Standardvertragsklauseln zum Schutz personenbezogener Daten sind regelmäßig unzureichend umgesetzt
Mit der Umsetzung europäischen Rechts in Form der Datenschutz-Grundverordnung (DSGVO) in Deutschland im Jahre 2018 schlug die Stunde der Juristen und Datenschutz-Beauftragten. In relativ kurzer Zeit wurden auch die Verantwortlichen in der Filmproduktion für die rechtlichen Implikationen sensibilisiert, Standardverträge wurden um die nötigen Informations- und Einwilligungs-Anhänge ergänzt, und die Unternehmens-IT erfuhr eine grundlegende Revision. Dies alles geschah, um die Grundsätze des Schutzes personenbezogener Daten – nämlich die Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung, Speicherbegrenzung, Vertraulichkeit, Richtigkeit und Integrität systematisch nachzuweisen und umzusetzen.
Es hat sich jedoch erwiesen, dass die Systematik der Umsetzung in temporären Betriebsteilen der Filmproduktion (also auf der Projekt-Ebene) in der Praxis nur unzureichend gegeben ist.
Der wichtigste Grund liegt zweifelsohne in der mangelhaft wahrgenommenen Auwahl- und Steuerungsverantwortung hinsichtlich der eingesetzten IT-Systeme und Auftragsdatenverarbeiter. Der Fokus der Datenverarbeitung verschiebt sich in den letzten Jahren mehr und mehr auf cloud-basierte, kollaborative Kommunikations- und Projekt-Plattformen. Und da die meisten mittelständischen Filmproduktions-Unternehmen keine entsprechend aufgestellten eigenen IT-Lösungen unterhalten und pflegen, liegt die Auswahl und Steuerung regelmäßig im Aufgabenbereich der jeweiligen Projektverantwortlichen oder – in der Praxis – direkt bei den einzelnen Mitarbeitern. Bestimmende Faktoren sind also deren individuelle Auswahlkriterien oder die Vorlieben. Sie bedienen sich aus einem wachsenden Fundus von Tools auf dem freien Markt, die eine “passgerechte Lösung” versprechen. Und oft genug geben dabei “Empfehlungen unter Kollegen” den Ausschlag für Entscheidungen.
Ein Teil der regelmäßig zum Einsatz kommenden Plattformen, Kollaborations-Tools und Kommunikationsmittel bieten jedoch nicht die erforderliche Transparenz für die Verarbeitung und Speicherung personenbezogener Daten, und oftmals fehlt es auch an der vertraglichen Absicherung der Auftragsdatenverarbeitung. Am Ende kommt es so unter Anderem – wissentlich oder nicht – zum Problem der Datenübertragung in sogenannte Drittstaaten.
Ende der “Privacy Shield”-Vereinbarung zwischen der EU und den USA
Zusätzliche Brisanz erhielt diese Situation durch die endgültige Abfuhr für die “Privacy Shield”-Vereinbarung durch den EuGH im Juli 2020. Zum wiederholten Male wurde hierbei höchstrichterlich festgestellt, dass die Datenschutz-Gesetzgebung der USA, dem Sitz vieler führender IT-Dienstleister der Welt, nicht den Erfordernissen der EU-Gesetzgebung entspricht. Da der Privacy Shield “den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang” einräume, erlaubt er Eingriffe in die Grundrechte von Personen, deren Daten in die USA übermittelt werden.
Mit dem Ende des Privacy Shields entfällt der rechtliche Rahmen für den Datenverkehr zwischen USA und EU, oder konkret: die hiermit verbundene Angemessenheitserklärung der EU-Kommission ist hinfällig. Unternehmen können nicht mehr davon ausgehen, dass Datentransfers in die USA automatisch mit den europäischen Regelungen konform gehen.
