Kategorie: Internationaler Datenschutz
8. September 2023
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 4. September 2023 Anwendungshinweise zum Angemessenheitsbeschluss des EU-US Data Privacy Frameworks herausgegeben. Diese Hinweise sind von Bedeutung für Organisationen und Unternehmen, die personenbezogene Daten in Drittländer, insbesondere in die USA, übermitteln.
Allgemeines zu Drittstaatenübermittlungen
Die Anwendungshinweise geben zunächst einen allgemeinen Überblick über die Angemessenheitsentscheidung.
Unter Drittstaatenübermittlungen versteht man die Übertragung von personenbezogenen Daten aus dem Europäischen Wirtschaftsraum (EWR) in Länder, in denen die Datenschutz-Grundverordnung (DSGVO) nicht unmittelbar gilt. Dies betrifft beispielsweise die USA. Die DSGVO regelt solche Übermittlungen, um ein gleichwertiges Datenschutzniveau sicherzustellen.
Zweistufige Prüfung der Rechtmäßigkeit der Übermittlung an Drittländer
Die Übermittlung personenbezogener Daten an Drittländer ist gemäß Art. 44 Abs. 1 DSGVO nur unter bestimmten Bedingungen zulässig. Zunächst muss geprüft werden, ob eine Rechtsgrundlage für die Datenverarbeitung besteht. Darüber hinaus müssen die Grundsätze aus Art. 5 DSGVO eingehalten werden (1. Stufe). Erst danach kann die Übermittlung nach einem der Mechanismen des Kapitels V DSGVO legitimiert werden (2. Stufe).
Kapitel V – Übersicht zu den Übermittlungsinstrumenten
Ein Angemessenheitsbeschluss gemäß Art. 45 DSGVO ermöglicht eine Datenübermittlung an ein Drittland, wenn die Europäische Kommission feststellt, dass ein gleichwertiges Datenschutzniveau wie in der EU gegeben ist. Hierbei muss auch die Existenz von Rechtsbehelfen für betroffene Personen geprüft werden. Das EU-US Data Privacy Framework ist ein solcher Angemessenheitsbeschluss, der auf zertifizierte Stellen beschränkt ist.
Geeignete Garantien gemäß Art. 46 DSGVO sind weitere Mechanismen zur Legitimierung von Drittstaatenübermittlungen. Hierzu gehören beispielsweise Standardvertragsklauseln (Standard Contractual Clauses) und Verhaltensregeln. Diese sollen ein gleichwertiges Datenschutzniveau sicherstellen. Dabei sollte stets beachtet werden, dass zusätzliche Maßnahmen erforderlich sein können, um das geforderte Schutzniveau zu erreichen.
Informationen für Daten übermittelnde Stellen (Datenexporteure)
US-Organisationen, die der Aufsicht der FTC oder des DOT unterliegen, können sich selbst im Rahmen des DPFs zertifizieren. Die Zertifizierung erfordert die Übermittlung von Informationen an das US-Handelsministerium, und zertifizierte Organisationen verpflichten sich zur Einhaltung der EU-US DPF-Vorgaben. Das US-Handelsministerium führt eine Liste zertifizierter Organisationen, auf die EU-Datenexporte gestützt werden können. Jährliche Überprüfungen sind erforderlich. Dabei sollte beachtet werden, dass die Zuständigkeiten der FTC und des DOT begrenzt sind, und nicht alle Branchen abdecken.
Umfassende Erläuterungen
Auch wenn die Erläuterungen auf der Webseite des DPFs recht umfangreich sind, so sind sie nicht sehr übersichtlich gestaltet. Die Anwendungshinweise der DSK sind deutlich übersichtlicher und verschaffen somit einen guten Überblick über dieser Thematik. Neben den allgemeinen Informationen und den Informationen für Daten übermittelnde Stellen werden auch Informationen für betroffene Personen zu Rechtsschutzmöglichkeiten zur Verfügung gestellt.
Fazit
Die Anwendungshinweise bieten eine gute Orientierungshilfe für Organisationen, die mit Drittstaatenübermittlungen zu tun haben. Das Dokument bietet sowohl Datenexporteuren als auch betroffenen Personen Informationen zum Datenschutz bei der Übermittlung von Daten in die USA. Es verweist auf weitere Ressourcen und Materialien für zusätzliche Informationen, einschließlich solcher vom Europäischen Datenschutzausschuss.
In Bezug auf die Zukunft des Angemessenheitsbeschlusses EU-US Data Privacy Framework, der vor dem Hintergrund früherer Aufhebungen von Angemessenheitsbeschlüssen für die USA erlassen wurde, kann die Datenschutzkonferenz keine Vorhersagen treffen. Zum aktuellen Zeitpunkt ist dieser Beschluss jedoch geltendes EU-Recht. Die DSK weist darauf hin, dass regelmäßige Evaluierungen durch die EU-Kommission vorgesehen sind, die zu Anpassungen oder Aufhebungen führen könnten. Darüber hinaus bestehe auch die Möglichkeit einer gerichtlichen Überprüfung dieses neuen Angemessenheitsbeschlusses.
Weitere Informationen und detaillierte Empfehlungen sind in den Anwendungshinweisen der Datenschutzkonferenz verfügbar.
21. Juli 2023
Die Europäische Kommission hat am 10. Juli 2023 den lang angekündigten Angemessenheitsbeschluss für die Übermittlug personenbezogener Daten in die USA auf Grundlage des neuen „EU-US Datenschutzrahmens“ (EU-US Data Privacy Framework, DPF) veröffentlicht (wir berichteten). Die Entscheidung kommt zu dem Schluss, dass die Vereinigten Staaten ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die gemäß dem neuen Rahmen an US-Unternehmen übermittelt werden.
Datentransfer mit zertifizierten US-Unternehmen nun möglich
Das DPF-Programm, das von der International Trade Administration (ITA) innerhalb des U.S. Department of Commerce verwaltet wird, ermöglicht es, berechtigten Organisationen mit Sitz in den USA, ihre Konformität mit dem EU-US DPF und, falls zutreffend, mit der britischen und/oder der schweizerischen Erweiterung selbst zu zertifizieren. Um am DPF-Programm teilzunehmen, muss sich ein in den USA ansässiges Unternehmen über die Website des Ministeriums für das DPF-Programm zertifizieren und sich öffentlich zur Einhaltung der DPF-Prinzipien verpflichten. Die Entscheidung zur Selbstzertifizierung im Rahmen des DPF-Programms einer Organisation ist freiwillig, die tatsächliche Einhaltung ist bei einer Teilnahme jedoch obligatorisch. Sobald eine Organisation sich gegenüber der ITA selbst zertifiziert und öffentlich erklärt, dass sie sich zur Einhaltung der DPF-Grundsätze verpflichtet, ist diese Verpflichtung nach US-Recht einklagbar.
