Schlagwort: DSGVO
26. Mai 2021
Der Essenslieferdienst Lieferando speichert detaillierte Tracking-Daten seiner Fahrer. Dies berichtet der Bayerische Rundfunk. Den Stein ins Rollen gebracht hatten Angestellte von Lieferando, die Auskunft über ihre gespeicherten personenbezogenen Daten verlangten, die dem BR vorliegen.
Über die App “Scoober” werden pro Lieferung 39 Datenpunkte erfasst – von der Zuteilung der Bestellung über die Abholung bis zur Auslieferung an die Kunden. Alle 15 bis 20 Sekunden wird der genaue Standort des Fahrers gespeichert. Über diese Datenpunkte kann festgestellt werden, ob die Fahrer die jeweiligen Vorgaben erreichen, Verspätungen werden personalisiert gespeichert. Für Fahrer in Vollzeit kommen so 100.000 Datenpunkte pro Jahr zusammen. Die Datensätze reichen überdies zum Teil bis ins Jahr 2018 zurück.
Lieferando selbst hält die Daten für notwendig, um den Lieferbetrieb ordnungsgemäß durchführen zu können. Außerdem stehe die Datenverarbeitung im Einklang mit der Datenschutz-Grundverordnung. Eine Leistungs- oder Verhaltenskontrolle der Mitarbeiter finde nicht statt. Daran zweifelt der Vorsitzende des Gesamt-Betriebsrats für Deutschland, Semih Yalcin, und hält die Datenverarbeitung für “totale Überwachung” und “unverhältnismäßig”.
Diese Kritik teilt der Datenschutzbeauftragte des Landes Baden-Württemberg, Stefan Brink. Er hat sich der Sache nach einer Beschwerde eines Fahrers angenommen. Die dauerhafte Überwachung der Arbeitsleistung sei nach Einschätzung seiner Behörde “klar rechtswidrig”. Allerdings hat er die Angelegenheit und seine Untersuchungsergebnisse an die niederländische Datenschutzbehörde weitergegeben. Lieferando gehört zum niederländischen Mutterkonzern Just Eat Take Away, daher muss die DPA die weiteren Ermittlungen anstellen. Diesem droht nun eine zweistellige Millionenstrafe: da der Umsatz von Just Eat Take Away in der Corona-Pandemie im Jahr 2020 um 54 % auf 2,4 Milliarden Euro gestiegen ist und nach der DSGVO die Strafe bis zu vier Prozent des weltweiten Jahresumsatzes betragen kann, droht ein Bußgeld von bis zu 96 Millionen Euro.
25. Mai 2021
Am 25.05.2018 trat die Datenschutz-Grundverordnung (DS-GVO) in Kraft. Ihr Ziel ist es, natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu schützen. Doch diese positiven Aspekte haben auch Nachteile, besonders für kleine und mittlere Unternehmen.
Viel Bürokratie, wenig Kontrolle
Für viele, besonders kleinere, Unternehmen bedeutet die Umsetzung der DS-GVO viel Bürokratie. Es kommt auch immer häufiger vor, dass ehemalige Mitarbeiter Auskunft über ihre personenbezogenen Daten vom Unternehmen verlangen. Ein Anspruch, der kleinere Unternehmen vor große Herausforderungen stellt und nicht selten damit endet, dass das Unternehmen eine höhere Abfindung zahlt, um sich, ohne Auskunft, zu vergleichen.
Außerdem ist der Vollzug der DS-GVO schwierig. Jeder EU-Mitgliedstaat hat eigene Aufsichtsbehörden, in Deutschland gibt es 17 Landesbehörden und den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Es ist leicht nachvollziehbar, dass die DS-GVO unterschiedlich interpretiert wird. Der Bundesdatenschutzbeauftragte Kelber spricht sich daher für eine engere Abstimmung der einzelnen Aufsichtsbehörden aus.
