Tag Archive for: USA

Update: EDSA nimmt Stellung zum Trans-Atlantic Data Privacy Framework

Der Europäische Datenschutzausschuss (EDSA) hat eine Stellungnahme zum Entwurf eines Angemessenheitsbeschlusses für das Trans-Atlantic Data Privacy Framework veröffentlicht. Darin werden die wesentlichen Verbesserungen, wie die Einführung von Anforderungen an Notwendigkeit und Verhältnismäßigkeit für die Datenerhebung, befürwortet. Kritisiert wird jedoch weiterhin das Festhalten am Instrument der Massenüberwachung und die fehlende Transparenz im Rechtschutzverfahren. Der endgültige Angemessenheitsbeschluss muss noch erlassen werden und würde die dringend benötigte Rechtssicherheit schaffen. Der Leitgedanke der Vereinbarung bleibt weiterhin ein der EU gleichwertiges Datenschutzniveau bei der Datenübermittlung in die USA sicherzustellen.

In einer Pressemitteilung äußerte sich der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber wie folgt:

Wir sehen den Willen, ein angemessenes Schutzniveau für Betroffene, deren personenbezogenen Daten an Unternehmen in die USA übermittelt werden, zu schaffen. Deutliche Fortschritte gibt es insbesondere im Bereich des Government Access für Zwecke der nationalen Sicherheit. Bedenken haben wir, ob die neuen Regelungen in allen Punkten ein Schutzniveau gewährleisten, das den EU-Datenschutzstandards der Sache nach gleichwertig ist.

 

Foto von Hunter Harritt auf Unsplash

OLG Karlsruhe: Nutzung amerikanischer Cloud-Dienste mit EU-Servern erleichtert

Die Übermittlung personenbezogener Daten an Dienste in den USA ist derzeit eins der kompliziertesten Themen im Datenschutz. Seit dem Wegfall des Privacy Shield Abkommens und den Entscheidungen der Aufsichtsbehörden zu Standarddatenschutzklauseln sind europäische Unternehmen rechtlicher Unsicherheit ausgesetzt, wenn sie US-amerikanische Tools und Services einsetzen möchten. Für etwas Optimismus sorgte zuletzt ein Urteil des OLG Karlsruhe. Danach dürfen europäische Unternehmen darauf vertrauen, dass personenbezogene Daten die EU nicht verlassen, wenn dies vertraglich zugesichert wird. 

 Hintergrund:

Aufgrund der weitreichenden Auswirkungen des Schrems-II-Urteils des EuGH (Urt. v. 16.07.2020, Rs. C‑311/18), hatten einige große amerikanische Anbieter von Software und Cloud-Diensten europäische Tochtergesellschaften gegründet und Serverstandorte in Deutschland oder anderen EU-Staaten eingerichtet. Hierdurch sollten die hohen Hürden eines sogenannten Drittland-Transfers entschärft werden, weil die Daten mutmaßlich nie die EU verlassen würden. Nach wie vor bestehen jedoch erhebliche Zweifel an der Rechtmäßigkeit der Verarbeitung durch solche Anbieter, da sie gemäß des US-Patriot Acts indirekt über ihre amerikanischen Muttergesellschaften zur Offenlegung von Daten von EU-Bürgern (beispielsweise zur Terrorabwehr) an US-Geheimdienste gezwungen werden könnten. Es wird zudem von Aufsichtsbehörden vertreten, dass die Nutzung solcher Dienste ebenfalls als Drittlandtransfer zu bewerten sei, da nicht ausgeschlossen werden könne, dass die Daten (auch) auf Servern mit Standorten in den USA durch die amerikanischen Muttergesellschaften verarbeitet würden.

Dieser Auffassung, die das bloße Risiko einer Datenübermittlung in die USA faktisch als Drittlandtransfer ansah, ist das OLG Karlsruhe nun entgegengetreten.

Urteil:

Das OLG stellte in seinem Beschluss vom 07.09.2022, Az. 15 Verg 8/22, fest, dass eine vertragliche Zusage des Anbieters, keine Daten in die USA zu übertragen, grundsätzlich ausreiche. Voraussetzung sei, dass keine unmittelbaren Zweifel oder Anhaltpunkte für einen Verstoß gegen dieses Leistungsversprechen bestehen. Hierauf dürfe das europäische Unternehmen, das den Dienst nutzen möchte, redlicher Weise vertrauen.

Eine Konzernbindung der Tochtergesellschaft an die US-amerikanische Muttergesellschaft begründe dabei noch keine ausreichenden Zweifel an der Einhaltung von EU-Normen. Die rein theoretische Zugriffsmöglichkeit der Unternehmensmutter im Drittstaat stelle gerade keine Übermittlung personenbezogener Daten und damit auch keinen Verstoß gegen Art. 44 ff. DSVGO dar. Deshalb sei es in diesen Konstellationen auch nicht erforderlich, dass der Diensteanbieter zusätzliche technische und organisatorische Maßnahmen, beispielsweise im Hinblick auf eine sichere Verschlüsselung, zusichert, wie dies der EuGH im Schrems-II-Urteil gefordert hatte. Dies gelte nämlich eben nur für echte Drittlandtransfers.

Das Urteil ist für Unternehmer insofern ein Lichtblick, da es den Einsatz zahlreicher Anbieter wie Google, Facebook, Microsoft oder Adobe erleichtert, die in der Regel europäische Tochtergesellschaften (insbesondere in Irland) betreiben. Es scheint jedoch so, als sei das letzte Wort hierzu noch nicht gesprochen. Am Ende könnte es sich um eine Frage handeln, die der Europäische Gerichtshof zu klären hätte.

 

Photo by Ian Battaglia on Unsplash

Licht am Ende des Tunnels? Neues Datenschutzabkommen zwischen EU und USA wird konkreter 

Nach bereits zwei gescheiterten Abkommen zwischen den USA und der EU soll nun das neue Datenschutzabkommen „Trans-Atlantic Data Privacy Framework“ wieder für mehr Rechtssicherheit beim transatlantischen Datentransfer sorgen. Dadurch soll sichergestellt werden, dass die Übermittlung von personenbezogenen Daten aus der EU in die USA auf einem angemessenen (sprich: europäischen) Schutzniveau erfolgen soll. Ob das neue Regelwerk wirklich geeignet ist, den Unternehmen die Unsicherheit beim Datentransfer zu nehmen und insbesondere ob das Abkommen einer Prüfung durch den EuGH standhalten wird, bleibt bisher noch offen. Read more

Dringender Handlungsbedarf beim Einsatz von Mailchimp

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat einem in München ansässigen Unternehmen untersagt, für den Versand von Newslettern den US-amerikanischen Dienstleister „Mailchimp“ zu nutzen. Dem Verbot vorausgegangen war eine Beschwerde durch einen Newsletter-Empfänger. Die Entscheidung hat für Unternehmen, welche Mailchimp oder einen anderen US-Mailingdienst nutzen, weitreichende Folgen.

Mailchimp gehört zu den populärsten Anbietern von Newsletter-Diensten, da die Software eine einfache Bedienung, sowie ein umfangreiches Funktionsspektrum verspricht. Es handelt sich bei Mailchimp um eine Software-as-a-Service-Lösung (SaaS), sodass die Software nicht auf den Servern nutzenden Unternehmens installiert wird. Die E-Mail-Adressen der Empfänger werden stattdessen auf die US-amerikanischen Server von Mailchimp übermittelt und dort verarbeitet.

Read more