Neue Verordnung zum Geoblocking

Mit der Verordnung (EU 2018/302) hat das Europäische Parlament Regelungen zum Verbot der Beschränkung aus Gründen der Staatsangehörigkeit, des Wohnsitzes oder des Ortes der Niederlassung des Kunden getroffen.

Was ist Geoblocking?

Beim Geoblocking verwehrt ein Anbieter einem Kunden, der aus einem anderen Mitgliedstaat der EU stammt und grenzüberschreitende Geschäfte tätigen möchte, den Zugang zur Online-Benutzeroberfläche, wie zum Beispiel einer Internetseite.

Somit ist jede Form die den Kunden auf Grund der Staatsangehörigkeit, des Wohnsitzes oder des Ortes der Niederlassung beschränkt, als Geoblocking zu sehen.

Was muss man beachten?

Mit der Verordnung wird es den Betreibern von Online-Shops untersagt, den Kunden auf Grund der Staatsangehörigkeit, des Wohnsitzes oder des Ortes seiner Niederlassung durch technische Mittel (oder auf anderem Wege) zu sperren oder zu beschränken. Konkret bedeutet dies, dass der Anbieter den Kunden nicht Anhand der IP-Adresse, GPS Daten oder anderen den Ort (= geografische Lage) bestimmenden Parametern einschränken darf.

So muss der Anbieter, der einen Kunden auf eine andere Länderseite oder mobile Anwendung umleiten will, welche sich von der unterscheidet (z.B. durch Sprache oder Layout) auf die der Kunde ursprünglich zugreifen wollte, dessen Zustimmung einholen und ihm die Möglichkeit einräumen, wieder auf die Ursprungsseite zurückzugelangen.

Außerdem wird es dem Online-Händler untersagt, bei Kunden aus den oben genannten Gründen für unterschiedliche Regionen unterschiedliche allgemeine Geschäftsbedingungen anzuwenden. Jedem Kunden müssen die gleichen Möglichkeiten zustehen.

Das Gleiche gilt für die vom Anbieter akzeptierten Zahlungsmethoden.  Der Anbieter kann nicht auf Grund des Standortes des Zahlungskontos, des Ortes der Niederlassung des Zahlungsdienstleisters oder des Ausstellungsorts des Zahlungsinstruments innerhalb der EU unterschiedliche Bedingungen für Zahlungsvorgänge anwenden.

Die EU-Kommission stellt auf ihrer Homepage eine weitreichende Information zur Geoblocking-Verordnung zu Verfügung, in der anhand konkreter Beispiele die einzelnen Artikel genauer erläutert werden.

Was passiert bei Nicht-Beachtung?

Gemäß §126 Telekommunikationsgesetz (TKG) kann die Bundesnetzagentur bei Verstößen eine Stellungnahme und Abhilfe fordern. Hierbei kann ein Zwangsgeld von bis zu 500.000€ festgesetzt werden.  Ebenfalls kann ein Bußgeld von bis zu 300.000€ verhängt werden, §149 Abs. 2 Nr. 2 TKG.

Bei Verstößen wird neben dem TKG auch das Gesetz gegen den unlauteren Wettbewerb (UWG) Anwendung finden. Verstöße fallen unter die §§ 3 und 3a des UWG. Somit können Verantwortliche auf Unterlassen und Schadensersatz in Anspruch genommen werden.

ICO verhängt gegen Facebook ein Bußgeld in Höhe von 500.000 £

Wie die britische Datenschutzbehörde „Information Comissioner´s Office“ (ICO) mitteilte, wurde von ihr die nach damaligem Recht mögliche Höchststrafe von 500.000£ verhängt. Begründet wurde die Höchststrafe damit, dass Facebook im Rahmen des Datenskandals um Cambridge Analytica erlaubt hatte, auf persönliche Daten wie das Geburtsdatum, Fotos auf denen Betroffene markiert wurden u.a. zuzugreifen. Dies geschah anhand einer Facebook-App, die sich unter dem Namen „thisisyourdigitallife“ als psychologischer Persönlichkeitstest tarnte. Hierbei griff die App nicht nur auf die Daten derjenigen zu, die die App installiert hatten, sondern auch auf die Profile ihrer „Facebook-Freunde“.

