Übermittlung von Daten an Google LLC. datenschutzwidrig?

Ist die Übermittlung personenbezogener Daten an Google LLC datenschutzwidrig? 

arthur-osipyan-5OyvN4Yx46E-unsplash

Mit dem Angemessenheitsbeschluss der Europäischen Kommission vom Juli 2023 (“Data Privacy Framework – DPF”) wurde für solche US-Unternehmen, die sich im Rahmen dieses Beschlusses zertifizieren lassen, ein angemessenes Datenschutzniveau festgestellt. Nach Auffassung des OLG Köln (Urt. V. 03.11.2023 – Az.: 6 U 58/23) war die Übermittlung von Daten durch die Telekom an die Google LLC. mit Sitz in den USA unzulässig. Ist eine Übermittlung von Daten in die USA daher unzulässig? 

Zuvor hatte das Landgericht Köln der Klage der Verbraucherzentrale NRW nur im Hinblick auf die unzulässige Übermittlung der Daten an die Google LLC. stattgegeben. Konkret hatte die Beklagte, die Telekom, Browser- und Geräteinformationen an Google LLC. als Betreiberin der Google Analyse- und Marketingdienste mit Sitz in den USA übermittelt. Das LG Köln argumentierte, IP-Adressen sind insofern personenbezogene Daten, als das es sich bei den Besuchern der Website um Kunden der Telekom handelt und die Nutzer identifizierbar sind.  

Unerheblich ist jedoch die Frage der Anonymisierung der IP-Adresse, da die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, nur zulässig sind, wenn sie von einem der folgenden Rechtfertigungstatbeständen gedeckt sind: 

  • § 25 Abs. 1 TTDSG: Wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Einwilligung hat gem. Artikel 6 Absatz 1 S. 1 lit. a) DS-GVO zu erfolgen;
  • § 25 Abs. 2 Nr. 1 TTDSG: Wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
  • § 25 Abs. 2 Nr. 2 TTDSG: Wenn die Speicherung oder der Zugriff unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Das OLG hat in der Berufung dem Anklagepunkt zwar zugestimmt, den Grund für die Unzulässigkeit jedoch bereits auf Ebene der Datenerhebung gesehen. Auch wenn aufgrund des Angemessenheitsbeschlusses eine Drittlandübermittlung zulässig ist, müssen trotzdem die allgemeinen Anforderungen für eine Datenerhebung und -verarbeitung erfüllt sein. Dazu ist auch das Vorliegen einer Einwilligung im Sinne der DS-GVO nötig. Eine Einwilligung im Sinne der Vorschrift erfordert, dass der für die Verarbeitung Verantwortliche der betroffenen Person eine Information über alle Umstände im Zusammenhang mit der Verarbeitung der Daten in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zukommen lässt, da dieser Person insbesondere die Art der zu verarbeitenden Daten, die Identität des für die Verarbeitung Verantwortlichen, die Dauer und die Modalitäten dieser Verarbeitung sowie die Zwecke, die damit verfolgt werden, bekannt sein müssen. Solche Informationen müssen diese Person in die Lage versetzen, die Konsequenzen einer etwaigen von ihr erteilten Einwilligung leicht zu bestimmen, und gewährleisten, dass die Einwilligung in voller Kenntnis der Sachlage erteilt wird (vgl. EuGH, Urteil vom 11.11.2020, Rs. C-61/19 Rn. 40 – Orange România SA/ANSPDCP, = NJW 2021, 841). Im Cookie-Banner befanden sich jedoch widersprüchliche Informationen über die Erhebung der Daten und deren Übermittlung an Google LLC. Dies hatte zur Folge, dass – unabhängig von der tatsächlichen Übermittlung in ein Drittland – schon keine wirksame Einwilligung in die Erhebung der Daten vorlag. Mangels Transparenz kann keine „informierte“ Einwilligung eingeholt werden, weshalb keine Rechtsgrundlage für die Erhebung und Verarbeitung der Daten durch die Telekom besteht. Folglich kann die Drittlandübermittlung dieser Daten nicht zulässig sein. 

Der Angemessenheitsbeschluss befreit nicht von der rechtmäßigen Erhebung und Verarbeitung von personenbezogenen Daten, demnach müssen auch bei Vorliegen eines Angemessenheitsbeschlusses die übrigen – allgemeinen – Anforderungen an eine zulässige Datenverarbeitung erfüllt sein. Für Unternehmen gilt es daher bei der Datenerhebung weiterhin die Grundsätze der zulässigen Datenverarbeitung zu achten. Vor allem aber sollte die Korrektheit und die Verständlichkeit der Informationen in Cookie-Bannern ausreichend geprüft werden, wenn deren Einwilligung (§ 25 TTDSG i.V.m. Art. 6 Abs. 1 lit. a) DS-GVO) als Basis für die Erhebung und Übermittlung der Daten dienen soll.  

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN

Hackerangriff bei Motel One

Hackerangriff bei Motel One

Nach einem Hackerangriff der Cybergang ALPHV wurden schätzungsweise 6 Terabyte Daten im Darknet veröffentlicht. Angegriffen wurde die Hotelgruppe Motel One. 

Publik geworden sind hierbei insbesondere Adress- und Buchungsdaten der Hotelgäste, sowie 150 Kreditkartendaten. Laut Aussage von Motel One wurden zumindest diejenigen Gäste informiert, deren Kreditkartendaten veröffentlicht worden sind bereits informiert. Motel One hat dazu selbst Informationen auf der Unternehmenswebsite veröffentlicht.

Nach Presseinformationen sind ebenfalls nahezu vollständige Übernachtungslisten beginnend mit dem Jahr 2016 enthalten. Ob diese rechtmäßig in derartigem Umfang gespeichert werden durften, wird derzeit hinterfragt.

Ob auch Ihre Daten von dem Angriff bei Motel One betroffen sind oder bei einem anderen Datenleck veröffentlicht wurden, können Sie mit dem Identity Leak Checkers des Hasso-Plattner-Instituts überprüfen.

Fragen Sie sich, welche Rechte Ihnen als betroffene Person aus Datenschutzgesichtspunkten zustehen? Betroffene können Ihr Recht auf Auskunft (Art. 15 DS-GVO), das Recht auf Berichtigung oder Löschung (Art. 16 und Art. 17 DS-GVO), das Recht auf Einschränkung der Verarbeitung (Art. 18 DS-GVO), das Recht auf Datenübertragbarkeit (Art. 20 DS-GVO) sowie das Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DS-GVO) gegenüber dem Verantwortlichen geltend machen. Sollten Sie der Ansicht sein, dass die Verarbeitung gegen Datenschutzrecht verstößt, haben Sie gemäß Art. 77 Abs. 1 DS-GVO das Recht, sich bei einer Datenschutzaufsichtsbehörde eigener Wahl zu beschweren. Darüber hinaus sind auch mögliche Schadensersatzansprüche denkbar. Melden Sie sich dazu gerne bei unserem Team.
Gerne beraten wir auch Ihr Unternehmen hinsichtlich der Punkte zu Datensparsamkeit und rechtssicheren Löschkonzepten, die die Verarbeitung von personenbezogenen Daten minimieren und somit eine geringere Angriffsfläche für etwaige Hackerangriffe bieten können.

