Kategorie: Privacy Shield

Kein Schadensersatzanspuch bei einer Datenübermittlung in ein Drittland vor dem Geltungsbeginn der DSGVO

31. März 2021

Ein Verstoß gegen die Bestimmungen des 5. Kapitels der DSGVO (Art. 44 ff. DSGVO) liegt dann nicht vor, wenn personenbezogene Daten von Beschäftigten vor der Einführung der DSGVO am 25. Mai 2018 an eine Konzernmutter in ein Drittland (USA) übermittelt wurden. Auch ein Anspruch auf Schadensersatz gem. Art. 82 DSGVO im Zusammenhang mit der Datenübermittlung und weitergehenden Verarbeitung von personenbezogenen Daten an bzw. bei der Konzernmutter in den USA steht einem Beschäftigten nicht zu. Das hat das Landesarbeitsgericht (LArbG) Baden-Württemberg mit Urteil v. 25.02.2021, Az. 17 Sa 37/20 entschieden.

Wie wir bereits berichteten, stellt die Datenübermittlung in die USA seit dem Schrems-II-Urteil viele Unternehmen vor Herausforderungen. Eine Datenübermittlung in ein Drittland ist seitdem nur unter Einhaltung der in Kapitel 5 genannten Anforderungen der DSGVO zulässig, die in der Praxis aber nur selten vorliegen. Werden diese Anforderungen nicht eingehalten und erfolgt eine Datenübermittlung dennoch, liegt ein Verstoß gegen die Bestimmungen der DSGVO vor.

Dieser Verstoß kann zu einem Recht auf Schadensersatz nach Art. 82 DSGVO führen. Danach hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen. Nur wenn der Verantwortliche nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, wird er von der Haftung befreit.

Sachverhalt

Einen solchen Schadensersatzanspruch hat der Kläger im vorliegenden Fall geltend gemacht. Diesen begründete er damit, dass er durch die im Jahr 2017 erfolgte Datenübermittlung seines Arbeitgebers an die Konzernmutter in den USA und wegen der dortigen Verarbeitung seiner Daten, einen immateriellen Schaden erlitten habe. Als Schaden machte er die Gefahr eines Missbrauchs der Daten durch die Ermittlungsbehörden in den USA oder andere Konzerngesellschaften bzw. einen Kontrollverlust geltend.

Die Entscheidung

Das Gericht erkannte in dem konreten Fall zwar an, dass solche Umstände grundsätzlich zur Begründung eines immateriellen Schadens im Sinne von Art. 82 DSGVO in Betracht kommen. Es verneinte eine Haftung des Arbeitgebers vorliegend jedoch, da es an einem konkreten Verstoß gegen die Bestimmungen der DSGVO fehlte. Insbesondere erfordere Art. 82 DSGVO, dass der Schaden “wegen eines Verstoßes” gegen die DSGVO entstanden ist, d.h. einem Verordnungsverstoß zugeordnet werden könne (Kausalität). Einen solchen Anknüpfungspunkt für den Schaden konnte das Gericht vorliegend aber nicht feststellen, da die Datenübermittlung in die USA stattgefunden hat, als die DSGVO noch nicht in Geltung war.

Eignet sich FaceTime für den Gebrauch an Schulen sowie in Unternehmen?

26. März 2021

Der Apple-Videotelefondienst FaceTime machte im Jahr 2019 mit einer Negativschlagzeile auf sich aufmerksam, so dass auch Datenschützer hellhörig wurden. Es kam bei der zu dieser Zeit neu hinzugefügten Gruppen-FaceTime-Funktion zu einer Softwarepanne, wodurch Nutzer des Dienstes unerlaubt belauscht werden konnten. Durch Hinzufügen einer Rufnummer konnten Anrufer das Mikrofon des Angerufenen aktivieren, ohne dass die angerufene Person hierfür abnehmen musste. Drückte der Angerufene eine Taste des eigenen iPhones, wurde außerdem das Videobild übertragen. Nachdem dieses von Apple verursachte Problem immer mehr in sozialen Netzwerken kursierte und mediale Aufmerksamkeit auf sich zog, deaktivierte Apple die Gruppen-FaceTime-Funktion.
Der Fehler wurde sodann zeitnah behoben und die Funktion wieder freigeschaltet, so dass zum aktuellen Zeitpunkt keine Gefahr droht.

