Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht

Tja. Man könnte sich fragen, ob sich die ganze Diskussion um Datenübermittlung in unsichere Rechtsstaat, womit in der Regel die USA gemeint sind, mit der Zeichnung der Exekutive Order von Joe Biden und dem wohl kommenden neuen Angemessenheitsbeschluss der EU-Kommission für Datenübermittlung in die USA erledigt hat.

Was? Das ging Ihnen zu schnell? Ok. Fangen wir noch mal – in aller Kürze von vorne an.

Schrems II, SVK, die Datenschutzbehörden und der risikobasierte Ansatz der DSGVO

Im Jahr 2020 erging die sogenannte Schrems-II-Entscheidung des EuGH. Mit diesem Urteil erklärte der EuGH den Angemessenheitsbeschluss »Privacy Shield« der EU-Kommission (EUKOM) i.S.d. Art. 45 DSGVO für ungültig. Damit entfiel die bis dato bestehende Rechtsgrundlage nach Art. 45 DSGVO für Datenübertragungen in die USA. Zeitgleich urteilte der EuGH über die Verwendung von sogenannten Standardvertragsklauseln (SVK) nach Art. 46 Abs. 2 c) DSGVO, die eine weitere Rechtsgrundlage zur Datenübertragung in unsichere Drittstaaten darstellen und konstatierte, dass der verantwortliche Datenexporteur in jedem Einzelfall prüfen müsse, ob das Recht des Drittlandes nach Maßgabe des EU-Rechts einen angemessenen Schutz gewährleistet. Der EuGH bezweifelte, dass die USA einen angemessenen Schutz nach Maßgabe des EU-Rechts bieten könnten.

Im Juni 2021 wurden neue Standardvertragsklauseln veröffentlich, die mit den Klauseln 14 a), b) eine solche transferspezifische und risikoorientierte Abwägung bei der Datenübermittlung vorsahen. Demnach ist unter anderem zu prüfen, welche Art von Daten übermittelt wurden, welchen Zweck die Verarbeitung hat, den Wirtschaftszweig, in dem die Übertragung erfolgt sowie die technisch und organisatorischen Maßnahmen, die bei der Verarbeitung ergriffen werden.

Der europäische Datenschutzausschuss (EDSA) negierte allerdings – ebenso wie die DSK, die Deutsche Datenschutzkonferenz – dass der risikobasierte Ansatz der DSGVO auch im Rahmen von Drittstaatentransfers zu berücksichtigen sei. Die europäischen Datenschutzbehörden vertraten die Ansicht, dass es nicht darauf ankäme, ob es sich bei den übermittelten personenbezogenen Daten um statistische Trackingdaten oder um hochsensible Gesundheitsdaten handelte und/oder wie hoch die Eintrittswahrscheinlichkeit von Risikoverwirklichungen wäre. Es sei nur zu prüfen, ob das Recht des importierenden Staat ein „angemessenes“ Schutzniveau böte.

Der geschätzte Kollege Heiko Roth und ich hielten und halten diese Auffassung schon deswegen für falsch, weil sie nicht mit der Dogmatik der DSGVO selbst in Einklang zu bringen ist. In unserem Aufsatz „Datenübermittlung in unsichere Rechtsstaaten“, ZdiW 08/2021, 313 setzen wir uns deswegen intensiv mit dem Prinzip des risikobasierten Ansatzes der DSGVO, dem Schrems -II-Urteil und eben der Datenübermittlung in unsichere Drittstaaten auf Basis der SVK nach Art. 46 Abs. 2 c) DSGVO auseinander. Wir kommen – sehr verkürzt – zu dem Ergebnis, dass die Datenübermittlung in unsichere Rechtsstaaten auch dann zulässig sein kann, wenn das Recht des Drittstaates gegebenfalls nicht in Gänze der Vorstellung der EuGH entspricht, aber das Risiko nach einer Risikoabwägung vertretbar ist. Alle Einzelheiten sind in unserem Aufsatz nachzulesen:

Den ganzen Artikel lesen.

