Datenschutzaufsichtsbehörden der Länder prüfen grenzüberschreitende Datenübermittlungen

In einer koordinierten schriftlichen Prüfungsaktion nehmen zehn deutsche Datenschutzaufsichtsbehörden Übermittlungen personenbezogener Daten in das Nicht-EU-Ausland genauer unter die Lupe. Die Prüfung soll dabei auch der Sensibilisierung von Unternehmen für gerade die Verarbeitungsprozesse dienen, bei denen personenbezogene Daten in Nicht-EU-Länder übermittelt werden – wie es bspw. bei Cloud Computing häufig der Fall ist.

(hmbbfdi, 3.11.2016) In den letzten Jahren haben grenzüberschreitende Übermittlungen von personenbezogenen Daten in der Privatwirtschaft weiter massiv zugenommen. Zu den Ursachen dieser Entwicklung zählen die wirtschaftliche Globalisierung wie auch die stetige Ausbreitung von Dienstleistungen und Produkten des sog. Cloud Computing. Selbst viele kleinere und mittlere Unternehmen in Deutschland verarbeiten personenbezogene Daten (z. B. von Kunden, Mitarbeitern oder Bewerbern) häufig auf Servern externer Dienstleister, oft außerhalb der Europäischen Union. Dies ist vor allem bei Angeboten wie dem sog. Software as a Service der Fall, die standortunabhängig und flexibel genutzt werden können. Viele dieser Dienste stammen von US-Unternehmen. Die bisherige Erfahrung der Datenschutzaufsichtsbehörden zeigt, dass sich Unternehmen bei Nutzung solcher Produkte nicht immer der Tatsache bewusst sind, dass dadurch eine Übermittlung personenbezogener Daten in die USA und/oder in andere Nicht-EU-Staaten stattfindet und entsprechende datenschutzrechtliche Konsequenzen daraus resultieren.

Möchte ein Unternehmen personenbezogene Daten in Länder außerhalb der Europäischen Union übermitteln, so muss es zuerst prüfen, ob überhaupt sichergestellt werden kann, dass die Daten auch nach der Übermittlung noch angemessen geschützt bleiben – andernfalls muss die Übermittlung unterbleiben. Entscheidend ist daher, im Unternehmen frühzeitig eine Sensibilisierung dafür zu erzeugen, ob und ggf. im Rahmen welcher Verarbeitungen das Unternehmen personenbezogene Daten in Nicht-EU-Staaten übermitteln möchte oder vielleicht sogar bereits übermittelt.

Vor diesem Hintergrund werden zehn deutsche Datenschutzaufsichtsbehörden (Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt) in den nächsten Wochen eine koordinierte schriftliche Prüfungsaktion zur Abfrage von Übermittlungen personenbezogener Daten durch nicht-öffentliche Stellen, d. h. insbesondere Unternehmen, in Nicht-EU-Staaten durchführen. Im Rahmen der Prüfung werden Unternehmen angeschrieben, die nach dem Zufallsprinzip ausgewählt wurden. Die Aufsichtsbehörden haben dabei Wert darauf gelegt, Unternehmen unterschiedlicher Größenordnungen und verschiedener Branchen einzubeziehen.

Ein wichtiges Ziel der Prüfung liegt in der Sensibilisierung der Unternehmen für Datenübermittlungen in Länder außerhalb der Europäischen Union. Um Unternehmen das Auffinden solcher Übermittlungen zu erleichtern, wird auch gezielt nach dem Einsatz von Produkten und Leistungen externer Anbieter gefragt, die – nach bisherigen Erfahrungen der Aufsichtsbehörden – mit einer Übermittlung personenbezogener Daten in Nicht-EU-Staaten verbunden sind. Gefragt wird zum Beispiel nach der Inanspruchnahme externer Leistungen und Produkte in Bereichen wie Fernwartung, Support, Ticketing-Bearbeitung, aber auch Customer Relationship Management oder Bewerbermanagement.

Sofern personenbezogene Daten in Nicht-EU-Staaten übermittelt werden, sind die kontrollierten Unternehmen darüber hinaus aufgefordert anzugeben, auf welcher datenschutzrechtlichen Grundlage die Übermittlungen erfolgen. Mitgeteilt werden muss bspw., ob für das Zielland durch Beschluss der Europäischen Kommission ein angemessenes Datenschutzniveau anerkannt ist (dazu zählt auch der sog. EU-U.S. Privacy Shield), ob Standardvertragsklauseln als Grundlage verwendet werden, ob die Übermittlungen auf Einwilligungen der Betroffenen gestützt werden o.a.

Quelle: HmbBfDI, 3.11.2016

Amtsgericht Hamburg bestätigt Bußgeld gegen Auskunftei

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat ein Bußgeld in Höhe von 15.000 Euro gegen die Bürgel Wirtschaftsinformationen GmbH & Co. KG erlassen. Hintergrund war, dass die Auskunftei auf die Bonitätsanfrage eines Onlineunternehmens zwar keine Auskünfte über die Person geben konnte, aber einen sogenannten Scoringwert über die Wohnanschrift der Person übermittelt hat. Die vermutete Zahlungsmoral wird also, ohne dass der Kunde bekannt ist, allein aus seiner Wohngegend abgeleitet.