Jenseits des Vorfalls stellt sich die Frage: Wie sicher ist FaceTime eigentlich? FaceTime bietet eine gute Übertragungsqualität für iOS-Gerätenutzer. Und auch in Sachen Sicherheit muss sich der Apple-Dienst nicht hinter anderen Anbietern verstecken. Der Dienst ist Ende-zu-Ende-verschlüsselt und Metadaten zu den Videokonferenzen werden nach 30 Tagen gelöscht. Der Dienst ist somit zumindest für den privaten Gebrauch als sicher zu bewerten.

FaceTime weist zwar einen hohen Sicherheitsstandard auf und auch die Gespräche werden Ende-zu-Ende verschlüsselt; dennoch bleibt weiterhin das Problem hinsichtlich des US-Bezugs. Die Aufsichtsbehörden sind beim Einsatz von US-Dienstleistern für Videokonferenzen streng, vor allem bezüglich Videkonferenzsystemen an Schulen. Die Behörden (Berliner Beauftrage für Datenschutz und Informationsfreiheit sowie LfDI Rheinland-Pflaz) lassen den Einsatz von US-Software nur noch für einen begrenzten Zeitraum zu und verweisen hier auf Open-Source-Software wie Big Blue Button oder Jitsi Meet. Gerade im Hinblick auf das Schrems-II-Urteil erscheint die Nutzung der Open-Source-Software aus datenschutzrechtlicher Sicht sinnvoller als die Nutzung von US-Anbietern.

Grundsätzlich ermöglicht FaceTime Videokonferenzen mit bis zu 32 Teilnehmern. Insofern bietet sich das Tool für Videokonferenzen für kleine bis mittlere Gruppen an. Dabei ist die Anrufqualität des Messengers auch regelmäßig gut. Allerdings muss bedacht werden, dass FaceTime ausschließlich auf Apple-Geräten nutzbar und nicht für den Einsatz im Unternehmen konzipiert ist. Insofern sollten, auch um flexibel zu bleiben, andere Videokonferenz-Apps zum Einsatz im Unternehmen in Betracht gezogen werden, sofern nicht alle Mitarbeiter über ein Apple-Gerät verfügen. Sämtliche Alternativen bieten den Vorteil, dass die Nutzer nicht auf den Apple-Kosmos beschränkt sind. Gerade in der Geschäftswelt ist es jedoch oftmals erforderlich, auch Nutzer anderer Geräte einzubinden, um mit unternehmensexternen Personen kommunizieren zu können. In vielen Fällen scheitert der Einsatz außerdem an der begrenzten Teilnehmerzahl. Eine Limitierung auf 32 Personen mag zunächst nicht niedrig klingen, doch gerade im Rahmen von Schulungen und anderen größeren Veranstaltungen stößt das Tool schnell an seine Grenzen.

Folglich ist FaceTime in datenschutzrechtlicher Hinsicht nicht groß zu beanstanden. Der US-Bezug ist allerdings immer als problematisch anzusehen. Dementsprechend obliegt es schlussendlich der unternehmerischen bzw. persönlichen Entscheidung, ob der Einsatz von FaceTime für den konkreten Zweck geeignet ist und der Nutzen in einem angemessenen Verhältnis zum Risiko steht.

Drittstaatenübermittlung: Risiken bei der Nutzung von US-Cloud Anbietern – Datenschutzbehörden richten Task Force ein

17. Februar 2021

Immer wieder verlagern europäische Firmen ihre Daten auf die Server von US Konzernen und das obwohl der Europäische Gerichtshof im Juli letzten Jahres in dem sogenannten Schrems-II-Urteil das Datenschutzabkommen Privacy Shield und damit die rechtliche Grundlage für den Transfer personenbezogener Daten zwischen der EU und den USA wegen ungenügenden Datenschutzes gekippt hat.

Problematisch an diesem Datentransfer und einer Zusammenarbeit mit US-Cloud-Diensten ist insbesondere, dass US-Geheimdienste einen umfangreichen Zugriff auf die bei den amerikanischen Unternehmen gespeicherten Daten haben – und dass auch dann, wenn die Daten in Europa gespeichert werden.

Derzeit ist ein Datentransfer daher nur dann datenschutzrechtlich unbedenklich, solange die beteiligten Unternehmen alternative Lösungen zur Aufrechterhaltung eines angemessenen Datenschutzniveaus verwenden, wie zum Beispiel EU-Standardvertragsklauseln nebst zusätzlicher Garantien. Diese müssen jedoch – im Gegensatz zu einem Transferabkommen – für jeden Verarbeitungsvertrag separat ausgehandelt werden. Dies ist nicht nur aufwendig, sondern in der Praxis auch nur schwer umsetzbar, da in den meisten Fällen mit Amazon, Microsoft oder Google kein individueller Verarbeitungsvertrag geschlossen wird. Aus diesem Grund wünschen sich sowohl Datenschützer als auch die Industrie ein neues Abkommen.

Ein solches ist bislang noch nicht in Sicht. Daher setzen zahlreiche deutsche Unternehmen weiter auf die Lösungen von US-Cloud-Anbietern oder steigen gerade erst auf diese um, statt sich von ihnen zu lösen.

Die deutschen Aufsichtsbehörden wollen nun härter durchgreifen und die Einhaltung der Bestimmungen der Datenschutzgrundverordnung stärker kontrollieren.

Wie das Handelsblatt berichtete, haben die Aufsichtsbehörden zur Cloud-Problematik eine spezielle Task Force eingerichtet. Dabei wollen sie stichprobenartig bundesweit Unternehmen auswählen, bei denen die Vermutung besteht, dass sie Dienstleister aus Drittstaaten verwenden. Die Task Force soll mit deutschen Unternehmen den Einsatz von US-Cloud-Diensten besprechen und gegebenenfalls Alternativen vorschlagen wie z.B. einen Wechsel des Anbieters oder eine Aussetzung der Datenübermittlung. Aber auch die Verhängung von Bußgeldern ist laut den Datenschutzbehörden dann angezeigt, wenn keine zufriedenstellende Lösung gefunden werden kann. Diese können bis zu 20 Mio. Euro betragen oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes.

Es bleibt daher abzuwarten, wie die Datenschutzbehörden im Rahmen ihrer Task Force vorgehen werden, welche Bußgelder verhängt werden und ab wann eine europäische Lösung für die Frage der Drittsaatenübermittlung gefunden wird.

Microsoft veröffentlicht Anhang zu Standardvertragsklauseln

24. November 2020

Im Anschluss an die Schrems II-Rechtsprechung des Europäischen Gerichtshofes (wir berichteten) und den neuen Empfehlungen des Europäischen Datenschutzausschusses (wir berichteten) reagierte Microsoft nun mit neuen Vertragsklauseln. Diese sollen es ermöglichen, personenbezogene Daten in Drittländer – insbesondere die USA – exportieren zu können.

Mit diesem Schritt wolle man über die aktuellen Richtlinien hinausgehen. Zusätzlich erhoffe man sich, dass dieser Schritt bei den Kunden zusätzliches Vertrauen schaffen werden.

Rechtsweg und Informationspflichten

Microsoft verpflichte sich, gegen jede nicht rechtmäßige Anordnung auf Herausgabe von personenbezogenen Daten vorzugehen und ggf. den entsprechenden Rechtsweg einzuschlagen. Darüber hinaus wolle man alle zumutbaren Anstrengungen unternehmen, um die Anfragen Dritter so umzuleiten, dass die Daten direkt vom Kunden angefordert werden müssten. Des Weiteren sollen Kunden, sofern dies im konkreten Fall rechtlich möglich sei, unverzüglich benachrichtigt werden. Sollte die Benachrichtigung untersagt sein, verpflichte man sich, alle rechtlichen Mittel einzusetzen, um das Verbot anzugreifen und den Kunden sobald wie möglich zu informieren.

