[datensicherheit.de, 02.06.2021] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) geht in seiner aktuellen Stellungnahme auf die länderübergreifende Kontrolle der Datenschutzaufsichtsbehörden von Unternehmen zur Umsetzung der „Schrems II“-Entscheidung des Europäischen Gerichtshofs (EuGH) ein. Angesichts der Betroffenheit vieler Unternehmen lasse sich ein einheitlicher Vollzug dabei nur sehr schwer herstellen – aber die Augen zu verschließen sei keine Lösung.

HmbBfDI

Prof. Dr. Johannes Caspar: Schlüssel für Grundrecht Informationeller Selbstbestimmung in den Empfängerstaaten

Anforderungen laut EuGH-Entscheidung Schrems II vom 16. Juli 2020

Im Rahmen einer länderübergreifenden Kontrolle werden demnach Datenübermittlungen durch Unternehmen in Staaten außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (Drittstaaten) überprüft. Das Ziel sei die breite Durchsetzung der Anforderungen des EuGH in seiner „Schrems II“-Entscheidung vom 16. Juli 2020 (Rs. C-311/18).
Darin habe das Gericht festgestellt, dass Übermittlungen in die USA nicht länger auf Basis des sogenannten „Privacy Shield“ erfolgen könnten. Der Einsatz der sogenannten Standarddatenschutzklauseln für Datenübermittlungen in Drittstaaten sei ferner nur noch unter Verwendung wirksamer zusätzlicher Maßnahmen ausreichend, „wenn die Prüfung des Verantwortlichen ergeben hat, dass im Empfängerstaat kein gleichwertiges Schutzniveau für die personenbezogenen Daten gewährleistet werden kann“.

Behörden müssen nach Schrems II unzulässige Transfers aussetzen oder verbieten

Dieses Urteil des EuGH erfordere in vielen Fällen eine grundlegende Umstellung lange praktizierter Geschäftsmodelle und -abläufe. „Die an der Kontrolle teilnehmenden Behörden schreiben nun die jeweils ausgewählten Unternehmen auf der Basis eines gemeinsamen Fragenkatalogs an.“ Dabei werde es unter anderem um den Einsatz von Dienstleistern zum E-Mail-Versand, zum Hosting von Internetseiten, zum Webtracking, zur Verwaltung von Bewerberdaten und um den konzerninternen Austausch von Kundendaten und Daten der Beschäftigten gehen.
Jede Aufsichtsbehörde entscheide individuell, in welchen dieser Themenfelder sie tätig wird. Der Gerichtshof habe seine Erwartung klar formuliert, dass die Behörden unzulässige Transfers „aussetzen oder verbieten“. Das Aussetzen einer Übermittlung könne voraussichtlich in vielen Fällen im kooperativen Dialog mit den Unternehmen gelingen. „Wo dies nicht möglich ist, wird mit den zur Verfügung stehenden aufsichtsbehördlichen Maßnahmen reagiert.“

Schrems II und Umsetzung des Grundsatzes der Digitalen Souveränität

Die Aufsichtsbehörden seien sich der „besonderen Herausforderungen, die das EuGH-Urteil zu ,Schrems II‘ für die Unternehmen in Deutschland und Europa mit sich bringt“, bewusst. Sie stehen laut HmbBfDI für Verständnisfragen auch im weiteren Verlauf des Prüfungsverfahrens zur Verfügung, „soweit dies nach Maßgabe der vorhandenen Kapazitäten möglich ist“. Angesichts der Betroffenheit vieler Unternehmen lasse sich ein einheitlicher Vollzug hier nur sehr schwer herstellen. „Aber die Augen zu verschließen ist keine Lösung“, betont Prof. Dr. Johannes Caspar, der HmbBfDI.
Häufig werde ein grenzüberschreitender Datenverkehr bereits durch die Nutzung von handelsüblichen Diensten zur Bürokommunikation ausgelöst, ohne dass ein direkter internationaler Austausch der Daten im Geschäftsverkehr durch die jeweiligen Unternehmen überhaupt bezweckt werde. Gerade zur Bürokommunikation oder der Datenspeicherung könne gewöhnlich auf Dienste ohne unzulässige Drittstaatenübermittlung zurückgegriffen werden. Die Umsetzung des Grundsatzes der Digitalen Souveränität werde diese Möglichkeiten in Europa künftig weiter erleichtern.

