Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht

Category

Compliance

Tja. Man könnte sich fragen, ob sich die ganze Diskussion um Datenübermittlung in unsichere Rechtsstaat, womit in der Regel die USA gemeint sind, mit der Zeichnung der Exekutive Order von Joe Biden und dem wohl kommenden neuen Angemessenheitsbeschluss der EU-Kommission für Datenübermittlung in die USA erledigt hat.

Was? Das ging Ihnen zu schnell? Ok. Fangen wir noch mal – in aller Kürze von vorne an.

Schrems II, SVK, die Datenschutzbehörden und der risikobasierte Ansatz der DSGVO

Im Jahr 2020 erging die sogenannte Schrems-II-Entscheidung des EuGH. Mit diesem Urteil erklärte der EuGH den Angemessenheitsbeschluss »Privacy Shield« der EU-Kommission (EUKOM) i.S.d. Art. 45 DSGVO für ungültig. Damit entfiel die bis dato bestehende Rechtsgrundlage nach Art. 45 DSGVO für Datenübertragungen in die USA. Zeitgleich urteilte der EuGH über die Verwendung von sogenannten Standardvertragsklauseln (SVK) nach Art. 46 Abs. 2 c) DSGVO, die eine weitere Rechtsgrundlage zur Datenübertragung in unsichere Drittstaaten darstellen und konstatierte, dass der verantwortliche Datenexporteur in jedem Einzelfall prüfen müsse, ob das Recht des Drittlandes nach Maßgabe des EU-Rechts einen angemessenen Schutz gewährleistet. Der EuGH bezweifelte, dass die USA einen angemessenen Schutz nach Maßgabe des EU-Rechts bieten könnten.

Im Juni 2021 wurden neue Standardvertragsklauseln veröffentlich, die mit den Klauseln 14 a), b) eine solche transferspezifische und risikoorientierte Abwägung bei der Datenübermittlung vorsahen. Demnach ist unter anderem zu prüfen, welche Art von Daten übermittelt wurden, welchen Zweck die Verarbeitung hat, den Wirtschaftszweig, in dem die Übertragung erfolgt sowie die technisch und organisatorischen Maßnahmen, die bei der Verarbeitung ergriffen werden.

Der europäische Datenschutzausschuss (EDSA) negierte allerdings – ebenso wie die DSK, die Deutsche Datenschutzkonferenz – dass der risikobasierte Ansatz der DSGVO auch im Rahmen von Drittstaatentransfers zu berücksichtigen sei. Die europäischen Datenschutzbehörden vertraten die Ansicht, dass es nicht darauf ankäme, ob es sich bei den übermittelten personenbezogenen Daten um statistische Trackingdaten oder um hochsensible Gesundheitsdaten handelte und/oder wie hoch die Eintrittswahrscheinlichkeit von Risikoverwirklichungen wäre. Es sei nur zu prüfen, ob das Recht des importierenden Staat ein „angemessenes“ Schutzniveau böte.

Der geschätzte Kollege Heiko Roth und ich hielten und halten diese Auffassung schon deswegen für falsch, weil sie nicht mit der Dogmatik der DSGVO selbst in Einklang zu bringen ist. In unserem Aufsatz „Datenübermittlung in unsichere Rechtsstaaten“, ZdiW 08/2021, 313 setzen wir uns deswegen intensiv mit dem Prinzip des risikobasierten Ansatzes der DSGVO, dem Schrems -II-Urteil und eben der Datenübermittlung in unsichere Drittstaaten auf Basis der SVK nach Art. 46 Abs. 2 c) DSGVO auseinander. Wir kommen – sehr verkürzt – zu dem Ergebnis, dass die Datenübermittlung in unsichere Rechtsstaaten auch dann zulässig sein kann, wenn das Recht des Drittstaates gegebenfalls nicht in Gänze der Vorstellung der EuGH entspricht, aber das Risiko nach einer Risikoabwägung vertretbar ist. Alle Einzelheiten sind in unserem Aufsatz nachzulesen:

Den ganzen Artikel lesen.

Lang, lang, ist´s her, dass ich hier auf einen Fachaufsatz hinwies. Drum wird es Zeit, dies endlich wieder einmal zu tun. Dafür gibt es nun auch gleich zwei gute Gründe. Der Aufsatz Organisatorische Maßnahmen i.S.v. Art. 32 DSGVO – Das unterschätze „Must-Have“ eines jeden Unternehmens, der in der ZdiW bereits in der Ausgabe 01/2021 erschien, hat zum einen nichts an Aktualität eingebüßt und zum anderen ist er nun auch öffentlich auf der Seite des Wolters Kluwer Verlags, d.h. ohne Bezahlschranke, abrufbar. Und schließlich gilt besser spät als nie, oder? 😉

Zum Inhalt:

In dem Aufsatz geht es darum, wie wichtig organisatorische Maßnahmen im Sinne des Art. 32 DSGVO wie etwa Schulungen, aber vor allem auch Richtlinien und Betriebsvereinbarungen, sind, um (Haftungs-)Risiken für das verantwortliche Unternehmen im Zusammenhang mit Datenschutz-Compliance beträchtlich zu minimieren.

Was damit gemeint ist und wie genau das funktioniert, das können Sie hier nachlesen:

Ich kann nur dringend empfehlen, sich mit diesem Thema – wenn es immer noch nicht geschehen ist – zu befassen und auseinanderzusetzen. Denn: Organisatorische Maßnahmen im Sinne des Art. 32 DSGVO sind ein „Must-Have“ eines jeden verantwortlichen Unternehmerns

In diesem Sinne,

Nina Diercks

 

 

Liebe Leser:innen,

willkommen zum jüngsten Rechtsüberblick. Auch heute wollen wir wieder einen Blick auf spannende Themen des Datenschutzrechts werfen, die die unternehmerische Praxis zur Zeit und in naher Zukunft beschäftigen (werden). Sie wissen bereits, dass das Datenschutzrecht nicht zur Ruhe kommt und eines der lebendigsten Rechtsgebiete im Bereich Compliance bleibt. Deshalb wollen wir auch heute wieder einen kleinen Ausblick auf aktuelle Themen geben, nämlich:

  • LG Bonn: Die verspätete Auskunftserteilung an den Betroffenen ist kein Grund für Schadensersatz oder Schmerzensgeld
  • EuGH: Nicht nur die Datenschutzbehörde am Hauptsitz eines Unternehmens darf tätig werden
  • Schrems III am Horizont? – Die Rechtmäßigkeit der Datenverarbeitung durch Facebook auf dem Prüfstand
  • Die Ausübung datenschutzrechtlicher Betroffenenrechte wird in das Vertragsrecht eingebettet; ein Ausblick auf § 327q BGB

Spannende Themen, viel zu tun. Deshalb wollen wir direkt beginnen. Viel Spaß bei der Lektüre!

Den ganzen Artikel lesen.

Der Kollege Stephan Hansen-Oest beschrieb die derzeitlich vorfindliche Sach- und Rechtslage in Sachen „Datenübermittlung in unsichere Drittstaaten“ in seinem letzten Newsletter sehr treffend mit „Drittlands-Frust“. Dem ist nichts hinzuzufügen. Oder wäre es eigentlich doch. Jede Menge sogar. Aber die Zeit habe ich heute nicht. Deswegen nur ganz kurz ein paar postive Nachrichten im Hinblick auf einen Einzelfall. Aber positive Nachrichten tun uns wohl alle derzeit ganz gut.

[Wir sind aber gerade dabei die ganze Drittstaaten-Transfer-Problematik etwas vertiefter für den Blog aufzubereiten!]

Microsoft veröffentlich „Additional Safeguards Addendum to Standard Contractual Clauses“

Den ganzen Artikel lesen.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) hat heute eine Pressemitteilung zur datenschutzrechtlichen Bewertung von Office365 herausgegeben. Die DSK hatte einen „Arbeitskreis Verwaltung zur Auftragsverarbeitung bei Microsoft Office 365“ eingesetzt. Der Arbeitskreis hatte „die dem Einsatz des Produktes Microsoft Office 365 zu Grunde liegenden Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft-Onlinedienste (Data Processing Addendum / DPA) – jeweils Stand: Januar 2020“ geprüft. Dieser Arbeitskreis hat am 15. Juli 2020 eine Bewertung abgegeben. Diese Bewertung ergibt, „dass auf Basis der genannten Unterlagen kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich ist„.

Diese Bewertung wurde von der DSK „mehrheitlich zustimmend zur Kenntnis genommen„. Eine interessante Formulierung, die schon erahnen lässt, dass die Sach- und Rechtslage im Hinblick auf die Beurteilung wohl so eindeutig nicht ist.

Dennoch werden mit an Sicherheit grenzender Wahrscheinlichkeit in Kürze Headlines wie „Deutsche Datenschutzbehörden erklären Office365 für rechtswidrig“ durch die Lande ziehen. Damit werden zahlreiche Unternehmen, die Office365 im Einsatz haben, hochgradig verunsichert sein und sich fragen, ob ihnen nun bei jedwedem Einsatz ihrer Office365 Software ein Bußgeld der zuständigen Aufsichtsbehörde droht.

