Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 177f.
Fotos und die Datenschutz-Grundverordnung (DS-GVO) – das ist schon im privaten Bereich nicht immer einfach. Doch wie ist die Rechtslage, wenn staatliche Stellen, zum Beispiel im Rahmen der Öffentlichkeitsarbeit, zur Kamera greifen?
„Wir als Stadtverwaltung möchten ein Sommerfest durchführen. Was müssen wir bei den Fotografien beachten?“ „Wir sind eine Berufskammer und veranstalten einen Nachwuchstag. Müssen wir alle ausladen, die sich nicht vorher mit Fotos einverstanden erklären?“
Anfragen dieser Art erreichen mich regelmäßig. Das Engagement der Anfragenden bei der Organisation solcher Veranstaltungen ist groß – und die Erwartungen der öffentlichen Stellen an die Öffentlichkeitsarbeit sind es ebenfalls. Oft ist das Erstaunen groß, dass auch für Fotografien im Rahmen der Öffentlichkeitsarbeit einer öffentlichen Stelle eine Rechtsgrundlage erforderlich ist.
Ich möchte anhand der Rechtslage darstellen, wie eine öffentliche Stelle unter Beachtung der DS-GVO Fotografien im öffentlichen Bereich anfertigen und veröffentlichen kann.
Rechtsgrundlage erforderlich
Wichtig ist, dass man sich zunächst Folgendes klarmacht: Wenn eine öffentliche Stelle Fotos veröffentlicht, auf denen Personen identifizierbar sind, liegt eine Datenverarbeitung vor. Diese Datenverarbeitung durch die öffentliche Stelle bedarf einer Rechtsgrundlage. Das gilt erst recht dann, wenn zugleich besondere Kategorien personenbezogener Daten i.S.v. Art. 9 Abs. 1 DS-GVO betroffen sind. Das ist schon dann der Fall, wenn auf den Fotos Brillen, Rollstühle und andere Gesundheitsdaten erkennbar sind. Dann muss zusätzlich eine Rechtsgrundlage vorliegen, die die Anforderungen des Art. 9 DS-GVO erfüllt.
Im Gegensatz zu Privatpersonen und nicht-öffentlichen Stellen kann sich eine öffentliche Stelle nicht auf ein berechtigtes Interesse stützen (Art. 6 Abs. 1 Satz 1 lit. f DS-GVO). Das ergibt sich aus der ausdrücklichen Regelung des Art. 6 Abs. 1 Satz 2 DS-GVO, wonach die Rechtsgrundlage „Buchstabe f“ nicht für Behörden in Erfüllung ihrer Aufgaben gilt. § 3 des Niedersächsischen Datenschutzgesetzes (NDSG) zur Zulässigkeit der Verarbeitung findet in diesem Zusammenhang ebenfalls keine Anwendung.
Einwilligung muss freiwillig sein
Fotos, die im Rahmen behördlicher Öffentlichkeitsarbeit angefertigt werden, können daher nur auf eine Einwilligung der Betroffenen gestützt werden. Die Einwilligung ist in Art. 6 Abs. 1 lit. a DS-GVO und Art. 7 DS-GVO geregelt. Die Betroffenen müssen ihre Einwilligung stets freiwillig erteilen. Dieser Grundsatz bekommt hier eine besondere Bedeutung, weil Behörden und andere öffentliche Stellen, die im Rahmen ihrer Aufgaben bzw. begleitend zur Öffentlichkeitsarbeit Fotos veröffentlichen, sich grundsätzlich in einem sogenannten Über-/Unterordnungsverhältnis befinden. Daher müssen die öffentlichen Stellen anhand aller Umstände besonders gründlich prüfen, ob die Einwilligung freiwillig erteilt wurde (Erwägungsgrund Nr. 43 zur DS-GVO). Die Freiwilligkeit ist vor allem dann zu bejahen, wenn die Betroffenen die Einwilligung verweigern können, ohne Nachteile zu erleiden (z. B. ohne von der Veranstaltung ausgeschlossen zu werden, vgl. Erwägungsgrund Nr. 42 und Art. 7 Abs. 4 DS-GVO). Link: Kurzpapier der DSK „Einwilligungen nach der DS-GVO“
Wenn Fotos im Zusammenhang mit Pflichtveranstaltungen gemacht werden (z. B. in der Schule), kann die Einwilligung mangels einer echten Wahlmöglichkeit nicht freiwillig sein. Auch Gruppendruck sollte vermieden werden. Wenn dies beachtet wird, kommt außerhalb von Pflichtveranstaltungen die Freiwilligkeit einer Einwilligung in Betracht.
Daher ist eine freiwillige Einwilligung beispielsweise möglich bei Festen, Ehrungen, Preisverleihungen und Informationsveranstaltungen von Kommunen bzw. anderen öffentlichen Stellen. Im schulischen Bereich kommen sie z. B. bei der Einschulungsfeier, bei Klassenfotos im Schulgebäude, Fotos auf Klassenfahrten und Ausflügen bzw. in Jahrbüchern in Betracht.
Die eingangs zitierte Anfrage einer Berufskammer ist daher so zu beantworten: Wenn die Teilnahme an der Veranstaltung zwingend mit dem Anfertigen und Veröffentlichen von Fotos verknüpft wird, dann kann von einer nachteilsfreien, d.h. freiwilligen Einwilligung keine Rede sein. Die Berufskammer darf daher nur dann Fotos veröffentlichen, wenn sie die Teilnahme an der Veranstaltung nicht mit einer Einwilligung verknüpft. Mit anderen Worten: Es muss sichergestellt sein, dass die Einwilligung freiwillig erfolgt.
Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 177f.
Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 166f.
Digitale Kommunikationsmittel werden in Schulen zunehmend wichtiger. Über den Beginn meiner Prüfung zum Einsatz von WhatsApp habe ich bereits in meinem Tätigkeitsbericht 2017/2018 informiert. Diese wurde nun abgeschlossen, genau wie eine Prüfung zu elektronischen Klas- senbüchern.
Gegenstand der WhatsApp-Prüfung an 70 Schulen waren die Kommunikationswege, die zwischen den einzelnen Personengruppen (Lehrkräfte, Schülerinnen und Schüler, Eltern) genutzt werden. Ich wollte herausfinden, ob das von mir ausgesprochene Verbot der Nutzung des Messengers eingehalten wird. Ich hatte dies im „Merkblatt für die Nutzung von WhatsApp in Schulen“ (https://t1p.de/whatsapp-schule) erläutert.
Bequem und schnell, aber unzulässig
Die Prüfung hat ergeben, dass WhatsApp an zehn Schulen vor allem zur Kommunikation der Lehrkräfte untereinander, aber auch zwischen den Lehrkräften und den Schülerinnen und Schülern eingesetzt wurde. Dies mag für den Einzelnen bequem sein, ist aber aus datenschutzrechtlicher Sicht für die dienstliche Kommunikation unzulässig. Das ergibt sich unter anderem daraus, dass mit der Anmeldung bei WhatsApp automatisch alle im Mobiltelefon gespeicherten Kontakte an die WhatsApp Inc. übertragen werden. Dabei ist nicht sichergestellt, dass alle Kontakte ihre datenschutzrechtliche Einwilligung in die Weitergabe ihrer Daten erteilt haben.
Die übrigen 60 Schulen nutzten WhatsApp nicht. Das zeigt, dass das Merkblatt zur WhatsApp-Nutzung flächendeckend Beachtung findet und im Zuge dessen das Datenschutzniveau an den niedersächsischen Schulen gesteigert wurde. Ich habe die Schulen, die WhatsApp eingesetzt haben, im Rahmen der Prüfung auf das bestehende Verbot hingewiesen und mir die Untersagung des weiteren Einsatzes durch die Schulleitung schriftlich erklären lassen.
Einsatz von elektronischen Klassenbüchern
Auch zum Einsatz elektronischer Klassenbücher wurden 70 Schulen einer stichprobenhaften Überprüfung unterzogen. Gegenstand war einerseits, ob an den Schulen überhaupt elektronische Klassenbücher eingesetzt werden. War das der Fall ging es andererseits um die Frage, ob die Vorgaben der von mir veröffentlichten „Hinweise zur Einführung eines elektronischen Klassenbuchs“ (https://t1p.de/elek-klassenbuch) eingehalten werden.
Grundsätzlich ist die Einführung eines elektronischen Klassenbuchs gemäß § 31 Abs. 1 Niedersächsisches Schulgesetz (NSchG) rechtlich zulässig. Es ist jedoch darauf zu achten, dass nur die Daten erhoben werden, die auch für das Klassenbuch in Papierform erforderlich sind.
Wenn sich die Schule entscheidet, ein elektronisches Klassenbuch einzusetzen, muss dieses gemäß Art. 30 der Datenschutz-Grundverordnung (DS-GVO) in das Verzeichnis von Verarbeitungstätigkeiten aufgenommen werden. Vor der Einführung eines elektronischen Klassenbuchs ist zudem gemäß Art. 35 DS-GVO eine Datenschutz-Folgenabschätzung durchzuführen. Wenn die Datenverarbeitung nicht in der Schule stattfindet, sondern ein Dienstleister damit beauftragt wird, muss auch ein Auftragsverarbeitungsvertrag (Art. 28 DS-GVO) abgeschlossen werden.
Nur wenige Schulen nutzen das E-Klassenbuch
Von den 70 befragten Schulen nutzten nur 7 ein elektronisches Klassenbuch. Mit Ausnahme der Speicherung von Fotos der Schülerinnen und Schüler wurde der erforderliche Datenrahmen grundsätzlich eingehalten. In zwei Fällen lag zudem die erforderliche Datenschutzfolgenabschätzung nicht oder nicht vollständig vor, an einer Schule fehlte ein notwendiger Auftragsverarbeitungsvertrag.
Ich habe die betroffenen Schulen auf die festgestellten Mängel hingewiesen und mir von ihnen schriftlich erklären lassen, dass diese abgestellt wurden.
Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 166f.
Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 93ff.
Der für eine Datenverarbeitung Verantwortliche muss eine Vielzahl von Regelungen zum Schutz der verarbeiteten personenbezogenen Daten einhalten. Darüber hinaus müssen bestimmte Datenschutzverletzungen umgehend der Aufsichtsbehörde gemeldet werden. Diese Meldungen haben mit Geltung der Datenschutz-Grundverordnung (DS-GVO) in meiner Behörde immens zugenommen.
Schon das alte Datenschutzrecht kannte eine Pflicht zur Meldung bestimmter Datenschutzverstöße. Nach § 42a Bundesdatenschutzgesetz (BDSG) alter Fassung war diese Meldepflicht allerdings beschränkt auf besonders sensible Kategorien wie Gesundheitsdaten, Daten zu Straftaten oder Daten zu Bank- oder Kreditkartenkonten. Auch wurde die Meldepflicht nur durch eine unrechtmäßige Übermittlung oder sonstige unrechtmäßige Kenntnisnahme durch Dritte ausgelöst. Schließlich war sie an die Prognose gekoppelt, dass wegen der Kenntnisnahme durch Dritte schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen mussten. Die DS-GVO geht mit ihrer Regelung zur Meldepflicht bei Datenschutzverstößen nach Art. 33 deutlich weiter.
Voraussetzungen der neuen Meldepflicht
Jede Art einer Verletzung des Schutzes personenbezogener Daten löst die Meldepflicht gegenüber der Aufsichtsbehörde aus. Dies umfasst auch unbeabsichtigte Datenverluste oder Daten-Offenlegungen; ein Verschulden des Verantwortlichen ist nicht erforderlich, sogar zufällige Ereignisse können eine Datenschutzverletzung im Sinne des Art. 33 DS-GVO darstellen. Zudem ist nun jede Kategorie von betroffenen personenbezogenen Daten relevant – die Meldepflicht ist nicht wie früher auf bestimmte, besonders risikobehaftete Datenkategorien beschränkt.
Zusätzlich verpflichtet die DS-GVO nun auch Behörden zur Beachtung der Meldepflicht bei Datenschutzverletzungen. Gemeldet werden muss unverzüglich und möglichst innerhalb von 72 Stunden ab Kenntnis der Datenschutzverletzung.
Die Meldepflicht entfällt nur dann ausnahmsweise, wenn die Datenschutzverletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt. Anders als im früheren Recht besteht die Pflicht damit nicht erst bei einer drohenden schwerwiegenden Beeinträchtigung der Rechte der Betroffenen. Besteht voraussichtlich sogar ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen, muss der Verantwortliche die Betroffenen zusätzlich unverzüglich benachrichtigen.
Da es vollständig risikolose Verarbeitungen jedoch nicht geben kann, legt die Datenschutzkonferenz (DSK) die Formulierung „nicht zu einem Risiko“ so aus, dass sie „nur zu einem geringen Risiko“ führen darf. Sie hat sich auch in ihrem Erfahrungsbericht zur DS-GVO dafür ausgesprochen, die Meldepflicht nach Art. 33 DS-GVO auf Fälle zu beschränken, die voraussichtlich zu einem mehr als nur geringen Risiko für die Rechte und Freiheiten natürlicher Personen führen.