Facebook versäumte notwendige Maßnahmen

Der Betreiber der App hatte zunächst bei Facebook angefragt ob die Daten zu Forschungszwecken genutzt werden dürften. Mit Verweis auf die Plattformrichtlinien lehnte Facebook die Anfrage ab, schloss jedoch nicht den Zugang. Facebook hätte an dieser Stelle entsprechende Maßnahmen ergreifen müssen um sicherzustellen, dass die Richtlinien eingehalten werden und ein unbefugter Zugriff nicht stattfindet. Da dies nicht ausreichend geschah und somit auf Daten von rund 87 Millionen Nutzern zugegriffen werden konnte, sah die ICO die Höchststrafe als gerechtfertigt an. Bestätigt sah sich die ICO darin, dass Facebook erst durch die Veröffentlichung eines Artikels im Guardian auf den Bruch der Plattformrichtlinien aufmerksam wurde. Ein Sprecher von Facebook teilte nun mit, sein Unternehmen werde die Entscheidung des ICO prüfen.

Kein Bußgeld für Facebook in Deutschland

Das in Hamburg, vom dortigen Datenschutzbeauftragtem Johannes Caspar, geführte Bußgeldverfahren gegen Facebook wurde schon im August eingestellt. Gründe hierfür seien die unklare Zuständigkeit und der Abruf der Daten schon mehr als drei Jahre zurückliege und damit verjährt sei.

Datenschutzkonferenz: Orientierungshilfe zur Direktwerbung

Ein Ergebnis der 96. Datenschutzkonferenz (DSK) war eine Orientierungshilfe zur Verarbeitung von personenbezogenen Daten zum Zweck der Direktwerbung. Grund hierfür war, dass mit der DSGVO die bisherigen Datenschutzregelungen für die direkte Werbeansprache weggefallen sind.

Schwerpunkt Interessenabwägung

Mit dem Wegfall der detaillierten Regelungen (insb. § 28 Abs. 3 und 4 sowie § 29 BDSG-alt) verlangt die DSGVO alternativ gemäß Art. 6 Abs. 1 lit. f DSGVO eine Interessenabwägung oder eine Einwilligung der betroffenen Person. Die DSK hat im Bezug hierauf, unter Vorbehalt der konkreten Abwägung im Einzelfall, zunächst Grobkategorien für die Abwägung in der Praxis erstellt. Demnach wird voraussichtlich das Interesse des Verantwortlichen solange überwiegen, wie kein  Selektionsverfahren zur Erstellung detaillierter Profile etc. Anwendung findet. E-Mail-Adressen, die unmittelbar von den betroffenen Personen im Rahmen einer Geschäftsbeziehung (Bestandskunden) erhoben wurden und der Zweck der Datenerhebung (E-Mail-Werbung) transparent dargelegt wurde, können grundsätzlich, unter Beachtung der Voraussetzungen des § 7 Abs. 3 UWG für E-Mail-Werbung genutzt werden. Für Anrufe bei Verbrauchern muss eine klare Einwilligung vorliegen. Für Anrufe gegenüber sonstigen Marktteilnehmern (B2B) ist zumindest dessen mutmaßliche Einwilligung erforderlich. Im B2B-Bereich stehen deshalb nicht von vornherein überwiegend schutzwürdige Interessen der Gewerbetreibenden nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO entgegen.

Informationspflichten gem. Art. 13 und Art. 14

Bei der Erhebung personenbezogener Daten direkt bei der betroffenen Person muss eine umfassende Unterrichtung stattfinden. Die DSK hat erkannt, dass in der Praxis nicht immer die Möglichkeit besteht einer betroffenen Person alle Informationen aus Art. 13 Abs. 1 und 2 DSGVO sofort bereit zu stellen. Daher sehen sie im Einklang mit der Artikel 29-Gruppe ein zweistufiges Informationsmodell als sinnvoll an.

