Aktuelles, Experten - geschrieben von dp am Freitag, Juli 17, 2020 21:23 - noch keine Kommentare
BlnBDI fordert digitale Eigenständigkeit für Europa
Nach „Schrems II“ drängt die BlnBDI, Maja Smoltczyk, datenverarbeitende Stellen in Berlin, die in den USA gespeicherte personenbezogene Daten zu verlagern
[datensicherheit.de, 17.07.2020] Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Maja Smoltczyk, fordert in ihrer aktuellen Stellungnahme zur Entscheidung des Europäischen Gerichtshofs (EuGH), das „EU-US Privacy Shield“ für ungültig zu erklären, die datenverarbeitenden Stellen in Berlin auf, in den USA gespeicherte personenbezogene Daten nach Europa zu verlagern.
BlnBDI: Personenbezogene Daten dürfen nicht mehr wie bisher in die USA übermittelt werden
Der EuGH hatte in seiner Entscheidung „Schrems II“ (C-311/18) am 16. Juni 2020, festgestellt, dass US-Behörden zu weitreichende Zugriffsmöglichkeiten auf Daten europäischer Bürger hätten.
Daraus folgt demnach, dass personenbezogene Daten bis zu einer Änderung der Rechtslage in aller Regel nicht mehr wie bisher in die USA übermittelt werden dürften. Ausnahmen bestünden vor allem in den gesetzlich vorgesehenen Sonderfällen, etwa bei Hotelbuchungen in den USA.
BlnBDI betont Wesensgehalt des europäischen Grundrechts auf effektiven Rechtsschutz
Der EuGH habe unter anderem festgestellt, „dass in den USA staatliche Überwachungsmaßnahmen bestehen, die mit einer massenhaften Sammlung personenbezogener Daten ohne klare Beschränkungen einhergehen“. Dies widerspreche der EU-Grundrechtecharta (Rn. 180 ff. des Urteils).
Weiter habe er festgestellt, dass europäische Bürger keine Möglichkeit hätten, Überwachungsmaßnahmen von US-Behörden gerichtlich überprüfen zu lassen. Dadurch sei der Wesensgehalt des europäischen Grundrechts auf effektiven Rechtsschutz verletzt.
BlnBDI erläutert Zulässigkeit der Standardvertragsklauseln unter bestimmten Bedingungen
Übermittlungen personenbezogener Daten in Drittländer seien nur dann zulässig, „wenn diese ein Datenschutzniveau aufweisen, das den europäischen Grundrechten der Sache nach gleichwertig ist“. Da dies nach den Feststellungen des höchsten europäischen Gerichts in den USA weitgehend nicht der Fall sei, hatte der EuGH in seiner Entscheidung das „EU-US Privacy Shield“ für ungültig erklärt, auf dessen Grundlage eine Übermittlung personenbezogener Daten in die USA bisher in vielen Fällen erfolgte.
Die sogenannten Standardvertragsklauseln, die europäische Unternehmen mit Anbietern in Drittländern abschließen könnten, um das europäische Datenschutzniveau auch in den Drittländern zu wahren, habe der EuGH dagegen unter bestimmten Bedingungen für grundsätzlich zulässig erklärt, in diesem Zusammenhang jedoch betont, dass sowohl die europäischen Datenexporteure als auch die Datenimporteure in Drittländern verpflichtet seien, vor der ersten Datenübermittlung zu prüfen, „ob im Drittland staatliche Zugriffsmöglichkeiten auf die Daten bestehen, die über das nach europäischem Recht Zulässige hinausgehen“ (Rn. 134 f., 142 des Urteils).
BlnBDI unterstreicht: Reiner Abschluss von Standardvertragsklauseln reicht für Datenexporte nicht aus
Bestünden solche Zugriffsrechte, könnten auch die Standardvertragsklauseln den Datenexport nicht rechtfertigen. Bereits ins Drittland übermittelte Daten müssten zurückgeholt werden.
Anders als bisher verbreitet vertreten, genüge der reine Abschluss von Standardvertragsklauseln nicht, um Datenexporte zu ermöglichen (Rn. 126 ff. des Urteils).
BlnBDI stellt klar: Unzulässige Datenexporte zu verbieten
Der EuGH betone ausdrücklich, dass die Datenschutz-Aufsichtsbehörden verpflichtet seien, nach diesen Maßstäben unzulässige Datenexporte zu verbieten (Rn. 135, 146 des Urteils), und dass betroffene Personen Schadensersatz für unzulässige Datenexporte verlangen könnten (Rn. 143 des Urteils).
Dieser dürfte insbesondere den immateriellen Schaden („Schmerzensgeld“) umfassen und müsse nach dem europäischen Recht eine abschreckende Höhe aufweisen.
BlnBDI: Nutzer von Cloud-Diensten sollten zu EU-Anbieter wechseln
Die BlnBDI fordert daher nach eigenen Angaben „sämtliche ihrer Aufsicht unterliegenden Verantwortlichen auf, die Entscheidung des EuGH zu beachten. Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln“.
Der EuGH habe in „erfreulicher Deutlichkeit“ ausgeführt, dass es bei Datenexporten nicht nur um die Wirtschaft gehen könne, sondern die Grundrechte der Menschen im Vordergrund stehen müssten, unterstreicht Smoltczyk. Die Zeiten, in denen personenbezogene Daten aus Bequemlichkeit oder wegen Kostenersparnissen in die USA übermittelt werden konnten, seien nach diesem Urteil vorbei: „Jetzt ist die Stunde der digitalen Eigenständigkeit Europas gekommen.“
Laut BlnBDI nicht nur USA von EuGH-Entscheidung betroffen
Die BlnBDI schließt ihre Stellungnahme mit einem klaren Bekenntnis: „Die Herausforderung, dass der EuGH die Aufsichtsbehörden ausdrücklich verpflichtet, unzulässige Datenübermittlungen zu verbieten, nehmen wir an.“
Dies betreffe natürlich nicht nur Datenübermittlungen in die USA, für die der EuGH die Unzulässigkeit bereits selbst festgestellt habe. Auch bei der Übermittlung von Daten in andere Staaten wie etwa China, Russland oder Indien werde zu prüfen sein, „ob dort nicht ähnliche oder gar größere Probleme bestehen“.
Weitere Informationen zum Thema:
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Über uns
datensicherheit.de, 16.07.2020
EuGH-Entscheidung: Privacy Shield suspendiert / Umetikettierung des Vorgängerinstruments des Privacy Shield – Safe Harbor – mit nur marginalen Verbesserungen führte zu keinem Umdenken der Regierung der USA
Aktuelles, Experten, Studien - Nov 29, 2024 19:21 - noch keine Kommentare
TÜV Rheinland meldet weiter verschärfte IT-Sicherheitslage in Deutschland
weitere Beiträge in Experten
- Datensouveränität: Bedeutung der Self Sovereign Identities
- Black Friday: Auch BSI warnt Schnäppchenjäger vor Cyber-Kriminellen
- Beantragung kostenfreier Schufa-Auskünfte gegen Entgelt: Verbraucherzentrale NRW moniert Web-Angebote
- Bildungsprojekt MedienTrixx hat Datenschutz und Künstliche Intelligenz im Fokus
- Offener Brief an Bundestag: TeleTrusT mahnt NIS-2-Umsetzung noch in laufender Legislaturperiode an
Aktuelles, Branche, Studien - Nov 30, 2024 20:46 - noch keine Kommentare
KI als zweischneidiges Schwert: Zukunft der Cyber-Bedrohung und -abwehr werden neu definiert
weitere Beiträge in Branche
- IT Security Economics Report: Cyber-Angriffe verursachen Unternehmen durchschnittliche Kosten von 1,06 Millionen US-Dollar
- NIS-2: EU leitet Vertragsverletzungsverfahren gegen Deutschland ein
- Rund um Black Friday, Black Week und Cyber Monday läuft Cyber-Kriminalität zur Höchstform auf
- IT-Defense: Nächste Auflage vom 12. bis 14. Februar 2025 in Leipzig
- Angriffe mittels USB gefährden Kritische IT- und OT-Infrastrukturen
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren