CLOUD Act: Das Aus für den Datenschutz?

Jahrelang stritt Microsoft gegen die US-Regierung, um zu verhindern, dass die Regierung den Konzern zwingt, Daten herauszugeben, die auf Servern außerhalb der USA gespeichert werden. Eigentlich sollte der Supreme Court darüber entscheiden und dieses erwartete Urteil wurde bereits als “Entscheidung über die Zukunft unserer Privatsphäre” bezeichnet (so etwa SPIEGEL ONLINE). Nun ist die US-Regierung durch ein Gesetz namens CLOUD Act (Clarifying Lawful Overseas Use of Data Act) dem Supreme Court zuvorgekommen: Dieser erklärte kurzerhand den Rechtsstreit für erledigt. Das Gesetz hat weitreichende Auswirkungen auf den Zugriff der US-Behörden auf Daten, welche außerhalb der USA gespeichert werden. Besonders prekär ist dabei, dass das Gesetz als Annex zum Haushaltsgesetz durchgewunken wurde. Eine Debatte darüber fand kaum statt.

Das Gesetz sieht den ungehinderten Zugriff der US-Behörden auf Daten außerhalb der USA vor, wenn US-Unternehmen diese Daten kontrollieren. Damit wird genau das wahr, was Microsoft verhindern wollte. Das Gesetz sieht weiter die Möglichkeit bilateraler Abkommen vor, welche den Datenzugriff untereinander regeln. Nur mit einem solchen Abkommen wird es möglich sein, Rechtsmittel und -kontrollen für Nicht-US-Bürger zu implementieren. Die EU hat, obwohl sie sich massiv gegen den Datenzugriff der US-Behörden auf europäische Server in dem Microsoft-Verfahren eingesetzt hatte, bereits Interesse an einem solchen Abkommen signalisiert, ja einen ähnlichen Vorschlag sogar selbst unterbreitet.

Der CLOUD Act ist eine Katastrophe für den Datenschutz. Gerade jetzt, wo am 25. Mai die Datenschutzgrundverordnung (DSGVO) in Kraft tritt und mit welcher der CLOUD Act nicht zu vereinbaren ist, wie zutreffend Kollege Dennis Jansen feststellt. Der EU wird allerdings nichts anderes übrig bleiben, als solch ein Abkommen zu schließen: Möchte ein Staat seine Bürger nicht ganz rechtlos stellen, wird er mit dem CLOUD Act nun gezwungen, ein Abkommen mit den USA zu schließen. Dann kann er sich zwar auch den Zugriff auf Daten in den USA gewähren lassen, gibt aber zugleich den Datenschutz im eigenen Land auf.

Dabei ist der Datenzugriff, der mit internationaler Kriminalität und Terrorismus gerechtfertigt wird, überhaupt nicht nötig: Dafür gibt es jetzt schon das Verfahren über die Rechtshilfe. Diese hätten nur beschleunigt werden müssen. Dann gäbe es aber ein rechtsstaatliches Verfahren.

Datenschutzbeauftragter: Ist der “Beschäftigte” “beschäftigt”?

Große Unsicherheit besteht derzeit darüber, ab wie vielen Personen im Unternehmen ein Datenschutzbeauftragter bestellt werden muss.

Nach Art. 38 BDSG-neu müssen alle Unternehmen bzw. Sonstigen Verantwortlichen einen Datenschutzbeauftragten bestellen, wenn sie “in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen”.

Hier der Art. 38 BDSG-neu im Wortlaut:

§ 38 Datenschutzbeauftragte nichtöffentlicher Stellen
(1) 1 Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. 2Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

Die Regel scheint klar: Wenn 10 Personen erreicht sind, die ständig automatisiert Daten verarbeiten, so benötigt man einen Datenschutzbeauftragten. Aber wen zählt man mit? Dies ist weniger deutlich. Eines ist klar: Im Gegensatz zu der bisherigen Regelung des § 4f BDSG wird nicht mehr danach unterschieden, ob die Daten automatisiert oder “auf andere Weise” verarbeitet werden. Nur, wenn die 10 Personen Daten auch automatisiert verarbeiten, ist ein Datenschutzbeauftragter nötig. Automatisiert ist weit zu verstehen und umfasst letztlich jede Form von Datenverarbeitungsanlagen. Immer wenn ein Computer, Smartphone etc. im Spiel sind, liegt also eine automatisierte Verarbeitung vor. Anders als häufig geschrieben ist die Reinigungskraft, die lediglich den Papierkorb ausleert, nicht mitzuzählen; sie verarbeitet Daten nicht mit einer Datenverarbeitungsanlage.

Wer ist “beschäftigt”?

Streit herrscht aber darüber, wer “beschäftigt” ist. Muss der Geschäftsführer, müssen die Gesellschafter mitgezählt werden?

Nach derzeit noch geltendem Recht, dem § 4f BDSG, ist der Geschäftsführer und anderes Leitungspersonal nicht mitzuzählen, den sie sind “Beschäftigende”, aber keine “Beschäftigte” (vgl. etwa Gola/Klug, NJW 2007, 118 (120)). Aber gilt dies auch noch mit dem Inkrafttreten des § 38 BDSG-neu?

Argumente gegen das Mitzählen des Geschäftsführers und der Gesellschafter

Dafür spricht, dass auch der § 38 BDSG-neu eine deutsche Regelung ist. Der Regelungsgeber hat sich also nicht geändert. In der EU konnte man sich nicht auf eine Regelung, einen Datenschutzbeauftragten ab einer bestimmten Beschäftigtenanzahl zu bestellen, einigen, da manchen Mitgliedstaaten das Konzept des Datenschutzbeauftragten fremd war. Eine Regelung hat man europaweit daher nur für besonders gefahrgeneigte Verarbeitungsvorgänge getroffen und in Art. 37 DSGVO niedergeschrieben. Deutschland hingegen hat von der Öffnungsklausel Gebrauch gemacht und hält an der Notwendigkeit, einen Datenschutzbeauftragten ab einer bestimmten Anzahl von Mitarbeitern zu bestellen, fest. Dabei ist die Regelung des § 38 BDSG-neu vom WOrtlaut her mit der bisherigen Regelung des § 4f BDSG fast identisch. In der Gesetzesbegründung heißt es auch ausdrücklich, dass die Regelung “inhaltlich an den bisherigen § 4f Absatz 1 Satz 4 BDSG a. F. angelehnt” ist (vgl. BT-Drucks. 18/11325, S. 107). Danach müsste die bisherige Meinung eigentlich übertragbar sein.

Für eine Beibehaltung dahingehend, dass zumindest der Geschäftsführer nicht mitgerechnet wird, ebenso wenig Gesellschafter, spricht auch der § 28 Abs. 8 BDSG-neu. Dieser definiert den “Beschäftigten” im Sinne des Bundesdatenschutzgesetzes:

“8) Beschäftigte im Sinne dieses Gesetzes sind:

1.Arbeitnehmerinnen und Arbeitnehmer, einschließlich der Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher,

2.zu ihrer Berufsbildung Beschäftigte,

3.Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden),

4.in anerkannten Werkstätten für behinderte Menschen Beschäftigte,

5.Freiwillige, die einen Dienst nach dem Jugendfreiwilligendienstegesetz oder dem Bundesfreiwilligendienstgesetz leisten,

6.Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten,

7.Beamtinnen und Beamte des Bundes, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende.”

Argumente gegen das Mitzählen des Geschäftsführers und der Gesellschafter

Also alles klar? Können sich Unternehmen schon freuen, und Geschäftsführer und Gesellschafter außen vor lassen? Damit würden sicher einige kleinere Betriebe unter die Schwelle zur Bestellung eines Datenschutzbeauftragten kommen. Nein, ganz so einfach ist es leider nicht.

Gerade dem letzten Argument kann man entgegenhalten, dass § 38 BDSG-neu das Verb “beschäftigt” und § 26 Abs. 8 BDSG-neu das Substantiv “Beschäftigter” verwendet. Ist damit dann dasselbe gemeint? Weiter spricht die Formulierung “Der Verantwortliche benennt, soweit er beschäftigt” von einer Abstrahierung des Verantwortlichen. Schließlich ist es unerheblich für das Risiko, das mit der Datenverarbeitung einhergeht, ob auf die Daten Geschäftsführer, Gesellschafter oder einfache Mitarbeiter zugreifen. Umso mehr Personen automatisiert verarbeiten, desto größer das Risiko. So scheinen es auch die meisten Aufsichtsbehörden zu sehen, welche die Geschäftsführer und Gesellschafter offenbar mitzählen.

Hier wird wohl erst eine Gerichtsentscheidung Klarheit schaffen. Der EuGH ist hier aber nicht berufen, da es sich um eine deutsche Regelung handelt, die auch nicht auf eine Richtlinie zurückgeht.

Sicherster Weg: Zählen Sie mit!

DSGVO: Handreichung des BayLDA für kleine Unternehmen und Vereine

64 Tage: So lange haben Unternehmen noch Zeit, sich auf die Anwendbarkeit der Datenschutzgrundverordnung (DSGVO) vorzubereiten. Trotz der langen Übergangszeit von zwei Jahren sind viele Unternehmen jetzt erst dabei, die entsprechenden Maßnahmen zu ergreifen. Dies zeigt auch die anwaltliche Praxis von uns Datenschutzanwälte, die wir uns derzeit vor Anfragen nicht mehr “retten” können.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat nun Handreichungen für kleine Unternehmen und Vereine veröffentlicht, die diese bei der Umsetzung der Datenschutzmaßnahmen unterstützen sollen.

Arztpraxen

Sie enthalten auch überraschende Äußerungen der Datenschutzbehörde: So soll in Arztpraxen mit weniger als 10 Mitarbeitern, die ständig automatisiert Daten verarbeiten, nach Ansicht des BayLDA kein Datenschutzbeauftragter notwendig sein. Darüber kann man aber trefflich streiten: Art. 37 DSGVO sieht vor, dass ein Datenschutzbeauftragter auch dann bestellt werden soll, wenn

c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Unklar ist, was unter Kerntätigkeit zu verstehen ist. Bei Ärzten ist zwar die Kerntätigkeit die Behandlung von Patienten, man hätte aber durchaus argumentieren können, dass im Rahmen dieser Behandlung ja auch die besonderen Kategorien personenbezogener Daten in Form von Gesundheitsdaten anfallen, sodass sie auch bei weniger als 10 Personen unter die Verpflichtung zur Bestellung eines Datenschutzbeauftragten fallen. Dies sieht das BayLDA offenbar nicht so.

Auch eine Datenschutz-Folgenabschätzung soll bei Arztpraxen nicht standardmäßig erforderlich sein. Art. 35 Abs. 3 DSGVO sieht vor:

(3) Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:

a) (…)

b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder (…)

Das BayLDA vertritt die Auffassung, dass “auch bei Gesundheitsdaten nicht immer ein hohes Risiko bei der Datenverarbeitung” bestehe. Auch dies kann man anders sehen.

 Steuerberater

Auch Steuerberater fallen laut BayLDA nicht unter Art. 37 Abs. 1 lit. c DSGVO, obwohl auch diese im Rahmen der Lohnabrechnungen besondere Kategorien personenbezogener Daten verarbeiten in Form der religiösen Überzeugung (Art. 9 Abs. 1 DSGVO).

