Inhalt:

• Umsetzung von Schrems II - Politik ist gefordert
• Best Practice beim Datentransfer: Verschlüsselung von Cloud-Anwendungen
• Hamburger Datenschutzbeauftragter fordert 35,3 Mio EUR Buße von H&M

 

 

Umsetzung von Schrems II - Politik ist gefordert

Die heurige Münchner Datenschutzkonferenz (12.11.2020) behandelte die Annullierung des "Privacy Shield"-Abkommens (Entscheidung des EuGH v. 16.7.2020) und gab tiefe Einblicke in die Divergenz der drei unterschiedlichen Sichtweisen: Der behördliche Datenschutz in Europa, die praktizierenden Verantwortlichen und schließlich die US-amerikanischen Behördenvertreter. Sie alle scheinen in verschiedenen Welten zu leben. Kurz für den Anwender zusammengefaßt: Wesentlichen Geschäftsbereichen in der EU wurde durch die Gerichtsentscheidung die Rechtsgrundlage entzogen. Dort, wo es unvermeidlich ist, personenbezogene Daten aus Europa in die USA zu transferieren, gibt es keine Perspektive für eine vollständig rechtskonforme Fortsetzung bisheriger Praktiken. Lediglich für die bloße Speicherung von Daten in US-Clouds gibt es eine technische Lösung in Form einer Live-Verschlüsselung (s.u., Best Practice beim Datentransfer: Verschlüsselung von Cloud-Anwendungen).

• Die US-Amerikaner blicken verständnislos auf das europäische Konzept des Rechtsschutzes und behaupten, dass Daten in den USA ohnehin deutlich besser geschützt sind, als in Europa. Eine von mehreren Ursachen für diese Ansicht liegt in den komplett unterschiedlichen Rechtsbegriffen und in den behördlichen Ermittlungstechniken.
• Die europäischen Datenschutzbehörden arbeiten daran, einen Weg für den Datenaustausch zwischen Europa und den USA auch angesichts der tiefgreifenden Unterschiede zwischen den Rechtssystemen und den verschiedenen Ansichten über Rechtsstaatlichkeit offen zu halten. Lösungen sind derzeit nicht in Sicht. Eine Aufweichung des europäischen Datenschutzes ist seitens der Behörden (vorerst?) nicht angedacht. Verstöße gegen geltendes Recht werden aber sanktioniert.
• Die praktizierenden Verantwortlichen (i.S. d. Art. 4 DSGVO) sind einerseits mit dem - jetzt sogar gesteigerten - Behördenwillen zur Durchsetzung des Rechts konfrontiert. Andererseits wird ihnen gerade dadurch der Weg zur niederschwelligen Nutzung zahlreicher, praktischer, kostenloser "Lockangebote" der US-amerikanischen IT-Industrie verwehrt (siehe MS-Teams, unten). Juristisch saubere Applikationen, die durchaus zur Verfügung stehen, werden von den Nutzern nicht als gleichwertig empfunden: Im günstigsten Fall handelt es sich um Angebote, die nicht so anziehend wirken, wie die Glasperlen von Google, Microsoft, Facebook, Amazon u.a.

Die Gerichtsentscheidung "Schrems II" hat einem wichtigen Teil der Wirtschaftspraxis schlagartig die Rechtsgrundlage entzogen. Und dass sogar Fachleute, die mit der Rechtslage bestens vertraut sind, keine rechtskonformen Alternativvorschläge zur Hand haben, macht die Sache nicht leichter. Speziell die global agierenden Unternehmen und der weltweite Zahlungsverkehr stehen vor einem schwerwiegenden Problem.

Ab dem 1.1.2021 müssen europäische Anwender übrigens auch regelmäßig prüfen, inwieweit Verarbeitungen im Vereinigten Königreich nach dem Brexit das europäische Schutzniveau respektieren.

Diese aus Anwendersicht unbefriedigende Situation könnte nur politisch geändert werden, wozu es aktuell keine Anzeichen gibt. Deshalb bilden sich, stark vereinfacht und extrem dargestellt, drei verschiedene Nutzertypen unter den Verantwortlichen:

