Kategorie: Privacy Shield

Meta- Tracking- Tools rechtswidrig

16. März 2023

Im Rahmen eines Beschwerdeverfahrens gegen den US-Konzern „Meta“ stellte die österreichische Datenschutzbehörde (DSB) die Rechtswidrigkeit der durch Meta zur Verfügung gestellten Tools „Facebook Logins“ und „Meta Pixel“ fest. Grund für diese Entscheidung sei der rechtswidrige Drittlandstransfer personenbezogener Daten in die USA.

Hintergründe

Zu der Entscheidung der DSB kam es aufgrund einer durch die Datenschutzorganisation „none of your business“ (noyb) angestrengten Beschwerde. Diese strengte noyb zusammen mit weiteren 100 Beschwerden gegen verschiedene Webseitenbetreiber an, die auf ihren Seiten Anwendungen von Meta und Google implementiert hatten (wir berichteten).

Im konkreten Fall ging noyb gegen den Betreiber eines Online-Nachrichtenportals vor. Dieser hatte u.a. die von Meta zur Verfügung gestellten Tools Facebook Logins und Meta Pixel auf seiner Webseite implementiert. Insoweit sei es fraglich gewesen, ob die aufgrund der Implementierung erfolgte Datenübermittlung in die USA durch eine geeignete Garantie nach Art. 45 DSGVO oder eine Ausnahme nach Art. 49 DSGVO erlaubt sei.

Facebook Logins und Meta Pixel

Facebook Login sei, laut Meta eine Anwendung, die die Nutzererfahrung verbessere. Der Nutzer einer Webseite müsse sich kein neues Benutzerkonto anlegen, sondern könne sein Facebook-Profil zur Anmeldung verwenden. Die DSB stellte allerdings fest, dass aufgrund der Implementierung von Facebook Logins eine Vielzahl personenbezogener Daten der Nutzer in die USA übermittelt werden. Dazu zählen u.a. die IP-Adresse, Ort und Datum des Webseitenbesuches und die Nutzer-ID.

Meta Pixel sei, wie der Konzern erklärt, eine Anwendung, die es Webseitenbetreibern ermögliche, das Verhalten ihrer Nutzer nachzuvollziehen. Alle Handlungen, die ein Nutzer auf der Webseite vornehme, wie beispielweise das Hinzufügen eines Artikels in den Warenkorb, könne die Anwendung dokumentieren. Wie auch bei Facebook-Logins, komme es bei Meta Pixel zu einer Datenübermittlung in die USA. Zu diesen personenbezogenen Daten zählen u.a. die IP-Adresse und die Klickdaten für Buttons des Endgerätes.

Feststellung der DSB

Hinsichtlich der Datenübermittlung in die USA stellt die DSB einen Verstoß gegen die allgemeinen Grundsätze der Datenübermittlung nach Art. 44 ff. DSGVO fest.  Obwohl zu dem fraglichen Zeitpunkt der EuGH den „Privacy Shield“, also den Angemessenheitsbeschluss für die Übermittlung personenbezogener Daten in die USA, bereits für unwirksam erklärt habe, sollte auf seiner Grundlage eine Datenübermittlung erfolgen. Demnach reichten später eingeführte Standardvertragsklauseln aus Sicht der DSB nicht zur rechtwirksamen Datenübermittlung. Die untersuchte Datenübermittlung sei vor Einführung der Vertragsklauseln erfolgt. Eine Ausnahme iSd Art. 49 DSGVO habe die Webseite nicht für die Datenübermittlung vorgesehen.

Fazit

Vorsitzender der Organisation noyb, Max Schrems, betonte, dass erstmalig eine Aufsichtsbehörde einem Webseitenbetreiber die Illegalität der Facebook-Tracking-Technologie aufgezeigt habe.

Abschließend bleibt fraglich, wann und ob mehr Rechtssicherheit in Bezug auf die Datenübermittlung in die USA einkehren wird.

Stellungnahme des Europäischen Datenschutzausschuss zum EU-U.S. Data Privacy Framework

8. März 2023

Seitdem im Jahr 2020, mit dem Urteil Schrems II, der bis dahin geltende Angemessenheitsbeschluss (Privacy Shield) für ungültig erklärt worden ist, gilt die USA als ein unsicheres Drittland für Datenübermittlungen. Ein großes Problem in diesem Kontext war unter anderem die nachrichtendienstliche Datenerhebung in den USA. Diese war gewissermaßen anforderungslos für Geheimdienste möglich. Nachdem die US-Regierung gezwungen war, im Oktober 2022 Maßnahmen zu ergreifen, folgte ein Beschlussentwurf der Europäischen Kommission. Die genannten Maßnahmen sollten die zwei Hauptprobleme der fehlenden Verhältnismäßigkeit und dem Fehlen wirksamer Rechtsbehelfe im Bezug auf Überwachungsmaßnahmen lösen. So soll insbesondere die Exekutivverordnung über die Verbesserung der Garantien für US-Signalspionagetätigkeiten nun in die Richtung eines neuen Angemessenheitsbeschlusses führen.

Meinung des Europäischen Datenschutzausschuss

Der Europäische Datenschutzausschuss heißt die Einführung von Anforderungen an Notwendigkeit und Verhältnismäßigkeit für die nachrichtendienstliche Datenerhebung in den USA für gut.  Außerdem begrüßt er den neuen Rechtsbehelfsmechanismus für betroffene Personen aus der EU. Dennoch liegt nicht nur ein reiner Zustimmungsgedanke vor. Zu bestimmten Rechten betroffener Personen, der Weiterübermittlung personenbezogener Daten, dem Umfang der Ausnahmen sowie der vorübergehenden Massenerfassung von Daten und der praktischen Funktionsweise des Rechtsbehelfsmechanismus bleiben Fragen offen. Auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder unterstützt die Position des Europäischen Datenschutzausschusses ausdrücklich.

Es bleibt nun lediglich abzuwarten, wie sich ein neuer Angemessenheitsbeschluss für die Übermittlung von Daten in die USA entwickeln wird.

 

 

EU-Ausschuss lehnt Angemessenheit des EU-US-Datenschutzrahmens in Entwurf einer Stellungnahme ab

17. Februar 2023

Die Europäische Kommission hatte im Dezember 2022 den Entwurf eines Angemessenheitsbeschlusses für die Übermittlung personenbezogener Daten in die USA auf Grundlage des neuen „EU-US Datenschutzrahmens“ veröffentlicht. Am 14. Februar 2023 forderte nun der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments die Europäische Kommission in einer Stellungnahme dazu auf, den möglichen Angemessenheitsbeschluss auf der Grundlage des vorgeschlagenen EU-US-Datenschutzrahmens nicht anzunehmen. Der Ausschuss argumentierte, dass der Rahmen keine tatsächliche Gleichwertigkeit mit der Europäischen Union (EU) in Bezug auf das Datenschutzniveau herstelle.

Rechtsverletzungen und zu große Unsicherheit

In der Stellungnahme wird zunächst auf die Charta der Grundrechte der Europäischen Union und ihre Artikel über den Schutz der Privatsphäre und den Datenschutz verwiesen. Sie zitiert auch die Schrems I und II Rechtsprechung des Europäischen Gerichtshofes (EuGH), in denen die Abkommen Safe Harbour und Privacy Shield für ungültig erklärt wurden. In der Stellungnahme wird betont, dass der wahllose Zugriff von Nachrichtendiensten auf die elektronische Kommunikation das Grundrecht auf Vertraulichkeit der Kommunikation und das Wesen des Rechts auf einen Rechtsbehelf verletzte.

Darüber hinaus werden auch die jüngsten Entwicklungen in den USA erwähnt, darunter Präsident Bidens Executive Order 14086 (EO) über die Verbesserung der Sicherheitsvorkehrungen für die Aktivitäten der US-Signalaufklärung und die vom US-Justizminister erlassene Verordnung über das Datenschutzprüfungsgericht. Man erkenne an, dass die USA Schritte unternommen hätten, um Bedenken im Zusammenhang mit Überwachung und Datenschutz auszuräumen, betone jedoch, dass ein angemessenes Schutzniveau für personenbezogene Daten unerlässlich sei.

Die inhaltlichen Definitionen der Begriffe “Verhältnismäßigkeit” und “Notwendigkeit” in der Executive Order, die den Rahmen bildet, stimmten nicht mit ihrer Bedeutung und Auslegung in der EU überein. Darüber hinaus könne der US-Präsident diese ändern, wodurch sie unklar, ungenau und in ihrer Anwendung unvorhersehbar seien. Das Gericht für die Überprüfung des Datenschutzes sei nicht transparent, unabhängig oder unparteiisch und Entscheidungen würden nicht veröffentlicht oder den Beschwerdeführern zugänglich gemacht. Schließlich verfügten die Vereinigten Staaten auch nicht über ein Bundesdatenschutzgesetz. Dabei wurden bestehende datenschutzrechtliche Gesetze der Bundesstaaten sowie branchenspezifische Bundesgesetze allerdings außer Acht gelassen.