Sollen personenbezogene Daten, die nicht unmittelbar von dieser Person erhoben wurden, verarbeitet werden, so muss binnen einer angemessenen Frist, spätestens innerhalb eines Monats nach einer Verarbeitung eine Information der betroffenen Person i.S.d. Art. 14 Abs. 1 und 2 DSGVO erfolgen.

Einwilligung in die Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung

Die Orientierungshilfe bietet Anhaltspunkte wie eine Einwilligung gestaltet sein muss um den Anforderungen der DS-GVO gerecht zu werden. Hierzu wird u.a. das Double-Opt-In-Verfahren für eine elektronische Einwilligung empfohlen und auf ein nicht ewiges Bestehen einer Einwilligung hingewiesen ohne jedoch auf konkrete Zeiträume einzugehen.

Widerspruchsrecht

Zum Ende der Orientierungshilfe gibt die DSK wichtige Informationen zum Widerrufsrecht nach Art. 21 Abs. 2 bis 4 DS-GVO. Die DSK setzt auch hier auf praktische Hinweise, wie bspw. bei einer bereits angelaufenen Werbeaktion gehandelt werden kann oder wie eine Werbesperrdatei für die Umsetzung eines Werbewiederspruchs hilfreich ist.

Konkrete Beispiele

Wenn auch die Auflistung (selbstverständlich) nicht abschließend sein kann, stellt die Orientierungshilfe doch einige wichtige Punkte klar. Immerhin schließt sie einige Möglichkeiten der Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung aus und bietet damit eine Möglichkeit zur Orientierung.

Bayerisches Landesamt für Datenschutzaufsicht vom Bayerischen Verwaltungsgerichtshof bestätigt: „Facebook Custom Audience“ ist nicht mit dem Datenschutzrecht vereinbar

Übermittlung von verhashten E-Mail-Adressen an Facebook ist Weitergabe an Dritte

Im vorliegenden Fall nutzte die Betreiberin eines Onlineshops den Dienst „Facebook Custom Audience“ (s.u.) um gezielt Werbung zu schalten. Hierbei hatte die Betreiberin jedoch keinen Einfluss darauf, bei welchem der Facebook-Mitglieder die Werbung angezeigt wird.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hatte darin eine Weitergabe an Dritte und keine Auftragsverarbeitung gesehen. Bei einer Auftragsverarbeitung bestimmt der Auftraggeber was mit den Daten geschieht, bei der Weitergabe an Dritte bestimmt der Dritte selbst was mit den Daten passiert. Dies bestätigte nun auch der Bayerische Verwaltungsgerichtshof. Zwar sei der Vergleich der Hashwerte weisungsgebunden, die Ausspielung der Werbung durch Facebook an seine Nutzer hingegen frei. Mit dieser Entscheidung wird dem Verwender von „Facebook Custom Audience“ die Pflicht zur Einholung einer informierten Einwilligung des Kunden auferlegt.

Vermehrte Kontrollen für die Zukunft

Wie Thomas Kranig, Präsident des BayLDA in der Pressemitteilung vom 20.11.2018 schrieb, werde das BayLDA Prüfungen für die Zukunft auf weitere Branchen und deren Marketing-Tools ausweiten und Verstöße nach dem neuen Bußgeldrahmen der DSGVO sanktionieren. Hintergrund für die vermehrten Prüfungen sei, dass die Verantwortlichen mehr als ausreichend Gelegenheit hatten ihre Datenverarbeitung zu überprüfen.

Was ist “Facebook Custom Audience”?

Mit „Facebook Custom Audience“ kann ein Unternehmen gezielt auf den Facebook-Seiten seiner Kunden Werbung schalten. Hierzu lädt das Unternehmen E-Mail-Adressen von Kunden über das eigene Facebook-Profil hoch und es wird ein Hashwert für jede einzelne E-Mail-Adresse berechnet. Anschließend vergleicht Facebook diesen Hashwert mit den ebenfalls zu einem Hashwert umgerechneten E-Mail-Adressen aller Facebook-Mitglieder. Stimmen zwei Hashwerte überein, ist die E-Mail-Adresse und damit ein Facebook-Mitglied bestimmt. Die so ermittelten Facebook-Mitglieder bilden die „Custom Audience“ (Kundenliste) und erhalten innerhalb ihres Facebook-Profils Werbung des Unternehmens.

