von Marina Steenbergen | Jun 9, 2021 | Datenschutz
Weiterverwendungen, gemeinsame Nutzungen und Datenaltruismus – Mit diesen Stichworten möchte die EU-Kommission nach dem aktuellen Entwurf des Data Governance Act (DGA) als Teil ihrer europäischen Datenstrategie europaweit die Nutzung von Daten antreiben und deren Verfügbarkeit fördern.
Während mit dem Digital Markets Act (DMA) vor allem wettbewerbs- und kartellrechtliche Ebenheiten geschaffen und große Datenmonopole aufgebrochen werden sollen, möchte die EU mit dem aktuellen Stand des Data Governance Act einen Binnenmarkt für Daten schaffen und bisherige Hürden der Datennutzung überwinden. Damit reiht sich der Data Governance Act nahtlos in die Digitalstrategie der EU ein.
Gegenstand und zentraler Regulierungsinhalt des Data Governance Act
Der Data Governance Act findet auf drei Bereiche Anwendung:
- Die Weiterverwendung von Daten öffentlicher Stellen innerhalb der EU für kommerzielle und nicht-kommerzielle Zwecke,
- die gemeinsame Datennutzung verschiedener Unternehmen durch Vermittlungsdienste und Datengenossenschaften und
, - die Förderung von Datenaltruismus durch eingetragene datenaltruistische Organisationen.
1. Nutzung von Daten öffentlicher Stellen
Der erste Regelungsgegenstand des DGA soll Bedingungen für die Weiterverwendung von Daten schaffen, die sich in der Inhaberschaft öffentlicher Stellen befinden und rechtlich geschützt sind, z.B. als geistiges Eigentum.
Unter öffentliche Stellen fasst der DGA alle staatlichen Einrichtungen, Verbände und Einrichtungen des öffentlichen Rechts, die ihre Tätigkeit im allgemeinen Interesse und unkommerziell ausüben, mit Ausnahme von Rundfunkanstalten sowie Kultur- und Bildungseinrichtungen.
Wann liegt eine Weiterverwendung vor und welche Bedingungen bestehen?
Eine Weiterverwendung liegt vor, wenn die Daten zu einem anderen Zweck als dem ursprünglichen Erhebungszweck genutzt werden sollen.
Neben den bereits bestehenden Regelungen der DSGVO stellt Artikel 5 DGA jedoch zusätzliche Anforderungen an die öffentlichen Stellen, um die Weiterverarbeitung rechtmäßig zu gestalten. Besonders grundlegend sind folgende Regelungen:
- die Pflicht, Zugangsbedingungen zu veröffentlichen (Art. 5 Abs. 1) und diese transparent, einsichtig, verhältnismäßig und fair zu halten (Art. 5 Abs. 2),
- die Möglichkeit, Ergebnisse der Weiterverwendung zu prüfen (Art. 5 Abs. 5), oder
- eine allgemeine Unterstützungspflicht bei der Einholung von Einwilligungserklärungen im Sinne der DSGVO (Art. 5 Abs. 6).
Weiterverwendungen in Drittstaaten
Auch die Weiterverwendungen in Drittstaaten wird vom Entwurf thematisiert, wobei klare Parallelen zu den Regelungen zu Verarbeitungen in Drittstaaten nach der DSGVO erkennbar sind: Jede Weiterverwendung muss von der durchführenden Partei der öffentlichen Stelle mitgeteilt werden, damit Dateninhaber über die Übermittlung in einen Drittstaat informiert werden können.
2. Gemeinsame Datennutzung
Von größter Bedeutung für die geplante Datenwirtschaft dürfte vor allem das dritte Kapitel des Entwurfs sein: die gemeinsame Datennutzung.
Hierbei beabsichtigt die Kommission, durch eine gemeinschaftliche oder individuelle Nutzung bereits vorhandener Datensätze den Austausch von und Zugang zu Daten innerhalb der EU zu erleichtern. Unternehmen und Nutzer sollen die Möglichkeit erhalten, durch einen geregelten Datenaustausch Zugriff auf für sie relevante Daten zu erhalten und diese z.B. kommerziell zu nutzen.
Unterschiedliche Akteure
Der Entwurf teilt solche Unternehmen in zwei verschiedene Arten: Den Vermittlungsdiensten (sogenannte Datenmittler) und Datengenossenschaften. Beide verfolgen einen Erwerbszweck und müssen im Mitgliedstaat der Hauptniederlassung bei einer zuständigen Behörde angemeldet werden. Sie richten sich aber an unterschiedliche Nutzerkreise.
Datenmittler
Datenmittler stellen gegen Entgelt rechtliche, geschäftliche und technische Beziehungen zwischen Dateninhabern und potenziellen Datennutzern her. Sie unterstützen Interessierte damit bei der Suche nach einem geeigneten Dateninhaber, bei der Aufklärung der damit verbundenen Pflichten und Bedingungen und schließlich bei der Übertragung der Daten.
Lizenzierungen, Datenaufbereitung oder reine Datenübermittlung fallen nicht unter die Tätigkeit der Datenmittler, da keine direkte Beziehung mit dem Dateninhaber geschaffen wird. Entsprechend stellen z.B. Cloud-Dienste keine Datenmittler dar.
Datenmittler können ihre Beratungsdienste auch privaten Einzelpersonen anbieten und werden dann als eine besondere Kategorie von Datenmittlern angesehen.
Datengenossenschaften
Datengenossenschaften bieten ihre Dienstleistungen nicht einem offenen Nutzerkreis an, sondern richten sich ausschließlich an Einzelpersonen, Selbstständige sowie kleine und mittlere Unternehmen (KMU).
Ziel der Genossenschaften ist es, die Positionen der Dateninhaber zu stärken, indem sie ihre Mitglieder und Interessierte über die Abgabe von Einwilligungserklärungen informieren, Geschäftsbedingungen zur Übermittlung mit Datenorganisationen aushandeln oder Konflikte lösen.
