1. Interessante Leserfrage
Ende November erreichte den Kuketz-Blog eine interessante Frage von einem Leser:
Kann ich arbeitsrechtlich verpflichtet werden, einen Web-Dienst zu verwenden, bei dem ich befürchtete, dass die Betreiber alle Daten von mir sammeln und miteinander verknüpfen, die sie kriegen können und bei dem mir nicht klar ist, welche Daten davon meine Vorgesetzten sehen können? Wenn ja, unter welchen Umständen?
Hintergrund ist, dass sein Arbeitgeber Yammer.com nutzt. Yammer ist eine Art Facebook für Unternehmen, das Microsoft für über 1,2 Milliarden US-Dollar gekauft hat und in Office 365 integriert.
Gerald Spyra wird im vorliegenden Beitrag zu dieser Frage Stellung nehmen. Eines jedoch schon vorweg: Eine allgemein gültige Antwort / Lösung ist nicht möglich. Grundsätzlich kann der Arbeitgeber im Rahmen seines sog. Direktionsrechts den Arbeitnehmern sagen, was sie zu tun und zu lassen haben. Mithin kann er auch prinzipiell anordnen, dass eine bestimmte Software in seinem Unternehmen von seinen Mitarbeitern eingesetzt wird. Dass der Einsatz einer Software möglicherweise rechtswidrig ist, weil diese gegen die Anforderungen des Datenschutzrechts etc. verstößt, hat darauf erst einmal keinen Einfluss. Jedoch kann ihm die Rechtswidrigkeit des Einsatzes ihm aber im Nachhinein böse auf die »Füße« fallen.
Im Nachfolgenden wird sich Gerald daher mit der Rechtmäßig- bzw. Rechtswidrigkeit eines möglichen Einsatzes von Yammer bzw. Social Media im Allgemeinen auseinandersetzen.
Gastbeitrag von Gerald Spyra
Gerald Spyra ist Rechtsanwalt mit Spezialisierung auf den Informations- bzw. Datenschutz. Er ist externer betrieblicher Datenschutzbeauftragter und hat eine hohe Affinität für Themen aus dem Bereich der IT-Sicherheit.
Spenden für seine Arbeit möchte er direkt dem Kuketz-Blog zukommen lassen. Ihr könnt also direkt an den Kuketz-Blog spenden.
2. Komplexer Sachverhalt
Der in der E-Mail gestellten Frage liegt ein hochkomplexer Sachverhalt zugrunde, der unterschiedliche Rechtsmaterien berührt. Ohne genaue Kenntnis des konkreten Einzelsachverhalts sind daher keine zuverlässigen Aussagen möglich. An diesem Beispiel kann man aber dennoch sehr schön die kollidierenden / konkurrierenden Rechte der Beteiligten darstellen. Insbesondere die datenschutzrechtlichen Aspekte sind hierbei sehr interessant und sollen im Nachfolgenden näher beleuchtet werden.
2.1 EU-Datenschutzgrundverordnung
Gerade weil wir bald die EU-Datenschutzgrundverordnung (im Nachfolgenden »DSGVO«) bekommen (am 25.5.2018 ist es soweit), ist der Einsatz einer Lösung wie Yammer alles andere als unproblematisch. Denn durch die DSGVO wurden zum einen insbesondere die Rechte der Betroffenen wie Arbeitnehmern (im Nachfolgenden »AN«) gestärkt. Um den Betroffenenrechten auch entsprechendes Gewicht zu verleihen, ist es nun auch den Aufsichtsbehörden möglich, abschreckende Bußgelder zu verhängen (bis zu 20 Mio. oder 4 % des Gesamtkonzernjahresumsatzes, je nachdem was höher ist). Aus diesem Grund sollten Arbeitgeber (im Nachfolgenden »AG«) die datenschutzrechtlichen Implikationen, die der Einsatz von solchen Tools wie Yammer hat, nicht auf die leichte Schulter nehmen.
Um die Beantwortung der mit der vorstehenden Frage einhergehenden hochkomplexen rechtlichen Erwägungen nicht zu juristisch werden zu lassen, werde ich versuchen, mich auf das Wesentliche zu beschränken und so weit wie möglich auf Zitierungen von Artikeln und Paragraphen zu verzichten.
2.2 Notwendigkeit: Ermittlung des konkreten technischen / rechtlichen Sachverhalts
Wie ich schon mal beim Windows 10 Artikel dargelegt habe, ist es für eine korrekte rechtliche Bewertung essenziell, die technische Ausgestaltung des Produkts (Yammer) zu kennen. Ferner ist es essenziell darüber Kenntnis zu haben, welche technischen / organisatorischen Maßnahmen vom AG getroffen wurden, um die Datenverarbeitung mit diesem Produkt abzubilden. Darüber hinaus wäre es auch sehr hilfreich, die entsprechenden AGB oder Verträge zu kennen, die Yammer-Kunden unterzeichnen müssen. Da mir viele wesentliche Aspekte nicht bekannt sind, kann ich daher im Nachfolgenden nur Mutmaßungen anstellen.
2.3 Kollaborationslösung Yammer
Nach einem Blick auf die Yammer-Webseite sieht es für mich so aus, als handele es sich bei dieser Software um eine mehr oder weniger umfassende »Kollaborationslösung«, mit der ein Unternehmen intern, aber gerade auch mit Kunden / Zulieferern etc., Daten »sharen« bzw. kommunizieren kann. Wie die konkreten Datenflüsse, die Datenverarbeitung etc. aussehen, kann ich jedoch leider nicht abschätzen. Vermutlich dürfte aber diese Lösung doch recht »kommunikationsfreudig« sein…
Es lässt sich jedenfalls schon einmal festhalten, dass es bei der Nutzung von Yammer viele unterschiedliche Beteiligte (Betroffene), mit unterschiedlichen Rechten geben kann, weshalb es schwer bis unmöglich ist, ohne Kenntnis des konkreten Einzelsachverhalts, eine rechtliche Einschätzung abzugeben.
Da die vorstehende E-Mail von einem Arbeitnehmer (im Nachfolgenden »AN«) kommt, wollen wir den Yammer-Einsatz mal vor diesem Hintergrund bzw. im Lichte seiner Rechte beleuchten.
2.4 Verantwortlichkeit Datenverarbeitung
Aufgrund der Tatsache, dass wir das AG / AN Verhältnis beleuchten wollen, und der AG die Nutzung von Yammer in seinem Unternehmen anordnet, dürfte der AG im Sinne des Datenschutzrechts primär Verantwortlicher für die Verarbeitung der AN-Daten sein. Als Verantwortlicher für die Datenverarbeitung ist er wie vorstehend ausgeführt auch derjenige, der bei Fehlern in der Datenverarbeitung, die in seinen Verantwortungsbereich fallen, zur Verantwortung gezogen werden kann. Damit obliegt ihm grundsätzlich die volle Verantwortung dafür, dass die Verarbeitung der Daten des AN rechtskonform abläuft. Mithin ist er auch verantwortlich zu prüfen, ob die Datenverarbeitung rund um den Einsatz von Yammer / Office 365 korrekt erfolgt.
Der AG muss deshalb insbesondere gewährleisten, dass beim Yammer-Einsatz die Anforderungen an eine »rechtmäßige Datenverarbeitung« gem. Artikel 5 (Grundprinzipien) DSGVO gewahrt werden. Dieses muss er der sog. Rechenschaftspflicht folgend, durch entsprechende Dokumentationen jederzeit nachweisen können (vgl. Art. 5 Abs. 2 DSGVO).
3. Grundprinzipien DSGVO
Die in Art. 5 enthaltenen Grundprinzipien sind, wie der Name schon andeutet, der grundsätzliche Maßstab, an den sich jede Datenverarbeitung messen lassen muss. Es gilt zu beachten, dass diese Prinzipien grundsätzlich kumulativ erfüllt sein müssen oder anders gesagt, bei einer Datenverarbeitung müssen alle diese Anforderungen gleichermaßen erfüllt sein.
Man sollte nicht den Fehler machen, diese Grundprinzipien in ihrer Komplexität zu unterschätzen. Weil diese Prinzipien so komplex sind und ich den vorliegenden Artikel nicht zu umfangreich werden lassen will, werde ich diese nur punktuell beleuchten. Dadurch sollte man jedoch eine kleine Vorstellung davon bekommen, was Verantwortliche (Firmen usw.) eigentlich alles beachten müssen, wenn sie hochkomplexe Datenverarbeitungen z. B. mittels Cloud und Co. einsetzen wollen, und dieses »rechtmäßig« abzubilden.
Um eine Vorstellung von diesen grundlegenden Prinzipien zu bekommen, will ich sie nachfolgend einfach mal zitieren und direkt auf den Yammer-Sachverhalt anwenden.
So heißt es im relevanten Art. 5:
- Personenbezogene Daten müssen […]
3.1 Personenbezogene Daten
Das Datenschutzrecht findet nur Anwendung, wenn sog. personenbezogene Daten verarbeitet werden sollen. Vereinfacht gesagt liegt ein Personenbezug immer dann vor, wenn aus einem Datum oder mehreren Daten die Information abgeleitet werden kann, dass sich dieses Datum auf die Person »XYZ« bezieht bzw. beziehen kann.
Auch wenn das keiner gerne hören will. Meiner Ansicht nach gibt es heute praktisch keine Daten mehr ohne Personenbezug. Denn durch die Masse an bereits gesammelten Daten wird es immer irgendjemanden geben, der aus einem Datum einen Personenbezug herleiten kann.
Gerade beim Einsatz von Cloud-Anwendungen etc., sollte einem Verantwortlichen klar sein, dass mit jeder Datenverbindung personenbezogene Daten übermittelt werden. Denn laut dem Europäischen Gerichtshof ist bereits eine IP-Adresse ein personenbezogenes Datum, bzw. kann einen Personenbezug zulassen.
Das wiederum hat zur Konsequenz, dass es für jede aufgebaute Verbindung bzw. für mit der Software durchgeführten Datenverarbeitungen, stets einer Legitimation für bedarf.
Denn in Art. 5 Abs. 1 a) heißt es weiter:
Personenbezogene Daten müssen
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (»Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz«);
Nach dem Grundsatz der Rechtmäßigkeit gilt, dass jede Datenverarbeitung rechtskonform sein muss. Sprich, entweder gibt es eine gesetzliche Regelung, die dem Verantwortlichem (im vorliegenden Fall dem AG) die jeweilige Datenverarbeitung zu den intendierten Zwecken gestattet. Eine Gestattung zur Datenverarbeitung kann bei einer »wirksamen« Einwilligung des Betroffenen (im vorliegenden Beispiel des AN) oder bei Vorliegen eines gesetzlichen Tatbestand vorliegen. Liegt weder eine gesetzliche Legitimation noch eine wirksame Einwilligung vor, wäre der Einsatz der Datenverarbeitung (von Yammer) nicht rechtmäßig und dürfte nicht erfolgen!
Essenziell für die Beurteilung der Rechtmäßigkeit ist es zu wissen, was eigentlich für Datenverarbeitungen mittels Yammer stattfinden. Denn erst wenn ich weiß, was tatsächlich mit der Software »abläuft«, mithin also:
- welche Daten,
- von wem,
- wie
- für welche Zwecke
verarbeitet werden, kann ich diese Datenverarbeitungen auf den Prüfstand stellen und schauen, ob es für jede dieser Verarbeitungen eine entsprechende Legitimation gibt.
Insofern ist eine entsprechende Transparenz über die konkrete Datenverarbeitung im Einzelfall essenziell, um überhaupt eine belastbare rechtliche Aussage zu treffen.
Fehlen mir diese essenzielle Informationen, ist eine Aussage über die Rechtskonformität mehr oder weniger eine »Pi mal Daumen« Entscheidung.
Da wir vorliegend die Datenverarbeitung von Yammer im Lichte eines Arbeitsverhältnisses betrachten wollen, müssen wir uns besonders mit der gesetzlichen Legitimation aus Art. 6 Abs. 2, Art. 88 DSGVO und § 26 BDSG beschäftigen.
Zusammengefasst dürfen nach diesen Regelungen Daten verarbeitet werden, wenn dieses für die Erfüllung / Durchführung usw. des Arbeitsverhältnisses erforderlich ist.
4. Einzelfallbetrachtung erforderlich
Für die Beurteilung der Erforderlichkeit kommt es darauf an zu entscheiden, ob der Einsatz von Yammer das geeignete und mildeste Mittel ist, um den beabsichtigten Zweck (Durchführung des Arbeitsverhältnisses) zu erreichen. Ob der Einsatz von Yammer und der damit verbundenen Datenverarbeitung für das Arbeitsverhältnis wirklich erforderlich / notwendig ist, muss im konkreten Einzelfall beurteilt werden. Die Bewertung hängt insbesondere auch stark davon ab, wie und von wem (von welchen AN, in welchen Funktionen) Yammer eigentlich genutzt werden soll. Dazu nachfolgendes Beispiel:
Bei einem »normalen« Unternehmen dürfte es m.A. nach nicht zwingend notwendig (erforderlich) sein, dass alle Mitarbeiter einen dienstlichen Facebook Account haben müssen. Denn dieser Account und die damit verbundene Datenverarbeitung durch Facebook sind nicht für die Erfüllung des Arbeitsverhältnisses eines jeden Mitarbeiters zwingend notwendig. Anders dürfte es jedoch möglicherweise bei Mitarbeitern einer Marketingabteilung bzw. PR Abteilung sein. Deren dienstliche Aufgabe ist es ja gerade, das Unternehmen auch nach außen hin zu vertreten, wozu heutzutage wohl auch der Unternehmensauftritt in Social Media (SM) zählen dürfte.
Wenn man daher zum Ergebnis kommt, dass der Einsatz von Facebook oder Yammer bei den jeweiligen AN nicht zulässig ist, bleibt als einziger »Notanker« nur noch, die wirksame Einwilligung des AN. Aufgrund des Machtungleichgewichts zwischen AG und AN dürfte es jedoch mit der essenziellen Freiwilligkeit einer Einwilligung so eine Sache sein und an einer solchen regelmäßig fehlen.
4.1 Die Betriebsvereinbarung
Sollte der AG eine Betriebsvereinbarung hinsichtlich der Nutzung von Yammer oder ähnlicher SM-Anwendungen abgeschlossen haben, kann diese, wenn sie die Anforderungen der DSGVO erfüllt, durchaus auch eine Legitimation im Sinne der DSGVO darstellen. Damit eine solche Vereinbarung jedoch auch wirksam ist, gilt es darauf zu achten, dass in dieser alle relevanten Aspekte der DSGVO umfassend abgebildet werden. Eine Betriebsvereinbarung selber muss nämlich, wenn sie als Legitimation dienen soll, immer auch konform mit den »Grundprinzipien der Datenverarbeitung« sein. Da die DSGVO mit vielen vermeintlich neuen gesetzlichen (Datenschutz-) Anforderungen, besonders im Bereich der Betroffenenrechte daherkommt, die wir bisher aus dem alten Recht so nicht kannten, ist ein jeder AG, der seine Datenverarbeitung auf Betriebsvereinbarungen weiterhin stützen will gut beraten, sämtliche dieser Vereinbarungen auf den DSGVO-Prüfstand zu stellen.
Denn wenn eine (alte) Betriebsvereinbarung gegen diese (neuen) Prinzipien verstößt, ist sie keine wirksame Legitimationsgrundlage im Sinne der DSGVO, weshalb es dann für einen AG »eng« hinsichtlich des rechtmäßigen Einsatzes werden kann.
5. Bewertung der Datenübermittlung
Hat ein AG die nicht unerhebliche gesetzliche Hürde der »Rechtmäßigkeit« für den Einsatz im Unternehmen genommen und kommt zum Ergebnis, dass der Einsatz von Yammer vor dem Hintergrund der unternehmerischen Zwecke grundsätzlich rechtmäßig sein kann, ist er mit der Prüfung jedoch noch längst nicht am Ende.
Denn dann gilt es die (sehr wahrscheinlich stattfindende) Datenübermittlung an Yammer zu bewerten. Die Datenübermittlung an Yammer (und an wen auch immer) stellt auch eine Datenverarbeitung dar und bedarf dem Rechtmäßigkeitsgrundsatz folgend, auch einer entsprechenden Legitimation.
Je nach Art und Weise der Datenverarbeitung durch Yammer liegt entweder eine sog. Auftragsverarbeitung (vgl. Art. 28), eine sog. gemeinsame Datenverarbeitung (vgl. Art. 26) oder eine Datenübermittlung an einen Dritten zwischen dem AG und Yammer vor. Im Fall der Auftragsverarbeitung oder der gemeinsamen Datenverarbeitung muss der AG mit Yammer einen entsprechenden (umfangreichen), auf die konkrete Datenverarbeitung bezogenen Vertrag abschließen. Bei diesen Verträgen ist besonders darauf zu achten, dass auch für die Datenverarbeitung durch einen Auftragsverarbeiter, die grundsätzlichen Prinzipien des Datenschutzrechts abgebildet werden. Mithin muss auch die Datenverarbeitung des Auftragsverarbeiters, auch wenn sie rechtlich dem Verantwortlichen (AG) zugerechnet wird, sich an den Grundprinzipien orientieren. Denn auch bei einer Einschaltung eines Externen (Auftragsverarbeiters) gilt es für den Verantwortlichen immer zu gewährleisten, dass es nicht zu einer Verschlechterung des Datenschutzniveaus bzw. zu einer Erhöhung des Risikos kommt.
5.1 Die Auftragsverarbeitung
Eine Auftragsverarbeitung macht aus, dass der Verantwortliche weiterhin »Herr der Daten« bleibt. Mithin muss der AG bei einer Auftragsverarbeitung weiterhin die Möglichkeit haben Yammer zu sagen, was und wie sie mit seinen Daten umgehen sollen. Yammer ist diesbezüglich weisungsgebunden und darf sich nur entsprechend der vertraglichen Vereinbarungen / Weisungen des AG verhalten. Führt Yammer eine Datenverarbeitung auf eigene Faust durch, wird Yammer für diese Datenverarbeitung zum (weiteren) Verantwortlichen und kann somit direkt (theoretisch) von der Aufsichtsbehörde zur Rechenschaft gezogen werden. Ferner aber auch der AG, wenn er keine erforderlichen Maßnahmen getroffen haben sollte, dieses zu verhindern. Falls ein Auftragsverarbeitungsvertrag abgeschlossen wird, ist nämlich immer die Frage, ob ein Auftragsverarbeiter auch wirklich das in der Realität umsetzt, was er vertraglich zusichert.
Was im Falle von Yammer nicht unwahrscheinlich sein dürfte ist, dass es zu einem »munteren« Datenaustausch zwischen Yammer und Microsoft und den restlichen Konzernunternehmen kommen dürfte. Selbiges erfolgt ja auch bei LinkedIn und Microsoft, weshalb sich so manche LinkedIn-Nutzer schon gewundert haben, weshalb sie plötzlich von Linkedin Vorschläge zum »Adden« von Personen kommen, die wohl aus ihrem Outlook-Adressbuch stammen.
5.2 Datentransfer in die USA
Die vorstehend dargestellten Anforderungen gelten jedoch zunächst einmal nur, wenn die Daten innerhalb von Europa transferiert werden. Gehen sie nach Amerika und somit in ein datenschutzrechtlich (unsicheres) Drittland, ist ein solcher Transfer nur unter strengen Voraussetzungen möglich. Denn diesbezüglich muss der AG als Verantwortlicher gewährleisten, dass ausreichende Garantien vorhanden sind, dass die Daten im Drittland (Amerika) ordnungsgemäß verarbeitet werden. Wenn keine solchen »Garantien« vorhanden sind, dann darf er diesen Dienst auch nicht einsetzen.
6. Pflichten und Grundsätze
6.1 Informationspflichten gegenüber dem AN
Eine weitere Pflicht des Verantwortlichen ist, den Betroffenen (AN) immer auch transparent zu machen, was beim Einsatz von Yammer so alles mit seinen Daten passiert, wohin sie gehen, aufzuzeigen, zu welchen Zwecken die Daten verarbeitet werden usw. (die Transparenz- / Informationspflichten des Verantwortlichen finden sich in Art. 12 – 14 DSGVO). Diesen Transparenzpflichten kann der Verantwortliche jedoch nur nachkommen, wenn er wie vorstehend dargestellt weiß, was tatsächlich bei der Yammer-Datenverarbeitung passiert.
Einem Betroffenen wie einem AN stehen ferner Rechte wie Auskunftsrechte zu, mit denen er erfahren kann, was mit seinen Daten geschieht, wie sie verarbeitet werden usw. Kommt ein AG den Auskunftsgesuchen der Betroffenen nicht bzw. nicht rechtzeitig nach, kann es wie vorstehend angedeutet, für ihn »teuer« werden.
Ferner muss der Verantwortliche sicherstellen, dass die Datenverarbeitung durch Yammer für den Betroffenen nach »Treu und Glauben« bzw. fair abläuft. Es darf daher nicht sein, dass der Betroffene durch den Einsatz von Yammer ungerechtfertigt benachteiligt wird und Dinge (im Hintergrund) ablaufen, mit denen der Betroffene nicht rechnen kann / muss. Ob das bei Yammer der Fall ist, kann ich wie gesagt, mangels fehlender Kenntnis nicht beurteilen. Ferner muss er auch gewährleisten, dass die Betroffenenrechte angemessen erfüllt werden.
6.2 Zweckbindungsgrundsatz
Bei all dem ist ferner auch immer essenziell, dass der sog. Zweckbindungsgrundsatz eingehalten wird.
Personenbezogene Daten müssen
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; […] (»Zweckbindung«);
Ein Verantwortlicher muss bei einem Einsatz eines Dienstes wie Yammer stets gewährleisten, dass die zu verarbeitenden Daten auch wirklich nur zu den entsprechend gesetzlich legitimierten Zwecken verarbeitet.
So ist es bspw. dem Zweckbindungsgrundsatz folgend unzulässig, dass ein AG Daten von AN, die er ursprünglich zur Durchführung des Arbeitsverhältnisses verarbeiten sollte, nun zu werblichen Zwecken verarbeitet oder sogar zur Mitarbeiterüberwachung nutzt. Eine solche Zweckänderung ist dem Zweckbindungsgrundsatz folgend nur zulässig, wenn der neue Zweck »rechtmäßig« ist und zweitens die beiden Zwecke miteinander komplementär sind.
Sollte Yammer Auftragsverarbeiter sein, muss der Zweckbindungsgrundsatz für sie ganz besonderem Maße gelten. Denn durch die strenge Weisungsgebundenheit als Auftragsverarbeiter darf Yammer sowieso die Daten nur zu den Zwecken verarbeiten, zu denen sie die Daten vom AG bekommen haben. Weicht sie davon ab, wird sie wie aufgezeigt für diese Verarbeitung selber zu einem Verantwortlichen.
6.3 Grundsatz der Datenminimierung
Eng mit dem Grundsatz der Zweckbindung hängt auch der Grundsatz der Datenminimierung zusammen.
Personenbezogene Daten müssen
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (»Datenminimierung«);
Der Verantwortliche selber muss gewährleisten, dass immer nur so viele Daten verarbeitet werden, wie er zur Erfüllung des Zwecks benötigt. Daten, die »zu viel sind«, sind daher zu löschen. Daher hängt beim Einsatz von Yammer viel davon ab, ob der AG den Umfang der Datenverarbeitung beeinflussen steuern kann.
Der Grundsatz der Datenminimierung ist auch ein wesentlicher Teil von »Privacy by Design« (vgl., Art. 25). Nach diesem Grundsatz darf der Verantwortliche im Prinzip nur noch Systeme einsetzen, die den Datenschutz und insbesondere auch den Datenminimierungsgrundsatz beachten. Ferner sollte in diesen Systemen auch der Datenschutz »by default« etabliert sein.
