Tag Archive for: USA

Update: EDSA nimmt Stellung zum Trans-Atlantic Data Privacy Framework

Der EuropĂ€ische Datenschutzausschuss (EDSA) hat eine Stellungnahme zum Entwurf eines Angemessenheitsbeschlusses fĂŒr das Trans-Atlantic Data Privacy Framework veröffentlicht. Darin werden die wesentlichen Verbesserungen, wie die EinfĂŒhrung von Anforderungen an Notwendigkeit und VerhĂ€ltnismĂ€ĂŸigkeit fĂŒr die Datenerhebung, befĂŒrwortet. Kritisiert wird jedoch weiterhin das Festhalten am Instrument der MassenĂŒberwachung und die fehlende Transparenz im Rechtschutzverfahren. Der endgĂŒltige Angemessenheitsbeschluss muss noch erlassen werden und wĂŒrde die dringend benötigte Rechtssicherheit schaffen. Der Leitgedanke der Vereinbarung bleibt weiterhin ein der EU gleichwertiges Datenschutzniveau bei der DatenĂŒbermittlung in die USA sicherzustellen.

In einer Pressemitteilung Ă€ußerte sich der Bundesbeauftragte fĂŒr den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber wie folgt:

Wir sehen den Willen, ein angemessenes Schutzniveau fĂŒr Betroffene, deren personenbezogenen Daten an Unternehmen in die USAÂ ĂŒbermittelt werden, zu schaffen. Deutliche Fortschritte gibt es insbesondere im Bereich des Government Access fĂŒr Zwecke der nationalen Sicherheit. Bedenken haben wir, ob die neuen Regelungen in allen Punkten ein Schutzniveau gewĂ€hrleisten, das den EU-Datenschutzstandards der Sache nach gleichwertig ist.

 

Foto von Hunter Harritt auf Unsplash

OLG Karlsruhe: Nutzung amerikanischer Cloud-Dienste mit EU-Servern erleichtert

Die Übermittlung personenbezogener Daten an Dienste in den USA ist derzeit eins der kompliziertesten Themen im Datenschutz. Seit dem Wegfall des Privacy Shield Abkommens und den Entscheidungen der Aufsichtsbehörden zu Standarddatenschutzklauseln sind europĂ€ische Unternehmen rechtlicher Unsicherheit ausgesetzt, wenn sie US-amerikanische Tools und Services einsetzen möchten. FĂŒr etwas Optimismus sorgte zuletzt ein Urteil des OLG Karlsruhe. Danach dĂŒrfen europĂ€ische Unternehmen darauf vertrauen, dass personenbezogene Daten die EU nicht verlassen, wenn dies vertraglich zugesichert wird. 

 Hintergrund:

Aufgrund der weitreichenden Auswirkungen des Schrems-II-Urteils des EuGH (Urt. v. 16.07.2020, Rs. C‑311/18), hatten einige große amerikanische Anbieter von Software und Cloud-Diensten europĂ€ische Tochtergesellschaften gegrĂŒndet und Serverstandorte in Deutschland oder anderen EU-Staaten eingerichtet. Hierdurch sollten die hohen HĂŒrden eines sogenannten Drittland-Transfers entschĂ€rft werden, weil die Daten mutmaßlich nie die EU verlassen wĂŒrden. Nach wie vor bestehen jedoch erhebliche Zweifel an der RechtmĂ€ĂŸigkeit der Verarbeitung durch solche Anbieter, da sie gemĂ€ĂŸ des US-Patriot Acts indirekt ĂŒber ihre amerikanischen Muttergesellschaften zur Offenlegung von Daten von EU-BĂŒrgern (beispielsweise zur Terrorabwehr) an US-Geheimdienste gezwungen werden könnten. Es wird zudem von Aufsichtsbehörden vertreten, dass die Nutzung solcher Dienste ebenfalls als Drittlandtransfer zu bewerten sei, da nicht ausgeschlossen werden könne, dass die Daten (auch) auf Servern mit Standorten in den USA durch die amerikanischen Muttergesellschaften verarbeitet wĂŒrden.

Dieser Auffassung, die das bloße Risiko einer DatenĂŒbermittlung in die USA faktisch als Drittlandtransfer ansah, ist das OLG Karlsruhe nun entgegengetreten.

