Seit dem 01.08.2022 sind EintrĂ€ge im Handelsregister fĂŒr alle BĂŒrgerinnen und BĂŒrger auf der Plattform www.handelsregister.de frei verfĂŒgbar. Damit wurde die Digitalisierungsrichtlinie (DiRUG) umgesetzt und so mehr Transparenz im Rechts- und GeschĂ€ftsverkehr geschaffen. Es gibt jedoch zunehmend Bedenken hinsichtlich des Datenschutzes auf dem Portal.
Laut einem aktuellen Bericht der Kanzlei DLA Piper wurde der Rekord der 2021 verhĂ€ngten BuĂgelder wegen VerstoĂes gegen die DSGVO im vergangenen Jahr abermals gebrochen. Seit in Kraft treten der DSGVO stieg die Höhe der BuĂgelder um 630 Prozent. Dabei sind Irland und Luxemburg Spitzenreiter in der Liste der höchsten verhĂ€ngten BuĂgelder.
Die EU-Kommission hatte die neuen Standarddatenschutzklauseln (SCC) bereits im Juni letzten Jahres veröffentlicht. Die darin festgesetzte Frist zur Umsetzung der SCC in AltvertrĂ€gen endet in wenigen Tagen. Diese sollen das europĂ€ische Datenschutzniveau fĂŒr die Ăbertragung personenbezogener Daten in DrittlĂ€nder auĂerhalb der EU sicherstellen.
Nachdem US-PrĂ€sident Joe Biden am 07.10.2022 ein Dekret fĂŒr ein neues Datenschutzabkommen zwischen den USA und der EU unterzeichnet hatte, erging nun der erwartete Angemessenheitsbeschluss der EU-Kommission. Darin stellte die Kommission fest, dass die USA ein der EU angemessenes Schutzniveau fĂŒr die DatenĂŒbermittlung sicherstellen könne. Unter anderem sollen US-Unternehmen kĂŒnftig verpflichtet werden, personenbezogene Daten nach der Ăbertragung zu löschen, wenn sie fĂŒr den Zweck, fĂŒr den sie erhoben wurden, nicht mehr erforderlich sind. Daneben sollen EU-BĂŒrger bei VerstöĂen ihre Beschwerde gegenĂŒber einem neu geschaffenen US-Gericht fĂŒr Datenschutz erheben können. Dadurch soll ein effektiver Rechtsschutz fĂŒr EU-BĂŒrger und die sichere Ăbertragung von transatlantische Datenströme gefördert werden.
Der österreichische DatenschĂŒtzer Max Schrems, der mit seinem Vorgehen vor dem EuropĂ€ischen Gerichtshof das Privacy Shield Abkommen gekippt hatte, Ă€uĂerte sich kritisch gegenĂŒber dem Entwurf:
Da sich der Entscheidungsentwurf auf die bereits bekannte Executive Order stĂŒtzt, glaube ich kaum, dass diese einer Anfechtung vor dem Gerichtshof standhalten wird. Die EuropĂ€ische Kommission scheint immer wieder Ă€hnliche Entscheidungen zu erlassen, die einen eklatanten VerstoĂ gegen unsere Grundrechte darstellen.
noyb [Datenschutzorganisation von Max Schrems] erwÀgt rechtliche Schritte.
Wie geht es weiter?
Die Kommission hat ihren Beschlussentwurf dem EuropĂ€ischen Datenschutzausschuss (EDSA) vorgelegt, um seine Zustimmung einzuholen. Nach Abschluss des Verfahrens kann der endgĂŒltige Angemessenheitsbeschluss erlassen werden. Das könnte bereits im FrĂŒhjahr 2023 geschehen.
Â
Photo by Conny Schneider on Unsplash
Die Ăbermittlung personenbezogener Daten an Dienste in den USA ist derzeit eins der kompliziertesten Themen im Datenschutz. Seit dem Wegfall des Privacy Shield Abkommens und den Entscheidungen der Aufsichtsbehörden zu Standarddatenschutzklauseln sind europĂ€ische Unternehmen rechtlicher Unsicherheit ausgesetzt, wenn sie US-amerikanische Tools und Services einsetzen möchten. FĂŒr etwas Optimismus sorgte zuletzt ein Urteil des OLG Karlsruhe. Danach dĂŒrfen europĂ€ische Unternehmen darauf vertrauen, dass personenbezogene Daten die EU nicht verlassen, wenn dies vertraglich zugesichert wird.Â
 Hintergrund:
Aufgrund der weitreichenden Auswirkungen des Schrems-II-Urteils des EuGH (Urt. v. 16.07.2020, Rs. Câ311/18), hatten einige groĂe amerikanische Anbieter von Software und Cloud-Diensten europĂ€ische Tochtergesellschaften gegrĂŒndet und Serverstandorte in Deutschland oder anderen EU-Staaten eingerichtet. Hierdurch sollten die hohen HĂŒrden eines sogenannten Drittland-Transfers entschĂ€rft werden, weil die Daten mutmaĂlich nie die EU verlassen wĂŒrden. Nach wie vor bestehen jedoch erhebliche Zweifel an der RechtmĂ€Ăigkeit der Verarbeitung durch solche Anbieter, da sie gemÀà des US-Patriot Acts indirekt ĂŒber ihre amerikanischen Muttergesellschaften zur Offenlegung von Daten von EU-BĂŒrgern (beispielsweise zur Terrorabwehr) an US-Geheimdienste gezwungen werden könnten. Es wird zudem von Aufsichtsbehörden vertreten, dass die Nutzung solcher Dienste ebenfalls als Drittlandtransfer zu bewerten sei, da nicht ausgeschlossen werden könne, dass die Daten (auch) auf Servern mit Standorten in den USA durch die amerikanischen Muttergesellschaften verarbeitet wĂŒrden.
