Kategorie: Internationaler Datenschutz
23. März 2021
Google sammelt auch im Inkognito-Modus des Chrome-Browsers Daten zu Internetaktivitäten, obwohl im Inkognito-Modus weitreichende Privatsphäre versprochen werde. Einige Google-User wollten im Wege einer Sammelklage dagegen vorgehen. Google stellte einen Antrag auf Einstellung des Verfahrens. Dieser wurde nun von der zuständigen Bundesrichterin Lucy Koh abgelehnt, wie Bloomberg berichtete.
Damit können sich die Prozessparteien auf das Haupterfahren vorbereiten. Im Einzelnen geht es darum, dass Google über eigene Webseiten und unzählige Webseiten Dritter Daten für Nutzerprofile auch dann sammelt, wenn die User den Inkognito-Modus aktiviert haben. Google vertritt dabei den Standpunkt, dass das aus dem Inkognito-Startbildschirm sowie den Datenschutzbedingungen klar hervorgehe. Demzufolge hätten die Nutzer also eingewilligt.
Richterin Koh ist nicht überzeugt: Google habe entgegen der eigenen Behauptung nicht dargelegt, dass die User der Datensammlung zugestimmt haben. Die Hinweise im Eröffnungsbildschirm des Chrome-Browsers seien irreführend.
Googles Vorbringen, die Vorwürfe seien verjährt, lässt die Richterin ebenfalls nicht gelten. Jedes Erheben von Daten sei ein eigenes Vergehen und lasse eine neue Verjährungsfrist beginnen. Ob das Verfahren wie von den Klägern gewünscht als Sammelklage für alle einschlägig Betroffenen geführt werden kann, ist noch offen. Eine Anhörung dazu ist auf den 22. Januar 2022 datiert. Das Verfahren lautet Brown et al v. Google et al und ist am US-Bundesbezirksgericht für das nördliche Kaliforniern unter dem Az. 5:20-cv-03664 anhängig.
18. März 2021
Durch die Ausnutzung von Sicherheitslücken erlangten Hacker Zugriff auf die Microsoft Exchange Server (wir berichteten). Die Lücken wurden inzwischen durch ein Windows-Update behoben.
Inzwischen äußerten sich auch weitere Datenschutzaufsichtsbehörden zu dem Vorfall. Einigkeit besteht hinsichtlich der Rechtsfolgen zumindest dann, wenn ein Data Breach in Form eines eindeutigen und nachweisbaren Zugriffs auf personenbezogene Daten stattgefunden hat. In diesem Fall ist die Meldung einer Datenpanne unerlässlich. Bei den Details unterscheiden sich die Meldungen jedoch.
Hier ein landespezifischer Überblick:
Auch Microsoft informiert über die technisch notwendigen Schritte. Darüber hinaus können sich Betroffene mit dem erst kürzlich veröffentlichten Microsoft On-premises Mitigation Tool (EOMT) wohlmöglich noch weiter absichern. Das Tool ersetzt die Sicherheitspatches allerdings nicht. Es kann auf der Github-Website von Microsoft heruntergeladen werden. Sind die Server abgesichert, lädt das Tool den Microsoft Security Scanner herunter. Dieser untersucht dann die Server auf schädliche Elemente.
28. Februar 2021
Nach einer großangelegten Umfrage durch den Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI), Herrn Dr. Lutz Hasse bei Thüringer Unternehmen sowie einer anschließenden Frageaktion der Kammern, ist in Kooperation mit den IHKs und HWKs ein umfangreicher FAQ– Katalog für Unternehmen fertiggestellt worden.
Die FAQs enthalten Antworten auf viele Fragestellungen, die dem TLfDI nach Auswertung der Unternehmensumfrage relevant erschienen. Darüber hinaus wurden auch Problemstellungen berücksichtigt, die von den Kammern an den TLfDI herangetragen wurden. Die FAQs sollen nun der Information und Unterstützung der Unternehmen bei Fragen zum Datenschutz dienen.
Inhaltlich werden viele Themen des Datenschutzes abgedeckt. So bietet der Katalog beispielsweise Antworten bei der Benennung des betrieblichen Datenschutzbeauftragten (bDSB), bei den rechtlichen Grundlagen für die Datenverarbeitung, den Beschäftigtendatenschutz, Werbung, technische und organisatorische Anforderungen, Auftragsverarbeitung und vieles mehr.
