Unsere aktuellen Beiträge finden Sie auf dem DSGVO-Portal.

Wir informierten in unserem Blog über das Ende des sogenannten �Safe Harbor Moratoriums� und den damit einhergehenden Rechtsfolgen für in Deutschland ansässige Unternehmen, die personenbezogene Daten in den USA verarbeiten lassen.

Probleme bereitete insbesondere Google Analytics, da die Google Inc. - anders als die meisten anderen US-Unternehmen - nicht dazu bereit war, ihre alten Verträge mit �EU Model Clauses�-Verträgen zu ersetzen, welche eine rechtskonforme Auftragsdatenverarbeitung nach europäischem Datenschutzrecht ermöglicht hätten. Diese Blockadehaltung hat Google nun beendet, sodass wir uns freuen Ihnen mitteilen zu können:

Der rechtskonforme Einsatz von Google Analytics ist vorerst wieder möglich!

Seit dem 22.09.2016 sind die Google Inc. und alle ihre US-Tochtergesellschaften offiziell nach dem EU-US Privacy Shield zertifiziert. In diesem Zuge hat die Google Inc. nun endlich, mit fast einem vollen Jahr Verzögerung, ihre alten Verträge zur Auftragsdatenverarbeitung aktualisiert und an die neuen rechtlichen Begebenheiten angepasst.

Sie müssen tätig werden, wenn Sie Google Analytics weiterhin oder nun wieder einsetzen möchten und noch keinen Vertrag zur Auftragsdatenverarbeitung mit dem Unternehmen geschlossen haben. Bereits geschlossene Altverträge werden vom BayLDA weiterhin anerkannt. Anbei finden Sie den neuen Mustervertrag als PDF-Datei. Bitte befolgen Sie die Anwendungshinweise auf Seite 1 des Dokuments.

Obwohl der Einsatz von Google Analytics nun vorerst wieder möglich ist, sollten Sie das Thema �Nutzertracking im Web� weiterhin im Auge behalten und sich gegebenenfalls über Alternativen, wie zum Beispiel PIWIK, informieren. Die weit überwiegende Mehrheit der Datenschutzexperten prognostiziert dem EU-US Privacy Shield nur eine sehr kurze Lebensdauer. Zwar wurden mit dem Inkrafttreten des EU-US Privacy Shields diverse Neuerungen eingeführt, jedoch krankt das Rahmenabkommen bei pragmatischer Betrachtung an genau den gleichen Datenschutzdefiziten, wie das Ende 2015 vom Europäischen Gerichtshof gekippte �Safe Harbor�-Abkommen.

Tatsächlich haben sich diverse Interessenverbände und Privatpersonen bereits in Stellung gebracht, um im Windschatten von Maximilian Schrems gegen das Rahmenabkommen vorzugehen. In Anbetracht der üblichen Verfahrensdauern rechnen wir jedoch vor 2019 nicht mit einem Wegfall des EU-US Privacy Shields.

Am 06.10.2015 hat der Europäische Gerichtshof das sogenannte Safe Harbor Abkommen der Europäischen Kommission (2000/520/EC) für ungültig erklärt. Viele Unternehmen, die auf die Übermittlung von personenbezogenen Daten in die USA angewiesen sind, sahen daraufhin ihre Existenzgrundlage bedroht, da mit Verkündung des Urteils schlagartig sämtliche Verträge zur Auftragsdatenverarbeitung, die auf Grundlage des Safe Harbor Abkommens mit US-Unternehmen geschlossen wurden, ihre Wirksamkeit verloren.

Um den betroffenen Unternehmen genügend Zeit für den Wechsel hin zu europäischen Dienstleistern, bzw. zum Abschluss alternativer Datenschutzverträge einzuräumen, einigten sich die zuständigen Aufsichtsbehörden auf eine Übergangsfrist, in der keine Bußgelder verhängt werden sollen.

Diese Übergangsfrist endet heute am 01.02.2016!

Glücklicherweise haben bereits die meisten US-Unternehmen reagiert und bieten Ihren Kunden den Abschluss von Verträgen auf Basis der EU-Standardvertragsklauseln (Datenschutzrichtlinie 95/46/EG) an. Zwar stehen auch diese Verträge bereits in der Kritik, dennoch kann mit einem Vertrag auf Basis der EU-Standardvertragsklauseln bis auf weiteres eine rechtssichere Auftragsdatenverarbeitung in den USA gewährleistet werden.