Bedingungen und Pflichten
Wie auch zur Weiterverwendung der Daten öffentlicher Stellen, stellt der Entwurf auch an die gemeinsame Datennutzung Anforderungen, die neben denen der DSGVO eingehalten werden müssen, u.a.:
- Zwingende Datenneutralität und Erweiterung des Zweckbindungsgrundsatzes (bereitgestellte Daten dürfen nicht für Eigenzwecke genutzt werden)
- Metadaten dürfen nur für die Entwicklung der Bereitstellungsdienste genutzt werden
- Faire und transparente Datenzugänge
- Garantie eines kontinuierlichen Echtzeitzugangs für Mitglieder und Akteure
3. Datenaltruismus – Preisgabe für das Allgemeinwohl
Datenaltruismus stellt die uneigennützige, freiwillige Bereitstellung von Daten dar. Dabei geben sowohl Privatpersonen als auch juristische Personen wie Unternehmen ihre Daten zur unentgeltlichen Nutzung an Organisationen frei, die diese für wissenschaftliche Forschungen oder der Verbesserung öffentlicher Dienstleistungen nutzen können. Es handelt sich also um eine Art „Datenspende“, die dem Allgemeininteresse zugutekommen soll. Die Kommission erhofft sich hiervon die Schaffung eines unionsweiten, freien Datenarchivs.
Anmeldungserfordernis
Wie auch Vermittlungsdienste müssen sich datenaltruistische Organisationen als solche unionsweit registrieren, indem sie sich bei der Behörde in dem Mitgliedstaat der Hauptniederlassung anmelden. Dazu muss das Unternehmen
- eine eigene Rechtspersönlichkeit vorweisen und im Allgemeininteresse handeln, z.B. als eingetragener Verein,
- nicht erwerbstätig handeln und die Einnahmequellen der Kommission vorweisen können und
- die altruistische Tätigkeit über eine rechtlich unabhängige Struktur ausüben, ohne, dass etwa eine Muttergesellschaft die Tätigkeiten lenkt.
Transparenzgebot und Aufzeichnungspflichten
Wie auch Datenmittler oder Genossenschaften müssen solche Organisationen die ihnen übertragenen Daten ausreichend schützen. Hieraus ergibt sich unter anderem:
- eine Aufzeichnungspflicht über die genauen Tätigkeiten,
- eine Verzeichnungspflicht über die Erhebung von Verwaltungskosten für die Bereitstellung von Daten,
- die Ausarbeitung eines Jährlichen Tätigkeitsberichts oder
- eine Aufklärungspflicht gegenüber allen Dateninhabern über den Zweck des Allgemeininteresses sowie möglichen Verarbeitungen in ein Drittland.
Die Pflichten gelten auch für nicht-personenbezogene Daten und gehen somit über den Anwendungsbereich der DSGVO hinaus.
Einführung eines europäischen Einwilligungsformulars
Für den Betrieb von Datenaltruismus-Diensten ist zwingend eine DSGVO-konforme Einwilligung einzuholen.
Hierfür plant die Kommission die Einführung eines modularen und anpassbaren Einwilligungsformulars für Datenaltruismus. Das Formular soll die Möglichkeit bieten, die Einwilligung nur für einen konkreten Zweck oder eine Reihe von Zwecken bzw. einem ganzen Forschungsbereich zu erteilen.
Zusammenfassung und Erstbewertung
Der jetzige Entwurf des Data Governance Act sieht mit den drei verschiedenen Regelungsgegenständen eine weitreichende und neue Nutzung von Daten vor. Eine gezielte Förderung der Weiterverbreitung und Nutzung von Daten könnte nicht nur Forschungen vorantreiben, sondern auch kleinere und mittelständische Unternehmen bei der Produktinnovation unterstützen und den Marktzugang erleichtern.
Gleichzeitig enthält der Entwurf auch noch vage und abstrakte Konzepte, wobei sich konkret die Frage stellt, welche Relevanz das Ganze in der Praxis tatsächlich haben wird.
So wird etwa nicht deutlich, mit welchen Anreizen das Prinzip des Datenaltruismus vorangetrieben werden soll. Der Gesetzgeber sieht im aktuellen Entwurf keine Privilegien für Dateninhaber oder altruistische Organisationen vor.
Ähnliches gilt auch für die gemeinsame Datennutzung. Dieser Begriff wird vom aktuellen Entwurf wenig ausgeführt. Auch hier bleibt offen, wie groß das tatsächliche Nutzungspotential ist.
In Frage gestellt werden kann auch, ob der Entwurf nicht mehr Sicherheitsmaßnahmen hätte aufweisen müssen. Schließlich sollen neue Akteure zu unterschiedlichen Zwecken aus unterschiedlichen Beweggründen einen erleichterten Zugriff auf (personenbezogene) Daten erhalten.
Ausblick
Da es sich um einen ersten Entwurf handelt, sind kleinere Änderungen und Anpassungen zu erwarten. Insgesamt ist der Entwurf jedoch bereits ausgereift und durchdacht. Demnach kann damit gerechnet werden, dass der Entwurf im Wesentlichen Anwendung finden wird. Für Unternehmen es ratsam, sich mit dem Entwurf auseinanderzusetzen.
Diese Artikel könnten Sie auch interessieren:
Digital Markets Act – Die neuen Regeln der Datenwirtschaft – Aktueller Stand
ePrivacy-Verordnung: aktueller Stand und Ausblick (Update – Juni 2021)
Sie haben Fragen zum Data Governance Act oder Allgemein? Kontaktieren Sie uns über das Kontaktformular.
von Jörn Hedderich | Apr 6, 2021 | Datenschutz
In der Datenschutzberatung ist es häufig gelebte Praxis, dass Positionen der deutschen Datenschutz-Aufsichtsbehörden in der Beratung und der unternehmerischen Positionsfindung übernommen werden. Diese Praxis ist jedoch nicht immer angemessen, wir erklären, wie der richtige Umgang mit Datenschutzaufsichtsbehörden aussehen kann.