17. Februar 2021
Immer wieder verlagern europäische Firmen ihre Daten auf die Server von US Konzernen und das obwohl der Europäische Gerichtshof im Juli letzten Jahres in dem sogenannten Schrems-II-Urteil das Datenschutzabkommen Privacy Shield und damit die rechtliche Grundlage für den Transfer personenbezogener Daten zwischen der EU und den USA wegen ungenügenden Datenschutzes gekippt hat.
Problematisch an diesem Datentransfer und einer Zusammenarbeit mit US-Cloud-Diensten ist insbesondere, dass US-Geheimdienste einen umfangreichen Zugriff auf die bei den amerikanischen Unternehmen gespeicherten Daten haben – und dass auch dann, wenn die Daten in Europa gespeichert werden.
Derzeit ist ein Datentransfer daher nur dann datenschutzrechtlich unbedenklich, solange die beteiligten Unternehmen alternative Lösungen zur Aufrechterhaltung eines angemessenen Datenschutzniveaus verwenden, wie zum Beispiel EU-Standardvertragsklauseln nebst zusätzlicher Garantien. Diese müssen jedoch – im Gegensatz zu einem Transferabkommen – für jeden Verarbeitungsvertrag separat ausgehandelt werden. Dies ist nicht nur aufwendig, sondern in der Praxis auch nur schwer umsetzbar, da in den meisten Fällen mit Amazon, Microsoft oder Google kein individueller Verarbeitungsvertrag geschlossen wird. Aus diesem Grund wünschen sich sowohl Datenschützer als auch die Industrie ein neues Abkommen.
Ein solches ist bislang noch nicht in Sicht. Daher setzen zahlreiche deutsche Unternehmen weiter auf die Lösungen von US-Cloud-Anbietern oder steigen gerade erst auf diese um, statt sich von ihnen zu lösen.
Die deutschen Aufsichtsbehörden wollen nun härter durchgreifen und die Einhaltung der Bestimmungen der Datenschutzgrundverordnung stärker kontrollieren.
Wie das Handelsblatt berichtete, haben die Aufsichtsbehörden zur Cloud-Problematik eine spezielle Task Force eingerichtet. Dabei wollen sie stichprobenartig bundesweit Unternehmen auswählen, bei denen die Vermutung besteht, dass sie Dienstleister aus Drittstaaten verwenden. Die Task Force soll mit deutschen Unternehmen den Einsatz von US-Cloud-Diensten besprechen und gegebenenfalls Alternativen vorschlagen wie z.B. einen Wechsel des Anbieters oder eine Aussetzung der Datenübermittlung. Aber auch die Verhängung von Bußgeldern ist laut den Datenschutzbehörden dann angezeigt, wenn keine zufriedenstellende Lösung gefunden werden kann. Diese können bis zu 20 Mio. Euro betragen oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes.
Es bleibt daher abzuwarten, wie die Datenschutzbehörden im Rahmen ihrer Task Force vorgehen werden, welche Bußgelder verhängt werden und ab wann eine europäische Lösung für die Frage der Drittsaatenübermittlung gefunden wird.
27. Januar 2021
Die Datenschutz-Grundverordnung (DS-GVO) findet unter bestimmten Bedingungen auch auf Unternehmen Anwendung, die ihren Sitz außerhalb der EU bzw. des EWR, also in sog. Drittstaaten haben. Insbesondere wenn diese ihre Waren oder Dienstleistungen auch gegenüber Kunden anbieten, die sich innerhalb der EU bzw. des EWR aufhalten, unterliegen diese Unternehmen den europäischen Datenschutzbestimmungen (Art. 3 Abs. 2 DS-GVO). Insbesondere um solche Unternehmen effektiv kontrollieren zu können, müssen diese nach Art. 27 DS-GVO einen Vertreter in der Union benennen.
Keine wirksamen Durchsetzungsmöglichkeiten gegen Unternehmen aus Drittstaaten?
