Datenschutz und Datensicherheit sind super spannende Themen. Finden Sie nicht auch? Ach, nein?

Trotzdem sind Sie irgendwie hier auf meinem Blog gelandet. Das freut mich. Auch, wenn Sie die Themen nicht so spannend finden wie ich. Dennoch werden sie Sie berühren. Das ist zwangsläufig so, wenn Sie beruflich tätig sind oder in einem Verein engagiert. Oder wenn Sie gemeinnützig unterwegs sind. Immer werden Sie konfrontiert sein mit Themen des Datenschutzes und der Datensicherheit.

Dieser Blog behandelt beide Themen. Schwerpunkt ist eher der Datenschutz, also die gewissermaßen die Organisation der Datensicherheit. Aber ich gehe auch gern auf Themen der Datensicherheit ein, weil es da immer wieder spannende neue Entwicklungen gibt, die berichtenswert sind. Weil Datensicherheit aber doch eher ein Thema für Spezialisten ist, habe ich die beiden Themen getrennt, auch wenn sie in der Realität eng zusammengehören. Sie können sie oben in der Menüleiste einzeln anwählen. Wenn Sie hier auf der Startseite bleiben, erscheinen alle Artikel chronologisch von aktuell bis klassisch.

Mein Ansatz bei der Datenschutz- und Datensicherheits-Beratung ist ein sehr pragmatischer. Ich erzähle meinen Klienten nicht, was nicht geht. Vielmehr versuche ich Wege zu finden, die praktikabel und rechtskonform sind. Das funktioniert in vielen Fällen.

Ich wünsche Ihnen viel Erkenntnis beim Lesen dieses Blogs. Und wenn Sie Spannendes entdecken, würde es mich ganz besonders freuen. Diskutieren Sie gern mit mir und nutzen die Kommentar-Funktion für Widerspruch und Zustimmung. Gern übrigens auch für Fragen.

Foto vom Europäischen Gerichtshof über das Wasser fotografiert

Das EUGH-Urteil zum EU-US Privacy Shields

Der Europäische Gerichtshof (EUGH) hat den EU-US Privacy Shield für ungültig erklärt. Die Erklärung bedeutet in der Praxis, dass seit dem 16.07.2020 Verantwortliche und Auftragsverarbeiter auf der Basis des Shields keine personenbezogenen Daten mehr in den USA verarbeiten lassen dürfen.

Die Standardvertragsklauseln hingegen wurden vom EUGH nicht für ungültig erklärt. Allerdings betont der EUGH, dass sie nur deshalb nicht pauschal für ungültig erklärt wurden, weil sie – entgegen dem Shield – keine abschließende, rechtsverbindliche Untersuchung beinhalte, ob die bestehenden Gesetze u.a. hinsichtlich der Zugriffe von Behörden aus Gründen eines nationalen Sicherheitsinteresses mit Blick auf die EU-Gesetzgebung als angemessen zu erachten seien.

Damit liegt der Ball wieder im Feld der Verantwortlichen und Auftragsverarbeitern in der EU, die sich über die Standardvertragsklauseln vertraglich abgesichert hatten. Denn, so stellt das Gericht fest, die in den Standardvertragsklausen vorgesehenen Schutzmechanismen wären ja grundsätzlich erweiterbar und könnten so ein angemessenes Schutzniveau herstellen.

In der Praxis heißt das wohl, dass Verantwortliche und Auftragsverarbeiter für jeden Datenexport in ein Drittland zu untersuchen haben, ob der Empfänger die Zusicherungen der Vertragsklauseln einhalten kann oder ob lokale Gesetze ihm dies verbieten, was angesichts des Cloud Acts jedenfalls für die USA praktisch unmöglich ist. Zwar gibt es theoretisch die Möglichkeit, dass US-Unternehmen sich gegen die Herausgabe von personenbezogenen Daten aufgrund des Cloud Acts wehren können, wenn diese Nicht-US-Bürgern gehören bzw. diese nicht in den USA leben und das Unternehmen damit das Recht einer anderen Nation verletzen würde. Allerdings gilt das ausschließlich für Staaten, die mit den USA ein Abkommen über den Cloud Act abgeschlossen haben. Dies hat, außer Großbritannien, bisher kein einziges Land oder Staatenbund getan, also auch nicht die Europäische Union.