Einheitlichkeit in Europa
Dennoch dürfte das Fazit nach drei Jahren DS-GVO positiv ausfallen. Viele Menschen in Europa machen Gebrauch von ihren Betroffenenrechten. Die DS-GVO hat die Vereinheitlichung des Datenschutzes in Europa erreicht. Außerdem ist es ein Kernanliegen der DS-GVO, natürlichen Personen verschiedene Instrumente an die Hand zu geben, um sich auch gegen die großen Unternehmen und sozialen Netzwerke zur Wehr setzen zu können. Sie hat das Bewusstsein der Nutzer für Privatsphäre im Internet gestärkt. Damit hat sich die DS-GVO zu einem weltweiten Vorbild für den Datenschutz entwickelt.
Quo vadis, DS-GVO?
Wie praktisch jedes Gesetz hat auch die DS-GVO noch Luft nach oben. Die EU-Kommission hat im Sommer 2020 eine Prüfung in Aussicht gestellt, ob kleinere und mittlere Unternehmen von manchen Regelungen ausgenommen werden können. In diesem Zusammenhang könnte sich Ulrich Kelber vorstellen, einzelne Pflichten zu entbürokratisieren, zumindest in Fällen, in denen jedem klar sein müsse, dass eine Datenverarbeitung stattfinde. Außerdem möchte er Schwächen beim Scoring und Profiling ausbessern. Die Evaluierung der DS-GVO ist allerdings erst für 2024 angesetzt.
7. Mai 2021
Microsoft kündigte in einem Blogbeitrag vom 6. Mai 2021 an, ab Ende 2022 personenbezogene Daten europäischer Kunden nur noch innerhalb der EU zu verarbeiten und speichern. Dies gelte, so Microsoft, für alle zentralen Cloud-Dienste von Microsoft, d.h. Azure, Microsoft 365 und Dynamics 365. Microsoft verspricht mit seinem “EU Data Boundary for the Microsoft Cloud”, d.h. einer EU-Datengrenze für seine Cloud-Lösungen, zukünftig keine Daten seiner Kunden mehr aus der EU heraus transferieren zu müssen. Das Angebot richte sich an Kunden aus dem öffentlichen Sektor und Unternehmenskunden, so der Konzern.
Damit reagiert Microsoft erneut auf das vom Europäischen Gerichtshof (EuGH) im Juli letzten Jahres ergangene Schrems-II-Urteil, dass das Datenschutzabkommen Privacy Shield und damit die rechtliche Grundlage für den Transfer personenbezogener Daten zwischen der EU und den USA wegen ungenügenden Datenschutzes gekippt hat. Nach Ansicht des EuGH haben die USA kein mit der EU vergleichbares Datenschutzniveau. Begründet wird dies insbesondere damit, dass US-Geheimdienste aufgrund des US Gesetzes “Cloud Act” einen umfangreichen Zugriff auf die bei amerikanischen Unternehmen gespeicherten Daten haben.
Geplant ist laut Microsoft in den kommenden Monaten in einen engen Austausch mit seinen Kunden aber auch den Aufsichtsbehörden zu gehen, um damit den Vorschriften zum Schutz der Daten gerecht zu werden. Ob dieses Vorhaben gelingen wird, bleibt abzuwarten. Unklar bleibt auch noch, ob dadurch die Unsicherheiten bei einem Datentransfer zwischen Europa und den USA beseitigt werden kann. Zunächst ist weiterhin der Microsoft-Konzern rechtlich für die Clouddaten verantwortlich. Dies könne laut dem österreichischen Datenschutzaktivist Max Schrems nur dadurch behoben werden, “wenn eine völlig weisungsfreie Einheit in der EU, bei der die Daten bleiben, erreicht würde” – so Schrems gegenüber der Deutschen Presse-Agentur.
Microsoft verweist diesbezüglich auf seine Nutzer selbst. Diese könnten bereits jetzt durch die Verwendung von kundenverwalteten Schlüsseln, die Verschlüsselung ihrer Daten selbst konfigurieren und insbesondere kontrollieren und damit vor einem unzulässigen Zugriff durch staatliche Stellen schützen.
