Digital Law Briefing - EY Law
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Digital Law
Briefing
Ausgabe 05 | 4. Quartal 2020 3 Die Schweiz passt ihr Datenschutzrecht dem EU-Standard an
Nach intensiven Beratungen hat das Schweizer Bundesparlament am
Aktuelles zu den 25. September 2020 das totalrevidierte Bundesgesetz über den Datenschutz
rechtlichen Heraus- verabschiedet.
forderungen 7
Daten im Ausland richtig schützen — Schrems-II
Der EuGH hat das transatlantische Abkommen Privacy Shield gekippt, aber
der Digitalisierung Standarddatenschutzklauseln bestätigt. Was Unternehmen jetzt tun müssen.
10
Microsoft Office 365 und Datenschutz — Eine regulatorische Odyssee
Die durch die Corona-Pandemie beschleunigte digitale Transformation hin zu
flexibleren Arbeitsformen mit Homeoffice haben Cloud-basierten Tools für
kollaboratives Zusammenarbeiten einen regelrechten Boom verschafft. Trei-
ber sind dabei Softwarelösungen, wie z.B. Microsoft Office 365 mit Microsoft
Teams, die flexible Kommunikation und „modern Workplaces“ ermöglichen.
13
Ihre Ansprechpartner
Editorial
Sehr geehrte Leserinnen, sehr geehrte Leser,
blickt man auf die vergangenen Monate zurück, darf man wohl feststellen, dass sich
datenschutzrechtliche Themen — trotz Krise — nicht in der Krise befinden. Nach wie vor
zeigt sich, dass der Datenschutz ein wichtiger Bestandteil der öffentlichen Debatte ist
und auch, dass dessen Grenzen und Nutzen offen und kontrovers diskutiert werden — wie
zum Beispiel bei Fragen der Kontaktverfolgung im Zusammenhang mit der Pandemie
bekämpfung. Ebenfalls darf mit Spannung erwartet werden, ob weitere Gerichte dem
LG Bonn folgen werden, das unlängst ein Bußgeld von EUR 9.500.000,00 auf weniger als
10% der ursprünglichen Summe „kürzte“. Ob es sich hierbei um eine Tendenz oder um
einen Einzelfall handelt, bleibt abzuwarten.
Allerdings haben sich auch altbekannte Themen weiterentwickelt: Erfreulich ist, dass die
Schweiz die Totalrevision ihres Datenschutzgesetzes erfolgreich abgeschlossen hat.
Holger Schlüter, LL.M. Eur Datenübermittlungen zwischen der Schweiz und den EU-Mitgliedsstaaten sollten also wei-
Rechtsanwalt | Senior Associate terhin unproblematisch möglich sein. Im Gegensatz dazu haben die Entscheidungen des
Ernst & Young Law GmbH
Rechtsanwaltsgesellschaft EuGH und die Stellungnahme der Datenschutzkonferenz (DSK) Erstaunen und Handlungs-
Steuerberatungsgesellschaft bedarfe ausgelöst: Mit der Schrems-II-Entscheidung des Europäischen Gerichtshofs sind
Berlin
Telefon +49 30 25471 12585
Datenübermittlungen in die USA nicht mehr auf Grundlage des Privacy Shields möglich.
holger.schlueter@de.ey.com Und laut der DSK ist ein datenschutzkonformer Einsatz von Office 365-Produkten derzeit
nicht möglich. Das ist gerade in Zeiten von Homeoffice und Videokonferenzen beson-
ders problematisch — vor allem, da es wohl an fast allen angebotenen Lösungen etwas
(datenschutzrechtlich) auszusetzen gibt.
Die These, dass Datenschutz nicht Selbstzweck ist, lässt sich stets gut an praktischen
Beispielen erläutern: Das bis heute zweithöchste von einer Aufsichtsbehörde verhängte
Bußgeld kommt aus Hamburg und geht an die H&M Hennes & Mauritz Online Shop
A.B. & Co. KG. Hier wurden systematisch die privaten Lebensumstände von Mitarbeitern
seit dem Jahr 2014 überwacht. Schon bei kurzen Urlaubs- und Krankheitsabwesenheiten
führten Teamleader „Welcome Back Talks“ durch, bei denen vielfach nicht nur konkrete
Urlaubserlebnisse, sondern auch Krankheitssymptome und Diagnosen erhoben, ana
lysiert und bewertet wurden. Die Kooperationsbereitschaft des Unternehmens und der
Umstand, dass den betroffenen Mitarbeitern eine Entschädigung gezahlt wurde, haben
ein noch höheres Bußgeld verhindert. Dieser Fall macht jedoch deutlich, dass Datenschutz
nicht bei der formalen Erfüllung von Dokumentationspflichten aufhört, sondern zur
DNA eines Unternehmens und seiner Mitarbeiter gehören sollte. Es zeigt aber auch, dass
Datenschutz als Compliance-Thema stärker in den Fokus gerückt werden muss. Der
Aufbau von angemessenen Sensibilisierungs-, Kontroll- und Verbesserungsprozessen sollte
Bestandteil einer jeden Datenschutzstrategie sein. Datenschutzmanagementsysteme
können hierbei hilfreich sein.
Wünschen Sie hierzu oder zu auch den anderen Themen in dieser Ausgabe weiterführende
Informationen, melden Sie sich gerne bei den jeweiligen Autoren. Einstweilen wünschen
wir Ihnen mit dieser Ausgabe eine angenehme Winterlektüre, bleiben Sie gesund und uns
gewogen.
Holger Schlüter, LL.M. Eur
Rechtsanwalt, Senior Associate
DAS NEUE SCHWEIZER DATENSCHUTZRECHT
Die Schweiz passt ihr Datenschutzrecht
dem EU-Standard an
Nach intensiven Beratungen hat das Schweizer Bundesparlament am 25. September 2020 das totalrevidierte
Bundesgesetz über den Datenschutz (DSG) verabschiedet. Obwohl mit dem Inkrafttreten nicht vor 2022 zu
rechnen ist, sollten sich aufgrund des extraterritorialen Anwendungsbereichs und der weitestgehend fehlenden
Übergangsfristen auch Unternehmen außerhalb der Schweiz bereits jetzt damit auseinandersetzen.
