EuGH: Datenübermittlung in die USA auf Privacy Shield Basis rechtswidrig

Der österreichische Jurist und Datenschutzaktivist Max Schrems war mit seiner Datenschutzklage vor dem Europäischen Gerichtshof (EuGH) gegen die Zulässigkeit der Übermittlung personenbezogener Daten von der EU in die USA teilweise erfolgreich. Teilweise heißt, dass zum einen die EU-US Privacy Shield Vereinbarung für rechtsunwirksam erklärt wurde, zum anderen jedoch die Standarddatenschutzklauseln gem. Art. 46 DSGVO (Standard Contractual Clauses – SCC) auch weiterhin Bestand haben.

Das am 16.07.2020 als Schrems II bezeichnete EuGH-Urteil (Rechtssache C-311/18 >> Presseerklärung) kommt zu dem Schluss, dass die Privacy-Shield Vereinbarung zwischen der EU und den USA den datenschutzrechtlichen Anforderungen der DSGVO nicht genügt. Insbesondere störten sich die EuGH-Richter daran, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf in die USA übermittelte Daten jederzeit zugreifen und sie verwenden dürfen. Dieses vorrangige Recht der US-Behörden könne und würde die EU-US Privacy Shield Vereinbarung nicht einschränken. Laut EuGH seien damit Eingriffe in die persönlichen Grundrechte möglich, was gegen EU Gesetzgebung und Verhältnismäßigkeitsgrundsätze verstößt. Damit setzt der EuGH den Durchführungsbeschluss der EU-Kommission, auch Angemessenheitsbeschluss genannt, vom 12. Juli 2016 außer Kraft.

Sofortige Einstellung unzulässiger Datentransfers

Für die Praxis bedeutet die Entscheidung, dass für Unternehmen die Übermittlung personenbezogener Daten in die USA auf Grundlage des Privacy Shield Abkommens unzulässig. Diese Übermittlungen müssen mit sofortiger Wirkung eingestellt werden. Das betrifft unter anderem auch Auftragsverarbeiter und Online-Anbieter wie Facebook, WhatsApp, Google. In einem NOYB Beitrag, Max Schrems ist dort Ehrenvorsitzender,- ist diese Problematik gut und verständlich erläutert. Der Beitrag geht auch auf die Datenübermittlung in Drittländer gem. der Ausnahmeregelung Art. 49 DSGVO ein, wonach lediglich gelegentliche Datentransfers mit der expliziten Einwilligung Betroffener durchführbar sind, oder wenn Verträge eine Übermittlung zwingend erforderlich machen.

Standarddatenschutzklauseln sind kein alternativer Freibrief

Die Datenübermittlung in Drittländer, die unter die Standarddatenschutzklauseln (SCC) gem. Art. 46 DSGVO fällt, ist hingegen weiterhin rechtmäßig, sofern diese SCC in unveränderter Form angewendet werden. Wie der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Prof. Kugelmann ausführt, können sich Verantwortliche allein mit der Verwendung der SCC nicht von ihren Prüfpflichten freikaufen: „Der Ball liegt nun im Feld der Verantwortlichen. Sie kommen nicht umhin, sich mit den nationalen Gesetzen des Drittlandes, in welche sie Daten übermitteln möchten, intensiv auseinanderzusetzen. Unterliegen die Datenempfänger gesetzlichen Regeln ihres Heimatlandes, die gegen das europäische Datenschutzrecht verstoßen, können sie die vertraglichen Regelungen der Standardvertragsklauseln ggf. nicht einhalten. In diesem Fall muss der Verantwortliche in der EU die Datenübermittlung dorthin aussetzen, da er sonst einen Datenschutzverstoß begeht.“

Auf Verantwortliche, die Daten in Drittstaaten übermitteln und die sich bisher auf das Privacy Shield Abkommen verlassen haben, kommt unter Umständen also viel Arbeit zu.

Autor: Daniela Maria Hübsch

Datenschutz für Vermieter

Wohnraum-Mietverhältnisse sind datenintensiv. Viele der Mieterdaten, die sich bei Vermietern im Laufe der Jahre ansammeln, dürfen gar nicht oder nicht mehr gespeichert sein beziehungsweise verarbeitet werden. Diesbezügliche Mieter-Beschwerden bei den zuständigen Aufsichtsbehörden für Datenschutz häufen sich. Beim Hamburgischen Beauftragten für Datenschutz und Informationssicherheit gibt es bereits eine eigene Abteilung für Beschwerden und Anfragen rund um Wohnraumvermietungen. Hier ein kleiner Überblick, worauf Vermieter achten sollten.  

