Inhalt:

• Wo habe ich es bloß? - Die Suche nach dem "Verzeichnis von Verarbeitungstätigkeiten"
• Wie funktioniert das? - Eine einfache Suche im Internet und ihre Rechtsfolgen
• Google, Facebook, Clouds - ist die Verwendung riskant?

 

 

Wo habe ich es bloß? - Die Suche nach dem "Verzeichnis von Verarbeitungstätigkeiten"

 

Seien wir ehrlich: Wer von uns hat sich seit Mai 2018 sein Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) nochmals durchgesehen? Ist es noch aktuell? Enthält es alle notwendigen Angaben? Hier eine verkürzte Beschreibung der sieben vorgeschriebenen Punkte:

1. Name und die Kontaktdaten des Verantwortlichen der Datenverarbeitung sowie eines etwaigen Datenschutzbeauftragten;
2. Zwecke der Verarbeitung;
3. Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
4. Beschreibung der Kategorien von Empfängern einschließlich Empfänger in Drittländern;
5. allfällige Übermittlungen von personenbezogenen Daten an ein Drittland (Beachtung insbesondere von Art. 45 u. 49);
6. Fristen für die Löschung der verschiedenen Datenkategorien;
7. allgemeine Beschreibung der technischen und organisatorischen Schutzmaßnahmen (Art. 32 Absatz 1)

Zahlreiche Berufsvertretungen haben Muster für Verzeichnisse bereitgestellt, die auch zusätzliche Hinweise auf die spezifischen Besonderheiten einzelner Berufsgruppen enthalten. Die Verwendung dieser Vorlagen darf daher ausdrücklich empfohlen werden.

Vergessen Sie bitte nicht, dass Sie möglicherweise nicht alle Daten im eigenen Haus verarbeiten. Cloudlösungen aller Art sind meistens auf Servern installiert, die in externen Rechenzentren angemietet wurden. Das gilt auch für "mitgelieferte" Angebote von Google, Apple u.a. Mit den Betreibern müssen Auftragsverarbeiterverträge abgeschlossen werden, die man der Einfachheit halber beim Verzeichnis aufbewahren sollte. Die Beauftragung von Dienstleistern, die zwar eine Niederlassung in Europa haben, aber auch US-amerikanischem Recht unterliegen, ist nach derzeitiger Sach- und Rechtslage grundsätzlich unzulässig.

Auch handschriftliche Listen erfüllen manchmal die Kriterien, sodass sie in das Verzeichnis der Verarbeitungen aufgenommen werden müssen. Um unnötigen Aufwand zu vermeiden empfiehlt es sich, Rücksprache mit Spezialisten für Datenschutz zu halten. Von ihnen erfährt man, welche Angaben allenfalls nicht in das Verzeichnis aufgenommen werden müssen.

Quellen:

https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE#d1e3277-1-1
(27.4.2016)

https://www.datenschutzkanzlei.de/verzeichnis_von_verarbeitungstaetigkeiten/
(9.9.2020)

https://www.datenschutzzentrum.de/uploads/dsgvo/Hinweise-zum-Verzeichnis-von-Verarbeitungstaetigkeiten.pdf
(9.9.2020)

 

 

Wie funktioniert das? - Eine einfache Suche im Internet und ihre Rechtsfolgen

 

Wußten Sie, dass Sie beim Surfen im Internet alle ihre Vorlieben, Wünsche und Sorgen an Google, Facebook, Amazon und anderen "Big Brothers" (oder vielleicht auch "Big Sisters") übermitteln? Wer sich nicht mit IT-Technik beschäftigt, wird vielleicht ungläubig den Kopf schütteln. Wer hingegen wenigstens in groben Zügen die technischen Abläufe kennt, kann auch die Rechtsfolgen besser einschätzen. Wir haben daher versucht, eine einfache Beschreibung für technische Laien zusammenzustellen, um zu zeigen, wie das funktioniert.

Eine Abfrage im Internet, wenn also jemand im Browser eine Zieladresse eingibt, gleicht einer Bestellung bei einem Online-Händler. Wer etwas bestellt, muss wenigstens angeben, welchen Artikel er erhalten will und wohin die Ware zu liefern ist.

 

Auf der Skizze oben sieht man links einen PC und rechts einen Server mit der gesuchten Homepage. Wie jedes Gerät ist der PC ist durch eine sogenannte IP-Adresse im Internet eindeutig gekennzeichnet, kann also von anderen Rechnern unter dieser Adresse erreicht werden. Gibt man am PC im Browser z.B. die Adresse www.md.at ein, wird mit dieser Anforderung, die der Beschreibung des Artikels im Onlinehandel vergleichbar ist, automatisch auch die eigene IP-Adresse mitgeschickt, damit später die Zustellung klappt.

 

Im Internet, das auf der Skizze durch die Wolke symbolisiert wird, erfolgt die Suche nach der IP-Adresse des Servers mit dem gesuchten Inhalt. Sobald der gefunden wurde, wird die Anforderung zugestellt. Der Webserver sendet dann die gewünschte Seite an den PC des Auftraggebers, dessen IP-Adresse er ja mit der Anforderung erhalten hat.

 

Angenommen, der Betreiber des Webservers (also der "Verantwortliche der Datenverarbeitung“) verwendet Google-Analytics, weil er sich davon eine Information erhofft, wer auf seine Seite zugreift, wie oft zugegriffen wird, welche Aktivitäten die Personen sonst noch im Internet auslösen, dann fügt er in den Code seiner Webseite einige Zeilen ein, die ihm von Google zur Verfügung gestellt werden.

 

 

Sobald nun jemand die Webseite aufruft, wird seine Anforderung samt IP-Adresse auch an Google weitergeleitet. Doch nicht nur das: Mittels der IP-Adresse des anfordernden Rechners kann Google von sich aus dessen weitere Aktivitäten verfolgen. Und aus den Überwachungsergebnissen erstellt Google sogar Prognosen über künftiges Verhalten des jeweiligen Nutzers. Das gilt übrigens in gleicher Weise auch für Facebook, Amazon und andere Verwerter von "Big Data".

Sobald von einem Webserver Daten z.B. an Google übermittelt werden, treten mehrere Rechtsfolgen ein:

1. Der Verantwortliche der Datenverarbeitung des Webservers verstößt gegen DSGVO Art. 44-49, wonach die Übermittlung personenbezogener Daten in Drittländer nur erfolgen darf, wenn dort ein angemessenes Schutzniveau besteht. Das ist bei den USA nicht der Fall, wie der EuGH entschieden hat. Google, Facebook und Amazon, die im Beispiel genannt wurden, unterliegen nämlich US-amerikanischem Recht, das Betroffenen den in Europa garantierten Rechtsschutz verweigert und Firmen nötigen kann, europäisches Recht zu brechen.
   In mindestens gleicher Weise gilt das oben Ausgeführte auch für Cloudlösungen von Dienstleistern mit US-Bezug oder für Office365 von Microsoft. Jedenfalls wäre es in diesen Fällen zumindest notwendig, die gewählten Einstellungen sorgfältig zu prüfen. Möglicherweise können dadurch die Daten vorübergehend lokal gehalten werden, sodass die Verantwortlichen für die Erarbeitung einer dauerhaften Lösung Zeit gewinnen.
2. Die fortgesetzte Verwendung von Diensten durch europäische Unternehmen, mit denen personenbezogene Daten ohne Rechtsgrundlage an die USA ausgeliefert werden, kann nicht durch Erklärungen der Empfänger (Google, Facebook etc.) oder der Auftragsverarbeiter saniert werden, dass sie sich an die "Standardvertragsklauseln" der EU gebunden fühlen. Deren Inhalt steht nämlich in diametralem Gegensatz zur US-amerikanischen Rechtslage. Unternehmen die an US-amerikanische Gesetze gebunden sind, können daher die Einhaltung der Standardvertragsklauseln nicht gewährleisten. Das hat zur Folge, dass der jeweilige europäische Verantwortliche einer Datenverarbeitung ("Datenexporteur") durch die europäischen Behörden und Gerichte bestraft werden muss.
3. Die Wahrscheinlichkeit, dass ein Unternehmen für seine Datenexporte zur Verantwortung gezogen wird (wozu ggfs. auch Schadenersatz zählt), ist mittlerweile stark gestiegen. Je nach Art des Unternehmens können die Strafen, aber vielmehr noch der Schadenersatz existenzbedrohende Ausmaße annehmen. Dessen sollte sich jeder europäische Verantwortliche für die Verarbeitung personenbezogener Daten bewusst sein.

 

 

Google, Facebook, Clouds - ist die Verwendung riskant?

 

Wie lange noch die Veranwortlichen für Datenverarbeitung in der EU, also z.B. Betreiber einer Website, straffrei bleiben, wenn sie Daten sammeln, die nach US-Recht auch an US-Behörden ausgeliefert werden müssen, ist nicht seriös prognostizierbar. Jeder enttäuschte Kunde oder Mitbewerber, ja sogar jeder grantige Nachbar könnte mit einer simplen Anzeige behördliches Einschreiten auslösen. Die Wahrscheinlichkeit, dass die Datenschutzbehörden als Reaktion auf die Aktivitäten von Max Schrems von sich aus stärker aktiv werden und Verantwortliche von Datenverarbeitungen zur Rechenschaft ziehen, ist jüngst deutlich gestiegen.

Am 16. Juli 2020 erklärte der EuGH das "Privacy Shield-Abkommen" zwischen der EU und den USA für nicht rechtskonform. Mit einem Schlag wurden daher viele Cloud-Lösungen, Google-Analytics, MS-Office365 und viele andere populäre Dienste illegal,

• weil das US-Recht einen behördlichen Zugriff auf die gesammelten Daten von US-Firmen auch dann ermöglicht, wenn diese in Europa verarbeitet werden und nach EU-Recht geschützt sind und
• weil das US-Recht keinen Rechtsschutz für Betroffene einräumt, der mit EU-Standards auch nur annähernd vergleichbar wäre.

Die Alarmglocken hätten eigentlich ohrenbetäubenden Lärm entwickeln müssen: Viele gebräuchliche Maßnahmen des e-Marketings, wie Facebook-Fanpage, YouTube- und Instagram-Auftritte etc. werden von den Gerichten und den Datenschutzbehörden seit rund zwei Jahren als problematisch, seit Juli 2020 – wie oben geschildert - sogar als illegal eingestuft. Alle entsprechenden Urteile und Entscheidungen blieben aber nahezu wirkungslos. Sogar Behörden und staatliche Stellen betrieben und betreiben weiterhin ihre Facebook-Auftritte und präsentieren sich auf YouTube, ohne sich um die Rechtslage zu kümmern. Ganz zu schweigen von Räumen, in denen Siri, Alexa und ähnliche Spione aufgestellt sind, heimlich jedes Wort mithören und sofort in die USA weitermelden.

Ende August 2020 haben sich die Datenschutzbehörden aller EU-Mitgliedsländer nach langem Zögern angesichts der Lage zu einer gemeinsamen Vorgangsweise gegen den permanenten Gesetzesbruch entschlossen. Auslöser waren letzlich mehr als 100 Anzeigen von Max Schrems bei verschiedenen Datenschutzbehörden, mit dem Ziel, der Entscheidung des EuGH zur Durchsetzung zu verhelfen. Ob dem Bekenntnis der Datenschutzbehörden zu einer gemeinsamen Vorgangsweise allerdings auch Taten folgen werden, muss sich erst herausstellen. Jedenfalls, so kann man verschiedenen Pressemeldungen entnehmen, möchte die Europäische Datenschutzbehörde dem Druck des Aktivisten Max Schrems zuvorkommen und nicht länger von ihm getrieben werden.

Die Tragweite von Schrems' Initiative wird dann verständlich, wenn man sich vor Augen hält, dass z.B. jede Website, die Google Analytics verwendet, derzeit gegen geltendes Recht verstößt. Jede Cloud-Lösung eines Anbieters mit Sitz in den USA ist in Europa rechtswidrig. Die Behauptung von Google und Facebook, dass sich die Unternehmen an die europäischen „Standardvertragsklauseln“ hielten und ihre Dienste daher rechtskonform wären, ist deswegen falsch, weil die Dienstleister nach US-amerikanischem Recht die korrekte Einhaltung des europäischen Datenschutzes nicht garantieren können. Jederzeit sind nämlich die US-Behörden in den USA ermächtigt, auch die Herausgabe von Daten zu erzwingen, die unter dem Schutz der DSGVO stehen.

Man kann davon ausgehen, dass die Datenschutzbehörden bei der Beurteilung der anhängig gemachten Fälle keine übertriebene Härte an den Tag legen. Jedenfalls aber werden sie berücksichtigen, ob ein Verantwortlicher ausreichendes Bemühen erkennen lässt, seine Datenverarbeitung rechtskonform zu gestalten.

Quellen:

https://www.derstandard.at/story/2000119424862/privacy-shield-ende-ignoriert-datenschuetzer-brachten-100-beschwerden-ein
(18.8.2020)

https://www.e-recht24.de/artikel/facebook/10937-urteil-facebook-fanpages-eugh.html
(EuGH, C-210/16, Rn. 40)

https://kurier.at/wirtschaft/datenschutzbehoerde-dreht-den-ams-algorithmus-ab/401006615
(20.8.2020)

https://www.vol.at/neues-eu-usa-datenabkommen-fuer-schrems-sinnlos/6727455
(3.9.2020)

https://netzpolitik.org/2020/facebook-schickt-weiter-daten-in-die-usa/
(3.9.2020)