Konzerninterne Datentransfers: Hessische Aufsichtsbehörde verweist auf gesetzliche Erlaubnisnormen

Am 11.7.2016 hat der hessische Datenschutzbeauftragte seinen 44. Tätigkeitsbericht vorgestellt (pdf).

Unter anderem befasst sich der Datenschutzbeauftragte in seinem Bericht auch mit der Frage, unter welchen rechtlichen Voraussetzungen personenbezogene Daten von Arbeitnehmern in einem Konzern zwischen Unternehmen übermittelt werden dürfen. Bekanntermaßen kennt das deutsche Datenschutzrecht kein Konzernprivileg. Liegt also kein Fall der Auftragsdatenverarbeitung vor und werden personenbezogene Daten an eine andere verantwortliche Stelle im selben Konzern weitergegeben, so liegt datenschutzrechtlich betrachtet eine rechtfertigungsbedürftige „Übermittlung“ vor.

§ 32 BDSG

Der hessische Datenschutzbeauftragte weist darauf hin, dass als Rechtsgrundlage für die Übermittlung von Beschäftigtendaten insbesondere § 32 Abs. 1 Satz 1 BDSG in Betracht kommt. Diese Bestimmung setzt voraus, dass die Verarbeitung (im konkreten Fall die Übermittlung der Daten) für die Durchführung des Beschäftigungsverhältnisses „erforderlich ist“.

In der Praxis stellt sich dann freilich die Frage, wann von einer Erforderlichkeit der Verarbeitung auszugehen ist. Diesbezüglich verweist der Datenschutzbeauftragte auf den Arbeitsbericht der Ad-hoc-Arbeitsgruppe “Konzerninterner Datentransfer” vom 11.01.2005. Zum einen sei von der Erforderlichkeit auszugehen, sofern der Arbeitsvertrag einen bei Vertragsabschluss für den Betroffenen erkennbaren Konzernbezug aufweist, wenn er also z. B. ein Tätigwerden des Arbeitnehmers auch in anderen Konzernunternehmen vorsieht. Zum anderen sei die Erforderlichkeit auch vorhanden, wenn bei der Einstellung des Arbeitnehmers deutlich erkennbar ist, dass die Personaldatenverarbeitung in einem anderen Konzernunternehmen zentralisiert ist. Wenn das Unternehmen dann noch entsprechend den Vorgaben des § 4 Abs. 3 BDSG über die Identität der verantwortlichen Stelle, die Zwecke der Verarbeitung sowie die Kategorien der Empfänger der Daten informiert, ist dies nach Auffassung des Datenschutzbeauftragten ausreichend, um die Datenübermittlung nach § 32 Abs. 1 Satz 1 BDSG zu legitimieren.

Dauerproblem: Einwilligung

In dem im Tätigkeitsbericht beschriebenen konkreten Fall trat der Umstand hinzu, dass der Arbeitgeber ursprünglich eine Einwilligung der Arbeitnehmer für die Übermittlung einholte. Zwar gesteht der hessische Datenschutzbeauftragte zu, dass auch die Einwilligung eine Grundlage für die konzerninterne Datenübermittlung darstellen kann. Jedoch führt er weiter aus:

Aufgrund des wirtschaftlichen Ungleichgewichts und der existentiellen Bedeutung des Beschäftigungsverhältnisses wird im Allgemeinen jedoch bezweifelt, dass auf Seiten der Beschäftigten die Einwilligung freiwillig erteilt werden kann.

Zwar ist es richtig, dass gerade in einem Beschäftigungsverhältnis möglicherweise ein Ungleichgewicht vorherrscht. Eventuell kann es dann auch an der Freiwilligkeit einer Einwilligung fehlen. Jedoch davon auszugehen, dass „im Allgemeinen“ bezweifelt werde, dass die Einwilligung von Beschäftigten nicht freiwillig erteilt werden könne, erscheint nicht angebracht. Es dürfte sich hierbei vielmehr um eine (von mindestens zwei) vertretene Ansicht handeln. Auch im Arbeitsverhältnis kann grundsätzlcih eine datenschutzrechtliche Einwilligung wirksam eingeholt werden. Im Jahr 2015 (Urteil vom 11.12.2014, 8 AZR 1010/13) hat dies auch das Bundesarbeitsgericht vertreten:

Auch im Rahmen eines Arbeitsverhältnisses können Arbeitnehmer sich grundsätzlich „frei entscheiden“, wie sie ihr Grundrecht auf informationelle Selbstbestimmung ausüben wollen.

Und unter der Datenschutz-Grundverordnung?

Auch die ab  dem 25. Mai 2018 anwendbare Datenschutz-Grundverordnung wird kein ausdrückliches Konzernprivileg kennen. Jedoch wird in Erwägungsgrund 48 S. 1 klargestellt, dass Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, ein berechtigtes Interesse haben können, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln.

Die europäische Datenschutz-Grundverordnung macht damit deutlich, dass eine konzerninterne Übermittlung von Beschäftigtendaten und auch Kundendaten als berechtigtes Interesse des Verantwortlichen angesehen werden kann und damit die Voraussetzungen des Erlaubnistatbestandes nach Art. 6 Abs. 1 lit. f) erfüllt sein können.