 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN

Haben Sie ein Auskunftsersuchen (Art. 15 DS-GVO) von Maximilian Größbauer erhalten?

Auskunftsersuchen von Maximilian Grössbauer

Haben Sie ein Auskunftsersuchen (Art. 15 DS-GVO) von Maximilian Größbauer erhalten?

Wenn Sie eine E-Mail von Herrn Größbauer erhalten haben, in der er freundlich um Auskunft bittet, ob Ihr Unternehmen Daten zu seiner Person verarbeitet, ist die Wahrscheinlichkeit sehr hoch, dass er sich zuvor über Ihre Unternehmenswebsite für einen Newsletter angemeldet hat. Sie sollten daher prüfen, ob Sie personenbezogene Daten verarbeiten und seinem Auskunftsersuchen nachkommen. Sollten Sie tatsächlich keine personenbezogenen Daten verarbeiten, müssen Sie mit einer Negativauskunft reagieren.

Ein Auskunftsersuchen nach Art. 15 DS-GVO ist zunächst immer ernst zu nehmen. Denn auch wenn das Vorgehen als problematisch angesehen werden kann, ist eine rechtsmissbräuchliche Ausübung der Betroffenenrechte schwer nachzuweisen. Auch das gleichzeitig geltend gemachte Recht, eine Kopie aller Daten zu erhalten, sollte nicht ignoriert werden. Insbesondere ist darauf zu achten, dass keine ungeschwärzten Datenkopien herausgegeben werden, soweit personenbezogene Daten Dritter erkennbar sind. Inwieweit die Herausgabe sämtlicher Datenkopien zu erfolgen hat, ist im Einzelfall zu prüfen. Die Gerichte tendieren mittlerweile zu einem weitergehenden Anspruch auf Herausgabe dieser Datenkopien.

Die Besonderheit bei der Anfrage von Herrn Größbauer liegt darin, dass er sich für den Erhalt eines Newsletters angemeldet hat, für dessen Versand US-Dienstleister eingesetzt werden, sodass eine Datenübertragung ins Drittland stattfindet, wobei besondere Vorsicht geboten ist.

Daher kann es sein, dass Sie in einem zweiten Schritt nach Erteilung der Auskunft und Übermittlung der Datenkopien eine Abmahnung wegen einer vermeintlich unzulässigen Übermittlung dieser personenbezogenen Daten in die USA erhalten.

Sollte ein solcher oder ähnlicher Fall auch in Ihrem Unternehmen aufgetreten sein: Rickert.law unterstützt Sie gerne als auf Datenschutz spezialisierte Kanzlei. Zögern Sie nicht, uns zu kontaktieren. Im Rahmen unserer Tätigkeit beraten wir Sie umfassend, damit Sie die Rechte der Betroffenen guten Gewissens ernst nehmen können und nicht Gefahr laufen, abgemahnt zu werden.  

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN

Sicherer Umgang mit KI im Unternehmensalltag

Sicherer Umgang mit künstlicher Intelligenz im Unternehmensalltag 

Was darf Ki im Unternehmen?

Einleitung

Wir haben in unserem ersten Artikel bereit einen kurzen Überblick darüber gegeben, was genau eigentlich unter Künstliche Intelligenzen (KI) verstanden wird und haben in diesem Rahmen die Verordnung zur Regulierung von KI den sogenannten Artificial Intelligence Act (AI Act) beleuchtet. 

Im Nachfolgenden möchten wir noch tiefer ins Detail gehen und Darstellen wie man KI im Unternehmen einsetzten kann. 

Künstliche Intelligenzen sind heute aus dem Unternehmensalltag nicht mehr wegzudenken. Sie ermöglichen Innovation, Effizienz und könnten europäischen Unternehmen einen Wettbewerbsvorteil verschaffen. Mit dem AI Act soll ein Regelwerk für den sicheren Umgang mit Künstlichen Intelligenzen in der Europäischen Union festgelegt werden (dazu haben wir bereits in unserem ersten Artikel Stellung genommen.). Adressaten dieses Gesetzes sind nicht nur die Entwickler von KI, sondern auch Unternehmen, die KI nutzen. Welche laut Lars Klingholz, Leiter Künstliche Intelligenz beim Digitalverband Bitcom, ein Großteil der europäischen Unternehmen sein. Der Verband begrüßt jedoch den AI Act und sieht ihn als Möglichkeit nachhaltig KI einzusetzen. 

Wie kann man Künstliche Intelligenzen im Unternehmen nutzen? 

Ob in Form eines Chatbot im Bereich des Kundenservice, zur Auswertung von Kundenbewertungen, in Gestalt von Robotern in der Fabrikation oder gar Tools zur Zusammenfassung von Kundengesprächen, die Einsatzmöglichkeiten von KI in Unternehmen sind vielfältig. 

KI ist in der Lage, ganze Aufgabenbereiche selbständig zu übernehmen und kann dabei helfen, neue Produkte und Dienstleistungen zu entwickeln, Vertriebswege zu optimieren und die Produktionsleistung zu steigern. Das Europäische Parlament hofft, dass dies zu einer positiven Entwicklung in Sektoren führen wird, die bereits in der Europäischen Union etabliert sind, wie Maschinenbau, Landwirtschaft, Gesundheitswesen oder auch Mode. 

Im Bereich Human Resources kann KI beispielsweise bei der Einstellung neuer Mitarbeiter:innen unterstützen, indem sie das gesamte Verfahren der Stellenausschreibung, der Durchführung des Bewerbungsgesprächs und der Auswahl der Teilnehmenden übernimmt. Einzig die Entscheidung, welcher Kandidat eingestellt wird, muss dann nur noch der Arbeitgebende treffen, da automatisierte Einzelentscheidungen nach Art. 22 DS-GVO verboten sind. 

Das Thema Videoüberwachung, insbesondere im Unternehmenskontext ist hingegen heikel und nicht selten mit Stolperfallen für den Arbeitgeber verbunden. Während bei Berufen mit hohem Berufsrisiko, beispielsweise bei der Polizei, KI zur Wahrung des persönlichen Schutzes verwendet wird, ist KI in anderen Bereichen in der Lage die Erstellung von Leistungs- und Bewegungsprofile der Mitarbeitenden zu ermöglichen. Dies stellt jedoch regelmäßig einen nicht notwendigen Eingriff in die Rechte und Freiheiten der Mitarbeitenden dar und soll daher künftig durch das neue Beschäftigtendatenschutzgesetz besser geregelt werden. 

Bei der Nutzung von KI am Arbeitsplatz kann sich auch ein Konflikt mit der Informationspflicht des Arbeitsgebers gegenüber den Arbeitnehmenden ergeben. Neben der Information darüber, dass mit KI gearbeitet wird, ist auch die Offenlegung des Aufbaus und die Funktionsweise des Algorithmus der KI nötig. Oftmals arbeiten Unternehmen jedoch mit KI-Anwendungen anderer Unternehmen, deren Algorithmus ein Geschäftsgeheimnis ist und haben daher selbst keine Kenntnis über die konkrete Funktionsweise der KI. Hieraus kann sich dann ein Informationsdefizit des Arbeitgebers gegenüber den Arbeitnehmenden ergeben. 