Probleme bereitet zurzeit die Google Inc. im Zusammenhang mit Google Analytics. Anders als die meisten US-Unternehmen scheint Google kein Interesse daran zu haben neue Datenschutzverträge für sein Analysetool bereitzustellen. Anfragen zu diesem Thema bleiben von Google bisher unbeantwortet. Da eine rechtskonforme Auftragsdatenverarbeitung mit Google unter den geschilderten Umständen nicht länger möglich ist, empfehlen wir ausdrücklich bis auf weiteres auf den Einsatz von Google Analytics zu verzichten.

Als Alternative für Google Analytics empfehlen wir das Analysetool PIWIK, welches sich mit nur wenigen Einstellungen vollkommen datenschutzkonform einsetzen lässt. PIWIK kann entweder kostenlos auf der eigenen Server-Infrastruktur betrieben werden, oder kostenpflichtig als „PIWIK Cloud” gemietet werden.

Sollten Sie sich für PIWIK entscheiden, unterstützen wir Sie gerne bei der datenschutzkonformen Konfiguration der Software.

Für viele unerwartet hat der Gerichtshof der Europäischen Union (EuGH) mit seiner Entscheidung vom 06.10.2015 das sogenannte „Safe Harbor Abkommen” gekippt, welches bisher als de facto Standard-Legitimierung für die Übermittlung von personenbezogenen Daten von Europa in die USA diente. Das Gericht folgte mit seinem Urteil den bereits am 23.09.2015 veröffentlichten Schlussantrag des zuständigen europäischen Generalanwalts Yves Bot, welcher nicht zuletzt auf Basis der Enthüllungen von Edward Snowden zu dem Schluss kam, dass in den USA aufgrund der Vollüberwachung durch die ansässigen Geheimdienste, kein angemessenes Datenschutzniveau vorherrsche.

Drohende Bußgelder
Viele Unternehmen setzen vermehrt auf Cloud-Speicher, Cloud-Dienste und andere „Software as a Service”-Lösungen. Das Urteil hat somit Auswirkungen auf die gesamte deutsche Unternehmenslandschaft, da nicht nur Unternehmen betroffen sind, die sich auf die Verarbeitung von personenbezogenen Daten spezialisiert haben, sondern auch solche betroffen sind, die oben genannte Dienstleistungen aus den USA in Anspruch nehmen.

Dringender Handlungsbedarf
Unternehmen die sich bei der Übermittlung von personenbezogenen Daten in die USA bisher auf das Safe Harbor Abkommen verlassen haben, entfällt hierfür nun zum 20.10.2015 die Rechtsgrundlage. Den Unternehmen drohen von diesem Datum an Bußgelder in Höhe von bis zu 50.000 Euro je Verstoß. Für die betroffenen Unternehmen besteht somit dringender Handlungsbedarf, nicht zuletzt aufgrund des mittlerweile immer konsequenteren Durchgreifens der Aufsichtsbehörden bei rechtswidrigen Datenverarbeitungen und Datenübermittlungen.

Alternativen zu Safe Harbor
Da es unwahrscheinlich ist, dass sich die EU-Kommission in den nächsten Monaten mit den USA auf einen Safe Harbor Nachfolger einigen werden, müssen deutsche Unternehmen dringend auf die wenigen verfügbaren Alternativen ausweichen.

Alternative 1: EU-Standardvertragsklauseln
An erster Stelle wären hier die EU-Standardvertragsklauseln zu nennen. Hierbei handelt es sich um von der EU-Kommission entworfene Vertragskonstrukte, welche als Basis eines rechtskonformen Vertrags zu Auftragsdatenverarbeitung in den USA genutzt werden können. Die Erstellung eines rechtskonformen Vertrags auf dieser Basis ist jedoch nicht trivial, da die EU-Kommission strenge Regeln bezüglich des Inhalts und des jeweils einzusetzenden Standardvertrags vorgibt. Unternehmen sollten sich in jedem Fall den Rat eines fachkundigen Datenschutzbeauftragten oder eines auf Datenschutz spezialisierten Rechtsanwalts einholen, da nur ein in jeder Hinsicht rechtskonformer EU-Standardvertrag sicher vor einem Bußgeld schützen kann.