Lang, lang, ist´s her, dass ich hier auf einen Fachaufsatz hinwies. Drum wird es Zeit, dies endlich wieder einmal zu tun. Dafür gibt es nun auch gleich zwei gute Gründe. Der Aufsatz Organisatorische Maßnahmen i.S.v. Art. 32 DSGVO – Das unterschätze „Must-Have“ eines jeden Unternehmens, der in der ZdiW bereits in der Ausgabe 01/2021 erschien, hat zum einen nichts an Aktualität eingebüßt und zum anderen ist er nun auch öffentlich auf der Seite des Wolters Kluwer Verlags, d.h. ohne Bezahlschranke, abrufbar. Und schließlich gilt besser spät als nie, oder? 😉

Zum Inhalt:

In dem Aufsatz geht es darum, wie wichtig organisatorische Maßnahmen im Sinne des Art. 32 DSGVO wie etwa Schulungen, aber vor allem auch Richtlinien und Betriebsvereinbarungen, sind, um (Haftungs-)Risiken für das verantwortliche Unternehmen im Zusammenhang mit Datenschutz-Compliance beträchtlich zu minimieren.

Was damit gemeint ist und wie genau das funktioniert, das können Sie hier nachlesen:

Ich kann nur dringend empfehlen, sich mit diesem Thema – wenn es immer noch nicht geschehen ist – zu befassen und auseinanderzusetzen. Denn: Organisatorische Maßnahmen im Sinne des Art. 32 DSGVO sind ein „Must-Have“ eines jeden verantwortlichen Unternehmerns

In diesem Sinne,

Nina Diercks

 

 

Seit 2013 ist dieser Artikel in meinem Blog feste Tradition. Und deswegen gilt: Egal wie sehr ich auf die Couch sinken möchte, bevor die Weihnachtsgeschichte nicht geschrieben ist, gibt es keine Weihnachtsruhe.

Das ChatGPT-Experiment

Um ehrlich zu sein, bin ich dieses Jahr so derart jahresendmüde (wer nicht? Bitte melden!), dass ich versucht war, diese Weihnachtsgeschichte einfach von ChatGPT von OpenAI schreiben zu lassen. Aber was soll ich sagen?! So weit ist diese KI dann natürlich wieder nicht. Klar, das Ding kann mir eine Weihnachtsgeschichte schreiben, auch basierend auf meinen alten Geschichten. Dann haben wir aber den 22. Dezember 2023 (sic!), ich wohne in Berlin (äh, nein), es ist eiskalt draußen (ha, ha, 9 Grad) und es schneit (bei 9 Grad, cool.). Des Weiteren herrschen offensichtlich immer noch Pandemie-Regeln. Ich darf nämlich nicht raus und habe noch dazu meine Freunde und die Familie in den letzten Jahren nur selten gesehen. Die Einsamkeit führt dabei offensichtlich dazu, dass mein Schreibstil zu dem eines Möchtegern-Achtsamkeits-Influencers auf Instagram wurde:

Ich schüttele den Kopf und versuche, mich wieder auf das Hier und Jetzt zu konzentrieren. Ich blicke hinaus auf den schneebedeckten Garten und spüre, wie die Stille und Schönheit der Landschaft mich beruhigen. In diesem Moment scheint alles andere unwichtig zu sein und ich kann für einen Moment loslassen.

Ich denke daran, wie selten wir hier Schnee haben und wie dankbar ich dafür bin, dass ich in diesem Augenblick das Schöne um mich herum wahrnehmen kann. Ich nehme es als Zeichen, dass in der Welt immer noch Schönheit und Gutes existieren, auch wenn manchmal alles schwer erscheint.

Kurzum, wer mich kennt oder auch schon mehr als einen Text von mir gelesen hat, lacht jetzt herzlich und weiß, dass das Experiment spätestens an dieser Stelle gescheitert ist.

Das Fazit dieses Experiments ist zwar, dass ich diesen Text jetzt doch selbst schreiben muss. Mist! Aber zugleich heißt das wohl auch, dass mein Schreibstil nicht so schnell von einer KI ersetzt werden kann. Phew! (Sie dürfen sich jetzt schmunzelnd überlegen, ob er nicht kopiert wird, weil er so grottenschlecht oder eben doch zu einzigartig ist. *hust)

Zur Sicherheit hab ich noch ein zweites Experiment gemacht und geprüft, ob ich 2023 überhaupt noch selbst arbeiten muss oder alles in die Hände dieser hochgelobten „KI“ legen kann. Die Antwort lautet: Ich muss wohl doch noch selber arbeiten. Denn als ich drum bat, mir den Unterschied zwischen Auftragsverarbeitung und Gemeinsamer Verantwortung zu erklären, bekam ich einen wunderschönen Text frei nach dem Motto „Du redest laut, doch Du sagst gar nichts!“. Tja.

Der russische Krieg in der Ukraine und die guten Nachrichten in der Welt.

Damit liegt am Ende des Jahres immerhin eine gute Nachricht vor mir: Ich werde wohl doch nicht so schnell von einem Algorithmus ersetzt. Hurra! Das muss schon fast gefeiert werden. Denn im großen und ganzen hielt auch dieses Jahr wieder keine guten Nachrichten bereit. Im Gegenteil. Nach dem ich Ende 2021 hoffnungsvoll auf das neue Licht des neuen Jahres blickte, holte uns alle die neue Realtität am 24. Februar ein. Der russische Angriffskrieg in der Ukraine begann. Halt nein,  falsch. Schließlich begann alles bereits schon 2014 mit der rechtswidrigen Annektierung der Krim. Ich muss aber gestehen, dass ich mich damals zu wenig mit der Thematik auseinandersetzte. Wie so viele. Zu viele. Das Ergebnis wurde uns am 24. Februar präsentiert. Putin glaubte, die Ukraine in einem Blitzkrieg nehmen zu können und dass „der Westen“ aka die EU und NATO untätig daneben sitzen würden. Beide Annahmen Putins stellten sich als grundfalsch heraus. Die Ukrainer*innen haben 30 Jahre lang Freiheit gelebt und gelernt (Ich empfehle dazu ganz unbedingt das Buch „The Fight of our Lives“ von Julia Mendel) und herzlich wenig Lust, das wieder aufzugeben. EU und NATO verbleiben nicht am Zuschauerschauerrand. Sie sind in und anhand dieser Frage wieder wesentlich dichter zusammengerückt. Deutschland benimmt sich zwar weiterhin wie ein Teenager, der einfach nicht glauben will, dass der gute Onkel Walter gar kein netter Typ ist. Der handelt zwar mit Waffen und Drogen handelt und hält Mord und Vergewaltigungen für probate Mittel zur Durchsetzung von Handelsinteressen hält, aber der Teenager sagt weiterhin „In seinem Herzen ist das ein guter Mensch! Der wird noch einsehen, dass er so nicht weitermachen kann! Und guck mal, wenn wir den jetzt polizeilich verfolgen, dann legt er die ganze Stadt in Schutt Asche!“. Aber bevor ich mich an dieser Stelle vergaloppiere, Sie über Seiten meine Anaylse zur deutschen Sicherheitspolitik lesen müssen, um anschließend über einen Vergleich mit der Gesundheits- und Klimapolitik dazu zu kommen, dass evidenzbasiertes, wissenschaftsgeleitetes, informiertes politisches Handeln leider aufgrund Kompromissititis deutscher Verwaltungspolitik in Kombination mit Populismus und False Balance leider scheinbar ausgestorben ist, kommen wir zurück auf die guten Seiten dieser furchtbaren Situation:

Die EU und NATO (über die Türkei und auch Ungarn möchte ich in dem Zusammenhang grundsätzlich den Mantel des Schweigens breiten) sind dichter zusammengerückt. Dem Grunde nach besteht Einigkeit wie mit Putin, Russland, der von Korruption zerfressenen Armee und der ebenfalls durch Korruption, Propaganda, Armut und den Förderalen Dienst für Sicherheit zerschlagenen (nie entstandenen) Zivilgesellschaft umzugehen ist: Die Unterstützung der Ukraine wird als ureigenes Sicherheitsinteresse betrachtet. Das ist gut. Sehr gut sogar. Im Einzelnen könnte man nun zu Kritik noch und nöcher an der NATO, der EU der Außen- wie Innenpolitik einzelner Mitgliedstaaten ansetzen. Das tun aber andere zur Genüge und das vor allem noch viel besser. Dazu soll hier jetzt die Konzentration auf das Gute weitergehen:

Kommt genügend Druck von außen, geht es auch mit der Energiewende voran. Kaum wird Strom, Öl und Gas knapp, schon explodieren die Solarzellen auf den privaten Dächern und der Ausbau regenerative Energien erhält den politischen Stellenwert, den er schon seit mindestens zwei Jahrzehnten aufgrund der kaum mehr abwendbaren Klimakatastrophe haben müsste.

Die Midterms in den USA waren keine rote Hochzeit. Mehr ein blaues Fest. Okaaaay, es war kein rauschendes blaues Fest. Aber gemessen an dem, was erwartet wurde, sehr wohl ein Fest.

Und gerade erst hat President Biden President Zelenskyy im Weißen Haus empfangen, in den Kongress geladen und weitere (militärische) Unterstützung im Wert von rund 1,7 Milliarden Euro zugesagt.

Es ist nicht alles schlecht. Wenn man das Gute sucht, dann kann man es finden. Und ich denke, dass sollten wir alle öfter tun. Schlechte Nachrichten rezipieren und Doom-Scrolling betreiben, machen wir alle wohl zur Genüge.

Wie im Großen so im Kleinen

Regelmäßig ärgern wir uns über den tropfende Wasserhahn, die fehlgeschlagene Lieferung oder der vergessene Zahnarzttermin und haben das Gefühl, das nichts funktioniert. Im Vergleich zu anderen Problemen sind es keine. Es nervt aber trotzdem. Und das darf es auch. Zumal, wenn das eigene Nervenkostüm von knapp drei Jahren Pandemie und nun auch noch Krieg in der unmittelbaren Nachbarschaft schon sehr strapaziert ist. Und es darf auch nerven. Genervt hat hier bei mir konkret die Renovierung von großen Teilen der Wohnung. Nach 10 Jahren ist so was einfach mal nötig. Wie so ein leckender Wasserhahn eben. Aber Uff. Ächz. Nee, mir bringt das keinen Spaß. Null. Nada. Ich freu mich aber darüber, dass es jetzt alles wieder schön ist. Nein, schöner. Also, ist wohl auch an dem gefühlt ewigen Rumgeräume nun nicht alles schlecht gewesen. Ebenso ist es herrlich wenn ein tropfender Wasserhahn nicht mehr tropft!

Beruflich erhielt ich im Herbst wirklich keine schönen Nachrichten: Meine/unsere langjährige Assistentin kündigte. Das Theater, ihre große Liebe, rief sie als Assistenz der Geschäftsführung eines großen Hamburger Theaters, zurück. Ich wusste, da hab ich keine Chance. Doch auch hier kamen zu den schlechten Nachrichten innerhalb von nur 3,5 Wochen gute Nachrichten. Wir haben nicht nur eine kluge, humorvolle und patente Kollegin gefunden, die ab Januar die Büroorganisation übernimmt und uns den Rücken freihält, nein, mit ihr kommt auch noch ein Hund ins Büro:

Wer könnte diesem Blick widerstehen?! Ich gehe davon aus, dass die kleine Dackelhündin binnen kürzester Zeit zur Chefin der Kanzlei wird. Unser bisherige Assistentin ist dazu nicht aus der Welt, sondern wird als Ehrenmitglied der Kanzlei weiterhin die Verpflichtung haben, dann und wann zum Kaffee zu erscheinen.

Soweit kann ich für mich persönlich wie beruflich sagen: Ende gut. Alles gut. Klar, es geht alles noch besser, höher, schneller und weiter. So wollte ich dieses Jahr eigentlich wieder regelmäßiger Bloggen. Das hat nicht funktioniert. Zu viel Arbeit.* Zu wenig Kapazitäten und Ruhe für meinen Blog. Und, um ehrlich zu sein auch nicht mehr die Muße – wie noch vor 10 Jahren – mir die Nächte für den nächsten Blogartikel um die Ohren zu schlagen. Ich bin inzwischen alt und brauche meinen Schlaf. Oder die Zeit für die Turnhalle. Zur Dekompensation allen Wahnsinns. Man wird eben nicht jünger. Das ist aber auch okay.

*Danke

„Zu viel Arbeit“. Das klingt so als sei es eine Beschwerde. Nein, das ist es wahrlich nicht. Die Arbeit mit den Mandanten, auf den Mandaten und mit meinen Kolleginnen in der Kanzlei bereitet mir weiter einfach Freude. Ich möchte das nicht missen. Deswegen wieder einmal ein großer Dank an all diejenigen, die uns ihre Arbeit anvertrauen. Wir freuens uns auf 2023 mit Ihnen!

Und 2023?

Da wird alles besser! Auf jeden Fall lerne ich endlich, mich nicht mehr dahingehend selbst zu beschubsen, dass ich „gar nicht so viel arbeite“, um dann bei einem Blick auf die geleistete Arbeit festzustellen, dass das irgendwie alles gar nicht so wenig gewesen sein kann. Ist man mit Anfang 40 noch lernfähig? Ich bitte um Zuschriften. Aber nur positive!

Für postive Nachrichten in der Welt schauen Sie bitte einfach regelmäßig bei Good News vorbei. Dort gibt es, ganz überraschend, wie der Name schon sagt, nur gute Nachrichten. Denn die Welt ist eben gar nicht so schlecht.

Vor 2023 kommt aber noch Weihnachten!

Richtig. Und das werde ich, nach dem ich gleich, in vollen Zügen genießen. Ich wünsche Ihnen wundervolle Weihnachtstage und hoffe, dass Sie Zeit haben, diese kleine Auszeit mit Familie und/oder freunden zu genießen und ein wenig durchzuatmen bevor das neue Jahr dann seine Tore weit aufreißt. Ich verabschiede mit Frank Sinatra, Santa Claus is coming Home und dem festen Glauben, dass es genauso aussieht:

You better watch out, you better not cry
You better not pout, I′m telling you why
Santa Claus is coming to town

He’s making a list and checking it twice
He′s gonna find out who’s naughty and nice

He’s making a list and checking it twice
He′s gonna find out who’s naughty and nice

He knows if you′ve been bad or good
So be good for goodness‘ sake

In diesem Sinne,

Frohe Weihnachten & kommen Sie gut ins neue Jahr!

Die CNIL, die französische Aufsichtsbehörde, hat sich am 7.6.2022 noch einmal zu Google Analytics und der Datenübertragung in Drittstaaten geäußert. Ja, 7.6., es ist mir aber erst heute durch den ZD-Newsletter aufgefallen. (Danke dafür!)

In ihrem Beitrag legt die CNIL dar, dass sie mehrere Beschwerden zur Nutzung von Google Analytics auf Webseiten französischer Unternehmen auf dem Tisch hatte. Sie habe das geprüft und sei der Ansicht, dass die “Verwendung von Google Analytics in der derzeitigen Form zu unzureichend geregelten Übermittlungen in die USA führe”.  Dabei lässt die CNIL leider offen, was “die derzeitige Form” war, ob es also um Google Analytics 4 (aktuelle Version, die IP-Adresse wird nicht in Analytics erfasst) oder um die ältere Fassung, Universal Analytics ging, bei der man selbst entscheiden muss, ob die IP-Adresse anonymisiert wird. Ist aber auch nicht weiter wichtig, denn: Alles schlimm mit der Übertragung der IP-Adresse in einen Drittstaat.

Den ganzen Artikel lesen.

1 2 3 4 36

Diercks Digital Recht

 

Nina Diercks (M.Litt, University of Aberdeen) arbeitet seit 2010 als Rechtsanwältin. Sie führt die Anwaltskanzlei Diercks in Hamburg. Die Anwältin berät und vertritt Unternehmen bundesweit, ist jedoch ausschließlich im IT-| Medien-| Datenschutz und Arbeitsrecht tätig. Daneben steht die Nina Diercks gern und oft als Referentin auf der Bühne sowie als Interviewpartnerin und Gastautorin zur Verfügung. Dazu hat sie im Jahr 2010 diesen Blog (früher: Social Media Recht Blog) ins Leben gerufen. Mehr

Anmeldung zum Blog-Newsletter

LinkedIn

Wenn Sie an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, dann folgen Sie mir gerne auch auf LinkedIn oder stellen Sie mir eine Vernetzungsanfrage.

Bluesky

Wenn Sie nicht nur an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, sondern auch persönliche Meinungen zu Themen wie Politik, HR, Sport oder auch einfach mal Nonsense von mir lesen möchten, dann folgen Sie mir gerne auch auf Bluesky.