Kernpunkte:
- Digitale Souveränität
- Beschäftigtendatenschutz
- EuGH-Urteil „Schrems II“
2 Datenschutz – global und national
Es passiert so viel im Datenschutz auf internationaler, europäischer und nationaler Ebene, wovon auch wir als Datenschutzaufsicht und die Schleswig-Holsteinerinnen und Schleswig-Holsteiner betroffen sein können, dass hier gar nicht erst der Versuch gemacht wird, ein vollständiges Bild zu zeichnen. Herausgegriffen werden wichtige Gestaltungsthemen wie die digitale Souveränität (Tz. 2.1), die Verschlüsselung (Tz. 2.2), die Harmonisierungs- und Zentralisierungsdebatte (Tz. 2.3), das Thema Beschäftigtendatenschutz (Tz. 2.4) und das EuGH-Urteil „Schrems II“, mit dem u. a. der Privacy Shield für ungültig erklärt wurde (Tz. 2.5).
2.1 Digitale Souveränität – souverän planen und umsetzen
Im Datenschutzrecht gilt eine einfache Aussage: „Der Verantwortliche ist verantwortlich.“ So simpel dies klingt: Einfach ist es nicht, seiner Verantwortlichkeit im besten Sinne nachkommen zu können, wenn man sich auf den Einsatz von Technik oder Dienstleistern angewiesen fühlt und dabei nicht wirklich kontrollieren kann, ob alles rechtskonform abläuft. In vielen Fällen ist eine faktische Abhängigkeit von marktbeherrschenden Akteuren nicht von der Hand zu weisen.
Zu den Datenschutzanforderungen gehört aber Wahlfreiheit und vollständige Kontrolle der Verantwortlichen über die eingesetzten Mittel und Verfahren bei der digitalen Verarbeitung von personenbezogenen Daten, gegebenenfalls unter Hinzuziehung des jeweiligen Auftragsverarbeiters.
Digitale Souveränität – Definition des Kompetenzzentrums Öffentliche IT
Digitale Souveränität ist die Summe aller Fähigkeiten und Möglichkeiten von Individuen und Institutionen, ihre Rollen in der digitalen Welt selbstständig, selbstbestimmt und sicher ausüben zu können.
In verschiedenen Zusammenhängen wird hier die digitale Souveränität gefordert. Das ist aus Datenschutzsicht zu unterstützen. Für den Bereich der öffentlichen Verwaltung hat daher die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) die notwendigen Elemente für eine digitale Souveränität konkretisiert:
Langfristig sieht die DSK die Notwendigkeit für den Einsatz von Open-Source-Software in der Verwaltung. Bundesländer wie Schleswig-Holstein, die bereits einige Schritte auf dem Weg ihrer Open-Source-Strategie gegangen sind, können nach unserer Überzeugung eine Vorreiterrolle einnehmen.
Konkret hält die DSK die folgenden Maßnahmen zum Stärken der digitalen Souveränität von Bund, Ländern und Kommunen für notwendig:
- verbesserte Möglichkeiten der datenschutzrechtlichen Beurteilung von Produkten und Dienstleistungen – sowohl bei der Auswahl als auch im laufenden Betrieb,
- Berücksichtigung der Ziele und Kriterien der digitalen Souveränität bei der Vergabe und Beschaffung von Hardware, Software, Informations- und Kommunikationstechnik sowie IT-Dienstleistungen,
- Nutzung von offenen Standards durch die Produktentwickler, damit die Verantwortlichen auch tatsächlich in die Lage versetzt werden, Anbieter und Produkte zu wechseln, wenn sie mit deren Produkten und Dienstleistungen die Datenschutzanforderungen nicht (mehr) oder nur ungenügend umsetzen können,
- Veröffentlichung des Quellcodes und der Spezifikationen öffentlich finanzierter digitaler Entwicklungen (siehe auch die Transparenzanforderung an algorithmische Systeme, Tz. 1.5),
- Möglichkeiten zur Steuerung des Zugriffs auf Daten, der Konfiguration von Systemen und der Gestaltung von Prozessen.
Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 22.09.2020: Digitale Souveränität der öffentlichen Verwaltung herstellen – Personenbezogene Daten besser schützen:
https://www.datenschutzkonferenz-online.de/media/en/TOP 8 Entschließung digitale
Souveränität_final.pdf
Kurzlink: https://uldsh.de/tb39-2-1
2.2 Verschlüsselung stärken statt schwächen
Ein Wiedergängerthema: Seit Jahrzehnten wird immer wieder vorgeschlagen, dass Möglichkeiten für Sicherheitsbehörden und Geheimdienste geschaffen werden sollen, um verschlüsselte Kommunikation mitzulesen. Und jedes Mal müssen wir die Argumente wiederholen: Hintertüren oder von vornherein schwache Verschlüsselung sind keine Lösung (z. B. 37. TB, Tz. 1.3 oder 38. TB, Tz. 2.3), sondern höhlen die Sicherheit aus. Denn Sollbruchstellen würden genutzt werden – und dies lässt sich nicht effektiv auf die „berechtigten Stellen“ beschränken.
Aus der DSK-Entschließung vom 25.11.2020:
„Eine sichere und vertrauenswürdige Verschlüsselung ist essenzielle Voraussetzung für eine widerstandsfähige Digitalisierung in Wirtschaft und Verwaltung.“
Es wirkt manchmal wie eine Sisyphus-Aufgabe für die Datenschutzbeauftragten, bei Verantwortlichen, Auftragsverarbeitern oder Herstellern die technischen und organisatorischen Maßnahmen anzumahnen, um ein adäquates Schutzniveau zu gewährleisten. Auch simple und altbekannte Sicherheitsfehler werden regelmäßig wiederholt, die Menge der eingehenden Meldungen nach Artikel 33 DSGVO ist ein Indiz dafür, zumal davon auszugehen ist, dass die Dunkelziffer hoch ist. Die Digitalisierung schreitet voran: sowohl bei Unternehmen, die sich vor Wirtschaftsspionage und Angriffen auf die personenbezogenen Daten von Beschäftigten und Kundinnen und Kunden schützen müssen, als auch bei digitalen Verwaltungsdienstleistungen, die Bürgerinnen und Bürgern vertrauenswürdig angeboten werden sollen. In beiden Fällen gehören Ende-zu-Ende-Verschlüsselung zu dem Standardset an technischen und organisatorischen Maßnahmen. Doch wenn die Verschlüsselung nicht von einem zum anderen Ende (z. B. Verwaltung – Bürger, Unternehmen – Kunde) garantiert ist, sondern die Daten beim Transfer doch im Klartext sichtbar gemacht werden können, wird die Maßnahme entwertet, denn offensichtlich wirkt sie nicht.
Auch Verschlüsselung in Datenspeichern – eine der Maßnahmen, die im Zusammenhang mit dem EuGH-Urteil „Schrems II“ (Tz. 2.5, Tz. 11.5) als mögliche Abhilfe diskutiert wird – muss natürlich ihren Schutzzweck erfüllen, um die Risiken ausreichend eindämmen zu können. Eine nicht funktionierende Verschlüsselung, etwa mit eingebauten Hintertüren, bringt hier nicht die gewünschten Vorteile.
Auch sonst basieren viele datenschutzfreundliche Techniken zum Schutz der Vertraulichkeit, der Integrität oder der Datenminimierung auf der Anwendung geeigneter kryptografischer Verfahren. Solche „Privacy-Enhancing Technologies“ sind auch im Kontext von Artikel 25 DSGVO (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen) wesentlich.
Wir plädieren dringend dafür, Verschlüsselung auszubauen und gegen Manipulationsversuche zu schützen. Allein die Diskussion, dass Staaten den Einbau von Hintertüren in Erwägung ziehen, führt bereits zu einem Vertrauensverlust der Menschen in staatlich bereitgestellte Software oder in Verwaltungsdienstleistungen.
Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 25.11.2020: Für den Schutz vertraulicher Kommunikation durch eine sichere Ende-zu-Ende-Verschlüsselung – Vorschläge des Rates der Europäischen Union stoppen:
https://www.datenschutzkonferenz-online.de/media/en/TOP_29_Entschließung_Verschlüsselung.pdf
Kurzlink: https://uldsh.de/tb39-2-2
2.3 Der Ruf nach Harmonisierung – per Zentralisierung?
Über ein Jahr lang hatte die 16-köpfige Datenethikkommission der Bundesregierung – darunter auch die Landesbeauftragte für Datenschutz Schleswig-Holstein, Marit Hansen – Empfehlungen für den Einsatz algorithmischer Systeme und den Umgang mit Daten aus verschiedenen Perspektiven diskutiert.
Im Oktober 2019 hat die Datenethikkommission ihr umfangreiches Gutachten mit 75 Empfehlungen abgegeben. Man hätte nun erwartet, dass diese Empfehlungen unmittelbar nach der Veröffentlichung aufgegriffen, priorisiert und umgesetzt (oder mit fundierten Argumenten verworfen) würden, doch der Umsetzungsstatus ist bisher noch nicht zufriedenstellend.
Eine der 75 Empfehlungen hat allerdings dazu geführt, dass zahlreiche Diskussionen losgetreten wurden – zur Zentralisierung der Datenschutzaufsicht im nichtöffentlichen Bereich, denn dies habe ja die Datenethikkommission unter Beteiligung von zwei Datenschutzbeauftragten so gefordert. Aber nein! Hier wurde (absichtlich?) eine Empfehlung der Datenethikkommission missverstanden. In dem Gutachten steht nämlich etwas von einer erhöhten Wirkungskraft durch eine verbesserte Ausstattung und einer einheitlichen und kohärenten Anwendung des Datenschutzrechts.
„Um die Wirkungskraft der Aufsichtsbehörden zu erhöhen, bedürfen diese einer weitaus besseren personellen und sachlichen Ausstattung. Sofern es nicht gelingt, die Abstimmung unter den deutschen Datenschutzaufsichtsbehörden zu verstärken und zu formalisieren und so die einheitliche und kohärente Anwendung des Datenschutzrechts zu gewährleisten, ist eine Zentralisierung der Datenschutzaufsicht für den Markt in einer – mit einem weiten Mandat ausgestatteten und eng mit anderen Fachaufsichtsbehörden kooperierenden – Behörde auf Bundesebene zu erwägen. Die Zuständigkeit der Landesdatenschutzbehörden für den öffentlichen Bereich soll hingegen unangetastet bleiben.“
Dass dies in der jetzigen Struktur der Landesbeauftragten mit einer verstärkten Abstimmung einhergeht, überrascht nicht. Dieser Abstimmungsprozess ist ohnehin notwendig im föderalen Europa und geschieht ständig und mit kurzen Fristen im Europäischen Datenschutzausschuss.
Gutachten der Datenethikkommission (2019):
https://datenethikkommission.de/
Kurzlink: https://uldsh.de/tb39-2-3a
Wir sind starke Befürworter klarer Regelungen und einheitlicher Rechtsauslegung. Abweichende Meinungen unter den Aufsichtsbehörden in Bezug auf gleich gelagerte Fälle kommen – wie übrigens auch bei Gerichten – vor, sind aber selten. Meistens sind scheinbar gleiche Fälle doch nicht gleich und müssen verschieden behandelt werden. Wichtig ist der Austausch der Argumente und beispielsweise verschiedener Lösungsansätze. Auf dieser Basis und unter Berücksichtigung des Für und Wider ist es dann auch einfacher, einander mit guten Argumenten zu überzeugen.
