BCR: Heute schon von gestern

Im Juni 2003 tauchte der Begriff der ‚Binding Corporate Rules‘ (BCR) erstmals in der EU-Datenschutzgruppe auf. Die Überlegungen richteten sich darauf, ein flexibles Instrument für den Datentransfer zu schaffen, welches zugleich die Vorgaben des Datenschutzgesetzes erfüllen sollte. Das Resultat war ein Verfahren, dass es Unternehmen gestattet, den Datenschutz beim Transfer in Drittstaaten individuell zu gestalten, sofern die angewandten ‚Binding Corporate Rules‘ einige Mindeststandards erfüllen.

Hierzu zählten u.a.:

1. Aufbau und Umsetzung eines Sicherheitskonzeptes 2. Datenschutzschulung von Mitarbeitern 3. Verpflichtende Teilnahme an einem Audit-Programm 4. Leistung von Schadenersatz bei Verstößen 5. Geregeltes Beschwerdeverfahren 6. Zusicherung von Transparenz 7. Festlegung des Geltungsbereichs.

Der Vorteil der Einführung von ‚Corporate Binding Rules‘ schien die Möglichkeit einer individuellen Ausgestaltung der Datenübermittlung in ‚unsichere Drittstaaten‘. Der Nachteil war vor allem der hohe Organisationsaufwand und das langwierige Prüfungsverfahren. Da aber der Datenschutz in der Folge selbst in den ‚sicheren Drittstaaten‘ nicht gewährleistet wurde (s. bspw. Facebook-Skandal und Cambridge Analytica), ersetzt jetzt eine europäische Datenschutzgrundverordnung (DSGVO) die BCR. Die neue Verordnung sieht ungeahnt hohe Strafen für Unternehmen vor, welche den Datenschutz nicht verantwortlich handhaben.

Die DSGVO tritt in Kraft

Am 25. Mai 2018 tritt die Europäische Datenschutzgrundverordnung (DSGVO) europaweit in Kraft. Ein Gesetz, an das Datenschützer große Hoffnungen knüpfen, das aber auch für Webseitenbetreiber und Unternehmen viele Probleme birgt. In Hinsicht zum Beispiel auf die Auftragsdatenverarbeitung, auf die neuen Privacy-Bestimmungen und auf den dokumentierten Umgang mit User-Daten. Bei Fehlverhalten drohen hohe Geldstrafen. Der Grundgedanke des Gesetzes ist es, dass alle Nutzer jetzt ein ‚Recht auf Vergessenwerden‘ erhalten. Wir bei b.r.m. in Bremen sind der kompetente Ansprechpartner für alle Fragen rings um die DSGVO. Wenden Sie sich einfach an uns, wenn Sie Fragen zum neuen europäischen Datenschutzgesetz haben. 

Datenschutzgrundverordnung (DSVGO)

Am Wochenende trat die neue Europäische Datenschutzgrundverordnung (DSGVO) nun in Kraft. Eine Fülle von Mails mit geänderten ‚Allgemeinen Geschäftsbedingungen‘ (AGB) aller möglichen Anbieter füllte die Postfächer, viele nutzten auch durch schieres Nichtstun die Gelegenheit, endlich unverlangt zugestellte Newsletter stumm zu schalten. Ansonsten aber ist bisher noch nicht viel passiert. Alles Wissenswerte zur DSGVO finden sie hier …

DSGVO hoch zwei …

Europas Verleger geben nicht auf. Sie sind unverdrossen der Überzeugung, dass sich keineswegs ihre Verlage an das Internet anpassen müssen, sondern dass dies Internet ihren Verlagen zu gehorchen hat. Nachdem sie in Deutschland bereits mit dem ‚Leistungsschutzrecht‘ auf die Nase fielen, soll nun ein ‚europäisches Leistungsschutzrecht‘ folgen. Der gescheiterte Stunt soll damit in einem größeren Rahmen wiederholt werden.

