Intrix DSGVO-Service.at

Profiling
"...jede Art der automatisierten Verarbeitung personenbezogener Daten, um auf dessen Grundlage bestimmte persönliche Aspekte zu bewerten. Schließlich werden diese persönlichen Aspekte herangezogen, um zum Beispiel die Arbeitsleistung einer Person, ihre wirtschaftliche Lage, ihre persönlichen Vorlieben und dergleichen zu analysieren und entsprechende Vorhersagen zu treffen. Hierzu werden regelmäßig – vor allem im Rahmen von webbasierten Systemen – umfassende (Nutzer-)Profile erstellt."

Die Einschränkung von Profiling war und ist wohl einer der Hauptanliegen der DSGVO und der Behörden bei Überprüfungen. Auch wenn so manch amerikanischer Social-Media Betreiber immer noch Profile von Kunden und Nicht-Kunden erstellt, ist bei Profiling ein sehr enger Maßstab anzulegen und der Erlaubnistatbestand sehr genau zu überprüfen.
Wenn man sich auf Art.6 Abs.1f, berechtige Interessen beruft, muss Interessensabwägung und Risikoeinschätzung lückenlos und die Notwendigkeit bewiesen sein.
Meist ist die Einwilligung des Kunden die einzige Möglichkeit um Profile zu erstellen und entsprechend zu verwenden. Die Einwilligung muss dabei transparent und nachvollziehbar sein und alle Zwecke beinhalten.
Eine nachträgliche Änderung der Erlaubnistatbestandes von Einwilligung zu berechtigtem Interesse wird wohl bei einer Prüfung nicht standhalten, wie auch auch die Datenschutzbehörde kürzlich in einem Verfahren gegen den Ö-Bonusclub festgestellt hat.

Privacy-Shield ist Geschichte!

Der Europäische Gerichtshof (EuGH) hat am 16. Juli 2020 das EU-US Privacy Shield mit sofortiger Wirkung für ungültig erklärt .

Was ist mit den Standarddatenschutzklauseln?
Zu den Standarddatenschutzklauseln entschied der EuGH hingegen, dass diese grundsätzlich gültig bleiben. Die Gültigkeit der Klauseln hängt davon ab, ob diese wirksame Mechanismen für die Einhaltung des Schutzniveaus gewährleisten, z.B. ob die Übermittlungen personenbezogener Daten ausgesetzt oder verboten werden, wenn gegen die Klauseln verstoßen wird, welche auch grundsätzlich enthalten sind. Kann das erforderliche Schutzniveau im betreffenden Drittland nicht eingehalten werden, muss dies das Unternehmen im Drittland dem Vertragspartner mitteilen und dieser muss die Datenübermittlung aussetzen oder vom Vertrag mit dem Empfänger zurücktreten. Eine derartige Klausel ist in den jetzigen Standardvertragsklauseln der Europäischen Kommission enthalten. Die Kommission arbeitet derzeit an einer umfassenden Modernisierung der Standardklauseln, um sie angesichts der neuen Anforderungen der DSGVO zu aktualisieren, wobei das EuGH Urteil zu Schrems II abgewartet werden wollte.

Was tun?
Nun vor allem nach außen sichtbare und nicht notwendige Tools, die Daten in die USA senden pausieren oder durch europäische Alternativen ersetzten, z.B. Tracking-Tools, Newsletter-Tools, etc. Natürlich wird man Microsoft-Teams, Google Docs oder andere Produktivitätstools nicht so leicht ersetzen können. Hier werden hoffentlich bald die Hersteller gültige Verträge anbieten oder neue Rechtslagen geschaffen.

Wichtig ist aber vor allem zu wissen, welche Programme welche Daten verarbeiten um im Bedarfsfall reagieren zu können.