Kategorie: Privacy Shield
27. Oktober 2020
Die Speicherung von Daten in Clouds ist nicht nur für private Nutzer interessant, deren lokaler Speicherplatz begrenzt ist oder die sich vor einem ungesicherten Verlust ihrer Daten sorgen. Ähnliche Erwägungen bewegen auch immer mehr Unternehmen dazu, ihre lokale informationstechnische Infrastruktur zu reduzieren und stattdessen auf cloud-basierte Angebote zu setzen.
GAIA-X als Alternative zu amerikanischen Cloud-Diensten?
Doch nicht erst seit der Schrems-II-Entscheidung des EuGH (wir berichteten) rückt immer mehr die Frage des Speicherorts in den Fokus. Auch wenn verschiedene Anbieter versichern, die Daten ihrer Kunden etwa nur auf Servern in der EU oder im EWR zu speichern, ist die Unsicherheit groß, ob auf die Daten nicht doch auch aus Drittstaaten zugegriffen werden kann. Verschiedene europäische Partner aus Verwaltung, Wissenschaft und Wirtschaft haben sich zusammengeschlossen, um eine “europäische” Cloud und Dateninfrastruktur zu entwickeln. Dieses Projekt – GAIA-X genannt – soll insbesondere Unternehmen die Möglichkeit geben, Daten und Dienste unabhängig von nicht-europäischen Anbietern, sicher und vertrauensvoll zu verwalten. Gleichzeitig soll die gemeinsame Infrastruktur und die Nutzung offener Technologien die Wettbewerbsfähigkeit europäischer Unternehmen im globalen Markt erhöhen.
Dieses Ziel soll durch ein “digitales Ökosystem” erreicht werden, in dem zentrale und dezentrale technologische Infrastruktur vernetzt wird. Dieses System soll offen und vernetzt sein, wobei Transparenz im Vordergrund stehe. Zudem sollen Open-Source-Software und Standards zur Verfügung gestellt werden, damit einerseits eine einfache Migration und Interoperabilität von Diensten erfolgen, andererseits durch gemeinsame Werte und Regulierungen ein hoher Sicherheitsstandard gewährleistet werden kann. Weitere Eckpfeiler des Sicherheitsstandards sind Compliance-Regeln sowie Zertifizierungs- und Akkreditierungsangebote.
Ziele des Projekts
Folgende Ziele sind im Rahmen der Projektentwicklung besonders hervorgehoben:
- Gewährleistung der Datenhoheit
- Identität von Quelle und Empfänger der Daten zu gewährleisten
- Implementierung von Zugriffs- und Nutzungsrechten
- Branchenübergreifende Zusammenarbeit bei Entwicklung innovativer Services
- Faire und transparente Geschäftsmodelle fördern und Rechtskonformität sicherstellen
- Entwicklung gemeinsamer Modelle und Regeln für die Datenmonetarisierung
Bisher beteiligen sich mehr als 300 Organisationen aus verschiedenen Ländern – insbesondere aber aus Deutschland und Frankreich – an GAIA-X, darunter Unternehmen wie BMW, Robert Bosch, Deutsche Telekom, PlusServer oder Siemens. Einige der beteiligten Unternehmen haben auch bereits GAIA-X-kompatible Produkte angekündigt. Die Organisatoren des Projekts laden alle Interessierten dazu ein, sich ebenfalls in der Entwicklung zu engagieren. Eine prototypische Umsetzung soll bereits bis Ende 2020 erfolgen.
30. September 2020
Die Irische Datenschutzbehörde (DPC), die in den vergangenen Jahren besonders durch ihre Untätigkeit aufgefallen ist, hat sich im Zuge des EuGH-Urteils Schrems ./. Facebook Ireland, Az.: C-311/18 „Schrems II“ (wir berichteten) zu einer Untersuchung der transatlantischen Datenübertragungen seitens Facebooks durchgerungen.
Dagegen wollte Facebook, gegen das der Datenaktivist Max Schrems im Rahmen des EuGH-Urteils Schrems II Beschwerde eingelegt hat und letztlich zum Urteil Schrems II geführt hat, Rechtsmittel einlegen.
