Datenschutz: Privacy Shield, Corona & Co. RA Dr. Michael Pachinger im Interview
Univ.-Lektor RA Dr. Michael M. Pachinger, CIPP/E, ist Rechtsanwalt/Partner bei SCWP Schindhelm mit Spezialisierung auf Datenschutz-/IT-Recht und internationales Vertragsrecht. Er ist Gutachter für das Europäische Datenschutz-Gütesiegel EuroPriSe und Lektor an Universitäten und Fachhochschulen und publiziert laufend Beiträge zu aktuellen IT- und datenschutzrechtlichen Themen in nationalen sowie internationalen Zeitschriften.
Zu welcher Vorgehensweise er in der derzeitigen Situation Unternehmen, die mit amerikanischen Dienstleistern/Auftragsverarbeitern bzw. deren Dienstleistern/Auftragsverarbeitern mit amerikanischen Subdienstleistern zusammenarbeiten, rät, was er von digitalen Kommunikationstools in Zusammenhang mit Datenschutz hält und wie er das Thema Contact Tracing beurteilt, beantwortet der smarte Experte im Interview mit LexisNexis.
Welche Vorgehensweise raten Sie in der derzeitigen Situation Unternehmen, die mit amerikanischen Dienstleistern/Auftragsverarbeitern bzw. deren Dienstleistern/Auftragsverarbeitern mit amerikanischen Subdienstleistern zusammenarbeiten – Stichwort Privacy Shield?
In Anbetracht der bedeutenden Entscheidung des EuGH ist es mehr denn je notwendig, für Datentransfers in Drittstaaten eine valide Rechtsgrundlage vorweisen zu können. Wenn diese nicht gegeben ist, liegt eine Verletzung der Vorgaben der Art 44 ff DSGVO vor, welche gemäß Art 83 Abs 5 lit c DSGVO sanktioniert ist. Es droht demnach eine Strafe in Höhe von 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes.
Unternehmen und Organisationen sollten daher unmittelbar reagieren und angemessene Maßnahmen bzw Schritte setzen, um ihrer Selbstverantwortung bei Datentransfers in die USA nachzukommen. Folgende Schritte sind besonders wichtig:
– Prüfung, inwieweit Kontakt zu Vertrags- oder sonstigen Geschäftspartnern (Tochter- oder Vertriebsgesellschaften etc) in den USA besteht oder anderweitig Daten in die USA transferiert werden;
– Klärung der Rechtsgrundlage und insbesondere Prüfung, ob man sich derzeit auf das Privacy-Shield-Abkommen stützt;
– Prüfung alternativer Rechtsgrundlagen wie bspw Standarddatenschutzklauseln, Ad-hoc-Verträge, Binding Corporate Rules (BCR), Einholung der ausdrücklichen Einwilligung von betroffenen Personen, Vertragserfüllung, berechtigte Interessen oder Geltendmachung von Rechtsansprüchen;
– Prüfung und ggf Adaptierung der Datenschutzinformationen sowie des Verarbeitungsverzeichnisses;
– Prüfung, ob die vorläufige Aussetzung der Datenübertragung möglich bzw zweckangemessen ist.
Wichtig ist mE aber vor allem auch eine Risikobewertung, nämlich wie häufig erfolgen die Datentransfers, welche Datenarten sind überhaupt betroffen, welche sonstigen Verarbeitungskriterien bestehen etc!
Die Coronakrise brachte 2020 einen massiven Digitalisierungsschub, aber auch neue Fragen zum Thema Datenschutz: In vielen Organisationen, wie zB auch Schulen, wurden während der Quarantäne Web- und Videokonferenzlösungen als Kommunikationsweg gewählt, dies wäre auch für ein erneutes Distance Learning vorgesehen. Sehen Sie es aus datenschutzrechtlichen Gründen problematisch, dass derartige Tools zum Einsatz kommen bzw. was empfehlen Sie im Hinblick auf Aufzeichnung der einzelnen Sessions?
