Schlagwort: Drittlandsübermittlung

Droht zum Jahreswechsel der Datenschutz-Brexit?

22. Oktober 2020

Die Regierung des Vereinigten Königreichs gerät zunehmend unter Druck, eine Regelung über den Datentransfer mit der EU zu erreichen. Gelingt dies nicht, droht das UK zum 31. Dezember dieses Jahres zum unsicheren Drittland zu werden. Verantwortliche und Auftragsverarbeiter, die Daten in das UK übermitteln, müssten dann selbst sicherstellen, dass das Schutzniveau der DSGVO für natürliche Personen nicht untergraben wird.

Am 31. Januar 2020 trat das Vereinigte Königreich aus der EU aus. Das Austrittsabkommen sieht eine Übergangsphase bis zum 31. Dezember 2020 vor, nach der das UK alle EU-Regeln einhält und damit auch die Vorgaben der DSGVO. Nach Ablauf der Übergangsphase wird das UK nach der DSGVO zum EU-Drittland. Datenübermittlungen in Drittländer sind nach den Art. 44 ff. DSGVO nur unter bestimmten weiteren Voraussetzungen zulässig. Für die Zulässigkeit kommt es darauf an, ob in dem Drittland ein angemessenes Schutzniveau sichergestellt werden kann.

Die EU-Kommission kann in sogenannten Angemessenheitsbeschlüssen feststellen, dass in einem Drittland ein angemessenes Schutzniveau besteht. Datenexporteure und Datenimporteure können sich bei Datenübermittlungen in das betreffende Land dann auf diesen Angemessenheitsbeschluss berufen. Aktuell führt die EU-Kommission eine Bewertung der Datenschutzrechtslandschaft des Vereinigten Königreichs durch und evaluiert, ob sie einen solchen Angemessenheitsbeschluss erlassen kann. Seit März werden dafür Gespräche geführt und Dokumente vorgelegt.

Am 13.10.2020 veröffentlichte das britische Oberhaus einen Bericht über die zukünftigen Beziehungen des Vereinigten Königreichs zur EU. Dem Bericht zu Folge sieht das Oberhaus die Gefahr, dass die EU-Kommission keinen Angemessenheitsbeschluss für das UK erlassen wird. Deswegen fordert es, dass die britische Regierung auf einen baldigen Abschuss der Bewertung der EU-Kommission drängt.

Grund zur Sorge besteht durchaus. Denn so äußerte Věra Jourová, Vizepräsidentin der EU-Kommission und Kommissarin für Werte und Transparenz, Zweifel, ob das Vereinigte Königreich Änderungen in seiner nationalen Gesetzgebung durchführen wird, die von der Linie der DSGVO abweichen.

Auch bereits existierenden Gesetze des UK könnten dem Angemessenheitsbeschluss entgegenstehen. Der EuGH entschied erst am 6. Oktober 2020 (auch) über Überwachungsgesetze des UK. Laut dem EuGH sind die in den Gesetzen vorgeschriebenen flächendeckenden und pauschalen Speicherungen von Internet- und Verbindungsdaten nicht zulässig. Ausnahmen seien nur möglich, wenn es um die Bekämpfung schwerer Kriminalität oder den konkreten Fall einer Bedrohung der nationalen Sicherheit gehe.

Kommt es nicht zum Erlass eines Angemessenheitsbeschlusses, müssen Verantwortliche und Auftragsverarbeiter, die Daten in dieses Drittland übermitteln wollen, selbst geeignete Garantien zur Gewährleistung eines angemessenen Schutzniveaus vorsehen, damit Datenübermittlungen in das Drittland zulässig sind. Als geeignete Garantien kommen Binding Corporate Rules, die Verwendung von Standardvertragsklauseln der EU-Kommission (SCC), genehmigte Verhaltensregeln und genehmigte Zertifizierungsmechanismen und einzeln ausgehandelte Vertragsklauseln in Betracht.

In Bezug auf Standardvertragsklauseln bei Datentransfers in die USA hat der EuGH festgestellt, dass diese wegen der Überwachungsgesetze in den USA ohne weitere Maßnahmen nicht ausreichen, ein angemessenes Datenschutzniveau sicherzustellen. Eine ähnliche Situation könnte sich schlimmmstenfalls zum Jahreswechsel auch bei dem Vereinigten Königreich einstellen.

Facebook: Sind die Tage der Datenübermittlungen in die USA angezählt?