Kurz nach Verabschiedung der EU-Daten- ergriffen werden kann. Sollte ein Refe- Anwendungsbereich
schutz-Grundverordnung (DSGVO) im rendum zustande kommen, müsste das • Unter dem geltenden DSG sind neben
Jahr 2016 hatte auch die Schweiz eine Schweizer Stimmvolk über die Gesetzes- Personendaten (NB: in der Schweiz
Revision ihres Datenschutzgesetzes in vorlage abstimmen, wovon jedoch nicht wird von «Personendaten» statt «per-
Angriff genommen, was letztlich fast vier auszugehen ist. In der Folge wird der sonenbezogene Daten» gesprochen)
Jahre in Anspruch nahm. Ziel der Revi- Schweizer Bundesrat die neue Verordnung natürlicher Personen auch solche von
sion war es zum einen, das aus dem zum Gesetz ausarbeiten und verabschie- juristischen Personen geschützt, also
Jahr 1992 stammende geltende Gesetz den, weshalb anzunehmen ist, dass das Daten von Unternehmen. Diese
an das Internet-Zeitalter anzupassen. revidierte DSG Anfang oder Mitte 2022 schweizerische Besonderheit wird mit
Zum anderen sollte im gleichen Zug das in Kraft treten wird. dem revidierten Datenschutzgesetz
DSG an die DSGVO angeglichen werden, aufgehoben, so dass betroffene Per-
um so den Äquivalenz-Entscheid der Wichtigste Neuerungen sonen nur noch natürliche Personen
Europäischen Kommission aufrechter- sind — gleich wie unter der DSGVO.
halten zu können. Bei der folgenden Darstellung der wich-
tigsten Neuerungen des revidierten • Das revidierte DSG ist auf alle Sach-
Nach der Verabschiedung im Parlament Datenschutzgesetzes fallen sowohl die verhalte anwendbar, die sich in der
läuft derzeit und noch bis zum 14. Januar in großen Zügen vorhandene Über- Schweiz auswirken, auch wenn sie im
2021 die Frist, während der gegen das einstimmung mit der DSGVO als auch Ausland veranlasst werden (sog.
revidierte DSG ein Gesetzesreferendum gewisse Abweichungen auf: Auswirkungsprinzip). Das Gesetz kann
damit auch auf Unternehmen mit Sitz
z.B. in Deutschland anwendbar sein,
wenn diese bspw. Daten von Personen
in der Schweiz bearbeiten (NB: in der
Schweiz wird von „Datenbearbeitung”
statt „Datenverarbeitung” gesprochen).
• Verantwortliche mit Sitz im Ausland
müssen ferner neu eine Vertretung in
der Schweiz bezeichnen, wenn sie
Personendaten von Personen in der
Schweiz bearbeiten und die Datenbe-
arbeitung im Zusammenhang mit dem
Angebot von Waren und Dienstleistun-
gen oder der Beobachtung des Ver-
haltens von Personen in der Schweiz
steht. Im Gegensatz zum Pendant
unter der DSGVO muss es sich aber
zusätzlich um eine umfangreiche und
regelmäßige Bearbeitung handeln,
welche ein hohes Risiko für die Per-
sönlichkeit der betroffenen Personen
mit sich bringt.
Digital Law Briefing 4. Quartal 2020 | 3
DAS NEUE SCHWEIZER DATENSCHUTZRECHT
Gleichzeitig geht die Informations-
pflicht bei Auslandstransfers weiter
als unter der DSGVO.
• Auch
die Rechte der betroffenen
Person wurden erweitert. Nebst dem
etwas ausgebauten Auskunftsrecht
steht der betroffenen Person unter
gewissen Umständen ein Recht auf
Datenherausgabe oder -übertragung
(Datenportabilität) zu.
• Die
Regelung zur Auftragsbearbeitung
wurde nur unwesentlich angepasst
und ist weniger detailliert als in der
DSGVO. Allerdings müssen Auftrags-
bearbeiter vor Beizug eines Unter
auftragsbearbeiters neu die Genehmi-
gung des Verantwortlichen einholen.
Datenschutzberater, Aufsichts-
Grundprinzipien • E
ine Verletzung der Datensicherheit, behörde, Sanktionen
• I n Übereinstimmung mit der DSGVO welche dazu führt, dass Personen • Die
Ernennung eines „Datenschutz
müssen Datenbearbeitungen stets daten unbeabsichtigt oder widerrecht- beraters” ist im Gegensatz zum
den Prinzipien Privacy by Design und lich verloren gehen, gelöscht, ver „Datenschutzbeauftragten” der DSGVO
Privacy by Default genügen. nichtet oder verändert werden oder weiterhin ausnahmslos freiwillig. Sie
Unbefugten offengelegt oder zugäng- bringt jedoch die Erleichterung mit sich,
• Das revidierte DSG enthält anstelle lich gemacht werden, muss unter dass im Rahmen einer Datenschutz-
des bisherigen Persönlichkeitsprofils dem revidierten DSG durch den Ver- Folgenabschätzung der EDÖB nicht in
Bestimmungen zum Profiling und — als antwortlichen so rasch als möglich — die Risikobeurteilung miteinbezogen
schweizerische Besonderheit — zum im Gegensatz zur DSGVO aber nicht werden muss.
Profiling mit hohem Risiko, für wel- innerhalb einer spezifischen Frist —
ches erhöhte Anforderungen gelten, der Aufsichtsbehörde gemeldet werden, • Die
Stellung des EDÖB wurde im Ver-
wie insbesondere die Ausdrücklichkeit d. h. dem Eidgenössischen Daten- gleich zum heutigen Gesetz gestärkt,
einer allfälligen Einwilligung beim schutz- und Öffentlichkeitsbeauftrag- indem er nicht mehr nur Empfehlun-
Profiling mit hohem Risiko. Abgesehen ten (EDÖB). Die Meldepflicht besteht gen aussprechen, sondern auch selbst
davon ändert sich wenig im Zusam- nur, wenn die Verletzung voraussicht- über Verwaltungsmaßnahmen verfügen
menhang mit dem Einwilligungserfor- lich zu einem hohen Risiko für die kann. Für Sanktionen, wie bspw.
dernis, welches weniger weit geht als Persönlichkeit der betroffenen Person Bußen, bleiben jedoch auch künftig die
in der DSGVO. führt. Unter gewissen Umständen kantonalen Strafverfolgungsbehörden
muss der Verantwortliche auch die be- bzw. Gerichte zuständig.
