Schlagwort: Datenschutzkonferenz (DSK)
8. September 2023
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 4. September 2023 Anwendungshinweise zum Angemessenheitsbeschluss des EU-US Data Privacy Frameworks herausgegeben. Diese Hinweise sind von Bedeutung für Organisationen und Unternehmen, die personenbezogene Daten in Drittländer, insbesondere in die USA, übermitteln.
Allgemeines zu Drittstaatenübermittlungen
Die Anwendungshinweise geben zunächst einen allgemeinen Überblick über die Angemessenheitsentscheidung.
Unter Drittstaatenübermittlungen versteht man die Übertragung von personenbezogenen Daten aus dem Europäischen Wirtschaftsraum (EWR) in Länder, in denen die Datenschutz-Grundverordnung (DSGVO) nicht unmittelbar gilt. Dies betrifft beispielsweise die USA. Die DSGVO regelt solche Übermittlungen, um ein gleichwertiges Datenschutzniveau sicherzustellen.
Zweistufige Prüfung der Rechtmäßigkeit der Übermittlung an Drittländer
Die Übermittlung personenbezogener Daten an Drittländer ist gemäß Art. 44 Abs. 1 DSGVO nur unter bestimmten Bedingungen zulässig. Zunächst muss geprüft werden, ob eine Rechtsgrundlage für die Datenverarbeitung besteht. Darüber hinaus müssen die Grundsätze aus Art. 5 DSGVO eingehalten werden (1. Stufe). Erst danach kann die Übermittlung nach einem der Mechanismen des Kapitels V DSGVO legitimiert werden (2. Stufe).
Kapitel V – Übersicht zu den Übermittlungsinstrumenten
Ein Angemessenheitsbeschluss gemäß Art. 45 DSGVO ermöglicht eine Datenübermittlung an ein Drittland, wenn die Europäische Kommission feststellt, dass ein gleichwertiges Datenschutzniveau wie in der EU gegeben ist. Hierbei muss auch die Existenz von Rechtsbehelfen für betroffene Personen geprüft werden. Das EU-US Data Privacy Framework ist ein solcher Angemessenheitsbeschluss, der auf zertifizierte Stellen beschränkt ist.
Geeignete Garantien gemäß Art. 46 DSGVO sind weitere Mechanismen zur Legitimierung von Drittstaatenübermittlungen. Hierzu gehören beispielsweise Standardvertragsklauseln (Standard Contractual Clauses) und Verhaltensregeln. Diese sollen ein gleichwertiges Datenschutzniveau sicherstellen. Dabei sollte stets beachtet werden, dass zusätzliche Maßnahmen erforderlich sein können, um das geforderte Schutzniveau zu erreichen.
Informationen für Daten übermittelnde Stellen (Datenexporteure)
US-Organisationen, die der Aufsicht der FTC oder des DOT unterliegen, können sich selbst im Rahmen des DPFs zertifizieren. Die Zertifizierung erfordert die Übermittlung von Informationen an das US-Handelsministerium, und zertifizierte Organisationen verpflichten sich zur Einhaltung der EU-US DPF-Vorgaben. Das US-Handelsministerium führt eine Liste zertifizierter Organisationen, auf die EU-Datenexporte gestützt werden können. Jährliche Überprüfungen sind erforderlich. Dabei sollte beachtet werden, dass die Zuständigkeiten der FTC und des DOT begrenzt sind, und nicht alle Branchen abdecken.
Umfassende Erläuterungen
Auch wenn die Erläuterungen auf der Webseite des DPFs recht umfangreich sind, so sind sie nicht sehr übersichtlich gestaltet. Die Anwendungshinweise der DSK sind deutlich übersichtlicher und verschaffen somit einen guten Überblick über dieser Thematik. Neben den allgemeinen Informationen und den Informationen für Daten übermittelnde Stellen werden auch Informationen für betroffene Personen zu Rechtsschutzmöglichkeiten zur Verfügung gestellt.