Anspruch auf Schadensersatz

Personen die durch die nach der DSGVO unrechtmäßige Datenverarbeitung einen materiellen oder immateriellen Schaden erleiden, erhalten einen Anspruch auf Schadensersatz. Dabei trage der Betroffene die Beweislast. Diese Verpflichtung übertreffe die aktuellen Empfehlungen des Europäischen Datenschutzausschusses.

Ausblick

Ob weitere Unternehmen diesem Beispiel folgen werden, ist zurzeit noch nicht ersichtlich. Es bleiben auch weiterhin viele Fragen offen. Die neuen Ergänzungen lösen nicht den Kern des bisherigen Problems. Die vom Europäischen Gerichtshof als unverhältnismäßig beanstandeten Zugriffsmöglichkeiten der US-Geheimdienste auf personenbezogene Daten können auch weiterhin nicht unterbunden werden. Nach den neuen Klauseln existiert eine rechtliche Grundlage für eine Anfechtung auch nur dann, wenn das Herausgabeverlangen nach dem nationalen Recht rechtswidrig wäre. Das ist bei Geheimdienstanfragen innerhalb der Vereinigten Staaten nur sehr selten der Fall.

Europäische Kommission veröffentlicht Entwurf neuer Standarddatenschutzklauseln

17. November 2020

Im Anschluss an die Veröffentlichung des Europäischen Datenschutzausschusses bezüglich neuer Empfehlungen bei Drittstaatentransfers (wir berichteten), veröffentlichte die EU-Kommission am 12. November 2020 einen Entwurf neuer Standardvertragsklauseln (SCC). Die neuen Standartvertragsklausen setzen sich dabei aus einem Kommissionsbeschluss und den konkreten Vertragsklauseln zusammen. Aufgrund der Schrems-II-Entscheidung des Europäischen Gerichtshofes (wir berichteten) wurde es zuletzt zunehmend schwieriger, personenbezogene Daten an Drittstaaten zu übermitteln. Die neuen Klauseln sollen nun dazu beitragen, personenbezogene Daten unter Einhaltung europäischer Datenschutzstandards, sicher an Drittstaaten transferieren zu können.

Zwei neue Übertragungsarten

Die wohl wichtigste Neuerung ist die Einführung zwei neuer Übertragungsarten. Bisher gab es die Schutzklauseln lediglich für das Verhältnis Verantwortlicher-Auftragsverarbeiter und Verantwortlicher-Verantwortlicher. Die neuen Klauseln decken zusätzlich das Verhältnis Auftragsverarbeiter-Auftragsverarbeiter und Auftragsverarbeiter-Verantwortlicher ab, wodurch auch Unterauftragsverhältnisse mit abgedeckt werden. Durch die neue „Docking Clause“ können nun auch Dritte zuvor geschlossenen Verträgen beitreten.

Garantien

Darüber hinaus sehen die neuen Klauseln Garantien vor. Eine Übermittlung bleibt auch weiterhin nur zulässig, wenn die nationalen Gesetze den Klauseln nicht entgegenstehen. Liegt ein rechtsverbindlicher Antrag auf Datenherausgabe einer Behörde vor, müssen Betroffene unverzüglich darüber informiert werden. Des Weiteren muss der Datenimporteur sich gegen das Zugriffsbegehren mit rechtlichen Mitteln zur Wehr setzen, sofern die gesetzlichen Bestimmungen dafür vorliegen.

Ausblick

Die EU-Kommission hat dazu aufgerufen, Stellungnahmen einzureichen. Die öffentliche Konsultation läuft noch bis zum 10. Dezember 2020. Sobald die neuen Standardvertragsklauseln in Kraft treten, müssen die alten Standardvertragsklauseln innerhalb eines Jahres durch die neuen Klauseln ersetzt werden.