Die Aufsichtsbehörden haben sich zu dem Plan von Microsoft noch nicht geäußert. Vielmehr haben diese erst vor kurzem eine Task-Force eingerichtet, um den Risiken bei der Nutzung von Cloud-Diensten entgegenzuwirken.
28. April 2021
Mit Urteil vom 27.04.2021 hat das Bundesarbeitsgericht entschieden, dass ein entlassener Angestellter nicht vom früheren Arbeitgeber verlangen kann, eine Kopie seiner gesamten E-Mail-Kommunikation zur Verfügung gestellt zu bekommen (BAG, Urt. v. 27.4.2021, Az. 2 AZR 342/20). Der Kläger stützte sein Begehren auf Art. 15 Abs. 3 DSGVO.
Nach seiner Kündigung klagte der Wirtschaftsjurist auf Auskunft über die von ihm gespeicherten personenbezogenen Daten und forderte eine Kopie dieser Daten. Mit solchen Vorgehen versuchen Gekündigte nicht selten, in Kündigungsschutzprozessen Druck auf den Arbeitgeber auszuüben oder beispielsweise eine höhere Abfindung zu bekommen. Die Auskunft wurde ihm erteilt, wegen der Kopie des E-Mail-Verkehrs reichte der Gekündigte Klage ein. Bereits in der Vorinstanz beim Landesarbeitsgericht Niedersachsen musste er eine teilweise Niederlage einstecken. Von seinen eigenen E-Mails könne er keine Kopie verlangen, da ihm diese schon bekannt seien.
Dem anschließend hat der 2. Senat des BAG dem “Recht auf Kopie” nun klare Grenzen gesetzt. Der Auskunftsanspruch muss vom Arbeitgeber erfüllt werden. Eine Kopie muss er allerdings nur dann überlassen, wenn die Unterlagen genau bezeichnet werden. Daran fehlte es auch vorliegend. Da der Kläger lediglich ein pauschales Verlangen vorbrachte, die E-Mails aber nicht konkret benannte, war der Klageantrag nicht nach § 253 Abs. 2 Nr. 2 ZPO hinreichend bestimmt. In einem späteren Zwangsvollstreckungsverfahren sei sonst nicht klar, welche E-Mails der Arbeitgeber herausgeben müsse. In solchen Fällen, in denen die konkrete Bezeichnung nicht möglich ist, müsste der Anspruch im Wege einer Stufenklage nach § 254 ZPO verfolgt werden.
Durch diese Form der Klageabweisung hat es das BAG nun offengelassen, wie weit der materiell-rechtliche Anspruch auf Überlassung von Kopien tatsächlich reicht und ob E-Mails vom Anspruch aus Art. 15 Abs. 3 DSGVO überhaupt erfasst sind.
7. April 2021
Für die Übermittlung personenbezogener Daten in Drittländer sind durch Entscheidung des EuGH bereits Voraussetzungen für Unternehmen entwickelt worden. Diese sollten insbesondere in Anbetracht der aktuellen Arbeit der Datenschutzbehörden von den Unternehmen regelmäßig überprüft werden.
In dem konkreten Fall geht es um Mailchimp, einem US-Newsletter Dienstleister. Ein Newsletter Empfänger war an die bayerische Datenschutzbehörde herangetreten. Die Datenschützer entschieden, dass die Nutzung des Newsletter Dienstes nicht zulässig sei.
Mailchimp nutzt für die Übermittlung der personenbezogenen Daten in Drittländer die EU-Standardvertragsklauseln nach Artikel 46 der DSGVO. Zusätzlich muss jedoch eine Prüfung vorgenommen werden, die das Datenschutzniveau ermittelt, um die Notwendigkeit “zusätzlicher Maßnahmen” festzustellen.
Weil die Prüfung nicht geschah, entschied das Bayerische Landesamt für Datenaufsicht, dass Mailchimp von dem Unternehmen nicht weiter genutzt werden darf. Die Entscheidung der Datenschutzbehörde zeigt die Notwendigkeit der Einhaltung der Vorgaben bei der Übermittlung von Daten in Drittländer. Damit wird bei der Datenübertragung in die USA die Datenschutzkonformität in den Vordergrund gestellt.