Alternative 2: Binding Corporate Rules
Deutsche Niederlassungen von US-Unternehmen haben neben einem EU-Standardvertrag zudem die Möglichkeit sogenannte „Binding Corporate Rules” mit ihrer Muttergesellschaft in den USA zu vereinbaren. Binding Corporate Rules sind konzerninterne Verhaltensregeln, die einen datenschutzkonformen Umgang mit personenbezogenen Daten innerhalb eines Konzerns vorschreiben. Binding Corporate Rules stellen eine große Herausforderung dar, da diese im Hinblick auf das deutsche Datenschutzrecht stets speziell auf das eigene Unternehmen zugeschnitten werden müssen. Auch hier sollte nicht auf die Fachkunde eines erfahrenen Datenschutzbeauftragten verzichtet werden, da fachliche Fehler zu einer nicht legitimierten und bußgeldbewehrten Datenübermittlung führen können.

Das Datenschutz-Team der Holzhofer Consulting GmbH unterstützt Sie gerne auch kurzfristig beim Abschluss von Datenverarbeitungsaufträgen auf Basis der EU-Standardvertragsklauseln und Binding Corporate Rules sowie allen weiteren Belangen rund um die Themen Datenschutz.

Laut dem „State of Privacy Report 2015“¹ von Symantec sind 62% der Deutschen beunruhigt, dass ihre persönlichen Daten nicht sicher sind. Seit dem öffentlich bekannt wurde, in welchem Umfang die NSA Daten sammelt, schrumpft das Vertrauen in Onlinedienste wie z.B. Social Media immer weiter. Mittlerweile geben 36% der Deutschen falsche Daten an, um ihre echten Daten nicht preiszugeben.

Die Spitze des Eisbergs
Ein Blick in die Tageszeitungen verrät, dass kaum eine Woche vergeht, in der nicht ein Unternehmen vertrauliche Kundendaten im großen Umfang verliert. Die Berichterstattung erfasst jedoch nur die Fälle, bei denen bekannt geworden ist, dass personenbezogene Daten abhandengekommen sind. Experten gehen von einer Dunkelziffer von mindestens 90% aus. Häufig fällt der Verlust erst auf, wenn ein Betroffener sich meldet oder die Unternehmen von Dritten auf die Missstände hingewiesen wurden. Der große Vertrauensverlust auf Seiten der Kunden resultiert somit von dem scheinbar sorglosen Umgang mit personenbezogenen Daten durch die Unternehmen. Datenschutz scheint bestenfalls reaktiv betrieben und nicht proaktiv gelebt zu werden.

Ursachen für den Datenverlust
Der Datenverlust fällt am schnellsten auf, wenn dieser durch menschliches Versagen (z.B. versehentliche Veröffentlichung) verursacht wird. Daher scheint dies die häufigste Ursache zu sein. Aber auch andere Gründe wie gezielte Angriffe, vorsätzliches Umgehen von Sicherheitsmaßnahmen und der Diebstahl von Datenträgern (Laptops, Smartphones, USB-Sticks, etc.) sind für den Verlust von Daten ursächlich. Bei gezielten Angriffen oder der Umgehung von Sicherheitsmaßnahmen fällt der Datenverlust erst viel später oder gar nicht auf. Laut „Mandiant Threat Report 2014“² vergehen durchschnittlich 229 Tage, bevor Hacker in einem Netz entdeckt werden. Für alle oben genannten Gründe gibt es effektive Maßnahmen, um den Verlust von Daten erheblich einzudämmen.

Gegenmaßnahmen
Wirksame Maßnahmen sind Mitarbeiterschulungen, interne Regelungen für den Umgang mit Kundendaten und anderen vertraulichen Informationen, Sicherheitsstandards für Entwicklung und Betrieb von Software, interne Audits, Penetrationstests und Vereinbarungen und Audits mit Dienstleistern. Mit Hilfe ergänzender technischer Sicherheitsmaßnahmen (z.B. Verschlüsselung, Firewalls) entsteht ein robuster gesamtheitlicher Schutzschild. Das Risiko, selbst mit einem Datenskandal in den Schlagzeilen zu stehen, sinkt damit signifikant. Gerne unterstützen wir Sie beim Aufspüren und Schließen von Datenlecks!

