Kategorie: Privacy Shield

EU-US-Datentransfers: Europäische Kommission veröffentlicht Entwurf für neuen Angemessenheitsbeschluss

15. Dezember 2022

Die Europäische Kommission setzte am 13. Dezember 2022 den Grundstein für einen neuen Angemessenheitsbeschluss, der rechtssichere Datentransfers von der Europäischen Union (EU) in die Vereinigten Staaten von Amerika (USA) ermöglichen soll. In diesem Entwurf kommt sie zu dem Ergebnis, dass die USA ein angemessenes Datenschutzniveau bei solchen Datentransfers bieten.

Aller guten Dinge sind drei?

Dies ist bereits der dritte Versuch der Kommission, durch einen sogenannten Angemessenheitsbeschluss nach Art. 45 DSGVO Datentransfers in die USA zu erleichtern. Die bisherigen Vorgänger des „EU-US Data Privacy Framework“ waren 2016 und 2020 (wir berichteten) vor dem Europäischen Gerichtshof (EuGH) im Rahmen der Schrems-Urteile gescheitert. In diesen Entscheidungen hatte der EuGH geurteilt, dass das bei Transfers personenbezogener Daten in die USA kein angemessenes Schutzniveau gewährleistet sei. Der EuGH kritisierte insbesondere die Zugriffsmöglichkeiten von US-Geheimdiensten auf Daten von EU-Bürgern sowie mangelnde Rechtsschutzmöglichkeiten für betroffene Personen.

US-Präsident Biden erließ im Oktober eine sogenannte Executive Order, mit der US-Geheimdienste bei der Signalaufklärung zur Notwendigkeit und Verhältnismäßigkeit ihrer Datensammlungen verpflichtet werden. Zudem sollte danach auch ein Rechtsweg für Nicht-US-Bürger eröffnet werden, mit dem sie Einwände geltend machen können.

Was ist ein Angemessenheitsbeschluss?

Die Datenschutzgrundverordnung (DSGVO) sieht vor, dass personenbezogene Daten von der EU aus nur unter bestimmten Bedingungen in Drittstaaten übermittelt werden dürfen. Ziel ist es, dass das durch die DSGVO gewährleistete Schutzniveau nicht untergraben werden kann. Mit einem Angemessenheitsbeschluss wird einem Drittland attestiert, dass dieses Schutzniveau gegeben ist. Im Rahmen des Beschlusses werden die Rechtsvorschriften des Landes sowie die Rechtsschutzmöglichkeiten und die Datenschutzaufsicht berücksichtigt.

Zentrale Inhalte des Entscheidungsentwurfs

Die Kommission stellte zu Beginn des Entwurfs klar, dass die DSGVO kein identisches Schutzniveau der Drittstaaten voraussetze. Vielmehr müsse das System in seiner Gesamtheit das erforderliche Schutzniveau erreichen. Die Art und Weise, wie das Drittland personenbezogene Daten schütze, müsse keine Kopie der EU-Regeln sein. Zu berücksichtigen seien die Datenschutzregeln und deren effektive Umsetzung, Überwachung und Durchsetzung.

Wie schon der Vorgänger „Privacy Shield“ formuliert das EU-US Data Privacy Framework Prinzipien, die denen der DSGVO ähneln. Auch hält der Entwurf an dem Zertifizierungsmechanismus fest. So müssen sich US-Unternehmen, die sich daran beteiligen möchten, registrieren und zertifizieren. Mit der Zertifizierung, die jährlich erneuert werden muss, unterwirft sich das Unternehmen den Prinzipien des EU-US Data Privacy Framework.

Den Bedenken hinsichtlich der Zugriffsmöglichkeiten der US-Geheimdienste begegnet der Kommissionsentwurf mit einer Analyse des US-Rechts. Hier stützt die Kommission sich erheblich auf die genannte Executive Order. Anders als bei der vorherigen Rechtslage könne durch Einführung des Verhältnismäßigkeitsgrundsatzes sowie stärkerer Überprüfung bei sicherheitsdienstlichen Maßnahmen den Bedenken abgeholfen werden. Zudem könnten betroffene Personen eine Beschwerde beim „Civil Liberties Protection Officer“ erheben und dessen Entscheidungen vor dem „Data Protection Review Court“ angreifen.

Wie geht es nun weiter?

