Podcast Folge 15 – Shownotes

EuGH-Urteil zum Privacy Shield

Sven Schüldink und Faraz Afscharian befassen sich in dieser Folge mit einem Datenschutzthema. Sie sprechen in der fünfzehnten Folge über Datenschutzinformationspflichten.

Worum ging es im EuGH-Urteil (1:05)
Hintergrund des Urteils war die Beschwerde des Österreichers Max Schrems gegen die Übermittlung von pb-Daten in die USA, da dabei die Daten von EU-Bürgern für Strafverfolgungsbehörde wie das FBI und die NSA einsehbar sind und es für EU-Bürger keine oder nur sehr erschwerte Möglichkeit zu Rechtsbehelfe dagegen gibt. Das Urteil umfasst hier die Grundlagen der Standarddatenschutzklauseln bzw. der Standardvertragsklauseln und des Privacy Shield. Das Urteil des EuGH können Sie hier einsehen.

Über die Standardvertragsklauseln wurde geurteilt (2:15)
Die Standardvertragsklauseln können Sie hier einsehen.

Einsichtnahme durch US-Strafverfolgungsbehörden (02:52)
Der „Clarifying Lawful Overseas Use of Data Act“ oder auch kurz „Cloud Act“ kann hier eingesehen werden.

Sind die Klauseln ungültig? (03:19)
Nein. Die Standarddatenschutzklauseln müssen aber die gleichen durchsetzbaren Rechte und wirksamen Rechtsbehelfe gewährleisten. Die Verwender dieser Klauseln müssen selbst prüfen, ob diese Garantien ausreichend sind oder durch weitere Maßnahmen ergänzt werden müssen – besonders, wenn im Zielland schlechte Datenschutzbedingungen herrschen. Ein Daten-Exporteur, der bereits Standardvertragsklauseln verwendet, hat sich damit verpflichtet, die Datenübermittlung auszusetzen, falls die Klauseln im Zielland nicht eingehalten werden, oder zumindest die zuständige Aufsichtsbehörde zu informieren. Sind solche Klauseln nicht ausreichend und sind insoweit keine geeigneten Zusatzmaßnahmen getroffen, können die Datenschutzbehörden anordnen, dass die Übermittlung auszusetzen ist.

Was muss nun bezüglich der Anbieter geschehen (5:25)
Dies kann in der Praxis bereits bedeuten, dass die Wahrscheinlichkeit hoch ist, dass die Verwendung von z. B. Zoom oder Office 365 rechtswidrig ist. Hier bedarf es aus unbedingt einer Prüfung durch den Verantwortlichen oder seines Beauftragten.

Wie sieht es mit dem Privacy Shield aus? (10:24)
Ganz klar hat sich der EuGH zum Privacy Shield geäußert. Diese ist für ungültig erklärt worden. Falls also Verarbeitung – also Übermittlungen – die nur auf den Angemessenheitsbeschluss in Form des Privacy Shields ohne eine weitere Grundlage beruhen. Muss ganz klar gesagt werden, dass diese Verarbeitung einzustellen ist, bis weitere Garantien den Schutz der EU-Bürger gewährleisten Teilnehmer und Informationen zum EU-U.S. and Swiss-U.S. Privacy Shield Framework finden Sie hier. 

Wie sieht es mit Videokonferenztools aus? (12:02)
Die Berliner Datenschutzaufsichtbehörde hat im Zuge der Bewertung von Video- Konferenztools dem Anbieter Microsoft eine schlechte Note erteilt, welche wiederum Microsoft nicht auf sich beruhen lassen möchte. Der Behörde geht es vereinfacht darum, dass die Auftragsverarbeitungsvereinbarung – die DPA – nicht korrekt ausgestaltet ist, sodass sich MS Verarbeitungen von pb-Daten zu eigenen Zwecken vorhält, Unklarheiten und Widersprüche in den Vereinbarungen vorliegen und das es unzulässige Datenexporte bestehen. Ferner soll MS die Vereinbarungen nachträglich geändert haben. Allerdings muss hierbei bedacht werden, dass es sich momentan nur die Meinung einer Behörde handelt. Hier bleibt also abzuwarten, wie sich die anderen Behörden bezüglich MS Teams positionieren bzw. ob MS diesbezüglich Verbesserungen vornimmt. Information zu diesem Komplex finden Sie z. B. hier:

https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/ pressemitteilungen/2020/20200703-PM- Kurzpruefung_Videokonferenzdienste_fuer_Berliner_Verantwortliche.pdf

https://news.microsoft.com/de-de/stellungnahme-zum-vermerk-berliner- datenschutzbeauftragte-zur-durchfuehrung-von-videokonferenzen-waehrend-der- kontaktbeschraenkungen/

https://fragdenstaat.de/anfrage/austausch-mit-microsoft-zur-ds-gvo-konformitat-von- telefonkonferenzsoftware/

Verschlüsseln der Daten in der Cloud? (19:22)
Es kann mittels Zusatztools der Inhalt von Cloud-Speichern verschlüsselt werden, um so die Einsichtnahme durch Dritte (z. B. dem Anbieter der Cloud) unmöglich zu machen und den Personenbezug der Daten die in der Cloud gespeichert sind zu entfernen – Anonymisierung. Informationen zu einer zusätzlichen Verschlüsselung finden Sie z. B. hier. Information zu einer Anonymisierung finden Sie im Erwägungsgrund Nr. 26 der DSGVO.