Kategorien
Alle Datenschutz Senioreneinrichtungen Seniorenheim

Datenschutz in der Pflege

Oft wird die Bedeutung der DSGVO im Bereich der Pflege unterschätzt oder es herrscht Unklarheit, wie Datenschutz im Bereich der Pflege anzuwenden ist. 

Dabei sind die Anforderungen an den Umgang mit besonders sensiblen personenbezogenen Daten in jedem medizinischen Bereich dieselben – im Krankenhaus wie im Pflegeheim. Es handelt sich um Gesundheitsdaten, die stets der informationellen Selbstbestimmung unterliegen und vor dem Einblick Dritter bewahrt werden müssen. 

Hierbei gilt besonders, Folgendes zu berücksichtigen:

Zustimmung

Personenbezogene Daten dürfen nur mit Zustimmung der betroffenen Person gespeichert, verarbeitet oder weitergegeben werden. (vgl. Art. 6 DSGVO)

Richtigkeit & Speicherbegrenzung

Die gespeicherten Daten müssen sachlich richtig und auf dem neusten Stand sein. Zudem sollten nur dem Zweck angemessene Daten gespeichert sein (Datenminimierung).

Ist die Speicherung der sensiblen Daten nicht mehr erforderlich, müssen die Daten gelöscht werden (Speicherbegrenzung). 

Unbefugte Dritte

Die einfache Weitergabe von sensiblen Daten an unbefugte Dritte ist streng verboten. Hierbei ist besonders auf den Fassungsrahmen des Begriffs zu achten. Hierzu zählen bspw. auch Kollegen, dessen Zuständigkeitsbereich nicht ausreichend ist, Angehörige des Betroffenen (solange keine Zustimmung vorliegt) oder Organisationen wie die Krankenkasse, welcher nur beschränkt Informationen weitergegeben werden dürfen.

Fahrlässigkeit

Die sensiblen Daten dürfen nicht zugänglich für unbefugten Dritte sein. Liegt die Patientenakte aufgeklappt auf dem Küchentisch, sodass sie von jedermann eingesehen werden kann, ist das ebenfalls als fahrlässige Weitergabe von personenbezogenen Daten zu ahnden.

Schweigepflicht

Alle Mitarbeiter unterliegen dem Berufsgeheimnis und separat der allgemein geltenden Verschwiegenheitspflicht der Berufsgruppe.

Kategorien
Alle Datenschutz Sicherheit Systemtechnik

Spionagesoftware Pegasus

Eine israelische Spionagesoftware, die unter Experten als das leistungsfähigste Spähprogramm für Smartphones bekannt ist und ebenfalls als Cyberwaffe eingestuft wurde, macht zurzeit erneute Schlagzeilen.

Es handelt sich hierbei um die Spionagesoftware „Pegasus“ der israelischen Sicherheitsfirma NSO Group Technologies, mit welcher ein Kunde uneingeschränkten Zugang zu dem Smartphone seiner Zielperson genießt. Jegliche Chat-Nachrichten können mitgelesen werden, jede App kann geöffnet werden und das Mikrofon, wie auch die Kamera kann nach Belieben aktiviert werden.

Laut NSO Group wurde diese Spionagesoftware zum Zwecke der Fernüberwachung der Smartphones von Terroristen und Kriminellen entwickelt. Des Weiteren wurde die Software angeblich nur an ausgewählte Staaten verkauft, wobei zwingend die Zustimmung des Verteidigungsministerium vorhanden war.

Jüngste Ergebnisse der internationalen Recherchegruppe erwiesen jedoch das Gegenteil.

Auf der Liste der Zielpersonen befanden sich forensisch nachgewiesen Journalisten meinungsbildender Publikationen, hochrangige Politiker, Oppositionelle, wie auch Menschenrechtsaktivisten. 

Es kam verteilt auf 40 Ländern seit 2016 zu ca. 50’000 nachgewiesenen Zielpersonen. 

Zu den Clients der NSO Group zählen unter anderem Mexiko, Marokko, Indien und Ungarn (als einziges Land Europas) – Länder, die häufig für mangelnde Meinungs- und Medienvielfalt kritisiert werden.

Wie kommt Pegasus aufs Smartphone?

Die Spionagesoftware kommt überwiegend über eine fingierte Nachricht inkl. eines korrumpierten Links auf das Smartphone. Allerdings ist es auch möglich das Schadprogramm unbemerkt auf das ausgewählte Smartphone zu laden –  vorausgesetzt es ist eingeschaltet und mit dem Internet verbunden.