PrivacyShield: Doppelte Pflichten für US-Unternehmen ab Mai 2018?

Heute gab die Europäische Kommission bekannt, dass der sogenannte Artikel 31 Ausschuss (Vertreter der europäischen Mitgliedstaaten) den überarbeiteten Entwurf des EU-US Privacy Shield abgesegnet hat (4 Mitgliedstaaten haben sich jedoch wohl bei der Abstimmung enthalten). Nun muss nur noch die Europäische Kommission insgesamt den erforderlichen Angemessenheitsbeschluss fassen. Dies soll wohl Anfang kommender Woche geschehen. Eine für Montag angesetzte Aussprache bzw. Diskussion im LIBE-Ausschuss des europäischen Parlaments wird keine inhaltlichen Änderungen zur Folge haben.

Wie der finale Text nun konkret aussieht, wissen wir leider noch nicht. Spiegel Online veröffentlichte zumindest einen überarbeiteten Entwurf am 30. Juni 2016 (pdf). Eventuell handelt es sich hierbei auch um die finale Fassung.

Die Regelungen des Privacy Shield, also insbesondere die Grundsätze (Principles), müssen von US-amerikanischen Unternehmen eingehalten werden, wenn sie entweder als verantwortliche Stelle oder auch als Auftragsverarbeiter handeln und Person bezogenen Daten aus der Europäischen Union erhalten und verarbeiten.

Der Angemessenheitsbeschluss der Europäischen Kommission wird eine Übermittlung personenbezogener Daten an US-Unternehmen insoweit legitimieren, als es um die Frage des angemessenen Schutzniveaus in den USA geht (Art. 25 Abs. 6 Richtlinie 95/46/EG). Daneben ist zu beachten, dass die verantwortliche Stelle in Europa noch dafür Sorge zu tragen hat, dass die Datenverarbeitung in Form der Übermittlung selbst auch zulässig ist. Hierfür bedarf es also etwa eine Einwilligung, eines Vertrages mit der betroffenen Person oder aber berechtigte Interessen der verantwortlichen Stelle und keine entgegenstehenden schutzwürdigen Interessen der betroffenen Person.

Bei einer ersten Sichtung des Privacy Shield hat sich mir die Frage gestellt, was denn aus Sicht der amerikanischen Unternehmen ab dem vom 25. Mai 2018 zu beachten ist: die Grundsätze des Privacy Shield oder aber die gesetzlichen Vorgaben der Datenschutz-Grundverordnung (DSGVO)? Oder vielleicht sogar beide Instrumente und in diesen enthaltende Verpflichtungen parallel?

Nach Art 3 Abs. 2 DSGVO findet die Verordnung Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht, betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten. Wichtig bereits hier der Hinweis: auch ein Auftragsverarbeiter in einem Drittstaat muss sich also an die Vorgaben der DSGVO halten, wenn die Voraussetzungen von Art. 3 Abs. 3 DSGVO erfüllt sind. Zu denken ist etwa an ein Unternehmen, welches Clouddienste oder andere Onlinedienste direkt gegenüber Personen in der Union, im Auftrag eines Verantwortlichen in der EU, erbringt. Genauso kann eine Dienstleistung auch durch einen Verantwortlichen angeboten werden, der dies etwa gemeinschaftlich mit einem weiteren Verantwortlichen in der Union gestaltet und von diesem EU-Verantwortlichen personenbezogene Daten erhält.

Nach Erwägungsgrund 15 S. 2 des Privacy Shield sind die Grundsätze aber ausdrücklich nur auf die Verarbeitung personenbezogener Daten anwendbar, soweit die Verarbeitung nicht in den Anwendungsbereich des Unionsrechts fällt. Also etwa in dem oben erdachten Beispiel. Was bedeutet dies nun? Gilt für einen Auftragsverarbeiter oder Verantwortlichen in den USA dann allein die DSGVO? Oder eventuell doch auch parallel die Grundsätze des Privacy Shield? So könnte man evntuell Erwägungsgrund 15 S. 3 verstehen, nach dem das Privacy Shield keinen Einfluss auf die Anwendbarkeit von Unionsrecht hat, welches die Verarbeitung personenbezogener Daten in den Mitgliedstaaten regelt. Nach diesem Satz 3 ist die Anwendbarkeit des Privacy Shield zumindest nicht ausgeschlossen.

Mir scheinen die Vorgaben für US-Unternehmen hier in jedem Fall unklar zu sein. Wenn ein US-Unternehmen sich nicht an die Vorgaben des Privacy Shield halten würde, dann liefe es aber Gefahr, den „Angemessenheitsstatus“ zu verlieren und die Übermittlung aus der EU wäre eventuell unzulässig (zumindest soweit man sich auf das Privacy Shield beruft). Denn in einem Drittstaat befindet sich das Unternehmen ja die ganze Zeit, auch wenn es sich an die Vorgaben der DSGVO halten muss.

