Am 26. Januar 2026 stellte die Europäische Kommission offiziell fest, dass Brasilien ein mit der Europäischen Union vergleichbares Schutzniveau für die Verarbeitung personenbezogene Daten bietet und damit die Anforderungen des Art. 45 DS-GVO erfüllt. Mit diesem Angemessenheitsbeschluss wird die Übermittlung personenbezogener Daten von der Europäischen Union nach Brasilien deutlich erleichtert, da keine zusätzlichen Übermittlungsinstrumente wie Standardvertragsklauseln oder Binding Corporate Rules erforderlich sind. Für Organisationen bedeutet dies eine spürbare Vereinfachung und erhöhte Rechtssicherheit bei Datenübermittlungen nach Brasilien.

Was ist ein Angemessenheitsbeschluss?

Werden personenbezogene Daten an Organisationen außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums übermittelt, reicht eine allgemeine Rechtsgrundlage (z. B. vertragliche Grundlage, berechtigtes Interesse) allein nicht aus. Zusätzlich müssen die Anforderungen aus Kapitel V der DS-GVO erfüllt sein. Ziel ist es dabei, dass das europäische Datenschutzniveau auch bei einer Verarbeitung in sogenannten Drittländern gewahrt bleibt. Hier setzt der Angemessenheitsbeschluss an: Die Europäische Kommission kann feststellen, dass ein bestimmtes Drittland oder eine internationale Organisation ein der Europäischen Union vergleichbares Datenschutzniveau bietet.

Maßgeblich sind dabei gemäß Art. 45 Abs. 2 DS-GVO:

• Die Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten, einschlägige Rechtsvorschriften, auch in Bezug auf die öffentliche Sicherheit, Verteidigung, nationale Sicherheit und Strafrecht sowie der Zugang der Behörden zu personenbezogenen Daten, die Anwendung dieser und datenschutzrechtlicher Vorschriften sowie die Möglichkeit zur Durchsetzung von Rechten der betroffenen Person und die Wirksamkeit der verwaltungsrechtlichen und gerichtlichen Rechtsbehelfe;

• Die Existenz und wirksame Funktionsweise unabhängiger Aufsichtsbehörden für die Einhaltung und Durchsetzung datenschutzrechtlicher Vorschriften, einschließlich angemessener Durchsetzungsbefugnisse sowie für die Unterstützung und Beratung von betroffenen Personen bei der Ausübung ihrer Rechte und für die Zusammenarbeit mit Aufsichtsbehörden anderer Mitgliedstaaten;

• Die eingegangenen internationalen Verpflichtungen, die sich aus rechtsverbindlichen Übereinkünften oder Instrumenten sowie aus der Teilnahme an multilateralen oder regionalen Systemen insbesondere in Bezug auf den Schutz personenbezogener Daten ergeben.

Wird ein solches angemessenes Schutzniveau festgestellt, dürfen personenbezogene Daten in dieses Land grundsätzlich ohne zusätzliche Garantien (z. B. Standardvertragsklauseln oder Binding Corporate Rules) übermittelt werden – der Angemessenheitsbeschluss wirkt damit wie eine „datenschutzrechtliche Brücke“ und vereinfacht internationale Datenübermittlungen erheblich. Um sicherzustellen, dass das festgestellte Schutzniveau weiterhin besteht, überprüft die Europäische Kommission bestehende Angemessenheitsbeschlüsse regelmäßig.

Hintergründe zum Angemessenheitsbeschluss für Brasilien

Mit Blick auf Brasilien ist insbesondere die strukturelle Annäherung des dortigen Datenschutzrechts an europäische Standards hervorzuheben. Die brasilianische „Lei Geral de Proteção de Dados“ (LGPD) orientiert sich systematisch an zentralen Prinzipien der DS-GVO, darunter Transparenz, Zweckbindung, Datenminimierung sowie umfassende Betroffenenrechte. Auch die Existenz einer eigenständigen Datenschutzaufsichtsbehörde (Autoridade Nacional de Proteção de Dados – ANPD) war ein wesentlicher Bestandteil der Bewertung. Diese institutionellen und materiell-rechtlichen Parallelen bildeten die Grundlage für die positive Entscheidung der Europäischen Kommission.

Für Organisationen mit Niederlassungen, Auftragsverarbeitern oder Geschäftspartnern in Brasilien vereinfacht der Angemessenheitsbeschluss die praktische Umsetzung von Datentransfers erheblich. Bestehende Standardvertragsklauseln oder andere Transferinstrumente, die ausschließlich zur Absicherung des Drittlandtransfers implementiert wurden, können überprüft und gegebenenfalls angepasst werden. Dadurch lassen sich vertragliche Strukturen und interne Prozesse verschlanken.

Wichtig bleibt jedoch: Der Angemessenheitsbeschluss ersetzt nicht die übrigen Anforderungen der DS-GVO. Für jede Verarbeitung ist weiterhin eine belastbare Rechtsgrundlage erforderlich. Zudem müssen die allgemeinen Grundsätze – etwa Zweckbindung, Datenminimierung, Speicherbegrenzung und Datensicherheit – eingehalten werden. Auch Informationspflichten, Betroffenenrechte sowie Dokumentations- und Rechenschaftspflichten gelten unverändert fort. Der Beschluss schafft damit operative Erleichterungen bei Datenübermittlungen nach Brasilien, entbindet Unternehmen jedoch nicht von einem strukturierten und ganzheitlichen Datenschutzmanagement.

Fazit

Der Angemessenheitsbeschluss für Brasilien stellt für international tätige Organisationen einen relevanten Schritt zur Vereinfachung grenzüberschreitender Datenflüsse dar. Datenübermittlungen können künftig auf einer stabilen unionsrechtlichen Grundlage erfolgen, ohne dass zusätzliche Übermittlungsinstrumente erforderlich sind. Gleichzeitig bleibt jedoch festzuhalten: Die Erleichterung betrifft ausschließlich die Transfermechanik. Die weiteren Anforderungen der DS-GVO gelten unverändert fort.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Am vergangenen Mittwoch hatte das Gericht der Europäischen Union (EuG) in der Rechtssache T-553/23 über eine Klage aus dem Jahr 2023 gegen den Angemessenheitsbeschluss der Europäischen Kommission für Datenübermittlungen in die USA, dem sogenannten Data Privacy Framework, zu entscheiden. Nachdem in der Vergangenheit bereits die beiden vorherigen Angemessenheitsbeschlüsse durch Urteile des Europäischen Gerichtshofes (EuGH) in den Jahren 2015 und 2020 gekippt wurden, waren die Befürchtungen zum Teil groß, dass es nun erneut zu einem abrupten Ende der transatlantischen Übermittlungsgrundlage kommen könnte. Diese Befürchtungen sollten sich jedoch nicht bewahrheiten…

Zur Klage

Bereits am 6. September 2023 reichte Philippe Latombe, ein französischer Abgeordneter und Mitglied der französischen Datenschutz-Aufsichtsbehörde Commission Nationale de l’Informatique et des Libertés (CNIL), eine Nichtigkeitsklage gegen den zu diesem Zeitpunkt erst jüngst verabschiedeten Angemessenheitsbeschluss auf Basis des Data Privacy Framework ein. Der Antrag lautete konkret „die Art. 1 und 2 des Durchführungsbeschlusses […] für nichtig zu erklären, mit dem […] festgestellt wird, dass das im Datenschutzrahmen EU‑USA gebotene Schutzniveau für personenbezogene Daten angemessen ist.“

Als Argumentation führte Latombe unter anderem an, dass „das Recht auf einen wirksamen Rechtsbehelf und ein unparteiisches Gericht nicht gewährleistet sei.“ Weiterhin sei „die in den Vereinigten Staaten von Amerika errichtete Rechtsbehelfsbehörde, die durch einen Akt der amerikanischen Exekutive und nicht durch Gesetz geschaffen worden sei, sei kein unabhängiges Gericht und biete keine den Anforderungen des europäischen Rechts entsprechende Garantien.“ Daneben wurden weitere Verstöße, insbesondere gegen Art. 7 und 8 der Charta der Grundrechte der Europäischen Union sowie Art. 22 DS-GVO und Art. 32 in Verbindung mit Art. 45 Abs. 2 der DS-GVO vorgetragen.

