2. Rev.
Stand
3.0
Rechtsanwalt Michael Rohrlich
Dozent
2
zugelassen als
Rechtsanwalt seit 03/2003
TÜV Süd zertifizierter
Datenschutzbeauftragter
(DSB-TÜV) seit 06/2012
Vorstandsmitglied des
Webmasters Europe e.V.
seit 09/2010
Mitglied im Expertenrat
des Webmasters Europe
e.V. seit 03/2019
Fachautor seit 1997 /
Buchautor seit 2005
Dozent seit 1998
Video-Trainer bei LinkedIn
Learning / Microsoft (ehem.
video2brain) seit 07/2012
5. Rev.
Stand
3.0
Angemessenheitsbeschluss UK
5
zum
01.01.2021
• EU-Austritt / Brexit
bis
30.04.2021
• UK kein unsicheres Drittland gem. „Brexit-
Abkommen“
bis
30.06.2021
• Verlängerung des status quo gem. „Brexit-
Handelsabkommen“
ab
01.07.2021
• UK = unsicheres Drittland
seit
28.06.2021
• Angemessenheitsbeschluss für UK in Kraft
6. Rev.
Stand
3.0
eigentlich 2 Beschlüsse
für „normale“ Datenverarbeitungen (DSGVO)
für Strafverfolgung etc. (vgl. JI-Richtlinie*)
* Richtlinie vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung
personenbezogener Daten durch die zuständigen Behörden zum Zwecke der
Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der
Strafvollstreckung
Angemessenheitsbeschluss UK
6
10. Rev.
Stand
3.0
Angemessenheitsbeschluss UK
10
Drittstaaten mit Angemessenheitsbeschluss
(Stand: 07/2021):
- Andorra
- Argentinien
- Kanada
- Färöer Inseln
- Großbritannien (gültig seit 1. Juli 2021)
- Guernsey
- Israel
- Isle of Man
- Japan
- Jersey
- Neuseeland
- Schweiz
- Uruguay
- geplant: Republik Süd-Korea
- weggefallen: USA (gem. „Schrems II“-Urteil des EuGH v. 16.07.2020)
Quelle: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en
13. Rev.
Stand
3.0
Standardvertragsklauseln = Standard contractual clauses
(SCC)
neue Fassung seit dem 4. Juni 2021 beschlossen
Standarddatenschutzklauseln?
Standardvertragsklauseln
13
15. Rev.
Stand
3.0
inzwischen einheitliche Nutzung des Begriffs „SCC“
falsche / ungenaue Bezeichnung unerheblich
aber: inhaltlich zu differenzieren zwischen…
Standardbedingungen für Drittlandübermittlungen
(optionale) Musterverträgen für Auftragsverarbeitungen
innerhalb der EU
Standardvertragsklauseln
15
18. Rev.
Stand
3.0
SCC…
dürfen nicht verändert werden
haben Vorrang vor anderen Vereinbarungen
können als individueller Vertrag oder als AGB-
Bestandteil vereinbart werden
setzen eine Datenübermittlungs-Folgenabschätzung
voraus
Standardvertragsklauseln
18
19. Rev.
Stand
3.0
Standardvertragsklauseln
19
Modul Inhalt
Abschnitt I allg. Regelungen
Abschnitt II Pflichten der Vertragsparteien, spez. Regelungen
für Transferkonstellation
Abschnitt III Auswirkungen lokaler Gesetze, Pflichten des
Datenimporteurs
Abschnitt IV Schlussbestimmungen (z.B. Kündigungsregeln,
anwendbares Recht)
Anhang I Details zu Vertragsparteien, Daten, zust.
Aufsichtsbehörden, Übermittlungskonstellation
Anhang II Beschreibung der TOMs
Anhang III ggf. Angaben zu weiteren (Unter-)
Auftragnehmern
20. Rev.
Stand
3.0
Datenübermittlungs-Folgenabschätzung = Data Transfer
Impact Assessment oder kurz: (D)TIA
vgl. SCC Abschnitt III, Klausel 14: „Durchführung einer
Prüfung des Bestimmungsdrittlands auf Grundlage
spezifischer Umstände der Rechtsordnung des Drittlandes“
Datenexporteur muss sich davon überzeugen, dass
Datenimporteur seinen SCC-Pflichten nachkommen kann
und nicht durch lokale Gesetze daran gehindert wird (vgl.
z.B. CLOUD Act oder FISA in den USA)
Standardvertragsklauseln
20
21. Rev.
Stand
3.0
insbesondere bei TIA zu berücksichtigen:
die Zwecke der Verarbeitung
Kategorien & Format der personenbezogenen Daten
Länge der Verarbeitungskette & Anzahl der beteiligten
Akteure
Übertragungskanäle & beabsichtigte Datenweiterleitungen
tatsächliche Umstände der Übermittlung, z.B. ob Daten
im Drittland gespeichert werden oder es lediglich zu
Zugriffen aus dem Drittland kommt
alle relevanten vertraglichen, technischen oder
organisatorischen Garantien & angewandte Maßnahmen
Standardvertragsklauseln
21
22. Rev.
Stand
3.0
Standardvertragsklauseln
22
1. Bestandsaufnahme
• know your transfers
• einschl. Auftragnehmer + ggf.