Seitdem ist nicht viel passiert. Diverse IT-Dienstleister berufen sich bei ihren in der EU erbrachten Leistungen unverändert auf das Privacy Shield Abkommen. Dies betrifft beispielsweise den “beliebten” Cloud-Anbieter Dropbox oder auch den französischen Anbieter Melusyn mit seiner Branchen-Plattform Setkeeper. Andere Anbieter bleiben bei Aussagen darüber, wo die Daten der Kunden verarbeitet und gespeichert werden, regelmäßig äußerst vage. Man versichert regelmäßig die Einhaltung “aller gesetzlichen Vorschriften”, ohne jedoch darauf einzugehen, auf welche gesetzlichen Grundlagen man sich überhaupt beruft. Insbesondere bei international tätigen Unternehmen sowie bei allfälligen Verweisen auf Drittstaaten und Subunternehmer ist blindes Vertrauen bei der Erfüllung der Schutzpflichten kein hinreichendes Mittel.
Dies gilt zum Beispiel auch für die von Netflix betriebene Plattform Prodicle, welche den Auftragnehmern des Streamingdienstes optional zur Verfügung steht, und deren Datenschutzerklärung seit dem Jahr 2018 nicht mehr aktualisiert wurde. Bei allem Vertrauen in die Bemühungen von Netflix um eine umfassende Unternehmens-Compliance ist doch festzustellen, dass die Rahmensetzungen des Konzerns regelmäßig und vorrangig amerikanischem Recht folgen. In der Praxis wäre demnach zu bezweifeln, ob die Datenverarbeitung dieses US-basierten Konzerns tatsächlich den Maßgaben der DSGVO oder anderen nationalen Datenschutzgesetzen innerhalb der EU entspricht.
Was sind personenbezogene Daten?
Die Datenschutzgesetze verschiedener europäischer Staaten definieren den Begriff der “personenbezogenen Daten” unterschiedlich. In Deutschland fallen nur die Daten einer natürlichen Person unter die gesetzliche Definition, während beispielsweise in der Schweiz, in Österreich, Luxemburg und Dänemark auch die Daten juristischer Personen in den Schutzbereich der entsprechenden Gesetze einbezogen werden. Daten sind personenbezogen, wenn sie eindeutig einer bestimmten Person zugeordnet sind oder diese Zuordnung zumindest mittelbar erfolgen kann – hier spricht man auch von “personenbeziehbaren” Daten.
Kurz: Namen, Wohnadressen, Kontaktdaten, Körpermaße, Versicherungs-Nummern, Personal-Nummern etc. – all dies sind für sich genommen personenbezogene Daten.
Und in einer Branche, welche wie die Filmproduktion im Tagesgeschäft in höchstem Maße auf die kollaborative Verknüpfung von angestellten und freien Mitarbeitern sowie Dienstleistern angewiesen ist, kommen personenbezogene Daten regelmäßig und in breiter Verteilung zum Einsatz: In Kontaktlisten, auf Dispositionen und auf vielen anderen Dokumenten und Schriftstücken im täglichen Einsatz, ebenso wie in Kommunikations-Tools (z.B. in Messenger-Apps), Kollaborations- oder Cloudspeicher-Plattformen für die Mitwirkenden.
Was ist zu tun?
Auf der einen Seite sind die Vertragspartner EU und USA mittlerweile dabei, eine neue Grundlage für den transatlantischen Datenaustausch auf Basis einer neuen Standardvertragsklausel (SVK) zu verhandeln. Auf der anderen Seite jedoch hat der EuGH klargestellt, dass für den Transfer persönlicher Daten zu gewerblichen Zwecken generell Europäisches Recht und insbesondere die DSGVO anzuwenden sei. Ob und wann für diese Frage also eine rechtlich solide Grundlage geschaffen werden kann, steht offen gesagt in den Sternen. Und damit sind viele cloud- oder server-basierten Dienstleistungen des IT-marktführenden Landes auf mittlere Sicht keine gute Wahl. Es sei denn, dass deren Produkte eindeutig und transparent auf die Erfordernisse von regionalen Märkten konfektioniert werden können. Eine zunehmende Zahl amerikanischer IT-Konzerne ermöglichen entsprechende Verträge, wie es zum Beispiel Microsoft mit seinen Azure Cloud Computing Diensten beweist.