Ein neuer Markt
Laut Symantecs „State of Privacy Report 2015“ wünschen sich 86% der Deutschen, dass ihre Daten besser geschützt werden. Im Vergleich wünschen sich „nur“ 76% gute Serviceleistungen. Im Geschäfts- und Endkundenumfeld steigt die Nachfrage nach Produkten und Dienstleistungen, die explizit mit Blick auf Datenschutz- und Sicherheitsgesichtspunkten entworfen und betrieben werden. Die Hälfte der Europäer würde gerne Geld für den Schutz ihrer Daten ausgeben. Teilweise können sie dies jedoch nicht, da keine passenden Produkte oder Dienstleistungen auf dem Markt angeboten werden, welche diese Wünsche berücksichtigen. Bisher gibt es nur wenige Anbieter, die in diesem Bereich passende Produkte in der gewünschten Qualität anbieten.

Empfehlungen
Endkunden sollten bei der Auswahl von neuen Produkten und Dienstleistungen auch weiterhin Wert auf Sicherheit legen. Es bietet sich an direkt nach sicheren Produkten zu fragen, auch wenn sie eventuell (noch) nicht verfügbar sind. Unternehmen sollten ihre Produkte und Dienstleistungen an die neuen Sicherheitsbedürfnisse anpassen, da sich zukünftig nur noch sichere und datenschutzkonforme Angebote am Markt durchsetzen werden können.

[1] http://www.symantec.com/content/en/us/about/presskits/b-state-of-privacy-report-2015.pdf
[2] https://dl.mandiant.com/EE/library/WP_M-Trends2014_140409.pdf

Ende Juni 2013 hat die EU-Kommission die EU-Verordnung Nr. 611/2013 über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten gemäß der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates (Datenschutzrichtlinie für elektronische Kommunikation) erlassen. Sie tritt zum 26.08.2013 in Kraft. Anders als EU-Richtlinien müssen EU-Verordnungen nicht erst in nationales Recht umgesetzt werden, sondern wirken unmittelbar mit Inkrafttreten.

Betroffene Unternehmen im EU-Rechtsraum
Die Verordnung gilt für alle Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste. Betroffen sind nach Artikel 5 der Verordnung explizit auch Betreiber, die im Auftrag für ihre Geschäftskunden ganz oder teilweise elektronische Kommunikationsdienste erbringen.

Benachrichtigung innerhalb 24 Stunden
Nach Art. 2 Abs. 2 sind Verletzungen des Schutzes personenbezogener Daten binnen 24 Stunden nach Feststellung der Verletzung an die zuständige nationale Behörde zu melden. Die Einhaltung dieser Frist verlangt von betroffenen Unternehmen einen durchdachten Prozess zur Sicherheitsvorfallbehandlung. Erfahrungsgemäß ereignen sich Datenpannen oder die erste Kenntnisnahme gehäuft außerhalb der üblichen Bürozeiten.

Meldepflichten nach dem BDSG und TKG
Unabhängig von der EU-Verordnung gelten für deutsche Unternehmen nach § 42a BDSG, § 93 Abs. 3 TKG und § 15a TMG umfassende Meldepflichten.

Unklare Zuständigkeit und schwammiger Kreis der Betroffenen
Wer der Verordnung nach für deutsche Unternehmen die nationale zuständige Behörde ist, bleibt bislang ungeklärt. Auch ist nicht eindeutig, ob von der Verordnung nur TK-Anbieter oder Anbieter von Telemediendiensten betroffen sind. Laut Pressemitteilung der EU-Kommission vom 24.06.2013 sind wohl beide gemeint.

Handlungsempfehlung
Unternehmen sollten den Prozess zur Sicherheitsvorfallbehandlung (Information Security Incident Handling) dahingehend prüfen, ob dieser die bereits geltenden gesetzlichen Regelungen zu den Meldepflichten nach BDSG, TKG und TMG umfasst. Sobald Positionierungen von deutschen Aufsichtsbehörden zu diesen Fragen vorliegen, lassen sich bestehende Meldeprozesse einfach anpassen. Als unser Mandant halten wir Sie zu diesem Thema auf dem Laufenden.