Schlagwort: EU-Kommission
26. November 2020
Erst kürzlich wurde GAIA-X, ein Projekt zum Aufbau einer europäischen Dateninfrastruktur, weiter vorangetrieben (wir berichteten). Das Projekt wird auch von der EU unterstützt und fokussiert sich auf die technische Entwicklung eines gemeinsam genutzten Daten-Binnemarktes innerhalb der Union. Die Europäische Kommission hat nun deutlich gemacht, dass diese technische Komponente durch einen rechtlichen Rahmen begleitet werden soll. Am gestrigen Mittwoch (25.11.2020) stellte die Kommission in Person von Margrethe Vestager (Exekutiv-Vizepräsidentin für ein Europa für das digitale Zeitalter) und Thierry Breton (Kommissar für Binnenmarkt) einen Entwurf für eine Verordnung über europäische Daten-Governance (“Daten-Governance-Gesetz”) vor.
Vermehrt Datenverarbeitungen, aber Abhängigkeit von großen Tech-Unternehmen
Hintergrund des Gesetzgebungsvorschlags ist die in den letzten Jahrzehnten beständig gewachsene Datenverarbeitung, insbesondere im privatwirtschaftlichem Bereich. Die Kommission rechtnet allein für die Zeit zwischen 2018 und 2025 mit einen Anstieg um das Fünffache. Anknüpfend an die im Februar 2020 veröffentliche Europäische Datenstrategie soll durch die neuen Regelungen ein Daten-Binnenmarkt geschaffen werden, der durch die Gewährleistung hoher Datenschutzstandards das Vertrauen der Bürger in die Sicherheit ihrer Daten erhöht, gleichzeitig aber auch die wirtschaftliche Nutzung personenbezogener Daten optimieren soll. Weil insbesondere bei der Datenübermittlung oftmals eine Abhängigkeit von amerikanischen und asiatischen Technologieplattformen bestehe, solle diesen mit sog. Datenmittlern ein europäisches Pendant entgegengestellt werden. Diese Daten-Treuhänder sollen die dort verarbeiteten Daten nicht kommerziell nutzen können und größtmögliche Transparenz ermöglichen.
Ziele: gleichzeitig Vertrauen, Sicherheit und Wirtschaftlichkeit verbessern
Vestager betonte in der Pressemitteilung insbesondere den Aspekt des Vertrauens der Bürger in eine sichere Verarbeitung ihrer Daten. Dazu gehöre die Kontrolle über die Datenverarbeitung, aber auch die Gewissheit, dass diese im Einklang mit den europäischen Werten und Grundrechten erfolge. Die vorgeschlagene Verordnung soll sicherstellen, dass die Werte und Grundsätze der EU, das Daten- und Verbraucherschutzrecht sowie Wettbewerbsvorschriften gewahrt werden. Breton, in seiner Eigenschaft als Binnenmarkt-Kommisar wenig verwunderlich, ging insbesondere auf die wirtschaftlichen Vorteile eines gemeinsamen Daten-Binnenmarktes ein. Datentransfers, auch branchenübergreifend, sollen durch die neuen Regelungen vereinfacht werden. Dieser Binnenmarkt müsse aber nicht nur offen, sondern auch souverän sein. Ziel sei es, Europa zum weltweit führenden Datenkontinent zu machen.
Dem vorgelegten Verordnungs-Entwurf wird sich nun das weitere Gesetzgebungsverfahren anschließen. Mit einer Verabschiedung der neuen Regelungen ist wohl erst 2022 zu rechnen.
17. November 2020
Im Anschluss an die Veröffentlichung des Europäischen Datenschutzausschusses bezüglich neuer Empfehlungen bei Drittstaatentransfers (wir berichteten), veröffentlichte die EU-Kommission am 12. November 2020 einen Entwurf neuer Standardvertragsklauseln (SCC). Die neuen Standartvertragsklausen setzen sich dabei aus einem Kommissionsbeschluss und den konkreten Vertragsklauseln zusammen. Aufgrund der Schrems-II-Entscheidung des Europäischen Gerichtshofes (wir berichteten) wurde es zuletzt zunehmend schwieriger, personenbezogene Daten an Drittstaaten zu übermitteln. Die neuen Klauseln sollen nun dazu beitragen, personenbezogene Daten unter Einhaltung europäischer Datenschutzstandards, sicher an Drittstaaten transferieren zu können.