Bearbeitungsregister, DSFA, troffenen Personen über die Verletzung
Meldepflichten informieren. • Durch
das revidierte DSG können
• Verantwortliche und Auftragsbearbeiter natürliche Personen auf Antrag unter
müssen, wie unter der DSGVO, je ein Informationspflichten, Rechte der anderem für Verletzungen von
Verzeichnis ihrer Bearbeitungstätig- betroffenen Personen, Auftrags- bestimmten Informations-, Auskunfts-,
keiten führen, deren Mindestinhalt im bearbeiter Mitwirkungs- und Sorgfaltspflichten
Gesetz aufgeführt ist. mit Bußen bis zu CHF 250.000,00 be-
straft werden, allerdings nur bei vor-
• Entsprechend
der DSGVO muss der sätzlichem Handeln. Es handelt sich
Verantwortliche vor Beginn einer um strafrechtliche Sanktionen gegen
Datenbearbeitung eine Datenschutz- die verantwortlichen Personen im
Folgenabschätzung (DSFA) durchfüh- Unternehmen (somit gegen das
ren, sofern die Bearbeitung ein hohes Management). Administrative Bußen
Risiko für die Persönlichkeit der gegen Unternehmen wie in der EU
betroffenen Person mit sich bringen sind hingegen nicht vorgesehen.
kann.
Digital Law Briefing 4. Quartal 2020 | 4
DAS NEUE SCHWEIZER DATENSCHUTZRECHT
Vergleich mit der DSGVO
Auch wenn das revidierte DSG in Bei den meisten Abweichungen geht Die nachfolgende Grafik fasst die
vielen Bereichen den Anforderungen das Schweizer Gesetz etwas weniger wesentlichen Unterschiede zwischen
der DSGVO entspricht, sind die beiden weit und ist weniger formalistisch als die dem revidierten DSG und der DSGVO
Gesetzestexte, wie aus den bisherigen DSGVO, in einzelnen Bereichen wurde nochmals zusammen:
Ausführungen ersichtlich, nicht deckungs- hingegen ein strengerer „Swiss Finish”
gleich. eingefügt.
EU-DSGVO
1
revDSG
2 3
Rechenschafts-
Anforderungen Meldepflichten
pflicht und Rechts-
an Auftrags- bei Verletzungen der
grundlage
bearbeiter Datensicherheit Unterscheidung
(Verbotsprinzip)
bei Profiling
Übermittlung ins
Ausland
Erweiterte
Ausdrücklichkeit Transparenz
Informations- Definition der
der Einwilligung und Fairness
pflichten besonders
Pflichten bei schützenswerten
automatisierten Personendaten
Einzelfall-
entscheiden
Mögliche Pflicht zur Datenschutz-
Privacy by Design
Ernennung Folgenab- Breitere
Privacy by Default
eines DPO schätzungen Informtionspflicht
bei Daten-
Rechte auf Aus-
übermittlung
kunft, Berichtigung
und Löschung
Verzeichnis
Bußen für
der Bearbeitungs- Datenportabilität
Unternehmen Bußen
tätigkeiten
für natürliche
Personen
1 DSGVO Anforderungen, welche über jene des revidierten DSG hinausgehen
nforderungen, welche sowohl in der DSGVO als auch im revidierten DSG enthalten sind
A
2
(vorbehaltlich gewisser Unterschiede/Abweichungen)
3 Anforderungen des revidierten DSG, welche über die DSGVO hinausgegen (sog. “Swiss Finish”)
Anmerkung:
Hierbei handelt es sich um eine Liste von Schlüsselanforderungen, welche keine abschliessende Anforderungsliste darstellt.
Digital Law Briefing 4. Quartal 2020 | 5
DAS NEUE SCHWEIZER DATENSCHUTZRECHT
Worauf sollte sich Ihr • Einfügen
von Verweisen auf das DSG
in Auftragsbearbeitungsverträgen
Unternehmen konzentrieren?
(und ggf. in weiteren Dokumenten)
Für deutsche Unternehmen kann das
• Ggf.
Prüfung der Benennung eines
revidierte Schweizer Datenschutzgesetz
Datenschutzberaters
insbesondere in den folgenden Fällen
relevant sein:
Deutsches Unternehmen betreibt eine
Tochtergesellschaft in der Schweiz
Deutsches Unternehmen bearbeitet
Falls Ihr Unternehmen über eine oder
Daten von Personen in der Schweiz
mehrere Tochtergesellschaft(en) (oder
Es empfiehlt sich, im Einzelfall zu prüfen,
Zweigniederlassungen) in der Schweiz
ob Ihre Datenbearbeitungen eine Aus-
verfügt, ist auf diese ohne Weiteres
wirkung auf die Schweiz haben können,
schweizerisches Datenschutzrecht an-
z.B. ob Ihr Unternehmen Daten von Per-
wendbar. Sollte eine Tochtergesellschaft
sonen in der Schweiz bearbeitet (eine
nicht gleichzeitig auch der DSGVO
Auswirkung kann aber auch in weiteren
unterstehen oder sind noch keine oder
Fällen vorliegen). Falls dies gegeben ist,
nur teilweise Umsetzungsmaßnahmen
sollten Verantwortliche weiter prüfen, • Überprüfung
bestehender Daten-
gemäß der DSGVO durchgeführt wor-
ob diese Bearbeitungen die Vorausset- schutzinformationen auf ihre Konfor-
den, fällt der Aufwand zur Umsetzung
zungen erfüllen, wodurch eine Vertre- mität mit der erweiterten Informati-
des revidierten DSG entsprechend grö-
tung in der Schweiz bezeichnet werden onspflicht und Identifizierung sowie
ßer aus.
muss. Ausarbeitung fehlender Datenschutz-
In dieser Situation empfehlen wir erklärungen
Bei Anwendbarkeit des revidierten DSG
folgendes Vorgehen, um Ihr Unterneh-
gilt es, für die relevanten Datenbearbei- • Identifizierung
bestehender Auftrags-
men effizient auf das revidierte DSG
tungen nebst den Anforderungen der bearbeiter und Überprüfung beste-
und, sofern notwendig, die DSGVO vor-
DSGVO auch jene des Schweizer Rechts hender Auftragsdatenbearbeitungs-
zubereiten:
zu erfüllen. Insofern Sie die Anforderun- verträge bzw. Abschluss neuer
gen der DSGVO bereits umgesetzt haben, Verträge
1. Beurteilung der Anwendbarkeit der
besteht allerdings ein nur begrenzter
DSGVO
zusätzlicher Aufwand, um auch dem revi- • Definition
von Prozessen und Weglei-
dierten DSG zu genügen. Hervorzuheben tungen zur Durchführung von Daten-
2. Durchführen eines Gap-Assessments
sind etwa die folgenden Massnahmen: schutz-Folgenabschätzungen, zur
(IST-/SOLL-Vergleich)
Gewährleistung der Rechte der betrof-
• Ergänzung
der Datenschutzinforma fenen Personen und zum Vorgehen
3. Definition der Umsetzungsmaßnah-
tionen und des Verzeichnisses der bei Datensicherheitsverletzungen.
men und Festlegung eines Vorgehens-
Bearbeitungstätigkeiten bezüglich Aus-
plans
landstransfers (Angabe Empfänger- Haben Sie Fragen zur Umsetzung des
länder) revidierten Schweizer Datenschutz
4. Umsetzung der definierten Mass
nahmen und laufende Optimierung gesetzes? Gerne unterstützen wir Sie
• Prüfung,
ob ggf. Daten zur Sozialhilfe dabei.
bearbeitet werden und, falls ja, Erfül-
In Bezug auf die einzelnen Umsetzungs-
lung der Voraussetzungen bezüglich
maßnahmen empfehlen wir, den Fokus
besonders schützenswerter Personen-
auf folgende Bereiche zu legen: Autoren
daten
• Bestimmung
der unternehmensinter- Andreas Jaeggi
• Anpassung
der Konsultationsprozesse Rechtsanwalt | Director
nen Zuständigkeiten für den Daten-
bei Datenschutz-Folgenabschätzungen Ernst & Young AG, Bern/Zürich
schutz (ggf. Ernennung eines Daten- Telefon +41 58 286 62 70
schutzberaters) andreas.jaeggi@ch.ey.com
• Anpassung
der Prozesse bezüglich
Ramona Bollhalder
der Rechte von betroffenen Personen
• Erstellung
des Verzeichnisses der Rechtsanwältin | Senior Consultant
Ernst & Young AG, Zürich
Bearbeitungstätigkeiten als Basis für
• Anpassung
der Meldeprozesse bei Telefon +41 58 286 43 12
weitere Umsetzungsmaßnahmen ramona.bollhalder@ch.ey.com
Verletzungen der Datensicherheit
Digital Law Briefing 4. Quartal 2020 | 6
DAS URTEIL „ SCHREMS II“ DES EUROPÄISCHEN GERICHTSHOF
Daten im Ausland richtig schützen — Schrems-II
Am 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) eine klare Entscheidung zum EU-Datenschutz verkün-
det, die Hunderttausende Unternehmen betrifft1. Und zwar alle, die bewusst oder unbewusst personenbezogene
Daten in die USA senden. Das kann eine Tochtergesellschaft sein, die ihre Mitarbeiterdaten an die US-amerikani-
sche Konzernmutter schickt. Auch der kleine Webshop, der seinen Newsletter von einem Dienstleister in den USA
versenden lässt und diesem dazu die E-Mail-Adressen seiner Kunden übermittelt, ist betroffen. Selbst bei Video-
konferenz-Systemen US-amerikanischer Anbieter wie Zoom oder Skype fließen personenbezogene Daten — neben
E-Mail-Adressen oder Namen eben Bild- und Tondateien — sodass auch hier Handlungsbedarf besteht.
Während die Luxemburger Richter das sogenannten Standarddatenschutzklau- abschließen — ein potenziell langwieri-
transatlantische Abkommen Privacy seln erfolgt oder — was eher selten der ger und rechtlich wie logistisch komple-
Shield kippten, haben sie gleichzeitig die Fall sein wird — unter einen der wenigen xer Prozess. Hinzu kommt, dass allein
Standarddatenschutzklauseln in ihrer Ausnahmetatbestände fällt. Eine solche der Abschluss der Klauseln regelmäßig
grundsätzlichen Wirksamkeit bestätigt Ausnahme stellen etwa verbindliche noch nicht genügt. Vielmehr muss der
und damit zumindest einen Stillstand interne Datenschutzvorschriften hiesige Datenexporteur prüfen und
des weltweiten Datentransfers verhindert. („Binding Corporate Rules“) dar. Diese bewerten, ob für die zu transferieren-
Unternehmen sollten das Urteil ernst kommen allerdings nur für Datenüber- den Daten ein angemessenes Schutzni-
nehmen, denn bei Verstößen gegen die mittlungen innerhalb einer Unternehmens- veau besteht und gegebenenfalls dafür
Datenschutzgrundverordnung (DSGVO) gruppe in Betracht, gegenüber Micro- Sorge tragen, dass zusätzliche Garanti-
drohen Geldbußen von bis zu EUR soft, Google und Co. helfen sie nicht. en einen unbefugten Datenzugriff ver-
20.000.000,00 oder bis zu vier Prozent Und auch sie müssen ein ausreichendes hindern. Dazu weiter unten.
des weltweiten Jahresumsatzes. Sicherheitsniveau sicherstellen.
Für eine Übermittlung in die USA hat
Ab sofort Zusätzliche Garantien bei Daten- der EuGH entschieden, dass zusätzlich
Da es keine Übergangsfrist gibt, besteht transfers in Drittländer zu den in den Standarddatenschutz-
nach der EuGH-Entscheidung akuter Nun kurzerhand das Privacy Shield klauseln verankerten Prinzipien immer
Handlungsbedarf. Ein personenbezoge- gegen Standarddatenschutzklauseln begleitende Garantien erforderlich sind,
ner Datenaustausch mit den USA und auszutauschen, ist allerdings nicht um ein angemessenes Schutzniveau
anderen sog. unsicheren Drittländern ist so einfach möglich. Denn diese muss ein sicherzustellen. Diese können etwa in
in der Regel nur noch rechtssicher mög- Unternehmen mit jedem Vertragspart- der Verschlüsselung, Anonymisierung
lich, wenn der Transfer auf Basis der ner individuell aushandeln und oder Pseudonymisierung der Daten
bestehen. Gerade kleine Unternehmen,
wie der Webshop aus unserem obigen
Beispiel, fahren im Zweifel jedoch bes-
ser, wenn sie — wo möglich — auf Anbie-
ter in der EU setzen. Denn auch sie
müssen sich ansonsten dem komplexen
Regelungsprozess stellen.
Zwar wurde die Entscheidung des EuGH
in Datenschutzkreisen erwartet und
nicht als große Überraschung wahrge-
nommen, allerdings sorgte sie dennoch
für einige Verwirrung, wie ein „ange-
messenes Datenschutzniveau“ sicher
gestellt werden könne.
1 http://curia.europa.eu/juris/liste.jsf?language=de&num=C-311/18.