Zum Urteil

Mit Beschluss vom 3. September 2025 wies das EuG die Nichtigkeitsklage nun ab. In der Pressemitteilung heißt es hierzu in Bezug auf die angezeigte fehlende Unabhängigkeit Data Protection Review Court (DPRC), einer Institution, die es europäischen Bürgern ermöglichen soll, Beschwerden in Bezug auf die Verarbeitung personenbezogener Daten durch US-amerikanische Ermittlungsbehörden überprüfen zu lassen:

„Was erstens den DPRC betrifft, stellt das Gericht u. a. fest, dass die Ernennung der Richter des DPRC und seine Arbeitsweise ausweislich der Akten mit mehreren Garantien und Bedingungen verbunden sind, die die Unabhängigkeit seiner Mitglieder gewährleisten sollen. Zum einen können die Richter des DPRC nur vom Generalstaatsanwalt aus triftigen Gründen abberufen werden, zum anderen dürfen der Generalstaatsanwalt und die Nachrichtendienste deren Arbeit nicht behindern oder unrechtmäßig beeinflussen.“

Und weiter: „Außerdem hat die Kommission nach dem Wortlaut des angefochtenen Beschlusses die Anwendung des Rechtsrahmens, der Gegenstand des Beschlusses ist, fortlaufend zu überwachen. Wenn sich der zum Zeitpunkt des Erlasses des angefochtenen Beschlusses in den Vereinigten Staaten geltende Rechtsrahmen ändert, kann die Kommission daher soweit erforderlich beschließen, den angefochtenen Beschluss auszusetzen, zu ändern oder aufzuheben oder seinen Anwendungsbereich einzuschränken.“

Auch in Bezug auf mögliche Sammelerhebungen personenbezogener Daten durch US-amerikanische Nachrichtendienste folgte das Gericht der Argumentation des Klägers nicht.

Ist das Data Privacy Framework damit sicher?

Nein. Bereits aus der dargestellten Pressemitteilung geht besonders aus zwei Passagen deutlich hervor, dass in Bezug auf den derzeitigen Angemessenheitsbeschluss zu jeder Zeit auch anderslautende Beschlüsse getroffen werden könnten.

Einerseits heißt es, „dass die Vereinigten Staaten von Amerika zum Zeitpunkt des Erlasses des angefochtenen Beschlusses ein angemessenes Schutzniveau für personenbezogene Daten gewährleisteten […].“ Andererseits wird wie zuvor bereits zitiert darauf hingewiesen, dass die Europäische Kommission bei Änderungen der Rechtslage in den USA den Angemessenheitsbeschluss jederzeit aussetzen, ändern, aufheben oder in seinem Anwendungsbereich einschränken kann. Diesbezüglich wurde bereits im Februar dieses Jahres bekannt, dass die Europäische Kommission seitens Mitglieder des Europäischen Parlaments aufgefordert wird, die Grundlagen des Angemessenheitsbeschlusses zu prüfen.

Insofern bleibt es bei dem bisherigen Resümee unserer Beiträge zu diesem Thema: Verantwortliche sollten sich zumindest einen möglichen Plan B ohne Data Privacy Framework zurechtlegen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Bereits vor zwei Wochen berichteten wir im Rahmen eines Blog-Beitrags über die aktuellen Entwicklungen in den USA mit Blick auf das EU-U.S. Data Privacy Framework (DPF) und möglichen Folgen für Verantwortliche. In einem kürzlich auf LinkedIn veröffentlichten Beitrag wird nun deutlich, dass das DPF womöglich kurz vor dem Aus stehen könnte: Die Europäische Kommission wird seitens Mitgliedern des Europäischen Parlaments aufgefordert, die Grundlagen des Angemessenheitsbeschlusses zu prüfen.

Schreiben an die Europäische Kommission

Das veröffentliche Schreiben des Vorsitzenden des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres (LIBE), Javier Zarzalejos, enthält eine an den EU-Kommissar für Demokratie, Justiz und Rechtsstaatlichkeit, Michael McGrath, gerichtete Aufforderung, zu prüfen, inwiefern sich die aktuellen Entwicklungen in den USA auf den Angemessenheitsbeschluss, insbesondere unter Berücksichtigung des Schrems II – Urteils, auswirken. Konkret heißt es:

„The LIBE Committe has learned that some members of the PCLOB were recently removed by the White House from their positions. As there ist only one out of five Board members remaining, the PCLOB is no longer operational due to not reaching the minimum level of members required to have a quorum. Therefore, I would be grateful if you could provide me wit he Commissions’s assessment of whether the above-mentioned changes affect the adequacy of the Data Privacy Framework, including whether the mechanism still meets the requirements of „essential equivalence“ as established by the Court of Justice in case C-311/18 Schrems II.“

Die Darstellungen decken sich insoweit auch mit einer Berichterstattung von Bloomberg. Abzuwarten bleibt, wie sich die Europäische Kommission hierzu verhält beziehungsweise ob und wann möglicherweise eine Aberkennung des Angemessenheitsbeschlusses erfolgt.

Mögliche Folgen

In den Kommentaren des benannten LinkedIn-Beitrags wird kontrovers diskutiert, welche konkreten Folgen eine mögliche Aberkennung des Angemessenheitsbeschlusses haben könnte. Schließlich bestehen neben einem Angemessenheitsbeschluss (Art. 45 DS-GVO) noch eine Reihe weiterer Übermittlungsgrundlagen, mittels derer die Übermittlung personenbezogener Daten in die USA legitimiert werden könnte. Allen voran sind die seitens der Europäischen Kommission verabschiedeten Standardvertragsklauseln zu benennen.

Oftmals wird jedoch übersehen, dass nicht in allen Sektoren ein Wechsel auf die Standardvertragsklauseln erfolgen kann. So heißt es zum Beispiel in § 80 Abs. 2 SGB X: „Der Auftrag zur Verarbeitung von Sozialdaten darf nur erteilt werden, wenn die Verarbeitung im Inland, in einem anderen Mitgliedstaat der Europäischen Union, in einem diesem nach § 35 Absatz 7 des Ersten Buches gleichgestellten Staat, oder, sofern ein Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 vorliegt, in einem Drittstaat oder in einer internationalen Organisation erfolgt.“ Eine Übermittlung auf Grundlage der Standardvertragsklauseln ist demnach explizit nicht vorgesehen.

Weiterhin muss kritisch hinterfragt werden, inwiefern eine Datenübermittlung in der Breite überhaupt noch auf die Standardvertragsklauseln gestützt werden könnte. Schließlich bedarf der Abschluss der Standardvertragsklauseln nach Klausel 14 die Durchführung einer Transferfolgenabschätzung, wonach ebenfalls die „relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes“ gebührend berücksichtigt werden müssen. Unter Wahrnehmung der derzeit stattfinden Einwirkungen auf rechtsstaatliche Prinzipien, wird eine objektiv durchgeführte und nicht vom (positiven) Ergebnis her argumentierte Transferfolgenabschätzung des Öfteren negativ ausfallen werden müssen.

