Schlagwort-Archiv: Datentransfer

Zweistufige Datenschutzprüfung bei Datenübermittlung in Drittstaaten

Der Zusammenschluss der Aufsichtsbehörden über den Datenschutz im nicht-öffentlichen Bereich, der sog. Düsseldorfer Kreis, hat am 11./12. September 2013 beschlossen (Beschluss Volltext, PDF), dass Datenübermittlungen in Staaten außerhalb der EU/des EWR in zwei Stufen zu prüfen sind:

Zunächst ist auf der ersten Stufe zu prüfen, ob die Datenübermittlung gerechtfertigt ist. Dies kann durch Einwilligung der betroffenen Person oder durch Gesetz geschehen, vgl. § 4 Abs. 1 BDSG. Insoweit gelten die allgemeinen Datenschutzvorschriften. Allerdings gilt bei einer Auftragsdatenverarbeitung nicht die Privilegierung des § 11 BDSG, vgl. § 3 Abs. 7 BDSG am Ende. Als Prüfungsmaßstab ist hierbei vielmehr § 28 Abs. 1 S. 1 Nr. 2 BDSG anzulegen bzw. § 28 Abs. 6 ff. BGB bei sensiblen Daten. Sodann ist auf der zweiten Stufe zu prüfen, ob im entsprechenden Drittstaat ein ausreichendes Datenschutzniveau besteht oder ob eine Ausnahme nach § 4c BDSG vorliegt. Nur wenn beide Stufen positiv geprüft werden, ist die Datenübermittlung zulässig.

Mit diesem Beschluss hat der Düsseldorfer Kreis letztlich nur die gesetzliche Systematik in einen kurzen einseitigen Hinweis formuliert. Neuigkeiten sind mit dem Beschluss für Unternehmen, die personenbezogene Daten in Drittstaaten übermitteln oder dort sonst erheben, verarbeiten oder nutzen, nicht verbunden.

Wi-Fi access points (WLAN Netze) und Google Street View

Zum widerholten Male sorgen die Geschäftspraktiken von Google auch in den USA für datenschutzrechtliche Bedenken. Obwohl dort traditionell unter dem Begriff Datenschutz eher das Thema „data protection“ behandelt wird und das Thema „data privacy“, wie es dem europäischen Verständnis vom Begriff Datenschutz nahe kommt, tendenziell wenig Aufmerksamkeit zukommt, kam es nun erneut zu freiwilligen Strafzahlungen von Google wegen Verletzungen der „data privacy“.

Weiterlesen

Neue EU-Studie: “Fighting cyber crime and protecting privacy in the cloud”

Unter dem TItel “Fighting cyber crime and protecting privacy in the cloud” hat das EU-Parlament eine neue Studie vorgestellt (PDF, englisch). Der Studie vorausgegangen war die Mitteilung der Kommission zur “Freisetzung des Cloud-Computing-Potenzials in Europa” vom 27.9.2012 (COM (2012) 529 final, PDF).

DIe Studie befasst sich mit den Auswirkungen der zunehmenden Nutzung von Cloud-Diensten in der EU. Im Mittelpunkt stehen die von der EU ergriffenen Maßnahmen zur Sicherung der Daten in der Cloud, insbesondere mit Blick auf den Datenschutz, das anwendbare Recht sowie die Verantwortlichkeit und Regulierung von Datenübermittlungen bzw. Auftragsdatenverarbeitungen in Drittstaaten außerhalb von EU/EWR.

Die Ergebnisse der Studie sind ernüchternd: Weder die Empfehlungen der Art. 29 Gruppe zum Cloud Computing (Opinion 05/2012/WP 196, PDF) noch die (geplanten) Regelungswerke der EU hätten/könnten dazu beigetragen, die Sicherheit der EU-Bürger in der Cloud bei Datentransfers in Drittstaaten zu erhöhen oder die offenen Rechtsfragen zu lösen.

So führen die Verfasser der Studie u.a. aus:

“Consumers’ rights are subsumed into a complex mesh of contracts among private entities. [...] Lack of legal certainty surrounding the concept of cybercrime and legal frameworks of cloud-based investigations, as well as inadequate tools to safeguard privacy and data protection increase the potential for misuses and abuses by law enforcement actors and agencies. European citizens’ data are not sufficiently protected in this regard.”