Kontakt   |    Sitemap   |    Impressum   |    Site Search:   

 

DSG-Info-Service Nr. 83
März 2016

Eine ausdruckbare Version ist als PDF-Datei verfügbar.

Sehr geehrter DSG-Paket-Kunde!
Sehr geehrter Leser!

Mit unserem Newsletter Nr. 81 aus Oktober 2015 haben wir Sie über das Ende des Safe-Harbor-Abkommens und die dadurch hervorgerufenen Probleme für jene österreichischen Unternehmen informiert, die Datenverkehr mit US-amerikanischen Unternehmen unterhalten. Durch das EuGH-Urteil vom 6. Oktober 2015, mit dem das am 26. Juli 2000 (E 2000/520/EG) zwischen der Europäischen Kommission und den USA abgeschlossene sogenannte „Safe-Harbor-Abkommen“ für ungültig erklärt wurde, ergibt sich — wie bereits berichtet — das Problem, dass österreichische Unternehmen, die ihre Daten an US-amerikanische Unternehmen übertragen, dies nicht mehr unter Inanspruchnahme dieses Abkommens tun können, da auf Grund dieser EuGH-Entscheidung die datenschutzrechtliche Grundlage abhanden gekommen ist. Wir haben damals die Hoffnung ausgesprochen, dass es in Brüssel relativ rasch zu einer für die Unternehmen tragbaren Lösung kommt. Die Europäische Kommission und die USA haben die bereits 2013 aufgenommenen — und zwischenzeitlich dahindümpelnden — Verhandlungen unter dem Arbeitstitel „Safe Harbor 2.0“ im Oktober des Vorjahres unter großem Zeitdruck wieder intensiviert.

Am 29. Februar 2016 hat die Europäische Kommission Details über ein Nachfolgeabkommen mit dem Namen „EU-US Privacy Shield“ vorgestellt. Nach Einholung der Stellungnahmen der in der 29er Datenschutzgruppe vertretenen Leiter der nationalen Datenschutzbehörden plant die Europäische Kommission — laut Paul Nemitz, Direktor für Grundrechte und Unionsbürgerschaft in der Generaldirektion Justiz der Europäischen Kommission, anlässlich der am 18. März 2016 im BKA abgehaltenen Veranstaltung zum 10. Europäischen Datenschutztag —, noch vor dem Sommer diese Vereinbarung endgültig zu beschließen. Sollte dieser Terminplan halten, wäre die Gefahr, dass die nationalen Datenschutzbehörden für den Datenverkehr mit den USA unterschiedliche Maßstäbe anlegen, gebannt und eine harmonisierte Vorgehensweise sichergestellt.

Der EU-US Privacy Shield

Wie bereits angeführt, leitete die EU-Kommission — bedingt durch die Snowden-Veröffentlichungen im Zusammenhang mit den Aktivitäten des US-Geheimdienstes NSA — bereits im Herbst 2013 Verhandlungen mit den USA über ein neues Safe-Harbor-Abkommen ein. In ihrem Memo vom 27. November 2013 sprach die Europäische Kommission auf der Grundlage eingehender Analysen sowie ausführlicher Konsultationen mit Unternehmen 13 Empfehlungen aus, die auf ein besseres Funktionieren der Safe-Harbor-Regelung abzielten. Im Einzelnen lauteten diese Empfehlungen wie folgt:

Transparenz

  1. Selbstzertifizierte Unternehmen sollten ihre Datenschutzbestimmungen öffentlich bekanntmachen.
  2. Die Datenschutzbestimmungen auf den Websites selbstzertifizierter Unternehmen sollten stets einen Link zur Safe-Harbor-Website des Handelsministeriums enthalten, auf der eine Liste aller derzeitigen Mitglieder des Safe-Harbor-Programms abgerufen werden kann.
  3. Selbstzertifizierte Unternehmen sollten die Datenschutzbestimmungen aller mit Unterauftragnehmern, z.B. Cloud-Computing-Diensten, geschlossenen Verträge veröffentlichen.
  4. Auf der Website des Handelsministeriums sollten alle Unternehmen benannt werden, die derzeit nicht Mitglied des Systems sind.

Rechtsschutz

  1. Die Datenschutzerklärungen auf den Websites von Unternehmen sollten einen Link zu einem Anbieter alternativer Streitbeilegungsdienste enthalten.
  2. Der alternative Streitbeilegungsmechanismus sollte leicht zugänglich und seine Inanspruchnahme erschwinglich sein.
  3. Das Handelsministerium sollte Anbieter alternativer Streitbeilegungsdienste systematischer überwachen, was die Transparenz und Zugänglichkeit der von ihnen bereitgestellten Informationen über das angewandte Verfahren und die Behandlung von Beschwerden betrifft.

Durchsetzung

  1. Nach einer Zertifizierung oder Neuzertifizierung von Unternehmen im Rahmen der Safe-Harbor-Regelung sollten für einen bestimmten Prozentsatz dieser Unternehmen von Amts wegen Untersuchungen zur effektiven Einhaltung ihrer Datenschutzbestimmungen vorgenommen werden (die über eine bloße Kontrolle der Erfüllung formaler Anforderungen hinausgehen).
  2. Wird aufgrund einer Beschwerde oder einer Untersuchung festgestellt, dass die einschlägigen Bestimmungen nicht eingehalten werden, sollte das betreffende Unternehmen nach einem Jahr einer gezielten Folgeuntersuchung unterworfen werden.
  3. Bestehen Zweifel daran, ob ein Unternehmen die Bestimmungen einhält, oder liegen Beschwerden vor, sollte das Handelsministerium die zuständige EU-Datenschutzbehörde unterrichten.
  4. Im Falle falscher Erklärungen zum Safe-Harbor-Beitritt sollten weitergehende Ermittlungen durchgeführt werden.