1 Die Aufsichtsbehörden sind Teil der Exekutive
Und dies ist schon Grund genug, nicht uneingeschränkt auf diese zu hören. Das letzte Wort in der datenschutzrechtlichen Auslegung obliegt den Gerichten (der Judikative) und diese Gewaltenteilung existiert aus guten Gründen. Darüber hinaus ist es verwunderlich, wie häufig Stellungnahmen und Positionen der Exekutive in der Praxis Einfluss auf die Beratung von Unternehmen und Unternehmensführung finden, ohne dass dies entsprechend eingeordnet und reflektiert wird.
Um der Verwunderung dieser gelebten Praxis weiter zu verdeutlichen, reicht ein Blick in andere Rechtsgebiete; im Strafrecht wäre ein Strafverteidiger, welcher seine Mandanten anhand der Rechtsauslegung der Polizei berät, nicht nur nicht haltbar. Schauen wir auf ein vergleichbares Umfeld, nämlich im Bankenrecht, ist es Standard und üblich, den Aufsichtsbehörden Stellungnahmen entgegenzuhalten und in die Diskussion zu treten. Nur, wenn solche Mittel zur Verfügung stehen, kann der richtige Umgang mit Datenschutzaufsichtsbehörden entstehen.
2 Politische Motivation und fehlende Rechtsdurchsetzung
Die Aufsichtsbehörden sind nach Art. 52 DSGVO unabhängig und weisungsfrei, dies bedeutet aber nicht, dass die Aufsichtsbehörden keine politisch motivierten Entscheidungen treffen.
Ein Musterbeispiel hierfür ist die irische Aufsichtsbehörde, deren Auslegung der Datenschutzgesetze mit Blick auf Facebook und Co. zwar sehr gute Wirtschaftsförderung für den Standort ist, aber ebenfalls eine ungenügende Ausübung der eigenen Aufgaben darstellt.
Für die deutschen Aufsichtsbehörden verhält sich dies nicht maßgeblich anders, weiterhin setzten diese weder das Schrems II Urteil (EuGH, Urteil vom 16. Juli 2020, C-311/18) noch das Planet49 Urteil (EuGH, Urteil vom 1. Oktober 2019, C-673/17) konsequent durch, obwohl dies Teil ihrer Aufgaben ist.
Dies mag aus Unternehmenssicht erfreulich scheinen, weil in beiden Fällen der Gesetzgeber nacharbeiten müsste; andererseits ist dies ein weiteres Indiz dafür, dass die Positionen der Aufsichtsbehörden nicht (immer) Deckungsgleich mit der geltenden, höchstrichterlichen Rechtsprechung sind. Das führt im Ergebnis zu einer hohen Rechtsunsicherheit für die Unternehmen, die ihr Verhalten und ihre Prozesse zur Datenverarbeitung nicht zwischen diesen Stühlen einrichten können, sondern klare Regeln benötigen.
Allein dadurch sind Unternehmen und Datenschützer angehalten, eine eigene Position zu entwickeln, ansonsten ist der richtige Umgang mit Datenschutzaufsichtsbehörden nicht möglich.
3 Die Professionalisierung der Aufsichtsbehörden ist noch nicht abgeschlossen
Die Aufsichtsbehörden befinden sich weiterhin im Aufbau. Dies soll keine Kritik an den Behörden selbst sein, im Gegenteil. Die deutschen Aufsichtsbehörden demonstrieren meist sowohl Kompetenz und gesundes Augenmaß. Das allein reicht aber für eine funktionierende und ernstzunehmende Aufsicht nicht aus.
Die Aufsichtsbehörden sind einerseits unterbesetzt und unterfinanziert und andererseits untereinander in zentralen Fragen häufig nicht einig [1].
Ein maßgebliches Ziel der Datenschutzgrundverordnung war die Schaffung eines einheitlichen, europäischen Rechtsrahmens und somit ein einheitliches Datenschutzniveau und Rechtssicherheit für europäische Bürger und Unternehmen. Gemessen an diesem Ziel ist es kontraproduktiv, dass sich die Bewertungen bestimmter Sachverhalte durch Aufsichtsbehörden teilweise aufgrund der Grenzen der Bundesländer unterscheiden und bereits hierdurch für Digitalisierungsvorhaben ein ungenügender Gradmesser sind.
Und weil die Aufsichtsbehörden in Deutschland das wissen, versuchen diese ihr Vorgehen dem Föderalismus zum Trotz abzustimmen und zu vereinheitlichen. Das Gremium das hierfür verantwortlich ist, ist die Datenschutzkonferenz (DSK), in der sich die 16 Landesbehörden zusammen mit der Bundesbehörde regelmäßig verständigen. Wie dies funktioniert, kann man an der Positionsfindung zum „Schrems II-Urteil“ nachvollziehen, das am 16. Juli 2020 gefallen ist. Hierzu die Auszüge der Protokolle der DSK (Datum beachten).
Protokoll vom 29. Sept. 2020 TOP 5 (Sitzung vom 22 Sept.):
„Die Datenschutzkonferenz richtet eine Task Force „Schrems II“ ein …Aufgabe dieser TaskForce ist es, zum einen eine Strategie sowie konkrete Vorschläge für ein gemeinsames Vorgehen der deutschen Aufsichtsbehörden zur Umsetzung des EuGH-Urteils „Schrems II“ zu erarbeiten …“.
[2] https://www.datenschutzkonferenz-online.de/media/pr/20201030_protokoll_3_zwischenkonferenz.pdf
Protokoll vom 14. Januar 2021 TOP (Sitzung vom 25 und 26. November)
„Die Task Force habe bisher einmal getagt und habe den Aufgabenbereich definiert… Es wird vorgeschlagen, hinsichtlich der Rechtssituation in den USA ein Gutachten zu beauftragen…. Der DSK-Vorsitz wird gebeten, ein Umlaufverfahren hinsichtlich der Beauftragung eines Gut-achtens sowie dessen Finanzierung einzuleiten.“
[3] https://www.datenschutzkonferenz-online.de/media/pr/20210203_%2020201030_protokoll_100_100.pdf
Mit viel Glück gibt es nach aktuellem Verlauf bis zum Jahrestag der Urteilsverkündung eine einheitliche deutsche Position, zu einem der wichtigsten Urteile seit der Einführung der Datenschutzgrundverordnung.
4 Ein einheitliches Datenschutzrecht existiert noch nicht lange
Obwohl das Datenschutzrecht in Deutschland schon seit den 60ern eine lange Tradition hat, besteht erst seit der DSGVO ein europaweit einheitliches Datenschutzrecht. Die Datenschutzrichtlinie von 1995 war für eine solche Harmonisierung nicht geeignet. Das führt dazu, dass sich die Rechtsprechung zur DSGVO noch bilden muss; die ersten Grundsatzurteile sind zwar bereits gefallen, im Vergleich zu anderen Rechtsgebieten mit jahrzehntelanger, europäischer Rechtstradition, ist das einheitliche Datenschutzrecht noch jung.
Zentrale Begriffe im Datenschutzrecht, wie z.B. der der Übermittlung, sind noch weitgehend unbestimmt und für die Praxis bisher nur bedingt brauchbar.
Was heißt das? Dass die Datenschutzbehörden an vielen Stellen nur so schlau sind wie jeder andere auch, zumal die Definitionen des europäischen Datenschutzrechts nicht nur mit diesen, sondern eben auch gegen diese erfolgt, wie z.B. im Bereich der Bußgelder (Vgl. LG Bonn, Urteil vom 11.11.2020, 29 OWi 1/20).
Im Ergebnis heißt dies für Unternehmen, dass man durchaus der eigenen Expertise bzw. der Expertise der eigenen Fachleute vertrauen und eigene Positionen entwickeln darf und sogar muss. Dies bedeutet nicht, dass die Positionierung der Aufsichtsbehörden nicht wichtig sind, im Gegenteil. Die Stellungnahmen und Bewertungen der Datenschutzbehörden sind relevant und bedeutsam für die Mit-Entwicklung geeigneter Maßstäbe für die Erhöhung und Sicherung des Datenschutzes und der Datensicherheit. Wirkliche Unabhängigkeit von politischen Fragestellungen und mehr Kooperation wären hier angebracht. Doch trotz dieser Bedeutung sollten Äußerungen von Datenschutzbehörden auch kritisch hinterfragt werden und nicht „plump“ umgesetzt.
Den Aufsichtsbehörden muss man gut zuhören und das Gesagte in die eigene Risikobewertung mit einbeziehen, doch dies sollte nie ohne eine kritische Einordnung erfolgen. Unter Beachtung dieser Grundsätze ist der richtige Umgang mit Datenschutzaufsichtsbehörden möglich.
[1] U.a. gab es hier unter Aufsichtsbehörden lange Zeit unterschiedliche Auffassungen darüber, für die Steuerberatung eine Auftragsverarbeitungsvertrag notwendig ist. (Vgl. Hanses-Oest, Online abgerufen am 13.03.2021; https://www.datenschutz-guru.de/steuerberater-sind-keine-auftragsverarbeiter/
von Danilo Terrasi | Okt 14, 2020 | Datenschutz
Mitarbeit: Ricardo Moschetta und Marina Steenbergen.
Fast ein Jahr ist vergangen, seit das EU-US Privacy Shield durch das Schrems-II-Urteil vom EuGH gekippt worden ist. Seitdem mussten sowohl Unternehmen als auch die EU nach Lösungen suchen, um Datenübermittlungen in die USA weiterhin so datenschutzkonform wie möglich zu gestalten, unter anderem mit den sogenannten EU-Standardvertragsklauseln. Im folgenden Beitrag zeigen wir die aktuellen Entwicklungen rund um den Privacy Shield auf.
Neue Standardvertragsklauseln
Neue Standardvertragsklauseln wurden nun Anfang Juni 2021 von der EU-Kommission veröffentlicht und müssen bis zum Ende der Schonfrist, dem 22.12.2022, von den Unternehmen für Datentransfers in die USA genutzt werden.
Dazu setzt die EU auf einen modularen Aufbau, wonach unterschiedliche Anforderungen je nach Beziehungsart der Übermittler gelten:
- Verantwortliche an Verantwortliche (controller to controller)
- Verantwortliche an Auftragsverarbeiter (controller to processor)
- Auftragsverarbeiter an Auftragsverarbeiter (processor to processor)
- Auftragsverarbeiter and Verantwortliche (processor to controller)
Zudem wurden Anforderungen, die sich aus dem Schrems-II Urteil ergeben, mit neuen Klauseln verbindlich gemacht. Dabei bildet der Schwerpunkt die Zusicherung der Datenexporteure, sich über die Maßnahmen der Importeure vor der Übermittlung zu informieren, sodass unter anderem festgestellt werden muss, welche Auswirkungen die Rechtsvorschriften und Gepflogenheiten des Drittlands auf die Übertragung haben, bzw. ob diese gegen die vorbehaltlichen Garantien nach Art. 46 DSGVO sprechen. [1]
Andernfalls müssten, so laut der Datenschutzkonferenz (DSK), weitere technische Maßnahmen ergriffen werden, welche jedoch innerhalb der neuen Klauseln nicht weiter ausgeführt werden. [2]
Zusammengefasst lassen die neuen Standardvertragsklauseln jedoch viele Fragen noch unbeantwortet.
Kommt nun das Privacy-Shield 2.0?