Fazit
Die Anwendungshinweise bieten eine gute Orientierungshilfe für Organisationen, die mit Drittstaatenübermittlungen zu tun haben. Das Dokument bietet sowohl Datenexporteuren als auch betroffenen Personen Informationen zum Datenschutz bei der Übermittlung von Daten in die USA. Es verweist auf weitere Ressourcen und Materialien für zusätzliche Informationen, einschließlich solcher vom Europäischen Datenschutzausschuss.
In Bezug auf die Zukunft des Angemessenheitsbeschlusses EU-US Data Privacy Framework, der vor dem Hintergrund früherer Aufhebungen von Angemessenheitsbeschlüssen für die USA erlassen wurde, kann die Datenschutzkonferenz keine Vorhersagen treffen. Zum aktuellen Zeitpunkt ist dieser Beschluss jedoch geltendes EU-Recht. Die DSK weist darauf hin, dass regelmäßige Evaluierungen durch die EU-Kommission vorgesehen sind, die zu Anpassungen oder Aufhebungen führen könnten. Darüber hinaus bestehe auch die Möglichkeit einer gerichtlichen Überprüfung dieses neuen Angemessenheitsbeschlusses.
Weitere Informationen und detaillierte Empfehlungen sind in den Anwendungshinweisen der Datenschutzkonferenz verfügbar.
1. Dezember 2022
Vergangene Woche veröffentliche die Konferenz der unabhängigen Datenschutzbehörden des Bundes und Länder (DSK) die „Petersberger Erklärung“, in der sie sich „zur datenschutzkonformen Verarbeitung von Gesundheitsdaten in der wissenschaftlichen Forschung“ äußerte. Konkret behandelte die DSK die Frage, wie der Gesetzgeber den Rahmen für eine datenschutzkonforme Verarbeitung von Forschungsdaten schaffen könne.
Forderung nach neuer Rechtsgrundlage
Zunächst betonte die DSK, dass neben der Möglichkeit, einen europäischen Gesundheitsdatenraum (wir berichteten) auszugestalten, auf nationaler Ebene der Bedarf zur Regelung der Nutzung von Forschungsdaten bestehe. Dabei bekräftigte die DSK als zentrale Forderung, dass die Einzelperson „(…) nicht zum bloßen Objekt der Datenverarbeitung gemacht werden“ dürfe.
Aus Sicht der DSK könne die Rechtsgrundlage für die Nutzung von Forschungsdaten eine datenschutzrechtliche Einwilligung im Sinne des Art. 4 Nr. 11 iVm Art. 7 DSGVO sein. Alternativ könne der Gesetzgeber eine gesetzliche Regelung als Rechtsgrundlage zur Datenverarbeitung schaffen. Dabei müsse eine Interessenabwägung erfolgen. Es sei einerseits das Recht auf informationelle Selbstbestimmung der betroffenen Personen zu beachten. Andererseits sei das Gemeinwohlinteresse zu berücksichtigen, zu dessen Zweck die Forschung erfolge.
Forderung nach weitreichenden Schutzmaßnahmen
Außerdem unterstrich die DSK die Wichtigkeit geeigneter „Garantien für die Rechte und Freiheiten betroffener Personen“. Geeignete Maßnahmen zum Schutz seien zunächst die Datenminimierung und Anonymisierung. Wenn eine Anonymisierung nicht möglich sei, solle zumindest eine Pseudonymisierung erfolgen. Letztere könne Aufgabe einer zu erschaffenden unabhängigen und eigenverantwortlichen Vertrauensstelle sein.
Soweit Forschende personenbezogene Daten aus verschiedenen Datenbanken verknüpfen wollen, solle eine Regelung besondere Schutzmaßnahmen vorsehen. Insbesondere die Einführung einer technischen Methode solle sicherstellen, dass trotz der Verknüpfung betroffene Personen nicht identifiziert werden können. Außerdem solle der Gesetzgeber festlegen, wer für einzelne Verarbeitungstätigkeiten im Forschungsprozess Verantwortlicher iSd Art. 4 Nr. 7 DSGVO sei.