Welche Vorgehensweise raten Sie in der derzeitigen Situation Unternehmen, die mit amerikanischen Dienstleistern/Auftragsverarbeitern bzw. deren Dienstleistern/Auftragsverarbeitern mit amerikanischen Subdienstleistern zusammenarbeiten – Stichwort Privacy Shield?
In Anbetracht der bedeutenden Entscheidung des EuGH ist es mehr denn je notwendig, für Datentransfers in Drittstaaten eine valide Rechtsgrundlage vorweisen zu können. Wenn diese nicht gegeben ist, liegt eine Verletzung der Vorgaben der Art 44 ff DSGVO vor, welche gemäß Art 83 Abs 5 lit c DSGVO sanktioniert ist. Es droht demnach eine Strafe in Höhe von 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes.
Unternehmen und Organisationen sollten daher unmittelbar reagieren und angemessene Maßnahmen bzw Schritte setzen, um ihrer Selbstverantwortung bei Datentransfers in die USA nachzukommen. Folgende Schritte sind besonders wichtig:
– Prüfung, inwieweit Kontakt zu Vertrags- oder sonstigen Geschäftspartnern (Tochter- oder Vertriebsgesellschaften etc) in den USA besteht oder anderweitig Daten in die USA transferiert werden;
– Klärung der Rechtsgrundlage und insbesondere Prüfung, ob man sich derzeit auf das Privacy-Shield-Abkommen stützt;
– Prüfung alternativer Rechtsgrundlagen wie bspw Standarddatenschutzklauseln, Ad-hoc-Verträge, Binding Corporate Rules (BCR), Einholung der ausdrücklichen Einwilligung von betroffenen Personen, Vertragserfüllung, berechtigte Interessen oder Geltendmachung von Rechtsansprüchen;
– Prüfung und ggf Adaptierung der Datenschutzinformationen sowie des Verarbeitungsverzeichnisses;
– Prüfung, ob die vorläufige Aussetzung der Datenübertragung möglich bzw zweckangemessen ist.
Wichtig ist mE aber vor allem auch eine Risikobewertung, nämlich wie häufig erfolgen die Datentransfers, welche Datenarten sind überhaupt betroffen, welche sonstigen Verarbeitungskriterien bestehen etc!
Die Coronakrise brachte 2020 einen massiven Digitalisierungsschub, aber auch neue Fragen zum Thema Datenschutz: In vielen Organisationen, wie zB auch Schulen, wurden während der Quarantäne Web- und Videokonferenzlösungen als Kommunikationsweg gewählt, dies wäre auch für ein erneutes Distance Learning vorgesehen. Sehen Sie es aus datenschutzrechtlichen Gründen problematisch, dass derartige Tools zum Einsatz kommen bzw. was empfehlen Sie im Hinblick auf Aufzeichnung der einzelnen Sessions?
Nicht nur für Distance Learning, sondern auch in unserer Mandatsarbeit kommen Video-Konferenz-Lösungen immer mehr zum Einsatz. So haben wir bspw während des Lockdowns ein Datenschutz-Audit „online“ abgewickelt, da es der Mandantin wichtig war, über einen entsprechenden Audit-Bericht zu verfügen, um ihrer Selbstverantwortung gerecht zu werden.
Mögliche Videokonferenz-Tools sind zunächst auf ihre Tauglichkeit zu prüfen, die datenschutzrechtlichen Risiken zu analysieren sowie auch die Verfügbarkeiten sowie die Usability zu klären. Bei der finalen Auswahl des Tools sollte auf die Datensicherheit, auf mögliche Verschlüsselungen sowie auf die praktische Handhabe und Verfügbarkeit auch im Sinne eines Benutzerkonzeptes besonders Wert gelegt werden.
Der Einsatz derartiger Tools ist sorgfältig vorzubereiten, dh ein Verarbeitungs-verzeichnis anzulegen, Datenschutzinformationen aufzubereiten, ggf eine Datenschutz-Folgenabschätzung mit dem Datenschutz-Beauftragten vorzunehmen und auch arbeitsrechtliche Vorgaben sind zu berücksichtigen, wie bspw die Zustimmung des Betriebsrates einzuholen. Was die Aufzeichnung von Sessions betrifft, sollte es jedenfalls eine klare Vorgabe iS einer Richtlinie geben, ob diese erfolgt oder nicht; ggf wären Zustimmungen einzuholen etc.
