Unser Datenschutz-Update im Januar 2023

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den Januar 2023.

1. Nachrichten aus der Welt des Datenschutzes

Erleichterung der Datenübermittlung in die USA

Seit dem Urteil des EuGH im Juni 2020 (Schrems II) galten die Standardvertragsklauseln als notwendig aber nicht allein ausreichend für einen Datenschutztransfer in die USA. Unter anderem muss für jede Übermittlung ein Transfer Impact Assessment (TIA) durchgeführt werden und sollen zusätzliche Schutzmaßnahmen getroffen werden. Letzteres ist für viele Unternehmen meist realistisch nicht umsetzbar. Ein Datentransfer in die USA ist also bisher DSGVO-konform nicht bzw. kaum möglich.

Im Oktober 2022 unterzeichnet US-Präsident Joe Biden eine Executive Order, die den Anforderungen aus dem EuGH Urteil Rechnung tragen soll (wir berichteten hier). Am 13.12. teilte die EU-Kommission in einer Pressemitteilung tatsächlich die Einleitung eines Verfahrens zur Annahme eines Angemessenheitsbeschlusses für einen sicheren Datenverkehr mit den USA mit. 

Das Verfahren wird einige Zeit in Anspruch nehmen, aber am Ende wäre dann der Angemessenheitsbeschluss eine Rechtsgrundlage für den Datentransfer in die USA, ohne dass es weiterer Maßnahmen oder Abwägungen bedarf. 

Aber schon jetzt hat die Einstellung der EU-Kommission zur Executive Order Auswirkungen für Unternehmen, die Daten in die USA übermitteln, vor allem bei der Durchführung des TIA. Da das Schutzniveau gerade gegenüber den amerikanischen Behörden angehoben wurde, sind die Risiken schon jetzt deutlich geringer einzustufen. 

Sollte der Angemessenheitsbeschluss erfolgen, ist die Situation allerdings noch nicht dauerhaft entspannt. Unter anderem Max Schrems sowie weitere Datenschutzaktivist:innen haben bereits Kritik an der Executive Order geäußert und in Aussicht gestellt, Klage einzureichen. Dann wäre die Entscheidung des EuGH zum neuen Datenschutzniveau in den USA abzuwarten. In der Zwischenzeit bis zum Urteil jedoch würde der Angemessenheitsbeschluss als Rechtsgrundlage dienen. 

Mehr dazu finden Sie hier: Press corner

Die Entscheidung der EU-Kommission finden sie hier: Adequacy decision for the EU-US Data Privacy Framework | European Commission

iOS 16.3: Vollständige Ende-zu-Ende-Verschlüsselung in der iCloud?

Mit der Version iOS 16.3 will Apple die Advanced Data Protection (ADP) nun auch außerhalb der USA – also auch für Deutschland – verfügbar machen. Damit will Apple Forderungen der Datenschutzaktivist:innen nachkommen und für fast alle Dienste die vollständige Ende-zu-Ende-Verschlüsselung anbieten (E2EE). Das bedeutet, dass es keinen Nachschlüssel mehr gibt, den zum Beispiel Behörden in bestimmten Fällen anfordern können. Es bedeutet konsequenterweise auch, dass die Nutzer:innen, die ADP wählen, allein für ihre Daten verantwortlich sind und bei Verlust des Schlüssels Apple nicht mehr helfen kann. An die Daten kommen Nutzer:innen also eventuell nicht mehr heran, wenn sie ihren Key verlieren, weil Apple bei Anwendung von ADP die Nachschlüssel löscht.

ADP wird optional angeboten. Grundsätzlich bleibt es beim Standarddatenschutz, den Apple bisher bietet. ADP wird nun z.B. auch für ganze Back-Ups von Geräten angeboten. 

Behörden wie das FBI sind von ADP natürlich nicht begeistert, während Datenschutzaktivist:innen und IT-Sicherheitsexpert:innen schon jetzt den neuen Datenschutzlevel als nicht ausreichend kritisieren. So würden manche Metadaten, z.B. Dateinamen und Checksummen nicht in der Form abgesichert und hier behält Apple den Nachschlüssel, um Daten auf den Servern komprimieren zu können. Die Kritiker:innen bemängeln, dass Ermittlungsbehörden aus diesen Daten bereits Schlüsse ziehen können, ob verdächtige Dateien in einer iCloud gespeichert sind. Auch werden weiterhin Emails, Kontakte und Kalendereinträge nicht Ende-zu-Ende verschlüsselt. 

Wie umfassend der neue optionale Sicherheitsstandard für die iCloud tatsächlich ist, muss sich erst noch zeigen. Interessant ist jedoch, dass Apple erst einmal trotz Druck der amerikanischen Behörden weitere Schritte in Richtung Datenschutz unternommen hat und die Ende-zu-Ende-Verschlüsselung für sieben neue Datenkategorien zusätzlich anbietet (bisher waren es 14).

Achtung: Die Aktivierung von ADP funktioniert nur, wenn alle verbundenen Geräte einer Person auf dem aktuellen Betriebssystemstand sind.

Mehr dazu finden Sie hier:

Ende-zu-Ende-Verschlüsselung der iCloud: Verdient Apple schon jetzt Lob dafür?

Apple says it will allow iCloud backups to be fully encrypted

2. Entscheidungen des Monats

EuGH zum Auskunftsrecht: Identität der Empfänger:innen muss genannt werden

Immer wieder stellt sich die Frage, ob es ausreicht, wenn Verantwortliche lediglich über Empfängerkategorien informieren, oder ob sie die Identität der jeweiligen Empfänger:innen preisgeben müssen im Rahmen eines Auskunftsanspruchs. Dies ist gerade auch dann Thema, wenn Verantwortliche aus Wettbewerbsgründen seine Dienstleister:innen nicht preisgeben möchten. 

Der EuGH musste sich unter anderem mit dieser Frage beschäftigen. In dem zu entscheidenden Fall hatte ein Betroffener Auskunft bei der Österreichischen Post über die konkreten Empfänger:innen seiner Daten verlangt. Die Post hatte lediglich mitgeteilt, dass die Daten zu Marketingzwecken an werbetreibende Geschäftskund:innen übermittelt würden und weitere Kategorien genannt. Dies reichte dem Betroffenen nicht aus und seine Klage wurde schließlich dem EuGH vorgelegt. 

Der EuGH schloss sich in seiner Entscheidung der Argumentation des Generalanwalts an. Aus dem Wortlaut des Auskunftsanspruchs gem. Art. 15 Abs. 1 lit. c DSGVO ergibt sich noch nicht, inwieweit auch die konkrete Identität der Empfänger:innen genannt werden muss. Aus dem Erwägungsgrund 63 S. 3 ergibt sich schon Näheres, da es dort heißt, Betroffene haben das Recht zu erfahren, „wer die Empfänger der personenbezogenen Daten sind“. Hier ist nicht nur von Kategorien die Rede. Weiterhin ist die Identität der Empfänger:innen für Betroffene notwendige Information, wenn sie ihre weiteren Rechte wie Löschung oder Berichtigung umfänglich geltend machen wollen. Wenn Betroffene nicht wissen, an wen sie sich wenden müssen, können sie diese Rechte logischerweise nicht durchsetzen. Genauso ist gem. Art 19 DSGVO die oder der Verantwortliche verpflichtet, alle Empfänger:innen von der Geltendmachung der Betroffenenrechte zu unterrichten. Nach Empfehlung des Generalanwalts ergibt sich daraus nicht, dass Betroffene deshalb selbst nicht wissen müssen, wer die Empfänger:innen sind, sondern genau das Gegenteil. 

Der EuGh entschied dem folgend, wie die vorgelegte Frage auszulegen sei: „…das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen,…“

Müssen nun alle Empfänger:innen mit der konkreten Identität z.B. in den Datenschutzhinweisen der Webseite aufgelistet werden? Die meisten Unternehmen tun dies bereits, jedoch tun sich einige aus den oben genannten Gründen immer noch damit schwer, diese Information preiszugeben. Immerhin spricht Art. 13 DSGVO von „Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person“ in Abs. 1 lit. e nur von „gegebenenfalls die Empfänger oder Kategorien von Empfängern…“.

Fazit: Es sollte also weiterhin möglich sein, erst einmal nur über die Kategorien von Empfänger:innen zu informieren. Wichtig ist jedoch zu wissen: Wenn Betroffene konkret von Verantwortlichen Auskunft verlangen, müssen die jeweiligen Empfänger:innen der Daten auch konkret – also mit Identität – den Betroffenen genannt werden. Ausnahme: Der Auskunftsanspruch ist offenkundig unbegründet oder exzessiv gem. Art 12 Abs. 5 DSGVO. Wobei hier die Verantwortlichen den Nachweis für die Unbegründetheit oder den exzessiven Umfang erbringen müssen. Bedenken sollte man auch, dass es betroffenen Personen eher zur Geltendmachung von Auskunftsansprüchen reizt, wenn der Eindruck entsteht, Verantwortliche wollen die Empfänger:innen verschleiern. Insofern lohnt oft der Aufwand, die Empfänger:innen konkret zu nennen, es sei denn, es sprechen ernsthafte Befürchtungen bezüglich der Konkurrenz dagegen (was seltener der Fall ist).

Mehr dazu finden Sie hier: Post AG muss für Datenskandal 9,5 Millionen Euro Strafe zahlen

Kein Auskunftsanspruch gegen Auftragsverarbeiter:innen

Die Dänische Datenschutzbehörde nahm zu der Frage Stellung, ob ein Auskunftsanspruch gegen Auftragsverarbeiter:innen besteht und wie weit die Unterstützungspflichten desselben gegenüber Verantwortlichen reichen. 

Ein Kunde kaufte ein Produkt von Asos über Ebay. Nach dem Kauf wurde er über die Email-Adresse von Trustpilot kontaktiert, um den Verkauf zu bewerten. Der Betroffene schrieb daraufhin Trustpilot an, allerdings unter einer anderen Email-Adresse, mit Angabe von Namen und Adresse und forderte Trustpilot auf, Auskunft darüber zu geben, welche Daten von ihm bei Trustpilot gespeichert seien. 

Trustpilot antwortete daraufhin, dass man unter dieser Email-Adresse keine zuzuordnende Person finden könne und keine Daten von ihm verarbeite. Als der Betroffene erneut eine Email von Trustpilot im Namen von Asos erhielt, wandte er sich an die bayerische Aufsichtsbehörde. Zuständig für Trustpilot ist die Dänische Datenschutzbehörde, an die schließlich die Beschwerde weitergeleitet wurde. 

Die Behörde nahm zu dem Fall wie folgt Stellung:

1. Trustpilot arbeite in Bezug auf den Versand der Einladungsemails als Auftragsverarbeiter. Als solcher sei Trustpilot nicht verpflichtet, gem. Art 15 DSGVO Auskunft zu geben. Nicht Auftragsverarbeiter:innen, sondern Verantwortliche seien gem. Art 12, Art 15 DSGVO verpflichtet, die Anfrage des Betroffenen zu bearbeiten.
2. Auftragsverarbeiter:innen seien jedoch gem. Art 28 Abs. 3 lit. e DSGVO im Auftragsverarbeitungsvertrag dazu verpflichtet, Verantwortliche zu unterstützen. Der Betroffene hatte zwar unter anderer Email-Adresse geschrieben, weshalb Trustpilot ihn beim Abgleich nicht identifizieren konnte. Er hatte jedoch auch Namen und Adresse angegeben. Bei Trustpilot war jedoch lediglich die Email-Adresse gespeichert. Hier gab die Behörde den Hinweis an Trustpilot, dass man sicherstellen sollte, auch anhand von Namen und Adresse die Betroffenen in einem Abgleich auffinden zu können, um Verantwortliche bei Betroffenenanfragen unterstützen zu können.

Gerade der Hinweis der Behörde ist interessant, da er zeigt, dass im Datenschutz immer eine Abwägung erfolgen muss. Denn zum einen sollen so wenige Daten wie möglich erhoben werden, andererseits muss – wie in diesem Fall – eine Verantwortliche/ein Auftragsverarbeiter genügend Daten erheben können, um den Verpflichtungen nachzukommen. Das kann mehr Daten erforderlich machen als auf den ersten Blick notwendig erscheint. 

In einem gleichgearteten Fall wäre der oder dem Auftragsverarbeiter:in (wie Trustpilot) in jedem Fall jedoch zu raten, die Anfrage immer an die Verantwortlichen weiterzuleiten. Denn bei der oder dem Verantwortlichen sind im Zweifel mehr personenbezogene Daten gespeichert, so dass ein Abgleich mit der oder dem Anfragesteller:in möglich ist. Auch sind es die Verantwortlichen, die über das Verfahren mit einer Betroffenenanfrage entscheiden und nicht die Auftragsverarbeiter:innen. Diese Möglichkeit hatte Trustpilot dem Verantwortlichen nicht eingeräumt, indem die Anfrage schon von Trustpilot (negativ) beantwortet wurde.

Mehr dazu finden Sie hier: https://edpb.europa.eu/system/files/2022-12/dk_2022-05_decisionpublic.pdf

3. Das schreiben die Anderen zum Datenschutz

• Amazon bezahlt für Überwachung von Smartphones
• Netflix bekräftigt: Mit Account-Sharing ist bald Schluss
• News zum Thema Datenschutz