Dies ist nur ein erster Gedanke zu dem neuen Angemessenheitsbeschluss, dessen Anwendung und konkrete Umsetzung uns sicherlich in den nächsten Jahren noch beschäftigen wird.

Datenschutz-Grundverordnung: jede Datenverarbeitung muss auf ihre Vereinbarkeit mit den neuen Vorgaben überprüft werden

Am 24. Mai 2016 ist die europäische Datenschutz-Grundverordnung (DSGVO) in Kraft getreten. Ab dem vom 25. Mai 2018 wird sie in den europäischen Mitgliedstaaten und den Staaten des EWR unmittelbar anwendbar sein.

Unternehmen, Vereine, Verbände und andere Stellen, die bereits derzeit personenbezogene Daten verarbeiten, haben nun knapp zwei Jahre Zeit, sich auf die neuen Vorgaben einzustellen und gegebenenfalls Datenverarbeitungsprozesse, die interne Organisation, Datenschutzerklärungen, etc. auf ihre Konformität mit der DSGVO hin zu prüfen.

Diese Prüfung ist auch dringend erforderlich. Selbst für derzeit rechtmäßige Datenverarbeitungen, mögen sie auf einer Einwilligung oder auch auf einem Erlaubnistatbestand (wie zum Beispiel im Rahmen der Durchführung eines Vertrages) beruhen, wird es nach dem vom 25. Mai 2018 kein einfaches „weiter so“ allein aus dem Grund geben, weil die betreffende Datenverarbeitung derzeit zulässig ist.

Nach Art. 94 Abs. 1 DSGVO wird die noch existierende europäischen Datenschutzrichtlinie 95/46/EG mit Wirkung vom 25. Mai 2018 aufgehoben. Nationale Datenschutzgesetze, die die Vorgaben der europäischen Datenschutzrichtlinie umsetzen, sind zwar nicht per se ungültig, jedoch genießt das europäische Recht Anwendungsvorrang vor den nationalen Regelungen, soweit sich diese decken. Vorschriften wie etwa § 4a oder § 28 BDSG sind dann zum Großteil nicht mehr anwendbar.

Erwägungsgrund 171 S. 2 DSGVO bestimmt, dass Verarbeitungen, die zum Zeitpunkt der Anwendung der DSGVO (also zum 25. Mai 2018) bereits begonnen haben, innerhalb von zwei Jahren nach dem Inkrafttreten der DSGVO (also nach dem 24. Mai 2016) mit der DSGVO „in Einklang gebracht werden“ müssen. Dies bedeutet: nach dem vom 25. Mai 2018 müssen jegliche Datenverarbeitung die in den Anwendungsbereich der DSGVO fallen auch ihre Voraussetzungen erfüllen. Allein die aktuelle Rechtmäßigkeit von derzeit vorgenommen Datenverarbeitungen taugt also nicht, um sie in den Zeitraum nach dem vom 25. Mai 2018 zu übertragen.

Ganz konkret müssen für jede Datenverarbeitung die spezifischen Voraussetzungen aus der DSGVO, also etwa für die Einwilligung aus Art. 6 Abs. 1 lit. a und Art. 4 Nr. 11 DSGVO, erfüllt werden.

Die DSGVO erläutert diese Situation beispielhaft anhand der Einwilligung in Erwägungsgrund 171. Beruht danach die Verarbeitung auf einer Einwilligung gemäß der Richtlinie 95/46/EG, „so ist es nicht erforderlich, dass die betroffene Person erneut ihre Einwilligung dazu erteilt, wenn die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht“. Die entscheidende Aussage verbirgt sich am Ende des Satzes. Den Bedingungen dieser Verordnung. Allein darum geht es.

Zu beachten ist, dass sich diese Prüfung nicht allein auf die Erfüllung der Voraussetzungen eines jeweiligen Erlaubnistatbestandes beschränkt. Datenverarbeitungen müssen etwa nach Art. 5 Abs. 1 DSGVO auch alle dort aufgezählten Grundsätze kumulativ erfüllen. Das ergibt sich klar aus der Vorgabe “Bedingungen dieser Verordnung”, die sich gerade nicht auf “Voraussetzungen von Art. 6″ oder “Bedingungen des Art. 6″ beschränkt.

Datenschutz-Grundverordnung: Bayerische Behörde veröffentlicht Hinweise zu Schwerpunktthemen

Die Datenschutz-Grundverordnung (DSGVO) ist in Kraft. Bis zum 25 Mai 2018, dann ist sie anwendbar, müssen Unternehmen in Europa die eigenen Datenverarbeitungsprozesse auf ihre Konformität mit den neuen Regelungen prüfen.

Das bayerische Landesamt für Datenschutzaufsicht (BayLDA) ist, wie andere Aufsichtsbehörden in Europa, derzeit bemüht, eine einheitliche Sichtweise und Interpretationen zu den neuen Gesetzesvorgaben zu erarbeiten. In diesem Zusammenhang kündigte die Behörde letzte Woche an, dass man in regelmäßigen Abständen (wohl zweimal im Monat) kurze Übersichtspapiere zu ausgewählten Schwerpunkten der DSGVO veröffentlichen wird. Hierbei soll es sich um Informationen zur gegenwärtigen Auslegung verschiedener Vorschriften der DSGVO handeln. Die Behörde weist ausdrücklich darauf hin, dass es sich bei diesen Übersichtspapieren noch nicht um verbindliche Auffassungen handelt.
Auch wenn es sich nur um eine erste Auslegungs- und Interpretationshilfe durch eine Aufsichtsbehörde handelt, ist der Schritt des BayLDA, derartige Hinweise zu veröffentlichen, meines Erachtens uneingeschränkt zu begrüßen.

Das erste Übersichtspapier (PDF) widmet sich der „Sicherheit der Verarbeitung“ (Art. 32 DSGVO). Nach Art 32. Abs. 1 1. HS DSGVO haben der Verantwortliche und der Auftragsverarbeiter, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Das BayLDA nennt als klassische Schutzziele der IT-Sicherheit die Vertraulichkeit, Integrität und Verfügbarkeit, die sich auch in der DSGVO an zentraler Stelle in Art. 32 Abs. 1 DSGVO finden. Jedoch führt die DSGVO auch ein neues Schutzziel ein: die Belastbarkeit. Nach Auffassung des BayLDA müssen Verantwortliche (ich möchte ergänzen: und auch Auftragsverarbeiter) künftig auch die Belastbarkeit der Systeme und Dienste, die in Zusammenhang mit der Verarbeitung stehen, gewährleisten. Welche Maßnahmen jedoch konkret zur Belastbarkeit positiv beitragen, wird in der DSGVO nicht erwähnt.

Des Weiteren weist das BayLDA darauf hin, dass Art. 32 Abs. 1 DSGVO von geeigneten technischen und organisatorischen Maßnahmen spricht, die der Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung u. a. des Stands der Technik und der Implementierungskosten zu treffen haben. Nach Ansicht der Behörde wird einerseits stets zu prüfen bleiben, was beim jeweiligen Verfahren als Stand der Technik angesehen wird. Anderseits wird auch die Verhältnismäßigkeit einer Maßnahme hinsichtlich des Aufwands zu diskutieren sein. Die Gewährleistung der Sicherheit der Verarbeitung muss zudem nachgewiesen werden können (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO). Nach Ansicht der Behörde werden in diesem Zusammenhang in Zukunft genehmigte Verhaltensregeln und Zertifizierungen an Bedeutung gewinnen.

Datenschutz-Grundverordnung: Deutsche Datenschutzbehörden fordern mehr Personal und finanzielle Mittel

Am 24. Mai 2016 ist die Datenschutz-Grundverordnung in Kraft getreten. Ab dem 25. Mai 2018 wird sie in allen europäischen Mitgliedstaaten unmittelbar anwendbar sein. Nicht nur Unternehmen oder Behörden haben also nun zwei Jahre Zeit, ihre Datenverarbeitungsprozesse den zukünftigen Vorgaben anzupassen. Auch die jeweiligen nationalen Gesetzgeber müssen die geltenden datenschutzrechtlichen Bestimmungen in ihrem Mitgliedstaat auf Konformität mit den zukünftigen Regelungen prüfen.

Die Konferenz der unabhängigen Datenschutzbeauftragten des Bundes und der Länder fordert vor diesem Hintergrund in einer Entschließung vom 25. Mai 2016 den deutschen Landes und Bundesgesetzgeber auf, den Datenschutzaufsichtsbehörden mehr Personal und auch finanzielle Mittel zur Verfügung zu stellen, damit die Behörden die ihnen zugedachten Aufgaben wirksam erfüllen können.

Die deutschen Aufsichtsbehörden weisen in ihrer Entschließung darauf hin, dass die Datenschutz-Grundverordnung die Mitgliedstaaten verpflichtet, die Aufsichtsbehörden zur Gewährleistung ihrer Unabhängigkeit mit den erforderlichen personellen, finanziellen und technischen Ressourcen auszustatten (Art. 52 Abs. 4 DSGVO). Aus Sicht der deutschen Behörden ist es

für die Bewältigung der neuen Aufgaben zwingend erforderlich, für die Datenschutzbehörden in Deutschland erweiterte personelle und finanzielle Ressourcen vorzusehen. Dies gilt bereits für die jetzt laufende Vorbereitungsphase, in der die Weichen für eine funktionierende Umsetzung der Datenschutz-Grundverordnung gestellt werden.

Dieser Forderung der deutschen Aufsichtsbehörden wird man sich, wenn man bereits die aktuelle Situation betrachtet, durchaus anschließen können. Interessant würde es natürlich werden, wenn die deutschen Aufsichtsbehörden nicht mit den erforderlichen Mitteln und dem nötigen Personal ausgestattet werden und bei Anwendbarkeit der Datenschutz-Grundverordnung dann eventuell ein Mitgliedstaat durch die Europäische Kommission im Wege einer Vertragsverletzungsklage nach Art. 258 AEUV verklagt wird. Derartige Klagen gab es ja bereits unter der geltenden Datenschutzrichtlinie (z.B. in der Rechtssache C?614/10).