Dieser Auffassung, die das bloĂe Risiko einer DatenĂŒbermittlung in die USA faktisch als Drittlandtransfer ansah, ist das OLG Karlsruhe nun entgegengetreten.
Urteil:
Das OLG stellte in seinem Beschluss vom 07.09.2022, Az. 15 Verg 8/22, fest, dass eine vertragliche Zusage des Anbieters, keine Daten in die USA zu ĂŒbertragen, grundsĂ€tzlich ausreiche. Voraussetzung sei, dass keine unmittelbaren Zweifel oder Anhaltpunkte fĂŒr einen VerstoĂ gegen dieses Leistungsversprechen bestehen. Hierauf dĂŒrfe das europĂ€ische Unternehmen, das den Dienst nutzen möchte, redlicher Weise vertrauen.
Eine Konzernbindung der Tochtergesellschaft an die US-amerikanische Muttergesellschaft begrĂŒnde dabei noch keine ausreichenden Zweifel an der Einhaltung von EU-Normen. Die rein theoretische Zugriffsmöglichkeit der Unternehmensmutter im Drittstaat stelle gerade keine Ăbermittlung personenbezogener Daten und damit auch keinen VerstoĂ gegen Art. 44 ff. DSVGO dar. Deshalb sei es in diesen Konstellationen auch nicht erforderlich, dass der Diensteanbieter zusĂ€tzliche technische und organisatorische MaĂnahmen, beispielsweise im Hinblick auf eine sichere VerschlĂŒsselung, zusichert, wie dies der EuGH im Schrems-II-Urteil gefordert hatte. Dies gelte nĂ€mlich eben nur fĂŒr echte Drittlandtransfers.
Das Urteil ist fĂŒr Unternehmer insofern ein Lichtblick, da es den Einsatz zahlreicher Anbieter wie Google, Facebook, Microsoft oder Adobe erleichtert, die in der Regel europĂ€ische Tochtergesellschaften (insbesondere in Irland) betreiben. Es scheint jedoch so, als sei das letzte Wort hierzu noch nicht gesprochen. Am Ende könnte es sich um eine Frage handeln, die der EuropĂ€ische Gerichtshof zu klĂ€ren hĂ€tte.
Photo by Ian Battaglia on Unsplash
Anfang diesen Jahres hatte das Landgericht MĂŒnchen I einem Internetnutzer Schadensersatz zugesprochen, weil seine Daten durch die externe Einbindung von Google Fonts an Google Server in den USA ĂŒbermittelt wurden (wir hatten berichtet). Dieses Urteil nahmen einige zum Anlass, ein lukratives GeschĂ€ft mit Abmahnungen gegenĂŒber Website-Betreibern zu machen, die Google Fonts einsetzen. Zwischenzeitlich rollte eine regelrechte Abmahnwelle ĂŒber Deutschland und Ăsterreich. Bis heute wenden sich Unternehmen an uns, die Post von AbmahnanwĂ€lten erhalten haben.
Nun Ă€uĂert sich endlich auch der Tech-Gigant Google selbst in einem Blogbeitrag zu der Problematik.
In Anbetracht der jĂŒngsten Ereignisse und der Medienberichterstattung ĂŒber Google Fonts halten wir es fĂŒr notwendig, die folgende ErklĂ€rung abzugeben:
[…] Google respektiert die PrivatsphĂ€re des Einzelnen. Die Google Fonts-Web-API ist so konzipiert, dass die Erfassung, Speicherung und Verwendung von Daten auf das beschrĂ€nkt wird, was fĂŒr die effiziente Bereitstellung von Schriftarten und fĂŒr Nutzungsstatistiken erforderlich ist. Diese Daten werden sicher und getrennt von anderen Daten aufbewahrt. Google verwendet die von Google Fonts gesammelten Informationen nicht fĂŒr andere Zwecke und insbesondere nicht fĂŒr die Erstellung von Profilen von Endnutzern oder fĂŒr Werbung. AuĂerdem ist die Tatsache, dass die Server von Google notwendigerweise IP-Adressen erhalten, um Schriftarten zu ĂŒbertragen, keine Besonderheit von Google und entspricht der Funktionsweise des Internets.
Wenig ĂŒberraschend verteidigt Google das eigene GeschĂ€ftsmodell und stellt die IP-Ăbermittlung als rein technisch notwendigen Vorgang dar. An der rechtlichen WĂŒrdigung dĂŒrfte dieses Argument jedoch in einem hypothetischen Gerichtsverfahren wenig Ă€ndern, schlichtweg weil es eine einfache, datensparsame Alternative gibt: die lokale Speicherung der Schriftart.
Auf der anderen Seite: Was heiĂt “lokal”? Kein Unternehmen hostet seine Website auf eigenen Servern im Keller, sondern bei kommerziellen Hosting-Providern. Dazu kommt: Websites sind heute nicht mehr statische html-Skripte. Stattdessen sind sie aus einer Vielzahl verschiedener Inhalte unterschiedlichster Art von verschiedenen Anbietern zusammengesetzt (Fotos, Videos, Landkarten, Animationen, Chatfunktionen etc.). Dieser Content wird in aller Regel von externen Diensten bereitgestellt, sodass beim Aufruf fast jeder Website Datenverbindungen zu mehreren externen Servern aufgebaut werden. Wo lĂ€uft die Grenze zwischen “guten” und “bösen” Dienstleitern? Welche Datenverbindungen sind erforderlich und welche nicht? Es stellt sich hier die grundsĂ€tzliche Frage: Was fĂŒr ein Internet möchten wir? Welche Antwort die Politik und Gesetzgebung mittelfristig auf diese Frage findet, bleibt abzuwarten.
Photo by Brett Jordan on Unsplash