisch in Kraft – es fehlt noch die Bestätigung der verschiedenen Institutionen und Mitgliedsstaaten – jedoch dürfte es sich dabei nur noch um eine Formalie handeln.

Vereinigte Königreich nun ein “Drittstaat”

Mit dem Austritt aus der EU ist das Vereinigte Königreich aus datenschutzrechtlicher Sicht nun ein sog. Drittstaat. Dies bedeutet, dass Datentransfers ins Vereinigte Königreich besonders gerechtfertigt werden müssen. Zu diesem Zweck kommt ein Angemessenheitsbeschluss der Kommission in Betracht (Art. 45 DS-GVO), durch welchen bestätigt wird, dass die Datenschutzbestimmungen des Vereinigten Königreichs ein angemessenes Schutzniveau für die übermittelten Daten gewährleisten. Fehlt es an einem solchen Beschluss, kommen die in Art. 46 Abs. 2 DS-GVO genannten Möglichkeiten zur Rechtfertigung in Betracht. Hier würde wie bei Datentransfers in die USA wohl überwiegend auf die sog. Standardvertragsklauseln zurückgegriffen werden, wobei angesichts der Schrems-II-Entscheidung (wir berichteten) fraglich sein könnte, ob diese allein ausreichend sind.

Angemessenheitsbeschluss in Arbeit

Für Rechtssicherheit auf Seiten der betroffenen Unternehmen – und auch für bürokratische Entlastung – würde demnach ein Angemessenheitsbeschluss sorgen. Bereits seit März 2020 arbeitet die Kommission nach eigenen Angaben an einem solchen Beschluss, bisher wurde dieser jedoch noch nicht erlassen. Selbst wenn die Kommission den Beschluss zeitnah erlässt, würde für zusätzliche Verzögerung sorgen, dass dieser auch noch durch den Europäischen Datenschutzausschuss (EDSA) sowie durch die 27 Mitgliedsstaaten bestätigt werden muss.

Weil zwischen dem Ausstritt des Vereinigten Königreichs und dem (möglichen) Erlass des Angemessenheitsbeschlusses eine Lücke entstanden ist, wurde in das Handels- und Kooperationsabkommen eine Übergangsregelung aufgenommen. Diese ermöglicht für die kommenden vier Monate, dass personenbezogene Daten auch ohne ein in den Art. 45 ff. DS-GVO genanntes Instrument übermittelt werden können. Sofern erforderlich und falls keine der beiden Parteien widerspricht, kann sich die Übergangsfrist um weitere zwei Monate – also bis zum 01.07.2021 – verlängern. Bis zu diesem Zeitpunkt ist also für Rechtssicherheit gesorgt.

Und nach Ablauf der Übergangsregelungen?

Was aber passiert, wenn bis zu diesem Datum kein Angemessenheitsbeschluss erlassen wurde? Unmöglich erscheint dies nicht, berücksichtigt man die durch den EuGH gestellten Anforderungen an die Wirksamkeit eines solchen Beschlusses. Auch scheint fraglich, ob die Kommission ein erneutes Szenario wie beim Privacy-Shield riskieren will, also das Abkommen durch den EuGH gekippt wird und dies für erhöhte Rechtsunsicherheit sorgt. Insofern sollten sich die betroffenen Unternehmen auch auf den Worst Case vorbereiten: Dass ab dem 01.07.2021 Instrumente wie die Standardvertragsklauseln herangezogen werden müssen, um Datentransfers in das Vereinigte Königreich rechtfertigen zu können.

1 2 3 165