10. September 2020

Am 16.06.2020 erklärte der EuGH das Privacy Shield für ungültig und adressierte in diesem Zuge auch Datenübermittlung, die auf der Grundlage von Standardvertragsklauseln (SCCs) legitimiert werden sollen. Der Europäische Datenschutzausschuss und die deutsche Datenschutzkonferenz stellten klar, dass in jeden Einzelfall geprüft werden muss, ob ein angemessenes Datenschutzniveau im Drittland sichergestellt ist oder ob dem mit zusätzlichen Schutzmaßnahmen begegnet werden kann. Im Hinblick auf die weitreichenden Zugriffsmöglichkeiten der US-amerikanischen Sicherheitsdienste bezweifelte der EuGH, dass beim Datentransfer in die USA ein angemessenes Schutzniveaus gewährleistet werden kann.

Seitdem reißen die News rund um das Thema nicht ab. Vor kurzem reichte die von Max Schrems ins Leben gerufene Datenschutzorganisation „noyb“ 101 Beschwerden gegen europäische Unternehmen bei den jeweils zuständigen Aufsichtsbehörden ein. Herr Schrems führte das angesprochene Verfahren vor dem EuGH. Die Beschwerden richten sich gegen Unternehmen, die Google Analytics oder Facebook Connect verwenden, und ausweislich der Darstellungen auf den Webseiten für die Drittlandübermittlungen keine ausreichenden Maßnahmen ergriffen haben. Der Europäische Datenschutzausschuss richtete eine Task Force ein, um bei den Beschwerden ein einheitliches Vorgehen zu gewährleisten.

Nun erhält Facebook weiteren Gegenwind aus Irland: Wie Facebooks Kommunikationschef Clegg in einem Blogpost berichtet, hat die irische Datenschutzaufsichtsbehörde eine Untersuchung zu den Datentransfers von Facebook zwischen der EU und den USA eingeleitet und darauf hingewiesen, dass die SCCs nicht verwendet werden könnten. Wie die US-amerikansische Zeitung Politico berichtet, stellte die irische Datenschutzbehörden Facebook bereits Ende August eine vorläufige Anordnung zur Aussetzung der Datentransfers von der EU in die USA auf Grundlage der SCCs zu und bat um Antwort des Unternehmens.

Spannend sind in diesem Zusammenhang die Aussagen von noyb: Sie verweisen auf einen Brief, in dem sich Facebook auf eine andere Rechtsgrundlage für die Übermittlung beruft, die nicht Gegenstand der vorläufigen Anordnung ist (siehe hier auf Seite 3-4). Die Übermittlung soll danach rechtmäßig sein, weil sie zur Erfüllung eines zwischen den Facebook-Nutzern und Facebook geschlossenen Vertrages erforderlich sei. Max Schrems ist hingegen der Ansicht, „die angebliche Anordnung gegen Facebook [sei] ein weiterer Schritt, der das Problem absichtlich nicht lösen“ wird. noyb hat angekündigt, einen Antrag auf eine einstweilige Verfügung einzureichen, um sicherzustellen, dass die DPC hinsichtlich aller rechtlichen Grundlagen für Datenübermittlungen tätig wird.

Eine endgültige Entscheidung der der irischen Behörde steht noch aus. Politico geht davon aus, dass mit einer solchen frühestens im Oktober gerechnet werden kann, nachdem Facebook auf die Anordnung geantwortet hat und die Entscheidung mit anderen EU Aufsichtsbehörden koordiniert wurde.

Bis dahin will sich Facebook nach Aussage des Kommunikationschefs Clegg „weiterhin Daten in Übereinstimmung mit dem jüngsten EuGH-Urteil übermitteln bis weitere Handlungsanweisungen erfolgen“. Er weist auf die Gefahren für die europäische Wirtschaft hin, wenn ein internationaler Datentransfer behindert wird. Clegg betont, dass Facebook die Bemühungen der Europäischen Kommission und dem US-amerikanischen Handelsministerium um ein „Privacy Shield enhanced“ begrüßt.

Auswirkungen des Brexit auf den Datenschutz

17. Januar 2019

Nachdem der von Premierministerin Theresa May vorgelegte Entwurf eines Vertrags zur Regelung des Brexit am 15. Januar durch eine deutliche Mehrheit der Parlamentarier abgelehnt wurde, rückt das Szenario eines ungeordneten Austritts des Vereinigten Königreichs aus der Europäischen Union wieder in greifbare Nähe. Neben vielfältigen wirtschaftlichen und europarechtlichen Fragestellungen besitzt der Brexit auch eine konkret datenschutzrechtliche Komponente.