Digital Law Briefing 4. Quartal 2020 | 7
DAS URTEIL „ SCHREMS II“ DES EUROPÄISCHEN GERICHTSHOF
Fehlender Überblick vorgehen. In den USA ist das in den einschließlich 30. November 2020.
Ein nicht zu unterschätzendes Problem Augen der EuGH-Richter nicht hinrei- Neben empfohlenen technischen Maß-
ist, dass manche Unternehmen auf- chend möglich. Die Zusage der US- nahmen beinhaltet er insbesondere eine
grund der Pauschalwirkung von Privacy Regierung, dass der Rechtsschutz für schrittweise Anleitung für die Evaluie-
Shield keinen Überblick darüber haben, EU-Bürger auch in den USA möglich rung von Datenexporten. Obgleich noch
welche Daten sie konkret in die USA sei, überzeugte den EuGH nicht. Die Änderungen im finalen Dokument zu
übermitteln oder zu welchen Zwecken Luxemburger Richter erklärten darauf- erwarten sind, bietet er doch einen sinn-
dies geschieht. Die zwingend notwen hin Privacy Shield, bzw. die darauf vollen, wenn auch bisher noch wenig
dige interne Aufklärungsarbeit macht basierende Angemessenheitsentschlie- detaillierten, Stufenplan um mit den
die Herausforderung dann oft umso ßung der EU-Kommission, für unwirksam. Anpassungsmaßnahmen zu beginnen
schwieriger. Angesichts hoher Bußgelder (s. Erklärkasten).
sollten Unternehmen Datenübertragun- Handlungsempfehlungen und neue
gen in die USA sehr sorgsam betrachten Standarddatenschutzklauseln Auch die Europäische Kommission hat
und im Zweifel eher aussetzen, bis die Mittlerweile hat sich auch der Euro zwischenzeitlich reagiert und neue Stan-
aus dem Wegfall von Privacy Shield ent- päische Datenschutzausschuss der darddatenschutzklauseln — auch vorab
standene Lücke geschlossen ist und Problematik der Datenübermittlungen im Entwurf — veröffentlicht4. Hier läuft
individuelle Standarddatenschutzklau- in Drittländer angenommen und — die Frist zur öffentlichen Stellungnahme
seln ausgehandelt sind. zunächst im Entwurf — Empfehlungen noch bis zum 10. Dezember 2020.
zu Maßnahmen bei Drittlandtransfers Sobald die Klauseln in der finalen Fas-
Max Schrems versus Facebook veröffentlicht3. Der Entwurf stand zur sung vorliegen, werden wir dazu noch
Das ganze Verfahren ins Rollen gebracht öffentlichen Konsultation noch bis mal im Detail Stellung nehmen.
hatte eine Beschwerde des Datenschüt-
zers Max Schrems gegen Facebook
Irland. Seit der EuGH 2015 das Vorgän-
ger-Abkommen von Privacy Shield —
Safe Harbour — gekippt hatte, übermittel-
te Facebook weiter personenbezogene
Daten an den Mutterkonzern in die USA
— nach eigener Darstellung sowohl auf
Basis der Standarddatenschutzklauseln
als auch des Privacy Shields. Vor dem
EuGH ging es daher sowohl um die Wirk-
samkeit des Privacy Shields als auch
um die der Standarddatenschutzklauseln.
Am Ende folgte der EuGH im Wesent
lichen der Argumentation von Schrems
und begründete seine Entscheidung im
Kern mit nicht ausreichenden Beschrän-
kungen der Zugriffsberechtigungen
US-amerikanischer Behörden auf perso-
nenbezogene Daten von EU-Bürgern.
Defizite
Zugriffsmöglichkeiten auf personen
bezogene Daten sind in der EU zwar
grundsätzlich ebenfalls vorhanden — die
Befugnisse der Geheimdienste von Bund
und Ländern sollen laut einem stark
kritisierten Gesetzesentwurf der Bundes-
regierung sogar noch erweitert werden.2
Jedoch besteht ein entscheidender
Unterschied: Als EU-Bürger kann man
gegen solche Maßnahmen gerichtlich
2 https://www.tagesschau.de/inland/geheimdienste-messenger-103.html.
3 https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/recommendations-012020-measures-supplement-transfer_en.
4 https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-
clauses-for-the-transfer-of-personal-data-to-third-countries.
Digital Law Briefing 4. Quartal 2020 | 8DAS URTEIL „ SCHREMS II“ DES EUROPÄISCHEN GERICHTSHOF
Datenspeicherung in der EU prüfen nicht nur die Verarbeitung und Speiche-
Vor diesem Hintergrund können Unter- rung der Daten in der EU erfolgen,
nehmen die Entscheidung des EuGH und sondern beispielsweise auch der Sup-
die Empfehlungen des EDSA nun zum port. Denn auch ein nur temporärer
Anlass nehmen, die eigenen Datentrans- Zugriff auf EU-Daten aus den USA her-
fers zu untersuchen und insbesondere aus, stellt bereits eine datenschutz-
die tatsächliche Erforderlichkeit von rechtlich relevante Verarbeitung dar Autor
Datentransfers in die USA und die Mög- und muss seinerseits — etwa durch Stan-
lichkeiten einer Datenverarbeitung in darddatenschutzklauseln — legitimiert Guillaume Hersemeyer
Rechtsanwalt | Senior Associate
der EU zu prüfen. Doch bekanntlich sein. Eine sorgfältige Analyse der eigenen Ernst & Young Law GmbH, Berlin
steckt der Teufel oft im Detail. So sollte Datenströme ist folglich unumgänglich. guillaume.hersemeyer@de.ey.com
Was sind personenbezogene Daten?
Alle Daten, die sich auf eine identifizierbare Person beziehen, diese also — zumindest mittelbar — identifizierbar machen.
Dies kann etwa der Name oder die Adresse eines Menschen sein. Aber auch die E-Mail- oder sogar die IP-Adresse machen
eine Person identifizierbar.
Damit das strenge Datenschutzrecht der EU nicht dadurch umgangen wird, dass die Daten einfach in einem weniger
regulierten Staat verarbeitet werden, gibt es besondere Schutzmaßnahmen. Dazu zählen — bzw. zählten — das EU-US
Privacy Shield Abkommen und die Standardschutzklauseln:
EU-US Privacy Shield
Das Abkommen wurde zwischen der Europäischen Union und den USA ausgehandelt und ermöglichte es europäischen
Unternehmen, personenbezogene Daten DSGVO-konform von US-amerikanischen Unternehmen verarbeiten zu lassen.
Der EuGH hat dieses jetzt jedoch für ungültig erklärt mit der Begründung, dass durch das Abkommen kein angemessenes
Datenschutzniveau hergestellt werden kann.
Standarddatenschutzklauseln
Dies sind von der Europäischen Kommission genehmigte vertragliche Garantien, welche die Einhaltung eines europäischen
Datenschutzniveaus gewährleisten sollen. Mit deren Abschluss verpflichten sich Datenexporteur und -importeur, per-
sonenbezogene Daten nur gemäß der EU-Datenschutzgrundsätze zu verarbeiten. Sie sind nicht nur gegenüber Vertrags-
partnern in den USA sondern auch gegenüber solchen in anderen Drittländern anwendbar.
Europäischer Datenschutzausschuss (EDSA)
Der EDSA ist eine unabhängige europäische Einrichtung mit dem Ziel, die einheitliche Anwendung der DSGVO sicher
zustellen und dient der Förderung der Zusammenarbeit zwischen den nationalen Datenschutzbehörden. Er setzt sich aus
den 27 EU- und den 3 EEA- (Europäischer Wirtschaftsraum) Vertretern der nationalen Datenschutzbehörden und dem
Europäischen Datenschutzbeauftragten (EDSB) zusammen. Er gibt insbesondere Leitlinien und Handlungsempfehlungen
heraus und berät die Europäische Kommission in Datenschutzfragen.
Handlungsempfehlungen: Stufenplan des EDSA
1. Identifikation der Datentransfers und der jeweils übermittelten Daten in Drittländer,
2. Überprüfung des rechtlichen Instruments, auf das sich Ihr Transfer stützt (bspw. Angemessenheitsbeschluss,
Standarddatenschutzklauseln etc.),
3. Prüfung, ob das Recht oder die tatsächliche Praxis des Drittlandes negative Auswirkungen auf die Wirksamkeit des
Transferinstruments haben kann,
4. Ermittlung und Umsetzung ergänzender Maßnahmen, um das Schutzniveau für die übermittelten Daten auf den
„EU-Standard“ zu bringen,
5. Einleitung der formellen Verfahrensschritte, die in Zusammenhang — je nach Transferinstrument des Art. 46 DSGVO
(unter 2.) — mit den ergänzenden Maßnahmen erforderlich sein könnten (bspw. Ergänzung der Vertragsdokumente),
6. Überwachung und regelmäßige Bewertung des Schutzniveaus in angemessenen Zeitabständen.
Digital Law Briefing 4. Quartal 2020 | 9MICROSOFT OFFICE 365 UND DATENSCHUTZ
Microsoft Office 365 und Datenschutz —
Eine regulatorische Odyssee
Die durch die Corona-Pandemie beschleunigte digitale Transformation hin zu flexibleren Arbeitsformen mit
Homeoffice haben Cloud-basierten Tools für kollaboratives Zusammenarbeiten einen regelrechten Boom
verschafft. Treiber sind dabei Softwarelösungen, wie z.B. Microsoft Office 365 mit Microsoft Teams, die flexible
Kommunikation und „modern Workplaces“ ermöglichen. Dabei steht Office 365 jedoch schon länger kritisch
im Blickfeld der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Daten-
schutzkonferenz, DSK), die sich kürzlich zum Einsatz von Office 365 geäußert hat.
Beschluss der Datenschutzkonferenz Stand: Januar 2020“ geprüft. Der sowie dessen Umfang nicht ausreichend
Die DSK hat zur datenschutzrechtlichen Arbeitskreis kam im September 2020 offengelegt werde. Weiterhin liege keine
Bewertung von Office 365 den „Arbeits- zum Ergebnis, „dass auf Basis der ge- Rechtsgrundlage für die Übermittlung
kreis Verwaltung zur Auftragsverarbei- nannten Unterlagen kein datenschutz- von Telemetrie-Diagnosedaten an Micro-
tung bei Microsoft Office 365“ aufge- gerechter Einsatz von Microsoft Office soft vor. Auch sei der vertragliche
stellt. Dieser hat „die dem Einsatz des 365 möglich ist“. Vorbehalt der Weitergabe von Daten in
Produktes Microsoft Office 365 zu gesetzlich vorgeschrieben Fällen zu weit
Grunde liegenden Online Service Terms Dabei wurde insbesondere moniert, gefasst.
(OST) sowie die Datenschutzbestimmun- dass es den Dokumenten an Transparenz
gen für Microsoft-Onlinedienste (Data fehle und die Art und Zweck der Verar- Diese Bewertung wurde von der DSK mit
Processing Addendum / DPA) — jeweils beitung der personenbezogenen Daten nur 9 zu 8 Gegenstimmen der Mitglieder
„mehrheitlich zustimmend zur Kenntnis
genommen“ und kommuniziert.
Bemerkenswert ist insofern, dass 8 von
insgesamt 17Aufsichtsbehörden (u.a.
Bayern und Baden-Württemberg) nicht
zugestimmt haben, da die Gesamtbe-
wertung „zu undifferenziert“ ausfalle.
Folgen für Unternehmen, die
Office 365 einsetzen
Vor diesem Hintergrund stellt sich für
Kunden (d.h. datenschutzrechtliche Ver-
antwortliche) von Office 365 die Frage,
ob der Einsatz der Softwarelösung
von Microsoft nun weiterhin zulässig
und erlaubt ist.
Die Antwort: Ja! — wenn die Kunden
ihren eigenen operativen Datenschutz
zum Einsatz von Office 365 sicherstellen.
Die Bewertung des Arbeitskreises und
der Beschluss der DSK stellen keine bin-
dende Entscheidung dar. Auch lassen
sich die monierten Aspekte des Arbeits-
kreises nicht von den Nutzern von Office
365 selbst beheben, sondern sind viel-
mehr Gegenstand des Dialogs zwischen
Microsoft und den europäischen
Datenschutzbehörden.
Digital Law Briefing 4. Quartal 2020 | 10MICROSOFT OFFICE 365 UND DATENSCHUTZ
Auch ist der Prüffokus der DSK nicht
ganz eindeutig. Derzeit existieren über-
geordnet mindestens zwei unterschied
liche Produktgruppen von Microsoft,
nämlich Office 365 und Microsoft 365,
die je nach Gebrauch und Bedarf für
private und geschäftliche Zwecke indivi-
duell angepasst werden können. Eine
nähere Aufklärung dazu erfolgte seitens
der DSK bislang nicht. So handelt es
sich bei Microsoft 365 im Vergleich zu
Office 365 um ein Softwarepaket, dass
die Funktionen von Office 365, Windows
10 und Enterprise Mobility + Security
kombiniert und weitere „intelligente“
Features bereitstellt. Für beide Produkt-
gruppen lassen sich auch unterschied-
liche „Business“, „Enterprise“, „ProPlus“
oder private Lizenzen (wie „Student“
oder „Home“) abschließen, die beispiels-
weise unterschiedliche Konfigurations-
möglichkeiten hinsichtlich der Cloud-
Integration ermöglichen.
Seit Januar 2020 hat Microsoft im Übri-
gen erhebliche Änderungen an den
Vertragsdokumenten vorgenommen. Im
Lichte der „Schrems-II“ Entscheidung
des Europäischen Gerichtshofs (EuGH) Risikominimierende Maßnahmen und organisatorischen Maßnahmen,
hat Microsoft ein „Additional Safegu- treffen spielt dabei eine entscheidende Rolle.
ards Addendum to Standard Contractual Mit der Datenschutz-Folgenabschätzung Es sollte also ein umfassendes Schutz-
Clauses“ veröffentlich. Microsoft argu- gem. Art. 35 DSGVO sollten Unternehmen konzept und eine Handlungsanweisung
mentiert damit, den Einsatz von Office vorab prüfen, welche Risiken und Folgen hinsichtlich der Nutzung von Microsoft
365 datenschutzkonform(er) gestaltet für Betroffene durch die Anwendung Office 365 erstellt werden.
zu haben, was von einigen deutschen von Microsoft Office 365 entstehen könn-
Aufsichtsbehörden durchaus positiv zur ten. Auch wenn derzeit Unsicherheiten Denn tatsächlich kritisch wird der Ein-
Kenntnis genommen wird (vgl. etwa hinsichtlich eines datenschutzkonformen satz von Office 365 dann, wenn die volle
die Pressemitteilung vom 20.11.2020 Einsatzes von Office 365 bestehen, Bandbreite an Funktionalitäten zum
des Landesbeauftragten für Datenschutz ist es möglich, innerhalb der jeweiligen Einsatz kommt, die beispielsweise eine
und Informationsfreiheit Baden-Würt- eingesetzten Version, datenschutz- Mitarbeiterüberwachung gezielt ermög-
temberg: „#DSGVOwirkt: Microsoft freundliche Voreinstellungen vorzuneh- licht. So besteht die Möglichkeit, dass
passt sich europäischem Datenschutz men und damit präventive Maßnahmen durch eine neue Funktion des Office-
an“). Details hierzu schauen wir uns in zu ergreifen. So können beispielsweise Pakets beispielsweise ein sog. Produkti-
einem Folgeartikel in der nächsten Aus- Lese- oder Empfangsbestätigungen vitätswert des Arbeitnehmers durch den
gabe dieses Briefings an. von Nachrichten in Microsoft Teams auf Arbeitgeber abgelesen werden kann.
administrativer Ebene für sämtliche Damit wird aufgezeichnet, wann und ins-
Nichtsdestotrotz obliegen den Kunden Nutzer deaktiviert werden, um einer Über- besondere wie oft die Mitarbeiter die
von Microsoft als datenschutzrechtli- wachung der Mitarbeiter durch etwa Software benutzen, wann und wie viele
chen Verantwortlichen die Pflichten aus Vorgesetzte zuvor zu kommen. Aber auch E-Mails sie mit Outlook verschickt
der DSGVO, die sie beim Einsatz von gegenüber Microsoft können abhängig haben, bis hin zur Dauer und Häufigkeit
Office 365 neben der Auftragsverarbei- von der eingesetzten Version des Pro- von Gesprächen. Eine namentliche Auf-
tung zu beachten haben und die sie gramms Funktionalitäten wie „Surveys“ listung sei dabei nicht ausgeschlossen.
bestenfalls gegenüber einer Aufsichts- zu dem Produkt abgeschaltet oder Dieses Risiko lässt sich jedoch mit der
behörde im Rahmen ihrer Rechen- Telemetriedaten eingeschränkt werden. Veränderung von Standardeinstellungen
schaftspflicht nachweisen können und Die Definition von Nutzungseinstellun- und der Umsetzung von datenschutz-
müssen. gen, Zugriffsrechten sowie technischen freundlichen Voreinstellungen minimie-
ren bzw. komplett abschalten.
Digital Law Briefing 4. Quartal 2020 | 11MICROSOFT OFFICE 365 UND DATENSCHUTZ
Bei der Auswahl entsprechender risiko-
minimierender Maßnahmen haben sich
Verantwortliche Unternehmen, die Office 365 (O365) einsetzen
die Verantwortlichen wie bei anderen
und nutzen, sollten aus datenschutzrechtlicher Sicht mindestens
Verarbeitungstätigkeiten auch sonst an
den Grundsätzen der Datenverarbeitung die folgenden Maßnahmen durchführen:
aus Art. 5 DSGVO zu orientieren, wie
etwa Transparenzmaßnahmen in Form
von Datenschutzinformationen für die 1. Durchführung einer Datenschutz-Folgenabschätzung
eigenen Mitarbeiter.
• Identifikation,
Prüfung und Dokumentation von Datenschutz-Risiken
Risiko Drittlandtransfer beim Einsatz von O365
Mit dem Schrems-II-Urteil des EuGHs • Definition,
Ableitung und Umsetzung von risikominimierenden Daten-
vom 16. Juli 2020 (C-311/18), wurde das schutz-Maßnahmen (Privacy by Design/Default)
sog. „EU-US Privacy Shield“ für ungültig
erklärt. Demnach ist die Privacy-Shield-
Zertifizierung der US-Unternehmen
2. Technische Maßnahmen
keine geeignete Garantie für Datentrans-
fers in bzw. aus den USA mehr, die im
• Erstellung
eines holistischen Schutzkonzepts
Zuge der Nutzung von Office 365 und • Datensparsame
Konfiguration entsprechend der Möglichkeiten des
den damit regelmäßig verbunden Cloud- jeweiligen O365-Pakets
Möglichkeiten stattfinden bzw. zumin- • Festlegung
von Zugriffsrechten
dest nicht ausgeschlossen sind. Auch
übermittelt Microsoft Telemetriedaten
ihrer Produkte, die zwar teilweise durch
den verantwortlichen Nutzer limitiert, 3. Erlass einer Richtlinie/Policy zum Umgang mit O365
aber nicht vollständig unterbunden wer-
den können. Der EuGH hat dem Privacy • Handlungsanweisung
betreffend Funktionalitäten und Umgang mit O365
— insbesondere zu Einstellungen sowie zu bestimmten Beschränkungen
Shield insbesondere deshalb die Garan-
tiewirkung für ein hinreichendes Daten-
schutzniveaus abgesprochen, weil in
den USA sehr weitreichende geheim- 4. Datenübermittlungen in Drittländer
dienstliche Zugriffsbefugnisse auf Daten
der Nutzer dieser Services bestehen. • Prüfung
und Dokumentation von Datenübermittlungen in Drittländer
Dahingehend hat die EU-Kommission sowie der hierfür geeigneten Garantien und Rechtsgrundlage
am 12. November 2020 einen Entwurf
für die neuen EU-Standardvertrags
klauseln veröffentlicht.