Europäischer Datenschutzausschuss veröffentlicht Empfehlung über zusätzliche Maßnahmen für Übermittlungen in Drittstaaten

12. November 2020

Nachdem der EuGH in seiner “Schrems II-Entscheidung” den EU-US-Privacy-Shield für unwirksam erklärte, setzen viele Unternehmen auf die EU-Standardvertragsklauseln als Grundlage für die Übermittlungen in Drittstaaten. Sowohl der EuGH als auch der Europäische Datenschutzausschuss (EDSA) hatten aber betont, dass alleine die Nutzung der Standarvertragsklauseln regelmäßig nicht ausreichend ist, um ein angemessenes Schutzniveau zu gewährleisten, wenn in dem Drittstaat ein behördlicher Zugriff auf die übermittelten Daten droht. Stattdessen müssten zusätzliche technische oder organisatorische Maßnahmen ergriffen werden, um die Sicherheit der Daten zu gewährleisten.

In der Zwischenzeit war gerätselt worden, welche zusätzlichen Maßnahmen damit gemeint sein könnten. Nun hat sich der EDSA zu dieser Frage geäußert und entsprechende Empfehlungen geäußert (bisher nur auf englischer Sprache vorliegend).

Nicht nur technische und organisatorische, auch vertragliche Maßnahmen möglich

Zunächst gibt der EDSA den betroffenen Unternehmen eine Prozessempfehlung an die Hand. Dabei geht es vor allem um die Identifizierung der relevanten Datenübermittlungen und deren rechtliche Grundlage. Dies dient als Basis für die Einschätzung, ob überhaupt zusätzliche technische und organisatorische Maßnahmen getroffen werden müssen.

Kern der Empfehlung ist aber die Anlage 2, in welcher – durchaus umfangreich – nicht nur zusätzliche technische und organisatorische Maßnahmen, sondern auch mögliche vertragliche Vereinbarungen vorgestellt werden. Der EDSA versucht diese Maßnahmen anschaulich auf konkrete Sachverhalte zu beziehen und stellt genau dar, welche Anforderungen diese Maßnahmen erfüllen müssen. Die möglichen Maßnahmen reichen von wirksamen Verschlüsselungen über eine vertragliche Verstärkung der Betroffenenrechte bis hin zu konzerninternen Richtlinien und der Aufstellung von Spezialistenteams, welche mögliche Behördenzugriffe auf dem Rechtsweg verhindern sollen.

Vorgeschlagene Maßnahmen auch praktikabel?

So umfangreich und detailliert der EDSA die möglichen Maßnahmen beschreibt, mit denen im Verhältnis zwischen den beteiligten Parteien trotz eines drohenden behördlichen Zugriffs auf die Daten deren Sicherheit gewährleistet werden soll, muss sich doch erst noch herausstellen, wie praktikabel diese Empfehlungen sind. Können konzernintern entsprechende Maßnahmen sicherlich zeitnah umgesetzt werden, stellt sich doch die Frage, wie dies gegenüber marktbeherrschenden Dienstleistern möglich sein soll. Hier erscheint die Initiative der Dienstleister erforderlich zu sein, die vertraglichen Grundlagen anzupassen und entsprechende interne Prozesse einzuleiten. Ob dies jedoch aus wirtschaftlicher Sicht sinnvoll ist, wenn gleichzeitig zwischen der EU und den USA über eine neue datenschutzrechtliche Grundlage für Datentransfers verhandelt wird, steht ebenfalls auf einem anderen Blatt.

Nichtsdestotrotz sollten betroffene Unternehmen die Empfehlungen des EDSA nicht unberücksichtigt lassen und prüfen, welche der vorgeschlagenen Maßnahmen im Einzelfall umgesetzt werden können. Die bestehende Rechtsunsicherheit kann dadurch vielleicht nicht gänzlich beseitigt werden, dennoch sind die Empfehlungen sicherlich ein Schritt in die richtige Richtung.