Zwei neue Übertragungsarten
Die wohl wichtigste Neuerung ist die Einführung zwei neuer Übertragungsarten. Bisher gab es die Schutzklauseln lediglich für das Verhältnis Verantwortlicher-Auftragsverarbeiter und Verantwortlicher-Verantwortlicher. Die neuen Klauseln decken zusätzlich das Verhältnis Auftragsverarbeiter-Auftragsverarbeiter und Auftragsverarbeiter-Verantwortlicher ab, wodurch auch Unterauftragsverhältnisse mit abgedeckt werden. Durch die neue „Docking Clause“ können nun auch Dritte zuvor geschlossenen Verträgen beitreten.
Garantien
Darüber hinaus sehen die neuen Klauseln Garantien vor. Eine Übermittlung bleibt auch weiterhin nur zulässig, wenn die nationalen Gesetze den Klauseln nicht entgegenstehen. Liegt ein rechtsverbindlicher Antrag auf Datenherausgabe einer Behörde vor, müssen Betroffene unverzüglich darüber informiert werden. Des Weiteren muss der Datenimporteur sich gegen das Zugriffsbegehren mit rechtlichen Mitteln zur Wehr setzen, sofern die gesetzlichen Bestimmungen dafür vorliegen.
Ausblick
Die EU-Kommission hat dazu aufgerufen, Stellungnahmen einzureichen. Die öffentliche Konsultation läuft noch bis zum 10. Dezember 2020. Sobald die neuen Standardvertragsklauseln in Kraft treten, müssen die alten Standardvertragsklauseln innerhalb eines Jahres durch die neuen Klauseln ersetzt werden.
23. Oktober 2019
Im Sommer 2016 trat der EU-US-Privacy Shield in Kraft durch den Standards für den Umgang mit europäischen Daten und Informationen sowie die Weiterleitung von Daten aus den USA festgelegt wurde. Bis heute nutzen ca. 500 Unternehmen auf beiden Seiten diesen Rechtsrahmen für internationale Geschäfte.
Die Auswirkung des Abkommens wird von der EU-Kommission als positiv beschrieben, sodass man von großen Fortschritten in der Umsetzung des Abkommens spricht. Der jährliche Bericht der Brüssler Behörde kritisiert zwar, dass das Aufnahmeverfahren von Unternehmen in den “Privacy Shield” zu langwierig sei und in Bezug auf das Verfahren nachgebessert werden sollte, bestätigt jedoch außerdem, dass das Datenschutz-Niveau der USA weiterhin angemessen ist. Seit 2018 gibt es beispielsweise monatliche Stichproben bei Unternehmen der USA um die Einhaltung des Abkommens zu überprüfen außerdem seien alle Vakanzen der amerikanischen Behörde für Datenschutz und bürgerliche Freiheit besetzt worden.
27. Juli 2018
Im Rahmen vom neuen Freihandelsabkommen zwischen der EU und Japan (Japan-EU Free Trade Agreement, JAFTA) wird die EU das japanische Datenschutzsystem, durch einen Angemessenheitsbeschluss der EU-Kommission, als gleichwertig anerkennen. Somit wird Japan zu einem sicheren Drittland. Die geplante Adäquanzentscheidung geht weiter als der “umstrittene Privacy-Shield” zwischen der EU und der USA. Erfasst wird nämlich auch der Bereich der Strafverfolgung, neben Messwerten und Informationen, die zu gewerblichen Zwecken übertragen werden sollen.
Die Entscheidung ist jedoch noch an zusätzliche Bedingungen geknüpft. So muss Japan zusätzliche Garantien zum Schutz der personenbezogenen Daten von Bürgern in der EU einführen. Auch die Betroffenenrechte sollen gestärkt werden. Weiterhin soll ein Verfahren festgesetzt werden, welches Beschwerden über den Zugriff nationaler Behörden von Europäern bearbeiten, untersuchen und aufklären werde.
Den Datenschutzbeschluss will die Brüsseler Regierungseinrichtung im Herbst formell annehmen. Im Voraus muss das Kabinett ihn noch genehmigen und der neue Europäische Datenschutzausschuss Stellung nehmen.
14. Juni 2018
Der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des EU-Parlaments hat Anfang der Woche einen Resolutionsvorschlag mit knapper Mehrheit verabschiedet, in dem die Vereinbarkeit des Privacy Shields mit europäischen Datenschutzstandards stark kritisiert wird (wir berichteten). Damit appelliert der Ausschuss an die EU Kommission den Druck auf die US-Regierung zu erhöhen.
Der Privacy Shield ist ein Übereinkommen bezüglich datenschutzrechtlicher Anforderungen im Rahmen von Datentransfer zwischen den USA und der EU. Seit 2016 ermöglicht diese Übereinkunft offiziell die datenschutzkonforme Übermittlung von Daten aus EU-Ländern in die USA. In dem Resolutionvorschlag wird die EU-Kommission dazu aufgefordert, darauf zu achten, dass US-Behörden die bereits bestehenden Bedingungen des Privacy Shields erfüllen und dass die neuen Datenschutzbestimmungen der DSGVO eingehalten werden. Ein Kritikpunkt ist, dass immer noch keine Ombudsperson seitens der USA benannt wurde, an die sich EU-Bürger im Falle von Beschwerden wenden können. Des Weiteren wird der in den USA im März verabschiedete „Cloud Act“ kritisiert, der den Zugriff von US-Behörden auf im Ausland gespeicherte Daten über bilaterale Abkommen regeln soll.
Der Ausschuss schlägt dem EU Parlament vor, die EU Kommission dazu aufzufordern den Privacy Shield zu überarbeiten und andernfalls die Übereinkunft ab dem 1. September auszusetzen. Das EU Pralament wird voraussichtlich im Juli darüber beraten. Die finale Resolution ist für die Kommission jedoch nicht verbindlich.
28. Februar 2018
Die EU- Kommission brachte vor Kurzem ein Online-Tool namens MESCA auf den Markt. MESCA steht für ‘My Email Communications Security Assessment‘ und dient dazu, die Sicherheit in der E-Mailkommunikation zwischen Providern zu bewerten. Ziel des Tools ist es, dass der Nutzer die technischen Möglichkeiten, insbesondere Sicherheit und Datenschutz, seines E-Mail Providers besser einschätzen kann und, falls nötig, weitere Maßnahmen ergreifen kann.
Das Online-Tool bewertet die Sicherheit anhand von drei Messpunkten:
- Vertraulichkeit der Nachrichtenübertragung,
- Phishing und Identitätsbetrug
- Vertrauenswürdigkeit der Nachricht.
Versprochen wird, dass der Nutzer nach der Benutzung einen besseren Überblick über das Sicherheitsniveau seines E-Mail Providers hat.
Gleichzeitig wurden jedoch auch personenbezogenen Daten, wie E-Mailadresse, die Antwort auf die Verifizierungsnachricht und die IP- Adresse erhoben. Während die E-Mailadresse und die Antwortnachricht, welche der Nutzer beide freiwillig zur Verfügung stellt, max. 24 Stunden gespeichert werden, wird die IP-Adresse, welche automatisch erhoben wird, zwei Jahre gespeichert. Dies ist Datenschutzrechtlich sehr bedenklich. Die IP-Adresse wird nach der Rechtsprechung des Europäischen Gerichtshofs als personenbezogenes Datum angesehen. Es besteht kein allgemeiner Bedarf diese überhaupt zu erheben, daher werden die IP-Adressen üblicherweise anonymisiert und nur bei wiederholten Internetattacken gespeichert.
Es ist daher dem Nutzer eines solchen Online-Tools überlassen, wie viel personenbezogene Daten er dafür Preis gibt.
4. August 2017
Im Rahmen der Realisierung des digitalen Binnenmarkts wurde im April 2016 von der EU-Kommission ein „E-Government Action Plan“ veröffentlicht. Eines der Grundprinzipien dieses Plans lautet „Once-Only“-Prinzip. Es soll den Bürgern bürokratischen Aufwand ersparen, indem sie in Zukunft nur einmal ihre persönlichen Daten bei Behörden angeben müssten. Nach der einmaligen Eintragung bei einem Amt würden die Daten auch von anderen Behörden verwendet werden können.
In einer am ersten August 2017 verfassten Stellungnahme des EU-Datenschutzbeauftragten hat der EU-Datenschutzbeauftragte Giovanni Buttarelli mehrere Bedenken bezüglich des „Once-Only“-Prinzips geäußert. Er hob insbesondere die noch zu unklare Rechtsgrundlage für die Verarbeitung der nur einmal eingetragenen Daten durch mehrere Ämter und die mögliche Gefährdung der Einhaltung der Grundsätze der Zweckbestimmung und der Datensparsamkeit hervor. Ferner wünschte sich der EU-Datenschutzbeauftragte, dass in dem Verordnungsentwurf verdeutlicht wird, wie die Anforderungen an eine wirksame Einwilligung nach der EU-Datenschutzgrundverordnung berücksichtigt werden.
