Benutzeranmeldung
Jetzt Mitglied werden
Neueste Beiträge
Viel diskutiert
Neueste Kommentare
dexnalry kommentierte zu Unfallflucht und Trunkenheitsfahrt...auch zum subjektiven Tatbestand muss was im Urteil stehen
danbalans1325 kommentierte zu Fahrlehrer macht sich an Fahrschülerinnen ran: Widerruf der Fahrlehrererlaubnis
Stefan Chatzipa... kommentierte zu Bielefelder Maschinenbauer will Betriebsvorsitzenden kündigen – Verfahren vor dem LAG Hamm
oebuff kommentierte zu Neue Software für Poliscan - und nun????
Meine Kommentare
Barbara Schmitz kommentiert am Permanenter Link
Lieber Herr Spies,
vielen Dank für die Infos zu den Aktivitäten der Biden-Administration und zu dem Hinweis in Fußnote 12 der SCC-neu. Beides zeigt, wie schwierig es werden wird die SCC-neu rechtssicher in Bezug auf einzuhalten. Die Erwägungsgründe des Durchführungsbeschlusses sind bezüglich des "unionsrechtlich geforderten Schutzniveau" eher vage und bieten mE keinen neuen Prüfungsmaßstab. So heißt es in EG 20 des Durchführungsbeschlusses:
Die Partien sollten insbesondere den besonderen Umständen der Übermittlung (wie Inhalt und Dauer des Vertrags, Art der zu übermittelnden Daten, Art des Empfängers, Zweck der Verarbeitung), den Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes, die angesichts der Umstände der Übermittlung relevant sind, und etwaigen Garantien zur Ergänzung der Garantien gemäß den Standardvertragsklauseln (einschließlich der einschlägigen vertraglichen, technischen und organisatorischen Maßnahmen, die für die Übermittlung und die Verarbeitung der personenbezogenen Daten im Bestimmungsland gelten) Rechnung tragen. Was die Auswirkungen solcher Rechtsvorschriften und Rahmen einer Gesamtbeurteilung verschiedene Aspekte betrachtet werden, darunter zuverlässige Informationen über die Anwendung der Rechtsvorschriften in der Praxis (z.B. Rechtsprechung und Berichte unabhängiger Aufsichtsgremien), das Vorliegen oder Nichtvorliegen von Anträgen innerhalb desselben Sektors und, unter strengen Voraussetzungen, die dokumentierte praktische Erfahrung des Datenexporteurs und Datenimporteurs.
Aber wie ist eine „Gepflogenheit“ zu bewerten? In der englischen Version heißt es „practices“. Beides muss in dem Kontext wohl in Richtung Tradition (Tradition) oder Brauch (Custom) gelesen werden. Wann wären Änderungen von Gepflogenheiten ausreichend um im Sinne eines „unionsrechtliche geforderten Schutzniveaus“ zu gelten? Wie sind die Biden-Aktivitäten in diesem Lichte zu sehen? Wie die Datenschutzgesetze der einzelnen US-Bundestaaten?
Ein:e risikofreudige/r Datenschützer:in mag das anders bewerten, als ein eher vorsichtiger.
Let's discuss the specifics!
Barbara Schmitz kommentiert am Permanenter Link
Die Einführung des Marktortprinzips hat von Anfang an die Aufsichtsbehörden vor die Herausforderung gestellt, den Geltungsanspruch der DS-GVO gegenüber Unternehmen in Drittstaaten durchzusetzen. Die Mechanismen dafür hat die DSGVO jedoch bereits mitgeliefert. Das Konzept des Vertreters ist genau mit dem Ziel eingeführt worden, Durchsetzungsverfahren gegenüber Verantwortlichen oder Auftragsverarbeitern, die unter Artikel 3 Absatz 2 DSGVO fallen einzuleiten. Damit ist es den Aufsichtsbehörden möglich, gemäß Artikel 58 Absatz 2 und Artikel 83 DSGVO gegen den nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter Abhilfemaßnahmen oder Geldbußen zu richten.
Dem Einwand mangelnder Durchsetzbarkeit ist der Artikel 50 DSGVO entgegenzusstellen und damit verbunden der Hinweis der EDSA, „dass Artikel 50 DSGVO insbesondere darauf abzielt, die Durchsetzung von Rechtsvorschriften in Bezug auf Drittländer und internationale Organisationen zu erleichtern, und dass derzeit die Entwicklung weiterer Mechanismen der internationalen Zusammenarbeit in Erwägung gezogen wird.“
Für die neuen SCC wäre es daher gut, wenn Überlegungen der EDSA zu „weiteren Mechanismen der internationalen Zusammenarbeit“ in die Erstellung der neuen SCC einfließen, die dann auch als Hebel für den wirksamen Abschluss der SCC dienen könnten. So zum Beispiel, wenn durch die Kommission festgestellt würde, dass keine entsprechenden Mechanismen für eine internationales Durchsetzungsverfahren der DSGVO Vorschriften in dem Drittland vorhanden sind, dann keine SCC vereinbart werden können.