• Typ 1 versucht, den Datenschutz so gut es geht umzusetzen und verzichtet auf den Einsatz von Verarbeitungen, die eine Reduktion des Schutzniveaus mit sich bringen. Hinsichtlich der Zielerreichung muss dieser Nutzertyp zwar kaum Einbußen gegenüber bisher gewohnten Tools hinnehmen. In Einzelfällen ist ein aber finanzieller Zusatzaufwand erforderlich. Jedenfalls bedarf es zusätzlicher Planungen, Markterhebungen und eines merklichen Aufwandes bei der Installation, wenn man vom Mainstream abweichen, gleichwertige Lösungen finden und für sich nutzbar machen möchte.
• Typ 2 stellt sich auf den Standpunkt, dass ohnehin "niemand" auf die juristischen Feinheiten der Rechtslage Bedacht nimmt und die Datenschutzbehörden nicht ausgerechnet bei ihm beginnen werden, das zu bestrafen, was ohnehin "alle" tun.
• Typ 3 ist vom Urteil des EuGH im Kern seines Geschäftsbereiches betroffen. Lösungen sind nicht in Sicht. Resignation macht sich breit. Geringe Chancen eröffnen sich vielleicht durch kreative Neuordnung der Unternehmensstrukturen. Als Verantwortliche großer Wirtschaftsunternehmen hegen Typ-3-Personen auch die (unbegründete) Hoffnung, der Bestrafung deswegen zu entgehen, weil der daraus erwachsende volkswirtschaftliche Schaden einfach zu groß wäre (too big to fail).

Einen bequemen Rat, welchem Verhaltensmuster man sich als Anwender annähern soll, kann man in dieser Situation nicht erteilen. Wann sich nämlich die nachhaltige Vorgangsweise des Typs 1 auch ökonomisch zu lohnen beginnt, kann niemand vorhersagen, weil das vom Zeitpunkt abhängt, ab dem die Behörden Verstöße ausnahmslos zu sanktionieren beginnen. Die Möglichkeit, dass Typ 2 mit seiner unbekümmerten Sichtweise die Mitbewerber des Typs 1 für eine lange Zeitspanne weit abgeschlagen hinter sich läßt, besteht durchaus. Nicht jeder Autofahrer, der bewußt Verkehrsregeln übertritt, wird bestraft. Trotzdem wird jeder Mobilitätsberater zur Einhaltung der Straßenverkehrsordnung raten - auch deshalb, weil er die Mitverantwortung für die Folgen von Regelverletzungen nicht übernehmen kann. Die Chancen für Typ 3 auf rechtskonforme Lösungen sind minimal und mit dem Risiko versehen, dass sie mit ihren Bemühungen letzlich zwischen zwei Rechtssytemen aufgerieben werden.

Innerhalb der Wirtschaftsverbände in Österreich und Deutschland ist man derzeit uneins, zu welcher Vorgangsweise man den Mitgliedern raten soll und praktiziert den "risikoorientierten Ansatz". Das bedeutet, dass man Verstöße gegen das Transferverbot personenbezogener Daten dann als minder problematisch bewertet, wenn das europäische Schutzniveau dadurch zwar reduziert wird, es sich aber nicht um sensible Daten (Art. 9 und 10 DSGVO) oder um Daten in einem Zusammenhang handelt, bei dem Persönlichkeitsrechte stark betroffen sind.

Die Verbände hegen offenbar die Hoffnung, dass die Behörden in diesen Fälle eher geneigt sein könnten, Milde walten zu lassen. Der Standpunkt ist verständlich, denn die Kammern und Wirtschaftsverbände vertreten die Interessen ihrer Mitglieder. Sie gehen davon aus, dass den Mitgliedern bestmöglich geraten ist, wenn die Anwender augenzwinkernd ein wenig Illegalität in Kauf nehmen und damit ein - aus Sicht der Wirtschaftsverbände vertretbares - Risiko auf sich nehmen. Weil die Behörden aber an diese Sichtweise nicht gebunden sind und es immer wieder Fälle gibt, in denen die Datenschutzbehörden und die Gerichte andere Rechtsansichten durchsetzen, ist eine unkritische Übernahme scheinbar bequemer Vorschläge nicht ratsam. Dass der "risikoorientierte Ansatz" in jedem Fall die Chance zur Entwicklung rechtskonformer europäischer Lösungen reduziert, liegt auf der Hand, weil er den Druck zur Innovation senkt.