Es geht sogar noch weiter. Stellen der Verantwortliche oder der Auftragsverarbeiter fest, dass die vereinbarten Standarddatenschutzklauseln von dem Importeur nicht einzuhalten sind, hat er dies seiner zuständigen Datenschutzaufsichtsbehörde zu melden. Gleichzeitig ist selbstverständlich jeglicher Export personenbezogener Daten sofort zu unterlassen.

Fazit und Rat:

Exportieren Sie derzeit personenbezogene Daten in die USA auf Grundlage des EU-US Privacy Shields, also der Zertifizierung US-Amerikanischer Unternehmen zu diesem Shield, richten Sie sich darauf ein,  den Export sofort (hoffentlich vorübergehend) einzustellen! Das betrifft praktisch alle großen US-Amerikanischen Unternehmen der Internetwirtschaft, also Google, Facebook, Apple, Zoom & Co.

Versuchen Sie mit Vertragspartnern, die Sie beeinflussen können, Standarddatenschutzklauseln zu vereinbaren.

Arbeiten Sie mit Standarddatenschutzklauseln, rate ich dazu, zumindest einen hohen Datensicherheitsstandard mit dem Vertragspartner zu vereinbaren. Die Standarddatenschutzklauseln dürfen zwar nicht verändert werden, aber es darf durchaus etwas zusätzliches vereinbart werden. Die Nutzung einer sicheren europäischen Cloud wäre eine wirksam Maßnahme, die eine Chance hat, bei deutschen Aufsichtsbehörden die Ernsthaftigkeit der Bemühungen um die Herstellung des – unter den gegebenen Umständen – bestmöglichen Schutzes der personenbezogenen Daten von Betroffenen zu gewährleisten. Im Zweifel wird eine europäische Datenschutzaufsichtsbehörde genau so etwas verlangen. Und wenn Sie den Nachweis nicht erbringen können, zusätzliche Sicherheitsmaßnahmen ergriffen zu haben ist der Vorwurf des Organisationsversagens nicht weit.

Noch einmal zurück zum eigentlichen Thema: Erscheint Ihnen der erste Absatz zu dem EU-US Privacy Shield ein wenig dünn? Nun, mehr ist in der Tat darüber (fast) nicht zu sagen. Der Shield ist ungültig. Ein früherer Bundeskanzler hätte gesagt: Basta! Fast bedeutet natürlich, dass denn doch noch ETWAS zu sagen ist. Der EUGH hat es durchaus offen gelassen, einen weiteren Versuch zu starten, doch noch ein allgemein-verbindliches Instrument zu schaffen. Er hat es jedoch mit seiner offenen, ja fast arrogant zu nennenden, Kritik an der ältesten Demokratie der Welt den USA nicht leichter gemacht, ihre Gesetze an die Erfordernisse europäischer Datenschutzvorstellungen anzupassen. Der EUGH, der Europäische Gerichtshof, stellt nämlich lapidar fest, dass die Überwachungsprogramme durch US-Sicherheitsbehörden nicht verhältnismäßig seien. Die USA müssen sich bewegen, aber auch Europa muss sich geschmeidig zeigen. Ohne ernsthafte Bemühungen beider Seiten machen sich entweder sämtliche US-amerikanische Unternehmen, die europäische personenbezogene daten verarbeiten oder sämtliche europäische Unternehmen, die Daten durch US-amerikanische Unternehmen verarbeiten lassen strafbar. Das kann nicht im Interesse einer gedeihlichen Zusammenarbeit zwischen den USA und de EU liegen. Derzeitige Machtverhältnisse ändern daran nichts.

Ohne jedes Patentrezept zur Lösung dieser Probleme, aber immerhin mit einem gewissen Durchblick zur Sachlage des Drittländerverkehrs stehe ich Ihnen gern mit Rat und Tat zur Verfügung. Das Kapitel V der DS-GVO, also die Artikel 44 bis 50 enthalten so manche kleine Überraschung, die eine Übermittlung unter Umständen doch noch rechtmäßig möglich machen kann.

Kontakt:

Dirk Wolf

Tel.: +49 511 54294-44

Mobil/Telegram: +49 171 3831577

E-Mail: dirk.wolf@skriptura.de

Stand: 03.08.2020

Foto: tagesschau.de

Symbolbild für Justiz: Hammer aus Holz

Wie wird das Bußgeld für Verstöße gegen die DS-GVO berechnet?

Das Bußgeldkonzept sieht ein fünfstufiges Verfahren vor, mit dem die Höhe des Bußgeldes errechnet wird.

Schritt 1: Das Unternehmen wird einer Größenklasse zugeordnet

Das Bußgeldkonzept benennt zunächst vier Größenklassen – zu welcher ein Unternehmen gehört, bestimmt der weltweit erzielte Vorjahresumsatz:

  1. Größenklasse A: Kleinstunternehmen mit bis zu 2 Millionen Euro Jahresumsatz
  2. Größenklasse B: Kleinunternehmen mit einem Jahresumsatz zwischen 2 und 10 Millionen Euro
  3. Größenklasse C: Mittlere Unternehmen mit einem Jahresumsatz zwischen 10 und 50 Millionen Euro
  4. Größenklasse D: Großunternehmen mit einem Jahresumsatz von mehr als 50 Millionen Euro

Mit dieser Einteilung der KMU folgt die Datenschutzkonferenz der Empfehlung der EU-Kommission (2003/361/EG).

Um einzelne Unternehmen noch konkreter einordnen zu können, sieht das Konzept dann für jede Größenklasse weitere Untergruppen vor, die sich ebenfalls am Jahresumsatz orientieren. Es gibt Untergruppen von AI bis AIII, BI bis BIII, CI bis CVII und DI bis DVII.

Beispiele: Untergruppe AI umfasst Kleinstunternehmen mit einem Jahresumsatz bis zu 700.000 Euro, Untergruppe AII solche mit einem Jahresumsatz zwischen 700.000 und 1,4 Millionen Euro. Unternehmen, die zwischen fünf und 7,5 Millionen Euro erwirtschaften, gehören zur Untergruppe BII, solche mit 75 bis 100 Millionen zu DII – und alle mit einem Jahresumsatz von mehr als 500 Millionen Euro zu DVII.

Schritt 2: Der mittlere Jahresumsatz wird bestimmt

Ist ein Unternehmen einer Untergruppe zugeordnet, wird der mittlere Jahresumsatz ermittelt.

Beispiele: Für die Untergruppe AI (bis zu 700.000 Euro Jahresumsatz) liegt der mittlere Jahresumsatz bei 350.000 Euro. Für die Untergruppe AII (700.000 bis 1,4 Millionen Euro) bei 1.050.000 Euro. Für die Untergruppe BII (zwischen fünf und 7,5 Millionen Euro Jahresumsatz) bei 6,25 Millionen Euro und für die Untergruppe DII (75 bis 100 Millionen Euro Jahresumsatz) bei 87,5 Millionen Euro. Bei Untergruppe DVII (Jahresumsatz von mehr als 500 Millionen Euro wird der konkrete Jahresumsatz zugrunde gelegt.

Schritt 3: Der wirtschaftliche Grundwert wird ermittelt

Ist der mittlere Jahresumsatz der Untergruppe, zu dem ein Unternehmen gehört, errechnet, wird dieser Betrag durch 360 geteilt. Das Ergebnis bildet den sogenannten wirtschaftlichen Grundwert – und damit die Basis für die weitere Festlegung des Bußgelds.

Beispiele: Für Untergruppe AI ergibt die Rechnung 350.000 Euro geteilt durch 360 einen wirtschaftlichen Grundwert von 972 Euro, für Untergruppe AII ergibt sich ein Wert von 2917 Euro, für Untergruppe BII von 17.361 Euro und Untergruppe DII von 243.056 Euro und Untergruppe DV von 972.222 Euro.

