von Rainer Hill

Interview: „Es ist schwierig, die datenschutzrechtliche Lage mit der Realität in Übereinstimmung zu bringen“ - Teil 2

Ein Urteil des Europäischen Gerichtshofs hat das „Privacy Shield“, eine wichtige Rechtsgrundlage für die Verarbeitung der Daten von EU-Bürgern in den USA, gekippt. Populäre Social Media-Angebote, Videokonferenzanbieter, Datei-Sharing-Dienste, Zahlungsdienstleister, Web Analytics Services und Hosting-Dienste übertragen aber in der einen oder anderen Weise personenbezogene Daten in die Vereinigten Staaten. Oliver Meyer-van Raay ist Fachanwalt für IT-Recht und darüber hinaus als Datenschutzbeauftragter tätig. Im Interview analysiert er die aktuelle Lage und die Handlungsoptionen für Unternehmen.

Autor: Rainer Hill

Rainer Hill ist Public Relations Manager und Pressesprecher von Nissen & Velten. Unter anderem betreibt er den Podcast "Digitalisierung im Großhandel" und produziert das eNVenta-Magazin.

Oliver Meyer-van Raay ist Fachanwalt für IT-Recht in Karlsruhe, wo er für die Kanzlei Vogel & Partner tätig ist. Außerdem arbeitet er auch als Datenschutzbeauftragter. [Bild: Vogel & Partner]

Oliver Meyer-van Raay ist Fachanwalt für IT-Recht in Karlsruhe, wo er für die Kanzlei Vogel & Partner tätig ist. Außerdem arbeitet er auch als Datenschutzbeauftragter. [Bild: Vogel & Partner]

Es gibt vielleicht manche Daten, die man irgendwo verschlüsselt speichern kann, aber bei der Nutzung von Social Media-Plattformen hilft das nicht weiter. In unserem Umfeld sprechen wir ja überwiegend von Handelsunternehmen, für die Social Media auch Marketing-Plattformen sind. Ich kenne beispielsweise Werkzeughändler, die mit ihren Handwerkskunden per WhatsApp kommunizieren. Die melden sich dann, weil sie etwas auf der Baustelle benötigen und holen das dann ab oder bekommen es geliefert. Was lässt sich dazu sagen?

Es ist natürlich schwierig, da die datenschutzrechtliche Lage mit der Realität in Übereinstimmung zu bringen. Gleich geeignete EU-Alternativen gibt es in dem Bereich oft nicht und auch eine Verschlüsselung von Daten als flankierende Sicherheitsmaßnahme ist nur in bestimmten Situationen umsetzbar. Die Aufsichtsbehörden deuten zumindest an, dass sie sehen, dass Sie als Mittelständler hier an Grenzen stoßen. Dennoch macht es Sinn, sich zumindest eine Verteidigungsposition aufzubauen, indem man z.B. dokumentiert, dass man Alternativen geprüft und dass man die eigenen Interessen mit den Risiken für die Betroffenen abgewogen hat. Wenn ich ein Softwareprodukt nutze, mit dem zum Beispiel eine elektronische Personalakte geführt wird, ist das ja ungleich sensibler, als wenn ich einen Videokonferenzdienst für die tägliche Arbeit nutze. Zumindest als erste Verteidigungsposition gegenüber einer Aufsichtsbehörde können solche einzelfallbezogenen Überlegungen und Maßnahmen schon hilfreich sein.

Ich würde jetzt als juristischer Laie auch sagen, dass ein Unterschied darin besteht, ob ich Krankenversicherungs- oder Personalakten irgendwo verarbeiten lasse oder ob ich eine Social Media-Plattform nutze. Zumal der Besucher, der meine Social Media-Präsenz besucht, ja wissen dürfte, dass der Plattformbetreiber die Daten der Nutzer sammeln. Das ist also auch ein Akt, den der Besucher wissentlich vollzieht und das unterscheidet sich ja von Dingen, die im Hintergrund passieren könnten, die der Betroffene aber nicht durchschauen kann.

Das ist ein ganz wichtiger Aspekt, den Sie ansprechen. Die Datenschutz-Grundverordnung stellt den Aspekt der Transparenz ja ganz zentral in den Mittelpunkt vieler Vorschriften. Datenverarbeitungsvorgänge und Datenübermittlungen müssen legitimiert werden und müssen aber vor allem auch transparent für den Betroffenen sein, dessen Daten dort verarbeitet werden. Und richtig, jemand, der sich WhatsApp herunterlädt oder Facebook nutzt, der hat die Nutzungsbedingungen und die Datenschutzhinweise – theoretisch zumindest – auch schon mal gesehen oder zumindest die Möglichkeit dazu. Was im Online-Bereich auch noch als Alternative in Betracht kommt, ist eine Rechtfertigung der Datenübermittlung durch eine Einwilligung. Es ist noch nicht so lange her, da gab es eine Entscheidung des Bundesgerichtshofs zum Thema Einwilligungserfordernis bei Cookies. Das ist der Grund, warum Sie jetzt auf fast allen Webseiten ein „Cookie-Consent-Tool“ finden. Wenn ich also etwa die Einwilligung für die Nutzung von Google Analytics ohnehin einhole, kann ich diese Einwilligung auch noch erweitern um die Einwilligung der Übermittlung der Daten in ein unsicheres Drittland, nämlich die USA. Das wäre also eine alternative Rechtsgrundlage für den transatlantischen Datenverkehr.

Was würden Sie Unternehmen nach dem EuGH-Urteil also in einem ersten Schritt raten? Eine Bestandsaufnahme durchführen, wo überall im Unternehmen personenbezogene Daten fließen und gegebenenfalls auf amerikanische Server landen könnten?

Genau. Als zweites sollte man sich alternative Anbieter und Produkte mit Sitz in der EU anschauen. Wenn das nicht geht und man einen US-Anbieter nutzen muss, sollte man sicherstellen, dass dieser die Daten möglichst in einem Rechenzentrum innerhalb der EU verarbeitet. Bietet der Anbieter den Abschluss von Standartvertragsklauseln an, sollte man auch hiervon Gebrauch machen. Und dann schickt man dem Anbieter vielleicht noch den Fragenkatalog von Herrn Schrems als flankierende Maßnahme zu. Auch wenn man keine konkreten Antworten bekommt oder die Antwort aus Standard-Floskeln besteht, kann man jedenfalls nachweisen, dass man sich mit der Situation auseinandergesetzt hat. Das wäre zumindest ein erster Schritt, den die Aufsichtsbehörden sicher wohlwollend berücksichtigen würden. Grund zur Panik besteht nicht, aber man sollte die weitere Entwicklung natürlich im Auge behalten, wie gesagt, die Lage ist dynamisch.

Teil 1 des Gesprächs lesen Sie hier!

Oliver Meyer-van Raay ist Fachanwalt für IT-Recht in Karlsruhe, wo er für die Kanzlei Vogel & Partner tätig ist. Außerdem arbeitet er auch als Datenschutzbeauftragter.

Die im Interview gegebenen Empfehlungen entsprechen dem Stand von Mitte November 2020. Die Rechtslage und ihre Auslegung, etwa durch Datenschutzbehörden sind sehr dynamisch und unterliegen regelmäßig Änderungen.