Fazit und Ausblick

Der Ausschuss kommt zu dem Schluss, dass der Datenschutzrahmen zwischen der EU und den USA keine tatsächliche Gleichwertigkeit des Schutzniveaus herstellt und fordert die Kommission auf, die Verhandlungen mit ihren US-amerikanischen Partnern fortzusetzen, um so einen Mechanismus zu schaffen, der eine solche Gleichwertigkeit gewährleistet und das angemessene Schutzniveau bietet, das nach dem Datenschutzrecht der Union und der Charta in der Auslegung durch den EuGH erforderlich ist. Er fordert die Kommission nachdrücklich auf, die Angemessenheitsentscheidung nicht anzunehmen. Es ist wahrscheinlich, dass sich das EU-Parlament dieser Haltung anschließen wird.

Die Aufforderung des Ausschusses an die Kommission, unter diesen Voraussetzungen keine neue Angemessenheitsentscheidung in Bezug auf die USA zu erlassen, ist nicht bindend. Die Einwände des Ausschusses und seine Forderung nach sinnvollen Reformen sind angesichts der Bedeutung des Schutzes personenbezogener Daten allerdings nachvollziehbar. Die vom Ausschuss hervorgehobenen Probleme müssen angegangen werden, um sicherzustellen, dass personenbezogene Daten in einem Abkommen zwischen der EU und den USA angemessen geschützt werden. Andernfalls gilt es als wahrscheinlich, dass auch dieses Abkommen der Rechtsprechung und Auslegung des EuGH nicht standhalten würde.

EU-US-Datentransfers: Europäische Kommission veröffentlicht Entwurf für neuen Angemessenheitsbeschluss

15. Dezember 2022

Die Europäische Kommission setzte am 13. Dezember 2022 den Grundstein für einen neuen Angemessenheitsbeschluss, der rechtssichere Datentransfers von der Europäischen Union (EU) in die Vereinigten Staaten von Amerika (USA) ermöglichen soll. In diesem Entwurf kommt sie zu dem Ergebnis, dass die USA ein angemessenes Datenschutzniveau bei solchen Datentransfers bieten.

Aller guten Dinge sind drei?

Dies ist bereits der dritte Versuch der Kommission, durch einen sogenannten Angemessenheitsbeschluss nach Art. 45 DSGVO Datentransfers in die USA zu erleichtern. Die bisherigen Vorgänger des „EU-US Data Privacy Framework“ waren 2016 und 2020 (wir berichteten) vor dem Europäischen Gerichtshof (EuGH) im Rahmen der Schrems-Urteile gescheitert. In diesen Entscheidungen hatte der EuGH geurteilt, dass das bei Transfers personenbezogener Daten in die USA kein angemessenes Schutzniveau gewährleistet sei. Der EuGH kritisierte insbesondere die Zugriffsmöglichkeiten von US-Geheimdiensten auf Daten von EU-Bürgern sowie mangelnde Rechtsschutzmöglichkeiten für betroffene Personen.

US-Präsident Biden erließ im Oktober eine sogenannte Executive Order, mit der US-Geheimdienste bei der Signalaufklärung zur Notwendigkeit und Verhältnismäßigkeit ihrer Datensammlungen verpflichtet werden. Zudem sollte danach auch ein Rechtsweg für Nicht-US-Bürger eröffnet werden, mit dem sie Einwände geltend machen können.

Was ist ein Angemessenheitsbeschluss?

Die Datenschutzgrundverordnung (DSGVO) sieht vor, dass personenbezogene Daten von der EU aus nur unter bestimmten Bedingungen in Drittstaaten übermittelt werden dürfen. Ziel ist es, dass das durch die DSGVO gewährleistete Schutzniveau nicht untergraben werden kann. Mit einem Angemessenheitsbeschluss wird einem Drittland attestiert, dass dieses Schutzniveau gegeben ist. Im Rahmen des Beschlusses werden die Rechtsvorschriften des Landes sowie die Rechtsschutzmöglichkeiten und die Datenschutzaufsicht berücksichtigt.

Zentrale Inhalte des Entscheidungsentwurfs

Die Kommission stellte zu Beginn des Entwurfs klar, dass die DSGVO kein identisches Schutzniveau der Drittstaaten voraussetze. Vielmehr müsse das System in seiner Gesamtheit das erforderliche Schutzniveau erreichen. Die Art und Weise, wie das Drittland personenbezogene Daten schütze, müsse keine Kopie der EU-Regeln sein. Zu berücksichtigen seien die Datenschutzregeln und deren effektive Umsetzung, Überwachung und Durchsetzung.