Organisationen, die derzeit noch über eine aktive Privacy Shield-Zertifizierung verfügen, können diese an die neuen Anforderungen anpassen, um auch unter dem DPF zertifiziert zu bleiben. Für diese Anpassungen wird eine Übergangsfrist von drei Monaten gewährt.
Standardvertragsklauseln, wenn keine Zertifizierung vorliegt
Praktisch bedeutet dies, dass zertifizierte Unternehmen nunmehr ohne Standardvertragsklauseln (SCC) auskommen können. Sofern die Empfänger nicht unter das DPF fallen oder keine Zertifizierung vorliegt, müssen auch weiterhin Standartvertragsklauseln abgeschlossen werden und zusätzliche Maßnahmen ergriffen werden, um ein gleichwertiges Schutzniveau garantieren zu können. Das gleiche gilt auch für Transfer Impact Assessments (TIA). Der Beschluss ist so auszulegen, dass nur für die nach dem DPF zertifizierten Unternehmen kein TIA mehr erforderlich wäre.
Wichtig ist, dass das DPF-Programm nur für US-Organisationen zur Verfügung steht, die von der FTC oder dem DOT reguliert werden. Andere Organisationen, insbesondere Banken und einige andere Arten von Finanzinstituten, sind nicht teilnahmeberechtigt und müssen sich daher weiterhin auf SCCs (oder BCRs) für ihre konzerninternen Übermittlungen und andere Übermittlungen an ihre US-Betriebe stützen.
Soll ich weiterhin Standardvertragsklauseln zusätzlich zum DPF abschließen?
Aufgrund der Entwicklungen in dieser Thematik ist es fraglich, ob auch das DPF auf Dauer Bestand haben wird. Die grundsätzlichen Bedenken, welche bereits die Vorgängerabkommen zu Fall gebracht haben, sind nicht vollständig ausgeräumt. Auch dieses Abkommen könnte durch ein Verfahren vor dem Europäischen Gerichtshof (EuGH) zu Fall gebracht werden. Der Umstand, dass diese Abkommen mit sofortiger Wirkung für unzulässig erklärt wurden, hatte zur Folge, dass alle Datenübermittlungen, die auf diesen Abkommen beruhten, nicht mehr rechtmäßig waren. Insofern bleibt es auch weiterhin sinnvoll, auf Standardvertragsklauseln aufzubauen, um genau dieses Risiko abzufedern.
EDSA veröffentlicht FAQs
Der Europäische Datenschutzausschuss (EDPB) hat nun ein neues Dokument (Information note on data transfers under the GDPR to the United States after the adoption of the adequacy decision on 10 July 2023) veröffentlicht, welches weitere Informationen zur Verfügung stellt. Die damit verbundenen FAQs wurden kürzlich veröffentlicht und werfen ein neues Licht auf die Thematik.
In den FAQs betont der EDPB, dass alle Sicherheitsvorkehrungen, die von der US-Regierung im Bereich der nationalen Sicherheit getroffen wurden (einschließlich des Beschwerdemechanismus), auf alle Datenübermittlungen in die USA anwendbar sind, unabhängig von dem gewählten Übermittlungsinstrument. Dies bedeutet, dass Datenexporteure bei der Bewertung des Risikos des von ihnen gewählten Übertragungsinstruments gemäß Artikel 46 der Datenschutz-Grundverordnung (DSGVO) die von der Kommission durchgeführte Bewertung in der Angemessenheitsentscheidung berücksichtigen können.
Was bedeutet das konkret?
Im Rahmen des DPF wurden neue Datenschutzmechanismen eingeführt, darunter ein Gericht zur Datenschutzüberprüfung in den USA (Data Protection Review Court, kurz DPRC) sowie beschränkte Zugriffsbefugnisse für Strafverfolgung und nationale Sicherheit wie z.B. die US-Nachrichtendienste.
Bisher galten bestimmte Gesetze wie beispielsweise der Foreign Intelligence Surveillance Act (FISA) 702 und Executive Order (EO) 12.333 als äußerst problematisch, da sie weitreichende Zugriffsmöglichkeiten auf personenbezogene Daten ermöglichten und Bedenken hinsichtlich der Einhaltung der europäischen Datenschutzstandards aufwarfen. Durch die nun erfolgte Angemessenheitsentscheidung könnten diese Gesetze weniger stark ins Gewicht fallen, da die US-Regierung Maßnahmen ergriffen hat, um die Datenübermittlungen rechtskonformer zu gestalten.
Insbesondere die Einführung eines Beschwerdemechanismus sei ein entscheidender Schritt, um den europäischen Datenschutzanforderungen gerecht zu werden. Durch diesen Mechanismus erhalten EU-Bürgerinnen und -Bürger das Recht, gegen etwaige Zugriffe auf ihre personenbezogenen Daten in den USA vorzugehen und ihre Rechte geltend zu machen.
Bedeutung für das Transfer Impact Assessment (TIA)
Sofern die Empfänger nicht unter das DPF fallen oder keine Zertifizierung vorliegt, müssen auch weiterhin TIAs abgeschlossen werden. Der Beschluss ist so auszulegen, dass nur für die nach dem DPF zertifizierten Unternehmen kein TIA mehr erforderlich wäre. Gesetze, die zuvor als problematisch eingestuft wurden (wie z.B. FISA 702 & EO 12.333) könnten nun weniger stark ins Gewicht fallen, was die TIAs vereinfachen könnte. Dies stellt einen Fortschritt dar und dürfte die Zusammenarbeit zwischen europäischen und amerikanischen Unternehmen erleichtern.
Trotz dieser positiven Entwicklung ist es weiterhin von entscheidender Bedeutung, dass Datenexporteure ihre Verantwortung ernst nehmen und stets sorgfältig prüfen, welche Übertragungsinstrumente sie wählen.
Fazit
Zumindest vorübergehend steht nun eine „einfache“ Methode zur Legitimierung der Übermittlung von Daten in die Vereinigten Staaten zur Verfügung. Ob diese Lösung auf Dauer tragfähig ist, ist allerdings fraglich. Dieses Risiko sollte man, insbesondere bei laufenden Projekten zum Abschluss von Standardvertragsklauseln, im Hinterkopf behalten und abwägen, ob eine solche Maßnahme weiterhin (auch bei zertifizierten Unternehmen) sinnvoll ist.
Als Ihr Partner im Datenschutz möchten wir Ihnen die Unterstützung der KINAST GRUPPE anbieten. Unsere Experten können Ihre derzeitige Zertifizierung überprüfen und bewerten, ob zusätzliche Maßnahmen erforderlich sind, um den Anforderungen des neuen Datenschutzrahmens gerecht zu werden. Auch im Falle einer neuen Zertifizierung unterstützen wir Sie gerne. Wir sind bestens mit den aktuellen Datenschutzbestimmungen vertraut und können Ihnen helfen, den Übergang zum Data Privacy Framework reibungslos zu gestalten.
