Der „Dauerbrenner“ Microsoft 365 beschäftigt nach wie vor die Datenschutz-Aufsichtsbehörden. Nun hat sich der Europäische Datenschutzbeauftragte (EDPS) zu Wort gemeldet, der als unabhängige Aufsichtsbehörde für die Organe und Einrichtungen der EU zuständig ist.
Mit einer Entscheidung vom 11. März 2024 (https://www.edps.europa.eu/press-publications/press-news/press-releases/2024/european-commissions-use-microsoft-365-infringes-data-protection-law-eu-institutions-and-bodies_en) hat der EDPS der EU-Kommission angewiesen, bis zum 9. Dezember 2024
- alle Datenflüsse, die sich aus der Nutzung von Microsoft 365 an Microsoft und an seine verbundenen Unternehmen und Unterauftragsverarbeiter in Ländern außerhalb der EU/des EWR ergeben und die nicht unter einen Angemessenheitsbeschluss fallen, auszusetzen und
- die Verarbeitungsvorgänge, die sich aus der Verwendung von Microsoft 365 ergeben, mit der Verordnung (EU) 2018/1725 in Einklang zu bringen.
Die Entscheidung des EDPS stellt nicht auf die DSGVO, sondern auf die Verordnung 2018/1725 ab. Dabei handelt es sich um das Datenschutzrecht für Organe und Einrichtungen der EU. Die Verordnung entspricht jedoch inhaltlich weitgehend der DSGVO.
Nach der Meinung des EDPS hat die Kommission nicht ausreichend geprüft und vereinbart, welche personenbezogenen Daten von Microsoft zu welchen Zwecken verarbeitet und an Subunternehmer übermittelt werden.
Der Kommission wurde insbesondere aufgegeben,
- ein „Transfer-Mapping“ durchzuführen, in dem ermittelt wird, welche personenbezogenen Daten an welche Empfänger in welchen Drittländern, zu welchen Zwecken und vorbehaltlich welcher Garantien erfolgen. Dies soll auch Weiterübermittlung (onward transfers) beinhalten, d.h. die gesamte, von Microsoft eingesetzte Subunternehmer-Kette:
„appraise […] what personal data will be transferred to which recipients in which third countries and for which purposes, thereby […] obtaining the minimum information necessary to determine whether any supplementary measures are required to ensure the essentially equivalent level of protection […]”
Die Datenübermittlung an Subunternehmer in Drittländer ohne angemessenes Schutzniveau ist zu unterlassen.
- ausdrücklich festzulegen, welche Daten zu welchen Zwecken von Microsoft verarbeitet werden und dabei den Zweckbindungsgrundsatz zu berücksichtigen:
„sufficiently determine the types of personal data collected under the […] agreement concluded with Microsoft […] in relation to each of the purposes of the processing so as to allow those purposes to be specified and explicit; ensure that the purposes for which Microsoft is permitted to collect personal data [….] are specified and explicit; provide sufficiently clear documented instructions for the processing […]”.
Es muss transparent geregelt werden, welche Daten zu welchen Zwecken vereinbart werden. Diese Verarbeitungen müssen natürlich rechtmäßig sein. Insbesondere soll durch klare und detaillierte Regelungen sichergestellt werden, dass die Daten von Microsoft wirklich nur im Auftrag der Kommission genutzt werden.
Die Kritikpunkte des EDPS entsprechen dabei zum Teil der Kritik der deutschen Aufsichtsbehörden, die zuletzt in der „Bewertung der aktuellen Vereinbarung zur Auftragsverarbeitung“ vom 2.11.2022 veröffentlicht wurde (https://www.datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365_abschlussbericht.pdf). Es bleibt abzuwarten, welche praktischen Konsequenzen die Entscheidung des EDPS für deutsche Unternehmen haben wird und ob die deutschen Aufsichtsbehörden die Entscheidung zum Anlass nehmen werden, ihre eigene Prüfungspraxis zu verschärfen.
Vor kurzem hat sich das Landgericht Berlin in einem interessanten Urteil mit der Do-Not-Track-Funktion beschäftigt. Do-Not-Track ist eine Technologie, die es bereits seit 2009 gibt und die einen ähnlichen Zweck verfolgte wie die allseits beliebten Cookie-Banner – sie soll es nämlich ermöglichen, der Verarbeitung von personenbezogenen Daten beim Surfen im Internet automatisiert zu widersprechen. „Do-Not-Track“ ist im Grunde nur eine Einstellung im Browser. Ist das Feature aktiviert, sendet der Browser beim Abruf von Seiten das „Do-Not-Track“-Signal, mit dem man so Websites mitteilen kann, dass man nicht „verfolgt“ werden will, während man im Internet surft. Die Berücksichtigung dieses Signals durch die Website-Betreiber erfolgte bisher nur selten – sie war nämlich nicht rechtsverbindlich.
Urteil des Landgerichts Berlin
Nach dem kürzlich ergangenen Urteil des LG Berlin (Urteil vom 24.08.2023 – 16 O 420/19) wird sich die Herangehensweise an die Einbeziehung der Do-Not-Track-Funktion voraussichtlich ändern müssen.
