Datenschutz Archive - Beratung für Datenschutz und Datensicherheit

Archive

Category Archives for "Datenschutz"

Was sagt uns das EUGH-Urteil zu Facebook Like-Buttons wirklich?

Was sagt uns das EUGH-Urteil zu Facebook Like-Buttons wirklich?

„Internetseiten, die den Like-Button von Facebook einbinden, müssen eine Einwilligung der Nutzer einholen. Das hat der Europäische Gerichtshof jetzt festgestellt. Betreiber der Internetseite sind damit verantwortlich für die Erhebung und Übermittlung der Daten. …“ Sagt in einem Videoeinspieler Welt.de, das gemeinsame Internetportal der angesehenen Tageszeitung „Die Welt“ und dem Fernsehsender N24 aus dem Hause Axel Springer. Aber stimmt diese Meldung überhaupt?

In einer ersten Meldung hatte auch netzpolitik.org, eine mindestens ebenso angesehene Plattform des gleichnamigen Vereins, die sich selbst laut Wikipedia als „Mittelding zwischen Nichtregierungsorganisation und Medium, vergleichbar mit einer Mischung aus Greenpeace und taz“ sieht, gemeldet „dass Webseitenbetreibende aufgrund des EuGH-Urteils eine Einverständniserklärung einholen müssen“. netzpolitik.org hat das später korrigiert und auch welt.de schreibt in ihrem Artikel unterhalb des Videos, dass es so einfach denn doch nicht ist.

Was hat also der EUGH tatsächlich entschieden?

Die klagende und sich am Ende im Recht sehende Verbraucherzentrale NRW (e.V.) äußert sich wesentlich zurückhaltender. Ihre Headline auf der Internetseite verbraucherzentrale.de lautet „EUGH-Urteil: Like-Button von Facebook nur mit Info an Nutzer“. Aha. Das klingt doch schon ganz anders. Und es bestätigt meine „ständige Predigt“ von der Wunderwaffe „Transparente Information“. Werden die NutzerInnen von Internetseiten transparent darüber informiert, was mit ihren personenbezogenen Daten dort passiert, braucht es in der Regel KEINE ausdrückliche Einwilligung. Dafür erforderlich ist, dass, gemäß Artikel 12 DS-GVO, „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu informieren ist. Dazu hat es sich bewährt, in einem deutlich sichtbaren Bereich auf diese transparente Erklärung hinzuweisen. Ein Beispiel: „Bevor Sie sich hier anmelden, lesen Sie bitte diese wichtigen Informationen zum Datenschutz und zur DSGVO.“ Statt „anmelden“ kann es natürlich auch heißen „Bevor Sie diese Seite betreten…“.

Transparente Information ist allerdings nur die Grundlage. Sie wird von der DS-GVO gefordert, ohne dass damit „Privilegien“ verbunden sind. Dazu müssen den NutzerInnen einfache Zugänge zur Verfügung gestellt werden, mit denen Sie sich gegen die Nutzung ihrer personenbezogenen Daten zu Werbezwecken wirksam schützen können. In einem Newsletter ist das der altbekannt „Abbestellen-Link“. Auf einer Website könnte das ein Link zu einer Auswahl-Seite sein.

Bedarf es einem Zwang zur Auswahl?

Genau an dieser Stelle trennt sich der ideologisch aufgeladene Datenschützer vom Praktiker (merke: „Datenschutz-Praktiker Dirk Wolf 😉 ). Der Ideologe will die NutzerInnen dazu zwingen, sich aktiv zu entscheiden. Der Praktiker lässt den NutzerInnen die Auswahl: sie können sich zu einer aktiven Wahl entscheiden, sie können sich aber auch dazu entschließen, dass es ihnen vollkommen gleichgültig ist, was mit ihren Daten passiert. So, wie wir es beispielsweise Facebook-NutzerInnen ja auch gestatten, einen für manche unglaublichen „Datenstrip“ hinzulegen. Oder sie sich mit, zugegeben, immer noch viel zu versteckten Einstellung auf Facebook, sehr gut vor dem Zugriff durch die Öffentlichkeit zu schützen. Wohlgemerkt, vor dem Zugriff durch die Öffentlichkeit. Das gilt (derzeit?) noch nicht für Facebook selbst, die die Daten hemmungslos nutzen für die Werbung ihrer zahlenden Kunden (zu denen ich übrigens auch zähle, und auch ich schätze die zielgruppengenaue Auswahl).

