Kategorie-Archiv: Datenschutz in den USA

EuGH: Safe-Harbor-Entscheidung mit den USA ungültig

Der EuGH folgte in der Sache C-362/14 (M. Schrems v. Data Protection Commissioner [Facebook] – Volltext) in seiner Entscheidung vom 6.10.2015 den Schlussanträgen (siehe Beitrag auf dieser Website) des Generalanwalts Bot. Demnach ist die Übermittlung von personenbezogenen Daten von Nutzern in Europa in die USA nicht schon auf Grundlage der sog. Safe-Harbor-Entscheidung (2000/520/EG v. 26.7.2000) durch ein „angemessenes Schutzniveau“ geschützt. Die Safe-Harbor-Entscheidung der EU-Kommission ist vielmehr ungültig, und die Datenschutzbehörden der befassten Mitgliedsstaaten sind befugt eigenständig zu prüfen, inwiefern für die USA ein sog. „angemessenes Schutzniveau“ besteht.

Inhalt des Urteils

Die Richtlinie 95/46/EG (Richtlinie des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. L 281, S. 31 ff) regelt, dass eine Übermittlung von personenbezogenen Daten in ein sog. Drittland (ein Staat außerhalb von EU/EWR) nur zulässig ist, wenn dieses Drittland ein „angemessenes“ Schutzniveau der Daten gewährleistet. Nach der Richtlinie ist die Kommission legitimiert zu bestimmen, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, etwa aufgrund des innerstaatlichen Rechts oder internationaler Verpflichtungen. Letztere ist die sog. Safe-Harbor-Entscheidung (näher: Beitrag auf dieser Website).

Der EuGH führt in dem Urteil vom 6.10.2015 aus, dass eine Aufsichtsbehörde aufgrund der Vermutung der Rechtmäßigkeit von Rechtsakten solange keine zuwiderlaufende Maßnahme gegen die Safe-Harbor-Entscheidung treffen könne, wie die Entscheidung der Kommission vom Gerichtshof nicht für ungültig erklärt werde. Aus diesem Grunde „ist es Sache des nationalen Gesetzgebers, Rechtsbehelfe vorzusehen, die es der betreffenden nationalen Kontrollstelle ermöglichen, die von ihr für begründet erachteten Rügen vor den nationalen Gerichten geltend zu machen, damit diese […] um eine Vorabentscheidung über deren Gültigkeit ersuchen.“ Denn der Aufsichtsbehörde müsse – trotz einer Entscheidung der Kommission – die Möglichkeit bleiben, in völliger Unabhängigkeit prüfen zu können, ob bei der Übermittlung von Daten die in der Richtlinie aufgestellten Anforderungen gewahrt werden. Daher könne eine Entscheidung der Kommission (hier: Safe-Harbor-Entscheidung), die Aufsichtsbehörde nicht an der Kontrolle der Übermittlung personenbezogener Daten in Drittländer hindern.

Sodann prüft der EuGH die Gültigkeit der Safe-Harbor-Entscheidung und erklärt diese für ungültig. Er beanstandet u.a., dass die Safe-Harbor-Entscheidung nur für Unternehmen mit Sitz in den USA gelte, nicht aber für die Behörden innerhalb der USA. Darüber hinaus werde den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen Vorrang vor den Grundsätzen der Safe-Harbor-Entscheidung eingeräumt, weshalb die Unternehmen in den USA „ohne jede Einschränkung verpflichtet [sind], die Grundsätze […] unangewandt zu lassen“, wenn sie in Widerstreit zu solchen Erfordernissen stehen. Dadurch werde ein Eingriff der US Behörden in die Grundrechte der Personen, deren personenbezogene Daten aus der Union in die Vereinigten Staaten übermittelt werden, ermöglicht. Hinzu komme das fehlende Bestehen eines wirksamen gerichtlichen Rechtsschutzes gegen derartige Eingriffe, wie der Generalanwalt in seinen Schlussanträgen ausgeführt habe.

Schließlich fehle die Möglichkeit des Betroffenen mittels gerichtlichen Rechtsbehelfen den Zugang zu den ihn betreffenden Daten zu erhalten und ggf. deren Berichtigung oder Löschung zu erwirken, was den Wesensgehalt des Grundrechts auf wirksamen gerichtlichen Rechtsschutz verletze.
Die Entscheidung trifft die Meinung der 89. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 18./19.3.2015, die gemäß ihrer Entschließung ebenfalls auf dem Standpunkt steht, dass Safe-Harbor kein angemessenes Schutzniveau gewährleistet.