Die DSGVO wäre ein Sommerlüftchen gegen den Sturm, der dann absehbar losbrechen wird. Die geplante ‚EU-Urheberrechtsreform‘ umfasst 24 Artikel. Unter anderem sollen künftig alle ‚User‘ für Inhalte von Verlagen zahlen, die solche Inhalte „nutzen“ (Art. 11). Unter Umständen genügt da schon die Verlinkung auf eine Verlags-Quelle, und schon stünde erwartungsfroh der Mann mit dem Klingelbeutel vor der Tür. Wie dieses Inkasso angesichts der schieren Masse im Netz funktionieren soll, ist dabei natürlich die große Frage.

Der größte Knackpunkt besteht aber darin, dass ‚urheberrechtlich geschütztes Material‘ nicht länger ‚ohne Erlaubnis‘ im Netz überhaupt verfügbar sein soll (Art. 13). Jeder Plattformbetreiber soll bei Verstößen gegen diese Regel haften. Die Folge wird sein, dass Facebook, Google usw. gewaltige ‚Upload-Filter‘ installieren, die verhindern, dass Verlagsinhalte noch länger im Netz erscheinen. Da aber die ‚Verbreitung‘ den Rang eines publizistischen Angebots ausmacht, ist heute schon absehbar, dass sich die vereinigte Verlegerschaft mal wieder mit Aplomp ins Knie geschossen hat. Und das Netz wiederum wird in der Folge ärmer und politisch einseitiger werden …

DSGVO: Visitenkarten zur Visite

Ein altgewohntes Bild: Am Ende eines Kundengesprächs tauschen die Partner ihre Visitenkarten aus. Beide pflegen später die darauf enthaltenen Daten auch in ihre jeweilige Kundendatenbank ein, Schon aber hätten sie beide gleich mehrfach gegen die neue Datenschutzgrundverordnung (DSGVO) verstoßen. Jedenfalls dann, wenn man den Wortlaut des Gesetzes mal beim Wort nimmt. Denn die DSGVO soll vor allem ‚mehr Datentransparenz‘ schaffen. Jeder Partner müsste also unverzüglich darüber informiert werden, welche personenbezogenen Visitenkarten-Daten auf welche Weise verarbeitet werden, und welche Widerspruchsrechte dieser Person im Zuge der Datenverarbeitung zustehen.

Wie diese Informationspflichten zu erfüllen sind, das beschreiben insbesondere die Art. 13 und 14 der DSGVO. Dort steht auch, dass diese Belehrung unverzüglich zu erfolgen habe. Überreichen sich also zwei Personen ihre Visitenkarten, beispielsweise auf einer Messe, dann müssten sich beide gemäß Art. 13 DSGVO über den wechselseitigen Umgang mit den Daten informieren. Dazu genügt dann aber keinesfalls ein kurzer Satz, sondern die erforderliche datenschutzrechtliche Belehrung fände selbst auf einer DIN-A4-Seite kaum genügend Platz. In der Realität gliche die Beachtung der DSGVO daher eher einer Slapstick-Nummer, wo beide Gesprächspartner einander seitenlang ‚zutexten‘. Fern der Realität wäre es auch, bei der Übergabe von Visitenkarten dem anderen ein Papier mit Datenschutz-Hinweisen in die Hand zu drücken. Verbunden mit der Bitte, diese Kenntnisnahme schriftlich zu bestätigen. Zumal sich hierbei ein Problem bezüglich der späteren Nachweisbarkeit ergeben würde.

Die Politik eiert angesichts der Undurchführbarkeiten der DSGVO nicht nur in diesem Punkt bereits kräftig herum. Ein Sprecher der Berliner Aufsichtsbehörde sagte, dass die bloße „Entgegennahme der Visitenkarte für sich genommen noch keine Informationspflicht auslöse“. Diese ‚Informationspflicht‘ würde sich nur in den Fällen ergeben, in denen die darauf enthaltenen Daten gespeichert werden. Das käme zwar einer Erleichterung gleich, es widerspräche aber immer noch der Absicht, weshalb Visitenkarten überhaupt ausgetauscht werden. Unternehmen hinterlegen die Daten aus übergebenen Visitenkarten in ihrem Kundendatenverwaltungs-Programm, damit sie in Geschäftsinteresse beider Seiten das eigene Partnernetzwerk ausbauen können. Ganz abgesehen davon, nennt die Aufsichtsbehörde auch nicht die rechtliche Grundlage, wie sie zu ihrer aparten Ansicht gelangte. Denn die Aussage des oben genannten Mitarbeiters steht im Widerspruch zum Wortlaut der Verordnung. Mit anderen Worten: Die DSGVO steht in vielen Punkten noch im Konflikt mit der Realität.

Die Bitkom-Geschäftsleiterin Dehmel empfiehlt, jeder Person, welche eine Visitenkarte überreicht hat, zeitnah im Nachgang über die Pflichtangaben nach Art. 13 DSGVO aufzuklären, um ihr so nachträglich eine Möglichkeit zu bieten, der Datenverarbeitung zu widersprechen. Eine solche Lösung widerstritte zwar immer noch dem direkten Wortlaut des Gesetzes, immerhin aber scheint sie bereits ‚praktikabler‘. Woran es der DSGVO aber vor allem mangelt, das sind konkrete und rechtssichere Stellungnahmen und Hilfestellungen der Aufsichtsbehörden. Die DSGVO bedarf dringend praxisnaher ‚Ausführungsbestimmungen‘.

Finger weg von WhatsApp!

Der Messenger-Dienst WhatsApp ist mit der Datenschutzgrundverordnung (DSGVO) nicht vereinbar. Seine Nutzung in Job und Beruf sollte daher unterbleiben. In den Worten des niedersächsischen Landesamtes für Datenschutz: „Die LfD Niedersachsen hat bereits mehrfach öffentlich betont, dass der Einsatz von WhatsApp durch Unternehmen zur betrieblichen Kommunikation gegen die Datenschutz-Grundverordnung (DS-GVO) verstößt.“

Der Grund für die Rechtsverletzung liegt vor allem an dem technischen Verfahren, welches die Facebook-Tochter WhatsApp Inc. in Kalifornien verwendet. Ein Nutzer registriert sich dort mit seiner Mobilfunknummer, der Messenger-Dienst liest daraufhin unbemerkt das Adressbuch der Nutzer auf deren Smartphones aus. Vorgeblich, um so andere WhatsApp-Nutzer ausfindig zu machen. Dieser Abgleich wird in Intervallen regelmäßig wiederholt.

Bei aller Daten-Sammelwut versucht das Unternehmen sich selbst einen ‚schlanken Fuß‘ zu machen: Allein die Nutzer seien für die Rechtmäßigkeit der Datenübertragung verantwortlich. Im Falle eines Falles würden damit dann auch die Strafbestimmungen der DSGVO allein die Anwender treffen. Ausweislich seiner ‚Datenschutzrichtlinie‘ nutzt WhatsApp die gewonnenen Daten auch zu eigenen Zwecken: Das Unternehmen behält sich eine umfassende Verwendung der gesammelten Informationen vor, zum Beispiel für „Messungen, Analysen und sonstige Unternehmens-Dienste“. Darüber hinaus teilt WhatsApp grundsätzlich Informationen mit anderen Facebook-Unternehmen.

Das Fazit der deutschen Datenschützer: „Die Übermittlung von Kontaktdaten aus dem Adressbuch an WhatsApp ist regelmäßig unzulässig.“ Erschwerend kommt hinzu, dass mögliche Sanktionen gemäß DSGVO allein jenes Unternehmen träfen, das den Einsatz von WhatsApp in seinem Zuständigkeitsbereich erlaubt hat.

Der Ratschlag an Unternehmen und Organisationen kann daher nur lauten: Verbieten Sie den Einsatz von WhatsApp auf allen betrieblichen Ebenen.

DSGVO: Fünffach betroffen

Verglichen mit dem Bundesdatenschutzgesetz (BDSG) bringt die DSGVO In Bezug auf ‚Betroffenenrechte‘ wenig Neues – mit Ausnahme des Rechtes auf Datenübertragbarkeit. Allerdings konkretisiert sie die wolkigen Vorgaben des BDSG oft erheblich. Die neuen Betroffenenrechte im Einzelnen:

1. Die Informationspflicht (Art. 13 u. 14 DSGVO): Sie gibt es prinzipiell bereits im BDSG. Es reicht aber nun nicht mehr aus, nur die Identität einer datenerhebenden Stelle zu nennen. Künftig ist auch die Angabe von Kontaktdaten sowohl für den Verarbeiter wie auch für den zuständigen Datenschutzbeauftragten Pflicht. Zu nennen ist ferner die Rechtsgrundlage, auf deren Basis eine Datenerhebung erfolgt, sowie die vorgesehene Dauer der Speicherung. Die größte Neuerung besteht wohl darin, dass über jede Datenübermittlung an einen Drittstaat oder an eine internationale Organisation unverlangt Auskunft gegeben werden muss. Auch der Widerruf einer Einwilligung muss jederzeit möglich sein.

2. Das Auskunftsrecht (Art. 15 DSGVO): Jeder Datengeber hat das Recht zu erfahren, ob seine personenbezogenen Daten verarbeitet werden, und an wen sie weitergeleitet werden. Das entspricht in etwa dem § 34 BDSG. Die DSGVO erweitert allerdings das Auskunftsgebiet. Grundsätzlich sind die Dauer der Speicherung, der Verwendungszweck und die Herkunft der Daten zu nennen. Demjenigen, dessen Daten erfasst wurden, steht das Recht auf Berichtigung, Löschung und Beschwerde zu. Jede Auskunft muss unentgeltlich erfolgen (Art. 12 Abs. 5 DSGVO).

3. Das ‚Recht auf Vergessenwerden‘ (Art. 17 Abs. 2 DSGVO): Personen, deren Daten erhoben wurden, können eine Löschung ihrer Daten verlangen, sofern nicht gesetzliche Aufbewahrungsfristen bestehen (z.B. im Strafregister). Unklar ist hier bisher, ob Datenerfasser auch eine Löschung bei jenen Folge-Institutionen durchsetzen müssen, an welche Daten weitergeleitet wurden – oder ob dort nur eine Informationspflicht über das gestellte Verlangen besteht.

4. Das Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Hierbei handelt es sich um eine Vorschrift, die das BDSG bisher nicht kannte. In einem ‚strukturierten, gängigen und maschinenlesbaren Format‘ müssen Datenerheber ihre gesammelten Daten auf Verlangen dem Betroffenen zur Verfügung stellen. Dieser Paragraph zielt vor allem auf die ‚sozialen Netzwerke‘. Wer bspw. von Facebook zu einem anderen Anbieter wechseln will, muss seinen gesammelten ‚Datenschatz‘ (Fotos, Texte usw.) in einer lesbaren Form erhalten, die mit den technischen Gegebenheiten auf der neuen Plattform kompatibel ist. Die beliebte Ausrede ‚technischer Hürden‘ gilt damit nicht mehr. Wie sich dies in der Praxis darstellt, ist noch unklar.

5. Das Widerspruchsrecht (Art. 21 DSGVO): Jede Person, die ihre Daten zur Verfügung stellt, muss gegen jede Form der Weiterverarbeitung, zum Beispiel zu werblichen Zwecken, Widerspruch einlegen können. Diese Regelung findet sich aber auch bereits im BDSG (§ 28, Abs. 4).