Um rechtssicher den Facebook Like-Button und andere Tracking-Methoden einsetzen zu können, bedarf es aber noch mehr. So muss eine Interessenabwägung stattfinden, wenn auf Basis des Artikel 6 Abs. 1 (f) die Verarbeitung personenbezogener Daten auf die „berechtigte Interessen“ abgestellt werden soll. Berechtigte Interessen des Websitebetreibers oder Dritter allein reichen nicht. Es muss abgewogen werden, ob die schutzwürdigen Interessen der Betroffenen den berechtigten Interessen nicht überwiegen. Das muss schriftlich dokumentiert werden (auch elektronisch) und selbstverständlich gehört das auch ins Verarbeitungsverzeichns. Das alles bitte sorgsam erledigen – oder einen Fachmann fragen. Oder besser: einen Datenschutz-Praktiker!

Fazit:

Genau hinsehen, was im Urteil wirklich steht und nicht den Schlagzeilen aufmerksamkeitshaschender Medien allzu schnell hinterherlaufen!

 

PS      Im aktuellen Fall hat der EUGH gar nichts entschieden. Er hat lediglich dem anfragenden Oberlandesgericht Düsseldorf Hinweise zur seiner Entscheidung geliefert, indem es festgestellt hat, dass Website-Betreiber gemeinsam Verantwortlichen gem. Artikel 26 DS-GVO sein können.

Serie „Europäische Datenschutz-Grundverordnung (DS-GVO)“ 1.3

Teil 1 Grundlagen

1.3. Räumlicher Anwendungsbereich

Der räumliche Anwendungsbereich einer Verordnung definiert, wo sie gilt. Der Artikel 3 „Räumlicher Anwendungsbereich“ der DS-GVO zunächst im Wortlaut:

  1. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.
  2. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht
    1. betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;
    2. das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.
  3. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt.

Das bedarf einiger Erklärungen für juristische Laien. Die Verordnung findet also Anwendung, wenn die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen in der (Europäischen) Union erfolgt. Und zwar unabhängig davon, ob sie auf dem Boden der Union stattfindet oder nicht.

Was konkret mit „personenbezogen Daten“ und „Verarbeitung“ gemeint ist lesen Sie hier.

„Verantwortlicher“ meint die Person, Behörde, Organisation oder juristische Person (Unternehmen), die über die Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheidet. Der Begriff ersetzt die „Verantwortliche Stelle“ aus dem BDSG (alt).

Absatz 1 sagt also aus, dass der Verantwortliche, der in der Union eine Niederlassung hat (gleichgültig, ob das die Hauptniederlassung, die einzige Niederlassung oder eine Zweigstelle eines großen Unternehmens ist), wenn er personenbezogene Daten verarbeitet, er sich an die DS-GVO halten muss. Dabei ist völlig gleichgültig, ob es sich um Daten von EU-Bürgern oder um Daten von Nicht-EU-Bürgern handelt. Und eben ist es auch unabhängig davon, ob die Server, mit denen das geschieht in Kalifornien oder in Katalonien stehen.

Abs. 2 regelt, dass sich auch jene Verantwortliche, die ihren Sitz nicht in der EU haben, sich an die DS-GVO halten müssen, wenn sie ihre Waren und Dienstleistungen Menschen anbieten, die sich in der EU aufhalten. Das heißt auch, dass die DS-GVO auf alle Menschen angewendet wird; nicht etwa nur auf EU-Bürger. Dafür genügt es aber nicht, dass man einen Dienst oder einen Shop aus der heraus EU erreichen kann. Wenn man beispielsweise die Seite https://amazon.com aufruft, gilt für den Verantwortlichen die DS-GVO nicht. Ruft man hingegen in Deutschland die Seite http:// amazon.de auf, hat sich der Verantwortliche an die DS-GVO zu halten. Festzumachen ist das aber nicht etwa an der Endung „.de“, sondern allein daran, ob sich der Anbieter an Menschen in der EU wendet. Das ist zum Beispiel daran erkennbar, dass die Landessprache verwendet wird, und/oder die Bezahlung in der landesüblichen Währung angeboten wird. Entscheidend ist auch, ob überhaupt in das Land geliefert wird. Es kann also durchaus dazu kommen, dass ein US-Bürger, der während seines Urlaubs in Europa bei Amazon in Europa einkauft, vor dem Missbrauch seiner personenbezogenen Daten durch den US-Konzern Amazon durch die DS-GVO geschützt wird.

Ferner stellt Abs. 2 auch die Menschen unter Schutz, deren Verhalten beobachtet wird, sofern sie sich in der EU aufhalten. Diese Bestimmung ist aufgenommen worden für Unternehmen, die ihre Dienstleistungen nicht diesen Bürgern anbieten, sondern die Menschen beobachten, die sich in der EU befindenden, um diese Informationen an Unternehmen zu verkaufen, die wiederum Waren und Dienstleistungen in der EU anbieten.

Abs. 3 schließt letzte Lücken, indem sie ausdrücklich auch die Gebiete einschließt, die außerhalb Europas liegen, die aber dem Recht der EU unterstehen. Dabei geht es um ehemalige Kolonien, deren Bürger die Staatsangehörigkeit eines europäischen Landes besitzen.

Artikel 3 DS-GVO weitet den räumlichen Anwendungsbereich damit im Vergleich mit dem BDSG erheblich aus. Wann immer es irgendeinen Bezug zur EU gibt, verlangt die EU, die DS-GVO anzuwenden. Es wird interessant sein, zu beobachten, wie das beispielsweise gegenüber US-amerikanischen Internetgiganten durchgesetzt wird.

 

Serie „Europäische Datenschutz-Grundverordnung (DS-GVO)“ 1.2

Teil 1 Grundlagen

1.2. Sachlicher Anwendungsbereich

Der sachliche Anwendungsbereich einer Verordnung definiert, in welchen Fällen sie gilt. Der Artikel 2 „Sachlicher Anwendungsbereich“ der DS-GVO zunächst im Wortlaut:

  1. Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
  2. Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten
    1. im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,
    2. durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen,
    3. durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten,
    4. durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.
  3. Für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union gilt die Verordnung (EG) Nr. 45/2001. Die Verordnung (EG) Nr. 45/2001 und sonstige Rechtsakte der Union, die diese Verarbeitung personenbezogener Daten regeln, werden im Einklang mit Artikel 98 an die Grundsätze und Vorschriften der vorliegenden Verordnung angepasst.
  4. Die vorliegende Verordnung lässt die Anwendung der Richtlinie 2000/31/EG und speziell die Vorschriften der Artikel 12 bis 15 dieser Richtlinie zur Verantwortlichkeit der Vermittler unberührt.

Das bedarf einiger Erklärungen für juristische Laien. Die Verordnung soll also immer dann gelten, wenn personenbezogene Daten ganz oder teilweise automatisiert verarbeitet werden.

