Angemessenheitsbeschlüsse für Drittstaaten

Datenübermittlungen in Länder außerhalb der EU, also in „Drittstaaten“, sind rechtlich heikel. Für 15 Länder, darunter Japan und die Schweiz, bieten Angemessenheitsbeschlüsse der EU-Kommission eine sichere Rechtsgrundlage. Es ist sehr nützlich, diese zu kennen.

Die Ausgangssituation ist komplex

Grundsätzlich verbietet die DSGVO die Übermittlung von Daten an Empfänger in Drittstaaten außerhalb der EU. Es gibt jedoch Ausnahmen von diesem Verbot im Kapitel V der DSGVO. Insgesamt umfasst dieses Kapitel sechs umfangreiche Artikel. Am einfachsten ist es, wenn ein Angemessenheitsbeschluss der EU-Kommission für ein Land vorliegt.

Angemessenheitsbeschlüsse erleichtern die Situation

Gemäß Artikel 45 Absatz 1 der DSGVO ist es erlaubt, personenbezogene Daten an ein Drittland zu übermitteln, wenn die EU-Kommission beschlossen hat, dass dieses Drittland ein angemessenes Datenschutzniveau bietet. Das ist besonders für kleine und mittlere Unternehmen eine praktische Möglichkeit, personenbezogene Daten in Drittstaaten zu übermitteln.

Insgesamt gibt es Beschlüsse für 18 Länder

Die Liste der Länder, für die Angemessenheitsbeschlüsse existieren, ist relativ lang: Andorra, Argentinien, Färöer-Inseln, Guernsey, Isle of Man, Israel, Japan, Jersey, Kanada, Neuseeland, Schweiz, Südkorea, Uruguay, Großbritannien, USA. Viele kennen nur den Angemessenheitsbeschluss für die USA, der unter dem Namen „Privacy Shield“ bekannt ist. Dabei vergisst man oft, dass Länder wie Israel, Japan und insbesondere die Schweiz in vielen Branchen genauso wichtig sind wie die USA.

Ein genauerer Blick auf Großbritannien lohnt sich

Seit dem Brexit gehört Großbritannien nicht mehr zur EU und wird als Drittstaat betrachtet. Ohne einen Angemessenheitsbeschluss der EU-Kommission wäre ein Datenaustausch mit Großbritannien nicht in dem bisherigen Umfang möglich gewesen. Die Kanalinseln Guernsey, Jersey und Isle of Man, die für den Finanzbereich wichtig sind, haben innerhalb des Vereinigten Königreichs einen besonderen rechtlichen Status. Deshalb wurden bereits vor dem Brexit entsprechende Angemessenheitsbeschlüsse erlassen.

Angemessenheitsbeschlüsse haben viele Vorteile

Wenn für ein Land ein Angemessenheitsbeschluss besteht, ist keine besondere Genehmigung für eine Datenübermittlung erforderlich (siehe Artikel 45 Absatz 1 Satz 2 der DSGVO). Es müssen auch keine zusätzlichen Zusicherungen seitens des Datenempfängers eingeholt werden, dass er weitere Vorgaben einhält. Solange die Datenübermittlung im Rahmen des Angemessenheitsbeschlusses erfolgt, ist sie rechtlich zulässig, ohne weitere Bedingungen. Die EU-Kommission spricht daher von einer „unkomplizierten und umfassenden Lösung für die Datenübermittlung“.

Jeder Angemessenheitsbeschluss erfordert eine genaue Prüfung

Wer Daten in ein bestimmtes Land übermitteln möchte, sollte den entsprechenden Angemessenheitsbeschluss gründlich lesen. Manchmal gibt es bestimmte Einschränkungen. Ein klassisches Beispiel dafür ist Kanada. Der Beschluss gilt nur für kommerzielle Datenempfänger in Kanada. Derartige Einschränkungen finden sich jedoch nur selten in Angemessenheitsbeschlüssen.

Einige Angemessenheitsbeschlüsse wurden vor der DSGVO erlassen

Viele Angemessenheitsbeschlüsse wurden bereits vor der DSGVO erlassen. Sie basieren auf der EG-Datenschutzrichtlinie von 1995. Die DSGVO stellt ausdrücklich fest, dass diese „Alt-Beschlüsse“ weiterhin gültig sind (siehe Artikel 45 Absatz 9 der DSGVO). Sie bleiben in Kraft, bis die EU-Kommission sie ändert, durch neue Beschlüsse ersetzt oder aufhebt. Bisher gab es noch keine Aufhebung eines solchen Beschlusses.