Adressat von zwei Beschwerden vor der luxemburgischen Datenschutzbehörde CNPD waren zwei solcher Unternehmen, die zwar personenbezogene Daten des Beschwerdeführers aus Luxemburg verarbeiteten, auf die Geltendmachung der Betroffenenrechte (Art. 15 sowie Art. 17 DS-GVO) jedoch nicht reagierten. Dennoch wies die CNPD – trotz Bestätigung der Anwendbarkeit der DS-GVO – die Beschwerde ab, mit der Begründung, wegen der fehlenden Vertretung in der Union seien keine wirksamen Durchsetzungsmaßnahmen zu erwarten.
noyb: Sehr wohl Durchsetzungsmöglichkeiten vorhanden
Gegen diese Entscheidung hat der Beschwerdeführer in Zusammenarbeit mit der NGO noyb – vor allem bekannt durch Mitgründer Max Schrems – Berufung eingelegt. Würde sich die luxemburgische Datenschutzbehörde weigern, Verstöße gegen die DS-GVO durch Unternehmen aus Drittstaaten zu verfolgen, würde dies die vorgesehene internationale Anwendung der Verordnung untergraben, so noyb in der Stellungnahme. Außerdem würde dies zu einem Wettbewerbsvorteil nicht-europäischer Unternehmen führen, welche sich nicht um die Einhaltung von europäischen Datenschutzvorschriften bemühen müssten. Auch wird verneint, dass keine effektiven Durchsetzungsmaßnahmen gegen Unternehmen aus Drittstaaten bestünden. So sei es durchaus möglich, Vermögenswerte in der Union – auch bei Dritten – einzufrieren oder gar Webseiten sperren zu lassen. Klagen von Betroffenen nur deswegen abzuweisen, weil die Durchsetzung von Maßnahmen aufwändig oder mit Hindernissen verbunden ist, sei nicht hinnehmbar.
noyb pocht auf effektive Durchsetzung der DS-GVO
Gleichzeitig kündigte noyb an, dass dieser Berufung noch weitere Klagen folgen könnten, die sich gegen untätige Aufsichtsbehörden richten. Es sei wichtig sicherzustellen, dass die DS-GVO durch die zuständigen Aufsichtsbehörden effektiv durchgesetzt wird, auch gegenüber Unternehmen aus Drittstaaten. Andernfalls bestünden die Grundrechte von betroffenen Personen, die durch die DS-GVO geschützt werden sollen, nur noch auf dem Papier.
Clubhouse ging in den USA bereits im März 2020 an den Start und steckt aktuell noch im Beta-Stadium. Bereitgestellt wird die App von dem US-Unternehmen Alpha Exploration Co. Inzwischen hat sie einen Wert von schätzungsweise 100 Millionen US-Dollar. Die Idee stammt von dem Stanford-Absolventen und ehemaligen Pinterest-Mitarbeiter Paul Davison und dem ehemaligen Google-Mitarbeiter Rohan Seth. In Deutschland wurde die App bis Anfang Januar 2021 kaum genutzt, bis einige deutsche Influencer auf der Plattform aktiv wurden. Nach eigenen Angaben ist der Dienst so konzipiert, dass Benutzer audiobasierte Unterhaltungen mit Freunden und anderen Menschen auf der ganzen Welt führen können. Vor kurzem war die App die meist heruntergeladene iOS-Anwendung in Deutschland. In den Diskussionsräumen diskutieren zunehmend bekannte Persönlichkeiten aus Wirtschaft, Politik, Medien und Sport.
Funktion
Clubhouse ist eine Anwendung, bei der sich die User Gespräche anhören und sich dabei auch aktiv an Diskussionen beteiligen können. Neben den öffentlichen Diskussionen bietet die App auch die Möglichkeit zur Diskussion in geschlossenen Gruppen. Die Diskussionsräume sind mit virtuell gestalteten Podiumsdiskussionen vergleichbar.
Die Moderatoren sprechen in den Räumen live über bestimmte Themen und die Zuhörer können dann dem virtuellen Raum beitreten. Die Teilnehmenden sind zunächst stumm geschaltet und können durch die Moderatoren zum Gespräch freigeschaltet werden. Darüber hinaus können die Moderatoren die Teilnehmer auch stumm schalten oder auch aus dem jeweiligen Raum auszuschließen.