Quellen:

https://edpb.europa.eu/news/news/2020/european-data-protection-board-41st-plenary-session-edpb-adopts-recommendations_de
(12.11.2020)

https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/08/Orientierungshilfe-Was-jetzt-in-Sachen-internationaler-Datentransfer.pdf
(12.11.2020)

https://www.lexology.com/library/detail.aspx?g=d5307d49-f9f1-47bd-a054-b64c5ec0f59b
(12.11.2020)

https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/recommendations-012020-measures-supplement-transfer_de
(19.11.2020)

https://www.derstandard.at/story/2000121892603/microsoft-teams-startet-kostenlose-zoom-alternative-fuer-web-und-desktop
(21.11.2020)

Beispiel:
https://openslides.com/de vs https://www.sli.do/
(21.11.2020)

 

 

Best Practice beim Datentransfer: Verschlüsselung von Cloud-Anwendungen

Einer der wenigen Fälle, in denen die Übertragung personenbezogener Daten aus Europa in die USA auch nach der Entscheidung des EuGH ("Schrems II") rechtskonform bleibt, ist die Nutzung von US-Datenspeichern, sofern die Daten verschlüsselt werden. Die Deutsche Bahn (DB) ist kürzlich den Weg des Outsourcings gegangen und bewertet diesen Schritt als Erfolg. Die Verschlüsselung hat jedenfalls bei dem Projekt zentrale Bedeutung gehabt, weil den Verantwortlichen auch schon vor der Entscheidung des EuGH bewußt war, dass das Gefälle im Rechtsschutz zwischen Europa und den USA nur damit ausgeglichen werden kann.

Wichtig ist die Einhaltung folgender Regeln:

• Die Verschlüsselung muss erfolgen, bevor die Daten auf die Reise gehen. Der Auftragsdatenverarbeiter (z.B. Betreiber der Cloud) darf über keinen "Nachschlüssel" verfügen. Damit ist sichergestellt, dass bei einem unbefugten Zugriff (auch durch US-Behörden) keine Informationen weitergegeben werden.
• Ein rechtmäßiger Zugriff auf die Daten durch den Verantwortlichen bedeutet, dass die verschlüsselten Datensätze aus den USA zurück transportiert und erst am Zielrechner entschlüsselt werden.

Wenn dieses Verfahren in einem live-Prozess angewendet wird, erfolgt also die Ver- und Entschlüsselung im laufenden Betrieb, wozu man - je nach Umfang des Datenstroms - erhebliche Rechnerleistungen benötigt. Gilt es aber, sehr große Datenmengen aufzubewahren oder handelt es sich nur um kleine Datenströme, dann kann es Fälle geben, in denen die zusätzliche Rechnerleistung für die Ver- und Entschlüsselung kostengünstiger ist, als die Anschaffung und der Betrieb von Datenspeichern.

Quelle:

https://www.heise.de/news/Warum-die-Bahn-jetzt-ihre-Daten-bei-Microsoft-und-Amazon-speichert-4940919.html?utm_source=pocket-newtab-global-de-DE
(1.11.2020)

 

 

Hamburger Datenschutzbeauftragter fordert 35,3 Mio EUR Buße von H&M

Bereits im Februar 2020 haben wir kurz berichtet, dass Mitarbeiter von H&M ihre Kollegen systematisch ausgespäht und widerrechtlich über sie Dossiers mit sensiblen Daten angelegt haben. Aufgrund des Unternehmenssitzes in Hamburg wurde der Fall von der dortigen Datenschutzbehörde bearbeitet. H&M kooperierte mit der Behörde und übergab 60 Gb Daten zur Analyse und Beurteilung. Kürzlich hat der Hamburger Beauftragte für Datenschutz und Informationsfreiheit den Fall mit einer Bußgeldforderung von von 35,3 Mio EUR abgeschlossen - eine der größten Summen, die jemals festgesetzt wurden. Darüber hinaus hat H&M zugestimmt, den betroffenen Personen Schadenersatz zu bezahlen.

Datenschutz beinhaltet auch die regelmäßige Schulung der Mitarbeiter, um sie über die rechtlich zulässigen Grenzen der Datenverarbeitung zu informieren. Wird allerdings von der Unternehmensleitung her ein so großer Druck auf die Mitarbeiter ausgeübt, dass manche Führungskräfte auch zu illegalen Mitteln greifen, um ihre Vorgaben zu erfüllen, steht es um das Unternehmen insgesamt nicht gut - und ein vernünftiger Datenschutz ist kaum realisierbar.

Quellen:

https://edpb.europa.eu/news/national-news/2020/hamburg-commissioner-fines-hm-353-million-euro-data-protection-violations_en
(19.10.2020)

https://www.ideato.at/templates/masterbootstrap/news/20200210_ideato-news.html#Pkt1
(10.2.2020)

Zum Inhaltsverzeichnis

 

 

---

© Ideato OG
Herzogbirbaum 110
2002 Großmugl

---

 

 

 

 

Click to print!