5. Sonstige organisatorische Maßnahmen
Fazit
• Bereitstellung
von Datenschutzinformationen (für Kunden und
Abschließend kann festgehalten werden, Mitarbeiter)
dass es aktuell weiterhin keine vollstän- • Schulungen
und Trainings von Mitarbeitern zur datenschutzkonformen
dig zufriedenstellende Lösung für den Nutzung von O365
Einsatz von Office 365 aus datenschutz-
rechtlicher Sicht gibt. Der Beschluss
der DSK bedeutet aber auch kein Verbot
oder unmittelbare Rechtswidrigkeit der
vielfach eingesetzten Office-Lösung.
Daher geht die Datenschutz-Odyssee
von Microsoft Office 365 weiter und ver-
Autoren
antwortliche Unternehmen sind beim
Einsatz der Software gehalten, auf die Eric Meyer, Dipl. iur. oec. (univ.) Aslihan Kilic
damit einhergehenden Risiken mit Wirtschaftsjurist | Manager Wirtschaftsjuristin | Consultant
Ernst & Young Law GmbH, München Ernst & Young Law GmbH, München
geeigneten technischen und organisa Telefon +49 89 14331 11243 Telefon +49 89 14331 23376
torischen Maßnahmen zu reagieren. eric.meyer@de.ey.com aslihan.kilic@de.ey.com
Digital Law Briefing 4. Quartal 2020 | 12Ihre Ansprechpartner für Digital Law EY | Assurance | Tax | Strategy and
Transactions | Consulting
bei der EY Law
Die globale EY-Organisation im Überblick
Die globale EY-Organisation ist einer der Markt-
Global Digital Law Leader, München führer in der Wirtschaftsprüfung, Steuer
Dr. Peter Katko beratung, Transaktionsberatung und Manage
mentberatung. Mit unserer Erfahrung, unserem
Rechtsanwalt/Partner
Wissen und unseren Leistungen stärken wir
Telefon +49 89 14331 25951
weltweit das Vertrauen in die Wirtschaft und
peter.katko@de.ey.com
die Finanzmärkte. Dafür sind wir bestens
gerüstet: mit hervorragend ausgebildeten
Mitarbeitern, starken Teams, exzellenten
Leistungen und einem sprichwörtlichen Kun-
denservice. Unser Ziel ist es, Dinge voranzu-
bringen und entscheidend besser zu machen —
Digital Law Leader GSA, Frankfurt/Eschborn für unsere Mitarbeiter, unsere Mandanten
Dr. Stefan Krueger und die Gesellschaft, in der wir leben. Dafür
Rechtsanwalt/Partner steht unser weltweiter Anspruch Building
Telefon +49 6196 996 16716 a better working world.
stefan.f.krueger@de.ey.com Die globale EY-Organisation besteht aus den
Mitgliedsunternehmen von Ernst & Young
Global Limited (EYG). Jedes EYG-Mitgliedsun
ternehmen ist rechtlich selbstständig und
unabhängig und haftet nicht für das Handeln
und Unterlassen der jeweils anderen Mit
gliedsunternehmen. Ernst & Young Global
Berlin
Limited ist eine Gesellschaft mit beschränk-
Dr. Jyn Schultze-Melling, LL.M.
ter Haftung nach englischem Recht und
Rechtsanwalt/Partner
erbringt keine Leistungen für Mandanten.
Telefon +49 30 25471 16598 Informationen dazu, wie EY personenbezo-
jyn.schultze-melling@de.ey.com gene Daten erhebt und verwendet, sowie
eine Beschreibung der Rechte, die Per-
sonen gemäß dem Datenschutzgesetz ha-
ben, sind über ey.com/privacy verfügbar. Wei-
tere Informationen zu unserer Organisation
finden Sie unter ey.com.
München In Deutschland ist EY an 20 Standorten
Daniel Kaiser präsent. „EY“ und „wir“ beziehen sich in
Rechtsanwalt/Partner dieser Publikation auf alle deutschen Mit-
Telefon +49 89 14331 13001 gliedsunternehmen von Ernst & Young Global
daniel.kaiser@de.ey.com Limited.
© 2020 Ernst & Young Law GmbH
Rechtsanwaltsgesellschaft
Steuerberatungsgesellschaft
All Rights Reserved.
GSA Agency
SRE 2012-073
ED None
Diese Publikation ist lediglich als allgemeine, unverbindliche
Information gedacht und kann daher nicht als Ersatz für eine
detaillierte Recherche oder eine fachkundige Beratung oder
Auskunft dienen. Obwohl sie mit größtmöglicher Sorgfalt er-
stellt wurde, besteht kein Anspruch auf sachliche Richtigkeit,
Vollständigkeit und/oder Aktualität; insbesondere kann diese
Publikation nicht den besonderen Umständen des Einzelfalls
Rechnung tragen. Eine Verwendung liegt damit in der eige
Fotos: Gettyimages nen Verantwortung des Lesers. Jegliche Haftung seitens der
Ernst & Young Law GmbH Rechtsanwaltsgesellschaft Steuer-
beratungsgesellschaft und/oder anderer Mitgliedsunter
Lesen Sie das Tax & Law Magazine oder unsere wöchentlichen News nehmen der globalen EY-Organisation wird ausgeschlossen.
bequem unterwegs und bleiben Sie über aktuelle Entwicklungen des Bei jedem spezifischen Anliegen sollte ein geeigneter Berater
Steuerrechts informiert. Mit den Archivversionen ausgewählter Tax & zurate gezogen werden.
Law Webcasts steht Ihnen eine weitere Wissensquelle zur Verfügung. ey.com/deSie können auch lesen