Der Kommissionsentwurf wird in einem nächsten Schritt vom Europäischen Datenschutzausschuss beurteilt. Dieser wird eine Stellungnahme abgeben, die jedoch für die Kommission nicht bindend ist. Im Anschluss erfolgt eine Stellungnahme durch einen Ausschuss aus Vertretern der Mitgliedstaaten. Zudem können das EU-Parlament sowie der Rat die Kommission dazu auffordern, die Verabschiedung des Angemessenheitsbeschlusses zu unterlassen. Für die Kommission ist allerdings keine dieser Stellungnahmen oder Interventionsversuche bindend.

Zu rechnen ist mit dem endgültigen Beschluss wohl frühestens im Frühjahr 2023. In der Wirtschaft wird er ungeduldig erwartet, schließlich werden gerade in den USA viele in der EU genutzte Dienste betrieben. Während sich der Verband der Internetwirtschaft zuversichtlich zeigt, ist Max Schrems von noyb, der auch die vorhergehenden Beschlüsse zu Fall gebracht hatte, skeptisch.

EU-Unternehmen, die mit US-Unternehmen Daten austauschen, müssen sich bis zum verbindlichen Angemessenheitsbeschluss noch mit den Standardvertragsklauseln als Rechtsgrundlage zufriedenstellen.

Guide zur Vermeidung von Google Fonts Abmahnungen

30. November 2022

Am 24. November 2022 veröffentlichte die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen eine Hilfestellung für Verantwortliche.
In dieser kurzen Checkliste werden Webseiten-Betreiber über Möglichkeiten zum Umgang mit Abmahnungen im Kontext der Nutzung von Google Fonts sowie zur Überprüfung ihrer Einstellungen dargelegt.

Dies soll zukünftige Abmahnungen aufgrund einer online Einbindung des Dienstes Google Fonts und daraus folgenden Nachfragen bei der Aufsichtsbehörde eindämmen.

Weitere Informationen zum Thema Google Fonts finden Sie in unseren bereits veröffentlichten Blogbeiträgen zu diesem Themengebiet.
Warum Google Fonts eine datenschutzrechtliche Abmahnwelle verursacht?
Weitere Datenschutzbehörden raten von Web-Fonts ab

Überprüfung der Abmahnschreiben

Betreiber von Webseiten, die ein Abmahnschreiben wegen Google Fonts erhalten haben, sollten Folgendes prüfen:

  • Sind Sie der Anbieter und datenschutzrechtlich Verantwortliche der Webseite, die in dem Schreiben genannt wird?
  • Ist auf der Webseite Google Fonts eingebunden?
  • Ist Google Fonts online eingebunden?
  • Wird von den Nutzerinnen und Nutzern keine wirksame Einwilligung gemäß § 25 Abs. 1 TTDSG und Art. 6 Abs. 1 lit. a DS-GVO für den Einsatz von Google Fonts eingeholt?

Wenn all diese Fragen mit „Ja“ beantwortet werden, liegt in Bezug auf Google Fonts ein datenschutzrechtlicher Verstoß vor, so die LfD Niedersachsen.

Weitere Datenschutzbehörden raten von Web-Fonts ab

10. November 2022

Wieder einmal äußern sich kritische Stimmen im Kontext der Nutzung von Google Fonts. Bereits in unserem letzten Beitrag wurde die Problematik unfreiwilliger Übermittlungen personenbezogener Daten in ein Drittland, durch die Nutzung der von Google eingebetteten Fonts behandelt.  

Kritik aus Hessen und Sachsen

Dieses Mal melden sich die hessische und sächsische Datenschutzaufsichtsbehörde zu Wort. Grund für das Aktivwerden der Behörden waren die aktuell stark zunehmenden Beratungsanfragen zu Abmahnungen aufgrund des Einsatzes der Google Schriftarten.

Forderungen von Schadensersatz

Dem Urteil des Landgerichts München vom 20. Januar 2022 nach könnte eine Nutzung der Google Web-Fonts auf eigenen Homepages wohl einen Verstoß gegen die DSGVO darstellen. So würden in den Fällen einer Nutzung dynamischer Fonts stets personenbezogene Daten von Webseitenbesucher*innen wie IP-Adressen an amerikanische Server weitergeleitet. Abgesehen eines unter strengen Regeln stehenden Transfer von Daten in einen Drittstaat, der kein ausreichendes Datenschutzniveau im Sinne der DSGVO bietet, werden zudem in seltensten Fällen Einwilligungen i. S. d. Art. 6 Abs. 1 lit. a DSGVO eingeholt. So ist das Urteil der Auslöser einer Abmahnwelle gegen Website-Betreiber, welche mit empfindlich hohen Geldforderungen konfrontiert werden.