Bisher kann die App nur auf iOS Geräten verwendet werden. Auch wenn sie schon im App Store zum Download bereitsteht, so wird für die Nutzung des erstellten Accounts eine Einladung von einem aktiven Anwender benötigt. Durch dieses Marketing-Konzept der künstlichen Verknappung sind Einladungen zurzeit noch sehr begehrt. Aktuell werden sie sogar zum Kauf auf Online-Auktionsplattformen angeboten.
Hinsichtlich des Datenschutzes ist die Nutzung der Anwendung nicht unbedenklich. Die Datenschutzkonferenz von Bund und Ländern (DSK) konnte sich mit dem Dienst bisher noch nicht detailliert befassen. Insofern steht eine Stellungnahme derzeit noch aus.
Zugriff auf Kontakte
Schon die Registrierung ist aus datenschutzrechtlicher Sicht bedenklich. Die dafür notwendige Einladung erfolgt über das Adressbuch des einladenden Nutzers. Das führt dazu, dass die eigenen Kontakte auf dem Smartphone mit Clubhouse geteilt werden müssen. Dabei ist es problematisch, dass die Kontaktdaten von Personen, die noch nicht bei Clubhouse registriert sind, ohne deren Einwilligung an das Unternehmen übermittelt werden. Diese Vorgehensweise wurde auch schon bei der Einführung von WhatsApp heftig kritisiert, da rechtlich gesehen jeder Kontakt zuvor um Erlaubnis gefragt werden müsste, bevor die personenbezogenen Daten verarbeitet werden können. Auf diese Weise kann Alpha Exploration persönliche Daten von Kontakten sammeln, die zuvor nicht in eine Verarbeitung einwilligten und auch die App nicht nutzen. Durch ein solches Auslesen von Kontakten ließe sich das soziale Umfeld von Nutzern weitgehend ausspionieren.
Die Frage nach der Rechtmäßigkeit dieses Vorgehens liegt aktuell der irischen Datenschutzbehörde zur Entscheidung vor. Baden-Württembergs Landesdatenschutzbeauftragter Stefan Brink sieht dieses Vorgehen äußerst kritisch. Es sei nicht auszuschließen, dass Clubhouse neben den Telefonnummern auch E-Mail-Adressen und Wohnadressen der Kontakte auslesen würde, sofern diese hinterlegt wären. Des Weiteren habe es ein erhebliches Verführungspotenzial, wenn man die App im vollen Umfang nutzen wolle und dafür nur schnell die Kontakte freigeben müsse, so Stefan Brink. Nach seiner Auffassung könnten die Nutzer rechtswidrig handeln, wenn sie der App Zugriff auf ihre Kontakte geben.
Nach der Aktivierung fordert die App dann auch beim neuen Nutzer Zugriff auf sämtliche Einträge im Adressbuch des verwendeten Smartphones. Auch bei der Anmeldung über einen Social-Media-Account behält sich Clubhouse den Zugang für Follower und Freundeslisten vor. Es ist nicht ersichtlich, in welcher Form und für welche Zwecke die dabei erhobenen Kontakt- und Accountinformationen Dritter in den USA verarbeitet werden.
Audiomitschnitte
Nach eigenen Angaben werden Audiomitschnitte ausschließlich zur Unterstützung der Untersuchung von Vorfällen aufgezeichnet. Temporäre Audioaufzeichnungen werden dabei verschlüsselt. Sollten diese Angaben so zutreffen, könnte sich Clubhouse bei den Aufzeichnungen auf die “Wahrung berechtigter Interessen” gemäß Art. 6 Abs. 1 lit. f DSGVO berufen. Hierbei muss jedoch beachtet werden, dass auch temporäre Aufzeichnungen auf den US-Servern des Unternehmens gespeichert werden und somit ein Zugriff Dritter nicht ausgeschlossen werden kann. Darüber hinaus fehlen auch Angaben über die Existenz einer Transportverschlüsselung.
Schattenprofile
Es deutet einiges darauf hin, dass zusätzlich zum Abfragen der Kontaktdaten nichtbeteiligter Dritter, vom Anbieter für diese auch Schattenprofile angelegt werden, selbst wenn sie die Plattform bisher nicht nutzen. Dies dürfte im Widerspruch zu den Betroffenenrechten der DSGVO stehen.
Identifizierung
Das gesamte Netzwerk einer Person ist für alle Nutzer weitgehend einsehbar. Das gilt auch für die Mitglieder innerhalb der verschiedenen Räume. Das kann dann von Vorteil sein, wenn beispielsweise die Nutzer gegen die Nutzungsbedingungen oder auch allgemeinen Gesetze verstoßen, da das Gesprochene, über den Klartextnamen, so schnell einer Person zugeordnet werden kann. Dadurch findet auch eine gewisse Selbstkontrolle statt, da andere Nutzer Verstöße melden können. Es könnte jedoch problematisch sein, wenn Nutzer innerhalb des betroffenen Netzwerks fälschlicherweise mit Äußerungen anderer Nutzer assoziiert werden. Wie auch bei anderen Netzwerken gab es auch bei Clubhouse schon Fälle von Diskriminierung und Rassismus.
Transparenz
In den Terms of Service (AGB) und der Privacy Policy (Datenschutzerklärung) von Clubhouse wird die DSGVO nicht erwähnt. Auch eine Adresse für Datenschutzauskünfte in der EU existiert nicht. Diese ist jedoch zwingend erforderlich, da auch die personenbezogenen Daten von EU-Bürgern verarbeitet werden (Marktortprinzip).
Laut Datenschutzerklärung gibt es bei der Version für das Smartphone eventuell keine Möglichkeit, das Tracking zu unterbinden. Somit kann nicht völlig ausgeschlossen werden, dass eine Profilbildung der Nutzer stattfindet.
Auch die Empfänger der personenbezogenen Daten werden nicht transparent dargestellt. Zwar werden nach offiziellen Angaben keine Daten an Geschäftspartner verkauft, der folgende Absatz der Datenschutzerklärung deutet jedoch auf Gegenteiliges hin.
„We may share Identification Data and Internet Activity Data with social media platforms and other advertising partners that will use that information to serve you targeted advertisements on social media platforms and other third party websites – under certain regulations such sharing may be considered a “sale” of Personal Data“
Fazit
Zu diesem Zeitpunkt ist es trotz des schnellen Wachstums nur schwer zu prognostizieren, wie sich Clubhouse innerhalb der EU in Zukunft entwickeln wird. Es scheint, als würde man die Datenschutzerklärung bewusst vage halten. Schon jetzt liegen wohl Verstöße gegen die DSGVO vor. Es bleibt somit abzuwarten, wie die europäischen Datenschutzbehörden darauf reagieren werden.
22. Dezember 2020
Nach einer Entscheidung der Europäischen Bürgerbeauftragten Emely O’Reilly müssen EU-Institutionen künftig auch interne Direktnachrichten archivieren und zugänglich machen.
Regieren via SMS & Co. ist längst Alltag in der Politik des 21. Jahrhunderts. Dies zeigte nicht zuletzt die Kommunikation über den EU-Rettungsschirm im Jahre 2015. Dennoch fiel diese Form der Verständigung nie unter die europäische Verordnung über den Zugang der Öffentlichkeit zu Dokumenten der Europäischen Institutionen. Dies wird sich nun ändern.
Zunächst lehnte der Rat das Auskunftsbegehren des Antragstellers FragDenStaat, welcher Direktnachrichten des ehemaligen EU-Ratspräsidenten Donald Tusk einsehen wollte, ab. Dementgegen stellte die Bürgerbeauftragte O’Reilly in ihrer Entscheidung jedoch grundlegend fest, dass sich die Verordnung auf alle Inhalte, unabhängig von der Form des Datenträgers bezieht.
Diese Entscheidung steht auch im Einklang mit einem vom VG Berlin verkündeten Urteil, nach welchem private Twitter-Direktnachrichten des Bundesinnenministers durch das Ministerium zugänglich gemacht werden müssen. Dagegen hat das Innenmisisterium jedoch eine Sprungrevision beantragt, deren Entscheidung noch aussteht.
