EUGH-Entscheidung zum EU-US Privacy Shield

Beitrag als PDF (Download)

Einleitung
Die Covid-19-Krise hat zu ungeahnten unternehmerischen Herausforderungen geführt. Im Rahmen der gesundheitlichen Vorsorge und der verstärkten Digitalisierungsbestrebungen in vielen Bereichen des wirtschaftlichen und privaten Lebens, hier vor allem beim Home-Office/Mobile Office, standen auch immer wieder datenschutzrechtliche Fragen im Streit. Es wurde diskutiert, ob und wie in diesen Zeiten eine DSGVO-Compliance möglich ist. Daher werden nachfolgend die zentralen Fragen und Lösungsansätze zusammengefasst. Daneben werden auch die aktuelle Entscheidung des EuGH zur Datenverarbeitung in Drittländern erläutert und die Folgen dargestellt.

Home-Office-/Mobile-Office-Herausforderungen
Wegen der Covid-19-Krise verlagerten viele Unternehmen die Tätigkeit ihrer Mitarbeiter ins Home-Office/Mobile Office. Je nach Digitalisierungsgrad war dies mit mehr oder weniger Aufwand verbunden. Während einige Unternehmen dabei auf bereits existierende, skalierbare IT-Infrastrukturen und Betriebshardware aufsetzen konnten, mussten andere gezwungenermaßen auf mitarbeitereigene Hardware zurückgreifen.

Datenschutzrechtliche Aspekte
Aus datenschutzrechtlicher Perspektive müssen Arbeitgeber berücksichtigen, dass sie weiterhin datenschutzrechtlich verantwortlich sind und daher auch im Home-Office/Mobile Office mittels technisch-organisatorischer Maßnahmen für den Schutz personenbezogener Daten zu sorgen haben. Eine solche Maßnahme ist die Festlegung von IT-Richtlinien. Sinn einer derartigen Richtlinie ist es, die Mitarbeiter über Schutzmaßnahmen und Handlungsanweisungen zu belehren und dadurch ein Bewusstsein für die IT-Sicherheitsrisiken zu schaffen. Dies ist gerade bei Umstellung auf Home-Office/Mobile Office notwendig, da mehrere Umstände zu einem „Personal-Data-Breach“ i.S.d. Art. 33 DSGVO (Unbefugte erlangen Zugang zu personenbezogenen Daten) führen können. Hierzu zählen die Verwendung mitarbeitereigener Hardware („Bring your own Device“, BYOD) sowie die Nutzung ungesicherter Kommunikationswege oder IT-Services, die nicht durch den unternehmenseigene IT-Service betreut werden.
Die IT-Richtlinien sollten daher klar regeln, welche Hard- und Software durch die Mitarbeiter eingesetzt werden ­können und sollen. Idealerweise sollte in den IT-Richtlinien festgesetzt werden, dass sämtliche Kommunikation über Firmenendgeräte erfolgen muss, die über einen sicheren Kommunikationskanal (etwa VPN) an das Unternehmen angebunden sind. Falls Arbeitnehmer entsprechende unternehmenseigene Hardware nutzen können, sollte die Verwendung privater Hardware untersagt werden. Insgesamt kann so das Risiko von Verletzungen des Schutzes personenbezogener Daten nach Art. 33 DSGVO verringert werden.

Zusätzliche IT-Risiken
Wie zu erwarten ist es im Zuge der Home-Office-Umstellung zu vermehrten Angriffen auf die IT-Sicherheit gekommen. Insbesondere nutzen Angreifer die durch das Home-Office/Mobile Office bedingte räumliche Distanz und damit einhergehende schlechtere unternehmensinterne Kommunikation aus, um Mitarbeiter gezielt anzuschreiben und zur Herausgabe von unternehmensinternen Daten oder gar zur Veranlassung von Überweisungen zu verleiten (sogenannte Spear-Phishing-Angriffe). Unter diesen Rahmenbedingungen laufen Arbeitnehmer Gefahr, Anweisungen der vermeintlichen Vorgesetzten ohne Rücksprache direkt auszuführen und hierdurch einen „Personal-Data-Breach“ zu verursachen oder Geschäftsgeheimnisse unwissentlich zu offenbaren. Neben den IT-Richtlinien sollten Mitarbeiterschulungen eingesetzt werden, um ein Bewusstsein für diese IT-Risiken zu schaffen. Grundlegende Hinweise des Bundesamts für Sicherheit in der Informationstechnik zur IT-Sicherheit im Home-Office und bei mobilem Arbeiten können dabei ebenfalls zur Mitarbeiterinformation herangezogen werden.

Videokonferenzdienste datenschutzkonform einsetzen
Um die räumliche Trennung der Mitarbeiter zu überbrücken, nehmen Unternehmen zusätzliche Services wie etwa Videokonferenzdienste in Anspruch. Hierbei werden personenbezogene Daten verarbeitet. Dies ist ohne rechtliche Grundlage nicht zulässig. Daher muss je nach Ausgestaltung eine Auftragsverarbeitungsvereinbarung nach Art. 28 Abs. 3 DSGVO oder eine Joint-Controller-Vereinbarung nach Art. 26 Abs. 1 DSGVO mit dem Anbieter der eingesetzten digitalen Lösungen abgeschlossen werden. Welche Vereinbarung die richtige ist, bestimmt sich nach den tatsächlichen Gegebenheiten des jeweiligen Einzelfalls. Eine pauschale Annahme eines Auftragsverarbeitungsverhältnisses verbietet sich jedenfalls dann, wenn der Dienstanbieter die Datenverarbeitung auch für eigene Zwecke durchführt. Dies kann neben der Verbesserung des eigenen Produkts auch die Erschließung eines neuen Absatzmarkts sein.
Aber ungeachtet dessen haben die Aufsichtsbehörden bereits in unterschiedlicher Ausprägung dargestellt, dass aus ihrer Sicht manche Lösungen oder Anbieter gegen die DSGVO verstoßen. Daher sollten stets die aktuellen Einschätzungen der jeweils örtlich zuständigen Behörde bei der Auswahl von Anbietern berücksichtigt werden. Unter Umständen müssen mit dem Anbieter gesonderte Vereinbarungen verhandelt und abgeschlossen werden.

Schrems II – neue Hürden für internationalen Transfer nach EuGH-Urteil
Neben diesen allgemeingültigen Auswahlkriterien für Anbieter müssen Unternehmen zusätzlich noch die Schrems-II-Entscheidung des Europäischen Gerichtshofs (EuGH) vom 16.07.2020 berücksichtigen. Im Rahmen dieser Entscheidung erklärte der EuGH zum einen den „EU-US Privacy Shield“ für ungültig. Zum anderen stellte der EuGH klar, dass für die Übermittlung auf Grundlage von Standardvertragsklauseln („Standard-Contractual-Clauses“ oder „SCCs“) und von verbindlichen internen Datenschutzvorschriften („Binding Corporate Rules“ oder „BCRs“) besondere Anforderungen zu beachten sind. Daten können daher nicht länger auf Grundlage des Privacy-Shields in die USA übermittelt werden, und alle anderen Übermittlungen in Drittländer müssen geprüft werden. Eine Übergangsfrist gibt es nicht, wie der Europäische Datenschutzbeauftragte inzwischen betont hat.
Daher müssen Unternehmen in einem ersten Schritt ermitteln, in welchen Fällen der Privacy-Shield als Rechtsgrundlage für personenbezogene Datentransfers verwendet wurde und eine andere Rechtsgrundlage für ihre Unternehmenspraxis auswählen. Idealerweise kann dies durch eine Prüfung des Verzeichnisses der Verarbeitungstätigkeiten erfolgen, da Übermittlungen in Drittländer nach Art. 30 Abs. 1 Satz 1 e) DSGVO aufgeführt sein müssen. Auf dieser Grundlage kann ermittelt werden, welche internationalen Datentransfers auf welche Rechtsgrundlage gestützt und in welchen Ländern die Dienstleister eingesetzt werden.
Die alleinige Umstellung von Privacy-Shield auf SCCs reicht laut EuGH jedoch nicht aus. Während SCCs zwar generell eine taugliche Rechtsgrundlage darstellen können, stellte der EuGH fest, dass eine Einzelfallprüfung notwendig ist. So müssen europäische Unternehmen prüfen, ob die in den SCCs festgelegten Regelungen eingehalten werden können und ob die Rechte und Freiheiten der betroffenen Unionsbürger aus der DSGVO (und der Charta der Grundrechte der Europäischen Union) in dem jeweiligen Drittstaat ausreichend geschützt werden. Dies ist anhand der konkret betroffenen Datentransfers und der jeweiligen landesspezifischen Gesetze zu prüfen. Im Fall der USA sind daher beispielsweise die Zugriffsrechte der US-Sicherheitsbehörden aus dem „Foreign Intelligence Surveillance Act (FISA) 702“ sowie der „U.S. Executive Order 12.333“ zu berücksichtigen.
Unternehmen sollten sich daher an ihre US-Dienstanbieter wenden und erfragen, ob diese von den gesetzlichen Regelungen des FISA oder der „U.S. Executive Order 12.333“ betroffen sind und ob die US-Behörden bereits von ihren Zugriffsrechten Gebrauch gemacht haben. Die Ergebnisse können dann in eine Risikobewertung einfließen. Hierbei ist auch die Wertung der Artikel-29-Datenschutzgruppe vom 13.04.2016 (Stellungnahme WP 237) heranzuziehen. Diese entstand im Anschluss an die Schrems-I-Entscheidung des EuGH und hält fest, dass staatliche Eingriffe in Grundrechte gerechtfertigt sein können, wenn die folgenden Voraussetzungen vorliegen:

  • Datenverarbeitungen sollten auf klaren, präzisen und öffentlich verfügbaren Regeln basieren,
  • die Notwendigkeit und Verhältnismäßigkeit der Maßnahme muss im Hinblick auf die verfolgten legitimen Ziele nachgewiesen werden,
  • ein unabhängiger Aufsichtsmechanismus sollte existieren, und
  • wirksame Rechtsmittel müssen dem einzelnen Betroffenen zur Verfügung stehen.

Für die USA und die Regelungen des FISA oder der „U.S. Executive Order 12.333“ wird aber jedenfalls der letzte Punkt für EU-Bürger zu verneinen sein. Daher muss laut EuGH dann geprüft werden, ob zusätzliche Schutzmaßnahmen zu einem ausreichenden Schutz der Rechte und Freiheiten der betroffenen Unionsbürger führen können. Nur wenn diese zusätzlichen Schutzmaßnahmen die sichere Datenverarbeitung gewährleisten, kann eine Datenverarbeitung auf Grundlage von SCCs durchgeführt werden.

Internationaler Transfer von personenbezogenen Daten – zusätzliche Schutzmaßnahmen
Eine genaue Antwort auf die Frage, welche Maßnahmen hiermit gemeint sind, blieb der EuGH schuldig. Auch die deutschen Behörden äußern sich hierzu bislang nicht. Die Praxis steht daher in diesem Punkt vor einer großen Herausforderung, die zur Bedrohung für Geschäftsmodelle werden kann. Unternehmen sollten diesbezüglich weitere Stellungnahmen der Datenschutzaufsichtsbehörden – insbesondere die angekündigte Stellungnahme des Europäischen Datenschutzausschusses – zu möglichen juristischen, technischen und organisatorischen Maßnahmen berücksichtigen.
Im Fall der USA müssen sich Unternehmen bereits jetzt bewusst sein, dass vertragliche Regelungen die staatlichen Befugnisse nicht einschränken können, so dass technische und organisatorische Maßnahmen eingesetzt werden müssen. Hierbei muss berücksichtigt werden, dass auch ein staatlicher Zugriff auf Metadaten (wie beispielsweise der Name des Absenders einer E-Mail) verhindert werden muss.
Eine weitreichende Bedeutung für die Praxis hat es, dass der Europäische Datenschutzausschuss davon ausgeht, dass Unternehmen die zuständige Datenschutzaufsichtsbehörde informieren müssen, wenn Datentransfers weiterhin in datenschutzrechtlich unsichere Drittländer durchgeführt werden sollen, obwohl keine ausreichenden zusätzlichen Schutzmaßnahmen getroffen wurden.
Verantwortliche müssen sich bewusst sein, dass vor diesem Hintergrund das Risiko steigt, dass datenschutzrechtliche Bußgelder verhängt werden, wenn die aufgezeigten Punkte nicht umgesetzt werden.

Verschärfte Risiken durch Bußgeldkonzept
Mit deutlich spürbaren Bußgeldern ist aber nicht nur vor dem Hintergrund der EuGH-Entscheidung zu rechnen, sondern auch bei Verstößen gegen die DSGVO im Zusammenhang mit dem Home-Office/Mobile Office. Grund hierfür ist das am 14.10.2019 veröffentlichte Bußgeldkonzept der deutschen Datenschutzaufsichtsbehörden. Zwar sollte das Konzept in erster Linie die Bußgeldbemessung nachvollziehbarer machen, im Ergebnis hat dies jedoch auch bei kleineren Verstößen von Unternehmen zu deutlich höheren Bußgeldern als bisher geführt. Eine Entscheidung des Europäischen Datenschutzausschusses bezüglich einer europaweiten Anwendung dieses Konzepts oder aber die Auswahl eines anderen Konzepts steht noch aus. Daher müssen sich Unternehmen in Deutschland zunächst an den strengen Leitlinien des deutschen Bußgeldkonzepts orientieren.