Wie schon der Vorgänger „Privacy Shield“ formuliert das EU-US Data Privacy Framework Prinzipien, die denen der DSGVO ähneln. Auch hält der Entwurf an dem Zertifizierungsmechanismus fest. So müssen sich US-Unternehmen, die sich daran beteiligen möchten, registrieren und zertifizieren. Mit der Zertifizierung, die jährlich erneuert werden muss, unterwirft sich das Unternehmen den Prinzipien des EU-US Data Privacy Framework.

Den Bedenken hinsichtlich der Zugriffsmöglichkeiten der US-Geheimdienste begegnet der Kommissionsentwurf mit einer Analyse des US-Rechts. Hier stützt die Kommission sich erheblich auf die genannte Executive Order. Anders als bei der vorherigen Rechtslage könne durch Einführung des Verhältnismäßigkeitsgrundsatzes sowie stärkerer Überprüfung bei sicherheitsdienstlichen Maßnahmen den Bedenken abgeholfen werden. Zudem könnten betroffene Personen eine Beschwerde beim „Civil Liberties Protection Officer“ erheben und dessen Entscheidungen vor dem „Data Protection Review Court“ angreifen.

Wie geht es nun weiter?

Der Kommissionsentwurf wird in einem nächsten Schritt vom Europäischen Datenschutzausschuss beurteilt. Dieser wird eine Stellungnahme abgeben, die jedoch für die Kommission nicht bindend ist. Im Anschluss erfolgt eine Stellungnahme durch einen Ausschuss aus Vertretern der Mitgliedstaaten. Zudem können das EU-Parlament sowie der Rat die Kommission dazu auffordern, die Verabschiedung des Angemessenheitsbeschlusses zu unterlassen. Für die Kommission ist allerdings keine dieser Stellungnahmen oder Interventionsversuche bindend.

Zu rechnen ist mit dem endgültigen Beschluss wohl frühestens im Frühjahr 2023. In der Wirtschaft wird er ungeduldig erwartet, schließlich werden gerade in den USA viele in der EU genutzte Dienste betrieben. Während sich der Verband der Internetwirtschaft zuversichtlich zeigt, ist Max Schrems von noyb, der auch die vorhergehenden Beschlüsse zu Fall gebracht hatte, skeptisch.

EU-Unternehmen, die mit US-Unternehmen Daten austauschen, müssen sich bis zum verbindlichen Angemessenheitsbeschluss noch mit den Standardvertragsklauseln als Rechtsgrundlage zufriedenstellen.

Guide zur Vermeidung von Google Fonts Abmahnungen

30. November 2022

Am 24. November 2022 veröffentlichte die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen eine Hilfestellung für Verantwortliche.
In dieser kurzen Checkliste werden Webseiten-Betreiber über Möglichkeiten zum Umgang mit Abmahnungen im Kontext der Nutzung von Google Fonts sowie zur Überprüfung ihrer Einstellungen dargelegt.

Dies soll zukünftige Abmahnungen aufgrund einer online Einbindung des Dienstes Google Fonts und daraus folgenden Nachfragen bei der Aufsichtsbehörde eindämmen.

Weitere Informationen zum Thema Google Fonts finden Sie in unseren bereits veröffentlichten Blogbeiträgen zu diesem Themengebiet.
Warum Google Fonts eine datenschutzrechtliche Abmahnwelle verursacht?
Weitere Datenschutzbehörden raten von Web-Fonts ab

Überprüfung der Abmahnschreiben

Betreiber von Webseiten, die ein Abmahnschreiben wegen Google Fonts erhalten haben, sollten Folgendes prüfen:

  • Sind Sie der Anbieter und datenschutzrechtlich Verantwortliche der Webseite, die in dem Schreiben genannt wird?
  • Ist auf der Webseite Google Fonts eingebunden?
  • Ist Google Fonts online eingebunden?
  • Wird von den Nutzerinnen und Nutzern keine wirksame Einwilligung gemäß § 25 Abs. 1 TTDSG und Art. 6 Abs. 1 lit. a DS-GVO für den Einsatz von Google Fonts eingeholt?

Wenn all diese Fragen mit „Ja“ beantwortet werden, liegt in Bezug auf Google Fonts ein datenschutzrechtlicher Verstoß vor, so die LfD Niedersachsen.

Weitere Datenschutzbehörden raten von Web-Fonts ab

10. November 2022

Wieder einmal äußern sich kritische Stimmen im Kontext der Nutzung von Google Fonts. Bereits in unserem letzten Beitrag wurde die Problematik unfreiwilliger Übermittlungen personenbezogener Daten in ein Drittland, durch die Nutzung der von Google eingebetteten Fonts behandelt.  