Viele Stimmen fordern daher ein neues Privacy-Shield, um den Datenaustausch in die USA rechtssicher zu ermöglichen. Und dies könnte möglicherweise bald zur Realität werden:
Nachdem die Kommission bereits einen Angemessenheitsbeschluss für den Datenaustausch in die UK getroffen hat,[3] wurde nun auf Seiten der USA durch Christoper Hoff versichert, dass sich die Verhandlungen zu einem neuen Privacy Shield nicht erst am Anfang befinden würden, sondern man aktiv nach einer Lösung suche. [4]
Ebenfalls positiv hat sich nun auch der Europäische Kommissar für Justiz und Rechtsstaatlichkeit, Herr Didier Reynders, zur Entwicklung eines Privacy-Shields 2.0 geäußert, mit der Aussicht, es könne bereits zum Ende dieses Jahrs noch eine Einigung geben.[5] Hoffnung versprachen sich manche auch vom diesjährigen G7-Gipfel in Cornwall. Der veröffentlichen Agenda nach scheint das Thema Datenschutz aber, wohl auch Covid-19 bedingt, wenig bis gar nicht thematisiert worden zu sein. [6]
In Hinblick auf die Gesamtentwicklung bleibt ein Privacy-Shield 2.0 zumindest mittelfristig dennoch wahrscheinlich.
Update (Oktober 2020)
Positionierungen und Reaktionen
Die Datenschutzbehörden sowie die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (sog. Datenschutzkonferenz – DSK) teilten in einer Pressemitteilung mit dass, alle Drittlandtransfers, die ausschließlich auf dem „EU-US-Privacy Shield“ basieren, zu untersagen sind. Mit dieser sofortigen Unterlassung wurde eine Schonfrist ausgeschlossen, was ein direktes Handeln durch die betroffenen Unternehmen verlangt. Jedoch stellt die DSK in derselben Pressemitteilung ebenso fest, dass zukünftig eine (Weiter-)Nutzung der EU-Standardvertragsklauseln (oder auch Standard Contractual Clauses (SCC) zulässig ist. Sie dürften somit die primäre, vertragliche Grundlage für Datentransfers in Drittländer darstellen
Der Europäische Datenschutzausschuss (EDSA) ergänzte zudem in einem veröffentlichten FAQ, dass eine Nutzung von Binding Corporate Rules (BCR) ebenso legitim ist. Mittels der Etablierung von BCR können Unternehmen die Einhaltung vorher festgelegter Schutzmaßnahmen sicherstellen. Eine vom EDSA zusätzlich gegründete Task-Force, welche in Zukunft Handlungsempfehlungen auf Folge des Urteils konzipieren wird, dient dabei im Einklang zum erstellten Katalog als Handlungsrichtlinie und Überprüfungsmöglichkeit. Beschwerden einhergehend zum Urteil des EuGH, werden ebenfalls von dieser Task-Force angenommen.
All diese Maßnahmen der Datenschutzbehörden auf nationaler und internationaler Ebene sind ein erster, guter Schritt in Richtung Rechtssicherheit. Insgesamt wird jedoch von keiner grundlegenden Lösung zu sprechen sein. Es ist eher auf eine politische Lösung zwischen der EU und den USA zu warten und auch zu pochen; ein Stück Rechtsunsicherheit wird es im Rahmen der jetzigen Konstellation immer geben.
Interessant ist auch die Reaktion einiger größerer US-Unternehmen auf das Urteil. Max Schrems, der mit seinem Unternehmen (der NGO „noyb“) betroffene Unternehmen anfragte, berichtet davon in einer Pressemitteilung. Laut Schrems reichten die Antworten von „detaillierten Erklärungen, über Eingeständnisse, dass die Unternehmen keine Ahnung von der Situation haben, bis hin zu schockierend aggressiver Leugnung des Rechts.“ Den betroffenen Unternehmen muss hierbei aber sicherlich genauso eine Verarbeitungszeit der Folgen aus dem Urteil zugesprochen werden, wie es auch europäischen Unternehmen gestattet sein muss, dieses Urteil für sich einzuwerten.
Bedeutung für die Praxis
Die nun auch von den Datenschutzbehörden in den Vordergrund gestellten SCC sollten jedoch nicht ungeprüft verwendet werden. Die Datenschutzbehörden betonen nochmals, dass es einer höheren Sensibilität für die Verantwortlichen und ihre Dienstleister bedarf. Dies ergibt sich auch aus der ständigen Frage, ob das allgemeine Datenschutzniveau in den USA ein nach europäischen Maßstäben angemessenes darstellt. Gesetze, wie der bereits vielzitierte „Patriot-Act“ und den damit verbundenen Möglichkeiten der Datenüberwachung, sowie theoretisch mögliche Zugriffe auf Daten seitens US-Ermittlungsbehörden, bieten Konfliktpotenziale beim Abgleich der jeweiligen Datenschutzniveaus. Hier bleibt jedoch festzuhalten, dass dieser „Konflikt“ nur schwerlich rechtlich zu lösen ist. Gesetzgebungen wie der Patriot Act oder auch der CLOUD-Act sind hier als politische Instrumente zu betrachten.
Datenübermittlungen in die USA sind weiterhin Bestandteil unseres Alltags und nicht mehr aus der Praxis wegzudenken. Diese aufzugeben ist entsprechend kein (in nächster Zeit) realisierbarer Schritt. Da die SCC in ihrer Zulässigkeit bestätigt wurden, entsteht durch das „Schrems II“ Urteil keinerlei Rechtsvakuum. Datentransfers in die USA sind somit also weiterhin möglich. Sie erfordern jedoch eine Revision der bestehenden Verträge (siehe hierzu auch „Unsere Empfehlungen“ weiter unten im ursprünglichen Beitrag).
Ursprünglicher Beitrag
Einleitung
Der Europäische Gerichtshof (EuGH) hat am 16. Juli 2020 in seinem Urteil (Rechtssache C-311/18; Data Protection Commissioner / Maximillian Schrems und Facebook Ireland, „Schrems II“) den Beschluss der EU-Kommission zum so genannten „EU-US Privacy Shield“ Abkommen für ungültig erklärt.