Es muss also zunächst geklärt werden, was personenbezogene Daten sind. Es handelt sich dabei um alle Informationen über identifizierte oder identifizierbare natürliche Personen. Natürliche Personen sind in Abgrenzung zu juristischen Personen (Firmen, Behörden, Vereine usw.) schlicht Menschen. Identifizierbar sind natürliche Personen, wenn eine direkte Zuordnung über Name, Kennziffer, Standortdaten, Online-Kennung, besondere Merkmals usw. möglich ist. Es müssen also nicht bspw. der Name und die Adresse bekannt sein, um personenbezogene Daten zu sein. Wenn anhand von Daten ein einzelner Mensch (wieder)erkannt werden kann, handelt es sich um personenbezogene Daten. Selbst wenn die Personenbezogenheit nicht direkt, sondern nur indirekt mithilfe der Daten Dritter hergestellt werden kann, fallen sie unter die DS-GVO. Allerdings muss diese indirekte Möglichkeit auch tatsächlich bestehen; eine rein theoretisch bestehende Möglichkeit, die aber nicht ausgeübt werden kann, reicht dafür nicht aus. Alle Informationen in Wort, Schrift, Bild, Audio oder Video heißt, dass wirklich selbst banalste Tatsachen, wie zum Beispiel, dass die Person zwei Arme hat, personenbezogene Daten sind. Es gibt im Zusammenhang mit personenbezogenen Daten keine irrelevanten Informationen.

Nachdem wir geklärt haben, was personenbezogene Daten sind, wenden wir uns der ganz oder teilweise automatisierten Verarbeitung zu. Auch hier ist zunächst zu klären, was Verarbeitung bedeutet. Artikel 4 Nummer 2 DS-GVO definiert Verarbeitung als „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;“. Das ist zweifellos eine Vereinfachung gegenüber der Regelung im Bundesdatenschutzgesetz (BDSG), das in § 11 noch zwischen erheben, verarbeiten und nutzen unterschieden hat. Die DS-GVO schenkt uns die Definition, dass schlicht alles, was mit personenbezogenen Daten passiert „verarbeiten“ ist.

Wenn also eine Verarbeitung personenbezogener Daten ganz oder teilweise automatisiert, das heißt mithilfe von Computern, passiert, soll die DS-GVO zur Anwendung kommen.

Aber auch wenn die Verarbeitung nicht automatisiert erfolgt soll die DS-GVO gelten. Allerdings nur dann, wenn die Daten in einem Dateisystem gespeichert werden oder werden sollen. Hier gilt es nun einen weitverbreiteten Irrtum zu korrigieren. Ein Dateisystem ist gemäß Artikel 4 Nummer 6 DS-GVO „jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;“ Dateisysteme sind also bei weitem nicht nur in Computern zu finden, sondern bspw. auch in Akten. Selbst in Schuhkartons gesammelte Zettel mit personenbezogenen Daten sind ein Dateisystem, wenn sie nach bestimmten Kriterien zugänglich sind. Das ist im Zweifel sogar dann schon anzunehmen, wenn sie einfach in chronologischer Reihenfolge übereinander liegen, schlicht, weil der letzte Zettel immer obenauf gelegt wird. Letzteres könnte bspw. für Messe-Notizen gelten, die immer gleich nach einem Gespräch in einen vorbereiteten Karton gelegt werden. Selbst wenn die Zettel gar nicht streng übereinander gelegt werden, sondern ohne jedes System einfach abgelegt werden, stellen sie ein Dateisystem dar, wenn die Absicht besteht, sie später, in welcher Form auch immer, zu sortieren.

Einige Ausnahmen sieht Artikel 2 allerdings vor. Die wichtigste Ausnahme für alle, die nicht Behörde sind, ist, dass alle durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten verarbeiteten personenbezogenen Daten nicht unter die DS-GVO fallen sollen.

Entwicklung des Datenschutzes in Deutschland

Dieser Beitrag behandelt die Entwicklung des Datenschutzes in Deutschland und Europa.

Anfänge der Datenschutzgesetzgebung

Der Schutz personenbezogener Daten ist seit langem in Standes- oder Berufsethiken geregelt. Beispiele sind die ärztliche Schweigepflicht, das Steuergeheimnis, das Postgeheimnis oder auch das Beichtgeheimnis. Erste Überlegungen, Datenschutz in einem Gesetz zu regeln wurden in Deutschland in den 1960er Jahren angestellt. Das Bundesland Hessen hat 1970 das erste Datenschutzgesetz weltweit vorgelegt, der Bund zog 1977 nach. Bereits in diesen frühen Fassungen wurde vor allem auf die automatisierte Verarbeitung von Daten durch Behörden und Unternehmen eingegangen. Aktenmäßig erfasste Daten waren ausdrücklich ausgenommen. Unternehmen wurde die Speicherung, Verarbeitung und Nutzung – hier vor allem: Übermittlung, also Überlassung von Daten für andere, meist zu Werbezwecken – von personenbezogenen Daten ausdrücklich erlaubt, wenn sie sich auf