Das Gericht entschied, dass die Verwendung dieser Technologie einen wirksamen Widerspruch gegen die Verarbeitung personenbezogener Daten (wie z. B. auch der IP-Adresse) darstellt und daher beachtet und respektiert werden sollte.
Anlass für die Entscheidung des Gerichts waren Aussagen von LinkedIn, die Do-Not-Track-Einstellung nicht für einen wirksamen Widerspruch zu halten und zu ignorieren. Gegen diese Äußerungen hat die Verbraucherzentrale Bundesverband (vzbv) geklagt.
Do-Not-Track als ein Widerspruch gegen Verarbeitung der persönlichen Daten?
Aus datenschutzrechtlicher Sicht ist für das Tracking – insbesondere unter Verwendung von Cookies – gem. § 25 TTDSG i.d.R. eine Einwilligung erforderlich. Darüber hinaus kommen als Rechtsgrundlagen eine datenschutzrechtliche Einwilligung gem. Art. 6 Abs. 1a DSGVO und das berechtigte Interesse gem. Art. 6 Abs. 1f DSGVO in Betracht.
Wird keine Einwilligung erteilt oder diese widerrufen, ist die Datenverarbeitung i. d. R. rechtswidrig.
Durch die Einstellung „Do-Not-Track“ im Browser wird der Datenverarbeitung widersprochen (auch bevor man durch das Cookie-Banner dazu aufgefordert wird). Dies könnte gleichzeitig einen Widerspruch in möglicherweise schon erteilte Einwilligungen darstellen oder eine Willensäußerung, dass keine Einwilligung abgegeben werden soll.
Das LG Berlin stellt in seiner Entscheidung aber nicht auf den Zusammenhang zwischen Do-Not-Track und Einwilligungen ab, sondern ausschließlich auf einen Widerspruch nach Art. 21 Abs. 1 und 2 DSGVO. Das erstaunt etwas, da es im Zusammenhang mit Tracking in erster Linie auf die Einwilligung nach § 25 TTDSG ankommt.
Die Konsequenzen dieser gerichtlichen Entscheidung?
Das Urteil könnte Auswirkungen auf die derzeitige Funktionsweise von Cookie-Bannern haben. Folgt man der strengen Auffassung des LG Berlin, wären demnach Cookie-Banner nicht notwendig, wenn „Do-Not-Track“ aktiviert ist: der Nutzer bringt damit seinen „Widerspruch“ gegen Tracking-Maßnahmen und seine fehlende Einwilligungsbereitschaft zum Ausdruck. Andererseits ist es auch denkbar, dass Websites trotz Aktivierung von „Do-Not-Track“ erneut über das Cookie-Banner nachfragen, ob wirklich kein Tracking erfolgen soll und keine Cookies verwendet werden dürfen – es ist auf den ersten Blick nicht ersichtlich, warum eine solche Praxis unzulässig sein sollte.
Es ist gleichwohl denkbar, dass Cookie-Banner in naher Zukunft angepasst werden. Dies ist mit einem größeren technischen Aufwand verbunden. Fraglich ist auch, ob sich die „Do-Not-Track“-Einstellung bzw. „Willenserklärung“ nur auf Funktionen und Cookies bezieht, die im engeren Sinne zu Tracking-Zwecken verwendet werden – oder auch auf Cookies, die für erweiterte Funktionalitäten verwendet werden, wie z. B. bei der Einbettung von YouTube-Videos oder Google Maps. Es bleibt abzuwarten, ob die Linie des LG Berlin in Zukunft durch weitere Gerichtsentscheidungen konkretisiert wird.
Am 13. November 2023 referiert Norman Müller erneut ganztags (9-16 Uhr) zur „Beschaffung von Cloud-Leistungen mit den neuen EVB-IT Cloud“ für das Führungskräfte-Forum des Behörden-Spiegels.
Mit Beschluss vom 11. Februar 2022 hat der IT-Planungsrat die EVB-IT Cloud gebilligt und seinen Mitgliedern zur Anwendung empfohlen. Auch die Mitglieder des Bitkom-Arbeitskreises Öffentliche Aufträge haben sich für die Veröffentlichung der zwischen Öffentlicher Hand und der Verhandlungsdelegation des Bitkom abgestimmten EVB-IT Cloud ausgesprochen.
Die EVB-IT Cloud schließen als 11. Vertragstyp eine Lücke in den EVB-IT, die immer schmerzlicher wurde.
Sie sind das Ergebnis eines intensiven Verhandlungsprozesses mit der IT-Wirtschaft. Die EVB-IT Cloud enthalten eine Reihe neuer Regelungen, die unter anderem auf die Spezifika des hochstandardisierten und weitgehend globalisierten Cloudgeschäfts zurückzuführen sind, aber auch auf die technischen Herausforderungen und die damit verbundenen IT-Sicherheitsaspekte. Sie beziehen die aktuellen Anforderungen des Bundesamts für die Sicherheit in der Informationstechnik (BSI) mit ein.
Die Besonderheit der EVB-IT Cloud drückt sich aber auch darin aus, dass dazu zwei völlig neuartige Dokumente gehören, einerseits ein Kriterienkatalog zur Abbildung von Spezifika der Cloudleistungen und andererseits eine Anlage mit deren Hilfe auftragnehmerseitige AGB vergaberechtskonform einbezogen werden können.
Themenüberblick:
- Anwendungsbereich der neuen EVB-IT Cloud
- Besonderheiten der EVB-IT Cloud im Vergleich zu anderen EVB-IT
- Wesentliche Punkte aus den AGB
- Kriterienkatalog für Cloudleistungen, ein neues Werkzeug
- Einbeziehung auftragnehmerseitiger AGB, Verwendung der entsprechenden Anlage zu den EVB-IT Cloud
- Beschaffungen mit den neuen EVB-IT Cloud
Zur Teilnahme an diesem Webinar benötigen Sie lediglich einen Internetbrowser und Internetzugang. Es handelt sich um eine webbasierte Software, die keine Installation erfordert. Ihre Zugangsdaten sowie weitere relevante Informationen zur Teilnahme und zu den technischen Voraussetzungen erhalten Sie nach Anmeldung.
In letzter Zeit werden vermehrt Ansprüche auf Schadensersatz wegen der Verletzung von Regelungen der DSGVO geltend gemacht. Schon seit Inkrafttreten der DSGVO gab es Befürchtungen, dass es zu „Klagewellen“ bzw. der massenhaften Geltendmachung von Schadensersatzansprüchen schon aufgrund geringfügiger DSGVO-Verstöße kommen würde.
Dazu gab es in letzter Zeit einige interessante Gerichtsentscheidungen:
- Der EuGH hat in seinem Urteil „Österreichische Post“ vom 4.5.2023 (Az. C-300/21) zwar einerseits ausgeführt, dass es für immaterielle Schadensersatzansprüche Betroffener nach der DSGVO keine Erheblichkeitsschwelle gibt. Andererseits ist ein solcher immaterieller Schaden erforderlich. Der bloße Verstoß gegen die DSGVO begründet noch keinen Schadensersatzanspruch. In dem der Entscheidung zugrundeliegenden Sachverhalt hatte die Österreichische Post Daten von Kunden und deren politische Einstellung analysiert. Auf der Grundlage der Analyse hat sie den Betroffenen Mailings, d.h eine einmalige Werbesendung, entsprechend ihren politischen Präferenzen zugesandt – ohne jedoch ihre Daten an Dritte weiterzugeben. Darin liegt zwar eine Verletzung der DSGVO – es konnte jedoch nicht festgestellt werden, dass den Empfängern des Mailings dadurch in irgendeiner Weise ein Schaden erstanden ist.
- In einer Entscheidung des OLG Hamm vom 15.08.2023 (AZ: 7 U 19/23), ging es um das Ausleiten von Facebook–Daten im Wege des „Scraping“. Dritte konnten u.a. Namen und Telefonnummern über Suchfunktionen bei Facebook auslesen. Das Facebook dies nicht mit geeigneten Maßnahmen verhindert hat, begründet nach Auffassung des Gerichts einen Verstoß gegen Art. 32, 24 DSGVO. Schadensersatz hat das Gericht der Klägerin jedoch nicht zugesprochen. Ein immaterieller Schaden entsteht nicht durch einen bloßen Verstoß gegen Vorschriften des DSVGO, sondern nur dann, wenn eine persönliche oder psychische Beeinträchtigung vorliegt. Ein pauschal behaupteter „völliger Kontrollverlust“ stellt zwar ein generelles Risiko dar, aber noch keinen konkreten Schaden.
- In diese Linie der Rechtsprechung fügt sich auch eine Entscheidung des Landgerichts Berlin (07.06.2023 – 26 O 240/22) ein. Auch hier ging es um ein Daten-Scraping bei Facebook. Zum behaupteten „Kontrollverlust“ führt das LG Berlin aus, dass ein Verstoß gegen die DSGVO immer einen Kontrollverlust desjenigen bedeutet, der seine Daten dem Datenverarbeiter anvertraut hat. Deshalb könne nicht gleichzeitig der Kontrollverlust für sich genommen ein Schaden sein. Bloßer Ärger und Zorn stellt noch keinen Schaden dar. Nicht jede im Grunde nicht spürbare Beeinträchtigung oder individuell empfundene Unannehmlichkeit reicht mithin aus, sondern es sind ein messbarer Nachteil und eine objektiv nachvollziehbare tatsächlich erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen notwendig.
Die klare Linie der Rechtsprechung scheint also bislang „Klagewellen“ und Massenverfahren erfolgreich einzudämmen. Der bloße „Kontrollverlust“ aufgrund eines DSGVO-Verstoßes begründet noch keine Schadensersatzansprüche. Hinzukommen muss ein konkreter, belegbarer materieller oder immaterieller Schaden.
Am Mittwoch und Donnerstag (jeweils 3 Stunden; 10 – 13 Uhr) folgt das Vertiefungs-Webinar zum Thema EVB-IT. Auch dieses wird von Norman Müller seit Jahren regelmäßig durchgeführt.