Insofern wird zukünftig eine stärkere Fokussierung auf umzusetzende technische Maßnahmen zu legen sein. Allen voran ist hierbei die Verschlüsselung nach aktuellem Stand der Technik zu nennen, wobei diese wohl auch nur dann als wirksamer Schutzmechanismus bezeichnet werden kann, wenn eine Verwaltung der Schlüssel nicht durch den identischen oder einen weiteren US-Dienstleister erfolgt. Diese Anforderung mag zwar banal klingen, findet in der Praxis jedoch meist zu wenig Berücksichtigung. Mit Umsetzung einer wirksamen Verschlüsselung können datenschutzrechtliche Problematiken reduziert oder ganz ausgeschlossen werden. Jedoch muss ebenfalls darauf hingewiesen werden, dass eine Reihe verbreiteter Cloud-Dienste mit verschlüsselten Informationen nicht (vollständig) nutzbar sind.

Spätestens an dieser Stelle ergibt sich die Empfehlung zur Prüfung vergleichbarer Software-Alternativen mit Verarbeitungsort innerhalb der Europäischen Union – wohlwissend, dass sich auch hierüber nicht immer eine passende Lösung finden lassen wird.

Fazit

Auch nach wie vor ist zum gegenwärtigen Zeitpunkt keine Panik angebracht. Die ersten Anzeichen machen jedoch deutlich, dass noch in diesem Jahr eine Änderung der Rechtslage eintreten könnte. Insofern bleibt es bei dem Resümee des vor kurzem veröffentlichten Blog-Beitrags: Verantwortliche sollten sich zumindest einen möglichen Plan B ohne EU-U.S. Data Privacy Framework zurechtlegen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Es vergeht derzeit wohl kaum ein Tag, an dem die neue Regierung um US-Präsident Donald Trump nicht für neue Schlagzeilen sorgt. Einige der Entscheidungen, die derzeit in Washington, D. C. getroffen werden, könnten sich auch auf datenschutzrechtliche Aspekte in Europa auswirken. So drohen Verantwortlichen, die personenbezogene Daten derzeit auf Grundlage des EU-U.S. Data Privacy Frameworks in die USA übermitteln, erneut rechtliche Unsicherheiten. Unter Berücksichtigung der oftmals selbstverständlichen Nutzung von Cloud- und KI-Anwendungen US-amerikanischer Anbieter, könnte dies eine Vielzahl von Unternehmen, Behörden und Vereinen treffen.

Was ist das EU-U.S. Data Privacy Framework (DPF)?

Mit dem DPF wird zertifizierten Unternehmen in den USA ein im Verhältnis zur Europäischen Union vergleichbares Datenschutzniveau attestiert. Es räumt Bürgern der Europäischen Union gegenüber US-amerikanischen Unternehmen neue Rechte ein, zum Beispiel das Recht auf Auskunft, das Recht auf Berichtigung, das Recht auf Löschung unrichtiger oder unrechtmäßig verarbeiteter personenbezogener Daten. Weiterhin bestehen verschiedene Rechtsbehelfe sowie unabhängige Streitbeilegungsmechanismen und ein Schlichtungsgremium.

Die US-amerikanischen Unternehmen können ihre Teilnahme am DPF zertifizieren lassen, indem diese sich verpflichten, verschiedene datenschutzrechtliche Anforderungen (z. B. Zweckbindung, Datenminimierung) einzuhalten. Die Zertifizierungsanträge werden durch das US-Handelsministerium bearbeitet. Dieses überwacht ebenfalls, ob die teilnehmenden Unternehmen die Zertifizierungsanforderungen weiterhin erfüllen.

Möglich ist ein solches Vorgehen auf Grundlage des Art. 45 DS-GVO, wonach die Europäische Kommission unter Prüfung verbindlich definierter Kriterien sogenannte Angemessenheitsbeschlüsse treffen kann. Vorteil: In die betreffenden Länder kann eine Übermittlung personenbezogener Daten auf Grundlage des Angemessenheitsbeschlusses erfolgen. Es bedarf sodann – neben der Beachtung der sonstigen datenschutzrechtlichen Vorschriften – keiner weiteren besonderen Vorkehrungen, wie beispielsweise des Abschlusses von Standardvertragsklauseln und der Durchführung einer Transferfolgenabschätzung.

Wieso könnte das EU-U.S. Data Privacy Framework in Gefahr sein?

Möglich wurde das DPF insbesondere aufgrund von Änderungen der Rechtslage in den USA: Nachdem im März 2022 bekannt wurde, dass die EU und die USA an einem Nachfolgeabkommen zum EU-US-Privacy Shield arbeiten, erfolgte im Oktober 2022 der Erlass einer Executive Order über die Verbesserung der Garantien für US-Signalspionagetätigkeiten (Executive Order (EO) 14086). Hierdurch wurde die Grundlage für die Umsetzung des DPF geschaffen. Auf Grundlage der Executive Order folgte am 13. Dezember 2022 der Beschlussentwurf der Europäischen Kommission über die Angemessenheit des Schutzniveaus personenbezogener Daten nach dem DPF.

Mittels Executive Orders (deutsch: Durchführungsverordnung) können US-Präsidenten ohne Zustimmung des Kongresses rechtlich verbindliche Regelungen erlassen. Diese gelten zeitlich unbefristet, können jedoch durch einen amtierenden US-Präsidenten zu jeder Zeit abgeändert oder zurückgenommen werden.

Einerseits steht nun die benannte Executive Order, auf der das DPF beruht, in ihrer Gesamtheit auf der Kippe. Andererseits habe die US-Regierung bereits die demokratischen Mitglieder des Privacy und Civil Liberties Oversight Board (PCLOB) zum Rücktritt aufgefordert. Dies stellt eine unmittelbare Gefährdung der Funktionsfähigkeit des PCLOB dar, welches unter anderem für die Überwachung der Einhaltung der Vorgaben des DPF ist. Insofern könne auch die Begrenzung der Zugriffe von US-Geheimdiensten auf ein notwendiges und verhältnismäßiges Maß nicht mehr hinreichend kontrolliert werden.

Eine derartige Entwicklung könnte nun dafür sorgen, dass die Europäische Kommission den bestehenden Angemessenheitsbeschluss widerruft, ändert oder aussetzt (Art. 45 Abs. 5 DS-GVO). Aber auch im Rahmen eines Verfahrens vor dem Europäischen Gerichtshof könnte der Angemessenheitsbeschluss auf Grundlage des DPF kassiert werden. Ein Schicksal, dass bereits die Vorgänger-Abkommen „Safe Harbour“ und „Privacy Shield“ ereilte. Konkrete Anzeichen lassen sich derzeit jedoch noch (?) für keines der beiden Szenarien finden.

Wie sollten Verantwortliche mit der Situation umgehen?

In jedem Fall empfiehlt es sich, einen genauen Überblick darüber zu haben, inwieweit personenbezogene Daten in die USA (und andere Länder außerhalb der Europäischen Union) übermittelt und cloudbasierte Anwendungen von Anbietern mit Sitz in diesen Ländern verwendet werden. Insbesondere sofern solche Übermittlungen im Rahmen von geschäftskritischen Prozessen stattfinden, sollten alternative Übermittlungsmechanismen (z. B. Standardvertragsklauseln) geprüft und vorbereitet oder zumindest bereitgehalten werden.