Risikoprognose
Der für die Datenverarbeitung Verantwortliche muss also bei einer Datenschutzverletzung zunächst das Risiko bewerten: Besteht überhaupt ein Risiko für die Rechte und Freiheiten natürlicher Personen bzw. sogar ein hohes? In der Praxis ist diese Bewertung mitunter schwierig. Da aber auch das Unterlassen einer verpflichtenden Meldung bußgeldbewehrt ist, melden Verantwortliche Datenschutzverletzungen teilweise vorsorglich, ohne selbst eine ausreichende Prüfung des Risikos durchgeführt zu haben.
Die Leitlinien aus dem Working Paper 250 der Art. 29-Datenschutzgruppe zur Meldung von Datenschutzverletzungen geben wertvolle Hinweise zur Bewertung des Risikos und nennen Beispiele für typische meldepflichtige Datenschutzverletzungen. Hierunter fallen etwa Cyberangriffe, bei denen personenbezogene Daten abgeschöpft oder offen ins Internet gestellt werden, oder die Versendung von Unterlagen an falsche Empfänger (https://t1p.de/LeitlinienzuArt33-Meldungen).
Pflichten des Auftragsverarbeiters
Wenn ein Auftragsverarbeiter eine Datenschutzverletzung im eigenen Tätigkeitsbereich feststellt, muss er diese unverzüglich an seinen Auftraggeber melden. Eine genau festgelegte Frist besteht dazu nicht. Der Auftraggeber muss die Datenschutzverletzung auch dann dem Verantwortlichen melden, wenn er selbst ein Risiko für die Rechte und Freiheiten natürlicher Personen für ausgeschlossen hält. Die Bewertung des Risikos obliegt allein dem Auftraggeber als Gesamtverantwortlichen für die Datenverarbeitung. Die Datenschutzverletzung gilt dem Verantwortlichen als „bekannt“, sobald dieser von seinem Auftragsverarbeiter in Kenntnis gesetzt wurde (so die Leitlinien zur Meldung von Datenschutzverletzungen der Art. 29-Gruppe). Die Kenntnis des Auftragsverarbeiters wird also nicht dem Verantwortlichen zugerechnet.
Die DS-GVO nennt allerdings keine konkrete Frist, innerhalb der der Auftragsverarbeiter den Verantwortlichen informieren muss. Sie sieht nur vor, dass die Benachrichtigung „unverzüglich“ zu erfolgen hat (Art. 33 Abs. 2 DS-GVO). Hier wird man im Regelfall eine sehr zeitnahe Meldung erwarten müssen. Deshalb empfehle ich, im Auftragsverarbeitungsvertrag organisatorische Maßnahmen vorzusehen, durch die der Verantwortliche die Meldung nach Art. 33 Abs. 2 DS-GVO so rechtzeitig erhält, dass er seinerseits die Meldung an die Aufsichtsbehörde innerhalb der 72-Stunden-Frist realisieren kann. Eine regelmäßige Höchstfrist von 72 Stunden besteht für den Auftragsverarbeiter jedenfalls nicht, schließlich könnte das im Extremfall zu einer Verdoppelung oder – bei Ketten-Auftragsverarbeitungsverträgen – zu einer weiteren Vervielfachung der Frist führen.
Bisweilen wird im Hinblick auf die europäische Fristenverordnung die Ansicht vertreten, die 72- Stunden-Frist müsste mindestens zwei volle Arbeitstage umfassen und könne sich entsprechend verlängern. Diese Auffassung teile ich nicht. Aufgrund der besonderen Dringlichkeit hat der Verordnungsgeber bewusst eine Stundenfrist vorgesehen, die etwa auch an einem Sonn- oder Feiertag enden kann und dementsprechend auch nicht durch das Erfordernis dazwischenliegender Arbeitstage verlängert wird. Überdies hat die Meldung im Ausgangspunkt „unverzüglich“ zu erfolgen; auch das lässt keinen Raum für eine entsprechende Fristverlängerung.
Meldepflicht und Sanktionen
Das Unterlassen einer verpflichtenden Meldung nach Art. 33 DS-GVO ist bußgeldbewehrt (Art. 83 Abs. 4 lit. a DS-GVO). Die Meldung nach Art. 33 DS-GVO selbst darf allerdings gemäß § 43 Abs. 4 BDSG nicht in einem Ordnungswidrigkeitenverfahren wegen der Datenschutzverletzung verwendet werden. Eine Ausnahme gilt nur, wenn der Meldepflichtige selbst der Verwendung der Meldung in einem Bußgeldverfahren zustimmt. Diese Regelung ist Ausdruck des Grundsatzes der Selbstbelastungsfreiheit bzw. des Verbots der Selbstbezichtigung. Als Konsequenz darf die Aufsichtsbehörde die Informationen aus einer Meldung einer Datenschutzverletzung, welche zum Pflichtinhalt nach Art. 33 Abs. 3 DS-GVO gehören, nicht als Grundlage für ein Ordnungswidrigkeitenverfahren verwenden. Die Gegenansicht, die § 43 Abs. 4 BDSG für europarechtswidrig und damit für nicht anwendbar hält, überzeugt mich nicht.
Allerdings können Erkenntnisse über grundlegende Mängel aus einem weitergehenden Kontrollverfahren, das die Aufsichtsbehörde aufgrund der gemeldeten Datenschutzverletzung durchgeführt hat, verwendet werden. Stellt sich z. B. im Laufe eines aufgrund einer Meldung nach Art. 33 DS-GVO durchgeführten Prüfverfahrens heraus, dass grundlegende technisch-organisatorische Mängel beim Meldepflichtigen bestehen, können diese Gegenstand eines Bußgeldverfahrens sein. Denn die Selbstbelastungsfreiheit bezieht sich nur auf den konkret gemeldeten Datenschutzverstoß.
Durch die verschärfte Pflicht hat die Zahl der Datenschutzverletzungen, die meiner Behörde ge- meldet werden, stark zugenommen. Im Jahr 2019 erreichten uns 824 Meldungen gemäß Art. 33 DS-GVO, davon mehr als 500 aus dem nicht-öffentlichen Bereich.
Infektion mit der Schad-Software Emotet
Neben anderen Fällen der Infektion mit Ransomware und Viren sowie diversen Hacking-Angriffen erreichten mich vielfach Meldungen, in denen es zu einem Befall mit der Schad-Software Emotet kam (siehe dazu auch Kapitel J.12.4, S. 195). Diese Angriffe führen dazu, dass dem Verantwortlichen der Zugriff auf die Daten durch Verschlüsselung entzogen wird. Aufgrund dieser Meldungen habe ich die Betroffenen auf den risikobasierten Ansatz der DS-GVO zu den datenschutzrechtlichen Anforderungen für alle Unternehmen hingewiesen, wie sie die Artikel 24, 25 und 32 der DS-GVO vorgeben. Diese enthalten die technisch-organisatorischen Rahmenbedingungen, innerhalb derer „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen“ vom Verantwortlichen geeignete, angemessene, zu dokumentierende und regelmäßig zu überprüfende Sicherheitsmaßnahmen zu treffen sind. Hierzu muss der Verantwortliche in einer eigenständig vorzunehmenden Risikobetrachtung geeignete technische und organisatorische Maßnahmen benennen, die dem ermittelten Risiko angemessen sind, und diese Maßnahmen auch umsetzen. Der Verantwortliche ist frei bei der Auswahl der Maßnahmen, solange das von ihm ermittelte Risiko damit angemessen berücksichtigt wird.