Fazit

Betreiber von Webseiten sollten allgemein auf einen dynamischen Einsatz von Schriftarten verzichten und auf ein lokales Speichern umstellen, so die hessische und sächsische Behörde.  

Präsident Biden unterzeichnet Exekutiverlass zur Umsetzung des Datenschutzabkommens zwischen der EU und den USA

17. Oktober 2022

In dem Disput zwischen der Europäischen Union (EU) und den Vereinigten Staaten über den Transfer personenbezogener Daten über den Atlantik zeichnet sich eine Lösung ab. Am 07.10.2022 unterzeichnete Präsident Biden eine Exekutivanordnung über die Verbesserung der Schutzmaßnahmen für die Aktivitäten der US-amerikanischen Nachrichtendienste. Das Dekret soll der „Signal Intelligence“, also der elektronischen Aufklärung der US-Geheimdienste, engere Regeln setzten. Darin werden nun die Schritte festgelegt, die die Vereinigten Staaten unternehmen, um die von Präsident Biden und der Präsidentin der Europäischen Kommission von der Leyen im März 2022 angekündigten Zusagen der USA im Rahmen des Datenschutzrahmens zwischen der EU und den USA (Trans-Atlantic Data Privacy Framework (TADPF)) umzusetzen.

Hintergrund

Das neue Regelwerk soll eine erhebliche Lücke im Datenschutz auf beiden Seiten des Atlantiks schließen. Das erste Abkommen („Safe Harbor“) fiel 2015, das nachfolgende („Privacy Shield“) 2020. Der Europäische Gerichtshof (EuGH) hatte in den Urteilen Schrems I (Az.: C-362/14) und Schrems II (Az.: C 311/18) entschieden, dass das Datenschutzniveau in den Vereinigten Staaten nicht den Standards der EU entspreche. Die Verfahren hatte der österreichische Jurist Max Schrems mit seinem Datenschutzverein „noyb“ angestrengt. Das Gericht kam zu dem Entschluss, dass die Vereinigten Staaten über zu umfangreiche Kontrollmöglichkeiten für europäische personenbezogene Daten verfügten. Das Verfahren schuf enorme Unsicherheit über die Voraussetzungen für Unternehmen, personenbezogene Daten aus der Europäischen Union in die Vereinigten Staaten in einer Weise zu übertragen, die mit dem EU-Recht vereinbar ist.

Verpflichtung zu Schutzmaßnahmen

Große und kleine Unternehmen aus den USA und der EU in allen Wirtschaftszweigen sind auf grenzüberschreitende Datenströme angewiesen, um an der digitalen Wirtschaft teilzuhaben und ihre wirtschaftlichen Möglichkeiten erweitern zu können.

Mit dem neuen Abkommen sollen die europäischen Bedenken gegen die Überwachung durch US-Geheimdienste ausgeräumt werden. Vergangenen März, nachdem sich die USA und die EU grundsätzlich auf den neuen Rahmen geeinigt hatten, erklärte das Weiße Haus in einem Fact Sheet, dass die USA sich verpflichtet hätten, neue Schutzmaßnahmen einzuführen, um sicherzustellen, dass die Aktivitäten der Nachrichtendienste zur Verfolgung definierter nationaler Sicherheitsziele notwendig und verhältnismäßig sind.

Voraussetzungen für Eingriffe definiert

Die US-Verordnung nennt zunächst auch die Fälle, bei denen das Sammeln personenbezogener zulässig bleibe. Dazu gehöre beispielsweise der Kampf gegen den Terrorismus oder auch Maßnahmen zum Schutz der nationalen Sicherheit. Rechtswidrig wäre ein Eingriff beispielsweise dann, wenn er in diskriminierender Absicht erfolge. Darüber hinaus soll der neue Rechtsrahmen es Einzelpersonen in der EU ermöglichen, über ein unabhängiges Datenschutzprüfungsgericht Rechtsmittel einzulegen. In einem ersten Schritt soll dann ein Beamter des Direktorats der US-Geheimdienste („Civil Liberties Protection Officer“ (CLPO) im Office of the Director of National Intelligence) Beschwerden von EU-Bürgerinnen und Bürgern prüfen. Anschließend würde ein Gremium (Data Protection Review Court (DPRC)) mit „uneingeschränkter Befugnis“ über Ansprüche entscheiden und bei Bedarf Abhilfemaßnahmen anordnen. Auch der Grundsatz der Verhältnismäßigkeit müsse gewahrt werden.

Verhältnismäßigkeit und Rechtsbehelf weiterhin problematisch

Schon unmittelbar nach der Veröffentlichung wurde Kritik laut. Der Datenschutzverein noyb kündigte bereits an, gerichtlich gegen den Angemessenheitsbeschluss vorgehen zu wollen, wenn dieser die Executive Order der USA als legitim akzeptiere. Auf den ersten Blick versuche man hier ein drittes Abkommen ohne rechtliche Basis, so der Jurist Max Schrems. „Ich gehe davon aus, dass auch ein neues Abkommen bald vom EuGH kassiert wird.“ In den USA bestehe weiterhin die Situation der ständigen Massenüberwachung. Um eine Verhältnismäßigkeit gewährleisten zu können, müssten die USA aber auch dasselbe Verständnis von Verhältnismäßigkeit haben und anwenden, wie es die Grundrechtscharta vorsehe. Darüber hinaus werde auch der vom EuGH geforderte Rechtsbehelf nicht umgesetzt. „Obwohl die Stelle Court (Gericht) heiße, sei es tatsächlich kein Gericht, sondern eine Stelle der Exekutive”, so Schrems.

Der Ball liegt nun im Feld der EU-Kommission, die nun über den Erlass entscheiden muss und ggf. einen dazu passenden eigenen Rechtsrahmen erarbeiten könnte. Das könnte bis zum Frühjahr dauern. Es bleibt abzuwarten, ob der neue Rechtsrahmen dann den Anforderungen des EuGHs standhalten würde.

OLG Karlsruhe: US-Cloud-Anbieter dürfen bei öffentlichen Vergaben berücksichtigt werden

16. September 2022

Das Oberlandesgericht Karlsruhe (OLG) befasste sich zuletzt mit einer Entscheidung der Vergabekammer Baden-Württemberg. Nach dieser Grundsatzentscheidung (Beschluss vom 07. September 2022, Az. 15 Verg 8/22) dürfen Behörden bei öffentlichen Vergabeverfahren auf die Zusicherungen von IT-Anbietern zur Datenschutz-Konformität ihres Angebots vertrauen. Die Entscheidung der Vergabekammer Baden-Württemberg (vom 13.07.2022, Az. 1 VK 23/22) wird aufgehoben.

Sachverhalt

Zwei Krankenhausgesellschaften schrieben europaweit die Beschaffung einer Software für ein digitales Entlassungsmanagement aus. Als Ausschlusskriterium war ursprünglich u.a. die softwaretechnische Einhaltung eines DSGVO-Vertragsentwurfs vorausgesetzt. Dass die Daten ausschließlich in einem Rechenzentrum innerhalb des Europäischen Wirtschaftsraums (EWR) verarbeitet werden, bei dem keine Subdienstleister oder Konzernunternehmen in Drittstaaten ansässig sind, war als nur für die Wertung relevantes B-Kriterium ausgestaltet.

Nach der Erteilung des Zuschlags stellte eine Konkurrentin, die sich ebenfalls um den Auftrag bewarb, einen Nachprüfungsantrag bei der zuständigen Vergabekammer Baden-Württemberg. Diese verfügte den Ausschluss der ausgewählten Anbieterin aus dem Vergabeverfahren. Dabei wurde angeführt, dass die Anbieterin von der Angebotswertung auszuschließen sei, weil sie Änderung an den Vergabeunterlagen vorgenommen habe. Das Angebot verstoße somit gegen zwingende gesetzliche Vorgaben der DSGVO. Man verarbeite personenbezogene Daten auf Servern, auf die Drittstaaten Zugriff hätten. Das luxemburgische Tochterunternehmen eines US-amerikanischen Konzerns fungiere als Unterauftragnehmerin. Innerhalb des geschlossenen Auftragsverarbeitungsvertrags sei ein Vorbehalt vorgesehen, der es der US-Tochter erlaube, die im Auftrag des Kunden verarbeiteten personenbezogenen Daten auch ohne bzw. entgegen einer Weisung des Kunden offenzulegen und in ein Drittland zu übermitteln, wenn dies notwendig sei, um Gesetze oder verbindlichen Anordnungen einer staatlichen Behörde einzuhalten.

Die Antragsgegnerin konterte, jede zu weitgehende oder unangemessene Anfrage einer staatlichen Stelle einschließlich solcher Anfragen, die im Widerspruch zum Recht der Europäischen Union oder zum geltenden Recht der Mitgliedstaaten stehen, anzufechten. Dies wurde auch vertraglich festgehalten. Es liege schon kein Verstoß gegen Art. 44 ff. DSVGO vor, weil eine theoretische Zugriffsmöglichkeit des Drittstaates keine Übermittlung personenbezogener Daten darstelle. Darüber hinaus verwende man Standardvertragsklauseln und setze durch weitere Vereinbarungen mit der US-Tochter die vom Europäischen Gerichtshof (EuGH) nach der Schrems II-Rechtsprechung geforderten ergänzenden Regelungen um, so die Antragsgegnerin.

OLG widerspricht Vergabekammer

Gemäß Art. 44 S. 1 DSGVO ist jedwede Übermittlung personenbezogener Daten in ein Drittland außerhalb des EWRs nur zulässig, wenn einer der besonderen Erlaubnisgründe der Art. 44 ff. DSGVO vorliegt. Es stellte sich somit die Frage, ob eine Übermittlung in ein Drittland im Sinne der DSGVO vorlag.

Die Vergabekammer folgte dabei der herrschenden Meinung, dass eine berücksichtigungsfähige Offenlegung auch schon dann anzunehmen sei, wenn nur die abstrakte Möglichkeit bestehe, dass von einem Drittland aus zugegriffen werden kann.

Dieser Augmentation folgt das OLG Karlsruhe nicht. Die Antragsgegnerinnen müssten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen würde bzw. das europäische Tochterunternehmen Anweisungen der US-amerikanischen Muttergesellschaft automatisch Folge leisten würde, so der Senat.

Vertragliche Regelungen waren ausschlaggebend

Somit bleibt aber auch weiterhin ungeklärt, ob der Einsatz von US-Anbietern oder deren Tochtergesellschaften generell zulässig ist. Allerdings spricht das OLG in der Entscheidung den vertraglichen Regelungen einen hohen Stellenwert zu. Dies kann bei der Auslegung zukünftiger Sachverhalte und Vergabeverfahren eine Hilfestellung bieten. Hierbei sollte jedoch beachtet werden, dass es immer auf den konkreten Einzelfall ankommt. Die strenge Rechtsprechung des übergeordneten EuGHs sowie die daraus resultierenden Vorgaben der Kommission sollten immer eingehalten werden.

Können hypothetische Zugriffsmöglichkeiten bereits einen Datentransfer in ein Drittland i.S.v. Art. 44 DSGVO darstellen?

17. August 2022

Die Vergabekammer Baden-Württemberg hat mit einem nicht rechtskräftigen Beschluss vom 13. Juli 2022 (Az. 1 VK 23/22) für Diskussionen gesorgt. Sie ist der Auffassung, dass unzulässige Datenexporte auch dann vorliegen, wenn die entsprechende Infrastruktur durch eine europäische Tochtergesellschaft betrieben wird, welche zu einem amerikanischen Konzern gehört.

1. Sachverhalt

In einem Ausschreibungsverfahren streiten sich zwei Konkurrentinnen um einen Auftrag.  Eine Konkurrentin fordert hierin den Ausschluss der anderen aus dem Vergabeverfahren, da diese durch den Einsatz eines Rechenzentrumsbetreibers, dessen Konzernunternehmen in Drittstaaten ansässig ist, gegen die Bedingungen im Lastenheft im Kontext „Anforderungen an IT-Sicherheit und Datenschutz“ verstoße. Die Bedingungen lauten u.a. wie folgt:

“(…)

– Erfüllung der Anforderungen aus der DS-GVO und dem BDSG (…)

– Daten werden ausschließlich in einem EU-EWR Rechenzentrum verarbeitet bei dem keine Subdienstleister / Konzernunternehmen in Drittstaaten ansässig sind

(…)”

2. Vergabekammer Baden-Württemberg sieht unzulässige Übermittlung

Unter Drittländern versteht man Länder, die weder Mitglied der Europäischen Union noch des Europäischen Wirtschaftsraums (EWR) sind, z.B. die USA, Israel und die Schweiz. Durch die Ansässigkeit des Rechenzentrumsbetreibers in den USA sieht die Vergabekammer eine unzulässige Übermittlung in die USA. So genügt nach ihrer Auffassung schon die lediglich vorhandene Möglichkeit, auf personenbezogene Daten zugreifen zu können, unabhängig davon, ob ein solcher Zugriff am Ende erfolgt oder nicht.

3. Ausblick

Die Ansicht der Vergabekammer könnte möglicherweise eine richtungsweisende Entscheidung im Kontext einer bisher noch ungeklärten Frage darstellen. Können US-Tech-Anbieter weiterhin über eine europäische Tochtergesellschaft Dienstleistungen erbringen oder könnte dies trotz der Verwendung von Standardvertragsklauseln (Standarddatenschutzklauseln) zukünftig unzulässig sein? Es bleibt demnach spannend.