Ein weiterer interessanter Aspekt der Entschließung ist, dass sich die bayerischen Behörden bei der Abstimmung zur Annahme dieser Entschließung enthalten haben. Sowohl der Bayerische Landesbeauftragte für den Datenschutz als auch das Bayerische Landesamt für Datenschutzaufsicht scheinen also die Positionen der übrigen Aufsichtsbehörden zumindest nicht in Gänze zu teilen. Man darf gespannt sein, inwieweit der Gesetzgeber auf Landes- und Bundesebene der Forderung der Aufsichtsbehörden nachkommt.

Datenschutz-Grundverordnung – Kaum beachtet: Deutsche Privilegierung der Auftragsdatenverarbeitung entfällt.

Im deutschen Datenschutzrecht kennt man bekanntlich eine sog. Privilegierung der Auftragsdatenverarbeitung. Schaltet die verantwortliche Stelle etwa einen Dienstleister ein, der für sie und in ihrem Auftrag personenbezogene Daten verarbeiten soll, so bedarf die Übermittlung der Daten an diesen Auftragsdatenverarbeiter, obwohl es sich hierbei um eine Datenverarbeitung handelt, keiner gesetzlichen Erlaubnis (also zB keiner Einwilligung der Betroffenen oder das Vorliegen eines gesetzlichen Erlaubnistatbestandes). Der Vorgang der Übergabe der Daten oder auch die Gewährung des Zugriffs auf diese für den Auftragsverarbeiter stellt nämlich, qua Gesetz, keine „Übermittlung“ i.S.d. § 3 Abs. 4 S. 2 Nr. 3 BDSG dar. § 3 Abs. 4 S. 1 BDSG legt zunächst fest, dass das Übermitteln eine Form des Verarbeitens von personenbezogenen Daten darstellt. § 3 Abs. 4 S. 2 Nr. 3 BDSG besagt dann:

Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten. (Hervorhebung durch mich)

Und § 3 Abs. 8 S. 2 BDSG sieht vor, dass Dritter gerade nicht der Auftragsdatenverarbeiter ist, der sich innerhalb des EWR befindet. Dies ist eine vom Gesetzgeber gewollte Vereinfachung und Privilegierung des Verhältnisses zwischen verantwortlicher Stelle und Auftragsdatenverarbeiter. Letzterer handelt allein im Auftrag und nach Weisungen und wird damit quasi ein ausgelagerter Teil der verantwortlichen Stelle. Die Übermittlung der Daten bedarf keiner rechtfertigenden Erlaubnis.

Keine Privilegierung unter der DS-GVO
Diese Privilegierung wird jedoch mit Wirksamwerden der Datenschutz-Grundverordnung (DS-GVO) zum 25. Mai 2018 entfallen. Die Folge: Zum einen liegt auch mit Blick auf Auftragsverarbeiter stets eine Übermittlung vor. Zum anderen bedarf jede Übermittlung von personenbezogenen Daten an einen Auftragsverarbeiter einer gesetzlichen Erlaubnis, sei es das Vorliegen einer Einwilligung oder die Erfüllung der Voraussetzungen einer der Tatbestände aus Art. 6 Abs. 1 DS-GVO.

Art. 4 Nr. 2 DS-GVO definiert die „Verarbeitung“ als “jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung“ (Hervorhebung durch mich).

Wie auch unter dem BDSG stellt die Übermittlung also einen Unterfall der Verarbeitung dar, wobei die Übermittlung selbst noch ein Unterfall der „Offenlegung“ von personenbezogenen Daten ist. Soweit so gut.

Was die DS-GVO jedoch nicht kennt, ist eine eigene Definition der Übermittlung wie im § 3 Abs. 4 S. 2 BDSG. Die obige Definition des Art. 4 Nr. 2 DS-GVO beschränkt die Offenlegung etwa nicht auf „Dritte“. Es erfolgt vielmehr gar keine Beschränkung. Jede Offenlegung ist eine Übermittlung, egal, an wen sie erfolgt.

Es hilft daher auch wenig, dass nach Art. 4 Nr. 10 DS-GVO „Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten, ist (Hervorhebung durch mich). Es bleibt dabei, dass ein Auftragsverarbeiter nicht Dritter ist. Für die Frage, ob eine rechtfertigungsbedürftige Übermittlung personenbezogener Daten vorliegt, hat dies jedoch keine Bewandtnis.