Zu Emotet veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits am 5. Dezember 2018 eine Pressemitteilung, in der es vor dieser Software warnte und Schutzmaßnahmen empfahl (https://t1p.de/emotet). Nach Maßgabe des BSI gäbe es zwar keine hundertprozentige Sicherheit, jedoch existierten verschiedene Schutzmaßnahmen, die sowohl auf organisatorischer als auch auf technischer Ebene umgesetzt werden könnten. Diese würden das Risiko einer Infektion mit Emotet oder auch anderer Schad-Software signifikant reduzieren.
Häufig deckten sich die Angaben der von Emotet Betroffenen zu ihren vorab ergriffenen Maß- nahmen nur teilweise mit den vom BSI veröffentlichten Schutzmaßnahmen. Zum Zeitpunkt der Meldung der Datenschutzverletzungen wurden mindestens eine, wenn nicht sogar mehrere der vom BSI veröffentlichten Schutzmaßnahmen, nicht beachtet.
Deshalb habe ich in diesen Fällen von meiner Abhilfebefugnis der Verwarnung nach Art. 58 Abs. 2 lit. b DS-GVO Gebrauch gemacht. Ich ging davon aus, dass die betroffenen Stellen künftig die vorbeugenden Schutzmaßnahmen gegen Emotet umsetzen würden. Im nicht-öffentlichen Bereich erklärte das Gros der betroffenen Unternehmen mir nachvollziehbar, ihre technischen und organisatorischen Maßnahmen für derartige Fälle angepasst zu haben.
Zur Einschätzung des risikobasierten Ansatzes empfahl ich das Kurzpapier Nr. 18: „Risiko für die Rechte und Freiheiten natürlicher Personen“ der Datenschutzkonferenz (DSK). Ich verwies zudem zur methodischen Vorgehensweise auf das von der DSK bereitgestellte Standarddatenschutzmodell (SDM: https://t1p.de/sdm) und auf den in meinem Haus entwickelten „Prozess zur Auswahl angemessener Sicherungsmaßnahmen (ZAWAS: https://t1p.de/zawas)“.
Versand an einen falschen Empfänger
Mehrfach hatte ich sowohl im öffentlichen als auch im nicht-öffentlichen Bereich mit Meldungen von Datenschutzverletzungen nach Art. 33 DS-GVO zu tun, in denen personenbezogene Daten an einen unberechtigten Empfänger per Post oder E-Mail versendet wurden. Oftmals lag dabei die Ursache in technischem oder menschlichem Versagen. Die versendeten Schreiben enthielten häufig sensible personenbezogene Daten der Betroffenen gem. Art. 9 Abs. 1 DS-GVO.
Nach Art. 6 Abs. 1 S. 1 DS-GVO ist das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten nur unter den dort genannten Voraussetzungen zulässig. Nach Art. 5 Abs. 1 lit. f DS-GVO sind personenbezogene Daten so zu verarbeiten, dass ihre Sicherheit und Vertraulichkeit hinreichend gewährleistet ist. Da in Fällen des Fehlversands zum einen keine der Voraussetzungen des Art. 6 Abs. 1 S. 1 DS-GVO vorliegt und zum anderen durch die falsche Übermittlung die Integrität und Vertraulichkeit dieser Daten nach Art. 5 Abs. 1 lit. f DS-GVO auch nicht mehr gegeben ist, wurde gegen die datenschutzrechtlichen Bestimmungen verstoßen.
In derartigen Fällen habe ich ebenfalls von meiner Abhilfebefugnis der Verwarnung Gebrauch gemacht. Ich ging bezüglich des Postversands davon aus, dass dieser in künftigen Fällen datenschutzkonform erfolgen wird. Denn die Betroffenen erklärten in ihren jeweiligen Antwortschreiben nachvollziehbar, dass sie nach den Verstößen ihre Beschäftigten dazu angewiesen hatten, zukünftig sorgfältiger vorzugehen. Die datenschutzrechtliche Verfehlung beruhte auf individuellen Fehlern.
E-Mail-Verteiler: CC statt BCC
Bereits in meinem 22. Tätigkeitsbericht habe ich die Thematik der unzulässigen offenen Übermittlung von E-Mail-Adressen behandelt. Auch im Berichtszeitraum erreichten mich zahlreiche Art.-33-Meldungen von Unternehmen und öffentlichen Stellen, in denen es zu einem E-Mail-Versand per CC statt per BCC kam. Da in diesen Fällen ebenfalls keine der Voraussetzungen des Art. 6 Abs. 1 S. 1 DS-GVO vorliegt und zudem die Integrität und Vertraulichkeit dieser Daten nach Art. 5 Abs. 1 lit. f DS-GVO nicht mehr gegeben ist, wurde auch hier gegen datenschutzrechtliche Bestimmungen verstoßen.
Auch in derartigen Fällen habe ich Verwarnungen ausgesprochen. Die Prüfung der bei mir eingegangen Meldungen zeigte, dass die Verantwortlichen grundsätzlich geeignete Verfahren implementiert haben, die eine Einhaltung der Betroffenenrechte gewährleisten. In ihren Schreiben schilderten mir zahlreiche Verantwortliche, ihr Personal angesichts solcher Vorfälle datenschutzrechtlich fortgebildet zu haben.
Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 93ff.
Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 8
Da meine Behörde regelmäßig sowohl Beschwerden als auch Beratungsanfragen zum Thema Videoüberwachung erreichen, erschien es geboten, das Informationsangebot hierzu auszuweiten. Deshalb habe ich die grundsätzlichen Fragen und die entsprechenden Antworten veröffentlicht, die sich im Zusammenhang mit Kameraüberwachung stellen. Diese sogenannten FAQ (Frequently asked questions) erläutern unter anderem, was man vor der Installation einer Kamera bedenken sollte und in welcher Form man auf diese hinweisen muss.
Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 79f.
Wer sieht, was ich online veröffentliche? Welche meiner Daten brauchen Apps wirklich? Wie wehre ich mich gegen Cyber-Mobbing? Diese und weitere Themen diskutierten Mitarbeiter meiner Behörde mit Schülern während einer Aktionswoche rund um den Safer Internet Day am 5. Februar. Dabei kooperierten neben Niedersachsen weitere Aufsichtsbehörden aus drei Bundesländern mit dem Berufsverband der Datenschutzbeauftragten Deutschlands (BvD).
