Kategorie: DSGVO
28. November 2022
Viele Verantwortliche möchten in ihrem Unternehmen oder ihrer Behörde gerne Office 365 (jetzt: Microsoft 365) nutzen. Seit Jahren sehen sich diese wegen der Bewertung der datenschutzrechtlichen Zulässigkeit erheblichen rechtlichen Unsicherheiten ausgesetzt. Die neueste Pressemitteilung der Datenschutzkonferenz ist für die Bewertung nun richtungsweisend.
Bericht der Datenschutzkonferenz
In der Mitteilung vom 28. November 2022 weist der Thüringer Landesbeauftrage für den Datenschutz und die Informationsfreiheit (TLfDI) Dr. Lutz Hasse auf die richtungsweisende Bewertung der Datenschutzkonferenz (DSK) zu Microsoft 365 hin: „Die DSK stellt (…) fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann. Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.“
Außerdem betonte er, dass sich die Bewertung der Datenschutzkonferenz nicht direkt an Microsoft wende, sondern an die Verantwortlichen, sodass diese Microsoft 365 nicht datenschutzrechtskonform verwenden könnten. Neben Fragen bezüglich der Datenübermittlung in die USA komme sowohl der Verstoß gegen Art. 28 DS-GVO als auch gegen die Rechenschaftspflicht aus Art. 5 Abs. 2 DS-GVO in Betracht.
Microsoft widerspricht der DSK
Als „Antwort“ auf diesen Bericht stellte Microsoft die Vereinbarkeit mit dem Datenschutzrecht fest und betonte ihre Position von August 2022. „Wir stellen sicher, dass unsere MS 365-Produkte die strengen EU-Datenschutzgesetze nicht nur erfüllen, sondern oft sogar übertreffen. Unsere Kunden in Deutschland und in der gesamten EU können MS 365-Produkte weiterhin bedenkenlos und rechtssicher nutzen.“
Fazit
Verantwortlichen, die mit der MS 365-Software arbeiten, ist aufgrund der widerstreitenden Aussagen jedenfalls nicht geholfen, wodurch kein zufriedenstellender Zustand herrscht. Es bleibt demnach abzuwarten, ob es in dieser Meinungsverschiedenheit doch noch zu einer Einigung kommen wird. Bis dahin bleibt die Verwendung von MS 365 aus datenschutzrechtlicher Sicht noch unsicher. Wir werden schnellstmöglich über weitere Entwicklungen berichten.
18. November 2022
Die Nachrichtenagentur Reuters berichtete kürzlich über ein Bußgeldverfahren, dem sich der Tech-Gigant stellen müsse. Demnach soll Google 391,5 Million US Dollar zahlen, um Vorwürfen von 40 Bundesstaaten beizukommen.
Illegales Standort Tracking
Zu Schulden hätte sich Google das nicht autorisierte Verfolgen von Standortdaten kommen lassen. Dies erklärte die Generalstaatsanwaltschaft von Michigan am Montag. Bereits schon in den letzten Monaten seien die Generalstaatsanwälte der beteiligten Bundesstaaten aggressiv gegen die Praktiken des Unternehmens bei der Nutzungsverfolgung vorgegangen. Infolgedessen soll sich Google nicht nur monetären Sanktionen stellen, sondern auch betroffenen Nutzerinnen und Nutzern eine transparente Information über das „wann“ der Standortverfolgung gewährleisten.
Googles Reaktion
In einem Blog-Post erklärte Google am Montag, dass der Konzern in den kommenden Monaten Aktualisierungen vornehmen werden, um so Verbrauchern mehr Kontrolle und Transparenz über deren Standortdaten zu bieten. Im Kontext der angestrebten Änderungen soll das Löschen von Standortdaten vereinfacht werden. Mittels einer automatischen Löschfunktion können Nutzer*innen Google anweisen Informationen, welche ein bestimmtes Alter erreicht haben, zu löschen.
Erkenntnisse einer Untersuchung
Berichte über das Fehlverhalten Googles bezüglich der widerwilligen Speicherung von Standortdaten der Nutzer führte 2018 zur Einleitung einer Untersuchung. Diese ergab, dass Google mindestens seit 2014 bereits über die Praktiken zur Standortverfolgung getäuscht und damit gegen staatliche Verbraucherschutzgesetze verstoßen habe.