Das Privacy Shield Abkommen entstand, nach dem das vorherige „Safe Harbour Abkommen“ im Oktober 2015 für ungültig erklärt wurde. Damit eine Datenverarbeitung für bisher unter Safe Harbor zertifizierte Unternehmen auch weiterhin möglich ist, wurde Privacy Shield als politische Zwischenlösung geschaffen um für bisher unter dem Privacy Shield zertifizierte US-Unternehmen unter neuem Deckmantel als angemessen zu beurteilen und so die Datenübermittlung in die USA weiterhin zu erleichtern. Nun stellt sich die Frage, ob und wie eine Datenübermittlung in die USA weiterhin möglich sein wird. Der folgende Beitrag klärt in dieser Frage auf.
Das Urteil des EuGH
Der EuGH hatte in der Rechtssache zwischen Maximilian Schrems und Facebook Irland zu entscheiden, nachdem der irische High Court in einem Vorabentscheidungsersuchen den EuGH angerufen hatte. Im Wesentlichen waren die Fragen zu klären, ob die Übermittlung der Daten von Herrn Schrems durch Facebook Irland in die USA (an die Facebook Inc.) auf Basis des Privacy Shields sowie der vereinbarten EU-Standardvertragsklauseln zulässig ist. Damit einhergehend stand auch die Frage im Raum, ob das Datenschutzniveau der USA, mit dem der EU gleichwertig ist.
Der EuGH urteilte nun, dass die bestehenden Gegebenheiten in den USA, insbesondere der mögliche Zugriff auf die Daten durch staatliche (Ermittlungs-)Behörden nicht mit den sich aus der DSGVO und den Grundrechtswerten ergebenden Anforderungen der EU vereinbar sind. Insbesondere wird die fehlende Möglichkeit von Rechtsbehelfen gegen den behördlichen Zugriff auf die Daten bemängelt.
Die Nutzung der EU-Standardvertragsklauseln hingegen sieht der EuGH weiterhin als zulässig an. Außerdem nimmt der EuGH in seinem Urteil die Datenschutzaufsichtsbehörden in die Pflicht. Es läge in ihrer Zuständigkeit zu prüfen, ob die vereinbarten Klauseln zwischen den Unternehmen aus der EU und den USA ein angemessenes Datenschutzniveau erreichen.
Datenübermittlung in die USA in der Zukunft – neues Privacy Shield?
Eine Datenübermittlung in die USA findet mittlerweile ununterbrochen statt. Ob bei Nutzung von Office-Produkten, Social Media oder verschiedenen Cloud-Lösungen wie Confluence von Atlassian: In all diesen Einsatzgebieten der täglichen Praxis erfolgt meist eine (vom Anwender oft unbemerkte) Datenübermittlung in die USA. Entsprechend bedeutsam ist der Datentransfer zwischen der EU und den USA für den privaten aber auch für den wirtschaftlichen Bereich. Kaum ein Unternehmen kommt ohne Datenübermittlung in die USA aus, ob bewusst oder unbewusst.
Diese Datenübermittlung ist aufgrund der US-spezifischen Gesetzgebung immer mit dem Risiko verbunden, dass US-Behörden auf die Daten zugreifen können. Einige US-Unternehmen wehren sich dagegen und versuchen, die Datenherausgabe zu verhindern. Ultimativ ist dies jedoch ein Risiko, das Unternehmen in Kauf nehmen müssen und das nur schwerlich heilbar ist. Adäquate Lösungen auf dem deutschen oder europäischen Markt sind nicht in Sicht oder – wenn überhaupt – lediglich Nischenprodukte.
Entsprechend stellt sich die Frage, wie nun die Datenübermittlung vor dem Hinblick des Urteils des EuGH datenschutzkonform ausgestaltet sein kann.
Das Urteil des EuGH ist hierin als umsichtig zu betrachten. Die Zertifizierungen unter dem Privacy Shield waren von vorneherein als „Notlösung“ nach dem Kippen des Safe Harbour Abkommens gedacht. Eine langfristige Lösung sollte der Privacy Shield nie sein. Das Urteil ist daher nicht allzu überraschend. Insbesondere die nicht vorhandenen Prüfmöglichkeiten der Zertifizierungsinhalte durch europäische Behörden hat den Privacy Shield von Beginn an als Papiertiger entlarvt.
Anders verhält es sich mit den EU-Standardvertragsklauseln. Die Standardvertragsklauseln basieren auf einem Beschluss der EU-Kommission und sind für die Datenübermittlung in Drittländer gedacht, für die es keinen Angemessenheitsbeschluss gibt, deren Datenschutzniveau also nicht für sich genommen schon als ausreichend für eine Übermittlung angesehen wird. Für die USA gibt es zwar einen solchen Beschluss, allerdings nur für die Unternehmen, die unter dem Privacy Shield zertifiziert sind. Diese sind jedoch nach dem Urteil des EuGH als wertlos anzusehen.
Eine Datenübermittlung in die USA ist somit nur noch mit einer Vereinbarung nach den Standardvertragsklauseln möglich. Dies ist insofern eine gute Nachricht, als dass viele Anbieter (z.B. Atlassian für die Nutzung von Confluence, Trello oder JIRA) bereits mit entsprechenden Vereinbarungen arbeiten. Auch Microsoft baut die Übermittlung von Daten im B2B-Bereich auf die Anforderungen aus den Standardvertragsklauseln auf.
Künftig kann erwartet werden, dass die Datenübermittlung in die USA noch verstärkter vertraglich auf den EU-Standardvertragsklauseln basieren wird. Die betroffenen US-Unternehmen werden nun prüfen müssen, ob sie ihre Prozesse und Datenverarbeitungen bereits entsprechend eingestellt haben. Die gute Nachricht ist allerdings: Ein Ende der Datenübermittlung in die USA ist zu keinem Zeitpunkt zu erwarten.
Unsere Empfehlungen nach dem Privacy Shield
Nach dem Urteil des EuGH können Sie mit hoher Wahrscheinlichkeit ihren betrieblichen Alltag ohne Einschränkung fortführen.
