Klienteninfo Ausgabe 21 / März 2021

Inhalt:

 

25.03.2021

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

 

Click to print!

 

 

 

Bedrohung der Microsoft-Exchange-Server - Abwehrmaßnahmen

Die Bedrohung der Microsoft-Exchange-Server ist nach wie vor aktuell. Während jedoch die österreichische Datenschutzbehörde ihre Rolle ausschließlich als Entscheidungsinstanz bei Verstößen gegen den Datenschutz versteht, sieht sich das Bayerische Landesamt für Datenschutzaufsicht als echte Servicestelle mit Beratungsfunktion. So wurden in München am 18.3.2021 zwei umfassende Dokumente veröffentlicht (Überblick und Checklist und Anleitung), die sowohl Laien als auch technisch versierten Personen dabei helfen, technische Bedrohungen ihres MS-Exchange-Servers zu erkennen, zu beseitigen und gezielt nach Anzeichen eines illegalen Datenabflusses oder einer Datenveränderung zu suchen.

Bemerkenswert an den Dokumenten sind auch die differenzierten juristischen Empfehlungen, die mit kleinen, regionalen Anpassungen für den gesamten Rechtsraum der EU gültig sind und daher wärmstens empfohlen werden können. Aus Sicht der verantwortlichen Betreiber von Datenverarbeitungen ist es schade, dass vergleichbare Hilfe nicht flächendeckend in der gesamten EU angeboten wird. Bleibt zu hoffen, dass die Serviceleistung der Bayern Nachahmer findet und manchen Rechtsbeamten aus dem Winterschlaf weckt.

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

Datenverkehr EU-USA: Bayern straft wegen unerlaubter Adressverarbeitung - Max Schrems bringt Beschwerde gegen Verwendung von Google-Analytics ein

Nach wie vor existiert keine praxistaugliche Lösung für eine rechtskonforme Übertragung personenbezogener Daten in die USA. Einem Medienbericht zufolge wurde ein Benutzer des Newsletter Tools "mailchimp" in Deutschland vom Bayerischen Landesamt für Datenschutzaufsicht bestraft, weil durch die unbekümmerte Verwendung des Systems Mailadressen von Newsletterbeziehern in die USA übertragen wurden. Die Entscheidung kam mit Unterstützung der Datenschutz-NGO "Noyb" von Max Schrems zustande. Gleichzeitig wird damit die Rechtsansicht bestätigt, die wir bereits in unserer Klienteninfo Nr. 15 vom Juli 2020 vertreten haben. Jedenfalls muss eindringlich davor gewarnt werden, im Netz oft auch kostenlos angebotene Systeme zu verwenden, mit deren Gebrauch eine Übertragung personenbezogener Daten in die USA verbunden ist. Das betrifft insbesondere auch die Verwendung von Google-Analytics, worüber wir ebenfalls schon berichtet haben. Penible Recherchen, ob ein Unternehmenssitz in den USA besteht, lohnen sich, wenn man größerem Ungemach aus dem Weg gehen will.

Zur Erklärung: US-Gesetze erlauben bestimmten US-Behörden den Zugriff auf gespeicherte Daten, die bei Unternehmen mit Sitz in den USA verarbeitet werden. Den Betreibern der betroffenen Verarbeitungen ist gesetzlich verboten, einen solchen Zugriff öffentlich zu machen. Wer also einen Betroffenen informiert, dass seine Daten bspw. an das FBI herausgegeben werden mussten, begeht eine in den USA schwerwiegende Rechtsverletzung, die mit hohen Strafen bedroht ist. Diese Rechtslage schließt folglich aus, dass ein Betroffener Rechtsmittel gegen eine Verwendung seiner Daten durch die Behörden ergreift - daher existieren auch keine solchen Rechtsmittel in den USA. Das rechtsstaatliche Prinzip in der EU sieht aber für jeden Betroffenen die Möglichkeit vor, behördliche Maßnahmen gerichtlich überprüfen zu lassen. Dieser wesentliche Unterschied führt dazu, dass das Rechtsschutzniveau in den USA nicht dem europäischen Standard entspricht und der Versand personenbezogener Daten aus Europa in die USA daher nicht zulässig ist.

Im Gefolge der EuGH-Entscheidung vom 16. Juli 2020 ("Schrems II") hat die Europäische Datenschutzbehörde (EDPB) eine umfassende Unterlage veröffentlicht, wie Daten rechtskonform in die USA und in andere Drittländer übermittelt werden könnten nachdem das "Privacy-Shield-Abkommen" zwischen der EU und den USA für rechtswidrig erkannt und aufgehoben wurde. Das EDPB fordert - in dieser Hinsicht durchaus logisch und konsequent - dass sich der europäische Datenexporteur vergewissern muss, ob im Zielland, hier die USA, das Schutzniveau für personenbezogene Daten demjenigen entspricht, das in Europa gegeben ist. Bei der gegenwärtigen Rechtslage in den USA ist das jedoch nicht der Fall. Als praktische Anleitung für den Datenaustausch mit den USA ist die Unterlage des EDPB daher keine Hilfe.