Was bedeutet dies für Auftragsverarbeitungsverhältnisse in Deutschland?
Bis zum 25. Mai 2018 sollte jeder Verantwortliche, der Auftragsverarbeiter einsetzt (z.B. beim Cloud-Computing, technischer Dienstleistungen, etc.), prüfen, ob die Übermittlung personenbezogener Daten an den Auftragsverarbeiter auf einen der Erlaubnistatbestände des Art. 6 Abs. 1 DS-GVO gestützt werden kann. Im Ergebnis muss wirklich jede Beziehung zu Auftragsverarbeitern geprüft werden. Falls die Übermittlung nicht zulässig ist oder entsprechend ausgestaltet werden kann, wird eine unzulässige Verarbeitung personenbezogener Daten vorliegen. Die Folge können Untersagungsverfügungen der Aufsichtsbehörden oder auch Geldbußen sein. Ein einfaches „Weiter so“ wird es nicht geben. Bisher zulässige Datenverarbeitungen können nicht, etwa ähnlich einer Form des Bestandsschutzes, ohne nähere Prüfung und Abgleich mit den Vorgaben der DS-GVO gerettet werden. Erwägungsgrund 171 DS-GVO sieht vor, dass Verarbeitungen, die zum Zeitpunkt der Anwendung der DS-GVO (also am 25. Mai 2018) bereits begonnen haben, innerhalb von zwei Jahren nach dem Inkrafttreten der DS-GVO (ab dem 24. Mai 2016) mit ihr in Einklang gebracht werden müssen.

Datenschutz-Grundverordnung: Auslegungshilfe und praktischer Überblick

Die endgültige Textfassung der zukünftigen Datenschutz-Grundverordnung wird derzeit noch durch den Übersetzungsdienst der Europäischen Union, in Absprache mit dem europäischen Parlament und den Mitgliedstaaten, erstellt. Inhaltlich weiß man im Groben seit der Einigung im Trilog am 17. bzw. 18. Dezember 2015 auf einen gemeinsamen Text, welche Regelungen in Zukunft für den Umgang mit Person bezogenen Daten in Europa gelten werden.

Zwar werden viele altbekannte Prinzipien der geltenden EU-Datenschutzrichtlinie fortgeführt und unverändert übernommen. Nichtsdestotrotz wird es an vielen Stellen auch (größere oder kleinere) Änderungen geben. Datenschutzpraktiker sind vor diesem Hintergrund für jede Anwendungs- und Auslegungshilfe zu den neuen Regelungen dankbar.

Der Rat der Europäischen Union hat nun den Entwurf der Begründung des Rates (pdf) zu der Datenschutz-Grundverordnung veröffentlicht. Im Prinzip handelt es sich bei diesem 36-seitigen Dokument um einen hilfreichen, wenn auch groben Überblick über und eine geraffte Zusammenfassung der zukünftigen Regelungen. Mit Blick auf die zukünftige Auslegung der Datenschutz-Grundverordnung durch die Praxis, die Gerichte oder die Datenschutzaufsichtsbehörden dürfte dieses Dokument durchaus nützlich sein.

Datenschutz-Grundverordnung: „Snowden-Klausel“ wird nicht im Vereinigten Königreich gelten

Die sogenannte „Snowden-Klausel“, Art. 43a der zukünftigen Datenschutz-Grundverordnung (deutsche Fassung, pdf) wurde, ursprünglich in noch weitergehende im Umfang, vom Europäischen Parlament in den Text für das zukünftig geltende Datenschutzrecht in Europa eingebracht. Nachdem sich nunmehr das Europäische Parlament und der Rat auf eine gemeinsame Fassung der Datenschutz-Grundverordnung verständigt haben, lautet der finale Text von Art. 43a (vor der amtlichen Übersetzung):

Nach dem Unionsrecht nicht zulässige Übermittlung oder Weitergabe

Urteile eines Gerichts eines Drittlands und Entscheidungen einer Verwaltungsbehörde eines Drittlands, mit denen von einem für die Verarbeitung Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Weitergabe personenbezogener Daten verlangt wird, dürfen unbeschadet anderer Gründe für die Übermittlung gemäß diesem Kapitel jedenfalls nur dann anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind.

Dieser Artikel besagt, dass bei Anfragen von Behörden aus Staaten außerhalb des europäischen Wirtschaftsraumes, beispielsweise wenn Strafverfolgungsbehörden oder Geheimdienste personenbezogene Daten zu Betroffenen im Rahmen ihrer Ermittlungen verlangen, eine Weitergabe von personenbezogenen Daten rechtlich nur zulässig ist, wenn hierfür eine internationale Übereinkunft (wie etwa ein Rechtshilfeabkommen) mit den jeweiligen Drittstaat existiert oder die Datenübermittlung durch andere Tatbestände des Kapitels V der Datenschutz-Grundverordnung erlaubt ist.

Am 4. Februar 2016 hat nun die parlamentarische Unterstaatssekretärin im Ministerium für Kultur, Medien und Sport des Vereinigten Königreichs, Baroness Neville-Rolfe, in einer schriftlichen Stellungnahme mitgeteilt, dass das Vereinigte Königreich dem Art. 43a Datenschutz-Grundverordnung und seinem Anwendungsbereich nicht unterworfen sein wird. Das Vereinigte Königreich wird das sog. „opt-in“, also die entsprechende Einwilligung zur Anerkennung der bindenden Wirkung, nicht erteilen. Dass das Vereinigte Königreich hier überhaupt eine Wahlmöglichkeit besitzt und entscheiden kann, ob es an bestimmten Maßnahmen der Europäischen Union gebunden ist oder nicht, ist für den Bereich der Justiz und des Inneren im sog. „opt-in Protokol 21“ (pdf) geregelt.

Als Folge ist das Vereinigte Königreich also nicht an die Vorschrift des Art. 43a Datenschutz-Grundverordnung gebunden. Dies bedeutet freilich auch, dass Anfragen von Behörden und Gerichten aus Staaten außerhalb des europäischen Wirtschaftsraumes sich nicht an diesen Vorgaben messen lassen müssen, wenn sie Auftragsverarbeiter oder für die Verarbeitung Verantwortliche mit Sitz im Vereinigten Königreich betreffen.

Dieser Aspekt ist meines Erachtens eine nicht zu unterschätzende Tatsache mit Blick auf das eigentlich mit der Datenschutz-Grundverordnung angestrebte einheitliche Schutzniveau in der Europäischen Union. Man kann trefflich darüber streiten, ob dies überhaupt bereits aufgrund der vielen Öffnungsklauseln in der Datenschutz-Grundverordnung der Fall ist. Das nun angekündigte Ausbleiben des „opt-ins“ durch das Vereinigte Königreich für Artikel 43a, betrifft jedoch zudem einen ganz zentralen Bereich, nämlich die Frage der Zulässigkeit von Datenübermittlung an ausländische Behörden, über den ja etwa derzeit Microsoft mit der amerikanischen Regierung vor Gerichten streitet. Eine Kette ist bekanntlich immer nur so stark, wie ihr schwächstes Glied.

Die Datenschutz-Grundverordnung kommt. Und ich habe eine Frage.

Nachdem sich gestern in den Trilogverhandlungen zur Datenschutz-Grundverordnung (DS-GVO) die Verhandlungsparteien auf einen gemeinsamen Text geeinigt haben, der Anfang kommenden Jahres vom europäischen Parlament und dem Rat bestätigt werden muss, stellen sich in den nächsten Monaten sicherlich viele Fragen.

Für den Moment möchte ich jedoch eine einzige Frage stellen, die mir bisher niemand beantworten konnte: wann gilt in Zukunft welches nationale Datenschutzrecht in Europa?

Man mag sich denken, dass diese Frage völlig überflüssig ist, da es ja mit der DS-GVO ein in allen Mitgliedstaaten unmittelbar anwendbares Gesetz geben wird. Jedoch wissen wir mittlerweile auch, dass die DS-GVO an vielen (insbesondere auch aus Sicht der Praxis) relevanten Stellen Öffnungsklauseln vorsieht und es den Mitgliedstaaten erlaubt, nationale Regelungen für bestimmte Bereiche zu schaffen. Als Beispiel sei hier etwa die Festlegung einer Altersgrenze bei der Einwilligung von Minderjährigen (zwischen 13 und 16 Jahren) genannt oder auch die Frage der Bestellpflicht für Datenschutzbeauftragte in den Fällen, die in der Verordnung nicht aufgelistet sind.

Die DS-GVO beantwortet in ihrem Art. 3 verständlicherweise allein die Frage, wann sie selbst Anwendung findet. Jedoch findet sich keine Regelung dazu, wann neben der DS-GVO weiterhin bestehendes und von ihr ja sogar vorausgesetztes nationales Datenschutzrecht Anwendung findet.

Wird es in Zukunft also so sein, dass jeder Mitgliedstaat frei nach seinem Belieben entscheiden kann, wann sein nationales Datenschutzrecht und damit auch die benannten Spezifikationen auf der Grundlage der Öffnungsklauseln der DS-GVO gelten? Von welchen Kriterien soll dies abhängen? Reicht eine Niederlassung in dem Mitgliedstaat? Reicht es aus, dass Dienste in dem Mitgliedstaat angeboten werden, in deren Rahmen personenbezogene Daten verarbeitet werden?

Auf die derzeit bestehende Regelung in der Datenschutzrichtlinie 95/46 (Art. 4), die genau diese Frage regeln soll, könnte man sich in Zukunft nicht berufen, da diese Richtlinie ja in Gänze aufgehoben wird.

Ein „einheitliches Datenschutzrecht“ würde damit für viele wichtige Bereiche in weite Ferne rücken.

Verhandlungen zur Datenschutz-Grundverordnung: offene Punkte und vorläufige Einigungen

Bis zum Ende des Jahres 2015 möchten die Europäische Kommission, das Europäische Parlament und der Rat der Europäischen Union die sogenannten Trilog-Verhandlungen zur europäischen Datenschutz-Grundverordnung (DS-GVO) abschließen. Seitdem der Trilog begonnen hat, wurden nur wenige Schriftstücke aus den Verhandlungen veröffentlicht bzw. geleakt. Nun hat die Plattform statewatch.org zwei neuere Dokumente des Rates (jeweils Stand vom 20. November 2015) veröffentlicht.

Vorläufig erzielte Kompromisse

Ein Dokument (pdf) befasst sich mit den bis zum 20. November 2015 zwischen den drei Verhandlungsparteien erzielten Kompromissen. Zudem enthält das Dokument Vorschläge der Ratspräsidentschaft für einige noch offene Punkte.

