Die EU-Kommission hatte die neuen Standarddatenschutzklauseln (SCC) bereits im Juni letzten Jahres veröffentlicht. Die darin festgesetzte Frist zur Umsetzung der SCC in Altverträgen endet in wenigen Tagen. Diese sollen das europäische Datenschutzniveau für die Übertragung personenbezogener Daten in Drittländer außerhalb der EU sicherstellen.
Nachdem US-Präsident Joe Biden am 07.10.2022 ein Dekret für ein neues Datenschutzabkommen zwischen den USA und der EU unterzeichnet hatte, erging nun der erwartete Angemessenheitsbeschluss der EU-Kommission. Darin stellte die Kommission fest, dass die USA ein der EU angemessenes Schutzniveau für die Datenübermittlung sicherstellen könne. Unter anderem sollen US-Unternehmen künftig verpflichtet werden, personenbezogene Daten nach der Übertragung zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind. Daneben sollen EU-Bürger bei Verstößen ihre Beschwerde gegenüber einem neu geschaffenen US-Gericht für Datenschutz erheben können. Dadurch soll ein effektiver Rechtsschutz für EU-Bürger und die sichere Übertragung von transatlantische Datenströme gefördert werden.
Der österreichische Datenschützer Max Schrems, der mit seinem Vorgehen vor dem Europäischen Gerichtshof das Privacy Shield Abkommen gekippt hatte, äußerte sich kritisch gegenüber dem Entwurf:
Da sich der Entscheidungsentwurf auf die bereits bekannte Executive Order stützt, glaube ich kaum, dass diese einer Anfechtung vor dem Gerichtshof standhalten wird. Die Europäische Kommission scheint immer wieder ähnliche Entscheidungen zu erlassen, die einen eklatanten Verstoß gegen unsere Grundrechte darstellen.
noyb [Datenschutzorganisation von Max Schrems] erwägt rechtliche Schritte.
Wie geht es weiter?
Die Kommission hat ihren Beschlussentwurf dem Europäischen Datenschutzausschuss (EDSA) vorgelegt, um seine Zustimmung einzuholen. Nach Abschluss des Verfahrens kann der endgültige Angemessenheitsbeschluss erlassen werden. Das könnte bereits im Frühjahr 2023 geschehen.
Photo by Conny Schneider on Unsplash
Die Übermittlung personenbezogener Daten an Dienste in den USA ist derzeit eins der kompliziertesten Themen im Datenschutz. Seit dem Wegfall des Privacy Shield Abkommens und den Entscheidungen der Aufsichtsbehörden zu Standarddatenschutzklauseln sind europäische Unternehmen rechtlicher Unsicherheit ausgesetzt, wenn sie US-amerikanische Tools und Services einsetzen möchten. Für etwas Optimismus sorgte zuletzt ein Urteil des OLG Karlsruhe. Danach dürfen europäische Unternehmen darauf vertrauen, dass personenbezogene Daten die EU nicht verlassen, wenn dies vertraglich zugesichert wird.
Hintergrund:
Aufgrund der weitreichenden Auswirkungen des Schrems-II-Urteils des EuGH (Urt. v. 16.07.2020, Rs. C‑311/18), hatten einige große amerikanische Anbieter von Software und Cloud-Diensten europäische Tochtergesellschaften gegründet und Serverstandorte in Deutschland oder anderen EU-Staaten eingerichtet. Hierdurch sollten die hohen Hürden eines sogenannten Drittland-Transfers entschärft werden, weil die Daten mutmaßlich nie die EU verlassen würden. Nach wie vor bestehen jedoch erhebliche Zweifel an der Rechtmäßigkeit der Verarbeitung durch solche Anbieter, da sie gemäß des US-Patriot Acts indirekt über ihre amerikanischen Muttergesellschaften zur Offenlegung von Daten von EU-Bürgern (beispielsweise zur Terrorabwehr) an US-Geheimdienste gezwungen werden könnten. Es wird zudem von Aufsichtsbehörden vertreten, dass die Nutzung solcher Dienste ebenfalls als Drittlandtransfer zu bewerten sei, da nicht ausgeschlossen werden könne, dass die Daten (auch) auf Servern mit Standorten in den USA durch die amerikanischen Muttergesellschaften verarbeitet würden.
Dieser Auffassung, die das bloße Risiko einer Datenübermittlung in die USA faktisch als Drittlandtransfer ansah, ist das OLG Karlsruhe nun entgegengetreten.
Urteil:
Das OLG stellte in seinem Beschluss vom 07.09.2022, Az. 15 Verg 8/22, fest, dass eine vertragliche Zusage des Anbieters, keine Daten in die USA zu übertragen, grundsätzlich ausreiche. Voraussetzung sei, dass keine unmittelbaren Zweifel oder Anhaltpunkte für einen Verstoß gegen dieses Leistungsversprechen bestehen. Hierauf dürfe das europäische Unternehmen, das den Dienst nutzen möchte, redlicher Weise vertrauen.
Eine Konzernbindung der Tochtergesellschaft an die US-amerikanische Muttergesellschaft begründe dabei noch keine ausreichenden Zweifel an der Einhaltung von EU-Normen. Die rein theoretische Zugriffsmöglichkeit der Unternehmensmutter im Drittstaat stelle gerade keine Übermittlung personenbezogener Daten und damit auch keinen Verstoß gegen Art. 44 ff. DSVGO dar. Deshalb sei es in diesen Konstellationen auch nicht erforderlich, dass der Diensteanbieter zusätzliche technische und organisatorische Maßnahmen, beispielsweise im Hinblick auf eine sichere Verschlüsselung, zusichert, wie dies der EuGH im Schrems-II-Urteil gefordert hatte. Dies gelte nämlich eben nur für echte Drittlandtransfers.