Fazit
Google hat in der ersten Jahreshälfte 2022 111 Milliarden US Dollar mit Werbung eingenommen. Der Standort eines Verbrauchers ist der Schlüssel, um Werbung zielgerichteter gestalten zu können. Es ist nunmehr kein Geheimnis, dass Google sich durch widerrechtliche Praktiken Vorteile auf dem Werbemarkt verschafft.
11. November 2022
Mit Beschluss vom 10.11.2022 (Az. I ZR 186/17) hat der Bundesgerichtshof (BGH) entschieden, dem Europäischen Gerichtshof (EuGH) die Frage zur Vorabentscheidung vorzulegen, ob eine Rechtsverletzung „infolge einer Verarbeitung“ im Sinne von Art. 80 Abs. 2 DSGVO geltend gemacht wird, wenn ein Verband zur Wahrung von Verbraucherinteressen seine Klage darauf stützt, die Rechte einer betroffenen Person seien verletzt, weil die Informationspflichten gemäß Art. 12 Abs. 1 Satz 1 DSGVO in Verbindung mit Art. 13 Abs. 1 Buchst. c und e DSGVO über den Zweck der Datenverarbeitung und den Empfänger der personenbezogenen Daten nicht erfüllt worden seien.
Sachverhalt
In dem Verfahren, das durch den BGH nun bis zur Entscheidung des EuGHs über die Vorlagefrage ausgesetzt wurde, geht es um eine Auseinandersetzung zwischen der Meta Platform Ireland Limited (Meta) und dem Dachverband der Verbraucherzentralen der Bundesländer (VZBV). Meta betreibt das soziale Netzwerk „Facebook“. Dieses hat in seinem Netzwerk im Jahr 2012 ein sog. „App-Zentrum“ installiert, über welches Nutzer Online-Spiele anderer Anbieter spielen können. In diesem Rahmen wurde auch auf die erfolgende Datenverarbeitung hingewiesen und eine Einwilligung der Nutzer eingeholt. Unter dem Button „Sofort spielen“ waren folgende Hinweise zu lesen: „Durch das Anklicken von Spiel spielen (oben) erhält diese Anwendung: Deine allgemeinen Informationen, Deine-Mail-Adresse, Über Dich, Deine Statusmeldungen. Diese Anwendung darf in deinem Namen posten, einschließlich dein Punktestand und mehr.“ Bei einem Spiel endeten die Hinweise mit dem Satz: „Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten.“ Die Einwilligung beurteilte der Verbraucherschutzverband als nicht datenschutzkonform und machte wegen des Vergehens wettbewerbsrechtliche Unterlassungsansprüche gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG geltend. Auch sei der abschließende Hinweis bei einem Spiel eine den Nutzer unangemessen benachteiligende Allgemeine Geschäftsbedingung (AGB).
Unterlassungsansprüche und Betroffenheit für den BGH problematisch
Das Verfahren beschäftige sich mit der grundsätzlichen Frage, ob ein Verstoß des Betreibers eines sozialen Netzwerks gegen die datenschutzrechtliche Informationspflicht, die Nutzer dieses Netzwerks über Umfang und Zweck der Erhebung und Verwendung ihrer Daten zu unterrichten, wettbewerbsrechtliche Unterlassungsansprüche begründen kann. Des Weiteren stelle sich die Frage, ob Verbraucherschützer auch ohne einen Auftrag konkret Betroffener vor Gericht ziehen dürften. Der BGH zieht in dieser Sache nun zum zweiten Mal den EuGH zurate.
Erste Vorlage an den EuGH (wir berichteten)
Mit Beschluss vom 28.05.2020 (Az. I ZR 186/17) hatte der BGH ursprünglich entschieden, dem EuGH die Frage zur Vorabentscheidung vorzulegen, ob unter Anderem Verbraucherschutzverbände berechtigt seien, Datenschutzverstöße gerichtlich geltend machen zu können. Der EuGH hatte dann entschieden, dass Verbraucherzentralen auch ohne Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen klagen können.
Neue Entscheidung für BGH „unerwartet“
Der BGH vertrete die Ansicht, dass Verbraucherschutzverbände nicht automatisch klagebefugt seien. Man wolle konkret wissen, ob in dem Fall aus Sicht des EuGHs die Voraussetzung erfüllt sei, dass die Rechte einer betroffenen Person gemäß der DSGVO „infolge einer Verarbeitung“ verletzt worden seien. Es sei fraglich, ob diese Voraussetzung erfüllt sei, wenn – wie im Streitfall – die sich aus Art. 12 Abs. 1 Satz 1, Art. 13 Abs. 1 Buchst. c und e DSGVO ergebenden Informationspflichten verletzt worden seien. Die Entscheidung sei wichtig für eine Fülle anhängiger Verfahren.
