Datenschutzrechtliche Probleme beim Online-Handelsregister

Seit dem 01.08.2022 sind EintrĂ€ge im Handelsregister fĂŒr alle BĂŒrgerinnen und BĂŒrger auf der Plattform www.handelsregister.de frei verfĂŒgbar. Damit wurde die Digitalisierungsrichtlinie (DiRUG) umgesetzt und so mehr Transparenz im Rechts- und GeschĂ€ftsverkehr geschaffen. Es gibt jedoch zunehmend Bedenken hinsichtlich des Datenschutzes auf dem Portal.

Read more

LG Hamburg und LG Bonn: 500 Euro Streitwert fĂŒr DSGVO-Auskunft

Die Rechtsprechung bezĂŒglich des Streitwerts von DSGVO-AuskunftsansprĂŒchen ist bislang weitgehend uneinheitlich. Die Gerichte setzen in der Regel – meist ohne nĂ€here BegrĂŒndung – Werte irgendwo zwischen EUR 500,00 und EUR 5.000,00 an. Nun haben die Landgerichte Hamburg und Bonn in relativ aktuellen Entscheidungen jeweils Streitwerte von EUR 500,00 fĂŒr die Durchsetzung eines Auskunftsanspruchs gemĂ€ĂŸ Art. 15 DSGVO angenommen und diese vergleichsweise ausfĂŒhrlich begrĂŒndet. Damit könnte ein erster Richtwert gesetzt sein. 

Read more

DSGVO-VerstĂ¶ĂŸe werden immer teurer

Laut einem aktuellen Bericht der Kanzlei DLA Piper wurde der Rekord der 2021 verhĂ€ngten Bußgelder wegen Verstoßes gegen die DSGVO im vergangenen Jahr abermals gebrochen. Seit in Kraft treten der DSGVO stieg die Höhe der Bußgelder um 630 Prozent. Dabei sind Irland und Luxemburg Spitzenreiter in der Liste der höchsten verhĂ€ngten Bußgelder.

Read more

Countdown lÀuft: Umsetzungsfrist der neuen Standarddatenschutzklauseln endet

Die EU-Kommission hatte die neuen Standarddatenschutzklauseln (SCC) bereits im Juni letzten Jahres veröffentlicht. Die darin festgesetzte Frist zur Umsetzung der SCC in AltvertrĂ€gen endet in wenigen Tagen. Diese sollen das europĂ€ische Datenschutzniveau fĂŒr die Übertragung personenbezogener Daten in DrittlĂ€nder außerhalb der EU sicherstellen.

Read more

Update: Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework

Nachdem US-PrĂ€sident Joe Biden am 07.10.2022 ein Dekret fĂŒr ein neues Datenschutzabkommen zwischen den USA und der EU unterzeichnet hatte, erging nun der erwartete Angemessenheitsbeschluss der EU-Kommission. Darin stellte die Kommission fest, dass die USA ein der EU angemessenes Schutzniveau fĂŒr die DatenĂŒbermittlung sicherstellen könne. Unter anderem sollen US-Unternehmen kĂŒnftig verpflichtet werden, personenbezogene Daten nach der Übertragung zu löschen, wenn sie fĂŒr den Zweck, fĂŒr den sie erhoben wurden, nicht mehr erforderlich sind. Daneben sollen EU-BĂŒrger bei VerstĂ¶ĂŸen ihre Beschwerde gegenĂŒber einem neu geschaffenen US-Gericht fĂŒr Datenschutz erheben können. Dadurch soll ein effektiver Rechtsschutz fĂŒr EU-BĂŒrger und die sichere Übertragung von transatlantische Datenströme gefördert werden.

Der österreichische DatenschĂŒtzer Max Schrems, der mit seinem Vorgehen vor dem EuropĂ€ischen Gerichtshof das Privacy Shield Abkommen gekippt hatte, Ă€ußerte sich kritisch gegenĂŒber dem Entwurf:

Da sich der Entscheidungsentwurf auf die bereits bekannte Executive Order stĂŒtzt, glaube ich kaum, dass diese einer Anfechtung vor dem Gerichtshof standhalten wird. Die EuropĂ€ische Kommission scheint immer wieder Ă€hnliche Entscheidungen zu erlassen, die einen eklatanten Verstoß gegen unsere Grundrechte darstellen.

noyb [Datenschutzorganisation von Max Schrems] erwÀgt rechtliche Schritte.

 

Wie geht es weiter?

Die Kommission hat ihren Beschlussentwurf dem EuropĂ€ischen Datenschutzausschuss (EDSA) vorgelegt, um seine Zustimmung einzuholen. Nach Abschluss des Verfahrens kann der endgĂŒltige Angemessenheitsbeschluss erlassen werden. Das könnte bereits im FrĂŒhjahr 2023 geschehen.