Entwicklung der europäischen Dateninfrastruktur “GAIA-X”

27. Oktober 2020

Die Speicherung von Daten in Clouds ist nicht nur für private Nutzer interessant, deren lokaler Speicherplatz begrenzt ist oder die sich vor einem ungesicherten Verlust ihrer Daten sorgen. Ähnliche Erwägungen bewegen auch immer mehr Unternehmen dazu, ihre lokale informationstechnische Infrastruktur zu reduzieren und stattdessen auf cloud-basierte Angebote zu setzen.

GAIA-X als Alternative zu amerikanischen Cloud-Diensten?

Doch nicht erst seit der Schrems-II-Entscheidung des EuGH (wir berichteten) rückt immer mehr die Frage des Speicherorts in den Fokus. Auch wenn verschiedene Anbieter versichern, die Daten ihrer Kunden etwa nur auf Servern in der EU oder im EWR zu speichern, ist die Unsicherheit groß, ob auf die Daten nicht doch auch aus Drittstaaten zugegriffen werden kann. Verschiedene europäische Partner aus Verwaltung, Wissenschaft und Wirtschaft haben sich zusammengeschlossen, um eine “europäische” Cloud und Dateninfrastruktur zu entwickeln. Dieses Projekt – GAIA-X genannt – soll insbesondere Unternehmen die Möglichkeit geben, Daten und Dienste unabhängig von nicht-europäischen Anbietern, sicher und vertrauensvoll zu verwalten. Gleichzeitig soll die gemeinsame Infrastruktur und die Nutzung offener Technologien die Wettbewerbsfähigkeit europäischer Unternehmen im globalen Markt erhöhen.

Dieses Ziel soll durch ein “digitales Ökosystem” erreicht werden, in dem zentrale und dezentrale technologische Infrastruktur vernetzt wird. Dieses System soll offen und vernetzt sein, wobei Transparenz im Vordergrund stehe. Zudem sollen Open-Source-Software und Standards zur Verfügung gestellt werden, damit einerseits eine einfache Migration und Interoperabilität von Diensten erfolgen, andererseits durch gemeinsame Werte und Regulierungen ein hoher Sicherheitsstandard gewährleistet werden kann. Weitere Eckpfeiler des Sicherheitsstandards sind Compliance-Regeln sowie Zertifizierungs- und Akkreditierungsangebote.

Ziele des Projekts

Folgende Ziele sind im Rahmen der Projektentwicklung besonders hervorgehoben:

  • Gewährleistung der Datenhoheit
  • Identität von Quelle und Empfänger der Daten zu gewährleisten
  • Implementierung von Zugriffs- und Nutzungsrechten
  • Branchenübergreifende Zusammenarbeit bei Entwicklung innovativer Services
  • Faire und transparente Geschäftsmodelle fördern und Rechtskonformität sicherstellen
  • Entwicklung gemeinsamer Modelle und Regeln für die Datenmonetarisierung

Bisher beteiligen sich mehr als 300 Organisationen aus verschiedenen Ländern – insbesondere aber aus Deutschland und Frankreich – an GAIA-X, darunter Unternehmen wie BMW, Robert Bosch, Deutsche Telekom, PlusServer oder Siemens. Einige der beteiligten Unternehmen haben auch bereits GAIA-X-kompatible Produkte angekündigt. Die Organisatoren des Projekts laden alle Interessierten dazu ein, sich ebenfalls in der Entwicklung zu engagieren. Eine prototypische Umsetzung soll bereits bis Ende 2020 erfolgen.

Facebook gelingt Etappensieg vor Irischem Gericht

30. September 2020

Die Irische Datenschutzbehörde (DPC), die in den vergangenen Jahren besonders durch ihre Untätigkeit aufgefallen ist, hat sich im Zuge des EuGH-Urteils Schrems ./. Facebook Ireland, Az.: C-311/18 „Schrems II“ (wir berichteten) zu einer Untersuchung der transatlantischen Datenübertragungen seitens Facebooks durchgerungen.