Urteil:

Das OLG stellte in seinem Beschluss vom 07.09.2022, Az. 15 Verg 8/22, fest, dass eine vertragliche Zusage des Anbieters, keine Daten in die USA zu ĂŒbertragen, grundsĂ€tzlich ausreiche. Voraussetzung sei, dass keine unmittelbaren Zweifel oder Anhaltpunkte fĂŒr einen Verstoß gegen dieses Leistungsversprechen bestehen. Hierauf dĂŒrfe das europĂ€ische Unternehmen, das den Dienst nutzen möchte, redlicher Weise vertrauen.

Eine Konzernbindung der Tochtergesellschaft an die US-amerikanische Muttergesellschaft begrĂŒnde dabei noch keine ausreichenden Zweifel an der Einhaltung von EU-Normen. Die rein theoretische Zugriffsmöglichkeit der Unternehmensmutter im Drittstaat stelle gerade keine Übermittlung personenbezogener Daten und damit auch keinen Verstoß gegen Art. 44 ff. DSVGO dar. Deshalb sei es in diesen Konstellationen auch nicht erforderlich, dass der Diensteanbieter zusĂ€tzliche technische und organisatorische Maßnahmen, beispielsweise im Hinblick auf eine sichere VerschlĂŒsselung, zusichert, wie dies der EuGH im Schrems-II-Urteil gefordert hatte. Dies gelte nĂ€mlich eben nur fĂŒr echte Drittlandtransfers.

Das Urteil ist fĂŒr Unternehmer insofern ein Lichtblick, da es den Einsatz zahlreicher Anbieter wie Google, Facebook, Microsoft oder Adobe erleichtert, die in der Regel europĂ€ische Tochtergesellschaften (insbesondere in Irland) betreiben. Es scheint jedoch so, als sei das letzte Wort hierzu noch nicht gesprochen. Am Ende könnte es sich um eine Frage handeln, die der EuropĂ€ische Gerichtshof zu klĂ€ren hĂ€tte.

 

Photo by Ian Battaglia on Unsplash

Licht am Ende des Tunnels? Neues Datenschutzabkommen zwischen EU und USA wird konkreter 

Nach bereits zwei gescheiterten Abkommen zwischen den USA und der EU soll nun das neue Datenschutzabkommen „Trans-Atlantic Data Privacy Framework“ wieder fĂŒr mehr Rechtssicherheit beim transatlantischen Datentransfer sorgen. Dadurch soll sichergestellt werden, dass die Übermittlung von personenbezogenen Daten aus der EU in die USA auf einem angemessenen (sprich: europĂ€ischen) Schutzniveau erfolgen soll. Ob das neue Regelwerk wirklich geeignet ist, den Unternehmen die Unsicherheit beim Datentransfer zu nehmen und insbesondere ob das Abkommen einer PrĂŒfung durch den EuGH standhalten wird, bleibt bisher noch offen. Read more

Dringender Handlungsbedarf beim Einsatz von Mailchimp

Das Bayerische Landesamt fĂŒr Datenschutzaufsicht (BayLDA) hat einem in MĂŒnchen ansĂ€ssigen Unternehmen untersagt, fĂŒr den Versand von Newslettern den US-amerikanischen Dienstleister „Mailchimp“ zu nutzen. Dem Verbot vorausgegangen war eine Beschwerde durch einen Newsletter-EmpfĂ€nger. Die Entscheidung hat fĂŒr Unternehmen, welche Mailchimp oder einen anderen US-Mailingdienst nutzen, weitreichende Folgen.

Mailchimp gehört zu den populĂ€rsten Anbietern von Newsletter-Diensten, da die Software eine einfache Bedienung, sowie ein umfangreiches Funktionsspektrum verspricht. Es handelt sich bei Mailchimp um eine Software-as-a-Service-Lösung (SaaS), sodass die Software nicht auf den Servern nutzenden Unternehmens installiert wird. Die E-Mail-Adressen der EmpfĂ€nger werden stattdessen auf die US-amerikanischen Server von Mailchimp ĂŒbermittelt und dort verarbeitet.

Read more