Schlagwort: Datentransfer Drittländer
15. Dezember 2022
Die Europäische Kommission setzte am 13. Dezember 2022 den Grundstein für einen neuen Angemessenheitsbeschluss, der rechtssichere Datentransfers von der Europäischen Union (EU) in die Vereinigten Staaten von Amerika (USA) ermöglichen soll. In diesem Entwurf kommt sie zu dem Ergebnis, dass die USA ein angemessenes Datenschutzniveau bei solchen Datentransfers bieten.
Aller guten Dinge sind drei?
Dies ist bereits der dritte Versuch der Kommission, durch einen sogenannten Angemessenheitsbeschluss nach Art. 45 DSGVO Datentransfers in die USA zu erleichtern. Die bisherigen Vorgänger des „EU-US Data Privacy Framework“ waren 2016 und 2020 (wir berichteten) vor dem Europäischen Gerichtshof (EuGH) im Rahmen der Schrems-Urteile gescheitert. In diesen Entscheidungen hatte der EuGH geurteilt, dass das bei Transfers personenbezogener Daten in die USA kein angemessenes Schutzniveau gewährleistet sei. Der EuGH kritisierte insbesondere die Zugriffsmöglichkeiten von US-Geheimdiensten auf Daten von EU-Bürgern sowie mangelnde Rechtsschutzmöglichkeiten für betroffene Personen.
US-Präsident Biden erließ im Oktober eine sogenannte Executive Order, mit der US-Geheimdienste bei der Signalaufklärung zur Notwendigkeit und Verhältnismäßigkeit ihrer Datensammlungen verpflichtet werden. Zudem sollte danach auch ein Rechtsweg für Nicht-US-Bürger eröffnet werden, mit dem sie Einwände geltend machen können.
Was ist ein Angemessenheitsbeschluss?
Die Datenschutzgrundverordnung (DSGVO) sieht vor, dass personenbezogene Daten von der EU aus nur unter bestimmten Bedingungen in Drittstaaten übermittelt werden dürfen. Ziel ist es, dass das durch die DSGVO gewährleistete Schutzniveau nicht untergraben werden kann. Mit einem Angemessenheitsbeschluss wird einem Drittland attestiert, dass dieses Schutzniveau gegeben ist. Im Rahmen des Beschlusses werden die Rechtsvorschriften des Landes sowie die Rechtsschutzmöglichkeiten und die Datenschutzaufsicht berücksichtigt.
Zentrale Inhalte des Entscheidungsentwurfs
Die Kommission stellte zu Beginn des Entwurfs klar, dass die DSGVO kein identisches Schutzniveau der Drittstaaten voraussetze. Vielmehr müsse das System in seiner Gesamtheit das erforderliche Schutzniveau erreichen. Die Art und Weise, wie das Drittland personenbezogene Daten schütze, müsse keine Kopie der EU-Regeln sein. Zu berücksichtigen seien die Datenschutzregeln und deren effektive Umsetzung, Überwachung und Durchsetzung.
Wie schon der Vorgänger „Privacy Shield“ formuliert das EU-US Data Privacy Framework Prinzipien, die denen der DSGVO ähneln. Auch hält der Entwurf an dem Zertifizierungsmechanismus fest. So müssen sich US-Unternehmen, die sich daran beteiligen möchten, registrieren und zertifizieren. Mit der Zertifizierung, die jährlich erneuert werden muss, unterwirft sich das Unternehmen den Prinzipien des EU-US Data Privacy Framework.
Den Bedenken hinsichtlich der Zugriffsmöglichkeiten der US-Geheimdienste begegnet der Kommissionsentwurf mit einer Analyse des US-Rechts. Hier stützt die Kommission sich erheblich auf die genannte Executive Order. Anders als bei der vorherigen Rechtslage könne durch Einführung des Verhältnismäßigkeitsgrundsatzes sowie stärkerer Überprüfung bei sicherheitsdienstlichen Maßnahmen den Bedenken abgeholfen werden. Zudem könnten betroffene Personen eine Beschwerde beim „Civil Liberties Protection Officer“ erheben und dessen Entscheidungen vor dem „Data Protection Review Court“ angreifen.
Wie geht es nun weiter?
Der Kommissionsentwurf wird in einem nächsten Schritt vom Europäischen Datenschutzausschuss beurteilt. Dieser wird eine Stellungnahme abgeben, die jedoch für die Kommission nicht bindend ist. Im Anschluss erfolgt eine Stellungnahme durch einen Ausschuss aus Vertretern der Mitgliedstaaten. Zudem können das EU-Parlament sowie der Rat die Kommission dazu auffordern, die Verabschiedung des Angemessenheitsbeschlusses zu unterlassen. Für die Kommission ist allerdings keine dieser Stellungnahmen oder Interventionsversuche bindend.