21. April 2017
Im Mai 2018 tritt die EU-Datenschutzgrundverordnung (DSGVO) in Kraft und ist in allen EU-Ländern unmittelbar anwendbar. Die Länder müssen ihre Datenschutzgesetze an die DSGVO anpassen.
Wie wir berichteten hat sich das Bundeskabinett Anfang diesen Jahres auf einen Gesetzesentwurf für die Novellierung des Bundesdatenschutzgesetzes (BDSG) geeinigt.
Dieser Entwurf musste sich bereits Kritik auf nationaler Ebene aussetzen und wurde jetzt auch von der EU-Kommission im Rahmen einer Veranstaltung der Stiftung Datenschutz gerügt. Die Kabinettschefin von Justizkommissarin Věra Jourová, Renate Nikolay erklärte, nach Informationen von heise.de, dass Deutschland mit seiner Gesetzesinitiative zwar allen anderen Mitgliedsstaaten voraus ist, der Entwurf aber nicht zufriedenstellend ist.
Renate Nikolay kritisiert, dass die Bundesregierung von vermeintlichen Öffnungsklauseln Gebrauch macht die in der DSGVO gar nicht angelegt sind. Die EU-Kommission befürchtet, dass dadurch die angestrebte Harmonisierung unterlaufen wird und am Ende wieder jeder Mitgliedsstaat seine eigenen Regelungen hat.
Die große Koalition hat der Kritik folgend bereits einen Änderungsantrag vorgelegt, der vor allem bei den Betroffenenrechten nachbessern soll.
Es bleibt demnach abzuwarten, wie sich der Entwurf des neuen BDSG noch bis Mai 2018 entwickeln wird. Wenn das novellierte Gesetz allerdings nicht den Anforderungen der EU-Kommission genügt droht ein Vertragsverletzungsverfahren.
6. März 2017
Die EU-Kommissarin für Justiz, Verbraucherschutz und Gleichstellung Jourová erklärte in einem Interview mit der Nachrichtenagentur Bloomberg, dass sie nicht zögern werde, das erst Mitte 2016 in Kraft getretene Privacy Shield Abkommen außer Kraft zu setzen, sobald erhebliche Änderungen durch die neue US-Regierung die geltende Vereinbarung beintächtigten.
Sie werde dabei “nicht zögern, dafür stehe zu viel auf dem Spiel.”
Die EU-Kommissarin hält die Unvorhersehbarkeit der Regierung unter dem US-Präsidenten Trump für besorgniserregend und drängt auf eine schnelle Bestätigung der Regeln des Privacy Shields.
Das US-Justizministerium hat zwar auf eine Anfrage der EU-Kommission am 22. Februar 2017 erklärt, dass die USA an den bisherigen Vereinabrungen des Privacy Shield festhalten werden. Die EU-Kommissarin wird jedoch noch in diesem Monat in Washington im Dialog klären, ob und in wie weit EU-Bürger von dem Dekret des US-Präsidenten betroffen sein werden.
13. Januar 2017
In dieser Woche hat die EU-Kommission einen neuen Entwurf einer ePrivacy-Verordnung vorgelegt, mit dem sie auf Änderungsbedarf aufgrund der EU-Datenschutzgrundverordnung reagiert. Der Vorschlag sieht eine Reihe von Neuregelungen vor, die den Datenschutz der Internetnutzer bei Chat- und Voice-over-IP-Anwendungen sowie bezüglich Cookies und Werbung verbessern sollen.
Beispielsweise soll der Umgang mit Cookies vereinfacht werden: Künftig soll für solche Cookies, “die keine Gefährdung der Privatsphäre darstellen”, keine explizite Zustimmung der Nutzer mehr notwendig sein, hingegen dürfen Cookies von Drittanbietern (z. B. von Werbenetzwerken) nur nach Einwilligung des Nutzers aktiviert werden, erst einmal wären diese vom Browser künftig standardmäßig geblockt.
Endlich werden auch die moderneren Kommunikationsdienste wie WhatsApp und Skype unter die Neuregelungen fallen.
Grundsätzlich stieß der Entwurf auf ein positives Echo: So begrüßte der EU-Abgeordnete Jan Philipp Albrecht den Vorschlag, mit dem die Kommission die Reform des Datenschutzrechts aus seiner Sicht komplett mache.
Die Zustimmung von Parlament und Mitgliedsstaaten zum Verordnungsentwurf muss jedoch noch eingeholt werden.
