24.11.2020
Die heurige Münchner Datenschutzkonferenz (12.11.2020) behandelte die Annullierung des "Privacy Shield"-Abkommens (Entscheidung des EuGH v. 16.7.2020) und gab tiefe Einblicke in die Divergenz der drei unterschiedlichen Sichtweisen: Der behördliche Datenschutz in Europa, die praktizierenden Verantwortlichen und schließlich die US-amerikanischen Behördenvertreter. Sie alle scheinen in verschiedenen Welten zu leben. Kurz für den Anwender zusammengefaßt: Wesentlichen Geschäftsbereichen in der EU wurde durch die Gerichtsentscheidung die Rechtsgrundlage entzogen. Dort, wo es unvermeidlich ist, personenbezogene Daten aus Europa in die USA zu transferieren, gibt es keine Perspektive für eine vollständig rechtskonforme Fortsetzung bisheriger Praktiken. Lediglich für die bloße Speicherung von Daten in US-Clouds gibt es eine technische Lösung in Form einer Live-Verschlüsselung (s.u., Best Practice beim Datentransfer: Verschlüsselung von Cloud-Anwendungen).
Die Gerichtsentscheidung "Schrems II" hat einem wichtigen Teil der Wirtschaftspraxis schlagartig die Rechtsgrundlage entzogen. Und dass sogar Fachleute, die mit der Rechtslage bestens vertraut sind, keine rechtskonformen Alternativvorschläge zur Hand haben, macht die Sache nicht leichter. Speziell die global agierenden Unternehmen und der weltweite Zahlungsverkehr stehen vor einem schwerwiegenden Problem.
Ab dem 1.1.2021 müssen europäische Anwender übrigens auch regelmäßig prüfen, inwieweit Verarbeitungen im Vereinigten Königreich nach dem Brexit das europäische Schutzniveau respektieren.
Diese aus Anwendersicht unbefriedigende Situation könnte nur politisch geändert werden, wozu es aktuell keine Anzeichen gibt. Deshalb bilden sich, stark vereinfacht und extrem dargestellt, drei verschiedene Nutzertypen unter den Verantwortlichen:
Einen bequemen Rat, welchem Verhaltensmuster man sich als Anwender annähern soll, kann man in dieser Situation nicht erteilen. Wann sich nämlich die nachhaltige Vorgangsweise des Typs 1 auch ökonomisch zu lohnen beginnt, kann niemand vorhersagen, weil das vom Zeitpunkt abhängt, ab dem die Behörden Verstöße ausnahmslos zu sanktionieren beginnen. Die Möglichkeit, dass Typ 2 mit seiner unbekümmerten Sichtweise die Mitbewerber des Typs 1 für eine lange Zeitspanne weit abgeschlagen hinter sich läßt, besteht durchaus. Nicht jeder Autofahrer, der bewußt Verkehrsregeln übertritt, wird bestraft. Trotzdem wird jeder Mobilitätsberater zur Einhaltung der Straßenverkehrsordnung raten - auch deshalb, weil er die Mitverantwortung für die Folgen von Regelverletzungen nicht übernehmen kann. Die Chancen für Typ 3 auf rechtskonforme Lösungen sind minimal und mit dem Risiko versehen, dass sie mit ihren Bemühungen letzlich zwischen zwei Rechtssytemen aufgerieben werden.
Innerhalb der Wirtschaftsverbände in Österreich und Deutschland ist man derzeit uneins, zu welcher Vorgangsweise man den Mitgliedern raten soll und praktiziert den "risikoorientierten Ansatz". Das bedeutet, dass man Verstöße gegen das Transferverbot personenbezogener Daten dann als minder problematisch bewertet, wenn das europäische Schutzniveau dadurch zwar reduziert wird, es sich aber nicht um sensible Daten (Art. 9 und 10 DSGVO) oder um Daten in einem Zusammenhang handelt, bei dem Persönlichkeitsrechte stark betroffen sind.
Die Verbände hegen offenbar die Hoffnung, dass die Behörden in diesen Fälle eher geneigt sein könnten, Milde walten zu lassen. Der Standpunkt ist verständlich, denn die Kammern und Wirtschaftsverbände vertreten die Interessen ihrer Mitglieder. Sie gehen davon aus, dass den Mitgliedern bestmöglich geraten ist, wenn die Anwender augenzwinkernd ein wenig Illegalität in Kauf nehmen und damit ein - aus Sicht der Wirtschaftsverbände vertretbares - Risiko auf sich nehmen. Weil die Behörden aber an diese Sichtweise nicht gebunden sind und es immer wieder Fälle gibt, in denen die Datenschutzbehörden und die Gerichte andere Rechtsansichten durchsetzen, ist eine unkritische Übernahme scheinbar bequemer Vorschläge nicht ratsam. Dass der "risikoorientierte Ansatz" in jedem Fall die Chance zur Entwicklung rechtskonformer europäischer Lösungen reduziert, liegt auf der Hand, weil er den Druck zur Innovation senkt.
Quellen:
https://edpb.europa.eu/news/news/2020/european-data-protection-board-41st-plenary-session-edpb-adopts-recommendations_de
(12.11.2020)
https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/08/Orientierungshilfe-Was-jetzt-in-Sachen-internationaler-Datentransfer.pdf
(12.11.2020)
https://www.lexology.com/library/detail.aspx?g=d5307d49-f9f1-47bd-a054-b64c5ec0f59b
(12.11.2020)
https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/recommendations-012020-measures-supplement-transfer_de
(19.11.2020)
https://www.derstandard.at/story/2000121892603/microsoft-teams-startet-kostenlose-zoom-alternative-fuer-web-und-desktop
(21.11.2020)
Beispiel:
https://openslides.com/de vs https://www.sli.do/
(21.11.2020)
Einer der wenigen Fälle, in denen die Übertragung personenbezogener Daten aus Europa in die USA auch nach der Entscheidung des EuGH ("Schrems II") rechtskonform bleibt, ist die Nutzung von US-Datenspeichern, sofern die Daten verschlüsselt werden. Die Deutsche Bahn (DB) ist kürzlich den Weg des Outsourcings gegangen und bewertet diesen Schritt als Erfolg. Die Verschlüsselung hat jedenfalls bei dem Projekt zentrale Bedeutung gehabt, weil den Verantwortlichen auch schon vor der Entscheidung des EuGH bewußt war, dass das Gefälle im Rechtsschutz zwischen Europa und den USA nur damit ausgeglichen werden kann.
Wichtig ist die Einhaltung folgender Regeln:
Wenn dieses Verfahren in einem live-Prozess angewendet wird, erfolgt also die Ver- und Entschlüsselung im laufenden Betrieb, wozu man - je nach Umfang des Datenstroms - erhebliche Rechnerleistungen benötigt. Gilt es aber, sehr große Datenmengen aufzubewahren oder handelt es sich nur um kleine Datenströme, dann kann es Fälle geben, in denen die zusätzliche Rechnerleistung für die Ver- und Entschlüsselung kostengünstiger ist, als die Anschaffung und der Betrieb von Datenspeichern.
Quelle:
https://www.heise.de/news/Warum-die-Bahn-jetzt-ihre-Daten-bei-Microsoft-und-Amazon-speichert-4940919.html?utm_source=pocket-newtab-global-de-DE
(1.11.2020)
Bereits im Februar 2020 haben wir kurz berichtet, dass Mitarbeiter von H&M ihre Kollegen systematisch ausgespäht und widerrechtlich über sie Dossiers mit sensiblen Daten angelegt haben. Aufgrund des Unternehmenssitzes in Hamburg wurde der Fall von der dortigen Datenschutzbehörde bearbeitet. H&M kooperierte mit der Behörde und übergab 60 Gb Daten zur Analyse und Beurteilung. Kürzlich hat der Hamburger Beauftragte für Datenschutz und Informationsfreiheit den Fall mit einer Bußgeldforderung von von 35,3 Mio EUR abgeschlossen - eine der größten Summen, die jemals festgesetzt wurden. Darüber hinaus hat H&M zugestimmt, den betroffenen Personen Schadenersatz zu bezahlen.
Datenschutz beinhaltet auch die regelmäßige Schulung der Mitarbeiter, um sie über die rechtlich zulässigen Grenzen der Datenverarbeitung zu informieren. Wird allerdings von der Unternehmensleitung her ein so großer Druck auf die Mitarbeiter ausgeübt, dass manche Führungskräfte auch zu illegalen Mitteln greifen, um ihre Vorgaben zu erfüllen, steht es um das Unternehmen insgesamt nicht gut - und ein vernünftiger Datenschutz ist kaum realisierbar.
Quellen:
https://edpb.europa.eu/news/national-news/2020/hamburg-commissioner-fines-hm-353-million-euro-data-protection-violations_en
(19.10.2020)
https://www.ideato.at/templates/masterbootstrap/news/20200210_ideato-news.html#Pkt1
(10.2.2020)