News

Der CLOUD Act – Zugriff von US-Behörden auf Daten in der EU

Die Bedeutung von elektronischem Beweismaterial für Strafverfahren hat in den vergangenen Jahren immens zugenommen. Daher ist der Zugang zu elektronischen Daten für die Strafverfolgungsbehörden elementar. Befinden sich diese Daten im Ausland außerhalb des eigenen Hoheitsgebietes, ist der behördliche Zugriff jedoch nicht ohne weiteres
möglich. Der US-CLOUD Act (Clarifying Lawful Overseas Use of Data Act) soll den Zugriff von US-Behörden auf elektronische Daten zur Strafverfolgung erleichtern. Im Juli 2019 nahm der Europäische Datenschutzausschuss (EDSA) Stellung zu diesem US-Gesetz.

Der US-CLOUD Act trat im März 2018 in Kraft und erlaubt US-Behörden, auf personenbezogene Daten zuzugreifen, die im Besitz oder unter der Kontrolle von US-Unternehmen sind – auch dann, wenn sich diese Daten außerhalb der USA befinden. Das Gesetz gilt nur für Anbieter elektronischer Kommunikationsdienstleistungen.

Der direkte Zugriff durch US-Behörden auf Daten außerhalb des US-Hoheitsgebietes ist rechtlich umstritten. Während staatliche Stellen in den USA einen solchen Zugriff bei US-Unternehmen als zulässig ansehen und den CLOUD Act lediglich als Klarstellung verabschiedet haben, betrachtet die EU sämtliche personenbezogenen Daten in ihrem Hoheitsgebiet als durch EU-Recht vor Zugriffen Dritter geschützt. Auch ein US-Gericht hatte einen solchen direkten Zugriff auf personenbezogene Daten eines US-Unternehmens in der
EU untersagt (Berufungsentscheidung des Second U.S. Circuit Court of Appeals vom Juli 2016. Die hiergegen gerichtete Beschwerde der US-Regierung wurde im Januar 2017 zurückgewiesen).

Rechtskonflikt mit der DS-GVO
Die Datenschutz-Grundverordnung (DS-GVO) sieht in Art. 48 vor, dass Drittländer per Gerichtsurteil oder Entscheidung von Verwaltungsbehörden von einem europäischen Datenverarbeiter die Übermittlung personenbezogener Daten verlangen können. Allerdings nur dann, wenn hierfür ein Rechtshilfeabkommen zwischen dem Drittland und der EU bzw. einem EU-Mitgliedsstaat vorliegt.

Rechtshilfeabkommen sehen in der Regel einen Austausch der personenbezogenen Daten über zwischengeschaltete staatliche Stellen vor, welche die Rechtmäßigkeit der geplanten Herausgabe prüfen. Eine direkte Herausgabe der Daten an Behörden in Drittländern ist gerade nicht erlaubt. Der Gesetzgeber hat sich mit dieser Regelung in Art. 48 DS-GVO dafür entschieden, ein deutliches Zeichen gegen eine ungeregelte Herausgabe von personenbezogenen Daten aus dem Bereich der EU zu setzen und insbesondere eine Umgehung bestehender Rechtshilfeabkommen zu verhindern.

Unternehmen mit US-amerikanischem Hauptsitz, welche den Regelungen des CLOUD Act unterliegen und Anordnungen von US-Behörden Folge leisten müssen und gleichzeitig als Datenverarbeiter in der EU die Regelung des Art. 48 DS-GVO beachten müssen, befinden sich nun zwangsläufig in einem Rechtskonflikt. Bereits in den Leitlinien 2/2018 zu Einzelfragen des internationalen Datenverkehrs befasste sich der EDSA mit dieser Frage und empfahl betroffenen Unternehmen, sofern eine internationale Übereinkunft besteht, direkte Anfragen zurückzuweisen und die ersuchende Behörde des Drittstaats auf den Weg über bestehende Rechtshilfeabkommen zu verweisen.

EDSA sieht Bedarf für neues Abkommen
Auch in der europäischen Politik ist der beschriebene Rechtskonflikt wahrgenommen worden:
Im März 2019 bat der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) des EU-
Parlaments den EDSA um eine rechtliche Bewertung zu den Auswirkungen des CLOUD Act auf
europäisches Datenschutzrecht.

Der EDSA hebt in seiner Stellungnahme die Rechtsnorm des Art. 48 DS-GVO hervor, welche gerade das Ziel hat, Datentransfers bzw. -offenlegungen an Behörden in Drittstaaten zu regeln. Der CLOUD Act sei der Versuch, die bestehenden Rechtshilfeabkommen zu umgehen. Demgemäß stellt der EDSA klar, dass die Anforderung einer ausländischen Behörde zur Übermittlung personenbezogener Daten nur dann als rechtliche Verpflichtung des Verantwortlichen nach Art. 6 Abs. 1 lit. c DS-GVO angesehen werden könne, wenn sie auf einem internationalen Abkommen beruhe. Insofern sieht der EDSA Bedarf für ein neues internationales Abkommen zwischen EU und USA, welches hohe datenschutzrechtliche Standards definiert.

Im Übrigen sei eine Herausgabe von personenbezogenen Daten an Behörden eines Drittlandes
nur in sehr engen Grenzen zulässig. Der EDSA hält die Übermittlung nur ausnahmsweise für
zulässig, wenn außergewöhnliche Umstände vorliegen, etwa zum Schutz lebenswichtiger Interessen einer betroffenen Person (Art. 6 Abs. 1 lit. d i.V.m. Art. 49 Abs. 1 lit. f DS-GVO). Dagegen sieht der EDSA keine Übermittlungsbefugnis aufgrund berechtigter Interessen (Art. 49 Abs. 1 Satz 2 DS-GVO). In der anzustrengenden Interessenabwägung überwiege hier das Schutzinteresse der Betroffenen vor Herausgabe ihrer personenbezogenen Daten, da der Verantwortliche nicht in der Lage sei, die für den Datentransfer vorausgesetzten Garantien für den Schutz der Daten zu geben.

Fazit des EDSA: Eine Herausgabe von personenbezogenen Daten allein auf Grundlage von behördlichen Anforderungen aus den USA auf Basis des CLOUD Act sei in der Regel unzulässig.

Der Rechtskonflikt für die betroffenen Unternehmen bleibt damit zunächst bestehen. Allerdings
hat die EU-Kommission 2019 mit den Verhandlungen über ein Abkommen mit den USA begonnen, das die Gewährung eines gegenseitigen Zugangs zu personenbezogenen Daten in Form von elektronischen Beweismitteln beinhalten soll. Aus Sicht des Datenschutzes sollte das Abkommen ausreichende Garantien und Rechtshilfemöglichkeiten für betroffene Personen enthalten.

Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 26ff.

Quelle: NIBIS Portal Datenschutz Der CLOUD Act – Zugriff von US-Behörden auf Daten in der EU

Thiel: Datenschutz darf bei Digitalisierung nicht ins Hintertreffen geraten

Auf der Homepage der Landesbeauftragten für den Datenschutz Niedersachsen (LfD) erschien folgende Meldung:

Tätigkeitsbericht 2019

Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen, Barbara Thiel, fordert angesichts der zunehmenden Digitalisierung in Wirtschaft, Schulen und Verwaltung, den Datenschutz nicht aus den Augen zu verlieren. „Die Corona-Krise zeigt überdeutlich, wie sehr unsere Gesellschaft von einer funktionierenden digitalen Infrastruktur abhängt“, sagte Thiel am Donnerstag bei der Vorstellung ihres Tätigkeitsberichts 2019 in Hannover.

„Mobiles Arbeiten und digitales Lernen werden in Zukunft mehr Raum im Berufs-, Schul- und Universitätsleben einnehmen als je zuvor. Umso wichtiger wird es sein, dabei auch den Datenschutz in gebührender Weise zu berücksichtigen“, so Thiel. „Datenschutz verhindert die Digitalisierung nicht. Er macht vielmehr eine Digitalisierung möglich, die nicht nur das technisch Machbare und wirtschaftliche Gewinne in den Blick nimmt, sondern auch die Interessen der betroffenen Bürgerinnen und Bürger.“

Datenschutz hat bei Abwägung oft das Nachsehen

Immer wieder wird der Datenschutz allerdings lediglich als Hindernis gesehen, das es aus dem Weg zu räumen gilt. „Wenn die informationelle Selbstbestimmung gegen ein anderes Gut abgewogen wird, hat der Datenschutz viel zu häufig das Nachsehen“, kritisiert Thiel. Besonders deutlich sei dies 2019 in der Weigerung der Niedersächsischen Landesregierung zum Ausdruck gekommen, ihre Facebook-Fanpages zu deaktivieren, obwohl diese momentan nicht rechtskonform betrieben werden könnten.

„Datenschutz ist kein Luxusgut, sondern ein Grundrecht, das geachtet und verteidigt werden muss“, so die Landesdatenschutzbeauftragte. Das müsse unter anderem beim Erlass neuer Gesetze und Verordnungen berücksichtigt werden – auch in Krisenzeiten. „Während der Corona-Pandemie wurde meine Behörde häufig nur unzureichend oder überhaupt nicht in die Gesetzgebung eingebunden, obwohl das dringend nötig gewesen wäre“, so Thiel. „Das ist ein äußerst unbefriedigender Zustand, der sich auf keinen Fall so verstetigen darf.“

Bereit zum konstruktiven und offenen Austausch

Dass datenschutzrechtliche Vorgaben sich mit einer zügigen und effizienten Gesetzgebung vereinbaren lassen, zeigte sich 2019 zum Beispiel in den Verfahren zur Novellierung bzw. Änderung des Niedersächsischen Justizvollzugs- und des Schulgesetzes. „Wir sind immer zu einem offenen und konstruktiven Austausch bereit“, so die Datenschutzbeauftragte. „Damit das gelingt, müssen aber auch Gesetzgeber und Exekutive den Datenschutz wirklich ernst nehmen und von Anfang an einbeziehen.“

Der vollständige Tätigkeitsbericht 2019 als PDF-Dokument.

Pressemitteilung als PDF-Dokument.