Auch wenn das erstmal bedeuten würde, dass man sich auf dem politischen Parkett auseinandersetzen muss, wäre ein solches Vorgehen eine Methode, um Schrems III zu verhindern.
Hoffnung gibt in diesem Zusammenhang die Diskussion im Gesetzgebungsausschuss des United States Senate Committee on Commerce, Science and Transportation vom 9.12.20 zum Thema “The Invalidation of the EU-US Privacy Shield and the Future of Transatlantic Data Flows und die Aussage von Peter Swire als Sachverständigem: "the stars may finally have aligned to enact meaningful privacy protections"...
Barbara Schmitz kommentiert am Permanenter Link
Lieber Herr Spies,
vielen Dank für diesen wertvollen Diskussionsbeitrag.
Eine datenschutzkonforme Übermittlung nur dann anzunehmen, wenn eine Vertragspartei nicht den Grundsätzen der DSGVO unterliegen, ist aus meiner Sicht eine konsequente Anwendung der DSGVO.
Folgende Überlegungen dazu:
Dieser Anwendungsbereich ist neu in die DSGVO aufgenommen und zeigt im Zusammenspiel mit den EG 22 – 25, dass nicht der Ort der Datenverarbeitung entscheidend sein soll, sondern die Anwendungspflicht der DSGVO.
Diese Überlegungen vorausgeschickt, ist es konsequent, die Datenverarbeitung nur dann mit geeigneten Garantien bei der Übermittlung in ein Drittland zu versehen, wenn der Datenimporteuer nicht den Grundsätzen der DSGVO unterliegt. Art. 44 wäre demnach gedanklich um den Verweis auf Art. 3 zu ergänzen:
„Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation (die nicht dem Anwendungsbereich nach Art. 3 unterliegen) verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten (…)“.
Fallbeispiele:
Was meinen Sie?
Barbara Schmitz kommentiert am Permanenter Link
Der DAV beschreibt es mE genau: "Das missachtet Vorgaben des Bundesverfassungsgerichts zum Abfangen laufender Kommunikation. und (...) überschreitet mit diesem Gesetzentwurf eine Linie, die in einem liberalen Rechtsstaat eine rote Linie sein sollte."
Barbara Schmitz kommentiert am Permanenter Link
Natürlich tut sie das und kann sie das auch.
Wie der aktuelle Bundesdatenschutzbeauftragte, Herr Kelber, und der ehemalige Bundesdatenschutzbeauftragte, Herr Schaar, bereits hinreichend erläutert haben, sind die datenschutzrechtlichen Rechtsgrundlagen dem Art. 6 Abs. 1 DSGVO zu entnehmen.
Richtig ist sicher, dass es nicht primärer Zweck eines Werkvertrages ist, die Daten der Werkvertragsbeschäftigten zu erheben und zu speichern. Primärer Zweck ist die Erstellung des Werkes. Die Gewährleistung von Sicherheit und Gesundheitsschutz der Beschäftigten, sowohl der Beschäftigten des Auftraggebers als auch derer des Werkvertragsunternehmers, ist aber ebenso Teil eines Werkvertrages. Die Beschäftigten des Werkvertragsunternehmers treffen auf dem Betriebsgelände des Auftraggebers auf eine neue Arbeitsumgebung und neue Arbeitsabläufe im Einsatzbetrieb. Die Stammbelegschaft des Auftraggebers trifft auf Werkvertragsbeschäftigte, die häufig nicht umfassend mit den Gegebenheiten im Einsatzbetrieb vertraut sind (siehe Leitlinie Arbeitsschutz bei der Kooperation mehrerer Arbeitgeber im Rahmen von Werkverträgen).
Tritt ein Gefährdungsfall ein – z.B. pandemische Infektionen – hat die Fürsorgepflicht von Auftraggeber und Werksunternehmer zu greifen. Sind zur Eindämmung des Gefährdungsrisikos die Weitergabe der Daten der Werkvertragsbeschäftigten erforderlich, hat der Auftraggeber diese entweder beim Werkvertragsunternehmer anzufordern und dann weiterzugeben oder den Werkvertragsunternehmer anzuweisen, die geforderten Daten an die Behörden weiterzugeben. Rechtsgrundlage hierfür ist die Fürsorgepflicht aus Arbeits- und Werkvertrag und der Prozess und die Verpflichtung dazu ist im besten Fall auch schon im Werkvertrag abgebildet. Unterstützt wird diese Verpflichtung von § 42 Abs. 1 und 2 Nr. 1 iVm § 43 Abs. 5 IfSG, wonach Beschäftigte in der fleischverarbeitenden Industrie eine entsprechende Gesundheitsbescheinigung nachgewiesen haben. Allein hieraus ergibt sich schon eine Liste der Werkvertragsbeschäftigten. Eine Übermittlung dieser Liste durch den Werkvertragsunternehmer an den Auftraggeber sollte zu der werksvertraglichen Verpflichtung gehören, denn nur so kann der Auftraggeber seiner Fürsorgepflicht auch seinen eigenen Mitarbeiter nachkommen. Im Vertragskonstrukt ist dabei datenschutzseitig auch auf die gemeinsam Verantwortlichkeit nach Art. 26 DSGVO abzustellen und die entsprechenden Voraussetzungen, wie Information der Betroffenen umzusetzen.