Das Urteil ist für Unternehmer insofern ein Lichtblick, da es den Einsatz zahlreicher Anbieter wie Google, Facebook, Microsoft oder Adobe erleichtert, die in der Regel europäische Tochtergesellschaften (insbesondere in Irland) betreiben. Es scheint jedoch so, als sei das letzte Wort hierzu noch nicht gesprochen. Am Ende könnte es sich um eine Frage handeln, die der Europäische Gerichtshof zu klären hätte.
Photo by Ian Battaglia on Unsplash
Anfang diesen Jahres hatte das Landgericht München I einem Internetnutzer Schadensersatz zugesprochen, weil seine Daten durch die externe Einbindung von Google Fonts an Google Server in den USA übermittelt wurden (wir hatten berichtet). Dieses Urteil nahmen einige zum Anlass, ein lukratives Geschäft mit Abmahnungen gegenüber Website-Betreibern zu machen, die Google Fonts einsetzen. Zwischenzeitlich rollte eine regelrechte Abmahnwelle über Deutschland und Österreich. Bis heute wenden sich Unternehmen an uns, die Post von Abmahnanwälten erhalten haben.
Nun äußert sich endlich auch der Tech-Gigant Google selbst in einem Blogbeitrag zu der Problematik.
In Anbetracht der jüngsten Ereignisse und der Medienberichterstattung über Google Fonts halten wir es für notwendig, die folgende Erklärung abzugeben:
[…] Google respektiert die Privatsphäre des Einzelnen. Die Google Fonts-Web-API ist so konzipiert, dass die Erfassung, Speicherung und Verwendung von Daten auf das beschränkt wird, was für die effiziente Bereitstellung von Schriftarten und für Nutzungsstatistiken erforderlich ist. Diese Daten werden sicher und getrennt von anderen Daten aufbewahrt. Google verwendet die von Google Fonts gesammelten Informationen nicht für andere Zwecke und insbesondere nicht für die Erstellung von Profilen von Endnutzern oder für Werbung. Außerdem ist die Tatsache, dass die Server von Google notwendigerweise IP-Adressen erhalten, um Schriftarten zu übertragen, keine Besonderheit von Google und entspricht der Funktionsweise des Internets.
Wenig überraschend verteidigt Google das eigene Geschäftsmodell und stellt die IP-Übermittlung als rein technisch notwendigen Vorgang dar. An der rechtlichen Würdigung dürfte dieses Argument jedoch in einem hypothetischen Gerichtsverfahren wenig ändern, schlichtweg weil es eine einfache, datensparsame Alternative gibt: die lokale Speicherung der Schriftart.
Auf der anderen Seite: Was heißt “lokal”? Kein Unternehmen hostet seine Website auf eigenen Servern im Keller, sondern bei kommerziellen Hosting-Providern. Dazu kommt: Websites sind heute nicht mehr statische html-Skripte. Stattdessen sind sie aus einer Vielzahl verschiedener Inhalte unterschiedlichster Art von verschiedenen Anbietern zusammengesetzt (Fotos, Videos, Landkarten, Animationen, Chatfunktionen etc.). Dieser Content wird in aller Regel von externen Diensten bereitgestellt, sodass beim Aufruf fast jeder Website Datenverbindungen zu mehreren externen Servern aufgebaut werden. Wo läuft die Grenze zwischen “guten” und “bösen” Dienstleitern? Welche Datenverbindungen sind erforderlich und welche nicht? Es stellt sich hier die grundsätzliche Frage: Was für ein Internet möchten wir? Welche Antwort die Politik und Gesetzgebung mittelfristig auf diese Frage findet, bleibt abzuwarten.
Photo by Brett Jordan on Unsplash
Nach bereits zwei gescheiterten Abkommen zwischen den USA und der EU soll nun das neue Datenschutzabkommen „Trans-Atlantic Data Privacy Framework“ wieder für mehr Rechtssicherheit beim transatlantischen Datentransfer sorgen. Dadurch soll sichergestellt werden, dass die Übermittlung von personenbezogenen Daten aus der EU in die USA auf einem angemessenen (sprich: europäischen) Schutzniveau erfolgen soll. Ob das neue Regelwerk wirklich geeignet ist, den Unternehmen die Unsicherheit beim Datentransfer zu nehmen und insbesondere ob das Abkommen einer Prüfung durch den EuGH standhalten wird, bleibt bisher noch offen. Read more
Gemäß Art. 15 DSGVO haben betroffene Personen gegen Unternehmen einen Anspruch auf Auskunft über die sie betreffenden personenbezogenen Daten. Dies soll den Bürgern ermöglichen, sich “der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können” (Erwägungsgrund 63 zur DSGVO). In der Praxis kommt es jedoch immer wieder vor, dass betroffene Personen den Auskunftsanspruch “zweckentfremden”, um Unternehmen zu gängeln und um Aufwand zu produzieren, beispielsweise wenn sich über unbezahlte Rechnungen gestritten wird. Dem haben mehrere Gerichte zuletzt einen Riegel vorgeschoben.