Ob die Yammer-Software diese Grundsätze beachtet, kann ich wie gesagt nicht beantworten. Wenn sie jedoch mehr Daten als notwendig (zur Erfüllung des Verarbeitungszwecks) verarbeiten bzw. an sich leiten, dürfte dieses möglicherweise ein Verstoß gegen diesen Grundsatz darstellen.
Personenbezogene Daten müssen
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden (»Richtigkeit«);
Will ein AG eine Software wie Yammer einsetzen, muss er technisch und organisatorisch sicherstellen, dass die Daten richtig und aktuell sind. Falls sie unrichtig sein sollten, muss er sicherstellen, dass sie (und theoretisch auch alle Kopien) entweder unverzüglich (komplett) gelöscht oder berichtigt werden. Gerade bei Cloud-Diensten, auf deren Verarbeitung ein AG keinen wirklichen Einfluss hat, ist das eine nicht zu unterschätzende Herausforderung, die es in jedem Fall entsprechend vertraglich abzubilden gilt.
6.4 Grundsatz der Speicherbegrenzung
Ähnliches gilt auch für den Grundsatz der Speicherbegrenzung.
Personenbezogene Daten müssen
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden (»Speicherbegrenzung«);
Wenn Daten gespeichert werden sollten, dann gilt es dem Grundsatz der Speicherbegrenzung folgend, diese Daten nur so lange zu speichern, wie dieses für die Erreichung der Zwecke notwendig ist. Ist der Zweck erreicht bzw. kann nicht mehr erreicht werden und gibt es keine anderen Zwecke, die eine weitere Speicherung legitimieren (z. B. Aufbewahrungsfristen), sind die Daten, den Grundsätzen der Datenminimierung und Speicherbegrenzung folgend, (datenschutzkonform) zu löschen.
Dieser Grundsatz gilt insbesondere auch für Yammer, insbesondere wenn sie Auftragsverarbeiter sein sollten.
6.5 Gewährleistung der Sicherheit
Und bei all dem gilt es auch stets, eine ausreichende Sicherheit zu gewährleisten…
Personenbezogene Daten müssen
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (»Integrität und Vertraulichkeit«);
Bei jeder Datenverarbeitung muss sichergestellt sein, dass diese »sicher« erfolgt. Mithin muss die Integrität und Vertraulichkeit der Daten gewährleistet sein. Ferner auch die Belastbarkeit der Systeme und die Wirksamkeit der Maßnahmen (vgl. Art. 32).
Da ich die technischen Implikationen und die Sicherheitsinfrastruktur von Yammer inkl. der vom AG getroffenen technischen und organisatorischen Maßnahmen im jeweiligen Einzelfall nicht kenne, kann ich auch nicht beurteilen, ob die Nutzung von Yammer »sicher« i.S.d. DSGVO erfolgen kann.
Klar ist jedenfalls eines, was Mike auch in diversen Artikeln dargestellt hat. Mit jeder Einbindung externer Dienste, steigt automatisch die Komplexität der Datenverarbeitung. Damit wird gleichzeitig auch die Datenverarbeitung immer intransparenter. Folglich wird es für einen Verantwortlichen (AG) auch immer schwerer, eine erforderliche »Sicherheit« und notwendig Transparenz zu gewährleisten.
Abs. 2
Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (»Rechenschaftspflicht«).“
Diese Anforderung ist meiner Ansicht nach einer der größten Herausforderungen der DSGVO. Denn diesem Grundsatz folgend, muss der Verantwortliche sicherstellen, dass sämtliche Datenverarbeitungen inkl. der getroffenen technischen und organisatorischen Maßnahmen in einem ausreichenden Maße, vollumfänglich dokumentiert sind.
Diesem Grundsatz folgend gilt, dass alles das, was nicht dokumentiert ist, auch nicht geschehen ist! Vor Gericht bedeutet dieses mithin, dass dem Verantwortlichen die volle Beweislast zum Nachweis der »Rechtmäßigkeit« des Einsatzes eines Dienstes wie Yammer obliegt. Bei einer intransparenten Datenverarbeitung ist es folglich umso schwerer, den Grundsatz der Rechenschaftspflicht zu erfüllen…
Der Kuketz-Blog ist spendenfinanziert!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
6.6 Arbeitsrechtliche Komponente (Betriebsrat)
Kurz noch etwas zur arbeitsrechtlichen Komponente: Wie schnell deutlich werden sollte, ist es u.a. mit dieser Software durchaus möglich, die Mitarbeiter zu überwachen. Insofern erscheint es auch möglich, das Verhalten der Mitarbeiter zu analysieren. Bei einem Einsatz einer solchen Software ist daher jedem AG anzuraten, den Betriebsrat (falls vorhanden) zu beteiligen.
7. Fazit
Wie aufgezeigt, lässt sich die Frage, ob ein Einsatz von Yammer oder einem anderen sozialen Netzwerk wie Facebook zulässig ist, nicht einheitlich beantworten. Vielmehr kommt es, wie so oft, auf die Umstände des Einzelfalls an. Für eine konkrete rechtliche Bewertung des Yammer-Einsatzes ist es essenziell zu wissen, welche Daten, wie an wen überhaupt gesendet werden.
Die Rechtmäßigkeit eines Einsatzes von moderner, »kommunikationsfreudiger« Software kann man m.A. nach jedoch nur überprüfen, wenn man sich die Datenflüsse dieses Dienstes genau anschaut. Wie Mikes App-Tests usw. nämlich des Öfteren aufgezeigt haben, sind Datenschutzerklärungen oftmals nicht allzu aussagekräftig und entsprechen nicht immer der technischen Realität. Aus diesem Grund ist es meiner Ansicht nach für einen AG aufgrund seiner Stellung als Verantwortlicher notwendig, vor »Liveschaltung« eines solchen Dienstes, die konkreten Datenflüsse zu analysieren und mit der Datenschutzerklärung abzugleichen. Die (konkreten) Informationen der Datenflüsse muss er dem Transparenzgrundsatzes folgend, sowieso seinen AN zur Verfügung stellen (vgl. Artt. 12- 14).
Stellt der AG bei seinen Tests Abweichungen von den ihm mitgeteilten Angaben fest, sollte er sich fragen, ob er diesem Dienst vertrauen kann. Ein bloßes Vertrauen darauf, dass alles schon gut sein wird, ist m. A. nach nicht ausreichend, sondern vielmehr fahrlässig.
Ehrlicherweise muss man aber bei all dem auch sagen, dass wir praktisch auch nie erfahren werden, was tatsächlich mit den übermittelten Daten eigentlich geschieht. Ferner werden wir vielfach nicht erfahren, zu welchen Zwecken sie (noch) verarbeitet werden usw. Daher hilft oftmals leider nichts anderes, als darauf zu vertrauen, dass sich die Anbieter rechtmäßig und respektvoll verhalten werden, was jedoch oftmals leider nicht der Realität entspricht.
Ob ein Vertrauen in Dienste, von denen man eigentlich weiß, dass man diesen eigentlich nicht vertrauen dürfte, der richtige Weg ist oder ob man nicht wirklich besser versuchen sollte, sich aus der Abhängigkeit zu lösen, ist eine Entscheidung, die jeder Verantwortliche für sich selber treffen muss. Er ist ja der Verantwortliche und steht somit auch für einen Einsatz gerade.
Klar ist aber, dass ein: »et hätt noch immer jutjejange« (bisher ist es ja immer noch gutgegangen), wie man in Köln sagt, gerade nicht mehr ausreichen dürfte, um den von der DSGVO als Verantwortlicher aufgebürdeten Pflichten vollumfänglich nachzukommen.
Ein AG sollte auch darauf vorbereitet sein, dass ein AN als Betroffener von seinen durch die DSGVO gestärkten Betroffenenrechten Gebrauch macht. Falls er diesen Rechten nicht, oder nicht ordnungsgemäß nachkommt, droht ihm u.a. der »große Bußgeldrahmen« (bis zu 20 Mio oder 4 % des Jahresumsatzes) durch die Aufsichtsbehörden. Ferner können sich Datenschutzverstöße auch negativ auf den Ausgang arbeits- / zivilgerichtlicher Verfahren auswirken…
Ferner besteht auch die Gefahr, dass wenn ein AG seine AN verärgert, diese die Möglichkeit haben, sich bei der Aufsichtsbehörde über ihn zu beschweren. Diese muss dann der Beschwerde nachgehen und wird sich dann höchstwahrscheinlich an den AG wenden. In einem solchen Fall sollte sich ein AG auf einige möglicherweise »unangenehme« Fragen einstellen, die es in einer relativ kurzen Frist, umfangreich zu beantworten gilt. Ferner stehen der Aufsichtsbehörde auch weitere Maßnahmen zur Verfügung, die ein AG möglichst vermeiden sollte…
Alles in allem sollte ein AG daher m.A. nach bei einem Einsatz von »kommunikationsfreudiger« Software am besten zweimal überlegen, ob nicht möglicherweise die Pflichten und der betreibende Aufwand, die mit dem »rechtskonformen« Einsatz einhergehen möglicherweise das »Einsparungs- bzw. Optimierungspotenzial«, das er sich vom Einsatz verspricht, übersteigen.
Eine allgemein gültige Antwort auf diese Frage kann es nicht geben. Wichtig bei alledem ist jedoch, dass der AG die Risiken, die mit dem Einsatz einer solchen Software einhergehen analysiert, ehrlich bewertet und entsprechend des Risikos, das mit der Verarbeitung der Betroffenendaten aus Sicht des Betroffenen einhergeht, die notwendigen technischen und erforderlichen Maßnahmen trifft. Bei all dem gilt es dem Betroffenen, der jeder von uns sein kann, stets den notwendigen Respekt entgegenzubringen…
Bildquellen:
Auction: Vectors Market from www.flaticon.com is licensed by CC 3.0 BY
Like: Smashicons from www.flaticon.com is licensed by CC 3.0 BY
Über den Autor | Gastbeitrag
Gastbeiträge werden von Autoren verfasst, die nicht zum festen Redaktionsteam des Kuketz-Blogs gehören. Bevor ein Gastbeitrag veröffentlicht wird, findet eine inhaltliche Abstimmung mit mir statt. Dabei übernehme ich die redaktionelle Bearbeitung des Textes, prüfe den Inhalt und bereite den Beitrag sorgfältig für die Veröffentlichung im Blog vor.
Unterstützen
Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
DB Navigator: Datenschutz fällt heute aus – App-Check Teil1
Alternativen zu Anti-Viren-Software – Snakeoil Teil3
Sofatutor: Kurzanalyse der Datenschutzinformationen
Digitale (Sicherheits-)Strategie: 5 Grundprinzipien – Mein digitaler Schutzschild Teil 3
Antiviren-Scanner: Nur ein Sicherheitsgefühl? – Snakeoil Teil2
9 Ergänzungen zu “Der Einsatz von Social Media im Arbeitsleben aus datenschutzrechtlicher Sicht”
Wenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit.
Kuketz-ForumAbschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.
Danke für den sehr ausführlichen Artikel, Gerald. Heftig, was für ein Risiko ein Arbeitgeber in Zukunft damit eingeht, einen von einem Drittanbieter betriebenen Cloud-Dienst zu verwenden. Die EU-Datenschutzgrundverordnung scheint ein kraftvolles Gesetz zu sein.
Vielen Dank für diesen Artikel, welchen ich gerne noch um dieses URL ergänzen möchte: Diverse EU-DSGVO-Artikel aus dem „Social Media Recht – Blog“ von der Rechtsanwältin Nina Diercks
Sie hat dort diverse Fachartikel verfasst und die lassen mit diesem Artikel hier nichts Gutes erahnen. Meiner Ansicht nach gibt es einfach ein erhebliches Problem in der generellen Umgangsweise mit Daten auf dieser Seite des Atlantiks und „drüben“ oder andernorts. Eventuell hat hier die EU auch positives vorgehabt, aber wer soll das alles prüfen oder durchsetzen? Und welcher AN legt sich wirklich mit seinem AG an, weil er Yammer! einsetzen sollte oder ein ähnliches Tool und bringt dann noch Datenschutzbehörden ins Spiel, die den AG oder seinen Arbeitsplatz generell in arge Schwierigkeiten bringen könnte. (Vergleich: VW Abgasskandal vs. eigene Kronzeugen vs. Emissionsschutzgesetze weltweit.)
Ohne IT-rechtliche Fachberatungen oder Spezialisten kann ich mir beim besten Willen nicht vorstellen, wie normale oder kleinere Unternehmen diese ganzen rechtlichen Fallstricke und Datenverbindungen überhaupt prüfen sollen. Und selbst wenn dies vorab geschehen ist, hat Mike in seinem Android-App-Test dargestellt, dass AGB oder App-/Tool-Berechtigungen sich ja jederzeit mit einem Update wieder ändern lassen. Dann geht das ganze Geprüfe wieder von vorne los oder ich verzichte auf solche Tools generell. Vielleicht ist das gute alte Telefon oder eine klassische SMS oder eine PGP-verschlüsselte E-Mail immer noch die bessere Wahl in der Team-Collaboration.
Als in Teilen selbst Betroffener des o. s. Artikels mache ich mir gerade so meine Gedanken. Einer der wichtigsten Dinge welche ich derzeit schon praktiziere ist, hier für diese Thematik ein erstes Bewusstsein zu schaffen. Aber selbst bei „IT-Profis in meiner beruflichen Umgebung“ stösst man plötzlich auf naive oder bewusst verleugnende Problemhaltungen.
Dankeschön für diesen Beitrag, Gerald!
Und genau da liegt m. A. nach der Hase im Pfeffer. Viel zu oft und viel zu lange vertrauen wir darauf, dass schon alles „gut“ sein wird. Viel zu selten, wenn überhaupt, hinterfragen oder überprüfen wir bestenfalls, was uns vom Anbieter hoch und heilig versprochen wird. Und nicht zuletzt machen es uns Anbieter ganz bewusst nicht besonders leicht, die Vertragsbedingungen zu erfassen und auch zu verstehen. Selbst wenn ich mir als Verbraucher im Sinne des BGB die Mühe mache und seitenweise AGBs studiere, müsste ich parallel dazu einen Fachanwalt zu Rate ziehen, um den gelesenen Inhalt rechtssicher verstehen und anwenden zu können. Hierzu besteht seitens Gesetzgeber dringender Handlungsbedarf.
Hallo,
ich mag(bzw. möchte) perfekt administrierte Systeme, aber was ich bisher kennenlernte ist weit davon entfernt, vieles ist störend bis unbenutzbar, nicht nur umständlich, bei der Arbeit, bin ja beruflich auch nur Anwender, soweit es die Nutzung dienstlicher Technik betrifft, wenn ich das für mich privat nicht mache, dann lasse ich das nur angesichts des Aufwandes bei nichtmöglicher Wiederherstellbarkeit im Falle eines nicht auszuschließendem Ausfalls, für mich ist es Mittel zum Zweck der Information und meine persönliche Existenz hängt nicht daran, ich nutze auch kein Onlinebanking)
ich bin für eine Firma tätig, die letztes Jahr von einem US-amerikanischen Unternehmen übernommen wurde, seitdem finden sich in den Signaturen der E-Mails Logos mit Links zu Twitter, Facebook, Youtube, linkedin, xing, kununu mit Bezug zum Unternehmen und einer mir nicht bekannten Seite(ich such jetzt auch nicht erst danach), die Nutzung irgendwelcher dieser Dienste wurde jedoch nicht angesprochen.
Eine Anweisung zur privaten Nutzung von Sozialen Medien gab es nur von der Firma, bei der ich angestellt bin und da nur dahingehend, daß jeglicher Firmenbezug zu unterlassen ist, die Firma nutzt selbst Whatsapp und hat mich, obwohl eine dienstliche mobile Telefonnummer vorhanden ist, kürzlich mit privater Telefonnummer in der Whatsapp-Gruppe aufgenommen. Ich war da wohl nicht konsequent genug, als ich darum bat, daß die private Telefonnumer nicht in der Liste der Firma erscheinen solle. Das Verhältnis innerhalb der Firma ist allerdings auch nicht so, daß ich ein wirkliches Problem damit hätte. Nichts ist für die Ewigkeit. Ich bin so, wie ich bin.
Ich nutze das mir zur Verfügung gestellte (gleich gerootete) Smartphone mit AFWall+ und XPrivacy allerdings auch mit dienstlicher Nummer für Whatsapp, meiner Firma scheint das entgangen zu sein, privat wollte ich bis dahin nie Whatsapp nutzen, aber es war ja dann mal da …
… für meine Arbeit bin ich auf die Nutzung eines (anderen) Smartphones angewiesen, kürzlich gab es ein neues von Samsung, also erstmal wieder alle mir bekannten erforderlichen Erstellungen vorgenommen(u.a. auch alle unnötige Apps, soweit möglich deaktiviert, Ortung deaktiviert), die ohne „Root“ möglich waren, ohne daß eine Netzanbindung bestand, NetGuard angepaßt, den nötigen Samsungaccount für die Nutzung des „’sicheren‘ Ordners“ erstellt, dort ist es dann auch möglich, die Google-Dienste zu deaktivieren, Netguard läuft zweimal, unter Android ist die Einstellung des permanenten VPN damit möglich.
(ja, ich weiß, daß diese Nutzung sicher nicht ganz fair gegenüber Marcel ist, privat habe ich für die Nutzung allerdings bis auf die Entwicklung meinen Beitrag soweit möglich geleistet, ich werde die von mir modifizierte Version mit Sicherheit auch niemandem zu Verfügung stellen, wie beim Original gibts auch die „Netguard wurde beendet“ leider noch gelegentlich, weiß noch nicht, ob ich mir wirklich Mühe mache, mir das mal anzuschauen, Android 7.0 läuft leider nur auf diesem „produktiven“ Handy und der Emulator mag (noch)nicht auf dem Netbook richtig laufen). Mir käme es nicht in den Sinn, dieses Geräte privat zu nutzen.
Die für die Arbeit für das oben genannte Unternehmen erforderlichen Apps laufen im sicheren Ordner und per Netguard werden nur die unbedingt erforderlichen Verbindungen zugelassen(natürlich benötigt Netguard auch Daten und Verbindungen(die FAQ zu Netguard stimmt diesbezüglich logischerweise nicht)), temporär durch Deaktivierung des „Zugriffsmodus“ von Netguard natürlich auch mal für Aktualisierung von Apps und Handyfirmware.
Ich finde es erschreckend, zu wievielen Servern, auch, bzw. besonders, zu denen sozialer Medien, das Handy bzw. bestimmte Apps Verbindungen aufzubauen versuchen, ohne daß man auch nur eines dieser Medien nutzt. (Das Handy war bei Erhalt original verpackt, ungeöffnet und die Firma benutzt im Unterschied zur Nutzung der Laptops bei den Smartphones leider kein unternehmenseigenes VPN)
Durch die vorgeschriebene Nutzung eines Exchangeservers ist das Handy zwar fernadministriert, dies scheint jedoch aufgrund der Verwendung des sicheren Ordners nicht komplett zu greifen, beim vorherigen war u.a. „Smartlock“ nach der Exchange-Einrichtung deaktiviert, beim jetzigen nicht.
Und unsere Politiker hocken phlegmatisch rum, legen die Hände in den Schoß und tun so als wäre alles bestens, anstatt, was eindeutig zu ihrem Aufgabengebiet gehört, energisch gegen diese Missstände einzuschreiten und klare Regeln mit klaren datenschutzkonformen Standards festzulegen.
Kurz was zu den beiden Vorpostern. Da geht es einerseits um „Vertrauen“ in irgendeine Anwendung / Betriebssystem / Cloud / Dienst den man benutzen tut und andererseits um das Thema „Konfigurationsaufwand/-Nutzen/ und -Konfusion“.
Das wahre (echte) Problem ist doch heutzutage das vieles oder die meisten Sachen UNSICHTBAR passieren. Während ich im Real-Life noch fast alle Sachen irgendwie riechen, sehen, fühlen, hören, sprich: „bemerken kann“… fehlt diese so wichtige Eigenschaft zusehends immer mehr bei (? nur kommerziellen, auf Profit ausgerichteten ?) IT-Systemen.
Ein Android-Telefon oder WhatsApp oder ein Windows 10 „funktioniert halt einfach“ für den jeweiligen Anwender obwohl jeder normale Benutzer niemals irgendeine Kontrolle über das, was das System wirklich alles macht und nebenbei tut, hat … DENN … These 1: Es stört ihn auch gar nicht großartig, weil es eben total UNSICHTBAR -unbemerkt und zunächst mal ohne irgendwelche sichtbaren Nachteile- passiert – nach dem Motto „was ich nicht weiß macht mich nicht heiß!“. These 2: Nicht nur dem „Aufgeklärten“ IT-Nutzer sondern zunehmend auch dem IT-Profi stellt sich heutzutage immer öfter die Frage, ob sich denn der ganze Konfigurationsaufwand und die damit verbundene nachfolgende Wartung überhaupt noch lohnen damit man ein System möglichst „spurenarm“ und „kontrolliert“ nutzen kann oder ob man das Produkt nicht am besten einfach unverändert, also „out-of-the-box“, nutzt. Auch um sich eben gerade nicht später in irgendeinem Big-Data verdächtig zu machen. Leider. Einfach zu benutzende Alternativen müssen her und nicht „folge diesen 20 – 50 Konfigurationseinstellungen, die Dich 2 Tage Zeit kosten werden“. Guten Tag noch, schöne neue Welt!
Moin!
Selber IT-Admin im Beruf, in der Familie und bei Freunden und Bekannten, ist das inzwischen genau mein Problem. Ich werde müde… – müde, immer wieder die gleichen Dinge zum X-ten mal tun zu müssen, zu erklären und sogar zu rechtfertigen. Und wenn ich mal denke, dass jetzt alles sauber ist, finde ich bestimmt irgendwo, oft hier im Blog, wieder einen Hinweis darüber, was ich noch nicht bedacht habe. Irgendwann haben „sie“ mich geschafft…
Und zum Artikel: Ich weiß jetzt schon, wie meine Vorgesetzten gucken, wenn ich die Informationen von Herrn Spyra auf unsere Facebook-Konten „anwende“. Statt mir dankbar zu sein, Denkanstöße zu liefern, werde ich Blicke bekommen, die mir das Blut in den Adern gefrieren lassen werden. Datenschutz ist unbequem und teuer, daher wird er oft nur ein Lippenbekenntnis bleiben…
Viele Grüße
PS: Dieser Blog gibt mir aber auch Mut, dafür ein großes Danke.
Zwar bin ich kein studierter IT-Profi, aber ein wenig Ahnung habe ich von dieser Materie auch. Heinz, du sprichst hier exakt das aus was sicherlich ganz viele Helfer (egal ob Profi oder Bastler) frustriert. Aber genau darauf setzt „die andere Seite“.
Zu 5.2 Drittland…
Ganz schwer wie dargestellt ist der Transfer leider nicht. Es ist leider sogar recht simpel, man schließt einfach EU Standardklauseln ab und tada hat man ein angemessenes Datenschutzniveau. Microsoft bietet sogar eigene von den europäischen Aufsichtsbehörde genehmigte Klauseln an. Neben Vertragsklauseln gibt es auch noch andere Möglichkeiten z. B. Privacy-Shield. Die Hürden haben noch nicht mal mehr die Höhe einer Treppenstufe. Nach altem Recht waren die Hürden deutlich höher, Da ich immer noch eine eigene Rechtsgrundlage für die Übermittlung bräuchte…