Wie überprüft man ob man ein Teil der Pegasus-Attacke ist?

Bislang haben IOS-User einen gewissen Vorsprung im Kampf gegen Pegasus, da hier bereits ein Programm entwickelt wurde, welches Pegasus und andere Schadsoftware aufspüren soll.

Es handelt sich um die kostenlose App Lookout. Ist dies der Fall soll persönlicher Kontakt zu Lookout aufgenommen werden.

Kategorien
Alle Datenschutz Senioreneinrichtungen Sicherheit Systemtechnik

IT-Sicherheit im Gesundheitssektor ab 2022 verpflichtend

Betreiber sog. kritischer Infrastruktur (KRITIS) wie größerer Kliniken die mindestens 30.000 stationäre Patienten im Jahr behandeln sind bereits seit 2017 durch das IT-SIcherheitsgesetz (§ 8 BSI-Gesetz) verpflichtet, ihre IT-Systeme nach dem “Stand der Technik” abzusichern.

Im Oktober 2020 wurden die gesetzlichen Rahmenbedingungen erneut verschärft. Nach Sozialgesetzbuch (§ 75c SGB V) sind ab 01. Januar 2022 auch kleinere Kliniken in Deutschland verpflichtet, ihre IT-Sicherheit auf ein angemessenes Schutzniveau anzuheben. Der Gesetzgeber verpflichtet die Krankenhäuser nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind. 

Organisatorische und technische Vorkehrungen gelten als angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder der Sicherheit der verarbeiteten Patienteninformationen steht. Die informationstechnischen Systeme sind spätestens alle zwei Jahre an den aktuellen Stand der Technik anzupassen.

Kategorien
Alle Datenschutz

Datenschutzkonforme Lead-Ads by Facebook

Schon seit längerer Zeit wird Facebook nicht mehr nur als einfache Social-Media-Plattform verwendet, sondern fungiert ebenfalls als Werbeplattform, indem den Usern (auf Facebook und Instagram) sog. Lead-Ads angeboten werden.

Eine Lead-Ad ist eine Art Landingpage – eine Website, auf welche ein potentieller Kunde mit einer Werbeanzeige geleitet wird, um bestimmte Informationen zu übermitteln. 

Landingpages sind interessant für Unternehmen, weil Zielgruppen spezifisch angesprochen werden können.

Funktionsweise 

Eine individualisierte Zielgruppe entsteht durch Einsatz von Tracking-Tools auf der eigenen Website des Unternehmens. Diese Tracking-Tools bewirken eine Analyse von Interessen und Gemeinsamkeiten der Websitebesucher, über welche Besucher gruppier- und damit ansprechbar werden.

Die Lead-Ads by Facebook unterscheiden sich von herkömmlichen Landingpages. Anstelle einer einfachen Website-Weiterleitung wird hier eine Befragung per Kontaktformular durchgeführt, wodurch jeweilige Interessen und Präferenzen noch konkreter erfasst werden können.

DSGVO-Konformität

Es ist sicherzustellen, dass die Erstellung von Zielgruppen, welche offensichtlich auf der Speicherung und Verwendung personenbezogener Daten basiert, den Richtlinien der EU-Datenschutz-Grundverordnung (DSGVO) entspricht.

Es ist zu prüfen, welche personenbezogenen Daten (Adressdaten, Emailadresse, etc.) der potentiellen Kunden gespeichert, verarbeitet und/oder an Dritte weitergegeben werden dürfen und inwiefern Verwendungszwecke, wie auch Speicherdauer der gewonnenen Daten transparent sind.

Um Lead-Ads datenschutzkonform auszugestalten, müssen einige wichtige Grundbedingungen vorausgesetzt sein. 

Gem. Art. 5 und 6 DSGVO bedarf die Speicherung und Verarbeitung personenbezogener Daten die Einwilligung der betroffenen Person, wobei der Einwilligungsempfänger (Sie) stets erkennbar sein muss, wie auch der Verwendungszweck aller erhobenen Daten. Die gewonnenen Kundendaten dürfen grundsätzlich nicht an Dritte übermittelt werden, es sei denn es liegt eine zusätzliche Einwilligung des Betroffenen i.S.d Art. 6 I DSGVO vor. 

Des Weiteren wird für Regelkonformität gesorgt, wenn das Unternehmen mit dem Dritten in einem Vertragsverhältnis steht und/oder es sich um ein verbundenes Unternehmen handelt (gem. § 15 AktG). Der Datenverantwortliche (Sie) trägt die Verantwortung für die rechtmäßige Verarbeitung der zur Verfügung gestellten Daten beim Auftragsverarbeiter (Dritter) (gem. § 11 BDSG).

Alle Datenempfänger müssen namentlich in den Datenschutzrichtlinien, die Detailangaben zu Ihrer Datenerhebung enthält, erwähnt sein.

Wir empfehlen:

Wir empfehlen die Verwendung von Opt-In i. S. e. eines ausdrücklichen Zustimmungsverfahren, in welchen der Link zu Ihren Datenschutzrichtlinien integriert ist. 

Eine weitere Verbesserung des Verfahrens ist durch ein Double-Opt-In zu erzielen. Dieses erfordert eine zusätzliche Bestätigung per Bestätigungsmail, um die Eintragung der persönlichen Daten auf ihre Richtigkeit zu überprüfen. Dies bietet Schutz vor Missbrauch der Daten, falls der User nicht die personeneigenen Daten verwendet hat, sondern sich als eine andere Person ausgegeben hat.

Dieser zusätzliche Schritt ist nicht gesetzlich verpflichtend, bietet jedoch zusätzliche Sicherheit, wenn dieses im individuellen Fall empfehlenswert scheint.

Sofern Lead-Ads nicht datenschutzkonform gestaltet werden, sind Sperrungen der Werbeanzeigen durch Facebook und Sanktionierungsmaßnahmen der Behörden nicht auszuschließen.

Kategorien
Alle Datenschutz Systemtechnik

Fernwartung datenschutzkonform durchführen

Fernwartung wird gerade in der heutigen Zeit als ein Segen empfunden, so denn sie es ermöglicht kurzfristig technische Probleme auf den Arbeitsrechnern der Mitarbeiter oder auch auf den hausinternen Servern schnell und qualifiziert beheben zu lassen. In Zeiten von Covid-19 ist dies durch weit verbreitete Homeoffice-Regelungen und die bestehenden Kontaktbeschränkungen oftmals die letzte Rettung zum Erhalt einer produktiven Arbeitsumgebung.

Nicht zu unterschätzen sind hier jedoch die Auswirkungen des BDSG auf solche Fernzugriffe. Selbstverständlich ist bei solchen Tätigkeiten es unablässlich einen Vereinbarung zur Auftragsdatenvereinbarung mit dem Dienstleister zu schliessen, aber es gibt noch einige technische und oranisatorische Regelungen, welche unbedingt beachtet werden müssen:

  • Individuelle Zustimmung des Auftraggebers/Mitarbeiters
    Vor jeder Fernwartung ist es unabdingbar, daß der Auftraggeber, bzw. der Mitarbeiter auf dessen Endgerät zugegriffen werden soll seine Zustimmung für den Zugriff gibt. Dies kann präferiert über ein Hinweisfenster der Fernwartungssoftware geschehen, oder anderweitig, dann aber dokumentiert und nachweisbar.
  • Sichtbarkeit der Fernwartung
    Ein gegenwärtiger Fernwartungszugriff muss jederzeit für den Auftraggeber/Mitarbeiter auf dem Endgerät erkennbar sein.
  • Unterbindung/Abbruch Fernwartung
    Der Auftraggeber/Mitarbeiter muss jederzeit in der Lage sein eine laufende Fernwartung zu beenden.
  • Protokollierung
    Fernwartungszugriffe müssen protokolliert werden. Es muss jederzeit ersichtlich sein welcher Benutzer in welchem Zeitraum auf das Endgerät zugegriffen hat und weshalb dieser Zugriff erforderlich war (Tätigkeitsbeschreibung).
  • Vernichtung personenbezogene Daten
    Sofern der Auftragnehmer während der Ferwartung personenbezogene Daten erhalten hat, so sind diese nach Beendigung der Arbeiten unverzüglich zu löschen, bzw. dem Auftraggeber zurückzugeben.
  • Zugriff auf produktive Daten (Wirkdaten)
    Sofern im Rahmen einer Fernwartung zum Zwecke der Fehlersuche auf Wirkdaten des Auftraggebers zugegriffen werden muss, so ist vorab die Einwilligung des Auftraggebers einzuholen.
Kategorien
Alle Datenschutz

Provozierter Schadensersatz im Kontext Art. 15-22 DSGVO

Die Gesellschaft für Datenschutz und Datensicherheit (GDD) warnt seit kurzem vor provozierten Schadensersatzansprüchen, aufgrund missbräuchlicher anmutender Anfragen zu Betroffenenrechten gem. Art. 15-22 DSGVO.

Ziel dieserart Missbräuche sind außergerichtliche Zahlungen eines immateriellen Schadenersatzes zzgl. Rechtsanwaltkosten.

Mitarbeiter des GDD habe eine Vermehrung gleichartiger Fälle bemerkt und konnten so eine bestimmte Vorgehensweise feststellen:

  • Eine Kontaktperson versucht auf irgendeine Weise mit Ihrem Unternehmen in Kontakt zu treten und dabei seine personenbezogenen Daten zu hinterlassen. Ideal dafür sind Kontaktformulare oder Newsletter-Abonnements.
  • Nach einigen Wochen meldet sich die Kontaktperson bei Ihrem Unternehmen und fordert Auskunft, wie auch Löschung der gespeicherten Daten (Betroffenenanfrage).

Im Umgang mit der Betroffenenanfrage können den Verantwortlichen Ihres Unternehmens leicht folgende potentielle Fehlern unterlaufen: 

  • Die personenbezogenen Daten werden vorschnell gelöscht und die Betroffenenanfrage ignoriert.
  • Es wird (versehentlich) die falsche Auskunft gegeben, dass keine personenbezogenen Daten der Speicherung vorliegen. Allerdings liegen zumindest Rufnummer/E-Mail-Adresse vor.
  • Es erfolgt keine Reaktion auf die Betroffenenanfrage.

Begehen sie einen der aufgelisteten Fehler, so verstößt Ihr Unternehmen gegen die DSGVO, woraus sich ein Anspruch auf Ersatz eines immateriellen Schadens in vierstelliger Höhe ableiten ließe.

Ihr Unternehmen ist gem. Art. 12 Abs. 3 S.1 DSGVO verpflichtetet, die Kontaktperson binnen eines Monats über die ergriffenen Maßnahmen zu unterrichten. Des Weiteren begründet der Art 15 DSGVO ein Auskunftsrecht bezüglich der Speicherung und Verwendung der personenbezogenen Daten, solange es mit einem überschaubaren Aufwand einhergeht. Aus Art. 17 DSGVO ergibt sich das Recht auf Löschung der personenbezogenen Daten.

So missbräuchlich diese Vorgehensweise auch zu sein scheint, ist sie nicht generell rechtswidrig – seien Sie besonders achtsam mit Betroffenenanfragen!

Generell gilt:

  • Identifizieren Sie die Kontaktperson zuverlässig und überprüfen Sie jegliche Systeme gründlich auf personenbezogene Daten dieser. 
  • Löschen Sie niemals voreilig die gefunden Daten und geben Sie keine falschen Auskünfte bezgl. personenbezogener Daten.
  • Kommen Sie dem Auskunftsrecht und dem Löschverlangen in korrekter Art und Weise nach, dokumentieren Sie dieses sorgfältig und Sie sind vor dem provozierten Schadensersatz im Kontext Art. 15-22 DSGVO geschützt.
Kategorien
Alle Datenschutz

10,4 Millionen Euro Bußgeld für NBB

Am 21. Dezember vergangenen Jahres verhängte Niedersachsens Landesbeauftragte für Datenschutz (LfD), Barbara Thiel, ein Bußgeld in Rekordhöhe von 10,4 Millionen Euro gegen die Notebookbilliger.de AG (NBB) mit Hauptsitz in Sarstedt bei Hildesheim.

Der Online Händler NBB soll laut LfD in die Persönlichkeitsrechte der Mitarbeiter und Kunden eingegriffen haben, indem diese seit mindestens zwei Jahren in unverhältnismäßigen Ausmaß mit Hilfe von Videokameras beobachtet und überwacht wurden.

Dieser Überwachung fehlte es scheinbar an jeglicher Rechtsgrundlage.

Aus Art. 6 Abs. 1 DSGVO geht hervor, dass eine solche Überwachung einen engen Zeitraum, wie auch eine bestimmte Mitarbeiter-Auswahl erfordere. 

NBB ließ seine ca. 900 Mitarbeiter rund um die Uhr in jeglicher Umgebung (Geschäfts-, Lager- und Aufenthaltsräumen) per Videoüberwachung aufzeichnen. Selbst das Verhalten der Kunden in Wartebereichen wurde kontinuierlich erfasst, womit NBB eindeutig den Schutz personenbezogener Daten vernachlässigte und sich i.S.d. Art. 83 Abs. 5 DSGVO für „besonders gravierende Verstöße“ strafbar machte. 

Hinzu kommt die unverhältnismäßig lange Aufbewahrung des Videomaterials von NBB. Häufig wurde dieses Material erst nach 60 Tagen gelöscht. 

Gemäß Art. 5 DSGVO beträgt die maximale Speicherdauer der Videoüberwachung 72 Stunden und nur in Ausnahmefällen 10 Tage.

Oliver Hellmold, CEO der Notebookbilliger.de AG, weist jegliche Vorwürfe zurück und legt Einspruch gegen den hohen Bußgeldbescheid ein. 

In einer eigenen Pressemitteilung (PDF) und einem FAQ-Artikel rechtfertigt sich das Unternehmen mit der Begründung, lediglich Straftaten wie Diebstähle vorbeugen zu wollen.

LfD betitelt diesen Rechtfertigungsgrund als unverhältnismäßig, da es mildere Mittel gäbe, um solch Ziele zu erreichen. Angefangen bei Stichproben einfacher Taschenkontrollen.

Noch ist das Bußgeld nicht rechtskräftig, sodass gemeinsam auf den nächsten Gerichtstermin gewartet wird. 

Die Videoüberwachung von NBB wurde mittlerweile regelkonform konfiguriert.

Kategorien
Alle Datenschutz

Der Brexit und die DSGVO

Am 24. Dezember 2020 einigten sich die Europäische Union und das Vereinigte Königreich zum allerletzten Zeitpunkt auf ein gemeinsames Handelsabkommen, um einen „harten Brexit“ abzuwenden. Leider konnten in der Kürze der Zeit nicht alle offenen Fragen befriedigend geklärt werden. 

Der 1.250 Seiten starke Vertrag regelt im „Article FINPROV.10A: Interim provision for transmission of personal data to the United Kingdom“ den Datenschutz.

Die Verarbeitung und Speicherung von personenbezogenen Daten im Vereinigten Königreich ist ab dem 01. 01.2021 erst einmal rechtskonform.

Bis zum 30.04.2021 gilt das Vereinigte Königreich nicht als Drittland.

Diese Frist verlängert sich automatisch bis zum 31.06.2021. Der Vertrag sieht vor, dass beide Seiten der automatischen Verlängerung widersprechen können. 

Nach dem Ende der Übergangszeit – am 01.05.2021 oder am 01.07.2021 – wird das Vereinigte Königreich zum Drittland.

Die anschließende Entwicklung ist schwer zu prognostizieren. Würde die Europäische Kommission per Angemessenheitsbeschluss ein angemessenes Datenschutzniveau im Vereinigten Königreich bestätigen, so wäre das Vereinigte Königreich ein sog. „Sicheres Drittland“, in dem die Verarbeitung und Speicherung von personenbezogenen Daten durchgeführt werden kann.

Die Rechtssituation im Vereinigten Königreich ist mit den USA vergleichbar – die USA ist kein sicheres Drittland, das Safe Harbor ist gescheitert und das EU-U.S. Privacy Shield ist unwirksam. Es ist zu befürchten, dass das Vereinigten Königreich ab dem 01.07.2021 zu einem „unsicheren“ Drittland wird.

Es ist möglich die Datenübertragung in ein Drittland zu legitimieren, wenn die Einwilligung des Betroffenen vorliegt, die Übermittlung für eine Vertragserfüllung erforderlich ist oder zusätzliche überprüf- und durchsetzbare Datenschutzgarantien vorliegen. Aus Sicht der Unternehmen läuft es somit aller Wahrscheinlichkeit nach auf eine Prüfung und Bewertung des Einzelfalles hinaus.

Kategorien
Alle Datenschutz

Risiko behördlich angeordneter Stilllegung von Systemen im Kontext des Art. 58 DSGVO bei schwerwiegenden Verstößen gegen die Regularien der DSGVO

Seit dem 25. Mai 2018 gilt die DSGVO bzw. die Datenschutz-Grundverordnung für private und öffentliche Stellen im gesamten Europäischen Wirtschaftsraum. Die Vereinheitlichung der Regelungen zur Verarbeitung personenbezogener Daten zielt auf den Schutz der betroffenen Personen und deren Daten selbst.

Die Durchsetzung der regulatorischen Anforderungen der DSGVO gerät im Hinblick auf die drastischen Bußgeldandrohungen bei Verstößen in den Fokus unternehmerischen Handelns. 

