> Datenübermittlung

Betrieblicher Datenschutzverantwortlicher in der Schweiz und Datenschutzbeauftragter in Deutschland – Datentransfer ins Drittland

Datentransfer zwischen Deutschland und der SchweizEin Datentransfer zwischen Deutschland und der Schweiz nimmt nicht zuletzt aufgrund der fortschreitenden Globalisierung an Bedeutung zu. Es werden immer mehr personenbezogene Daten in unterschiedliche Länder übermittelt und empfangen. Oftmals wird dabei außer Acht gelassen, welche datenschutzrechtlichen Regelungen in dem Land herrschen, in das die Daten übermittelt werden. Ein solch achtloser Umgang mit personenbezogenen Daten kann rechtliche Konsequenzen mit sich bringen, die neben Geldstrafen einen großen Imageverlust für die verantwortliche Stelle, i. d. R. international agierende Konzerne, aber auch gerade für mittelständische Unternehmen, bedeuten können. Ausland ist jedoch nicht gleich Ausland: Je nach Abkommen zwischen verschieden Ländern kann eine Harmonisierung des Rechts erfolgt sein, daher sollte stets eine Unterscheidung vorgenommen werden zwischen EU-, EWR und den übrigen Ländern, den sogenannten Drittländern.

Ihr externer Datenschutzbeauftragter informiert über den Datentransfer zwischen Deutschland und der Schweiz und vergleicht den Datenschutz in den beiden Ländern.

Was sind die Unterschiede zwischen EU-, EWR- und Drittländern?

Vor wenigen Tagen, zum 60. Jubiläum der Römischen Verträge, die am 25.03.1957 unterzeichnet und den Grundstein für die Europäische Union legten, wurde erneut eine Erklärung besiegelt. Hiermit bekräftigen die Staats- und / oder Regierungschefs das Versprechen auf Freiheit, Frieden und Wohlstand. So hat die Europäische Union, trotz zahlreicher Kritik, viele positive Aspekte gebracht. Viele schimpfen über die Harmonisierung, doch ohne diese wäre die damit verbundene Freizügigkeit des Personen-, Waren und Datenverkehrs nicht bzw. nur schwer möglich. Werden personenbezogene Daten unter Beachtung der europäischen Gesetzlichkeiten übermittelt, sind zwar Maßnahmen zu ergreifen, allerdings halten sich der Aufwand und die Datenschutz-Risiken i. d. R. noch in Grenzen. Das gleiche gilt für Länder des europäischen Wirtschaftsraumes, wie z. B. Norwegen, Island und Liechtenstein (§ 4b Abs. 2 Satz 2 Bundesdatenschutzgesetz (BDSG)). Probleme treten bei Ländern auf, die weder der EU noch dem EWR angehören, den sogenannten Drittländern.   Eine Übermittlung von personengebundenen Daten in ein Drittland ist nach § 4b Abs. 2 BDSG zu unterlassen, sofern dem Betroffenen kein angemessener Schutz zugesichert werden kann. Das BDSG bildet dabei den Maßstab, an dem sich das Sicherheitsniveau des Drittlandes messen muss. Ob ein entsprechendes datenschutzrechtliches Schutzniveau im Drittstaat vorhanden ist, wird nach Art. 25 Abs. 6 der europäischen Datenschutzrichtlinie (EG-DatSchRL / Richtlinie 95/46/EG) durch die EU-Kommission festgestellt.

Die nach Art. 25 Abs. 6 der Richtlinie 95/46/EG erlassenen Feststellungen bleiben solange in Kraft bis diese geändert oder ersetzt wurden, vgl. Art. 45 Abs. 9 Datenschutz-Grundverordnung (DS-GVO).

Die Kommission hat dabei ein ausreichendes datenschutzrechtliches Schutzniveau beispielsweise für die Schweiz, Neuseeland, Kanada, Israel und Argentinien festgestellt. Für diese Länder wird ein mit der EU vergleichbares Datenschutzniveau angenommen, das entsprechend Art. 45 Abs. 9 DS-GVO zumindest vorerst fortbesteht. Folglich kann eine Datenübertragung in einen Staat mit ausreichendem Datenschutzniveau bedenkenlos erfolgen, sofern eine Rechtsgrundlage für die Übermittlung vorliegt.

Exkurs: Auswirkungen des Brexit

Aufgrund der derzeitigen Entwicklungen in Europa, die durch den Brexit ausgelöst wurden, soll kurz erläutert werden, wie es sich mit dieser Thematik verhält: Beim Einreichen des Austrittsantrags aus der EU durch Großbritannien hat der Staat 2 Jahre Zeit, um entsprechende Abkommen (z.B. EWR-Beitritt) mit der EU zu schließen. Besteht kein entsprechendes Abkommen zwischen Großbritannien und der EU bezüglich der Freizügigkeit, wird Großbritannien als Drittstaat bewertet. Daraus resultierend folgt eine Bewertung des Datenschutzniveaus Großbritanniens durch die EU-Kommission.

Sofern Sie weitere Informationen über das Thema „Brexit“ wünschen, lesen Sie unseren Beitrag „Datenschutz-Brexit – Auswirkungen auf die Datenübermittlung aus der Europäischen Union (EU) nach Großbritannien“.

Datenschutz in Deutschland und Schweiz – Der Vergleich

Wie bereits erwähnt, stellt die Schweiz ein Drittland dar, welches ein ausreichendes Datenschutzniveau für die EU aufweist. Um die Thematik näher zu erläutern, soll im Folgenden näher auf den Datenschutz in Deutschland und der Schweiz eingegangen werden und ein datenschutzrechtlicher Vergleich der Schweiz (Drittland) mit Deutschland (EU-Land) erfolgen.

Datenschutz in Deutschland und Schweiz – Datenschutzregelungen und Kontrollorgane

Der Aufbau der datenschutzrechtlichen Zuständigkeit in der Schweiz ist dem in Deutschland sehr ähnlich. So regelt das Datenschutzgesetz des Bundes den Datenschutz der Bundesbehörde sowie für den privaten Bereich, dabei haben die Bundesländer (in der Schweiz Kantone) auf Basis ihres Rechts auf Selbstverwaltung ihr eigenes länder- bzw. kantonspezifisches Datenschutzrecht.

Gemäß § 24 Abs. 1 BDSG kontrolliert die Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI) bei den öffentlichen Stellen des Bundes die Einhaltung des BDSG und anderer Datenschutz-Vorschriften. Der jeweilige Landesbeauftragte für den Datenschutz ist für öffentliche Stellen des Landes zuständig, wobei er in den meisten Bundesländern als Aufsichtsbehörde ebenfalls die Einhaltung des Datenschutzes bei nicht-öffentlichen Stellen kontrolliert. Eine Ausnahme stellt Bayern dar, da es eine Aufsichtsbehörde für öffentliche Stellen des Landes und eine andere für nicht-öffentliche Stellen gibt. In der Schweiz, sind die Kantone für die Einhaltung des Datenschutzrechts selbst verantwortlich und folglich nicht dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten, der die Einhaltung auf Bundesebene prüft, unterstellt.

Eine große Diskrepanz stellt ebenso dar, dass im Datenschutzrecht der Schweiz neben der Auskunftspflicht eine Informationspflicht nach Art. 14 und 18a Bundesgesetz über den Datenschutz (DSG) besteht. Demnach ist der Inhaber einer Datensammlung, wenn er schützenswerte Personendaten oder Personenprofile einer Privatperson bearbeitet, nicht nur bei Nachfrage durch den Betroffenen verpflichtet, diesem Auskunft über die Verarbeitung seiner Daten zu geben, sondern muss den Betroffen aktiv darüber informieren, das seine Daten bearbeitet werden.  Zwar sieht auch § 33 BDSG eine gewisse Informationspflicht vor, allerdings nur, wenn personenbezogene Daten zum ersten Mal gespeichert oder übermittelt werden. Die Benachrichtigung kann folglich bei weiterer Datenspeicherung oder Datenübermittlung entfallen. Der Grund ist, dass mit der ersten Benachrichtigung der Betroffene über die Erhebung bzw. Übermittlung informiert wurde und in der Lage ist, weitere Informationen mittels Auskunftsrecht zu erfragen.

Die Datenschutz-Grundverordnung, die den Datenschutz innerhalb der EU vereinheitlichen soll, sieht in Art. 13 und 14 ebenfalls Informationspflichten vor. Anders als im Bundesdatenschutzgesetz findet in der DS-GVO eine Trennung zwischen der Informationspflicht bei Erhebung beim Betroffenen (Art. 13) und der Informationspflicht bei Erhebung bei der nicht betroffenen Person (Art. 14) statt. Die DS-GVO sieht dabei unter anderem einen größeren Umfang an Informationen vor, die dem Betroffenen mitgeteilt werden sollen. Zum Beispiel soll der Betroffene die Kontaktdaten des Datenschutzbeauftragten erhalten. Des Weiteren sieht die DS-GVO im Vergleich zum BDSG weniger Ausnahmen vor, wann keine Informationspflicht besteht.

Datentransfer zwischen Deutschland und der Schweiz – Datenverarbeitung (respektive Datenübermittlung)

Bei der Datenverarbeitung ist für einen Rechtsvergleich ausschlaggebend, wer Auftragsgeber (AG) und Auftragsnehmer (AN) ist. Es bieten sich daher zwei Szenarien.

Beim 1. Szenario befindet sich der Auftraggeber (z. B. ein Bauunternehmen) in Deutschland und der Auftragsnehmer (z. B. IT-Dienstleister) in der Schweiz. Der IT-Dienstleister verarbeitet, um den Auftrag des Bauunternehmens zu erfüllen, personenbezogene Daten bzw. kann nicht ausgeschlossen werden, dass der IT-Dienstleister auf diese Daten zugreifen kann.

Das Bauunternehmen muss prüfen, ob eine Datenübermittlung an den IT-Dienstleister datenschutzkonform ist, da der Auftraggeber weiterhin die Verantwortung für die personenbezogenen Daten trägt und gegenüber dem IT-Dienstleister weisungsbefugt ist.

Hätte der IT-Dienstleister seinen Sitz innerhalb der EU/des EWR, so würde die Fiktion der „Nicht-Übermittlung“ greifen. Das Bauunternehmen müsste lediglich einen Vertrag zur Auftragsdatenverarbeitung (ADV) mit dem IT-Dienstleister abschließen und prüfen bzw. durch den internen/externen Datenschutzbeauftragten prüfen lassen, ob der IT-Dienstleister personenbezogene Daten ausreichend schützt.

Bei der Übermittlung an den IT-Dienstleister mit Sitz in der Schweiz greift die Fiktion der „Nicht-Übermittlung“ nicht. Die Übermittlung an den IT-Dienstleister wird auch tatsächlich als Übermittlung eingestuft, wodurch das Bauunternehmen prüfen sollte, ob eine Rechtsgrundlage vorliegt.  Ist dies nicht der Fall sollten informierte Einwilligungen der Betroffenen eingeholt werden.

Neben der Prüfung, ob eine Erlaubnisnorm für die Übermittlung vorliegt, sollte das Bauunternehmen kontrollieren, ob ein angemessenes Datenschutzniveau im Drittland herrscht. Laut der EU-Kommission hat die Schweiz ein angemessenes Datenschutzniveau.

Im 2. Szenario tauschen der AN und AG die Rollen. Das Bauunternehmen (AG) befindet sich jetzt in der Schweiz und der IT-Dienstleister (AN) hat seinen Sitz in Deutschland.

Die Datenübermittlung aus der Schweiz ins Ausland wird in Art. 6 Abs. 1 Bundesgesetz über den Datenschutz(DSG) geregelt, dabei darf unter anderem eine Übermittelung bzw. die Bekanntgabe personenbezogener Daten ins Ausland erfolgen, wenn die Persönlichkeit des Betroffenen nicht schwerwiegend gefährdet wird. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte aktualisiert laufend eine Liste, die aufzeigt, welche Staaten über einen geeigneten Schutz verfügen.

Deutschland verfügt, entsprechend dieser Liste, über einen geeigneten Schutz. Datenübermittlung an Staaten, die keinen geeigneten Schutz aufweisen, dürfen nur unter den in Art. 6 Abs. 2 DSG benannten Bedingungen übermittelt werden. Eine Bedingung ist zum Beispiel die informierte Einwilligung des Betroffenen.

Datenschutz in Deutschland und Schweiz – Vergleich der Regelungen zu den Technischen und organisatorischen Maßnahmen (TOM)

In Deutschland wie auch in der Schweiz werden technische und organisatorische Maßnahmen (TOM) angewandt, um die Datensicherheit zu gewähren. In beiden Ländern gibt es diesbezüglich ähnliche Regelungen, welche die folgende Tabelle zusammenfasst:

 

 

Vergleichbare gesetzliche Regelungen
Deutsche Regelung Schweizer Regelung
Zutrittskontrolle § 9 BDSG

Anlage Nr.1

Zugangskontrolle Art. 9 Abs. 1a Verordnung zum Bundesgesetz über den Datenschutz (VDSG)
Zugangskontrolle § 9 BDSG

Anlage Nr. 2

Benutzerkontrolle Art. 9 Abs. 1f VDSG
Zugriffskontrolle § 9 BDSG

Anlage Nr. 3

Personendatenträgerkontrolle, Speicherkontrolle, Zugriffskontrolle Art. 9 Abs. 1b,e,g VDSG
Weitergabekontrolle § 9 BDSG

Anlage Nr. 4

Transportkontrolle, Bekanntgabekontrolle Art. 9 Abs. 1c,d VDSG
Eingangskontrolle Art. 9 BDSG Anlage Nr. 5 Eingabekontrolle Art. 9 Abs. 1h VDSG
Auftragskontrolle § 9 BDSG Anlage Nr. 6

 

 

Auftragsgeber muss sich vergewissern, dass Dritter die Datensicherheit gewährleistet Art. 10a Abs. 2 DSG
Verfügbarkeitskontrolle § 9 BDSG Anlage Nr. 7 Keine vergleichbare Regelung im DSG. Sicherstellung der Verfügbarkeitskontrolle, durch allgemeine Maßnahmen möglich Art. 8 Abs. 1 VDSG
Trennungskontrolle § 9 BDSG Anlage Nr. 8 Keine vergleichbare Regelung im DSG. Möglichkeit der Festlegung durch

§ 10 a Abs. 1 DSG

Datenschutz in Deutschland und Schweiz – Datenschutzverantwortlicher (Schweiz) und betrieblicher Datenschutzbeauftragter (Deutschland)

Das deutsche Datenschutzrecht schreibt im § 4 f BDSG unter bestimmten Voraussetzungen die Bestellung eines „Datenschutzbeauftragten“ für öffentliche oder nicht-öffentliche Stellen vor. Eine solche Pflicht kann dem Datenschutzrecht der Schweiz nicht entnommen werden, vielmehr steht es einer Organisation frei, nach Art. 12a VDSG einen betrieblichen Datenschutzverantwortlichen zu bestellen. Nimmt ein Unternehmen in der Schweiz die Möglichkeit wahr und bestellt einen betrieblichen Datenschutzbeauftragten bzw. Datenschutzverantwortlichen, so entfällt die Anmeldung der Datensammlung nach § 11 Abs. 5e DSG. Die Entscheidung, ob ein interner (betrieblicher) oder externer Datenschutzverantwortlicher bzw. Datenschutzbeauftragter bestellt wird, können „verantwortliche Stellen“ – sowohl Öffentliche als auch Nicht-Öffentliche – selbst treffen.

Sowohl der Interne als auch der externe Datenschutzverantwortliche bzw. Datenschutzbeauftragte haben ihre Vor- und Nachteile. Zwar ist der interne Datenschutzverantwortliche / Datenschutzbeauftragte mit den internen Prozessen der Organisation besser vertraut, allerdings bringt der externe Datenschutzverantwortliche / Datenschutzbeauftragte mehr Erfahrung im Datenschutz mit, betrachtet einzelne Themen objektiver und verfügt nicht über den besonderen Kündigungsschutz eines internen Datenschutzbeauftragten. Gerade in Deutschland sind viele Unternehmen von diesem besonderen und nachwirkenden Kündigungsschutz des Datenschutzbeauftragten zumeist nicht gerade angetan. In international operierenden Unternehmen bei denen z. B. ein Sitz in der Schweiz und Deutschland vorliegt, wird die Funktion zumeist einheitlich als „Data Protection Officer“ bezeichnet.

Fazit

Die zunehmende Globalisierung und Digitalisierung erfordert eine erhöhte Beachtung des Datenschutzes. Gerade bei der Thematik „Datentransfer“ bzw. „Datenübermittlung“ in Drittländer ist besondere Vorsicht geboten. Der Datenschutz in Deutschland und der Schweiz zeigt, dass trotz der geographischen Nähe datenschutzrechtliche Unterschiede bestehen, die zu beachten sind.

Die Einhaltung und Umsetzung des Datenschutzes ist für Organisationen mit einem hohen Zeitaufwand, Arbeitsaufwand und Kosten verbunden. Aus diesem Grund sollte eine qualifizierte Person im Bereich des Datenschutzes eingesetzt werden. Zumal in Deutschland i. d. R. die Pflicht zur Bestellung eines Datenschutzbeauftragten besteht.

Vorwiegend kann bei der Problematik mit den datenschutzrechtlichen Regelungsgebieten in Drittländern ein „externer Datenschutzbeauftragter“ im Vergleich zum „internen (betrieblichen) Datenschutzbeauftragten“ von Vorteil sein. Ein externer Datenschutzbeauftragter kann neben der erforderlichen Fachkunde und Zuverlässigkeit durch Erfahrung in sämtlichen Bereichen des Datenschutzes punkten.  Zudem ist ein externer Datenschutzbeauftragter durch seine ausschließliche Tätigkeit im Datenschutz fachlich deutlich besser aufgestellt und kann sich im Zweifel in neue Problemstellungen oder individuelle Sonderanforderungen nachhaltiger eindenken.

Ein externer Datenschutzbeauftragter, externer Datenschutzverantwortlicher oder Data Protection Officer unterstützt und berät die verantwortlichen Stellen bei allen Themen rund um den Datenschutz, unter anderem werden Schulungen durchgeführt, es wird bei der Erstellung von Betriebsvereinbarungen / Dienstvereinbarungen / Richtlinien geholfen, es werden interne Datenverarbeitungsprozesse geprüft und Unterstützung bei der Erstellung von Verfahrensverzeichnissen wird offeriert.

Haben Sie noch Fragen zum Datenschutz die einen internationalen Datentransfer zwischen Deutschland und der Schweiz betreffen oder wünschen Sie fachkundige Unterstützung in Form von individuellen Beratungen bzw. Schulungen? Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

 

Auftragsdatenverarbeitung oder Funktionsübertragung – datenschutzrechtliche und –organisatorische Unterscheidung von Dienstleistern

Auftragsdatenverarbeitung oder FunktionsübertragungSobald Unternehmensaufgaben an externe Dienstleister ausgelagert werden (Outsourcing), erfolgt häufig auch die Weitergabe personenbezogener Daten und anderer interner Informationen. An dieser Stelle sollte bereits zwischen Auftragsdatenverarbeitung oder Funktionsübertragung bzw. auch in „nicht datenschutzrechtlich relevant“ unterschieden werden. Ermöglicht ein Auftraggeber bereits den (potenziellen) Zugriff auf personenbezogene Daten, so muss sich dieser an die rechtlichen Vorgaben der Datenschutzgesetze halten. Im Datenschutz gilt grundsätzlich das sogenannte Verbot mit Erlaubnisvorbehalt (oder auch Verbotsprinzip mit Erlaubnisvorbehalt), eine Rechtsregel des deutschen und europäischen Datenschutzrechts. Jede Erhebung, Verarbeitung oder Nutzung personenbezogener Daten ist, außer eine gesetzliche Grundlage oder der Betroffene selbst erlauben dies, verboten. Die Übermittlung personenbezogener Daten fällt unter die Verarbeitung. Werden personenbezogene Daten an einen Dritten weitergegeben bzw. gewährt die verantwortliche Stelle einem Dritten den Zugriff auf personenbezogene Daten, so spricht man im Datenschutzrecht von einer Übermittlung. Als klassisches Beispiel einer Datenübermittlung könnte die Weitergabe von Lohnsteuerbescheinigungen bzw. deren Informationen durch den Arbeitgeber an das Finanzamt angesehen werden. Hierfür existiert allerdings eine gesetzliche Grundlage, die in § 41 b Abs. 1 Einkommenssteuergesetz (EStG) zu finden ist.

Geht es um personenbezogene Daten und existiert keine gesetzliche Grundlage, so ist die verantwortliche Stelle zur Einholung einer informierten und freiwilligen Einwilligung verpflichtet, sobald diese Daten Ihren Verantwortungsbereich verlassen. Das Einholen einer informierten und freiwilligen Einwilligung kann von Fall zu Fall auch mal etwas schwieriger sein. Im Rahmen eines Beschäftigungsverhältnisses bestehen oftmals begründete Zweifel an der Freiwilligkeit der Einwilligung. Ein Arbeitnehmer wird, wenn es um seinen Arbeitsplatz geht, mit höherer Wahrscheinlichkeit einwilligen als unter anderen Umständen. Ein gewisser Zwang ist somit zumindest denkbar.

Der Gesetzgeber hat allerdings eine Ausnahme im Bundesdatenschutzgesetz (BDSG) aufgeführt. Bei dieser Ausnahme handelt es sich gemäß § 11 BDSG um eine sogenannte Auftragsdatenverarbeitung (kurz ADV), die – basierend auf dem BDSG – als „Nicht-Übermittlung“ eingestuft wird. Bei der Weitergabe von personenbezogenen Daten an einen Dienstleister, der die Daten im Sinne von § 11 BDSG im Auftrag verarbeitet, muss keine Einwilligung des Betroffenen eingeholt werden. Zudem ist für die Weitergabe keine weitere Rechtsgrundlage erforderlich. Das Gegenstück zur Auftragsdatenverarbeitung ist die Funktionsübertragung, wobei die Unterscheidung in der Praxis häufig zu Problemen führt.

Ihr externer Datenschutzbeauftragter erklärt, wann es sich um eine Auftragsdatenverarbeitung oder Funktionsübertragung handelt und welche Maßnahmen Sie bei der Übermittlung, der Weitergabe oder dem bloßen potenziellen Einblick auf personenbezogene Daten ergreifen sollten.

Was ist unter der Auftragsdatenverarbeitung zu verstehen?

AuftragsdatenverarbeitungIm Rahmen der Auftragsdatenverarbeitung werden personenbezogene Daten im Auftrag des Auftraggebers verarbeitet, wobei sowohl die Verantwortung als auch die Weisungsbefugnis bei dem Auftraggeber liegen. Der Auftragnehmer darf die personenbezogenen Daten demzufolge nur nach Weisung des Auftraggebers erheben, verarbeiten oder nutzen. Bei Vorliegen einer Auftragsdatenverarbeitung, muss ein Vertag zwischen den beiden Parteien abgeschlossen werden, wobei § 11 Abs. 2 BDSG sowohl die Form als auch den Inhalt des ADV-Vertrages vorschreibt. In § 11 Abs. 2 BDSG werden zehn Punkte festgehalten, die Bestandteil jedes ADV-Vertrages sein sollten. Aus diesem Grund spricht man häufig auch von einem Zehnpunktekatalog zur Auftragsdatenverarbeitung, der unter anderem den Gegenstand und die Dauer des Vertrages sowie die technischen und organisatorischen Maßnahmen erfasst.

Bei einer Auftragsdatenverarbeitung innerhalb der europäischen Union (EU) oder des europäischen Wirtschaftsraumes (EWR) sieht, wie bereits in der Einleitung erläutert, der Gesetzgeber eine Sonderregelung vor. Solch eine Übermittlung personenbezogener Daten wird als „Nicht-Übermittlung“ eingestuft, dabei werden Auftraggeber und Auftragnehmer als eine Einheit angesehen. Der Dienstleister führt den Auftrag in diesen Fällen quasi als „externe Abteilung“ des Auftragnehmers aus. Die Fiktion als „Nicht-Übermittlung“ ermöglicht die Weitergabe personenbezogener Daten an einen Dienstleister ohne die Erforderlichkeit einer weiteren gesetzlichen Grundlage oder einer informierten Einwilligung. Externe IT-Dienstleister oder Dienstleister für Entgeltabrechnungen verarbeiten häufig personenbezogene Daten im Auftrag und sind aus diesem Grund klassische Beispiele für eine Auftragsdatenverarbeitung. Weitere Beispiele sind Entsorgungsunternehmen, die Unterlagen und Datenträger mit personenbezogenen Daten im Auftrag entsorgen bzw. vernichten oder Dienstleister, die Newsletter an die Kunden des Auftraggebers versenden. Die Auswertung von Daten mit Hilfe von Google Analytics erfolgt ebenfalls als Auftragsdatenverarbeitung.

Bei einem Dienstleister, der seinen Sitz außerhalb der EU/des EWR hat, sieht der Gesetzgeber allerdings keine Sonderregelung vor.  Dies bedeutet, dass die Datenübermittlung auch als solche angesehen wird. Eine Datenübermittlung sollte wiederrum, wie bereits erläutert, auf einer gesetzlichen Grundlage oder einer informierten und freiwilligen Einwilligung des Betroffenen erfolgen. Bei Dienstleistern außerhalb der EU/des EWR muss zudem vor der Übermittlung, bis auf wenige Ausnahmen, wie zum Beispiel der Schweiz und Kanada, ein angemessenes Datenschutzniveau hergestellt werden. Ein angemessenes Schutzniveau kann beispielsweise mittels EU-Standardvertragsklauseln oder Binding Corporate Rules (BCR) sichergestellt werden.

Was ist unter eine Funktionsübertragung zu verstehen?

FunktionsübertragungUnter einer Funktionsübertragung versteht man das Auslagern ganzer Funktionen an einen Dienstleister, der die Aufgaben weisungsfrei erfüllt. Der Auftragsnehmer trifft bei der Durchführung des Auftrags eigenverantwortlich Entscheidungen, wodurch er mehr als nur Hilfstätigkeiten ausführen kann.

Als klassische Beispiele gelten die Steuerberatung durch einen Steuerberater oder die juristische Beratung des Rechtanwaltes.  Bei einer Funktionsübertragung handelt es sich um eine Datenübermittlung, die üblicherweise eine informierte Einwilligung des Betroffenen oder eine Rechtsgrundlage vorrausetzt, da der Gesetzgeber den Auftragsnehmer und –geber nicht als geschlossene Einheit sieht.

Bei einer Funktionsübertragung an einen Auftragnehmer außerhalb der EU/des EWR sollte allerdings trotz Vorliegen einer Rechtsgrundlage ein angemessenes Datenschutzniveau sichergestellt werden. Die Herstellung des Schutzniveaus sollte ebenfalls mittels EU-Standardvertragsklauseln oder BCR erfolgen.

Kein Konzernprivileg im Datenschutzrecht

Übermittelt ein Konzernunternehmen personenbezogene Daten an ein anderes gesellschaftsrechtlich verknüpftes Unternehmen der Unternehmensgruppe, das eine selbstständige Unternehmenseinheit darstellt, dann handelt es sich zunächst ebenfalls um eine Übermittlung an einen Dritten. Bei einer Weitergabe personenbezogener Daten sollte aus diesem Grund festgestellt werden, ob die Übermittlung im Rahmen einer Auftragsdatenverarbeitung oder einer Funktionsübertragung stattfindet.

Bei einer Auftragsdatenverarbeitung innerhalb der EU/EWR ist das Abschließen eines ADV-Vertrages (Vertrag zur Auftragsdatenverarbeitung gemäß § 11 BDSG) dringendst anzuraten. Handelt es sich dagegen um eine Funktionsübertragung oder um eine Auftragsdatenverarbeitung außerhalb der EU/EWR, so sollte die Datenübermittlung auf Basis einer Rechtsgrundlage bzw. auf einer informierten und freiwilligen Einwilligung erfolgen. Bei der Datenübermittlung an ein Konzernunternehmen oder einen sonstigen Dienstleister außerhalb der EU/EWR sollte darüber hinaus ein sicheres Datenschutzniveau hergestellt werden.

Auftragsdatenverarbeitung oder Funktionsübertragung – Unterschiede / Gemeinsamkeiten auf einen Blick

           Auftragsdatenverarbeitung           Funktionsübertragung
Reine Hilfs- und Unterstützungsfunktion des Auftragnehmers Auftragsnehmer übernimmt ganze Aufgaben/Funktonen
Weisungsgebundenheit Weisungsfreiheit
Auftraggeber und –nehmer stellen per Gesetz eine geschlossene Einheit dar Auftraggeber und –nehmer stellen per Gesetz keine geschlossene Einheit dar
Weitergabe der Daten als „Nicht-Übermittlung“ Weitergabe als Datenübermittlung
§ 11 BDSG stellt Rechtsgrundlage für Weitergabe der Daten dar Datenübermittlung bedarf einer Rechtsgrundlage oder einer informierten Einwilligung
Praxisbeispiele: Externer IT-Dienstleister, Dienstleister für die Entgeltabrechnung Praxisbeispiele: Rechtsanwalt, Steuerberatung durch Steuerberater
Streitfall: Entgeltabrechnung durch einen Steuerberater. Hierbei existieren unterschiedliche Rechtsauffassungen.
Die Weitergabe personenbezogener Daten im Rahmen einer Auftragsdatenverarbeitung oder Funktionsübertragung an einen Dienstleister außerhalb der EU/des EWR bedarf einer rechtlichen Grundlage oder der informierten (freiwilligen) Einwilligung. Der Auftraggeber hat dafür Sorge zu tragen, dass beim Auftragnehmer ein angemessenes Datenschutzniveau gewährleistet wird.

Exkurs: Datenschutz beim Cloud-Computing

Ist die Rede von Cloud-Computing, so meint man das Auslagern der eigenen IT-Ressourcen, dabei werden über das Internet IT-Infrastrukturen und IT-Leistungen, wie zum Beispiel Rechenleistung (Infrastructure as a Service, IaaS), Entwicklungsumgebungen (Platform as a Service, PaaS) und Anwendungssoftware (Software as a Service, SaaS), bereitgestellt.

In diesem Zusammenhang werden häufig personenbezogene Daten übermittelt bzw. wird dem Auftragnehmer der Zugriff auf personenbezogene Daten ermöglicht. In diesen Fällen greift das Bundesdatenschutzgesetz (BDSG) und es muss geprüft werden, ob es sich um eine Auftragsdatenverarbeitung, gemäß § 11 BDSG, oder um eine Funktionsübertragung handelt. Der Sitz des Auftragnehmers (Cloud-Anbieters) ist, wie seine übrigen Standorte, auch hier entscheidend.

Die Inanspruchnahme von Cloud-Leistungen erfolgt regelmäßig als Auftragsdatenverarbeitung. Dennoch kommt es häufig vor, dass der Auftragnehmer seinen Sitz außerhalb der EU/EWR hat, was den datenschutzkonformen Einsatz regelmäßig um ein Vielfaches erschwert, da zum einen ein sicheres Datenschutzniveau hergestellt werden muss und zum anderen eine Übermittlung ohne Einwilligung oder einer Rechtsgrundlage nicht rechtskonform ist. Weitere Schwachstellen sind zudem die fehlenden Kontroll- und Weisungsbefugnisse, die oftmals nicht mit der für Cloud-Computing charakteristischen Standardisierung vereinbar sind. Eine weitere Problematik, die sich für Cloud-Nutzer, sogenannte „verantwortliche Stellen“, wie Unternehmen, Behörden etc., ergibt, ist die hohe Vielzahl an Beauftragungsketten.

Möchten Sie mehr zum Thema „Datenschutz Cloud“ erfahren, dann lesen Sie doch unseren Beitrag „Cloud Computing – Durchblicken Sie vor lauter Wolken den Datenschutz?“.

Benötigen Sie Unterstützung bei der Verifikation von ADV-Dienstleistern (Auftragsdatenverarbeitung oder Funktionsübertragung) oder beim Abschluss von Verträgen, wie zum Beispiel von EU-Standardvertragsklauseln oder Verträgen zur Auftragsdatenverarbeitung etc.? Dann nehmen Sie Kontakt zu uns auf oder fordern Sie ein unverbindliches Angebot zum Datenschutz an. Gerne unterstützen wir Sie als externer Datenschutzbeauftragter oder Datenschutzberater in allen Fragen rund um den Datenschutz.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

„Workplace by Facebook und Datenschutz“ – Netzwerk für Mitarbeiter oder doch nur ein Auffangnetz für Daten

Workplace by Facebook DatenschutzVor einigen Tagen hat Facebook „Workplace by Facebook“ vorgestellt, allerdings stellt sich die Frage, ob die Unternehmensplattform Workplace by Facebook Datenschutz-Risiken nach sich zieht. Sobald es um Facebook geht, sind sowohl Datenschützer als auch Datenschutzbeauftragte kritisch, da die Nutzung von Facebook, insbesondere für „verantwortliche Stellen“, wie Unternehmen oder Behörden, zu zahlreichen Risiken führen kann.

Ebenso, wie für Privatpersonen, bietet Facebook nun eine Plattform für Unternehmen, die eine asynchrone Kommunikation zwischen den Mitarbeitern – unabhängig vom Standort der Unternehmen und Niederlassungen – erleichtern soll. Mit Hilfe von „Workplace by Facebook“ können Mitarbeiter unter anderem miteinander – auch in Gruppen – chatten, Dateien versenden oder Live-Videos teilen, allerdings stellt sich trotz der praktisch erscheinenden Funktionen die Frage, ob Workplace by Facebook Datenschutz-Risiken hervorruft.

Ihr externer Datenschutzbeauftragter informiert Sie über die neue Plattform und erklärt, ob „Workplace by Facebook“ ebenso, wie das klassische Facebook, zu Datenschutz-Problemen führen kann.

Welche Funktionen bietet „Workplace by Facebook“?

Einer der Vorteile, die viele Unternehmen in „Workplace by Facebook“ sehen, ist die Ähnlichkeit zu der privaten Plattform „Facebook“. Bis auf die Farbe – von dem kräftigen blau ins helle grau – haben sich die meisten Funktionen nicht geändert, wodurch sich die meisten Mitarbeiter schnell zurechtfinden werden und eine Usability von Beginn an zu erwarten sein dürfte. Die typischen Funktionen, wie

  • Chat,
  • Live-Video,
  • Gruppen,
  • Neuigkeiten,
  • Veranstaltungen
  • und die Möglichkeit Dateien zu teilen,

bleiben bestehen.

Mitarbeiter, die über einen Account für „Workplace by Facebook“ verfügen, können über das Smartphone die Funktionen nutzen, da die entsprechende App sowohl für Android als auch iOS angeboten wird.

Ein Unterschied zu der privaten Plattform ist allerdings, dass „Workplace by Facebook“ für Unternehmen nicht kostenlos ist. Die Preise sind gestaffelt und richten sich nach der Anzahl an Mitarbeitern.

  • Bis zu 1000 Mitarbeiter = monatlich 3 US-Dollar pro Mitarbeiter
  • Bis zu 10000 Mitarbeiter = monatlich 2 US-Dollar pro Mitarbeiter
  • Ab 10000 Mitarbeiter = monatlich 1 US-Dollar pro Mitarbeiter

Trotz alternativer Kollaborationslösungen, wie Yammer oder Slack, könnte „Workplace by Facebook“ für die Zusammenarbeit  in Unternehmen oder Behörden interessant sein, allerdings sollte die Thematik „Workplace by Facebook Datenschutz“ nicht außer Acht gelassen werden.

Verursacht Workplace by Facebook Datenschutz-Risiken?

„Workplace by Facebook“ bringt zwar viele Funktionen mit sich, die für Unternehmen und andere „verantwortliche Stellen“ interessant und hilfreich sein könnten, allerdings stellt Workplace diese vor neue Herausforderungen. Facebook und Datenschutz sind zwei Begriffe, die die wenigsten Nutzer, Datenschützer oder Datenschutzbeauftragte – außer es handelt sich um Kritik – in einem Satz nennen würden. Aus diesem Grund fragen sich viele Organisationen, ob Workplace by Facebook Datenschutz-Risiken hervorruft.

Bevor auf mögliche Probleme eingegangen wird, sollen einige Änderungen und Maßnahmen benannt werden, die bereits von Facebook ergriffen worden sind und aus Datenschutzsicht positiv bewertet werden sollten.

  • Facebook ist dem Privacy Shield-Abkommen beigetreten
  • Technische und organisatorische Maßnahmen wurde zum Teil ergriffen, wie die Trennung des privaten Facebook-Accounts vom beruflichen Workplace-Account (Trennungsgebot bzw. Getrennte Verarbeitung).
  • Laut Facebook sollen die Daten von Workplace nicht an Webetreibende übermittelt werden.
  • Die Kontrolle / Verwaltung der Unternehmensdaten bleibt laut Facebook beim Unternehmen.

Ein Risiko, dass sowohl bei Facebook als auch bei „Workplace by Facebook“ aus Datenschutzsicht berücksichtigt werden sollte, ist die Datenübermittlung. Im Hilfebereich von „Workplace by Facebook“ steht, dass sobald das Arbeitskonto eingerichtet wird, das Profil automatisch mit Informationen, die der Arbeitgeber bereitstellt, gefüllt wird. Dies könnten Informationen, wie der Name oder die Berufsbezeichnung, sein. Bei diesen Informationen handelt es sich allerdings bereits um personenbezogene Daten, die gemäß § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) nur auf Basis eine Rechtgrundlage oder der informierten Einwilligung des Betroffenen erhoben, verarbeitet und genutzt werden dürfen.

Bei der Betrachtung von § 32 Abs. 1 BDSG fällt auf, dass der Arbeitgeber personenbezogene Daten der Beschäftigten erheben, verarbeiten und nutzen darf, wenn dies unter anderem für die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist. Eine Übermittlung personenbezogener Beschäftigtendaten kann aus diesem Grund nicht auf Basis von § 32 Abs. 1 BDSG erfolgen.

Neben der fehlenden Erlaubnisnorm ist die Bereitstellung der Daten an Facebook bzw. „Workplace by Facebook“ problematisch, da es sich um eine Übermittlung in ein Drittland handelt. Facebook schreibt diesbezüglich, dass Unternehmen bzw. Organisationen Daten ihrer Mitarbeiter als „Datenverantwortliche“ an Facebook Irland als Auftragsdatenverarbeiter und Facebook Inc. als Unterauftragnehmer einreichen bzw. übermitteln können. Der Sitz von Facebook Inc. ist in den USA, wobei die Vereinigten Staaten als Drittland ohne angemessenes Datenschutzniveau angesehen werden. Bei Drittländern ohne angemessenes Datenschutzniveau sollten Organisation vor der Übermittlung Sorge tragen, dass es hergestellt wird, allerdings ist Facebook hinsichtlich „Workplace by Facebook“ dem Privacy-Shield-Abkommen beigetreten. Die EU-Kommission hat den Safe-Harbor-Nachfolger, das EU-US-Privacy-Shield, am 12.07.2016 verabschiedet, wodurch eine Übermittlung derzeit auf Basis dieses Abkommens möglich ist, allerdings ist fragwürdig, wie lange es dauert bis der Europäische Gerichtshof (EuGH) das EU-US-Privacy-Shield aufhebt. „Verantwortliche Stellen“ sollten aus diesem Grund nicht ausschließlich auf das Privacy-Shield-Abkommen vertrauen und weitere Maßnahmen, wie das Abschließen von EU-Standardvertragsklauseln oder das Einholen von informierten Einwilligungen, ergreifen.

Des Weiteren sollte der Arbeitgeber klare Richtlinien erstellen, damit Mitarbeiter wissen, welchen Informationen bzw. Daten auf der Plattform ausgetauscht werden dürfen. Ein weiterer Punkt, der die Notwendigkeit von Richtlinien begründet, ist die Möglichkeit zur Leistungs- und Verhaltenskontrolle. Unternehmensadministratoren haben Zugriff auf Statistiken, wie

  • Gruppenstatistiken,
  • Statistiken über beanspruchte Konten,
  • Inhaltsstatistiken
  • und Nachrichtenstatistiken.

Der Zugriff auf diese Auswertungen macht es für Arbeitgeber möglich festzustellen, wie aktiv ein Mitarbeiter sich beteiligt und kann somit Rückschlüsse auf die Leistung des Mitarbeiters ziehen. Automatisierte Datenverarbeitungen, die eine Verhaltens- und Leistungskontrolle ermöglichen, sollten vorab durch den Datenschutzbeauftragten geprüft werden (sogenannte Vorabkontrolle). Denken Sie auch an die Beteiligung des Betriebsrates einschließlich denkbarer Ergebnisse wie einer Betriebsvereinbarung unter Beteiligung des Datenschutzbeauftragten.

Fazit

„Verantwortliche Stellen“, wie Unternehmen oder Behörden, sollten auf Kollaborationslösungen zurückgreifen, deren Anbieter innerhalb der EU / des EWR sitzt, da die Risiken um ein Vielfaches geringer sind.

Möchten oder können Arbeitgeber nicht auf andere Lösungen zurückgreifen, so sollten sie das Thema „Workplace by Facebook Datenschutz“ nicht außer Acht lassen und sich umfangreich beraten lassen und Mitarbeiter schulen. Der Umgang mit Facebook ist für viele Mitarbeiter kein Problem, allerdings trifft dies nicht immer auf den datenschutzkonformen Umgang zu. An einer fachkundigen Beratung und Unterstützung durch einen Datenschutzbeauftragten sollte in diesem Fall nicht gespart werden. Zumal Facebook viele Versprechen – ab einer gewissen Abhängigkeit der Nutzer – „zufällig vergessen könnte“, wie zuletzt im Zusammenhang mit WhatsApp geschehen. Wenn Sie mehr zu diesem Thema erfahren wollen, dann lesen Sie doch unseren Beitrag „Datenweitergabe an „Datenkrake“ Facebook – Wie WhatsApp Datenschutz-Risiken erhöht“.

Möchten Sie mehr zum Thema „ Workplace by Facebook Datenschutz “ erfahren oder möchten Sie sich im Datenschutz dauerhaft besser positionieren?  Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Pokémon Go vs. Sicherheit – Gratis-Apps gefährden Ihren Datenschutz (Bezahlung durch personenbezogene Daten) und Menschen im Straßenverkehr

PokéballDas Software-Unternehmen „Niantic“ verwandelte unsere Straßen, durch die Veröffentlichung der kostenlosen Applikation (App) „Pokémon Go“, über Nacht in große Spielflächen.  „Pokémon Go“ hat zu einem regelrechten Hype geführt, da das Spiel, anderes als in den 90-er Jahren, die Monsterjagd im „Real Life“ (echte Welt) ermöglicht und zudem sowohl für Android als auch Apples iOS-Geräte kostenlos erscheint. Das Spiel lässt die Herzen vieler Gamer auf der ganzen Welt höherschlagen, wobei der Blick durch die rosarote Brille zahlreiche Risiken, insbesondere aus Datenschutzsicht, nicht erkennen lässt. Selten wurde der Eingriff in die Privatsphäre in solch einer Form ignoriert und bejubelt, wie dies derzeit durch die zahlreichen Pokémon-Fans erfolgt. Ihr externer Datenschutzbeauftragter / Datenschutzberater informiert über die Risiken und Gefahren, die von vermeintlich „kostenlosen“ Apps ausgehen.

Wie funktioniert „Pokémon Go“?

Um „Pokémon Go“ spielen zu können, sind nur wenige Schritte erforderlich. Hat man die Applikation im App-Store (iTunes / Google Play Store)  heruntergeladen, so muss man sPikachu mit Hundich lediglich mit seinem Google-Konto anmelden und schon kann der Nutzer auf Monsterjagd gehen. Alternativ besteht die Möglichkeit, dass sich der Nutzer ein Trainer-Club-Konto anlegt, indem er sich auf der Pokémon-Webseite mit seiner E-Mail-Adresse anmeldet. Die Verschmelzung zwischen der realen und der virtuellen Welt gelingt, indem der Nutzer der App den Zugriff auf seinen Standort und die Kamera gewährt. Mittels „Pokémon-Go“ können nicht nur Pokémon gesucht und gefangen werden, sondern Kämpfe zwischen Pokémon-Jägern ausgetragen, Pokémon-Eier ausgebrütet und Items an sogenannten Pokéstops gesammelt werden.

Neben moralischen Fragen, ob beispielsweise das Gelände des Konzentrationslagers Auschwitz-Birkenau als „Spielwiese“ angemessen ist, ereigneten sich auch einige Verkehrsunfälle. Mitten in das Spielgeschehen vertieft, kletterten bereits Gamer über fremde Gartenzäune, was zur Vermutung von Überfällen führte, bei deren vermeintlicher Abwehr sogar Baseballschläger zum Einsatz kamen. Somit könnte die Applikation zu erheblichen (Datenschutz-)Risiken führen.

Gefahren für den Datenschutz bei Pokemon Go?

Die Frage, ob „Pokémon Go“ Risiken für den Datenschutz darstellt, sollte bejaht werden, da die Nutzer dem Hersteller der Software zahlreiche Zugriffsrechte einräumen. Verlangte das Software-Unternehmen „Niantic“ bei der Anmeldung der iPhone-Nutzer zunächst den vollen Zugriff auf die Google-Konten (einschließlich z. B: Google Drive, E-Mail-Account „Gmail“), so räumten sie nach steigender Kritik einen Fehler ein und begrenzten den Zugriff auf die Google-Accounts.

Schenkt man der Aussage des Herstellers, dass es sich um ein Versehen gehandelt hat und die Zugriffsrechte eingeschränkt wurden, Vertrauen, so verbleiben nichtsdestotrotz weitere Risiken. Die Hersteller versuchen sich neben der, für die Funktion der App, notwendigen Zugriffsrechte auf den Standort und die Kamera, weiteren Zugriff auf Medien, Fotos, Dateien und Kontakte zu verschaffen.

Mit jeder Nutzung der App werden die Informationen, die mit dem Google-Konto oder der E-Mail-Adresse verknüpft werden, nach und nach verdichtet, wodurch ganze Benutzerprofile erstellt werden könnten. Der Gamer gibt somit durch die Nutzung von „Pokémon Go“ mit jedem Schritt ein Stück von seiner Privatsphäre auf und trägt aktiv zum „gläsernen Menschen“ bei.

Eine weitere Problematik ist, dass die gesammelten personenbezogenen Daten nicht in Deutschland bzw. in der europäischen Union oder des europäischen Wirtschaftsraums verarbeitet werden, sondern eine Übermittlung an die Server in den USA erfolgt. Laut Gesetzgeber handelt es sich um ein Drittland, dass kein angemessenes Datenschutzniveau besitzt, wobei das Safe-Harbor-Abkommen, auf das sich „Niantic“ in der Datenschutzverpflichtung bei der alternativen Anmeldung mit dem Pokémon-Club-Konto bezieht, ungültig ist.  An dieser Stelle der kleine ergänzende und entscheidende Hinweis für alle, die etwas tiefer in der Materie sind: Das Safe-Harbor-Abkommen wurde bereits im Oktober durch den Europäischen Gerichtshof (EuGH) gekippt.  Gestützt auf dieses Abkommen darf keine Übermittlung mehr stattfinden. Derartige Entwicklungen gelten auch für App-Entwickler / Spiele-Entwickler und dürfen nicht außer Acht gelassen werden.

Zudem wird in der „Pokémon Go“-Datenschutzrichtlinie erläutert, dass sich „Niantic“ das Recht einräumt, personenbezogene Daten ggf. an die „The Pokémon Company“ und die „The Pokémon Company International“ sowie an die Regierung und an die Strafverfolgungsbehörden zu übermitteln.

Können Privatpersonen noch selbst über die Weitergabe ihrer Daten entscheiden, liegt in Unternehmen, Vereinen, Behörden etc., die (Haupt-)Verantwortung für den gesetzeskonformen Umgang mit personenbezogenen Daten bei der “verantwortlichen Stelle“. Stellt eine „verantwortliche Stelle“ dienstliche Mobiltelefone zur privaten Nutzung zur Verfügung oder erlaubt im Rahmen von Bring Your Own Device, kurz BYOD, das Arbeiten mit privaten Smartphones, so könnte diese ebenfalls mit „Pokémon Go“ oder anderen (kostenlosen) Apps konfrontiert werden.

Welche Risiken ergeben sich für „verantwortliche Stellen“?

Erhebt, verarbeitet oder nutzt eine „verantwortliche Stelle“ personenbezogene Daten, so sollte sie sich an das Datenschutzrecht halten. Laut § 4 Abs. 1 BDSG ist eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur dann zulässig, wenn eine Rechtsgrundlage oder eine informierte Einwilligung der Betroffenen dies erlauben.

Erlaubt der Arbeitgeber seinen Mitarbeitern die private Nutzung von dienstlichen Mobiltelefonen, so neigen Mitarbeiter häufiger zur Installation von Apps, wie „Pokémon-Go“ oder „WhatsApp“, die sie privat nutzen möchten. Bei einer erlaubten Verwendung von privaten Endgräten zu dienstlichen Zwecken kann ebenfalls nicht ausgeschlossen werden, dass sich „risikobehaftete“ Applikationen auf den Mobiltelefonen befinden. Die Vermischung zwischen Daten und Programmen, die sowohl dienstlicher als auch privater Natur sind, kann zu vielen Problemen und Risiken für „verantwortliche Stellen“ führen.

Befinden sich auf den Endgeräten dienstliche Informationen, wie Kontaktdaten von Kunden und Ansprechpartnern der „verantwortlichen Stelle“, und ein Mitarbeiter erlaubt einer App, wie „Pokémon Go“ den Zugriff auf die Kontaktdaten, so dürfte bereits von einer Datenübermittlung ausgegangen werden. Diese Übermittlung benötigt, wie bereits erläutert, eine Rechtsgrundlage oder eine (freiwillige) informierte Einwilligung, die die Übermittlung erlauben. Zudem müsste im Fall von „Pokémon Go“ sowie im Rahmen von „WhatsApp“ ein angemessenes Datenschutzniveau hergestellt werden, da in beiden Fällen eine Übermittlung an Server in den USA (Drittland) erfolgt. Möchten Sie mehr über die Risiken von „WhatsApp“ erfahren, dann lesen Sie doch unsere Beiträge „Eine Revolution: WhatsApp-Verschlüsselung – mehr Datenschutz bzw. Datensicherheit?“ oder „WhatsApp in Unternehmen – Kommunikationskanal, Marketing-Instrument oder eine Datenschutz-Katastrophe?“.

Wie können sich Privatpersonen und „verantwortliche Stelle“ schützen?

Privatpersonen und „verantwortlichen Stellen“ sollte klar sein, dass insbesondere kostenlose Apps in den meisten Fällen „Datenkraken“ sind, die zwar kein Geld kosten, allerdings bezahlen Nutzer häufig mit ihrer Privatsphäre und ihren persönlichen Daten (sogenannte personenbezogene Daten). Aus diesem Pokémon Go DatenschutzGrund sollte bewusster mit der Installation von Applikationen und mit der Vergabe von Zugriffsrechten umgegangen werden.

Im Fall von „Pokémon Go“ hat der Nutzer die Möglichkeit bereits im Anmeldeverfahren den Zugriff auf Kontakte, Medien und Dateien zu verweigern. Nutzen Sie diese Möglichkeit also!Datenschutz bei Pokemon Go

Zudem können Pokémon-Fans sowohl mit einem Android-Gerät als auch mit einem iPhone Pokémon Go Datenschutzdie Zugriffsrechte derPokemon Go Datenschutz Applikation unter den Datenschutz-Einstellungen einsehen und einschränken. In vielen Fällen verlieren die Apps durch die Einschränkung der Zugriffsrechte allerdings an Komfort und Benutzerfreundlichkeit, wie im Fall von „WhatsApp“. Wird der Zugriff auf die Kontakte verweigert, so können die Rufnummern nicht synchronisiert werden und der „WhatsApp“-Nutzer muss diese gesondert eintragen.