In jedem Fall ist eine Präsenz der Datenschutzaufsicht in der Fläche nötig – demnach brauchte man zumindest Außenstellen in den Ländern oder Regionen. Die Landesbeauftragten für Datenschutz haben ohnehin die Aufsichtsfunktion im öffentlichen Bereich.
Dass es – und das gilt eigentlich für jede Konstellation auch außerhalb der Datenschutzbehörden – sicherlich Verbesserungspotenziale in der Zusammenarbeit sowohl im öffentlichen als auch nichtöffentlichen Bereich gibt, sehen wir sowohl für die europäische als auch für die deutsche Ebene. Dies zeigt sich beispielsweise darin, dass nicht jede Datenschutzaufsichtsbehörde spezifische Expertise zu allen möglichen Technologien vorhalten kann. Für den Akkreditierungs- und Zertifizierungsbereich haben wir daher eine Verwaltungsvereinbarung untereinander geschlossen, die auch Möglichkeiten der gegenseitigen Unterstützung und des freiwilligen Austauschs u. a. von Fachbegutachtenden vorsieht (Tz. 9.2). Aber auch für reguläre anlasslose oder anlassbezogene Prüfungen könnten spezifische Kenntnisse und Erfahrungen, über die nicht jede Behörde verfügt, von Nutzen sein: beispielsweise Analysen von Verfahren der künstlichen Intelligenz, Quellcode-Sichtungen, forensische Begutachtungen, Konzepte der fortgeschrittenen Privacy-Enhancing Technologies oder Inspektionen von Hardwarekomponenten. Hinzu kommt der für den jeweiligen Prüfzweck geeignete Aufbau von Prüflaboren oder die Programmierung von Prüftools vor Ort oder in Online-Prüfungen.
Art. 57 Abs. 1 Buchst. g DSGVO
(1) Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet […]
g) mit anderen Aufsichtsbehörden zusammenarbeiten, auch durch Informationsaustausch, und ihnen Amtshilfe leisten, um die einheitliche Anwendung und Durchsetzung dieser Verordnung zu gewährleisten;
Wer in den Protokollen der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder stöbert, findet Informationen über eine Arbeitsgruppe „DSK 2.0“. In dieser Arbeitsgruppe geht es darum, die derzeitige Zusammenarbeit der Behörden einschließlich der Arbeitsweise der DSK zu evaluieren und gegebenenfalls Vorschläge für eine Neugestaltung zu erarbeiten.
https://www.datenschutzkonferenz-online.de/protokolle.html
Kurzlink: https://uldsh.de/tb39-2-3b
Man muss auch nicht darauf warten, dass Verwaltungsvereinbarungen geschlossen oder gar Staatsverträge zwischen Ländern ausgehandelt werden: Amtshilfe untereinander gehört zu den Aufgaben der Datenschutzaufsichtsbehörde.
2.4 Impulse für den Beschäftigtendatenschutz
Beschäftigtendatenschutz gehört zu den Arbeitsfeldern der Datenschutzbeauftragten. Wir hatten erst im Jahr 2018 unsere Sommerakademie unter das Thema „Beschäftigtendatenschutz im digitalen Zeitalter“ gestellt und mit Expertinnen und Experten diskutiert (37. TB, Tz. 2.2.2 sowie Tz. 13.2). Auch im Projektbereich befassen wir uns mit Datenschutz in Arbeitswelten, besonders in Bezug auf den Einsatz von automatisierten Verfahren (Tz. 8.2). Das Thema ist deswegen diffizil und herausfordernd, weil die verschiedenen Beteiligten – besonders Arbeitgeber und Beschäftigte – jeweils eine ganze Reihe von berechtigten Interessen haben, die es abzuwägen gilt. Auf der einen Seite steht der Schutz der Persönlichkeitsrechte der Beschäftigten am Arbeitsplatz, auf der anderen Seite die Verantwortlichkeit des Arbeitgebers für die Aufrechterhaltung des Betriebs einschließlich einer gewissen Fürsorgepflicht für alle Beschäftigte.