Italienische Datenschutzbehörde zum Einsatz von Google Analytics

7. Juli 2022

Die italienische Datenschutzbehörde Garante stellte in einer Entscheidung fest, dass die Verwendung des Analysetools Google Analytics nur möglich sei, wenn weitere Maßnahmen zur Einhaltung des Schutzniveaus bei einer Datenübermittlung ergriffen werden.

Bereits zuvor hatten andere europäische Datenschutzbehörden, so die französische Datenschutzbehörde (CNIL) – wir berichteten – und die österreichische Datenschutzbehörde (DSB) den Einsatz von Google Analytics auf Webseiten untersagt.

Der Sachverhalt

Hintergrund der Entscheidung durch Garante war eine Beschwerde gegen ein italienisches Unternehmen, dass auf seiner Webseite Google Analytics zur Erstellung von Nutzerstatistiken einsetzte. Konkret wehrte die betroffene Person sich dagegen, dass mit Verwendung von Google Analytics ihre personenbezogenen Daten in die USA übermittelt werden, ohne dass, aus Sicht des Betroffenen der Webseitenbetreiber geeignete Garantien im Sinne des Kapitel V DSGVO vorsah.

IP-Adresse: personenbezogenes Datum

Garante wies zunächst darauf hin, dass die IP-Adresse des benutzten Gerätes ein personenbezogenes Datum sei. Insbesondere sei zu beachten, dass Google beim Besuch der Webseite das Google-Konto des Nutzers mit der IP-Adresse verknüpfe. Dies führe dazu, dass weitere personenbezogenen Daten, wie beispielsweise der Name oder die E-Mail-Adresse mit der IP-Adresse in Verbindung gebracht werden. Demnach ist die betroffene Person als Nutzer identifizierbar.

Allerdings stelle Google Analytics den Webseiten-Betreibern eine „IP-Anonymisierung“ zur Verfügung. Vor Übermittlung in die USA verkürze der Service von Google Analytics die IP-Adresse der Nutzer. Problematisch daran sei, so Garante, dass lediglich eine Pseudonymisierung stattfinde. Trotz Verkürzung der IP-Adresse sei der Nutzer aufgrund der weiteren Daten identifizierbar.

Weitere Maßnahmen erforderlich

Es stellte sich die Frage, ob Google als Datenimporteur bei Übermittlung personenbezogener Daten seinen Verpflichtungen nach den Standardvertragsklauseln nachkommen könne. Aus Sicht von Garante hindern die US-amerikanischen Rechtsvorschriften Google bei Erfüllung dieser Verpflichtungen. Google Analytics müsse grundsätzlich weitere technische und organisatorische Maßnahmen ergreifen. Bereits vorgesehene Verschlüsselungsmechanismen reichten nicht aus. Die Verwendung Google Analytics sei nur bei Ergreifen weiterer Maßnahmen rechtmäßig. Eine Stellungnahme der deutschen Datenschutzbehörde zur Verwendung von Google Analytics bleibt abzuwarten.

Privacyshield 2.0 – Bald eine neue Rechtsgrundlage für Datenübermittlungen in die USA?

31. März 2022

Am 25. März 2022 haben sich die Vereinigten Staaten und die Europäische Kommission mit einer gemeinsamen Erklärung im Grundsatz auf einen neuen transatlantischen Datenschutzrahmen geeinigt. Dieser soll möglicherweise bald den vom Europäischen Gerichtshof verworfenen Privacy-Shield-Rahmen ablösen.

Die Entscheidung ist das Ergebnis von mehr als einem Jahr intensiver Verhandlungen zwischen den USA und der EU. Die Hoffnungen sind groß, dass dieser neue Rahmen eine dauerhafte und rechtssichere Grundlage für den Datenverkehr zwischen der EU und den USA bildet.

Das Weiße Haus erklärte, dass der transatlantische Datenschutzrahmen “den transatlantischen Datenverkehr fördern und die Bedenken ausräumen wird, die der Gerichtshof der Europäischen Union geäußert hat, als er im Jahr 2020 die Angemessenheitsentscheidung der Kommission, die dem EU-US-Datenschutzschild zugrunde lag, für ungültig erklärte”.

Wie das Privacy Shield ist die Grundlage dieses neuen Rahmens die Selbstzertifizierung gegenüber dem US-Handelsministerium. Für Datenexporteure in der EU ist es dann von entscheidender Bedeutung sicherzustellen, dass ihre Datenimporteure in den USA nach dem neuen Rahmenwerk zertifiziert sind.

