Tja. Man könnte sich fragen, ob sich die ganze Diskussion um Datenübermittlung in unsichere Rechtsstaat, womit in der Regel die USA gemeint sind, mit der Zeichnung der Exekutive Order von Joe Biden und dem wohl kommenden neuen Angemessenheitsbeschluss der EU-Kommission für Datenübermittlung in die USA erledigt hat.

Was? Das ging Ihnen zu schnell? Ok. Fangen wir noch mal – in aller Kürze von vorne an.

Schrems II, SVK, die Datenschutzbehörden und der risikobasierte Ansatz der DSGVO

Im Jahr 2020 erging die sogenannte Schrems-II-Entscheidung des EuGH. Mit diesem Urteil erklärte der EuGH den Angemessenheitsbeschluss »Privacy Shield« der EU-Kommission (EUKOM) i.S.d. Art. 45 DSGVO für ungültig. Damit entfiel die bis dato bestehende Rechtsgrundlage nach Art. 45 DSGVO für Datenübertragungen in die USA. Zeitgleich urteilte der EuGH über die Verwendung von sogenannten Standardvertragsklauseln (SVK) nach Art. 46 Abs. 2 c) DSGVO, die eine weitere Rechtsgrundlage zur Datenübertragung in unsichere Drittstaaten darstellen und konstatierte, dass der verantwortliche Datenexporteur in jedem Einzelfall prüfen müsse, ob das Recht des Drittlandes nach Maßgabe des EU-Rechts einen angemessenen Schutz gewährleistet. Der EuGH bezweifelte, dass die USA einen angemessenen Schutz nach Maßgabe des EU-Rechts bieten könnten.

Im Juni 2021 wurden neue Standardvertragsklauseln veröffentlich, die mit den Klauseln 14 a), b) eine solche transferspezifische und risikoorientierte Abwägung bei der Datenübermittlung vorsahen. Demnach ist unter anderem zu prüfen, welche Art von Daten übermittelt wurden, welchen Zweck die Verarbeitung hat, den Wirtschaftszweig, in dem die Übertragung erfolgt sowie die technisch und organisatorischen Maßnahmen, die bei der Verarbeitung ergriffen werden.

Der europäische Datenschutzausschuss (EDSA) negierte allerdings – ebenso wie die DSK, die Deutsche Datenschutzkonferenz – dass der risikobasierte Ansatz der DSGVO auch im Rahmen von Drittstaatentransfers zu berücksichtigen sei. Die europäischen Datenschutzbehörden vertraten die Ansicht, dass es nicht darauf ankäme, ob es sich bei den übermittelten personenbezogenen Daten um statistische Trackingdaten oder um hochsensible Gesundheitsdaten handelte und/oder wie hoch die Eintrittswahrscheinlichkeit von Risikoverwirklichungen wäre. Es sei nur zu prüfen, ob das Recht des importierenden Staat ein „angemessenes“ Schutzniveau böte.

Der geschätzte Kollege Heiko Roth und ich hielten und halten diese Auffassung schon deswegen für falsch, weil sie nicht mit der Dogmatik der DSGVO selbst in Einklang zu bringen ist. In unserem Aufsatz „Datenübermittlung in unsichere Rechtsstaaten“, ZdiW 08/2021, 313 setzen wir uns deswegen intensiv mit dem Prinzip des risikobasierten Ansatzes der DSGVO, dem Schrems -II-Urteil und eben der Datenübermittlung in unsichere Drittstaaten auf Basis der SVK nach Art. 46 Abs. 2 c) DSGVO auseinander. Wir kommen – sehr verkürzt – zu dem Ergebnis, dass die Datenübermittlung in unsichere Rechtsstaaten auch dann zulässig sein kann, wenn das Recht des Drittstaates gegebenfalls nicht in Gänze der Vorstellung der EuGH entspricht, aber das Risiko nach einer Risikoabwägung vertretbar ist. Alle Einzelheiten sind in unserem Aufsatz nachzulesen:

Den ganzen Artikel lesen.

Die CNIL, die französische Aufsichtsbehörde, hat sich am 7.6.2022 noch einmal zu Google Analytics und der Datenübertragung in Drittstaaten geäußert. Ja, 7.6., es ist mir aber erst heute durch den ZD-Newsletter aufgefallen. (Danke dafür!)