Künstliche Intelligenzen sind imstande, zahlreiche Aufgaben übernehmen. Wie sieht es mit den Arbeitsplätzen aus? 

Bei vielen Arbeitnehmenden besteht nach wie vor die Sorge aufgrund von KI ihren Arbeitsplatz zu verlieren. Künstliche Intelligenzen sind stetig in der Entwicklung und erweitern daher täglich ihr Wissen und ihre Fähigkeiten. Während einige Ökonomen dies für Berufe mit routinierten Tätigkeiten vorhersagen, sehen andere das Problem eher bei den fehlenden Investitionen in die Entwicklung von KI, insbesondere in Deutschland. Durch diesen Marktanteilverlust würden viel mehr Arbeitsplätze verloren gehen und nicht etwa durch die Übernahme von Tätigkeiten durch KI. Während in den USA allein im Jahr 2022 47,4 Mrd. US-Dollar in die Entwicklung Künstlicher Intelligenzen investiert wurde, gefolgt von China mit 13,4 Mrd. US-Dollar, waren es in Deutschland hingegen nur 2,4 Mrd. US-Dollar. Allerdings investierte auch kein anderer EU-Staat mehr.  

Welche konkreten Probleme ergeben sich beim Einsatz von KI im Unternehmensalltag? 

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) kritisiert in einer Stellungnahme den Einsatz von generativer KI-Anwendungen durch Arbeitnehmende am Arbeitsplatz. Gerade durch die Integration generativer KI in alltäglich genutzte Anwendungen wie Textverarbeitungsprogrammen oder auch Suchmaschinen ist die Hürde für die Nutzung denkbar gering. Arbeitnehmende müssen sich dessen bewusst sein, dass sie auch hier die datenschutzrechtlichen Grundsätze beachten und insbesondere eine Rechtsgrundlage für die Verarbeitung haben müssen. Dabei sind insbesondere Arbeitgeber in der Pflicht, entsprechend zu schulen und ihre Beschäftigten für die Problematik zu sensibilisieren. Die Verwendung solcher Systeme führt zudem häufig zu einem Konflikt mit dem datenschutzrechtlichen Transparenzgebot. Es ist häufig kaum oder gar nicht zu erkennen aus welchem Datenpool die KI ihr Wissen bezieht. 

Ein Fall aus den USA zeigt, dass das Wissen der KI auch veraltet oder vielmehr noch die herausgegebenen Informationen falsch sein kann. Ein Anwalt aus den USA hatte mithilfe des Chatbots ChatGPT nach Präzedenzfällen im Zusammenhang mit Verjährungen gesucht. ChatGPT hatte ihm daraufhin falsche Fälle präsentiert. Die KI war in der Lage mithilfe ihres Wissens ganze Fallakten zu erfinden, welche wiederum Verweise auf weitere erfundene Gerichtsurteile enthielten. Das Gericht sah darin einen Täuschungsversuch, welcher gravierende Folgen für den Rechtsanwalt haben könnte.  

Kompliziert wird es also vor allem bei der Frage der Haftung. Ob Fehler auf Anwender- oder Programmfehler zurückzuführen sind, kann gegebenenfalls schwierig zu beweisen sein. Auch bei der Generierung von Bildern stellt sich die Frage, wem dieses gehört. Dem Unternehmen, dass die KI eingesetzt hat, dem Mitarbeiter, der die Daten in das System eingespeist hat oder doch dem Entwickler? 

Fazit und Ausblick 

KI im Unternehmen? Ja oder nein? 

Ob der Einsatz von KI-Anwendungen sinnvoll ist, hängt von dem Tätigkeitsbereich ab. Innerhalb der Produktion stellt die Verwendung von KI eher kein Problem dar. Auch für Recherchearbeiten oder im Bewerbungsverfahren kann KI eine Erleichterung darstellen, jedoch sollten die ausgegebenen Informationen anschließend kontrolliert werden.  

Bei der Bewertung des Einsatzes von KI muss jedoch klar differenziert werden, ob gerade personenbezogene Daten verwendet werden und basierend darauf abgewogen werden, ob eine Nutzung nicht mit einem zu hohen Risiko verbunden ist. Grundsätzlich können Künstliche Intelligenzen für Unternehmen ein großer Gewinn sein, die Anwendung ist jedoch mit Vorsicht zu genießen.  

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN

Regulierungen von Künstlicher Intelligenz – Was plant die EU?

Regulierung von Künstlicher Intelligenz - Was plant die EU?

Neue EU-Verordnung zur Regulierung von künstlicher intelligenz

Die Rechtslage bezüglich Künstlicher Intelligenz (KI) ist momentan noch undurchsichtig. Daher hat das EU-Parlament nach dem Vorschlag vom April 2021 nun eine Verordnung zur Regulierung von KI, den sogenannten Artificial Intelligence Act (AI Act), verabschiedet.  Ziel der Verordnung ist es, einheitliche Anforderungen für die Nutzung von KI-Anwendungen zu schaffen, die das Potential von künstlicher Intelligenz ausschöpfen und gleichzeitig den Schutz von Daten des Einzelnen gewährleisten. 

Doch was genau ist Künstliche Intelligenz und wie funktioniert sie? 

Unter dem Begriff “Künstlicher Intelligenz” versteht das Europäische Parlament die Fähigkeit einer Maschine, menschliche Fähigkeiten wie logisches Denken, Lernen, Planen und Kreativität zu imitieren. Sie kann z.B. aus früheren Handlungen lernen und so selbstständig ihr Verhalten anpassen. Gängige Beispiele für KI-Systeme sind persönliche digitale Assistenten auf Smartphone, Online-Shopping, Web-Suche und autonome Autos.  

Die konkreten Funktionsweisen sind jedoch unterschiedlich. Der Chatbot ChatGPT des Betreibers OpenAI beispielsweise beruht auf der Sprach-KI GPT-3, die zuerst gelernt hat, wie Sprache im Internet funktioniert. ChatGPT lernt neue Informationen sowohl unüberwacht und selbstständig als auch überwacht mithilfe von menschlichem Feedback. Grundsätzlich nutzt die KI maschinelles Lernen, um künstliche neuronale Netze zu bilden, die dem menschlichen Nervensystem ähneln. 

Welche Regulierungen von Künstlicher Intelligenz wird es geben? 

Mit dem AI Act hat die EU-Kommission ein Gesetz über Künstliche Intelligenz veröffentlicht. Er enthält konkrete Vorschläge zur Reglung im Umgang mit KI in der Forschung und Wirtschaft. 

Im Rahmen des AI Act erfolgt eine Einteilung der Anwendungen in die folgenden vier Risikoklassen: minimales, geringes, hohes und unannehmbares Risiko.  