Die EVB-IT, die Ergänzenden Vertragsbedingungen für die Beschaffung von IT-Leistungen, sind mit Vertretern der IT-Industrie abgestimmte Vertragsbedingungen der Öffentlichen Hand, die diese zur Beschaffung von IT-Leistungen einsetzt. Die EVB-IT werden von einer Arbeitsgruppe aus Vertretern des Bundes, der Länder und von Gemeinden unter Leitung des Bundesministeriums des Innern, für Bau und Heimat erstellt und dann mit einer Delegation des BITKOM verhandelt. Die bisherigen Vertragstypen konnten im Ergebnis dieser Verhandlungen stets einvernehmlich veröffentlicht werden.
Die EVB-IT haben zwischenzeitlich die Vorgängerbedingungen, namentlich die „Besonderen Vertragsbedingungen für die Beschaffung DV-technischer Anlagen und Geräte“ (BVB) fast vollständig abgelöst. Die EVB-IT selbst existieren teilweise auch bereits in der zweiten Version. So wurden seit 2015 fast alle klassischen EVB-IT erfolgreich überarbeitet und in Version 2.0 veröffentlicht.
Sowohl im Bund als auch in den Ländern ist die Anwendung der EVB-IT bzw. der noch geltenden BVB aufgrund des Haushaltsrechts verbindlich vorgegeben. Für den Bund ergibt sich dies aus der Verwaltungsvorschrift zu § 55 BHO, in den Ländern aus der jeweiligen LHO und auf kommunaler Ebene zumeist aus entsprechenden Anwendungserlassen.
Dieses Webinar ist vor allem für Praktiker gedacht, die bereits Erfahrung im Umgang mit den EVB-IT haben, über Grundlagenwissen verfügen und ihre vorhandenen Kenntnisse vertiefen möchten.
Die Teilnehmer werden nach einer kurzen Einführung mit ausgewählten EVB-IT Vertragstypen im Detail vertraut gemacht. Breiten Raum nehmen die Übungen der praktischen Verwendung der EVB-IT und deren sinnvolle Einbeziehung in das Vergabeverfahren ein. Die Teilnehmer lernen insbesondere
- wann welche EVB-IT Anwendung finden können und welche Spielräume hier bestehen
- den praktischen Umgang mit den EVB-IT Vertragsformularen,
- sinnvolle Ergänzungen und Änderungen der Standardregelungen
- die Verwendung der EVB-IT im Vergabeverfahren, z.B.
- wie die EVB-IT und die weiteren Vergabeunterlagen im Vergabeverfahren zusammenwirken und aufeinander abgestimmt werden
- wie Preisblätter, Leistungsbeschreibungen und Bewertungsmatrices zur Verwendung mit den EVB-IT erstellt werden sollten
- wie typische Fehler beim Ausfüllen der Vertragsformulare, bei der Änderung bzw. beim Hinzufügen eigener Regelungen und bei der Verwendung im Vergabeverfahren vermieden werden können.
Weitere Informationen zum Inhalt des Webinars finden Sie hier.
Die Anmeldung können Sie auf der Webseite des Führungskräfte Forums des Behördenspiegels vornehmen oder klicken Sie hier.
Am Dienstag, den 5. September 2023 findet das Grundlagen-Webinar von Norman Müller statt, welches er seit Jahren unter anderem für das Führungskräfte Forum des Behördenspiegels durchführt.
Gegenstand des Webinars:
Die EVB-IT, die Ergänzenden Vertragsbedingungen für die Beschaffung von IT-Leistungen, sind mit Vertretern der IT-Industrie abgestimmte Vertragsbedingungen der Öffentlichen Hand, die diese zur Beschaffung von IT-Leistungen einsetzt. Die EVB-IT werden von einer Arbeitsgruppe aus Vertretern des Bundes, der Länder und von Gemeinden unter Leitung des Bundesministeriums des Innern, für Bau und Heimat erstellt und dann mit einer Delegation des BITKOM verhandelt. Die bisherigen Vertragstypen konnten im Ergebnis dieser Verhandlungen stets einvernehmlich veröffentlicht werden.
Die EVB-IT haben zwischenzeitlich die Vorgängerbedingungen, namentlich die „Besonderen Vertragsbedingungen für die Beschaffung DV-technischer Anlagen und Geräte“ (BVB) fast vollständig abgelöst. Die EVB-IT selbst existieren teilweise auch bereits in der zweiten Version. So wurden seit 2015 fast alle klassischen EVB-IT erfolgreich überarbeitet und in Version 2.0 veröffentlicht.
Sowohl im Bund als auch in den Ländern ist die Anwendung der EVB-IT bzw. der noch geltenden BVB aufgrund des Haushaltsrechts verbindlich vorgegeben. Für den Bund ergibt sich dies aus der Verwaltungsvorschrift zu § 55 BHO, in den Ländern aus der jeweiligen LHO und auf kommunaler Ebene zumeist aus entsprechenden Anwendungserlassen.
