Update: Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework

/0 Comments/in , /by

Nachdem US-Präsident Joe Biden am 07.10.2022 ein Dekret für ein neues Datenschutzabkommen zwischen den USA und der EU unterzeichnet hatte, erging nun der erwartete Angemessenheitsbeschluss der EU-Kommission. Darin stellte die Kommission fest, dass die USA ein der EU angemessenes Schutzniveau für die Datenübermittlung sicherstellen könne. Unter anderem sollen US-Unternehmen künftig verpflichtet werden, personenbezogene Daten nach der Übertragung zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind. Daneben sollen EU-Bürger bei Verstößen ihre Beschwerde gegenüber einem neu geschaffenen US-Gericht für Datenschutz erheben können. Dadurch soll ein effektiver Rechtsschutz für EU-Bürger und die sichere Übertragung von transatlantische Datenströme gefördert werden.

Der österreichische Datenschützer Max Schrems, der mit seinem Vorgehen vor dem Europäischen Gerichtshof das Privacy Shield Abkommen gekippt hatte, äußerte sich kritisch gegenüber dem Entwurf:

Da sich der Entscheidungsentwurf auf die bereits bekannte Executive Order stützt, glaube ich kaum, dass diese einer Anfechtung vor dem Gerichtshof standhalten wird. Die Europäische Kommission scheint immer wieder ähnliche Entscheidungen zu erlassen, die einen eklatanten Verstoß gegen unsere Grundrechte darstellen.

noyb [Datenschutzorganisation von Max Schrems] erwägt rechtliche Schritte.

 

Wie geht es weiter?

Die Kommission hat ihren Beschlussentwurf dem Europäischen Datenschutzausschuss (EDSA) vorgelegt, um seine Zustimmung einzuholen. Nach Abschluss des Verfahrens kann der endgültige Angemessenheitsbeschluss erlassen werden. Das könnte bereits im Frühjahr 2023 geschehen.

 

Photo by Conny Schneider on Unsplash

 

Update: Google äußert sich zu Google Fonts

/0 Comments/in , /by

Anfang diesen Jahres hatte das Landgericht München I einem Internetnutzer Schadensersatz zugesprochen, weil seine Daten durch die externe Einbindung von Google Fonts an Google Server in den USA übermittelt wurden (wir hatten berichtet). Dieses Urteil nahmen einige zum Anlass, ein lukratives Geschäft mit Abmahnungen gegenüber Website-Betreibern zu machen, die Google Fonts einsetzen. Zwischenzeitlich rollte eine regelrechte Abmahnwelle über Deutschland und Österreich. Bis heute wenden sich Unternehmen an uns, die Post von Abmahnanwälten erhalten haben.

Nun äußert sich endlich auch der Tech-Gigant Google selbst in einem Blogbeitrag zu der Problematik.

In Anbetracht der jüngsten Ereignisse und der Medienberichterstattung über Google Fonts halten wir es für notwendig, die folgende Erklärung abzugeben:

[…] Google respektiert die Privatsphäre des Einzelnen. Die Google Fonts-Web-API ist so konzipiert, dass die Erfassung, Speicherung und Verwendung von Daten auf das beschränkt wird, was für die effiziente Bereitstellung von Schriftarten und für Nutzungsstatistiken erforderlich ist. Diese Daten werden sicher und getrennt von anderen Daten aufbewahrt. Google verwendet die von Google Fonts gesammelten Informationen nicht für andere Zwecke und insbesondere nicht für die Erstellung von Profilen von Endnutzern oder für Werbung. Außerdem ist die Tatsache, dass die Server von Google notwendigerweise IP-Adressen erhalten, um Schriftarten zu übertragen, keine Besonderheit von Google und entspricht der Funktionsweise des Internets.

Wenig überraschend verteidigt Google das eigene Geschäftsmodell und stellt die IP-Übermittlung als rein technisch notwendigen Vorgang dar. An der rechtlichen Würdigung dürfte dieses Argument jedoch in einem hypothetischen Gerichtsverfahren wenig ändern, schlichtweg weil es eine einfache, datensparsame Alternative gibt: die lokale Speicherung der Schriftart.

Auf der anderen Seite: Was heißt “lokal”? Kein Unternehmen hostet seine Website auf eigenen Servern im Keller, sondern bei kommerziellen Hosting-Providern. Dazu kommt: Websites sind heute nicht mehr statische html-Skripte. Stattdessen sind sie aus einer Vielzahl verschiedener Inhalte unterschiedlichster Art von verschiedenen Anbietern zusammengesetzt (Fotos, Videos, Landkarten, Animationen, Chatfunktionen etc.). Dieser Content wird in aller Regel von externen Diensten bereitgestellt, sodass beim Aufruf fast jeder Website Datenverbindungen zu mehreren externen Servern aufgebaut werden. Wo läuft die Grenze zwischen “guten” und “bösen” Dienstleitern? Welche Datenverbindungen sind erforderlich und welche nicht? Es stellt sich hier die grundsätzliche Frage: Was für ein Internet möchten wir? Welche Antwort die Politik und Gesetzgebung mittelfristig auf diese Frage findet, bleibt abzuwarten.

 

Photo by Brett Jordan on Unsplash

Licht am Ende des Tunnels? Neues Datenschutzabkommen zwischen EU und USA wird konkreter 

/0 Comments/in /by

Nach bereits zwei gescheiterten Abkommen zwischen den USA und der EU soll nun das neue Datenschutzabkommen „Trans-Atlantic Data Privacy Framework“ wieder für mehr Rechtssicherheit beim transatlantischen Datentransfer sorgen. Dadurch soll sichergestellt werden, dass die Übermittlung von personenbezogenen Daten aus der EU in die USA auf einem angemessenen (sprich: europäischen) Schutzniveau erfolgen soll. Ob das neue Regelwerk wirklich geeignet ist, den Unternehmen die Unsicherheit beim Datentransfer zu nehmen und insbesondere ob das Abkommen einer Prüfung durch den EuGH standhalten wird, bleibt bisher noch offen. Read more

Schluss mit Cookie-Bannern?

/0 Comments/in /by

Unser Alltag im Internet ist geprägt von Cookies. Bei jedem Besuch einer Webseite wird der Nutzer mit Einwilligungsanfragen belästigt. Deshalb befürchten Webseitenbetreiber, dass durch das Einbinden des Consent-Management-Tools die Nutzer durch die Banner abgeschreckt werden und der Traffic auf der Internetseite zurück geht. Darauf reagiert der BMDV nun mit seinem Entwurf einer „Einwilligungsverwaltungs-Verordnung“.

Read more