Bei der letztgenannten Kategorie erfolgt ein Verbot ihrer Anwendung. KI, die die Sicherheit von Menschen gefährdet, z. B. Social Scoring-Systeme oder eine automatische Erkennung von Emotionen, werden als solche bezeichnet.  

Risikoreiche Anwendungen sollen mithilfe von Maßnahmen zur Risikominimierung reguliert werden, wie etwa der Einführung eines Risikomanagementsystems, der Veröffentlichung detaillierter Zusammenfassungen von Daten, die zu Trainingszwecken verwendet wurden und externen Audits. Für risikoärmer KI-Systeme sind bislang wenige bis gar keine Regulierungen geplant. 

Kritik an den Regulierungen 

Alleine die Einteilung in Risikoklassen scheint jedoch schon problematisch zu sein. Bei Multifunktions-KI (sog. generative KI), wie ChatGPT, fehlt es an der Zweckbestimmung, welche gerade das Maß an Regulierung bestimmen soll. Kritisch wird insbesondere gesehen, dass obwohl generative KI seit 2021 bereits existieren, die EU die weiten Anwendungsmöglichkeiten nicht bedacht habe. Es gibt Hinweise darauf, dass geplant ist, solche als Hochrisiko KI einzustufen, was bedeutet, dass diese von hohen Regulierungen betroffen sein könnten. 

Allerdings gibt es auch einige Stimmen, die das Ausmaß der geplanten Regulierungen kritisch sehen. Während sie einerseits in den niedrigen Risikoklassen als nicht weitreichend genug empfunden werden, wird besonders im Wirtschaftssektor angemerkt, dass eine solche Überregulierung europäischen Anbietern im internationalen Konkurrenzkampf schadet und zur Abwanderung in Regionen mit weniger Regulierungen für KI, führt. Vor allem kleinere Unternehmen und Startups würden durch die Umsetzung vor finanzielle Herausforderungen gestellt. 

Was bedeutet das für die Zukunft von Künstlicher Intelligenz in Europa?

In vielen EU-Staaten wurden die Stimmen gerade in Bezug auf generative KI lauter, und einige haben bereits Untersuchungen wegen datenschutzrechtlicher Bedenken eingeleitet. In Italien beispielsweise war der Chatbot gesperrt, bis der Betreiber eine Altersverifizierung und die Möglichkeit einführte, gegen der Datennutzung zu widersprechen. OpenAI Gründer Sam Altman sieht zwar die Notwendigkeit einer Regulierung von KI, hat jedoch bereits angekündigt, sich aus Europa zurückzuziehen, wenn die Regelungen des AI Acts in der Form umgesetzt werden sollten. 

Der AI Act muss nun in einem Trilog zwischen der EU-Kommission und den Mitgliedsstaaten abgestimmt werden, bevor er voraussichtlich im Jahr 2026 in Kraft treten könnte. Ob der Spagat zwischen Regulierung zum Schutz persönlicher Daten vor Missbrauch und technischem Fortschritt gelingen wird, bleibt abzuwarten. 

Wir zeigen Ihnen im zweiten Teil des Artikels die konkreten Einsatzmöglichkeiten von KI und deren Voraussetzungen im Unternehmen. 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN

Der European Data Governance Act

Der European Data Governance Act 

Neue Regelungen Zur Vereinfachung des Datenaustasches und der Datenverwendung

Einleitung

Der Data-Governance-Act („DGA“) ist eine Verordnung der Europäischen Union (Verordnung (EU) 2022/686), welche am 3. Juli 2022 veröffentlicht wurde und nun dieses Jahr am 24. September in Kraft tritt. Es handelt sich um eine Verordnung zur Datenverwaltung, die eine bessere gemeinsame Nutzung von Daten zwischen den Mitgliedstaaten der EU ermöglichen soll. Als Verordnung gilt der DGA unmittelbar in allen Europäischen Mitgliedstaaten und bedarf keiner Umsetzung durch nationales Recht.

Der DGA gilt als wichtiger Eckpfeiler der europäischen Datenstrategie. In dem folgenden Beitrag soll der DGA mit seinen Inhalten und Zielen vorgestellt und die Anwendung in der Praxis erläutert werden.

Wozu ist eine solche Verordnung notwendig und welches Ziel verfolgt sie?

Daten spielen in der heutigen digitalisierten Welt eine herausragende Rolle: gerade bei aktuellen Themen wie der Bewältigung der Klimakrise, der Mobilitätswende, der digitalen Vernetzung oder der Digitalisierung der Verwaltung spielt die Verfügbarkeit und der Austausch von Daten eine zentrale Rolle. In nahezu jedem Wirtschaftssektor ist die Verwendung und der Austausch von personenbezogenen und nicht personenbezogenen Daten von zentraler Bedeutung. Gerade dies soll durch den DGA realisiert und erleichtert werden.

Derzeit gestaltet sich ein funktionierender und effizienter Datenaustausch innerhalb der EU aufgrund vieler Faktoren schwierig. Durch ein fehlendes einheitliches System mangelt es beispielsweise bei Unternehmen an Vertrauen in einen sicheren Datenaustausch, die Frage der Datenweiterleitung ist aufgrund verschiedener landeseigener Regelungen undurchsichtig und auch technische Hindernisse bestehen. Die Datenschutzgrundverordnung („DSGVO“) kann hierbei nicht Abhilfe schaffen und stellt kein einheitliches System dar, da sie nur den europaweit einheitlichen Umgang mit personenbezogenen Daten regelt, aber gerade nicht einen sicheren Austausch und die Weiterverwendung von Daten durch Unternehmen oder Private regelt. Diese Faktoren sollen durch den DGA beseitigt werden, indem ein einheitliches, sicheres System für eine Datenübermittlung und den Datenaustausch geschaffen wird.

Die Verordnung ist Teil der europäischen Datenstrategie und soll einen grundlegenden rechtlichen Rahmen für die gemeinsame Nutzung von Daten schaffen. Sie verfolgt das Ziel, das Vertrauen in die gemeinsame Nutzung von Daten zu stärken, die Datenverfügbarkeit durch gewisse Mechanismen zu erhöhen und derzeitige technische Schwierigkeiten bei der Weiterleitung und -verarbeitung von Daten zwischen den Mitgliedstaaten der EU zum Vorteil des europäischen Binnenmarktes zu beseitigen. Als ein sektorübergreifendes Instrument regelt die Verordnung die Weiterleitung von gespeicherten, geschützten Daten.

Konkret wird der DGA für die Einrichtung und Entwicklung gemeinsamer Datenräume der Mitgliedstaaten relevant, an denen private und öffentliche Akteure teilhaben sollen. So soll ein effizienter und schneller Datenaustausch zwischen den Mitgliedstaaten und den Sektoren der EU ermöglicht werden. Gerade in den Bereichen Gesundheitswesen, Landwirtschaft, Umwelt, Energie, Finanzen und der öffentlichen Verwaltung wird ein effizienter Datenaustausch und -abgleich zur Digitalisierung und Erleichterung des Austausches der Mitgliedländer beitragen, sodass Fortschritt und Weiterentwicklung länderübergreifend gelingen können. In den noch zu schaffenden Datenräumen werden sodann beispielsweise Gesundheitsdaten, Umwelt- und Agrardaten gesammelt, damit private und öffentliche Akteure auf diese zugreifen können und zum Beispiel für die Entwicklung ihrer Produkte oder die Entwicklung einer künstlichen Intelligenz verwenden können.