Schrems II setzt für viele Unternehmen nicht selbst zu verantwortende Hürden

Die Fragebogenaktion solle nun insoweit vor allem dazu beitragen, den Unternehmen Lösungen mit angemessenem Datenschutzniveau zu unterbreiten. Das „Schrems II“-Urteil setze für viele Unternehmen Hürden, aus Gründen, für die sie letztlich nicht selbst verantwortlich seien. Es sei daher immer wieder daran zu erinnern, „dass der Schlüssel für das Grundrecht der Informationellen Selbstbestimmung in den Empfängerstaaten liegt“.
Gerade die Politik in den USA sollte laut HmbBfDI erkennen: „Geeignete Garantien gegenüber dem Zugriff der US-Sicherheitsbehörden zum Schutz der übermittelten Daten sowie ein wirksamer Rechtsschutz für Menschen aus der EU sind zentrale Voraussetzung für einen freien Datenverkehr. Eine Lösung liegt im beiderseitigen Interesse.“

Weitere Informationen zum Thema:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Koordinierte Prüfung internationaler Datentransfers

datensicherheit.de, 13.05.2021
Schrems II: Informationsoffensive in Rheinland-Pfalz / Wer bei Datenübermittlungen in Drittländer noch nicht auf Rechtslage nach dem Urteil Schrems II reagiert hat, sollte umgehend handeln

datensicherheit.de, 21.01.2021
Schrems II als Dilemma für KMU / Mit dem Urteil des EuGH wächst der Druck auf KMU

datensicherheit.de, 24.07.2020
Schrems II: LfDI RLP wird Einhaltung kontrollieren / Unternehmen müssen laut LfDI RLP Unzulässigkeit des Datenexports auf Basis des „Privacy Shield“ akzeptieren

[datensicherheit.de, 15.08.2020] Der Datenschutzexperte Prof. Dr. Peter Wedde von der Frankfurt University of Applied Sciences (Frankfurt UAS), Fachbereich 2 (Informatik und Ingenieurwissenschaften) fordert in seiner aktuellen Stellungnahme zur sogenannten Corona-App klare rechtliche Regelungen. Ferner geht er auf die Datenschutzproblematik sogenannter Corona-Kontaktlisten und -Fragebögen ein.

Foto: privat

Prof. Dr. Peter Wedde: Werden widerrechtlich Daten abgefragt, dürfen Betroffene nicht nur die Auskunft verweigern, sondern auch unzutreffende Angaben machen

Steigende Zahl neuer Corona-Infektionen befördert rechtlich fragwürdige Informationserhebung

Die steigende Zahl neuer „Corona“-Infektionen könnte schon bald verschärfte Vorsorgemaßnahmen und Einschränkungen zur Folge haben. Sind sie gesetzlich vorgeschrieben, müssten sie befolgt werden.
Im öffentlichen Leben könne es aber auch ohne gesetzliche Grundlage zu weitergehenden Auflagen kommen. So müssten Besucher mancher Unternehmen bereits heute Fragebögen ausfüllen, die nicht nur nach einer „Corona“-Infektion fragten, sondern nach der Körpertemperatur, ob Husten oder Halsschmerzen vorlägen und Angehörige oder Freunde erkrankt seien. Diskutiert werde ebenso, ob die Nutzung der „Corona“-App oder die Vorlage eines negativen „Corona“-Tests Voraussetzung für den Zutritt zu Geschäften, Restaurants oder Betrieben sein könnten.
Ob solche Anforderungen einer rechtlichen Prüfung standhalten, bewertet der Datenschutzexperte und Arbeitsrechtler Professor Wedde – er sieht „das Fehlen eindeutiger gesetzlicher Regelungen als Kernproblem“.