Darüber hinaus äußerte die DSK sich zu der Regelung eines medizinischen Registers. Sie empfahl, dass zunächst eine Übersicht über die bereits bestehenden Register einzurichten sei. Auf diese Weise könne der Gesetzgeber dazu beitragen, eine mehrfache Datensammlung zu vermeiden. Bei der Errichtung eines neuen Register sei ein Standard für die einzuhaltende Qualität festzulegen.
Forschungsgeheimnis und neue Befugnisse
Im Anschluss forderte die DSK die Einführung eines Forschungsgeheimnisses. Das Ziel sei es, die unbefugte Offenlegung von Forschungsdaten unter eine Strafe zu stellen.
Abschließend forderte die DSK, dass die Datenschutzaufsichtsbehörden neue Befugnisse erhielten. Sie sollten erlassene Maßnahmen sofort vollziehen können.
7. April 2022
Während der 103. Sitzung der Datenschutzkonferenz (DSK) stellte eine eigens eingerichtete Taskforce ihr Gutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook– Fanpages vor. Die DSK hatte diese Taskforce anlässlich eines Urteils des EuGH vom 05. Juni 2018 (C-210/16 „Wirtschaftsakademie“) eingerichtet. Der EuGH hatte festgestellt, dass der Betreiber einer Fanpage auf Facebook und Facebook gemeinsam Verantwortliche iSd Art. 26 DSGVO sind. Ausreichend für die gemeinsame Verantwortlichkeit war es, dass der Betreiber der Fanpage Kriterien festlegen kann, nach denen Facebook eine anonymisierte Statistik erstellt und somit „(…) an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt ist.“ (EuGH, Urteil v. 05.06.2018, C-210/16, Rn. 39)
Die Taskforce untersuchte in ihrem Gutachten, ob die Verwendung der sog. Insights durch die Betreiber von Fanpages vor dem Hintergrund der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO rechtmäßig ist. Insights sind von Facebook gesammelte Statistiken, mit denen das Nutzerverhalten auf Fanpages dokumentiert werden kann.
Es wurde festgestellt, dass Facebook keine ausreichenden Informationen zur Verfügung stelle, um bewerten zu können, ob die Datenverarbeitung im Zusammenhang mit Insights datenschutzkonform erfolge. Der Betreiber einer Fanpage müsse als gemeinsam mit Facebook Verantwortlicher eine für die Datenverarbeitung erforderliche Rechtsgrundlage nachweisen können.
Als Rechtsgrundlage komme weder die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO noch ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO in Betracht. Aufgrund der unzureichenden Informationslage stünden den Betreibern nicht die Informationen zur Verfügung, derer es für eine wirksame Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO bedarf. Aus dem gleichen Grund könne ebenfalls keine Interessenabwägung erfolgen, die für die Begründung eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO erforderlich sei. Außerdem sei es den Betreibern einer Fanpage demnach auch nicht möglich ihren Informationspflichten nach Art. 13 DSGVO nachzukommen.
Reaktion auf das Kurzgutachten
Als Reaktion auf dieses Gutachten hat die DSK beschlossen, dass alle den Datenschutzbeauftragten des Bundes und der Länder unterstehende Bundes- und Landesbehörden ihre Facebook-Fanpages auf datenschutzrechtliche Konformität überprüfen und ggf. abstellen sollten. Aufgrund ihrer Vorbildfunktion sollten zunächst die Facebook – Fanpages öffentlicher Stellen kontrolliert werden.
Daraufhin informierten u.a. die Datenschutzbeauftragten der Länder Bremen und Brandenburg die ihnen unterstehenden öffentlichen Behörden über die nun zu ergreifende Maßnahmen.
1. Februar 2022
Am 27.01.2022 fand die erste Zwischenkonferenz der Datenschutzbeauftragten des Bundes und der Länder im neuen Jahr 2022 statt. In diesem Rahmen wurden aktuelle datenschutzrechtliche Fragen und Themen neu evaluiert und erörtert. Dabei soll die Sicherstellung des Grundrechts auf informationelle Selbstbestimmung gewährleistet werden.
Unter dem Vorsitz des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Herrn Prof. Ulrich Kelber wurden auch die grundrechtlichen Bedenken bei der Kontaktdatenerfassung in der Corona- Pandemie durch die Gesundheitsämter neu thematisiert.
Dabei merkte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit an, dass die Sammlung von Kontaktdaten bei aktuell sehr hohen Infektionszahlen ihren notwendigen Zweck nicht erfüllen, weil sie von den überlasteten Gesundheitsämtern nur noch wenig genutzt werden. Auch bei niedrigen Infektionszahlen sieht der Bundesbeauftragte dahingehend ein Problem, dass ein unverhältnismäßiger Eingriff in das Grundrecht auf informationelle Selbstbestimmung der betroffenen Personen vorliegt
Im Rahmen der Datenschutzkonferenz wurde auf Grundlage dessen eine Forderung formuliert, die Möglichkeiten der Corona-Warn App zu nutzen, anstatt weiterhin umfassend Kontaktdaten zu sammeln, welche in diesem Kontext sensible Gesundheitsdaten im Sinne des Art. 9 DSGVO darstellen. “Die App warnt schnell über mögliche Risikokontakte und ist dank der dezentralen Struktur besonders sicher”.
Die DSK sieht eine Realisierung der Forderung auch darin, dass im Landesrecht Regelungen für die Corona-Warn-App vorgesehen werden, um dann besser von den Landesregierungen als sicher beworben und bekannt gemacht werden zu können.
Weitere aktuelle Informationen zur Datenschutzkonferenz finden Sie hier.
21. November 2019
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) führt zur Überprüfung von Windows 10 das Projekt „SiSyPHuS Win10“ (Studie zu Systemintegrität, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10) durch. Es sollen die sicherheitskritischen Funktionen einer Nutzung von Windows 10 bewertet und Rahmenbedingungen und Empfehlungen für einen sicheren Einsatz von Windows 10 erstellt werden.
Das BSI hat die Ergebnisse des ersten Teilbereichs der Studie nun veröffentlicht. In diesem ersten Projektteil werden die Telemetriefunktionen von Windows10 analysiert. Nach Einschätzung des BSI werden trotz verschiedener Konfigurations-Level stetig Daten übertragen. Eine vollständige Unterbindung der Erfassung und Übertragung von Telemetriedaten durch Windows sei zwar technisch möglich, für den einfachen Nutzer allerdings nur schwer umzusetzen.
Zu diesem Zusammenhang haben die Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) ein Prüfschema für Unternehmen, die das Microsoft Betriebssystem Windows 10 benutzen, veröffentlicht. Kernpunkt ist die regelmäßige Übertragung von Nutzerdaten in die USA. Die Aufsichtsbehörden stellen fest, dass eine vollständige Unterbindung des Datentransfers “aktuell nicht möglich” sei. Nach Ansicht der Aufsichtsbehörden sollte zunächst sichergestellt und dokumentiert werden, welche personenbezogenen Daten an Microsoft übermittelt werden. Allerdings ist dies wegen des fortlaufenden Veränderns und Hinzufügens von Funktionalität durch Microsoft nicht möglich. Generell lasse sich die Frage, ob Windows 10 datenschutzkonform ist, nicht beantworten. Nach Einschätzung der deutschen Aufsichtsbehörden müssten die verantwortlichen Nutzer in Unternehmen und Behörden eben “das Restrisiko” so minimieren, dass es “tragbar” sei.