Darüber hinaus empfiehlt sich stets eine Prüfung, ob mittels vergleichbarer Software-Alternativen mit Verarbeitungsort innerhalb der Europäischen Union derartige Datenübermittlungen für die Zukunft reduziert werden könnten. Weiterhin können auch geeignete und wirksame Verschlüsselungsverfahren angewandt werden. Hierbei sollte jedoch stets ein kritischer Blick darauf gelegt werden, an welchem Ort und durch wen die zugehörigen Schlüssel verwaltet werden.

Panik ist zum gegenwärtigen Zeitpunkt nicht angebracht. Verantwortliche sollten sich jedoch der Risiken bewusst sein und sich zumindest einen möglichen Plan B ohne EU-U.S. Data Privacy Framework zurechtlegen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Die Vorweihnachtszeit in der Datenschutzwelt war geprägt durch eine Vielzahl von Urteilen des Europäischen Gerichtshofes (EuGH), wie wir im Rahmen unseres Jahresrückblicks teilweise schon dargestellt haben. Hierbei ist ein Urteil aus Deutschland fast übersehen wurden, was diesem aufgrund seiner Bedeutung beziehungsweise der vielfach zugemessenen Bedeutung nicht gerecht würde. Gemeint ist das Urteil des OLG Köln vom 3.11.2023 – Az.: 6 U 58/23. Zum Teil wird aus dem Urteil geschlussfolgert, dass das OLG Köln das Data Privacy Framework für unzulässig erklärt habe, was selbstredend nicht stimmt, wie bereits durch den Kollegen Carlo Piltz zutreffend dargestellt wurde. Worum es in dem Urteil wirklich geht und welche Auswirkungen für die Praxis zu erwarten sind, soll im nachstehenden Beitrag näher dargestellt werden.

Was ist eigentlich Inhalt des Urteils?

Gegenstand des Verfahrens war die Internetpräsenz www.telekom.de der Telekom Deutschland GmbH. Der Seite war ein sogenanntes Cookie-Banner vorgeschalten, mit welchem unter Verweis auf die Datenschutzinformationen die Einwilligung in die Verwendung von Analyse- und Marketing-Cookies eingeholt wurde. Die Klägerin, die Verbraucherzentrale NRW, beanstandete die Einbindung von Google Analytics. In erster Instanz befand das LG Köln mit Urteil vom 23. März 2023 – Az.: 33 O 376/22 die Einbindung als rechtswidrig, da eine unzulässige Datenübermittlung in die USA erfolge und mithin kein ausreichendes Datenschutzniveau gewährleistet werden könne.

Die Telekom Deutschland GmbH übermittelte bei Aufruf der Seite die IP-Adresse, Informationen über den genutzten Browser und das genutzte Endgerät der Nutzer an Server der Google LLC in den USA. Das LG Köln nahm in seinem Urteil unter anderem Bezug auf die Standarddatenschutzklauseln nach Art. 46 Abs. 2 lit. c) DS-GVO.

Zur Erinnerung: Am 10. Juli 2023 hat die Europäische Kommission den Angemessenheitsbeschluss nach dem EU-U.S. Data Privacy Framework angenommen. Das Data Privacy Framework stellt einen Angemessenheitsbeschluss im Sinne des Art. 45 DS-GVO dar. Damit wird den USA ein im Vergleich zur Europäischen Union vergleichbares Datenschutzniveau attestiert. Das EU-U.S. Data Privacy Framework räumt Bürgern der Europäischen Union gegenüber US-amerikanischen Unternehmen neue Rechte ein (z.B. das Recht auf Auskunft, das Recht auf Berichtigung, das Recht auf Löschung unrichtiger oder unrechtmäßig verarbeiteter personenbezogener Daten). Weiterhin bestehen verschiedene Rechtsbehelfe sowie unabhängige Streitbeilegungsmechanismen und ein Schlichtungsgremium. Die US-amerikanischen Unternehmen können ihre Teilnahme am EU-U.S. Data Privacy Framework zertifizieren lassen, indem diese sich verpflichten, verschiedene datenschutzrechtliche Anforderungen (z.B. Zweckbindung, Datenminimierung) einzuhalten.

Das OLG Köln hat sich sodann im Rahmen des Berufungsverfahrens mit der erstinstanzlichen Entscheidung befasst. Das Gericht beanstandet in seiner Entscheidung die Übermittlung personenbezogener Daten an Server der Google LLC sowohl für den Zeitraum vor als auch nach Geltung der des EU-U.S. Data Privacy Framework.

Und was ist nun durch das OLG Köln wirklich entschieden worden?

Das OLG Köln stuft die Datenübermittlungen mangels wirksamer Rechtsgrundlage nach Art. 6 DS-GVO, hier konkret in Ermangelung einer entsprechenden Einwilligung, als unzulässig ein:

„Die Datenübermittlung war auch unzulässig, da sie nicht von einem Erlaubnistatbestand der DSGVO gedeckt war.“ Und weiter heißt es: „Die Datenübertragung an die Google LLC und damit in die USA war vor Geltung des DPF nicht durch Erlaubnistatbestände der DSGVO gedeckt. Denn die Übermittlung war weder nach Art. 46 Abs. 1 DSGVO aufgrund geeigneter Garantien für ein angemessenes Datenschutzniveau in den USA als Drittland […] noch aufgrund einer Einwilligung nach Art. 49 Abs. 1 S. 1 lit. a) DSGVO […] zulässig.“

In Bezug auf die Standarddatenschutzklauseln wird festgehalten: „Insofern reicht es jedoch nicht aus, dass die Beklagte sich auf Standardvertragsklauseln im Verhältnis zwischen Google und Google Ireland Ltd. […] sowie auf zusätzliche Maßnahmen, die von Google in den sogenannten „Google Ads IDTI“ […] ausgeführt werden, stützt. Denn der EuGH hat in seiner Entscheidung „Schrems II“ […] zunächst klargestellt, dass die Verwendung von Standardvertragsklauseln zwar im Verhältnis der Vertragsparteien relevant sei, aber keinen Schutz vor Maßnahmen der Behörden von Drittstaaten biete, weil diese durch die vertragliche Vereinbarung nicht gebunden seien. Deshalb gebe es Situationen, in denen die in den Klauseln enthaltenen Regelungen kein ausreichendes Mittel darstellten, um den effektiven Schutz von in das betreffende Drittland übermittelten personenbezogenen Daten zu gewährleisten […].“

Das nunmehr in Kraft getretene EU-U.S. Data Privacy Framework stellt nach Ansicht des OLG Köln sogar ein entsprechende Übermittlungsgrundlage dar:

„Der unter dem 10.07.2023 gefasste Beschluss der EU-Kommision mit dem Titel „EU US Data Privacy Framework“ […] stellt nunmehr in den USA ein angemessenes Datenschutzniveau fest und entfaltet unmittelbare Wirkung, so dass Datenübermittlungen in das betreffende Land keiner besonderen aufsichtsbehördlichen Genehmigung bedürfen […]. Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten aus der EU an solche US-Unternehmen übermittelt werden, die an dem DPF teilnehmen […].“

Vielmehr führt das Gericht weiter aus: „Auch bei Vorliegen eines Angemessenheitsbeschlusses müssen die übrigen – allgemeinen – Anforderungen an eine zulässige Datenverarbeitung erfüllt sein, wozu unter anderem das Erfordernis der in Kapitel II der DSGVO geregelten Einwilligung (Art. 6, 7 DSGVO) gehört […] Daran fehlt es im Streitfall […].“ Und dies dürfte der springende Punkt der Entscheidung sein, wie man so schön sagt. Der Entscheidung des OLG Köln ist zu entnehmen, dass die streitgegenständliche Datenübermittlung nicht auf der Stufe der Prüfung einer Rechtsgrundlage zur Übermittlung der Daten an datenschutzrechtliche Drittländer (vgl. Artt. 45 ff. DS-GVO) scheitert, sondern bereits an den Grundsätzen der Datenverarbeitung, insbesondere dem Vorliegen einer belastbaren Rechtsgrundlage gemäß Art. 6 DS-GVO.