Corona-App: Grundsatz der Freiwilligkeit auch gegenüber Arbeitgebern

Die staatliche „Corona“-Warn-App habe einen zentralen Zweck: Sie solle Nutzer informieren, ob sie sich innerhalb der letzten 14 Tage in der Nähe einer mit dem Virus infizierten Person befunden haben.
„Die Verwendung der App ist freiwillig und erfolgt anonym. Die Anonymität kann nur von einem positiv getesteten Nutzer zusammen mit einer hierfür autorisierten Stelle aufgehoben werden. Auch in diesem Fall werden aber keine personenbezogenen Daten übermittelt. Dieses Konzept von Freiwilligkeit und Anonymität schließt klar aus, dass am Eingang zum Restaurant oder Kino das Vorzeigen der ,Corona‘-App verlangt wird“, betont Professor Wedde.
Dieser Grundsatz der Freiwilligkeit gelte auch gegenüber Forderungen von Arbeitgebern: „Ihnen ist es verwehrt, die Aktivierung der Software auf dienstlichen Endgeräten zu verlangen oder zentral durchzuführen. Dafür gibt es keine rechtliche Grundlage.“ Problematisch sei, dass Betroffene, die sich dagegen zur Wehr setzten, mit Nachteilen rechnen müssten. Der Jurist bemängelt: „Das eigentliche Problem ist, dass eine gesetzliche Regelung fehlt, die jede zweckfremde Verwendung der ,Corona‘-App sowie jeden Eingriff in das Freiwilligkeitsprinzip klar verbietet und gegebenenfalls sanktioniert.“

Corona-Fragebogen: Schutzwürdige Interessen, Grundrechte und Grundfreiheiten der betroffenen Personen überwiegen!

Rechtlich ähnlich zu bewerten sei die Vorlage eines sogenannten Corona-Fragebogens, der mangels einer gesetzlichen Vorgabe ebenfalls auf Freiwilligkeit basiere. „Wird aber Betriebsfremden am Firmentor der Zutritt zum Betriebsgelände verweigert, falls sie ein solches Formular nicht ausfüllen, kann von freiwilliger Entscheidung nicht die Rede sein“, stellt Professor Wedde klar. Gleiches gelte für den Einzelhandel oder Restaurants.
„Grundsätzlich könnten Kaufleute oder Gastronomen einen solchen Fragebogen zwar mit ihrem berechtigten Interesse begründen, ,Covid-19‘-Virus infizierte Personen am Zutritt zu hindern. Dafür würde es aber ausreichen, wenn sie sich von ihren Gästen bzw. ihrer Kundschaft unterschreiben lassen, dass sie zur Kenntnis genommen haben, dass an ,Covid-19‘ erkrankten Personen der Zutritt untersagt ist.“
Weitergehende Abfragen zum aktuellen Gesundheitszustand, Datum des letzten „Corona“-Tests, zur Körpertemperatur oder Rückkehr aus einem Risikogebiet seien unzulässig: „Schutzwürdige Interessen, Grundrechte und Grundfreiheiten der betroffenen Personen überwiegen hier eindeutig. Werden dennoch widerrechtlich Daten abgefragt, dürfen Betroffene nicht nur die Auskunft verweigern, sondern auch unzutreffende Angaben machen. Zudem steht ihnen die Möglichkeit offen, Schadenersatz einzufordern, wenn sie beispielsweise ein Konzert nicht besuchen konnten, weil der Veranstalter den Zutritt vom Ausfüllen eines Gesundheitsfragebogens abhängig gemacht hat.“

Corona-Testergebnisse: Allgemeine Vorlagepflicht ohne besonderen Grund gibt es nicht!