Zugang für US-Behörden

  1. Die Datenschutzbestimmungen selbstzertifizierter Unternehmen sollten Informationen darüber enthalten, inwieweit das US-Recht es öffentlichen Stellen gestattet, die im Rahmen der Safe-Harbor-Regelung übermittelten Daten zu sammeln und zu verarbeiten. Insbesondere sollten Unternehmen dazu angehalten werden, in ihren Datenschutzbestimmungen anzugeben, ob sie aus Gründen der nationalen Sicherheit, des öffentlichen Interesses oder der Rechtsdurchsetzung Ausnahmen von den Grundsätzen anwenden.
  2. Es muss sichergestellt sein, dass die in der Safe-Harbor-Entscheidung vorgesehenen Ausnahmeregelungen aus Gründen der nationalen Sicherheit nur zur Anwendung gelangen, wenn dies unbedingt notwendig bzw. angemessen ist.

Die Verhandlungen wurden zwar in den folgenden Jahren weitergeführt, blieben jedoch ohne Ergebnis. Erst unter dem Druck der EuGH-Entscheidung vom 6. Oktober 2015 (C-362/14) wurden sie intensiviert, und bereits am 2. Februar 2016 gaben der Vizepräsident der Europäischen Kommission Ansip und Justizkommissarin Jourová die politische Einigung mit der amerikanischen Regierung für den neuen EU-US Privacy Shield bekannt, allerdings noch ohne Vorlage der entsprechenden Dokumente.
Mit der Pressemitteilung der Europäischen Kommission am 29. Februar 2016 wurde nunmehr das Legislativpaket zum EU-US Privacy Shield vorgelegt.
Im Einzelnen umfasst der noch nicht in Kraft befindliche EU-US Privacy Shield folgende — umfangreiche (insgesamt 123 Seiten), in Englisch abgefasste — Dokumente:

Entscheidung der Kommission im Entwurfsstadium (insgesamt 34 Seiten) — dieses Dokument enthält auf 32 Seiten 129 Erwägungsgründe; neben vielen Einleitungssätzen und einer Abarbeitung des EuGH-Urteils vom 6. Oktober 2015 werden die diversen Zusicherungen der verschiedenen betroffenen US-Behörden detailliert erläutert. Auf den restlichen beiden Seiten folgen dann insgesamt 6 Artikel, die wie folgt lauten (inoffizielle Übersetzung der Secur-Data, ohne Garantie):

Artikel 1

  1. Gemäß Artikel 25(2) der Richtlinie 95/46/EG gewährleisten die Vereinigten Staaten unter dem EU-US Privacy Shield ein angemessenes Datenschutzniveau für personenbezogene Daten, die aus der EU an Unternehmen in den Vereinigten Staaten übermittelt werden.

(Artikel 25(2) lautet wie folgt:
„(2) Die Angemessenheit des Schutzniveaus, das ein Drittland bietet, wird unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen eine Rolle spielen; insbesondere werden die Art der Daten, die Zweckbestimmung sowie die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland, die in dem betreffenden Drittland geltenden allgemeinen oder sektoriellen Rechtsnormen sowie die dort geltenden Standesregeln und Sicherheitsmaßnahmen berücksichtigt.“)

  1. Der EU-US Privacy Shield wird auf Basis der vom US Wirtschaftsministerium am (Datum noch offen) erlassenen Datenschutzregeln, wie in Anhang II dargelegt, und den offiziellen Stellungnahmen und Verpflichtungserklärungen, die in den Dokumenten der Anhänge I und III bis VII enthalten sind, begründet.
  2. Gemäß Absatz 1 werden personenbezogene Daten dann unter dem EU-US Privacy Shield übermittelt, wenn sie von der EU an Unternehmen in den Vereinigten Staaten übermittelt werden, die in der vom US-Wirtschaftsministerium, in Übereinstimmung mit den §§ I und III der im Anhang II enthaltenen Datenschutzregeln, gewarteten und veröffentlichten Privacy Shield Liste veröffentlicht sind.

Artikel 2

Diese Entscheidung beeinträchtigt nicht die Anwendung anderer Bestimmungen der Richtlinie 95/46/EG als Artikel 25(1), sofern sich diese auf die Verarbeitung personenbezogener Daten innerhalb der Mitgliedstaaten beziehen; insbesondere gilt dies für Artikel 4.

(Artikel 25(1) lautet: „Die Mitgliedstaaten sehen vor, daß die Übermittlung personenbezogener Daten, die Gegenstand einer Verarbeitung sind oder nach der Übermittlung verarbeitet werden sollen, in ein Drittland vorbehaltlich der Beachtung der aufgrund der anderen Bestimmungen dieser Richtlinie erlassenen einzelstaatlichen Vorschriften zulässig ist, wenn dieses Drittland ein angemessenes Schutzniveau gewährleistet.“)

Artikel 3

Wann immer die zuständigen Behörden der Mitgliedstaaten, um Personen hinsichtlich der Verarbeitung ihrer personenbezogenen Daten zu schützen, ihre Befugnisse gemäß Artikel 28(3) der Richtlinie 95/46/EG ausüben, sodass es zur Einstellung oder dem endgültigen Verbot von Datenflüssen an ein Unternehmen in den Vereinigten Staaten kommt, das in der Privacy Shield-Liste in Übereinstimmung mit den §§ I und III der in Anhang II enthaltenen Datenschutzregeln enthalten ist, wird der betreffende Mitgliedstaat die EU-Kommission ohne Verzögerung informieren.

(Artikel 28(3) lautet: „Jede Kontrollstelle verfügt insbesondere über:

  • Untersuchungsbefugnisse, wie das Recht auf Zugang zu Daten, die Gegenstand von Verarbeitungen sind, und das Recht auf Einholung aller für die Erfüllung ihres Kontrollauftrags erforderlichen Informationen;
  • wirksame Einwirkungsbefugnisse, wie beispielsweise die Möglichkeit, im Einklang mit Artikel 20 vor der Durchführung der Verarbeitungen Stellungnahmen abzugeben und für eine geeignete Veröffentlichung der Stellungnahmen zu sorgen, oder die Befugnis, die Sperrung, Löschung oder Vernichtung von Daten oder das vorläufige oder endgültige Verbot einer Verarbeitung anzuordnen, oder die Befugnis, eine Verwarnung oder eine Ermahnung an den für die Verarbeitung Verantwortlichen zu richten oder die Parlamente oder andere politische Institutionen zu befassen;
  • das Klagerecht oder eine Anzeigebefugnis bei Verstößen gegen die einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie.