Kinder und Jugendliche verbringen täglich viel Zeit im Internet und in den sozialen Medien. Daher ist es besonders wichtig, sie für die Risiken zu sensibilisieren, die mit der Nutzung von Online-Angeboten verbunden sein können.
Vorträge für 800 Jugendliche
Meine Mitarbeiterinnen und Mitarbeiter besuchten in der Zeit vom 4. bis 8. Februar neun Schulen, unter anderem in Lüneburg, Osnabrück, Hannover, Helmstedt, Hildesheim und Göttingen. Dabei erreichten sie mehr als 800 Schülerinnen und Schüler der 7. und 8. Klasse. In ihren Vorträgen griffen die Referenten auf die Unterlagen der BvD-Aktion „Datenschutz geht zur Schule“ zurück. Mit dieser Initiative zeigt der BvD seit 2009 Schülerinnen und Schüler einfache Wege auf, wie sie ihre persönlichen Daten besser schützen können, ohne dabei auf moderne Kommunikationsformen verzichten zu müssen.
Die Unterrichtsmaterialien wurden zuvor mit Unterstützung der EU-Initiative „klicksafe“ und der DATEV-Stiftung weiterentwickelt. Verbunden mit der jahrelangen Praxiserfahrung der ehrenamtlichen BvD-Referenten ist so eine profunde Unterrichtsgrundlage entstanden, die sich speziell an Kinder und Jugendliche richtet.
Aktion wird fortgesetzt
Die positive Resonanz von Schülern und Lehrkräften sowie die guten Eindrücke, die meine Mitarbeiterinnen und Mitarbeiter gewinnen konnten, haben den Ausschlag dafür gegeben, dass sich meine Behörde auch in den kommenden Jahren an der Aktion des BvD beteiligen wird. Ziel wird es sein, noch mehr Jugendliche zu erreichen. Denn nur wenn sich Jugendliche der potenziellen Risiken bei der Nutzung der vielfältigen digitalen Angebote bewusst sind, sind sie auch in der Lage den persönlichen Wert ihrer Daten abzuwägen und zu entscheiden, wie viel sie von sich preisgeben wollen.
Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 79f.
Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 51f.
Bindet der Betreiber einer Webseite den „Gefällt mir“-Button von Facebook ein, dann ist er gemeinsam mit Facebook für die Erhebung und Übermittlung von Daten der Nutzer seiner Webseite verantwortlich. Das stellte der Europäische Gerichtshof (EuGH) 2019 in einem Urteil fest.
Der EuGH-Entscheidung (AZ C-40/17) liegt ein Rechtsstreit vor dem Landgericht Düsseldorf zwischen der Fashion ID GmbH & Co. KG und der Verbraucherzentrale NRW e. V. zugrunde. Fashion ID, ein Online-Händler für Modeartikel, hatte in seine Webseite das Facebook-Plugin „Gefällt mir“ eingebunden. Die Verbraucherzentrale NRW klagte vor dem Landgericht (LG) Düsseldorf gegen Fashion ID auf Unterlassung der (automatischen) Übermittlung von personenbezogenen Daten der Webseitennutzer an Facebook Irland ohne deren Einwilligung und unter Verstoß gegen die Informationspflichten der Datenschutz-Grundverordnung (DS-GVO). Das LG Düsseldorf gab den Anträgen der Verbraucherzentrale NRW teilweise statt. Fashion ID legte gegen diese Entscheidung beim Oberlandesgericht Düsseldorf Berufung ein. Dieses legte dem EuGH mehrere Fragen zur Vorabentscheidung vor. Kernfrage des Rechtsstreits war, ob der Betreiber einer Webseite datenschutzrechtlich Verantwortlicher ist, wenn er Programmcode einbindet, der den Browser des Benutzers veranlasst, Inhalte von einem Dritten anzufordern und hierzu personenbezogene Daten an den Dritten zu übermitteln.
EuGH betont Verantwortung von Seitenbetreibern
Der EuGH betont mit seinem Urteil, dass jede natürliche oder juristische Person, die aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nimmt und damit an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung mitwirkt, für die Verarbeitung verantwortlich ist. Fashion ID habe es durch die Einbindung des „Gefällt mir“-Buttons von Facebook ermöglicht, dass beim Aufruf ihrer Webseite Nutzerdaten erhoben und an Facebook übermittelt werden. Dies geschieht unabhängig davon, ob • der Nutzer den „Gefällt-mir“ Button auf der Webseite aktiv anklickt, • der Nutzer ein Mitglied im sozialen Netzwerk von Facebook ist und • der Nutzer Kenntnis von dem Vorgang nimmt. Durch diese Entscheidung wird klargestellt, dass der Betreiber einer Webseite grundsätzlich für alle Verarbeitungen personenbezogener Daten der Nutzer seiner Webseite verantwortlich ist. Und zwar auch dann, wenn sie nicht von ihm selbst durchgeführt werden. Auf nahezu jeder Webseite sind Dienste Dritter integriert wie Social Plugins, interaktive Karten, Videos, Schriften oder Cookies. All diese Dienste erfordern, dass bei der Erstellung der Webseite Programmcode des Dritten integriert wird, der in der Regel dazu führt, dass bei einem Aufruf der Webseite die Nutzerdaten nicht nur an den Server der Webseite, sondern auch an die Drittdienstleister übermittelt werden. Der EuGH stellt sich klar auf den Standpunkt, dass ohne die Einbindung des Programmcodes die Verarbeitung der Nutzerdaten durch die Drittdienstleister nicht möglich wäre. Folgerichtig trägt der Betreiber der Webseite mindestens für die Erhebung und die Übermittlung der Daten die Verantwortung.
Rechtsauffassung der Aufsichtsbehörden bestätigt
Ich begrüße die Entscheidung des EuGH aus mehreren Gründen. Die Verarbeitung von Nutzerdaten im Internet ist aufgrund der Vielzahl der Akteure und der Einbindung von Drittdienstleistern auf nahezu jeder Webseite mittlerweile sehr komplex. Die Entscheidung des Gerichts zeigt auf, dass die Datenschutzvorschriften dennoch eine lückenlose und effiziente Zuweisung der datenschutzrechtlichen Verantwortung ermöglichen.
Betroffenen wäre die Wahrnehmung ihrer Rechte deutlich erschwert worden, wenn Betreiber von Webseiten nicht als Verantwortliche eingestuft worden wären. Nutzern von Webseiten ist häufig nicht einmal bekannt, dass und an wen ihre Daten beim Öffnen einer Webseite übermittelt werden, geschweige denn wie und zu welchen Zwecken sie anschließend verarbeitet werden. Die Aufsichtsbehörden werden in ihrer Rechtsauffassung zur Verwendung von Social Plugins bestätigt.