Entsprechendes gelte auch, falls man aufgefordert wird, das Ergebnis eines aktuellen „Corona“-Tests vorzulegen, beispielsweise wenn der Arbeitgeber aus Angst vor Ansteckungen der übrigen Belegschaft nicht riskieren will, aus Risikogebieten zurückgekehrte Mitarbeiter in den Betrieb zu lassen. „Eine allgemeine Vorlagepflicht ohne besonderen Grund gibt es nicht“, betont der Arbeitsrechtler. Ein großer Teil der praktischen Probleme resultiere auch hier daraus, dass es keine klare und absolute gesetzliche Festlegung zulässiger Zwecke gebe. Deren Fehlen führe – wie bei der „Corona“-App – „nicht nur zur individuellen Verunsicherung, sondern auch zu Drucksituationen für Betroffene“.
Verschärft werde dieses Problem „durch die steigende Begehrlichkeit staatlicher Stellen bezogen auf die zur Eindämmung von ,Corona‘ erhobenen personenbezogenen Daten“. Dies lasse sich an der zunehmenden Zahl von Zugriffen durch Polizei und Staatsanwaltschaft auf die in Restaurants geführten Gästelisten ablesen. „Weil derartige zweckfremde Verarbeitungen in den einschlägigen gesetzlichen ,Corona‘-Regelungen nicht eindeutig verboten werden, sind solche Zugriffe auf der Grundlage des allgemeinen Strafprozessrechts zulässig“, erklärt der Jurist und warnt: „Müssen Bürgerinnen und Bürger damit rechnen, dass ihre allein zur Bekämpfung der ,Corona‘-Pandemie erhobenen Daten plötzlich auch zur Aufklärung beliebiger Delikte ausgewertet werden, wird die Akzeptanz für derartige Maßnahmen schwinden und das Vertrauen geschädigt.“
Professor Weddes Haltung ist klar: „Erforderlich ist auch in diesem Bereich eine gesetzliche Festschreibung einer engen Zweckbindung, die entsprechende Auswertungen allenfalls bezogen auf schwere Verbrechen und allein auf der Basis einer richterlichen Entscheidung zulässt.“

Weitere Informationen zum Thema:

datensicherheit.de, 14.08.2020
HmbBfDI meldet erste Bußgeldverfahren wegen offener Kontaktlisten / Bereits im Juni 2020 hatte der HmbBfDI stichprobenartig 100 Gewerbe- und Gaststättenbetriebe aufsuchen lassen

datensicherheit.de, 11.06.2020
Corona-App: Auf den richtigen Kurs setzen! / TeleTrusT-Pressefrühstück auf der Berliner Spree stellte erforderliche Randbedingungen vor, um „Schiffbruch“ zu vermeiden

[datensicherheit.de, 20.02.2016] Die Schnelligkeit unseres durch zunehmende Digitalisierung geprägten Alltagslebens erfordert es, das „Ohr an der Basis“ zu haben, also die Wünsche und Meinungen der eigenen Zielgruppe zu kennen. Da liegt es nahe, auf eine Online-Befragung zurückzugreifen, um Bürger, Mitarbeiter oder Kunden zu adressieren.
Die Akzeptanz einer solchen webbasierten Umfrage – und damit deren Aussagekraft sowie letztlich deren Erfolg – dürfte nun stark von dem Sicherheitsgefühl abhängen, welches den Befragten vermittelt wird.
Während die Emotionalität ansprechende Web-Applikationen die Nutzer häufig nachlässig werden lassen, sind nüchtern und sachlich orientierte Anwendungen von einem Höchstmaß an Datenschutz abhängig, damit sich die Befragten sicher fühlen und ehrlich antworten können.

Datenschutz als Erfolgsfaktor für Online-Umfragen

Viele Erstanwender denken zunächst an die Großen der Branche. Im Falle der Online-Umfragen liegt es sicher nahe, etwa an den Anbieter „SurveyMonkey“ zu denken. Dieser wirbt mit kostenloser Registrierung und der kostenlosen Nutzung von „Basisfunktionen“. Auf der Website des 1999 gegründeten Branchenriesen mit Firmensitzen in Portland (Oregon, USA) und Funchal (Madeira, Portugal) werden global agierende Konzerne als Referenzen genannt.
Im Kontext der Diskussion um das sogenannte „Safe Harbor“-Abkommen und dessen Nachfolger „EU-US Privacy Shield“ zwischen der EU und den USA ist die Datenschutz-Konformität der Nutzung eines im Prinzip transatlantischen Großunternehmens derzeit jedoch eher unklar. Aber gerade die Klarheit in Datenschutz-Fragen ist für das Vertrauen der Befragten notwendig. Da stellt sich die Frage, ob es nicht auch in der EU oder gar in Deutschland Anbieter gibt, die in jedem Fall hiesigen Datenschutzansprüchen genügen und viel einfacher „greifbar“ sind als ein anonym wirkender Konzern.

Wenn das Naheliegende Vertrauen schafft

Im Jahr 2011 hat sich z.B. in Berlin das Absolventen-Startup LamaPoll gegründet. Dessen drei Gründer, Lars Langner, Maik Maibaum und Stoyko Notev, hatten ihren ursprünglich als ein Universitätsprojekt gestarteten Umfragedienst ab 2009 zunächst Studenten und Freunden kostenfrei zur Verfügung gestellt. Nachdem das Interesse an ihrem Umfragetool wuchs, gründeten sie eine GbR und betrieben die Weiterentwicklung fortan auf professioneller Basis.
Wer also eine Umfrage erstellen möchte, kann mit „LamaPoll“ seiner Zielgruppe online Fragebögen zur Beantwortung zur Verfügung stellen. Nach eigenen Angaben greifen u.a. Unternehmen für Mitarbeiterbefragungen, Web-Magazine für Persönlichkeitstests oder Forschungsinstitute für komplexe Meinungsumfragen darauf zurück. Neben einigen Privatkunden bewegten sich die meisten Umfragen im „B2B“-Bereich; auch Großkonzerne nutzten ihr Angebot. Die Kunden kämen vorrangig aus dem deutschsprachigen Raum und legten großen Wert auf Datenschutz nach deutschem Standard.

[datensicherheit.de, 03.12.2012] Nach einer Studie der Krankenkasse DAK soll der Krankenstand im Jahr 2011 so hoch wie seit 15 Jahren nicht mehr gewesen sein – im Schnitt habe der Krankenstand bei 3,6 Prozent gelegen. Dies seien 13,2 Fehltage pro Versichertem. Allem Anschein nach sei das den gesetzlichen Krankenkassen zu viel, erläutert Dipl.-Inf. Christian Volkmer, zertifizierter Datenschutzexperte und Inhaber von Projekt 29 in Regensburg. Deshalb fragten die Kassen im Jahr 2012 verstärkt nach.
Wer etwa durch einen Infekt einige Zeit ans Bett gefesselt war und Krankentagegeld erhalten hatte, erhalte einige Zeit später ein Schreiben der Krankenkasse mit der Aufforderung, den beigefügten Fragebogen ausgefüllt an die Kasse zurückzusenden. Ansonsten drohe dem Mandanten die Rückforderung des Krankentagegeldes. In dem Bogen würden dann Daten zu Familienstand, Vorerkrankungen aber auch Verhältnis zum Arbeitgeber und Urlaubsplanungen abgefragt, berichtet Volkmer – und betont, dass den Krankenkassen jegliche Berechtigung für ein derartiges Schreiben fehle. Fragen, wie in den Fragebögen aufgeführt, dürften nur vom Medizinischen Dienst der Krankenversicherungen (MDK) gestellt werden. Dessen Mitglieder seien Ärzte, die der Schweigepflicht unterliegen. Wer einen solchen Brief erhält, habe keine Pflicht, diesen auszufüllen.
Die Datensammelwut der Krankenkassen zeige sich aber noch in anderer Form und mit nicht weniger Gewicht, so Volkmer. Mit den neuen elektronischen Krankenkassenkarten soll es Ärzten in Zukunft erleichtert werden, einen Überblick über die Krankengeschichte des Patienten zu erhalten und diese auch zu aktualisieren. Dabei sei bislang völlig unklar, wo die Datensätze hinterlegt werden. Diese sollten auf externen Servern gespeichert werden und ob sie sich in Deutschland oder einem anderen Staat befinden, sei nicht geklärt, warnt Volkmer. Auch bei einer hohen Verschlüsselungsrate von 2.048 bit und einem PIN-System seien die Daten nicht sicher. Schon zu Beginn der Umstellung habe sich die Pharmaindustrie den Zugriff auf die Patientendaten sichern wollen, um ökonomischen Nutzen daraus zu ziehen. Es sei nicht absehbar, was passiert, sollte sich eine staatsnahe Branche, wie zum Beispiel Versicherungsunternehmen, Zugang zu den elektronischen Akten beschaffen.
Zum Umgang mit der elektronischen Gesundheitskarte rät Volkmer rät zur Datensparsamkeit – bislang seien auf diesen Karten nur die Angaben zu Name, Alter und Wohnort gespeichert. Sollte die Aufforderung, weitere Angaben zu machen, kommen, warnt er davor, diese derzeit an die entsprechende Stelle weiterzugeben. Die Krankheitsdaten seien beim behandelnden und der Schweigepflicht verpflichteten Mediziner gut aufgehoben.

Weitere Informationen zum Thema:

Projekt 29
Home