In Folge dessen werde ich diese Aussage der DSK hier nun einmal kurz einordnen:

Eine rechtshistorische Prüfung

Zunächst einmal ist festzuhalten, dass die geprüften Dokumente den „Stand Januar 2020“ aufweisen. Wer sich näher mit Microsoft Office365 Produkten in den letzten Jahren beschäftigt hat, der weiß, dass Microsoft seit Januar 2020 nicht nur Änderungen in den Verträgen, sondern vor allem auch umfängliche und erhebliche Änderungen in der Dokumentation vorgenommen hat. Das heißt, ob die OST und das DPA aus 2020 einen datenschutzgerechten Einsatz ermöglichen oder nicht, ist nur noch aus rechtshistorischer Sicht interessant.


Exkurs Dokumentation: Warum verweise ich hier auf die maßgeblichen Änderungen in der Dokumentation, wenn es doch um die OST und das DPA geht? Die Dokumentation der Software einschließlich der dort vorfindlichen Beschreibungen zu Funktionen wie Datenverarbeitungen der verschiedenen Applikationen ist durchaus wesentlich für die Bewertung der Verträge. Wie bei hochkomplexen Produkten üblich, sind die Verträge recht abstrakt gestaltet. In der Zusammenschau mit der jeweiligen Dokumentation können diese abstrakt gehaltenen vertraglichen Regelungen jedoch im Hinblick auf die jeweiligen Applikationen konkretisiert werden. Und während die Dokumentationen bis ins Jahr 2019 und in Teilen auch noch bis Anfang 2020 nahezu nichts sagend waren, lassen sich nun mehr tatsächlich detailliert sämtliche Funktionen und Datenverarbeitungen nachlesen. (Obacht! Nothings perfect. In Sachen Auffindbarkeit und damit Transparenz der Dokumentation kann MS immer noch hart nacharbeiten. Aber das scheint nach meinem Eindruck der letzten Monate auch stetig weiter der Fall zu sein.)


Es gibt kein Produkt „Office365“

Daneben ist es wirklich wichtig zu bemerken, dass es kein Produkt „Office365“ gibt, dass prüfbar wäre. Office365 ist ein Oberbegriff für eine ganze Produktgruppe. Und selbst dieser Oberbegriff ist inzwischen veraltet, weil es derzeit zwei Produktgruppen gibt, nämlich Office365 und Microsoft365. Innerhalb dieser beiden Produktgruppen gibt es zum einen zahlreiche Produkte bzw. Lizenzen – von Microsoft „Pläne“ genannt. (Business, E1, E3, E5 uvm.). Diese beiden Produktgruppen mit den jeweiligen Plänen gibt es dann noch branchenspezifisch angepasst. Für privat (Microsoft365 „zu Hause“), für Unternehmen, Behörden oder Bildungseinrichtungen. Und alle diese Pläne in den unterschiedlichen Produktgruppen werden in unterschiedlichen Grundkonfigurationen und mit unterschiedlichen Konfigurationsmöglichkeiten ausgeliefert.

Da lautet die Frage: Was ist denn hier überhaupt geprüft worden!? Ich weiß das bis heute nicht.

Nun kann man zu recht kritisieren, dass die unterschiedlichen Pläne und Produktgruppen auch im Hinblick auf den Datenschutz und die Datensicherheit (derzeit) mit unterschiedlich guten Grundkonfigurationen und Einstellungsmöglichkeiten ausgeliefert werden. Und ja, natürlich müssten alle Produkte schlicht schon in den Default-Einstellungen DSGVO-konform sein. Geschenkt.

Wenn die Behörden sich aber zu der Aussage hinreißen lassen, dass „kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich ist“, dann muss mindestens die Frage erlaubt sein, was genau denn da bitte geprüft wurde. Denn auch für die Prüfung „nur“ der Verträge und damit der datenschutzrechtlichen Seite des Ganzen, ist auch ein Blick auf die zu prüfende Software notwendig (oder ich hab meinen Job bisher nicht so richtig verstanden. Who knows.).

We only agree to disagree – Die Behörden sind sich eben nicht einig

Diese Bewertung wurde von der DSK „mehrheitlich zustimmend zur Kenntnis genommen„. Wie oben schon geschrieben steht, ist dies eine interessante Formulierung, die schon erahnen lässt, dass die Sach- und Rechtslage im Hinblick auf die Beurteilung wohl so eindeutig nicht ist.

Die Entscheidung der DSK erging äußert knapp. Nämlich 9:8. Das heißt, neun Aufsichtsbehörden stimmten der Wertung zu. Acht Aufsichtsbehörden konnten und wollten dieser Wertung nicht uneingeschränkt zustimmen.