Quelle: NIBIS Portal Datenschutz Thiel: Datenschutz darf bei Digitalisierung nicht ins Hintertreffen geraten

Häufig gestellte Fragen zum Urteil des Gerichtshofs der Europäischen Union in der Rechtssache C-311/18—Data Protection Commissioner gegen Facebook Ireland Ltd und Maximillian Schrems

Hier finden Sie die Informationen des Europäischen Datenschutzausschusses zum oben angegebenen Urteil des EuGH vom 16.07.2020. Der Link zum Dokument lautet:

https://edpb.europa.eu/our-work-tools/our-documents/ovrigt/frequently-asked-questions-judgment-court-justice-european-union_de

Angenommen am Donnerstag, 23. Juli 2020

Dieses Dokument soll Antworten auf einige häufig gestellte Fragen liefern, die bei den Aufsichtsbehörden („AB“) eingehen, und wird zusammen mit weiteren Analysen ausgearbeitet und ergänzt werden, da der EDSA (Europäischer Datenschutzausschuss) das Urteil des Gerichtshofs der Europäischen Union (im Folgenden„Gerichtshof“) weiterhin prüft und bewertet.

Das Urteil C-311/18 finden Sie hier, und die Pressemitteilung des Gerichtshofs finden Sie hier.

  1. Was hat der Gerichtshof in seinem Urteil entschieden?
    Der Gerichtshof hat in seinem Urteil die Gültigkeit des Beschlusses 2010/87/EU der Europäischen Kommission über Standardvertragsklauseln (Standard Contractual Clauses, SCCs) geprüft und ihn für gültig befunden. In der Tat wird die Gültigkeit dieses Beschlusses nicht durch die bloße Tatsache in Frage gestellt, dass die in dieser Entscheidung enthaltenen Standarddatenschutzklauseln, da sie vertraglicher Natur sind, die Behörden des Drittstaats, in den die Daten übermittelt werden, nicht binden.

    Diese Gültigkeit hängt jedoch, so der Gerichtshof, davon ab, ob der Beschluss 2010/87/EU wirksame Mechanismen enthält, die es in der Praxis ermöglichen, die Einhaltung des Schutzniveaus sicherzustellen, das dem in der EU durch die DSGVO garantierten im Wesentlichen gleichwertig ist, und dass die Übermittlung personenbezogener Daten gemäß diesen Klauseln ausgesetzt oder untersagt wird, wenn diese Klauseln verletzt werden oder nicht eingehalten werden können.

    In diesem Zusammenhang weist das Gericht insbesondere darauf hin, dass der Beschluss2010/87/EU einen Datenexporteur und den Datenempfänger (den „Datenimporteur“) verpflichtet, vor jeder Datenübermittlung und unter Berücksichtigung der Umstände der Datenübermittlung zu prüfen, ob dieses Schutzniveau in dem betreffenden Drittland eingehalten wird, und dass der Datenimporteur nach dem Beschluss 2010/87/EU verpflichtet ist, den Datenexporteur darüber zu informieren, dass er nicht in der Lage ist, die Standarddatenschutzklauseln einzuhalten, und gegebenenfalls zusätzliche Maßnahmen zu den durch diese Klausel angebotenen Maßnahmen zu ergreifen, wobei der Datenexporteur dann seinerseits verpflichtet ist, die Übermittlung der Daten auszusetzen und/oder den Vertrag mit dem Datenimporteur zu beenden.

    Der Gerichtshof prüfte auch die Gültigkeit des Beschlusses über den Datenschutzschild (Beschluss2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes), da die Übermittlungen, um die es im Zusammenhang mit dem nationalen Rechtsstreit ging, der zu dem Vorabentscheidungsersuchen führte, zwischen der EU und den Vereinigten Staaten („USA“) stattfanden.

    Der Gerichtshof vertrat die Auffassung, dass die Anforderungen des innerstaatlichen Rechts der USA und insbesondere bestimmter Programme, die den Zugriff aus Gründen der nationalen Sicherheit durch Behörden der USA zu personenbezogenen Daten ermöglichen, die aus der EU in die USA übermittelt werden, zu Einschränkungen des Schutzes personenbezogener Daten führen, die nicht in einer Weise beschränkt sind, dass sie den Anforderungen des EU-Rechts im Wesentlichen gleichwertig sind
    (Der Gerichtshof betont, dass bestimmte Überwachungsprogramme, die den Behörden der USA aus Gründender nationalen Sicherheit den Zugang zu personenbezogenen Daten ermöglichen, die aus der EU in die USAübermittelt werden, keine Beschränkungen der den US-Behörden übertragenen Befugnisse oder Garantien fürmöglicherweise betroffene Personen außerhalb der USA vorsehen.)‚ und dass diese Rechtsvorschriften den betroffenen Personen keine Rechte einräumen, die gegen die US-Behörden gerichtlich geltend gemacht werden können.

    Infolge eines solchen Eingriffs in die Grundrechte von Personen, deren Daten in dieses Drittland übermittelt werden, erklärte der Gerichtshof den Angemessenheitsbeschluss zum Datenschutzschild für ungültig.

  2. Hat das Urteil des Gerichtshofs Auswirkungen auf andere Übermittlungsinstrumente als denDatenschutzschild?
    Im Allgemeinen gilt der vom Gerichtshof festgelegte Schwellenwert für Drittländer auch für alle geeigneten Garantien nach Artikel 46 DSGVO, die für die Übermittlung von Daten aus dem EWR in Drittländer verwendet werden. Das vom Gerichtshof angeführte US-Recht (d.h. Paragraph702 Foreign Intelligence Surveillance Act (FISA) und EO 12 333) gilt für jede Übermittlung in die USA auf elektronischem Wege, die in den Anwendungsbereich dieser Rechtsvorschriften fällt, unabhängig davon, welches Übermittlungsinstrument für die Übermittlung verwendet wird (Paragraph702 FISA gilt für alle „Anbieter elektronischer Kommunikationsdienste“ (siehe Definition in 50 U.S.Code §1881 (b) (4)), während EO12 333 die elektronische Überwachung regelt, die definiert ist als der „Erwerb einer nicht öffentlichen Kommunikation auf elektronischem Wege ohne die Zustimmung einer Person, die an einer elektronischen Kommunikation beteiligt ist, oder –im Falle einer nicht elektronischen Kommunikation– ohne die Zustimmung einer Person, die am Ort der Kommunikation sichtbar anwesend ist, jedoch nicht die Verwendung eines Funkpeilgeräts ausschließlich zur Bestimmung des Standorts der Funkverbindung“ (3.4; b).)
  3. Gibt es eine Schonfrist, innerhalb der ich weiterhin Daten in die USA übermitteln kann, ohne meine Rechtsgrundlage für die Übermittlung prüfen zu müssen?
    Nein, der Gerichtshof hat den Beschluss über den Datenschutzschild für ungültig erklärt, ohne die Wirkungen des Beschlusses aufrechtzuerhalten, da das vom Gerichtshof geprüfte US-Recht kein der EU im Wesentlichen gleichwertiges Schutzniveau bietet. Dies ist bei jeder Übermittlung von Daten in die USA zu berücksichtigen.
  4. Ich habe Daten an einen US-amerikanischen Datenimporteur übermittelt, der dem Datenschutzschild beigetreten ist, was sollte ich jetzt tun?
    Übermittlungen auf der Grundlage von diesem Rechtsrahmen sind rechtswidrig. Falls Sie weiterhin Daten in die USA übermitteln möchten, müssen Sie prüfen, ob dies unter den nachstehenden Bedingungen möglich ist.
  5. Ich nutze für die Übermittlung von Daten an einen Datenimporteur in den USA SSCs, was sollte ich jetzt tun?
    Der Gerichtshof stellte fest, dass das US-Recht (d. h. Paragraph 702 FISA und Paragraph EO 12 333) kein im Wesentlichen gleichwertiges Schutzniveau gewährleistet.

    Ob Sie personenbezogene Daten auf der Grundlage von Standardvertragsklauseln übermitteln dürfen oder nicht, hängt vom Ergebnis Ihrer eigenen Prüfung ab, wobei die Umstände der Übermittlungen und etwaige zusätzliche Maßnahmen zu berücksichtigen sind. Die zusätzlichen Maßnahmen zusammen mit den Standardvertragsklauseln müssten nach einer Einzelfallanalyse der Umstände der Übermittlung sicherstellen, dass das US-Recht das von ihnen gewährleistete angemessene Schutzniveau nicht beeinträchtigt.

    Falls Sie zu dem Schluss kommen, dass unter Berücksichtigung der Umstände der Übermittlung und etwaiger zusätzlicher Maßnahmen keine angemessenen Garantien gewährleistet sind, sind Sie verpflichtet, die Übermittlung personenbezogener Daten auszusetzen oder zu beenden. Beabsichtigen Sie dagegen, die Daten trotz dieser Schlussfolgerung weiterhin zu übermitteln,müssen Sie dies Ihrer zuständigen Aufsichtsbehörde mitteilen (Siehe insbesondere Erwägungsgrund 145 des Urteils des Gerichtshofs und Nummer 4 Buchstabe g des Beschlusses 2010/87/EU der Kommission sowie Nummer 5 Buchstabe a des Beschlusses 2001/497/EG der Kommission und Anhang Set II Buchstabe c des Beschlusses 2004/915/EG der Kommission.).

  6. Ich verwende mit einem Unternehmen in den USA verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, „BCR“), was sollte ich jetzt tun?
    Angesichts des Urteils des Gerichtshofs, mit dem der Datenschutzschild wegen des Ausmaßes des Eingriffs durch das US-Recht in die Grundrechte von Personen, deren Daten in dieses Drittland übermittelt werden, für ungültig erklärt wurde, und angesichts der Tatsache, dass der Datenschutzschild auch dazu bestimmt war, Garantien für Daten zu bieten, die mit anderen Instrumenten wie etwa den BCR übermittelt wurden, gilt die Einschätzung des Gerichtshofs auch im Zusammenhang mit den BCR, da das US-Recht ebenfalls Vorrang vor diesem Instrument haben wird.

    Ob Sie personenbezogene Daten auf der Grundlage von BCR übermitteln dürfen oder nicht, hängt vom Ergebnis Ihrer eigenen Einschätzung ab, wobei die Umstände der Übermittlungen und etwaige zusätzliche Maßnahmen zu berücksichtigen sind. Diese zusätzlichen Maßnahmen müssten zusammen mit den BCR nach einer Einzelfallanalyse der Umstände der Übermittlung sicherstellen, dass das US-Recht das garantierte, angemessene Schutzniveau nicht beeinträchtigt.

    Falls Sie zu dem Schluss kommen, dass unter Berücksichtigung der Umstände der Übermittlung und etwaiger zusätzlicher Maßnahmen keine angemessenen Garantien gewährleistet sind, sind Sie verpflichtet, die Übermittlung personenbezogener Daten auszusetzen oder zu beenden. Falls Sie jedoch beabsichtigen, die Daten trotz dieser Schlussfolgerung weiterhin zu übermitteln, müssen Sie dies Ihrer zuständigen Aufsichtsbehörde mitteilen (Siehe insbesondere Erwägungsgrund 145 des Urteils des Gerichtshofs und Artikel 4 Buchstabe g des Beschlusses 2010/87/EU der Kommission. Siehe auch Paragraph 6.3 WP256 Rev. 01 (Artikel-29-Datenschutzgruppe, Arbeitsdokument mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher interner Datenschutzvorschriften (BCR), das vom EDSA angenommen wurde http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614109) und Paragraph 6.3 WP257 Rev.01 (Artikel-29-Datenschutzgruppe, Arbeitsdokument mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher interner Datenschutzvorschriften (BCR) für Auftragsverarbeiter, das vom EDSA angenommen wurde http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614110).

  7. Wie sieht es mit anderen Übermittlungsinstrumenten gemäß Artikel46 DSGVO aus?
    Der EDSA wird die Auswirkungen des Urteils auf andere Übermittlungsinstrumente als SCCs und BCR bewerten. In dem Urteil wird klargestellt, dass der Standard für geeignete Garantien in Artikel 46 DSGVO der der „wesentlichen Gleichwertigkeit“ ist.

    Wie der Gerichtshof betont hat, ist darauf hinzuweisen, dass Artikel46 in Kapitel V der Datenschutz-Grundverordnung enthalten ist und daher im Lichte von Artikel 44 der Datenschutz-Grundverordnung zu lesen ist, der besagt: „Alle Bestimmungen dieses Kapitels sind anzuwenden, um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.“

  8. Kann ich mich auf eine der Ausnahmeregelungen von Artikel 49 DSGVO berufen, um Daten in die USA zu übermitteln?
    Es ist nach wie vor möglich, Daten aus dem EWR in die USA auf der Grundlage der in Artikel 49 DSGVO vorgesehenen Ausnahmeregelungen zu übermitteln, sofern die in diesem Artikel festgelegten Bedingungen erfüllt sind. Der Europäische Datenschutzausschuss verweist auf seine Leitlinien zu dieser Bestimmung (Leitlinien des EDSA 2/2018 zu den Ausnahmen nach Artikel 49 der Verordnung (EU) 2016/679, angenommen am 25.Mai 2018, https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_de.pdf, S.3.).

    Insbesondere sollte daran erinnert werden, dass bei Übermittlungen, die auf der Grundlage der Einwilligung der betroffenen Person beruhen, folgende Bedingungen gelten: Die Einwilligung
    – muss ausdrücklich sein,
    – muss für den bestimmten Fall der betreffenden Datenübermittlung bzw. Reihe von Übermittlungen erteilt werden (d.h. der Datenexporteur muss dafür sorgen, dass vor der Übermittlung eine ausdrückliche Einwilligung eingeholt wird, auch wenn dies erst nach der Erhebung der Daten geschieht) und
    – muss in Kenntnis der Sachlage erfolgen, insbesondere, was die möglichen Risiken der Übermittlung betrifft (d.h. die betroffene Person muss auch über die spezifischen Risiken unterrichtet werden, die sich daraus ergeben, dass ihre Daten in ein Land übermittelt werden, das keinen angemessenen Schutz bietet und in dem keine geeigneten Garantien zum Schutz der Daten vorgesehen werden).

    In Bezug auf Übermittlungen, die für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen erforderlich sind‚ ist zu berücksichtigen, dass personenbezogene Daten nur dann übermittelt werden dürfen, wenn die Übermittlung nur gelegentlich erfolgt. Es müsste von Fall zu Fall festgestellt werden, ob Datenübermittlungen als „gelegentlich“ oder als „nicht gelegentlich“ zu betrachten sind. In jedem Fall kann diese Ausnahmeregelung nur dann geltend gemacht werden, wenn die Übermittlung für die Erfüllung des Vertrags tatsächlich erforderlich ist.

    In Bezug auf Übermittlungen, die aus wichtigen Gründen des öffentlichen Interesses notwendig sind (die in den Rechtsvorschriften der EU oder der Mitgliedstaaten (Soweit hier auf „Mitgliedstaaten“ Bezug genommen wird, ist dies als Bezugnahme auf „EWR-Mitgliedstaaten“zu verstehen.) anerkannt werden müssen), weist der EDSA darauf hin, dass die wesentliche Voraussetzung für die Anwendbarkeit dieser Ausnahmeregelung die Feststellung eines wichtigen öffentlichen Interesses und nicht die Art der Organisation ist, und dass diese Ausnahmeregelung zwar nicht auf „gelegentliche“Datenübermittlungen beschränkt ist, dies jedoch nicht bedeutet, dass Datenübermittlungen auf der Grundlage der wichtigen Ausnahmeregelung im öffentlichen Interesse in großem Umfang und systematisch erfolgen können. Vielmehr muss der allgemeine Grundsatz beachtet werden, wonach die Ausnahmen gemäß Artikel 49 DSGVO in der Praxis nicht zur „Regel“ werden dürfen, sondern auf bestimmte Situationen beschränkt bleiben müssen, wobei jeder Datenexporteur sicherstellen muss, dass die Übermittlung der strengen Notwendigkeitsprüfung entspricht.

  9. Kann ich weiterhin SCCs oder BCR verwenden, um Daten in ein anderes Drittland als die USA zu übermitteln?
    Der Gerichtshof hat darauf hingewiesen, dass Standardvertragsklauseln in der Regel immer noch für die Übermittlung von Daten in ein Drittland verwendet werden können, der vom Gerichtshof festgelegte Schwellenwert für Übermittlungen in die USA jedoch auch für jedes andere Drittland gilt. Gleiches gilt für die BCR.

    Der Gerichtshof wies daraufhin, dass es in der Verantwortung des Datenexporteurs und des Datenimporteurs liegt, zu beurteilen, ob das vom EU-Recht geforderte Schutzniveau in dem betreffenden Drittland eingehalten wird, um festzustellen, ob die Garantien der Standardvertragsklauseln oder der BCR in der Praxis eingehalten werden können. Ist dies nicht der Fall, sollten Sie prüfen, ob Sie zusätzliche Maßnahmen ergreifen können, um ein im Wesentlichen gleichwertiges Schutzniveau wie im EWR zu gewährleisten, und ob das Recht des Drittlandes diese zusätzlichen Maßnahmen nicht beeinträchtigt, um deren Wirksamkeit zu verhindern.

    Sie können sich an Ihren Datenimporteur wenden, um die Rechtsvorschriften seines Landes zu überprüfen und bei der Beurteilung zusammenzuarbeiten. Sollten Sie oder der Datenimporteur in dem Drittland feststellen, dass die im Rahmen der Standardvertragsklauseln oder der BCR übermittelten Daten keinen Schutz genießen, der dem im EWR garantierten Schutzniveau im Wesentlichen gleichwertig ist, sollten Sie die Übermittlungen unverzüglich aussetzen. Falls dies nicht der Fall ist, müssen Sie Ihre zuständige Aufsichtsbehörde benachrichtigen (Siehe insbesondere Erwägungsgrund 145 des Urteils des Gerichtshofs. Zu Standardvertragsklauseln siehe Nummer 4 Buchstabe g des Beschlusses 2010/87/EU der Kommission sowie Nummer 5 Buchstabe a des Beschlusses 2001/497/EG der Kommission und Anhang Teil II Buchstabe c des Beschlusses 2004/915/EG der Kommission. Zu BCR siehe Paragraph 6.3 WP256 Rev. 01 (vom EDSA angenommen) und Paragraph 6.3 WP257 Rev. 01 (vom EDSA angenommen)).

    Obwohl es, wie der Gerichtshof betont hat, in erster Linie in der Verantwortung der Datenexporteure und Datenimporteure liegt, selbst zu beurteilen, ob es die Rechtsvorschriften des Bestimmungsdrittlandes dem Datenimporteur ermöglichen, die Standarddatenschutzklauseln oder die BCR einzuhalten, werden die Aufsichtsbehörden vor der Übermittlung personenbezogener Daten an dieses Drittland auch eine Schlüsselrolle bei der Durchsetzung der Datenschutz-Grundverordnung und beim Erlass weiterer Entscheidungen über Übermittlungen in Drittländer spielen.

    Um divergierende Entscheidungen zu vermeiden, werden sie daher, wie vom Gerichtshof gefordert, ihre Arbeit im Rahmen des EDSA fortsetzen, um die Kohärenz zu gewährleisten, insbesondere wenn Übermittlungen in Drittländer verboten werden müssen.

  10. Welche zusätzlichen Maßnahmen kann ich ergreifen, wenn ich SCCs oder BCR für die Übermittlung von Daten an Drittländer nutze?
    Die zusätzlichen Maßnahmen, die Sie erforderlichenfalls in Betracht ziehen könnten, müssten von Fall zu Fall unter Berücksichtigung aller Umstände der Übermittlung und nach Prüfung des Rechts des Drittlandes getroffen werden, um festzustellen, ob ein angemessenes Schutzniveau gewährleistet ist.

    Der Gerichtshof betonte, dass es in erster Linie in der Verantwortung des Datenexporteurs und des Datenimporteurs liegt, diese Einschätzung vorzunehmen und die erforderlichen zusätzlichen Maßnahmen zu treffen.

    Der EDSA prüft derzeit das Urteil des Gerichtshofs, mit dem ermittelt werden soll, welche rechtlichen, technischen oder organisatorischen Maßnahmen zusätzlich zu Standardvertragsklauseln oder BCR ergriffen werden könnten, um Daten in Drittländer zu übermitteln, in denen Standardvertragsklauseln oder BCR allein nicht das ausreichende Maß an Garantien bieten.

    Der EDSA prüft gegenwärtig, worin diese zusätzlichen Maßnahmen bestehen könnten, und wird weitere Orientierungshilfen geben.

  11. Ich nutze einen Auftragsverarbeiter, der Daten verarbeitet, für die ich als für die Verarbeitung Verantwortlicher verantwortlich bin, wie kann ich wissen, ob dieser Auftragsverarbeiter Daten in die USA oder in ein anderes Drittland übermittelt?
    In dem Vertrag, den Sie mit Ihrem Auftragsverarbeiter gemäß Artikel 28 Absatz 3 DSGVO geschlossen haben, muss angegeben werden, ob Datenübermittlungen zulässig sind oder nicht (dabei ist jedoch zu beachten, dass auch die Gewährung des Zugangs zu Daten aus einem Drittland, beispielsweise zu Verwaltungszwecken, einer Übermittlung gleichkommt).

    Es muss auch eine Genehmigung für Auftragsverarbeiter erteilt werden, Unterauftragsverarbeiter mit der Übermittlung von Daten in Drittländer zu beauftragen. Sie sollten darauf achten und vorsichtig sein, da eine Vielzahl von EDV-Lösungen die Übermittlung personenbezogener Daten in ein Drittland (z.B. zu Speicher-oder Wartungszwecken) mit sich bringen kann.

  12. Was kann ich tun, um die Dienste meines Auftragsverarbeiters weiterhin in Anspruch zunehmen, wenn aus dem gemäß Artikel28 Absatz3 DSGVO unterzeichneten Vertrag hervorgeht, dass Daten in die USA oder in ein anderes Drittland übermittelt werden können?
    Falls Ihre Daten in die USA übermittelt werden dürfen und weder zusätzliche Maßnahmen vorgesehen werden können, um sicherzustellen, dass das US-Recht nicht das im Wesentlichen gleichwertige Schutzniveau beeinträchtigt, das die Übermittlungsinstrumente im EWR bieten, noch Ausnahmereglungen gemäß Artikel 49 DSGVO gelten, besteht die einzige Lösung darin, eine Änderung oder Zusatzklausel zu Ihrem Vertrag auszuhandeln, um die Übermittlung von Daten in die USA zu verbieten. In diesem Fall müssen die Daten nicht nur außerhalb der USA gespeichert, sondern auch verwaltet werden.

    Falls Ihre Daten in ein anderes Drittland übermittelt werden sollen, sollten Sie auch die Rechtsvorschriften dieses Drittlands überprüfen, um festzustellen, ob sie den Anforderungen des Gerichtshofs und dem erwarteten Schutzniveau für personenbezogene Daten entsprechen. Falls kein hinreichender Grund für die Übermittlung in ein Drittland gefunden werden kann, dürfen personenbezogene Daten nicht in Länder außerhalb des EWR übermittelt werden, und alle Verarbeitungen müssen innerhalb des EWR erfolgen.

Für den Europäischen Datenschutzausschuss

Vorsitzende

Andrea Jelinek

Quelle: NIBIS Portal Datenschutz Häufig gestellte Fragen zum Urteil des Gerichtshofs der Europäischen Union in der Rechtssache C-311/18—Data Protection Commissioner gegen Facebook Ireland Ltd und Maximillian Schrems

Urteil des Europäischen Gerichtshofs zur Übermittlung personenbezogener Daten in Drittländer („Schrems II“) stärkt den Datenschutz für EU-Bürgerinnen und Bürger

Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 28.07.2020:

„Der Europäische Gerichtshof(EuGH)hat in seinem Urteil vom 16. Juli 2020 (Rechtssache C-311/18)den Beschluss 2016/1250 der Europäischen Kommission zur Übermittlung personenbezogener Daten in die USA (Privacy Shield) für unwirksam erklärt. Zugleich hat der EuGH festgestellt, dass die Entscheidung 2010/87/EG der Kommission über Standardvertragsklauseln (Standard Contractual Clauses-SCC) grundsätzlich weiterhin gültig ist.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) sieht mit diesem Urteil die Datenschutzgrundrechte der Bürger und Bürgerinnen in der Europäischen Union gestärkt. Für die Übermittlung personenbezogener Daten in die USA und andere Drittländer hat das Urteil nach einer ersten Einschätzung der DSK folgende Auswirkungen:

  1. Die Übermittlung personenbezogener Daten in die USA auf der Grundlage des Privacy Shield ist unzulässig und muss unverzüglich eingestellt werden. Der EuGH hat das Pri-vacy Shield für ungültig erklärt, weil das durch den EuGH bewertete US-Recht kein Schutzniveau bietet, das dem in der EU im Wesentlichen gleichwertig ist. Das US-Recht, auf das der EuGH Bezug genommen hat, betrifft z. B. die nachrichtendienstlichen Erhebungsbefugnisse nach Section 702 FISA und Executive Order12 333.
  2. Für eine Übermittlung personenbezogener Daten in die USA und andere Drittländer können die bestehenden Standardvertragsklauseln der Europäischen Kommission zwar grundsätzlich weiter genutzt werden. Der EuGH betonte jedoch die Verantwortung des Verantwortlichen und des Empfängers,zu bewerten, ob die Rechte der betroffenen Personen im Drittland ein gleichwertiges Schutzniveau wie in der Union genießen.Nur dann kann entschieden werden, ob die Garantien aus den Standardvertragsklauseln in der Praxis verwirklicht werden können. Wenn das nicht der Fall ist, sollte geprüft werden, welche zusätzlichen Maßnahmen zur Sicherstellung eines dem Schutzniveau in der EU im Wesentlichen gleichwertigen Schutzniveaus ergriffen werden können. Das Recht des Drittlandes darf diese zusätzlichen Schutzmaßnahmen jedoch nicht in einer Weise beeinträchtigen, die ihre tatsächliche Wirkung vereitelt. Nach dem Urteil des EuGH reichen bei Datenübermittlungen in die USA Standardvertragsklauseln ohne zusätzliche Maßnahmen grundsätzlich nicht aus.
  3. Die Wertungen des Urteils finden auch auf andere Garantien nach Artikel 46 DSGVO Anwendung wie verbindliche interne Datenschutzvorschriften („binding corporate rules“-BCR), auf deren Grundlage eine Übermittlung personenbezogener Daten in die USA und andere Drittstaaten erfolgt. Daher müssen auch für Datenübermittlungen auf der Grundlage von BCR ergänzende Maßnahmen vereinbart werden, sofern die Rechte der betroffenen Personen im Drittland nicht ein gleichwertiges Schutzniveau wie in der Union genießen. Auch diese Maßnahmen müssen für die übermittelten Daten ein im Wesentlichen gleichwertiges Datenschutzniveau wie in der EU garantieren können.
  4. Die Übermittlung von personenbezogenen Daten aus der EU in die USA und andere Drittstaaten nach Artikel 49 DSGVO ist weiterhin zulässig, sofern die Bedingungen des Artikels49 DSGVO im Einzelfall erfüllt sind. Zur Anwendung und Auslegung dieser Vorschrift hat der Europäische Datenschutzausschuss Leitlinien veröffentlicht.
  5. Verantwortliche, die weiterhin personenbezogene Daten in die USA oder andere Drittländer übermitteln möchten, müssen unverzüglich überprüfen, ob sie dies unter den genannten Bedingungen tun können. Der EuGH hat keine Übergangs-bzw. Schonfrist eingeräumt.

Auch wenn der EuGH in seiner Entscheidung an verschiedenen Stellen die vorrangige Verantwortung des Übermittlers von personenbezogenen Daten und des Empfängers betonte, hat er auch den Aufsichtsbehörden eine Schlüsselrolle bei der Durchsetzung der DSGVO und weiteren Entscheidungen über Datenübermittlungen in Drittländer zugewiesen. Die deutschen Aufsichtsbehörden werden sich in ihrem Vorgehen mit ihren Kolleginnen und Kollegen im Europäischen Datenschutzausschuss abstimmen und zukünftig auch zu spezifischeren Fragestellungen beraten.

Nach dem Urteil des EuGH hat der Europäische Datenschutzausschuss nach einer ersten Stellungnahme in seiner Sitzung am 23. Juli 2020 zentrale Fragen und Antworten (FAQ) zur Umsetzung des Urteils veröffentlicht. Die DSK befürwortet die Positionierung des Europäischen Datenschutzausschusses. Der englische Text der FAQ ist auf der Webseite des Europäischen Datenschutzausschusses unter https://edpb.europa.eu/news/news/2020/european-data-protection-board-publishes-faq-document-cjeu-judgment-c-31118-schrems_de zu finden.“

Quelle: NIBIS Portal Datenschutz Urteil des Europäischen Gerichtshofs zur Übermittlung personenbezogener Daten in Drittländer („Schrems II“) stärkt den Datenschutz für EU-Bürgerinnen und Bürger

Fortbildungsangebot „Datenschutz an Schule“ (HK)

Es ist das nachstehend beschriebene Fortbildungsangebot in die VeDaB eingestellt worden:

Datum: 19.11.2020
Uhrzeit: 15.00 bis 17.00 Uhr

Ort: KMZ Soltau

Anmeldelink: https://vedab.de/veranstaltungsdetails.php?vid=119200

Beschreibung:

In dieser Fortbildung wird Ihnen das Grundverständnis gelegt um sich sicher als DSB im Rahmen der Schule zu bewegen. Dabei wird insbesondere darauf Wert gelegt, dass Sie selbstständig und sicher in der Lage sind anfallende Datenschutzfragen innerhalb der Schule zu beantworten und lösen zu können.

Exemplarisch soll an den Themen:
– Wo trifft Datenschutz auf schulische Belange
-Datenschutzfolgenabschätzung
-Informationspflicht
-Verzeichnis der Verarbeitungstätigkeit und
– Auftragsdatenverarbeitung

ein Grundverständnis für den schulischen Datenschutz und daraus folgende notwendige Handlungen erlangt werden.

Diese Veranstaltung ist für Datenschutzeinsteiger gedacht!

Quelle: NIBIS Portal Datenschutz Fortbildungsangebot „Datenschutz an Schule“ (HK)

NBC – Bildungscloud

Infos zur Niedersächsischen Bildungscloud für Schulen und Schulträger finden Sie hier:

Uelzener Filmtage

Noch bis zum 31. August 2020 können Beiträge von Kindern und Jugendlichen bis 21 Jahre eingereicht werden.

Quelle: Portal Medienbildung Uelzener Filmtage