„Angesichts der massenhaften Datenschutzverstöße auf den großen Digitalplattformen sei es enttäuschend, dass sich dieses schon sehr lange laufende Grundsatzverfahren wieder verzögere“, so der Leiter des Teams Rechtsdurchsetzung beim VZBV, Heiko Dünkel.
Meta gab bisher noch kein offizielles Statement zu der erneuten Vorlage ab. Der Anwalt des Konzerns, Christian Rohnke, hatte bei der Verhandlung am BGH jedoch betont, dass Facebook das fragliche Vorgehen inzwischen geändert habe.
10. November 2022
Wieder einmal äußern sich kritische Stimmen im Kontext der Nutzung von Google Fonts. Bereits in unserem letzten Beitrag wurde die Problematik unfreiwilliger Übermittlungen personenbezogener Daten in ein Drittland, durch die Nutzung der von Google eingebetteten Fonts behandelt.
Kritik aus Hessen und Sachsen
Dieses Mal melden sich die hessische und sächsische Datenschutzaufsichtsbehörde zu Wort. Grund für das Aktivwerden der Behörden waren die aktuell stark zunehmenden Beratungsanfragen zu Abmahnungen aufgrund des Einsatzes der Google Schriftarten.
Forderungen von Schadensersatz
Dem Urteil des Landgerichts München vom 20. Januar 2022 nach könnte eine Nutzung der Google Web-Fonts auf eigenen Homepages wohl einen Verstoß gegen die DSGVO darstellen. So würden in den Fällen einer Nutzung dynamischer Fonts stets personenbezogene Daten von Webseitenbesucher*innen wie IP-Adressen an amerikanische Server weitergeleitet. Abgesehen eines unter strengen Regeln stehenden Transfer von Daten in einen Drittstaat, der kein ausreichendes Datenschutzniveau im Sinne der DSGVO bietet, werden zudem in seltensten Fällen Einwilligungen i. S. d. Art. 6 Abs. 1 lit. a DSGVO eingeholt. So ist das Urteil der Auslöser einer Abmahnwelle gegen Website-Betreiber, welche mit empfindlich hohen Geldforderungen konfrontiert werden.
Fazit
Betreiber von Webseiten sollten allgemein auf einen dynamischen Einsatz von Schriftarten verzichten und auf ein lokales Speichern umstellen, so die hessische und sächsische Behörde.
3. November 2022
Das Landgericht (LG) Zwickau erließ am 14. September 2022 ein Versäumnisurteil (Az. 7 O 334/22) gegen den U.S.-Konzern „Meta“ und sprach dem Kläger dabei einen Anspruch auf immateriellen Schadensersatz gegen den Konzern zu. Grund für den Schadensersatz nach Art. 82 DSGVO in Höhe von 1000 Euro waren mehrere Verstöße gegen die Datenschutz-Grundverordnung (DSGVO).
Unzureichende Informationen
Zunächst stellte das Gericht fest, dass Meta seinen nach Art. 13 und 14 DSGVO bestehenden Informationspflichten nicht ausreichend nachgekommen sei. Demnach liege keine nach Art. 5 Abs. 1 lit. a DSGVO erforderliche faire und transparente Verarbeitung vor.
Insbesondere, so das Gericht, fehlten Informationen darüber, auf welche Weise und zu welchen Zwecken „Facebook“ die Telefonnummern seiner Nutzer verarbeite. Diese könnten auf der von Meta bereitgestellten Social-Media-Plattform Facebook ihre Telefonnummern freiwillig angeben.
Konkret sei es problematisch, dass Facebook nicht darüber informiere, dass Dritte die angegebenen Telefonnummern einsehen könnten. Dies sei möglich, obwohl der Nutzer sein Profil auf die Funktion „privat“ einstelle. Zusätzlich könnten Dritte die Telefonnummern abgreifen und diese für unlautere Zwecke weiterverwenden. Darüber informiere Facebook den Nutzer allerdings nicht.