Unterauftragnehmer
• Differenzierung nach
Übermittlungsland
• auch Cloud-Dienste, Remote-
Zugriff etc.
2. Grundlage
• innerhalb EU / EWR?
• Angemessenheitsbeschluss?
• SCC + zusätzl. Maßnahmen?
• in Einzelfällen: Art. 49 Abs. 1
(z.B. Einwilligung, Vertrags-
erfüllung…)
3. TIA (SCC)
• Ermittlung möglicher Risiken im
Drittland
• Risikoabwägung
• Umsetzung
• Dokumentation
4. Konstellation
• C2C?
• C2P?
• P2P?
• P2C?
23. Rev.
Stand
3.0
Bsp. zusätzlicher Maßnahmen*
vertraglich
organisatorisch
technisch
Verschlüsselung
Pseudonymisierung
Anonymisierung
…
* EDSA: „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von
Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für
personenbezogene Daten“
(https://edpb.europa.eu/sites/default/files/consultation/edpb_
recommendations_202001_supplementarymeasurestransferstools_de.pdf)
Standardvertragsklauseln
23
26. Rev.
Stand
3.0
Art. 82 Abs. 1
„Jede Person, der wegen eines Verstoßes gegen diese
Verordnung ein materieller oder immaterieller Schaden
entstanden ist, hat Anspruch auf Schadenersatz gegen
den Verantwortlichen oder gegen den
Auftragsverarbeiter.“
Schadensersatz
26
27. Rev.
Stand
3.0
Art. 82 Abs. 2
„Jeder an einer Verarbeitung beteiligte Verantwortliche
haftet für den Schaden, der durch eine nicht dieser
Verordnung entsprechende Verarbeitung verursacht wurde.
Ein Auftragsverarbeiter haftet für den durch eine
Verarbeitung verursachten Schaden nur dann, wenn er
seinen speziell den Auftragsverarbeitern auferlegten
Pflichten aus dieser Verordnung nicht nachgekommen ist
oder unter Nichtbeachtung der rechtmäßig erteilten
Anweisungen des für die Datenverarbeitung
Verantwortlichen oder gegen diese Anweisungen
gehandelt hat.“
Schadensersatz
27
28. Rev.
Stand
3.0
Art. 82 Abs. 3
„Der Verantwortliche oder der Auftragsverarbeiter wird von
der Haftung gemäß Absatz 2 befreit, wenn er nachweist,
dass er in keinerlei Hinsicht für den Umstand, durch den
der Schaden eingetreten ist, verantwortlich ist.“
Schadensersatz
28
29. Rev.
Stand
3.0
Art. 82 Abs. 4
„Ist mehr als ein Verantwortlicher oder mehr als ein
Auftragsverarbeiter bzw. sowohl ein Verantwortlicher als
auch ein Auftragsverarbeiter an derselben Verarbeitung
beteiligt und sind sie gemäß den Absätzen 2 und 3 für
einen durch die Verarbeitung verursachten Schaden
verantwortlich, so haftet jeder Verantwortliche oder jeder
Auftragsverarbeiter für den gesamten Schaden, damit
ein wirksamer Schadensersatz für die betroffene Person
sichergestellt ist.“
-> Differenzierung zwischen Außen- & Innenverhältnis
Schadensersatz
29
30. Rev.
Stand
3.0
Voraussetzungen Ersatzanspruch
Sachverhalt: dezidierte Angaben zur Verletzung & den
betroffenen personenbezogenen Daten
Verstoß: (gerichtlich) festgestellter Verstoß gegen die
DSGVO (Pflichtverletzung + haftungsbegründende
Kausalität)
Verantwortlichkeit: Ausführungen zur Verantwortlichkeit &
zur Frage des Entlastungsbeweises (Art. 82 Abs. 3)
Schadensersatz / Schmerzensgeld: Angaben zur geltend
gemachten Höhe des Ersatzanspruchs & zur Frage, worin
der genaue Schaden besteht (über den DSGVO-Verstoß
hinaus)
Schadensersatz
30
31. Rev.
Stand
3.0
Geltendmachung:
Individualklage durch einen Geschädigten
„Zessions-Sammelklage“, d.h. Dienstleister lassen sich
Ansprüche auf Schadensersatz abtreten und machen diese
gegen Provision auch gerichtlich geltend (umstr.)
Musterfeststellungsklage, d.h. bestimmte Verbände (z.B.