Die Aufsichtsbehörden Baden-Württembergs, Bayerns, Hessens und des Saarlands stellten ausdrücklich klar, dass sie „die Bewertung des Arbeitskreises Verwaltung vom 15. Juli 2020 zwar als relevante Arbeitsgrundlage, aber noch nicht als entscheidungsreif angesehen“ haben. Eben diese Behörden brachten heute auch eine eigene Pressemitteilung heraus, in der sie das Vorstehende noch einmal betonten. Sie kritsierten unter anderem, dass eben Microsoft die Vertragsbedingungen zwischenzeitlich bereits zwei Mal überarbeitet hat und dass bisher keine förmliche Anhörung Microsoft zu den Bewertungen des Arbeitskreises erfolgt ist.

Einig sind sich die Behörden augenscheinlich (nur) dahingehend, dass Microsoft seine Produkte noch nicht zur Perfektion gebracht hat. (Okay, okay, das war nur spitz ausgedrückt.)

Und nun? – Eine weitere Arbeitsgruppe nimmt die Arbeit auf

Was sicher im Rahmen der Aufregung untergehen oder jedenfalls nicht hinreichend Beachtung finden wird, ist das die DSK einstimmig dafür votiert hat, einen neue Arbeitsgruppe unter der Führung der Aufsichtsbehörden Brandenburgs und Bayerns einzusetzen, die zeitnah mit Microft Gespräche aufnehmen soll.

Fazit

Auf Basis veralteter Vertragsdokumente und eines unklaren Prüfungsfokus ist der Arbeitskreis der DSK zu der Wertung gelangt, dass kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich ist. Dass einer solchen auf dieser Basis vorgenommenen Wertung gerade einmal neun von 17 Aufsichtsbehörden zugestimmt haben, finde ich jetzt nicht erstaunlich. Mich erstaunt viel eher, dass einer solchen pauschalen Wertung auf dieser Basis überhaupt eine Aufsichtsbehörde zugestimmt hat. (Zur Frage, ob Behörden „Produktwarnungen“ aussprechen dürfen und wenn ja, in welchen Umfang, haben wir uns schon hier auseinandergesetzt.)

Und nach all dem ist nun hoffentlich klar, dass der Einsatz von Office365 oder Microsoft365 eben nicht seit heute klar datenschutzwidrig ist.

Ebenso klar dürfte aber hoffentlich auch sein, dass man sich als Unternehmen leider (noch?) nicht darauf verlassen kann, dass die Produkte und Pläne von 365 einfach ohne jedwede Konfiguration der Grundeinstellungen oder jedenfalls die Nachprüfung dieser Konfiguration datenschutzkonform genutzt werden kann. [Sidenote: Obwohl ich letztens bei der Prüfung eines Microsoft365 Plan beinahe Bauklötze gestaunt habe, was alles per Default aus ist. Ich vermutete fast, ich sei gar nicht in einem MS-Admin-Center. ;)] Vielmehr muss ich mir als Unternehmen genau überlegen, welche Produkte und Pläne in welcher Konfiguration einen datenschutzkonformen Einsatz ermöglichen (könnten).

In diesem Sinne,

Augen auf bei dem Einsatz Ihrer Office-Software – gleich von welchem Hersteller.

 

PS: Nein, leider werde ich immer noch nicht von Microsoft für Äußerungen dieser Art bezahlt. Damn!

1 2 3 9

Diercks Digital Recht

 

Nina Diercks (M.Litt, University of Aberdeen) arbeitet seit 2010 als Rechtsanwältin. Sie führt die Anwaltskanzlei Diercks in Hamburg. Die Anwältin berät und vertritt Unternehmen bundesweit, ist jedoch ausschließlich im IT-| Medien-| Datenschutz und Arbeitsrecht tätig. Daneben steht die Nina Diercks gern und oft als Referentin auf der Bühne sowie als Interviewpartnerin und Gastautorin zur Verfügung. Dazu hat sie im Jahr 2010 diesen Blog (früher: Social Media Recht Blog) ins Leben gerufen. Mehr

Anmeldung zum Blog-Newsletter

LinkedIn

Wenn Sie an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, dann folgen Sie mir gerne auch auf LinkedIn oder stellen Sie mir eine Vernetzungsanfrage.

Bluesky

Wenn Sie nicht nur an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, sondern auch persönliche Meinungen zu Themen wie Politik, HR, Sport oder auch einfach mal Nonsense von mir lesen möchten, dann folgen Sie mir gerne auch auf Bluesky.