Ferner sei der Informationsumfang über die sog. „Zwei-Faktor-Authentifizierung“ als problematisch zu bewerten. Dabei informiere Facebook lediglich darüber, dass er die Telefonnummern der Nutzer neben der Zwei-Faktor-Authentifizierung auch für „weitere Zwecke“ verwende. Eine genaue Erläuterung, welche weiteren Zwecke gemeint seien, erfolge nicht.
Außerdem bewertete das Gericht die Such-Option mittels Telefonnummer als kritisch. Dieser ermögliche es Nutzern andere Nutzer mit Hilfe der hinterlegten Telefonnummer zu suchen. Darüber informiere Facebook die Nutzer grundsätzlich. Doch diese Information sei nur über eine Unterverlinkung einzusehen.
Unzureichende Sicherheitsmaßnahmen
Darüber hinaus stellte das Gericht fest, dass Facebook gegen den Grundsatz der Integrität und Vertraulichkeit nach Art. 5 Abs. 1 lit. f DSGVO verstoßen habe. Demzufolge habe der Konzern keine angemessene Sicherheit für die verarbeiteten personenbezogenen Daten gewährleistet. Insbesondere habe Facebook es versäumt, hinreichende technische und organisatorische Maßnahmen zum Schutz der Nutzerdaten zu ergreifen.
Hintergrund dieser Sicherheitslücke war ein Vorfall aus dem Jahr 2019. Mit Hilfe eines automatisierten Verfahrens konnten unbekannte Dritte eine große Anzahl an Nutzerdaten abgreifen. Aus der Sicht des Gerichts hätte Facebook mehr Sicherheitsmaßnahmen ergreifen müssen, um den Datendiebstahl zu verhindern. Insbesondere habe das Unternehmen sog. „Sicherheitscapachas“ verwenden können. Diese Methode stelle sicher, dass ein Mensch und kein automatisiertes System die Daten abfrage.
Außerdem stellte das Gericht einen Verstoß gegen Art. 33 und 34 DSGVO fest. Demnach sei Facebook dazu verpflichtet gewesen, die zuständige Aufsichtsbehörde über den 2019 geschehenen Vorfall zu informieren. Dem sei das Unternehmen nicht nachgekommen.
Fazit
Abschließend stellte das Gericht fest, dass aufgrund der dargelegten Verstöße der Kläger einen erheblichen Kontrollverlust über seine personenbezogenen Daten erlitten habe. Mithin bestehe für die betroffene Person ein ersatzfähiger Schaden.
Bei der britischen Interverse Group Limited sorgte das Zusammenspiel aus einer trügerischen E-Mail und einem unvorsichtigen Mitarbeiter für einen größeren Datenschutzvorfall.
Was sind “Phishing-Mails”?
Unter dem Begriff Phishing versteht man Versuche von Kriminellen, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner in einer elektronischen Kommunikation auszugeben: So auch im vorliegenden Fall.
Der Mitarbeiter des Unternehmens öffnete eine E-Mail, welche eine mit Malware versehene Zip-Datei enthielt. Dadurch erhielten die Angreifer Zugriff auf den Computer des Mitarbeiters, wodurch weitere Systeme und Server infiziert und Anti-Viren-Programme deinstalliert werden konnten.
Durch die so ermöglichte Abschaltung der Schutzmaßnahmen war es den Betrügern möglich, Zugang zu personenbezogenen Daten von über 100.000 Beschäftigten des Unternehmens zu erhalten. Enthalten waren dabei unter anderem Namen, Telefonnummern, Bankverbindungen, Sozialversicherungsnummern sowie Gehaltsinformationen. Dies stellt für Betrüger eine überaus gute Ausbeute dar.
Meldung: Art. 33 DSGVO
Das Unternehmen meldete daraufhin den Vorfall gem. Art. 33 DSGVO bei der britischen Datenschutzbehörde ICO, woraufhin diese den Vorfall prüfte. Das Ergebnis dieser Untersuchung fiel jedoch schlecht für das betroffene Unternehmen aus: Die ICO stellte fest, dass nur unzureichende technische und organisatorische Maßnahmen vorhanden waren. So war etwa das Betriebssystem, das auf den Servern eingesetzt wurde, veraltet, der betroffene Mitarbeiter, der die schadhafte Mail öffnete, war nicht datenschutzrechtlich geschult worden, Schwachstellentests sind nicht durchgeführt worden und einer Meldung des Virenscanners wurde keine Beachtung geschenkt. Dies stellt ein absolutes Fehlerhaften dar. Lediglich die umfassende Kooperation des Unternehmens mit der ICO, sowie eine nachträgliche Verbesserung der Sicherheitsmaßnahmen konnten das Bußgeld in Höhe von 5.057.878 Euro etwas abmildern.