Kritik aus Hessen und Sachsen

Dieses Mal melden sich die hessische und sächsische Datenschutzaufsichtsbehörde zu Wort. Grund für das Aktivwerden der Behörden waren die aktuell stark zunehmenden Beratungsanfragen zu Abmahnungen aufgrund des Einsatzes der Google Schriftarten.

Forderungen von Schadensersatz

Dem Urteil des Landgerichts München vom 20. Januar 2022 nach könnte eine Nutzung der Google Web-Fonts auf eigenen Homepages wohl einen Verstoß gegen die DSGVO darstellen. So würden in den Fällen einer Nutzung dynamischer Fonts stets personenbezogene Daten von Webseitenbesucher*innen wie IP-Adressen an amerikanische Server weitergeleitet. Abgesehen eines unter strengen Regeln stehenden Transfer von Daten in einen Drittstaat, der kein ausreichendes Datenschutzniveau im Sinne der DSGVO bietet, werden zudem in seltensten Fällen Einwilligungen i. S. d. Art. 6 Abs. 1 lit. a DSGVO eingeholt. So ist das Urteil der Auslöser einer Abmahnwelle gegen Website-Betreiber, welche mit empfindlich hohen Geldforderungen konfrontiert werden.

Fazit

Betreiber von Webseiten sollten allgemein auf einen dynamischen Einsatz von Schriftarten verzichten und auf ein lokales Speichern umstellen, so die hessische und sächsische Behörde.  

Präsident Biden unterzeichnet Exekutiverlass zur Umsetzung des Datenschutzabkommens zwischen der EU und den USA

17. Oktober 2022

In dem Disput zwischen der Europäischen Union (EU) und den Vereinigten Staaten über den Transfer personenbezogener Daten über den Atlantik zeichnet sich eine Lösung ab. Am 07.10.2022 unterzeichnete Präsident Biden eine Exekutivanordnung über die Verbesserung der Schutzmaßnahmen für die Aktivitäten der US-amerikanischen Nachrichtendienste. Das Dekret soll der „Signal Intelligence“, also der elektronischen Aufklärung der US-Geheimdienste, engere Regeln setzten. Darin werden nun die Schritte festgelegt, die die Vereinigten Staaten unternehmen, um die von Präsident Biden und der Präsidentin der Europäischen Kommission von der Leyen im März 2022 angekündigten Zusagen der USA im Rahmen des Datenschutzrahmens zwischen der EU und den USA (Trans-Atlantic Data Privacy Framework (TADPF)) umzusetzen.

Hintergrund

Das neue Regelwerk soll eine erhebliche Lücke im Datenschutz auf beiden Seiten des Atlantiks schließen. Das erste Abkommen („Safe Harbor“) fiel 2015, das nachfolgende („Privacy Shield“) 2020. Der Europäische Gerichtshof (EuGH) hatte in den Urteilen Schrems I (Az.: C-362/14) und Schrems II (Az.: C 311/18) entschieden, dass das Datenschutzniveau in den Vereinigten Staaten nicht den Standards der EU entspreche. Die Verfahren hatte der österreichische Jurist Max Schrems mit seinem Datenschutzverein „noyb“ angestrengt. Das Gericht kam zu dem Entschluss, dass die Vereinigten Staaten über zu umfangreiche Kontrollmöglichkeiten für europäische personenbezogene Daten verfügten. Das Verfahren schuf enorme Unsicherheit über die Voraussetzungen für Unternehmen, personenbezogene Daten aus der Europäischen Union in die Vereinigten Staaten in einer Weise zu übertragen, die mit dem EU-Recht vereinbar ist.

Verpflichtung zu Schutzmaßnahmen

Große und kleine Unternehmen aus den USA und der EU in allen Wirtschaftszweigen sind auf grenzüberschreitende Datenströme angewiesen, um an der digitalen Wirtschaft teilzuhaben und ihre wirtschaftlichen Möglichkeiten erweitern zu können.

Mit dem neuen Abkommen sollen die europäischen Bedenken gegen die Überwachung durch US-Geheimdienste ausgeräumt werden. Vergangenen März, nachdem sich die USA und die EU grundsätzlich auf den neuen Rahmen geeinigt hatten, erklärte das Weiße Haus in einem Fact Sheet, dass die USA sich verpflichtet hätten, neue Schutzmaßnahmen einzuführen, um sicherzustellen, dass die Aktivitäten der Nachrichtendienste zur Verfolgung definierter nationaler Sicherheitsziele notwendig und verhältnismäßig sind.