Die Teilnehmenden des Webinars werden mit den Grundlagen der EVB-IT, den insoweit relevanten weiteren Vorschriften und den verschiedenen EVB-IT-Vertragstypen vertraut gemacht. Dazu werden die beliebtesten EVB-IT Vertragstypen vom Seminarleiter vorgestellt und gemeinsam erörtert. Anhand eines oder mehrerer Beispielfälle wird die praktische Verwendung der EVB-IT geübt.
Themenüberblick:
- Einführung
- Anwendungsbereich, Abgrenzungen, Verhältnis der EVB-IT zu VOL/B und BGB
- Vertragscharakter, Aufbau und Struktur der EVB-IT
- Basis-EVB-IT:
- EVB-IT Überlassung Typ A und Pflege S
- EVB-IT Dienstleistung
- EVB-IT Kauf und Instandhaltung
- EVB-IT Überlassung Typ B (bei Bedarf)
- Kurzübersicht der komplexen EVB-IT am Beispiel der EVB-IT System
- EVB-IT System
- EVB-IT Systemlieferung
- EVB-IT Erstellung
- Praxisübung: Abbildung eines Beispielfalls in den EVB-IT
Zur Teilnahme an diesem Webinar benötigen Sie lediglich einen Internetbrowser und Internetzugang. Es handelt sich um eine webbasierte Software, die keine Installation erfordert. Ihre Zugangsdaten sowie weitere relevante Informationen zur Teilnahme und zu den technischen Voraussetzungen erhalten Sie nach Anmeldung.
Hier geht es zur Anmeldung: Führungskräfte Forum des Behördenspiegels
Norman Müller referiert ganztags am 31. August 2023 erneut zur „Beschaffung von Cloud-Leistungen mit den neuen EVB-IT Cloud“ für das Führungskräfte-Forum des Behörden-Spiegels.
Mit Beschluss vom 11. Februar 2022 hat der IT-Planungsrat die EVB-IT Cloud gebilligt und seinen Mitgliedern zur Anwendung empfohlen. Auch die Mitglieder des Bitkom-Arbeitskreises Öffentliche Aufträge haben sich für die Veröffentlichung der zwischen Öffentlicher Hand und der Verhandlungsdelegation des Bitkom abgestimmten EVB-IT Cloud ausgesprochen.
Die EVB-IT Cloud schließen als 11. Vertragstyp eine Lücke in den EVB-IT, die immer schmerzlicher wurde.
Sie sind das Ergebnis eines intensiven Verhandlungsprozesses mit der IT-Wirtschaft. Die EVB-IT Cloud enthalten eine Reihe neuer Regelungen, die unter anderem auf die Spezifika des hochstandardisierten und weitgehend globalisierten Cloudgeschäfts zurückzuführen sind, aber auch auf die technischen Herausforderungen und die damit verbundenen IT-Sicherheitsaspekte. Sie beziehen die aktuellen Anforderungen des Bundesamts für die Sicherheit in der Informationstechnik (BSI) mit ein.
Die Besonderheit der EVB-IT Cloud drückt sich aber auch darin aus, dass dazu zwei völlig neuartige Dokumente gehören, einerseits ein Kriterienkatalog zur Abbildung von Spezifika der Cloudleistungen und andererseits eine Anlage mit deren Hilfe auftragnehmerseitige AGB vergaberechtskonform einbezogen werden können.
Themenüberblick:
- Anwendungsbereich der neuen EVB-IT Cloud
- Besonderheiten der EVB-IT Cloud im Vergleich zu anderen EVB-IT
- Wesentliche Punkte aus den AGB
- Kriterienkatalog für Cloudleistungen, ein neues Werkzeug
- Einbeziehung auftragnehmerseitiger AGB, Verwendung der entsprechenden Anlage zu den EVB-IT Cloud
- Beschaffungen mit den neuen EVB-IT Cloud
Zur Teilnahme an diesem Webinar benötigen Sie lediglich einen Internetbrowser und Internetzugang. Es handelt sich um eine webbasierte Software, die keine Installation erfordert. Ihre Zugangsdaten sowie weitere relevante Informationen zur Teilnahme und zu den technischen Voraussetzungen erhalten Sie nach Anmeldung.
Bislang wurde nicht abschließend geklärt, ob zur Erfüllung des datenschutzrechtlichen Auskunftsanspruchs gemäß Art. 15 DSGVO die Benennung der Kategorie des Empfängers, etwa deren Branchenzugehörigkeit, ausreicht oder eine Offenlegung der konkreten Identität des Empfängers vorzunehmen ist. Diese Frage hat der EuGH mit seinem Urteil vom 12.01.2023 beantwortet und entschieden, dass bei einem Auskunftsgesuch nach Art. 15 DSGVO konkrete Angaben über den bzw. die Empfänger der personenbezogenen Daten des Betroffenen gemacht werden müssen.
Im konkreten Fall wandte sich der spätere Kläger an die Österreichische Post, um gemäß Art. 15 DSGVO die Auskunft darüber zu erhalten, welche personenbezogenen Daten über ihn gespeichert werden und wer die Empfänger bei der Weitergabe der Daten waren. Die Österreichische Post teilte zunächst nur mit, dass sie die Daten im Rahmen ihrer Tätigkeit als Herausgabe von Telefonbüchern Geschäftskunden für Marketingzwecken anbiete; später ergänzten sie ihre Angaben dahingehend, dass die Daten zu den werbetreibenden Unternehmen im Versandhandel und stationären Handel, IT-Unternehmen, Adressverlage und Vereine wie Spenderorganisationen, Nichtregierungsorganisationen oder politische Parteien weitergegeben wurden.