Dem hat der irische High Court nun stattgegeben. Facebook hat moniert, dass die Irische Datenschutzbehörde in ihrem Untersuchungsentwurf von vorneherein von einer Unwirksamkeit der von Facebook verwendeten Standardvertragsklauseln ausgeht. Außerdem sei nicht nachvollziehbar, warum nur gegen Facebook vorgegangen würde und nicht ebenso gegen andere US-IT-Unternehmen.
Außerdem stellte Facebook klar, dass es weiterhin Daten in die USA übermitteln würde. Dies begründete es mit einer Notwendigkeit gemäß Art. 49 Abs. 1 Satz. 1 lit. b) DS-GVO. Auf diese Weise versucht Facebook der vom EuGH im Rahmen des Urteils Schrems II in Bezug auf die Standardvertragsklauseln geäußerten Sicherheitsbedenken aus dem Weg zu räumen.
Facebook hat schon eine Zeit lang vor dem EuGH-Urteil Schrems II C-311/18 seine Datenübertragung auf Standardvertragsklauseln und nicht mehr auf das Privacy-Shield-Abkommen gestützt. Da der EuGH im Rahmen des Urteils Schrems II jedoch auch die Standardvertragsklauseln allein als nicht mehr ausreichend ansieht, stützt Facebook seine Übertragung nun auf Art. 49 Abs. 1 Satz. 1 lit. b) DS-GVO.
Damit geht die unendliche Geschichte der Irischen Datenschutzaufsicht und Facebook in die nächste Runde.
10. September 2020
Am 16.06.2020 erklärte der EuGH das Privacy Shield für ungültig und adressierte in diesem Zuge auch Datenübermittlung, die auf der Grundlage von Standardvertragsklauseln (SCCs) legitimiert werden sollen. Der Europäische Datenschutzausschuss und die deutsche Datenschutzkonferenz stellten klar, dass in jeden Einzelfall geprüft werden muss, ob ein angemessenes Datenschutzniveau im Drittland sichergestellt ist oder ob dem mit zusätzlichen Schutzmaßnahmen begegnet werden kann. Im Hinblick auf die weitreichenden Zugriffsmöglichkeiten der US-amerikanischen Sicherheitsdienste bezweifelte der EuGH, dass beim Datentransfer in die USA ein angemessenes Schutzniveaus gewährleistet werden kann.
Seitdem reißen die News rund um das Thema nicht ab. Vor kurzem reichte die von Max Schrems ins Leben gerufene Datenschutzorganisation „noyb“ 101 Beschwerden gegen europäische Unternehmen bei den jeweils zuständigen Aufsichtsbehörden ein. Herr Schrems führte das angesprochene Verfahren vor dem EuGH. Die Beschwerden richten sich gegen Unternehmen, die Google Analytics oder Facebook Connect verwenden, und ausweislich der Darstellungen auf den Webseiten für die Drittlandübermittlungen keine ausreichenden Maßnahmen ergriffen haben. Der Europäische Datenschutzausschuss richtete eine Task Force ein, um bei den Beschwerden ein einheitliches Vorgehen zu gewährleisten.
Nun erhält Facebook weiteren Gegenwind aus Irland: Wie Facebooks Kommunikationschef Clegg in einem Blogpost berichtet, hat die irische Datenschutzaufsichtsbehörde eine Untersuchung zu den Datentransfers von Facebook zwischen der EU und den USA eingeleitet und darauf hingewiesen, dass die SCCs nicht verwendet werden könnten. Wie die US-amerikansische Zeitung Politico berichtet, stellte die irische Datenschutzbehörden Facebook bereits Ende August eine vorläufige Anordnung zur Aussetzung der Datentransfers von der EU in die USA auf Grundlage der SCCs zu und bat um Antwort des Unternehmens.
Spannend sind in diesem Zusammenhang die Aussagen von noyb: Sie verweisen auf einen Brief, in dem sich Facebook auf eine andere Rechtsgrundlage für die Übermittlung beruft, die nicht Gegenstand der vorläufigen Anordnung ist (siehe hier auf Seite 3-4). Die Übermittlung soll danach rechtmäßig sein, weil sie zur Erfüllung eines zwischen den Facebook-Nutzern und Facebook geschlossenen Vertrages erforderlich sei. Max Schrems ist hingegen der Ansicht, “die angebliche Anordnung gegen Facebook [sei] ein weiterer Schritt, der das Problem absichtlich nicht lösen” wird. noyb hat angekündigt, einen Antrag auf eine einstweilige Verfügung einzureichen, um sicherzustellen, dass die DPC hinsichtlich aller rechtlichen Grundlagen für Datenübermittlungen tätig wird.