Zu rechnen ist mit dem endgültigen Beschluss wohl frühestens im Frühjahr 2023. In der Wirtschaft wird er ungeduldig erwartet, schließlich werden gerade in den USA viele in der EU genutzte Dienste betrieben. Während sich der Verband der Internetwirtschaft zuversichtlich zeigt, ist Max Schrems von noyb, der auch die vorhergehenden Beschlüsse zu Fall gebracht hatte, skeptisch.
EU-Unternehmen, die mit US-Unternehmen Daten austauschen, müssen sich bis zum verbindlichen Angemessenheitsbeschluss noch mit den Standardvertragsklauseln als Rechtsgrundlage zufriedenstellen.
17. August 2022
Die Vergabekammer Baden-Württemberg hat mit einem nicht rechtskräftigen Beschluss vom 13. Juli 2022 (Az. 1 VK 23/22) für Diskussionen gesorgt. Sie ist der Auffassung, dass unzulässige Datenexporte auch dann vorliegen, wenn die entsprechende Infrastruktur durch eine europäische Tochtergesellschaft betrieben wird, welche zu einem amerikanischen Konzern gehört.
1. Sachverhalt
In einem Ausschreibungsverfahren streiten sich zwei Konkurrentinnen um einen Auftrag. Eine Konkurrentin fordert hierin den Ausschluss der anderen aus dem Vergabeverfahren, da diese durch den Einsatz eines Rechenzentrumsbetreibers, dessen Konzernunternehmen in Drittstaaten ansässig ist, gegen die Bedingungen im Lastenheft im Kontext „Anforderungen an IT-Sicherheit und Datenschutz“ verstoße. Die Bedingungen lauten u.a. wie folgt:
“(…)
– Erfüllung der Anforderungen aus der DS-GVO und dem BDSG (…)
– Daten werden ausschließlich in einem EU-EWR Rechenzentrum verarbeitet bei dem keine Subdienstleister / Konzernunternehmen in Drittstaaten ansässig sind
(…)”
2. Vergabekammer Baden-Württemberg sieht unzulässige Übermittlung
Unter Drittländern versteht man Länder, die weder Mitglied der Europäischen Union noch des Europäischen Wirtschaftsraums (EWR) sind, z.B. die USA, Israel und die Schweiz. Durch die Ansässigkeit des Rechenzentrumsbetreibers in den USA sieht die Vergabekammer eine unzulässige Übermittlung in die USA. So genügt nach ihrer Auffassung schon die lediglich vorhandene Möglichkeit, auf personenbezogene Daten zugreifen zu können, unabhängig davon, ob ein solcher Zugriff am Ende erfolgt oder nicht.
3. Ausblick
Die Ansicht der Vergabekammer könnte möglicherweise eine richtungsweisende Entscheidung im Kontext einer bisher noch ungeklärten Frage darstellen. Können US-Tech-Anbieter weiterhin über eine europäische Tochtergesellschaft Dienstleistungen erbringen oder könnte dies trotz der Verwendung von Standardvertragsklauseln (Standarddatenschutzklauseln) zukünftig unzulässig sein? Es bleibt demnach spannend.
31. März 2022
Am 25. März 2022 haben sich die Vereinigten Staaten und die Europäische Kommission mit einer gemeinsamen Erklärung im Grundsatz auf einen neuen transatlantischen Datenschutzrahmen geeinigt. Dieser soll möglicherweise bald den vom Europäischen Gerichtshof verworfenen Privacy-Shield-Rahmen ablösen.
Die Entscheidung ist das Ergebnis von mehr als einem Jahr intensiver Verhandlungen zwischen den USA und der EU. Die Hoffnungen sind groß, dass dieser neue Rahmen eine dauerhafte und rechtssichere Grundlage für den Datenverkehr zwischen der EU und den USA bildet.
Das Weiße Haus erklärte, dass der transatlantische Datenschutzrahmen “den transatlantischen Datenverkehr fördern und die Bedenken ausräumen wird, die der Gerichtshof der Europäischen Union geäußert hat, als er im Jahr 2020 die Angemessenheitsentscheidung der Kommission, die dem EU-US-Datenschutzschild zugrunde lag, für ungültig erklärte”.
Wie das Privacy Shield ist die Grundlage dieses neuen Rahmens die Selbstzertifizierung gegenüber dem US-Handelsministerium. Für Datenexporteure in der EU ist es dann von entscheidender Bedeutung sicherzustellen, dass ihre Datenimporteure in den USA nach dem neuen Rahmenwerk zertifiziert sind.
Durch den Rahmen soll außerdem neben einer effektiveren Aufsicht über die Geheimdienste ein mehrstufiges Rechtsbehelfssystem eingerichtet werden. Dieses schließt einen „Independent Data Protection Review Court“ ein, der die Befugnis haben soll, von EU-Bürgern erhobene Ansprüche gegen Überwachungsmaßnahmen der Geheimdienste zu beurteilen und erforderlichenfalls Abhilfemaßnahmen in rechtlich bindender Weise anzuordnen.
Aus mehreren Gründen steht diese Entscheidung jedoch auf wackeligen Beinen. Erstens handelt es sich bei der Entscheidung zunächst nur um eine politische Entscheidung im Grundsatz. Weder sind Details geklärt noch hat die Europäische Kommission den Prozess zu einer Angemessenheitsentscheidung anlaufen lassen. Entsprechend der Ankündigungen des Datenschutzaktivisten Max Schrems und noyb dürfte sich zudem auf Klagen vor den EU-Gerichten einzustellen sein. Es bleibt daher abzuwarten, ob dieser neue Rahmen den erhofften Abschluss zum Thema transatlantische Datenströme bringen wird. Bis dahin müssen Unternehmen weiterhin auf die Standardvertragsklauseln und zusätzliche Maßnahmen für ein angemessenes Datenschutzniveau setzen.
9. Dezember 2021
Am 19.11.2021 hat der Europäische Datenschutzausschuss (EDSA) neue Leitlinien zum Zusammenspiel zwischen der Anwendung von Art. 3 DSGVO und den Bestimmungen über internationale Datenübermittlungen im Kapitel V (Art. 44 – 50 DSGVO) veröffentlicht. Die Leitlinien sollen den für die Verarbeitung Verantwortlichen und den Auftragsverarbeitern in der EU in Zukunft dabei helfen, festzustellen, ob eine Verarbeitung einen internationalen Datentransfer darstellt und somit besondere Pflichten auslöst. Vor allem seit dem Urteil des EuGH vom 16.7.2020 zum EU-US-Privacy-Shield in der Rechtssache Schrems II ist das Schaffen von Rechtsklarheit in diesem Bereich besonders bedeutsam.
Allgemeine Grundsätze der Datenübermittlung gemäß Art. 44 ff. DSGVO
Nach Art. 44 DSGVO ist eine Übermittlung personenbezogener Daten für deren Verarbeitung nur zulässig, wenn Verantwortliche und Auftragsverarbeiter die Bedingungen aus Art. 44 bis 50 DSGVO einhalten. Datentransfers in Länder, für die kein Angemessenheitsbeschluss nach Art. 45 DSGVO vorliegt, können dazu führen, dass Verantwortliche oder Auftragsverarbeiter zusätzliche Schutzmaßnahmen ergreifen müssen. Fraglich ist, wann von einer Übermittlung personenbezogener Daten auszugehen ist, denn hierzu enthält die DSGVO keine Konkretisierungen. Vor diesem Hintergrund widmen sich die Leitlinien dem Zusammenspiel von Art. 3 DSGVO und Kapitel V der DSGVO.
Die Leitlinien stellen für die Ermittlung, ob ein solcher Transfer personenbezogener Daten an ein Drittland oder eine internationale Organisation vorliegt, drei Kriterien auf:
1. Der Datenexporteur unterliegt den Vorschriften der DSGVO. Dies ergibt sich aus Art. 3 DSGVO. Der EDSA verweist hierbei konkretisierend auf die Leitlinien 3/2018 zum territorialen Anwendungsbereich der DSGVO hin.
2. Der Datenexporteur übermittelt die personenbezogenen Daten an den Datenimporteur oder stellt sie ihm zur Verfügung. Relevant ist dabei, dass der EDSA bei diesem Kriterium betont, dass, wenn die Erhebung von Daten direkt bei betroffenen Personen in der EU auf deren eigene Initiative hin erfolgt, nicht von einem Datentransfer im Sinne der Art. 44 bis 50 DSGVO auszugehen ist. Denn hierbei gebe es keinen veranlassenden „Exporteur“.
3. Der Datenimporteur befindet sich (geografisch) in einem Drittland oder ist eine internationale Organisation.
Der EDSA macht deutlich, dass der Exporteur nicht in der EU oder dem EWR ansässig sein muss. Wichtig ist lediglich, dass der Empfänger der Daten (der Importeur) zwingend in einem Drittland ansässig sein muss. Für eine Anwendung der Vorschriften in Kapitel V der Datenschutz Grundverordnung ist es gerade keine Voraussetzung, dass der Exporteur unbedingt in der EU ansässig sein muss.
