Kategorie: Safe Harbor
25. September 2023
Der Landesbeauftragte für den Datenschutz Niedersachsen hat gemeinsam mit sechs weiteren Datenschutzaufsichtsbehörden am 22. September 2023 praktische Tipps zur datenschutzkonformen Nutzung von Microsoft 365 sowie Empfehlungen für Anpassungen des Standardvertrags zur Auftragsdatenverarbeitung (DPA) von Microsoft veröffentlicht. Diese Handreichung soll Unternehmen und öffentlichen Stellen dabei helfen, Microsoft 365 datenschutzkonform einzusetzen und auf erforderliche Vertragsanpassungen hinzuwirken.
Die Hintergründe
Die Handreichung basiert in erster Linie auf den Festlegungen der Datenschutzkonferenz (DSK) aus dem November 2022 und ist ein positives Zeichen für diejenigen, die Microsoft 365 nutzen. Obwohl sie keine grundlegenden inhaltlichen Neubewertungen von Microsoft 365 durch die Datenschutzaufsichtsbehörden beinhaltet, liefert sie dennoch wichtige Empfehlungen für die Praxis.
Die DSK hatte zuvor einige Regelungen des DPA von Microsoft kritisiert, darunter:
- Festlegung von Art und Zweck der Verarbeitung, Art der personenbezogenen Daten: Die Datenschutzaufsichtsbehörden klären auf, wie diese Punkte im Vertrag angepasst werden können, um den Datenschutzanforderungen besser gerecht zu werden.
- Eigene Verantwortlichkeit Microsofts im Rahmen der Verarbeitung für Microsofts Geschäftszwecke: Hier wird erläutert, wie die Verantwortlichkeiten klarer definiert werden können, insbesondere im Hinblick auf Geschäftstätigkeiten, die durch die Bereitstellung von Produkten und Services an Kunden veranlasst sind.
- Weisungsbindung, Offenlegung verarbeiteter Daten, Erfüllung rechtlicher Verpflichtungen: Die Handreichung gibt Hinweise, wie die Weisungsbindung und die Offenlegung von Daten angepasst werden können, um den Datenschutzanforderungen zu entsprechen.
- Umsetzung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO: Hier werden Empfehlungen zur Anpassung des Vertrags im Hinblick auf technische und organisatorische Maßnahmen gegeben.
- Löschen personenbezogener Daten: Die Handreichung beleuchtet, wie die Löschung personenbezogener Daten gemäß den Datenschutzbestimmungen effektiv umgesetzt werden kann.
- Information über Unterauftragsverarbeiter: Es wird erläutert, wie Unternehmen sicherstellen können, dass sie ausreichende Informationen über Unterauftragsverarbeiter erhalten.
Nicht behandelt: Internationale Datentransfers und extraterritoriale Geltung von US-Gesetzen
Wichtig zu beachten ist, dass die Handreichung sich nicht mit Fragen des internationalen Datentransfers oder des extraterritorialen Geltungsbereichs von US-Gesetzen befasst. Diese Themen bleiben somit außerhalb des Geltungsbereichs dieser Empfehlungen.
Fazit: Unterstützung für datenschutzkonforme Nutzung von Microsoft 365
Die gemeinsame Handreichung von insgesamt sieben Datenschutzaufsichtsbehörden betont die Bedeutung von Microsoft 365 im Geschäftsalltag und bietet Unternehmen und öffentlichen Stellen praktische Unterstützung. Angesichts der Kritik der DSK an Microsoft 365 und der Verunsicherung von Unternehmen ist dies ein positiver Schritt. Die Datenschutzaufsichtsbehörden erfüllen somit ihre Beratungsfunktion und unterstützen die Verantwortlichen bei der datenschutzkonformen Implementierung von Microsoft 365. Dies ist ein wichtiger Schritt in Richtung Datenschutz und Datenschutzkonformität in der digitalen Arbeitswelt.
12. Juli 2023
Am 10.7.2023 hat die EU-Kommission eine neue Entscheidung getroffen, um den sicheren Datenverkehr zwischen der EU und den USA zu gewährleisten. Mit dem Trans-Atlantic-Data-Privacy-Framework (TADPF) wird nun bereits der dritte Versuch unternommen, nach “Safe Harbor” und “Privacy Shield” transatlantische Datentransfers möglichst unkompliziert zu gestalten. Mit dieser Vereinbarung können nun Daten von Unternehmen wie Google, Microsoft, Meta, AWS und anderen sicher von der EU in die USA übermittelt werden.