Die Höhe des Bußgeldrahmens beträgt bei besonders gravierenden Verstößen bis zu 20 Millionen Euro. Bei weniger gewichteten Verstößen befindet sich die maximale Höhe bei ganzen 10 Millionen Euro.

Neben den hohen Bußgeldern verlieren die weiteren Sanktionen bei Datenschutzverletzungen häufig an Beachtung, obwohl diese ebenfalls gravierende Folgen mit sich bringen können.

Im Artikel 58 DSGVO sind Untersuchungsbefugnisse (Absatz 1) und umfassende Abhilfebefugnisse (Absatz 2) der Aufsichtsbehörden gesetzlich geregelt.

Neben der einfachen Offenbarung aller Informationen bezüglich des Datenschutzes, dem unbeschränkten Zugang zu Geschäftsräumen und Datenverarbeitungsanlagen, sind Aufsichtsbehörden nach Erwägungsgrund 129 DSGVO dazu befähigt, vorrübergehend oder endgültig die Verarbeitung personenbezogener Daten zu beschränken. Im Worst-Case-Szenario darf auch ein Verbot verhängt werden.

Eine solche Maßnahme kann abhängig von der Bedeutung der Verarbeitung/Übermittlung personenbezogener Daten die behördlich angeordnete Stilllegung von Systemen nach sich ziehen.

Für Unternehmen, deren Geschäftsmodell vorwiegend auf mit Datenverarbeitungssystemen angebotenen Services wie beispielsweise im Bereich des e-Commerce basiert, können die Folgen gravierend sein. 

Der Art. 34 DSGVO bedingt die Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person – bei einem Shutdown Ihrer Systeme ist eine Beschädigung der Geschäftsbeziehungen auch für die Kunden, die durch den Vorfall nicht direkt betroffen waren kaum zu vermeiden.

Kategorien
Alle Cloud Datenschutz

EuGH erklärt Privacy Shield für ungültig

Am 12.06.2016 trat das von der EU-Kommission geschaffene EU-US Privacy Shield als Nachfolgeregelung des Safe Harbour-Abkommens in Kraft. Dieser Angemessenheitsbeschluss legte fest, dass für das Privacy Shield zertifizierte US-Unternehmen ein Datenschutzniveau erreichen, das es zulässt, personenbezogene Daten in die USA ohne weitere Sicherheiten an sie übermitteln zu können.
Diese Vereinbarung wurde am 16.07.2020 vom Europäischen Gerichtshof für ungültig erklärt. Die Übertragung personenbezogener Daten auf der Grundlage des Privacy Shields ist damit in vielen Fällen nicht mehr legal und hat damit enorme Auswirkungen auf Unternehmen in der EU, die auf das Privacy Shield vertraut haben.


Den Stein ins Rollen gebracht hat wieder einmal der sog. Datenschutzaktivist Max Schrems, der bei der irischen Datenschutzbehörde die Übertragung von Daten durch Facebook Irland an den Firmensitz in den USA beanstandet hatte. Die Datenschutzbestimmungen in den USA sind weit weniger streng als in der EU und außerdem sei Facebook in den USA dazu verpflichtet, die Daten auch Behörden wie dem FBI oder der NSA zugänglich zu machen, ohne dass die Betroffenen dagegen gerichtlich vorgehen können, so die Begründung von Schrems.
Die Datenschutzbehörde in Irland wandte sich mit dieser Frage an ein irisches Gericht, das seinerseits damit zum EuGH ging. Dieser musste entscheiden, ob die durch das Privacy Shield gegebenen Garantien den Ansprüchen an den Datenschutz genügen und damit die Daten der europäischen Nutzer von Facebook, Google, Microsoft etc. ausreichend geschützt werden. Der EuGH urteilte nun, dass die Überwachungsgesetze der USA zu weitreichend seien und der Privacy Shield keinen angemessenen Schutz bietet.
Rund 5000 Unternehmen berufen sich auf den Privacy Shield bei der Datenübertragung in die USA. Soweit der Privacy Shield die einzige rechtliche Grundlage darstellt, werden sich die Unternehmen nach alternativen Grundlagen umsehen oder die Übermittlung einstellen müssen.


Der Datenaustausch auf der Grundlage von Standardvertragsklauseln wurde dagegen vom EuGH als ausreichend bewertet, wenn der Datenschutz in dem anderen Land gewährleistet sei.