Es bringt keinen wirklichen Vorteil, trotzdem ist es immer wieder zu beobachten, dass viele Vermieter erheblich mehr Daten als unbedingt notwendig zu Mietinteressenten, Mietern und deren Familienangehörigen erheben und sammeln. Derlei Datenfriedhöfe sind unzulässig. Dieser Grundsatz der Datensparsamkeit oder Datenminimierung ist in Art. 5 Abs. 1 lit. c DSGVO geregelt. Neben der Datensparsamkeit dürfen nur personenbezogene Daten erhoben werden, wenn gem. Art. 5 Abs. 1 lit. b DSGVO ein konkreter Zweck für die Erhebung vorliegt. Das können vorvertragliche oder auch vertragliche Verhandlungen, etwa der Mietvertrag sein, wofür Daten wie beispielsweise Name, Geburtsdatum oder die aktuelle Meldeanschrift notwendig sind. Konkret heißt in dem Zusammenhang, dass die Datenerhebung einen gegenwärtigen Hintergrund hat. Es dürfen also nicht Daten auf Vorrat erhoben werden, weil sie vielleicht irgendwann einmal gebraucht werden könnten.

Rechtsgrundlagen zur Datenerhebung

Auch die Rechtsgrundlagen für die Datenerhebung-, Speicherung und Verarbeitung müssen gegeben sein.  Für die Vermietpraxis sind wesentlich –

  • Die Einwilligung gem. Art 6 Abs. 1 lit. a DSGVO – Wenn die Person, dessen Daten verarbeitet werden soll, der Datenverarbeitung zugestimmt hat
  • Die Vertragserfüllung gem. Art. 6 Abs. 1 lit. b DSGVO – Wenn die Verarbeitung für die Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist und die Person, dessen Daten verarbeitet werden, Vertragspartner ist oder werden soll
  • Eine Rechtspflicht gem. Art. 6 Abs. 1 lit. c DSGVO – Wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung des verantwortlichen Vermieters erforderlich ist
  • Das berechtigte Interesse gem. Art. 6 Abs. 1 lit. f DSGVO – Wenn die Verarbeitung zur Wahrung berechtigter Interessen des verantwortlichen Vermieters oder eines Dritten erforderlich ist, sofern nicht schutzwürdige Interessen der Person, dessen Daten verarbeitet werden, überwiegen

Name und Adressdaten reichen fürs Erste

Für eine Vorauswahl zur Wohnungsbesichtigung reichen der Name und die Kontaktdaten der Mietinteressenten aus. Spätestens bei der Besichtigung müssen die Interessen gem. Art. 13 DSGVO über Zweck, Verarbeitungsgrund und Verwendung ihrer Daten informiert werden. Dass Vermieter dabei ungefragt manchmal selbst hochsensible Daten erhalten, darf nicht ausgenutzt werden. Solche Informationen und eventuelle Angaben zu rassischer oder ethnischer Herkunft, weltanschaulicher Überzeugung sind sofort zu löschen. Letztere gehören sogar zu den besonderen Kategorien gem. Art 9 Abs. 1 und dürfen nur in Ausnahmefällen erhoben werden.

Freiwillige vor für die Mietinteressentenliste

Willigt ein Mietinteressent in die Speicherung seiner Daten ein, beispielsweise weil es eine Interessentenliste gibt, muss nicht gelöscht werden. Die Einwilligung muss aber nach Art. 7 DSGVO freiwillig erfolgen. Die Einwilligung kann jederzeit gem. Art. 7 Abs. 3 DSGVO widerrufen werden, der Mietinteressent muss über die Möglichkeit zum Widerruf informiert werden.

Persönliche Hintergrundinformationen bei der Mieterbewerbung

Zwar gehören Kontoauszüge, Gehaltsbescheinigungen, eine Schufa-Auskunft oder Mieterselbstauskunft nicht zu den zwingend erforderlichen personenbezogenen Daten für einen Mietvertrag, aber der Vermieter hat ein berechtigtes Interesse zu erfahren, ob sein zukünftiger Mieter solvent ist. Daher darf er nach diesen Daten gem. Art 6 Abs. 1 lit. f DSGVO fragen. Allerdings ist auch hier der richtige Zeitpunkt, die Verhältnismäßigkeit, das Datenminimierungsprinzip und die tatsächliche Erforderlichkeit zu beachten. Bankdaten beispielweise  werden frühestens bei Abschluss eines Mietvertrages benötigt und das auch nur, wenn ein Lastschrifteinzugsverfahren für die monatlichen Mietzahlungen vereinbart wird.

Notwendige Daten behalten, umfassend Auskunft erteilen

Die zur Vertragserfüllung erforderliche Erhebung von Namen, Meldeanschrift, Geburtsdatum braucht gem. Art. 6 Abs. 1 lit. b DSGVO keine Einwilligung. Alle anderen Daten, die nicht für die Vertragserfüllung benötigt werden und für die es keine gesetzlich vorgeschriebene Aufbewahrungspflicht gibt, sind nach Zweckerreichung zu löschen. Das heißt, dass beispielsweise Daten wie Gehaltsbescheinigungen, Bonitätsauskünfte, die Mieterselbstauskunft oder eine Vormieterbescheinigung, die im Rahmen der Mieterbewerbung eine legitime Rolle gespielt haben, vernichtet werden müssen. Zusammen mit dem Mietvertrag sollten Vermieter ihren Mietern umfassende Informationen gemäß Art. 13 DSGVO zu der Verwendung und Weitergabe ihrer Daten geben.

Datenweitergabe an Dritte

Die Datenweitergabe braucht ebenfalls immer eine Rechtsgrundlage. Beauftragte Handwerker sind Dritte gem. Art.4 Abs. 10 DSGVO. Zur Auftragsausführung benötigen sie Namen und Adresse. Zur zügigen Terminvereinbarung sind Telefondaten nützlich. Naheliegend wäre es hier, ein berechtigtes Interesse als Rechtsgrund für die Weitergabe anzunehmen. Aber Vorsicht, das sehen nicht alle so. Für die Berliner Beauftragte für Datenschutz und Informationssicherheit gibt es kein berechtigtes Interesse, die Telefonnummer eines Mieters ohne dessen Einwilligung weiterzugeben. Schließlich könne eine Terminvereinbarung ja auch auf anderem Weg oder über die Hausverwaltung/den Vermieter vorgenommen werden. Nach Auffassung des Bayerischen Landesamtes für Datenschutzaufsicht hingegen besteht jedoch auch für die Weitergabe der Telefonnummern der Mieter ein berechtigtes Interesse gem. Art. 6 Abs.1 lit. f DSGVO (FAQ Rubrik Wohnungswirtschaft). Wer auf Nummer sicher gehen möchte, lässt sich eine Einwilligung seiner Mieter zur Weitergabe der Telefondaten an Handwerker geben.

Sinnvolle Mietvertragsergänzung bei externer Hausverwaltung

Steuerberater, Rechtsanwälte, Wirtschaftsprüfer sind ebenfalls Dritte im Sinne der DSGVO. Da sie Berufsgeheimnisträger sind, besteht bei ihrer Inanspruchnahme gem. § 29 BDSG keine Verpflichtung zur Information der betroffenen Mieter. Auch wenn Mieter im Rahmen einer Überprüfung der jährlichen Neben- und Betriebskostenabrechnung Ablesebelege anderer Parteien im Haus sehen wollen, handelt es sich um eine Datenweitergabe an Dritte.  Vermieter müssen die Einsicht gewähren. Sie dürfen sich gegenüber den anderen Mietern auf ihr berechtigtes Interesse gem. Art. 6 Abs.1 lit.f DSGVO berufen. Die Einwilligung der übrigen Mieter muss nicht vorliegen, aber sie müssen informiert werden. Ist eine Hausverwaltung eingesetzt, empfiehlt es sich, die Information hierzu und die damit verbundene Weitergabe von Mieterdaten im Mietvertrag oder als Ergänzung zum Mietvertrag, anzugeben. Die Weitergabe von Mieterdaten an andere Mieter, das hauseigene Mietermagazin, für Jubiläen oder Gemeinschaftsveranstaltungen ist hingegen nur nach vorheriger Einwilligung durch die betreffenden Mieter erlaubt.

Datenweitergabe an Auftragsverarbeiter

Bei den turnusmäßigen Tätigkeiten von Ablesediensten handelt es sich um Datenverarbeitungen, deren Rechtsgrundlage die Vertragserfüllung gem. Art.6 Abs. 1 lit.b DSGVO ist. Vermieter haben eine vertraglich geregelte Abrechnungspflicht und um diese zu erfüllen, müssen sie regelmäßig Verbrauchsdaten bei ihren Mietern erheben. Die Firmen, welche mit der Verbrauchserfassung beauftragt werden, sind Auftragsverarbeiter gem. Art. 28 DSGVO. Mit ihnen müssen schriftliche Auftragsdatenverarbeitungsverträge vereinbart sein.

Informationspflichten bei der Datenerhebung

Art. 13 und Art. 14 DSGVO regeln die Informationspflichten beispielsweise darüber, welche Mieterdaten zu welchen Zwecken und Rechtsgründen verarbeitet werden. Unter anderem muss die Datenquelle genannt, ob und wie lange die Daten gespeichert und an wen die Daten gegebenenfalls weitergegeben werden. Der Verantwortliche und –sofern vorhanden-, der Datenschutzbeauftragte sind genauso anzugeben wie der Hinweis auf das Recht zur Auskunft, zum Widerspruch, zur Löschung und zur Beschwerde bei der zuständigen Aufsichtsbehörde.

Auskunfts- und weitere Betroffenenrechte

Will ein Mieter wissen, was alles über ihn gespeichert ist, hat er gem. Art. 15 DSGVO einen Rechtsanspruch auf umfassende Information, die überdies gem. Art. 12 Abs. 3 innerhalb eines Monat zu erteilen ist. Darüber hinaus müssen Vermieter weitere Betroffenenrechte ihrer Mieter wie  das Recht auf Berichtigung gem. Art. 16 DSGVO, das Recht auf Löschung gem. Art. 17 DSGVO, das Recht auf Einschränkung der Verarbeitung gem. Art. 18 DSGVO, das Recht auf Datenübertragbarkeit gem. Art. 20DSGVO, das Widerspruchsrecht gem. Art. 21 DSGVO, das Recht, keiner automatisierten Entscheidung unterworfen zu sein gem. Art. 22 DSGVO

Welche Löschfristen sind zu beachten

Grundsätzlich sind alle personenbezogenen Daten zu löschen, sobald der Zweck, für den sie erhoben wurden, gem. Art 17 Abs.1 lit.a entfällt oder die einmal erteilte Einwilligung gem. Art. 17 Abs.1 lit. b widerrufen wird. Daten, die sich auf Vermieteransprüche beziehen, sind gem. § 195 BGB wenigstens 3 Jahre aufzubewahren, bei gerichtsanhängigen Verfahren mindestens bis zum rechtskräftigen Verfahrensabschluss. Für Betriebs- und Nebenkostenabrechnungen sind die Aufbewahrungsfristen gem. § 147 AO, 10 Jahre, zu beachten.

Verarbeitungsverzeichnis auch für private Vermieter

Gem. Art. 30 Abs. 5 muss auch bei weniger als 250 Mitarbeitern ein Verarbeitungsverzeichnis  dann geführt werden, wenn Datenverarbeitungen mehr als nur gelegentlich vorkommen. Hin und wieder mal eine Email, weil der Wasserhahn tropft oder der Gärtner hereingelassen werden muss, geht vielleicht als gelegentlich durch. Aber spätestens bei der Buchhaltung, den monatlichen Mietzahlungen, Zahlungen an die Versorger geht es regelmäßig zu. Von daher empfiehlt es sich auch für private oder Vermieter mit nur 1 oder 2 Wohnungen, ein Verarbeitungsverzeichnis gem. Art. 30 DSGVO zu führen.

Technische und organisatorische Maßnahmen TOM

TOM steht für die Sicherheit der Datenverarbeitung gem. Art. 32 DSGVO. Die datenschutzrechtlich Verantwortlichen und Auftragsverarbeiter müssen  „unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung […] geeignete technische und organisatorische Maßnahmen“ umsetzen, um ein angemessenes Schutzniveau zu gewährleisten. Das fängt an bei der Abschließbarkeit der Bürotür, für Dritte uneinsehbar angeordnete Bildschirme, abschließbare Aktenschränke und aufgeräumte Schreibtische, geht über verschlüsselte PC oder Firmenhandys, bis hin zu betrieblichen Arbeitsanweisungen für den datenschutzkonformen Umgang mit personenbezogenen Daten, um nur einige wenige Stichworte zu nennen. Alle diese Maßnahmen haben gem. Art. 30 DSGVO zum Ziel-

  • Die Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • Die Gewährleistung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der System und Dienste
  • Die Gewährleistung von Verfügbarkeit und den Zugang zu den personenbezogenen Daten bei einem technischen oder physischen Zwischenfall
  • Ein Verfahren zur Überprüfung, Bewertung und Evaluierung der Wirksamkeit aller eingesetzten TOM.

Datenschutz ist Chefsache

Die Geschäftsführung eines Unternehmens steht letztendlich immer in der Verantwortung für die Einhaltung der Datenschatz-Vorschriften. Wenn in einem Unternehmen mindestens 20 Personen mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind, dann muss gemäß Art. 37 DSGVO in Verbindung mit § 38 BDSG ein Datenschutzbeauftragter bestellt werden.

Autor: Daniela Maria Hübsch

Der Beitrag ist auch in dem Fachmagazin PRev Revisionspraxis, Ausgabe 3/2020 www.prev.de erschienen

Die Webseiten-Datenschutzerklärung und Aktualisierungen

Der Bundesverband der Datenschutzbeauftragten Deutschlands e.V. (BvD) bemängelt in seiner Presseerklärung vom 28. Januar unter anderem die häufig fehlerhaften Datenschutzerklärungen vieler Webseitenbetreiber. Gerade kleine Firmen ohne einen Datenschutzbeauftragten scheinen hier regelmäßig überfordert zu sein. Je nach Angebot und Ausgestaltung kann es ziemlich komplex sein, eine individuell passende und rechtskonforme Datenschutzerklärung für die eigene Webseite zu erstellen. Nachfolgend erhalten Sie einen Überblick zu einigen Anforderungen und Tipps für die Erstellung einer Webseiten-Datenschutzerklärung.   „Die Webseiten-Datenschutzerklärung und Aktualisierungen“ weiterlesen

Teure Angelegenheit DSGVO Verstoß

Die ersten Bußgeldbescheide wegen DSGVO-Verstößen sind raus. Wie die Datenschutzbehörden der Bundesländer dem Handelsblatt mitteilten, sind aktuell noch viele weitere Ermittlungsverfahren anhängig, 85 davon alleine beim Bayerischen Landesamt für Datenschutzaufsicht. Bisher haben bereits 41 Firmen in Deutschland einen Bußgeldbescheid aufgrund Verletzung der Datenschutzgrundverordnung erhalten.

Bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes können die Bußgelder betragen. Und obwohl die Datenschutzbeauftragten der Länder bei der Verhängung von Bußgeldern ihren Rahmen noch nicht voll ausschöpfen beziehungsweise vielfach lediglich erst einmal eine Verwarnung aussprachen, dürften die Strafen für die betroffenen Unternehmen auch schon jetzt spürbar sein. „Teure Angelegenheit DSGVO Verstoß“ weiterlesen

DSGVO – die Behörden prüfen

In den letzten Wochen hat es immer wieder Meldungen gegeben, dass die Datenschutzaufsichtsbehörden der Bundesländer ihren Kontrollaufgaben nicht gewachsen sind. Fakt ist, dass schon zu Zeiten des BDSG-aF kontrolliert wurde. Und nachdem sich inzwischen die erste Aufregung um die DSGVO seit ihrem Inkrafttreten am 25. Mai gelegt hat, ist mit Prüfungen durch die Behörden zu rechnen. „DSGVO – die Behörden prüfen“ weiterlesen

Stellung des Datenschutzbeauftragten

Welche Stellung hat der Datenschutzbeauftragte?

Die Frage „Ist der Datenschutzbeauftragte nun eigentlich Auftragsverarbeiter oder selber Verantwortlicher und welche Position hat er?“ kommt öfter. Die Rechtsstellung des Datenschutzbeauftragten ist in Art. 38 DSGVO und § 6 Abs. 4 S. 2 und 3 (i.V.m. § 38 Abs. 2) BDSG-nF geregelt. Daraus folgt, dass der Datenschutzbeauftragte immer als Verantwortlicher handelt. „Stellung des Datenschutzbeauftragten“ weiterlesen

Datenschutz als Chance

Seit 25. Mai 2018 muss die neue europäische Datenschutz-Grundverordnung (EU-DSGVO) umgesetzt werden. In allen EU-Mitgliedsstaaten sollen „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“ (Art 4 Nr. 1 DSGVO), künftig einheitlich erfasst, verarbeitet, gespeichert, verwendet und gelöscht werden. Die Verordnung gilt für sämtliche Unternehmen, die in der EU tätig sind und Daten von EU-Bürgern verarbeiten.
„Datenschutz als Chance“ weiterlesen

Datenschutz in der Arztpraxis fängt beim Empfang an

Besonders in kleineren Arztpraxen ist es manchmal schwierig, den Empfangs-, Warte-, und Behandlungsbereich räumlich so voneinander zu trennen, dass die notwendige Diskretion jederzeit gewahrt ist. Und selbst dort, wo eigentlich ausreichend Platz ist, beweisen Praxis-Interieur-Designer nicht immer viel Sensibilität für die Bedürfnisse der Patienten. „Datenschutz in der Arztpraxis fängt beim Empfang an“ weiterlesen