Aktuelles, Experten - geschrieben von dp am Freitag, Juli 17, 2020 21:23 - noch keine Kommentare
BlnBDI fordert digitale Eigenständigkeit für Europa
Nach „Schrems II“ drängt die BlnBDI, Maja Smoltczyk, datenverarbeitende Stellen in Berlin, die in den USA gespeicherte personenbezogene Daten zu verlagern
[datensicherheit.de, 17.07.2020] Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Maja Smoltczyk, fordert in ihrer aktuellen Stellungnahme zur Entscheidung des Europäischen Gerichtshofs (EuGH), das „EU-US Privacy Shield“ für ungültig zu erklären, die datenverarbeitenden Stellen in Berlin auf, in den USA gespeicherte personenbezogene Daten nach Europa zu verlagern.
BlnBDI: Personenbezogene Daten dürfen nicht mehr wie bisher in die USA übermittelt werden
Der EuGH hatte in seiner Entscheidung „Schrems II“ (C-311/18) am 16. Juni 2020, festgestellt, dass US-Behörden zu weitreichende Zugriffsmöglichkeiten auf Daten europäischer Bürger hätten.
Daraus folgt demnach, dass personenbezogene Daten bis zu einer Änderung der Rechtslage in aller Regel nicht mehr wie bisher in die USA übermittelt werden dürften. Ausnahmen bestünden vor allem in den gesetzlich vorgesehenen Sonderfällen, etwa bei Hotelbuchungen in den USA.
BlnBDI betont Wesensgehalt des europäischen Grundrechts auf effektiven Rechtsschutz
Der EuGH habe unter anderem festgestellt, „dass in den USA staatliche Überwachungsmaßnahmen bestehen, die mit einer massenhaften Sammlung personenbezogener Daten ohne klare Beschränkungen einhergehen“. Dies widerspreche der EU-Grundrechtecharta (Rn. 180 ff. des Urteils).
Weiter habe er festgestellt, dass europäische Bürger keine Möglichkeit hätten, Überwachungsmaßnahmen von US-Behörden gerichtlich überprüfen zu lassen. Dadurch sei der Wesensgehalt des europäischen Grundrechts auf effektiven Rechtsschutz verletzt.
BlnBDI erläutert Zulässigkeit der Standardvertragsklauseln unter bestimmten Bedingungen
Übermittlungen personenbezogener Daten in Drittländer seien nur dann zulässig, „wenn diese ein Datenschutzniveau aufweisen, das den europäischen Grundrechten der Sache nach gleichwertig ist“. Da dies nach den Feststellungen des höchsten europäischen Gerichts in den USA weitgehend nicht der Fall sei, hatte der EuGH in seiner Entscheidung das „EU-US Privacy Shield“ für ungültig erklärt, auf dessen Grundlage eine Übermittlung personenbezogener Daten in die USA bisher in vielen Fällen erfolgte.
Die sogenannten Standardvertragsklauseln, die europäische Unternehmen mit Anbietern in Drittländern abschließen könnten, um das europäische Datenschutzniveau auch in den Drittländern zu wahren, habe der EuGH dagegen unter bestimmten Bedingungen für grundsätzlich zulässig erklärt, in diesem Zusammenhang jedoch betont, dass sowohl die europäischen Datenexporteure als auch die Datenimporteure in Drittländern verpflichtet seien, vor der ersten Datenübermittlung zu prüfen, „ob im Drittland staatliche Zugriffsmöglichkeiten auf die Daten bestehen, die über das nach europäischem Recht Zulässige hinausgehen“ (Rn. 134 f., 142 des Urteils).
BlnBDI unterstreicht: Reiner Abschluss von Standardvertragsklauseln reicht für Datenexporte nicht aus
Bestünden solche Zugriffsrechte, könnten auch die Standardvertragsklauseln den Datenexport nicht rechtfertigen. Bereits ins Drittland übermittelte Daten müssten zurückgeholt werden.
Anders als bisher verbreitet vertreten, genüge der reine Abschluss von Standardvertragsklauseln nicht, um Datenexporte zu ermöglichen (Rn. 126 ff. des Urteils).
BlnBDI stellt klar: Unzulässige Datenexporte zu verbieten
Der EuGH betone ausdrücklich, dass die Datenschutz-Aufsichtsbehörden verpflichtet seien, nach diesen Maßstäben unzulässige Datenexporte zu verbieten (Rn. 135, 146 des Urteils), und dass betroffene Personen Schadensersatz für unzulässige Datenexporte verlangen könnten (Rn. 143 des Urteils).
Dieser dürfte insbesondere den immateriellen Schaden („Schmerzensgeld“) umfassen und müsse nach dem europäischen Recht eine abschreckende Höhe aufweisen.
BlnBDI: Nutzer von Cloud-Diensten sollten zu EU-Anbieter wechseln
Die BlnBDI fordert daher nach eigenen Angaben „sämtliche ihrer Aufsicht unterliegenden Verantwortlichen auf, die Entscheidung des EuGH zu beachten. Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln“.
Der EuGH habe in „erfreulicher Deutlichkeit“ ausgeführt, dass es bei Datenexporten nicht nur um die Wirtschaft gehen könne, sondern die Grundrechte der Menschen im Vordergrund stehen müssten, unterstreicht Smoltczyk. Die Zeiten, in denen personenbezogene Daten aus Bequemlichkeit oder wegen Kostenersparnissen in die USA übermittelt werden konnten, seien nach diesem Urteil vorbei: „Jetzt ist die Stunde der digitalen Eigenständigkeit Europas gekommen.“
Laut BlnBDI nicht nur USA von EuGH-Entscheidung betroffen
Die BlnBDI schließt ihre Stellungnahme mit einem klaren Bekenntnis: „Die Herausforderung, dass der EuGH die Aufsichtsbehörden ausdrücklich verpflichtet, unzulässige Datenübermittlungen zu verbieten, nehmen wir an.“
Dies betreffe natürlich nicht nur Datenübermittlungen in die USA, für die der EuGH die Unzulässigkeit bereits selbst festgestellt habe. Auch bei der Übermittlung von Daten in andere Staaten wie etwa China, Russland oder Indien werde zu prüfen sein, „ob dort nicht ähnliche oder gar größere Probleme bestehen“.
Weitere Informationen zum Thema:
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Über uns
datensicherheit.de, 16.07.2020
EuGH-Entscheidung: Privacy Shield suspendiert / Umetikettierung des Vorgängerinstruments des Privacy Shield – Safe Harbor – mit nur marginalen Verbesserungen führte zu keinem Umdenken der Regierung der USA
Aktuelles, Experten - Nov 20, 2024 21:07 - noch keine Kommentare
CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
weitere Beiträge in Experten
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
- it’s.BB e.V. lädt ein: Web-Seminar zu Risiken und Nebenwirkungen der Cyber Sicherheit im Unternehmen
Aktuelles, Branche, Studien - Nov 20, 2024 20:59 - noch keine Kommentare
Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
weitere Beiträge in Branche
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
- NIS-2-Richtlinie: G DATA sieht Fehleinschätzung bei Mehrheit der Angestellten in Deutschland
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren