Home / Aktuelles & Termine / it.sec blog

Im Kontext des Safe Harbor-Urteils des EuGH vom 06.10.2015 stellten die Aufsichtsbehörden ebenso die Zulässigkeit des alternativen Rechtsinstruments der Standardvertragsklauseln für Datenübermittlungen in die USA in Frage. Da die derzeitige Gesetzeslage in den USA den Sicherheitsbehörden eine grundrechtswidrige Massenüberwachung erlaube, kann der Datenimporteur eben gerade nicht garantieren, dass er seines Wissens keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs und die Einhaltung seiner vertraglichen Pflichten unmöglich machen bzw. sich nachteilig auf die Garantien und Pflichten auswirken, die die Klauseln bieten sollen (vgl. Klausel 5 der Standardvertragsklauseln).

Die Aufsichtsbehörden haben daher gemäß den Beschlüssen der EU-Kommission, die im Annex die Standardvertragsklauseln enthalten, die Möglichkeit, Datenübermittlungen in die USA auf Grundlage von Standardvertragsklauseln per verwaltungsrechtlicher Anordnung zu verbieten (vgl. Art. 4 Abs. 1 lit. a) des Beschlusses 2010/87/EU). Max Schrems hatte die irische Aufsichtsbehörde mittels einer Beschwerde darauf verwiesen.

Daraufhin hatte die Aufsichtsbehörde die rechtliche Prüfung der Wirksamkeit der Standardvertragsklauseln an den irischen High Court weitergeleitet. Dieser legte die Frage zur Gültigkeit der Standardvertragsklauseln als Grundlage für Datenübermittlungen in Drittstaaten dem EuGH zur Entscheidung vor.

Es bleibt abzuwarten, wie das Urteil des EuGHs ausfallen wird. Sollte er entscheiden, dass eine Datenübermittlung nicht rechtssicher auf der Grundlage der Standardvertragsklauseln möglich ist, könnte dies die Beauftragung von Dienstleistern in den USA aufgrund der damit verbundenen Datenübermittlungen erheblich erschweren. Denn bei weitem nicht alle US-Unternehmen sind Privacy Shield-zertifiziert.

Insbesondere, wäre dann zu klären, ob die Klauseln dennoch einbezogen werden können, wenn aus den USA zwar auf Daten zugegriffen wird, die Daten dort selbst aber nicht physisch gespeichert werden, sondern in der EU verbleiben (z.B. bei Fernwartungsdienstleistungen). Ein US-Berufungsgericht urteilte unlängst, dass Unternehmen den amerikanischen Sicherheitsbehörden auf deren Anforderung hin den Zugang zu Servern in der EU verweigern dürfen, und hatte damit die Gesetzeslage in den USA etwas abgemildert.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Die Möglichkeit einer automatischen Weiterleitung von der geschäftlichen auf die private E-Mail-Adresse erscheint als Vereinfachung für den Arbeitnehmer, da er damit alle notwendigen Mails an einem Ort abrufen kann.

Ein solches Vorgehen ist allerdings datenschutzrechtlich äußerst bedenklich. Eine automatische Weiterleitung auf die private E-Mail-Adresse stellt eine Datenübermittlung an Dritte dar, da der Anbieter des privaten Accounts in der Regel nicht auch Teil des Unternehmens des Mitarbeiters ist. Darüber hinaus kann durch eine solche Übertragung auch eine Übermittlung in einen Drittstaat ohne angemessenes Datenschutzniveau stattfinden, weil z.B. die Server des Dritten dort angesiedelt sind.

Eine solche Übermittlung wäre nur mit der Einwilligung der betroffenen Person (also des Absenders) oder mit einer anderen geltenden Rechtsgrundlage zulässig. Beides liegt regelmäßig nicht vor. Daher sollte von einer derartigen Weiterleitung unbedingt abgesehen werden.

Daher sollte der Verantwortliche solche unbefugten Datenübermittelungen verhindern und den Mitarbeitern die Einrichtung und Nutzung einer solchen Weiterleitung nachweislich verbieten. Dies ist insbesondere wichtig, da unbefugte Datenübermittlungen gemäß der Datenschutzgrundverordnung (DSGVO) bußgeldbewehrt sind.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Abbinder Abmahnung Abmahnungen Abo-Falle ADCERT Angemessenheitsbeschluss Angriff Anklage Anwendbarkeit Anwendung Arbeitgeber Arbeitnehmer Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch Backup BAG BayDSG Bayerisches Datenschutzgesetz BDSG-Neu BEAST Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betroffenenrechte BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom Bonitätsprüfung Brexit Browser Bundesarbeitsgericht Bußgeld Bußgelder BVG Cloud CNIL Compliance Cookie Custom Audience Cyber Dashcam Daten Datenlöschung Datenminimierung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung datenschutzkonform Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Deutsche Bahn Dienstleister Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO DSK dynamische IP-Adresse E-Mail e-Privacy-Verordnung eCall-Technologie EES EFAIL Einwilligung Einwilligungserklärung Einwilligungserklärungen Empfänger Entsorgung Erhebung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Parlament EuGH Europäische Union Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis FlugDaG Fluggastdaten Folgenabschätzung Foto Funkmäuse Funktastaturen Geldbörse Gemeinsam Verantwortliche Gericht Gesetz gegen den Unlauteren Wettbewerb Gesundheitsdaten Google Google Analytics hacken Hacker Hash-Verfahren Home Office Immobilienmakler Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights interner Datenschutzbeauftragter Investition IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Sicherheit IT-Systeme Jin-hyok Joint Control Kanada Klagebefugnis Kontaktdaten Kontakte Konzern konzerninterner Datentransfer Kriminalität KUG Kundenbindung Kundenzufriedenheit Kunsturhebergesetz Lazarus Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Löschungsrecht Lösegeld Malware Markennamen Markenrecht Marktortprinzip MD5 Meldepflicht Meldescheine Meldung Meltdown Messenger Microsoft Misch-Account Mitarbeiter Mitbewerber MouseJack-Angriffe NIST Nordkorea Nutzungsbedingungen Öffnungsklauseln One Stop Shop Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Patientendaten Penetrationstest Personalausweiskopien personenbezogene Daten Personenbilder Persönlichkeitsrechte Pflichten Plattformbetreiber PNR-Daten PNR-Instrumente POODLE Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Privatsphäre Profiling Quantencomputer Ransomware reale Infrastruktur Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Regelungsaufträge Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management SamSam Sanktionen Schaden Schadprogramm Seitenbetreiber SHA1 sicher Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Skype Smartphone Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke Spectre Standardvertragsklauseln Strafe Strafverfolgung Supercomputer Risikolage Support Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telefonnummer Telemediendienst Telemediengesetz Telstra Security Report TKG TLS TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe US-Regierung USA UWG Verantwortlicher Verantwortung Vereinbarung Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Virus Vorteile WannaCry Webseite Webseiten Webtracking Webtrecking Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zugangsdaten Zugriff zulässig Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31