Verbraucherzentrale) können Musterprozess führen (die daran
Beteiligten müssen im Nachgang jeweils ihre individuellen
Ansprüche separat geltend machen)
EU-Verbandsklage („DSGVO-Sammelklage“), d.h. bestimmte
Verbände (z.B. Verbraucherzentrale) können konkrete Ansprüche
von vielen „Geschädigten“ für diese geltend machen (ab
frühestens zum 01.01.2023)
Schadensersatz
31
32. Rev.
Stand
3.0
Schadensersatz
32
Anspruch bejaht Anspruch verneint
ArbG Münster, Urt. v. 25.03.2021, Az. 3 Ca
391/20 (5.000,-)
OLG Stuttgart, Urt. v. 31.03.2021, Az. 9 U
34/21
LG Meiningen, Urt. v. 23.12.2020, Az. 3 O
363/20 (10.000,-)
ArbG Mannheim, Urt. v. 25.03.2021, Az. 8 Ca
409/20
AG Hildesheim, Urt. v. 05.10.2020, Az. 43 C
145/19 (800,-)
LArbG Baden-Württemberg, Urt. v.
25.02.2021, Az. 17 Sa 37/20
LArbG Köln, Urt. v. 14.09.2020, Az. 2 Sa
358/20 (300,-)
LG Karlsruhe, Urt. v. 09.02.2021, Az. 4 O
67/20
ArbG Dresden, Urt. v. 26.08.2020, Az. 13 Ca
1046/20 (1.500,-)
LG Landshut, Urt. v. 06.11.2020, Az. 51 O
513/20
ArbG Neumünster, Urt. v. 11.08.2020, Az. 1
Ca 247 c/20 (1.500,-)
LG Köln, Urt. v. 07.10.2020, Az. 28 O 71/20
LG Lüneburg, Urt. v. 14.07.2020, Az. 9 O
145/19 (1.000,-)
LG Frankfurt a.M., Urt. v. 18.09.2020, Az. 2-
27 O 100/20
LG Darmstadt, Urt. v. 26.05.2020, Az. 13 O
244/19 (1.000,-)
LG Hamburg, Urt. v. 04.09.2020, Az. 324 S
9/19
AG Pforzheim, Urt. v. 25.03.2020, Az. 13 C
160/19 (4.000,-)
LG Frankfurt a.M., Urt. v. 03.09.2020, Az. 2-
03 O 48/19
ArbG Düsseldorf, Urt. v. 05.03.2020, Az. 9 Ca
6557/18 (5.000,-)
OLG Dresden, Urt. v. 20.08.2020, Az. 4 U
784/20
ArbG Lübeck, Beschl. v. 20.06.2019, Az. 1
Ca 538/19 (1.000,-)
LG Karlsruhe, Urt. v. 02.08.2019, Az. 8 O
26/19
exemplarische
Auswahl
einiger
Entscheidungen
34. Rev.
Stand
3.0
DSK-Protokoll der 101. Konferenz (April 2021)
Aufsichtsbehörden konzentrieren sich bei der Prüfung von
Windows 10 erstmal auf den öffentlichen Bereich
Erstellung & Veröffentlichung der Orientierungshilfe zu
den Anforderungen der E-Mail-Verschlüsselung
Umsetzung der „Schrems II“-Entscheidung des EuGH
(-> Ankündigung einer bundeslandübergreifenden Prüfung
von Unternehmen auf Datenübermittlungen in Drittstaaten)
DSK-News
34
35. Rev.
Stand
3.0
DSK-Orientierungshilfe „E-Mail-Verschlüsselung“ (16.06.2021)
E-Mails müssen nicht grdsl. verschlüsselt werden
Unterscheidung zwischen Transport- (TLS) & Inhalts-
verschlüsselung (E2EE)
Abwägung der Rechte des Verantwortlichen und der Betroffenen
unter Berücksichtigung u.a. des aktuellen Stands der Technik
(vgl. Art. 32)
bei rein organisatorischen Abstimmungen (z.B. Terminabsprachen)
reicht Transportverschlüsselung, bei Versand sensibler Daten (vgl.
Art. 9, 10) müssen auch Inhalte verschlüsselt werden (S/MIME,
PGP…) -> Risikoabwägung
Sorgfaltspflicht bei Auswahl des E-Mail-Hosters (Anforderungen
der TR 03108-1 des BSI beachten)
DSK-Arbeitsgruppe: ob und inwieweit können Betroffene auf eigenen
Wunsch auf TOMs nach Art. 32 verzichten? (vgl. z.B. Berufsrecht
der Anwälte)
DSK-News
35
36. Rev.
Stand
3.0
Ankündigung einer bundeslandübergreifenden Prüfung von
Unternehmen auf Datenübermittlungen in Drittstaaten:
Pressemitteilung vom 02.06.2021*
Fragenkataloge an…
Bewerberportale
Konzerne (konzerninterner Datenverkehr)
Mailhoster
Webhoster
Nutzer von Tracking-Tools
* z.B. www.baden-wuerttemberg.datenschutz.de/koordinierte-pruefung-
internationaler-datentransfers
DSK-News
36