In ihrem Beitrag legt die CNIL dar, dass sie mehrere Beschwerden zur Nutzung von Google Analytics auf Webseiten französischer Unternehmen auf dem Tisch hatte. Sie habe das geprüft und sei der Ansicht, dass die “Verwendung von Google Analytics in der derzeitigen Form zu unzureichend geregelten Übermittlungen in die USA führe”.  Dabei lässt die CNIL leider offen, was “die derzeitige Form” war, ob es also um Google Analytics 4 (aktuelle Version, die IP-Adresse wird nicht in Analytics erfasst) oder um die ältere Fassung, Universal Analytics ging, bei der man selbst entscheiden muss, ob die IP-Adresse anonymisiert wird. Ist aber auch nicht weiter wichtig, denn: Alles schlimm mit der Übertragung der IP-Adresse in einen Drittstaat.

Den ganzen Artikel lesen.

Ich gewinne lieber als dass ich verliere. Bei Mensch-ärger-dich-nicht und bei Gerichtsverfahren. Es gibt Urteile, die gehen klar, auch wenn die eigene Mandantschaft dabei verliert. Da stimmt die Begründung, auch wenn ich es rechtlich anders sehe. Hin und wieder gibt es jedoch auch Urteile, die man liest und sich denkt: „Das darf doch wohl nicht wahr sein.“ Da geht es nicht darum, dass man verloren hat, sondern dass die Begründung grobe Schnitzer enthält. Genau so ein Urteil hielt ich kürzlich in der Hand. Als ich erfahren habe, dass dieses Urteil in der Zeitschrift für Datenschutz veröffentlicht werden soll, war mir wichtig, dass klar wird, dass dieses Urteil keines ist, auf das man sich einfach stützen kann. Denn rechtlich ist zum Teil fragwürdig, wie das Gericht die Entscheidung begründet. Wer nicht so versiert im Thema ist oder nur schnell mal nach etwas sucht, könnte sonst bei diesem Urteil landen und denken: „Ha, da gibt es was.“ Deshalb habe ich eine Anmerkung geschrieben, in der ich deutlich mache, dass und warum ich dieses Urteil für wenig hilfreich halte. Es ist soweit ersichtlich das erste Urteil zu dieser Frage und sollte nicht unkommentiert stehen bleiben, damit die unsaubere Begründung nicht wiederholt wird, sondern die vom Gericht aufgeführten Aspekte rechtsdogmatisch zukünftig besser behandelt werden.Den ganzen Artikel lesen.

Liebe Leser:innen,

willkommen zum jüngsten Rechtsüberblick. Auch heute wollen wir wieder einen Blick auf spannende Themen des Datenschutzrechts werfen, die die unternehmerische Praxis zur Zeit und in naher Zukunft beschäftigen (werden). Sie wissen bereits, dass das Datenschutzrecht nicht zur Ruhe kommt und eines der lebendigsten Rechtsgebiete im Bereich Compliance bleibt. Deshalb wollen wir auch heute wieder einen kleinen Ausblick auf aktuelle Themen geben, nämlich:

• LG Bonn: Die verspätete Auskunftserteilung an den Betroffenen ist kein Grund für Schadensersatz oder Schmerzensgeld
• EuGH: Nicht nur die Datenschutzbehörde am Hauptsitz eines Unternehmens darf tätig werden
• Schrems III am Horizont? – Die Rechtmäßigkeit der Datenverarbeitung durch Facebook auf dem Prüfstand
• Die Ausübung datenschutzrechtlicher Betroffenenrechte wird in das Vertragsrecht eingebettet; ein Ausblick auf § 327q BGB

Spannende Themen, viel zu tun. Deshalb wollen wir direkt beginnen. Viel Spaß bei der Lektüre!

Den ganzen Artikel lesen.

Mitautoren: Tobias Hinderks*, Nina Diercks **

Ein herzliches Moin liebe Leserinnen und Leser,

willkommen zum dritten Teil der Blog-Reihe rund um den transatlantischen Datenverkehr und der Frage, was eigentlich nach dem weitreichenden Urteil des EuGH Schrems II Sache ist. Bereits in zwei Blog-Artikeln haben wir uns mit der Frage befasst, was nun gilt, da der Privacy Shield nicht mehr gilt.

Zur Erinnerung: Der Privacy Shield zwischen der EU und den USA war der Grund, weshalb recht einfach und legal personenbezogene Daten über den Atlantik ausgetauscht werden durften. Diesen Privacy Shield wollte der EuGH mit seiner Entscheidung Schrems II jedoch nicht als ausreichend akzeptieren; die europäischen Datenschutzvorstellungen würden in Angesicht der weitreichenden Befugnisse der Sicherheitsbehörden, auf Daten zuzugreifen, nicht erfüllt.Den ganzen Artikel lesen.