Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Und wer unbedingt noch mehr zu mir wissen möchte, kann sich mein Profil ansehen.

Webinaraufzeichnung „Wichtige Rechtsprechung zum Datenschutzrecht in 2020“

Das Webinar „Wichtige Rechtsprechung zum Datenschutzrecht in 2020“ stand genau wie die Office Hours vom 30.07.2020 ganz im Lichte des Urteils des EuGH in Sachen „Schrems II“ in Sachen Ungültigkeit …

Webinaraufzeichnung „Wichtige Rechtsprechung zum Datenschutzrecht in 2020“ Weiterlesen »

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Office Hours für Profis vom 30.07.2020

Die Office Hours für Profis am 30.07.2020 ganz im Zeichen des Urteils des EuGH zur Ungültigkeit des „Privacy Shields“. Es gab so zahlreiche Fragen, dass ich lange nicht alle beantworten …

Office Hours für Profis vom 30.07.2020 Weiterlesen »

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Nach dem EuGH-Urteil zur Unwirksamkeit des Privacy-Shield: Meine ersten Empfehlungen an Mandantinnen

Nach dem EuGH-Urteil zur Unwirksamkeit des Privacy-Shields sowie zu den Problemen mit den EU-Standardvertragsklauseln bei Datenverarbeitungen in Ländern außerhalb der EU bzw. des EWR (vgl. mein Beitrag dazu hier) habe …

Nach dem EuGH-Urteil zur Unwirksamkeit des Privacy-Shield: Meine ersten Empfehlungen an Mandantinnen Weiterlesen »

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Boom! Das „Privacy Shield“ ist tot & wenig Alternativen für Drittlandsverarbeitungen

Erwartungsgemäß bzw. wie befürchtet hat der EuGH gestern in seinem „Schrems II“-Urteil (EuGH, Urteil vom 16.07.2020, Az.: C-311/18) den Beschluss der EU-Kommission zum „Privacy Shield“ als Grundlage für eine Datenverarbeitung in den USA für unwirksam erklärt. In diesem Beitrag soll es weniger um das Urteil an sich, sondern um die praktischen Folgen und vorläufige Alternativen gehen.

Das Urteil

Das Urteil selbst ist mit seinen 48 Seiten keine leichte Lektüre. Vielen wird daher die Pressemitteilung des EuGH als erster Einblick etwas angenehmer sein. Wer eine erste datenschutzrechtliche Einschätzung haben möchte, kann hier, hier oder natürlich bei einer der Stellungnahmen der Aufsichtsbehörden weitere Hinweise.

Klar ist nach dem Urteil hingegen vieles nicht. Was klar ist, ist, dass eine Übermittlung von Daten in die USA auf Basis des Privacy Shields allein ab sofort rechtswidrig ist. Nur: Was sind die Alternativen?

Die große Lösung wäre, dass die USA endlich die Überwachungsvorschriften, die den EuGH dazu bewegt haben, das „Privacy Shield“ zu kippen, rechtsstaatlich besser flankieren, sodass den Betroffenen u.a. auch mehr Rechtsschutzmöglichkeiten zustehen. Das wird allerdings sehr sicher nicht in naher Zukunft passieren.

Übrigens: Ich halte die Überwachungsvorschriften in den USA auch für bedenklich. Nur halte ich die Haltung, dass die EU hier eine grüne, harmonische Wiese wäre, in der es keine staatliche Überwachung von personenbezogenen Daten gebe, die nicht zu kritisieren sei, doch für etwas schwierig. Ein Blick in den einen oder anderen Mitgliedsstaat und z.B. seine nationalen Anti-Terror-Regelungen reicht aus, um hier in gleicher Weise Bedenken zu äußern. Moralisch ist dieser „Vorwurf“ der EU gegenüber den USA also durchaus diskutierbar. Aber hier geht es nicht um Moral. Die ist dem Datenschutzrecht ja häufig mal fremd – in den Augen einiger.

EU-Standardvertragsklauseln als Alternative?

Viele könnten, da der EuGH in seinem Urteil die sog. EU-Standardvertragsklauseln als weiterhin grundsätzlich wirksam bestätigt hat, nun sofort auf die EU-Standardvertragsklauseln als Basis für die Sicherstellung des für eine Datenverarbeitung außerhalb der EU erforderliches angemessenes Schutzniveau greifen.

