DE

Privacy Shield 2.0 – Versuch Nr. 3 mit unklarem Ausgang

Das Data Privacy Framework – oder Privacy Shield 2.0 – ist nach der Safe-Harbor-Regelung und dem Privacy Shield der dritte Anlauf für ein Datenschutzabkommen zwischen der EU und den USA. Gemäss der europäischen Datenschutzverordnung EU-DSGVO soll mit dieser neuen Regelung der Schutz personenbezogener Daten, die aus der EU in die USA übertragen werden, sichergestellt werden.

Das Abkommen wurde notwendig, da der Europäische Gerichtshof (EuGH) die Vorgängerabkommen in den sogenannten „Schrems-Urteilen“ als ungültig erklärt hatte. Die EU hat das Data Privacy Framework im Juli 2023 per Angemessenheitsbeschluss angenommen. Im Data Privacy Framework verpflichten sich die USA, das Datenschutzniveau von der EU in die USA übertragener personenbezogener Daten zu verbessern. Durch den Angemessenheitsbeschluss der EU vom 10. Juli 2023 erklärt die EU-Kommission das Datenschutzniveau der in die USA übertragenen personenbezogenen Daten für angemessen und den Vorgaben der EU-DSGVO für die Datenübertragung in ein Drittland entsprechend.

Damit soll die seit den Schrems-Urteilen herrschende Rechtsunsicherheit beendet werden. Der Angemessenheitsbeschluss dient ab dem Zeitpunkt der Annahme durch die EU-Kommission als Grundlage für die Datenübermittlung personenbezogener Daten an zertifizierte Unternehmen oder Organisationen der USA. Die Übertragung personenbezogener Daten an ein US-Unternehmen, das am DPF teilnimmt und zertifiziert ist, bedarf keiner weiteren Sicherheitsmassnahmen oder zusätzlicher Standardvertragsklauseln mehr. Ob das neue Abkommen der erwarteten rechtlichen Prüfung durch den Europäischen Gerichtshof tatsächlich standhalten wird, ist bisher noch nicht abzusehen.

Alles gut also? Naja, für den Moment gibt es damit wieder eine Rechtsgrundlage für die Datenübertragung in die USA. Aber nach unserer Einschätzung dürfte der Angemessenheitsbeschluss nicht halten. Und damit stehen wir nicht alleine.  Unternehmen müssen sich also weiterhin mit der Problematik beschäftigen, haben nur ein paar Monate gewonnen.

Aus schweizerischer Sicht stellt sich die Frage, ob sie sich – wie schon bei «Safe Harbor» und «Privacy Shield» – der Einigung zwischen der EU und den USA mit einer parallelen Lösung anschliessen kann.

Google Analytics – Geht das?

Der Einsatz von Google Analytics für die Auswertung der Zugriffe und Nutzerverhalten auf den Webseiten erfreut sich nach wie vor hoher Beliebtheit. Doch wie sieht es datenschutztechnisch aus? Kann ich dieses Analysewerkzeug weiterhin problemlos einsetzen?

Die Antwort lautet: Nein!

Nach dem Urteil des Europäischen Gerichtshofs vom Juli 2020 zur Ungültigkeit des Privacy Shield hat der von Max Schrems gegründete Datenschutzverein Europäisches Zentrum für digitale Rechte (noyb) über 100 Beschwerden eingereicht. Die ersten Entscheidungen machten bereits deutlich, dass der Einsatz von Google Analytics in der EU rechtswidrig ist.

In der Folge haben dann die Datenschutzbehörden von Österreich, Frankreich, Niederlande und Schweden den Einsatz von Google Analytics auf Websites gegen die Bestimmungen der DSGVO zu Drittlandübermittlungen als rechtswidrig erachtet.Es wird erwartet, dass ähnliche Entscheidungen der anderen Behörden folgen.

Die Behörde sieht vor allem die allgemeinen Grundsätze der Datenübermittlung gemäss Art. 44 DSGVO verletzt, da mit dem Analyseprogramm von Google persönliche Nutzerinformationen an den Mutterkonzern in den USA weitergegeben werden.

Für einen datenschutzkonformen Einsatz von Google Analytics muss ich verschiedene Massnahmen ergreifen und Anpassungen vornehmen:

  • Zunächst müssen Sie einen Auftrag zur Datenverarbeitung mit der Google Inc. schliessen.
  • Passen Sie den Google-Analytics-Code ein, sodass IP-Adressen nur anonymisiert erhoben werden.
  • Die Datenschutzerklärung muss angepasst werden: Wie sich Google Analytics in Sachen Datenschutz auswirkt, muss klar dargelegt werden.
  • Binden Sie einen Opt-Out ein, mit welchem die Nutzer Ihrer Seite der Datenerhebung durch die Google Inc. widersprechen können.

Wir unterstützen Sie gerne auch bei dieser Umsetzung.

EU-Bussgelder nun mit einheitlichen Regeln

Mittlerweile ist bekannt, dass Verstösse gegen die Europäische Datenschutzgrundverordnung (DSGVO) von den Datenschutzbehörden der EU-Mitgliedsstaaten mit Bussgeldern geahndet werden: Die Strafzahlungen können bis zu 20 Millionen EUR, beziehungsweise bis zu 4 Prozent des weltweiten Jahresumsatzes betragen.

Die Festlegung der Höhe der Bussgelder ist bisher Sache der zuständigen nationalen Datenschutzbehörde. Bisher entscheidet jedes EU-Mitgliedsland selbst darüber, wie weit die „bis max. Werte“ ausgereizt werden, die die DSGVO vorsieht. Für die Bemessung der Bussgeldforderungen gibt es jetzt neue Regeln: Der Europäische Datenschutzausschuss (EDSA) hat die endgültigen Leitlinien zur Bussgeldzumessung angenommen.

In seiner Sitzung von 24.5.2023 hat das European Data Protection Board (EDPB) die Leitlinien 04/2022 zur Bussgeldzumessung nach der DSGVO nach einer öffentlichen Konsultation angenommen (Guidelines 04/2022 on the calculation of administrative fines under the GDPR).

Die Leitlinien bieten den Datenschutzaufsichtsbehörden nun einheitliche Massstäbe und harmonisierte Rahmenbedingungen zur Bestimmung von Bussgeldern. Die Harmonisierung bezieht sich allerdings nur auf die Berechnungsgrundlage der Bussgelder. Die endgültige Höhe der Bussgelder wird durch die Justierungsmöglichkeiten des Leitlinien-Modells weiterhin individuell durch die jeweilige nationale Aufsichtsbehörde festgelegt.

Die Leitlinien sehen ein aus 5 Schritten bestehendes Zumessungsverfahren vor, dass insbesondere die Art und Schwere der Verstösse sowie den Umsatz der betreffenden Unternehmen berücksichtigt:

1. Schritt: Sanktionierbare Handlungen

Die Aufsichtsbehörden prüfen, ob der vorliegende Fall sanktionierbare Handlungen beinhaltet und inwieweit diese zu Verstössen gegen die DSGVO geführt haben. Insbesondere wird dabei geprüft, ob eine oder mehrere bussgeldbewehrte Handlungen vorliegen.

2. Schritt: Ermittlung des Ausgangsbetrags

Der Ausgangsbetrag für die Bussgeldberechnung wird aus drei Faktoren ermittelt: Der Art der Verstösse (a), der Schwere des Verstosses (b) und dem Umsatz des Unternehmens (c).

Art des Verstosses (Art. 83 Abs. 4 – 6 DSGVO)

Verstösse gegen Art. 83 Abs. 4 DSGVO können mit einem Bussgeld von bis zu 10 Mio. EUR oder im Fall eines Unternehmens von bis zu 2 % seinen gesamten weltweit erzielten Jahresumsatz des vorangegangenen Geschäftsjahres geahndet werden. Verstösse gegen Art. 83 Abs. 5 und 6 DSGVO können mit einem Bussgeld von bis zu 20 Mio. EUR oder im Fall eines Unternehmens von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden. Hierdurch ergeben sich die gesetzlichen Höchstbeträge, die ein Bussgeld jeweils nicht überschreiten darf.

Schwere des Verstosses

Anhand der in Art. 83 Abs. 2 DSGVO aufgelisteten Kriterien wird die Schwere des Verstosses festgestellt. Aus der Feststellung muss sich ein Schweregrad ergeben, um den Ausgangsbetrag prozentual vom gesetzlichen Höchstbetrag ermitteln zu können:

  • Geringer Schweregrad: Ausgangsbetrag liegt zwischen 0 und 10 % des gesetzlichen Höchstbetrags.
  • Mittlerer Schweregrad: Ausgangsbetrag liegt zwischen 10 und 20 % des gesetzlichen Höchstbetrags.
  • Hoher Schweregrad: Ausgangsbetrag liegt zwischen 20 und 100 % des gesetzlichen Höchstbetrags.

Der Umsatz des Unternehmens

Mit Blick auf den Umsatz eines Unternehmens werden weitere Korrekturen an dem zuvor ermittelten Ausgangsbetrag vorgenommen. Der Betrag kann auf 0,2 % bis 50 % des ermittelten Ausgangsbetrages reduziert werden.

3. Schritt: Ermittlung erschwerender oder mildernder Umstände

Die Aufsichtsbehörden ermitteln erschwerende oder mildernde Umstände, die die Höhe des in Schritt 2 festgestellten Betrags erhöhen oder senken können. Dazu gehören z. B. das Verhalten der Verantwortlichen (Kooperationsbereitschaft, Gegenmassnahmen) und ob es bereits in der Vergangenheit zu Verstössen gegen die DSGVO gekommen. Die Erhöhung oder Senkung des Betrags wird individuell durch die Aufsichtsbehörde vorgenommen.

4. Schritt: Ermittlung der Obergrenze

Der ermittelte Bussgeldbetrag wird erneut mit den gesetzlichen Höchstbeträgen der Art. 83 Abs. 4 – 6 DSGVO abgeglichen. Dabei wird auch entschieden, ob die statische (10 oder 20 Millionen EUR) oder die dynamische (2 % oder 4 % des Jahresumsatzes) Obergrenze für die Bussgeldbemessung gilt. Nach Art. 83 Abs. 4 und 5 DSGVO muss der jeweils höhere Betrag zugrunde gelegt werden.

5. Schritt: Mögliche Nachjustierungen

Im letzten Schritt der Bussgeldbemessung bewerten die Aufsichtsbehörden das ermittelte Bussgeld gemäss Art. 83 Abs. 1 DSGVO im Hinblick auf die Wirksamkeit, Verhältnismässigkeit und Abschreckung, um etwaige Nachjustierungen vornehmen zu können.

Ausbildung für mehr Datenschutz- und Sicherheitskompetenz

Mit unseren effizienten Online-Lern-Modulen im Bereich Datenschutzmanagement und Informationssicherheit erhöhen Sie die fachliche Sicherheitskompetenz im Unternehmen.

Dazu bieten wir Ihnen neben unseren kundenspezifischen Schulungen vor Ort ein webbasiertes Grundlagentraining, welches Basiswissen und die Konzepte vermittelt. Der Lerner taucht ein in eine bunte Welt des Themas und erhält auf spielerisch ansprechende Weise in Etappen das Wissen vermittelt.

Auf Wunsch können auch individuell auf Sie abgestimmte Lerninhalte aufbereitet werden, die 100% zu Ihnen und Ihren Anforderungen passt.

Unser Ziel lautet: Training soll sich nicht mehr nach Training anfühlen, sondern begeistern!

Auch Spotify mit Strafzahlung belegt: 5 Mio. EUR

Die schwedische Datenschutzbehörde hat erst nach einer Verzögerung von vier Jahren und durch gerichtlichen Zwang Maßnahmen gegen das Unternehmen ergriffen.Vorwurf: Spotify soll Anfragen zum Zugriff auf Daten nicht ordnungsgemäß beantwortet haben.

Die schwedische Datenschutzbehörde hat Spotify zu einer Strafzahlung von umgerechnet rund 5,03 Millionen Euro verurteilt. Laut der Behörde verstiess Spotify gegen Artikel 15 der Datenschutz-Grundverordnung (DSGVO). Im konkreten Fall ging es darum, wie Spotify mit persönlichen Daten umging und wie der Zugriff der Kunden auf diese Daten geregelt wurde.

Die Integritetsskyddsmyndigheten (IMY) stellte fest, dass Spotify den Nutzern zwar auf Anfrage personenbezogene Daten zur Verfügung stellte, allerdings „nicht deutlich genug darüber informiert, wie diese Daten von dem Unternehmen verwendet werden“. Spotify müsse transparenter machen, „wie und zu welchen Zwecken die personenbezogenen Daten der Nutzer verarbeitet werden“, fordert die Behörde.

Die mangelnde Transparenz und Verständlichkeit sorgte laut IMY dafür, dass „es für den Einzelnen schwierig war zu verstehen, wie die eigenen personenbezogenen Daten verarbeitet werden“. Dadurch habe es Spotify Kunden erschwert, „zu überprüfen, ob der Umgang mit den eigenen personenbezogenen Daten rechtmässig ist“.

Interview mit Adrian Lobsiger, Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter

Adrian Lobsiger, der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB), ordnet die Neuerungen des neuen Datenschutzgesetzes, welches am 1.9.2023 in Kraft treten wird, ein und spricht darüber, wo noch Handlungsbedarf besteht und welche Veränderungen wohl noch am meisten zu reden geben.

Netzwoche hat mit ihm ein Interview geführt.

Busse wegen unvollständiger Datenschutzerklärung und fehlender Benennung eines Datenschutzbeauftragten

Unlängst wurde die bekannte Fast-Food-Restaurantkette KFC beschuldigt, sich auf ihrer Webseite https://www.kfc.es nicht an die DSGVO zu halten. Unter anderem sei kein Datenschutzbeauftragter verfügbar. Laut dem Unternehmen sei dies nicht notwendig, da es hauptsächlich gastronomische Dienstleistungen erbringe und die Verarbeitung personenbezogener Daten über die Webseite nur aufgrund von Nebentätigkeiten (wie dem Lieferservice) erfolge.

Jedoch entschied die Datenschutzbehörde, dass das Unternehmen einen Datenschutzbeauftragten benennen muss. Weiterhin fehlten in der Datenschutzerklärung des Unternehmens Informationen zu der Verarbeitung personenbezogener Daten. Weitere Informationen:

Behörde: Agencia española protección datos
Branche: Fast-Food-Restaurantkette
Verstoss: Art. 37 DSGVO, Art. 13 DSGVO
Busse:
25’000 Euro

Dieser Fall zeigt auf, dass einfache Elemente des DSGVO nicht eingehalten worden sind und die Busse zu vermeiden gewesen wäre.

EU: Meta mit hoher Busse von EUR 1.2 Mrd. belegt

Diese Geldstrafe ist ein deutliches Zeichen. Die irische Datenschutzbehörde hat gegen den Techgiganten Meta eine Strafe von 1,2 Milliarden Euro verhängt, weil der US-Konzern beim Transfer von Daten in die USA über Jahre EU-Regeln verletzt hat. Noch nie kam ein Unternehmen ein Verstoss gegen die Datenschutzgrundverordnung (DSGVO) so teuer.

Facebook transferiert seit über zehn Jahren Daten in die USA, ohne EU-Vorgaben einzuhalten. Trotzdem werden die Verantwortlichen in den USA das Signal verstehen. Europa meint es ernst mit dem Datenschutz. Mit der DSGVO hat die EU zudem ein Instrument, um Verstösse so zu ahnden, dass es selbst den Großen der Branche weh tut.

Die USA werden sich nun endlich Gedanken um ihren Umgang mit Daten machen müssen. Die sauberste Lösung wäre, wenn die Regierung von Joe Biden US-Gesetze so ändert, dass Europäer dieselben Rechte wie US-Bürger bekämen. Deren Daten dürfen nur ausgespäht werden, wenn es ein Richter anordnet. Bisher waren die USA dazu nicht bereit.

Es entbehrt allerdings nicht einer gewissen Ironie, dass Europas großer Moment auf die Initiative einer Privatperson zurückgeht. Der österreichische Aktivist Max Schrems hat mit seinen Beschwerden die Geldbuße ins Rollen gebracht, so wie er zuvor mit Klagen die transatlantischen Arrangements für Datentransfers zu Fall gebracht hat. Bevor europäische Politiker am heutigen Tag Selbstzufriedenheit zur Schau stellen, sollten sie sich fragen, ob sie das zugegebenermaßen sperrige Thema Datenschutz ernst genug genommen haben. Es ist an der Zeit, das zu tun.

Bussenrahmen für DSG-Verstöße deutlich erweitert

Im neuen DSG wurde der Bussenrahmen auf CHF 250’000 erhöht, sowie die strafbewehrten Tatbestände deutlich erweitert.
Im Gegensatz zur EU-DSGVO, deren Bussen sich gegen Unternehmen richten, können im DSG Bussen nur gegen natürliche Personen verhängt werden und stellen eine Verschärfung gegenüber dem EU-DSGVO dar.

Ihre Mitarbeiter die z.B. personenbezogene Kundendaten verarbeiten, sind permanent in Gefahr sich durch „Verarbeitungsfehler“ einem Bussenrisiko auszusetzen.

Haben Sie ein internes Datenschutz-Wissensmanagement in Ihrem Unternehmen eingeführt, sodass

  • Ihre Mitarbeiter über die Regelungen des DSG
  • deren besonderen Anforderungen und
  • die Auswirkungen auf Ihre Arbeitstätigkeit

umfassend informiert sind.

Dabei bietet Datenschutz-Knowledge-Management-System und Schulungssysteme zum Selbststudium bei Kunden einen grossen Nutzen.

Kontaktieren Sie uns, denn Nichtwissen schützt nicht vor Busse.