Der Hintergrund des TADPF liegt in der Unwirksamkeit der vorherigen Regelungen Safe-Harbour und Privacy-Shield, die vom Europäischen Gerichtshof (EuGH) 2015 bzw. 2020 für ungültig erklärt wurden. Seit dem 10.07.2023 gilt nun der lang erwartete neue Angemessenheitsbeschluss gemäß der Datenschutzgrundverordnung (DSGVO) zwischen der EU und den USA. Dieser Beschluss wurde getroffen, um eine sichere Übermittlung von Daten zwischen der EU und den USA zu gewährleisten. Das Trans-Atlantic Data Privacy Framework ist ein Abkommen, das zwischen den 27 Mitgliedsstaaten der Europäischen Union und den Vereinigten Staaten geschlossen wurde.
Das Data Privacy Framework
Das TADPF ist ein Angemessenheitsbeschluss gemäß Art. 45 Abs. 1 DSGVO. Gemäß diesem Beschluss gelten die USA erneut als sicherer Drittstaat in Bezug auf den Datenschutz. Dadurch sind für Datenexporte an Empfänger in den USA keine zusätzlichen Legitimationsinstrumente mehr erforderlich. Allerdings hat das TADPF im Vergleich zu anderen Angemessenheitsbeschlüssen nur begrenzte Wirkung. Ähnlich wie beim vorherigen Privacy Shield gilt die privilegierte Wirkung des TADPF nur für Datenempfänger, die sich einem Selbstzertifizierungsmechanismus unterziehen und sich verpflichten, eine Reihe detaillierter Datenschutzverpflichtungen einzuhalten. Unternehmen, die gemäß den Kriterien des TADPF zertifiziert sind, werden voraussichtlich auf der Website www.dataprivacyframework.gov aufgeführt sein.
Was ist ein Angemessenheitsbeschluss?
Ein Angemessenheitsbeschluss gemäß der DSGVO, speziell Art. 45 Abs. 3 DSGVO, ist im Grunde genommen eine Entscheidung der Europäischen Kommission, die besagt, dass ein Drittland (ein Land außerhalb der EU/EWR) ein angemessenes Schutzniveau für personenbezogene Daten bietet. Dieser Beschluss bestätigt, dass das betreffende Drittland Datenschutzstandards eingeführt hat, die mit den Standards der EU vergleichbar sind und den Schutz personenbezogener Daten in ähnlicher Weise gewährleisten. Infolgedessen dürfen personenbezogene Daten ohne zusätzliche Schutzmaßnahmen in dieses Drittland übertragen werden.
Safe-Harbour und Privacy-Shield waren ebenfalls solche Angemessenheitsbeschlüsse. Wie bekannt ist, wurden beide von dem Europäischen Gerichtshof (EuGH) für ungültig erklärt. Einer der Hauptgründe dafür war, dass die USA kein Datenschutzniveau bieten konnten, das mit dem EU-Standard vergleichbar war. Insbesondere die nahezu uneingeschränkte Zugriffsmöglichkeit von US-Behörden, insbesondere der National Security Agency (NSA), auf personenbezogene Daten von EU-Bürgern spielte dabei eine Rolle. Dies galt sogar dann, wenn Unternehmen ihren Sitz in den USA hatten, aber ihre Dienstleistungen in der EU erbrachten.
Hintergrund: Executive Order vom 07.10.2022
Um die Zugriffsmöglichkeiten der NSA auf personenbezogene Daten von EU-Bürgern einzuschränken, unterzeichnete US-Präsident Biden bereits am 07.10.2022 die “Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“. Diese Maßnahme sollte sicherstellen, dass zumindest der Grundsatz der Verhältnismäßigkeit gewahrt bleibt. Vor jedem Zugriff auf Daten von EU-Bürgern müssen die US-Geheimdienste nun überprüfen, ob der Zugriff auf die Daten verhältnismäßig ist. Darüber hinaus wurde ein Beschwerdeverfahren für EU-Bürger in den USA eingerichtet. EU-Bürger können sich daher beim Civil Liberties Protection Officer der US-Geheimdienste beschweren. Sollte eine solche Beschwerde nicht erfolgreich sein, haben EU-Bürger die Möglichkeit, vor einem neu geschaffenen Gericht, dem Civil Liberties Protection Officer, Klage zu erheben.
Diese Executive Order hat im Wesentlichen dazu geführt, dass die EU das TADPF beschlossen hat.
Sichere Datenübermittlung zwischen EU und USA wieder möglich?
Solange der Europäische Gerichtshof (EuGH) das TADPF nicht erneut für ungültig erklärt, können sich EU-Unternehmen darauf verlassen, dass Unternehmen, die gemäß dem TADPF zertifiziert sind, die Datenschutzstandards einhalten. Im Gegensatz zu den Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO, die vor der Einführung des TADPF hauptsächlich als Rechtsgrundlage für die Übermittlung personenbezogener Daten zwischen der EU und den USA verwendet wurden, soll beim TADPF die verpflichtende eigene Prüfung des Standards bei den jeweiligen US-Unternehmen entfallen.
23. Mai 2023
Meta, der Mutterkonzern von Facebook, hat erneut eine Rekordstrafe in Höhe von 1,2 Milliarden Euro aufgrund eines Verstoßes gegen die europäische Datenschutzgrundverordnung (DSGVO) erhalten. Die irische Datenschutzbehörde DPC verkündete diese Strafe in Dublin. Das Verfahren betrifft die Beteiligung von Facebook an der Massenüberwachung durch angloamerikanische Geheimdienste, die vor zehn Jahren von Edward Snowden, einem US-Whistleblower, aufgedeckt wurde. Max Schrems, ein Datenschutz-Aktivist aus Österreich, reichte damals eine Beschwerde gegen Facebook ein.
Verfahren kann sich in die Länge ziehen
Das von der DPC verhängte Bußgeld übertrifft die bisherige Rekordstrafe von 746 Millionen Euro, die gegen Amazon.com in Luxemburg verhängt wurde. Zudem ist Meta nun dazu verpflichtet, jede weitere Übermittlung europäischer personenbezogener Daten in die Vereinigten Staaten zu unterbinden, da das Unternehmen weiterhin den US-Überwachungsgesetzen unterliegt.
Meta hat bisher keine Stellungnahme zu der Rekordstrafe abgegeben. Experten gehen jedoch davon aus, dass der US-Konzern gegen die Entscheidung rechtliche Schritte einlegen wird. Die Gerichtsverfahren können sich jedoch über einen längeren Zeitraum erstrecken. In der Zwischenzeit könnte ein neuer Datenpakt zwischen der Europäischen Union und den USA in Kraft treten, um den transatlantischen Datenverkehr neu zu regeln. Meta hatte zuvor mehrfach damit gedroht, sich vollständig aus der EU zurückzuziehen, falls ein dauerhafter transatlantischer Datentransfer nicht möglich sein sollte.
Irische Datenschutzbehörde ging nicht gegen Meta vor
Schrems betonte, dass das verhängte Bußgeld deutlich höher hätte ausfallen können: “Die Höchststrafe liegt bei über vier Milliarden Euro. Und Meta hat über einen Zeitraum von zehn Jahren wissentlich gegen die DSGVO verstoßen, um Gewinne zu erzielen.” Schrems erklärte weiter, dass Meta nun wahrscheinlich seine Systeme grundlegend umstrukturieren müsse, wenn sich die US-Überwachungsgesetze nicht ändern.
Die irische Datenschutzbehörde DPC hatte sich jahrelang geweigert, gegen Facebook in dieser Angelegenheit vorzugehen. Schließlich wurde die DPC durch den Europäischen Datenschutzausschuss (EDSA) dazu verpflichtet, eine Strafe gegen das soziale Netzwerk zu verhängen. Der aktuelle Beschluss betrifft ausschließlich Facebook und nicht andere Dienste wie Instagram oder WhatsApp, die zum Meta-Konzern gehören. Bereits im Januar hatte die DPC Meta jedoch zu einer Strafe in Höhe von 390 Millionen Euro verurteilt, weil Facebook- und Instagram-Nutzer gezwungen wurden, personalisierter Werbung zuzustimmen.
Seit Inkrafttreten der Datenschutzgrundverordnung vor fünf Jahren wurden für Meta insgesamt Bußgelder in Höhe von vier Milliarden Euro verhängt. Meta ist nun sechsmal in der Liste der zehn höchsten Bußgelder vertreten, was zu einer Gesamtstrafe von 2,5 Milliarden Euro führt.
Übrigens: Das höchste Bußgeld in Deutschland betrug 35 Millionen Euro und wurde im Jahr 2020 von der Modekette H&M wegen einer unzureichenden Rechtsgrundlage für die Datenverarbeitung in ihrem Onlineshop gezahlt.
15. Mai 2023
Ende der vergangenen Woche äußerte sich das europäische Parlament in einer Entschließung zu einem möglichen Angemessenheitsbeschluss für die USA. Bereits im Oktober 2022 hatte Präsident Biden die Exekutiv-Anordnung 14086 unterzeichnet. Diese Anordnung sollte neue Maßnahmen zu Schutz personenbezogener Daten in Kraft setzen (wir berichteten). Diese Anordnung ist außerdem ein wesentlicher Bestandteil der neuen transatlantischen Rahmenvereinbarung (sog. Trans-Atlantic Data Privacy Framework), die einen neuen Angemessenheitsbeschluss der europäischen Kommission für die USA ermöglichen soll.