Interessant für die Praxis ist, was anschließend folgt: „Denn ebenso wie im Kontext des Art. 49 Abs. 1 S. 1 lit. a) DSGVO ist die eingeholte Einwilligung, die nunmehr Art. 6 Abs. 1 S. 1 lit. a) DSGVO unterfällt, unwirksam. Eine Einwilligung im Sinne der letzteren Vorschrift erfordert, dass der für die Verarbeitung Verantwortliche der betroffenen Person eine Information über alle Umstände im Zusammenhang mit der Verarbeitung der Daten in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zukommen lässt, da dieser Person insbesondere die Art der zu verarbeitenden Daten, die Identität des für die Verarbeitung Verantwortlichen, die Dauer und die Modalitäten dieser Verarbeitung sowie die Zwecke, die damit verfolgt werden, bekannt sein müssen. Solche Informationen müssen diese Person in die Lage versetzen, die Konsequenzen einer etwaigen von ihr erteilten Einwilligung leicht zu bestimmen, und gewährleisten, dass die Einwilligung in voller Kenntnis der Sachlage erteilt wird […].“

Und weiter: „Gemessen hieran wird im Datenschutzhinweis, wie oben näher ausgeführt, suggeriert, dass die Verwendung von Google Ads grundsätzlich ohne Übermittlung personenbezogener Daten auskommt. Unabhängig davon, ob diese Übermittlung in ein Drittland mit oder ohne Angemessenheitsbeschluss erfolgt, entspricht es nicht dem Erfordernis einer transparenten und leicht verständlichen Unterrichtung des Nutzers, wenn dieser aufgrund einer entsprechenden Aussage von Google, auf die sich die Beklagte beruft, davon ausgeht, es komme erst gar nicht zu einer Verarbeitung seiner personenbezogenen Daten.“

Vorab hatte das OLG Köln bereits ausgeführt: „Gemessen an diesen Grundsätzen teilt der Senat die landgerichtliche Bewertung, wonach die Datenschutzhinweise keine AGB sind. Denn insoweit handelte die Beklagte in Erfüllung der sich aus Art. 13 und 14 DSGVO ergebenden Informationspflichten, die – wovon das Landgericht zutreffend ausgegangen ist – nicht – dispositives Recht darstellen […] Es ist anerkannt, dass die bloße Wiedergabe gesetzlicher Informationspflichten, die nicht auf eine Änderung oder Ausgestaltung bestimmter Regelungen abzielt, keine AGB darstellt.“

Zu unterscheiden sind hiervon Klauseln zu den Themen „Analytische Cookies“ und „Marketing-Cookies“ in den Datenschutzhinweisen, bei diesen sei von kontrollfähigen AGB auszugehen: „Dieses Cookie-Banner dient der Einholung der Einwilligung von Besuchern der Webseite zum Setzen bestimmter Cookies und der Datenverarbeitung […] Indem der Datenschutzhinweis zum Gegenstand dieser Einwilligung gemacht wird, hat er an dem Rechtscharakter der vorformulierten Einwilligungserklärung als AGB teil.“

Fazit

Das EU-U.S. Data Privacy Framework gilt also auch weiter, zumindest so lange bis der EuGH etwas anderes verlauten lässt. Eine Unzulässigkeitserklärung durch das OLG Köln ist jedenfalls nicht erfolgt. Vielmehr konstatiert das Gericht entsprechende Prüffragen, an denen sich verwendete Einwilligungserklärungen wie zum Beispiel in Form von Consent-Management-Plattformen beziehungsweise Cookie-Bannern, insbesondere im Punkto Informiertheit messen lassen müssen. Darüber hinaus setzt das OLG einen Fingerzeig in Richtung AGB-Kontrolle von Datenschutzinformationen und Einwilligungserklärungen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Am 10. Juli 2023 hat die Europäische Kommission den Angemessenheitsbeschluss nach dem EU-U.S. Data Privacy Framework angenommen. Damit wird den USA ein im Vergleich zur Europäischen Union vergleichbares Datenschutzniveau attestiert. Für Verantwortliche ergeben sich hierdurch erhebliche Erleichterungen im Rahmen des Einsatzes US-amerikanischer Dienstleister. Doch an dem neuen Angemessenheitsbeschluss gibt es auch Kritik. Alle wichtigen Informationen erhalten Sie in diesem Beitrag.

Was ist ein Angmessenheitsbeschluss?

Die Europäische Kommission kann auf Grundlage des Art. 45 DS-GVO einen Beschluss treffen, nach welchem für ein Drittland oder eine internationale Organisation ein angemessenes Schutzniveau festgestellt wird. Gemäß Art. 45 Abs. 2 DS-GVO hat die Kommission hierbei folgende Kriterien zu berücksichtigen:

• Die Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten, einschlägige Rechtsvorschriften, auch in Bezug auf die öffentliche Sicherheit, Verteidigung, nationale Sicherheit und Strafrecht sowie der Zugang der Behörden zu personenbezogenen Daten, die Anwendung dieser und datenschutzrechtlicher Vorschriften sowie die Möglichkeit zur Durchsetzung von Rechten der betroffenen Person und die Wirksamkeit der verwaltungsrechtlichen und gerichtlichen Rechtsbehelfe;

•  Die Existenz und wirksame Funktionsweise unabhängiger Aufsichtsbehörden für die Einhaltung und Durchsetzung datenschutzrechtlicher Vorschriften, einschließlich angemessener Durchsetzungsbefugnisse sowie für die Unterstützung und Beratung von betroffenen Personen bei der Ausübung ihrer Rechte und für die Zusammenarbeit mit Aufsichtsbehörden anderer Mitgliedstaaten;

• Die eingegangenen internationalen Verpflichtungen, die sich aus rechtsverbindlichen Übereinkünften oder Instrumenten sowie aus der Teilnahme an multilateralen oder regionalen Systemen insbesondere in Bezug auf den Schutz personenbezogener Daten ergeben.

Sofern die Kommission unter Berücksichtigung der aufgeführten Kriterien eine Angemessenheit des Datenschutzniveaus feststellt, übernimmt diese die Aufgabe der regelmäßigen Überwachung, im Rahmen derer stets die aktuellen Entwicklungen innerhalb des Drittlandes oder der internationalen Organisation berücksichtigt werden.

Bisher verfügten folgende Länder und Gebiete über einen Angemessenheitsbeschluss der Europäischen Kommission: Andorra, Argentinien, Färöer-Inseln, Guernsey, Isle of Man, Israel, Japan, Jersey, Kanada (beschränkt auf Datenübermittlungen an „commercial organisations“), Neuseeland, Schweiz, Südkorea, Uruguay und das Vereinigte Königreich. Nun sind auch die USA in diesem Zusammenhang mit aufzuführen.

In die zuvor genannten Länder kann eine Übermittlung personenbezogener Daten auf Grundlage des Angemessenheitsbeschlusses erfolgen. Es bedarf sodann – neben der Beachtung der sonstigen datenschutzrechtlichen Vorschriften – keiner weiteren besonderen Vorkehrungen, wie beispielsweise des Abschlusses von Standardvertragsklauseln und der Durchführung einer Transferfolgenabschätzung.

Was ist das EU-U.S. Data Privacy Framework?

Nachdem im März 2022 bekannt wurde, dass die EU und die USA an einem Nachfolgeabkommen zum EU-US-Privacy Shield arbeiten, erfolgte im Oktober 2022 der Erlass einer Exekutivverordnung über die Verbesserung der Garantien für US-Signalspionagetätigkeiten (Executive Order (EO) 14086). Hierdurch wurde die Grundlage für die Umsetzung des „EU-U.S. Data Privacy Framework“ geschaffen. Auf Grundlage der Executive Order folgte am 13. Dezember 2022 der Beschlussentwurf der Europäischen Kommission über die Angemessenheit des Schutzniveaus personenbezogener Daten nach dem EU-U.S. Data Privacy Framework (wir berichteten).

Das EU-U.S. Data Privacy Framework räumt Bürgern der Europäischen Union gegenüber US-amerikanischen Unternehmen neue Rechte ein (z.B. das Recht auf Auskunft, das Recht auf Berichtigung, das Recht auf Löschung unrichtiger oder unrechtmäßig verarbeiteter personenbezogener Daten). Weiterhin bestehen verschiedene Rechtsbehelfe sowie unabhängige Streitbeilegungsmechanismen und ein Schlichtungsgremium. Die US-amerikanischen Unternehmen können ihre Teilnahme am EU-U.S. Data Privacy Framework zertifizieren lassen, indem diese sich verpflichten, verschiedene datenschutzrechtliche Anforderungen (z.B. Zweckbindung, Datenminimierung) einzuhalten. Die Zertifizierungsanträge werden durch das US-Handelsministerium bearbeitet. Dieses überwacht ebenfalls, ob die teilnehmenden Unternehmen die Zertifizierungsanforderungen weiterhin erfüllen.

Welche Beschränkungen gelten nun hinsichtlich US-amerikanischer Ermittlungsbehörden?

Bezugnehmend  auf die Exekutivverordnung über die Verbesserung der Garantien für US-Signalspionagetätigkeiten (Executive Order (EO) 14086) führt die Europäische Kommission im Rahmen ihrer Presseerklärung folgende Punkte an:

• Verbindliche Garantien, die den Zugriff auf Daten durch US-Nachrichtendienste auf das beschränken, was zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig ist;

• eine verstärkte Aufsicht über die Aktivitäten der US-Geheimdienste, um die Einhaltung der Beschränkungen von Überwachungsmaßnahmen zu gewährleisten; und

• die Einrichtung eines unabhängigen und unparteiischen Rechtsbehelfsmechanismus, zu dem auch ein neues Datenschutzprüfungsgericht gehört, das Beschwerden über den Zugriff der nationalen Sicherheitsbehörden der USA auf ihre Daten untersucht und entscheidet.

Für welchen Zeitraum gilt der Angemessenheitsbeschluss?

Der Angemessenheitsbeschluss trat mit seiner Annahme am 10. Juli 2023 in Kraft und gilt zunächst unbefristet. Zu beachten ist jedoch, dass es zunächst einer Zertifizierung teilnehmender Unternehmen unter dem EU-U.S. Data Privacy Framework bedarf, bevor Datenübermittlungen auf Grundlage des Angemessenheitsbeschlusses rechtssicher erfolgen können.

Kritik an dem neuen Angemessenheitsbeschluss äußerte bereits Max Schrems sowie die von ihm gegründete NGO „noyb“. Nachdem Schrems vor dem Europäischen Gerichtshof bereits das Kippen der beiden vorhergehenden Angemessenheitsbeschlüsse („Safe Harbor„, „Privacy Shield„) erreichte, scheint es nur eine Frage der Zeit zu sein, bevor der Europäische Gerichtshof auch über das EU-U.S. Data Privacy Framework entscheiden müssen wird.

Update 13. Juli 2023:

Die International Trade Administration (ITA), eine Behörde des Handelsministeriums der Vereinigten Staaten, weist auf ihrer Internetseite darauf hin, dass die Unternehmen, welche bereits unter dem EU-U.S.-Privacy Shield zertifiziert waren, keine gesonderte Zertifizierung nach dem EU-U.S. Data Privacy Framework benötigen. Konkret heißt es:

„The EU-U.S. DPF Principles entered into effect as of the same date. U.S. based organizations that self-certified their commitment to comply with the EU-U.S. Privacy Shield Framework Principles must comply with the EU-U.S. DPF Principles, including by updating their privacy policies by October 10, 2023. Those organizations do not need to make a separate, initial self-certification submission to participate in the EU-U.S. DPF and may begin relying immediately on the EU-U.S. DPF adequacy decision to receive personal data transfers from the European Union / European Economic Area.“

Weiterhin wird durch die ITA am 17. Juli 2023 die offizielle Internetseite zum Data Privacy Framework veröffentlicht.

UPDATE 17. JUli 2023:

Die offizielle Internetseite zum Data Privacy Framework wurde heute veröffentlicht. Von nun an können Datenübermittlungen in die USA auf Grundlage des Angemessenheitsbeschlusses gestützt werden, sofern der Empfänger nachprüfbar unter dem Data Privacy Framework zertifziert ist. Die bestehenden Zertifizierungen können auf der Internetseite unter dem Menüpunkt „Data Privacy Framework List“ eingesehen werden.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

JANUAR 2021

Das Jahr begann für viele Datenschützer mit Fragen rund um die Datenübermittlung in das Vereinigte Königreich. Wir haben dazu noch im Jahr 2020 berichtet. Die Datenschutzkonferenz (DSK) hatte kurz vor dem Jahreswechsel in einer Pressemitteilung veröffentlicht, dass Übermittlungen personenbezogener Daten von der EU in das Vereinigte Königreich Großbritannien und Nordirland für eine Übergangsperiode nicht als Übermittlungen in ein Drittland (Art. 44 DS-GVO) angesehen werden. Die Rechtslage entspannte sich ein wenig, als die Europäische Kommission zwei Angemessenheitsbeschlüsse für das Vereinigte Königreich angenommen hat. Diese Angemessenheitsbeschlüsse für das Vereinigte Königreich bieten für die Übermittlung personenbezogener Daten für verantwortliche Stellen (zunächst) Rechtssicherheit.

Am 8. Januar 2021 erklärte die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen in einer Pressemitteilung, dass eine Geldbuße über 10,4 Millionen Euro gegenüber der notebooksbilliger.de AG ausgesprochen wurde. Das Unternehmen hatte über mindestens zwei Jahre seine Beschäftigten per Video überwacht, ohne dass dafür eine Rechtsgrundlage vorlag. Die unzulässigen Kameras erfassten unter anderem Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche. Im gegenständlichen Fall war die Videoüberwachung aber auf einen bestimmten Zeitraum noch auf konkrete Beschäftigte beschränkt. Hinzu kam, dass die Aufzeichnungen in vielen Fällen 60 Tage gespeichert wurden.