In diesem Zusammenhang hat eine aktuelle Pressemitteilung des Landesdatenschutzbeauftragten Baden-Württemberg vom 30.06.2020 bezüglich des gegen die AOK Baden-Württemberg verhängten Bußgelds für besondere Aufmerksamkeit gesorgt. Die AOK Baden-Württemberg hatte über 500 Gewinnspielteilnehmer versehentlich zu Werbezwecken kontaktiert, obwohl sie keine Einwilligung erteilt hatten. Die Prüfung der Datenschutzbehörde ergab dabei, dass die technisch-organisatorischen Maßnahmen nicht den gesetzlichen Anforderungen des Art. 32 DSGVO genügten. Aus der Pressemitteilung folgte aber auch, dass Unternehmen ein höheres Bußgeld nach Art. 83 Abs. 5 a) DSGVO vermeiden können, indem sie technisch-organisatorische Maßnahmen ergreifen. Für Unternehmen bedeutet dies, dass auch in Zeiten von Corona entsprechend wirksame technisch-organisatorische Maßnahmen etabliert und diese in der Praxis durch die Mitarbeiter gelebt werden müssen.
Obwohl keine Rechtsgrundlage für die Datenverarbeitung vorlag, hat die Datenschutzbehörde das Bußgeld nur auf Grundlage des Verstoßes gegen Art. 32 DSGVO verhängt und nicht (zusätzlich) einen Verstoß gegen Art. 5 DSGVO geahndet. Dies ist besonders relevant, da Verstöße gegen ­Art. 32 DSGVO, grob gesprochen, nur mit halb so hohen Bußgeldern bewehrt sind wie Verstöße gegen Art. 5 DSGVO.

Mildernde Umstände?
Inwieweit nun aber die gegenwärtigen pandemiebedingten Umstände berücksichtigt wurden oder werden, lässt sich nicht genau feststellen. Zwar hielt die Pressemitteilung des Landesdatenschutzbeauftragten Baden-Württemberg fest, dass „die gegenwärtigen Herausforderungen für die AOK infolge der aktuellen Coronapandemie in besonderem Maße“ bei der Bestimmung der Bußgeldhöhe berücksichtigt wurden. Dennoch fiel das Bußgeld in Höhe von rund 1,2 Millionen Euro vergleichsweise hoch aus. Hieraus lässt sich schließen, dass die aktuelle Lage zwar in die abschließende Abwägung einfließt, aber nicht sämtliche anderen Faktoren des Bußgeldkonzepts überlagern kann. Zusätzlich lässt sich daraus insbesondere keine allgemeingültige Regelung ableiten, auf die man sich im Zweifelsfall berufen kann.
Daher ist es zum Beispiel weiterhin wichtig, dass Unternehmen nicht auf eine Aussetzung oder mildere Anwendung der DSGVO hoffen oder gar setzen. Dies gilt vor allem für die Einhaltung der datenschutzrechtlichen Fristen. Die vor der Pandemie idealerweise etablierten Prozesse im Umgang mit Auskunftsanfragen (und der damit einhergehenden maximalen dreimonatigen Frist bei der Beantwortung von Auskunftsanfragen nach Art. 15 DSGVO) müssen daher auch zum Beispiel von remote arbeitenden Teams fristwahrend weitergeführt werden.

Fazit
Unternehmen müssen auch unter den aktuellen Bedingungen die datenschutzrechtlichen Vorgaben einhalten. Dabei sind die besonderen rechtlichen und IT-sicherheitsrelevanten Herausforderungen zu berücksichtigen, die aus der räumlichen Trennung der Belegschaft resultieren. Auch wenn eine Vielzahl von IT-Tools und Anbieterlösungen zur Verfügung steht, muss eine datenschutzrechtskonforme Auswahl erfolgen. Bei der Auswahl von IT-Dienstleistern außerhalb der EU sind die strengen Anforderungen des EuGH zu beachten. Aber auch in Zeiten von Covid-19 sind Home-Office-/Mobile-Office-Lösungen und andere Digitalisierungsstrategien umsetzbar. Werden die vorgestellten Punkte beachtet, ist auch in diesen Fällen Datenschutzcompliance möglich.

Philipp.kuehn@ebnerstolz.de

Neil.weaver@ebnerstolz.de

 

Aktuelle Beiträge