Es liegt im Verantwortungsbereich des Unternehmens die Maßnahmen, die der Anbieter im Drittland trifft, datenschutzrechtlich zu prüfen, um die personenbezogenen Daten zu schützen. Daraus folgend kann das Unternehmen alternative Anbieter ermitteln oder den Aufwand für eine Umstellung festhalten.
6. April 2021
Weil Booking.com einen Datenschutzvorfall zu spät gemeldet hat, hat die niederländische Datenschutzbehörde Autoriteit Persoonsgegevens (AP) eine Strafe in Höhe von 475.000 Euro verhängt. Bereits 2019 konnten Hacker auf die Daten von über 4000 Kunden zugreifen, darunter auch Personalausweis- und Kreditkartendaten. Die Entscheidung zeigt, dass nicht nur die Verhinderung von Datenpannen höchste Priorität hat, sondern auch der konstruktive Umgang mit den Betroffenen und der Aufsichtsbehörde, wenn es doch einmal zur Datenpanne gekommen ist.
Über Mitarbeiterkonten mehrerer Hotels in den Vereinigten Arabischen Emiraten haben die Hacker Zugang zu den Daten bekommen. Dieser Zugang könnte durch “social-engineering”-Techniken (im negativen Kontext: das Ausnutzen einer Schwachstelle eines Menschen) oder Phishing erlangt worden sein. Daher sieht sich Booking.com nicht in der Verantwortung und stellt sich auf den Standpunkt, die Daten seien nicht über die eigene IT-Infrastruktur abgegriffen worden.
Die AP sieht hingegen Hinweise auf eine Mitverantwortung des Betreibers. Das große Problem für Booking.com ist jedoch, dass sie die Datenpanne erst nach 22 Tagen den betroffenen Kunden und nach 25 Tagen der Aufsichtsbehörde gemeldet haben. Nach Artikel 33 Abs. 1 DSGVO muss eine entsprechende Meldung aber binnen 72 Stunden nach Bekanntwerden beim Verantwortlichen erfolgen. Booking.com arbeitet nun an einer Verbesserung seiner internen Prozesse.
1. April 2021
EU-Justizkommissar Didier Reynders und der Vorsitzende der Kommission für den Schutz personenbezogener Daten Yoon Jong In haben den erfolgreichen Abschluss der Angemessenheitsgespräche bekannt gegeben. Die Gespräche begannen bereits 2017. Beim Thema Datenschutz herrsche ein hohes Maß an Übereinstimmung zwischen der EU und der Republik Korea. Beide Seiten einigten sich auf einige zusätzliche Garantien, um das Schutzniveau in Südkorea noch einmal zu stärken. Zuvor wurden im südkoreanischen Datenschutzgesetz entscheidende Änderungen beschlossen, u.a. eine Stärkung der Ermittlungs- und Durchsetzungsbefugnisse der PIPC, der unabhängigen Datenschutzbehörde der Republik Korea.
Bis es zum freien Datenfluss kommen kann, muss die EU-Kommission das Verfahren zur Annahme ihrer Angemessenheitsfeststellung einleiten. In diesem Verfahren muss der Europäische Datenschutzausschuss eine Stellungnahme abgeben und ein Ausschuss, der sich aus Vertretern der EU-Mitgliedstaaten zusammensetzt, zustimmen. Anschließend stellt sie die Angemessenheit fest.
Die EU-Kommission kann gemäß Art. 45 Abs. 3 DSGVO beschließen, dass ein Drittland ein “angemessenes Schutzniveau” bietet, also der Schutz personenbezogener Daten im Wesentlichen mit dem in der EU vergleichbar ist. Auf Grundlage dieser Angemessenheitsbeschlüsse dürfen personenbezogene Daten aus der EU in das Drittland übermittelt werden, ohne das weitere Schutzmaßnahmen ergriffen werden müssen. Südkorea wird das 13. Land sein, in das personenbezogene Daten auf der Grundlage eines Angemessenheitsbeschlusses übermittelt werden dürfen.
