Update Datenschutz

Der Europäische Gerichtshof erklärt Privacy Shield für ungültig

Der 16. Juli 2020 begann für viele US-Unternehmen mit einem Paukenschlag. Der Europäische Gerichtshof (EuGH) erklärte in seiner Entscheidung (Rechtssache C-311/18 Data Protection Commissioner / Maximillian Schrems und Facebook Ireland) das "Privacy Shield" zwischen der EU und den USA für ungültig. Personenbezogene Daten können somit nicht mehr auf dieser Grundlage von der EU in die USA übermittelt werden. Eine Übergangsfrist gibt es nicht. Die von der EU-Kommission erlassenen Standardvertragsklauseln können jedoch weiterhin verwendet werden.

Generell gilt, dass personenbezogene Daten nur in Drittländer (Länder außerhalb der Europäischen Union) übermittelt werden dürfen, wenn diese ein angemessenes Datenschutzniveau vorweisen. Ein solches angemessenes Datenschutzniveau kann ua aufgrund einer Adäquanzentscheidung in einem Beschluss durch die EU-Kommission festgestellt werden. Eine weitere Möglichkeit einer rechtskonformen Übermittlung besteht in der Verwendung von sogenannten Standardvertragsklauseln, die ebenfalls von der Kommission für unterschiedliche Fallkonstellationen erlassen wurden.

Nachdem der Europäische Gerichtshof im Oktober 2015 die bis dahin angewandte Safe-Harbor-Entscheidung der Europäischen Kommission für ungültig erklärte (Rechtssache C-362/14 – Schrems/Data Protection Commissioner), suchten die Europäische Union und die USA eine Alternative, personenbezogene Daten in Übereinstimmung mit der damals geltenden europäischen Datenschutzrichtlinie aus einem Land der Europäischen Union in die USA übermitteln zu können.

Von Ende 2015 bis Mitte 2016 wurde zwischen der Europäischen Union und den USA eine Nachfolgevereinbarung ausgehandelt, die aus einer Reihe von Zusicherungen der US-amerikanischen Regierung und einem Angemessenheitsbeschluss der EU-Kommission bestand. Am 12. Juli 2016 beschloss die EU-Kommission, dass die Vorgaben des sogenannten Datenschutzschilds (Privacy Shield) dem Datenschutzniveau der Europäischen Union entsprechen.

Der Datenschutzaktivist Maximilian Schrems, der bereits die Safe-Harbor Vereinbarung zu Fall brachte, zweifelte stets an, dass durch die Verwendung des Privacy Shields ein angemessenes Datenschutzniveau gewährleistet werden könnte. Er war schlussendlich auch dafür verantwortlich, dass der EuGH das Privacy Shield für ungültig erklärte. Die wesentlichen Gründe dafür sind:

  • Ebenso wie in der Safe-Harbour-Entscheidung wird auch im Angemessenheitsbeschluss über das Privacy Shield, den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt. Dadurch werden jedoch Eingriffe in die Grundrechte der Personen ermöglicht, deren Daten in die USA übermittelt werden.
  • Die US-Behörden wie NSA und FBI verwenden Überwachungsprogramme die sich nicht auf das "zwingend erforderliche Maß" beschränken, womit die Daten europäischer Nutzer in den USA nicht angemessen geschützt sind.
  • Betroffenen Nutzern in der EU wird kein ausreichender Rechtsbehelf gegen die Überwachung in den USA geboten. Der zuständige, beim US-Außenministerium angesiedelte, Ombudsmann kann keine verbindlichen Entscheidungen gegenüber den US-Behörden erlassen.
     

Die, ebenfalls auf den Prüfstand gestandenen, Standardvertragsklauseln können laut EuGH weiterhin verwendet werden. Der Datenexporteur und der Empfänger der Übermittlung müssen allerdings vorab prüfen, ob das erforderliche Schutzniveau im betreffenden Drittland überhaupt eingehalten werden kann. Im Zweifelsfall muss die Datenübermittlung vom Exporteur ausgesetzt werden und/oder muss er vom Vertrag mit dem Empfänger zurücktreten. Außerdem sind die zuständigen Aufsichtsbehörden in der EU befugt, den Datentransfer in die USA zu überprüfen und gegebenenfalls auch zu untersagen, wenn sie Zweifel an der Rechtmäßigkeit der Datenübermittlung haben.

Zukünftig reicht es bei Datenübermittlungen in Drittländer somit nicht mehr aus, einfach die Standardvertragsklauseln zu unterschreiben. Vielmehr muss der Datenexporteur vorab eine Bewertung des Schutzniveaus im Empfängerland für die übermittelten Daten vornehmen. Es bleibt zu hoffen, dass die Aufsichtsbehörden eine Bewertung vornehmen, für welche Länder unter welchen Voraussetzungen ein angemessenes Schutzniveau angenommen werden kann.


Deutschland: Hohe Geldbuße wegen unzureichender Datensicherheitsmaßnahmen

Die Bußgeldstelle des Landesbeauftragten für Datenschutz und Informationsfreiheit (LfDi) Baden-Württemberg hat mit Bescheid vom 25. Juni 2020 gegen die Allgemeine Ortskrankenkasse (AOK) Baden-Württemberg eine Geldbuße von € 1,24 Mio. verhängt. Die AOK verwendete die Daten von 500 Gewinnspielteilnehmern ohne deren Zustimmung zu Werbezwecken. Die Strafe hätte sogar noch höher ausfallen können.

Die AOK Baden-Württemberg veranstaltete über mehrere Jahre verschiedene Gewinnspiele. Die dabei erhobenen personenbezogenen Daten (Kontaktdaten und Krankenkassenzugehörigkeit) sollten auch für Werbezwecken genutzt werden, jedoch nur dann, wenn der Teilnehmer in diese Datenverarbeitung explizit eingewilligt hatte. Dies wollte die AOK mithilfe technischer und organisatorischer Maßnahmen (zB internen Richtlinien und Datenschutzschulungen) sicherstellen.

Aufgrund der gesetzten Maßnahmen konnte jedoch nicht verhindert werden, dass die Daten von 500 Gewinnspielteilnehmern ohne deren Einwilligung für werbliche Zwecke verwendet wurden. Unmittelbar nach Bekanntwerden der unzulässigen Datenverwendung stellte die AOK ihre beanstandeten Vertriebstätigkeiten ein und unterzog die damit zusammenhängenden Abläufe einer Überprüfung. Es wurde eine Task Force für den Datenschutz im Vertrieb gegründet und die Einwilligungserklärungen angepasst sowie interne Prozesse und Kontrollstrukturen verbessert. Außerdem zeigte die AOK ihre Bereitschaft, mit dem LfDi zu kooperieren, um weitere notwendige Maßnahmen auszuarbeiten und zu implementieren. Dadurch konnte innerhalb kurzer Zeit eine Steigerung des Schutzniveaus für personenbezogene Daten bei Vertriebstätigkeiten der AOK erreicht werden.

Die von der AOK gesetzten Abhilfemaßnahmen und Kooperationsbereitschaft führten dazu, dass letztendlich eine noch höhere Geldbuße wegen eines Verstoßes gegen die Pflichten zur sicheren Datenverarbeitung gemäß Art. 32 DSGVO vermieden werden konnte. Bei der Bemessung der Geldbuße wurde neben Umständen wie der Größe und der Bedeutung der AOK Baden-Württemberg insbesondere auch berücksichtigt, dass sie als eine gesetzliche Krankenversicherung wichtiger Bestandteil des Gesundheitssystems ist. Die Erfüllung der gesetzlichen Aufgabe, die Gesundheit der Versicherten zu erhalten, wiederherzustellen oder zu verbessern, sollte durch die verhängte Geldbuße nicht gefährdet werden.

Wie wichtig die Setzung und Anpassung von Datensicherheitsmaßnahmen ist, verdeutlicht der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Dr. Stefan Brink: „Datensicherheit ist eine Daueraufgabe. Technische und organisatorische Maßnahmen sind regelmäßig den tatsächlichen Verhältnissen anzupassen, um auf Dauer ein angemessenes Schutzniveau sicherzustellen.“

Die Strafe wäre bestimmt auch dann höher ausgefallen, hätte die Behörde einen Verstoß gegen Art. 6 DSGVO wegen fehlender Einwilligung in die Datenverarbeitung festgestellt. In diesem Fall wäre nämlich im Gegensatz zu einem Verstoß gegen Art. 32 DSGVO der höhere Strafrahmen des Art 83 DSGVO (nämlich Geldbußen bis zu € 20 Mio. bzw 4% des weltweiten Jahresumsatzes statt € 10 Mio. und 2%) zur Anwendung gekommen. Die AOK kündigte durch einen Sprecher an, kein Rechtsmittel gegen die verhängte Strafe einzulegen.


Deutschland: Auskunftsanspruch über Daten in Backups?

Das Landesgericht Heidelberg hat in seiner Entscheidung vom 6. Februar 2020 (4 O 6/19) einen Anspruch eines ehemaligen Arbeitnehmers auf Auskunft in seine personenbezogenen Daten abgelehnt, weil sich diese in einem Backup befinden und deren Wiederherstellung einen unverhältnismäßigen Aufwand für den Verantwortlichen darstellen würde.

Der klagende Arbeitnehmer verlangte als ehemaliges Vorstandsmitglied seines (ehemaligen) Arbeitgebers Auskunft und Übergabe aller verfügbaren personenbezogener Daten für einen bestimmten Zeitraum. Das Besondere an diesem Fall bestand darin, dass der Arbeitgeber insolvent war und sämtliche Daten des Klägers als Backup auf einen Datenträger gesichert waren, der sich bei einem Dritten befand. Der Aufwand für die Wiederherstellung aus dem Backup wurde vom Insolvenzverwalter mit etwa € 4.000 bemessen.

Das Gericht bezweifelte bereits, ob der Verantwortliche überhaupt die im Backup gesicherten Daten im Sinne der DSGVO verarbeite. Offensichtlich bezog sich das Gericht in diesem Zusammenhang auf eine alte Vorschrift aus dem BDSG. Im Ergebnis stellte das Gericht jedoch fest, dass die Erteilung der Auskunft einen unverhältnismäßigen Aufwand für den Verantwortlichen darstelle. Die angefragten Daten waren zwischen neun und zehn Jahren alt und der Verantwortliche existierte in der damaligen Form nicht mehr. Ein mangelndes bzw fehlendes Informationsinteresse des Klägers zog das Gericht aus der Tatsache, dass dieser der mündlichen Verhandlung fernblieb.

Grundsätzlich hat sich das Gericht nicht gegen eine bestehende Auskunftspflicht gemäß Art. 15 DSGVO ausgesprochen. Im konkreten Einzelfall hat es einen solchen aber dennoch wegen eines unverhältnismäßigen Aufwandes des Verantwortlichen abgelehnt.

Auch wenn es sich um eine deutsche Entscheidung handelt, ist diese mittelbar auch für Österreich von Interesse und zwar ob und inwieweit ein Auskunftsanspruch wegen unverhältnismäßigen Aufwands des Verantwortlichen abgelehnt werden kann. Vorab bleibt einmal abzuwarten, ob die Entscheidung des Landesgerichts Heidelberg einer weiteren gerichtlichen Überprüfung (falls es dazu kommt) überhaupt standhält.


Pay oder Ok – Zahlen mit Daten

Die österreichische Datenschutzbehörde (DSB) hat am 20. August 2019 (DSB-D122.974/0001-DSB/2019  – die Entscheidung wurde offensichtlich erst vor kurzem veröffentlicht) erneut entschieden, dass unter bestimmten Voraussetzungen der Zugang zu den Inhalten einer Website von der Zustimmung zur Verwendung von Werbe-Cookies abhängig gemacht werden kann, wenn dem Nutzer dazu eine zumutbare Alternative zur Verfügung gestellt wird. Damit hat die Behörde die in der „Standard-PUR-Abo“-Entscheidung aus dem Jahr 2018 (DSB-D122.931/0003-DSB/2018) aufgestellten Grundsätzen bestätigt.

Die Beschwerdegegnerin stellt online auf ihrer Webseite täglich journalistische Artikel zu diversen Themen bereit. Unter den Artikeln besteht für User die Möglichkeit, Kommentare zu den Artikeln abzugeben, wobei die User-Beiträge moderiert werden. Die Besucher der Webseite haben die Möglichkeit die Webseite kostenlos unter der Verwendung von Werbe-Cookies zu nutzen oder eine werbe- und trackingfreie aber kostenpflichtige Bezahlvariante zu abonnieren.

Der Beschwerdeführer behauptete die Verletzung von § 1 DSG (Grundrecht auf Geheimhaltung), da die Zustimmung zur kostenlosen Variante nicht freiwillig erfolge, weil die Erbringung der Dienstleistung von der Einwilligung zur Verarbeitung personenbezogener Daten abhängig gemacht werden. Darin liege eine unzulässige Koppelung.

Angelehnt an Kühling/Buchner (DS-GVO Kommentar (2017), Rz 41ff. zu Art. 7) hat die DSB einige (Abwägungskriterien) Kriterien für die Freiwilligkeit bzw. Unfreiwilligkeit einer Einwilligung herangezogen, nämlich Ungleichgewicht, Erforderlichkeit, vertragscharakteristische Leistung, zumutbare Alternative und angemessener Interessensausgleich.

Im Ergebnis hat die DSB festgestellt, dass in der kostenpflichtigen Abo-Variante eine nicht unverhältnismäßig teure Alternative zur „kostenfreien“ Variante besteht. Außerdem könne jederzeit auf ein alternatives Informationsangebot zurückgegriffen werden. Weiters erfolgt die Bereitstellung von journalistischen Inhalten in der Regel kostenpflichtig und nur dann entgeltfrei, wenn eine Werbefinanzierung möglich ist. Den Medienunternehmen von Online Zeitungen erwachsen nicht unerhebliche Kosten (ua auch für den Betrieb und die Moderation des Online-Forums), deren Form der Abgeltung im Rahmen der verfassungsgesetzlich gewährleisteten Privatautonomie grundsätzlich dem Unternehmen obliegt. Abschließend hat die DSB festgehalten, dass bei der Nichtabgabe einer Einwilligung zur Verwendung von Cookies, dem Nutzer kein wesentlicher Nachteil entsteht bzw. er mit keinen negativen Folgen konfrontiert wird, da für ihn zumutbare Alternativen bestehen.

In Österreich gibt es somit offensichtlich eine gefestigte Rechtsprechung, was die Zurverfügungstellung von journalistischen Inhalten gegen eine „Bezahlung“ mit Daten betrifft. Soweit ersichtlich liegen zu diesem Thema in anderen EU-Ländern, noch keine entsprechenden Entscheidungen vor. Es bleibt daher abzuwarten, wie dieses Thema von anderen europäischen Aufsichtsbehörden beurteilt wird. Erwähnenswert ist jedoch eine Entscheidung des Oberlandesgerichtes (OLG) Frankfurt am Main aus dem Juni 2019 (Az. 6 U 6/19), mit welcher dieses festgestellt hat, dass eine Werbeeinwilligung auch dann als freiwillig anzusehen ist, wenn die Einwilligungserklärung Voraussetzung für die Teilnahme an einem Gewinnspiel ist. In diesem Fall könne und müsse der Verbraucher selbst entscheiden, ob ihm die Teilnahme am Gewinnspiel die Preisgabe seiner Daten „wert“ ist.  



Hinweis: Dieser Newsletter stellt lediglich eine generelle Information und keineswegs eine Rechtsberatung von Binder Grösswang Rechtsanwälte GmbH dar. Der Newsletter kann eine individuelle Rechtsberatung nicht ersetzen. Binder Grösswang Rechtsanwälte GmbH übernimmt keine Haftung, gleich welcher Art, für Inhalt und Richtigkeit des Newsletters.



Lade...