Mitglied im Bundesverband der Datenschutzbeauftragten (BvD) e. V.
Mitglied in der Gesellschaft für Datenschutz und Datensicherheit e. V. (GDD)
Mitglied in der Deutschen Vereinigung für Datenschutz e. V. (DVD)

Datenschutzblog aktuell

Japan ist sicheres Drittland

Fotolia 60884759 zertifiziert 200
Mit Beschluss vom 23. Januar 2019 hat die EU-Kommission festgestellt, dass Japan ein dem Europäischen Wirtschaftsraum gleichwertiges Datenschutzniveau besitzt.
Somit bedarf gem. Art. 45 Abs. 1 DSGVO (EU-Datenschutz-Grundverordnung) ein Datenverkehr zwischen der EU und einem Empfänger in Japan keiner besonderen Genehmigung mehr. Es gelten mithin die gleichen Vorschriften wie bei einem Empfänger in der EU.

Die DSGVO sieht in Artikel 45 vor, dass die EU-Kommission für einen Drittstaat beschließen kann, dass er ein angemessen hohes Datenschutzniveau hat. Hierfür sind u. a. folgende Faktoren zu prüfen:
  • Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten,
  • Regelungen zur Weiterübermittlung von Daten an andere Drittländer,
  • das Vorhandensein unabhängiger Aufsichtsbehörden und
  • vom Drittstaat eingegangene Verpflichtungen in Bezug auf personenbezogene Daten.

Der Datenverkehr mit Japan erfährt mit diesem Beschluss eine enorme Erleichterung. Dies wirkt zusammen mit dem seit dem 01.02.2019 in Kraft getretenen Freihandelsabkommen zwischen der EU und Japan. Vor dem Hintergrund der Abwendung der USA von der Transpazifischen Partnerschaft (TPP) und dem Erstarken nationalistischen Denkens ist die Erweiterung der europäischen Datenlandschaft ein Schritt, der Mut machen kann.

Quellen:
Informationsseite der EU-Kommission zum Datentransfer außerhalb der EU
Angemessenheitsbeschluss der EU-Kommission (PDF)
Factsheet der EU-Kommission zum Japan-Angemessenheitsbeschluss
Bundesministerium für Wirtschaft und Energie - Artikel zum Freihandelsabkommen EU-Japan
Zeit online Artikel vom 11.11.2017
Süddeutsche Zeitung SZ.de Artikel vom 23.01.2019

Boris Koppenhöfer
11.02.2019

Bundeskartellamt legt Facebook Beschränkungen auf

Fotolia 91046521 Einfahrt Verboten 200
Das Bundeskartellamt hat dem Unternehmen Facebook weitreichende Beschränkungen bei der Verarbeitung von Nutzerdaten auferlegt.
Laut einer Pressemeldung des Bundeskartellamtes vom 07.02.2019 untersagt das Bundeskartellamt Facebook die Zusammenführung von Nutzerdaten aus verschiedenen Quellen.

Ebenso stellt das Bundeskartellamt fest, dass Facebook auf dem Markt für soziale Medien eine marktbeherrschende Stellung einnimmt. Mit der vom Wettbewerber Google+ angekündigten Einstellung seines Dienstes wird sich die Situation noch verschärfen.
Andreas Mundt, Präsident des Bundeskartellamtes, sagt hierzu: "Als marktbeherrschendes Unternehmen unterliegt Facebook besonderen kartellrechtlichen Pflichten und muss bei dem Betrieb seines Geschäftsmodells berücksichtigen, dass die Facebook-Nutzer praktisch nicht auf andere soziale Netzwerke ausweichen können. Ein obligatorisches Häkchen bei der Zustimmung in die Nutzungsbedingungen des Unternehmens stellt angesichts der überragenden Marktmacht des Unternehmens keine ausreichende Grundlage für eine derartig intensive Datenverarbeitung dar. Der Nutzer hat ja nur die Wahl, entweder eine umfassende Datenzusammenführung zu akzeptieren oder aber auf die Nutzung des sozialen Netzwerkes zu verzichten. Von einer freiwilligen Einwilligung in die Datenverarbeitungsbedingungen kann in einer solchen Zwangssituation des Nutzers keine Rede sein."
 
In den Hintergrundinformationen zur Pressemeldung ist folgendes zu lesen:
„Die Überprüfung der Datenverarbeitungskonditionen anhand datenschutzrechtlicher Wertungen, insbesondere nach der seit Mai 2018 anzuwendenden Datenschutzgrundverordnung (DSGVO) hat ergeben, dass Facebook keine wirksame Rechtfertigung für die Erhebung von Daten aus anderen konzerneigenen Diensten sowie aus Facebook Business Tools und der Verknüpfung der Daten mit den Facebook-Konten hat.“

An dieser Stelle sei darauf hingewiesen, dass hier sehr deutlich wird, dass eine Datenerhebung von Nutzerdaten auf Webseiten ohne Einwilligung der Nutzer einen Verstoß gegen die DSGVO (EU-Datenschutz-Grundverordnung) darstellt und gem. Art. 83 Abs. 5 DSGVO mit Bußgeldern bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden kann, je nach dem welcher Betrag höher liegt.

Eine Überprüfung Ihrer Webseiten und die Ergreifung von Maßnahmen zur Abwehr von möglichen Bußgeldern ist dringend empfohlen!

Hintergrundinformationen zum Facebook-Verfahren des Bundeskartellamtes können Sie hier herunterladen:
Facebook FAQ's

Quellen:
Pressemeldung des Bundeskartellamtes vom 07.02.2019

Boris Koppenhöfer
08.02.2019

"WhatsApp" im Unternehmen

app
Nach längerer Pause starten wir wieder unseren Blog. Aufgrund der enormen Arbeitsbelastung in den letzten Monaten mussten wir die Pflege leider aussetzen.

Derzeit erhalten unsere Berater wieder gehäuft Anfragen zur Nutzung von "WhatsApp" im Unternehmen oder auf Unternehmens-Geräten.

Vorweggenommen muss klar gesagt werden, dass Unternehmen, Vereine, Behörden etc. WhatsApp nicht datenschutzkonform und damit nicht gesetzeskonform einsetzen können. Ebenso ist der private Einsatz auf Geräten des Unternehmens oder auf für die Tätigkeit im Unternehmen genutzten privaten Geräte (BYOD) problematisch.

Wir raten vom Einsatz ab. Es existieren Alternativen, die bei vergleichbarem Funktionsumfang datenschutzkonform betrieben werden können.

Die massive Verbreitung von WhatsApp macht die Nutzung auch für Unternehmen interessant. Kommunikation mit Mitarbeitern oder Kunden und Lieferanten ist einfach und die Funktionen zur Übertragung von Text, Bildern, Videos und anderen Mediendaten passt zu den modernen Anforderungen der Unternehmen an die einfache Kommunikation.

Jedoch scheint das datenschutzrechtliche Ausmaß des Einsatzes von WhatsApp vielen Unternehmen nicht bewusst zu sein.

Jegliche Kommunikation und damit der Datentransfer läuft über Systeme des Anbieters, der Whatsapp Inc. aus Kalifornien, USA und somit einem Anbieter aus einem Drittland.

Das BayLDA wurde von der Gesellschaft für Datenschutz und Datensicherheit e. V. (GDD Erfa-Kreis Würzburg) zum Thema befragt1. Die Ausführungen der Behörde legen nahe, dass die Unternehmen über die weitere Verwendung von WhatsApp sorgfältig nachdenken sollten.

Ebenso hat auch die Landesbeauftragte für den Datenschutz Niedersachsen im Juli 2018 ein Merkblatt für die Nutzung von "WhatsApp" in Unternehmen veröffentlicht in dem dem Einsatz durch das Unternehmen eine klare Absage erteilt wird.
Im wesentlichen bestünden drei datenschutzrechtliche Problemstellungen:
  1. Die Übermittlung der Kontakte aus dem Adressbuch des Nutzers an WhatsApp.
  2. Die Übermittlung von personenbezogenen Daten in die USA.
  3. Die Nutzung von personenbezogenen Daten durch WhatsApp.
 
Die Übermittlung von Kontaktdaten aus dem Adressbuch ist regelmäßig unzulässig. Ein Unternehmen, dass Kontaktdaten von Mitarbeitern, Kunden etc. an einen Dritten übermittelt muss dafür einen Rechtsgrund haben oder es muss die Einwilligung jeder einzelnen Person vorliegen. Da ein berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f DSGVO bestenfalls für bereits bei WhatsApp registrierte Benutzer unterstellt werden könnte, dürfte das für Personen, die keine oder andere Dienste verwenden keinesfalls gelten.

Darüber hinaus behält sich der Anbieter vor, die Daten nahezu zweckungebunden nutzen zu dürfen.

Gem. Art. 83 Abs. 5 DSGVO drohen für Verstöße gegen die Rechtmäßigkeit der Übermittlung Bußgelder bis 20 Mio. Euro bzw. 4 % des weltweiten Jahresumsatzes, je nach dem welcher Betrag höher liegt.

Auch unter dem Gesichtspunkt der möglichen Leistungs- und Verhaltenskontrolle der Beschäftigten ist der Einsatz nicht zu empfehlen.

Ebenso kam bereits 2017 das Amtsgericht Bad Hersfeld zu dem Urteil, dass der Einsatz von WhatsApp durch die ungefragte Übertragung von Kontaktdaten an den Anbeiter ein Rechtsverstoß und somit auch abmahnfähig sei.

Für den privaten Einsatz auf Unternehmensgeräten oder auf privaten Geräten, die auch für das Unternehmen genutzt werden lassen sich technische und organisatorische Lösungen finden. Sprechen Sie hier Ihren rechtlichen Berater und Ihren betrieblichen Datenschutzbeauftragten an.

1 RDV Online vom 23.03.2018: Nutzung von WhatsApp aus der Perspektive der Aufsichtsbehörde

Quellen:
Hessenrecht / Landesrechtsprechungsdatenbank: Beschluss vom 20.03.2017 Az.: F 111/17 EASO
Die Landesbeauftragte für den Datenschutz Niedersachsen: Merkblatt für die Nutzung von "WhatsApp" in Untrenehmen
VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 (Datenschutz-Grundverordnung)
Gesetze im Internet (Projekt des Bundesministerium der Justiz und für Verbraucherschutz und der juris GmbH)
Wikipedia

Bild: © Евгения Мухитова - Fotolia.com

Boris Koppenhöfer
26.07.2018
Redaktionelle Anmerkung: Aus Gründen der Lesbarkeit wird auf die Trennung von weiblicher und männlicher Form verzichtet.