Die “digitale Sorglosigkeit” im Umgang mit amerikanischen Softwareplattformen.
Eine wichtige Information für alle die, die ihre Onlinepräsenz durch Die Nutzung von Diensten wie Clubhouse u.a. verbesern wollen:
Clubhouse ist wie Facebook, WhatsApp, Twitter etc. ein amerikanisches Unternehmen. Dadurch, dass die USA derzeit durch den Wegfall des US-PrivacyShield ein unsicheres Drittland ist, ist die Legitimierung des Datentransfers in die USA mittels der EU-Standardvertragsklauseln notwendig.
Was bedeutet denn nun Datentransfer?
Nehmen wir mal an, dass Sie meine Kontaktdaten in ihrem Handy gespeichert haben und sie nicht mich sondern irgendeinen anderen Kontakt ihres Adressbuches im Handy zu ClubHouse einladen möchten. Dabei werden ALLE Kontakte von ihrem Handy auf Server in den USA hochgeladen. Hierzu benötigen Sie meine schriftliche Einwilligung – und natürlich auch die Einwilligung sämtlicher anderer Kontakte in ihrem Adressbuch.
Das Ganze hat schriftlich zu erfolgen in informierter Weise, auf den jeweiligen konkret definierten Zweck bezogen, transparent und mit Hinweis darauf, dass ich diese Einwilligung jederzeit für die Zukunft zurückziehen kann. Haben sie nun 100 Kontakte in ihrem Adressbuch brauchen sie 100 schriftliche Einwilligungen.
Das basiert auf der “Informationellen Selbstbestimmung”. Das bedeutet, dass ich – und nur ich – bestimmen darf, wer meine Daten zu welchem Zweck verarbeitet. Das bezieht sich auf die Artikel 1 und 2 des Grundgesetzes und auf die Artikel 7 und 8 der EU-Grundrechtecharta. Haben Sie die Einwilligungen nicht, steht mir im Falle, dass ich das nicht toleriere und sie verklage, eine Schadensersatz zu. Dazu gibt es bereits einschlägige Gerichtsurteile.
Im Falle der Aufklärung einer Beschwerde durch eine betroffene Person (in diesem Fall ich) prüft die Aufsichtsbehörde das Vorhandensein dieser Einwilligung. Weiterhin wird geprüft, ob sie folgende “Hausaufgaben im Datenschutz” erledigt haben:
- Dokumentation der externen Datenempfänger mit Prüfung der Notwendigkeit einer Vereinbarung zur Auftragsverarbeitung nach Artikel 28 der DSGVO der – sofern es sich um ein unsicheres Drittland handelt – das Vorliegen der EU-Standardvertragsklauseln.
- Definition geeigneter technischer und organisatorischer Maßnahmen (TOMs), die die “Verarbeitung” sicherstellen (Bsp. unternehmensweite Vorgaben zur Speicherung von Kontakten in dienstlichen Handies)
- Dokumentation der vorliegenden Einwilligungen der Kontakte in ihrem Handy.
- Definition von Verarbeitungstätigkeiten im Verzeichnis der Verarbeitungstätigkeiten ggf. mit Risikoeischätzung und Ableitung, ob eine Datenschutzfolgenabschätzung notwendig bzw. sinnvoll ist.
- Erstellen einer Datenschutzfolgenabschätzung, falls auf ihrem Handy auch sensible Daten natürlicher Personen gespeichert sind und diese “abhanden” kommen könnten.
- Definition von Maßnahmen, Internen Richtlinien, die die Verarbeitung personenbezogener Daten (hierzu gehört in diesem Fall auch die unerlaubte Weitergabe von Daten au dem Handy) regeln. Z.B. “Verwendung von Apps wie ClubHouse, WhatsApp und Co. nur auf Smartphones, die die Kontakte enthalten, für die man eine schriftliche Einwilligung des jeweiligen Kontaktes hat”, um nur eines der wenigen Beispiele zu nennen, die man hier ansetzen kann.
Haben Sie diese Hausaufgaben gemacht, sieht es ganz gut aus, denn die Bemessung des Bußgeldes nimmt darauf Rücksicht, ob Sie ihren Dokumentations- und Rechenschaftspflichten nachgekommen sind. Siehe hierzu den Bußgeldkatalog der DSK.
Wir reden hier gerade von Bußgeldern und Schadensersatzsummen, die die Existenz ihres Unternehmens erheblich beeinflussen könnten.
Also Augen auf bei Verwendung von ClubHouse und Konsorten…
Der eigentliche “Showstopper” in dieser Angelegenheit findet sich jedoch hier: https://clubhouse.io/gdpr-privacy.
Sämtliche Daten werden zu Werbe- und Marketingzwecke an Dritte weitergegeben. Das bedeutet, dass meine Daten, die ich nur Ihnen zur Verfügung gestellt habe und die eh schon ohne meine Einwilligung durch ihre Aktivitäten auf das entsprechende Portal hochgeladen wurden, durch Anerkennen der Datenschutzerklärung (die sie wahrscheinlich nicht durchgelesen aber bestätigt haben) meine Daten an anderen Dritte weitergegeben werden.