Big Brother is watching you!

Europäische Tochterunternehmen von US-Cloud-Anbietern

In einem so neuen Rechtsgebiet, wie es das Datenschutzrecht ist, spielt die Rechtsprechung eine besonders wichtige Rolle. Immer wieder leiten Urteile eine neue Strömung ein oder sind so wegweisend, dass sich die Praxis neu einstellen muss. Im Datenschutz behandeln die angesprochenen Urteile meist die Rolle der USA.

Den meisten wird nun das Schrems-II Urteil in den Sinn kommen und beinahe hätten wir den nächsten Kracher erhalten. Am 13.07.2022 veröffentlichte die Vergabekammer Baden-Württemberg einen Beschluss, der den Anspruch im öffentlichen Vergabeverfahren für europäische Tochterunternehmen von US-amerikanischen Cloud-Anbietern verneinte. Grund für das Nichtbestehen des Anspruchs sei das Risiko von Zugriffen auf personenbezogene Daten durch US-Behörden. Folglich wären Anbieter wie Amazon Web Service bei einer öffentlichen Ausschreibung ausgeschlossen gewesen.

Die Vergabekammer konnte auch nicht dadurch überzeugt werden, dass nach Angaben der Anbieter die personenbezogenen Daten nur auf Servern in Europa verarbeitet werden und nur die deutsche Gesellschaft auf diesen Zugriff hätte.
Aber das Beben dieses Beschlusses hielt nur kurz an. Anfang September hob das OLG Karlsruhe den Beschluss der Vergabekammer auf.

In der Pressemitteilung hieß es zur Sache, dass die Zusage der Anbieter ausreichend sei, dass die Daten nicht in ein Drittland übermittelt und nur in Deutschland verarbeitet werden. Die Konzernzugehörigkeit der europäischen Tochterunternehmen indiziert noch keinen direkten Zugriff durch die Muttergesellschaft aus den USA. In der Sache überzeugt die Argumentation des OLG Karlsruhe.

Es dürfte aber auch praktische Konstellationen geben, in denen sich die Bedenken der Vergabekammer konkret niederschlagen. Die Thematik rund um die Übermittlung in ein Drittland bleibt also heiß.

Q1: Vergabekammer Baden-Württemberg, Entscheidung vom 13.7.2022, Aktenzeichen: 1 VK 23/22

Q2: Oberlandesgericht Karlsruhe, Beschluss vom 7.9.2022, Aktenzeichen: 15 Verg 8/22

Übermittlung in ein Drittland

Die Übermittlung in ein Drittland ist, nicht zuletzt durch das „Schrems-II“ Urteil des EuGH, kniffliger als viele denken.

Wir helfen Ihnen sicherzustellen, dass die Datenübermittlung DSGVO-konform abläuft.

Schreibtisch auf – Job weg?

Nicht abgeschlossener Schreibtisch kann den Job kosten!

Von Datenschützern wird immer wieder gepredigt, dass die Thematik lebendig sein muss.

„Tote“ Dokumente, die in Schubladen verweilen und wenig mit der Praxis zu tun haben, helfen nicht, um das Datenschutzniveau anzuheben. Eine durchaus bedeutende Rolle spielen hier die internen Anweisungen.

Häufig gibt es interne Anweisungen, die dann aber in der Praxis kaum umgesetzt werden. Sowohl Arbeitgeber als auch Arbeitnehmer müssen hier grundsätzlich in die Pflicht genommen werden. Gehen beide Parteien nachlässig mit dem Thema um, wird der Verantwortliche die Konsequenzen tragen müssen.

Anders war es nun in Sachsen. Das Landesarbeitsgericht kam zu dem Schluss, dass die wiederholte Nichteinhaltung der internen Datenschutz- und Informationssicherheitsrichtlinien, eine Pflichtverletzung aus dem Arbeitsvertrag darstellt. Die Klägerin verstieß mehrfach gegen die Richtlinien, worauf mehrere Abmahnungen folgten. Die Klägerin hatte Schreibtischfächer nicht abgeschlossen, in denen sich sensible Daten befanden.

Die eingangs geschilderte Problematik der „toten“ Dokumenten und Richtlinien, welche nur auf dem Papier existieren und in der Praxis nicht gelebt werden, bewahrheitet sich hier erneut.

Q1: LAG Sachsen, 07.04.2022 – 9 Sa 250/21

Schulungen

Datenschutz ist Teamsache! Nur gemeinsam lassen sich die Vorgaben der DSGVO einhalten.

Mit unserer Datenschutzschulung ist dein Team perfekt aufgestellt, sodass keine Lücken bleiben.

Millionenstrafe für Meta

Instagram-Patzer kostet 405 Mio. Euro

Hohe Bußgelder sind im Datenschutz keine Seltenheit. Dass diese Bußgelder häufig amerikanische Konzerne treffen, ist auch nicht selten. Und immer wieder im Blick der Aufsichtsbehörde ist der Meta-Konzern.

Dieses Mal trifft es Instagram mit Sage und Schreibe 405 Millionen Euro. Grund für dieses Bußgeld ist der kritische Umgang mit Daten von Kindern und Jugendlichen. In der Vergangenheit war es Kindern und Jugendlichen möglich, ihren Account auf ein Geschäftskonto hoch zu stufen. Dadurch werden persönliche Daten, wie Kontaktdaten veröffentlicht, genau so, wie es im Geschäftskontext üblich ist.

Dass diese Verarbeitungen von Daten Minderjähriger äußerst kritisch zu betrachten sind, ist relativ offensichtlich.

Meta hat bereits angekündigt, sich gegen das Bußgeld zu wehren. Der Ausgang des Falls ist offen und es dürfte auch noch etwas Zeit verstreichen, bis eine Entscheidung gefällt wird.

Q1: https://www.spiegel.de/netzwelt/netzpolitik/datenschutz-instagram-muss-in-irland-405-millionen-euro-strafe-zahlen-a-50fe2d10-c014-4a68-9cb8-b0b590d7cca5

Rechte der betroffenen Person

Es mag selten vorkommen, aber es besteht immer die Möglichkeit, dass die betroffenen Personen ihre Rechte geltend machen.

Mit unserer Unterstützung wird dein Unternehmen gut vorbereitet sein, wenn die Rechte der betroffenen Person geltend gemacht werden.

Cookie Consent mit Real Cookie Banner