Schließlich besteht die Hoffnung, dass die Wertungen des Gerichts beim Erlass der E-Privacy-Verordnung Berücksichtigung finden werden. Social Plugins dienen nur vordergründig dem Zweck, Nutzern eine einfache Möglichkeit zu geben, interessante Inhalte im Internet in ihr soziales Netzwerk zu kommunizieren. Primär dienen sie dem Nutzertracking und der Erstellung von Persönlichkeitsprofilen, um ein individualisiertes Webmarketing zu ermöglichen. Der EuGH stellt fest, dass sowohl Betreiber der Webseite als auch Drittdienstleister mit den Social Plugins wirtschaftliche Interessen verfolgen. Entsprechend sollte jeder Betroffene frei darüber entscheiden können, ob er seine Daten dafür zur Verfügung stellen möchte oder nicht.
Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 51f.
Die Anwendungen von Office 365 sind sowohl in öffentlichen als auch nicht-öffentlichen Stellen weit verbreitet. Die Datenschutzkonferenz prüft derzeit, ob ein datenschutzkonformer Einsatz der Microsoft-Produkte möglich ist.
Verantwortliche Datenverarbeiter traten im Berichtszeitraum vermehrt an mich mit der Frage heran, ob sie Office 365 datenschutzkonform einsetzen können. Hintergrund ist häufig der Wunsch der Verantwortlichen, die Cloud-Funktionen zu nutzen. Allerdings lässt sich diese Frage nicht pauschal beantworten.
Da die Unsicherheiten zum Einsatz von Microsoft Office 365 nicht nur mir, sondern allen Landesbeauftragten in Deutschland kommuniziert wurden, entschloss sich die Konferenz der unabhängigen Aufsichtsbehörden (DSK) einen Arbeitskreis (AK) einzusetzen, der sich unter Beteiligung meiner Behörde mit dieser Frage befasst. Auch mit Vertretern von Microsoft wurden in diesem Zusammenhang Gespräche geführt, in denen verschiedene Fragen von Bedeutung waren.
Online Service Terms auf dem Prüfstand
Zunächst handelt es sich bei der Nutzung der Cloud eines Dritten regelmäßig um einen Fall der Auftragsverarbeitung. Daher müssen die Anforderungen des Art. 28 DS-GVO erfüllt sein und ein Vertrag zur Auftragsverarbeitung geschlossen werden. Eine entsprechende Vereinbarung wird den Kunden von Microsoft in einer standardisierten Form mit den Online Services Terms (OST) angeboten. Nach erster Prüfung dieser Vereinbarung durch den AK ergab sich eine Reihe von Fragen, zu denen der AK noch mit Microsoft im Dialog steht. Die Prüfung konnte daher 2019 nicht abgeschlossen werden. Zudem hat Microsoft angekündigt, Anfang 2020 seinen Kunden eine neue Version der OST zur Verfügung stellen zu wollen. Zum Ende des Berichtszeitraums war noch unklar, inwieweit die Anregungen der Datenschutzkonferenz darin aufgegriffen und die Regelungen zur Auftragsverarbeitung angepasst wurden.
Darüber hinaus stellt sich auch bei Office 365 – ähnlich wie bei Windows 10 (siehe dazu auch J.12.3, S. 193) – die Frage nach dem Inhalt und der Rechtmäßigkeit der Übermittlung von Telemetriedaten, die zu Servern von Microsoft übermittelt werden. Dazu gehören beispielsweise Daten zu Abstürzen, zum CPU- und Speicherverbrauch einzelner Programme, Daten zum Prozessor, Informationen zum Akkustand oder zu Downloads, Updates, und Abrufen im Windows App Store. Nach Angaben des Unternehmens werden diese Daten dazu verwendet, um Office 365 aktuell und sicher zu halten, Probleme zu erkennen und zu beseitigen und die Produkte zu verbessern (https://docs.microsoft.com/en-us/deployoffice/privacy/required-diagnostic-data). Das von der DSK veröffentlichte Prüfschema zum Einsatz von Windows 10 dürfte entsprechend auch auf Office 365 anwendbar sein. Nach der Prüfung der OST wird sich die DSK auch bei Office 365 mit dem Thema der Telemetriedaten befassen.
Mir ist bewusst, dass die Verantwortlichen bei der datenschutzrechtlichen Beurteilung dieser Standard-Software Rechtssicherheit benötigen. Ich bin zuversichtlich, dass die DSK sich hierzu 2020 positionieren kann.
Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 44f.
Konzerne mit Niederlassungen in mehreren europäischen Ländern und außerhalb der EU nutzen gerne Binding Corporate Rules (BCR) für den internationalen Datentransfer. Dieses Instrument hat durch die Datenschutz-Grundverordnung eine deutliche Aufwertung erfahren. Da die Wirtschaft ein gesteigertes Bedürfnis an einem rechtssicheren Datenaustausch hat, rechne ich mit einer zunehmenden Zahl von Verfahren zur datenschutzrechtlichen Anerkennung von BCR.
Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules – BCR) einer Unternehmensgruppe sind eine Möglichkeit, Richtlinien zum Umgang mit personenbezogenen Daten als Voraussetzung für einen Datentransfer in das außereuropäische Ausland zu schaffen. Dabei entwickelt das Unternehmen einen eigenen Datenschutzrahmen, der für alle Mitglieder der Unternehmensgruppe Anwendung finden soll. Die Aufsichtsbehörden prüfen zunächst, ob diese eigenen Datenschutzregelungen ein angemessenes Schutzniveau im Sinne der Datenschutz-Grundverordnung (DS-GVO) schaffen und genehmigen nach durchlaufenem Kohärenzverfahren die BCR anschließend. BCR bieten viele Vorteile für Unternehmen, insbesondere da sie anders als etwa die EU-Standardvertragsklauseln auf die besonderen Bedürfnisse der jeweiligen Unternehmen zugeschnitten sind.
Anforderungen der Art. 29-Gruppe übernommen Die DS-GVO regelt erstmals die Voraussetzungen für die Genehmigung von BCR ausdrücklich. Zuvor waren diese Voraussetzungen in Working Paper der Art. 29-Gruppe (früherer Zusammenschluss der europäischen Aufsichtsbehörden) zusammengefasst. Der Inhalt dieser Working Paper wurde in die DS-GVO übernommen, was eine Weiterführung der inhaltlichen Anforderungen an BCR sichert.
Die DS-GVO legt nun z. B. eindeutig fest, dass die BCR eine rechtliche Bindungswirkung nach innen und gegenüber den betroffenen Personen garantieren müssen. Daneben werden in Art. 47 Abs. 2 DS-GVO inhaltliche Mindestangaben für BCR gesetzlich festgelegt. So müssen etwa die neuen Regelungen der DS-GVO zur Informationspflicht gegenüber den betroffenen Personen, zum Beschwerderecht der Betroffenen und zur Rechenschaftspflicht des Verantwortlichen in die BCR aufgenommen werden. Die DS-GVO schafft damit Rechtssicherheit bezüglich der Anforderungen an BCR in ganz Europa.