Doch wie sieht die Umsetzung dieser Ziele aus?

Um die grundsätzlich schon vorhandene Menge an Daten in der EU und deren Potenzial nutzen zu können, soll das Vertrauen in das Teilen und Zurverfügungstellen von Daten gestärkt werden. Derzeit befürchten viele Unternehmen, dass die Weitergabe ihrer Daten mit einem Verlust an Wettbewerbsfähigkeit einhergeht und die Offenlegung von Daten ein Missbrauchsrisiko darstellt. Der DGA benennt unter anderem eine Reihe von Regeln für Anbieter von Datenvermittlungsdiensten, damit diese als vertrauenswürdige Organisatoren den Datenaustausch abwickeln. Der DGA sieht mehrere Säulen zur Umsetzung vor:

 

Technische Voraussetzungen:

Zunächst sollen die Mitgliedstaaten technisch passend ausgestatten sein, damit die Privatsphäre und Vertraulichkeit der Daten sichergestellt werden kann.

Möglichkeit der Datenspende:

Gerade um eine Vielfalt von Daten für Wirtschaft, Forschung und Gesundheit nutzen zu können, müssen erst einmal auch Datenmenge vorliegen. Als ein Instrument wird die Datenspende vorgesehen, die es Unternehmen und auch öffentlichen Stellen ermöglicht, Daten freiwillig zur Verfügung zu stellen (sog. Datenaltruismus).

Daneben sind Maßnahmen normiert, die es Bürgern und Unternehmen ermöglichen, ihre Daten zum Nutzen der Allgemeinheit in dem geschaffenen System zur Verfügung zu stellen, sowie Maßnahmen zur Erleichterung des Datenaustauschs, insbesondere zur Ermöglichung der grenzübergreifenden Nutzung von Daten und zur Auffindung der richtigen Daten für den richtigen Zweck.

Erleichterungen bei der Weiterverarbeitung:

Sodann sieht der Data Governance Act einen Mechanismus zur Erleichterung der Weiterverarbeitung bestimmter Daten des öffentlichen Sektors vor, die nicht als offene Daten zur Verfügung gestellt werden können.

Vertrauenswürdigkeit:

Des Weiteren enthält die Verordnung Maßnahmen, mit denen sichergestellt wird, dass Datenintermediäre (Datenvermittlungsdienste) als vertrauenswürdige Organisatoren des Datenaustauschs oder der Datenbündelung innerhalb der gemeinsamen europäischen Datenräume fungieren. Dadurch soll ein sicheres Datensystem entstehen, wodurch mehr Daten offengelegt werden, sodass die Datenverfügbarkeit gesteigert wird.

Zusammenarbeit öffentlicher Stellen und Verwender:

Weiterhin sollen öffentliche Stellen und Verwender der Daten eng zusammenarbeiten, damit eine problemlose Verwendung und Nutzung gegen Entgelt und Weiterverarbeitung der Daten gewährleistet werden. Kann eine öffentliche Stelle zum Bespiel keinen Zugang zu gewissen Daten zur Weiterleitung gewähren, so soll sie dem potenziellen Verwender dabei helfen, die Zustimmung der betroffenen Person zur Weiterverarbeitung einzuholen.

Wichtig ist zu betonen, dass die Datenintermediäre als neutrale Dritte fungieren, die Einzelpersonen und Unternehmen auf der einen Seite mit Datennutzern auf der anderen Seite verbinden. Datenintermediäre können die Daten nicht monetarisieren und müssen durchgehend gewissen Anforderungen erfüllen, um eine Neutralität zu gewährleisten und Interessenskonflikte vorzubeugen. Ebenfalls wichtig ist, dass durch den DGA die öffentlichen Stellen nicht verpflichtet werden können, eine Erlaubnis in die Weiterverarbeitung ihrer Daten zwangsweise zu erteilen.

Durch diese verschiedenen Säulen und Maßnahmen lässt sich ein Teil der europäischen Datenstrategie umsetzen. Diese beinhaltet die sog. „FAIR-Datengrundsätze“:

F – Findability (Auffindbarkeit)
A – Accessibility (Zugänglichkeit)
I – Interoperability (Interoperabilität)
R – Reusability (Weiterverwendbarkeit)

 

Fazit und Ausblick

Der DGA sieht mit seinen Regelungsgegenständen eine weitreichende, effiziente und mitgliedstaatenübergreifende Nutzung von Daten vor. Eine solche sektorübergreifende und gezielte Förderung des Austausches und der Weiterverwendung von Daten könnte nicht nur insbesondere in der Forschung ein Vorankommen bedeuten, sondern auch kleinere Unternehmen der Mitgliedstaaten könnten signifikant durch den Datengewinn profitieren. Sei es, dass die bereitgestellten Daten die Produktentwicklung vorantreiben oder den Marktzugang erleichtern.

Der DGA ist jedoch nur ein Rechtsrahmen, er gibt ein rechtliches System als Rahmenbedingung vor, beinhaltet aber keine konkrete Pflicht zur Nutzung der neu erschaffenen Möglichkeiten in den Mitgliedstaaten. Es besteht somit keine Verpflichtung zur öffentlichen Bereitstellung von Daten. Auch sind keine Bußgelder oder ähnliche Sanktionen vorgesehen, sodass es fraglich ist, ob der Verordnung eine breite praktische Relevanz zukommen wird.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN

Neuer US-Angemessenheitsbeschluss für den Datenverkehr zwischen der EU und der USA

Trans-Atlantic Data Privacy Framework

Neuer US-Angemessenheitsbeschluss für den Datenverkehr zwischen der EU und der USA

Trans-Atlantic Data Privacy Framework

Trotz Kritiken am Data Privacy Framework – die EU Kommission erklärt die USA als sicheres Drittland

Einleitung

 

Die Europäische Kommission hat am 10. Juli 2023 den neuen AngemessenheitsbeschlusTrans-Atlantic Data Privacy Framework für den Datenschutzrahmen EU-USA angenommen.

Die Europäische Kommission hat beschlossen, dass es sich bei den Vereinigten Staaten um ein Drittland mit gleichwertigem Schutzniveau für personenbezogene Daten, vergleichbar mit dem der EU, handelt und damit weitere Schutzmaßnahmen bei der Datenübermittlung entfallen, wenn das jeweilige US-Unternehmen sich dem Datenschutzrahmen anschließt, mithin die Einhaltung der Datenschutzpflichten gewährleistet. Laut Kommissionspräsidentin Ursula von der Leyen führe das auf beiden Seiten zu mehr Rechtssicherheit.

Was ist neu?

Der Zugang der US-Nachrichtendienste auf EU-Daten bleibe dabei, laut Kommission, auf ein notwendiges und verhältnismäßiges Maß beschränkt. Was darunter zu verstehen ist, wird nicht konkretisiert. Als Rechtsbehelfe bzw. überprüfende Stellen bei nicht ordnungsgemäßer Behandlung der Daten durch US-Unternehmen sind ein Civil Liberties Protecition Officer (CLPO) und ein Gericht zur Datenschutzüberprüfung (Data Protection Review Court, DPRC) vorgesehen, an die Einzelpersonen sich wenden können. Das Gericht soll feststellen, ob bei der Datenerhebung gegen Garantien verstoßen wurde und kann die Löschung der Daten anordnen. Ob Verstöße festgestellt wurden und Abhilfemaßnahmen getroffen wurden, wird dem Beschwerdeführer nicht mitgeteilt.

US-Unternehmen können sich dem Data Privacy Framework anschließen, indem sie sich verpflichten, bestimmte Datenschutzgrundsätze zu wahren, wie beispielweise die Löschung personenbezogener Daten bei Wegfall des Zwecks der Erhebung. Auf der Website der US International Trade Administration, US Department of Commerce (www.dataprivacyframework.gov/s/data-protection-authorities), kann eingesehen werden, welche Unternehmen sich dem Data Privacy Framework unterworfen haben.

Die Webseite befindet sich zum Zeitpunkt der Veröffentlichung noch teilweise im Aufbau und noch sind keine zertifizierten US-Unternehmen veröffentlicht. Wie schnell der Zertifizierungsprozess vonstattengeht, wird sich in den nächsten Wochen zeigen und ob bereits dann erste US-Unternehmen in der Zertifizierten-Liste veröffentlicht sind.

Bedeutung für europäische Unternehmen

Für europäische Unternehmen bedeutet der US-Angemessenheitsbeschluss, dass keine zusätzlichen Standardvertragsklauseln mehr nötig wären, sofern sie unter dem US-Angemessenheitsbeschluss zertifizierte US-Unternehmen als Dienstleister verwenden. In praktischer Hinsicht bedeutet das eine Erweiterung der Auswahl an (zertifizierten) Dienstleistern und die Vereinfachung von Vertragsverhandlungen.

Kritik und Ausblicke

Die Nichtregierungsorganisation None of Your Business („NOYB“) kündigte bereits an schon Verfahrensoptionen vorbereitet zu haben. Der Vorsitzende Max Schrems, österreichischer Jurist und Datenschutzaktivist sowie Anlassgeber der Schrems I und Schrems II Urteile, kritisiert den Angemessenheitsbeschluss und bezeichnet ihn als Kopie des „Privacy Shields“ und „Safe Harbour“ – die vorangegangenen und durch den EuGH aufgehobenen US-Angemessenheitsentscheidungen aus 2015 und 2020.

Er wirft der Europäischen Kommission vor, keine substanziellen Änderungen zu beabsichtigen, sondern basierend auf kurzfristigem politischem Denken zu handeln und damit zum dritten Mal die Urteile des Europäischen Gerichtshof (EuGH) zu ignorieren. Auch hat der EuGH das Massenüberwachungssystem der USA (FISA 702) als nicht verhältnismäßig und als Verstoß gegen die EU-Grundrechtscharta erklärt. Wenngleich die neue Executive Order 14086, die Grundvoraussetzung für den Angemessenheitsbeschluss war, nunmehr eine Verhältnismäßigkeit fordert, so ist zu befürchten, dass aufgrund einer fehlenden gemeinsamen Definition abweichende Verständnisse des Begriffes Verhältnismäßigkeit von EU und USA vorliegen werden, die zu abweichenden Bewertungen einzelner Maßnahmen, auch im Lichte der EuGH-Rechtsprechung, führen werden.

Bei einer erfolgreichen Anfechtung könnte der EuGH das Abkommen während des gesamten Verfahrens aussetzen. Mit einer endgültigen Entscheidung kann dann erst 2024 oder 2025 gerechnet werden.

Empfehlungen für europäische Unternehmen

Bis auf weiteres sollten Standardvertragsklauseln mit US-Unternehmen beibehalten werden, soweit diese nicht zertifiziert sind. Jedoch können Datenschutzerklärungen dahingehend angepasst werden, dass der Abschnitt über die Vereinigten Staaten als unsicheres Drittland entfernt werden kann. Ein Hinweis auf die Standardvertragsklausel sollte jedoch bis zur Zertifizierung des Dienstleisters erhalten bleiben. Sollte der Angemessenheitsbeschluss nach Ankündigung der Organisation „NOYB“ erneut vor dem EuGH landen und dann für unzureichend erklärt werden, hätte dies wieder zur Folge, dass personenbezogen Daten in unzulässigerweise an US-Dienstleister übermittelt wurden. Deshalb ist es ratsam, bis zur endgültigen Klärung beim EuGH weiterhin Standardvertragsklauseln für die Datenübermittlung zu verwenden.

 

Frühere Artikel zu diesem Thema finden Sie hier:

Der EDSA und das Trans-Atlantic Data Privacy Framework (Teil 1)

Der EDSA und das Trans-Atlantic Data Privacy Framework (Teil 2)

 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN

Der EDSA und das Trans-Atlantic Data Privacy Framework (2)

Trans-Atlantic Data Privacy Framework

Der EDSA und das Trans-Atlantic Data Privacy Framework (2)

Trans-Atlantic Data Privacy Framework

Kann auf Basis der derzeitigen Data Privacy Framework Prinzipien eine Angemessenheitsentscheidung ergehen?

Einleitung

In unserem ersten Artikel der kurzen Beitragsreihe vom 29.03.2023 sind wir bereits auf die Kritikpunkte des Europäischen Datenschutzausschusses („EDSA“) am Entwurf des Angemessenheitsbeschlusses („Data Privacy Framework“) eingegangen.

Im Nachfolgenden möchten wir noch tiefer ins Detail gehen und weitere aufgekommene Kritiken anderer Stellen vorstellen.

Kurzer Rückblick: was ist und soll das Data Privacy Framework?

Grundsätzlich sieht das Data Privacy Framework („DPF“) eine Vielzahl von Grundsätzen und Regeln vor, um ein angemessenes Datenschutzniveau bei der Übermittlung von personenbezogen Daten zu gewährleisten. Die neuen Grundsätze sind, ebenso wie die vorherigen Safe Harbor Prinzipien und die Privacy Shield Prinzipien, an der Datenschutz-Grundverordnung orientiert und sollen ein mit der EU vergleichbares Datenschutzniveau herstellen.

Die Grundsätze wurden in Absprache von der Europäischen Kommission, der Industrie und anderen Interessengruppen entwickelt und werden als die „Schlüsselkomponente“ („key component“) des DPF beschrieben.

Sie sollen einerseits einen „praktischen Regelungsmechanismus“ („ready-to-use mechanism“) für die Datenübermittlungen aus der EU an die USA bieten, andererseits sollen die so übermittelten personenbezogene Daten gemäß EU-Rechtsvorschriften gesichert und geschützt werden. Man könnte also sagen, dass es sich bei den Grundsätzen um eine „light“-Version der Rechte und Pflichten der DS-GVO handelt.