Erstes Bußgeld in Deutschland nach der DSGVO

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) hat wegen eines Verstoßes gegen die in Art. 32 DSGVO normierte Datensicherheit am 21.11.2018 das erste Bußgeld in Höhe von 20.000€ verhängt.

Das Unternehmen hatte sich nach einem Hackerangriff an das LfDI gewandt, bei dem personenbezogene Daten von ca. 330.000 Nutzern entwendet und veröffentlich worden waren. Die betroffenen Benutzer wurden nach den Vorgaben der DSGVO informiert und das Unternehmen hat bereits innerhalb weniger Wochen weitreichende Maßnahmen zur Verbesserung ihrer Sicherheits-IT umgesetzt.

LfDI lobt hervorragende Zusammenarbeit

Das mit 20.000€ der Bußgeldrahmen des Art. 83 Abs. 4 DSGVO lange nicht ausgeschöpft ist, lag an der guten Zusammenarbeit des Unternehmens mit der LfDI. So wurden Datenverarbeitungs- und Unternehmensstrukturen sowie eigene Versäumnisse offen gelegt. Hierdurch wurde bekannt, dass Passwörter ohne eine Verschlüsselung oder Verfremdung gespeichert wurden. Damit verstieß das Unternehmen klar gegen die Obliegenheit der Datensicherheit im Rahmen der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit. a DSGVO. Neben der guten Zusammenarbeit wurde auch der Gesamtrahmen der finanziellen Belastung, wie Maßnahmen zur IT-Sicherheit  des Unternehmens bei der Festlegung des Bußgeldes beachtet. Wie Dr. Brink, Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Baden-Württemberg hierzu sagte, soll es nicht darum gehen möglichst hohe Bußgelder zu verteilen sondern den Datenschutz und die Datensicherheit von betroffenen Nutzern zu verbessern.

DSGVO: Fast die Hälfte der Unternehmen unzureichend vorbereitet

Die Datenschutzgrundverordnung (DSGVO) tritt am 15. Mai 2018 in Kraft und noch viele Unternehmen treffen schleppende oder gar keine Vorbereitungen. Das kann sich rächen, denn die Zeit für eine erfolgreiche Umsetzung der neuen rechtlichen Anforderungen wird knapp.

Um den Ist-Zustand bei der Umsetzung der DSGVO in der deutschen Unternehmenslandschaft zu ermitteln, hat die IDC 251 Unternehmen mit mehr als 20 Mitarbeitern in Deutschland befragt (Stand August 2017). In Anbetracht der Tatsache, dass Unternehmen nur etwas mehr als ein halbes Jahr haben, um compliant zu werden, fällt das Ergebnis ernüchternd aus. Zwar gaben 15% der befragten Unternehmen an, dass sie bereits jetzt vollständig compliant sind. 41% der Unternehmen haben zumindest vereinzelte Maßnahmen umgesetzt.

Demgegenüber stehen 44%, die noch keine Maßnahmen ergriffen haben. Diese setzen sich wie folgt zusammen: 16% haben zwar einen konkreten Plan, wie sie die DSGVO in ihrem Unternehmen umsetzen wollen. Begonnen haben sie damit aber noch nicht. 25% kennen die neuen Anforderungen, verharren jedoch in einer abwartenden Haltung. Erfreulich ist, dass die Zahl der Unternehmen, die sich mit der Thematik noch überhaupt nicht auseinandergesetzt haben, mit 3% marginal ist. Laut der IDC würden sich vor allem mittelständische Unternehmen schwertun. In diesem Segment gaben 40% der Befragten an, dass sie skeptisch sind, die Anforderungen fristgerecht umsetzen zu können.