EDSA entscheidet über Anerkennung
Eine entscheidende Neuerung betrifft das Verfahren zur Genehmigung von BCR. Nach Art. 63, 64 Abs. 1 DS-GVO entscheidet nun der Europäische Datenschutzausschuss (EDSA) im Kohärenz- verfahren über die Anerkennung von BCR. Vor Geltung der DS-GVO genügte die Genehmigung der jeweils für den Verantwortlichen zuständigen Aufsichtsbehörde, welche je nach dem geo- grafischen Anwendungsbereich der BCR die anderen betroffenen Aufsichtsbehörden in der EU beteiligte (BCR müssen dem EDSA verpflichtend zur Stellungnahme vorgelegt werden. Die Aufsichtsbehörde hat der Stellungnahme des Ausschusses weitestgehend Rechnung zu tragen.).
Durch die Entscheidung im EDSA wird das Verfahren zur Anerkennung von BCR nun europaweit vereinheitlicht. Auch die entsprechende Genehmigung von konkreten BCR gilt folglich unmittelbar in allen europäischen Mitgliedstaaten. Das Verfahren vor dem EDSA ist gesetzlich genau bestimmt – etwa hinsichtlich der Fristen für bestimmte Verfahrensschritte – und damit auch berechenbarer für das antragstellende Unternehmen.
Da nach neuem Recht über vorgelegte BCR im EDSA entschieden wird, haben sämtliche Aufsichtsbehörden die Gelegenheit, eingebrachte BCR zu prüfen, um eine fundierte Entscheidung treffen zu können. Auch dies trägt zur Vereinheitlichung und zur weiteren Harmonisierung von Datenschutzthemen innerhalb der EU bei. Darüber hinaus erhalten in der Praxis alle Aufsichtsbehörden schon im Vorfeld Gelegenheit zur Stellungnahme und können sich mit Anmerkungen und Kritik zu den vorgelegten BCR beteiligen. Die deutschen Aufsichtsbehörden sind aufgerufen, aktiv an dieser Prüfung teilzunehmen. Daher wird sich auch Niedersachsen künftig stärker in die Diskussion um bestimmte BCR in Europa einbringen.
Eine erste Gelegenheit zur Mitwirkung an einem Prüfungsverfahren nach neuem Recht ergab sich im Jahr 2019 durch die BCR eines Unternehmens mit Hauptsitz in Spanien und einer Niederlassung in Niedersachsen. Das BCR-Verfahren wurde federführend durch die spanische Aufsichtsbehörde betrieben. Niedersachsen beteiligte sich im Rahmen der Co-Prüfung und nahm so Einfluss auf die konkrete Ausgestaltung der BCR.
Erstes Verfahren unter niedersächsischer Federführung
Bereits 2018 stellte ein Unternehmen mit Hauptsitz in Niedersachsen und weltweiten Niederlassungen den Antrag auf Genehmigung der eigenen verbindlichen Datenschutzregelungen. Da die Federführung bei der LfD Niedersachsen lag, konnte meine Behörde sogleich als eine der ersten europäischen Aufsichtsbehörden im neu festgelegten BCR-Verfahren tätig werden. Diese BCR sollen in mehreren europäischen Ländern Geltung erhalten. Meine Behörde überarbeitete den Entwurf gemeinsam mit der italienischen Aufsichtsbehörde, die in diesem Verfahren Co-Prüferin war. Die BCR stehen nun kurz vor der Anerkennung durch den EDSA, womit im ersten Halbjahr 2020 zu rechnen ist.
Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 29ff.
Die Bedeutung von elektronischem Beweismaterial für Strafverfahren hat in den vergangenen Jahren immens zugenommen. Daher ist der Zugang zu elektronischen Daten für die Strafverfolgungsbehörden elementar. Befinden sich diese Daten im Ausland außerhalb des eigenen Hoheitsgebietes, ist der behördliche Zugriff jedoch nicht ohne weiteres möglich. Der US-CLOUD Act (Clarifying Lawful Overseas Use of Data Act) soll den Zugriff von US-Behörden auf elektronische Daten zur Strafverfolgung erleichtern. Im Juli 2019 nahm der Europäische Datenschutzausschuss (EDSA) Stellung zu diesem US-Gesetz.
Der US-CLOUD Act trat im März 2018 in Kraft und erlaubt US-Behörden, auf personenbezogene Daten zuzugreifen, die im Besitz oder unter der Kontrolle von US-Unternehmen sind – auch dann, wenn sich diese Daten außerhalb der USA befinden. Das Gesetz gilt nur für Anbieter elektronischer Kommunikationsdienstleistungen.
Der direkte Zugriff durch US-Behörden auf Daten außerhalb des US-Hoheitsgebietes ist rechtlich umstritten. Während staatliche Stellen in den USA einen solchen Zugriff bei US-Unternehmen als zulässig ansehen und den CLOUD Act lediglich als Klarstellung verabschiedet haben, betrachtet die EU sämtliche personenbezogenen Daten in ihrem Hoheitsgebiet als durch EU-Recht vor Zugriffen Dritter geschützt. Auch ein US-Gericht hatte einen solchen direkten Zugriff auf personenbezogene Daten eines US-Unternehmens in der EU untersagt (Berufungsentscheidung des Second U.S. Circuit Court of Appeals vom Juli 2016. Die hiergegen gerichtete Beschwerde der US-Regierung wurde im Januar 2017 zurückgewiesen).
Rechtskonflikt mit der DS-GVO Die Datenschutz-Grundverordnung (DS-GVO) sieht in Art. 48 vor, dass Drittländer per Gerichtsurteil oder Entscheidung von Verwaltungsbehörden von einem europäischen Datenverarbeiter die Übermittlung personenbezogener Daten verlangen können. Allerdings nur dann, wenn hierfür ein Rechtshilfeabkommen zwischen dem Drittland und der EU bzw. einem EU-Mitgliedsstaat vorliegt.
Rechtshilfeabkommen sehen in der Regel einen Austausch der personenbezogenen Daten über zwischengeschaltete staatliche Stellen vor, welche die Rechtmäßigkeit der geplanten Herausgabe prüfen. Eine direkte Herausgabe der Daten an Behörden in Drittländern ist gerade nicht erlaubt. Der Gesetzgeber hat sich mit dieser Regelung in Art. 48 DS-GVO dafür entschieden, ein deutliches Zeichen gegen eine ungeregelte Herausgabe von personenbezogenen Daten aus dem Bereich der EU zu setzen und insbesondere eine Umgehung bestehender Rechtshilfeabkommen zu verhindern.
Unternehmen mit US-amerikanischem Hauptsitz, welche den Regelungen des CLOUD Act unterliegen und Anordnungen von US-Behörden Folge leisten müssen und gleichzeitig als Datenverarbeiter in der EU die Regelung des Art. 48 DS-GVO beachten müssen, befinden sich nun zwangsläufig in einem Rechtskonflikt. Bereits in den Leitlinien 2/2018 zu Einzelfragen des internationalen Datenverkehrs befasste sich der EDSA mit dieser Frage und empfahl betroffenen Unternehmen, sofern eine internationale Übereinkunft besteht, direkte Anfragen zurückzuweisen und die ersuchende Behörde des Drittstaats auf den Weg über bestehende Rechtshilfeabkommen zu verweisen.
EDSA sieht Bedarf für neues Abkommen Auch in der europäischen Politik ist der beschriebene Rechtskonflikt wahrgenommen worden: Im März 2019 bat der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) des EU- Parlaments den EDSA um eine rechtliche Bewertung zu den Auswirkungen des CLOUD Act auf europäisches Datenschutzrecht.
Der EDSA hebt in seiner Stellungnahme die Rechtsnorm des Art. 48 DS-GVO hervor, welche gerade das Ziel hat, Datentransfers bzw. -offenlegungen an Behörden in Drittstaaten zu regeln. Der CLOUD Act sei der Versuch, die bestehenden Rechtshilfeabkommen zu umgehen. Demgemäß stellt der EDSA klar, dass die Anforderung einer ausländischen Behörde zur Übermittlung personenbezogener Daten nur dann als rechtliche Verpflichtung des Verantwortlichen nach Art. 6 Abs. 1 lit. c DS-GVO angesehen werden könne, wenn sie auf einem internationalen Abkommen beruhe. Insofern sieht der EDSA Bedarf für ein neues internationales Abkommen zwischen EU und USA, welches hohe datenschutzrechtliche Standards definiert.
Im Übrigen sei eine Herausgabe von personenbezogenen Daten an Behörden eines Drittlandes nur in sehr engen Grenzen zulässig. Der EDSA hält die Übermittlung nur ausnahmsweise für zulässig, wenn außergewöhnliche Umstände vorliegen, etwa zum Schutz lebenswichtiger Interessen einer betroffenen Person (Art. 6 Abs. 1 lit. d i.V.m. Art. 49 Abs. 1 lit. f DS-GVO). Dagegen sieht der EDSA keine Übermittlungsbefugnis aufgrund berechtigter Interessen (Art. 49 Abs. 1 Satz 2 DS-GVO). In der anzustrengenden Interessenabwägung überwiege hier das Schutzinteresse der Betroffenen vor Herausgabe ihrer personenbezogenen Daten, da der Verantwortliche nicht in der Lage sei, die für den Datentransfer vorausgesetzten Garantien für den Schutz der Daten zu geben.
Fazit des EDSA: Eine Herausgabe von personenbezogenen Daten allein auf Grundlage von behördlichen Anforderungen aus den USA auf Basis des CLOUD Act sei in der Regel unzulässig.
Der Rechtskonflikt für die betroffenen Unternehmen bleibt damit zunächst bestehen. Allerdings hat die EU-Kommission 2019 mit den Verhandlungen über ein Abkommen mit den USA begonnen, das die Gewährung eines gegenseitigen Zugangs zu personenbezogenen Daten in Form von elektronischen Beweismitteln beinhalten soll. Aus Sicht des Datenschutzes sollte das Abkommen ausreichende Garantien und Rechtshilfemöglichkeiten für betroffene Personen enthalten.
Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 26ff.
Auf der Homepage der Landesbeauftragten für den Datenschutz Niedersachsen (LfD) erschien folgende Meldung:
Tätigkeitsbericht 2019
Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen, Barbara Thiel, fordert angesichts der zunehmenden Digitalisierung in Wirtschaft, Schulen und Verwaltung, den Datenschutz nicht aus den Augen zu verlieren. „Die Corona-Krise zeigt überdeutlich, wie sehr unsere Gesellschaft von einer funktionierenden digitalen Infrastruktur abhängt“, sagte Thiel am Donnerstag bei der Vorstellung ihres Tätigkeitsberichts 2019 in Hannover.
„Mobiles Arbeiten und digitales Lernen werden in Zukunft mehr Raum im Berufs-, Schul- und Universitätsleben einnehmen als je zuvor. Umso wichtiger wird es sein, dabei auch den Datenschutz in gebührender Weise zu berücksichtigen“, so Thiel. „Datenschutz verhindert die Digitalisierung nicht. Er macht vielmehr eine Digitalisierung möglich, die nicht nur das technisch Machbare und wirtschaftliche Gewinne in den Blick nimmt, sondern auch die Interessen der betroffenen Bürgerinnen und Bürger.“
Datenschutz hat bei Abwägung oft das Nachsehen
Immer wieder wird der Datenschutz allerdings lediglich als Hindernis gesehen, das es aus dem Weg zu räumen gilt. „Wenn die informationelle Selbstbestimmung gegen ein anderes Gut abgewogen wird, hat der Datenschutz viel zu häufig das Nachsehen“, kritisiert Thiel. Besonders deutlich sei dies 2019 in der Weigerung der Niedersächsischen Landesregierung zum Ausdruck gekommen, ihre Facebook-Fanpages zu deaktivieren, obwohl diese momentan nicht rechtskonform betrieben werden könnten.
„Datenschutz ist kein Luxusgut, sondern ein Grundrecht, das geachtet und verteidigt werden muss“, so die Landesdatenschutzbeauftragte. Das müsse unter anderem beim Erlass neuer Gesetze und Verordnungen berücksichtigt werden – auch in Krisenzeiten. „Während der Corona-Pandemie wurde meine Behörde häufig nur unzureichend oder überhaupt nicht in die Gesetzgebung eingebunden, obwohl das dringend nötig gewesen wäre“, so Thiel. „Das ist ein äußerst unbefriedigender Zustand, der sich auf keinen Fall so verstetigen darf.“
Bereit zum konstruktiven und offenen Austausch
Dass datenschutzrechtliche Vorgaben sich mit einer zügigen und effizienten Gesetzgebung vereinbaren lassen, zeigte sich 2019 zum Beispiel in den Verfahren zur Novellierung bzw. Änderung des Niedersächsischen Justizvollzugs- und des Schulgesetzes. „Wir sind immer zu einem offenen und konstruktiven Austausch bereit“, so die Datenschutzbeauftragte. „Damit das gelingt, müssen aber auch Gesetzgeber und Exekutive den Datenschutz wirklich ernst nehmen und von Anfang an einbeziehen.“
Der vollständige Tätigkeitsbericht 2019 als PDF-Dokument.