Ein solches Urteil ist jedoch auch immer gleichzeitig Gelegenheit für eine kleine Inventur. Versuchen Sie, sich und Ihre Mitarbeiter/innen dafür zu sensibilisieren, bei der Implementierung neuer und der Revision bestehender Anwendungen in Ihrem Unternehmen auf die vertraglichen Grundlagen der Datenübermittlung zu achten. Bemerken Sie Anbieter, die auch künftig die Datenübermittlung ausschließlich darauf beruhen, unter dem Privacy Shield zertifiziert zu sein ohne weitere vertragliche Grundlage, sollten Sie diese Anbieter meiden. Binden Sie Ihren Datenschutzbeauftragten und IT-Sicherheitsbeauftragen in diese Prüfung oder Entscheidungen frühzeitig mit ein. So vermeiden Sie unnötige Risiken und können sich weiterhin auf Ihr Kerngeschäft fokussieren!
[1] Vgl. European Data Protection Board: EDPB adopts final version of Recommendations on supplementary measures, letter to EU Institutions on the privacy and data protection aspects of a possible digital euro, and designates three EDPB Members to the ETIAS Fundamental Rights Guidance Board. 21.06.2021, <https://edpb.europa.eu/news/news/2021/edpb-adopts-final-version-recommendations-supplementary-measures-letter-eu_en>.
[2] Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 21. Juni 2021. Datenschutz-Aufsichtsbehörden: Ergänzende Prüfungen und Maßnahmen trotz neuer EU-Standardvertragsklauseln für Datenexporte nötig. < https://www.datenschutzkonferenz-online.de/media/pm/2021_pm_neue_scc.pdf>.
[3] Euopean Commission: Data protection: Commission adopts adequacy decisions for the UK, 28.06.2021, <https://ec.europa.eu/commission/presscorner/detail/en/ip_21_3183>
[4] Chiavetta, Ryan: „Hoff: EU, US ’not at the beginning‘ of Privacy Shield negotiations. In: International Association of Privacy Professionals (IAPP). 01.07.2021, <https://iapp.org/news/a/hoff-eu-us-not-at-the-beginning-of-privacy-shield-negotiations/>.
[5] Fennessy, Caitlin. Research Director at IAPP auf LinkedIn. Juni 2021, < https://www.linkedin.com/posts/caitlin-fennessy_privacyshield-dataflows-activity-6811256773673029633-3rgB/>.
[6] Carbis Bay G7 summit communiqué: Our Shared Agenda for Global Action to Build Back Better. <https://www.g7uk.org/wp-content/uploads/2021/06/Carbis-Bay-G7-Summit-Communique-PDF-430KB-25-pages-5.pdf>.
Diese Beiträge könnten Sie auch interessieren:
Digital Markets Act – Die neuen Regeln der Datenwirtschaft – Aktueller Stand
Europäische Datenstrategie: Data Governance Act – Aktueller Stand
Sie haben weitere Fragen zu unseren Blog-Artikeln oder allgemeiner Art? Wenden Sie sich gerne an uns, über das Kontaktformular.
von Danilo Terrasi | Jun 16, 2020 | Datenschutz
Einleitung
Viele Schulen, insbesondere die dort beschäftigten Lehrer/innen, beschäftigen sich in der derzeitigen Situation rund um die Corona-Krise (COVID-19) mit Fragen des digitalen Schulbetriebes. Trotz erster Schulöffnungen läuft ein wesentlicher Teil des Unterrichts noch immer im Rahmen des sog. „Home-Schoolings“ ab. In diesem Zusammenhang stellen sich Fragen des Datenschutzes, auch in den Medien werden diese Fragen aufgeworfen. Der folgende Beitrag soll einen Überblick über die für den Datenschutz in Schulen relevanten Fragen.
Datenverarbeitung im Schulbetrieb
Während des Schulbetriebes werden verschiedene, personenbezogene Daten verarbeitet. Darunter fallen z.B. die Schulakten, die die Schulen führen müssen, aber auch klassenbezogene Telefonlisten. Dabei werden häufig nicht nur die Daten der Schüler/innen, sondern auch die Daten ihrer Eltern verarbeitet. Dies zeigt, dass Datenschutz in Schulen relevant ist.
Im Zeitalter des Home-Schoolings und des „digitalen Lernens“ kommen noch weitere Daten zusätzlich hinzu. Je nach genutztem Medium ist das die E-Mail-Adresse, aber auch (bei Nutzung von Tools für Videokonferenzen) technische Daten wie die IP-Adresse oder der von den Schüler/innen angegebene Nutzername.
Ebenfalls werden Daten auf schuleigenen Plattformen, wie moodle, verarbeitet.
All diese Daten führen zu einer Verantwortlichkeit im Sinne des Datenschutzrechts für die Schulen, sodass sich auch im Schulbetrieb datenschutzrechtliche Anforderungen ergeben, die erfüllt werden müssen.
Zulässigkeit der Datenverarbeitung: Wann ist eine Einwilligung notwendig?
Schulen als öffentliche Stellen im Sinne des Datenschutzes haben – neben der Einwilligung – eine mögliche Rechtsgrundlage für die Datenverarbeitung.
So dürfen Daten durch Schulen verarbeitet werden, wenn die Verarbeitung „zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist“ (§ 3 BDSG).
Diese sehr weite und auch schwammige Regelung besagt zunächst einmal nichts anderes, als dass jede Datenverarbeitung, die im konkreten Aufgabenbereich der Schule liegt, zulässig ist. Das betrifft z.B. das Führen der Schülerakten. Diese sind (oft in den Landesschulgesetzen) verpflichtend geregelt, sodass eine Schule nicht um die Datenverarbeitung herumkommt.
Aber auch Datenverarbeitungen, die für die Aufrechterhaltung des Schulbetriebes, insbesondere den Unterricht betreffend durchgeführt werden, sind zulässig. Darunter fällt auch das zur Dokumentation genutzte Klassenbuch. Auch die klassische Telefonliste ist ohne Einwilligung zulässig, da im Zweifel Notfallkontakte benötigt werden.