Folgen des Urteils

Die irische Datenschutzbehörde muss nun die Beschwerde von Herrn Schrems prüfen, was sie im Prüfungsverfahren abgelehnt hatte. Stellt sie fest, dass die USA kein angemessenes Schutzniveau im Sinne der Richtlinie aufweist, hat sie die Übermittlung der personenbezogenen Daten der europäischen Nutzer des Social-Media-Anbieters Facebook in die USA auszusetzen. Denkbar ist aber auch, dass die irische Datenschutzbehörde ein angemessenes Schutzniveau feststellt, was Herrn Schrems wahrscheinlich dazu bewegen wird, das Verfahren weiter zu betreiben und erneut den High Court anzurufen, sofern eine beschwerdefähige Entscheidung ergeht.

Aus alledem folgt, dass nationale Aufsichtsbehörden innerhalb der EU die Übermittlung europäischer Daten auf US-Server verbieten können. Das Urteil wirkt sich nicht nur auf personenbezogene Daten der Facebook-Nutzer aus, sondern betrifft sämtliche der mehr als 4.000 Unternehmen mit Sitz in den USA, die sich dem Safe-Harbor-Abkommen im Wege einer Selbstzertifizierung unterworfen haben. Dies führt dazu, dass sie eine neue rechtliche Grundlage benötigen oder ein neues Abkommen zwischen der EU und den USA geschaffen werden muss, sofern nicht im Einzelfall unter Nutzung der EU Model Contracts vorgegangen wird. Die einzuhaltenden Grundsätze hat der EuGH in seinem Urteil skizziert. Das Urteil trifft vor allem kleinere Unternehmen, die sich bislang auf die Safe-Harbor-Entscheidung verlassen haben. Unternehmen müssen nun die Zulässigkeit der Datenübermittlung prüfen und auf andere Weise sicherstellen.

 

Generalanwalt EuGH: Safe-Harbor steht nicht über der Entscheidungsbefugnis nationaler Aufsichtsbehörden

In seinem Schlussantrag in der Sache C-362/14 (M. Schrems v. Data Protection Commissioner [Facebook], veröffentlicht am 23.09.2015 – Volltext) äußert der Generalanwalt am EuGH, Yves Bot, die Auffassung, dass die sog. Safe-Harbor-Entscheidung der EU-Kommission (2000/520/EG, ABl. L 215/7 v. 25.8.2000 – Volltext) nicht dem Vorhaben der irischen Aufsichtsbehörde entgegenstehe, die Übermittlung von Daten europäischer Facebook-Nutzer an Server in den Vereinigten Staaten verbieten zu können.

Hintergrund

Facebook als amerikanischer Social-Media-Anbieter unterhält in Irland eine Tochtergesellschaft und übermittelt von dort die Daten der Nutzer mit Wohnsitz in der EU an in den USA belegene Server. Die Richtlinie (95/46/EG – Volltext) zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr erlaubt die Übermittlung von personenbezogenen Daten in ein Drittland (also Länder außerhalb der EU/EWR) nur dann, wenn dieses ein angemessenes Schutzniveau gewährleistet. Drittstaaten mit angemessenem Schutzniveau können entweder als solche festgestellt werden oder auf vertraglicher Grundlage als solche gelten. Hierauf bezog sich, soweit die USA betroffen waren, die o. a. Safe-Harbor-Entscheidung der Europäischen Kommission. Unternehmen in den USA, die der Zuständigkeit der Federal Trade Commission unterliegen, können in dem Safe-Harbor-Verfahren eine Selbstverpflichtung zur Einhaltung der in dem Abkommen niedergelegten Grundsätze erklären. Diesen Grundsätzen hatte sich das Unternehmen Facebook unterworfen, sodass der Datenaustausch nach Auffassung der zuständigen irischen Aufsichtsbehörde nicht zu beanstanden sei.

Im Zusammenhang mit dem Vorgehen des Österreichers Maximilian Schrems gegen Facebook legte der irische High-Court dem EuGH im Wege des Vorabentscheidungsersuchens die Frage vor, ob das Safe-Harbor-Verfahren eine nationale Aufsichtsbehörde daran hindere, eine Beschwerde zu untersuchen, die darauf abzielt, dass das Drittland kein angemessenes Schutzniveau gewährleiste.