FEBRUAR 2021

In einer Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg wird bekannt gegeben, dass das das Prüfverfahren beim VfB Stuttgart 1893 e.V. und der VfB Stuttgart 1893 AG abgeschlossen sei und ein Bußgeldverfahren eröffnet werde. Geprüft wurden die Datenverarbeitungen in Verein und AG rund um die Mitgliederversammlung zur Entscheidung über die Ausgliederung der Profifußballabteilung im Jahr 2017, sowie einzelne Datentransfers an einen externen Dienstleister der VfB Stuttgart 1893 AG im Jahr 2018 und Fragen zur aktuellen Umsetzung der geltenden Rechtslage unter der DS-GVO.

Am 18. Februar 2021 hat das Landgericht Berlin das Bußgeldverfahren der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) gegen die Deutsche Wohnen SE eingestellt. Am 30.09.2019 hatte die BlnBDI gegen die Deutsche Wohnen SE einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro wegen Verstößen gegen die DS-GVO festgesetzt. Mitteilungen seitens des Landgericht Berlin gegenüber den Medien zufolge leidet der Bescheid unter gravierenden Mängeln, da ein Verfahrenshindernis vorliegt, genauer gesagt, weil Angaben zur konkreten Tathandlungen von Leitungspersonen oder gesetzlichen Vertretern fehlen. Das Landgericht folgte in seiner Entscheidung damit einer anderen Rechtsauffassung hinsichtlich der Auslegung des deutschen Ordnungswidrigkeitenrechts als die deutschen Datenschutz-Aufsichtsbehörden vertreten. In einer späteren Pressemitteilung der BlnBDI wurde bekannt, dass die Staatsanwaltschaft Berlin Rechtsmittel gegen den Beschluss des Landgerichts Berlin eingelegt hat.

MÄRZ 2021

Anfang März überschlugen sich die Meldungen zu Sicherheitslücken bei Microsoft Exchange-Mail-Servern. Mit der Pressemitteilung vom 5. März 2021 warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) über kritische Schachstellen, die bei den auch in Deutschland sehr weit verbreiteten Exchange-Servern auftraten und somit über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert sind. Das BSI empfiehlt in dieser Mitteilung allen Betreibern von betroffenen Exchange-Servern, sofort die von Microsoft bereitgestellten Patches einzuspielen. Anfällige Exchange-Systeme sollten aufgrund des sehr hohen Angriffsrisikos dringend auf entsprechende Auffälligkeiten geprüft werden.

Datenschutzrechtlich Relevanz entfaltet dieser Vorfall insbesondere im Zusammenhang mit der Auslegung und Anwendung von Art. 33 DS-GVO und der in diesem Rahmen möglichen Meldepflicht von IT-Sicherheitsvorfällen. Die sogenannte Hafnium-Sicherheitslücke betreffend äußerten sich auch die deutschen Datenschutz-Aufsichtsbehörden zum Teil sehr unterschiedlich. Das Bayrische Landesamt für Datenschutzaufsicht und der Bayrische Landesbeauftragte für den Datenschutz gingen in einer gemeinsamen Praxishilfe vom Vorliegen einer Meldepflicht gemäß Art. 33 Abs. 1 DS-GVO nicht nur in den Fällen einer Kompromittierung, sondern auch beim verspäteten Einspielen der Sicherheitsupdates aus.  Hingegen vertrat die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LdI NRW) in einer Mitteilung die Ansicht, dass nach intensiver Untersuchung der Systeme keine Hinweise für einen Datenabfluss und eine Manipulation von personenbezogenen Daten vorliegen und keine besonders sensiblen personenbezogenen Daten in den betroffenen Systemen verarbeitet worden sein, zumeist ein eher geringes Risiko für die Rechte und Freiheiten natürlicher Personen vorliegt. In diesen Fällen nahm die LdI NRW eine Dokumentationspflicht gemäß Art. 33 Abs. 5 DS-GVO an. Eine Übersicht über die Äußerungen der Aufsichtsbehörden findet sich hier. Die vielen unterschiedlichen Ansichten sorgten für extreme Rechtsunsicherheit bei verantwortlichen Stellen und Auftragsverarbeitern. Die Hafnium-Sicherheitslücke zum Anlass genommen hat eine Unterarbeitsgruppe des AK Datenschutzes der Bitkom einen entsprechenden Leitfaden zur Auslegung der Art. 33 und Art. 34 DS-GVO veröffentlicht. Erforderlich ist bei der Behandlung von IT-Sicherheitsvorfällen im Rahmen der Art. 33 und Art. 34 DS-GVO stets eine exakte Betrachtung und Bewertung des Vorliegens einer Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DS-GVO.

Mittlerweile waren auch Kontakt-Nachverfolgungs-Apps auf den Plan vieler Datenschützer getreten. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg veröffentlicht die Stellungnahme vom 2. März 2021 zur „Luca-App“. Die DSK veröffentlicht zu dieser Thematik am 26. März 2021 eine Stellungnahme zur Kontaktnachverfolgung in Zeiten der Corona-Pandemie. Dabei weißt weist sie ausdrücklich darauf hin, dass digitale Verfahren zur Verarbeitung von Kontakt- und Anwesenheitsdaten datenschutzkonform betrieben werden müssen. Eine digitale Erhebung und Speicherung kann bei entsprechender technischer Ausgestaltung durch eine geeignete dem Stand der Technik entsprechende Verschlüsselung inklusive eines geeigneten sicheren Schlüsselmanagements einen im Vergleich mit Papierformularen besseren Schutz der Kontaktdaten vor unbefugter Kenntnisnahme und Missbrauch gewährleisten.

APRIL 2021

Im April nahmen langsam die Diskussionen rund um das Thema Durchführung von Online-Prüfungen wieder zu. So äußerte sich wiederrum der Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg in einer Pressemitteilung: Online-Prüfungen sollen dazu dienen, Wissen und Fähigkeiten der Studierenden abzufragen und diese nicht übermäßig zu überwachen. Digitale Formate zur Kontrolle von Prüfungen – Online-Proctoring – können massiv in die Rechte von Studierenden eingreifen. Beim Online-Proctoring werden Studierende mitunter aufgefordert, die Webcam und das Mikrofon am Gerät dauerhaft während der Prüfung einzuschalten und sicherzustellen, dass keine unerlaubten Hilfsmittel und niemand anderes im Privatraum des Studierenden sind. Zur Unterbindung von Täuschungshandlungen dürfen die Kamera- und Mikrofonfunktion nur aktiviert werden, soweit dies für das Prüfungsformat zwingend erforderlich ist. Eine darüberhinausgehende Raumüberwachung darf nicht stattfinden. Die Videoaufsicht ist im Übrigen so einzurichten, dass der Persönlichkeitsschutz und die Privatsphäre der Betroffenen „nicht mehr als zu berechtigten Kontrollzwecken erforderlich“ eingeschränkt werden.

Weiter geht es in den kommenden Wochen mit den Monaten Mai bis August 2021 sowie September bis Dezember 2021, dann unter anderem mit den Themen TTDSG, Diskussionen rund um die Erhebung von Immunisierungs- und Testdaten von Beschäftigten, dem Urteil des BGH zu Art. 15 DS-GVO, den neuen Standarddatenschutzklauseln und einem Ausblick auf den Wechsel an der Spitze im Haus der sächsischen Datenschutz-Aufsichtsbehörde.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

ÜBERMITTLUNGEN PERSONENBEZOGENER DATEN AN DRITTLÄNDER ODER INTERNATIONALE ORGANISATIONEN

Nach Kapitel V der Datenschutz-Grundverordnung (DS-GVO) hinsichtlich der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen bedarf es für eine solche zusätzlich zu einer einschlägigen Übermittlungsgrundlage ebenfalls der Erfüllung der Bedingungen der Artt. 44 ff. DS-GVO. Hierdurch soll gemäß Art. 44 Satz 2 DS-GVO auch bei einer Verarbeitung in Drittländern und durch internationale Organisationen eine Sicherstellung des durch die Verordnung gewährleisteten Schutzniveaus erreicht werden.