Die Digitalisierung im Beschäftigtenkontext und die zunehmende Verarbeitung personenbezogener Daten von Mitarbeiterinnen und Mitarbeitern führt zu zahlreichen Herausforderungen im Datenschutz. Die vorhandenen rechtlichen Regeln sind nicht immer einfach handhabbar. Schon aus Gründen der gewünschten Rechtssicherheit – und daran sollten alle Interesse haben – wären konkretere Regelungen in einem stimmigen Beschäftigtendatenschutzgesetz wünschenswert.
Art. 88 Abs. 1 DSGVO:
Datenverarbeitung im Beschäftigungskontext
(1) Die Mitgliedstaaten können durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext, insbesondere für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten Pflichten, des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des Eigentums der Arbeitgeber oder der Kunden sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses vorsehen.
Genau dies wird seit Jahrzehnten gefordert. Es hat immer wieder neue Anläufe für solche Gesetze und sogar schon Entwürfe für ein Beschäftigtendatenschutzgesetz gegeben, die jedoch dann irgendwo stecken geblieben sind.
Die DSGVO greift den Beschäftigtendatenschutz in Artikel 88 DSGVO auf und erlaubt dazu konkretisierende Rechtsvorschriften in den Mitgliedstaaten. In Deutschland wurde dies in § 26 BDSG umgesetzt – das reicht vielen Expertinnen und Experten aber nicht aus.
Auf Bundesebene sieht der Koalitionsvertrag einen Prüfauftrag zur Einführung eines eigenständigen Gesetzes zum Beschäftigtendatenschutz vor. Zu diesem Zweck hat das Bundesministerium für Arbeit und Soziales im Jahr 2020 einen Beirat eingerichtet, der auf Basis von Vorarbeiten, darunter auch der Impulse aus der Datenethikkommission (38. TB, Tz. 2.2), mögliche Inhalte eines solchen Gesetzes erörtert. Der Bundesminister für Arbeit und Soziales, Hubertus Heil, hat die Landesbeauftragte für Datenschutz Schleswig-Holstein in diesen Beirat berufen.
Zusammen mit weiteren Expertinnen und Experten, die für ihre Spezialfelder um Input in einzelnen Sitzungen gebeten werden, diskutiert der Beirat nicht nur vorhandene Defizite und rechtliche Regelungsoptionen, sondern hat den Blick für verschiedene Instrumente im Sinne eines Beschäftigtendatenschutzes geweitet. Auch effektive Möglichkeiten der Mitbestimmung bei komplexen Datenverarbeitungen können einen Beitrag leisten. Ausgehend von Konzepten wie Datenschutz „by Design“ muss man auch überlegen, wie technisch und organisatorisch die rechtliche Notwendigkeit des Interessenausgleichs „by Design“ unterstützt werden kann.
Der Abschlussbericht des Beirats mit möglichst konkreten Empfehlungen wird für Mitte 2021 erwartet.
https://www.bmas.de/SharedDocs/Downloads/DE/Pressemitteilungen/2020/faktenblatt-beirat-zum-beschaeftigtendatenschutz.pdf
Kurzlink: https://uldsh.de/tb39-2-4
2.5 Es war einmal … der Privacy Shield: EuGH-Urteil „Schrems II“
Auch wenn man es schon lange kommen sah und keiner, der sich ein wenig mit Datenschutzfragen des grenzüberschreitenden Datentransfers beschäftigt hatte, wirklich überrascht sein konnte: Der EuGH hat mit seinem Urteil „Schrems II“ vom 16.07.2020 – C‑311/18 erneut mit einem kleinen Paukenschlag ein Datentransferinstrument für ungültig erklärt: Nach Safe Harbor (EuGH-Urteil vom 06.10.2015 – C-362/14, „Schrems I“) traf es nun das Nachfolgemodell, den EU-US Privacy Shield.