Nur ist die Hürde da doch recht hoch. Denn auch wenn die EU-Standardvertragsklauseln an sich wirksam bleiben, ist nach den Anforderungen des EuGH eine Einzelfallprüfung erforderlich. Ich muss als Unternehmen also in jedem Fall schauen, ob in diesem Fall der konkreten Datenverarbeitung durch z.B. einen US-Dienstleister ein angemessenes Schutzniveau gewährleistet sein kann. Welche Maßstäbe hier konkreten greifen sollen, macht der EuGH leider nicht deutlich bzw. ist hier in der betreffenden Urteilspassage extrem unklar in der Formulierung. Das ist in diesem kritischen Punkt leider wirklich nicht hilfreich.

Was ich jetzt selbst mache bzw. gemacht habe

Ich hatte mir schon vor dem Urteil einmal angesehen, bei welchen US-Dienstleistern ich für den Betrieb dieser Internetseiten ein angemessenes Datenschutzniveau auf Basis des „Privacy Shields“ geregelt habe und bei welchen ggf. stattdessen oder zusätzlich auch EU-Standardvertragsklauseln vereinbart wurden.

Bei den Dienstleistern, mit denen ich EU-Standardvertragsklauseln vereinbart habe, werde ich schauen, was ich selbst tun kann, um den Umfang der Daten zu verringern bzw. wo selbst mit Verschlüsselung für einen angemessenen Schutz der Daten gesorgt werden kann. Das ist leider schon nicht einfach. Hier halte ich es aber für vertretbar, zunächst ein wenig auf Zeit zu spielen. In der Hoffnung, dass sich durch die EU-Kommission oder durch neue Regelungen der Anbieter Alternativen zeigen.

Für die US-Dienstleister, an die ich nur auf Basis von Privacy Shield Daten übermittle, warte ich auf das Angebot, auf die EU-Standardvertragsklauseln umzusatteln. Auch wenn dies keine finale Lösung wäre, würde es zumindest eine wackelige, bessere Regelung sein. Ich arbeite nur mit US-Dienstleistern, die im Bereich Datenschutz professionell aufgestellt sind. Bei diesen war ein gesonderter Hinweis auf das Urteil von gestern nicht erforderlich. Dieses war dort jeweils schon bekannt und es wird bereits an Lösungen gearbeitet.

Solange diese Lösungen nicht da sind, setze ich im Bereich des Datenschutz-Coachings auf die Ausnahmeregelung des Art. 49 Abs. 1 lit. b) DSGVO. Gleiches mache ich für den Newsletter-Service, den ich nutze, für den es übrigens keine EU-Alternativen gibt, weil diese leider nicht die Schnittstellen anbieten, die ich für die Ausgestaltung der Angebote benötige.

Da beim reinen Lesen von Beiträgen durch Nicht-Datenschutz-Coaching-Mitglieder keine Datenverarbeitung in den USA stattfindet, stellt dies kein Problem dar. Problem bleibt nur die Einbindung von Videoinhalten via Vimeo. Hier habe ich aktuell keine richtig gute Alternative. Da diese Einbindung aber im Rahmen meiner journalistisch-redaktionellen Beiträge erfolgt, setze ich hier aktuell auf die Möglichkeiten, die mir die jüngste Rechtsprechung des BVerfG hier bietet und hoffe auf bessere Zeiten…äh…andere Lösungen. Bekanntlich haben wir in der EU keinen Videodienste-Anbieter mehr, der YouTube, Vimeo oder Wistia die Stirn bietet. Ggf. setzte ich hier dann nach dem Urlaub auf eine Zwei-Klick-Einwilligungslösung beim Einbetten von Videos für Nicht-Datenschutz-Coaching-Mitglieder. Mal sehen.

Ich werde auch sicher noch einmal ganz genau schauen, wo ich auf US-Dienstleister verzichten kann. Die Luft ist da aber dünn, da ich schon bislang immer darauf geachtet habe, Dinge selbst zu machen oder auf EU-Dienstleister zu setzen, wo es möglich ist.

Es bleibt also spannend.

Wie geht es weiter?

Die EU-Kommission und die USA werden jetzt sicher mit Hochdruck an einem Nachfolger des „Privacy Shield“ arbeiten, der uns dann wieder etwas „Zeit“ geben wird, bis dann der EuGH ggf. wieder den betreffenden Beschluss der EU-Kommission für unwirksam erklärt.

Hilfreich wären in jedem Fall auch neue EU-Standardvertragsklauseln in verschiedenen Varianten. Vor allem auch endlich eine „Processor-to-Processor“-Variante.

Was ich mir persönlich wünschen würde, wäre, dass es endlich mehr EU-Dienstleister geben würde, die performante Alternativen zu den Diensten aus den USA bieten würden. In vielen Bereichen ist das Angebot nicht vorhanden bzw. schlichtweg keine Alternative, weil das Angebot einfach schlecht ist.

Hoffen wir also hier auf bessere Zeiten.

Office Hours für Beginner vom 01.07.2020

Am 01.07.2020 haben die Office Hours für Beginner stattgefunden. Datenschutz-Coaching-Mitglieder können sich die Aufzeichnung hier anhören bzw. herunterladen: Download der Datei: (MP3) Hier kannst du dir die Audio-Fassung anhören und …

Office Hours für Beginner vom 01.07.2020 Weiterlesen »

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Hinweise zur Teilnahme an Zoom-Webinaren via Browser

Datenschutz-Guru-Webinare werden mit „Zoom“ durchgeführt. Um an einem Webinar teilzunehmen, benötigst du daher die Zoom-App, die du hier herunterladen kannst.

Damit funktioniert die Teilnahme erfahrungsgemäß am besten. Bitte beachte, dass du die Version 5 oder höher benötigst, um an meinen Webinaren teilzunehmen.

Wenn du die Zoom-App nicht installieren möchtest, kannst oder darfst, kannst du an den Webinaren auch einfach mit deinem Browser teilnehmen. Wenn du auf den Link des jeweiligen Webinars klickst, öffnet dein Browser die Startseite des Webinars. Hier kannst du auch auswählen, dass du das Webinar über deinen Browser starten möchtest.

Ich würde dir allerdings für die beste Erfahrung empfehlen, die Zoom-App zu verwenden, da die Teilnahme hier doch etwas verlässlicher funktioniert.

Office Hours für Profis vom 22.06.2020

Heute haben die Office Hours für Profis stattgefunden. Datenschutz-Coaching-Mitglieder können sich hier die Aufzeichnung anhören bzw. als MP3-Datei herunterladen: Hier kannst du dir die Audio-Fassung anhören und die Audiodatei herunterladen: …

Office Hours für Profis vom 22.06.2020 Weiterlesen »

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Webinaraufzeichnung „Kontrolle von Auftragsverarbeitern“

Vorgestern fand das Webinar „Kontrolle von Auftragsverarbeitern“ für Datenschutz-Coaching-Mitglieder statt. Datenschutz-Coaching-Mitglieder können die Webinaraufzeichnung hier ansehen: Hier kannst du dir die Audio-Fassung anhören und die Audiodatei herunterladen: Download der Datei: …

Webinaraufzeichnung „Kontrolle von Auftragsverarbeitern“ Weiterlesen »

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

LfDI BW: Fragebogen zur Videoüberwachung

Dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit in Baden-Württemberg (LfDI BW) wurde via „FragDenStaat“ eine Frage zu den von der Aufsichtsbehörde verwendeten Fragebögen gestellt.Die Anfrage lautete sinngemäß: „Bitte senden Sie mir die im Rahmen Ihrer behördlichen Tätigkeit aktuell bei Datenschutzverfahren verwendeten Fragenkataloge zur Prüfung von Umsetzung und Einhaltung des Datenschutzrechts.“

Gestern ist nun die Antwort des LfDI BW auf „FragDenStaat“ hier veröffentlicht worden. Der LfDI BW hat geantwortet, dass nur ein Fragebogen zur Videoüberwachung verwendet werden würde. Und dieser wurde dann ebenfalls hier (PDF) zur Verfügung gestellt.

Und der Inhalt des Fragebogens ist für die Unternehmen (nicht nur in Baden-Württemberg) interessant. Denn so kann man eine Art „Selbstcheck“ vornehmen, ob man im Bereich Videoüberwachung seine Hausaufgaben gemacht und eine Anfrage der Aufsichtsbehörde gut beantworten könnte. Folgende 15 Fragen sind im Fragebogen enthalten:

  1. Trifft es zu, dass Sie eine Videoüberwachungsanlage installiert haben und betreiben? Falls eine Anlage von einer anderen Person oder Organisation (Unternehmen, Betrieb, Verein o. Ä.) betrieben wird, teilen Sie uns deren Name und Anschrift mit.
  2. Wie viele Kameras sind in Betrieb?
  3. Wo sind die einzelnen Kameras installiert und welche räumlichen Bereiche werden mit ihnen jeweils beobachtet? Bitte legen Sie dazu eine Skizze und Fotos der Örtlichkeit (Bilder der Kameras in ihrem Umfeld) sowie für jede einzelne Kamera einen zuordenbares Bildschirmfoto (Screenshot, Bildschirmkopie, fotoähnliche Abbildung der aktuellen grafischen Wiedergabe des Kamera) des Erfassungsbereichs der Kamera vor, damit nachvollzogen werden kann, was die Kameras abbilden. Bitte geben Sie dabei auch an, ob Arbeitsplätze (Welche Art von Arbeitsplätzen? Kurzzeitig genutzte oder dauerhaft genutzte Arbeitsplätze?) von der Kamera erfasst werden.
  4. Nennen Sie bitte die genaue Bezeichnung der verwendeten Kameramodelle. Geben Sie auch Informationen zu ggf. eingesetzten Funktionen wie Zoom, Schwenkbarkeit und Audioübertragung. Legen Sie Ihrer Stellungnahme Darstellungen der Hersteller (technischer Aufbau, Datenblätter, Dokumentationen) der Kameras bei.
  5. Geben Sie für jede Kamera an, ob die Erfassung dauerhaft erfolgt oder nur während bestimmter Zeiträume (z. B. an allen Werktagen von 22 Uhr bis morgens 4 Uhr) oder durch bestimmte Ereignisse (z. B. bewegtes Objekt im Erfassungsbereich) ausgelöst wird. In letzterem Falle teilen Sie uns bitte mit, ob und wie groß die Vor- und Nachlaufzeiten für die Speicherung der Aufnahmen eingestellt sind.
  6. Werden die Aufnahmen der Kameras auf einen/mehrere Überwachungsmonitor/e übertragen? Wenn ja, wer beobachtet diese(n) Monitor(e)? Kann/können der/die Monitor(e) nur von Berechtigten eingesehen werden? Legen Sie uns bitte eine Skizze des Standorts des Überwachungsmonitors vor oder ein Bild des Standorts.
  7. Werden die Aufnahmen (oder ggf. welche Aufnahmen) gespeichert und in welcher Form (z. B. auf Magnetband oder in einem elektronischen Speicher, als Videosequenz oder Einzelbilder)? Wenn ja, wo werden die Aufzeichnungen gespeichert, wer hat unter welchen Voraussetzungen Zugriff?
  8. Falls eine Speicherung erfolgt: Wie lange werden die Aufnahmen gespeichert, wann und wie werden die Daten gelöscht?
  9. Werden Aufnahmen an Dritte übermittelt? Falls ja, an wen, für welchen Zweck und auf welcher Rechtgrundlage?
  10. Besteht eine Zugriffsmöglichkeit auf die Videobilder (live oder aufgezeichnet) von außen, z.B. über eine Smartphone-App per WLAN? Falls ja, warum und unter welchen Voraussetzungen wird von außen zugegriffen?
  11. Beschreiben Sie bitte den Zweck jeder einzelnen Kamera und nennen Sie die Rechtsgrundlage (Gesetz, Verordnung o. Ä.), auf der die Videoüberwachung jeweils erfolgt. Bitte erläutern Sie die Ereignisse, derentwegen Sie die Videoüberwachungsanlage installiert haben (Art des Ereignisses, Zeitpunkt, Tageszeit und Schadenshöhe, ggf. Aktenzeichen der Polizei oder Schadensmeldung bei der Versicherung). Sollte es keine konkreten Vorkommnisse gegeben haben, beschreiben Sie bitte, weshalb der videoüberwachte Bereich so gefährdet ist, dass er zwingend videoüberwacht werden muss.
  12. Wurden mildere Maßnahmen, die für das Recht auf Schutz der personenbezogenen Daten der Betroffenen weniger einschneidend sind (bspw. der Einsatz einer Alarmanlage, häufigere Kontrollen durch Personal, Zutrittssicherungen), in Betracht gezogen? Mit welcher Begründung wurden diese verworfen?
  13. Weisen Sie auf die Videoüberwachung hin, ggf. wo und wie (vgl. § 4 Absatz 2 BDSG i.V. mit Art. 12 ff. DS-GVO)? Bitte legen Sie uns ein Foto des Hinweises vor. Wurden Mitarbeiterinnen und Mitarbeiter, die von der Videoüberwachungsmaßnahme betroffen sein können, darüber unterrichtet? Wenn ja, auf welche Weise? Besteht eine Betriebsvereinbarung? Falls ja, legen Sie uns diese bitte vor.
  14. Bitte legen Sie uns das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DS-GVO inklusive einer allgemeinen Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DS-GVO vor. Bezüglich des Inhalts dieser Verfahrensbeschreibung können Sie sich am Wortlaut des Art. 30 Absatz 1 DS-GVO oder den Hinweisen der Datenschutzkonferenz orientieren.
  15. Beabsichtigen Sie, das bisherige Verfahren zu ändern, die Videoüberwachung einzustellen oder die Videokameras zu entfernen?

Eine interessante Liste, mit der man sich selbst ganz gut auf potentielle Fragen einer Aufsichtsbehörde zur Videoüberwachung vorbereiten kann.

DSK: Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich

Die Datenschutzkonferenz (DSK) hat schon am 12.05.2020 „Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich“ (PDF) veröffentlicht.

Diese dienen sozusagen als Ergänzung zur „Orientierungshilfe für Anbieter von Telemedien“ (PDF) und enthält Hinweise zu den Anforderungen des Einsatzes von Google Analytics in Unternehmen.

Die Ausführungen in dem Dokument sind zumindest streitwürdig. So meinen die Aufsichtsbehörden, dass beim Einsatz von Google Analytics keine Auftragsverarbeitung, sondern vielmehr eine gemeinsame Verantwortlichkeit vorliege. Das ist zumindest dann schwer nachvollziehbar, wenn der Nutzer von Google Analytics die Variante „Products & Services“ bzw. „Google-Produkte und -Dienste“ deaktiviert hat.

Unter Bezugnahme auf die Nutzungsbedingungen von Google, in denen Google sich die Verarbeitung der Daten auch für eigene Zwecke vorbehalten, meinen die Aufsichtsbehörden dann aber, dass „unter Berücksichtigung der aktuellen Rechtsprechung des EuGH“ eine gemeinsame Verantwortlichkeit vorliege.

Nur haben die Aufsichtsbehörden m.E. hier den Auftragsverarbeitungsvertrag nicht hinreichend berücksichtigt, der zwischen dem Nutzer von Google Analytics und Google geschlossen wird bzw. geschlossen werden kann. Dieser sieht in Ziff. 14 eine Vorrangregelung vor:

14. Geltung dieser Datenverarbeitungsbedingungen
Im Fall eines Widerspruchs oder einer Abweichung zwischen den Zusatzbedingungen für außereuropäische Datenschutzvorschriften, den übrigen Datenverarbeitungsbedingungen und/oder der übrigen Vereinbarung, gilt die nachfolgende Rangfolge: (a) die Zusatzbedingungen für außereuropäische Datenschutzvorschriften; (b) die übrigen Datenverarbeitungsbedingungen und (c) die übrige Vereinbarung. Mit Ausnahme der Änderungen durch diese Datenverarbeitungsbedingungen bleibt die Vereinbarung ansonsten weiterhin in vollem Umfang wirksam und in Kraft.

Da die Bestimmungen dieser Vorrangregelung die Nutzung der Daten von Google für eigene Zwecke ausschließen, kommen die entsprechenden Regelungen der Google Nutzungsbedingungen gar nicht zur Anwendung.

Damit fällt jedoch das gedankliche Kartenhaus einer gemeinsamen Verantwortlichkeit der DSK sprichwörtlich zusammen.

Das Papier der DSK hat also einen grundlegenden Konstruktionsfehler, der nicht geheilt werden kann.

Wer gleichwohl z.B. aus Gründen des Cookie-Einsatzes, Google Analytics sowieso auf Basis einer Einwilligung einsetzt, findet dann in dem Papier der DSK zum Einsatz von Google Analytics eine Blaupause, an der man sich entlanghangeln kann, wenn man keinen Ärger mit einer Aufsichtsbehörde haben möchte.

So gibt die DSK Hinweise in folgenden Bereichen:

  1. Wie kann eine Einwilligung eingeholt werden?
  2. Technische Anforderungen an die Umsetzung des Widerrufs der Einwilligung
  3. Transparenz
  4. Kürzung der IP-Adresse

Alle diese Hinweise sind hilfreich und sinnvoll. Nur die grundlegenden Ausführungen zu Auftragsverarbeitung und gemeinsamer Verantwortlichkeit…da müsste die DSK noch einmal in sich gehen. Und wenn sie das täte, würde auch die Einwilligung nicht unbedingt die einzige mögliche Rechtsgrundlage sein. Zumindest nicht bei den Anbietern, die ein performantes Webanalysesystem zum Messen der Wirksamkeit von erheblichen Werbeausgaben zwingend benötigen, weil nur so die Internetseiten erbracht werden können. In diesen Fällen ist eine „unbedingte Erforderlichkeit“ von Cookies annehmbar und damit entfiele das Erfordernis einer Einwilligung. Und dann kann Art. 6 Abs. 1 lit. f) DSGVO sehr wohl als Rechtsgrundlage für den Einsatz in Betracht kommen. Es hängt immer sehr vom Einzelfall ab…

DSK mit missglückter Pressemitteilung zum „Missbrauch“ der Corona-Warn-App durch zweckwidrige Nutzung

Wie viele andere auch gehöre ich zu den Menschen, die es für eine sehr gute Idee gehalten haben (und halten), dass der Einsatz und die Verwendung der Corona-Warn-App des Robert-Koch-Instituts gesetzlich geregelt worden wäre.