Nun setzte sich das europäische Parlament in seinem Entschluss mit der Frage auseinander, ob die europäische Kommission auf der Grundlage der transatlantischen Rahmenvereinbarung einen neuen Angemessenheitsbeschluss annehmen könne. Dabei untersuchte das europäische Parlament insbesondere die Frage, ob die genannte Anordnung zur Sicherung des europäischen Datenschutzniveaus beitragen kann.
Erhebliche Bedenken
Insgesamt betonte das Parlament, dass die vorgelegten Änderungen der Exekutiv-Anordnung kein ausreichendes datenschutzrechtliches Niveaus erzielten. Aus Sicht des Parlamentes stelle insbesondere die in der Exekutiv-Anordnung vorgesehene Frist ein Problem dar. US-Behörden erhielten bis Oktober 2023 Zeit, um die datenschutzrechtlichen Vorgaben der Anordnung in der Praxis umzusetzen. Demnach könne die europäische Kommission keine abschließende Einschätzung zum kritischen Zugang der Behörden auf personenbezogene Daten europäischer Bürger abgeben.
Außerdem sei die gerichtliche Durchsetzung datenschutzrechtlicher Verstöße vor US-Gerichten durch EU-Bürger problematisch. Grundsätzlich sehe die Exekutiv-Anordnung neue Rechtsbehelfe, in Form eines sog. Datenschutz-Überprüfungsgerichtes vor. Demnach könnten betroffene Personen Datenschutzverstöße vor Gericht angreifen. Allerdings seien die entsprechenden Verfahren nicht öffentlich, sodass die betroffene Person lediglich darüber informiert werde, dass das Gericht keinen Datenschutzverstoß feststellte oder Abhilfemaßnahmen anordnete. Zusätzlich könne der Präsident die Entscheidungen des Datenschutz-Überprüfungsgerichtes aufheben. Damit sei die richterliche Unabhängigkeit fraglich.
Darüber hinaus kritisierte das europäische Parlament den Rechtscharakter der Anordnung. Bei der Anordnung handele es sich nicht um ein Bundesgesetz. Der Präsident könne die Anordnung jederzeit ändern und aufheben.
Zusätzlich betonte das europäische Parlament, dass die Exekutiv-Anordnung die Erhebung personenbezogener Daten und insbesondere die Erhebung des Inhaltes von Mitteilungen erlaube. Die Anordnung sehe grundsätzlich neue Schutzmaßnahmen gegen die Massenerhebung personenbezogener Daten vor. Allerdings solle nach ihren Regelungen keine vorherige Einwilligung in die Massenerhebung von Daten eingeholt werden. Infolgedessen zweifelt das europäische Parlament daran, dass hinreichende Garantien für den Fall einer Massenerhebung von Daten existierten.
Fazit
Abschließend betonte das europäische Parlament, dass die transatlantische Rahmenvereinbarung kein ausreichendes Schutzniveau biete. Es seien weitere Verhandlungen erforderlich. Entschließungen des europäischen Parlamentes sind rechtlich nicht bindend, sodass die Reaktion der europäischen Kommission abzuwarten bleibt.
26. April 2023
Dr. Jan Wacke, der leitende Beamte beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg, betont, dass Anwendungen im Einklang mit dem europäischen Rechtsrahmen und unseren europäischen Werten stehen sollten. Derzeit führt er Gespräche mit dem Betreiber von ChatGPT, bevor er eine Bewertung des Dienstes vornimmt. Für das Vertrauen der Bürger in den technologischen Fortschritt ist es unerlässlich, dass die eingesetzten Technologien die Bürgerrechte auch im digitalen Raum respektieren.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit ist auf das in San Francisco ansässige Unternehmen OpenAI zugegangenen und hat es zur Stellungnahme zu dem von ihm betriebenen Dienst ChatGPT aufgefordert.
Verpflichtungen für OpenAI aus der DSGVO
Im Rahmen der Datenschutz-Grundverordnung ist es erforderlich, dass Anbieter von Dienstleistungen, bei denen personenbezogene Daten verarbeitet werden, in der Lage sind, zu erklären, welche Daten zu welchem Zweck und auf welche Weise verarbeitet werden. Zusätzlich müssen angemessene technische und organisatorische Maßnahmen ergriffen werden, um die Sicherheit dieser Daten zu gewährleisten. Wenn jedoch sensible Daten wie Informationen zum Gesundheitszustand, zur sexuellen Identität, zur Weltanschauung oder zur familiären und finanziellen Situation verarbeitet werden, müssen spezielle Regelungen eingehalten werden. Außerdem müssen die Rechte der Betroffenen, wie beispielsweise das Recht auf Berichtigung oder Auskunft, respektiert werden.