An den Grundsätzen gibt es jedoch durchaus berechtigte Kritik, vor allem von Seiten des EDSA sowie von Mitgliedern des Europäischen Parlaments (MdEPs).

Wenngleich der EDSA die zahlreichen Aktualisierungen der Grundsätze für die Verarbeitung personenbezogener Daten begrüßt, so stellt er doch auch fest, dass eine Reihe von Grundsätzen im Wesentlichen die gleichen geblieben sind wie sie es bereits bei Safe Harbor und dem Privacy Shield waren (Article 29 Working Party, Opinion 01/2016 on the EU – U.S. Privacy Shield draft adequacy decision).

Aus diesem Grund bleiben auch weiterhin einige Kritikpunkte bestehen, die bereits bei Safe Harbor und Privacy Shield bestanden, wie z.B. die Ausnahmen vom Auskunftsrecht, das Fehlen von Schlüsseldefinitionen oder die mangelnde Klarheit darüber, wie die Grundsätze auf Auftragsverarbeiter anzuwenden sind.

Darüber hinaus fordert der EDSA die Kommission direkt auf, konkreter zu werden. Es soll unter anderem eine klare Begrenzung für Ausnahmen von der Pflicht zur Einhaltung der Grundsätze geben.

Weiterhin wird in der Stellungnahme auch betont, wie wichtig eine wirksame Aufsicht und Durchsetzung des Datenschutzschildes in den USA ist.

Auch kündigt der EDSA an, die Wirksamkeit der neu geschaffenen Rechtsbehelfe, die den betroffenen Personen zur Verfügung stehen, genau beobachten zu wollen.

Gleichzeitig bringt der EDSA auch eine gewisse Besorgnis zum Ausdruck, unter anderem über die mögliche Massenerfassung von Daten oder über die mangelnde Überwachung, wenn es um die Frage der Einhaltung der Anforderungen der DSGVO gehe.

Insgesamt sieht der EDSA aber noch Klärungsbedarf vor allem, was die praktische Umsetzung angeht.

Dieser durchaus kritischen Haltung haben sich nun auch die MdEP in ihrer im April erschienenen Stellungnahme (s. Pressemitteilung vom 13.04.2023 und Resolution vom 11.05.2023) angeschlossen. Sie teilten ebenfalls die Ansicht, dass das vorgeschlagene DPF zwar eine Verbesserung im Vergleich zu den früheren Mechanismen darstelle, aber nicht ausreicht, um eine Angemessenheitsentscheidung für die Übermittlung personenbezogener Daten zu rechtfertigen.

Sie haben mit ihren Äußerungen klar zum Ausdruck gebracht, dass die Europäische Kommission den USA auf dieser Basis keinen Angemessenheitsbeschluss erlassen solle.

Wie der EDSA weisen auch die MdEP darauf hin, dass die neue Verordnung keine ausreichenden Garantien für eine Übermittlung bietet.

Die Mitglieder schließen sich im Wesentlichen den bereits von der EDSA vorgetragenen Kritikpunkten an, wie der bestehenden Möglichkeit der massenhaften Sammlung personenbezogener Daten, der Möglichkeit des Zugriffs von US-Behörden auf personenbezogene Daten von EU-Bürgern oder dem Umstand, dass die Entscheidungen des mit der US Executive Order (14086) geschaffenen Gerichts für den Betroffenen oberflächlich und intransparent bleiben und somit das Recht auf Auskunft und Berichtigung verletzen.

Die MdEP empfehlen eine Rahmenregelung zu finden, die den rechtsicheren Datentransfer zwischen der EU und den USA gewährleistet. Insbesondere solle mehr Rechtssicherheit statt mehr Rechtsunsicherheit geschaffen werden. Ein auf wackligen Beinen aufgestelltes DPF würde Gefahr laufen, das Schicksal seiner Vorgänger zu erleiden.  

Auch nach Ansicht von NOYB („None Of Your Business“), dem Europäischen Zentrum für digitale Rechte, würde ein Angemessenheitsbeschluss in seiner jetzigen Form einer Überprüfung durch den EuGH nicht standhalten. Damit würde der Kreislauf der Verhandlungen über einen sicheren Datentransfer zwischen der EU und den USA erneut in Gang gesetzt.

Fazit

Somit bleibt die Frage offen, ob die Europäische Kommission die Angemessenheitsentscheidung für Datenübermittlungen auf der Grundlage des derzeitig in seiner gültigen Fassung vorliegenden DPF trotz der Kritiken von EDSA und MdEP erlassen wird.

Sofern der Angemessenheitsbeschluss ergeht, können sich die europäischen Unternehmen jedoch auf diesen berufen, um Daten in die USA zu übermitteln und dies ohne zusätzliche Datenschutzgarantien einführen zu müssen.

Wir werden Sie über die weiteren Entwicklungen auf dem Laufenden halten.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN

Der EDSA und das Trans-Atlantic Data Privacy Framework (1)

Trans-Atlantic Data Privacy Framework

Stellungnahme des EDSA zum Trans-Atlantic Data Privacy Framework

Trans-Atlantic Data Privacy Framework

Ist Die DS-GVO-konforme Datenübermittlung in die USA bald problemlos möglich? – Teil I

Einleitung

Im ersten Teil der Beitragsreihe wird ein Abstract der unverbindlichen Stellungnahme des Europäischen Datenschutzausschusses (EDSA) zu dem Entwurf des „Trans-Atlantic Data Privacy Framework“ – das neue Datenschutzabkommen zwischen der EU und den USA – dargestellt.  

In den folgenden Beiträgen werden die einzelnen Kritikpunkte mit den geforderten Nachbesserungsbedarf des EDSA detaillierter unter die Lupe genommen. 

Worum geht es? 

US-amerikanische Gesetze erlauben den US-Geheimdienst den Zugriff auf personenbezogene Daten, die aus der EU in die USA übermittelt bzw. dort verarbeitet werden. Personenbezogene Daten genießen in der EU jedoch ein höheres Schutzniveau als in den USA. Deshalb hat der EuGH das EU-US-Datenschutzschild 2020 („Privacy Shield“) im sog. Schrems ll-Fall für ungültig erklärt (Rechtssache C-3111/18). Nach „Safe Harbour“ war das „Privacy Shield“ das zweite Abkommen, welches als Absicherung für die Datenübermittlung in die USA diente. Für einen angemessenen Datenrechtsschutz musste nach dem Kippen dieses zweiten Abkommens also erneut eine neue Regelung her. Auf politischer Ebene einigte man sich daher auf ein neues, drittes Abkommen: das „Data Privacy Framework“, kurz „DPF“. 

Im Oktober 2022 erließ US-Präsident Biden als Ausfluss des neuen EU-US Abkommens eine Verordnung (US Executive Order (EO) 14086), die darauf abzielt, das Datenschutzniveau für alle von Überwachungsmaßnahmen betroffenen Personen zu erhöhen, um insbesondere die EU-Datenschutzanforderungen bei Datenübermittlungen in die USA zu erfüllen. Die EU-Kommission veröffentlichte daraufhin am 13.12.2022 den Entwurf eines Angemessenheitsbeschlusses, um die USA auf Basis der neuen US-Verordnung als sog. Sicheres Drittland zu deklarieren.   

Der Europäische Datenschutzausschuss (EDSA) wurde von der EU-Kommission um Stellungnahme zum Angemessenheitsbeschluss gebeten. Diese Stellungnahme veröffentliche der EDSA am 28.02.2023. In dieser Bewertung geht es insbesondere um die kommerziellen Aspekte als auch um den Zugang zu und um die Verwendung von personenbezogenen Daten aus der EU durch die öffentlichen US-Stellen.  

Obwohl die Bewertung kritische Aspekte aufzeigt, legt die EU-Kommission die Ablehnung des Beschlusses jedoch nicht nahe. Vielmehr empfiehlt der EDSA, dass die geltend gemachten Bedenken berücksichtigt und die Europäische Kommission die geforderten Klarstellungen vornimmt, um die Begründung ihres Entscheidungsentwurfes zu festigen. 

Wie schätzt der EDSA den Angemessenheitsbeschluss insgesamt ein? 

Der EDSA stellt insgesamt fest, dass der US-Rechtsrahmen aufgrund der erlassenen EO 14086 nun konkrete Zwecke benennt, wann Daten erhoben werden dürfen und dass Prinzipien der Verhältnismäßigkeit zu berücksichtigen sind. Aber es bedarf der genauen Überwachung, dass und wie die Anforderungen in der Praxis umgesetzt werden. Dazu gehört auch die Überprüfung der internen Strategien und Verfahren auf Behördenebene. 

Was kritisiert der EDSA am Beschlussentwurf?  

Die Liste ist lang und es lässt sich daraus ableiten, wie der Entwurf einzuschätzen ist. Die wesentlichen Kritikpunkte sind: 

  • Fehlen von detaillierten Informationen über den rechtlichen Kontext in den USA zum besseren Verständnis der DPF-Grundsätze, wie z.B. die fehlende Beschreibung der nach US-Recht geltenden Verpflichtungen zum Schutz der Privatsphäre. 
  • Nach der Verordnung besteht die Möglichkeit, die Pflicht zur Einhaltung der im DPF-genannten Grundsätze einzuschränken. Ohne die vollständige Kenntnis des US-Rechts sowohl auf Bundes- als auch auf Staatsebene, ist der Umfang der Einschränkungsmöglichkeiten im DPF nicht klar erkenntlich, sodass zur Klarstellung des Anwendungsbereichs die Einschränkungen im Beschlussentwurf aufgenommen werden müssen.  
  • Unstrukturierte Anhänge erschweren das Auffinden und Nachschlagen von Informationen. 
  • Uneinheitliche Verwendung von Begriffen wie „Verarbeitung“, kann zu Rechtsunsicherheiten führen. 
  • Es bedarf einer Klarstellung des Umfangs des Auskunftsrechts betroffener Personen sowie die Forderungen dies im Haupttext des Angemessenheitsbeschlusses und nicht nur als ergänzende Erläuterung in den Fußnoten aufzunehmen. 
  • Keine Erläuterungen zur Ausübung des Widerspruchsrecht. 
  • Befreiung von der Vertragspflicht für gruppeninterne Übermittlungen, sodass Weiterübermittlungen von Daten nicht nur für begrenzte und spezifizierte Zwecke auf der Grundlage eines Vertrags zwischen der DPF-Organisation und dem Dritten bzw. einer vergleichbaren Vereinbarung innerhalb einer Unternehmensgruppe erfolgen darf, wenn auch der Dritte zur Einhaltung des Schutzniveau verpflichtet ist.  
  • Fehlende spezifische Schutzmaßnahmen bzgl. der rasanten Entwicklungen im Bereich der automatisierten Entscheidungsfindung und des Profilings – zunehmend mit Hilfe von KI-Technologie. 
  • Überprüfungen der Einhaltung der DPF-Grundsätze beschränken sich auf formale Anforderungen (z.B. ausbleibende Reaktion von benannten Kontaktstellen), obwohl die Überprüfung der Einhaltung der materiellen Anforderungen entscheidend ist.  
  • Fehlende nähere Erläuterung, ob Rechtsbehelfe es der betroffenen Person ermöglichen, Zugang zu den sie betreffenden personenbezogenen Daten zu erhalten oder die Berichtigung oder Löschung dieser Daten zu erwirken. 
  • Fehlende nähere Erläuterungen zu den Grundsätzen und Garantien für die Weiterverwendung von Daten, insbesondere in Bezug auf geltenden Vorschriften und Schutzmaßnahmen für die Weiterübermittlung, Weiterverwendung und Offenlegung personenbezogener Daten, die zu Strafverfolgungszwecken in den USA erhoben und anschließend in Drittländer, auch im Rahmen internationaler Abkommen, übermittelt werden. 
  • Fehlende Definition des Begriffs „Signals Intelligence“Informationen, die durch die Erfassung und Analyse der elektronischen Signale und Kommunikationen eines bestimmten Ziels gewonnen werden – in der EO 14086. 
  • Fehlende Abhängigkeit der Annahme des Beschlusses von der Annahme aktualisierter Strategien und Verfahren zur Umsetzung von der EO 14086 durch alle US-Geheimdienste. 
  • Fehlende Klarheit über die Bewertung von geltenden Aufbewahrungsvorschriften für personenbezogene Daten von US-Personen, die so nicht als Maßstab für EU-Personen herangezogen werden können. 
  • Die Möglichkeit in der EO 14086, dass der Präsident der Vereinigten Staaten weitere Ziele in Bezug auf die Verordnung in die Liste aufnehmen kann. 
  • Mangelnde Überprüfung, ob internationale Abkommen mit Drittländern oder internationalen Organisationen bestehen, die besondere Bestimmungen für die internationale Übermittlung personenbezogener Daten durch Nachrichtendienste an Drittländer vorsehen könnten. 

Fazit zur Stellungnahme des EDSA 

Insgesamt nimmt der EDSA positiv zur Kenntnis, dass die EO 14086 im Vergleich zum vorherigen 

Rechtsrahmen wesentliche Verbesserungen bietet, insbesondere im Hinblick auf die Einführung der 

Grundsätze der Notwendigkeit und Verhältnismäßigkeit von datenschutzrechtlichen Eingriffen und des individuellen Rechtsbehelfs für betroffene Personen in der EU.  

In Anbetracht der oben dargestellten Kritikpunkte schlägt der EDSA vor, dass die Bedenken ausgeräumt werden und die EU-Kommission die geforderten Klarstellungen liefert. Dies würde die Begründung des Beschlussentwurfs festigen und eine genaue Überwachung der konkreten Umsetzung dieses neuen Rechtsrahmens, insbesondere der darin vorgesehenen Garantien, in den künftigen gemeinsamen Überprüfungen sicherstellen. 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN