Category: Rechtstexte

Neue Standardvertragsklauseln

Am 7.6.2021 wurden die neuen Standardvertragsklauseln im Amtsblatt der EU veröffetnlicht. Die EU Kommission hat aufgrund zweier Druchführungsbeschlüsse folgende neuen Klauseln erlassen:

  1. Durchführungsbeschluss (EU) 2021/915 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates und Artikel 29 Absatz 7 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates (Text von Bedeutung für den EWR)
  2. Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (Text von Bedeutung für den EWR)

Brexit und der neue EU-UK Handelsvertrag

Die EU und das Vereinigte Königreich Groß Britannien haben sich doch noch auf einen Handelsvertrag geeinigt. Wie Medien berichten haben alle EU Botschafter der Mitgliedsstaaten einer vorläufigen Anwendung bereits zugestimmt.

Gemäß dem von der britischen Regierung veröffentlichten Vertrag gilt für den Datenschutz eine Übergangsfrist bis die EU eine Angemessenheitsentscheidung gemäß Art 45(3) DSGVO getroffen hat oder 6 Monate verstrichen sind.

Tritt der Vertrag also mit 1.1.2021 in Kraft und wird bis zum 31.7.2021 kein Beschluss der EU Kommission über die Angemessenheit des Schutzniveaus getroffen, so gilt UK ab dem 1.8.2021 als Drittland.

Diese maximale Frist von 6 Monaten kann jedoch schon früher enden, sofern Groß Britannien sein Datenschutzregime verändert ohne vorher die Zustimmung der Union im entsprechenden Ausschuss (Partnership Council)  erlangt zu haben.

Entwurf eines Daten Governance Gesetz

Die Europäische Kommisssion hat den Entwurf einer Verordnung über Europäische Daten Governance veröffentlicht.

Dabei soll die gemeinsame Nutzung von Daten gestärkt werden, beispielsweise durch Schaffung vertrauenswürdiger Datentreuhänder. Der Entwurf definiert als Ziele:

Das Instrument zielt darauf ab, die Verfügbarkeit von Daten zur Nutzung zu fördern, indem das Vertrauen in die Datenmittler erhöht wird und die Mechanismen für die gemeinsame Datennutzung in der gesamten EU gestärkt werden. Das Instrument bezieht sich auf Folgendes:

  • Bereitstellung von Daten des öffentlichen Sektors zur Weiterverwendung in Fällen, in denen diese Daten den Rechten anderer unterliegen,
  • gemeinsame Datennutzung durch Unternehmen gegen Entgelt in jedweder Form,
  • Ermöglichung der Nutzung personenbezogener Daten mithilfe eines „Mittlers für die gemeinsame Nutzung personenbezogener Daten“, der Einzelpersonen bei der Ausübung ihrer Rechte gemäß der Datenschutz-Grundverordnung (DSGVO) unterstützen soll,
  • Ermöglichung der Nutzung von Daten aus altruistischen Gründen.

Europäische Kommission veröffentlicht Entwurf neuer Standardvertragsklauseln

Die Europäische Kommission hat den Entwurf neuer Standardvertragsklauseln veröffentlicht. Diese waren ja nach der Aufhebung des Privacy Shields Angemessenheitsbeschluss durch den EuGH angekündigt worden.

Stellungnahmen dazu sind noch bis 10. Dezember möglich.

EuGH Urteil zu Vorratsdatenspeicherung

Der EuGH in in seinen Urteilen zu drei Rechtssachen in denen es um die Zulässigkeit Vorratsdatenspeicherung im Lichte der Datenchutzrichtlinie für ektronische Kommunikation (RL2002/58/EG) ging.

Erneut stellte der EuGH fest, dass eine ansatzlose und unbeschränkte Vorratsdaenspeicherung aufgrund des Interesse der nationalen Sicherheit nicht EU rechtskonform ist. Art 23 DSGVO ist dabei so auszulegen, dass die darin enthaltenen Beschränkungen nur zulässig sind, wenn eine ausreichende Bestimmbarkeit vorliegt, eine allgemeine und undifferenzierte Speicherung dadurch jedoch nicht gedeckt ist.

Der EuGH verweist erneut auf die Notwendigkeit eines ausreichenden Rechtsschutzes.

Allerdings ist eine anlassbezogene Speicherung die den Kriterien dieser Urteile entscpricht sehr wohl zulässig, was den Mitgliedsstaaten entsprechende Möglichkeiten zur gesetzlichen Regelung eröffnet.

Die Presseaussendung des EuGH findet sich hier.

EuGH zu Privacy Shield

Am 16.7. hat der EuGH das Urteil in der Rechtssache C-311/18 betreffend des Vorabentscheidungsansuchens des Hohen Gerichtshof Irlands gefällt. Dem Verfahren liegt die Beschwerde von Max Schrems zugrunde, dass aufgrund der Gesetze der Vereingten Staaten (FISA), kein ausreichender Schutz der personenbezogenen Daten bei der Übermittlung von Facebook Ireland an Facebook US bestehe.

Der Hohe Gerichtshof Irland wollte im wesentlichen wissen, ob

  1. EU Recht in diesem Fall anwendbar ist,
  2. der Angemessenheitsbeschluss der Kommission bezüglich des Privacy Shield Abkommens gültig in dem Sinne ist, das  ein ausreichendes Schutzniveau besteht und
  3. über Auslegung und Gültigkeit des Beschlusses über die Standardvertragsklauseln.

Der EuGh bejahte die erste Frage hinsichtlich der Anwendbarkeit der DSGVO. Den Beschluss hinsichtlich des Privacy Shield Abkommens erklärte er jedoch für ungültig. Hinsichtlich der Standardvertragsklauseln  hob er den Beschluss nicht auf, jedoch müsse dies im Einzelfall geprüft werden.

Bildverarbeitung nach DSG

Wie die Datenschutzbehörde in ihrem Newsletter berichtet, wird sie die §12 und §13 DSG nicht mehr anwenden. Grund hierfür ist, dass das BvWG in zwei Erkenntnissen die Anwendbarkeit des 3 Abschnitt DSG in Zweifel gezogen hat auf denen Bescheide der DSB beruhten. Demnach kommt nun auch das BvWG zum Schluss, dass die DSGVO den Nationalstaaten keinen Spielraum zur Regelung der Bildverarbeitung gewährt.  Eine  Bildverarbeitung wird daher an den Erfordernissen der Art. 5 und 6 DSGVO zu beurteilen sein.

Damit wird in der Regel eine Datenschutzfolgenabschätzung durchzuführen sein.

Verordnung der DSB über verpflichtende Datenschutzfolgeabschätzungen

Die Verordnung der Datenschutzbehörde über Verarbeitungsvorgänge, für die eine Datenschutz – Folgenabschätzung durchzuführen ist (DSFA-V) (Blacklist) ist im Bundesgetzblatt veröffentlicht worden.

Dabei besteht bei bestimmten Verabreitungen die Ausnahme, dass von einer erforderlichen DSFA abgesehen werden kann, wenn eine Betriebsvereinbarung vorliegt.

Kalifornien beschließt Consumer Privacy Act

Kalifornien hat den California Consumer Privacy Act besclossen, der ab 1.1.2020 gelten wird, wie zB Wired berichtet. Es legt Informations- und Auskunftspflichten von Unternehmen die Daten an Dritte verkaufen fest und gewährt den Betroffenen ein Widerspruchsrecht. Bußgelder sind nicht vorgesehen, jedoch steht der Klagsweg offen. Man darf gespannt sein, ob diese Gesetz noch verändert wird und ob es einerseits Vorbildwirkung für andere Staaten haben wird und andererseits es der EU-Kommission ermöglicht einen Angemessenheitsbeschluss bezüglich des Schutznieveaus in Kalifornien zu fassen. Dies würde Erleichterungen in der Datenübermittlung an in Kalifornien ansässigen Unternehmen bedeuten.

Verordnung der DSB zu Ausnahmen von der DSFA

Mit dem Tag der Wirksamkeit der DSGVO ist im Bundesgesetzblatt auch die Verordnung der Datenschutzbehörde zu den Ausnahmen von der Datenschutzfolgeabschätzung erschienen (White List).

Für die wissenschaftliche Forschung hat sich im Vergleich zum Entwurf keine Änderung ergeben. Sofern die Forschung nicht unter §7 Abs 2 Ziffer 3 fällt (Genehmigung der Datenschutzbehörde erforderlich) ist keine Datenschutzfolgeabschätzung vorzunehmen.