Mit dem für den 29.03.2019 angekündigten Austritt des Vereinigten Königreichs aus der Europäischen Union ist das Vereinigte Königreich ohne entsprechende Übergangsregeln ab diesem Zeitpunkt als Drittland im Sinne der DSGVO anzusehen. Dies bestätigte auch Prof. Dr. Dieter Kugelmann, Landesdatenschutzbeauftragter für Rheinland-Pfalz: „Fakt ist, dass das Vereinigte Königreich nach Austritt aus der EU zu einem „Drittland“ im Sinne der Datenschutzgrundverordnung wird“.

Da viele Unternehmen aktuell Kunden- oder Beschäftigtendaten in das Vereinigte Königreich übermitteln und dort ansässige Rechenzentren zu den eigenen Dienstleistern zählen, ergibt sich nach der Datenschutzgrundverordnung durch den Brexit Anpassungsbedarf. Unternehmen mit Vertragspartnern im Vereinigten Königreich müssen im Falle eines Datentransfers sicherstellen, dass es auch nach dem Brexit noch eine hinreichende Rechtsgrundlage für die entsprechenden Datenübermittlungen gibt. Weiterhin sind die Informationspflichten nach Artt. 13, 14 Datenschutzgrundverordnung bezüglich eines Datentransfers in ein Drittland zu ergänzen. Gleiches gilt für Datenschutzerklärungen im Internet. Im Falle eines Auskunftsersuchens einer betroffenen Person ist diese nach Art. 15 Datenschutzgrundverordnung auch über den Datentransfer in ein Drittland zu unterrichten. Darüber hinaus dürften bei Datenübermittlungen in das Vereinigte Königreich als Drittland vielfach die Verzeichnisse von Verarbeitungstätigkeiten nach Art. 30 Datenschutzgrundverordnung anzupassen sein. Gegebenenfalls ist nach dem Brexit auch das Durchführen von Datenschutzfolgenabschätzungen notwendig.

Es empfiehlt sich, dass sich Unternehmen, die personenbezogene Daten in das Vereinigte Königreich übermitteln, bereits jetzt auf entsprechende Anpassungen und Änderungen vorbereiten, um weiterhin eine rechtlich konforme Datenverarbeitung gewährleisten zu können. Da die Datenschutzgrundverordnung kein Konzernprivileg kennt, gelten die zuvor dargestellten Anmerkungen prinzipiell auch für Datenströme innerhalb einer Konzerngruppe.

Datenschutz-Grundverordnung in Großbritannien trotz Brexit?

8. August 2017

Auch aus datenschutzrechtlicher Sicht ist bereits viel diskutiert worden, welche Folgen der Ausstieg des Vereinigten Königreichs aus der EU haben wird. Die britische Regierung hat nun aber verlauten lassen, trotz oder gerade wegen der Austrittsverhandlungen eine Anpassung des UK-Datenschutzrechts an die neuen EU-Maßstäbe der Datenschutz-Grundverordnung vornehmen zu wollen. Hierzu wurde die Pressemitteilung „Government to strengthen UK data protection law“ veröffentlicht.

Die EU-Datenschutz-Grundverordnung gilt ab dem 25.05.2018 unmittelbar und zwingend in jedem EU-Mitgliedsstaat, lässt durch sogenannte Öffnungsklauseln aber zum Teil Spielraum für national individuelle Gestaltung. Als erster Mitgliedsstaat hat Deutschland hiervon Gebrauch gemacht und ein neues Bundesdatenschutzgesetz konzipiert, das die bestehenden Spielräume für sich nutzt. Dieses Vorgehen plant nun auch die britische Regierung und will die Regelungen der Datenschutz-Grundverordnung in die Zeit nach der Durchführung des Brexit „retten“. Durch ein an die EU-Verordnung angepasstes Datenschutzrecht soll der ungehinderte Datenfluss zwischen Großbritannien und den kontinentaleuropäischen Staaten über den Brexit hinaus sichergestellt werden. Dass man durch ein neues Gesetz die Datenschutz-Grundverordnung in britisches Recht überführe, sei ein wichtiger Baustein für eine erfolgreiche Durchführung des Brexits, so die Pressemeldung.

Für die Zulässigkeit der Datenübermittlung an Stellen außerhalb der EU (sogenanntes „Drittland“) verlangt die Datenschutz-Grundverordnung in Art. 45 ein „angemessenes Schutzniveau“ in der betreffenden Region, welches von der Europäischen Kommission festgestellt werden kann. Hintergrund der geplanten Auferlegung der EU-Datenschutzregeln durch die britische Regierung dürfte daher sein, den Weg für einen entsprechenden Angemessenheitsbeschluss frühzeitig zu ebnen.