Durch den Rahmen soll außerdem neben einer effektiveren Aufsicht über die Geheimdienste ein mehrstufiges Rechtsbehelfssystem eingerichtet werden. Dieses schließt einen „Independent Data Protection Review Court“ ein, der die Befugnis haben soll, von EU-Bürgern erhobene Ansprüche gegen Überwachungsmaßnahmen der Geheimdienste zu beurteilen und erforderlichenfalls Abhilfemaßnahmen in rechtlich bindender Weise anzuordnen.

Aus mehreren Gründen steht diese Entscheidung jedoch auf wackeligen Beinen. Erstens handelt es sich bei der Entscheidung zunächst nur um eine politische Entscheidung im Grundsatz. Weder sind Details geklärt noch hat die Europäische Kommission den Prozess zu einer Angemessenheitsentscheidung anlaufen lassen. Entsprechend der Ankündigungen des Datenschutzaktivisten Max Schrems und noyb dürfte sich zudem auf Klagen vor den EU-Gerichten einzustellen sein. Es bleibt daher abzuwarten, ob dieser neue Rahmen den erhofften Abschluss zum Thema transatlantische Datenströme bringen wird. Bis dahin müssen Unternehmen weiterhin auf die Standardvertragsklauseln und zusätzliche Maßnahmen für ein angemessenes Datenschutzniveau setzen.

Leitlinien der EDSA: das Zusammenspiel zwischen der Anwendung von Art. 3 DSGVO und den Bestimmungen über die internationale Datenübermittlungen

9. Dezember 2021

Am 19.11.‌2021 hat der Europäische Datenschutzausschuss (EDSA) neue Leitlinien zum Zusammenspiel zwischen der Anwendung von Art. 3 DSGVO und den Bestimmungen über internationale Datenübermittlungen im Kapitel V (Art. 44 – 50 DSGVO) veröffentlicht. Die Leitlinien sollen den für die Verarbeitung Verantwortlichen und den Auftragsverarbeitern in der EU in Zukunft dabei helfen, festzustellen, ob eine Verarbeitung einen internationalen Datentransfer darstellt und somit besondere Pflichten auslöst. Vor allem seit dem Urteil des EuGH vom 16.7.‌2020 zum EU-US-Privacy-Shield in der Rechtssache Schrems II ist das Schaffen von Rechtsklarheit in diesem Bereich besonders bedeutsam.

Allgemeine Grundsätze der Datenübermittlung gemäß Art. 44 ff. DSGVO

Nach Art. 44 DSGVO ist eine Übermittlung personenbezogener Daten für deren Verarbeitung nur zulässig, wenn Verantwortliche und Auftragsverarbeiter die Bedingungen aus Art. 44 bis 50 DSGVO einhalten. Datentransfers in Länder, für die kein Angemessenheitsbeschluss nach Art. 45 DSGVO vorliegt, können dazu führen, dass Verantwortliche oder Auftragsverarbeiter zusätzliche Schutzmaßnahmen ergreifen müssen. Fraglich ist, wann von einer Übermittlung personenbezogener Daten auszugehen ist, denn hierzu enthält die DSGVO keine Konkretisierungen. Vor diesem Hintergrund widmen sich die Leitlinien dem Zusammenspiel von Art. 3 DSGVO und Kapitel V der DSGVO.
Die Leitlinien stellen für die Ermittlung, ob ein solcher Transfer personenbezogener Daten an ein Drittland oder eine internationale Organisation vorliegt, drei Kriterien auf:

1. Der Datenexporteur unterliegt den Vorschriften der DSGVO. Dies ergibt sich aus Art. 3 DSGVO. Der EDSA verweist hierbei konkretisierend auf die Leitlinien 3/2018 zum territorialen Anwendungsbereich der DSGVO hin.

2. Der Datenexporteur übermittelt die personenbezogenen Daten an den Datenimporteur oder stellt sie ihm zur Verfügung. Relevant ist dabei, dass der EDSA bei diesem Kriterium betont, dass, wenn die Erhebung von Daten direkt bei betroffenen Personen in der EU auf deren eigene Initiative hin erfolgt, nicht von einem Datentransfer im Sinne der Art. 44 bis 50 DSGVO auszugehen ist. Denn hierbei gebe es keinen veranlassenden „Exporteur“.