Zusammenarbeit des LfDI mit dem EDSA
Im Rahmen eines datenschutzrechtlichen Aufsichtsverfahrens lässt sich der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg die Verarbeitung von personenbezogenen Daten im Zusammenhang mit ChatGPT erläutern. Die Aufsichtsbehörden der Länder haben die Fragen, die an OpenAI gerichtet sind, gemeinsam abgestimmt. Der Landesbeauftragte arbeitet auch auf europäischer Ebene intensiv in einer entsprechenden Arbeitsgruppe des Europäischen Datenschutz-Ausschusses (EDSA) mit, um ein einheitliches Vorgehen bei der Untersuchung von ChatGPT zu fördern. Diese Zuständigkeit ergibt sich aus Artikel 55 Absatz 1 DS-GVO in Verbindung mit § 40 BDSG, wenn keine Niederlassung von OpenAI in Europa genannt wird.
Aufklärung über künstliche Intelligenz durch LfDI
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg beschäftigt sich seit einiger Zeit mit KI-Anwendungen. Er berät verantwortliche Stellen in Baden-Württemberg, wo immer möglich, um Datenschutz und Digitalisierung zusammenzubringen und so eine nachhaltige technologische Entwicklung zu fördern. Im vergangenen Jahr hat der Landesbeauftragte eine Veranstaltungsreihe zum Thema Künstliche Intelligenz organisiert und zahlreiche Vorträge auf seinem PeerTube-Server zur Verfügung gestellt. Auch in diesem Jahr wird er im Oktober wieder Behörden, Unternehmen und BürgerInnen zu einer KI-Veranstaltungsreihe einladen, um über Anforderungen an eine bürgerfreundliche digitale Entwicklung und ihre gesellschaftlichen Auswirkungen zu sprechen und aufzuklären sowie zu diskutieren.
Der Landesbeauftragte berichtet in seinem Tätigkeitsbericht in Kapitel 1.5, ab Seite 23 ausführlich über Künstliche Intelligenz.
17. Februar 2023
Die Europäische Kommission hatte im Dezember 2022 den Entwurf eines Angemessenheitsbeschlusses für die Übermittlung personenbezogener Daten in die USA auf Grundlage des neuen „EU-US Datenschutzrahmens“ veröffentlicht. Am 14. Februar 2023 forderte nun der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments die Europäische Kommission in einer Stellungnahme dazu auf, den möglichen Angemessenheitsbeschluss auf der Grundlage des vorgeschlagenen EU-US-Datenschutzrahmens nicht anzunehmen. Der Ausschuss argumentierte, dass der Rahmen keine tatsächliche Gleichwertigkeit mit der Europäischen Union (EU) in Bezug auf das Datenschutzniveau herstelle.
Rechtsverletzungen und zu große Unsicherheit
In der Stellungnahme wird zunächst auf die Charta der Grundrechte der Europäischen Union und ihre Artikel über den Schutz der Privatsphäre und den Datenschutz verwiesen. Sie zitiert auch die Schrems I und II Rechtsprechung des Europäischen Gerichtshofes (EuGH), in denen die Abkommen Safe Harbour und Privacy Shield für ungültig erklärt wurden. In der Stellungnahme wird betont, dass der wahllose Zugriff von Nachrichtendiensten auf die elektronische Kommunikation das Grundrecht auf Vertraulichkeit der Kommunikation und das Wesen des Rechts auf einen Rechtsbehelf verletzte.
Darüber hinaus werden auch die jüngsten Entwicklungen in den USA erwähnt, darunter Präsident Bidens Executive Order 14086 (EO) über die Verbesserung der Sicherheitsvorkehrungen für die Aktivitäten der US-Signalaufklärung und die vom US-Justizminister erlassene Verordnung über das Datenschutzprüfungsgericht. Man erkenne an, dass die USA Schritte unternommen hätten, um Bedenken im Zusammenhang mit Überwachung und Datenschutz auszuräumen, betone jedoch, dass ein angemessenes Schutzniveau für personenbezogene Daten unerlässlich sei.
Die inhaltlichen Definitionen der Begriffe “Verhältnismäßigkeit” und “Notwendigkeit” in der Executive Order, die den Rahmen bildet, stimmten nicht mit ihrer Bedeutung und Auslegung in der EU überein. Darüber hinaus könne der US-Präsident diese ändern, wodurch sie unklar, ungenau und in ihrer Anwendung unvorhersehbar seien. Das Gericht für die Überprüfung des Datenschutzes sei nicht transparent, unabhängig oder unparteiisch und Entscheidungen würden nicht veröffentlicht oder den Beschwerdeführern zugänglich gemacht. Schließlich verfügten die Vereinigten Staaten auch nicht über ein Bundesdatenschutzgesetz. Dabei wurden bestehende datenschutzrechtliche Gesetze der Bundesstaaten sowie branchenspezifische Bundesgesetze allerdings außer Acht gelassen.
Fazit und Ausblick
Der Ausschuss kommt zu dem Schluss, dass der Datenschutzrahmen zwischen der EU und den USA keine tatsächliche Gleichwertigkeit des Schutzniveaus herstellt und fordert die Kommission auf, die Verhandlungen mit ihren US-amerikanischen Partnern fortzusetzen, um so einen Mechanismus zu schaffen, der eine solche Gleichwertigkeit gewährleistet und das angemessene Schutzniveau bietet, das nach dem Datenschutzrecht der Union und der Charta in der Auslegung durch den EuGH erforderlich ist. Er fordert die Kommission nachdrücklich auf, die Angemessenheitsentscheidung nicht anzunehmen. Es ist wahrscheinlich, dass sich das EU-Parlament dieser Haltung anschließen wird.
Die Aufforderung des Ausschusses an die Kommission, unter diesen Voraussetzungen keine neue Angemessenheitsentscheidung in Bezug auf die USA zu erlassen, ist nicht bindend. Die Einwände des Ausschusses und seine Forderung nach sinnvollen Reformen sind angesichts der Bedeutung des Schutzes personenbezogener Daten allerdings nachvollziehbar. Die vom Ausschuss hervorgehobenen Probleme müssen angegangen werden, um sicherzustellen, dass personenbezogene Daten in einem Abkommen zwischen der EU und den USA angemessen geschützt werden. Andernfalls gilt es als wahrscheinlich, dass auch dieses Abkommen der Rechtsprechung und Auslegung des EuGH nicht standhalten würde.
15. Dezember 2022
Die Europäische Kommission setzte am 13. Dezember 2022 den Grundstein für einen neuen Angemessenheitsbeschluss, der rechtssichere Datentransfers von der Europäischen Union (EU) in die Vereinigten Staaten von Amerika (USA) ermöglichen soll. In diesem Entwurf kommt sie zu dem Ergebnis, dass die USA ein angemessenes Datenschutzniveau bei solchen Datentransfers bieten.
Aller guten Dinge sind drei?
Dies ist bereits der dritte Versuch der Kommission, durch einen sogenannten Angemessenheitsbeschluss nach Art. 45 DSGVO Datentransfers in die USA zu erleichtern. Die bisherigen Vorgänger des „EU-US Data Privacy Framework“ waren 2016 und 2020 (wir berichteten) vor dem Europäischen Gerichtshof (EuGH) im Rahmen der Schrems-Urteile gescheitert. In diesen Entscheidungen hatte der EuGH geurteilt, dass das bei Transfers personenbezogener Daten in die USA kein angemessenes Schutzniveau gewährleistet sei. Der EuGH kritisierte insbesondere die Zugriffsmöglichkeiten von US-Geheimdiensten auf Daten von EU-Bürgern sowie mangelnde Rechtsschutzmöglichkeiten für betroffene Personen.
US-Präsident Biden erließ im Oktober eine sogenannte Executive Order, mit der US-Geheimdienste bei der Signalaufklärung zur Notwendigkeit und Verhältnismäßigkeit ihrer Datensammlungen verpflichtet werden. Zudem sollte danach auch ein Rechtsweg für Nicht-US-Bürger eröffnet werden, mit dem sie Einwände geltend machen können.
Was ist ein Angemessenheitsbeschluss?
Die Datenschutzgrundverordnung (DSGVO) sieht vor, dass personenbezogene Daten von der EU aus nur unter bestimmten Bedingungen in Drittstaaten übermittelt werden dürfen. Ziel ist es, dass das durch die DSGVO gewährleistete Schutzniveau nicht untergraben werden kann. Mit einem Angemessenheitsbeschluss wird einem Drittland attestiert, dass dieses Schutzniveau gegeben ist. Im Rahmen des Beschlusses werden die Rechtsvorschriften des Landes sowie die Rechtsschutzmöglichkeiten und die Datenschutzaufsicht berücksichtigt.
Zentrale Inhalte des Entscheidungsentwurfs
Die Kommission stellte zu Beginn des Entwurfs klar, dass die DSGVO kein identisches Schutzniveau der Drittstaaten voraussetze. Vielmehr müsse das System in seiner Gesamtheit das erforderliche Schutzniveau erreichen. Die Art und Weise, wie das Drittland personenbezogene Daten schütze, müsse keine Kopie der EU-Regeln sein. Zu berücksichtigen seien die Datenschutzregeln und deren effektive Umsetzung, Überwachung und Durchsetzung.