  1. Namen
  2. Titel, akademische Grade,
  3. Geburtsdatum,
  4. Beruf, Branchen- oeder Geschäftsbezeichnung,
  5. Anschrift,
  6. Rufnummer

beschränkten und nicht mehr als eine „Angabe der Zugehörigkeit des Betroffenen zu einer Personengruppe“ enthielt.

Entwicklung des Datenschutzes in Deutschland und Europa

Bereits wenige Jahre nach der Einführung des BDSG 1977 hat das Bundesverfassungsgericht in seinem berühmten Urteil zur Volkszählung am 15. Dezember 1983 den Grundsatz der „informationellen Selbstbestimmung“ aufgestellt und damit dem BDSG bescheinigt, dass es den verfassungsrechtlichen Ansprüchen nicht genüge. Wieder war es das Bundesland Hessen, das diesen Grundsatz 1986 als erstes in ein Landesdatenschutzgesetz übernahm. Der Bund hat die informationelle Selbstbestimmung erst 1990 ins BDSG eingearbeitet.

Die Richtlinie 95/46/EG

Am 24. Oktober 1995 erließ die Europäische Union die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates. In ihr wird erstmals auf europäischer Ebene der „Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ geregelt. Allein die Begründung für die Richtlinie umfasst in 72 Artikeln 4501 Wörter.

„Gegenstand der Richtlinie
(1) Die Mitgliedstaaten gewährleisten nach den Bestimmungen dieser Richtlinie den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten.
(2) Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes.“

Europäische Richtlinien sind nicht direkt geltendes Recht, sondern müssen innerhalb gesetzter Fristen in nationales Recht umgesetzt werden. In Deutschland wurde die Richtlinie durch das „Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze“ am 23. Mai 2001 umgesetzt. Es bedurfte dazu erst der Einleitung eines Vertragsverletzungsverfahrens, weil die ursprünglich gesetzte Frist von drei Jahre bereits 1998 verstrichen war.

2010 unterlag Deutschland in einem weiteren, 2005 eingeleiteten, Vertragsverletzungsverfahren vor dem Europäischen Gerichtshof (EuGH). Der EuGH urteilte, dass die Bundesländer „staatliche Aufsicht über die Instanzen der Datenschutzkontrolle“ ausübten.

Datenschutznovelle 2009

Eine bedeutsame Änderung für die Werbewirtschaft wurde mit der zweiten Datenschutznovelle am 3. Juli 2009 vom Deutschen Bundestag verabschiedet. Dieser „Novelle II“ genannten Änderung des BDSG gingen jahrelange, teils erbittert geführte Verhandlungen zwischen der Werbewirtschaft und dem Deutschen Bundestag voraus. Hardliner auf Seiten der Datenschützer forderten eine schriftliche Einverständniserklärung für jeden Kontaktversuch eines Unternehmens mit einem potenziellen Kunden. Diese „opt-in“ genannte Regelung galt seit 2004 bereits für telefonische Kontaktanbahnung. Rechtliche Grundlage war hier allerdings nicht das BDSG, sondern das „Gesetz gegen den unlauteren Wettbewerb“. Es zielte vor allem auf am Telefon geschlossene Verkaufsverträge, die in den Jahren zuvor immens zugenommen hatten und zu einer regelrechten Plage wurden.

Die konsequente Anwendung des opt-in-Verfahrens für alle Werbeformen, besonders für die Werbung mit postalisch zugestellten Briefen (Mailings), hätte die Werbewirtschaft vor unlösbare Probleme gestellt. Der letztlich gefundene Kompromiss hat sich in der Praxis durchaus bewährt.