Einen entsprechenden Entwurf hat der geschätzte Datenschutzrechtler und Richter Dr. Malte Engeler zusammen mit Ninja Marnau, Ralf Bendrath und Jürgen Geuter im Mai 2020 veröffentlicht (abrufbar hier (PDF)).

Auch die Bundestagsfraktionen von „Bündnis 90 / Die Grünen“ sowie „Die Linke“ fordern ein Gesetz zur Nutzung der Corona-Warn-App. Warum das wirklich wichtig ist, zeigen die zahlreichen Anfragen und Diskussionen der letzten noch nicht einmal 40 Stunden seit Verfügbarkeit der Corona-Warn-App.

So fragen Arbeitgeber, ob sie Beschäftigten die Nutzung vorschreiben können. Während dies noch halbwegs vernünftig ohne gesetzliche Regelung eingeschränkt werden kann, ist dies in anderen Bereichen deutlich schwieriger. Es ist nur eine Frage der Zeit, bis ich beim Einlass in ein Restaurant, ins Kino, in ein Transportmittel etc. aufgefordert werde, den Status in meiner Corona-Warn-App vorzuzeigen.

Die Frage ist bei diesen Maßnahmen ohne ein entsprechendes Gesetz immer, ob dies zulässig ist oder nicht. Nachdem der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zunächst in einer Pressemitteilung salopp darauf hinwies, dass so etwas natürlich nicht zulässig sei und er vor diesen Verwendungen warnte, zeigt sich doch bei näherer juristischer Betrachtung, dass in vielen Szenarien z.B. ein Einlass in ein Restaurant im Rahmen des Hausrechts sehr wohl davon abhängig gemacht werden könnte, ob der Gast die Corona-Warn-App nicht nur installiert, sondern auch aktiviert hat und den entsprechenden Status vorzeigt.

Und auch in den Unternehmen gehen heute die ersten E-Mails herum, in denen die Installation der Corona-Warn-App auf Firmenhandys verpflichtend gemacht wird. Wenn in diesen E-Mails zumindest nur die Installation (und nicht die Aktivierung) gefordert wird, ist das schon positiv. Die Richtung ist aber klar vorgegeben. Die ach-so-beworbene Freiwilligkeit der Nutzung schmilzt gerade wie Butter in der Mittagssonne Schleswig-Holsteins am heutigen Tage (ja, es ist heute hier sehr sommerlich).

Und so wird jetzt wohl auch dem letzten klar, dass ein Gesetz zum Einsatz und zur Verwendung der Corona-Warn-App und der hiermit generierten Daten eine gute Idee ist.

Aus scheinbarer Verzweiflung trudelt dann heute eine Pressemitteilung der Datenschutzkonferenz (DSK), also der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, ein.

Und der Inhalt ist schon ein bisschen „putzig“. Überschrieben ist die Pressemitteilung (PDF) mit dem Titel: „Datenschutzfreundliches Grundkonzept der Corona-Warn-App – Freiwilligkeit darf nicht durch zweckwidrige Nutzung untergraben werden!“

Da der Text kurz ist, zitiere ich diesen hier:

Mit der am 16. Juni 2020 durch den Bund vorgestellten Corona-Warn-App steht ein freiwilliges Instrument mit einer dezentralen Speicherung auf dem jeweiligen Smartphone zur Nachverfolgung eventueller Infektionen zur Verfügung.

Die Datenschutzkonferenz sieht das datenschutzfreundliche Grundkonzept als Realisierung des Grundsatzes von Datenschutz by Design. Sie weist allerdings darauf hin, dass insbesondere der Ansatz der Freiwilligkeit nicht durch eine zweckentfremdende Nutzung untergraben werden darf:

Der Zugang zu behördlichen Einrichtungen, Arbeitsstätten, Handelsgeschäften, Gastronomiebetrieben und Beherbergungsstätten, Sportstätten, etc. darf nicht vom Vorweisen der App abhängig gemacht werden.

Hierbei würde es sich um eine zweckwidrige Verwendung handeln, die bereits mit dem Konzept der Freiwilligkeit nicht vereinbar ist. Eine Diskriminierung von Personen, die die App nicht anwenden, ist auszuschließen.

Jetzt könnte man als Unternehmen natürlich mächtig Angst bekommen, wenn hier alle Aufsichtsbehörden der Republik meinen, dass man den Zugang zu Läden, Restaurants nicht vom Vorweisen der Corona-Warn-App abhängig machen dürfe.

