Urteil des Europäischen Gerichtshofs zur Übermittlung personenbezogener Daten in Drittländer („Schrems II“) stärkt den Datenschutz für EU-Bürgerinnen und Bürger Nr.20200728  | 28.07.2020  | DSMV  | datenschutz-mv.de Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 16. Juli 2020 (Rechtssache C-311/18) den Beschluss 2016/1250 der Europäischen Kommission zur Übermittlung personenbezogener Daten in die USA (Privacy Shield) für unwirksam erklärt. Zugleich hat der EuGH festgestellt, dass die Entscheidung 2010/87/EG der Kommission über Standardvertragsklauseln (Standard Contractual Clauses – SCC) grundsätzlich weiterhin gültig ist. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) sieht mit diesem Urteil die Datenschutzgrundrechte der Bürger und Bürgerinnen in der Europäischen Union gestärkt. Für die Übermittlung personenbezogener Daten in die USA und andere Drittländer hat das Urteil nach einer ersten Einschätzung der DSK folgende Auswirkungen: Die Übermittlung personenbezogener Daten in die USA auf der Grundlage des Privacy Shield ist unzulässig und muss unverzüglich eingestellt werden. Der EuGH hat das Privacy Shield für ungültig erklärt, weil das durch den EuGH bewertete US-Recht kein Schutzniveau bietet, das dem in der EU im Wesentlichen gleichwertig ist. Das US-Recht, auf das der EuGH Bezug genommen hat, betrifft z. B. die nachrichtendienstlichen Erhebungsbefugnisse nach Section 702 FISA und Executive Order 12 333. Für eine Übermittlung personenbezogener Daten in

Wirksamer Datenschutz erfordert regelmäßige Kontrolle und Anpassung Wegen eines Verstoßes gegen die Pflichten zu sicherer Datenverarbeitung (Art. 32 der Europäischen Datenschutz-Grundverordnung DS-GVO) hat die Bußgeldstelle des LfDI Baden-Württemberg mit Bescheid vom 25.06.2020 gegen die  AOK Baden-Württemberg  eine  Geldbuße  von  1.240.000,- Euro  verhängt   und – in konstruktiver Zusammenarbeit mit der AOK – zugleich die Weichen für eine Verbesserung der technischen und organisatorischen Maßnahmen zum Schutz persönlicher Daten bei der AOK Baden-Württemberg gestellt. Die AOK Baden-Württemberg veranstaltete in den Jahren 2015 bis 2019 zu unterschiedlichen Gelegenheiten Gewinnspiele und erhob hierbei personenbezogene Daten der Teilnehmer, darunter deren Kontaktdaten und Krankenkassenzugehörigkeit. Dabei wollte die AOK die Daten der Gewinnspielteilnehmer auch zu Werbezwecken nutzen, sofern die Teilnehmer hierzu eingewilligt hatten. Mithilfe technischer und organisatorischer Maßnahmen, u. a. durch interne Richtlinien und Datenschutzschulungen, wollte die AOK hierbei sicherstellen, dass nur Daten solcher Gewinnspielteilnehmer zu Werbezwecken verwendet werden, die zuvor wirksam hierin eingewilligt hatten. Die von der AOK festgelegten Maßnahmen genügten jedoch nicht den gesetzlichen Anforderungen. In der Folge wurden die personenbezogenen Daten von mehr als 500 Gewinnspielteilnehmern ohne deren Einwilligung zu Werbezwecken verwendet. Versichertendaten waren hiervon nicht betroffen. Die AOK Baden-Württemberg stellte unmittelbar nach Bekanntwerden des Vorwurfs alle vertrieblichen Maßnahmen ein, um sämtliche Abläufe grundlegend auf den

All diejenigen, die schon mal einen Kredit beantragt haben, kennen das Verfahren:Kreditgeber erkundigen sich bei Wirtschaftsauskunfteien danach, ob ein Unternehmen oder eine Privatperson den beantragten Kredit voraussichtlich auch zurückzahlen wird. Hierzu werten Wirtschaftsauskunfteien alle Daten aus, die sie über ein Unternehmen oder eine Privatperson erlangen können, und berechnen Wahrscheinlichkeiten, sog. Scorewerte, zu deren Kreditwürdigkeit. Welche Regeln und Variablen denBerechnungen und damit den abschließenden Bewertungen zugrunde liegen, ist einstreng gehütetes Geschäftsgeheimnis.Nicht selten liegen den Berechnungen jedoch veraltete oder falsche Daten zugrunde.Und auch die Beschwerde von Betroffenen, diese Daten zu berichtigen bzw. zu löschen, verhallt zumeist ungehört aufseiten mancher Auskunfteien.Aufgrund zahlreicher Beschwerden prüfte der Landesbeauftragte für den Datenschutzund die Informationsfreiheit (LfDI) Baden-Württemberg die Datenerhebung und-auswertung von Wirtschaftsauskunfteien sowie die daraus resultierenden Berechnungsverfahren für Bonitätsbeurteilungen. Hierbei stellten wir fest, dass Bonitätsbeurteilungen nicht immer anhand konkret vorliegender Daten des jeweiligen Unternehmens vorgenommen wurden, sondern gerade nicht vorliegende Informationen dazuführten, dass der empfohlene Kreditrahmen niedrig eingestuft wurde. Das heißt: Hattedie Wirtschaftsauskunftei keine Kenntnis über Unternehmens- oder Finanzzahlen,wurde eine nur eingeschränkt positive Bewertung an anfragende Dritte weitergegeben – eine positive Bewertung („gut“) sei in diesen Fällen angeblich zu riskant, so dieAuskunftei im konkreten Fall. Das Problem dabei: Dem durch eine Wirtschaftsauskunftei empfohlenen Kreditrah men folgen Kreditgeber

Im Zuge der Umstellung auf die Anforderungen der DSGVO, sind in den letzten Jahren viele Verträge und Richtlinien erlassen worden.Nun mussten im Zuge der Coronakrise viele Unternehmen kurzfristig und unbürokratisch Entscheidungen treffen, wie die Arbeit weitergehen kann.So sind viele Home-Office Arbeitsplätze entstanden und auch diverse Videokonferenzlösungen und Plattformen für den Datenaustausch in den Alltag integriert worden. An dieser Stelle ist es wichtig zu prüfen, ob die eingeleiteten Maßnahmen mit bestehenden Verträgen wie: Auftragsdatenverarbeitungsverträgen, Arbeitsverträgen und anderen Vertragswerken zulässig ist.Ebenso sind durch die schnellen Öffnungen in neue Technologien, wie beispielsweise Videokonferenzlösungen Prozesse integriert worden, für die eine ausreichende Prüfung in Bezug auf Sicherheit und Einhaltung des Datenschutzes noch erfolgen muss.In vielen Fällen müssen hier noch entsprechende Auftragsdatenverarbeitungsverträge abgeschlossen werden. Auch der Bereich der technisch organisatorischen Maßnahmen in den Unternehmen muss neu geprüft werden.Gerade vor dem Hintergrund, dass eingesetzte Technologien und Arbeitsweisen wie Home-Office auch nach der Krise weitergenutzt werden, erfordert eine Überprüfung der bestehenden technisch organisatorischen Maßnahmen, um einen sicheren Betrieb aufrechtzuerhalten.

Pressemitteilung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein vom 27.03.2020 Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, hat diese Woche ihren Tätigkeitsbericht für das Jahr 2019 vorgelegt: Auf knapp 150 Seiten werden die Themen Datenschutz und Informationsfreiheit beleuchtet, Empfehlungen gegeben und Verbesserungen eingefordert. Interessante Fälle dienen als mahnendes Beispiel, wie es die Verantwortlichen nicht machen sollen.