Schlussantrag des Generalanwalts

Der Generalanwalt vertritt in den Schlussanträgen im Wesentlichen die Auffassung, dass die Europäische Kommission die USA nicht hätte als Safe-Harbor qualifizieren dürfen und hält dieses somit für ungültig. Er begründet seine Auffassung unter anderem mit der in den USA gelebten Praxis, personenbezogene Daten in großem Umfang zu sammeln, ohne dass Unionsbürger über einen wirksamen Rechtsschutz verfügen. Dies gelte insbesondere aufgrund der massiven und wahllosen Überwachung in den USA durch Nachrichtendienste und dem fehlenden Rechtsbehelf europäischer Bürger, was letztlich zu einem Verstoß gegen den Grundsatz der Verhältnismäßigkeit führe.

Auch stehe das Safe-Harbor-Verfahren nicht über der Entscheidungsbefugnis von nationalen Aufsichtsbehörden. Ihnen müssen als unabhängige Instanzen die Befugnis bleiben, feststellen zu können, dass kein angemessenes Schutzniveau für die übermittelten personenbezogenen Daten gewährleistet sei und gegebenenfalls die Übertragung dieser Daten auszusetzen.

Folgen des Schlussantrags

Folgt der EuGH den Schlussanträgen des Generalanwalts, so wie er dies meist tut, sind die Auswirkungen nicht nur für Facebook spürbar, sondern wirkt sich auf sämtliche mehr als 4.000 Unternehmen mit Sitz in den USA aus, die sich dem Safe-Harbor-Abkommen unterworfen haben. Ihnen ist dann die Rechtsgrundlage der Übermittlung personenbezogener Daten in die USA entzogen, sodass sie eine neue rechtliche Grundlage benötigen oder ein neues Abkommen zwischen der EU und den USA geschaffen werden muss. Bis ein solches umgesetzt ist, können die Betroffenen ggf. den Weg über die sog. EU-Standardvertragsklauseln oder Binding-Corporate-Rules (BCR) gehen.

Update: Den Beitrag zum Urteil des EuGH finden Sie auf dieser Website.

 

EuGH: Datenverarbeitung durch Muttergesellschaft erfolgt “im Rahmen der Tätigkeit” einer werbenden Tochtergesellschaft

Mit Urteil vom 13.5.2014 (Az. C-131/12, Volltext) hat sich der EuGH in einem Vorabentscheidungsverfahren überraschend zur Reichweite des Merkmals der Datenverarbeitung “im Rahmen der Tätigkeiten einer Niederlassung” im Sinne des Art. 4 Abs. 1 Buchst. a DSRL geäußert. Um eine solche Tätigkeit handele es sich, wenn die Muttergesellschaft Daten verarbeitet, die im engen Zusammenhang mit der Werbetätigkeit der Niederlassung (Tochtergesellschaft) stehen. Das Urteil, das sich im Kern mit der Pflicht eines Suchmaschinenbetreibers zur Löschung von Links aus seinen Indizes befasst, dürfte auch für die Datenverarbeitung in anderen Social Media die Werbeflächen unterhalten, vor allem soziale Netzwerke, erhebliche Bedeutung erlangen.
Weiterlesen

Hinweise und Q&A zum Datenschutz international

Auf Practical Law findet sich ein sehr hilfreicher Data Protection Multi-jurisdictional Guide zum Datenschutzregime in mehr als 30 Staaten weltweit, insbesondere in der Europäischen Union und dem Europäischen Wirtschaftsraum. Der Guide ist in Form von “Country Q&A” organisiert, über die die wesentlichen Fragen zum Datenschutzrecht (Anwendungsbereich, gesetzliche Regelungen, Besonderheiten) beantwortet werden. Derzeit befinden sich Q&A zu folgenden Ländern auf der Website. Australien, Österreich, Belgien, Brasilien, Kanada, China, Tschechei, Frankreich, Finnland, Deutschland, Hongkong, Ungarn, Indien, Irland, Italien, Japan, Luxemburg, Mexiko, Norwegen, Polen, Qatar, Rumänien, Russland, Saudi-Arabien, Südafrika, Spanien, Schweden, Thailand, Türkei, Großbritannien (England und Wales), Vereinigte Arabische Emirate und Vereinigte Staaten/USA.

Trust Issues – Vertrauensprobleme in der EU …

…oder wie Safe Harbor eine (amerikanisch-europäische) Beziehung auf die Probe stellt

Die Europäische Kommission hat im November 2013 eine „Mitteilung zum Funktionieren von Safe Harbour aus der Perspektive der EU-Bürger und von in der EU ansässigen Unternehmen“ (COM(2013) 847 „on the Functioning of the Safe Harbour from the Perspective of EU Citizens and Companies Established in the EU“, Download PDF, englisch) veröffentlicht.

Auslöser waren insbesondere die diesjährigen Enthüllungen über das Ausspionieren personenbezogener Daten europäischer Politiker, die eine erhebliche Störung des Vertrauensverhältnisses zwischen der EU und den USA nach sich zogen. Dass bei der Gewinnung dieser personenbezogenen Daten Prinzipien des Safe Harbour Abkommens verletzt wurden ist kaum auszuschließen und wirft Fragen zur Sicherheit der Daten im internationalen Datenverkehr und auch Kritik an der Durchsetzung der Bedingungen des Abkommens auf, insbesondere da die Unternehmen, die am PRISM Programm beteiligt sind und die den US Behörden Zugang zu personenbezogenen Daten gewährt haben, alle am Safe Harbour Abkommen beteiligte und entsprechend zertifizierte Unternehmen waren.

Weiterlesen

32. RDV-Forum: ein Tagungsbericht

Am 13.11.2013 fand im Maternushaus zu Köln unter der Leitung des Ehrenvorsitzenden des GDD Gesellschaft für Datenschutz und Datensicherheit  e.V. Prof. Peter Gola in seiner Funktion als Verantwortlicher Schriftleiter der Fachzeitschrift RDV das 32. RDV-Forum statt. Weiterlesen

Zweistufige Datenschutzprüfung bei Datenübermittlung in Drittstaaten

Der Zusammenschluss der Aufsichtsbehörden über den Datenschutz im nicht-öffentlichen Bereich, der sog. Düsseldorfer Kreis, hat am 11./12. September 2013 beschlossen (Beschluss Volltext, PDF), dass Datenübermittlungen in Staaten außerhalb der EU/des EWR in zwei Stufen zu prüfen sind:

Zunächst ist auf der ersten Stufe zu prüfen, ob die Datenübermittlung gerechtfertigt ist. Dies kann durch Einwilligung der betroffenen Person oder durch Gesetz geschehen, vgl. § 4 Abs. 1 BDSG. Insoweit gelten die allgemeinen Datenschutzvorschriften. Allerdings gilt bei einer Auftragsdatenverarbeitung nicht die Privilegierung des § 11 BDSG, vgl. § 3 Abs. 7 BDSG am Ende. Als Prüfungsmaßstab ist hierbei vielmehr § 28 Abs. 1 S. 1 Nr. 2 BDSG anzulegen bzw. § 28 Abs. 6 ff. BGB bei sensiblen Daten. Sodann ist auf der zweiten Stufe zu prüfen, ob im entsprechenden Drittstaat ein ausreichendes Datenschutzniveau besteht oder ob eine Ausnahme nach § 4c BDSG vorliegt. Nur wenn beide Stufen positiv geprüft werden, ist die Datenübermittlung zulässig.

Mit diesem Beschluss hat der Düsseldorfer Kreis letztlich nur die gesetzliche Systematik in einen kurzen einseitigen Hinweis formuliert. Neuigkeiten sind mit dem Beschluss für Unternehmen, die personenbezogene Daten in Drittstaaten übermitteln oder dort sonst erheben, verarbeiten oder nutzen, nicht verbunden.

Big Data Summit 2013 – ein Erfahrungsbericht

Zu Beginn dieser Woche hatte der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) zum Gipfeltreffen 2013 “Big Data” nach Bonn geladen. Der Einladung folgten über 600 Teilnehmer, die (laut Untertitel der Veranstaltung) auf der Suche waren nach Impulsen für ihr Business.

Um für den eiligen Leser das Fazit an dieser Stelle schon vorweg zu nehmen: Die Suchenden dürften wohl leer ausgegangen sein. Zwar wurden die Ideen und Konzepte, die zusammenfassend mit dem Schlagwort Big Data bezeichnet werden, zu Beginn der Veranstaltung durch einen kurzweiligen gespielten Dialog eines fiktiven Unternehmers mit seinem fiktiven IT-Abteilungsleiter in verständlichen Worten dargestellt und anschließend wissenschaftlich korrekt von Prof. Dr. Wrobel vom Fraunhofer IAIS aufbereitet. Danach ist Big Data die Fortschreibung von gegenwärtig vier vorhandenen Trends, u.a. Social Media und die damit verbundenen nutzergenerierten Inhalte. Aber vor der Mittagspause waren konkrete Handlungsvorschläge oder Beispiele Mangelware und die Ausführungen der Referenten erschöpften sich in “Heilsversprechen”. Dieses Wort hatte Dr. Thilo Weichert, Leiter des ULD Schleswig-Holstein, zuvor in seinem Beitrag in der Zeitschrift für Datenschutz (ZD) 2013, Seiten 251 ff im Rahmen seines Problemaufriss völlig zu Recht verwendet. Tenor der ersten Vorträge war, dass mit dem Einsatz von Big Data Werkzeugen alles besser und effizienter würde. Kosten ließen sich sparen, Umsätze steigern oder gar neue Quellen erschließen, etc. Kurz: Das Übliche bei vertriebsorientierten Vorträgen. Substantieller Vortrag fehlte derweil. Anders dagegen der Nachmittagsbereich. Nun kamen neben den klassischen Einsatzgebieten wie Wettervorhersage und Stauprognose, bzw. Navigationssysteme erste praktische Anwendungsbeispiele zur Sprache, die sich schon schemenhaft aus der Ankündigung der Referenten und ihrer Herkunft ergaben. Für den durchschnittlichen Mittelständler ergaben sich jedoch, unabhängig von der Branche, wohl keine konkreten Impulse fürs Geschäft.

Ganz im Gegenteil: Bezüglich des Themas Big Data, welches nun schon seit einiger Zeit durch die IT-Fachpresse geistert und sich nach Einschätzung der Referenten im Gartner-Hype-Cycle schon auf dem absteigenden Ast nach dem ersten Zenit befindet, wurde von einem referierenden Mittelständler konstatiert, dass der Einsatz entsprechender Methoden und Werkzeuge in seiner Branche derzeit nur bei den Big Five zu vernehmen ist. Der Markt sei hart umkämpft, der Einsatz neuer Methoden risikoreich. Sollten sich doch erst die Großkonzerne eine “blutige Nase” holen, solange die Verfahren noch in der Kinderschuhen stecken. Die Mittelständler würden entsprechende Methoden und Werkzeuge erst einsetzen, wenn diese sich bewährt haben.

Die Skepsis ist völlig zu Recht angebracht. Sämtliche Träume von Marketingabteilungen in Zusammenhang mit Big Data sind pure Illusion. Entsprechende Werkzeuge sind konzeptionell darauf ausgelegt, zunächst alle verfügbaren Daten zu erfassen und zu speichern. Danach erst beginnt zu einem späteren Zeitpunkt die Nutzung der Daten und damit auch erst die Festlegung des Zwecks der Verarbeitung. Soweit die erhobenen Daten nicht ausschließlich aus dem Bereich machine-to-machine (M2M) stammen, wo sicherlich lohnenswerte Einsatzmöglichkeiten zu finden sind, sind im Bereich der personenbezogenen Daten nahezu keine Einsatzmöglichkeiten erkennbar, die mit geltendem Recht in Europa vereinbar sind. Hier treffen einfach zwei Grundideen diametral aufeinander: Big Data vs. Datenvermeidung und Datensparsamkeit.

Dass sich Anwendungsbeispiele durchaus anhand us-amerikanischer Unternehmen aufzeigen lassen, ergibt sich schlicht aus dem dortigen Datenschutzrecht. Als Europäer darf man es aber durchaus für sehr bedenklich halten, wenn unter Geringschätzung der IT-sicherheitsrelevanten Gefahren, die großen Datensammlungen immanent sind, große Gefährdungen der Persönlichkeitsrechte in Kauf genommen werden. Der Schritt zum gläsernen Menschen ist nicht mehr weit, wenn mittels Big Data Verfahren individuelle Verhaltensvorhersagen ermöglicht werden, welche selbstverständlich für Marketingzwecke interessant sind. Wenn sodann die Technick noch entgegen bewährter Prinzipien der Statistik – Definieren eine These und validiere sie mittels Zahlen! – die Zahlen die These vorgeben (oder jedenfalls durch das Aufzeigen von Korrelationen das Formulieren der These stark beeinflussen), dann dürfte dem Thema doch tatsächlich mit Bedenken zu begegnen sein.

Wi-Fi access points (WLAN Netze) und Google Street View

Zum widerholten Male sorgen die Geschäftspraktiken von Google auch in den USA für datenschutzrechtliche Bedenken. Obwohl dort traditionell unter dem Begriff Datenschutz eher das Thema „data protection“ behandelt wird und das Thema „data privacy“, wie es dem europäischen Verständnis vom Begriff Datenschutz nahe kommt, tendenziell wenig Aufmerksamkeit zukommt, kam es nun erneut zu freiwilligen Strafzahlungen von Google wegen Verletzungen der „data privacy“.

Weiterlesen