09.09.2020
Seien wir ehrlich: Wer von uns hat sich seit Mai 2018 sein Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) nochmals durchgesehen? Ist es noch aktuell? Enthält es alle notwendigen Angaben? Hier eine verkürzte Beschreibung der sieben vorgeschriebenen Punkte:
Zahlreiche Berufsvertretungen haben Muster für Verzeichnisse bereitgestellt, die auch zusätzliche Hinweise auf die spezifischen Besonderheiten einzelner Berufsgruppen enthalten. Die Verwendung dieser Vorlagen darf daher ausdrücklich empfohlen werden.
Vergessen Sie bitte nicht, dass Sie möglicherweise nicht alle Daten im eigenen Haus verarbeiten. Cloudlösungen aller Art sind meistens auf Servern installiert, die in externen Rechenzentren angemietet wurden. Das gilt auch für "mitgelieferte" Angebote von Google, Apple u.a. Mit den Betreibern müssen Auftragsverarbeiterverträge abgeschlossen werden, die man der Einfachheit halber beim Verzeichnis aufbewahren sollte. Die Beauftragung von Dienstleistern, die zwar eine Niederlassung in Europa haben, aber auch US-amerikanischem Recht unterliegen, ist nach derzeitiger Sach- und Rechtslage grundsätzlich unzulässig.
Auch handschriftliche Listen erfüllen manchmal die Kriterien, sodass sie in das Verzeichnis der Verarbeitungen aufgenommen werden müssen. Um unnötigen Aufwand zu vermeiden empfiehlt es sich, Rücksprache mit Spezialisten für Datenschutz zu halten. Von ihnen erfährt man, welche Angaben allenfalls nicht in das Verzeichnis aufgenommen werden müssen.
Quellen:
https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE#d1e3277-1-1
(27.4.2016)
https://www.datenschutzkanzlei.de/verzeichnis_von_verarbeitungstaetigkeiten/
(9.9.2020)
https://www.datenschutzzentrum.de/uploads/dsgvo/Hinweise-zum-Verzeichnis-von-Verarbeitungstaetigkeiten.pdf
(9.9.2020)
Wußten Sie, dass Sie beim Surfen im Internet alle ihre Vorlieben, Wünsche und Sorgen an Google, Facebook, Amazon und anderen "Big Brothers" (oder vielleicht auch "Big Sisters") übermitteln? Wer sich nicht mit IT-Technik beschäftigt, wird vielleicht ungläubig den Kopf schütteln. Wer hingegen wenigstens in groben Zügen die technischen Abläufe kennt, kann auch die Rechtsfolgen besser einschätzen. Wir haben daher versucht, eine einfache Beschreibung für technische Laien zusammenzustellen, um zu zeigen, wie das funktioniert.
Eine Abfrage im Internet, wenn also jemand im Browser eine Zieladresse eingibt, gleicht einer Bestellung bei einem Online-Händler. Wer etwas bestellt, muss wenigstens angeben, welchen Artikel er erhalten will und wohin die Ware zu liefern ist.
Auf der Skizze oben sieht man links einen PC und rechts einen Server mit der gesuchten Homepage. Wie jedes Gerät ist der PC ist durch eine sogenannte IP-Adresse im Internet eindeutig gekennzeichnet, kann also von anderen Rechnern unter dieser Adresse erreicht werden. Gibt man am PC im Browser z.B. die Adresse www.md.at ein, wird mit dieser Anforderung, die der Beschreibung des Artikels im Onlinehandel vergleichbar ist, automatisch auch die eigene IP-Adresse mitgeschickt, damit später die Zustellung klappt.
Im Internet, das auf der Skizze durch die Wolke symbolisiert wird, erfolgt die Suche nach der IP-Adresse des Servers mit dem gesuchten Inhalt. Sobald der gefunden wurde, wird die Anforderung zugestellt. Der Webserver sendet dann die gewünschte Seite an den PC des Auftraggebers, dessen IP-Adresse er ja mit der Anforderung erhalten hat.
Angenommen, der Betreiber des Webservers (also der "Verantwortliche der Datenverarbeitung“) verwendet Google-Analytics, weil er sich davon eine Information erhofft, wer auf seine Seite zugreift, wie oft zugegriffen wird, welche Aktivitäten die Personen sonst noch im Internet auslösen, dann fügt er in den Code seiner Webseite einige Zeilen ein, die ihm von Google zur Verfügung gestellt werden.
Sobald nun jemand die Webseite aufruft, wird seine Anforderung samt IP-Adresse auch an Google weitergeleitet. Doch nicht nur das: Mittels der IP-Adresse des anfordernden Rechners kann Google von sich aus dessen weitere Aktivitäten verfolgen. Und aus den Überwachungsergebnissen erstellt Google sogar Prognosen über künftiges Verhalten des jeweiligen Nutzers. Das gilt übrigens in gleicher Weise auch für Facebook, Amazon und andere Verwerter von "Big Data".
Sobald von einem Webserver Daten z.B. an Google übermittelt werden, treten mehrere Rechtsfolgen ein:
Wie lange noch die Veranwortlichen für Datenverarbeitung in der EU, also z.B. Betreiber einer Website, straffrei bleiben, wenn sie Daten sammeln, die nach US-Recht auch an US-Behörden ausgeliefert werden müssen, ist nicht seriös prognostizierbar. Jeder enttäuschte Kunde oder Mitbewerber, ja sogar jeder grantige Nachbar könnte mit einer simplen Anzeige behördliches Einschreiten auslösen. Die Wahrscheinlichkeit, dass die Datenschutzbehörden als Reaktion auf die Aktivitäten von Max Schrems von sich aus stärker aktiv werden und Verantwortliche von Datenverarbeitungen zur Rechenschaft ziehen, ist jüngst deutlich gestiegen.
Am 16. Juli 2020 erklärte der EuGH das "Privacy Shield-Abkommen" zwischen der EU und den USA für nicht rechtskonform. Mit einem Schlag wurden daher viele Cloud-Lösungen, Google-Analytics, MS-Office365 und viele andere populäre Dienste illegal,
Die Alarmglocken hätten eigentlich ohrenbetäubenden Lärm entwickeln müssen: Viele gebräuchliche Maßnahmen des e-Marketings, wie Facebook-Fanpage, YouTube- und Instagram-Auftritte etc. werden von den Gerichten und den Datenschutzbehörden seit rund zwei Jahren als problematisch, seit Juli 2020 – wie oben geschildert - sogar als illegal eingestuft. Alle entsprechenden Urteile und Entscheidungen blieben aber nahezu wirkungslos. Sogar Behörden und staatliche Stellen betrieben und betreiben weiterhin ihre Facebook-Auftritte und präsentieren sich auf YouTube, ohne sich um die Rechtslage zu kümmern. Ganz zu schweigen von Räumen, in denen Siri, Alexa und ähnliche Spione aufgestellt sind, heimlich jedes Wort mithören und sofort in die USA weitermelden.
Ende August 2020 haben sich die Datenschutzbehörden aller EU-Mitgliedsländer nach langem Zögern angesichts der Lage zu einer gemeinsamen Vorgangsweise gegen den permanenten Gesetzesbruch entschlossen. Auslöser waren letzlich mehr als 100 Anzeigen von Max Schrems bei verschiedenen Datenschutzbehörden, mit dem Ziel, der Entscheidung des EuGH zur Durchsetzung zu verhelfen. Ob dem Bekenntnis der Datenschutzbehörden zu einer gemeinsamen Vorgangsweise allerdings auch Taten folgen werden, muss sich erst herausstellen. Jedenfalls, so kann man verschiedenen Pressemeldungen entnehmen, möchte die Europäische Datenschutzbehörde dem Druck des Aktivisten Max Schrems zuvorkommen und nicht länger von ihm getrieben werden.
Die Tragweite von Schrems' Initiative wird dann verständlich, wenn man sich vor Augen hält, dass z.B. jede Website, die Google Analytics verwendet, derzeit gegen geltendes Recht verstößt. Jede Cloud-Lösung eines Anbieters mit Sitz in den USA ist in Europa rechtswidrig. Die Behauptung von Google und Facebook, dass sich die Unternehmen an die europäischen „Standardvertragsklauseln“ hielten und ihre Dienste daher rechtskonform wären, ist deswegen falsch, weil die Dienstleister nach US-amerikanischem Recht die korrekte Einhaltung des europäischen Datenschutzes nicht garantieren können. Jederzeit sind nämlich die US-Behörden in den USA ermächtigt, auch die Herausgabe von Daten zu erzwingen, die unter dem Schutz der DSGVO stehen.
Man kann davon ausgehen, dass die Datenschutzbehörden bei der Beurteilung der anhängig gemachten Fälle keine übertriebene Härte an den Tag legen. Jedenfalls aber werden sie berücksichtigen, ob ein Verantwortlicher ausreichendes Bemühen erkennen lässt, seine Datenverarbeitung rechtskonform zu gestalten.
Quellen:
https://www.derstandard.at/story/2000119424862/privacy-shield-ende-ignoriert-datenschuetzer-brachten-100-beschwerden-ein
(18.8.2020)
https://www.e-recht24.de/artikel/facebook/10937-urteil-facebook-fanpages-eugh.html
(EuGH, C-210/16, Rn. 40)
https://kurier.at/wirtschaft/datenschutzbehoerde-dreht-den-ams-algorithmus-ab/401006615
(20.8.2020)
https://www.vol.at/neues-eu-usa-datenabkommen-fuer-schrems-sinnlos/6727455
(3.9.2020)
https://netzpolitik.org/2020/facebook-schickt-weiter-daten-in-die-usa/
(3.9.2020)