26. November 2020
Erst kürzlich wurde GAIA-X, ein Projekt zum Aufbau einer europäischen Dateninfrastruktur, weiter vorangetrieben (wir berichteten). Das Projekt wird auch von der EU unterstützt und fokussiert sich auf die technische Entwicklung eines gemeinsam genutzten Daten-Binnemarktes innerhalb der Union. Die Europäische Kommission hat nun deutlich gemacht, dass diese technische Komponente durch einen rechtlichen Rahmen begleitet werden soll. Am gestrigen Mittwoch (25.11.2020) stellte die Kommission in Person von Margrethe Vestager (Exekutiv-Vizepräsidentin für ein Europa für das digitale Zeitalter) und Thierry Breton (Kommissar für Binnenmarkt) einen Entwurf für eine Verordnung über europäische Daten-Governance (“Daten-Governance-Gesetz”) vor.
Vermehrt Datenverarbeitungen, aber Abhängigkeit von großen Tech-Unternehmen
Hintergrund des Gesetzgebungsvorschlags ist die in den letzten Jahrzehnten beständig gewachsene Datenverarbeitung, insbesondere im privatwirtschaftlichem Bereich. Die Kommission rechtnet allein für die Zeit zwischen 2018 und 2025 mit einen Anstieg um das Fünffache. Anknüpfend an die im Februar 2020 veröffentliche Europäische Datenstrategie soll durch die neuen Regelungen ein Daten-Binnenmarkt geschaffen werden, der durch die Gewährleistung hoher Datenschutzstandards das Vertrauen der Bürger in die Sicherheit ihrer Daten erhöht, gleichzeitig aber auch die wirtschaftliche Nutzung personenbezogener Daten optimieren soll. Weil insbesondere bei der Datenübermittlung oftmals eine Abhängigkeit von amerikanischen und asiatischen Technologieplattformen bestehe, solle diesen mit sog. Datenmittlern ein europäisches Pendant entgegengestellt werden. Diese Daten-Treuhänder sollen die dort verarbeiteten Daten nicht kommerziell nutzen können und größtmögliche Transparenz ermöglichen.
Ziele: gleichzeitig Vertrauen, Sicherheit und Wirtschaftlichkeit verbessern
Vestager betonte in der Pressemitteilung insbesondere den Aspekt des Vertrauens der Bürger in eine sichere Verarbeitung ihrer Daten. Dazu gehöre die Kontrolle über die Datenverarbeitung, aber auch die Gewissheit, dass diese im Einklang mit den europäischen Werten und Grundrechten erfolge. Die vorgeschlagene Verordnung soll sicherstellen, dass die Werte und Grundsätze der EU, das Daten- und Verbraucherschutzrecht sowie Wettbewerbsvorschriften gewahrt werden. Breton, in seiner Eigenschaft als Binnenmarkt-Kommisar wenig verwunderlich, ging insbesondere auf die wirtschaftlichen Vorteile eines gemeinsamen Daten-Binnenmarktes ein. Datentransfers, auch branchenübergreifend, sollen durch die neuen Regelungen vereinfacht werden. Dieser Binnenmarkt müsse aber nicht nur offen, sondern auch souverän sein. Ziel sei es, Europa zum weltweit führenden Datenkontinent zu machen.
Dem vorgelegten Verordnungs-Entwurf wird sich nun das weitere Gesetzgebungsverfahren anschließen. Mit einer Verabschiedung der neuen Regelungen ist wohl erst 2022 zu rechnen.
24. November 2020
Im Anschluss an die Schrems II-Rechtsprechung des Europäischen Gerichtshofes (wir berichteten) und den neuen Empfehlungen des Europäischen Datenschutzausschusses (wir berichteten) reagierte Microsoft nun mit neuen Vertragsklauseln. Diese sollen es ermöglichen, personenbezogene Daten in Drittländer – insbesondere die USA – exportieren zu können.
Mit diesem Schritt wolle man über die aktuellen Richtlinien hinausgehen. Zusätzlich erhoffe man sich, dass dieser Schritt bei den Kunden zusätzliches Vertrauen schaffen werden.