Neben einem Angemessenheitsbeschluss der Europäischen Kommission im Sinne des Art. 45 Abs. 3 DS-GVO kann eine Übermittlung personenbezogener Daten in diesem Zusammenhang ebenfalls auf geeignete Garantien nach Art. 46 DS-GVO gestützt werden. Hierzu zählen insbesondere die sogenannten Binding Corporate Rules (BCR), Standarddatenschutzklauseln der Europäischen Kommission oder einer Aufsichtsbehörde, genehmigte Verhaltensregeln oder einzeln ausgehandelte und durch die zuständige Aufsichtsbehörde genehmigte Vertragsklauseln, die zwischen den Vertragsparteien vereinbart wurden. Weiterhin kann eine derartige Übermittlung personenbezogener Daten ebenfalls auf eine ausdrückliche Einwilligung der betroffenen Person, nachdem sie über die bestehenden Risiken einer solchen Datenübermittlung aufgeklärt wurde, auf Grundlage eines Vertrages sowie auf die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen gestützt werden, sofern eine Übermittlung hierfür zwingend erforderlich ist.

DATENÜBERMITTLUNG AUF GRUNDLAGE EINES ANGEMESSENHEITSBESCHLUSSES

Die Europäische Kommission kann auf Grundlage des Art. 45 DS-GVO einen Beschluss treffen, nach welchem für ein Drittland oder eine internationale Organisation ein angemessenes Schutzniveau festgestellt wird. Gemäß Art. 45 Abs. 2 DS-GVO hat die Kommission hierbei folgende Kriterien zu berücksichtigen:

– Die Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten, einschlägige Rechtsvorschriften, auch in Bezug auf die öffentliche Sicherheit, Verteidigung, nationale Sicherheit und Strafrecht sowie der Zugang der Behörden zu personenbezogenen Daten, die Anwendung dieser und datenschutzrechtlicher Vorschriften sowie die Möglichkeit zur Durchsetzung von Rechten der betroffenen Person und die Wirksamkeit der verwaltungsrechtlichen und gerichtlichen Rechtsbehelfe;

– Die Existenz und wirksame Funktionsweise unabhängiger Aufsichtsbehörden für die Einhaltung und Durchsetzung datenschutzrechtlicher Vorschriften, einschließlich angemessener Durchsetzungsbefugnisse sowie für die Unterstützung und Beratung von betroffenen Personen bei der Ausübung ihrer Rechte und für die Zusammenarbeit mit Aufsichtsbehörden anderer Mitgliedstaaten;

– Die eingegangenen internationalen Verpflichtungen, die sich aus rechtsverbindlichen Übereinkünften oder Instrumenten sowie aus der Teilnahme an multilateralen oder regionalen Systemen insbesondere in Bezug auf den Schutz personenbezogener Daten ergeben.

Sofern die Kommission unter Berücksichtigung der aufgeführten Kriterien eine Angemessenheit des Datenschutzniveaus feststellt, übernimmt diese die Aufgabe der regelmäßigen Überwachung, im Rahmen derer stets die aktuellen Entwicklungen innerhalb des Drittlandes oder der internationalen Organisation berücksichtigt werden.

Zum gegenwärtigen Zeitpunkt verfügen folgende Länder und Gebiete über einen Angemessenheitsbeschluss der Europäischen Kommission: Andorra, Argentinien, Färöer-Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Kanada (beschränkt auf Datenübermittlungen an „commercial organisations“), Neuseeland, Schweiz, Uruguay und das Vereinigte Königreich. Weiterhin ist ein Angemessenheitsbeschluss für das Land Südkorea absehbar.

In die zuvor genannten Länder kann eine Übermittlung personenbezogener Daten auf Grundlage des Angemessenheitsbeschlusses erfolgen. Es bedarf sodann – neben der Beachtung der sonstigen datenschutzrechtlichen Vorschriften – keiner weiteren besonderen Vorkehrungen.

HINTERGRÜNDE ZU DEN ANGEMESSENHEITSBESCHLÜSSEN FÜR DAS VEREINIGTE KÖNIGREICH

Für das Vereinigte Königreich liegen nunmehr zwei Angemessenheitsbeschlüsse vor: Zum einen im Anwendungsbereich der DS-GVO und zum anderen im Rahmen der Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im Rahmen der Strafverfolgung. Ausdrücklich vom sachlichen Geltungsbereich der Angemessenheitsbeschlüsse ausgenommen sind jedoch Datenübermittlungen im Zusammenhang mit der Einwanderungskontrolle des Vereinigten Königreichs.

Insgesamt liegen den Angemessenheitsbeschlüssen der Europäischen Kommission folgende Erwägungen zugrunde:

– Die datenschutzrechtlichen Regelungen haben sich seit Austritt des Vereinigten Königreichs aus der Europäischen Union nicht verändert. Die bisherig durch die DS-GVO auferlegten Grundsätze sowie Rechte und Pflichten wurden in das nationale Recht übernommen.

– Hinsichtlich des möglichen Zugriffs auf personenbezogene Daten durch Ermittlungsbehörden sieht das Rechtssystem des Vereinigten Königreichs geeignete Garantien vor. So müssen Datenverarbeitungen durch Nachrichtendienste stets erforderlich sowie verhältnismäßig sein und bedürfen der vorherigen Genehmigung durch ein unabhängiges Rechtsorgan. Weiterhin stehen betroffenen Personen gerichtliche Rechtsbehelfe zur Verfügung. Zudem unterliegt das Vereinigte Königreich auch zukünftig einer Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte, der Europäischen Menschenrechtskonvention sowie dem Übereinkommen des Europarates zum Schutz des Menschen bei der automatisierten Verarbeitung personenbezogener Daten.

– Die Geltungsdauer der Angemessenheitsbeschlüsse ist erstmalig per Klausel zeitlich beschränkt. Die Beschlüsse laufen grundsätzlich nach einer Geltungsdauer von vier Jahren ab. Soweit das Datenschutzniveau nach Ablauf der vier Jahren weiterhin dem der DS-GVO entspricht, ist der Annahmeprozess erneut zu durchlaufen.

FAZIT

Die Angemessenheitsbeschlüsse für das Vereinigte Königreich bieten für die Übermittlung personenbezogener Daten für verantwortliche Stellen (zunächst) Rechtssicherheit. Insbesondere mit Blick auf das „Schrems II“-Urteil des Europäischen Gerichtshofes (EuGH) und die entsprechenden Auswirkungen auf Datenübermittlungen in die USA werden jedoch die weiteren rechtlichen Entwicklungen und Rechtsprechungen des EuGH abzuwarten sein. Erst im Oktober des vergangenen Jahres befand dieser die weitreichenden Datenverarbeitungsbefugnisse von Ermittlungsbehörden des Vereinigten Königreiches für unzulässig. Möglicherweise ereilt den Angemessenheitsbeschlüssen somit in nicht allzu ferner Zukunft ein ähnliches Schicksal wie dem EU-US-Privacy Shield.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.