Betrachtet man das (immerhin 372 Seiten lange) Dokument, so fällt auf, dass Kompromisse vor allem für Artikel bzw. Themengebiete gefunden wurden, die man umgangssprachlich nicht als die „dicken Bretter“ bezeichnen würde. Dieses freilich nicht verwunderlich, da man sich in den Verhandlungen sicherlich zunächst mit solchen Themenkomplexen befasst hat, bei denen die geringsten Meinungsverschiedenheiten zu erwarten sind.

So hat man sich etwa darauf geeinigt, die sogenannte Haushaltsausnahme, also jene Vorschrift die bestimmt, wann die Datenschutz-Grundverordnung in Zukunft im Rahmen einer Datenverarbeitung für private Zwecke nicht anwendbar sein soll, nur dann eingreifen zu lassen, wenn die in Rede stehende Datenverarbeitung ausschließlich für persönliche Zwecke durchgeführt wird. In Zukunft dürfte es für die Inanspruchnahme der Ausnahmeregelung daher nicht ausreichen, dass mit einer Datenverarbeitung auch (!) private Zwecke verfolgt werden. Vor allem im Abschnitt der sich mit Zusammenarbeit der nationalen Datenschutzbehörden untereinander befasst, konnte man ebenfalls vorläufige Einigungen erzielen. Nicht einigen konnte man sich bisher hingegen auf die Höhe bzw. den möglichen Rahmen für zukünftige Bußgelder bei rechtswidrigen Datenverarbeitung.

Offene Punkte

Das zweite veröffentlichte Dokument (pdf) betrifft die wichtigsten noch offenen Punkte. In diesem Dokument schlägt die Ratspräsidentschaft den Mitgliedstaaten zu verschiedenen Themen ein bestimmtes Vorgehen vor und bittet um eine Rückmeldung hinsichtlich der vorgeschlagenen Lösungswege.

Zu den noch offenen Diskussionsfeldern gehört nach dem Dokument unter anderem die Frage, inwieweit die Datenschutz Grundverordnung auch für EU-Institutionen gelten soll. Die Kommission und der Rat möchten die Institutionen vom Anwendungsbereich der Datenschutz-Grundverordnung ausnehmen. Das Parlament ist für deren Einbeziehung.

Bekanntlicherweise sollen in der Datenschutz-Grundverordnung Öffnungsklauseln geschaffen werden, die es den Mitgliedstaaten erlauben würden, für bestimmte Bereiche bzw. bestimmte Datenverarbeitungsprozesse spezifische nationale Regelung zu schaffen. Vor allem der Rat möchte eine solche Öffnungsklausel in Art. 1 Abs. 2a DS-GVO vorsehen. In dem Dokument wird nun vorgeschlagen, die Ratsposition beizubehalten, obwohl das Parlament den entsprechenden Artikel anpassen möchte. Dem Parlament ist vor einigen an einer Konkretisierung dahingehend gelegen, dass nationale Vorschriften die Vorgaben der DS-GVO nicht ändern bzw. anpassen sondern nur konkretisieren bzw. spezifizieren können. Die Ratspräsidentschaft schlägt vor, Art. 1 Abs. 2a DS-GVO in einen neuen Art. 6 Abs. 2a DS-GVO zu verschieben. Jedoch keine inhaltlichen Änderungen am Vorschlag des Rates vorzunehmen.

Ein weiterer offener Themenkomplex ist die Frage, inwieweit die den nationalen Datenschutzbehörden zustehenden hoheitlichen Befugnisse und der Umfang der potentiellen Maßnahmen innerhalb der DS-GVO geregelt werden sollen oder ob die Mitgliedstaaten jeweils national den Umfang der Maßnahmen bestimmen können dürfen.

Im Anwendungsbereich der Datenschutz-Grundverordnung sollen in Zukunft Verbände die Möglichkeit haben, betroffene Personen gegenüber Datenschutzbehörden bzw. datenverarbeitenden Stellen zu vertreten und auch deren Rechte durchzusetzen. In den Verhandlungen besteht noch Uneinigkeit darüber, inwieweit Verbände oder andere Organisationen im Namen der Betroffenen auch Schadensersatzansprüche geltend machen können. Das Parlament ist für eine solche Möglichkeit. Der Rat möchte dies nur gestatten, soweit nationale Vorschriften die Geltendmachung von Schadenersatzansprüchen für den Betroffenen erlauben.

Ausblick

Nach dem Ratsdokument werden die nächsten Trilog- Verhandlungen am 10. Dezember 2015 stattfinden. Die Ratspräsidentschaft bekräftigt noch einmal ihre Intention, bis zum Ende des Jahres die Verhandlungen abzuschließen.

Wer auch im Dezember nicht auf Informationen zur Datenschutz-Grundverordnung und möglichen künftigen Regelungen verzichten möchte, den lade ich gerne dazu ein, an jedem Tag zwischen dem 1. und 24. Dezember eine Tür des EUDataP- Weihnachtskalenders zu öffnen. Dort werde ich jeden Tag einen kleinen Beitrag zur Datenschutz-Grundverordnung veröffentlichen.