Im Ergebnis lässt sich also festhalten, dass vieles, was im alltäglichen Schulbetrieb an Daten verarbeitet wird, auch in zulässiger Weise geschieht. Anders wäre es auch nicht praktikabel. Müsste eine Schule zunächst die (wirksame) Einwilligung für die Schüler/innen und auch für ihre Eltern besorgen, wäre der Schulbetrieb lahmgelegt.
Home-Schooling & Co.: Datenschutz und Digitalisierung der Schulen
Doch wie verhält es sich mit digitalen Lehrformen, insbesondere in Zeiten, in denen der normale Schulbetrieb nicht stattfinden kann?
Zunächst einmal gelten auch hier die gleichen Grundsätze: Eine Datenverarbeitung ist dann zulässig, wenn sie in den konkreten Aufgabenbereich einer Schule fällt. Das gilt auch für die digitale Welt. Das bedeutet, dass der Unterricht (wenn auch in eingeschränkten Form) weitergehen muss. Unkritisch ist die Verarbeitung von E-Mail-Adressen, um z.B. Aufgabenblätter zu versenden. Spannend wird es beim Einsatz von Tools für das Abhalten digitaler Schulstunden, da hier noch weitere (Meta-)Daten verarbeitet werden.
Viele Lehrkräfte stellen sich nun die Frage, ob sie diese Tools nutzen dürfen. Auch hier gibt es unterscheidungswürdige Kategorien.
Alle von der Schule selbst angebotenen und betriebenen Anwendungen dürfen von Lehrkräften auch ohne Einwilligung genutzt werden. Darunter fallen Lernplattformen wie moodle. Hat eine Schule auch Tools für Videokonferenzen im eigenen Betrieb implementiert, ist auch diese Nutzung (auch mit privaten Endgeräten) wohl zulässig und bedarf keiner Einwilligung.
Schwieriger wird es, wenn die Schule keinerlei solcher Anwendungen nutzt und den Lehrkräften zur Verfügung stellt. Einige der Lehrkräfte nutzen dann private Accounts. Das ist vor dem Hinblick des Lehrauftrages sicherlich nicht falsch, birgt jedoch auch Risiken aus Sicht des Datenschutzes. Das hat nichts mit einer anderen Datenverarbeitung zu tun (Zoom verarbeitet dieselben Daten, unabhängig davon, wer den Account betreibt), sondern eher mit der Kontrolle durch den Verantwortlichen. Wenn die Schule als Verantwortliche für die Datenverarbeitung einsteht, muss sie auch Kontrolle darüber haben, in welcher Art und Weise Daten verarbeitet werden. Nutzt nun eine Lehrkraft ausschließlich Tools mittels privater Accounts, kann die Schule ihre Aufgabe als Verantwortliche nicht mehr konform ausüben.
Der Lehrkraft bleibt dann nichts anderes übrig, als sich eine wirksame Einwilligung für die Verwendung dieser Tools einzuholen. Eine Zulässigkeit über den Aufgabenbereich der Schule wird sich ansonsten kaum konstruieren lassen.
Außerdem muss, je nach verwendetem Tool, eine Risikoabwägung durchgeführt werden (eine sog. „Datenschutzfolgeabschätzung“). Nutzt die Schule oder eine Lehrkraft ein Tool, dessen Datensicherheit nicht hoch ist, besteht für die Schüler/innen ein erhebliches Risiko, weshalb die (vorherige) Risikoabwägung unumgänglich ist.
Digitale Schule: Unsere Empfehlungen zum Datenschutz in Schulen
Die aufgeworfenen Fragen und Punkte muss eine Schule nicht alleine lösen. Hier hilft der von der Schule verpflichtend zu bestellende Datenschutzbeauftragte weiter. Er steht beratend zur Seite und konzipiert Lösungen für den analogen und digitalen Schulbetrieb. Um die (datenschutzrechtlich) sensiblen Fragen rund um das Home-Schooling zu klären, empfehlen wir Ihnen – neben der Benennung eines qualifizierten Datenschutzbeauftragten – folgende Punkte:
- Nutzen Sie – sofern vorhanden – die in der Schule bereits verwendeten, digitalen Möglichkeiten. Wenn Ihre Schule also bereits ein Tool für Videokonferenzen nutzt, nutzen auch Sie dieses.
- Sofern kein Angebot in der Schule vorhanden ist: Sprechen Sie Ihr Vorhaben, ein Tool verwenden zu wollen, vorher ab. Idealerweise nutzen auch weitere Kolleg/innen dasselbe Tool. Die Schule kann Ihnen dann auch schriftlich die Nutzung eines bestimmten Tools bestätigen. So kann die Schule der Aufgabe als Verantwortliche für die Datenverarbeitung nachkommen.
- Wenn keiner der beiden Punkte realisierbar ist: Verzichten Sie nicht zwingend auf digitale Lehrformen. Achten Sie auf die Datensicherheit der verwendeten Tools (wohin werden Daten übermittelt; erfolgt eine Verschlüsselung; ist das eigene Endgerät auf dem neusten Software-Stand etc.) und holen Sie sich die Einwilligung der Datenverarbeitung vorher ab. Bei minderjährigen Schüler/innen müssen Sie hierfür auch die Eltern ins Boot holen.
Unser Fazit lautet demnach: Die Datenverarbeitung an Schulen ist in den meisten Fällen gesetzlich abgesichert und ohne Einwilligung zulässig. Auch neue, digitale Lehrformate können datenschutzkonform durchgeführt werden, wenn ein paar wichtige Punkte beachtet werden, insbesondere die Gewährleistung der Datensicherheit der verwendeten Anwendungen. Mit Unterstützung der Schule (und idealerweise auch des jeweiligen Bundeslandes, wobei das eher politische Fragen aufwirft) können digitale Lehrformate eingeführt und auch nach Überstehen der jetzigen Ausnahmesituation fortgeführt werden. Den Schüler/innen ist damit sicherlich geholfen.