Es lohnt sich also ein prüfender Blick in die Datenschutz-Informationen der server-basierten IT-Produkte “unserer Wahl”. Klare und transparente Informationen zu den verwendeten Servern und zu Drittanbietern (Subunternehmern) weisen hier oft genug bereits den richtigen Weg. Und wenn sich hier bereits Verweise auf vertragliche Vereinbarungen zur sogenannten Auftragsdatenverarbeitung finden, ist man eigentlich bereits auf der Zielgerade.
Als positive Beispiele der Branche seien hier Anbieter wie PreProducer oder auch Seriotec mit ihrer Plattform Yamdu genannt, ebenso wie das Drehplanungs-Tool Fuzzlecheck. Ferner kann datenschutzrechtlich beispielsweise der norwegische Cloudspeicher-Dienst Jottacloud empfohlen werden. Und auch Instant Messenger können als professionelle Tools in die Firmen-Kommunikation eingebunden werden. Mit dem Einsatz entsprechender Verschlüsselungstechniken können deren Server gerne auch in Drittstaaten stehen und trotzdem die personenbezogenen Daten schützen – wie es die Messenger Threema und vor allem Signal beweisen.
Datenschutzrechtlich dünnes Eis
Der Europäische Datenschutzausschuss (EDSA) hatte bereits im Juli 2020 betont, dass es keine Gnadenfrist für Datenverarbeitungen auf Basis des gekippten Privacy Shield geben wird. Und nun – fast ein Jahr später – kündigt der erste Datenschutzbeauftragte in Deutschland im Rahmen einer Informationsoffensive ein härteres Vorgehen an. Noch in diesem Jahr soll es im Bundesland Rheinland-Pfalz stichprobenartige Kontrollen bei Unternehmen, Verbänden und staatlichen Stellen geben, um künftigen Verstößen vorzubeugen.
Der dortige Datenschutzbeauftragte Dieter Kugelmann rät dazu, alle etwa in einem Betrieb stattfindenden Datenverarbeitungsvorgänge im Zusammenhang mit Drittländern mithilfe eines bereitgestellten Prüfschemas auf ihre Zulässigkeit hin zu untersuchen und gegebenenfalls nachzusteuern. Das “Schrems II-Urteil” des EuGH betreffe grundsätzlich “fast jedes Unternehmen, jede Behörde, Kommune, Schule, Organisation oder Arztpraxis”. Diese bewegen sich datenschutzrechtlich auf dünnem Eis. Und wer bis jetzt noch nicht auf die neue Rechtslage reagiert hat, “muss umgehend aktiv werden, sofern dies denn nötig ist. Kommt der Verantwortliche oder Auftragsverarbeiter zu dem Schluss, dass eine Umstellung seiner Verträge oder Prozesse nicht erforderlich sei, sollte er dies sowie die Gründe für die Entscheidung dokumentieren. Dies kann sanktionsmildernd wirken, sollte meine Behörde zu dem Ergebnis kommen, dass sehr wohl Anpassungen zu treffen waren und sind.”
Wir empfehlen unseren Mitgliedern, nicht erst im Falle von rechtlichen oder fachspezifischen Unsicherheiten sondern bereits vor Beginn ihrer Tätigkeit Rücksprache mit einem vom Produzenten zu benennenden qualifizierten Datenschutz- oder IT-Beauftragten zu halten (siehe auch Wikipedia: “Privacy by design & Privacy by default – Grundsätze des Datenschutzes”). Die daraus resultierenden Entscheidungen bei Auswahl und konkretem Einsatz von internetbasierten IT-Lösungen oder externer Datenverarbeitungs-Dienstleister sollten, wie oben empfohlen, dokumentiert werden.