Rechtsweg und Informationspflichten
Microsoft verpflichte sich, gegen jede nicht rechtmäßige Anordnung auf Herausgabe von personenbezogenen Daten vorzugehen und ggf. den entsprechenden Rechtsweg einzuschlagen. Darüber hinaus wolle man alle zumutbaren Anstrengungen unternehmen, um die Anfragen Dritter so umzuleiten, dass die Daten direkt vom Kunden angefordert werden müssten. Des Weiteren sollen Kunden, sofern dies im konkreten Fall rechtlich möglich sei, unverzüglich benachrichtigt werden. Sollte die Benachrichtigung untersagt sein, verpflichte man sich, alle rechtlichen Mittel einzusetzen, um das Verbot anzugreifen und den Kunden sobald wie möglich zu informieren.
Anspruch auf Schadensersatz
Personen die durch die nach der DSGVO unrechtmäßige Datenverarbeitung einen materiellen oder immateriellen Schaden erleiden, erhalten einen Anspruch auf Schadensersatz. Dabei trage der Betroffene die Beweislast. Diese Verpflichtung übertreffe die aktuellen Empfehlungen des Europäischen Datenschutzausschusses.
Ausblick
Ob weitere Unternehmen diesem Beispiel folgen werden, ist zurzeit noch nicht ersichtlich. Es bleiben auch weiterhin viele Fragen offen. Die neuen Ergänzungen lösen nicht den Kern des bisherigen Problems. Die vom Europäischen Gerichtshof als unverhältnismäßig beanstandeten Zugriffsmöglichkeiten der US-Geheimdienste auf personenbezogene Daten können auch weiterhin nicht unterbunden werden. Nach den neuen Klauseln existiert eine rechtliche Grundlage für eine Anfechtung auch nur dann, wenn das Herausgabeverlangen nach dem nationalen Recht rechtswidrig wäre. Das ist bei Geheimdienstanfragen innerhalb der Vereinigten Staaten nur sehr selten der Fall.
17. November 2020
Im Anschluss an die Veröffentlichung des Europäischen Datenschutzausschusses bezüglich neuer Empfehlungen bei Drittstaatentransfers (wir berichteten), veröffentlichte die EU-Kommission am 12. November 2020 einen Entwurf neuer Standardvertragsklauseln (SCC). Die neuen Standartvertragsklausen setzen sich dabei aus einem Kommissionsbeschluss und den konkreten Vertragsklauseln zusammen. Aufgrund der Schrems-II-Entscheidung des Europäischen Gerichtshofes (wir berichteten) wurde es zuletzt zunehmend schwieriger, personenbezogene Daten an Drittstaaten zu übermitteln. Die neuen Klauseln sollen nun dazu beitragen, personenbezogene Daten unter Einhaltung europäischer Datenschutzstandards, sicher an Drittstaaten transferieren zu können.
Zwei neue Übertragungsarten
Die wohl wichtigste Neuerung ist die Einführung zwei neuer Übertragungsarten. Bisher gab es die Schutzklauseln lediglich für das Verhältnis Verantwortlicher-Auftragsverarbeiter und Verantwortlicher-Verantwortlicher. Die neuen Klauseln decken zusätzlich das Verhältnis Auftragsverarbeiter-Auftragsverarbeiter und Auftragsverarbeiter-Verantwortlicher ab, wodurch auch Unterauftragsverhältnisse mit abgedeckt werden. Durch die neue „Docking Clause“ können nun auch Dritte zuvor geschlossenen Verträgen beitreten.
Garantien
Darüber hinaus sehen die neuen Klauseln Garantien vor. Eine Übermittlung bleibt auch weiterhin nur zulässig, wenn die nationalen Gesetze den Klauseln nicht entgegenstehen. Liegt ein rechtsverbindlicher Antrag auf Datenherausgabe einer Behörde vor, müssen Betroffene unverzüglich darüber informiert werden. Des Weiteren muss der Datenimporteur sich gegen das Zugriffsbegehren mit rechtlichen Mitteln zur Wehr setzen, sofern die gesetzlichen Bestimmungen dafür vorliegen.
Ausblick
Die EU-Kommission hat dazu aufgerufen, Stellungnahmen einzureichen. Die öffentliche Konsultation läuft noch bis zum 10. Dezember 2020. Sobald die neuen Standardvertragsklauseln in Kraft treten, müssen die alten Standardvertragsklauseln innerhalb eines Jahres durch die neuen Klauseln ersetzt werden.
Pages: 1 2 ... 7 8 9 10 11 ... 34 35 
