Schlagwort: Übermittlung von Daten in Drittländer

Europäischer Datenschutzbeauftragter leitet nach dem „Schrems II-Urteil“ Untersuchungen bei EU-Institutionen ein

27. Mai 2021

Der Europäische Datenschutzbeauftragte (EDSB) hat in einer Pressemitteilung erklärt, dass er zwei Untersuchungen im Hinblick auf das im vergangenen Jahr erlassene Schrems-II-Urteil eingeleitet hat. Eine zur Nutzung von Cloud-Diensten, die von Amazon Web Services (AWS) und Microsoft bereitgestellt und im Rahmen von sog. Cloud II-Verträgen von Institutionen, Einrichtungen und Agenturen der Europäischen Union genutzt werden, und eine zur Nutzung von Microsoft 365 durch die Europäische Kommission.

Hintergrund der Untersuchung ist, dass der EDSB im Oktober vegangenen Jahres die EU-Instiutionen dazu aufforderte, über ihre Übermittlung personenbezogener Daten an Drittländer Bericht zu erstatten. Das Ergebnis der Umfrage machte deutlich, dass auch EU-Institutionen die Tools und Dienste von internationalen Dienstleistern nutzen und damit personenbezogene Daten außerhalb der EU und insbesondere in die USA übertragen werden.

Der EDSB, Wojciech Wiewiórowski, sagte: „Nach dem Ergebnis der Berichterstattung durch die EU-Institutionen und -Einrichtungen haben wir bestimmte Arten von Verträgen ermittelt, die besondere Aufmerksamkeit erfordern, und aus diesem Grund haben wir beschlossen, diese beiden Untersuchungen einzuleiten. Mir ist bekannt, dass die „Cloud II-Verträge“ Anfang 2020 vor dem Urteil „Schrems II“ unterzeichnet wurden und dass sowohl Amazon als auch Microsoft neue Maßnahmen angekündigt haben, um sich dem Urteil anzupassen. Dennoch reichen diese angekündigten Maßnahmen möglicherweise nicht aus, um die vollständige Einhaltung des EU-Datenschutzrechts und damit die Notwendigkeit einer ordnungsgemäßen Untersuchung sicherzustellen.“

Nun will der EDSB sicherstellen, dass auch von EU-Institutionen die europäische Datenschutzgrundverordnung (DSGVO) eingehalten wird und EU-Institutionen in Bezug auf Privatssphäre und Datenschutz mit gutem Beispiel vorangehen.

Ziel der Untersuchungen ist es, die Einhaltung des Urteils bei den EU-Institutionen zu bewerten und die Empfehlungen bei der Nutzung von Produkten von US-Anbietern umzusetzen.

Die Tatsache, dass auch der EDSB Untersuchungen aufgenommen hat, zeigt einmal mehr, dass der Datentransfer in Drittländer und Sofortmaßnahmen dagegen dringend erforderlich sind. Gleichzeitig dürfte das Ergebnis dieser Untersuchungen auch wegweisend für einen weiteren Umgang mit den genannten Dienstleistern sein.

Brexit: Großbritannien als Drittland?

13. Februar 2019

Im Rahmen der siebten Tagung des Europäischen Datenschutzausschusses (EDSA) am 12. Februar 2019 wurden unter anderem die datenschutzrechtlichen Herausforderungen im Rahmen des Brexit diskutiert.

Im Fokus stand die Möglichkeit eines Austritts Großbritanniens ohne Abkommen mit der EU („No-Deal-Szenario“). Dies hätte zur Folge, dass Großbritannien im datenschutzrechtlichen Sinn ein Drittland darstellen würde (wir berichteten). Drittländer sind Staaten, die kein Mitglied der Europäischen Union und nicht Teil des Europäischen Wirtschaftsraumes (EWR) sind. An die Übermittlung personenbezogener Daten in Drittländer stellt die DSGVO besondere Anforderungen (Art. 44 bis 46 DSGVO). Der EDSA einigte sich auf ein Informationspapier, das Vorkehrungen für betroffene Unternehmen und Behörden erläutert um diese DSGVO-Anforderungen zu erfüllen. Laut Ankündigung wird das Informationspapier auf der Homepage des Ausschusses veröffentlicht.

Der Ausschuss ist ein unabhängiges Gremium, das zum Ziel hat eine einheitliche Anwendung Europäischer Datenschutzvorschriften zu fördern. Im Ausschuss sind alle nationalen Datenschutzaufsichtsbehörden des EWR und der Europäische Datenschutzbeauftragte vertreten.

Artikel-29-Datenschutzgruppe: Beurteilung internationaler Datenübermittlungen

4. Februar 2016

Nach einer am gestrigen Tag veröffentlichten Stellungnahme der Artikel-29-Datenschutzgruppe sind Übermittlungen personenbezogener Daten in die USA auf Grundlage von EU-Standardvertragsklauseln (Standard Contractual Clauses, SCC) oder Binding Corporate Rules (BCR)  bis zu einer weiteren Benachrichtigung – jedenfalls aber bis Ende April dieses Jahres – als zulässig anzusehen.

Die Artikel-29-Datenschutzgruppe hat die EU Kommission aufgerufen, alle Dokumente, die das neue EU-US Privacy Shield betreffen, bis Ende Februar vorzulegen. Nur dann sei man in der Lage, eine abschließende rechtliche Würdigung und verbindliche Entscheidung zum Umgang mit Datenübermittlungen in die USA – im Speziellen auf Grundlage von EU-Standardvertragsklauseln und Binding Corporate Rules – zu tätigen.

Praktische Konsequenzen:

1) Datenübermittlungen in die USA auf Basis von EU-Standardvertragsklauseln oder Binding Corporate Rules gelten noch immer als zulässig.
2) Jede Intervention von einzelnen Aufsichtsbehörden bezüglich einer Datenübermittlung in die USA ist nicht zu erwarten.
3) Beschwerden oder Rechtsstreitigkeiten wegen Datenübermittlungen in die USA auf Grundlage von EU-Standardvertragsklauseln oder Binding Corporate Rules sollten bis zu einer abschließenden Beurteilung der Artikel-29-Datenschutzgruppe zurückgestellt werden.
4) Die derzeit bestehende Rechtsunsicherheit im Hinblick auf die Zulässigkeit von Datenübermittlungen in die USA besteht fort. Die nächste Prüfung wird voraussichtlich März dieses Jahres erfolgen. Bis Ende April soll entschieden werden, wie der internationale Datenumgang insgesamt zu beurteilen ist – sei es im Hinblick auf das EU-US Privacy Shield, im Hinblick auf EU-Standardvertragsklauseln oder im Hinblick auf Binding Corporate Rules.

Wenn Sie regelmäßig über aktuelle Entwicklungen im Datenschutzrecht auf dem Laufenden gehalten werden möchten, abonnieren Sie einen unserer Newsletter:

  • Deutsches / Europäisches Datenschutzrecht: https://www.datenschutzticker.de/newsletter/ (deutsch)
  • Internationales Datenschutzrecht http://www.privacy-ticker.com/newsletter/ (englisch)

Bei Fragen, wie mit internen Policies zum Datenschutz umzugehen ist, wie Datenübermittlungen in Drittländer zu bewerten sind oder wie man sich schon jetzt als Unternehmen auf die Neuregelungen der EU-Datenschutzgrundverordnung vorbereitet, kontaktieren Sie uns jederzeit gern für eine individuelle Beratung!