Befragung offenbart: Unternehmen haben kaum Datenschutzbeauftragte

Interessante Einblicke gewährt die Befragung, wenn man etwas ins Detail geht. Eine Schlüsselposition für ein erfolgreiches Datenschutzmanagement im Unternehmen ist bei den meisten wohl unbesetzt: 83% haben keinen Datenschutzbeauftragten. Höhere Sanktionen in der DSGVO, wenn kein Datenschutzbeauftragter im Unternehmen ist, sind sehr wahrscheinlich der Grund, warum 50% zumindest in den nächsten Monaten einen Datenschutzbeauftragten einsetzen möchten. Auch der Branchenverband bitkom sieht diesen Zustand, mit Blick auf die Umsetzung des DSGVO und die aktuelle Rechtslage, kritisch.

Es ist zu begrüßen, dass viele Unternehmen jetzt einen solchen Datenschutzbeauftragten bestellen möchten. Allerdings kostet diese Versäumnis nun wichtige Ressourcen und relevantes Know-how bei der Umsetzung der DSGVO. Ein schon eingearbeiteter und erfahrener betrieblicher bzw. externer Datenschutzbeauftragter könnte die Umsetzung erheblich erleichtern.

Wer macht was mit welchen Daten? Vielen Unternehmen fehlt noch der Überblick

Hinzu kommt, dass noch viele Unternehmen keinen umfassenden Überblick über die Datenverarbeitungen in ihrem Unternehmen haben. Für einen rechtskonformen und effizienten Datenschutz ist gerade dies aber ein zentraler Aspekt. Wer nicht weiß, welche Daten wo verarbeitet werden und wer darauf Zugriff hat, kann sich schnell mit Beschwerden, den Datenschutzbehörden und Imageschäden konfrontiert sehen.

Die IDC-Umfrage hat nun ergeben, dass 23% nicht wissen, wo ihre Daten gespeichert werden. 27% sind nicht in der Lage anzugeben, wer Zugriff auf personenbezogene Daten hat. Mit hoher Wahrscheinlichkeit bedeutet dies auch, dass es keine wirksamen Zugangs- und Zugriffskontrollen zu den Daten gibt. 37% räumten zudem ein, dass ihre Daten unkontrolliert und dem Zugriff durch Mitarbeiter ausgesetzt auf den Servern zugänglich sind.

Fatal könnte sich auch auswirken, dass etliche Unternehmen besonders Anforderungen als weniger relevant zu betrachten scheinen, die auf die Benachrichtigung Dritter ausgelegt sind: 53% planen keine Einführung von Prozessen zur Benachrichtigung der durch die Datenverarbeitung betroffenen Personen, 47% wollen keine Prozesse zur, unter bestimmten Umständen allerdings gesetzlich verpflichtenden, Benachrichtigung der zuständigen Datenschutzbehörden etablieren. Alles in allem ein Bild, das — mit Blick auf die hohen Anforderungen der DSGVO — den noch enormen Handlungsbedarf bei deutschen Unternehmen unterstreicht.

Unternehmen müssen jetzt handeln

Unternehmen, die einen derartigen Handlungsbedarf wie den oben skizzierten aufweisen, sollten jetzt handeln. Bis zum Inkrafttreten der DSGVO bleibt nicht mehr viel Zeit und die Einführung eines rechtskonformen und effizienten Datenschutzmanagements, das sowohl dem Unternehmen als auch den Betroffenen nützt, braucht Zeit: ein geeigneter Datenschutzbeauftragter muss gefunden und geschult werden. Sämtliche Mitarbeiter müssen datenschutzrechtlich auf den aktuellen Stand gebracht werden. Insbesondere die unternehmensinternen Arbeitsprozesse bedürfen einer datenschutzrechtlichen Optimierung, um einen Datenschutz „on the job“ gewährleisten zu können. Unternehmen, die bis zum 25. Mai 2018 nicht compliant sind, drohen deutlich höhere Geldbußen als sie bislang im BDSG vorgesehen sind. Die Strafe kann bis zu 4% des weltweiten Umsatzes der Unternehmensgruppe betragen.

EU-Kommission hält BDSG-neu für rechtswidrig

Die EU-Kommission hält das deutsche Umsetzungsgesetz für die Datenschutzgrundverordnung (DSGVO) für rechtswidrig. Grund sind vermeintliche Öffnungsklauseln, die die Bundesregierung nutzen will.

Die beschlossene DSGVO soll für einen höheren Standard im europäischen Datenschutzrecht sorgen und ist bereits beschlossen. 2018 tritt sie in Kraft. Das geplante deutsche Umsetzungsgesetz BDSG-neu hat jetzt die EU-Kommission auf den Plan gerufen.

Keine Öffnungsklausel vorgesehen

Grund hierfür ist ein Streit um Öffnungsklauseln in der DSGVO, die eigene nationale Regelungen erlauben würden. Die Bundesregierung ist der Auffassung, dass die DSGVO solche Klauseln vorsieht. Dem widerspricht die EU-Kommission: es gebe lediglich Raum für nationale Spezifizierungen.Konkret kritisiert die Kommission den geplanten § 23 BDSG-neu, der nach Ansicht der EU zu weitreichende Ausnahmen für öffentliche Stellen vorsieht, personenbezogene Daten für „andere Zwecke“ verarbeiten zu dürfen. Die Formulierung sei zu ungenau. Auch die Betroffenenrechte würden zu stark eingeschränkt: der Entwurf unterlaufe die vorgesehen Möglichkeiten zur Einsichtnahme in gespeicherte Daten und deren Recht auf Korrektur bzw. Löschung.

Ist die geplante Nachjustierung ausreichend?

Mittlerweile liegt ein Änderungsantrag vor, der Abhilfe schaffen soll. Insbesondere bei den Betroffenenrechten soll nachgebessert werden. Ob die beantragten Änderungen ausreichen, ist nicht sicher. Kritik kommt weiterhin von deutschen Datenschutzbeauftragten der Länder. In der aktuellen Fassung des BDSG-neu wurde die beantragte Änderung angenommen.

Erneut Ärger um transatlantischen Datenschutz

Privacy Shield löste Safe Harbor ab, das vom Europäischen Gerichtshof für ungültig erklärt wurde. Auf beiden Seiten des Atlantiks erhoffte man sich davon ein Ende der Auseinandersetzungen um den transatlantischen Datenschutz. Nun hat das Europäische Parlament eine kritische Resolution angenommen.

Seit Inkrafttreten des Privacy Shield-Abkommens reißt die Kritik nicht ab. Nun hat das Europäische Parlament auf eine Executive Order des US-Präsidenten Donald Trump reagiert, die möglicherweise Nicht-US-Bürger aus dem Datenschutz ausschließt.

EU-Parlament betrachtet Überwachungspraxis als europarechtswidrig

Als Reaktion auf die Executive Order nahm das Parlament in Straßburg nun eine Resolution an, die die US-amerikanische Überwachungspraxis als nicht vereinbar mit dem geltenden EU-Recht klassifiziert. Das hat zunächst einmal keine direkten rechtlichen Auswirkungen für europäische Unternehmen. Das Tauziehen um den transatlantischen Datenschutz dürfte aber weitergehen.

Es erhöht zum einen aber den Druck auf die zuständige EU-Kommissarin Věra Jourová zu handeln. Die Abgeordneten erwarten von ihr mehr Einsatz für die europäischen Datenschutzstandards. Zum anderen könnte es für Unternehmen schwieriger werden, US-amerikanische Dienstleister zur Verarbeitung personenbezogener Daten einzusetzen. Privacy Shield schreibt vor, dass Nicht-EU-Dienstleister eine angemessene Struktur zum Schutz personenbezogener Daten vorhalten müssen. Diese muss das europäische Datenschutzniveau garantieren. Nach der nun angenommen Resolution ist das für US-amerikanische Unternehmen fraglich, die der Überwachung der nationalen Sicherheitsbehörden unterliegen.

Wie geht es mit Privacy Shield weiter?