Der Datenschutzbeauftragte hält diese Übermittlung von personenbezogenen Daten für ordnungswidrig. Das Bundesdatenschutzgesetz verbietet die Nutzung von Anschriftendaten, wenn nicht weitere Daten des Betroffenen in diesen Scoringwert einfließen. Hintergrund ist, dass sonst eine schlechte Zahlungsmoral der Nachbarschaft Einfluss auf die Kreditwürdigkeit des Betroffenen haben kann, auch wenn er selbst solvent ist.

Bürgel argumentierte dagegen, dass dem Onlinehändler mitgeteilt wurde, dass der Kunde unbekannt ist. Also hätte man auch keine personenbezogenen Daten übermittelt. Diese Argumentation überzeugte die Datenschutzaufsicht jedoch nicht, da der Scoringwert mit den Kundendaten verknüpft wurde.

Mit seinem Urteil vom 16. März 2017 (233 OWi 12/17) hat sich das Amtsgericht Hamburg der Auffassung des Datenschutzbeauftragten angeschlossen. Das Bußgeld wurde in voller Höhe bestätigt.

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Das Urteil des Amtsgerichts ist konsequent und entspricht den klaren gesetzlichen Vorgaben, die auch künftig weiterhin gelten werden. Die Datenschutz-Grundverordnung wird ab dem 25. Mai 2018 den Bußgeldrahmen um ein Vielfaches erhöhen. Es ist insoweit zu erwarten, dass durch die weit wirksamere Abschreckung derartige Verfahren in Zukunft nicht mehr zu führen sind.“

Das Urteil ist noch nicht rechtskräftig, da Bürgel Beschwerde dagegen eingelegt hat.

Quelle: (hmbbfdi, 24.3.2017)

Widerspruchsbescheid erlassen – Mehr Kontrollrechte für Google-Nutzer gefordert

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat mit Erlass eines Widerspruchsbescheids das im vergangenen Jahr in die Wege geleitete Verwaltungsverfahren gegen die Google Inc. beendet. Das Unternehmen wird damit verpflichtet, die notwendigen Änderungen vorzunehmen, um die Verarbeitung der Daten seiner deutschen Nutzer auf eine zulässige Rechtsgrundlage zu stellen. Google muss danach die Daten, die bei der Nutzung der unterschiedlichen Dienste des Unternehmens anfallen und zu Profilen kombiniert werden, auf das zulässige Maß begrenzen oder die Nutzer um entsprechende zusätzliche Einwilligungen bitten.

 

Die dem Widerspruchsbescheid zugrundeliegende Anordnung wurde vom Hamburgischen Datenschutzbeauftragten im September 2014 erlassen. Grund dafür waren die von Google 2012 in Kraft gesetzten neuen Datenschutzbestimmungen, in denen Google mitteilt, Dienste übergreifend die Daten der Nutzer ohne deren Einwilligung zu umfassenden Profilen zusammenzuführen.

 

Gegen diese Anordnung hat Google Widerspruch eingelegt, der nun abschließend beschieden wurde. Dabei wurden zwar einige der von Google vorgebrachten rechtsförmlichen Einwände aufgegriffen und die Anordnung insoweit angepasst, in der Hauptsache wurde der Widerspruch aber zurückgewiesen. Die Anordnung wird nun rechtskräftig, wenn das Unternehmen nicht innerhalb von einem Monat Klage beim Verwaltungsgericht gegen sie erhebt.

 

Google hat jedoch bereits jetzt dem Hamburgischen Datenschutzbeauftragten und weiteren europäischen Datenschutzbehörden gegenüber signalisiert, dass substantielle Änderungen an den Diensten erfolgen sollen, um die Anforderungen des Datenschutzrechts zu erfüllen. Diese Pläne hat Google bereits Ende März den europäischen Datenschutzbehörden präsentiert, die sich im Rahmen der Art.29-Gruppe zu einer Task Force zur Abstimmung der Vorgehensweise gegen Google zusammengefunden haben. Dies lässt erkennen, dass die gemeinsamen Anstrengungen der Aufsichtsbehörden auf europäischer Ebene bei dem US-Unternehmen Wirkung zeigen.

 

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Google hat es nun in der Hand, unsere Vorgaben umzusetzen, etwa durch einen transparenten Konsens-Mechanismus bei der Verarbeitung von Nutzerdaten. Ich erwarte, dass dies weiter im Rahmen eines konstruktiven Dialogs mit uns erfolgt und am Ende eine klare Stärkung der Rechte der Nutzer von Google-Diensten auch europaweit erreicht wird.“

Quelle: (hmbbfdi, 8.4.2015)