Nur scheitern die Datenschutzaufsichtsbehörden hier schon selbst an einer substantiierten Argumentation. Der einzige Satz, aus dem sich die Begründung ergeben soll, dass diese Nutzung verboten sei, erwähnt, dass eine Pflicht zum Vorzeigen der Corona-Warn-App beim Einlass eine „zweckwidrige Verwendung“ darstelle, die mit dem Konzept der Freiwilligkeit nicht vereinbar wäre.

Das ist – mit Verlaub – nicht nur eine „wie-butter-in-der-schleswig-holsteinischen-sonne-dahinschmelzende Scheinargumentation, sondern, um es deutlich zu sagen: „Bullshit“

Bitte richtig verstehen: Ich halte es nicht für gut, wenn ich in Restaurants etc. meine Corona-Warn-App vorzeigen soll. Daher halte ich ein Gesetz, dass diese Szenarien reguliert, für dringend erforderlich.

Da es dieses Gesetz aber nicht gibt, ist hier m.E. Unternehmen kaum zu verwehren, ihr Hausrecht dahingehend wahrzunehmen, dass sie nur Leute einlassen, die die Installation und Aktivierung der App nachweisen und den Status vorzeigen können.

Eine zweckwidrige Verwendung liegt schon deswegen nicht vor, weil in dieser neuen Verarbeitungskonstellation ein Zweck gar nicht bzw. gerade neu durch die Einlassregulierung generiert wird.

Eine Zweckwidrigkeit, wie sie die Aufsichtsbehörden annehmen, liegt insoweit also schon nicht vor.

Und mit dem Konzept der Freiwilligkeit hat auch dies nichts zu tun. Das „Konzept der Freiwilligkeit“ der Corona-Warn-App ist im Verhältnis zwischen Betroffenen und den Unternehmen nicht unmittelbar relevant. Genau genommen noch nicht einmal mittelbar.

Letztlich brauchen die Unternehmen für die Datenverarbeitung in Form des Auslesens bzw. Erkennens von Daten aus der Corona-Warn-App der Besuchenden bzw. Gäste eine Rechtsgrundlage aus dem Datenschutzrecht. Und hier hat er nach Art. 6 Abs. 1 DSGVO ein Sammelsorium verschiedener Möglichkeiten, da diese Datenverarbeitung eben nicht gesetzlich reguliert ist. Genau genommen ließe sich sogar bei einem reinen Vorzeigen der Corona-Warn-App darüber trefflich streiten, ob die DSGVO überhaupt Anwendung findet. Denn ob hier ein „Dateisystem“ vorliegt, kann man bei dem Vorgang der Sichtung der App trefflich bestreiten.

Selbst wenn man in den Anwendungsbereich der DSGVO käme, fiele das Finden einer Rechtsgrundlage für die Verarbeitung dieser Daten im Kontext einer Einlasskontrolle durch Sichtung der Corona-Warn-App nicht unbedingt schwer.

So kann z.B. ein Restaurant über das Hausrecht in Verbindung mit dem Bewirtungsvertrag eine Sichtung der Corona-Warn-App über die Rechtsgrundlage des Vertrages regeln und sich dann auf Art. 6 Abs. 1 lit. b) DSGVO berufen. Solange die Daten aus der Corona-Warn-App nicht gespeichert werden, würde es auch Sicht der sog. AGB-Kontrolle nicht erkennbar sein, dass hierdurch die Gäste unangemessen benachteiligt würden. Auch überraschend wäre so eine Klausel nicht. Und eine Abweichung vom gesetzlichen Leitbild des Gesetzgebers hätten wir auch nicht. Denn der Einsatz der Corona-Warn-App ist eben (leider) derzeit nicht gesetzlich geregelt.

Auch in anderen Bereichen wie Sportvereinen, Ladengeschäften etc. dürfte das Finden einer geeigneten Rechtsgrundlage nicht unbedingt schwer fallen.

Die Pressemitteilung der DSK stellt somit einen Akt der Verzweiflung dar. Er schadet zumindest nicht. Und dass es ein Gesetz zur Verwendung der Corona-Warn-App nicht gibt, ist nicht Schuld der Aufsichtsbehörden. Gleichwohl wirkt die gesamte Pressemitteilung doch sehr unbeholfen. Sie hätten das vielleicht einfach sein lassen sollen. So lässt sich das in Fachkreisen schwerlich ernst nehmen.

Nachtrag: Die geschätzte Kirsten Bock hatte sich das schon in diesem Beitrag hier näher angesehen und ist skeptisch bzgl. der Zulässigkeit von Einlasskontrollen unter Nutzung der Corona-Warn-App. Insbesondere bei der Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO komme ich allerdings zu einer deutlich anderen Gewichtung. Denn hier sind auch die Interessen von Dritten berücksichtigungsfähig. Aber der Punkt mit den „Gesundheitsdaten“ und der Anwendung von Art. 9 DSGVO ist ein gewichtiger Einwand.

BfDI: Tätigkeitsbericht zum Datenschutz 2019

Heute hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) seinen Tätigkeitsbericht zum Datenschutz für das Jahr 2019 vorgelegt. Der Bericht kann hier heruntergeladen werden:

Da der BfDI aktuell (noch) nicht für die Kontrolle der Wirtschaft zuständig ist, ist der Berichtsumfang meist überschaubar. So auch in diesem Bericht, der insgesamt gut 90 Seiten lang ist. Inhalte gibt es zu folgenden Kapiteln:

  1. Einleitung
  2. Empfehlungen
  3. Gremienarbeit
  4. Schwerpunktthemen
  5. Gesetzgebung
  6. Sicherheitsbereich
  7. Bundestag
  8. Weitere Einzelthemen
  9. BfDI intern
  10. BfDI als Zentrale Anlaufstelle (ZASt)

Einige Punkte des Tätigkeitsberichts sind mir aufgefallen.

Verschlüsselung von E-Mails

So gibt es Ausführungen zur Erforderlichkeit der Verschlüsselung von E-Mails. Auch der BfDI hält es wie andere Aufsichtsbehörde nicht für zulässig, dass Betroffene in die nichtverschlüsselte Kommunikation einwilligen können.

Ich halte diese Auffassung für rechtlich falsch, denn unverschlüsselte E-Mails haben nichts mit „Zwergenweitwurf“ oder mit Einwilligungen in „Peep Shows“ i.S.d. der entsprechenden verwaltungsgerichtlichen Rechtsprechung zu tun. Denn da ging es um die Menschenwürde. Ich halte die Auffassung des BfDI, dass man in das Unterlassen von Schutzpflichten nicht einwilligen kann, aber zumindest für vertretbar.

Der BfDI meint, dass sich die Pflicht zu einer Verschlüsselung von E-Mails sich aus Art. 5 Abs. 1 lit. f) DSGVO ergeben könne. Richtigerweise sieht man dann auch ein, dass dabei eine Risikoabwägung vorzunehmen ist.

In den gesamten Ausführungen wird dann aber nicht wirklich thematisiert, dass ein Großteil der E-Mails heute schon über TLS transportverschlüsselt werden. Wir haben das mal bei einer Reihe von E-Mail-Servern getestet und nicht in einem einzigen Fall eine Kommunikation gehabt, die nicht TLS-verschlüsselt war.

Im Jahr 2020 also noch pauschal zu behaupten, dass E-Mails den Charakter einer Postkarte haben, trifft es nicht ganz. Passender wäre der Vergleich, dass der Briefumschlag bei einem kleinen Prozentteil der Briefe nicht verklebt ist.

Google Analytics

Im Kapitel 4.5.2 geht es im Tätigkeitsbericht um das Thema „Tracking und Cookies“. Hier ist eine interessante Umkehrschluss-Argumentation aus den Ausführungen des BfDG zur Möglichkeit des Einsatzes von Google Analytics ohne eine Einwilligung möglich.

Allerdings glaube ich, dass die Behörde das wahrscheinlich nur fahrlässig unglücklich formuliert hat. Wörtlich heißt es dort:

Wer eine Internetseite betreibt, möchte z. B. wissen, wie viele Besucher es gab und welche Seiten angeklickt wurden. Dies ist in vielen Fällen legitim und nachvollziehbar. Problematisch ist allerdings, wenn Drittanbieter eingebunden werden und diese ebenfalls Daten über die Nutzer erhalten. Verarbeitet der Drittanbieter diese Daten zu eigenen Zwecken weiter (wie z. B. Google Analytics in der Standardkonfiguration), benötigt er dafür die Einwilligung des Nutzers.

Im Umkehrschluss könnte das bedeuten, dass bei einem Einsatz von Google Analytics in der Variante, in der Google sich nicht die Verarbeitung der Daten für eigene Zwecke vorbehält (d.h. insbesondere ohne die Variante „Google products & services“ bzw. „Google-Produkte und -Dienste“), ein Einsatz von Google Analytics nach Ansicht des BfDI ohne Einwilligung zulässig wäre.

Bei genauer Lektüre der Passage denke ich aber nicht, dass der BfDI das so gemeint hat. Und es bleibt ja noch das Problem der Verwendung von Cookies durch Google Analytics und in der im Zitat erwähnten Einwilligung geht es um die Einwilligung für den Drittanbieter (also z.B. Google).

Ich würde jedenfalls nicht darauf setzen, dass der BfDI das so gemeint hat. Eine klarere Formulierung wäre hier aber wünschenswert gewesen.