Author: betrdsba

EuGH zu Schadenersatz

In seinem Urteil zum Vorabentscheidungsansuchen des OGH hat der EuGH festgestellt, dass die bloße Verletzung einer Vorschrift der DSGVO, nicht ausreicht um einen Schadenersatz einklagen zu können. Es muss auch tatsächlich ein Schaden eingetreten sein. Eine nationale Bestimmung oder Praxis, die den Schadenersatzanspruch an eine gewisse Erheblichkeit knüpft, widersprich jedoch dem Unionsrecht und hat daher unangewndet zu bleiben. Es sind daher lediglich die Grundsätze der Effektivität und Äquivalenz der Union zu berücksichtigen.

Damit wird es in Deutschland möglicherweise schwieriger werden einen Schadenersatz einzuklagen, gingen doch manche Gerichte bisher davon aus, dass ein Verstoß gegen die DSGVO auch zu einen immateriellen Schaden führt. In Österreich wird es für die Betroffenen jedoch einfacher werden ihre Ansprüche einzuklagen, da die chwelle, dass der Schaden erheblich sein müsse fällt.

Datenschutzbehörde zu Meta-Tracking-Tools

Die österreichische Datenschutzbehörde hat entschieden, dass die Verwendung von Meta Pixel und Meta Facebook Login gegen die DSGVO vertößt und nicht im Einklang mit den Anforderungen des EuGH (Schrems II) steht. Damit wurde nach Google Analytics auch diese Datenübermittlung in die USA ohne ausreichende Massnahmen durch den Verantwortlichen und Meta untersagt.

Der Bescheid wurde vom Beschwerdeführer hier veröffentlicht.

Drittstaatenübermittlung – nächster Schritt zu neuem Abkommen mit den USA

Nach dem EuGH Urteil “Schrems II” (C-311/18) mit dem der Angemessenheitsbeschluss betreffend des  Privacy Shield Abkommen aufgehoben wurde, konnten Datenübermittlungen in die USA nicht mehr auf das Privacy Shield Abkommen gestützt werden. Das Grundproblem beseht in einem fehlenden Rechtsschutz und dem Recht auf einem Richter für EU-Bürger in den USA, wie er durch die EMRK vorgesehen ist. Betreffend der Standardvertragsklauseln, stellte der EuGH fest, dass es zusätzliche Garantien brauche, damit diese ausreichen und dies im Einzelfall zu beurteilen sei. Als Reaktion auf diese Urteil beschloss die EU Kommission neue Standardvertragsklauseln, die unter anderem ein verpflichtendes Data Transfer Impact Assessment (DTIA, Datenübermittlungs-Folgenabschätzung) erfordern.

Wie ein solches DTIA zu einem positiven Ergebnis kommen kann, wird aber in jenen Fällen, in denen der amerikanische Empfänger  den einschlägigien Überwachungsgesetzen unterliegt, zweifelhaft sein.  Daher gibt es eigentlich nur 4 Lösungsmöglichkeiten:

  1. Die USA ändern ihre Überwachungsgesetze
  2. Die EU ändert die EMRK bzw. ERC
  3. Es wird ein neues Abkommen zwischen den USA und der EU geschlossen, auf dem solche Datenübermittlungen durchgeführt werden
  4. Der Datenexporteur versucht so viele Maßnahmen wie möglich dem Datenimporteur aufzuerlegen oder soweit möglich selbst zu ergreifen, damit die Übermittlung möglichst rechtskonform ist.

Die ersten beiden ALternativen erscheinen nicht realistisch, die letzte Alternative wird zum Teil technsich schwierig umzusetzen sein.

Bezüglich eines neuen Abkommens, gibt es schon länger Verhandlungen. Zuletzt zeigten sich die EU Kommission und die USA im Frühjahr optimisitisch, dass es zu einer Lösung kommt. Am 10.7 hat der amerikansiche Präsident Biden eine Executive Order erlassen, die einen Ombudsmann und eine zweite Instanz in Form eines “Data Protection Review Court” vorsieht. Es gibt aber bereits Kritik, an der fehlenden Unabhängikeit und dass die Entscheidung der Berufungsinstanz bereits vordefiniert sei. Es liegt nun an der EU-Kommission, ihrerseits diese Anordnug zu prüfen und mit der USA ein entsprechendes Abkommen zu schließen. Diese wird wohl nicht vor nächstem Frühjahr zu erwarten sein.

Sollte es zu einem neuerlichen Abkommen (dem dritten nach Safe Harbour und Privacy Shield) kommen, so schient eine erneute Anfechtung vor dem EuGH  bei derzeitigem Kenntnisstand nicht unwahrscheinlich. Bis zur Entscheidung durch den EuGH wird diese aber wieder als Rechtsgrundlage herangezogen werden. Da auch schon in der Vergangenheit, sich die US – Konzerne nicht ausschließlich auf Privacy Shield gestützt haben sondern auch Standardvertragsklauseln zum Vertragsinahlt geamcht haben, damit bei Wegfall einer Rechtsgrundlage, eine weitere bestehen bleibt, werde nauch in Zukunft von den Datenexporteuren (also den europäischen Verantwortlichen gemäß DSGVO) DTIAs durchzuführen sein.

EDSA: Leitlinien über die gezielte Ansprache von Nutzer:innen sozialer Medien

Schon im April letzten Jahres hat der EDSA Leitlinien über die gezielte Ansprache von Nutzer:innen sozialer Medien veröffentlicht.

Diese sind für jeden der Social Media Tools einsetzt interessant und wohl auch in Verbuindung mit dem Schrems II Urteil, des Gutachten über die Rechtslage in den USA und der jüngsten Entschiedungen der Behörden betreffend Google Analytics zu lesen.

Behörden entscheiden über Beschwerden zu Google Analytics

In zwei der 101 Beschwerden bezüglich des Einsatzes von Google Analytics haben die zuständigen Aufsichtsbehörden erste Entscheidungen gefällt.

Sowohl die österreichische als auch die französische Behörde kommen zu dem Schluss, dass der Einsatz nicht rechtskonform ist. Berufungen dagegen sind noch möglich und weitere Verfahren in über 20 Mitgliedsstaaten sind noch anhängig.

EDSA Stellungnahme zu digitalen Diensten und der Datenstrategie

Der EDSA hat sich in der Stellungnahme https://edpb.europa.eu/our-work-tools/our-documents/statements/statement-digital-services-package-and-data-strategy_de zu den seit November 2020 vorgeschlagenen beziehungsweise angekündigten Rechtssetzungsmaßnahmen der Europäischen Kommision kritisch geäußert.

Dies betrifft folgende Gesetze und der europäischen Daten-Strategie:

  1. Digital Services Act (DSA),
  2. Digital Markets Act (DMA),
  3. Data Governance Act (DGA)
  4. Regulation on a European approach for Artificial Intelligence (AIR),
  5. Data Act (angekündigt).

Der EDSA fasst seine Bedenken wie folgt zusammen:

With this statement, the EDPB draws attention to a number of overarching concerns and urges the
co-legislature to take decisive action. Our concerns consist of three categories: (1) lack of protection
of individuals’ fundamental rights and freedoms; (2) fragmented supervision; and (3) risks of
inconsistencies.
The EDPB considers that, without further amendments, the proposals will negatively impact the
fundamental rights and freedoms of individuals and lead to significant legal uncertainty that would
undermine both the existing and future legal framework. As such, the proposals may fail to create
the conditions for innovation and economic growth envisaged by the proposals themselves.

EDSA Richtlinie zum Zusammenwirken von Art 3 DSGVO und internationalen Datentransfer gem. Kapiltel V DSGVO

Der euruopäische Datenschutzausschuss hat die Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR zur öffetnlichen Konsultation freigegeben. Darin finden sich Beispiele wann es sich um einen internationalen Datentransfer handelt der besondere Maßnahmen gemäß Kapitel V DSGVO (zum Beispiel der Abschluss von Standardvertragsklauseln) erfordert.