Gegen beschwerende Entscheidungen der Kontrollstelle steht der Rechtsweg offen.“)

Artikel 4

  1. Die Kommission wird laufend das Funktionieren des EU-US Privacy Shield im Hinblick darauf überwachen, ob die Vereinigten Staaten weiterhin ein angemessenes Schutzniveau für personenbezogene Daten, die unter dessen Schutz aus der EU an Unternehmen in den Vereinigten Staaten übermittelt werden, sicherstellen.
  2. Die Mitgliedstaaten und die Kommission werden einander über Fälle informieren, bei denen es scheint, dass jene Regierungsbehörden der Vereinigten Staaten, die über die gesetzlichen Befugnisse verfügen, Übereinstimmung mit den in Anhang II festgelegten Datenschutzregeln herzustellen, keine wirkungsvollen Ermittlungs- und Überwachungsmechanismen bereitstellen, um Verletzungen der Datenschutzgrundsätze in der Praxis zu identifizieren und zu bestrafen.
  3. Die Mitgliedstaaten und die Kommission werden einander über jedes Anzeichen informieren, dass Eingriffe in das Recht der Personen auf Schutz ihrer persönlichen Daten seitens jener US-Behörden, die für nationale Sicherheit, Strafverfolgung oder andere Staatsinteressen verantwortlich sind, über das unbedingt Notwendige hinausgehen, und/oder dass es keinen wirkungsvollen rechtlichen Schutz gegen solche Eingriffe gibt.
  4. Innerhalb eines Jahres ab dem Tag der Benachrichtigung der Mitgliedstaaten über diese Entscheidung, und danach in jährlichen Abständen, bewertet die Kommission den Befund des Artikels 1(1) auf Basis aller verfügbaren Informationen, einschließlich der als Teil der jährlichen gemeinsamen Überprüfung (Annual Joint Review), wie in den Anhängen I, II und VI dargelegt, erhaltenen Informationen.
  5. Die Kommission wird über alle sachdienlichen Ergebnisse an den unter Artikel 31 der Richtlinie 95/46/EG eingerichteten Ausschuss berichten.
  6. (Artikel 31 lautet: „(1) Die Kommission wird von einem Ausschuss unterstützt.
    (2) Wird auf diesen Artikel Bezug genommen, so gelten die Artikel 4 und 7 des Beschlusses 1999/468/EG unter Beachtung von dessen Artikel 8.
    Der Zeitraum nach Artikel 4 Absatz 3 des Beschlusses 1999/468/EG wird auf drei Monate festgesetzt.
    (3) Der Ausschuss gibt sich eine Geschäftsordnung.“)

    1. Die Kommission wird, in Übereinstimmung mit der in Artikel 31(2) der Richtlinie 95/46/EG dargelegten Prozedur, einen Entwurf über Maßnahmen in Hinblick auf die Aussetzung, Abänderung oder Aufhebung dieser Entscheidung oder, unter anderem, Einschränkung ihres Umfanges vorlegen, wenn es Anzeichen gibt:
    • dass die US-Behörden die in den Anhängen dieser Entscheidung enthaltenen Stellungnahmen und Zusicherungen, einschließlich der Bedingungen und Einschränkungen des Zugriffs von US-Behörden für Strafverfolgung, nationale Sicherheit und andere öffentliche Interessen auf personenbezogene Daten, die unter dem EU-US Privacy Shield übermittelt werden, nicht einhalten,
    • eines systematischen Scheiterns, Beschwerden von EU-Betroffenen wirkungsvoll zu behandeln; oder
    • eines systematischen Scheiterns des Privacy Shield-Ombudsmannes, rechtzeitige und angemessene Antworten auf Anfragen von EU-Betroffenen im Zusammenhang mit seinen in Anhang III dargelegten Funktionen zu geben.

    Die Kommission wird außerdem Entwürfe zu derartigen Maßnahmen vorlegen, wenn mangelnde Kooperation jener Behörden, die in die Sicherstellung der Funktionsfähigkeit des EU-US Privacy Shields in den Vereinigten Staaten eingebunden sind, die Kommission an der Beurteilung, ob der Befund des Artikels 1(1) beeinträchtigt ist, behindert.

    Artikel 5

    Die Mitgliedstaaten treffen alle Maßnahmen, die zur Erfüllung dieser Entscheidung notwendig sind.

    Artikel 6

    Diese Entscheidung ist an die Mitgliedstaaten gerichtet.

    Anhang I

    Schreiben des Wirtschaftsministers vom 23. Februar 2016 (Umfang: 10 Seiten) an EU-Kommissarin Jourová, das unter Hinweis auf zweijährige „produktive“ Diskussionen als Anhang ein Schreiben des im Rahmen des Wirtschaftsministeriums für den Internationalen Handel (ITA) verantwortlichen Staatssekretärs enthält, dessen Stelle für die Abwicklung des EU-US Privacy Shield verantwortlich ist.

    Anhang II

    EU-US Privacy Shield Framework Principles, herausgegeben vom US-Wirtschaftsministerium (insgesamt 34 Seiten). Hierbei handelt es sich um die vom US-Wirtschaftsministerium festgelegten Regeln für den EU-US Privacy Shield, die zukünftig im Datenverkehr mit den Vereinigten Staaten zu beachten sind und die Grundlage für die Entscheidung der Europäischen Kommission darstellen. Unter anderem enthält dieses Dokument folgende Bestimmungen (auszugsweise):

    • Insgesamt 12 verschiedene Informationspflichten des Auftraggebers an den Betroffenen.
    • Wie im europäischen Datenrecht, gelten auch bei Datenübermittlungen im Rahmen des EU-US Privacy Shield die Prinzipien der Zweckbindung, der Datenminimierung und der Datenqualität.
    • Interessant ist die Einrichtung eines Beratungsgremiums, das aus EU-Datenschutzbehörden zusammengesetzt ist und direkt an US-Unternehmen gerichtete Maßnahmenvorschläge unterbreiten kann.
    • Nach wie vor basiert der EU-US Privacy Shield auf dem Prinzip der Selbstzertifizierung, so wie zuvor das außer Kraft gesetzte Safe Harbor-Abkommen, diesmal allerdings ausgestattet mit strengen Prüfvorschriften durch die FTC.
    • Die Datenübermittlung von Mitarbeiterdaten eines europäischen Unternehmens an ein amerikanisches Unternehmen unterliegt dem nationalen Recht des Mitgliedstaates.
    • Es gibt Sonderbestimmungen in Bezug auf die Datenübermittlung im medizinischen Bereich und zur wissenschaftlichen Forschung.

    Anhang III

    Schreiben des amerikanischen Außenministers John F. Kerry vom 22. Februar 2016 an EU-Kommissarin Jourová (Umfang: 9 Seiten), mit dem er den Privacy Shield-Ombudsmann und seine Arbeitsweise vorstellt. Als Ombudsmann wurde die Staatssekretärin Catherine A. Novelli nominiert. Ob die Einrichtung eines Ombudsmanns in den Vereinigten Staaten die Interessen der europäischen Betroffenen wirkungsvoll fördern kann, wird erst die Praxis zeigen.

    Anhang IV

    Schreiben der Federal Trade Commission (zu Deutsch etwa „Bundeshandelskommission“, eine unabhängig arbeitende Bundesbehörde der Vereinigten Staaten, die u.a. für den Verbraucherschutz zuständig ist) vom 23. Februar 2016 an EU-Kommissarin Jourová (Umfang: 9 Seiten).
    Die FTC sagt mit diesem Schreiben die strenge Kontrolle der Einhaltung der Regeln des EU-US Privacy Shields zu. Das wird noch spannend; bei verschiedenen Analysen der vergangenen Jahre zeigte sich, dass die Kontrolle durch die FTC, die ja auch schon im Safe Harbor-Abkommen vorgesehen war, überhaupt nicht funktionierte.

    Anhang V

    Schreiben des Verkehrsministers vom 19. Februar 2016 (Umfang: 4 Seiten) an die EU-Kommissarin Jourová. Mit diesem Schreiben betont der Verkehrsminister — unter Berufung auf bereits vor 15 Jahren abgegebene Zusagen zur Durchsetzung des Safe Harbor-Abkommens (!) — erneut seine Zusagen, Ermittlungsmaßnahmen bei mutmaßlichen Verletzungen des Privacy Shield zu priorisieren, angemessene Zwangsmaßnahmen gegen Rechtsträger vorzunehmen, die unrechtmäßige oder täuschende Zertifizierungsbehauptungen anstellen, sowie eine laufende Überwachung und Veröffentlichung von Verstößen gegen das Privacy Shield durchzuführen.

    Anhang VI

    Schreiben des Direktors des US-Geheimdienstes vom 22. Februar 2016 (Umfang: 18 Seiten). Dieses Schreiben an den stellvertretenden Ministerialdirektor der ITA enthält eine detaillierte Darstellung der in den Vereinigten Staaten geltenden rechtlichen Rahmenbedingungen für die Tätigkeit der Geheimdienste.

    Anhang VII

    Schreiben des Direktors des US-Geheimdienstes vom 19. Februar 2016 (Umfang: 5 Seiten) an den stellvertretenden Generaldirektor der ITA. Dieses Schreiben bietet einen Überblick über die hauptsächlichen Ermittlungsmethoden, um kommerzielle Daten und andere Informationen über Unternehmen in den Vereinigten Staaten für Zwecke der Strafverfolgung oder öffentliche Interessen (zivilrechtlich und behördlich) zu erhalten, einschließlich der Zugriffsbeschränkungen, denen die zuständigen Behörden unterworfen sind.

    Conclusio:

    Wenn es auch im Netz jede Menge Kritik an der bevorstehenden Einigung hagelt — der grüne EU-Abgeordnete Jan Philipp Albrecht bezeichnete das neue Abkommen als „Witz“; der Initiator der Klage an den EuGH, der österreichische Datenschutzaktivist Max Schrems, bezeichnete in einem Standard-Interview am 18. März 2016 das Privacy Shield Abkommen als „das alte Ding, das ein wenig upgegradet worden ist“ — , so bin ich der Meinung, dass die EU-Kommission und die US-Behörden sich offensichtlich bemüht haben, trotz gravierender Auffassungsunterschiede im Bereich des Datenschutzes einen Vorschlag auszuarbeiten, der durchaus die derzeit bestehenden Probleme lösen könnte.

    Es bleibt allerdings abzuwarten, ob dieses Abkommen auch wirklich in Kraft tritt und das wird — laut den von der EU-Kommission erteilten Informationen — nicht vor Sommer 2016 sein. In der Zwischenzeit bleibt die derzeitige Rechtsunsicherheit bestehen. Sollte die österreichische Datenschutzbehörde bereits jetzt die Rechtsgrundlagen für Datentransfers in die Vereinigten Staaten einer Überprüfung unterziehen — wozu sie auch befugt wäre — , so bleibt nichts anderes übrig, als die in unserem Newsletter Nr. 81 aufgezeigten Aktionen in Angriff zu nehmen.

    Ausdruckbare Version

     

DSG-Info-Service Nr. 84
Juli 2016

Eine ausdruckbare Version ist als PDF-Datei verfügbar.

Sehr geehrter DSG-Paket-Kunde!
Sehr geehrter Leser!

Mit unserem Newsletter Nr. 83 aus März 2016 hatten wir Sie über das von der Europäischen Kommission am 29. Februar 2016 vorgestellte Nachfolgeabkommen für das durch das EuGH-Urteil vom 6. Oktober 2015 gekippte „Safe-Harbor-Abkommen“ mit der Bezeichnung „EU-U.S. Privacy Shield“ informiert. Mit dem vorliegenden Newsletter wollen wir Sie über den Durchführungsbeschluss der Europäischen Kommission vom 12. Juli 2016 informieren, mit dem der „EU-U.S. Privacy Shield“ nunmehr angenommen wurde.

Weiters dürfen wir Sie über ein aus Datenschutzsicht spektakuläres Urteil des Bundesgerichts in New York informieren, wonach die US-Regierung kein Recht hat, auf Daten von Microsoft-Kunden, die auf ausländischen Servern gespeichert sind, zuzugreifen.