3. Der Datenimporteur befindet sich (geografisch) in einem Drittland oder ist eine internationale Organisation.

Der EDSA macht deutlich, dass der Exporteur nicht in der EU oder dem EWR ansässig sein muss. Wichtig ist lediglich, dass der Empfänger der Daten (der Importeur) zwingend in einem Drittland ansässig sein muss. Für eine Anwendung der Vorschriften in Kapitel V der Datenschutz Grundverordnung ist es gerade keine Voraussetzung, dass der Exporteur unbedingt in der EU ansässig sein muss.

Liegen die Kriterien sodann gemeinsam vor, haben sich Verantwortliche und Auftragsverarbeiter an die besonderen Pflichten für Datentransfers in Art. 44 bis 50 DSGVO zu halten. Ferner nennt der EDSA bespielhaft weitere Sicherungsinstrumente wie den Rückgriff auf Standardvertragsklauseln und Zertifizierungsmechanismen. Die Leitlinien sollen insbesondere mehr Normenklarheit für Anwender und mehr Kohärenz innerhalb der Auslegung durch die verschiedenen nationalen Datenschutzbehörden in der EU schaffen. Die öffentliche Konsultation läuft bis Ende Januar 2022.

Google reagiert auf den Wegfall des Privacy Shield

30. September 2021

Seit Jahren steht Google in puncto Datenschutz in vielfacher Hinsicht unter Kritik. Nun sollen auch bei dem Tech-Riesen für die eigenen Cloud-Dienste die überarbeiteten Standarvertragsklauseln gelten. Im Zuge einer Aktualisierung der Datenschutzbedingungen habe man auch die neuen SCCs aufgenommen, teilte Google mit. Laut Google soll dies eine transparente Unterstützung der Cloud-Kunden bei der Einhaltung der geltenden europäischen Datenschutzgesetze und eine Vereinfachung der Prozesse gewährleisten.

Seitdem das sog. Privacy – Shield – Abkommen durch den Europäischen Gerichtshof mit seinem Urteil vom 16. Juli 2020 in der Rechtssache “Schrems II” aufgehoben wurde, steht fest, dass bei einer Datenübertragung in die USA aktuell keine ausreichende Sicherung und Rechtewahrung für EU-Bürger vorhanden ist. Das Gericht zeigte wiederholt auf, dass US-Gesetze wie der Foreign Intelligence Surveillance Act (FISA) oder der Cloud Act einen massenhaften Zugriff durch Sicherheitsbehörden wie die NSA oder das FBI erlauben. Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) enthält bei Vorliegen gewisser Voraussetzungen eine Verpflichtung zur Übermittlung auch außerhalb der USA gespeicherter Daten an US-Behörden. So können auch Daten europäischer Bürger ohne Weiteres in die Hände der US-Behörden gelangen, wenn diese sie bei einer amerikanischen Muttergesellschaft zB. einem Cloudanbieter herausverlangt. Dies steht allerdings im Widerspruch mit Art. 48 DSGVO und stellt europäische Unternehmen vor die Frage, ob sie Unternehmen mit Muttergesellschaft in den USA zur Auftragsverarbeitung überhaupt rechtskonform einsetzen können oder nicht zu europäischen Anbietern wechseln sollten.

Verbliebenes Instrument zum Schutz des europäischen Datenschutzniveaus sind die Standardvertragsklauseln (SCCs), die die Europäische Kommission am 04.06.2021 in neuer Version und angepasst an die erhöhten Anforderungen des “Schrems II- Urteils” veröffentlichte. Diese werden die aktuell noch gültigen SCCs, die unter der vorherigen Datenschutzrichtlinie 95/46 verabschiedet wurden, ersetzen. Die neuen SCCs legen sowohl Datenexporteuren als auch Datenimporteuren erweiterte Pflichten auf. Google ist nach Amazon Web Services und Azure von Microsoft der nächste große Cloudanbieter, der die neuen SCCs implementiert.

Bei ihrer Umsetzung könnten allerdings einige Punkte spannend werden. So ist nach Klausel 14 der Datenimporteur verpflichtet, umfangreiche Informationen bereitzustellen, durch die eine Bewertung des Risikos der Datenübermittlung im Einzelfall möglich wird. Insbesondere ist entscheidend, dass nicht nur das allgemeine Datenschutzniveau im Empfängerland bewertet wird, sondern das konkrete Schutzniveau für die konkret übertragenen Daten eingeschätzt werden muss. Das könnte bedeuten, dass – anders als bisher – Google im großen Umfang datenschutzrechtlich tätig werden und interne Prozesse offenlegen müsste.

Pages:  1 2 3 4 5
1 2 3 5