Eine endgültige Entscheidung der der irischen Behörde steht noch aus. Politico geht davon aus, dass mit einer solchen frühestens im Oktober gerechnet werden kann, nachdem Facebook auf die Anordnung geantwortet hat und die Entscheidung mit anderen EU Aufsichtsbehörden koordiniert wurde.
Bis dahin will sich Facebook nach Aussage des Kommunikationschefs Clegg “weiterhin Daten in Übereinstimmung mit dem jüngsten EuGH-Urteil übermitteln bis weitere Handlungsanweisungen erfolgen”. Er weist auf die Gefahren für die europäische Wirtschaft hin, wenn ein internationaler Datentransfer behindert wird. Clegg betont, dass Facebook die Bemühungen der Europäischen Kommission und dem US-amerikanischen Handelsministerium um ein “Privacy Shield enhanced” begrüßt.
9. September 2020
Der Eidgenössische Datenschutz- und Öffentlichkeitbeauftragte (EDÖB) bewertet vor dem Hintergrund seiner jährlichen Überprüfungen des Swiss-US Privacy Shields Regimes sowie der jüngsten Rechtsprechung des Europäischen Gerichtshofs (EuGH) zum Datenschutz die Datenschutzkonformität des Privacy Shield Regimes neu.
Der EDÖB ist der Datenschutz- und Informationsfreiheitsbeauftragte für die Schweiz mit Amtssitz in Bern. Da die Schweiz nicht Mitglied der EU ist, ist das Urteil des EuGH für sie rechtlich nicht verbindlich.
In seiner Stellungnahme vom 8.9.2020 kommt der EDÖB zum Ergebnis, dass das Privacy Shield Regime trotz der Gewährung von besonderen Schutzrechten für Betroffene in der Schweiz kein adäquates Schutzniveau für Datenübermittlungen von der Schweiz an die USA nach dem Bundesgesetz über den Datenschutz (DSG) bietet.
Der EDÖB begründet dies mit der fehlenden Gewährleistung von Rechten, die betroffenen Personen in der Schweiz einen vergleichbaren Schutz wie Art. 13 Abs. 2 und 29 ff. Bundesverfassung der Schweizerischen Eidgenossenschaft (BV), Art. 8 EMRK sowie Art. 4 DSG garantieren würden.
In der Konsequenz hat der EDÖB die USA von der Staatenliste mit “angemessenen Datenschutz unter bestimmten Bedingungen” genommen. Mangels Zuständigkeit hat die Einschätzung des EDÖB keinen Einfluss auf das Weiterbestehen des Regimes des Privacy Shield.
Diese Einschätzung des EDÖB steht unter dem Vorbehalt einer abweichenden Rechtsprechung schweizerischer Gerichte.
21. August 2020
Max Schrems, Jurist und Datenschutz-Aktivist aus Österreich, der insbesondere durch sein langjähriges juristisches Vorgehen gegen Facebook bekannt geworden ist, geht auch nach der sog. “Schrems-II-Entscheidung” des EuGH (wir berichteten) weiter gegen Datentransfers in die USA vor. Mit seinem Projekt noyb hat Schrems nun 101 Beschwerden bei Aufsichtsbehörden in 30 verschiedenen Staaten der EU und EEA eingelegt.
Hintergrund der eingelgeten Beschwerden sei die fortgesetzte Nutzung insbesondere von Google Analytics und Facebook Connect durch die betroffenen Unternehmen, obwohl diese Dienste von den US-amerikanischen Überwachungsgesetzen erfasst seien und beide Unternehmen die Datentransfers scheinbar ohne rechtliche Grundlage durchführten. Zwar würden beide Unternehmen behaupten, dass die Transfers zulässig seien – Facebook verweise auf die verwendeten Standard-Vertragsklauseln (SCC), Google sogar immer noch auf den EU-US-Privacy-Shield – dieser Ansicht widerspricht noyb jedoch vehement. Insbesondere habe der EuGH in seiner Entscheidung ausdrücklich festgestellt, dass es nicht möglich sei Datentransfers in die USA auf die SCCs der EU zu stützen, wenn der Empfänger der Daten unter die US-amerikanischen Überwachungsgesetze fällt. Genau dies sei aber bei Google und Facebook der Fall. Dabei wird den amerikanischen Unternehmen sogar vorgeworfen, ihre Kunden über diese Tatsache hinwegzutäuschen, obwohl sie diesbezüglich zur Aufklärung verpflichtet seien und sich andernfalls schadensersatzpflichtig machten.