Dagegen wollte Facebook, gegen das der Datenaktivist Max Schrems im Rahmen des EuGH-Urteils Schrems II Beschwerde eingelegt hat und letztlich zum Urteil Schrems II geführt hat, Rechtsmittel einlegen.

Dem hat der irische High Court nun stattgegeben. Facebook hat moniert, dass die Irische Datenschutzbehörde in ihrem Untersuchungsentwurf von vorneherein von einer Unwirksamkeit der von Facebook verwendeten Standardvertragsklauseln ausgeht. Außerdem sei nicht nachvollziehbar, warum nur gegen Facebook vorgegangen würde und nicht ebenso gegen andere US-IT-Unternehmen.

Außerdem stellte Facebook klar, dass es weiterhin Daten in die USA übermitteln würde. Dies begründete es mit einer Notwendigkeit gemäß Art. 49 Abs. 1 Satz. 1 lit. b) DS-GVO. Auf diese Weise versucht Facebook der vom EuGH im Rahmen des Urteils Schrems II in Bezug auf die Standardvertragsklauseln geäußerten Sicherheitsbedenken aus dem Weg zu räumen.

Facebook hat schon eine Zeit lang vor dem EuGH-Urteil Schrems II C-311/18 seine Datenübertragung auf Standardvertragsklauseln und nicht mehr auf das Privacy-Shield-Abkommen gestützt. Da der EuGH im Rahmen des Urteils Schrems II jedoch auch die Standardvertragsklauseln allein als nicht mehr ausreichend ansieht, stützt Facebook seine Übertragung nun auf Art. 49 Abs. 1 Satz. 1 lit. b) DS-GVO.

Damit geht die unendliche Geschichte der Irischen Datenschutzaufsicht und Facebook in die nächste Runde.

Facebook: Sind die Tage der Datenübermittlungen in die USA angezählt?

10. September 2020

Am 16.06.2020 erklärte der EuGH das Privacy Shield für ungültig und adressierte in diesem Zuge auch Datenübermittlung, die auf der Grundlage von Standardvertragsklauseln (SCCs) legitimiert werden sollen. Der Europäische Datenschutzausschuss und die deutsche Datenschutzkonferenz stellten klar, dass in jeden Einzelfall geprüft werden muss, ob ein angemessenes Datenschutzniveau im Drittland sichergestellt ist oder ob dem mit zusätzlichen Schutzmaßnahmen begegnet werden kann. Im Hinblick auf die weitreichenden Zugriffsmöglichkeiten der US-amerikanischen Sicherheitsdienste bezweifelte der EuGH, dass beim Datentransfer in die USA ein angemessenes Schutzniveaus gewährleistet werden kann.

Seitdem reißen die News rund um das Thema nicht ab. Vor kurzem reichte die von Max Schrems ins Leben gerufene Datenschutzorganisation „noyb“ 101 Beschwerden gegen europäische Unternehmen bei den jeweils zuständigen Aufsichtsbehörden ein. Herr Schrems führte das angesprochene Verfahren vor dem EuGH. Die Beschwerden richten sich gegen Unternehmen, die Google Analytics oder Facebook Connect verwenden, und ausweislich der Darstellungen auf den Webseiten für die Drittlandübermittlungen keine ausreichenden Maßnahmen ergriffen haben. Der Europäische Datenschutzausschuss richtete eine Task Force ein, um bei den Beschwerden ein einheitliches Vorgehen zu gewährleisten.

Nun erhält Facebook weiteren Gegenwind aus Irland: Wie Facebooks Kommunikationschef Clegg in einem Blogpost berichtet, hat die irische Datenschutzaufsichtsbehörde eine Untersuchung zu den Datentransfers von Facebook zwischen der EU und den USA eingeleitet und darauf hingewiesen, dass die SCCs nicht verwendet werden könnten. Wie die US-amerikansische Zeitung Politico berichtet, stellte die irische Datenschutzbehörden Facebook bereits Ende August eine vorläufige Anordnung zur Aussetzung der Datentransfers von der EU in die USA auf Grundlage der SCCs zu und bat um Antwort des Unternehmens.

Spannend sind in diesem Zusammenhang die Aussagen von noyb: Sie verweisen auf einen Brief, in dem sich Facebook auf eine andere Rechtsgrundlage für die Übermittlung beruft, die nicht Gegenstand der vorläufigen Anordnung ist (siehe hier auf Seite 3-4). Die Übermittlung soll danach rechtmäßig sein, weil sie zur Erfüllung eines zwischen den Facebook-Nutzern und Facebook geschlossenen Vertrages erforderlich sei. Max Schrems ist hingegen der Ansicht, “die angebliche Anordnung gegen Facebook [sei] ein weiterer Schritt, der das Problem absichtlich nicht lösen” wird. noyb hat angekündigt, einen Antrag auf eine einstweilige Verfügung einzureichen, um sicherzustellen, dass die DPC hinsichtlich aller rechtlichen Grundlagen für Datenübermittlungen tätig wird.

Eine endgültige Entscheidung der der irischen Behörde steht noch aus. Politico geht davon aus, dass mit einer solchen frühestens im Oktober gerechnet werden kann, nachdem Facebook auf die Anordnung geantwortet hat und die Entscheidung mit anderen EU Aufsichtsbehörden koordiniert wurde.

Bis dahin will sich Facebook nach Aussage des Kommunikationschefs Clegg “weiterhin Daten in Übereinstimmung mit dem jüngsten EuGH-Urteil übermitteln bis weitere Handlungsanweisungen erfolgen”. Er weist auf die Gefahren für die europäische Wirtschaft hin, wenn ein internationaler Datentransfer behindert wird. Clegg betont, dass Facebook die Bemühungen der Europäischen Kommission und dem US-amerikanischen Handelsministerium um ein “Privacy Shield enhanced” begrüßt.

Eidgenössischer Datenschutz- und Öffentlichkeitbeauftragte: “Privacy Shield CH-USA bietet kein adäquates Datenschutzniveau”

9. September 2020

Der Eidgenössische Datenschutz- und Öffentlichkeitbeauftragte (EDÖB) bewertet vor dem Hintergrund seiner jährlichen Überprüfungen des Swiss-US Privacy Shields Regimes sowie der jüngsten Rechtsprechung des Europäischen Gerichtshofs (EuGH) zum Datenschutz die Datenschutzkonformität des Privacy Shield Regimes neu.

Der EDÖB ist der Datenschutz- und Informationsfreiheitsbeauftragte für die Schweiz mit Amtssitz in Bern. Da die Schweiz nicht Mitglied der EU ist, ist das Urteil des EuGH für sie rechtlich nicht verbindlich.

In seiner Stellungnahme vom 8.9.2020 kommt der EDÖB zum Ergebnis, dass das Privacy Shield Regime trotz der Gewährung von besonderen Schutzrechten für Betroffene in der Schweiz kein adäquates Schutzniveau für Datenübermittlungen von der Schweiz an die USA nach dem Bundesgesetz über den Datenschutz (DSG) bietet.

Der EDÖB begründet dies mit der fehlenden Gewährleistung von Rechten, die betroffenen Personen in der Schweiz einen vergleichbaren Schutz wie Art. 13 Abs. 2 und 29 ff. Bundesverfassung der Schweizerischen Eidgenossenschaft (BV), Art. 8 EMRK sowie Art. 4 DSG garantieren würden.

In der Konsequenz hat der EDÖB die USA von der Staatenliste mit “angemessenen Datenschutz unter bestimmten Bedingungen” genommen. Mangels Zuständigkeit hat die Einschätzung des EDÖB keinen Einfluss auf das Weiterbestehen des Regimes des Privacy Shield.

Diese Einschätzung des EDÖB steht unter dem Vorbehalt einer abweichenden Rechtsprechung schweizerischer Gerichte.

1 2 3 4