News

Post von der Aufsichtsbehörde

Kategorie: Datenschutz

Post von der Aufsichtsbehörde

Die Übermittlung von personenbezogenen Daten in die Vereinigten Staaten von Amerika stellt spätestens seit dem EuGH-Urteil vom 16.07.2020 ein großes Problem für europäische Unternehmen dar. Denn grundsätzlich ist eine Datenübermittlung nur noch mit einer der Verarbeitungsgrundlagen gem. Art. 49 DSGVO gesetzeskonform möglich. Eine der häufigsten genutzten Grundlage ist die Einwilligung nach 
Art. 49 Abs. 1 a DSGVO. Eine solche für jeden Einzelfall einzuholen, ist wohl für die meisten Unternehmen utopisch. Selbst wenn die Daten auf einem europäischen Server gespeichert werden, ist der Einsatz von US-Anbietern in der Regel nicht mit der Datenschutz-Grundverordnung vereinbar, weil durch den CLOUD-Act US-Behörden Daten, die bei amerikanischen Unternehmen gespeichert werden, einsehen können. Das auch europäischen Geheimdiensten ähnliche Rechte zustehen, wird bei der Diskussion häufig vernachlässigt. 
Insbesondere der Einsatz von Microsoft 365 ist aus den oben genannten Gründen sehr umstritten. Bei einer Abstimmung der Aufsichtsbehörden haben sich 9 von 17 Stimmberechtigten gegen einen datenschutzkonformen Gebrauch ausgesprochen.

Hierbei wurden folgende Punkte bemängelt: 

  • Die Weitergabe von Daten ist nicht transparent geregelt.
  • Die Online Service Terms und der Auftragsverarbeitungsvertrag sind nicht  detailliert genug.
  • Für die Übermittlung von Telemetrie-Diagnosedaten fehlt es einer Rechtsgrundlage.

Im Bezug auf die die Verträge hat Microsoft in den letzten Monaten einige Anpassungen vorgenommen, so dass in Anbetracht der knappen Entscheidungen fraglich ist, ob eine datenschutzkonforme Verwendung immer noch ausgeschlossen ist. Aufgrund der umstrittenen Situation sind Bußgelder und andere Sanktionen zurzeit unwahrscheinlich, dafür verschicken die Aufsichtsbehörden aber aktuell Fragenbögen. 

Hierbei geht es vor allem um den Einsatz von Microsoft 365 und Google Analytics. Die Beantwortung ist zwar in der Regel nicht verpflichtend, trotzdem ist es sinnvoll prophylaktisch den Fragenbogen auszufüllen, um so das eigene Vorgehen zu hinterfragen und um auf eine Anfrage der Aufsichtsbehörde vorbereitet zu sein. 

In Bezug auf Microsoft 365 werden folgende Fragen gestellt: 

I.    Wie nutzt Ihr Unternehmen Microsoft 365?
II.    Welche personenbezogenen Daten werden dabei verarbeitet?
III.    Zu welchen Zwecken und auf welcher Rechtsgrundlage erfolgt die Nutzung von Microsoft 365?
IV.    Werden die personenbezogenen Daten in die USA oder andere Staaten außerhalb des Europäischen Wirtschaftsraums übermittelt?
V.    Auf welche Rechtsgrundlagen der DSGVO werden die Drittstaatenübermittlungen gestützt?
VI.    Welche zusätzlichen Sicherheitsmaßnahmen wurden getroffen, um ein angemessenes Schutzniveau zu gewährleisten?
VII.     Erwägen Sie die Umstellung auf alternative Dienste?
VIII.    Können Sie uns die Stellen des Verarbeitungsverzeichnisses zusenden, die den Einsatz von Microsoft 365 in Ihrem Unternehmen betreffen?

Und hier ein Auszug der Fragen, die die Aufsichtsbehörden zu dem Einsatz von Google Analytics stellen. 

  1. Ist auf Ihrer o.g. Website der Dienst Google Analytics eingebunden?
  2. Wurden oder werden personenbezogene Daten beim und durch den Aufruf Ihrer Website von Ihren Servern aus oder direkt vom Endgerät des Nutzers aus an ein Unternehmen des Google-Konzerns bzw. der Alphabet Inc. Holdingübertragen? Falls Sie nicht dieser Ansicht sein sollten, bitten wir um ausführliche Darstellung und Beifügung geeigneter Belege.
  3. Bitte senden Sie uns eventuelle Auftragsverarbeitungsverträge sowie Verträge über die gemeinsame oder getrennte Verantwortung zu.
  4. Sofern personenbezogene Daten in die USA transferiert werden/wurden, bitten wir um nähere Begründung der Zulässigkeit der Übermittlung nach Kapitel 5 der DS-GVO unter Berücksichtigung der Ausführungen des Urteils des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020 (C-311/18), insbesondere um Ausführungen entweder zum Vorliegen der Tatbestandsvoraussetzungen des Art. 49 DSG-VO oder dazu, warum die Umstände, die der EuGH im genannten Urteil als Beleg für das Fehlen eines angemessenen Datenschutzniveaus in den USA angeführt hat (Rn. 178 –185, 186 –198) in diesem Fall nicht zum Tragen kommen können. 

Falls Einwilligungen der Nutzer i.S.d. Art. 7, 8, 9 oder 49 DS-GVO hier eine Rolle gespielt haben sollten, weisen Sie uns bitte nach,  
I.    dass und wie Nutzer ihre Einwilligung in die Übermittlung personenbezogener Daten mittels Google Analytics in die USA erteilen,
II.    welchen Wortlaut die Einwilligungserklärung hat,
III.    wie die Einwilligungserklärung gestaltet ist,
IV.    wie der Ablauf aus Sicht der Nutzer stattfindet
V.    und für welche konkreten Daten und Verarbeitungen die Einwilligung erteilt wurde.

Viele dieser Fragen werden von den meisten Unternehmen wohl nicht so einfach beantwortet werden können. Aus diesem Grund macht es Sinn, sich vorab mit den Fragen auseinanderzusetzen und möglicherweise Vorgehensweise diesbezüglich anzupassen. Falls Sie hierbei Hilfe benötigen, können Sie sich gerne bei uns melden. 

 

datenschutzberatung@fkc-gmbh.de