Bedeutsame Änderungen waren vor allem die faktische Aufhebung des Listenprivilegs, die zur Folge hatte, dass die qualitativ beste Quelle für Adressen weitgehend versiegt ist und die Einführung des opt-in-Verfahrens für Mailings, die aber abgemildert werden konnte.

Die Zukunft: Die Datenschutz-Grundverordnung

Mit der am 25. Januar 2012 im Rahmen der EU-Datenschutzreform von der Europäischen Kommission vorgestellten EU Datenschutz-Grundverordnung kommt eine Regelung, die europaweit einheitliche Datenschutz-Standards bringen wird, die für alle Unternehmen und Behörden gelten, die in Europa personenbezogene Daten nutzen, auch wenn sie außerhalb Europas ihren Sitz haben. Im Gegensatz zur Richtlinie 95/46/EG wird die Datenschutz-Grundverordnung unmittelbar geltendes Recht sein. Es bedarf nicht der Umsetzung in nationales Recht. Die EU Datenschutz-Grundverordnung ist am 24. Mai 2016 in Kraft getreten und wird ab dem 25. Mai 2018 angewendet. In Kürze wird es hier einen ausführlichen Artikel über die EU Datenschutz-Grundverordnung geben.

 

Ausarbeitung Drittländerverkehr

Übermittlung personenbezogener Daten in Drittländer

Was ist ein Drittland

Drittländer sind alle Staaten der Welt mit Ausnahme der derzeit 28 Mitgliedsstaaten der Europäischen Union und den Staaten der Europäischen Freihandelsassoziation (EFTA) mit Ausnahme der Schweiz. Es sind dies Liechtenstein, Island und Norwegen. Diese 31 Staaten bilden den Europäischen Wirtschaftsraum (EWR). Innerhalb des EWR herrscht eine Freihandelszone, die bereits seit dem Inkrafttreten der Europäischen Datenschutz-Richtlinie 95/46/EG im Jahr 1995 neben den Freiheiten des Waren-, Personen-, Dienstleistungs- und Kapitalverkehrs auch den freien Datenverkehr umfasst.

Artikel 1 Abs. 2 DS-GVO bestimmt: „Der freie Verkehr personenbezogener Daten darf in der Union aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.“ Eine ganz ähnliche Regelung kannte auch bereits die Richtlinie 95/46/EG. Muss also innerhalb der Europäischen Union (EU) der freie Datenverkehr gewährleistet sein, so gelten für den Verkehr personenbezogener Daten mit Drittländern strenge Vorschriften.

Zweistufenprüfung

Vor jeder Übermittlung personenbezogener Daten in ein Drittland muss in einer ersten Stufe die Prüfung erfolgen, ob die personenbezogenen Daten überhaupt verarbeitet werden dürfen. Für die Prüfung sind in erster Linie die Artikel 6 und 9 DS-GVO heranzuziehen. Ergibt die Rechtmäßigkeitsprüfung, dass personenbezogene Daten grundsätzlich verarbeitet werden dürfen, erfolgt in der zweiten Stufe die Prüfung, ob, und wenn ja, auf welcher Grundlage die personenbezogenen Daten in ein Drittland übermittelt werden dürfen.

Grundsätzlich gibt es dafür fünf Möglichkeiten:

  • Angemessenheitsbeschluss
  • EU-US Privacy Shield
  • Binding Corporate Rules
  • Standarddatenschutzklauseln
  • Erforderlichkeit zur Vertragserfüllung

Außerdem kann unter gewissen Umständen in Einzelfällen noch mit einer Einwilligung oder dem berechtigten Interesse gearbeitet werden.

Angemessenheitsbeschluss

Stellt die EU-Kommission einem Drittstaat einen Angemessenheitsbeschluss aus, bedarf der freie Verkehr personenbezogener Daten keiner weiteren Genehmigung. Mit solchen Staaten können personenbezogene Daten also genauso behandelt werden, als sei das Land Mitglied des EWR. Zurzeit kommen zehn Staaten in den Genuss eines Angemessenheitsbeschlusses:

  • Andorra
  • Argentinien
  • Kanada
  • Schweiz
  • Färöer-Inseln
  • Guernsey
  • Israel
  • Isle of Man
  • Jersey
  • Neuseeland
  • Uruguay

Mit Japan und Südkorea laufen darüber hinaus derzeit vielversprechende Verhandlungen. Auch mit Indien, Brasilien und Paraguay laufen Gespräche, deren Ende aber noch nicht abzusehen sind. Im Falle Brasilien hält der Autor einen Abschluss angesichts jüngster Wahlergebnisse nicht für wahrscheinlich.

USA

Für die Übermittlung personenbezogener Daten in die USA gibt es den EU-US Privacy Shield (Shield). Dieser ist eine „informelle Absprache auf dem Gebiet des Datenschutzrechts“[1]. Der Shield umfasst eine Reihe verschiedener Abkommen und Regelung zwischen der EU und den USA. So sichern die USA gewisse Garantien und Beschränkungen für den Datenzugriff durch Behörden zu, so sie denn auf Basis des Shields in die USA gelangt sind. In der Praxis muss sich die Organisation oder das Unternehmen in den USA, dass auf Grundlage des Shields personenbezogene Daten aus Europa übermittelt bekommen will, für den Shield zertifizieren. Die Zertifizierung erfolgt für zwei Datenarten, nämlich HR (Human Resources, Beschäftigtendaten) und Non-HR, alle anderen personenbezogenen Daten. Der europäische Partner hat sich dabei davon zu überzeugen, ob der US-Partner tatsächlich in die beim US-Handelsministerium geführten Liste der EU-US Privacy Shield-zertifizierten Unternehmen eingetragen ist. Prüfen können Sie das auf der Website: https://www.privacyshield.gov/list. Rein rechtlich ist der EU-US Privacy Shield mit einem Angemessenheitsbeschluss nicht für ein ganzes Land, sondern nur mit Teilen des Landes, nämlich mit den vom US-Handelsministerium zertifizierten Unternehmen, umgesetzt worden.

Verbindliche interne Datenschutzvorschriften (BCR=Binding Corporate Rules)

Verbindliche interne Datenschutzvorschriften regeln den Umgang mit personenbezogenen Daten innerhalb international tätiger Konzerne. Die Regeln müssen von der EU-Kommission genehmigt werden.

Gibt es keinen Angemessenheitsbeschluss, kommt der EU-US Privacy Shield nicht infrage und gibt es keine verbindlichen internen Datenschutzvorschriften kommen die Standarddatenschutzklauseln ins Spiel.

Standarddatenschutzklauseln

Mit den Standarddatenschutzklauseln (alt: Standardvertragsklauseln) werden Datenempfänger in Drittländern auf verbindliche Datenschutzstandards verpflichtet. Wichtigste Regel beim Einsatz von Standarddatenschutzklauseln ist, dass sie wörtlich übernommen werden müssen. Sie dürfen zwar in Verträge, die auch andere Sachverhalte regeln, eingebunden, müssen aber im Wortlaut und vollständig verwendet werden.

Standarddatenschutzklauseln werden von der EU-Kommission verfasst oder, wenn sie nicht von ihr verfasst wurden, von ihr genehmigt. Derzeit gibt es drei sogenannte „Sets“. Set 1 stamm aus der Feder der EU-Kommission aus dem Jahr 2001. Das Set 2 wurde aus Unzufriedenheit mit Set 1 durch Wirtschaftskreise erarbeitet und 2004 von der EU-Kommission genehmigt. Set 1 + 2 behandeln der Verkehr personenbezogener Daten zwischen zwei Verantwortlichen. 2010 kam Set 3 hinzu, dass den Verkehr personenbezogener Daten zwischen einem Verantwortlichen in der EU und einem Auftragsdatenverarbeiter (heute Auftragsverarbeiter genannt) regelt. Relevant sind also die Sets 2 + 3, die hier abgerufen werden können.

Set 2, Datenübermittlung von einem Verantwortlichen in Europa an einen anderen Verantwortlichen im Drittland: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32004D0915&qid=1541244989584&from=DE

Set 3, Datenübermittlung von einem Verantwortlichen in Europa an einen Auftragsverarbeiter im Drittland: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32010D0087&qid=1541244989584&from=DE

Beide Sets liegen auch als Auszug (nur die eigentlichen Vertragstexte) vor.

Erforderlichkeit zur Vertragserfüllung

Als eine weitere Möglichkeit sieht die DS-GVO die strikte Erforderlichkeit der Übermittlung personenbezogener Daten zur Erfüllung eines Vertrages vor. Die Übermittlung in ein Drittland kann in diesem Fall auf Art. 49 Abs. 1 lit. b DS-GVO gestützt werden. Anwendungsfälle sind beispielsweise die Übermittlung personenbezogener Daten von einem Reisebüro an ein Hotel, in dem das Reisebüro für den Betroffenen eine Buchung vorgenommen hat.

Weitere Ausnahmen

Einwilligung

In Einzelfällen kann die Einwilligung eine unkomplizierte Möglichkeit sein, die Übermittlung personenbezogener Daten in ein Drittland zu ermöglichen. Aber Achtung! Einwilligungen sind an einige Bedingungen gebunden. Diese sind in vier Erwägungsgründen und sieben Artikeln der DS-GVO festgeschrieben. Zu diesen ohnehin schon schlecht überschaubaren Vorschriften muss die einwilligende Person „über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet“ werden (Artikel 49 Abs. 1 lit. a DS-GVO). Angesichts dessen bieten sich, zumindest für häufiger vorkommende Übertragungen an dieselben Datenempfänger, eher andere Erlaubnistatbestände an.

Einzelfallregelung bei berechtigtem Interesse

Eine nicht wiederholte, nur eine begrenzte Anzahl von personenbezogenen Daten betreffende Übermittlung kann rechtens sein, wenn es für „die Wahrung der zwingenden berechtigten Interessen der Verantwortlichen erforderlich ist, sofern die Interessen oder die Rechte und Freiheiten der Betroffenen nicht überwiegen und der Verantwortliche alle Umstände der Datenübermittlung beurteilt und auf Grundlage dieser Beurteilung geeignete Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat.“ Diese Ausnahme darf jedoch nicht zur Regel werden. Sie ist nur für tatsächlich vereinzelte Fälle vorgesehen, bei denen die Übermittlung wirklich dringend ist und alle anderen Erlaubnistatbestände nicht zur Rechtmäßigkeit der Übermittlung führen. Eine Entscheidung darüber sollte immer mit dem Datenschutzbeauftragten oder einem Fachanwalt besprochen werden. Sie muss in jedem Fall gut schriftlich dokumentiert werden.

Empfehlung des Autors

Die Standarddatenschutzklauseln bieten eine relativ unkomplizierte Möglichkeit, die Übermittlung personenbezogener Daten an ein Drittland rechtlich abzusichern. Sie sollten von allen genutzt werden, die die Möglichkeiten der Angemessenheitsbeschlüsse (inkl. EU-US Privacy Shield) nicht nutzen können.

Für häufig vorkommende Übermittlungen, die für die Erfüllung von Verträgen mit ständig wechselnden Betroffenen vorgenommen werden müssen, bietet sich Art. 49 Abs. 1 lit. b DS-DS-GVO (Erforderlichkeit zur Vertragserfüllung) an.

Der Autor hält die Einwilligung angesichts der an sie geknüpften zahlreichen Bedingungen für wenig praktikabel.

Die Einzelfallregelung bei berechtigtem Interesse sollte der absolute Ausnahmefall sein.

Hannover, im November 2018

 

 

Dirk Wolf
Geschäftsführer

skriptura dialog systeme GmbH
Buchholzer Straße 100
30655 Hannover

E-Mail: dirk.wolf@skriptura.de

[1] Deutsche Wikipedia „EU-US Privacy Shield“, gesehen am 2.11.2018 auf https://de.wikipedia.org/wiki/EU-US_Privacy_Shield

>