Wie ist das Thema Contact Tracing – zB auch für Restaurantgäste aus Ihrer Sicht zu beurteilen?
Wie Daten sinnvollerweise zur Bekämpfung der Ausbreitung der Pandemie herangezogen werden können, wurde und wird umfangreich diskutiert (Big Data, Bewegungsanalysen, Tracing- und Tracking-Apps). Die DSGVO als Datenschutzrecht des 21. Jahrhunderts sieht neue Technologien an mehreren Stellen explizit vor, ermuntert uns geradezu, diese zu nutzen und verhindert sie keineswegs. Vorgesehen ist aber auch ein ausgeklügeltes System, damit es zu keiner Überwachung bzw zu keinen Grundrechtseingriffen kommt (Verhältnismäßigkeit, Geeignetheit und Angemessenheit der gelindesten Mittel etc). Gerade beim Thema Contact Tracing und der diesbezüglichen Ausgestaltung ist eine sorgfältige Bewertung vorzunehmen, ob Maßnahmen und Auswertungen wirklich erforderlich und nicht nur nützlich sind, um ein bestimmtes Ziel zu erreichen. Eine Ermittlung und Bewertung des Risikos im Vergleich zum Nutzen verlangt die Datenschutz-Folgenabschätzung. Hier könnten auch vorab Meinungen der Betroffenen eingeholt werden.
Sie haben schon Ende 2016 die erste Auflage des Werkes „Datenschutz-Audit“ bearbeitet, das Buch ist inzwischen in dritter Auflage erschienen. Was hat sich in dieser Zeit in Sachen Audit bewegt und gibt es vielleicht einen besonderen Tipp?
Der moderne Datenschutz ändert sich laufend. So auch in den letzten 2 Jahren seit Geltungsbeginn der DSGVO, die übrigens nicht statisch, sondern „work in progress“ ist. Ich warne daher davor, sich mit den „Umsetzungen“ aus dem Jahre 2018 zufriedenzugeben. Jetzt ist der richtige Zeitpunkt für ein Datenschutz-Audit. Viele unserer Mandanten machen dies auch. Lessons learned aus bisherigen Datenschutz-Audits sind bspw:
- Datenschutz-Beauftragter: keine ausreichende Prüfung und Dokumentation, warum ein Datenschutzbeauftragter zu bestellen ist oder nicht
- Datenschutz-Folgenabschätzung: unzulängliche Evaluierungen risikoträchtiger Datenverarbeitungen
- Rechtsgrundlage Einwilligung:
- Fairnessgrundsatz: Erneuerung der Einwilligung nach bestimmter Zeit!
- Cookies: Prüfung, inwieweit Werbecookies auf den eigenen Webauftritten verwendet werden und ggf kurzfristige Umstellung auf Einwilligungslösung oder Verzicht auf Werbecookies
Gerade der Bereich Datenschutz wirft immer neue Fragen auf und auch bereits langjährig tätige Juristen sind über Unterstützung in dem Bereich erleichtert. Wie kann man es schaffen, in diesem dynamischen Gebiet den notwendigen Überblick zu bewahren?
Unerlässlich ist und bleibt es, bei Rechtsprechung und Literatur auf dem neuesten Stand zu bleiben; dies versuche ich auch mit den beiden von mir bearbeiteten Kodices, nämlich dem KODEX Datenschutz und dem KODEX IP/IT, zu bieten. Für alle, die viel unterwegs und/oder IT-affin sind: Den KODEX gibt es auch in einer praktischen App, also „Recht to go“ quasi.
Zudem sollte man auf die Praxiserfahrungen der letzten beiden Jahre setzen; wir haben diese bspw im Handbuch „Datenschutz: Recht und Praxis“ zusammengefasst. Zahlreiche namhafte Experten schildern hier quasi „hands on“, wie sie mit den Anforderungen der DSGVO in den letzten beiden Jahren umgegangen sind.
