Der EDSA hat 2 Studien zum Schutzniveau personenbezogener Daten in Brasilien und in Mexiko und der Türkei veröffentlciht. Diese können helfen das Risiko bei Übermittlungen in diese Drittsaaten einzuschätzen.
Tag: Datenübermittlung
Information der DSB zum EU-USA DPF
Die Datenschutzbehörde hat einen Beitrag zum neuen Angemessenheitsbeschluss für die Vereinigten Staaten, dem EU-U.S. Data Privacy Framework veröffentlicht.
Siehe dazu auch den Beitrag EDSA: Information zum Angemessenheitsbeschluss zu DPF (USA).
EDSA: Information zum Angemessenheitsbeschluss zu DPF (USA)
Der europäische Datenschutzausschuss hat eine Information zur Anwendung des DPF als Grundlage von Datenübermittlungen veröffentlicht. Vorraussetzung um sich auf das DPF stützen zu können ist eine Listung des Empfängers in der USA bei der US Handelskammer, wie das bei Safe Harbour Abkommen auch der Fall war.
Es ist auf jeden Fall ratsam auch Standardvertragsklauseln und soweit möglich zusätzliche Maßnahmen, falls erforderlich, zu vereinbaren.
Angemssenheitsbeschluss der Kommission: USA
Die EU Kommission hat einen Angemessenheitsbeschluss bezüglich des neuen Datenschutzrahmens (Data Privacy Framework) erlassen. Dies ist das Nachfolgeabkommen zu den vom EuGH aufgehobenen Safe Harbour und Privacy Shield Abkommen. Bis zu einer neuerlichen Bewertung durch den EuGH können Datenübermittlungen in die USA nun auch auf dieses Abkommen gestützt werden. Ob das neue Abkommen nun das Recht auf einne Richter und ein faires Verfahren für EU-Bürger in den USA gewährt, bleibt abzuwarten. Eine Klärung durch den EuGH ist zu erwarten da bereits Klagen angekündigt sind.
EuGH zu DSGVO Verstößen in Wettbewerbsverfahren
Im Urteil vom 4.6.203 (C-252/21) hat der EuGH festgestellt, das eine Behörde oder Gericht das über Wettbewerbs- und Kartellrechtsfragen entscheidet, auch Verstöße gegen die DSGVO als Tatbestandsmerkmal für den Missbrauch einer marktbeherrschenden Stellung heranziehen kann. Es hat sich aber etwaige Untersuchungen oder Entscheidungen der für die DSGVO zuständigen Behörden und Gerichten zu berücksichtigen. Im konkreten Fall geht es um ein Verfahren in Deutschland gegen Meta, indem Meta Einspruch gegen das Urteil des deutschen Bundeskartellamtes eingelegt hat.
Das deutsche Bundeskartellamt verbot es insbesondere, in den Allgemeinen Nutzungsbedingungen die Nutzung des sozialen Netzwerks Facebook durch in Deutschland wohnhafte private Nutzer von der Verarbeitung ihrer Off-Facebook-Daten abhängig zu machen und diese Daten ohne ihre Einwilligung zu verarbeiten. Es begründete seinen Beschluss damit, dass diese Verarbeitung, da sie nicht mit der Datenschutz-Grundverordnung (DSGVO) im Einklang stehe, eine missbräuchliche Ausnutzung der beherrschenden Stellung von Meta Platforms Ireland auf dem deutschen Markt für soziale Online-Netzwerke darstelle.
Der EuGH hat festgehalten, dass das berechtigte Interesse nicht ausreicht, insbesondere da es sich auch um besondere Kategorien von Daten handeln kann. Da es an einer gültigen Einwilligung für besondere Kategorien von Daten mangelt, liegt ein Verstoß gegen die DSGVO vor, wenn die Offenlegung dieser ermöglicht wird.
Der EuGH stellt hinsichtlich einer möglichen Offenlegung oder öffentlich Machung durch die Benutzer klar, dass der bloße Besuch von Webseiten die Rückschluss über besondere Kategorien von Daten ermöglichen, nicht dadurch besteht, auch dann nicht wenn auf dieser Seite ein “Like” Button gedrückt wird oder ähnliche Eingaben gemacht werden. Dies wäre nur der Fall, wenn der Benutzer zuvor explizit seine Entscheidung zum Ausdruck bringt, diese einer unbegrenzten Anzahl von Personen offenlegen zu wollen.
Der EuGH hat auch, vorbehaltlich der Entscheidung nationaler Gerichte, Zweifel, ob die Verarbeitung auch nicht sensibler Daten auf die Rechtsgrundlage eines Vertragsverhältnisses gestützt werden kann, da die Verknüpfung mit anderen Daten, die personalisierte Werbung und anderes nicht zum Hauptgegenstand des Vertrages gehört.
Schließlich bringt der EuGH zum Ausdruck, dass auch das berechtigte Interesse in diesem Fall keine ausreichende Rechtsgrundlage sein könnte.
Bezüglich der Möglichkeit eine Einwilligung als Rechtsgrundlage heranzuziehen, macht der EuGH darauf aufmerksam, dass deren Gültigkeit gemäß DSGVO, aufgrund des Ungleichgewichts der Vertragspartner in Zweifel gezogen werden könnte. Die Beweislast liegt in diesem Fall beim Betreiber und nicht beim Benutzer.
Datenübermittlung in die USA: Position des EU Parlaments
Das europäische Parlament hat einen Beschluss über seine Position um Entwurf des Angemessenheitsbeschlusses der EU-Kommission zu Data Privacy Framework beschlossen. Dabei hat es auch die Meinung des EDSA berücksichtigt. Auch das Parlament äußerte sich kritisch, ob damit ein ausreichender Rechtsschutz von betroffenen Personen der EU in den USA erreicht werden kann. Es bleibt abzuwarten, ob die anstehenden Verhandlungen zwischen Kommission und Parlament noch diese Jahr zu eunem Ergebnis führen und die Bedenken die der EuGH hinsichtlich des Privacy Shield Abkommens hatte ausgeräumt werden können.
Datenschutzbehörde zu Meta-Tracking-Tools
Die österreichische Datenschutzbehörde hat entschieden, dass die Verwendung von Meta Pixel und Meta Facebook Login gegen die DSGVO vertößt und nicht im Einklang mit den Anforderungen des EuGH (Schrems II) steht. Damit wurde nach Google Analytics auch diese Datenübermittlung in die USA ohne ausreichende Massnahmen durch den Verantwortlichen und Meta untersagt.
Der Bescheid wurde vom Beschwerdeführer hier veröffentlicht.
Drittstaatenübermittlung – nächster Schritt zu neuem Abkommen mit den USA
Nach dem EuGH Urteil “Schrems II” (C-311/18) mit dem der Angemessenheitsbeschluss betreffend des Privacy Shield Abkommen aufgehoben wurde, konnten Datenübermittlungen in die USA nicht mehr auf das Privacy Shield Abkommen gestützt werden. Das Grundproblem beseht in einem fehlenden Rechtsschutz und dem Recht auf einem Richter für EU-Bürger in den USA, wie er durch die EMRK vorgesehen ist. Betreffend der Standardvertragsklauseln, stellte der EuGH fest, dass es zusätzliche Garantien brauche, damit diese ausreichen und dies im Einzelfall zu beurteilen sei. Als Reaktion auf diese Urteil beschloss die EU Kommission neue Standardvertragsklauseln, die unter anderem ein verpflichtendes Data Transfer Impact Assessment (DTIA, Datenübermittlungs-Folgenabschätzung) erfordern.
Wie ein solches DTIA zu einem positiven Ergebnis kommen kann, wird aber in jenen Fällen, in denen der amerikanische Empfänger den einschlägigien Überwachungsgesetzen unterliegt, zweifelhaft sein. Daher gibt es eigentlich nur 4 Lösungsmöglichkeiten:
- Die USA ändern ihre Überwachungsgesetze
- Die EU ändert die EMRK bzw. ERC
- Es wird ein neues Abkommen zwischen den USA und der EU geschlossen, auf dem solche Datenübermittlungen durchgeführt werden
- Der Datenexporteur versucht so viele Maßnahmen wie möglich dem Datenimporteur aufzuerlegen oder soweit möglich selbst zu ergreifen, damit die Übermittlung möglichst rechtskonform ist.
Die ersten beiden ALternativen erscheinen nicht realistisch, die letzte Alternative wird zum Teil technsich schwierig umzusetzen sein.
Bezüglich eines neuen Abkommens, gibt es schon länger Verhandlungen. Zuletzt zeigten sich die EU Kommission und die USA im Frühjahr optimisitisch, dass es zu einer Lösung kommt. Am 10.7 hat der amerikansiche Präsident Biden eine Executive Order erlassen, die einen Ombudsmann und eine zweite Instanz in Form eines “Data Protection Review Court” vorsieht. Es gibt aber bereits Kritik, an der fehlenden Unabhängikeit und dass die Entscheidung der Berufungsinstanz bereits vordefiniert sei. Es liegt nun an der EU-Kommission, ihrerseits diese Anordnug zu prüfen und mit der USA ein entsprechendes Abkommen zu schließen. Diese wird wohl nicht vor nächstem Frühjahr zu erwarten sein.
Sollte es zu einem neuerlichen Abkommen (dem dritten nach Safe Harbour und Privacy Shield) kommen, so schient eine erneute Anfechtung vor dem EuGH bei derzeitigem Kenntnisstand nicht unwahrscheinlich. Bis zur Entscheidung durch den EuGH wird diese aber wieder als Rechtsgrundlage herangezogen werden. Da auch schon in der Vergangenheit, sich die US – Konzerne nicht ausschließlich auf Privacy Shield gestützt haben sondern auch Standardvertragsklauseln zum Vertragsinahlt geamcht haben, damit bei Wegfall einer Rechtsgrundlage, eine weitere bestehen bleibt, werde nauch in Zukunft von den Datenexporteuren (also den europäischen Verantwortlichen gemäß DSGVO) DTIAs durchzuführen sein.
Behörden entscheiden über Beschwerden zu Google Analytics
In zwei der 101 Beschwerden bezüglich des Einsatzes von Google Analytics haben die zuständigen Aufsichtsbehörden erste Entscheidungen gefällt.
Sowohl die österreichische als auch die französische Behörde kommen zu dem Schluss, dass der Einsatz nicht rechtskonform ist. Berufungen dagegen sind noch möglich und weitere Verfahren in über 20 Mitgliedsstaaten sind noch anhängig.
Gutachten zur Rechtslage in den USA
Die deutsche Datenschutzkonferenz hat ein Gutachten und wesentliche Befunde zur Rechtslage in den USA veröffentlicht. Eine unmittelbare Wirkung auf Einzelfälle leitet sich aus diesem Gutachten nicht ab, jedoch prüfen die Behörden dessen Auswirkungen.