Schlagwort: Drittlandsübermittlung
10. September 2020
Am 16.06.2020 erklärte der EuGH das Privacy Shield für ungültig und adressierte in diesem Zuge auch Datenübermittlung, die auf der Grundlage von Standardvertragsklauseln (SCCs) legitimiert werden sollen. Der Europäische Datenschutzausschuss und die deutsche Datenschutzkonferenz stellten klar, dass in jeden Einzelfall geprüft werden muss, ob ein angemessenes Datenschutzniveau im Drittland sichergestellt ist oder ob dem mit zusätzlichen Schutzmaßnahmen begegnet werden kann. Im Hinblick auf die weitreichenden Zugriffsmöglichkeiten der US-amerikanischen Sicherheitsdienste bezweifelte der EuGH, dass beim Datentransfer in die USA ein angemessenes Schutzniveaus gewährleistet werden kann.
Seitdem reißen die News rund um das Thema nicht ab. Vor kurzem reichte die von Max Schrems ins Leben gerufene Datenschutzorganisation „noyb“ 101 Beschwerden gegen europäische Unternehmen bei den jeweils zuständigen Aufsichtsbehörden ein. Herr Schrems führte das angesprochene Verfahren vor dem EuGH. Die Beschwerden richten sich gegen Unternehmen, die Google Analytics oder Facebook Connect verwenden, und ausweislich der Darstellungen auf den Webseiten für die Drittlandübermittlungen keine ausreichenden Maßnahmen ergriffen haben. Der Europäische Datenschutzausschuss richtete eine Task Force ein, um bei den Beschwerden ein einheitliches Vorgehen zu gewährleisten.
Nun erhält Facebook weiteren Gegenwind aus Irland: Wie Facebooks Kommunikationschef Clegg in einem Blogpost berichtet, hat die irische Datenschutzaufsichtsbehörde eine Untersuchung zu den Datentransfers von Facebook zwischen der EU und den USA eingeleitet und darauf hingewiesen, dass die SCCs nicht verwendet werden könnten. Wie die US-amerikansische Zeitung Politico berichtet, stellte die irische Datenschutzbehörden Facebook bereits Ende August eine vorläufige Anordnung zur Aussetzung der Datentransfers von der EU in die USA auf Grundlage der SCCs zu und bat um Antwort des Unternehmens.
Spannend sind in diesem Zusammenhang die Aussagen von noyb: Sie verweisen auf einen Brief, in dem sich Facebook auf eine andere Rechtsgrundlage für die Übermittlung beruft, die nicht Gegenstand der vorläufigen Anordnung ist (siehe hier auf Seite 3-4). Die Übermittlung soll danach rechtmäßig sein, weil sie zur Erfüllung eines zwischen den Facebook-Nutzern und Facebook geschlossenen Vertrages erforderlich sei. Max Schrems ist hingegen der Ansicht, “die angebliche Anordnung gegen Facebook [sei] ein weiterer Schritt, der das Problem absichtlich nicht lösen” wird. noyb hat angekündigt, einen Antrag auf eine einstweilige Verfügung einzureichen, um sicherzustellen, dass die DPC hinsichtlich aller rechtlichen Grundlagen für Datenübermittlungen tätig wird.
Eine endgültige Entscheidung der der irischen Behörde steht noch aus. Politico geht davon aus, dass mit einer solchen frühestens im Oktober gerechnet werden kann, nachdem Facebook auf die Anordnung geantwortet hat und die Entscheidung mit anderen EU Aufsichtsbehörden koordiniert wurde.
Bis dahin will sich Facebook nach Aussage des Kommunikationschefs Clegg “weiterhin Daten in Übereinstimmung mit dem jüngsten EuGH-Urteil übermitteln bis weitere Handlungsanweisungen erfolgen”. Er weist auf die Gefahren für die europäische Wirtschaft hin, wenn ein internationaler Datentransfer behindert wird. Clegg betont, dass Facebook die Bemühungen der Europäischen Kommission und dem US-amerikanischen Handelsministerium um ein “Privacy Shield enhanced” begrüßt.
17. Januar 2019
Nachdem der von Premierministerin Theresa May vorgelegte Entwurf eines Vertrags zur Regelung des Brexit am 15. Januar durch eine deutliche Mehrheit der Parlamentarier abgelehnt wurde, rückt das Szenario eines ungeordneten Austritts des Vereinigten Königreichs aus der Europäischen Union wieder in greifbare Nähe. Neben vielfältigen wirtschaftlichen und europarechtlichen Fragestellungen besitzt der Brexit auch eine konkret datenschutzrechtliche Komponente.
Mit dem für den 29.03.2019 angekündigten Austritt des Vereinigten Königreichs aus der Europäischen Union ist das Vereinigte Königreich ohne entsprechende Übergangsregeln ab diesem Zeitpunkt als Drittland im Sinne der DSGVO anzusehen. Dies bestätigte auch Prof. Dr. Dieter Kugelmann, Landesdatenschutzbeauftragter für Rheinland-Pfalz: “Fakt ist, dass das Vereinigte Königreich nach Austritt aus der EU zu einem “Drittland” im Sinne der Datenschutzgrundverordnung wird”.
Da viele Unternehmen aktuell Kunden- oder Beschäftigtendaten in das Vereinigte Königreich übermitteln und dort ansässige Rechenzentren zu den eigenen Dienstleistern zählen, ergibt sich nach der Datenschutzgrundverordnung durch den Brexit Anpassungsbedarf. Unternehmen mit Vertragspartnern im Vereinigten Königreich müssen im Falle eines Datentransfers sicherstellen, dass es auch nach dem Brexit noch eine hinreichende Rechtsgrundlage für die entsprechenden Datenübermittlungen gibt. Weiterhin sind die Informationspflichten nach Artt. 13, 14 Datenschutzgrundverordnung bezüglich eines Datentransfers in ein Drittland zu ergänzen. Gleiches gilt für Datenschutzerklärungen im Internet. Im Falle eines Auskunftsersuchens einer betroffenen Person ist diese nach Art. 15 Datenschutzgrundverordnung auch über den Datentransfer in ein Drittland zu unterrichten. Darüber hinaus dürften bei Datenübermittlungen in das Vereinigte Königreich als Drittland vielfach die Verzeichnisse von Verarbeitungstätigkeiten nach Art. 30 Datenschutzgrundverordnung anzupassen sein. Gegebenenfalls ist nach dem Brexit auch das Durchführen von Datenschutzfolgenabschätzungen notwendig.
Es empfiehlt sich, dass sich Unternehmen, die personenbezogene Daten in das Vereinigte Königreich übermitteln, bereits jetzt auf entsprechende Anpassungen und Änderungen vorbereiten, um weiterhin eine rechtlich konforme Datenverarbeitung gewährleisten zu können. Da die Datenschutzgrundverordnung kein Konzernprivileg kennt, gelten die zuvor dargestellten Anmerkungen prinzipiell auch für Datenströme innerhalb einer Konzerngruppe.
8. August 2017
Auch aus datenschutzrechtlicher Sicht ist bereits viel diskutiert worden, welche Folgen der Ausstieg des Vereinigten Königreichs aus der EU haben wird. Die britische Regierung hat nun aber verlauten lassen, trotz oder gerade wegen der Austrittsverhandlungen eine Anpassung des UK-Datenschutzrechts an die neuen EU-Maßstäbe der Datenschutz-Grundverordnung vornehmen zu wollen. Hierzu wurde die Pressemitteilung “Government to strengthen UK data protection law” veröffentlicht.
Die EU-Datenschutz-Grundverordnung gilt ab dem 25.05.2018 unmittelbar und zwingend in jedem EU-Mitgliedsstaat, lässt durch sogenannte Öffnungsklauseln aber zum Teil Spielraum für national individuelle Gestaltung. Als erster Mitgliedsstaat hat Deutschland hiervon Gebrauch gemacht und ein neues Bundesdatenschutzgesetz konzipiert, das die bestehenden Spielräume für sich nutzt. Dieses Vorgehen plant nun auch die britische Regierung und will die Regelungen der Datenschutz-Grundverordnung in die Zeit nach der Durchführung des Brexit “retten”. Durch ein an die EU-Verordnung angepasstes Datenschutzrecht soll der ungehinderte Datenfluss zwischen Großbritannien und den kontinentaleuropäischen Staaten über den Brexit hinaus sichergestellt werden. Dass man durch ein neues Gesetz die Datenschutz-Grundverordnung in britisches Recht überführe, sei ein wichtiger Baustein für eine erfolgreiche Durchführung des Brexits, so die Pressemeldung.
Für die Zulässigkeit der Datenübermittlung an Stellen außerhalb der EU (sogenanntes “Drittland”) verlangt die Datenschutz-Grundverordnung in Art. 45 ein “angemessenes Schutzniveau” in der betreffenden Region, welches von der Europäischen Kommission festgestellt werden kann. Hintergrund der geplanten Auferlegung der EU-Datenschutzregeln durch die britische Regierung dürfte daher sein, den Weg für einen entsprechenden Angemessenheitsbeschluss frühzeitig zu ebnen.