Voraussetzungen für Eingriffe definiert

Die US-Verordnung nennt zunächst auch die Fälle, bei denen das Sammeln personenbezogener zulässig bleibe. Dazu gehöre beispielsweise der Kampf gegen den Terrorismus oder auch Maßnahmen zum Schutz der nationalen Sicherheit. Rechtswidrig wäre ein Eingriff beispielsweise dann, wenn er in diskriminierender Absicht erfolge. Darüber hinaus soll der neue Rechtsrahmen es Einzelpersonen in der EU ermöglichen, über ein unabhängiges Datenschutzprüfungsgericht Rechtsmittel einzulegen. In einem ersten Schritt soll dann ein Beamter des Direktorats der US-Geheimdienste („Civil Liberties Protection Officer“ (CLPO) im Office of the Director of National Intelligence) Beschwerden von EU-Bürgerinnen und Bürgern prüfen. Anschließend würde ein Gremium (Data Protection Review Court (DPRC)) mit „uneingeschränkter Befugnis“ über Ansprüche entscheiden und bei Bedarf Abhilfemaßnahmen anordnen. Auch der Grundsatz der Verhältnismäßigkeit müsse gewahrt werden.

Verhältnismäßigkeit und Rechtsbehelf weiterhin problematisch

Schon unmittelbar nach der Veröffentlichung wurde Kritik laut. Der Datenschutzverein noyb kündigte bereits an, gerichtlich gegen den Angemessenheitsbeschluss vorgehen zu wollen, wenn dieser die Executive Order der USA als legitim akzeptiere. Auf den ersten Blick versuche man hier ein drittes Abkommen ohne rechtliche Basis, so der Jurist Max Schrems. „Ich gehe davon aus, dass auch ein neues Abkommen bald vom EuGH kassiert wird.“ In den USA bestehe weiterhin die Situation der ständigen Massenüberwachung. Um eine Verhältnismäßigkeit gewährleisten zu können, müssten die USA aber auch dasselbe Verständnis von Verhältnismäßigkeit haben und anwenden, wie es die Grundrechtscharta vorsehe. Darüber hinaus werde auch der vom EuGH geforderte Rechtsbehelf nicht umgesetzt. „Obwohl die Stelle Court (Gericht) heiße, sei es tatsächlich kein Gericht, sondern eine Stelle der Exekutive”, so Schrems.

Der Ball liegt nun im Feld der EU-Kommission, die nun über den Erlass entscheiden muss und ggf. einen dazu passenden eigenen Rechtsrahmen erarbeiten könnte. Das könnte bis zum Frühjahr dauern. Es bleibt abzuwarten, ob der neue Rechtsrahmen dann den Anforderungen des EuGHs standhalten würde.

OLG Karlsruhe: US-Cloud-Anbieter dürfen bei öffentlichen Vergaben berücksichtigt werden

16. September 2022

Das Oberlandesgericht Karlsruhe (OLG) befasste sich zuletzt mit einer Entscheidung der Vergabekammer Baden-Württemberg. Nach dieser Grundsatzentscheidung (Beschluss vom 07. September 2022, Az. 15 Verg 8/22) dürfen Behörden bei öffentlichen Vergabeverfahren auf die Zusicherungen von IT-Anbietern zur Datenschutz-Konformität ihres Angebots vertrauen. Die Entscheidung der Vergabekammer Baden-Württemberg (vom 13.07.2022, Az. 1 VK 23/22) wird aufgehoben.

Sachverhalt

Zwei Krankenhausgesellschaften schrieben europaweit die Beschaffung einer Software für ein digitales Entlassungsmanagement aus. Als Ausschlusskriterium war ursprünglich u.a. die softwaretechnische Einhaltung eines DSGVO-Vertragsentwurfs vorausgesetzt. Dass die Daten ausschließlich in einem Rechenzentrum innerhalb des Europäischen Wirtschaftsraums (EWR) verarbeitet werden, bei dem keine Subdienstleister oder Konzernunternehmen in Drittstaaten ansässig sind, war als nur für die Wertung relevantes B-Kriterium ausgestaltet.

Nach der Erteilung des Zuschlags stellte eine Konkurrentin, die sich ebenfalls um den Auftrag bewarb, einen Nachprüfungsantrag bei der zuständigen Vergabekammer Baden-Württemberg. Diese verfügte den Ausschluss der ausgewählten Anbieterin aus dem Vergabeverfahren. Dabei wurde angeführt, dass die Anbieterin von der Angebotswertung auszuschließen sei, weil sie Änderung an den Vergabeunterlagen vorgenommen habe. Das Angebot verstoße somit gegen zwingende gesetzliche Vorgaben der DSGVO. Man verarbeite personenbezogene Daten auf Servern, auf die Drittstaaten Zugriff hätten. Das luxemburgische Tochterunternehmen eines US-amerikanischen Konzerns fungiere als Unterauftragnehmerin. Innerhalb des geschlossenen Auftragsverarbeitungsvertrags sei ein Vorbehalt vorgesehen, der es der US-Tochter erlaube, die im Auftrag des Kunden verarbeiteten personenbezogenen Daten auch ohne bzw. entgegen einer Weisung des Kunden offenzulegen und in ein Drittland zu übermitteln, wenn dies notwendig sei, um Gesetze oder verbindlichen Anordnungen einer staatlichen Behörde einzuhalten.

Die Antragsgegnerin konterte, jede zu weitgehende oder unangemessene Anfrage einer staatlichen Stelle einschließlich solcher Anfragen, die im Widerspruch zum Recht der Europäischen Union oder zum geltenden Recht der Mitgliedstaaten stehen, anzufechten. Dies wurde auch vertraglich festgehalten. Es liege schon kein Verstoß gegen Art. 44 ff. DSVGO vor, weil eine theoretische Zugriffsmöglichkeit des Drittstaates keine Übermittlung personenbezogener Daten darstelle. Darüber hinaus verwende man Standardvertragsklauseln und setze durch weitere Vereinbarungen mit der US-Tochter die vom Europäischen Gerichtshof (EuGH) nach der Schrems II-Rechtsprechung geforderten ergänzenden Regelungen um, so die Antragsgegnerin.

OLG widerspricht Vergabekammer

Gemäß Art. 44 S. 1 DSGVO ist jedwede Übermittlung personenbezogener Daten in ein Drittland außerhalb des EWRs nur zulässig, wenn einer der besonderen Erlaubnisgründe der Art. 44 ff. DSGVO vorliegt. Es stellte sich somit die Frage, ob eine Übermittlung in ein Drittland im Sinne der DSGVO vorlag.

Die Vergabekammer folgte dabei der herrschenden Meinung, dass eine berücksichtigungsfähige Offenlegung auch schon dann anzunehmen sei, wenn nur die abstrakte Möglichkeit bestehe, dass von einem Drittland aus zugegriffen werden kann.

Dieser Augmentation folgt das OLG Karlsruhe nicht. Die Antragsgegnerinnen müssten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen würde bzw. das europäische Tochterunternehmen Anweisungen der US-amerikanischen Muttergesellschaft automatisch Folge leisten würde, so der Senat.

Vertragliche Regelungen waren ausschlaggebend

Somit bleibt aber auch weiterhin ungeklärt, ob der Einsatz von US-Anbietern oder deren Tochtergesellschaften generell zulässig ist. Allerdings spricht das OLG in der Entscheidung den vertraglichen Regelungen einen hohen Stellenwert zu. Dies kann bei der Auslegung zukünftiger Sachverhalte und Vergabeverfahren eine Hilfestellung bieten. Hierbei sollte jedoch beachtet werden, dass es immer auf den konkreten Einzelfall ankommt. Die strenge Rechtsprechung des übergeordneten EuGHs sowie die daraus resultierenden Vorgaben der Kommission sollten immer eingehalten werden.

Können hypothetische Zugriffsmöglichkeiten bereits einen Datentransfer in ein Drittland i.S.v. Art. 44 DSGVO darstellen?

17. August 2022

Die Vergabekammer Baden-Württemberg hat mit einem nicht rechtskräftigen Beschluss vom 13. Juli 2022 (Az. 1 VK 23/22) für Diskussionen gesorgt. Sie ist der Auffassung, dass unzulässige Datenexporte auch dann vorliegen, wenn die entsprechende Infrastruktur durch eine europäische Tochtergesellschaft betrieben wird, welche zu einem amerikanischen Konzern gehört.

1. Sachverhalt

In einem Ausschreibungsverfahren streiten sich zwei Konkurrentinnen um einen Auftrag.  Eine Konkurrentin fordert hierin den Ausschluss der anderen aus dem Vergabeverfahren, da diese durch den Einsatz eines Rechenzentrumsbetreibers, dessen Konzernunternehmen in Drittstaaten ansässig ist, gegen die Bedingungen im Lastenheft im Kontext „Anforderungen an IT-Sicherheit und Datenschutz“ verstoße. Die Bedingungen lauten u.a. wie folgt:

“(…)

– Erfüllung der Anforderungen aus der DS-GVO und dem BDSG (…)

– Daten werden ausschließlich in einem EU-EWR Rechenzentrum verarbeitet bei dem keine Subdienstleister / Konzernunternehmen in Drittstaaten ansässig sind

(…)”

2. Vergabekammer Baden-Württemberg sieht unzulässige Übermittlung

Unter Drittländern versteht man Länder, die weder Mitglied der Europäischen Union noch des Europäischen Wirtschaftsraums (EWR) sind, z.B. die USA, Israel und die Schweiz. Durch die Ansässigkeit des Rechenzentrumsbetreibers in den USA sieht die Vergabekammer eine unzulässige Übermittlung in die USA. So genügt nach ihrer Auffassung schon die lediglich vorhandene Möglichkeit, auf personenbezogene Daten zugreifen zu können, unabhängig davon, ob ein solcher Zugriff am Ende erfolgt oder nicht.

3. Ausblick

Die Ansicht der Vergabekammer könnte möglicherweise eine richtungsweisende Entscheidung im Kontext einer bisher noch ungeklärten Frage darstellen. Können US-Tech-Anbieter weiterhin über eine europäische Tochtergesellschaft Dienstleistungen erbringen oder könnte dies trotz der Verwendung von Standardvertragsklauseln (Standarddatenschutzklauseln) zukünftig unzulässig sein? Es bleibt demnach spannend.

Italienische Datenschutzbehörde zum Einsatz von Google Analytics

7. Juli 2022

Die italienische Datenschutzbehörde Garante stellte in einer Entscheidung fest, dass die Verwendung des Analysetools Google Analytics nur möglich sei, wenn weitere Maßnahmen zur Einhaltung des Schutzniveaus bei einer Datenübermittlung ergriffen werden.

Bereits zuvor hatten andere europäische Datenschutzbehörden, so die französische Datenschutzbehörde (CNIL) – wir berichteten – und die österreichische Datenschutzbehörde (DSB) den Einsatz von Google Analytics auf Webseiten untersagt.

Der Sachverhalt

Hintergrund der Entscheidung durch Garante war eine Beschwerde gegen ein italienisches Unternehmen, dass auf seiner Webseite Google Analytics zur Erstellung von Nutzerstatistiken einsetzte. Konkret wehrte die betroffene Person sich dagegen, dass mit Verwendung von Google Analytics ihre personenbezogenen Daten in die USA übermittelt werden, ohne dass, aus Sicht des Betroffenen der Webseitenbetreiber geeignete Garantien im Sinne des Kapitel V DSGVO vorsah.

IP-Adresse: personenbezogenes Datum

Garante wies zunächst darauf hin, dass die IP-Adresse des benutzten Gerätes ein personenbezogenes Datum sei. Insbesondere sei zu beachten, dass Google beim Besuch der Webseite das Google-Konto des Nutzers mit der IP-Adresse verknüpfe. Dies führe dazu, dass weitere personenbezogenen Daten, wie beispielsweise der Name oder die E-Mail-Adresse mit der IP-Adresse in Verbindung gebracht werden. Demnach ist die betroffene Person als Nutzer identifizierbar.

Allerdings stelle Google Analytics den Webseiten-Betreibern eine „IP-Anonymisierung“ zur Verfügung. Vor Übermittlung in die USA verkürze der Service von Google Analytics die IP-Adresse der Nutzer. Problematisch daran sei, so Garante, dass lediglich eine Pseudonymisierung stattfinde. Trotz Verkürzung der IP-Adresse sei der Nutzer aufgrund der weiteren Daten identifizierbar.

Weitere Maßnahmen erforderlich

Es stellte sich die Frage, ob Google als Datenimporteur bei Übermittlung personenbezogener Daten seinen Verpflichtungen nach den Standardvertragsklauseln nachkommen könne. Aus Sicht von Garante hindern die US-amerikanischen Rechtsvorschriften Google bei Erfüllung dieser Verpflichtungen. Google Analytics müsse grundsätzlich weitere technische und organisatorische Maßnahmen ergreifen. Bereits vorgesehene Verschlüsselungsmechanismen reichten nicht aus. Die Verwendung Google Analytics sei nur bei Ergreifen weiterer Maßnahmen rechtmäßig. Eine Stellungnahme der deutschen Datenschutzbehörde zur Verwendung von Google Analytics bleibt abzuwarten.

Pages:  1 2 3 4 5
1 2 3 5