29. März 2021
Immer wieder zeigt sich in Umfragen, dass sich Internet-Nutzer von sog. Cookie-Bannern in ihrem Nutzungserlebnis eingeschränkt fühlen, oder diese wegen ihrer Komplexität nicht verstehen und deswegen oft ungeprüft akzeptieren. Auch die Politik beschäftigt sich seit dem Aufkommen der Cookie-Banner wiederholt mit der Frage, wie diese in Zukunft gestaltet werden sollen. Nun hat sich auch das Bundesjustizministerium dafür ausgesprochen, dass Cookie-Banner nutzerfreundlicher gestaltet werden sollen.
Auf eine Anfrage des Handelsblatt hin äußerte sich Staatssekretär Christian Kastrop, dass das Problem im Wesentlichen in der Gestaltung der Cookie-Banner liege. Diese würden durch die Anbieter undurchsichtig und kompliziert designed oder mit langen Texten versehen, sodass die Nutzer schnell genervt seien und die Cookie-Nutzung oftmals ungeprüft akzeptieren. Notwendig sei deshalb, die erforderliche Einwilligung “einfach, verständlich und rechtssicher“ auszugestalten.
Unterschiedliche Lösungsansätze
Die Regierungsparteien sind sich über die Art und Weise, wie dies erreicht werden soll, aber scheinbar nicht einig. Während die Union einheitliche Voreinstellungen, welche durch die Dienstanbieter verwaltet werden und dann für alle Webseiten gelten sollen, ins Spiel bringt, verweist die SPD auf eine europäische Lösung: die Regelung der Thematik in der neuen E-Privacy-Verordnung, welche nun bereits seit Jahren auf sich warten lässt. Diesen Weg schlägt auch die Landesbeauftragte für Datenschutz aus Schleswig-Holstein vor.
Verbraucherschützer fordern ebenfalls eine einfachere Regelung zum Schutz der Nutzer. Auch hier wird eine einheitliche Lösung über den Internet-Browser bzw. das Betriebssystem vorgeschlagen, jedoch als Standardeinstellung eine Verweigerung der Cookie-Nutzung gefordert. Der Verwendung von Cookie müsste dann ausdrücklich zugestimmt werden.
Nutzerfreundlichkeit sieht auch der Vorschlag der Hamburger Grünen vor, wonach zwei Schaltflächen für “Cookies akzeptieren” und “Cookies ablehnen” gleichberechtigt nebeneinander stehen sollen, also ohne Unterschiede im Design (wie Farbe oder Größe). Über eine dritte Schaltfläche könnten dann individuelle Einstellungen vorgenommen werden.
Nicht wenige Unwägbarkeiten
Die Diskussion über die Zukunft der Cookie-Banner ist gerechtfertigt. Für Dienstanbieter bedeuten Cookie-Banner Mehraufwand, für Nutzer regelmäßig unübersichtliche Ärgernisse. Eine nationale Regelung trifft jedoch sowohl auf tatsächliche als auch auf rechtliche Hindernisse. Einerseits erscheint es fraglich, welchen Mehrwert eine deutsche Regelung im länderübergreifend operierenden Internet bietet, andererseits müsste das Gesetz die europarechtlichen Vorgaben erfüllen.
Ähnliche Probleme ergeben sich bei der einheitlichen Cookie-Verwaltung. Die Anzahl der im Internet eingesetzten Cookies ist kaum zu überblicken, sodass es nur schwer vorstellbar ist, dass hier eine Auswahl aller in Betracht kommender Cookies möglich ist. Wird dann stattdessen in Kategorien von Cookies eingewilligt? Wenn ja, wie verhält sich dies mit der Vorgabe der Datenschutz-Grundverordnung in die Informiertheit einer Einwilligung? Dies alles sind Fragen, die in diesem Zusammenhang der Klärung bedürften.