Für die Weitergabe der entsprechenden Listen mit den Daten der Werksvertragsbeschäftigten sind nach meinem Verständnis - abhängig von der Perspektive, die erforderlich werden kann – folgende Unterpunkte des Art. 6 Abs. 1 heranzuziehen:
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt
Barbara Schmitz kommentiert am Permanenter Link
Ob und in welchem Umfang die Daten der Werkverträgler bei dem auftrgagebenden Unternehmen zu speichern sind, dürfte sich aus den Gefährdungsbeurteilungen des Arbeitsschutzes ergeben (siehe § 8 ArbeitsschutzG). Die Werksverträge sollten es aber hergeben, dass im Gefährdungsfällen die Werkverträgler benachrichtigt und erreicht werden können; wenn nicht über den Auftraggeber/Verantwortlichen unmittelbar, dann aber über den Werkvertragsunternehmer direktt. Wenn das wegen ausländischer Werkvertragsunternehmer schwierig ist, muss das bei der Vertragsanbahnung/Ausschreibung bereits beachtet und die Unternehmens-Prozesse entsprechend angepasst werden, damit eine Gefährundgsbenachrichtigung erfolgen kann. Damit wäre dann auch die (datenschutzrechtliche) Rechtsgrundlage für eine Daten(speicherung)verabeitung beim verantwortlichen Unternehmen gegeben.
Barbara Schmitz kommentiert am Permanenter Link
....irgendwie haben Sie ein merkwürdiges Werteverständnis von "Hetze".
Barbara Schmitz kommentiert am Permanenter Link
Lieber Herr Spies,
vielen Dank für Diskussionsinitiative. Ich möchte daran anknüpfen und folgende Überlegung/Frage in die Runde geben:
Es geht um folgende Begriffe/Terme die für ein Einwilligungserfordernis immer verwendet werden:
Was ist mit reinen B2B-Wesiten? Wenn nur Unternehmens-/Firmen IP Adressen getrackt werden und keine Kenntnis bei dem ebsitebetreiber über den Mitarbeiter des Unternehmens vorliegen.
Ich möchte mit Blick auf den risikobasierten Ansatz der DSGVO (und auch der eprivacy VO?) den Ansatz wagen, dass in diesen Fällen kein Personenbezug besteht bzw. das Risiko für die Privatsphäre eines möglichen hinter der IP-Adresse stehenden Betroffenen gering bis gegen Null geht.
Was meinen Sie!?
Beste Grüße
Barbara Schmitz
Barbara Schmitz kommentiert am Permanenter Link
Vielen Dank, Herr Spies, für den interessanten Einblick. Nach meinem Verständnis sollten wir aber von einer gewissen "Rechtssicherheit" für den Datentransfer in die USA ausgehen dürfen. Zum einen wird mit der Regelung in Artikel 45 Abs. 9 sichergestellt, dass das Privacy Shield "so lange in Kraft (bleibt), bis (es) durch einen nach dem Prüfverfahren (...) erlassenen Beschluss der Kommission geändert, ersetzt oder aufgehoben (wird)." Damit sollte im Bedarfsfall ein moderater Übergang zu einer neuen Regelung möglich sein und eine andere Situation vorliegen, als nach dem Safe-Harbour-Urteil. Zum anderen können über den zusätzlich zum Privacy Shield erforderlichen Auftragsdatenverarbeitungs-Vertrag (siehe Privacy-Beschluss Anhang II Zusatzgrundsätze III Nr. 10 „Obligatorische Verträge bei Weitergabe“) ergänzende Regelungen zwischen den Parteien geschlossen werden, die zusätzliche datenschutzrechtliche Sicherheiten bieten können. So beispielsweise die Möglichkeit die Datenübertragung nur in Bundesstaaten zuzulassen, die einem Zugriff von Behörden "kritisch" gegenüber stehen und auch Maßnahmen dagegen ergreifen (siehe California Electronic Privacy Act).
Barbara Schmitz kommentiert am Permanenter Link
Liebe Alice aus dem W..., wenn dem so ist, nehmen die "Bürger" ihr Grundrecht auf Datenschutz und Informationsfreiheit und damit ihr aktiv bestimmbares Grundrecht auf informationelle Selbstbestimmung nicht wahr. Ich will damit nicht sagen, dass es einfach ist sich zu informieren, aber es ist möglich. Die BfDI hat auf ihrer Website eine gute Informationszusammenstellung zum Privacy Shield, inkl. Fragen- und Antwortkatalog für das Einreichen einer Beschwerde. An einem Beschwerdeformular arbeiten die nationalen Aufsichtsbehörden. Bis dahin können Beschwerden über die BfDI oder die jeweiligen Landesdatenschutzaufsichten eingereicht werden.
Ich fände es gut, wenn sich viele Multiplikatoren finden, um eine aktive Wahrung des Grundrechts weiter zu tragen.
Viele Grüße
Barbara Schmitz
Seiten