Für Unternehmen wird der Zustand der Rechtsunsicherheit bei Datentransfers in die USA wohl noch weiter andauern. Věra Jourová hat auf einem Treffen der EU-Justizminister durchblicken lassen, dass das Vertrauen in die USA erneuert werden müsse. Zwar können Unternehmen aktuell auf Basis des Privacy Shield-Abkommens weiterhin Daten in die USA transferieren. Allerdings hat der EuGH in seiner Entscheidung zu Safe Harbor die europäischen Datenschutzbehörden ermächtigt, vermuteten Datenschutzverstößen eigenständig nachzugehen. Ein pauschaler Angemessenheitsbeschluss der EU-Kommission steht Ermittlungen nicht mehr entgegen, so wie es während des Safe Harbor-Abkommens der Fall war. Damit dürfte es nur eine Frage der Zeit sein, bis europäische Behörden die ersten Ermittlungen gegen US-amerikanische Dienstleister einleiten.

Behörden prüfen internationalen Datenexport

Zehn deutsche Landesbehörden für die Datenschutzaufsicht beginnen im November mit der Überprüfung des Datenexport in das Nicht-EU-Ausland durch Unternehmen. Die Maßnahme verläuft schriftlich und nach dem Zufallsprinzip. Betroffen sind ca. 500 Unternehmen aller Größen und Branchen.

Wie das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) in einer Pressemitteilung bekannt gab, werden zehn Landesbehörden, die zuständig für den Datenschutz sind, beginnend im November Unternehmen überprüfen, die personenbezogene Daten aus der EU hinaus exportieren. Darunter fallen bspw. Datenübermittlungen in die USA.

Datenexport wird umfangreich überprüft

Von der Überprüfung kann de facto jedes Unternehmen betroffen sein. Die Behörden gehen nach dem Zufallsprinzip vor und beziehen in die mögliche Auswahl bewusst Unternehmen jeder Größenordnung und Branchenzugehörigkeit ein. Von der schriftlichen Überprüfungen werden ca. 500 Unternehmen betroffen sein, so das BayLDA.

Cloud Computing und Drittanbieter im Fokus

Die Behörden richten ihr Augenmerk insbesondere auf Unternehmen, die für den Datenexport Cloud Computing nutzen. Gerade der Einsatz von Software as a Service-Produkten (SaaS) interessiert die Datenschützer. Auch die Inanspruchnahme von externen Dienstleistern ist Teil der Überprüfung. Gezielt fragen die Behörden nach deren Beteiligung in den Bereichen Support, Fernwartung, Ticketing, Customer Relationship Management und Bewerbermanagement.

Ziel ist Sensibilisierung

Die Unternehmen müssen zudem die datenschutzrechtliche Grundlage angeben, auf deren Basis die Übermittlung der Daten in einen Nicht-EU-Staat erfolgt. Ziel der Behörden ist primär die Sensibiliserung der betroffenen Unternehmen für das Thema und damit verbundene Probleme. Werden Mängel festgestellt, müssen sich die entsprechenden Unternehmen auf die Aufforderung zur Mängelbeseitigung unter Androhung von Bußgeldern einstellen.

 

Klage gegen Privacy Shield eingereicht

Digital Rights Ireland hat Klage gegen das kürzlich angenommene Abkommen EU-US Privacy Shield eingereicht. Bereits nach zwei Monaten wird Privacy Shield nun zum Fall für die europäischen Gerichte.

Privacy Shield unter Beschuss

Eingereicht wurde eine Nichtigkeitsklage nach Art. 263 AEUV (Vertrag über die Arbeitsweise der Europäischen Union) von der Lobbygruppe Digital Rights Ireland Ltd. Als erstinstanzliches Gericht ist das Europäische Gericht (EuG) zuständig, das die Rechtssache unter dem Aktenzeichen T-670/16 verhandelt. Die zweite Instanz wäre dann der Europäische Gerichtshof (EuGH).

Tauziehen um Datenexport in die USA geht weiter

Mit der eingereichten Klage geht das Tauziehen um den Datenexport aus der EU in die USA in die nächste Runde. Unternehmen haben während des Verfahrens, wenn überhaupt, eine wackelige Rechtssicherheit, die aber kaum ein langfristiges Planen auf Basis des neuen Abkommens ermöglicht. Viele Kritiker von Privacy Shield bezweifeln ein Standhalten des Abkommens bei einer Überprüfung durch den EuGH. Unternehmen müssen sich auf eine anhaltende unklare Rechtslage einstellen.