Verpflichtung auf das Datengeheimnis unter der DSGVO

Die Datenschutzgrundverordnung (DSGVO), die am 25.05.2018 weitestgehend das bisherige Bundesdatenschutzgesetz ablösen wird, kennt keine Vorschrift, die die den Verantwortlichen (unter dem BDSG: “verantwortliche Stelle“) ausdrücklich verpflichtet, seine Mitarbeiter auf das Datengeheimnis zu verpflichten, wie dies aktuell § 5 BDSG vorsieht.

Dennoch rate ich dazu, auch unter Geltung der Datenschutzgrundverordnung eine solche Verpflichtung vorzunehmen.

Der Grund liegt in Art. 24 DSGVO:

Artikel 24 Verantwortung des für die Verarbeitung Verantwortlichen

(1) Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.
(2) Sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht, müssen die Maßnahmen gemäß Absatz 1 die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen.

Der Verantwortliche muss also organisatorische Maßnahmen umsetzen, damit die Datenverarbeitung gemäß der Datenschutzgrundverordnung erfolgt.

Dazu gehört meines Erachtens auch eine entsprechende Belehrung, die früher über § 5 BDSG erfolgte.

Empfehlung: Verpflichten Sie auch Ihre Mitarbeiter unter der DSGVO auf das Datengeheimnis. Verwenden Sie jetzt schon Verpflichtungserklärungen, welche sowohl die Vorschriften des BDSG also auch der DSGVO zitieren. Ab dem 25.05.2018 fallen die alten Vorschriften des BDSG dann weg.

Und achten Sie darauf, dass die Strafvorschriften in Zukunft in § 42 BDSG n.F. und die Bußgeldvorschriften in § 43 BDSG n.F. geregelt sind, nicht mehr wie bisher in § 44 (Strafvorschriften) und § 43 (Bußgeldvorschriften).

Bundeskanzlerin kritisiert Grundsatz der Datensparsamkeit

§ 3a BDSG beinhaltet des Grundsatz der Datensparsamkeit. Es sollen so wenig personenbezogene Daten wie möglich erhoben, verarbeitet und genutzt werden. Auch die am 25.05.2018 das BDSG ersetzende und in der gesamten Europäischen Union geltende Datenschutzgrundverordnung (DSGVO) sieht dieses Prinzip in Art. 5 Abs. 1 lit. c DSGVO vor. Dort heißt das Prinzip “Datenminimierung”.

Mitglieder der Bundesregierung haben dieses Prinzip in letzter Zeit des Öfteren als nicht mehr zeitgemäß bezeichnet. Nun hat auch die Bundeskanzlerin den Grundsatz der Datensparsamkeit beim IT-Gipfel in Saarbrücken in Frage gestellt. Das Prinzip der Datensparsamkeit könne heute nicht die generelle Leitschnur sein für die Entwicklung neuer Produkte, so Merkel. Die Politik dürfe die Regeln des Datenschutzes “nicht so restriktiv machen, dass das Big-Data-Management dann doch nicht möglich wird”.

In einem hat die Bundeskanzlerin recht: Big Data ist mit der Sammlung unzähliger Daten, bei denen man bei der Erhebung noch gar nicht weiß, für was man die Daten benutzt, ist mit dem sehr restriktiven deutschen und bald auch vollständig harmonisierten europäischen Datenschutzrecht nur schwer absolut rechtskonform zu realisieren. Allerdings ist gerade die unbeschränkte Datensammlung und die Verknüpfung von Daten besonders gefährlich für das Allgemeine Persönlichkeitsrecht, da der Betroffene oft nicht abschätzen kann, welche Daten erhoben werden und wie sie verknüpft werden. Gerade die Verknüpfung von vermeintlich “harmlosen” Daten kann dazu führen, dass die Daten hochsensibel werden und umfassende Rückschlüsse auf das Leben der Betroffenen zulassen. Der Grundsatz der Datensparsamkeit (BDSG) bzw. das Prinzip der Datenminimierung (DSGVO) sollte daher unbedingt erhalten bleiben.