Art. 15 DSGVO gewährt Betroffenen im Sinne der DSGVO einen Anspruch auf Auskunft hinsichtlich Art und Umfang der Verarbeitung von sie betreffenden personenbezogenen Daten. Neben der Information darüber, ob überhaupt Daten des Betroffenen verarbeitet werden, umfasst der Anspruch zahlreiche weitere in Art. 15 Abs. 1 lit. a) bis h) DSGVO aufgelistete Aspekte der Verarbeitung, z.B. die – streitgegenständliche – Offenlegung von den Empfängern der personenbezogenen Daten.
Aufgrund des nicht eindeutigen Wortlautes des Art. 15 Abs. 1 lit. c) DSGVO – denn auf ein Vorrangverhältnis zwischen Empfängern und Kategorien von Empfängern lässt sich nicht schließen –, sowie der Bedeutung des Aufwandes für den Verantwortlichen je nach Auslegung, stritten sich die Parteien um die Frage nach der Benennung von den Empfängern.
Der EuGH erteilte eine Absage an die für den Verantwortlichen günstige Auslegung und verpflichtet, der betroffenen Person die konkrete Identität der Empfänger mitzuteilen. Dabei lässt der EuGH nur wenige Ausnahmen von dieser Verpflichtung zu, nämlich:
- wenn es nicht möglich ist, die Empfänger zu identifizieren, oder
- wenn der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 DSGVO sind.
Diese Auslegung stützt der EuGH auf den Zusammenhang sowie auf die Zwecke und Ziele der Vorschrift. Der Erwägungsgrund 63 Satz 3 zur DSGVO sieht vor, dass jede betroffene Person ein Anrecht darauf haben sollte, zu wissen, wer die Empfänger der personenbezogenen Daten sind. Dieses Recht wird nicht auf „Kategorien von Empfängern“ beschränkt. Zudem trage die Preisgabe der konkreten Identität der Empfänger zu einem hohen Datenschutzniveau bei (Erwägungsgrund 10 der DSGVO) und komme dem Grundsatz der Transparenz aus Art. 5 Abs. 1 lit. a) DSGVO nach. Weiterhin müsse das Auskunftsrecht die betroffene Person in die Lage versetzen, die Überprüfung von den Daten, deren Verarbeitung und Befugnis der Offenlegung gegenüber den Empfängern vornehmen zu können, und ggf. weitere Rechte wahrnehmen zu können.
Eine Frage, die sich aufgrund des Urteils stellt, ist, ob die zu Art. 15 Abs. 1 lit. c) DSGVO getroffene Auslegung auch auf die Informationspflichten aus Art. 13, 14 DSGVO übertragbar sind. Denn diese verlangen vom Verantwortlichen als Teil der Datenschutzinformationen auch die Angabe von „gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten“. Allerdings haben die beiden Regelungen zur Informations- bzw. Auskunftspflicht unterschiedliche Zwecke und – vor allem – unterschiedliche Zeitpunkte im Blick: Im Zusammenhang mit Art. 13, 14 DSGVO steht zum Zeitpinkt der eigenständigen, proaktiven Pflicht im Zweifel nicht fest an welche konkreten Empfänger (Dritte oder Auftragsverarbeiter) Daten weitegegeben werden. Dagegen sind die Auskünfte im Sinne von Art. 15 DSGVO stets reaktiv und auf eine gezielte Nachfrage eines Betroffenen hin zu erteilen. Zu diesem Zeitpunkt sind dem Verantwortlichen alle Empfänger der Daten bekannt. Deshalb zieht der EuGH wohl auch Art. 13, 14 DSGVO nicht in einer Weise heran, die eine Art. 15 Abs. 1 lit. c) DSGVO vergleichbare Auslegung naheliegen würde. Auch der Generalanwalt formulierte in seinen Schlussanträgen (Nr. 21), dass die Informationspflichten eine andere Zielrichtung als das Auskunftsrecht haben.
Praktisch bedeutet die Entscheidung des EuGH vor allem „mehr Aufwand“ für die Verantwortlichen im Datenschutz: Mehr Aufwand bei der Pflege des Datenschutzmanagements, mehr Aufwand bei der Einholung von Informationen bei der Beantwortung von Auskunftsersuchen, mehr Aufwand bei der Nachhaltung von Auftragsverarbeitern und etwaigen Unterauftragnehmern in der Leistungskette.
Es ist zu beachten, dass das Urteil nicht nur Auswirkungen bezüglich der Identität von „direkten“ Empfängern hat, sondern aufgrund des weiten Empfängerbegriffes aus Art. 4 Nr. 9 DSGVO auch alle Personen oder Stellen außerhalb des Verantwortlichen, die unter der Verantwortung des Verantwortlichen befugt sind, personenbezogenen Daten zu verarbeiten, umfasst sind. Dies schließt alle etwaige Unterauftragnehmer ein, also auch die sogenannten weiteren Auftragsverarbeiter i.S.v. Art. 28 Abs. 1, Abs. 4 DSGVO. Somit ist in der Regel die Preisgabe der Identität aller Empfänger in der Leistungskette erforderlich.
Ehemalige Empfänger der Daten müssen jedoch nicht benannt werden, wenn der Verantwortliche positive Kenntnis davon hat, dass der „nicht mehr aktuelle“ Empfänger die Daten der betroffenen Person bereits gelöscht hat. Ansonsten würde das Recht auf Löschung leerlaufen.
Schließlich hat der EuGH – mit Blick auf die Vorlagefrage – nur einen umfassenden Auskunftsanspruch bejaht, wenn die betroffene Person auch dementsprechend konkrete Auskunft begehrt hat. Nicht entschieden hat der EuGH die Frage, ob der Verantwortliche generell zur umfassenden Auskunft verpflichtet ist. Dies könnte im Umkehrschluss bedeuten, dass die umfassende Offenbarung der Empfänger-Identitäten der Daten nicht bei jeglicher Anfrage durchzuführen ist und der konkrete Wortlaut der Anfrage maßgeblich ist.
Dr. Stefan Brink ist seit dem 1. Dezember 2016 der Landesbeauftragte für den Datenschutz des Landes Baden-Württemberg. Er hat an unserem TCI-Datenschutztag vom 22.09.2022 in einer interaktiven Diskussionsrunde Näheres zu den Aufgaben der datenschutzrechtlichen Aufsichtsbehörden sowie zum aktuellen Stand des internationalen Datentransfers ausgeführt.
Was macht eigentlich eine datenschutzrechtliche Aufsichtsbehörde?
Die Aufsichtsbehörde ist seit 2018 besonders intensiv in der Beratung unterwegs und berät Bürger, Unternehmen und Behörden – insbesondere in letzter Zeit zur Corona-Verordnung, zu Bildungsplattformen und Proctoring an Hochschulen. Ein weiterer Schwerpunkt ist die Beratung von Unternehmen und Vereinen mit Themen wie 3G am Arbeitsplatz, Lohnfortzahlung im Quarantänefall sowie die Zusammenarbeit mit Institutionen.
In Zahlen lässt sich festhalten, dass der LfDI Baden-Württemberg circa 5000 Beschwerden und 3000 Datenpannenmeldungen pro Jahr erhält. Bei den Datenpannenmeldungen hat ein enormer Anstieg stattgefunden – nicht nur aufgrund der erweiterten Meldepflichten der DSGVO, sondern u.a. wegen neuer Sicherheitslücken wie z.B. die MS Exchange-Sicherheitslücke in 2021. Deutschland ist europaweit das Land mit den meisten Datenpannenmeldungen – vermutlich nicht, weil die IT in Deutschland besonders unsicher ist, sondern eher aufgrund der starken Aufsichts- sowie Melde-„Kultur“.
Auch die Beschwerden haben sich zwischen 2016 und 2021 verdoppelt. Besonders Betroffenen-Themen, wie Beschäftigten-Datenschutz (gleichermaßen im öffentlichen und privaten Sektor) vermehren sich.
Aufgrund dieser hohen Zahlen setzt Baden-Württemberg vermehrt auf automatisierte Kontrollen und Bescheide. Zudem verhängt die Aufsichtsbehörde vorrangig Bußgelder in Fällen, die auch vor Gericht voraussichtlich Aussicht auf Erfolg haben, um die Arbeitslast zu verringern. Vor Gericht haben vorwiegend einfach strukturierte Fälle, die nachweisbar sowie prüfbar sind, eher Aussicht auf Erfolg. Ferner besteht in Baden-Württemberg eine strikte Trennung zwischen der Beratung und den Bußgeldverfahren. Zwischen diesen Abteilungen fließen keine Informationen. Dies ermöglicht es Bürgern und Unternehmen sich zu informieren, ohne gleich ein Bußgeld befürchten zu müssen.
Europäische Perspektiven
Der europäische Datenschutzausschuss arbeitet und funktioniert nach Aussage von Dr. Brink gut. Alle sechs Wochen finden Treffen der europäischen Aufsichtsbehörden der Mitgliedstaaten statt. Es wird dabei versucht, weitestgehend einen einheitlichen Vollzug im Datenschutz zu realisieren. Dies ist jedoch ein langer Prozess, da es sich letztlich um die Vereinheitlichung der europäischen Verwaltungskultur handelt.
Auch wenn noch Nachbesserungsbedarf an der DSGVO besteht, sind bereits informelle (Kommunikation mit US-Unternehmen) wie auch formale (Anordnungen/Bußgelder) Vollzugserfolge zu sehen. Allerdings wird die Uneinheitlichkeit des Vollzugs und der Rechtsprechung in den europäischen Ländern zum Teil ausgenutzt. Zum Beispiel wird ein deutscher Richter vermutlich kein Bußgeld verhängen, wenn der Beklagte belegen kann, dass in einem anderen Land für seine Handlung kein Bußgeld verhängt werden würde. Zurzeit ist ein Wachstum bei dem Gesamtumfang an Bußgeldern sowie deren Höhe in Europa zu sehen. Im Vergleich zum Vorjahr liegt bereits eine Erhöhung von rund 50% vor. Das mag auch daran liegen, dass sich einige Aufsichtsbehörden im EU-Ausland aus den eingetriebenen Bußgeldern (mit-)finanzieren.
Außereuropäische Datentransfers – Schrems II und die Perspektiven
Zum Dauerbrennerthema der Datenübermittlung in das Nicht-EU-Ausland und zur Schrems II-Problematik wird voraussichtlich für Mitte 2023 eine Lösung in Form des „Trans-Atlantic Data Privacy Frameworks“ erwartet – jedenfalls hinsichtlich Datentransfers in die USA.
Bis dahin gilt leider nach wie vor:
- Geeignete Garantien (Art. 46 DSGVO) durch Standarddatenschutzklauseln und Binding Corporate Rules (BCR) (Art. 47 DSGVO) sind nach Schrems II problematisch.
- Ausnahmetatbestände (Art. 49 DSGVO), insbesondere die Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO, sind nur schwer umzusetzen. Eine „informierte Einwilligung“ erfordert eine gute Kenntnis der anderen Landes-Rechtsordnung sowie ständige Aktualisierungen aufgrund neuer Gesetze und Rechtsprechung im jeweiligen Zielland. Nach Auffassung der Aufsichtsbehörden soll zudem die Einwilligung nur in Ausnahme- bzw. Einzelfällen zur Anwendung kommen.
Die derzeit beliebten TIA (Transfer Impact Assessment) sind nach Auffassung von Dr. Brink von eher zweifelhaftem Nutzen. TIA sind in der Welt des Datenschutzes relativ neu – es handelt sich um eine Risikobewertung für Datenübermittlung in unsichere Drittländer. Die Risikobewertung – vor allem die Prüfung der Rechtslage im „Zielland“ – erfordert jedoch einen unverhältnismäßig hohen Aufwand. Dabei ist auch zu beachten, dass die TIA ein dauerhafter Prozess ist und diese regelmäßig überprüft werden muss: schließlich können sich Gesetze und Rechtsprechung im Zielland ändern. Die meisten Aufsichtsbehörden gehen bei der Prüfung von Auslandsübermittlung jedoch mit Augenmaß vor und sind sich ihres Ermessenspielraums bewusst. Zurückhaltung wird oft dann ausgeübt, wenn der Auslands-Dienstleister „alternativlos“ ist, d.h. wenn es keine zumutbaren Alternativangebote ohne Transferproblematik gibt. Verantwortliche sollten deshalb dringend intern dokumentieren, weshalb sie auf einen bestimmten Auslands-Dienstleister angewiesen sind.
Norman Müller referiert am 27.09.2022 erneut zur „Beschaffung von Cloud-Leistungen mit den neuen EVB-IT Cloud“ für das Führungskräfte-Forum des Behörden-Spiegels.
Mit Beschluss vom 11. Februar 2022 hat der IT-Planungsrat die EVB-IT Cloud gebilligt und seinen Mitgliedern zur Anwendung empfohlen. Auch die Mitglieder des Bitkom-Arbeitskreises Öffentliche Aufträge haben sich für die Veröffentlichung der zwischen Öffentlicher Hand und der Verhandlungsdelegation des Bitkom abgestimmten EVB-IT Cloud ausgesprochen.
Die EVB-IT Cloud schließen als 11. Vertragstyp eine Lücke in den EVB-IT, die immer schmerzlicher wurde. Sie sind das Ergebnis eines intensiven Verhandlungsprozesses mit der IT-Wirtschaft. Die EVB-IT Cloud enthalten eine Reihe neuer Regelungen, die unter anderem auf die Spezifika des hochstandardisierten und weitgehend globalisierten Cloudgeschäfts zurückzuführen sind, aber auch auf die technischen Herausforderungen und die damit verbundenen IT-Sicherheitsaspekte. Sie beziehen die aktuellen Anforderungen des Bundesamts für die Sicherheit in der Informationstechnik (BSI) mit ein.
Die Besonderheit der EVB-IT Cloud drückt sich aber auch darin aus, dass dazu zwei völlig neuartige Dokumente gehören, einerseits ein Kriterienkatalog zur Abbildung von Spezifika der Cloudleistungen und andererseits eine Anlage mit deren Hilfe auftragnehmerseitige AGB vergaberechtskonform einbezogen werden können.
Themenüberblick:
- Anwendungsbereich der neuen EVB-IT Cloud
- Besonderheiten der EVB-IT Cloud im Vergleich zu anderen EVB-IT
- Wesentliche Punkte aus den AGB
- Kriterienkatalog für Cloudleistungen, ein neues Werkzeug
- Einbeziehung auftragnehmerseitiger AGB, Verwendung der entsprechenden Anlage zu den EVB_IT Cloud
- Beschaffungen mit den neuen EVB-IT Cloud
weitere Webinar-Termine in 2022: 29.11.2022
Hinweise zur Anmeldung finden sie hier.