Liegen die Kriterien sodann gemeinsam vor, haben sich Verantwortliche und Auftragsverarbeiter an die besonderen Pflichten für Datentransfers in Art. 44 bis 50 DSGVO zu halten. Ferner nennt der EDSA bespielhaft weitere Sicherungsinstrumente wie den Rückgriff auf Standardvertragsklauseln und Zertifizierungsmechanismen. Die Leitlinien sollen insbesondere mehr Normenklarheit für Anwender und mehr Kohärenz innerhalb der Auslegung durch die verschiedenen nationalen Datenschutzbehörden in der EU schaffen. Die öffentliche Konsultation läuft bis Ende Januar 2022.
12. November 2018
Personenbezogenen Daten dürfen vom Verantwortlichen oder Auftragsverarbeiter nur an ein Drittland übermittelt werden, wenn
-ein Angemessenheitsbeschluss der Kommission für dieses Drittland vorliegt oder
-geeignete Garantien vorliegen
Solche Garantien können sein:
-verbindliche interne Datenschutzvorschriften gemäß Art. 47 DSGVO
-Standarddatenschutzklauseln die von der Kommission nach Art. 93 Abs. 2 DSGVO erlassen oder genehmigt wurden
-genehmigte Verhaltensregeln gemäß Art. 40 DSGVO
-genehmigte Zertifizierung gemäß Art. 42 DSGVO
-genehmigte Vertragsklauseln gemäß Art. 46 Abs. 3 lit. a DSGVO
Seit Einführung der DSGVO hat die Kommission keine Standarddatenschutzklauseln erlassen. Die bisher gültigen Standarddatenschutzklauseln behalten aber gemäß Art. 46 Abs. 5 S. 2 DSGVO bis auf Weiteres ihre Gültigkeit.
Es gibt Standardvertragsklauseln für die Übermittlung von personenbezogenen Daten an einen Verantwortlichen außerhalb der EU / EWR und es gibt Standardvertragsklauseln für die Übermittlung von personenbezogenen Daten an einen Auftragsverarbeiter außerhalb der EU / EWR. Diese sind unter folgendem Link abrufbar:
https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en
Werden diese Standarddatenschutzklauseln unverändert verwendet, ist eine Übermittlung der personenbezogenen Daten ohne vorherige Genehmigung durch eine Aufsichtsbehörde zulässig.
25. Juli 2018
Von der Datenschutzgrundverordnung (DSGVO) sind nicht nur Unternehmen im EU-Raum betroffen, sondern auch solche, die sich in Drittländern befinden.
Grundsätzlich wird in der DSGVO der einheitliche Schutz für den Umgang mit personenbezogenen Daten in der Europäischen Union geregelt. Jedes Unternehmen, das personenbezogene Daten von EU-Bürgern verarbeitet, muss sich an die Regelungen der DSGVO halten. Hat ein Unternehmen den Sitz außerhalb der EU (aus Datenschutzsicht sogenannte Drittländer), gilt die DSGVO gleichermaßen, sobald diese Unternehmen Daten von Bürgern der EU-Mitgliedsstaaten verarbeiten oder als Auftragsverarbeiter in Vertragsbeziehungen zu EU-Unternehmen stehen.
Neu im Vergleich zur bisherigen Rechtslage ist das sogenannte Marktortprinzip im Rahmen des territorialen Anwendungsbereichs der DSGVO. Art. 3 Abs. 2 DSGVO (räumlicher Anwendungsbereich) besagt, dass die Verordnung Anwendung findet, sobald ein nicht in der Union niedergelassener Verantwortlicher oder Auftragsverarbeiter Daten von Personen verarbeitet, die sich in der EU befinden.
Das bedeutet, dass unter anderem Betreiber von Online-Portalen, Exporteure, Versandhändler sowie jegliche Dienstleister, die Leistungen in der EU anbieten und dabei personenbezogene Daten verarbeiten, betroffen sind. Das Marktortprinzip gilt demnach auch für Unternehmen, die weder einen Sitz noch eine Niederlassung in der EU haben, jedoch Personen in der EU entgeltlich oder unentgeltlich Waren oder Dienstleistungen anbieten oder deren Verhalten beobachten (Profiling, Tracking).
12. Januar 2018
Die Europäische Kommission verkündete in einer Mitteilung vom 09.01.2018, dass das Vereinigte Königreich ab dem 30.03.2019 (00:00 Uhr CET) – vorbehaltlich eines anderslautenden Datums in einem Austrittsabkommen – als “Drittland” im Sinne der Datenschutz-Grundverordnung (DSGVO) einzustufen ist. Durch den “Brexit” wird das Primär- und Sekundärrecht der Europäischen Union zu diesem Datum nicht mehr anwendbar sein. Großbritannien und Nordirland sind datenschutzrechtlich damit so zu behandeln wie die USA, Russland oder China.
Während die Einstufung als Drittland als Konsequenz des Ausstiegs des Vereinigten Königreichs aus der EU noch zu erwarten war, vermag die Aussage der Kommission jene Beobachter zu enttäuschen, die auf eine Anerkennung des Datenschutzniveaus im Vereinigten Königreich hofften. Immerhin gilt die DSGVO dort bis zum Austritt aus der EU. Eine automatische Anerkennung des Schutzniveaus gibt es jedoch nicht.
Was bedeutet es für die Praxis, wenn Daten nach dem Stichtag in das Vereinigte Königreich übermittelt werden sollen? Mangels Angemessenheitsbeschluss der Kommission sind die Instrumente des Art. 46 DSGVO anzuwenden. Verantwortliche und Autragsverarbeiter werden wohl vorrangig auf EU-Standardvertragsklauseln zurückgreifen. Weiter könnten genehmigte Verhaltensregeln (“Code of Conduct”) und Zertifizierungsmechanismen als Übermittlungsgrundlage dienen.
Unternehmen in der EU sollten sich also frühzeitig um die rechtssichere Ausgestaltung ihrer Datentransfers in das Vereinigte Königreich bemühen.
12. Oktober 2017
Datentransfers in Drittländer, die kein dem europäischen Standard vergleichbares Datenschutzniveau bieten, sind aus datenschutzrechtlicher Sicht als kritisch einzuordnen. Zu einem solchen Drittland gehören auch die USA. Bis zum Jahr 2015 konnte die Übermittlung in solche Drittländer durch das sogenannte Safe Harbor – Abkommen datenschutzrechtlich legitimiert werden. Durch ein Urteil des EuGH vom 6. Oktober 2015 wurde das Safe Harbor – Abkommen jedoch aufgehoben. Dies wurde damit begründet, dass das Abkommen nach dem EuGH einen Verstoß gegen die europäische Grundrechtecharta darstellt.
Nach dem Ende des Safe Harbor – Abkommens konnte eine Übertragung personenbezogener Daten in die USA nur noch durch die Verwendung von EU-Standardvertragsklauseln oder aufgrund des 2016 als Nachfolger des Safe Harbour – Abkommens beschlossenen EU-US-Privacy Shield legitimiert werden. Kernstück des Privacy Shield ist die Verpflichtung zur Selbstzertifizierung von US-Unternehmen, mit der sichergestellt werden soll, dass gewisse Datenschutzanforderungen eingehalten werden. Daneben wurden durch das Privacy Shield für betroffene EU-Bürger erstmals Rechtsschutzmöglichkeiten gegen Unternehmen mit Sitz in den USA und so Klagemöglichkeiten geschaffen. Jedoch legte bereits Ende Oktober 2016 die irische Nichtregierungsorganisation Digital Rights Ireland Klage vor dem EuGH gegen den Privacy Shield ein und auch mit den Standardvertragsklauseln wird sich der EuGH nun beschäftigen müssen.
Angestoßen durch eine Klage des Anwalts Max Schrems gegen den Datentransfer an Facebook aufgrund der Verwendung von Standardvertragsklauseln hat sich der irische oberste Gerichtshof dazu entschlossen, verschiedene diesbezügliche Fragen zur Vorlage an den EuGH zur Klärung weiterzuleiten. Die irische High Court-Richterin Carolin Costello führte in ihrem Beschluss unter anderem an, dass es begründete Hinweise darauf gebe, dass es in den USA an wirksamen Maßnahmen zum Schutz der Daten von EU-Bürgern fehlen würde. Insbesondere der Rechtschutz für europäische Bürger in den USA sei nur fragmentarisch ausgebildet und die US-Geheimdienste hätten fast unbegrenzte Zugriffsmöglichkeiten auf die Daten.
Nach der Vorlage der konkreten Rechtsfragen an den EuGH wird abzuwarten sein, wie der EuGH die rechtliche Zulässigkeit der Standardvertragsklauseln beurteilt. Sollte der EuGH zum Ergebnis der Unzulässigkeit der Standardvertragsklauseln kommen, dürfte dies viele Unternehmen hinsichtlich der Legitimität von Datentransfers in die USA oder sonstige Drittländer vor ernsthafte Probleme stellen.