1. Der EU-US Privacy Shield

Die Artikel 29-Datenschutzgruppe hat am 13. April 2016 eine Stellungnahme zum Entwurf dieses Nachfolgeabkommens abgegeben. Grundsätzlich stellte sie zwar eine deutliche Verbesserung im Verhältnis zu „Safe Harbor“ fest, fand die Regelungen jedoch intransparent und unzureichend. Im Einzelnen wurden folgende Kritikpunkte vorgebracht:

  • Widersprüche in den Vorgaben des „Privacy Shield“
  • Terminologieunterschiede zwischen „Privacy Shield“ und der DSGVO
  • fehlende Bestimmungen hinsichtlich der Datenlöschung, wenn die Daten nicht mehr benötigt werden
  • fehlender Schutz der Betroffenen bei automatisierten Einzelentscheidungen
  • Unklarheit in Bezug auf den Anwendungsbereich des Zweckbindungsgrundsatzes
  • fehlende Regelungen bei der Weitergabe von personenbezogenen Daten durch „Privacy Shield“-zertifizierte Unternehmen
  • zu komplexe Rechtsschutzmaßnahmen für den Betroffenen
  • nach wie vor zulässige Massenüberwachung von EU-Bürgern in Einzelfällen
  • fehlende Unabhängigkeit des Ombudsmannes

Die Art. 29-Datenschutzgruppe forderte die Europäische Kommission zu Nachbesserungen auf. In diesem Zusammenhang ist anzumerken, dass die Vorschläge der Datenschutzgruppe für die Europäische Kommission keinen verbindlichen Charakter haben.

Die Europäische Kommission nahm aber verschiedene Kritikpunkte zum Anlass für weitere Verhandlungen mit den USA und hat einige Verbesserungen — wenn auch nur kosmetischer Art — erreicht.

Am 8. Juli 2016 haben die Vertreter der EU-Mitgliedstaaten — wobei sich Österreich, Kroatien, Slowenien und Bulgarien ihrer Stimme enthalten haben — im sogenannten Art. 31-Ausschuß die finale Fassung bestätigt. Am 12. Juli 2016 hat die Europäische Kommission den „EU-U.S. Privacy Shield“ im Rahmen eines Angemessenheitsbeschlusses notifiziert. Die Europäische Kommission erklärt damit, dass jene US-amerikanische Unternehmen, die sich den Regeln des „Privacy Shield“ unterwerfen, über ein „angemessenes“ Datenschutzniveau verfügen und die Grundrechte der EU-Bürger garantieren können.

Achtung:
Der Privacy-Shield ist keine pauschale Rechtsgrundlage für den Datentransfer in die USA.

Voraussetzung ist, dass sich US-amerikanische Unternehmen, die personenbezogene Daten aus den EU-Mitgliedstaaten importieren, nach den festgelegten Bedingungen des „Privacy Shield“ zertifizieren. Nur wenn sie eine aktuelle Zertifizierung vorweisen können, ist der Datentransfer in die USA durch das Abkommen legitimiert.

Im Rahmen dieser Selbstzertifizierung können sich US-amerikanische Unternehmen ab dem 1. August 2016 in die sogenannte Privacy List des Departement of Commerce (= US-Handelsministerium) eintragen lassen. Voraussetzungen für die Zertifizierung sind:

  • Angabe der Kontaktinformationen des Unternehmens
  • Beschreibung des Unternehmensgegenstandes und der Geschäftsaktivitäten
  • Information über jene personenbezogenen Daten, die von der Zertifizierung erfasst sind
  • Kundmachung der Privacy Policy des Unternehmens auf einer Website
  • Angabe der Streitschlichtungsstelle
  • Zusage der Kooperation mit den zuständigen EU-Behörden
  • Angabe der Methode zur Überprüfung der Compliance
  • Angabe der Wiedergutmachungsmechanismen
  • Hyperlink zu Ergebnissen der periodischen Audits
  • jährliche Überprüfungen

Im Vergleich zum Status der am 29. Februar 2016 vorgestellten Fassung des „EU-U.S. Privacy Shield“ weist das finale Ergebnis vom 12. Juli 2016 nur einige Verbesserungen kosmetischer Natur auf. Nach wie vor gelten die zentralen Argumente, die den „EU-U.S. Privacy Shield“ im Widerspruch zum EU-Datenschutzrecht sehen, wie zB:

  • Obwohl US-Behörden angeben, nicht mehr anlasslos zu überwachen, werden weiterhin Daten ohne Anlass gespeichert, allerdings nur teilweise (?) ausgewertet.
  • Der im US-Ministerium eingerichtete Ombudsmann ist nicht vergleichbar mit den Befugnissen der europäischen Datenschutzbehörden bzw. unabhängiger Richter. Es existiert daher kein unabhängiger Rechtsschutz.
  • Der „EU-U.S. Privacy Shield“ gilt ausschließlich für US-amerikanische Unternehmen, nicht jedoch für US-Behörden.

Fazit: Der „EU-U.S. Privacy Shield“ ist unserer Einschätzung nach zwar besser geglückt als das gekippte Safe Harbor-Abkommen, entspricht jedoch keinesfalls dem europäischen Datenschutzrecht und entkräftet nicht alle im EuGH-Urteil C-362/14 vom 6. Oktober 2015 enthaltenen Kritikpunkte.

Darüber hinaus hält Artikel 3 dieser EuGH-Entscheidung fest, dass die Befugnisse der nationalen Datenschutzbehörden nach Art. 28 Abs. 3 der RL 95/46/EG zur Verhinderung des Datenflusses an die US-amerikanischen Unternehmen unberührt bleiben. Nationale Datenschutzbehörden können den Datentransfer daher selbst dann untersagen, wenn das US-amerikanische Unternehmen in die Privacy-List eingetragen ist. Die nationale Datenschutzbehörde muss zwar in diesem Fall die Europäische Kommission informieren, ob das jedoch dem österreichischen Datenexporteur weiterhilft, darf bezweifelt werden. Die österreichische Datenschutzbehörde klärt auf ihrer Website bereits auf, dass sie „in begründeten Verdachtsfällen … den Datenfluss in die USA gegebenenfalls untersagen“ kann.

Es bestehen unserer Meinung nach erhebliche Zweifel, ob mit dem „EU-U.S. Privacy Shield“ eine dauerhafte Lösung für den Datentransfer in die USA geschaffen wurde und ob dieses neue Abkommen nicht das gleiche Schicksal erleidet wie sein Vorgänger.

Grundsätzlich geht es den österreichischen Unternehmen darum, eine langfristige praxistaugliche Lösung für den internationalen Datenverkehr zu etablieren. Es bleibt daher abzuwarten, wie sich die Bestimmungen um den Datentransfer in die USA weiterentwickeln. Nach dem derzeitigen Stand der Dinge empfiehlt sich nach wie vor die Verwendung der Standardvertragsklauseln oder Binding Corporate Rules.

2. Microsoft versus US-Regierung

Vorgeschichte:

Die US-Regierung hatte 2013 von Microsoft verlangt, E-Mails eines E-Mail-Accounts bei MSN.com, die auf einem Server in Dublin gespeichert waren, auszuhändigen, was Microsoft verweigerte. 2014 erreichte sie über ein Bundesgericht in New York, dass Microsoft diese Daten herausgeben muss, und zwar auch dann, wenn die Daten gar nicht in den USA gespeichert sind.

Microsoft vertrat vor Gericht die Meinung, dass die US-Regierung auf in Übersee gespeicherte Daten keinen Zugriff haben sollte, denn dafür seien die nationalen Behörden am Speicherort zuständig. Microsoft ist gegen die Entscheidung des Erstgerichtes vor das Bundesberufungsgericht in New York gezogen. Mehr als 100 IT-Firmen, darunter Apple, Cisco und Verizon, haben Microsoft dabei unterstützt.

Urteil:

Mit Urteil vom 14. Juli 2016 (Docket-No. 14-2985) hat das Berufungsgericht in New York das entsprechende Urteil aus dem Jahr 2014 für nichtig erklärt und aufgehoben. Das Gesetz von 1986, auf das sich die US-Regierung berufen habe, gelte ausschließlich für Daten, die in den USA gespeichert seien. Weiters führten die Richter aus, dass es Hauptziel dieses Gesetzes sei, personenbezogene Daten vor dem willkürlichen Zugriff der Regierung zu schützen und US-Unternehmen auch nicht mit einem Durchsuchungsbefehl gezwungen werden können, Daten herauszugeben, die in anderen Ländern gespeichert seien.

Das Urteil kann zwar als weiterer wichtiger Etappensieg für den Datenschutz betrachtet werden, die US-Regierung hat aber noch die Möglichkeit, ihr Anliegen beim Supreme Court, der höchsten juristischen Instanz der USA, vorzubringen. Die weitere Entwicklung in dieser Frage bleibt somit noch abzuwarten.

Ausdruckbare Version


DSG-Info-Service Nr. 85
Oktober 2016

Eine ausdruckbare Version ist als PDF-Datei verfügbar.

Sehr geehrter DSG-Paket-Kunde!
Sehr geehrter Leser!

Mit unserem Newsletter Nr. 84 aus Juli 2016 haben wir Sie über das aus Datenschutzsicht spektakuläre Urteil des Bundesgerichts in New York informiert, wonach die US-Regierung kein Recht hat, auf Daten von Microsoft-Kunden, die auf ausländischen Servern gespeichert sind, zuzugreifen. Falls jemand geglaubt hat, dass die US-Regierung dieses Urteil akzeptiert, hat er sich – wie Sie anschließend lesen können – kräftig geirrt.

Ein langerwartetes Urteil des EuGH, das die Frage beantwortet, ob es sich bei dynamischen IP-Adressen um personenbezogene Daten iSd RL 95/46/EG handelt, hat ebenfalls für einiges Aufsehen gesorgt.

Last, but not least, dürfen wir Sie noch in aller Kürze auf den bereits unter heftiger Kritik stehenden Entwurf des deutschen Bundesinnenministeriums zur Anpassung des BDSG an die DSGVO informieren.

1. Microsoft vs. US-Regierung — die nächste Runde

Die US-Regierung hat das zugunsten der Microsoft-Corporation gefällte Urteil – wie zu erwarten war – nicht akzeptiert und hat die Staatsanwaltschaft um eine erneute Anhörung aller aktiven Richter ersucht, die gegen die US-Regierung geurteilt haben. Mit dem Urteil vom 14. Juli 2016 hatte das in zweiter Instanz mit dem Fall betraute Berufungsgericht geurteilt, dass Microsoft aufgrund der nationalen Gesetzgebung in den USA nicht gezwungen werden könne, personenbezogene Daten seiner Kunden herauszugeben, die auf Servern außerhalb der USA – im gegenständlichen Fall auf einem Server in Irland – gespeichert sind. Das Gericht begründete das Urteil damit, dass diese Daten nicht der Anwendung des „Stored Communication Act“ von 1986 unterliegen. Da eine exterritoriale Anwendung dieses Rechtsaktes seitens des US-Kongresses nicht vorgesehen war, ist dieser nur für Durchsuchungsbeschlüsse nach nationalem Recht relevant. Die nunmehrige Behauptung der Staatsanwaltschaft, dass es sich um ein Fehlurteil des Gerichts handle, weil die Daten zwar in Irland gespeichert sind, aber Microsoft von den USA aus zugreifen könne, erscheint mehr als abstrus. Entscheidet das Gericht wieder gegen die US-Regierung, so bleibt der Staatsanwaltschaft noch der Gang zum Supreme Court of the United States offen.

Folgt das Gericht jedoch dem Standpunkt der Staatsanwaltschaft, so würde dies bedeuten, dass die rechtstaatliche Autonomie eines europäischen Landes vollständig missachtet wird. Als Konsequenz könnte man nur zum Schluss kommen, dass US-Cloud-Anbieter von europäischen Nutzern nicht mehr eingesetzt werden dürfen.

2. EuGH-Urteil vom 19. Oktober 2016

Vorgeschichte (kurz): Der Kläger verlangte von der beklagten Bundesrepublik Deutschland die Unterlassung des Speicherns der ihm zugewiesenen dynamischen IP-Adressen über das Ende des jeweiligen Nutzungsvorgangs hinaus. Das Amtsgericht hatte die Klage abgewiesen. Auf die Berufung des Klägers hatte das Landgericht dem Kläger den Unterlassungsanspruch nur insoweit zuerkannt, als dieser das Speichern von IP-Adressen in Verbindung mit dem Zeitpunkt des jeweiligen Nutzungsvorgangs betrifft und der Kläger während dieses Nutzungsvorgangs seine Personalien angibt. Gegen dieses Urteil haben beide Parteien beim Bundesgerichtshof Berufung eingelegt. Der BGH hatte das Verfahren ausgesetzt und dem EuGH zwei Fragen zur Auslegung der EG-Datenschutzrichtlinie zur Vorabentscheidung vorgelegt. An dieser Stelle soll nur die erste Frage behandelt werden:

„Der Unterlassungsanspruch setzt voraus, dass es sich bei den dynamischen IP-Adressen für die verantwortlichen Stellen der Beklagten, die die Adressen speichern, um "personenbezogene Daten" handelt, die von dem durch die Richtlinie harmonisierten Datenschutzrecht geschützt werden. Das könnte in den Fällen, in denen der Kläger während eines Nutzungsvorgangs seine Personalien nicht angegeben hat, fraglich sein. Denn nach den getroffenen Feststellungen lagen den verantwortlichen Stellen keine Informationen vor, die eine Identifizierung des Klägers anhand der IP-Adressen ermöglicht hätten. Auch durfte der Zugangsanbieter des Klägers den verantwortlichen Stellen keine Auskunft über die Identität des Klägers erteilen.

Der Bundesgerichtshof hat dem Europäischen Gerichtshof deshalb die Frage vorgelegt, ob Art. 2 Buchstabe a der EG-Datenschutz-Richtlinie*** dahin auszulegen ist, dass eine IP-Adresse, die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn lediglich ein Dritter über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt.“

Das Urteil des EuGH zur ersten Frage:
Art. 2 lit. a der RL 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahingehend auszulegen, dass eine dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Website, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, für den Anbieter ein personenbezogenes Datum iSd der genannten Bestimmung darstellt. Voraussetzung dafür ist, dass er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen. Dies wäre z.B. durch die Einschaltung der Strafverfolgungsbehörden nach einem Angriff auf den Online-Dienst möglich.

Damit ist die jahrelang andauernde Diskussion, ob es sich auch bei dynamischen IP-Adressen um personenbezogene Daten iSd RL 95/46/EG handeln kann, beendet.

3. Erster Entwurf des deutschen Bundesministeriums des Innern (BMI) zur Anpassung des BDSG an die DSGVO

Am 7. September 2016 wurde der Volltext des Referentenentwurfs (Stand: 1. Ressortabstimmung vom 5. August 2016, 08:43)2 geleaked. Der Entwurf eines Gesetzes zur Anpassung des deutschen Datenschutzrechts an die Datenschutz-Grundverordnung und zur Umsetzung der Richtlinie (EU) 2016/6803 mit der Abkürzung EU-DSAnpUG-EU hat zu scharfer Kritik sowohl seitens der Bundesbeauftragten für den Datenschutz und die Informationssicherheit sowie anderen bekannten Datenschützern, darunter auch vom Ex-Bundesdatenschutzbeauftragten Peter Schaar, geführt.

Insgesamt umfasst der Entwurf eines Allgemeinen Bundesdatenschutzgesetzes (ABDSG) – als Artikelgesetz ausgeführt – acht Artikel, wobei die Artikel 3 bis 7 andere Gesetze wie zB das Gesetz über den militärischen Abschirmdienst (MADG) betreffen, deren Anpassungen noch offen sind. Artikel 2 umfasst die Anpassungen des Bundesverfassungsschutzgesetzes. Artikel 8 regelt die Inkraftsetzung des ABDSG sowie die gleichzeitige Außerkraftsetzung des BDSG.

Allgemein wird kritisiert, dass der gewählte Regelungsansatz, nämlich dass sowohl die DSGVO wie auch Richtlinie (EU) 2016/618 in einem gemeinsamen Gesetz geregelt werden sollen. Dieser Ansatz führe dazu, dass für viele Rechtsanwender bei vielen Vorschriften unklar ist, welche Texte nun für sie gelten. Darüber hinaus gewinne man den Eindruck, dass das BMI bestrebt ist, die Regelungsspielräume (Öffnungsklauseln) nicht zum Erhalt eines hohen Datenschutzniveaus, sondern eher zu dessen Absenkung auszunutzen.

Nach einer ersten Lektüre des Referentenentwurfs dürfen wir Ihnen beispielhaft einige wesentliche Bestimmungen zur Kenntnis bringen, die zeigen, dass das BMI noch einiges zu tun haben wird:

  • Die Kontrollbefugnisse der Bundesdatenschutzbeauftragten (BfDI) sollen erheblich eingeschränkt werden, insb. gegenüber dem Verfassungsschutz und dem Bundesnachrichtendienst. Die BfDI soll sich bei Angelegenheiten, welche die Nachrichtendienste betreffen, auch nicht mehr an den Bundestag oder die parlamentarischen Kontrollgremien wenden dürfen. Darüber hinaus sind für diese Bereiche auch keine Sanktionsmöglichkeiten vorgesehen.
  • Mit den Bestimmungen des § 6 ABDSG wird der Grundsatz der Zweckbindung aufgeweicht. Insgesamt werden 10 Ausnahmetatbestände aufgezählt, bei denen die Verarbeitung personenbezogener Daten zu einem anderen Zweck als den, für den sie erhoben wurden, erlaubt ist. Diese Ausnahmetatbestände weichen von den Bestimmungen des Art. 8 Abs. 4 DSGVO erheblich ab.
  • § 10 ABDSG schränkt das Recht auf Löschung der personenbezogenen Daten des Betroffenen ein, wenn „eine Löschung aufgrund der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßigem Aufwand möglich ist. In diesem Fall tritt an die Stelle einer Löschung eine Einschränkung der Verarbeitung gem. Art. 18 DSGVO.“
  • § 14 ABDSG regelt die Benennung eines Beauftragten für den Datenschutz wie folgt:

Nach Maßgabe des Artikels 37 Absatz 1 der Verordnung (EU) 2016/679 und des Artikels 32 Absatz 1 der Richtlinie (EU) 2016/680 haben Verantwortliche und Auftragsverarbeiter Beauftragte für den Datenschutz zu bestellen. Das Gleiche gilt für Verantwortliche und Auftragsverarbeiter, soweit sie in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen.

[…]

(5) Ist nach Absatz 1 eine Beauftragte oder ein Beauftragter für den Datenschutz zu bestellen, so ist die Kündigung des Arbeitsverhältnisses unzulässig, es sei denn, dass Tatsachen vorliegen, welche den Verantwortlichen zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Nach der Abberufung als Beauftragte oder Beauftragter für den Datenschutz ist die Kündigung innerhalb eines Jahres nach der Beendigung der Bestellung unzulässig, es sei denn, dass der Verantwortliche zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist.

Abs. 1 Satz 2 sieht vor, dass abweichend von den Bestimmungen des Art. 37 ein Datenschutzbeauftragter bestellt werden muss, wenn sich in der Regel mindestens 10 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen. Nach den Bestimmungen des Abs. 5 erhält der Datenschutzbeauftragte ein Jahr Kündigungsschutz nach Ablauf seiner Funktion.

  • § 33 ABDSG regelt in ähnlicher Art und Weise den bereits in § 32 BDSG geregelten Beschäftigtendatenschutz wie folgt:

(1) Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder für dessen Durchführung oder Beendigung erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

(2) Absatz 1 ist auch anzuwenden, wenn personenbezogene Daten verarbeitet werden, ohne dass sie automatisiert verarbeitet oder in oder aus einer nicht automatisierten Datei verarbeitet oder für die Verarbeitung in einer solchen Datei erhoben werden.

(3) Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben unberührt.

(4) Beschäftigte sind:

1. Arbeitnehmerinnen und Arbeitnehmer,
2. zu ihrer Berufsbildung Beschäftigte,
3. Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden),
4. in anerkannten Werkstätten für behinderte Menschen Beschäftigte,
5. nach dem Jugendfreiwilligendienstegesetz Beschäftigte,
6. Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten,
7. Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist,
8. Beamtinnen, Beamte, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende.

Damit scheint in Deutschland die Debatte um ein eigenes Gesetz zum Beschäftigtendatenschutz, dessen Entwurf 2013 in Erwartung der kommenden DSGVO auf Eis gelegt wurde, beendet zu sein.

  • § 42 ABDSG:

(1) Ordnungswidrig handelt, wer in Ausübung seiner Tätigkeit für den Verantwortlichen oder Auftragsverarbeiter vorsätzlich oder fahrlässig gegen Artikel 83 Absatz 4, 5 oder 6 der Verordnung (EU) 2016/679 verstößt. § 8 und §§ 10 bis 16 des Gesetzes über Ordnungswidrigkeiten finden Anwendung. Die Ordnungswidrigkeit kann im Fall des Satzes 1 mit einer Geldbuße bis zu dreihunderttausend Euro geahndet werden.

(2) Die nachfolgenden Vorschriften gelten für die Verhängung von Geldbußen nach der Verordnung (EU) 2016/679, für die Verhängung von Geldbußen gegen denjenigen, der nach Absatz 1 Satz 1 ordnungswidrig handelt sowie für die Verhängung von Geldbußen gegen denjenigen, der vorsätzlich oder fahrlässig entgegen § 40 Absatz 1 ein Auskunftsverlangen nicht richtig behandelt oder entgegen § 40 Absatz 2 einen Verbraucher nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet.

(3) Gegen Behörden und sonstige öffentliche Stellen im Sinne des § 2 Absatz 1 werden keine Geldbußen verhängt. Satz 1 gilt nicht für öffentliche Stellen, soweit die Verarbeitung im Rahmen einer Tätigkeit erfolgt, hinsichtlich derer die öffentliche Stelle mit anderen Verarbeitern im Wettbewerb steht.

(4) Geldbußen können für im räumlichen Anwendungsbereich der Verordnung (EU) 2016/679 begangene Verstöße verhängt werden.

(5) § 4 Absätze 1 bis 4 und §§ 6 und 7 des Gesetzes über Ordnungswidrigkeiten finden Anwendung.

Da die Art. 83 und 84 DSGVO nur für

  • Unternehmen mit Sitz in der EU, und
  • Unternehmen, die personenbezogene Daten über in der EU ansässige Personen erheben, verarbeiten und nutzen, soweit diese Unternehmen ihre Tätigkeit auf die EU ausrichten,

gelten, soll für natürliche Personen nur die in Abs. 1 festgelegte Geldbuße von bis zu EUR 300.000,00 zur Anwendung kommen.

Damit ist klargestellt, dass die Bußgeldtatbestände des Art. 83 und 84 auch für natürliche Personen in Unternehmen (zB Vorstand einer AG, Geschäftsführer einer GmbH, Datenschutzbeauftragter) gelten, die gegen die Bestimmungen der DSGVO verstoßen haben, allerdings mit einer Obergrenze von EUR 300.000,00. Für die Unternehmen gelten dagegen die in der DSGVO festgelegten Bußgelder von bis zu EUR 20 Mio. oder 4 % des weltweiten Umsatzes.

Insgesamt kann die Kritik der deutschen Datenschützer wie folgt zusammengefasst werden:

  • Gravierende Regelungslücken bei Polizei und Justiz
  • Datenschutzverstöße bei Nachrichtendiensten bleiben in Zukunft sanktionslos
  • Die Bundesdatenschutzbeauftragte darf sich nicht mehr an das Parlament wenden
  • Aushöhlung des Zweckbindungsgrundsatzes
  • Rechtliche Unklarheiten und Unsicherheiten

Die in den Medien verbreitete Kritik hat dazu geführt, dass das BMI die offizielle Versendung des ABDSG-Referentenentwurfes mittlerweile gestoppt hat.

Seitens des österreichischen BKA wurde ein erster Entwurf des Anpassungsgesetzes für Ende des Jahres 2016 angekündigt. Wir werden Sie über alle Entwicklungen in dieser Angelegenheit natürlich umgehend informieren. Bis dahin heißt es aber abwarten und hoffen.

Ausdruckbare Version


Kompetenzbereich Datensicherheit

2010 Secur-Data. All Rights Reserved.