Die EU-Kommission sorgt für die Aktualisierung der Beschlüsse

Auch für „Alt-Beschlüsse“ wie Japan und die Schweiz bemüht sich die EU-Kommission aktiv um deren Anpassung an die DSGVO. Ein Bericht der EU-Kommission vom 15. Januar 2024 widmet sich speziell den „Alt-Beschlüssen“ und zeigt das Bemühen um ihre dauerhafte Vereinbarkeit mit der DSGVO. Der Bericht ist unter folgendem Link abrufbar: https://commission.europa.eu/document/f62d70a4-39e3-4372-9d49-e59dc0fda3df_en.

Ein kurzer Blick spart viel Arbeit

Vielleicht müssen Sie niemals Daten nach Uruguay übermitteln. Wenn es jedoch nötig sein sollte, ist es gut zu wissen, dass es einen Angemessenheitsbeschluss für dieses Land gibt. Eine Liste aller Angemessenheitsbeschlüsse finden Sie hier: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en.

 

Was ist ein „Mitarbeiter-Exzess“?

Kann ich persönlich eine Geldbuße von der Datenschutzaufsicht erhalten, wenn ich gegen den Datenschutz am Arbeitsplatz verstoße? Die Antwort lautet: Nur wenn mir ein „Mitarbeiter-Exzess“ vorgeworfen werden kann. Aber was bedeutet das genau? Und wie kann ich so etwas vermeiden?

Beschäftigte haben bestimmte Regeln einzuhalten

Beschäftigte müssen die Vorgaben ihres Arbeitgebers befolgen. Das sind die Spielregeln in einem Arbeitsverhältnis. Die Einhaltung dieser Regeln ist auch für den Datenschutz von großer Bedeutung. Da die Unternehmensleitung für den Datenschutz verantwortlich ist, muss sie sicherstellen, dass die Vorgaben beachtet werden.

Nur Beschäftigte können den Datenschutz „vor Ort“ umsetzen

Auch kluge und richtige Vorgaben bringen nichts, wenn sie nicht tatsächlich befolgt werden. Das gilt insbesondere für die Verarbeitung von Daten, bei der die Beschäftigten eine wichtige Rolle spielen. Sie haben die Daten von Kunden, Lieferanten und Kollegen direkt in ihren Händen und nicht die Unternehmensleitung.

Die Unternehmensleitung ist im Alltag oft weit weg

Natürlich ist es Aufgabe der Unternehmensleitung, die Einhaltung der Vorgaben durch Stichproben zu überprüfen. Im Alltag kann sie jedoch darauf vertrauen, dass ihre Beschäftigten korrekt handeln. Natürlich passieren auch Fehler. In solchen Fällen ist es dann die Aufgabe der Führungsebene, die Dinge zu klären. Im Alltag kann sie jedoch auf ihre Beschäftigten zählen.

Manchmal verstoßen Beschäftigte gegen Regeln

Es kann vorkommen, dass ein Beschäftigter sich nicht an die Vorgaben hält, beispielsweise wenn er eigenmächtig Daten von Kunden oder anderen Beschäftigten abfragt. Ein solcher Fall wurde vor dem Europäischen Gerichtshof verhandelt. Wenn ein Beschäftigter Daten ohne betrieblichen Grund abruft, verstößt er bewusst gegen die Vorgaben des Arbeitgebers.

Es gibt typische Beispiele für Fehlverhalten von Beschäftigten

Immer wieder kommt es vor, dass Beschäftigte mit Kundenkontakt Kommunikationsdaten missbrauchen. Zum Beispiel nutzt ein Kundenberater Kundendaten aus privaten Gründen, um Kontakt aufzunehmen. Auch manche Beschäftigte werden in Versuchung geführt, wenn sie die Stelle wechseln. Einige nehmen Kundendaten mit, um ihrem neuen Arbeitgeber zu helfen.

Vorsätzliche Verstöße werden als „Exzess“ betrachtet

Für solche bewussten Verstöße gegen Datenschutzvorgaben von Beschäftigten wurde der Begriff „Mitarbeiter-Exzess“ geprägt. Der Exzess ist ein Verhalten, das bewusst die Regeln ignoriert. Die Verantwortung dafür liegt beim Beschäftigten und nicht beim Arbeitgeber.

Ein solcher Exzess führt zu einer Verlagerung der Verantwortung

Nach dem Datenschutzrecht ist nicht der einzelne Beschäftigte, sondern das Unternehmen, für das er arbeitet, verantwortlich. Voraussetzung dafür ist, dass die Beschäftigten personenbezogene Daten unter der Aufsicht des Unternehmens und im Einklang mit seinen Anweisungen verarbeiten. Wenn sie jedoch bewusst gegen diese Anweisungen verstoßen, werden sie selbst für den Datenschutz verantwortlich. Ab diesem Punkt ist der Arbeitgeber nicht mehr involviert.

Die Beschäftigten tragen dann die Verantwortung selbst

Wenn ein Beschäftigter dienstliche Daten für private Zwecke verwendet, handelt er außerhalb des Arbeitsverhältnisses. In diesem Fall muss er selbst die Vorgaben des Datenschutzes einhalten, was die ordnungsgemäße Information der betroffenen Personen über die Datenverarbeitung beinhaltet. Ein Verstoß gegen den Datenschutz kann zu einer Geldbuße führen, die an den Beschäftigten persönlich gerichtet ist.

Die Verantwortung der Unternehmensleitung endet jedoch

In Unternehmen sollten Mechanismen vorhanden sein, um Verstöße durch Stichproben zu erkennen. Alles andere würde eine Totalüberwachung am Arbeitsplatz bedeuten, die zu Recht verboten ist. Im Falle von Stichproben liegt der Missbrauch von Daten für private Zwecke außerhalb des Verantwortungsbereichs des Unternehmens.

Ein einfacher Rat erspart Ärger

Für Daten am Arbeitsplatz gilt: Verwenden Sie sie nicht für private Zwecke! Wer sich daran hält, vermeidet unnötigen Stress und Ärger.

Achtung vor Deepfakes: Der Spion im Online-Meeting

deepfake

Cyberkriminelle könnten Künstliche Intelligenz (KI) nutzen, um in Online-Konferenzen das Aussehen und die Stimme vertrauter Personen vorzutäuschen. Die Fälschungen sind bereits sehr gut und schwer zu erkennen.

Dennoch gibt es auch im echten Leben Spione, die vertrauliche Gespräche belauschen, ohne dass ein klassischer Hackerangriff oder eine fehlende Verschlüsselung dahintersteckt. Wie ist das möglich, wenn man doch nur vertraute Gesichter sieht und bekannte Stimmen hört?

Die Antwort liegt in der Nutzung von Künstlicher Intelligenz durch Internetkriminelle. Dank KI ist es inzwischen möglich, nicht nur Einzelbilder, sondern auch Videos und Tonaufnahmen zu fälschen. Dies betrifft auch Live-Videos und Gespräche, da die verwendete KI das Videobild und den Ton des Spions in das Aussehen und die Stimme einer anderen Person verwandeln kann, die an dem vertraulichen Online-Meeting teilnehmen dürfte.

Nicht nur E-Mails können unter falschem Namen versendet werden, auch Telefonate und Online-Meetings können mit gefälschter Identität geführt werden. Dadurch erhält Online-Betrug eine völlig neue Dimension.

Deepfakes ermöglichen Identitätsdiebstahl in Echtzeit

Der neuartige Identitätsdiebstahl, bekannt als Deepfake, bezieht sich auf täuschend echte manipulierte Bild-, Audio- oder auch Videoaufnahmen, die mithilfe von Künstlicher Intelligenz erzeugt werden.

Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) war es lange Zeit sehr aufwändig, qualitativ hochwertige Manipulationen an dynamischen Medien wie Videos oder Audiomitschnitten durchzuführen. Dank KI und tiefen neuronalen Netzen ist dies jedoch heute viel einfacher. Für die Kriminellen ist der Aufwand für Deepfakes entsprechend gering.

Die wachsende Echtzeitfähigkeit von Deepfakes bedeutet, dass man in Online-Meetings nicht mehr sicher sein kann, ob man wirklich mit der realen Person spricht oder mit einem Angreifer oder sogar einem Avatar, einer künstlichen Person.

So erkennt man Deepfakes am besten

Obwohl KI inzwischen gefälschte Videos und Stimmen in hoher Qualität erzeugen kann, gibt es gewisse Schwächen in den Deepfakes, die genutzt werden können, um Anzeichen für Fälschungen zu finden. Das Bundesamt für Verfassungsschutz (BfV) empfiehlt:

  • Sorgen Sie für gute Bildqualität, um Ungereimtheiten im Bild zu erkennen.
  • Achten Sie auf die Mimik der Person, um Verzerrungen zu erkennen.
  • Prüfen Sie die Quelle und verifizieren Sie Videoschalten bei Unsicherheit.

Auch das BSI weist auf Anzeichen für eine Gesichtsmanipulation hin, wie sichtbare Artefakte an der Naht rund um das Gesicht, verwaschene Konturen bei Zähnen und Augen, eine begrenzte Mimik und eine unstimmige Beleuchtung.

Da kriminelle KI-Verfahren und Cyberkriminelle schnell dazulernen, werden Deepfakes immer besser. Daher ist es umso wichtiger, vorsichtig zu sein und nicht allem zu glauben, was man zu sehen scheint. Also, Augen auf bei der nächsten Online-Konferenz!