Schritt 4: Aus der Schwere der Tat wird ein Multiplikationsfaktor abgeleitet

Um den Schweregrad eines Verstoßes gegen die DSGVO zu ermitteln, werden die Umstände des Einzelfalls bewertet. Der Kriterienkatalog, der diese möglichen Umstände beschreibt, steht in Artikel 83, Absatz 2 DSGVO. Zu ihnen gehört etwa die Art und Dauer des Verstoßes, die Zahl der betroffenen Personen, das Ausmaß des Schadens, den diese erlitten haben. Außerdem beispielsweise die Frage, wie gut der Betroffene mit der Aufsichtsbehörde zusammengearbeitet hat – und etwa auch, ob mit dem Verstoß direkte finanzielle Vorteile erlangt wurden.

Diese Umstände führen laut Bußgeldkonzept zu einem Faktor, mit dem der wirtschaftliche Grundwert multipliziert wird. Aus dieser Rechnung ergibt sich dann das vorläufige Bußgeld.

Das Bußgeldkonzept sieht vier Schweregrade eines Verstoßes vor: leicht, mittel, schwer, sehr schwer. Außerdem wird unterschieden zwischen „formellen“ und „materiellen“ Verstößen. Je nach Art und Schwere des Verstoßes liegt der Faktor zwischen 1 und 12 – bei sehr schweren Verstößen mitunter sogar noch höher.

Schritt 5: Das vorläufige Bußgeld wird final angepasst

Das in Schritt 4 errechnete vorläufige Bußgeld wird abschließend noch einmal überprüft und gegebenenfalls angepasst. Dabei kommen – nochmals – alle Umstände zum Tragen, die für oder gegen einen Betroffenen sprechen. Dazu gehört etwa die Frage, ob er fahrlässig gehandelt hat oder vorsätzlich. Auch gibt es Ermäßigungen bei einer sehr langen Verfahrensdauer – oder wenn dem Unternehmen durch das Bußgeld die Zahlungsunfähigkeit droht.

Wie sieht eine Beispielrechnung aus?

Ein durchschnittlicher Bäckerbetrieb in Deutschland erwirtschaftet mit gut 24 Mitarbeitern 1.343.000 Euro Umsatz pro Jahr. Angenommen, der Chef eines solchen Betriebes betreibt einem Online-Shop, über den er Hochzeitstorten verkauft, und achtet nicht darauf, die Website und die dort erhobenen Daten DSGVO-konform zu sichern. Dann müsste er mit einer Bußgeldforderung wie folgt rechnen:

Schritt 1:

Mit 1.343.000 Euro Jahresumsatz fällt die Bäckerei in die Größenklasse der Kleinstunternehmen mit bis zu zwei Millionen Euro Jahresumsatz – und dort wiederum in die Untergruppe AII jener Unternehmen mit einem Jahresumsatz zwischen 700.000 und 1,4 Millionen Euro.

Schritt 2:

Der mittlere Jahresumsatz dieser Untergruppe beträgt 1.050.000 Euro.

Schritt 3:

Geteilt durch 360 ergibt dies einen wirtschaftlichen Grundwert von 2917 Euro.

 Schritt 4:

Weil in der Beispielrechnung nur wenige Personen betroffen sind, der Bäcker ohne Vorsatz gehandelt und die Datenschutzbestimmungen ansonsten beachtet hat, ordnet die Aufsichtsbehörde den Verstoß als formellen Verstoß des Schweregrads „leicht“ ein – und legt den Faktor 2 fest. Mit diesem Faktor wird der wirtschaftliche Grundwert von 2917 Euro multipliziert. So ergibt sich ein vorläufiges Bußgeld von 5834 Euro.

Schritt 5:

Weil sich das Bußgeldverfahren lange hingezogen hat, was eine andauernde Belastung des Unternehmers über eine erhebliche Zeitspanne hinweg bedeutete, legt die Behörde das Bußgeld abschließend auf 5000 Euro fest.

Wie verbindlich ist das Bußgeldkonzept?

Das aktuelle Bußgeldkonzept gilt nur für deutsche Behörden – und auch nur solange, bis der Europäische Datenschutzausschuss endgültige Leitlinien erstellt hat. Nach meiner Einschätzung kommt das nicht vor Mitte 2021.

Bis es soweit ist, bildet das Konzept der deutschen Datenschutzkonferenz Grundlage für die Sanktionspraxis der deutschen Aufsichtsbehörden. Ergänzungen und Änderungen sind dabei möglich.