Fazit
Der Fall macht deutlich, wie wichtig und unumgänglich es für Unternehmen ist, angemessene technische und organisatorische Maßnahmen zu implementieren und die Cybersicherheit auf dem aktuellen Stand zu halten. Die DSGVO sieht in Art. 32 Abs. 1 vor, dass technische und organisatorische Maßnahmen dem Stand der Technik entsprechen müssen.
Zielgerichtete Beratung durch Experten und entsprechende Schulungen von Mitarbeitern, unter anderem etwa zur Sensibilisierung und Erkennung von Angriffsversuchen von Dritten, können das Risiko eines Datenschutzvorfalls verringern. Investitionen in diesem Bereich können so Bußgelder in Millionenhöhe verhindern.
Der Europäische Gerichtshof (EuGH) hat entschieden, dass der Widerruf gegen eine einheitliche Einwilligung, aufgrund derer mehrere Verantwortliche personenbezogene Daten zum selben Zweck verarbeiten dürfen, nur gegen einen dieser Verantwortlichen erfolgen muss.
Sachverhalt
Der Beschwerdeführer wendete sich gegen den belgischen Telefonanbieter Proximus, der unter anderem öffentlich zugängliche Telefonverzeichnisse und Telefonauskunftsdienste anbietet. Darin sind Namen, Adressen und Telefonnummern enthalten, die von Anbietern öffentlich zugänglicher Telefondienste an Proximus übermittelt und auch von Proximus an andere Anbieter und Suchmaschinen wie Google weitergeleitet werden.
Nachdem seine wiederholte Aufforderung, seine Daten nicht in solchen Verzeichnissen zu führen, erfolglos waren, legte der Beschwerdeführer Beschwerde bei der belgischen Datenschutzbehörde ein. Die Datenschutzbehörde verhängte daraufhin ein Bußgeld in Höhe von 20.000 Euro und gab Proximus unter anderem auf, „dem Widerruf der Einwilligung des fraglichen Teilnehmers unverzüglich in angemessener Weise Rechnung zu tragen und den Aufforderungen dieses Teilnehmers, mit denen er sein Recht auf Löschung der ihn betreffenden Daten ausüben wolle, Folge zu leisten“.
Hiergegen klagte Proximus mit der Begründung, eine Einwilligung im Sinne der DSGVO sei nicht erforderlich. Vielmehr müssten Teilnehmer im Wege eines Opt-out selbst beantragen, nicht im Verzeichnis geführt zu werden.
Entscheidung
Der EuGH bestätigte in seiner Entscheidung zunächst das Einwilligungserfordernis bei der Veröffentlichung personenbezogener Daten in einem öffentlichen Teilnehmerverzeichnis. Sofern dritte Anbieter solcher Verzeichnisse denselben Zweck verfolgen, erstreckt sich diese Einwilligung auf jede weitere Verarbeitung der Daten. Dazu muss die betroffene Person nicht zwangsläufig zum Zeitpunkt der Einwilligung sämtliche Anbieter kennen. Allerdings genügt dann im Umkehrschluss eine einzige Widerrufserklärung gegenüber irgendeinem der Verantwortlichen. Der muss sämtliche anderen Verantwortlichen eigenständig über den Widerruf informieren.
Fazit
Die Entscheidung wird sich voraussichtlich auch auf andere Bereiche auswirken, in denen sich Verantwortliche auf eine einheitliche Einwilligung stützen. Für Betroffene bedeutet es eine erhebliche Erleichterung, den Widerruf nur an einen einer gegebenenfalls unbekannten Anzahl von Verantwortlichen richten zu müssen.
21. Oktober 2022
Die Bundesinnenministerin Nancy Faser hat den Präsidenten des Bundesamts für Sicherheit in der Informationstechnik (BSI) Arne Schönbohm abberufen. Am 18. Oktober 2022 stellte Faser den Chef des BSI zunächst frei. Die Freistellung erfolgte, nachdem verschiedene Vorwürfe gegen den Präsidenten des BSI aufkamen. Demnach soll Schönbohm einem Verein nahestehen, der (auch nach eigenen Angaben) Kontakte zum russischen Geheimdienst unterhalten soll.
Fragwürdige Kontakte
Ausgelöst wurden die Vorwürfe durch eine am 07. Oktober 2022 ausgestrahlte Folge des ZDF-Magazins „Royale“. In dieser präsentierte der TV-Satiriker Jan Böhmermann die Ergebnisse einer Recherche-Zusammenarbeit der ZDF-Produktion und des Recherchenetzwerks „Policy Network Analytics“.
Diesen Recherchen zufolge soll Schönbohm, bevor er Präsident des BSI wurde, 2012 den „Cyber-Sicherheitsrat e.V.“ (mit-) gegründet haben. Der private Verein berät nach eigenen Angaben Unternehmen und Politik im Bereich Cyber-Sicherheit. Der Name Cyber-Sicherheitsrat Deutschland ist fast identisch mit dem Cyber-Sicherheitsrat des Bundesinnenministerium. In einem Schreiben des für Cybersicherheit zuständigen Ministerialdirigenten des Innenministeriums vom 27. Mai 2015 an die Chefs von 5 Sicherheitsbehörden des Bundes wurde daran erinnert, eine Abgrenzung zu dem Verein sicherzustellen. Jegliche Unterstützung, beispielsweise durch die Unterstützung von Veranstaltungen, habe zu unterbleiben. Mitglied dieses Vereins sei u.a. die in Berlin ansässige „Protelion GmbH“. Protelion selbst stelle Software zum Schutz vor Cyberangriffen her. Die Protelion GmbH sei allerdings erst seit August 2022 unter ihrem jetzigen Firmennamen bekannt. Zuvor trug das Unternehmen den Namen „Infotecs“. Die Infotecs GmbH sei eine Tochtergesellschaft des russischen Cybersicherheits-Unternehmens „O.A.O Infotecs“. Ein ehemaliger Mitarbeiter des sowjetischen Nachrichtendienstes KGB habe den russischen Mutterkonzern gegründet. Darüber hinaus habe Infotecs bereits mit russischen Regierungsstellen zusammengearbeitet. Folglich sollen russische Stellen die Sicherheitssysteme von Infotecs für ihre Zwecke verwendet haben. Diese biete die Firma ebenso auf dem deutschen Markt als Mittel zur Abwehr von Cyberangriffen an.
Außerdem berichtete das ZDF-Magazin Royal über weitere vermeintliche Verbindungen des Cyber-Sicherheitsrates e.V.“ zu Russland. Gegenstand dieser Verbindungen sei ein jetziges Präsidiums-Mitglied des Cyber-Sicherheitsrates e.V., Hans-Wilhelm Dünn. Diesem wurden in der Vergangenheit fragwürdige Kontakte zu russischen Stellen vorgeworfen.
Aufgrund dieser Verbindungen habe Schönbohm es den Mitarbeitern des BSI untersagt, bei Veranstaltungen des Cyber-Sicherheitsrates e.V. aufzutreten. Er selbst habe allerdings bei dem zehn-jährigen Jubiläum des Vereins eine Rede gehalten. Dem „Spiegel“ zufolge, segnete das Bundesinnenministerium dieses Vorgehen ab.
Fazit
Im Ergebnis steht im Zentrum der Kritik an Schönbohm seine vermeintlich fehlende Distanz zu Russland, obwohl die Bundesrepublik bereits mehrfach das Ziel russischer Cyberangriffe war. Das Innenministerium sagte dazu, dass Schönbohm „das notwendige Vertrauen der Öffentlichkeit in die Neutralität und Unparteilichkeit der Amtsführung (…) nachhaltig beschädigt“ habe.
Derweil bat Schönbohm darum, ein Disziplinarverfahren einzuleiten. Das Innenministerium strenge ein solches bislang allerdings nicht an.
Wir möchten an dieser Stelle darauf hinweisen, dass die Nutzung russischer Systeme aktuell mit einem erheblichen Risiko verbunden ist.
19. Oktober 2022
Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) genehmigte am 7. Oktober 2022 erstmalig die Kriterien eines Unternehmens für die Zertifizierung von Auftragsverarbeitern. Mit dem Zertifikat „European Privacy Seal“ („EuroPriSe“) sollen Unternehmen zukünftig ihre DSGVO-konformen Auftragsverarbeitungen nachweisen können.
Bedeutung
Die EuroPriSe GmbH ist europaweit das erste Unternehmen, das eine Genehmigung für seinen Kriterienkatalog erhalten hat. Im Genehmigungsverfahren hat die LDI NRW „gemäß dem europäischen Datenschutzrecht geprüft, ob die Kriterien, nach denen die Zertifikate an Auftragsverarbeiter erteilt werden sollen, tatsächlich die Einhaltung der DSGVO bei der Verarbeitung personenbezogener Daten sicherstellen – und damit die Persönlichkeitsrechte wahren.“
Allerdings befreit ein Zertifikat weder die Verantwortlichen und Auftragsverarbeiter noch die Aufsichtsbehörden von ihren Pflichten aus der DSGVO. Die Zertifizierung bleibt ein freiwilliges Instrument (vgl. Art. 42 Abs. 3 DSGVO), welches lediglich für einen Zeitraum von drei Jahren mit Aussicht auf Verlängerung erteilt werden kann (vgl. Art. 42 Abs. 3 S. 1 DSGVO).
Zertifizierungsverfahren nach Art. 42 DSGVO
Das Zertifizierungsverfahren nach Art. 42 DSGVO ist aufwendig und erfordert die Zusammenarbeit der Deutschen Akkreditierungsstelle GmbH (DAkkS) und der zuständigen Aufsichtsbehörde. Für eine Zertifizierung muss zudem die Empfehlung des Europäischen Datenschutzausschusses (EDSA) eingeholt und umgesetzt werden, damit eine einheitliche Anwendung der DSGVO in der EU gewährleistet werden kann.
Bewertung und Ausblick
Die Vorteile eines solchen Zertifikats sind vielfältig und beschränken sich nicht nur auf Marketing-Zwecke. Anwendungsbereiche werden von der DSGVO an verschiedenen Stellen explizit erwähnt. So kann ein Zertifikat für den Nachweis der DSGVO-Anforderungen beispielsweise bei der Beurteilung der Erfüllung der Pflichten des Verantwortlichen, Garantien des Auftragsverarbeiters, Datenübertragungen an ein Drittland oder auch bei der Datenschutz-Folgenabschätzung als Faktor herangezogen werden. Eine Zertifizierung kann Verantwortlichen und Auftragsverarbeitern also in vielen Bereichen den Nachweis der Pflichterfüllung erleichtern. Laut LDI NRW sei ein zentrales Ziel Transparenz, da Zertifikate als bewährtes Instrument den Markteilnehmenden einen „raschen Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen“ lieferten.
Es bleibt abzuwarten, wie die Aufsichtsbehörden solche Zertifikate in Zukunft bei ihren Bewertungen von Verarbeitungsvorgängen einfließen lassen werden und ob sich die erhoffte Vereinfachung des Nachweises für Datenverarbeiter auch tatsächlich einstellt. Für den Markt bedeutet diese erste Genehmigung jedenfalls einen Meilenstein, der voraussichtlich den Weg für weitere Zertifizierungen nach Art. 42 DSGVO ebnen wird.
17. Oktober 2022
In dem Disput zwischen der Europäischen Union (EU) und den Vereinigten Staaten über den Transfer personenbezogener Daten über den Atlantik zeichnet sich eine Lösung ab. Am 07.10.2022 unterzeichnete Präsident Biden eine Exekutivanordnung über die Verbesserung der Schutzmaßnahmen für die Aktivitäten der US-amerikanischen Nachrichtendienste. Das Dekret soll der „Signal Intelligence“, also der elektronischen Aufklärung der US-Geheimdienste, engere Regeln setzten. Darin werden nun die Schritte festgelegt, die die Vereinigten Staaten unternehmen, um die von Präsident Biden und der Präsidentin der Europäischen Kommission von der Leyen im März 2022 angekündigten Zusagen der USA im Rahmen des Datenschutzrahmens zwischen der EU und den USA (Trans-Atlantic Data Privacy Framework (TADPF)) umzusetzen.
Hintergrund
Das neue Regelwerk soll eine erhebliche Lücke im Datenschutz auf beiden Seiten des Atlantiks schließen. Das erste Abkommen („Safe Harbor“) fiel 2015, das nachfolgende („Privacy Shield“) 2020. Der Europäische Gerichtshof (EuGH) hatte in den Urteilen Schrems I (Az.: C-362/14) und Schrems II (Az.: C 311/18) entschieden, dass das Datenschutzniveau in den Vereinigten Staaten nicht den Standards der EU entspreche. Die Verfahren hatte der österreichische Jurist Max Schrems mit seinem Datenschutzverein „noyb“ angestrengt. Das Gericht kam zu dem Entschluss, dass die Vereinigten Staaten über zu umfangreiche Kontrollmöglichkeiten für europäische personenbezogene Daten verfügten. Das Verfahren schuf enorme Unsicherheit über die Voraussetzungen für Unternehmen, personenbezogene Daten aus der Europäischen Union in die Vereinigten Staaten in einer Weise zu übertragen, die mit dem EU-Recht vereinbar ist.
Verpflichtung zu Schutzmaßnahmen
Große und kleine Unternehmen aus den USA und der EU in allen Wirtschaftszweigen sind auf grenzüberschreitende Datenströme angewiesen, um an der digitalen Wirtschaft teilzuhaben und ihre wirtschaftlichen Möglichkeiten erweitern zu können.
Mit dem neuen Abkommen sollen die europäischen Bedenken gegen die Überwachung durch US-Geheimdienste ausgeräumt werden. Vergangenen März, nachdem sich die USA und die EU grundsätzlich auf den neuen Rahmen geeinigt hatten, erklärte das Weiße Haus in einem Fact Sheet, dass die USA sich verpflichtet hätten, neue Schutzmaßnahmen einzuführen, um sicherzustellen, dass die Aktivitäten der Nachrichtendienste zur Verfolgung definierter nationaler Sicherheitsziele notwendig und verhältnismäßig sind.
Voraussetzungen für Eingriffe definiert
Die US-Verordnung nennt zunächst auch die Fälle, bei denen das Sammeln personenbezogener zulässig bleibe. Dazu gehöre beispielsweise der Kampf gegen den Terrorismus oder auch Maßnahmen zum Schutz der nationalen Sicherheit. Rechtswidrig wäre ein Eingriff beispielsweise dann, wenn er in diskriminierender Absicht erfolge. Darüber hinaus soll der neue Rechtsrahmen es Einzelpersonen in der EU ermöglichen, über ein unabhängiges Datenschutzprüfungsgericht Rechtsmittel einzulegen. In einem ersten Schritt soll dann ein Beamter des Direktorats der US-Geheimdienste („Civil Liberties Protection Officer“ (CLPO) im Office of the Director of National Intelligence) Beschwerden von EU-Bürgerinnen und Bürgern prüfen. Anschließend würde ein Gremium (Data Protection Review Court (DPRC)) mit „uneingeschränkter Befugnis“ über Ansprüche entscheiden und bei Bedarf Abhilfemaßnahmen anordnen. Auch der Grundsatz der Verhältnismäßigkeit müsse gewahrt werden.
Verhältnismäßigkeit und Rechtsbehelf weiterhin problematisch
Schon unmittelbar nach der Veröffentlichung wurde Kritik laut. Der Datenschutzverein noyb kündigte bereits an, gerichtlich gegen den Angemessenheitsbeschluss vorgehen zu wollen, wenn dieser die Executive Order der USA als legitim akzeptiere. Auf den ersten Blick versuche man hier ein drittes Abkommen ohne rechtliche Basis, so der Jurist Max Schrems. „Ich gehe davon aus, dass auch ein neues Abkommen bald vom EuGH kassiert wird.“ In den USA bestehe weiterhin die Situation der ständigen Massenüberwachung. Um eine Verhältnismäßigkeit gewährleisten zu können, müssten die USA aber auch dasselbe Verständnis von Verhältnismäßigkeit haben und anwenden, wie es die Grundrechtscharta vorsehe. Darüber hinaus werde auch der vom EuGH geforderte Rechtsbehelf nicht umgesetzt. „Obwohl die Stelle Court (Gericht) heiße, sei es tatsächlich kein Gericht, sondern eine Stelle der Exekutive”, so Schrems.
Der Ball liegt nun im Feld der EU-Kommission, die nun über den Erlass entscheiden muss und ggf. einen dazu passenden eigenen Rechtsrahmen erarbeiten könnte. Das könnte bis zum Frühjahr dauern. Es bleibt abzuwarten, ob der neue Rechtsrahmen dann den Anforderungen des EuGHs standhalten würde.
Pages: 1 2 ... 8 9 10 11 12 ... 39 40 