Wie schon der Vorgänger „Privacy Shield“ formuliert das EU-US Data Privacy Framework Prinzipien, die denen der DSGVO ähneln. Auch hält der Entwurf an dem Zertifizierungsmechanismus fest. So müssen sich US-Unternehmen, die sich daran beteiligen möchten, registrieren und zertifizieren. Mit der Zertifizierung, die jährlich erneuert werden muss, unterwirft sich das Unternehmen den Prinzipien des EU-US Data Privacy Framework.
Den Bedenken hinsichtlich der Zugriffsmöglichkeiten der US-Geheimdienste begegnet der Kommissionsentwurf mit einer Analyse des US-Rechts. Hier stützt die Kommission sich erheblich auf die genannte Executive Order. Anders als bei der vorherigen Rechtslage könne durch Einführung des Verhältnismäßigkeitsgrundsatzes sowie stärkerer Überprüfung bei sicherheitsdienstlichen Maßnahmen den Bedenken abgeholfen werden. Zudem könnten betroffene Personen eine Beschwerde beim „Civil Liberties Protection Officer“ erheben und dessen Entscheidungen vor dem „Data Protection Review Court“ angreifen.
Wie geht es nun weiter?
Der Kommissionsentwurf wird in einem nächsten Schritt vom Europäischen Datenschutzausschuss beurteilt. Dieser wird eine Stellungnahme abgeben, die jedoch für die Kommission nicht bindend ist. Im Anschluss erfolgt eine Stellungnahme durch einen Ausschuss aus Vertretern der Mitgliedstaaten. Zudem können das EU-Parlament sowie der Rat die Kommission dazu auffordern, die Verabschiedung des Angemessenheitsbeschlusses zu unterlassen. Für die Kommission ist allerdings keine dieser Stellungnahmen oder Interventionsversuche bindend.
Zu rechnen ist mit dem endgültigen Beschluss wohl frühestens im Frühjahr 2023. In der Wirtschaft wird er ungeduldig erwartet, schließlich werden gerade in den USA viele in der EU genutzte Dienste betrieben. Während sich der Verband der Internetwirtschaft zuversichtlich zeigt, ist Max Schrems von noyb, der auch die vorhergehenden Beschlüsse zu Fall gebracht hatte, skeptisch.
EU-Unternehmen, die mit US-Unternehmen Daten austauschen, müssen sich bis zum verbindlichen Angemessenheitsbeschluss noch mit den Standardvertragsklauseln als Rechtsgrundlage zufriedenstellen.
13. Februar 2018
Mittlerweile sollte zumindest unseren regelmäßigen Lesern bekannt sein, dass am 25. Mai 2018 umfangreiche neue Datenschutzvorschriften in Form der europäischen Datenschutzgrundverordnung (DSGVO) und dem neuen Bundesdatenschutzgesetz (BDSG-neu) in Kraft treten werden.
Und wenn Sie diese wiederholte Erinnerung jetzt als nervig empfinden, dann sind Sie damit nicht alleine!
Denn laut einer aktuellen repräsentativen Umfrage des Zentrums für Europäische Wirtschaftsforschung (ZEW) sind besonders deutsche Unternehmen genervt vom Datenschutz und fürchten Nachteile durch die bevorstehenden rechtlichen Neuerungen. So geht die Mehrheit der Befragten davon aus, dass die rechtskonforme Umsetzung die Geschäftsprozesse insgesamt verkomplizieren wird. Darüber hinaus wird die EU-DSGVO von deutschen Unternehmen überwiegend als zusätzliche Kosten- und Arbeitsbelastung empfunden.
Außerdem sehen europäische Unternehmen in den, im direkten Vergleich mit den USA und China, deutlich strengeren Regelungen zum Datenschutz teilweise einen deutlichen Wettbewerbsnachteil.
Doch zwingend ist diese Schlussfolgerung keineswegs. Denn gleichzeitig achten Verbraucher aber auch Unternehmen immer verstärkter auf den Schutz ihrer eigenen Daten. Und so können deutsche Unternehmen den vermeintlichen Nachteil auch ins Gegenteil verkehren und die vergleichsweise strengen Regelungen zum Datenschutz als Wettbewerbsvorteil gegenüber der außereuropäischen Konkurrenz betrachten. So auch Irene Bertschek, Leiterin des Forschungsbereichs “Digitale Ökonomie” am ZEW.
Weiteres interessantes Ergebnis der ZEW-Studie: Obwohl bei Nichteinhaltung der (neuen) datenschutzrechtlichen Vorgaben zum 25. Mai 2018 signifikant höhere Bußgelder drohen als bisher, hat sich mehr als die Hälfte der befragten Unternehmen der Informationswirtschaft nach eigenen Angaben noch gar nicht mit den Änderungen durch EU-DSGVO und BDSG-neu beschäftigt. Die ZEW-Umfrage bestätigt damit weitgehend die Ergebnisse von in diesem Zusammenhang durchgeführten Studien des IT-Branchenverbands “Bitkom” und des Cybersecurity-Anbieters “Watchguard”.
12. Oktober 2017
Datentransfers in Drittländer, die kein dem europäischen Standard vergleichbares Datenschutzniveau bieten, sind aus datenschutzrechtlicher Sicht als kritisch einzuordnen. Zu einem solchen Drittland gehören auch die USA. Bis zum Jahr 2015 konnte die Übermittlung in solche Drittländer durch das sogenannte Safe Harbor – Abkommen datenschutzrechtlich legitimiert werden. Durch ein Urteil des EuGH vom 6. Oktober 2015 wurde das Safe Harbor – Abkommen jedoch aufgehoben. Dies wurde damit begründet, dass das Abkommen nach dem EuGH einen Verstoß gegen die europäische Grundrechtecharta darstellt.
Nach dem Ende des Safe Harbor – Abkommens konnte eine Übertragung personenbezogener Daten in die USA nur noch durch die Verwendung von EU-Standardvertragsklauseln oder aufgrund des 2016 als Nachfolger des Safe Harbour – Abkommens beschlossenen EU-US-Privacy Shield legitimiert werden. Kernstück des Privacy Shield ist die Verpflichtung zur Selbstzertifizierung von US-Unternehmen, mit der sichergestellt werden soll, dass gewisse Datenschutzanforderungen eingehalten werden. Daneben wurden durch das Privacy Shield für betroffene EU-Bürger erstmals Rechtsschutzmöglichkeiten gegen Unternehmen mit Sitz in den USA und so Klagemöglichkeiten geschaffen. Jedoch legte bereits Ende Oktober 2016 die irische Nichtregierungsorganisation Digital Rights Ireland Klage vor dem EuGH gegen den Privacy Shield ein und auch mit den Standardvertragsklauseln wird sich der EuGH nun beschäftigen müssen.
Angestoßen durch eine Klage des Anwalts Max Schrems gegen den Datentransfer an Facebook aufgrund der Verwendung von Standardvertragsklauseln hat sich der irische oberste Gerichtshof dazu entschlossen, verschiedene diesbezügliche Fragen zur Vorlage an den EuGH zur Klärung weiterzuleiten. Die irische High Court-Richterin Carolin Costello führte in ihrem Beschluss unter anderem an, dass es begründete Hinweise darauf gebe, dass es in den USA an wirksamen Maßnahmen zum Schutz der Daten von EU-Bürgern fehlen würde. Insbesondere der Rechtschutz für europäische Bürger in den USA sei nur fragmentarisch ausgebildet und die US-Geheimdienste hätten fast unbegrenzte Zugriffsmöglichkeiten auf die Daten.
Nach der Vorlage der konkreten Rechtsfragen an den EuGH wird abzuwarten sein, wie der EuGH die rechtliche Zulässigkeit der Standardvertragsklauseln beurteilt. Sollte der EuGH zum Ergebnis der Unzulässigkeit der Standardvertragsklauseln kommen, dürfte dies viele Unternehmen hinsichtlich der Legitimität von Datentransfers in die USA oder sonstige Drittländer vor ernsthafte Probleme stellen.
6. März 2017
Die EU-Kommissarin für Justiz, Verbraucherschutz und Gleichstellung Jourová erklärte in einem Interview mit der Nachrichtenagentur Bloomberg, dass sie nicht zögern werde, das erst Mitte 2016 in Kraft getretene Privacy Shield Abkommen außer Kraft zu setzen, sobald erhebliche Änderungen durch die neue US-Regierung die geltende Vereinbarung beintächtigten.
Sie werde dabei “nicht zögern, dafür stehe zu viel auf dem Spiel.”
Die EU-Kommissarin hält die Unvorhersehbarkeit der Regierung unter dem US-Präsidenten Trump für besorgniserregend und drängt auf eine schnelle Bestätigung der Regeln des Privacy Shields.
Das US-Justizministerium hat zwar auf eine Anfrage der EU-Kommission am 22. Februar 2017 erklärt, dass die USA an den bisherigen Vereinabrungen des Privacy Shield festhalten werden. Die EU-Kommissarin wird jedoch noch in diesem Monat in Washington im Dialog klären, ob und in wie weit EU-Bürger von dem Dekret des US-Präsidenten betroffen sein werden.
