+49 228 2861 140 60 info@sicoda.de
Privacy Shield Nachfolger in Sicht

Privacy Shield Nachfolger in Sicht

Der Nachfolger der EU-US Privacy Shield Vereinbarung scheint in greifbare Nähe gerückt zu sein. In einer korrespondierenden Erklärung haben die EU-Kommission und die amerikanische Regierung in einem Trans-Atlantic Data Privacy Framework die Eckpunkte für einen internationalen Datenaustausch abgesteckt.

Historie:

Beide Partner haben schon in der Vergangenheit unter den Begriffen „Safe Harbor Agreement“ und „Privacy Shield“ versucht, eine Vereinbarung zu treffen, die für europäische Bürger einen fairen und rechtskonformen Umgang mit persönlichen Daten ermöglicht. Beide Vereinbarungen wurden vom EuGH als rechtswidrig bezeichnet und waren damit unwirksam.

Der EuGH hat als einen der wesentlichen Punkte an den Vereinbarungen kritisiert, dass der Zugriff von US-Sicherheitsbehörden auf personenbezogene Daten von europäischen Bürgern, vor allem auf der Grundlage des FISA Sec. 702, annähernd uneingeschränkt und ohne nennenswerten Rechtsweg möglich sei.

Zukünftig:

Der Zugriff soll nur noch in festen Grenzen möglich sein.

EU-Bürger sollen die Möglichkeit haben, bei einem „Data Protection Review Court“, einer Art Schlichtungsstelle, Beschwerden einzureichen, die dann neutral geprüft würden.

Die schon aus den beiden Versuchen vorher bekannten Zertifizierungsmechanismen für Unternehmen, die ihre eigenen internen Datenschutzgrundsätze dem europäischen Level anpassen müssen, wurden beibehalten.

Aktueller Stand

Aktuell befinden sich alle europäischen Unternehmen, die amerikanische Cloud-Anbieter nutzen, in einer rechtlichen Unsicherheit. Zunehmend prüfen und sanktionieren Aufsichtsbehörden den Einsatz solcher Dienste. Das Projekt Gaia X, das eine europäische, offene Alternative bieten will, bietet Unternehmen zurzeit noch nicht den Service der etablierten amerikanischen Angebote.

Umfassend beschreibt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit die Auswirkungen und notwendigen Maßnahmen: LINK

Beim Einsatz amerikanischer Cloudanbieter muss immer ein Transfer-Impact-Assessment durchgeführt werden, in dem die Risiken für die Betroffenen bewertet werden müssen.

Transfer Impact Assessment

Wir halten für die bekannten amerikanischen Cloud Anbieter wie Atlassian, Microsoft, AWS, Salesforce und co. fertige TIA vor, die nurnoch geringfügig an den konkreten Unternehmenseinsatz angepasst werden müssen.

Ausblick für die Wirtschaft

Die Ankündigung macht Hoffnung, dass im Datentransfer mit den USA und den noch konkurrenzlosen amerikanischen Cloud-Anbietern Rechtssicherheit eintritt.

Geschäftsführer*innen haften persönlich für Schäden aus Datenschutzverletzungen (OLG Dresden)

Geschäftsführer*innen haften persönlich für Schäden aus Datenschutzverletzungen (OLG Dresden)

Geschäftsführerhaftung

Geschäftsführer*Innen sind „Verantwortlicher“ im Sinne der DS-GVO und haften persönlich für Datenschutzverletzungen gegenüber den Geschädigten.

In einem unscheinbaren Urteil hat das OLG Dresden eher nebenbei eine für Geschäftsführer von Kapitalgesellschaften äußerst relevante und beunruhigende Entscheidung getroffen. In dem Urteil ging es um den Geschäftsführer eines Krankenhauses, der eine rechtswidrige Datenverarbeitung angewiesen hat. Der klagende Patient richtete die Klage sowohl gegen die Krankenhausgesellschaft (Beklagte zu 1)) als auch gegen die Geschäftsführung (Beklagte zu 2)).

Die Urteilsbegründung lautete wie folgt:

Sowohl der Beklagte zu 1) als auch der Beklagte zu 2) sind verantwortlich im Sinne von Art. 4 Nr. 7 DS-GVO, denn Anknüpfungspunkt für einen Anspruch aus Art. 82 Abs. 1 DS-GVO ist zunächst die „Verantwortlichkeit“, die immer dann zu bejahen ist, wenn eine natürliche oder juristische Person alleine oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheiden kann und entscheidet (Gola, Bearb. Gola, DS-GVO-Kommentar, 2. Aufl. 2018, Art. 4 Rz. 48; Ambrock ZD 2020, S. 429 – nach beck-online). Damit entfällt zwar in aller Regel die Verantwortlichkeit weisungsgebundener Angestellter oder sonstiger Beschäftigter, für den Geschäftsführer, wie es der Beklagte zu 2) zum Zeitpunkt der Beauftragung des Streithelfers war, gilt dies allerdings nicht.

OLG Dresden, Urteil vom 30.11.2021 - 4 U 1158/21 Abs. II Nr. 1

https://oj.is/2381765

Weisungsgebundene Angestellte

Weisungsgebundene Angestellte haften nach Klarstellung des Urteils in der Regel nicht für Datenschutzverletzungen aus Art. 82 DS-GVO.

Das OLG Dresden leitet die Haftung der Geschäftsführung daraus ab, dass diese über die Datenverarbeitung entescheiden kann. Bisher ist die juristische Literatur davon ausgegagen, dass Geschäftsführer im Rahmen ihrer Organschaft für Rechtsverletzungen gegenüber der Gesellschaft haften. Hier wird der Haftungsrahmen allerding so erweitert, dass der Geschäftsführer persönlich für Rechtsverletzungen von den Geschädigten in Anspruch genommen werden kann. Eine „Freizeichnung“ durch die Gesellschafter, den Vorstand oder den Aufsichtsrat ist damit zukünftig zumindest für den Anspruch auf Schadensersatz durch Geschädigte nicht mehr möglich.

Arbeitshilfen zur Umsetzung der DSGVO

Die Art. 29 Gruppe betreibt eine Webseite auf der sie Arbeitshilfen bereitstellt, um die Umsetzung der Verordnung zu vereinfachen.

http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083

Bisher sind folgende Arbeitshilfen verfügbar:

Datenübertragbarkeit

Guidelines on the right to "data portability"

Datenschutzbeauftragter

Guidelines on Data Protection Officers (‘DPOs’)

Auftragsdatenverarbeitung

Guidelines for identifying a controller or processor’s lead supervisory authority

Art. 35 Datenschutz-Folgenabschätzung

Verordnungstext

Die Folgenabschätzung enthält zumindest Folgendes:
a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;

b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;

c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und

d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

Kommentierung

Mit der Datenschutz-Folgenabschätzung erhält die bekannte Vorabkontrolle einneues Gewand. Bisher war nicht in dem nun vorliegenden Detail vorgeschrieben, wie die Vorabkontrolle zu erfolgen hatte. Nun erhalten Datenschutzbeauftragte eine kleine Checkliste für die Bearbeitung der notwendigen Kontrolle:

  1. Verarbeitungsbeschreibung
    1. Zweckbestimmung
    2. Darstellung der berechtigten Interessen
  2. Bewertung der
    1. Notwendigkeit
    2. Verhältnismäßigkeit der Maßnahme
  3. Risikobewertung
  4. Abhilfemaßnahmen