 

Photo by Conny Schneider on Unsplash

 

OLG Karlsruhe: Nutzung amerikanischer Cloud-Dienste mit EU-Servern erleichtert

Die Übermittlung personenbezogener Daten an Dienste in den USA ist derzeit eins der kompliziertesten Themen im Datenschutz. Seit dem Wegfall des Privacy Shield Abkommens und den Entscheidungen der Aufsichtsbehörden zu Standarddatenschutzklauseln sind europĂ€ische Unternehmen rechtlicher Unsicherheit ausgesetzt, wenn sie US-amerikanische Tools und Services einsetzen möchten. FĂŒr etwas Optimismus sorgte zuletzt ein Urteil des OLG Karlsruhe. Danach dĂŒrfen europĂ€ische Unternehmen darauf vertrauen, dass personenbezogene Daten die EU nicht verlassen, wenn dies vertraglich zugesichert wird. 

 Hintergrund:

Aufgrund der weitreichenden Auswirkungen des Schrems-II-Urteils des EuGH (Urt. v. 16.07.2020, Rs. C‑311/18), hatten einige große amerikanische Anbieter von Software und Cloud-Diensten europĂ€ische Tochtergesellschaften gegrĂŒndet und Serverstandorte in Deutschland oder anderen EU-Staaten eingerichtet. Hierdurch sollten die hohen HĂŒrden eines sogenannten Drittland-Transfers entschĂ€rft werden, weil die Daten mutmaßlich nie die EU verlassen wĂŒrden. Nach wie vor bestehen jedoch erhebliche Zweifel an der RechtmĂ€ĂŸigkeit der Verarbeitung durch solche Anbieter, da sie gemĂ€ĂŸ des US-Patriot Acts indirekt ĂŒber ihre amerikanischen Muttergesellschaften zur Offenlegung von Daten von EU-BĂŒrgern (beispielsweise zur Terrorabwehr) an US-Geheimdienste gezwungen werden könnten. Es wird zudem von Aufsichtsbehörden vertreten, dass die Nutzung solcher Dienste ebenfalls als Drittlandtransfer zu bewerten sei, da nicht ausgeschlossen werden könne, dass die Daten (auch) auf Servern mit Standorten in den USA durch die amerikanischen Muttergesellschaften verarbeitet wĂŒrden.

Dieser Auffassung, die das bloße Risiko einer DatenĂŒbermittlung in die USA faktisch als Drittlandtransfer ansah, ist das OLG Karlsruhe nun entgegengetreten.

Urteil:

Das OLG stellte in seinem Beschluss vom 07.09.2022, Az. 15 Verg 8/22, fest, dass eine vertragliche Zusage des Anbieters, keine Daten in die USA zu ĂŒbertragen, grundsĂ€tzlich ausreiche. Voraussetzung sei, dass keine unmittelbaren Zweifel oder Anhaltpunkte fĂŒr einen Verstoß gegen dieses Leistungsversprechen bestehen. Hierauf dĂŒrfe das europĂ€ische Unternehmen, das den Dienst nutzen möchte, redlicher Weise vertrauen.

Eine Konzernbindung der Tochtergesellschaft an die US-amerikanische Muttergesellschaft begrĂŒnde dabei noch keine ausreichenden Zweifel an der Einhaltung von EU-Normen. Die rein theoretische Zugriffsmöglichkeit der Unternehmensmutter im Drittstaat stelle gerade keine Übermittlung personenbezogener Daten und damit auch keinen Verstoß gegen Art. 44 ff. DSVGO dar. Deshalb sei es in diesen Konstellationen auch nicht erforderlich, dass der Diensteanbieter zusĂ€tzliche technische und organisatorische Maßnahmen, beispielsweise im Hinblick auf eine sichere VerschlĂŒsselung, zusichert, wie dies der EuGH im Schrems-II-Urteil gefordert hatte. Dies gelte nĂ€mlich eben nur fĂŒr echte Drittlandtransfers.

Das Urteil ist fĂŒr Unternehmer insofern ein Lichtblick, da es den Einsatz zahlreicher Anbieter wie Google, Facebook, Microsoft oder Adobe erleichtert, die in der Regel europĂ€ische Tochtergesellschaften (insbesondere in Irland) betreiben. Es scheint jedoch so, als sei das letzte Wort hierzu noch nicht gesprochen. Am Ende könnte es sich um eine Frage handeln, die der EuropĂ€ische Gerichtshof zu klĂ€ren hĂ€tte.

 

Photo by Ian Battaglia on Unsplash