Um zu überprüfen, ob ein Datentransfer an Google und Facebook trotz der Schrems-II-Entscheidung weiterhin stattfindet, hatte noyb nach eigener Aussage “auf den wichtigsten Webseiten in jedem EU-Mitgliedsstaat eine schnelle Suche nach Code von Facebook und Google durchgeführt”, und wurde dabei wiederholt fündig. Gegen 101 Unternehmen, die weiterhin solche Transfers durchführen, hat noyb daher Beschwerde bei den zuständigen Aufsichtsbehörden erhoben und fordert die Behörden dazu auf, die europäischen Regeln auch durchzusetzen. Gleichzeit wurde auch gegen Google und Facebook selbst wegen Verstößen gegen die DS-GVO in den USA Beschwerde erhoben.
noyb ist eine NGO mit Sitz in Wien, die 2017 unter anderem von Max Schrems gegründet wurde und sich für die Durchsetzung des Datenschutzes innerhalb der EU und EEA einsetzt. Dabei wird mit rechtlichen Mitteln insbesondere gegen große datenverarbeitende Unternehmen – wie z.B. Facebook oder Google – vorgegangen. Durch noyb eingelegte Beschwerden waren bereits Grundlage einiger verhängter Bußgelder, wie das äußerst empfindliche Bußgeld in Höhe von 50 Millionen Euro gegen Google.
31. Juli 2020
Zeitnah nach Verkündung des EuGH-Urteils zur Wirksamkeit des EU-US-Privacy-Shields (Urteil v. 16.07.2020, C-311/18) hatten bereits die ersten deutschen Aufsichtsbehörden zu dieser Entscheidung Stellung bezogen (wir berichteten). Nunmehr haben sich mit der Datenschutzkonferenz (DSK, Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder) und dem Europäischen Datenschutzausschuss (EDSA) weitere “Big Player” unter den Aufsichtsbehörden zu Wort gemeldet.
Stellungnahme und FAQ des EDSA
Der EDSA hat diesbezüglich gleich zwei Dokumente (in englischer Sprache) veröffentlicht, eine Stellungnahme sowie ein FAQ zum Urteil des Gerichts mit Sitz in Luxemburg. Zunächst einmal wird das Urteil durch den EDSA begrüßt, verdeutliche es doch den Stellenwert des “right to privacy” auch im Hinblick auf den Datentransfer in Drittstaaten. Im Hinblick auf die Unwirksamkeit des Privacy Shields stellt der EDSA heraus, dass einige der nunmehr aufgegriffenen Kritikpunkte auch bereits durch den EDSA aufgeworfen worden waren, und dass ein neues Abkommen zwischen der EU und den USA erforderlich sei, welches sämtliche Rechte der Betroffenen schützt.
Hinsichtlich der Standardvertragsklauseln – welche durch den EuGH grundsätzlich als wirksam anerkannt wurden – obliege es im Wesentlichen den Verantwortlichen selbst, auf ein geeignetes Schutzniveau im betreffenden Drittstaat zu achten. Werde ein solches Schutzniveau nach Ansicht des verantwortlichen Datenexporteurs nicht erreicht, müsse in Betracht gezogen werden, über die in den Standardvertragsklauseln genannten Schutzmaßnahmen hinaus zusätzliche Maßnahmen zum Schutz der personenbezogenen Daten zu ergreifen. Wenn die vertraglichen Pflichten (aus den Standardvertragsklauseln) nicht eingehalten werden können – ausdrücklich werden hier die Informationspflichten hinsichtlich Rechtsänderungen in dem Drittstaat genannt – dann müsse in Betracht gezogen werden, den Datentransfer zu stoppen, die Standardvertragsklauseln zu kündigen oder die zuständige Aufsichtsbehörde zu informieren.
In seinen FAQs stellt der EDSA dann noch einmal klar, dass es hinsichtlich der Reaktion auf das Urteil und somit für die Anpassung der Datentransfers in Drittstaaten keine “Gnadenfrist” gebe und sich auf alle Übermittlungen in die USA beziehe. Des Weiteren ist interessant, dass der EDSA die im Urteil nicht erwähnten Binding Corporate Rules (BCRs) ebenfalls anspricht. Auch diese sollten nach Ansicht des EDSA – genauso wie die Standardvertragsklauseln – im Einzelfall daraufhin überprüft werden, ob sie einen hinreichenden Schutz bieten. Ist dies nicht der Fall, sollte hier genauso vorgegangen werden wie bei den Standardvertragsklauseln.
Presseerklärung der DSK
Die Presseerklärung der DSK stimmt mit den Äußerungen des EDSA im Wesentlichen überein. Die DSK stellt jedoch ausdrücklich fest, dass die bisher genutzten Standardvertragsklauseln bei einer Übermittlung in die USA ohne zusätzliche Maßnahmen grundsätzlich nicht ausreichend seien. Dies gelte auch für die weiteren Garantien nach Art. 46 DS-GVO – also auch für die Binding Corporate Rules. Eine Übermittlung nach Art. 49 DS-GVO sei hingegen weiterhin uneingeschränkt zulässig.
Schließlich weist die DSK noch einmal darauf hin, dass eine Schonfrist für laufende Übermittlungen in die USA nicht besteht. Sämtliche datenverarbeitende Akteure, die Übermittlungen in die USA vornehmen, sollten die datenschutzrechtliche Zulässigkeit ihrer Verarbeitungen also umgehend überprüfen.
22. Juli 2020
Die ersten deutschen Aufsichtsbehörden haben inzwischen ihre Stellungnahmen zum o. g. Urteil veröffentlicht, in dem das EU-U.S. Privacy Shield für unwirksam erklärt wurde.
Mit dem Urteil hat das Gericht auch Unsicherheit in Bezug auf den weiteren Umgang mit Datenübermittlungen, insbesondere in die USA hervorgerufen, die auf Grundlage der EU-Standardvertragsklauseln legitmiert werden, da auch auch die Standardvertragsklauseln auf den Prüfstand gestellt wurden. Nach dem EuGH obliegt es dem jeweiligen Datenexporteur, jeweils für den Einzelfall zu prüfen, ob diese unter Berücksichtigung des Rechts des Drittlands einen angemessenen Schutz gewährleisten (siehe RN 132 d. Urteils v. 16.07.2020, C-311/18).
Was sagen nun die deutschen Aufsichtsbehörden dazu? Bisher haben sich immerhin vier von ihnen geäußert. Nachfolgend fassen wir die jeweiligen Kernaussagen kurz zusammen:
Berlin:
„Er (der EuGH, Anm. d. Red.) betont in diesem Zusammenhang jedoch, dass sowohl die europäischen Datenexporteure als auch die Datenimporteure in Drittländern verpflichtet sind, vor der ersten Datenübermittlung zu prüfen, ob im Drittland staatliche Zugriffsmöglichkeiten auf die Daten bestehen, die über das nach europäischem Recht Zulässige hinausgehen (Rn. 134 f., 142 des Urteils). Bestehen solche Zugriffsrechte, können auch die Standardvertragsklauseln den Datenexport nicht rechtfertigen. Bereits ins Drittland übermittelte Daten müssen zurückgeholt werden. (…) Verantwortliche, die –insbesondere bei der Nutzung von Cloud-Diensten –personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln“
Hamburg:
„Vor diesem Hintergrund ist die Entscheidung des EuGH, die Standardvertragsklauseln (SCC) als angemessenes Instrument beizubehalten, nicht konsequent. Wenn die Ungültigkeit des Privacy Shield primär mit den ausufernden Geheimdienstaktivitäten in den USA begründet wird, muss dasselbe auch für die Standardvertragsklauseln gelten. Vertragliche Vereinbarungen zwischen Datenexporteur und -importeur sind gleichermaßen ungeeignet, um Betroffene vor dem staatlichen Zugriff zu bewahren. Zumindest hinsichtlich des Abschlusses der SCC mit dem streitgegenständlichen US-Unternehmen hätte der EuGH zu demselben Ergebnis kommen müssen. (…) Nach der heutigen EuGH-Entscheidung befindet sich der Ball wieder einmal im Spielfeld der Aufsichtsbehörden, die nun vor der Entscheidung stehen werden, insgesamt die Datenübermittlung über Standardvertragsklauseln kritisch zu hinterfragen“
Rheinland-Pfalz:
„Der EuGH hat klargestellt, dass sich Unternehmen mit der Verwendung der Standardvertragsklauseln nicht von ihren Prüfpflichten freikaufen können. (…) Der Ball liegt nun im Feld der Verantwortlichen. Sie kommen nicht umhin, sich mit den nationalen Gesetzen des Drittlandes, in welche sie Daten übermitteln möchten, intensiv auseinanderzusetzen. Unterliegen die Datenempfänger gesetzlichen Regeln ihres Heimatlandes, die gegen das europäische Datenschutzrecht verstoßen, können sie die vertraglichen Regelungen der Standardvertragsklauseln ggf. nicht einhalten. In diesem Fall muss der Verantwortliche in der EU die Datenübermittlung dorthin aussetzen, da er sonst einen Datenschutzverstoß begeht.“
Thüringen:
„Wenn der EuGH nun hervorhebt, dass die Schutzmechanismen der Standardvertragsklauseln und ihre Einhaltung vom Datenexporteur und dem Datenempfänger vor der Übermittlung geprüft werden müssen, dann weiß ich nicht, wie im Fall der Datenübermittlung in die USA hier ein EU-datenschutzkonformes Prüfergebnis zu Stande kommen soll.“
Wir beobachten weitere Äußerungen selbstverständlich äußerst aufmerksam und informieren Sie zeitnah über aktuelle Entwicklungen.
8. April 2020
Video-Verhandlungen gewinnen durch die Corona Krise immer mehr an Relevanz, da die Gerichte seit Ausbruch der Pandemie zu einem Notbetrieb gezwungen werden und viele Termine um Monate verschoben wurden. Die Justizminister der Länder verlangten sogar öffentlich, die Gerichte sollten ihren Dienst weitgehend einstellen, denn gefüllte Gerichtssäle stellen zweifellos eine Gesundheitsgefahr dar, “Social Distancing” ist so schwer möglich.
Da dies für viele Richter und Anwälte inakzeptabel erscheint, werden Forderungen nach Online-Verhandlungen und Videoübertragungen immer lauter. Die Angst der Gerichte vor einem nicht mehr aufholbaren Rückstau bei totalem Verhandlungsausfall ist groß. “Die Zivilprozessordnung erlaubt es, Verhandlungen ohne körperliche Präsenz der Parteien durch allgemein übliche Ton- und Bildübertragungen durchzuführen”, so Uwe Freyschmidt, Vorsitzender des Berliner Anwaltvereins. “Videoübertragungen können die persönliche Präsenz in Gerichtsverhandlungen auf einfachem Weg ersetzen.”
Vereinzelt bedienen sich die Gerichte schon der Video-Verhandlung. Bei einigen Arbeitsgerichten in Niedersachsen werden die Gütetermine nach § 54 ArbGG beispielsweise bereits im Rahmen von Video- oder Telefonkonferenzen durchgeführt.
Der Öffentlichkeitsgrundsatz wird durch die Videoübertragung in den Sitzungssaal gewahrt, wobei hier während der Corona-Krise sehr fraglich bleibt, ob es sinnvoll ist, Zuschauer in den Sitzungssaal zu lassen.
Voraussetzung für die Video-Verhandlung ist ein kompatibles Videokonferenzsystem. Die Gerichte, die die Video-Verhandlung bereits eingeführt haben, benutzen zumeist Skype Business, bei denen das Gericht die Konferenz administriert und den Parteien entsprechende Einladungslinks elektronisch (per Mail) übermittelt. Die Möglichkeit, Gerichtsverhandlungen per Skype durchzuführen, wirft datenschutzrechtliche Fragen auf:
- Drittstaatenübermittlung: Es gab im Zusammenhang mit Skype in der Vergangenheit bereits Verstöße gegen die DSGVO bzgl. der Datenübermittlung an Drittstaaten. Es wurde bekannt, dass Transkribierungen von Skype-Mitschnitten durch Auftragnehmer in China durchgeführt wurden.
- Einwilligungen der Parteien: Der Anwalt kann nicht für seinen Mandanten in die Verarbeitung dessen Daten durch die Skype nutzenden Gerichte einwilligen. Es ist somit zwingend notwendig, dass die Parteien der Verhandlung selbst datenschutzrechtliche Einwilligungserklärungen abgeben. Die Einwilligung sollte sich ausdrücklich auch auf die Datenübermittlung in Drittstaaten beziehen.
- Auftragsverarbeitung: Außerdem ist durch die Gerichte sicherzustellen, dass etwaige Auftragnehmer die Daten der Prozessteilnehmer nicht zu eigenen Zwecken nutzen.
- Zugriff Unbefugter: Bei der Nutzung von Skype wird auch der U.S. Cloud-Act relevant, der fast zeitgleich mit der DSGVO in Kraft getreten ist. Gemäß des U.S. Cloud-Act könnten US-Ermittlungsbehörden Daten direkt von Unternehmen wie beispielsweise Microsoft, Google, Skype oder Amazon anfordern. Der U.S. Cloud-Act verpflichtet US-Unternehmen selbst dann zur Datenherausgabe, wenn lokale Gesetze am Ort des Datenspeichers dies verbieten. Wie Gerichte die Prozessbeteiligten vor diesem DSGVO-widrigen Verhalten schützen wollen, ist noch unklar.
23. Oktober 2019
Im Sommer 2016 trat der EU-US-Privacy Shield in Kraft durch den Standards für den Umgang mit europäischen Daten und Informationen sowie die Weiterleitung von Daten aus den USA festgelegt wurde. Bis heute nutzen ca. 500 Unternehmen auf beiden Seiten diesen Rechtsrahmen für internationale Geschäfte.
Die Auswirkung des Abkommens wird von der EU-Kommission als positiv beschrieben, sodass man von großen Fortschritten in der Umsetzung des Abkommens spricht. Der jährliche Bericht der Brüssler Behörde kritisiert zwar, dass das Aufnahmeverfahren von Unternehmen in den “Privacy Shield” zu langwierig sei und in Bezug auf das Verfahren nachgebessert werden sollte, bestätigt jedoch außerdem, dass das Datenschutz-Niveau der USA weiterhin angemessen ist. Seit 2018 gibt es beispielsweise monatliche Stichproben bei Unternehmen der USA um die Einhaltung des Abkommens zu überprüfen außerdem seien alle Vakanzen der amerikanischen Behörde für Datenschutz und bürgerliche Freiheit besetzt worden.
25. Januar 2019
In der ersten Sitzung des Europäischen Datenschutzausschusses (EDSA) im neuen Jahr wurden unter anderem folgende Punkte aufgegriffen: der EU-US Privacy Shield, Leitlinien zur Zertifizierung und die Verbesserung der Kommunikation mit Social-Media-Anbietern bei Datenschutzvorfällen. Vor allem die Überprüfung des EU-US Privacy Shield und der dazugehörige Berichtsbeschluss waren wichtige Tagesordnungspunkte der Sitzung. Trotz Überprüfung durch US-Behörden bestehen weiterhin gewichtige Kritikpunkte. Einer dieser Kritikpunkte ist das Fehlen einer dauerhaften Besetzung der Ombudsperson und die Offenlegung ihrer Befugnisse gegenüber den Sicherheitsbehörden.
Ein weiteres wichtiges Thema war die Verabschiedung der Guidelines on Certification. Diese Leitlinien sollen eine Unterstützung für die Ausgestaltung von Zertifizierungsprozessen nach der DSGVO sein. Zusammen mit den bereits vergangenen Jahres verabschiedeten Guidelines on Accreditation dienen beide Papiere als wichtige Orientierungshilfen.
Um bei Datenschutzvorfällen im Social-Media-Bereich schneller reagieren zu können hat man sich in der Sitzung das Ziel gesetzt gemeinsam technische und organisatorische Maßnahmen zu erörtern, um in Eilfällen eine unmittelbare Kontaktaufnahme mit den verantwortlichen Stellen zu ermöglichen. Dazu werden deutsche Aufsichtsbehörden ein Vorschlag erarbeiten.
Der Bundesdatenschutzbeauftragte Ulrich Kelber betonte nach seiner ersten Teilnahme am EDSA noch einmal die Wichtigkeit dieses Gremiums: “Daten kennen schon lange keine Grenzen mehr. Daher muss auch ihr Schutz grenzübergreifend sein.”