Auf die logisch korrekte Beurteilung des EDPB stützt sich das Bayerische Landesamt für Datenschutzaufsicht im Falle der Beschwerde eines betroffenen Adressaten, der an seine Mailadresse Newsletter via mailchimp erhielt. Mailchimp ist das Tool einer US-Firma, weshalb die gespeicherten Adressen der Bezieher in den USA verarbeitet wurden. Dies erfolgte jedoch, ohne dass der Verantwortliche vorher die notwendige Prüfung auf ein angemessenes Datenschutzniveau in den USA durchgeführt hatte (bei dem er zu dem Schluss hätte kommen müssen, dass die Verwendung von mailchimp unter gegebenen Bedingungen in Europa rechtwidrig ist).

Zwei Einwände werden öfter vorgebracht, warum man als europäisches Unternehmen seine personenbezogenen Daten trotzdem bedenkenlos Firmen mit US-Sitz anvertrauen könne:

1.) Man könnte ja mit dem jeweiligen Betrieb in den USA die "Standardvertragsklauseln" der EU vereinbaren und damit die Schwierigkeiten aus der Welt schaffen. Vereinfacht sehen die Standardvertragsklauseln vor, dass sich der Vertragspartner an das europäische Datenschutzrecht hält und niemandem ohne Zustimmung des (europäischen) Verantwortlichen Zugriff auf dessen Daten gewährt. Eine solche Vereinbarung ist aber leider nicht möglich, denn so wie in Europa können auch in den USA die geltenden Gesetze nicht durch privatrechtliche Vereinbarungen außer Kraft gesetzt werden. Wenn daher ein US-amerikanisches Unternehmen den europäischen Standardvertragsklauseln zustimmt, erklärt es damit, sich künftig nicht an die US-Gesetze zu halten. Ob ein solches Verhalten in den USA geduldet würde, braucht hier nicht erörtert zu werden.

2.) Wenn die Daten körperlich in Europa verarbeitet würden, hätten die US-Behörden keinen Zugriff darauf. Diese Auffassung entspricht leider nicht dem US-amerikanischen Recht. Die US-Behörden können von Unternehmen mit einem Sitz in den USA die Herausgabe von Daten erzwingen, egal, wo auf der Welt die Server stehen, auf denen sie verarbeitet werden.

Viele Unternehmen in Europa, die auch in den USA einen Sitz (oder manchmal sogar die Zentrale) haben, waren bisher nicht bereit, auf die Rechtsprechung des EuGH zu reagieren. Wie auch hätten sie es tun sollen? Sie stehen streng genommen vor beschränkten Möglichkeiten:

a) Ungeachtet der Rechtslage in den USA könnten sie den US-Behörden den Zugriff auf Daten europäischer Betroffener verweigern. Langjährige Haftstrafen würden in diesem Fall drohen.

b) Sie könnten auf das Geschäft entweder in Europa oder in den USA verzichten. Das hätte vermutlich gravierende ökonomische Nachteile zur Folge.

c) Sie könnten die europäische Rechtslage ignorieren (was die meisten ohnehin tun). Das Risiko der Bestrafung war bisher vergleichsweise gering, weil in Europa (im Gegensatz zu den USA) ein starkes Bewußtsein für die wechselseitige Abhängigkeit zwischen den USA und der EU besteht und die Behörden bei der Rechtsdurchsetzung große Zurückhaltung zeigten.

d) Sie könnten kreative organisatorische Lösungen finden (z.B. Treuhandkonstruktionen für Datenverarbeitung) - das wurde zwar angedacht, jedoch bisher in keinem bekanntgewordenen Fall verwirklicht. Lediglich die Deutsche Bahn betreibt in den USA eine rechtskonforme Cloud, deren Datenbestand allerdings verschlüsselt und weder für den Betreiber der Server noch für die US-Behörden zugänglich ist.

Manche US-Firmen behaupten noch immer in ihren Datenschutzerklärungen, dass sie sich nach dem "Privacy-Shield-Abkommen" verhalten und man ihnen daher bedenkenlos personenbezogene Daten übermitteln könne. Nach dem Urteil des EuGH ist diese Beteuerung wertlos, als europäischer Datenverarbeiter muss man sie ignorieren.

Der Aktivist Max Schrems und seine NGO haben daran Interesse, dass das im Vorjahr erstritte Urteil des EuGH nicht "totes Recht" wird und tun daher alles, um die praktische Umsetzung der Konsequenzen zu erzwingen. Aus diesem Grund hat er sogar Beschwerde gegen das EU-Parlament wegen Verwendung von Google-Analytics eingebracht. Nachdem die USA von der Zweckmäßigkeit ihrer Vorgangsweise überzeugt und bereit sind, allenfalls auch erheblichen Druck auszuüben, ist ein politischer Ausweg, der einen rechtskonformen Datentransfer zwischen den USA und Europa ermöglichen könnte, nicht in Sicht. Und Max Schrems treibt die europäischen Datenschützer vor sich her.

Quellen:

https://www.derstandard.at/story/2000123528260/noyb-bringt-datenschutzbeschwerde-gegen-eu-parlament-ein
22.1.2021

https://www.derstandard.at/story/2000125296672/urteil-in-deutschland-unzulaessige-weitergabe-von-mailadressen-an-mailchimp
24.3.2021

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

 

 

Click to print!