Zögern Sie nicht, uns zu kontaktieren, wenn Sie Interesse an unserer Unterstützung bei der Zertifizierung haben oder weitere Informationen benötigen.
15. Mai 2023
Ende der vergangenen Woche äußerte sich das europäische Parlament in einer Entschließung zu einem möglichen Angemessenheitsbeschluss für die USA. Bereits im Oktober 2022 hatte Präsident Biden die Exekutiv-Anordnung 14086 unterzeichnet. Diese Anordnung sollte neue Maßnahmen zu Schutz personenbezogener Daten in Kraft setzen (wir berichteten). Diese Anordnung ist außerdem ein wesentlicher Bestandteil der neuen transatlantischen Rahmenvereinbarung (sog. Trans-Atlantic Data Privacy Framework), die einen neuen Angemessenheitsbeschluss der europäischen Kommission für die USA ermöglichen soll.
Nun setzte sich das europäische Parlament in seinem Entschluss mit der Frage auseinander, ob die europäische Kommission auf der Grundlage der transatlantischen Rahmenvereinbarung einen neuen Angemessenheitsbeschluss annehmen könne. Dabei untersuchte das europäische Parlament insbesondere die Frage, ob die genannte Anordnung zur Sicherung des europäischen Datenschutzniveaus beitragen kann.
Erhebliche Bedenken
Insgesamt betonte das Parlament, dass die vorgelegten Änderungen der Exekutiv-Anordnung kein ausreichendes datenschutzrechtliches Niveaus erzielten. Aus Sicht des Parlamentes stelle insbesondere die in der Exekutiv-Anordnung vorgesehene Frist ein Problem dar. US-Behörden erhielten bis Oktober 2023 Zeit, um die datenschutzrechtlichen Vorgaben der Anordnung in der Praxis umzusetzen. Demnach könne die europäische Kommission keine abschließende Einschätzung zum kritischen Zugang der Behörden auf personenbezogene Daten europäischer Bürger abgeben.
Außerdem sei die gerichtliche Durchsetzung datenschutzrechtlicher Verstöße vor US-Gerichten durch EU-Bürger problematisch. Grundsätzlich sehe die Exekutiv-Anordnung neue Rechtsbehelfe, in Form eines sog. Datenschutz-Überprüfungsgerichtes vor. Demnach könnten betroffene Personen Datenschutzverstöße vor Gericht angreifen. Allerdings seien die entsprechenden Verfahren nicht öffentlich, sodass die betroffene Person lediglich darüber informiert werde, dass das Gericht keinen Datenschutzverstoß feststellte oder Abhilfemaßnahmen anordnete. Zusätzlich könne der Präsident die Entscheidungen des Datenschutz-Überprüfungsgerichtes aufheben. Damit sei die richterliche Unabhängigkeit fraglich.
Darüber hinaus kritisierte das europäische Parlament den Rechtscharakter der Anordnung. Bei der Anordnung handele es sich nicht um ein Bundesgesetz. Der Präsident könne die Anordnung jederzeit ändern und aufheben.
Zusätzlich betonte das europäische Parlament, dass die Exekutiv-Anordnung die Erhebung personenbezogener Daten und insbesondere die Erhebung des Inhaltes von Mitteilungen erlaube. Die Anordnung sehe grundsätzlich neue Schutzmaßnahmen gegen die Massenerhebung personenbezogener Daten vor. Allerdings solle nach ihren Regelungen keine vorherige Einwilligung in die Massenerhebung von Daten eingeholt werden. Infolgedessen zweifelt das europäische Parlament daran, dass hinreichende Garantien für den Fall einer Massenerhebung von Daten existierten.
Fazit
Abschließend betonte das europäische Parlament, dass die transatlantische Rahmenvereinbarung kein ausreichendes Schutzniveau biete. Es seien weitere Verhandlungen erforderlich. Entschließungen des europäischen Parlamentes sind rechtlich nicht bindend, sodass die Reaktion der europäischen Kommission abzuwarten bleibt.
28. April 2023
Die US-Bundesstaaten Montana und Tennessee haben am 21. April umfassende Gesetzentwürfe zum Datenschutz verabschiedet. Damit sind sie neben Indiana und Iowa die jüngsten Bundestaaten, die in diesem Jahr umfassende Datenschutzgesetze verabschiedet haben.
Iowa Data Privacy Act (IDPA)
Nach Connecticut, Utah, Virginia, Colorado und Kalifornien war Iowa am 29. März der sechste Staat, der ein umfassendes Datenschutzgesetz verabschiedete. Das Gesetz wird am 1. Januar 2025 in Kraft treten, so dass Organisationen 21 Monate Zeit haben, die neuen Anforderungen zu erfüllen. Obwohl das Gesetz einige Ähnlichkeiten mit anderen staatlichen Datenschutzgesetzen aufweist, sollten Unternehmen auf die Unterschiede achten, wenn sie ihre Compliance-Bemühungen in den Vereinigten Staaten ausweiten.
Der Iowa Data Privacy Act (IDPA) gilt für Unternehmen, die in Iowa tätig sind oder sich mit ihren Produkten oder Dienstleistungen an Verbraucher in Iowa wenden und personenbezogene Daten von 100.000 oder mehr Verbrauchern in Iowa oder 25.000 oder mehr Verbrauchern in Iowa kontrollieren oder verarbeiten und gleichzeitig mehr als 50 % ihrer Bruttoeinnahmen aus dem Verkauf dieser Daten erzielen.Die IDPA-Definition des Begriffs “Verbraucher” umfasst natürliche Personen mit Wohnsitz in Iowa, die in einem persönlichen (nichtkommerziellen und nichtbeschäftigten) Kontext handeln, und schließt Mitarbeiter und B2B-Kontakte aus.
Der IDPA erlegt den für die Datenverarbeitung Verantwortlichen Verpflichtungen auf. Dazu gehören beispielsweise die Beschränkung des Zwecks der Verarbeitung personenbezogener Daten, die Einführung angemessener Schutzmaßnahmen, den Verzicht auf Diskriminierung, transparente Datenschutzhinweise und die Sicherstellung, dass die Beziehungen zu den Auftragsverarbeitern vertraglich geregelt sind. Darüber hinaus erteilt es den Verbrauchern in Iowa das Recht auf Ablehnung, Löschung, Zugang, Widerspruch und Datenübertragbarkeit.
Zu den sensiblen personenbezogenen Daten gehören u. a. die rassische/ethnische Herkunft, religiöse Überzeugungen und Geolokalisierungsdaten. Die für die Verarbeitung Verantwortlichen müssen deutlich auf die Verarbeitung dieser Daten hinweisen und die Möglichkeit bieten, sich gegen eine Verarbeitung entscheiden zu können. Der Generalstaatsanwalt von Iowa hat die ausschließliche Durchsetzungsbefugnis und das Gesetz sieht kein privates Klagerecht vor.
Indiana Bill on Consumer data protection
Mit der Unterzeichnung der Senate Bill No. 5 durch Gouverneur Eric Holcomb wird Indiana der siebte Staat sein, der ein umfassendes Datenschutzgesetz verabschiedet. Das Gesetz tritt am 1. Januar 2026 in Kraft. Es ähnelt anderen staatlichen Datenschutzgesetzen wie dem Virginia Consumer Data Protection Act.
Das Datenschutzgesetz von Indiana gilt für Organisationen, die personenbezogene Daten von mindestens 100.000 Einwohnern Indianas oder 25.000 Einwohnern Indianas verarbeiten und gleichzeitig mehr als 50 % ihrer Bruttoeinnahmen aus dem Verkauf personenbezogener Daten erzielen. Bestimmte Einrichtungen und Daten sind von dem Gesetz ausgenommen.
Das Gesetz verpflichtet die Unternehmen, den Verbrauchern klare und aussagekräftige Datenschutzhinweise zur Verfügung zu stellen und räumt den Verbrauchern das Recht ein, ihre personenbezogenen Daten zu bestätigen, auf sie zuzugreifen, sie zu korrigieren, zu löschen und zu übertragen. Darüber hinaus können Verbraucher auch der Verarbeitung ihrer personenbezogenen Daten für gezielte Werbung, den Verkauf personenbezogener Daten oder die Profilerstellung, die erhebliche Auswirkungen hat, widersprechen.
Es gibt kein privates Klagerecht und Unternehmen haben eine 30-tägige Frist zur Behebung angeblicher Verstöße.
Montana Consumer Data Privacy Act (MCDPA)
Nachdem der Montana Consumer Data Privacy Act (MCDPA) beide Häuser der Legislative von Montana bereits passierte, fehlt nun lediglich noch die Unterschrift von Gouverneur Greg Gianforte. Der MCDPA ähnelt den Gesetzen in Connecticut und Virginia, was darauf hindeutet, dass diese Modelle zunehmend die Grundlage für andere staatliche Datenschutzgesetze darstellen.
Das Gesetz gilt für Unternehmen, die in Montana geschäftlich tätig sind, personenbezogene Daten von 50.000 oder mehr Verbrauchern in Montana oder von 25.000 oder mehr Verbrauchern in Montana kontrollieren oder verarbeiten und gleichzeitig mehr als 25 % ihrer Bruttoeinnahmen aus dem Verkauf dieser Daten erwirtschaften.
“Verbraucher” ist definiert als eine natürliche Person mit Wohnsitz in Montana, die in einem persönlichen Kontext handelt. Personenbezogene Daten werden als Informationen definiert, die mit einer identifizierten oder identifizierbaren Person verknüpft sind oder vernünftigerweise verknüpft werden können. Zu den sensiblen Daten gehören Informationen über die Rasse/ethnische Herkunft, die Religion, die Gesundheitsdiagnose, das Sexualleben, die sexuelle Orientierung, die Staatsbürgerschaft, den Einwanderungsstatus und genetische oder biometrische Informationen einer Person. Betroffene Unternehmen müssen den Verbrauchern eine Reihe von Standardrechten zugestehen, darunter das Recht auf Ablehnung des Verkaufs personenbezogener Daten, das Recht auf Löschung, Zugang, Berichtigung und Widerspruch, das Recht auf Einwilligung in Werbung und gezieltes Marketing für Personen zwischen 13 und 16 Jahren sowie das Recht auf Datenübertragbarkeit.
Sensible Daten dürfen nicht verarbeitet werden, ohne dass die Zustimmung des Verbrauchers eingeholt wurde oder, im Falle von Kindern, die COPPA-Bestimmungen eingehalten wurden.
Des Weiteren verpflichtet der MCDPA die für die Verarbeitung Verantwortlichen, den Zweck der Verarbeitung personenbezogener Daten auf das vernünftigerweise notwendige und verhältnismäßige Maß zu beschränken, Maßnahmen zu ergreifen, um angemessene Sicherheitsvorkehrungen für die ihrer Kontrolle unterliegenden personenbezogenen Daten zu treffen, Verbraucher nicht zu diskriminieren, wenn sie ihre Rechte wahrnehmen, und in ihren Datenschutzhinweisen transparent zu sein. Der Generalstaatsanwalt von Montana hat die ausschließliche Durchsetzungsbefugnis und es gibt kein privates Klagerecht.
Das MCDPA wird am 1. Oktober 2024 in Kraft treten.
Tennessee Information Privacy Act (TIPA)
Sobald Gouverneur Bill Lee zustimmt, wird sich Tennessee mit der Einführung des Tennessee Information Privacy Act (TIPA) bald den Staaten mit umfassenden Datenschutzgesetzen anschließen. Das TIPA folgt weitgehend dem Modell des kalifornischen CCPA, allerdings mit einer Ausnahme.
Er gilt für Unternehmen, die in Tennessee tätig sind oder Produkte oder Dienstleistungen für Einwohner von Tennessee anbieten und personenbezogene Daten von mindestens 100.000 Verbrauchern oder 25.000 Verbrauchern verarbeiten und gleichzeitig mehr als 50 % ihrer Bruttoeinnahmen aus dem Verkauf von personenbezogenen Daten erzielen.
Die Einhaltung der CCPA-Verpflichtungen wird wahrscheinlich zur Einhaltung des TIPA führen, vorbehaltlich der Verpflichtungen in Bezug auf das NIST Privacy Framework. Dieses verlangt von Unternehmen, dass sie Datenschutzrisiken identifizieren, kontrollieren, kommunizieren und Schutzmaßnahmen ergreifen. Die Nichteinhaltung des TIPA kann zu Strafen von bis zu 15.000 US-Dollar pro Verstoß führen, die vom Generalstaatsanwalt von Tennessee durchgesetzt werden.
Ausblick
So entscheiden sich zunehmend mehr Bundesstaaten für eigene Datenschutzgesetze, weitere Staaten werden mit Sicherheit folgen. Darüber hinaus gibt auch Pläne für speziellere Datenschutzgesetze. So gibt es beispielsweise Gesetzesvorschläge, die sich auf Kinder, soziale Medien (wie Utahs Social Media Regulation Act) und Gesundheitsinformationen, die nicht unter den HIPAA fallen (wie Washingtons My Health My Data Act), konzentrieren. Darüber hinaus gibt es auch weiterhin einen Gesetzesentwurf für ein umfassendes Datenschutzgesetz auf Bundesebene, dessen Verabschiedung zum jetzigen Zeitpunkt aber noch ungewiss ist.
24. April 2023
Am 18. April 2023 stellte die Europäische Kommission den EU Cyber Solidarity Act vor, um die Prävention, Erkennung und Reaktion auf Cyber-Sicherheitsvorfälle in der gesamten EU zu verbessern.
Verbesserung der Cyber-Sicherheit in der EU
Das Ziel des EU Cyber Solidarity Act sei es, die Kapazitäten in der EU zu stärken, um bedeutende und groß angelegte Cyber-Sicherheitsbedrohungen und Angriffe zu erkennen und darauf zu reagieren. Der Vorschlag umfasst ein europäisches Cyber-Sicherheitsschild, das aus miteinander verbundenen Security Operations Centres (SOCs) bestehen soll, sowie einem umfassenden Cyber-Sicherheits-Notfallmechanismus, um die Cyber-Sicherheit der EU zu verbessern.
Die Security Operations Centres sollen in mehreren länderübergreifenden SOC-Plattformen zusammengefasst werden. Diese SOCs sollen dabei fortschrittliche Technologien wie künstliche Intelligenz (KI) und Datenanalyse einsetzen, um Bedrohungen zu erkennen Dies soll eine schnellere und effizientere Reaktion auf größere Bedrohungen ermöglichen. Das Cyber-Sicherheitsschild soll insgesamt die Erkennung, Analyse und Reaktion auf Cyber-Bedrohungen verbessern.
Cyber-Sicherheits-Notfallmechanismus
Der Cyber-Sicherheits-Notfallmechanismus soll sicherstellen, dass die Vorbereitung und Reaktionen auf Cyber-Sicherheitsvorfälle verbessert werden. Dieses Ziel möchte man durch die Folgenden Schritte erreichen:
- Unterstützung bei Vorbereitungsmaßnahmen
- Überprüfung von Einrichtungen in wichtigen Sektoren wie Finanzen, Energie und Gesundheitswesen auf potenzielle Schwachstellen, die sie anfällig für Cyber-Bedrohungen machen könnten
- Gemeinsamen Risikobewertung auf EU-Ebene
- Schaffung einer EU Cyber-Sicherheitsreserve
- Gegenseitige Unterstützung innerhalb der EU
Cybersecurity Incident Review Mechanism
Schließlich sieht der EU Cyber Solidarity Act auch die Einrichtung eines Cybersecurity Incident Review Mechanism vor. Dieser Mechanismus wird dazu beitragen, spezifische Cybersecurity-Zwischenfälle zu analysieren und Empfehlungen zur Verbesserung der Reaktion auf solche Vorfälle abzugeben.
Die Europäische Agentur für Cybersicherheit (ENISA) wird für die Überprüfung spezifischer oder groß angelegter Cybersecurity-Zwischenfälle verantwortlich sein. ENISA soll dann einen Bericht erstellen, der Lehren aus dem Zwischenfall zieht und gegebenenfalls Empfehlungen zur Verbesserung der EU-Cyberabwehr enthält.
Finanzierung
Die Umsetzung des EU Cyber Solidarity Act werde durch den Digital Europe Programme (DEP) finanziert. Der DEP unterstützte die digitale Transformation Europas und habe unter anderem den Auftrag, die europäische Cybersecurity zu stärken.
Für den EU Cyber Solidarity Act werden insgesamt 842,8 Millionen Euro zur Verfügung gestellt, wovon 100 Millionen Euro aus anderen Bereichen des DEP umgeschichtet werden. Dies soll die Umsetzung des Cybersecurity-Ziels des DEP verstärken.
Ein Teil der zusätzlichen 100 Millionen Euro werde dazu verwendet, das Budget des European Cybersecurity Competence Center (ECCC) zu stärken, um Maßnahmen im Bereich der SOCs und der Vorbereitung umzusetzen. Der Rest des Geldes werde zur Unterstützung der Einrichtung des EU Cybersecurity Reserve eingesetzt. Zusätzlich zu den Mitteln des DEP erwarte man auch auch Beiträge der Mitgliedstaaten, die das Budget des EU Cyber Solidarity Act auf bis zu 1,109 Milliarden Euro erhöhen könnten.
Fazit
Der EU Cyber Solidarity Act ist ein wichtiger Schritt zur Verbesserung der Cybersecurity in Europa. Durch die Einrichtung von SOCs, die Unterstützung der Vorbereitungsmaßnahmen und die Schaffung eines EU Cybersecurity Reserve würde die EU besser auf zukünftige Cybersecurity-Bedrohungen vorbereitet sein. Gleichzeitig wird die Einrichtung eines Cybersecurity Incident Review Mechanism dazu beitragen, dass die EU aus vergangenen Zwischenfällen lernen und ihre Cyberabwehr stetig verbessern kann.
17. April 2023
Am 4. April 2023 hat der Europäische Datenschutzausschuss (EDSA) die überarbeiteten Richtlinien zur Meldung von Datenschutzverletzungen veröffentlicht. Die Aktualisierung betrifft Unternehmen, die zwar nicht in der EU ansässig sind, aber dennoch gemäß der Datenschutz-Grundverordnung (DSGVO) in deren Anwendungsbereich fallen. Dieser Beitrag gibt einen Überblick über die Updates des EDSA und beleuchtet die rechtlichen Aussagen.
Die ehemaligen WP29 Leitlinien
Vor dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) hatte die damalige Artikel-29-Datenschutzgruppe (WP29) am 3. Oktober 2017 allgemeine Richtlinien zur Meldung von Datenschutzverletzungen verabschiedet, in denen die relevanten Abschnitte der DSGVO analysiert wurden. WP29 empfahl darin, dass Datenschutzverletzungen der Aufsichtsbehörde im Mitgliedstaat gemeldet werden sollten, in dem der Vertreter des Verantwortlichen in der EU niedergelassen ist. Als Nachfolger der WP29 bestätigte der EDSA diese Richtlinien am 25. Mai 2018 formell.
EDSA: Aktualisierung zu Meldepflichten
Der Europäische Datenschutzausschuss (EDSA) hat seine Leitlinien zur Meldung von Datenschutzverletzungen für nicht in der EU niedergelassene Unternehmen aktualisiert. Das Feedback für diese Aktualisierung wurde im Rahmen einer öffentlichen Konsultation bis zum 29. November 2022 eingeholt. Der EDSA hat klargestellt, dass die bloße Anwesenheit eines Vertreters in der EU nicht das “One-Stop-Shop”-Prinzip auslöst, sondern nicht in der EU niedergelassene Unternehmen sich bei Datenschutzverletzungen, die Personen in mehreren Mitgliedsstaaten betreffen, an alle zuständigen Aufsichtsbehörden der jeweiligen Mitgliedsstaaten wenden müssen. Nach der öffentlichen Konsultation wurde dieser Abschnitt nun angenommen. Es sollten jedoch auch einige Klarstellungen des EDSA berücksichtigt werden, die zwar nicht direkt mit dieser Aktualisierung zusammenhängen, aber dennoch relevant sind.
Meldung an Aufsichtsbehörde
Nach Artikel 33 Absatz 1 DSGVO ist der Verantwortliche verpflichtet, im Falle einer Datenschutzverletzung unverzüglich und möglichst innerhalb von 72 Stunden nach Kenntnis der Verletzung diese der zuständigen Aufsichtsbehörde gemäß Artikel 55 DSGVO zu melden, es sei denn, dass die Verletzung voraussichtlich kein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt.
Meldepflicht beim Verantwortlichen
Der Verantwortliche ist für die Meldepflicht bei Datenschutzverletzungen verantwortlich. Bei gemeinsam Verantwortlichen sollten die vertraglichen Vereinbarungen gemäß Artikel 26 der DSGVO klarstellen, welcher Verantwortliche die führende Rolle bei der Meldung von Datenschutzverletzungen übernimmt. Auftragsverarbeiter müssen Datenschutzverletzungen unverzüglich dem Verantwortlichen melden, jedoch nicht direkt bei der Aufsichtsbehörde.
Risikobewertung
Bei einer Datenschutzverletzung ist eine Risikobewertung wichtig. Gemäß EDSA-Leitlinien sollten dabei verschiedene Faktoren berücksichtigt werden, wie die Art der Verletzung, die Art und Sensibilität der betroffenen Daten, Identifizierbarkeit der betroffenen Personen, Schwere der Folgen, besondere Eigenschaften von betroffenen Personen und dem Verantwortlichen, sowie die Anzahl der betroffenen Personen und allgemeine Aspekte wie Empfehlungen von ENISA. In den Leitlinien 9/2022 werden auch Beispiele für Risikobewertungen genannt, z.B. könnte eine Verletzung als Risiko betrachtet werden, wenn sensible personenbezogene Daten betroffen sind, während eine Verletzung als kein Risiko betrachtet werden könnte, wenn die Daten verschlüsselt waren und Datensicherungen existieren.
Meldung an Aufsichtsbehörde
Gemäß Artikel 33 Absatz 1 DSGVO ist der Verantwortliche verpflichtet, im Falle einer Verletzung des Schutzes personenbezogener Daten die Meldung unverzüglich und möglichst innerhalb von 72 Stunden nach Kenntnis der Verletzung an die gemäß Artikel 55 zuständige Aufsichtsbehörde zu erstatten. Es sei denn, es ist wahrscheinlich, dass die Verletzung des Schutzes personenbezogener Daten keine Risiken für die Rechte und Freiheiten natürlicher Personen mit sich bringt.
Wann wird eine Datenpanne “bekannt”?
Gemäß Leitlinie 9/2022 gilt eine Datenschutzverletzung einem Verantwortlichen als “bekannt”, wenn er ausreichend sicher ist, dass ein Sicherheitsvorfall eingetreten ist, der zu einer Beeinträchtigung des Schutzes personenbezogener Daten geführt hat. Es ist nicht erforderlich, dass die Datenschutzverletzung tatsächlich stattgefunden hat. Zum Beispiel wird einem Verantwortlichen der Verlust eines unverschlüsselten USB-Sticks, auf dem personenbezogene Daten gespeichert sind, bekannt, wenn er den Verlust bemerkt. Wenn ein Dritter dem Verantwortlichen mitteilt, dass er versehentlich personenbezogene Daten erhalten hat und Belege für die unbefugte Offenlegung vorliegen, ist der Vorfall zweifelsfrei bekannt.
Empfehlung: Interne Richtlinien
Es wird empfohlen, dass nicht in der EU ansässige Unternehmen, die unter den Anwendungsbereich der DSGVO fallen, interne Richtlinien und Prozesse zur Meldung von Datenschutzverletzungen gemäß den Vorgaben des EDSA beachten. Die Meldung von Datenschutzverletzungen an mehrere Behörden kann zeitaufwändig sein. Interne Richtlinien und Prozesse zur Handhabung von Datenschutzvorfällen sind daher ratsam, um den Melde- und Benachrichtigungspflichten rechtzeitig nachzukommen. Effektive und regelmäßig überprüfte Prozesse zur Bewältigung von Datenschutzvorfällen sind entscheidend für eine schnelle Meldung von Datenschutzverletzungen und die Einhaltung von Fristen.
20. März 2023
Im Jahr 2022 war China zum siebten Mal in Folge Deutschlands wichtigster Handelspartner. Im Zuge dessen gründen immer mehr europäische Unternehmen Konzerngesellschaften in China, um von den dortigen Marktchancen zu profitieren. Diese Expansion führt zwangsläufig zu Datentransfers von China an die europäische Hauptverwaltung.
Um den rechtlichen Anforderungen an den internationalen Datenverkehr gerecht zu werden, hat die chinesische Regierung im November 2021 ein neues Datenschutzgesetz verabschiedet. Dieses Gesetz legt ähnliche Vorgaben wie die DSGVO fest und enthält in Artikel 38 Regelungen zur Rechtmäßigkeit von Datenübermittlungen ins Ausland. Eine Möglichkeit, diese Vorgaben zu erfüllen, ist der Abschluss von Standardvertragsklauseln mit dem Datenempfänger.
Die Cyberspace Administration of China (CAC) hat im Februar 2023 die endgültige Fassung der Maßnahmen für die Standardvertragsklauseln für die grenzüberschreitende Übermittlung personenbezogener Daten (SCC-Maßnahmen) veröffentlicht. Die chinesischen Standardvertragsklauseln sind in diesen Maßnahmen enthalten. Diese neuen Vorgaben treten am 1. Juni 2023 in Kraft. Unternehmen haben bis zum 30. November 2023 Zeit, um Maßnahmen zur Einhaltung der SCC-Maßnahmen zu ergreifen.
Um die Vorgaben einzuhalten, müssen Unternehmen unter anderem sicherstellen, dass die vertraglich vereinbarten technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten eingehalten werden. Unternehmen sollten auch die nationalen Gesetze und Vorschriften beider Länder sorgfältig prüfen, um zu vermeiden, dass sie gegen Datenschutzgesetze verstoßen.
Datenübermittlung aufgrund SCC außerhalb Chinas
Die Übermittlung von Daten aus China ins Ausland kann nicht immer aufgrund der SCC (Standard Contractual Clauses) erfolgen. Laut Art. 4 der SCC-Maßnahmen können die SCC nur verwendet werden, wenn alle vier Bedingungen erfüllt sind, darunter die Verarbeitung von persönlichen Informationen von weniger als einer Million Menschen, die Durchführung von grenzüberschreitenden Übertragungen von weniger als 100.000 allgemeinen persönlichen Informationen und weniger als 10.000 sensiblen persönlichen Informationen seit dem 1. Januar des vorangegangenen Jahres sowie die Nicht-Zugehörigkeit zum Betreiber kritischer Informationsinfrastrukturen. Diese Schwellenwerte entsprechen den Schwellenwerten für grenzüberschreitende Datenübertragungen, die einer von der CAC durchgeführten Sicherheitsbewertung bedürfen. Unternehmen dürfen die Datenübertragungen nicht aufteilen, um den Sicherheitsbewertungsmechanismus der CAC zu umgehen, und müssen die jährliche Gesamtmenge der zu übertragenden Daten schätzen.
Model der chinesischen SCC
Die chinesischen SCC bestehen im Gegensatz zu den EU-Standardvertragsklauseln aus einem universellen Modul, welches für alle Datenexporteure (Verarbeiter) Chinas und Datenimporteure im Ausland gilt, unabhängig von ihrer Rolle und Funktion. Es ist zu beachten, dass es auch für solche Datenexporteure gilt, die zwar nicht in China ansässig sind, jedoch nach Art. 3 Abs. 2 PIPL für die betreffende Verarbeitung der PIPL unterliegen. Nach Art. 3 Abs. 2 PIPL findet das Gesetz Anwendung auf Verarbeitungen persönlicher Daten natürlicher Personen außerhalb des Gebiets der Volksrepublik China, wenn bestimmte Umstände vorliegen, wie zum Beispiel die Verarbeitung zum Zweck, natürlichen Personen innerhalb des chinesischen Gebiets Waren oder Dienstleistungen anzubieten oder das Verhalten natürlicher Personen innerhalb des chinesischen Gebiets zu analysieren oder zu bewerten.
Bußgelder
Die Provinz-Aufsichtsbehörde kann Korrekturen bei grenzüberschreitendem Datentransfer verlangen und hat einen Meldemechanismus für Verstöße eingerichtet. Verstöße gegen das chinesische Gesetz zum Datenschutz können zu administrativen, zivil- und strafrechtlichen Konsequenzen führen. Die Höchststrafen betragen 50 Millionen RMB oder 5 % des Vorjahresumsatzes, je nachdem, welcher Betrag höher ist. Das PIPL sieht auch persönliche Haftung vor und es können Geldstrafen von bis zu einer Million Yuan sowie Verbote für bestimmte Positionen verhängt werden.
Kernklauseln der chinesischen SCC
Deutsche Unternehmen sollten insbesondere folgende Pflichten beachten: Der Datenimporteur darf personenbezogene Daten nur gemäß den Bedingungen verarbeiten, die im Anhang I aufgeführt sind, und darf die Daten nicht über den vereinbarten Umfang hinaus verarbeiten. Der Importeur muss die Rechte und Interessen der betroffenen Person minimal beeinflussen und die Sicherheit der Datenverarbeitung durch technische und organisatorische Maßnahmen gewährleisten. Im Falle von Datenschutzverletzungen muss der Importeur Maßnahmen zur Abhilfe ergreifen, den Verarbeiter benachrichtigen und die Aufsichtsbehörden informieren. Eine weitere Übermittlung von personenbezogenen Daten durch den ausländischen Empfänger ist nur unter bestimmten Bedingungen gestattet.
Fazit
Die chinesischen SCC ähneln im Allgemeinen den EU-Standardvertragsklauseln. Im Gegensatz zu den EU-SCC gibt es jedoch keine Unterscheidung zwischen Übertragungen von Controller zu Prozessor und von Controller zu Controller in den chinesischen SCC. Stattdessen gibt es ein einziges Modul mit vielen Bestimmungen, die dem Controller-zu-Prozessor-Modul der EU-SCC ähneln
15. März 2023
TikTok: eine harmlose Plattform für Jugendliche zum Teilen unterhaltsamer Videos mit dem Wunsch viral zu gehen oder eher eine Gefährdung für Regierungen und Gesellschaften? Zwei Standpunkte, die nicht weiter entfernt voneinander sein könnten. Eine Plattform mit mehr als einer Milliarden Nutzer*innen weltweit sorgt bei mehreren Anlaufstellen für Bauchschmerzen. Darunter ist die EU-Kommission sowie das Federal Bureau of Investigation (FBI). Selbst der ehemalige Präsident der Vereinigten Staaten, Donald Trump, wollte den Dienst vollends verbieten.
Über TikTok
Mit mehr als einer Milliarde Nutzer*innen ist die Plattform im Weltweiten Ranking lediglich auf Platz vier. Zur Veranschaulichung der Nutzerzahlen ist Meta (ehemalig Facebook) mit 2,9 Milliarden Nutzer*innen auf dem ersten Platz. Hinter dem Dienst steht das chinesische Unternehmen ByteDance. Zu den Problemfeldern zählt insbesondere der nach westlichen Standards mangelnde Daten- und Jugendschutz, eine umfangreiche politische Zensur, die Verbreitung von Fake News, Werbung für Fake-Markenartikel, betrügerische Inhalte bis hin zu möglicher Spionage des chinesischen Staates durch die Auswertung von Nutzerprofilen. Verantwortliche Sprecher*innen des Dienstes streiten nach autokratischem Muster alle Anschuldigungen immer wieder konstant ab.
Datenschutzrechtliche Bedenken
Mit einer Social-Media-App wie TikTok wird europaweit ein kaum vorstellbares Maß an personenbezogenen Daten generiert. Fraglich ist an dieser Stelle natürlich, wie mit diesen Daten verfahren wird und wer am Ende wirklich Zugriff auf diese haben könnte. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) formuliert Bedenken gegenüber TikTok eher zurückhaltend. So erklärt das BSI, dass sich mit dem Aufstieg des Dienstes auch immer wieder warnende Stimmen zu Wort melden, die einen Abfluss der Benutzerdaten nach China befürchteten. China, ein Land ohne Angemessenheitsbeschluss.
Bringt der Digital Services Act die Lösung?
Das neue EU-Gesetz ermöglicht ggf. ein Verbot. EU-Kommissar Thierry Breton äußerte sich folgendermaßen dazu: „Wir werden nicht zögern, alle möglichen Sanktionen zu beschließen, wenn Prüfungen nicht die volle Einhaltung erkennen lassen“. Der Digital Services Act (DSA) wird ab dem 1. September dieses Jahres für große Plattformen anwendbar sein. Es bleibt abzuwarten, wie scharf das Schwert des DSA sein wird. Eine drastische Anpassung der internationalen Tech-Giganten an europäische Standards würde wohl von mehreren Stellen begrüßt werden.
8. März 2023
Seitdem im Jahr 2020, mit dem Urteil Schrems II, der bis dahin geltende Angemessenheitsbeschluss (Privacy Shield) für ungültig erklärt worden ist, gilt die USA als ein unsicheres Drittland für Datenübermittlungen. Ein großes Problem in diesem Kontext war unter anderem die nachrichtendienstliche Datenerhebung in den USA. Diese war gewissermaßen anforderungslos für Geheimdienste möglich. Nachdem die US-Regierung gezwungen war, im Oktober 2022 Maßnahmen zu ergreifen, folgte ein Beschlussentwurf der Europäischen Kommission. Die genannten Maßnahmen sollten die zwei Hauptprobleme der fehlenden Verhältnismäßigkeit und dem Fehlen wirksamer Rechtsbehelfe im Bezug auf Überwachungsmaßnahmen lösen. So soll insbesondere die Exekutivverordnung über die Verbesserung der Garantien für US-Signalspionagetätigkeiten nun in die Richtung eines neuen Angemessenheitsbeschlusses führen.
Der Europäische Datenschutzausschuss heißt die Einführung von Anforderungen an Notwendigkeit und Verhältnismäßigkeit für die nachrichtendienstliche Datenerhebung in den USA für gut. Außerdem begrüßt er den neuen Rechtsbehelfsmechanismus für betroffene Personen aus der EU. Dennoch liegt nicht nur ein reiner Zustimmungsgedanke vor. Zu bestimmten Rechten betroffener Personen, der Weiterübermittlung personenbezogener Daten, dem Umfang der Ausnahmen sowie der vorübergehenden Massenerfassung von Daten und der praktischen Funktionsweise des Rechtsbehelfsmechanismus bleiben Fragen offen. Auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder unterstützt die Position des Europäischen Datenschutzausschusses ausdrücklich.
Es bleibt nun lediglich abzuwarten, wie sich ein neuer Angemessenheitsbeschluss für die Übermittlung von Daten in die USA entwickeln wird.
17. Februar 2023
Die Europäische Kommission hatte im Dezember 2022 den Entwurf eines Angemessenheitsbeschlusses für die Übermittlung personenbezogener Daten in die USA auf Grundlage des neuen „EU-US Datenschutzrahmens“ veröffentlicht. Am 14. Februar 2023 forderte nun der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments die Europäische Kommission in einer Stellungnahme dazu auf, den möglichen Angemessenheitsbeschluss auf der Grundlage des vorgeschlagenen EU-US-Datenschutzrahmens nicht anzunehmen. Der Ausschuss argumentierte, dass der Rahmen keine tatsächliche Gleichwertigkeit mit der Europäischen Union (EU) in Bezug auf das Datenschutzniveau herstelle.
Rechtsverletzungen und zu große Unsicherheit
In der Stellungnahme wird zunächst auf die Charta der Grundrechte der Europäischen Union und ihre Artikel über den Schutz der Privatsphäre und den Datenschutz verwiesen. Sie zitiert auch die Schrems I und II Rechtsprechung des Europäischen Gerichtshofes (EuGH), in denen die Abkommen Safe Harbour und Privacy Shield für ungültig erklärt wurden. In der Stellungnahme wird betont, dass der wahllose Zugriff von Nachrichtendiensten auf die elektronische Kommunikation das Grundrecht auf Vertraulichkeit der Kommunikation und das Wesen des Rechts auf einen Rechtsbehelf verletzte.
Darüber hinaus werden auch die jüngsten Entwicklungen in den USA erwähnt, darunter Präsident Bidens Executive Order 14086 (EO) über die Verbesserung der Sicherheitsvorkehrungen für die Aktivitäten der US-Signalaufklärung und die vom US-Justizminister erlassene Verordnung über das Datenschutzprüfungsgericht. Man erkenne an, dass die USA Schritte unternommen hätten, um Bedenken im Zusammenhang mit Überwachung und Datenschutz auszuräumen, betone jedoch, dass ein angemessenes Schutzniveau für personenbezogene Daten unerlässlich sei.
Die inhaltlichen Definitionen der Begriffe “Verhältnismäßigkeit” und “Notwendigkeit” in der Executive Order, die den Rahmen bildet, stimmten nicht mit ihrer Bedeutung und Auslegung in der EU überein. Darüber hinaus könne der US-Präsident diese ändern, wodurch sie unklar, ungenau und in ihrer Anwendung unvorhersehbar seien. Das Gericht für die Überprüfung des Datenschutzes sei nicht transparent, unabhängig oder unparteiisch und Entscheidungen würden nicht veröffentlicht oder den Beschwerdeführern zugänglich gemacht. Schließlich verfügten die Vereinigten Staaten auch nicht über ein Bundesdatenschutzgesetz. Dabei wurden bestehende datenschutzrechtliche Gesetze der Bundesstaaten sowie branchenspezifische Bundesgesetze allerdings außer Acht gelassen.
Fazit und Ausblick
Der Ausschuss kommt zu dem Schluss, dass der Datenschutzrahmen zwischen der EU und den USA keine tatsächliche Gleichwertigkeit des Schutzniveaus herstellt und fordert die Kommission auf, die Verhandlungen mit ihren US-amerikanischen Partnern fortzusetzen, um so einen Mechanismus zu schaffen, der eine solche Gleichwertigkeit gewährleistet und das angemessene Schutzniveau bietet, das nach dem Datenschutzrecht der Union und der Charta in der Auslegung durch den EuGH erforderlich ist. Er fordert die Kommission nachdrücklich auf, die Angemessenheitsentscheidung nicht anzunehmen. Es ist wahrscheinlich, dass sich das EU-Parlament dieser Haltung anschließen wird.
Die Aufforderung des Ausschusses an die Kommission, unter diesen Voraussetzungen keine neue Angemessenheitsentscheidung in Bezug auf die USA zu erlassen, ist nicht bindend. Die Einwände des Ausschusses und seine Forderung nach sinnvollen Reformen sind angesichts der Bedeutung des Schutzes personenbezogener Daten allerdings nachvollziehbar. Die vom Ausschuss hervorgehobenen Probleme müssen angegangen werden, um sicherzustellen, dass personenbezogene Daten in einem Abkommen zwischen der EU und den USA angemessen geschützt werden. Andernfalls gilt es als wahrscheinlich, dass auch dieses Abkommen der Rechtsprechung und Auslegung des EuGH nicht standhalten würde.
Pages: 1 2 3 4 5 6 7 ... 34 35 