„Verantwortlichen Stellen“ ist dringendst anzuraten, eine Privatnutzung von dienstlichen Mobiltelefonen zu untersagen. Möchte oder kann die „verantwortliche Stelle“ dies nicht, so sollten die Mitarbeiter zum richtigen Umgang mit personenbezogenen Daten geschult und zudem sollten klare Vereinbarungen, mittels Richtlinie oder Betriebsvereinbarung, geschlossen werden. Des Weiteren ist der Einsatz eines Mobile-Device-Management-Systems (MDM), um dienstliche Mobiltelefone besser verwalten zu können und Datenschutz-Risiken –auch bei privater Nutzung- zu minimieren, zu empfehlen.

Wie es mit „Pokémon Go“ weitergeht, bleibt abzuwarten, wobei die Hysterie zur Gamescom im August 2016 nochmals zunehmen könnte.  Viele Pokémon-Fans spekulieren bereits, ob zur Gamescom eine große Bombe in Form von „legendären Pokémon“, die man in „freier Wildbahn“ nicht findet, platzen soll. Sollten sich diese Gerüchte bestätigen, dann würde dies den Kampf der „Pokémon-Trainer“ auf ein neues Level katapultieren und das Thema Datenschutz weiter zurückdrängen.

Möchten Sie mehr zu diesem Thema erfahren? Setzen Sie bereits private Mobiltelefone ein oder erlauben Sie eine dienstliche Nutzung der privaten Endgeräte? Planen Sie sich im Datenschutz dauerhaft besser zu positionieren? Holen Sie sich Unterstützung durch einen versierten externen Datenschutzbeauftragten? Nehmen Sie bequem Kontakt zu uns auf oder fordern Sie direkt ein kostenloses Angebot zum Datenschutz an.

Nützliche weitere Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Datenschutz-Brexit – Auswirkungen auf die Datenübermittlung aus der Europäischen Union (EU) nach Großbritannien

Der Datenschutz-Brexit kann ernsthafte Folgen bei der Datenübermittlung zwischen der Europäischen Union (EU) – Großbritannien mit sich bringen. Brands Consulting, Ihr externer Datenschutzbeauftragter, informiert über Auswirkungen des Brexit und Maßnahmen.

Brexit Datenschutz Datenübermittlung EU GroßbritannienHintergrund des Brexit

Während der Europameisterschaft 2016 entscheiden sich die Briten im „Referendum über die Mitgliedschaft von Großbritannien in der Europäischen Union“ für einen Austritt aus der Europäischen Union (EU). Dabei hat mit 51,9 % der Stimmen die knappe Mehrheit „leave the European Union“ („die Europäische Union verlassen“) angekreuzt. Der sogenannte Brexit ist dabei ein griffiges Kunst- und Kofferwort, das sich aus dem englischen „Britain“ für „Großbritannien“ und „exit“ für „Ausgang“ oder „Austritt“ zusammensetzt.

Auswirkungen auf die Wirtschaft

Die Auswirkungen auf die Wirtschaft werden dieser Tage zahlreich diskutiert. Sofortige Auswirkungen zeigte das Britische Pfund, das auf ein 31-Jahres-Tief fiel. Folgt man dem Hashtag #Brexit haben viele Bürger Bedenken hinsichtlich der bisher geltenden Freizügigkeit, durch die es EU-Bürgern zusteht:

  • in einem anderen EU-Land Arbeit zu suchen,
  • zu arbeiten, ohne dass eine Arbeitserlaubnis erforderlich wäre,
  • zu diesem Zweck dort zu wohnen,
  • selbst nach Beendigung des Beschäftigungsverhältnisses dort zu bleiben,
  • hinsichtlich Zugang zu Beschäftigung, Arbeitsbedingungen und aller anderen Sozialleistungen und Steuervorteile genauso behandelt zu werden, wie die Staatsangehörigen des Aufnahmelandes.

Diese und auch weitere Auswirkungen auf die Wirtschaft, wie der Export und Import aus bzw. in die EU, hängen natürlich stark von den Verhandlungen über den Austritt ab. Derartige Verhandlungen können auch den Datenschutz betreffen.

Die EU-Datenschutz-Grundverordnung und der Brexit

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) wurde am 14. April 2016 durch das Europäische Parlament (kurz EU-Parlament oder EP) beschlossen. Veröffentlicht wurde die EU-DSGVO am 04.05.2016 im Amtsblatt der Europäisches Union (ABl.) und tritt damit am 25.05.2016 in Kraft. Nach einer zweijährigen Übergangsfrist wird die Datenschutz-Grundverordnung damit ab dem 25.05.2018 in Kraft anwendbar. Während des Beschlusses über die EU-DSGVO waren zwar bereits Überlegungen über einen möglichen Brexit den Medienberichten zu entnehmen, datenschutzrechtlich wurde zum Austritt aus der EU allerdings (noch) nichts geregelt. Was bedeutet dies nun?

Datenübermittlung Drittland – Grundlegende Veränderungen beim Datenaustausch

Mit dem Austritt der Briten aus der EU, einer damit fehlenden EU-Mitgliedschaft, wird Großbritannien im Sinne des Datenschutzrechtes zum „Drittland“. Unternehmen und natürlich auch Konzerne innerhalb des eigenen -internationalen- Konzernverbundes können die Datenweitergabe oder den Datenzugriff somit nicht mehr allein auf einen Vertrag zur Auftragsdatenverarbeitung (gemäß § 11 BDSG) stützen. Es dürften, wenn Verhandlungen / Kommissionsentscheidungen bis dahin keine anderweitigen Ergebnisse bringen, die gleichen Maßnahmen erforderlich sein, wie bei einer Datenübermittlung in die USA, China oder auch Indien. Bei diesen Ländern handelt es sich nicht um ein sogenanntes „sicheres Drittland mit einem angemessenen Datenschutzniveau“, das mit dem EU-Recht (respektive Bundesdatenschutzgesetz / EU-Datenschutz-Grundverordnung) hinreichend vergleichbar ist

Erste Prüfstufe (Zulässigkeit):

Die Verantwortliche Stelle (Unternehmen, Behörde, …) muss sich vergewissern, ob eine Übermittlung zulässig ist. Gemäß § 4 Abs. 1 BDSG ist das Erheben, Verarbeiten und Nutzen nur zulässig, sofern durch das Gesetz oder eine andere Rechtsvorschrift erlaubt oder angeordnet oder der Betroffene (freiwillig) eingewilligt hat.

Zweite Prüfstufe (Angemessenes Datenschutzniveau im Zielstaat)

Hinsichtlich des angemessenen Datenschutzniveaus wird eine Gesetzgebung im Zielland vorausgesetzt, die ein Datenschutzrecht vorsieht, das mit der europäischen Datenschutzrichtlinie (perspektivisch der EU-Datenschutz-Grundverordnung) vergleichbar ist. Daraus folgt, dass ein ungehinderter Datenfluss innerhalb der EU / des Europäischen Wirtschaftsraumes (EWR) erfolgen kann. Die Staaten des EWR sind, neben den EU-Mitgliedsstaaten, die Länder: Island, Norwegen und Liechtenstein. Auf dieser zweiten Prüfstufe bestehen ferner keine Vorbehalte gegen Datenübermittlungen an Stellen in Staaten, denen die Europäische Kommission (EU-Kommission)  in einer Angemessenheitsentscheidung ein angemessenes Datenschutzniveau attestiert hat (Art. 25 Abs. 6 EG-DatSchRL). Eine Angemessenheitsentscheidung wurde für folgende Länder durch die EU-Kommission, durch das in Art. 31 Abs 2 EG-DatSchRL geregelte Verfahren, getroffen:

– Andorra

– Argentinien

– Australien (Achtung: Sonderfall bei Fluggastdatensätzen (PNR-Daten))

– Färöer

– Israel

– Isle of Man

– Jersey

– Kanada (Achtung: Sonderfall bei Fluggastdatensätzen (PNR-Daten))

– Neuseeland

– Schweiz

– Uruguay

– Bis zum 05.10.2016 auch die USA bei Unterwerfung unter Safe-Harbor (wurde mit Urteil v. 06.10.2015 durch den Europäischen Gerichtshof (EuGH) für ungültig erklärt)

Fazit –  Datenschutz-Brexit

Durch den Brexit greift die EU-Datenschutz-Grundverordnung nicht mehr in Großbritannien. An die EU-DSGVO muss sich allerdings gehalten werden, wenn innerhalb der EU Waren und / oder Dienstleistungen angeboten werden. Damit kann die EU-DSGVO zwar nicht in Großbritannien gelten, allerdings für Unternehmen aus Großbritannien, die innerhalb der EU tätig werden.

Für den Datenaustausch zwischen Unternehmen, Konzernen (auch zwischen den eigenen Konzernunternehmen) gilt es frühzeitig geeignete Maßnahmen (z. B. ausreichendes Schutzniveau) zu ergreifen, die unter anderem sein können:

  • Vertragsschluss und Einsatz von EU-Standardvertragsklauseln
  • Unterwerfung der Konzernunternehmen unter Binding Corporate Rules (verbindliche Unternehmensregelungen, kurz BCR), verbunden mit weiteren Maßnahmen wie Datenschutzmanagement- und Datenschutzschulungssystem
  • Beteiligung der Aufsichtsbehörden
  • Mehrparteienvertrag

Ihr Datenschutzbeauftragter sollte Sie hierzu bestens beraten können. Gerne stehen wir Ihnen auch als externer Datenschutzbeauftragter oder als Datenschutzberater zur Verfügung. Sprechen Sie uns an – nehmen Sie Kontakt auf oder fordern Sie ein unverbindliches Datenschutz-Angebot an.

 


 

Unser Dienstleistungsangebot

Das Dienstleistungsangebot der Brands Consulting umfasst die Kernkompetenzen:

 

Unsere Zielgruppe/n

Brands Consulting offeriert sein Dienstleistungsangebot:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne/n]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

EU-US-Privacy-Shield – Schutzschild für den Datenschutz oder nur Safe Harbor 2.0?

halloween-1013943_640Am 06.10.2015 erklärte der Europäische Gerichtshof das „Safe Harbor“-Abkommen zum Austausch von Daten zwischen den USA und der Europäischen Union für rechtswidrig, da die Daten europäischer Nutzer auf amerikanischen Servern nicht sicher seien.

Daraufhin handelten die Europäische Union und die USA ein neues Abkommen aus. Hiernach sollen Daten, die aus der Europäischen Union in die USA übermittelt werden, besser geschützt werden. Erste schriftliche Entwürfe des Safe-Harbor-Nachfolgers legte die EU-Kommission am 29.02.2016 vor.

Das neue Abkommen zur Datenübermittlung zwischen der Europäischen Union und den USA trägt den Namen „EU-US Privacy Shield“. Diese Vereinbarung soll die rechtliche Grundlage zur Übermittlung personenbezogener Daten aus einem Mitgliedstaat der Europäischen Union an Unternehmen in den USA bilden. Zudem soll das Abkommen eine massenhafte und anlasslose Überwachung durch amerikanische Sicherheitsbehörden verhindern, so die EU-Kommission.

Eine endgültige Entscheidung in Hinblick auf das EU-US-Privacy-Shield-Abkommen steht derzeit noch aus, da der Entwurf sowohl den Datenschutzbehörden der EU-Mitgliedsstaaten, den Mitgliedsstaaten selbst sowie dem Europäischen Parlament und dem Europäischen Rat zur Prüfung vorliegt. Inzwischen gibt es allerdings viele Kritiker, unter anderem deutsche Verbraucherschützer und Datenschutzbeauftragte, die das Abkommen ablehnen und Nachbesserungen fordern.

Kernpunkte des EU-US-Privacy-Shield

  • Selbstverpflichtung von US-Unternehmen zur Einhaltung angemessener Datenschutzregeln, damit eine Durchsetzbarkeit nach US-amerikanischem Recht gewährleistet wird.
  • Rechtsschutzmöglichkeiten für EU-Bürger in einem mehrstufigen Beschwerde- und Eskalationsverfahren, falls ein zertifiziertes Unternehmen hiergegen verstößt.
  • Sanktionen für zertifizierte Unternehmen, die gegen Datenschutzregeln verstoßen.
  • Entscheidungen von Europäischen Datenschutzaufsichtsbehörden sollen von US-Unternehmen, die sich auf das EU-US-Privacy-Shield-Abkommen verpflichteten, akzeptiert und befolgt werden.
  • Jährliche Evaluierung des EU-US Privacy-Shield-Abkommens durch die EU und die USA.
  • Garantien gegen einen massenhaften Zugriff auf Daten durch US-Behörden. Der Zugriff von Geheimdiensten und Gerichten auf Daten von EU-Bürgern soll strengen Vorgaben, sowie einer Überwachung unterliegen. Zudem soll der Zugriff auf Einzelfälle beschränkt sein (kein massenhafter Datenabgriff).

Sechs Ausnahmen für eine „massenhafte“ Datenerfassung

Zugleich wird aber, entgegen der Ansage der Kommission, nach wie vor eine „massenhafte“ Datenerfassung in sechs Fällen gestattet. Die US-Behörden definieren sechs Gründe, die eine Datenüberwachung erlauben:

  • Abwehr von internationaler Spionage
  • Terrorismusbekämpfung
  • Das Interesse der Vereinigten Staaten an der Entwicklung, dem Besitz sowie der Verbreitung und Verwendung von Massenvernichtungswaffen
  • Schutz vor Cyber-Bedrohungen
  • Abwehr von Gefahren für US-Streitkräfte und der Alliierten
  • Bekämpfung transnationaler krimineller Bedrohungen, einschließlich illegaler Finanzierungen und der Flucht vor Sanktionen wegen Steuerhinterziehung

Einsatz eines Ombudsmanns

Laut den veröffentlichten Dokumenten soll auch ein Ombudsmann im US-Außenministerium eingerichtet werden, an den sich EU-Bürger zunächst wenden können, wenn sie Beschwerden oder Nachfragen zu der Handhabe ihrer Daten durch US-Sicherheitsbehörden haben. Die Federal Trade Commission (kurz FTC) will zudem strenger darauf achten, dass die beteiligten Unternehmen ihre Zusagen einhalten.

Im Falle einer Beschwerde hat die Beantwortung durch die beteiligten Unternehmen binnen 45 Tagen zu erfolgen. Erhält der Betroffene innerhalb dieser Frist keine Rückmeldung, so steht ihm sowohl ein kostenloses Schiedsverfahren als auch eine Beschwerde bei nationalen Datenschutzbeauftragten offen.

Fazit

Die Kritik an dem Abkommen dürfte derzeit nicht ganz unbegründet sein, da dieses weiterhin einige Schwachstellen aufweist. Ein Kritikpunkt könnte sich dadurch ergeben, dass das gesamte Prinzip des Privacy Shields auf Freiwilligkeit beruht und die EU-Kommission somit keine Handlungsmöglichkeiten gegenüber nicht zertifizierten Unternehmen haben dürfte.

Diese Problematik sollte sich allerdings ab 2018 mit der EU-Datenschutzgrundverordnung (EU-DSGVO) ändern, denn dann greift innerhalb der gesamten Europäischen Union das Marktortprinzip. Bieten US-Unternehmen Waren und Dienstleistungen an EU-Bürger an und haben in diesem Rahmen Zugriff auf personenbezogene Daten, so müssen sie sich, entsprechend des Marktortprinzips, an die europäischen Grundsätze halten.

Ein weiter Punkt ist der Einsatz des Ombudsmanns. Stellen Betroffene Datenschutzverletzungen fest, so ist eine unparteiische Ansprechperson sicherlich sinnvoll, jedoch ist zu erwarten, dass Betroffene nicht immer über einen Datentransfer informiert werden. Auch kritisieren Verbraucherschützer die Schiedsverfahren, die nach US-Recht verhandelt werden sollen und zu erheblichen Anwaltskosten führen. Trotz der vielen Kritik erfasst das Abkommen wichtige Ansätze für eine datenschutzkonforme Übermittlung personenbezogener Daten in die USA und es ist abzuwarten, wie die einzelnen Instanzen im Hinblick auf das EU-US-Privacy-Shield entscheiden, wobei die ersten Äußerungen  des europäischen Datenschutzbeauftragten und des europäischen Parlaments zum EU-US-Privacy-Shield sehr kritisch waren.

Was ist Unternehmen zu raten?

Unternehmen sollten sich über aktuelle Entwicklungen informieren und ihre Datenübermittlungen bei Bedarf anpassen. „Safe Harbor“ basierte Datenübermittlungen in die USA werden von den Datenschutzaufsichtsbehörden bei Bekanntwerden aufgegriffen und geahndet. Der Hamburgische Beauftragte für den Datenschutz und die Informationsfreiheit (HmbBfDI) führte erst kürzlich Prüfungen bei 35 international agierenden Hamburger Unternehmen durch. Im Ergebnis erhielten zumindest drei Unternehmen Bußgeldbescheide wegen der unzulässigen Übermittlung von Mitarbeiter- und Kundendaten in die USA. Es ist daher wichtig auf eine geeignete Rechtsgrundlage umzustellen (z. B. Standardvertragsklauseln).

Sind Sie unsicher, ob das neue Abkommen auch Ihr Unternehmen betrifft? Falls Sie einen Datenschutzbeauftragten haben, lassen sie sich hierzu von diesem beraten…

…ansonsten nehmen Sie Kontakt zu uns auf und klären Sie durch professionelle Beratung alle Fragen rund um das Thema des EU-US-Privacy-Shield-Abkommens.

Möchten Sie sich im Datenschutz dauerhaft besser aufstellen und suchen noch einen geeigneten Datenschutzbeauftragten? Fordern Sie ein kostenloses Angebot zum Datenschutz an.

Nützliche weitere Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.