1. März 2021
Übersieht ein Arbeitgeber bei der Beendigung des Beschäftigungsverhältnisses, dass das Profil eines ehemaligen Arbeitnehmers weiterhin im Internet abrufbar ist, so liegt darin eine Persönlichkeitsrechtsverletzung, die einen Schmerzensgeldanspruch des Arbeitnehmers rechtfertigt.
Das hat das Landesarbeitsgericht Köln mit Urteil vom 14.09.2020 (Az.: 2 Sa 358/20) entschieden, als es der Klägerin, die bei der Beklagten bis August 2018 als Professorin beschäftigt war, ein Schmerzensgeld von 300 Euro zusprach.
Die Beklagte speicherte im Rahmen des Beschäftigungsverhältnisses das Profil der Klägerin als PDF auf ihrer Homepage. 2015 stellte die Beklagte ihre Homepage auf HTML um. Dabei übersah sie, dass die isolierte PDF-Datei weiterhin im Internet abrufbar blieb. Mit der Folge, dass auch bei Beendigung des Beschäftigungsverhältnisses, als die Beklagte die Löschung des Profils der Klägerin nebst Foto vornahm, diese das PDF ebenfalls übersah.
Nach Beendigung des Arbeitsverhältnisses im Februar 2019 entdeckte die Klägerin dies, als sie ihren Namen googelte und das PDF unter den ersten zehn Treffern abrufbar war. Daraufhin verlangte sie von der Beklagten die Löschung des Profils sowie von Artikeln über ihre Forschungsvorhaben. Dem kam die Beklagte unverzüglich nach. Dennoch erhob die Klägerin Klage vor dem Arbeitsgericht Köln und verlangte von der Beklagten unter anderem ein Schmerzensgeld in Höhe von 1.000 Euro aus Art. 82 DSGVO wegen der unberechtigten Vorhaltung des PDF auf dem Server der Beklagten.
Erstinstanzlich hat das Arbeitsgericht Köln der Klägerin Schadensersatz nach Art. 82 DSGVO in Höhe von 300 Euro zugesprochen, da es in der Vorhaltung des PDF eine Persönlichkeitsrechtsverletzung der Klägerin – und mithin einen immateriellen Schaden – sah. Dagegen legte die Klägerin Berufung ein. Das Landesarbeitsgericht Köln lehnte die Berufung der Klägerin ab. Dazu bestätigte es die Ausführungen der ersten Instanz nochmals:
Die Beklagte habe gegen Art. 17 DSGVO, das Recht auf Löschung, verstoßen. Danach hat die betroffene Person das Recht, von einem Verantwortlichen zu verlangen, dass die betreffenden personenbezogenen Daten unverzüglich gelöscht werden, sofern diese nicht mehr notwendig sind. Die Beklagte hätte daher nach Beendigung des Arbeitsverhältnisses das Profil der Klägerin vollständig löschen müssen. Eine vollumfängliche Löschung nahm sie, wenn auch aus einem Versehen heraus, vorliegend aber nicht vor. Darin sah das Gericht einen Verstoß. Bei diesem handelte es sich laut Gericht auch nicht um ein Bagatelldelikt, da es für Dritte ohne Weiteres möglich war, durch Eingabe der entsprechenden Suchbegriffe die zu Unrecht nicht gelöschte Seite aufzurufen.
Der Höhe nach gaben beide Instanzen der Klage jedoch nicht vollumfänglich statt. Zwar soll die Verhängung eines Schadensersatzes abschreckende Wirkung haben, um zukünftige Verstöße zu vermeiden – zu berücksichtigen sei aber ebenfalls die Schwere der Beeinträchtigung. Eine solche Schwere, die ein Schmerzensgeld von 1.000 Euro rechtfertigt, konnten beide Instanzen nicht erkennen. Insbesondere verneinten sie eine Reputationsschädigung der Klägerin. Vielmehr waren die veröffentlichten Tatsachen über die Klägerein inhaltlich richtig. Zudem sei auch nicht erkennbar, dass für die Beklagte irgendein Mehrwert mit der kurzzeitigen Aufrechterhaltung der Sichtbarkeit des PDF verbunden war. Daher – und unter Berücksichtigung, dass es sich nur um ein Versehen der Beklagten handelte – sei im vorliegenden Fall ein Schmerzensgeld von 300 Euro angemessen.
Beim Ausscheiden von Mitarbeitern sollte unter Berücksichtigung des Art. 17 Abs. 1 DSGVO daher immer geprüft werden, ob die Voraussetzung für einen Löschanspruch bzw. für eine Löschpflicht durch den Arbeitgeber vorliegt. Dies dürfte bei der Beendigung eines Arbeitsverhältnisses fast immer der Fall sein, da der primäre Zweck der Datenspeicherung bzw. -verarbeitung in Form des Beschäftigtenverhältnisses in diesem Fall nicht mehr besteht.
17. Februar 2021
Immer wieder verlagern europäische Firmen ihre Daten auf die Server von US Konzernen und das obwohl der Europäische Gerichtshof im Juli letzten Jahres in dem sogenannten Schrems-II-Urteil das Datenschutzabkommen Privacy Shield und damit die rechtliche Grundlage für den Transfer personenbezogener Daten zwischen der EU und den USA wegen ungenügenden Datenschutzes gekippt hat.
Problematisch an diesem Datentransfer und einer Zusammenarbeit mit US-Cloud-Diensten ist insbesondere, dass US-Geheimdienste einen umfangreichen Zugriff auf die bei den amerikanischen Unternehmen gespeicherten Daten haben – und dass auch dann, wenn die Daten in Europa gespeichert werden.
Derzeit ist ein Datentransfer daher nur dann datenschutzrechtlich unbedenklich, solange die beteiligten Unternehmen alternative Lösungen zur Aufrechterhaltung eines angemessenen Datenschutzniveaus verwenden, wie zum Beispiel EU-Standardvertragsklauseln nebst zusätzlicher Garantien. Diese müssen jedoch – im Gegensatz zu einem Transferabkommen – für jeden Verarbeitungsvertrag separat ausgehandelt werden. Dies ist nicht nur aufwendig, sondern in der Praxis auch nur schwer umsetzbar, da in den meisten Fällen mit Amazon, Microsoft oder Google kein individueller Verarbeitungsvertrag geschlossen wird. Aus diesem Grund wünschen sich sowohl Datenschützer als auch die Industrie ein neues Abkommen.
Ein solches ist bislang noch nicht in Sicht. Daher setzen zahlreiche deutsche Unternehmen weiter auf die Lösungen von US-Cloud-Anbietern oder steigen gerade erst auf diese um, statt sich von ihnen zu lösen.
Die deutschen Aufsichtsbehörden wollen nun härter durchgreifen und die Einhaltung der Bestimmungen der Datenschutzgrundverordnung stärker kontrollieren.
Wie das Handelsblatt berichtete, haben die Aufsichtsbehörden zur Cloud-Problematik eine spezielle Task Force eingerichtet. Dabei wollen sie stichprobenartig bundesweit Unternehmen auswählen, bei denen die Vermutung besteht, dass sie Dienstleister aus Drittstaaten verwenden. Die Task Force soll mit deutschen Unternehmen den Einsatz von US-Cloud-Diensten besprechen und gegebenenfalls Alternativen vorschlagen wie z.B. einen Wechsel des Anbieters oder eine Aussetzung der Datenübermittlung. Aber auch die Verhängung von Bußgeldern ist laut den Datenschutzbehörden dann angezeigt, wenn keine zufriedenstellende Lösung gefunden werden kann. Diese können bis zu 20 Mio. Euro betragen oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes.
Es bleibt daher abzuwarten, wie die Datenschutzbehörden im Rahmen ihrer Task Force vorgehen werden, welche Bußgelder verhängt werden und ab wann eine europäische Lösung für die Frage der Drittsaatenübermittlung gefunden wird.