Ebenso wie Safe Harbor bezeichnete der Privacy Shield eine Reihe von Regelungen, die US-amerikanische Unternehmen einzuhalten versprechen und im Anschluss auf einer Liste geführt werden. Eine wirkliche Überprüfung, z. B. durch unabhängige Dritte, fand nicht statt.
Der EuGH kritisiert insbesondere die Massenüberwachung durch die US-Geheimdienste, wovon die personenbezogenen Daten der europäischen Bürgerinnen und Bürger betroffen sind. Einen ausreichenden Rechtsschutz dagegen gibt es nicht, der angebotene Ombudsmechanismus kann dies nicht gewährleisten.
Mit Spannung war erwartet worden, ob der EuGH im selben Zuge auch ein weiteres häufig zum Einsatz kommendes Instrument kippt: die Standarddatenschutzklauseln. Dabei handelt es sich um von der EU-Kommission vorgegebene Standardverträge mit der Verpflichtung zur Einhaltung angemessener Datenschutzstandards. Während der Privacy Shield nur für den Datentransfer zwischen der EU und den USA verhandelt war, werden die Standarddatenschutzklauseln in Bezug auf alle möglichen Länder, die personenbezogene Daten erhalten, verwendet.
Im Ergebnis wurden die Standarddatenschutzklauseln nicht ebenfalls für unwirksam erklärt, denn der Datenexporteur kann nach Überzeugung des EuGH bei Zweifeln an der Rechtmäßigkeit den Datentransfer aussetzen. Dies wäre auch den zuständigen Datenschutzaufsichtsbehörden möglich, sollten sie Zweifel an der Rechtmäßigkeit haben.
Da mit Standardvertragsklauseln die Kritik der geheimdienstlichen Massenüberwachung nicht ausgeräumt werden kann, führte dies unmittelbar zu Nachbesserungsnotwendigkeiten. Die Arbeiten dazu auf Ebene der EU-Kommission, des Europäischen Datenschutzausschusses und der einzelnen Datenschutzaufsichtsbehörden sind noch nicht abgeschlossen.
Die Verantwortlichen sind aber unmittelbar in der Pflicht, die Rechtmäßigkeit ihrer Verarbeitung von personenbezogenen Daten – und damit auch der von ihnen eingebundenen Dienstleister – zu gewährleisten. Dazu gehört zunächst, sich einen Überblick zu verschaffen, wo überhaupt solche Datenübermittlungen stattfinden. Beispielsweise haben zahlreiche Verantwortliche auf ihren Webseiten einen Code eingebunden, der mit einem Datenfluss in die USA einhergeht. Für jeden Datentransfer muss eine Rechtsgrundlage – und Privacy Shield scheidet aus – bestehen. Ist keine Rechtsgrundlage ersichtlich, muss die Übermittlung unterbleiben. Manchmal stellen Verantwortliche fest, dass sie die betroffenen Dienste gar nicht benötigen – dann können sie ersatzlos wegfallen.
Andernfalls muss man sich um Alternativen kümmern: Entweder der Dienstleister bessert selbst nach, oder man muss auf Konkurrenten ausweichen.
Auch technische Änderungen sind möglich, beispielsweise wenn der Personenbezug aus den übermittelten Daten entfernt wird und damit nur noch anonymisierte Daten transferiert werden. Weitere technische Lösungen wie Zugriffsbeschränkungen, Treuhändersysteme usw. können generell zur Risikoreduzierung zum Einsatz kommen. Die Frage der Zulässigkeit der Datenübermittlung ist aber getrennt zu klären (siehe auch Tz. 11.5).
Der Europäische Datenschutzausschuss hat Fragen und Antworten zum EuGH-Urteil „Schrems II“ bereitgestellt:
https://edpb.europa.eu/our-work-tools/our-documents/ohrajn/frequently-asked-questions-judgment-court-justice-european-union_de
Kurzlink: https://uldsh.de/tb39-2-5
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |