Alle Beiträge von Bernd Haase

UPDATE zum Privacy Shield

Nachdem nun mehrere Monate seit dem EuGH-Urteil gegen die Gültigkeit des Privacy Shield – Abkommens vergangen sind, werden wir heute eine kurze Bestandsaufnahme zur aktuellen Situation liefern. Die Frage lautet also, wie weiter mit der Übermittlung personenbezogener Daten an US-Anbieter?

Kurz gesagt ist die Situation immer noch unbefriedigend! Das Grundproblem des potentiellen behördlichen Zugriffs auf personenbezogene Daten bei Ihrem Vertragspartner in den USA ist natürlich nicht vom Tisch. Dennoch gibt es inzwischen Orientierungshilfen von unseren Datenschutzbehörden wie etwa die Empfehlung vom Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg.

Kurz zusammengefasst geht es dabei um diese Punkte:

  • Bewerten Sie die in die USA übertragenen personenbezogenen Daten (Kategorisierung).
  • Informieren Sie Ihre US-Dienstleister über das EuGH-Urteil und erfragen, ob der jeweilige Dienstleister ggf. schon angemessene Maßnahmen zur Minimierung des Missbrauchs personenbezogener Daten getroffen hat.
  • Die Datenverarbeitung mit US-Unternehmen müsste nun gemäß der EU-Standardvertragsklauseln erfolgen. Da diese aber in der aktuellen Form unbefriedigend sind, wird der Abschluss von Zusatzklauseln empfohlen wie in der oben verlinkten Empfehlung vorgeschlagen. Treffen Sie nach Möglichkeit mit Ihrem US-Dienstleister entsprechende vertragliche Regelungen.
  • Prüfen Sie regelmäßig europäische Alternativen, zumindest um den Nachweis zu erbringen, dass hiesige Angebote für die gewünschte Dienstleistung nicht zur Verfügung stehen, bestenfalls aber um die Datenhaltung zu europäischen Dienstleistern umzuziehen.
  • Passen Sie verwendete Texte auf Einwilligungen und Verträgen an, um die betroffenen Personen über die Details dieser Datenverarbeitungen zu informieren.
  • Korrigieren Sie das Verfahrensverzeichnis, sofern dort noch das Privacy Shield als Grundlage einer bestimmten Datenverarbeitung angeführt wird.
  • Dokumentieren Sie alle Ihre unternommenen Maßnahmen!

Aktuell werden die EU-Standardvertragsklauseln von offizieller Seite überarbeitet. Es ist zu erwarten, dass sich in einigen Monaten die in der verlinkten Empfehlung vermerkten Zusatzklauseln in den Standardvertragsklauseln zum großen Teil auch wiederfinden sollten. Dies würde den Unternehmen die aufwändige Nachverhandlung mit ihren US-Dienstleistern ersparen. Bis es aber soweit ist, trägt jedes Unternehmen selbst die Verantwortung, so weit wie es möglich und verhältnismäßig ist die Vertragsbeziehung mit US-Dienstleistern individuell anzupassen und betroffene Personen darüber zu informieren.

EuGH kippt Privacy Shield – was nun?

Am 16. Juli 2020 ist datenschutzseitig vergleichsweise ein Erdbeben passiert für alle Datenverarbeiter mit Anbindungen in die Infrastrukturen US-amerikanischer Unternehmen. Dass gemäß EuGH-Urteil die bisherigen Vereinbarungen zwischen Europa und den USA nach dem Privacy Shield nicht mehr den Anforderungen an die EU-DSGVO genügen und deshalb für ungültig erklärt wurden, schafft über Nacht gewaltige Probleme für die Wirtschaft. Die Datenverarbeitung etwa mit Social Media Plattformen wie Facebook & Co., Cloud-Diensten, Online-Händlern oder auch den großen Betriebssystemherstellern mit deren Cloud-Diensten wird in vielen Fällen nicht mehr rechtskonform sein. Einfache Lösungen wird es aber nicht geben, das Problem sitzt zu tief.

Die europäischen Richter haben entschieden, dass der Datenschutz in den USA insbesondere aufgrund der dortigen zahlreichen Überwachungsgesetze nicht nach europäischen Regeln eingehalten werden kann. Konkret hatte Facebook eingeräumt, dass auch die durch Facebook Ireland verarbeiteten Daten in die USA übertragen werden können.

Die sogenannten EU-Standardvertragsklauseln als zu untersuchende einzige Alternative bieten leider auch keine Grundlage, da das momentan ungelöste Problem der Weitergabe europäischer Daten aufgrund der US-Überwachungsgesetze fortbesteht. Konkret die Klausel 5 – Pflichten des Datenimporteurs dürfte jede Vereinbarung auf dieser Grundlage ungültig machen. Dazu kommt, dass solche Vereinbarungen vergleichbar zu einer Auftragsdatenverarbeitung wirken und damit z.B. Kontrollrechte des Datenexporteurs beim Vertragsunternehmen inkl. der dort ggf. einbezogenen Subunternehmen beinhalten würden. Keiner der US-Tech-Giganten würde wohl darauf eingehen. Und weil die Standardvertragsklauseln nur um Bedingungen erweitert werden dürfen, welche nicht im Widerspruch zu den bestehenden Klauseln stehen, dürften diese für US-amerikanische Verträge untauglich sein – Ende Gelände.

Die Wirtschaft darf zu Recht eine Lösung „von oben“ erwarten, und das ist konkret die Richtung, aus der auch das Problem entstanden ist. Eine politische Lösung, die aber noch dauern wird, denn die Interessenlagen sind zu verschieden. Erlaubt sei auch die Feststellung, dass Europa es langfristig und geradezu sträflich versäumt hat, eigene technologische Global Player auf Augenhöhe mit den anderen globalen Internet-Dienstleistern zu fördern. Es bleibt die Hoffnung, dass europäische Unternehmen nicht von der Politik vor den Karren gespannt werden, um europäisches Datenschutzrecht etwa durch Aufkündigung von Geschäftsbeziehungen aufgrund des im Raum stehenden Damokles-Schwertes hoher Strafen doch noch irgendwie durchzusetzen.

Unternehmer, welche die nun offenbar nicht mehr rechtssicheren Datenverarbeitungen aktiv halten, riskieren Bußgelder. Vor dem Hintergrund, dass Entscheidungen zur Datenverarbeitung und zum Datenschutz immer auch die Komponente der Angemessenheit enthalten, darf für die rechtliche Einschätzung und Anpassung der internen Prozesse auch eine ausreichende Zeit veranschlagt werden. Wir empfehlen allen betroffenen Unternehmen dieses Vorgehen:

  • die neu entstandenen rechtlichen Bedingungen aufgrund der Ungültigkeit des Privacy Shield detailliert zu besprechen und zu dokumentieren sowie politische Initiativen aufmerksam weiter zu verfolgen, insbesondere Äußerungen der zuständigen Landesdatenschutzbeauftragten zum Umgang mit der Situation
  • eine Bestandsaufnahme für betroffene Kunden und Mitarbeiter zu erheben und die betriebliche Notwendigkeit solcher Datenverarbeitungen einzuschätzen

sowie im Falle der Beibehaltung des amerikanischen IT-Partners …

  • eine Datenschutzfolgeabschätzung für die Auswirkungen auf Kunden und Mitarbeiter anzustellen
  • Alternativen für eine rechtssichere Datenverarbeitung zu prüfen
  • die Einwilligungserklärungen von Kunden und Mitarbeitern zu prüfen und ggf. neu formuliert einzuholen

Wir stellen für betroffene Unternehmen in unserem Downloadbereich eine Vorlage für so eine interne Besprechung der Situation bereit.

Wer diese Überlegungen und Handlungen anstellt, hat in einer möglichen Auseinandersetzung mit einer Aufsichtsbehörde gute Karten, etwaige im Raum stehende Bußgelder abzuwenden und sein möglicherweise existentiell mit amerikanischen Geschäftspartnern durchzuführendes Geschäftsmodell auch weiter fortzuführen. Es sollte aber niemand davon abgehalten werden, sich nach rechtssicheren Alternativen umzuschauen.

Home sweet Home-Office

Es ist wie der sprichwörtliche Sprung ins kalte Wasser. Die ersten Tage Home-Office fühlen sich so ganz anders an. Sonst war man höchstens zu Hause, wenn eine Grippe im Anflug war. Heute ist man zu Hause, weil besser keine Grippe kommen soll. Der Verstand rebelliert, die Gefühle versuchen Ordnung zu finden zwischen der neuen Disziplin und der Versuchung, ein wenig Urlaubsstimmung einziehen zu lassen. Wir wollen analysieren, was jetzt wichtig ist.

Das Schöne am Home-Office ist, dass ein selbstbestimmtes Arbeiten ermöglicht wird. Der nervenzerrende Arbeitsweg wird rasch zu angenehm verblassten Erinnerung. Kein Schulterblick vom Chef. Doch es gibt neue Herausforderungen. Gut ist immer, wenn die benutzte Hardware vom Arbeitgeber gestellt und sicherheitstechnisch von der IT eingerichtet wird. Trennen Sie dienstlich von privat. Sorgen Sie dafür, dass betriebliche Rechner, Firmentelefon oder USB-Stick unkompliziert verschlossen werden können. Stellen Sie den Monitor so, dass dieser nicht gleich von jedem Besucher im Zimmer eingesehen werden kann, und aktivieren Sie am Rechner die automatische Bildschirmsperre (nach 5 min). Nehmen Sie gute Manieren von der Arbeit mit nach Hause, so etwa die Clean-Desk-Policy, also alles woran nicht aktuell gearbeitet wird verschwindet vom Schreibtisch. Und wenn gerade keine Videokonferenz aktiv ist, sichert Sie ein mechanischer Webcam-Blendenschutz vor denkbaren unbefugten Zugriffen und Einblicken von außen. Denken Sie auch daran, dass vertrauliche Telefonate und Videokonferenzen nicht durch offene Fenster und Türen von unbefugten Ohren mitgehört werden können. Wenn zusätzlich viel Papier mit persönlichen Daten von Kunden benötigt oder ausgedruckt wird, gerät das abschließbare Arbeitszimmer mehr zur Pflicht als zur Kür. Ein Laserdrucker braucht entsprechenden Abstand vom Schreibtisch. Disziplinieren Sie sich, Drucksachen nicht unbeaufsichtigt im Drucker liegen zu lassen. Ein Aktenvernichter mit Schutzklasse 3 (DIN 66399) darf auch nicht fehlen. Wenn Sie Unterlagen zur Aktenvernichtung lieber sammeln wollen, sollten Sie besser über einen verschließbaren Aktenschrank nachdenken.

Für den Fall, dass Sie eine Reinigungskraft für Ihr Home-Office beschäftigen, muss das vorherige Verschließen sämtlicher Arbeitsunterlagen und der Hardware zur Routine werden. Schlüssel gehören mitgeführt, und Passwörter gehören in den Kopf oder an einen verschlossenen Ort. Andere vermeintlich sichere Verstecke am Arbeitsplatz sind tabu! Sie sollten keine Bauchschmerzen bei dem Gedanken haben, dass die Familie oder Freunde auch mal in Ihr Arbeitszimmer gehen könnten. Wird das Home-Office zur Norm, sollten Sie die Einbruchssicherheit Ihrer Privaträume verstärken. Einbruchshemmende Türen, Fenster und Jalousien können kleine Wunder leisten, da die aufzubringende Zeit der Überwindung für Sie zählt und Kriminelle es oft beim Einbruchsversuch belassen. Passen Sie ggf. Ihre häuslichen Versicherungen an und sprechen mit Ihrem Arbeitgeber, welche Risiken ggf. über dessen Versicherungen abgedeckt wären.

Die Kostenfrage entsteht übrigens auch bei der arbeitsschutzgerechten Ausstattung Ihres Arbeitsplatzes. Es ist Vereinbarungssache, wer die Kosten trägt und welche Rechte und Pflichten sich daraus ergeben. Wenn der Arbeitgeber einen vollständigen Arbeitsplatz inkl. Mobiliar bereitstellt, kann dies mit einem Kontrollrecht des Arbeitgebers in den eigenen vier Wänden verbunden sein. Die Art der Bewertung des Home-Office hängt auch davon ab, ob im Unternehmen ein Arbeitsplatz grundsätzlich noch bereit steht oder nicht. Bei allen Vereinbarungen ist ein wenig Fingerspitzengefühl angezeigt, damit sich alle Beteiligten wohl fühlen.

Es gäbe zum Home-Office sicherlich noch weitere Aspekte zu erörtern. Das neue Arbeiten muss erlernt werden um effektiv zu sein, um ungestörte Zeiten zur Konzentration einzurichten und um den zahlreichen Ablenkungen zu widerstehen. Auch die Kommunikation mit Kollegen wird sich in der Anfangszeit anders anfühlen. Die technischen Unterstützungen müssen erlernt werden bis alles zur Routine geworden ist. Kleine Rituale können helfen, den Arbeitstag positiv zu starten und mit dem Feierabend die Arbeit aus dem Kopf zu bekommen. Lehnen Sie sich zurück und schauen aus dem Fenster, werden Sie kreativ. Home-Office soll Spaß machen. Dies einzurichten haben Sie in der Hand.

Jetzt Förderprogramme nutzen

Es ist eine Win-Win-Situation, wenn die staatlichen Förderprogramme für bestimmte Dienstleistungen durch regional agierende Qualitätssicherer überprüft werden. Für Sachsen und Thüringen übernimmt z.B. die Ellipsis GmbH diese kontrollierende Aufgabe. Ihr Vorteil dabei ist, dass Sie einerseits durch die dort gelisteten Berater eine hervorragende Beratungsqualität erwarten dürfen, und zum anderen die Ausgaben bis zu 80% (anstatt oft nur 50% bei nicht geprüften Beratungsleistungen) gefördert bekommen. Wir sind gelisteter Partner bei Ellipsis.

Konkret bedeutet dies, dass Existenzgründer eine Summe von bis zu 4.000 EUR und „normale“ Unternehmer eine Summe von bis zu 3.000 EUR zu 80% im Rahmen des bundesweiten Förderprogramms zur Digitalisierung von Prozessen in den Unternehmen als kostenfreien Zuschuss gefördert bekommen. Wir kennen den notwendigen „Papierkram“ und nehmen Sie an die Hand. So können Sie sich weiter auf den Erfolg Ihres Geschäftes konzentrieren.

Grundsätzlich sind wir bundesweit aktiv und möchten auch die potentielle Einbeziehung der bei Ihnen regional verfügbaren Förderprogramme unterstützen. Für die Bundesländer Sachsen und Thüringen haben wir aber nicht nur wegen der attraktiven Fördermöglichkeiten in Zusammenarbeit mit Ellipsis einen besonderen Fokus. Die bessere örtliche Nähe zu unseren Kunden macht es weniger aufwändig, auch einmal bei Ihnen vor Ort bestimmte Situationen und Lösungsmöglichkeiten einschätzen zu können.

Datenschutz – einfach gemacht

Keine Frage, das Schlagwort „DSGVO“ hat das Zeug zum Partykiller. Diese fünf Buchstaben versprechen eine Menge Arbeit, bei welcher Anfang und Ende im Nebel verschwinden.

Die gute Nachricht dabei ist, dass mit einem strukturierten Vorgehen das Erfassen aller notwendigen Daten in kleinen Schritten schon viel besser funktioniert. Eine solche Umgebung bieten wir Ihnen mit der Cloud-Lösung an. Und damit es noch viel effektiver wird, unterstützen wir Sie persönlich bei der Erstellung Ihrer Datenschutz-Dokumentation. Alles an einem Ort, fachlich begutachtet, sicher verwaltet, jederzeit abrufbar. Ein echter Problemlöser.

Ganz praktisch bedeutet dies auch, die von Ihnen aktuell gegenüber Mitarbeitern und Kunden genutzte Formulare oder Formulierungen inhaltlich zu prüfen und ggf. datenschutzkonform anzupassen. Zusammen schaffen wir es in kurzer Zeit, das Thema Datenschutz in einen allseits positiv wirkenden Aspekt in Ihrem Unternehmen zu verwandeln.

Treten Sie mit uns für entstandene Fragen jetzt in Kontakt oder füllen gern schon den unverbindlichen Online-Antrag für ein Angebot zur Datenschutzberatung aus wenn Sie bereits die grundlegenden Prozesse kennen, die in Ihrem Unternehmen mit personenbezogenen Daten zu tun haben. Wir wollen es Ihnen leicht machen, in Ihrem Unternehmen die Datenschutz-Compliance zu verbessern.