Es gibt Momente in der Politik, da bricht die Wahrheit durch die Fassade höflicher Diplomatie. Ein solcher Moment ist dieser Tage eingetreten. Ein Rechtsgutachten der Universität zu Köln, das im Auftrag des Bundesinnenministeriums erstellt wurde, liegt nun durch eine Anfrage nach dem Informationsfreiheitsgesetz öffentlich vor. Was Heise berichtet, ist im Grunde nichts Neues – aber nun schwarz auf weiß dokumentiert: US-Behörden haben weitreichenden Zugriff auf europäische Cloud-Daten, selbst wenn diese in EU-Rechenzentren gespeichert sind.

Datenschutzfolgeabschätzung: Wann, warum und wie?

Die Datenschutzfolgeabschätzung (DSFA) ist ein zentraler Bestandteil der Datenschutz-Grundverordnung (DSGVO) und soll sicherstellen, dass Risiken für die Rechte und Freiheiten von Betroffenen rechtzeitig erkannt und minimiert werden. Doch was genau regelt die DSFA, wann muss sie durchgeführt werden, und welche Konsequenzen drohen, wenn Unternehmen, Schulen oder andere Organisationen sie vernachlässigen?

Was ist eine Datenschutzfolgeabschätzung?

Die Datenschutzfolgeabschätzung ist ein strukturierter Prozess, der dazu dient, die Auswirkungen einer Datenverarbeitung auf den Schutz personenbezogener Daten zu analysieren und Risiken zu minimieren. Sie ist verpflichtend für Verarbeitungen, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen.

Der Cloud Act (Clarifying Lawful Overseas Use of Data Act) ist ein US-amerikanisches Gesetz, das im Jahr 2018 verabschiedet wurde. Es ermöglicht US-Behörden den Zugriff auf Daten von US-amerikanischen Unternehmen, auch wenn diese im Ausland gespeichert sind. Dieses Gesetz hat erhebliche Auswirkungen auf internationale Datenschutzbestimmungen und steht insbesondere im Widerspruch zur europäischen Datenschutz-Grundverordnung (DSGVO). In diesem Artikel beleuchten wir, was der Cloud Act bedeutet, wie er sich auf EU-Bürger:innen auswirken könnte und welche Kritik er hervorgerufen hat.

der Datenschutz-Grundverordnung (DSGVO)

Artikel 15 der Datenschutz-Grundverordnung (DSGVO) gewährt jeder betroffenen Person das Recht, von einer verantwortlichen Stelle Auskunft über die Verarbeitung ihrer personenbezogenen Daten zu verlangen. Dies stellt ein wichtiges Werkzeug für Bürger und Bürgerinnen dar, um die Kontrolle über ihre Daten zu behalten und Missbrauch zu verhindern.

In diesem Bericht wird der gesetzliche Ablauf eines solchen Auskunftsersuchens erläutert. Darüber hinaus wird die rechtliche Situation betrachtet, wenn öffentliche Stellen nicht fristgerecht antworten, und ein einschlägiges Urteil des Arbeitsgerichts Oldenburg vom 09.02.2023 (Aktenzeichen 3 Ca 150/21) besprochen.

Die Einführung von Microsoft Office 365 in Unternehmen ist nicht nur eine technische Entscheidung, sondern auch eine Frage der Mitbestimmung durch den Betriebsrat. Im Rahmen der betrieblichen Mitbestimmung spielt der Gesamtbetriebsrat eine zentrale Rolle, wenn es um die Einführung und Nutzung von Software geht, die tief in die Arbeitsprozesse und die Datenschutzrechte der Arbeitnehmer eingreift.

Mitbestimmungsrechte nach dem Betriebsverfassungsgesetz (BetrVG)

Nach § 87 Abs. 1 Nr. 6 des Betriebsverfassungsgesetzes (BetrVG) hat der Betriebsrat Mitbestimmungsrechte, wenn technische Einrichtungen eingeführt werden, die dazu geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Microsoft 365 zählt zu diesen technischen Einrichtungen, da es umfangreiche Überwachungsmöglichkeiten bietet, zum Beispiel durch die Nachverfolgung von Nutzungsdaten oder die Analyse von Arbeitsaktivitäten. Daher ist die Einführung ohne die Zustimmung des Betriebsrats in der Regel nicht zulässig.