Übermittlung personenbezogener Daten in die USA: Fortschrittsbericht

Legal Watch Nr. 55 – Januar 2023

Übermittlung personenbezogener Daten in die USA: FortschrittsberichtDie Rechtsunsicherheit, die derzeit den Datenaustausch zwischen Europa und den USA belastet, wirkt sich auf so konkrete Bereiche aus wie den Kampf gegen die Wohnungsnot in Frankreich oder die Nutzung von Online-Bibliotheken in Finnland.

Das Unternehmen Abritel hat sich geweigert, seine Mietdaten an die Stadt Paris weiterzugeben, da diese für diese Erhebung einen Dienstleister nutzt, der die Daten in die USA überträgt.

Das Pariser Gericht entschied in seinem Urteil vom 30. November 2022 zugunsten von Abritel.

Im vergangenen Dezember stellte die finnische Datenschutzbehörde fest, dass vier Städte unter anderem mithilfe von Google Analytics und Google Tag Manager über die Online-Dienste ihrer öffentlichen Bibliotheken illegal personenbezogene Daten in die USA übertragen hatten.

Die Komplexität der heutigen Transfers ist hauptsächlich eine Folge der Urteile „Schrems I“ und „Schrems II“ des Gerichtshofs der Europäischen Union vom Oktober 2015 bzw. Juli 2020.

Diese Urteile erklärten aufeinanderfolgende Abkommen zwischen der EU und den Vereinigten Staaten unter den Namen „Safe Harbor-Grundsätze“ und „Privacy Shield“ für ungültig.

In seinem Urteil aus dem Jahr 2020 stellte der Gerichtshof fest, dass der Privacy Shield zwar grundsätzlich ein Schutzniveau bietet, das im Wesentlichen dem der Europäischen Union entspricht, in der Praxis jedoch durch konkrete Anforderungen im Zusammenhang mit der nationalen Sicherheit, dem öffentlichen Interesse und der Einhaltung des US-Rechts unwirksam gemacht wird.

Es stellte fest, dass der Umfang der Überwachungsbefugnisse der US-Behörden im Vergleich zum europäischen Recht übermäßig sei und dass das Recht von Nicht-US-Bürgern, vor unabhängigen Gerichten Berufung einzulegen, nicht gewährleistet sei.

Seit der Veröffentlichung dieser Entscheidung müssen für die Datenverarbeitung Verantwortliche, die der DSGVO unterliegen, vor jeder Übermittlung in die USA besondere Vorkehrungen treffen.

Die Verwendung von Vertragsklauseln zur Gewährleistung des Datenschutzes bleibt weiterhin möglich, sofern spezifische Prüfungen hinsichtlich des Inhalts der Klauseln, des Kontexts der Übermittlung und der im Drittland geltenden Rechtsvorschriften (insbesondere im Hinblick auf die nationale Sicherheit) durchgeführt werden.

Wenn besondere Risiken bestehen, muss der Verantwortliche zusätzliche Maßnahmen ergreifen.

Im vergangenen Jahr hat die Kommission modernisierte „Standardvertragsklauseln“ verabschiedet, um deren Anwendung zu erleichtern, und praktische Ratschläge für Unternehmen veröffentlicht.

Auch der Europäische Datenschutzausschuss hat in seinen Empfehlungen vom 18. Juni 2021 erläutert, welche Prüfungen im Rahmen einer Transfer-Auswirkungsanalyse durchzuführen sind.

Allerdings können solche Anforderungen schwierig umzusetzen sein, wenn der Empfänger der Daten eine beherrschende Stellung innehat.

Eine einfachere Lösung besteht in solchen Fällen darin, Datenverarbeitungslösungen mit Sitz in der Europäischen Union zu nutzen.

Am 13. Dezember veröffentlichte die Europäische Kommission nach monatelangen Verhandlungen mit den Vereinigten Staaten ihren lange erwarteten Entwurf einer Angemessenheitsentscheidung zum Datenschutzniveau auf beiden Seiten des Atlantiks.

Zu den Rechten, die den EU-Bürgern im Rahmen des neuen Rechtsrahmens zustehen, zählt die Europäische Kommission unter anderem die Garantie von Rechtsbehelfen, darunter den freien Zugang zu unabhängigen Streitbeilegungsmechanismen und einem Schiedsgericht.

Darüber hinaus werden darin zahlreiche Beschränkungen und Sicherheitsvorkehrungen hinsichtlich des Zugriffs auf Daten durch US-Behörden genannt, insbesondere für Zwecke der Strafverfolgung und der nationalen Sicherheit.

Diese Garantien ergeben sich aus neuen Regeln, die durch ein US-Dekret vom 7. Oktober 2022 eingeführt wurden und die auf die Fragen antworten würden, die der Gerichtshof der EU im Urteil Schrems II aufgeworfen hat.

Bevor eine endgültige Entscheidung getroffen werden kann, muss der Entwurf vom Europäischen Datenschutzausschuss (EDSA) geprüft werden.

Diese Überprüfung könnte innerhalb von etwa zwei Monaten zu einer Entscheidung führen.

Der Beschlussentwurf muss anschließend vom Ausschuss der Vertreter der EU-Mitgliedstaaten genehmigt werden.

Auch das Europäische Parlament hat ein Recht, Angemessenheitsbeschlüsse zu überprüfen.

Wird die endgültige Entscheidung, die im nächsten Frühjahr erwartet wird, die erhofften Garantien in Sachen Datenschutz bieten, wo frühere Vereinbarungen gescheitert sind?

Der Europäische Datenschutzbeauftragte (EDSB) äußerte sich kürzlich optimistisch zu dem Projekt: „Das ist anders als das, was wir bei Safe Harbor gesehen haben. Das ist nicht das, was wir bei Privacy Shield gesehen haben. Das ist etwas Neues und sehr vielversprechend.“

Max Schrems wiederum hat bereits angekündigt, dass er bereit sei, eine dritte Klage einzureichen, sollte der Text die Grundrechte der Europäer nicht wirksam schützen.

Und auch

Frankreich:

Das Startup Lusha, dem vorgeworfen wird, die beruflichen Telefonnummern und E-Mail-Adressen von 1,5 Millionen Franzosen abgezweigt zu haben, unterliegt laut dem für die Verhängung von Sanktionen zuständigen Ausschuss der CNIL nicht der DSGVO.

Im Mittelpunkt der Debatte stand die Auslegung von Artikel 3 Absatz 2 Buchstabe b der Verordnung, der die Anwendung europäischen Rechts auf Unternehmen ohne Sitz in der EU vorsieht, wenn diese eine „Überwachung des Verhaltens“ betroffener Personen durchführen: In ihrer Stellungnahme vom 20. Dezember 2022 distanzierte sich die CNIL von den Schlussfolgerungen ihres Berichterstatters und erklärte: „Die Online-Erhebung oder -Analyse personenbezogener Daten von Einzelpersonen in der Union würde nicht automatisch als ‚Überwachung‘ betrachtet werden“, sondern ist der Ansicht, dass der Zweck der Datenverarbeitung und insbesondere etwaige nachfolgende Techniken zur Verhaltensanalyse oder Profilerstellung unter Verwendung dieser Daten berücksichtigt werden müssen.

Am 29. Dezember verhängte die CNIL eine Geldstrafe von 5.000.000 € gegen TikTok. zum Einpflanzen von Werbekennungen in die Geräte der Benutzer ohne deren vorherige Zustimmung.

Auch das Cookie-Banner von TikTok wurde als nicht ausreichend informativ eingestuft.

Am selben Tag sanktionierte sie auch die Firma VOODOO, ein Herausgeber von Smartphone-Spielen, wurde mit einer Geldstrafe von 3 Millionen Euro belegt, weil er ohne Zustimmung der Nutzer eine hauptsächlich technische Kennung für Werbung verwendet hatte.

Entgegen dem aktuellen Trend beschloss der Stadtrat von Montpellier am 16. Dezember am Ende einer Präsentation zum Thema Gesichtserkennung im Kontext von Videoüberwachung und öffentlichen Freiheiten, die „Verwendung automatisierter Bildanalyseverarbeitung auf der Grundlage personenbezogener oder individueller Daten“ in seinem öffentlichen Raum zu verbieten.

Der Gesetzentwurf zum Einsatz künstlicher Intelligenz im Rahmen der Olympischen Spiele 2024 wurde am 24. Januar vom Senat verabschiedet.

Die CNIL hatte zu diesem Text Anmerkungen abgegeben und dabei festgestellt, dass mehrere Maßnahmen mit ihren Empfehlungen im Einklang stünden: ein zeitlich und räumlich begrenzter experimenteller Einsatz für bestimmte Zwecke und mit erheblichen Risiken für Einzelpersonen, das Fehlen der Verarbeitung biometrischer Daten und des Abgleichs mit anderen Dateien sowie Entscheidungen, die einem vorherigen menschlichen Eingriff unterliegen.

Die CNIL betonte außerdem den einschneidenden Charakter der Bestimmungen zur Verarbeitung genetischer Daten für Anti-Doping-Analysen.

Europa:

Nach der Beschwerde des Irish Council for Civil Liberties (ICCL) und der Entscheidung des EU-Bürgerbeauftragten vom 19. Dezember 2022 hat sich die Europäische Kommission verpflichtet, den Umgang der Datenschutzbehörden mit DSGVO-Verstößen im Zusammenhang mit Big Tech zu überprüfen.

Sie misst die für jeden Verfahrensschritt benötigte Zeit und den Fortschritt und führt diese Überprüfung sechsmal im Jahr durch.

Der Europäische Datenschutzausschuss (EDSA) hat eine Arbeitsgruppe eingerichtet, die sich eingehend mit Fragen im Zusammenhang mit Cookies befassen soll..

In einem Berichtsentwurf vom 17. Januar erläutert der EDSA die konkreten Praktiken, die illegal sind, darunter:

• Das Fehlen einer Opt-out-Option auf der Homepage
• Vorab aktivierte Kontrollkästchen
• Links zur Opt-Out-Möglichkeit in Kleinbuchstaben in separatem Text
• Links zur Opt-Out-Möglichkeit außerhalb des Cookie-Banners
• Geltendmachung eines berechtigten Interesses an der Installation nicht unbedingt erforderlicher Cookies
• Das Fehlen einer dauerhaften Möglichkeit zum Widerruf der Einwilligung.

Der EDSA stellt klar, dass diese Schlussfolgerungen eine Mindestschwelle bei der Bewertung von Cookies darstellen.

Sie sollten mit den Anforderungen der ePrivacy-Richtlinie kombiniert und im Lichte der anderen Arbeiten des EDPB zu Dark Patterns gelesen werden.

Der Sonderausschuss des Europäischen Parlaments (PEGA) untersucht den Einsatz von Pegasus und anderer Spyware-Überwachungssoftware setzt seine Arbeit fort und führt Studien, Expertenanhörungen und Informationsbesuche in Israel, Polen und Griechenland durch. Der Empfehlungsentwurf wird dem Parlament am 10. Juni vorgelegt.

Die NGO EDRi organisierte am 25. Januar ihre Jahreskonferenz, das Privacy Camp. die Verteidiger digitaler Rechte, Aktivisten, Akademiker und politische Entscheidungsträger zu aktuellen Menschenrechtsfragen zusammenbringt.

Die Präsentationen sind online über die Veranstaltungswebsite verfügbar.

In einem wichtigen Urteil vom 12. Januar 2023 (Rechtssache C-154/21) bestätigte der Gerichtshof der Europäischen Union, dass der für die Verarbeitung Verantwortliche verpflichtet ist, jeder Person, die dies verlangt, die Liste der genaue Empfänger ihrer personenbezogenen Daten, wenn diese an Dritte weitergegeben werden, und nicht nur an Kategorien von Empfängern.

Der EuGH präzisiert in einem weiteren Urteil vom 12. Januar (Rechtssache C-132/21), dass Die in der DSGVO vorgesehenen administrativen und zivilrechtlichen Rechtsbehelfe können gleichzeitig und unabhängig voneinander ausgeübt werden. voneinander.

Somit können parallele Beschwerdeverfahren vor Datenschutzbehörden und Gerichtsverfahren zum gleichen Thema eingeleitet werden.

Es obliegt den Mitgliedstaaten, sicherzustellen, dass die parallele Ausübung dieser Rechtsbehelfe die kohärente und einheitliche Anwendung der Verordnung nicht beeinträchtigt.

Der britische Gesetzentwurf zur Online-Sicherheit wird derzeit im Parlament debattiert.

Der Text, der dem Schutz von Kindern dient, identifiziert riskante Inhalte, insbesondere selbstverletzende Inhalte, „Deep Fakes“ und die Weitergabe intimer Bilder ohne Zustimmung, die als neue Straftatbestände definiert werden.

Kritiker weisen auf den Mangel an Definitionen und Präzision im Text hin, der übermäßige Löschungen von Inhalten und die Einrichtung einer umfassenden Überwachung ermöglichen würde.

Die Website „Enforcementtracker“ präsentiert eine Bestandsaufnahme der von den Aufsichtsbehörden in Anwendung der DSGVO verhängten Geldbußen: Das Jahr 2022 endete mit einer Gesamtsumme von über 830 Millionen Euro für 448 Strafen, verglichen mit 1,3 Milliarden Euro im Jahr 2021.

Wenig überraschend liegt Irland, Heimatland der größten Technologieunternehmen, mit über 80.000 Bußgeldern an der Spitze.

Die irische Datenschutzbehörde verhängte am Donnerstag, dem 19. Januar, eine Geldstrafe von 5,5 Millionen Euro gegen WhatsApp, zusätzlich zu ähnlichen Entscheidungen gegen Facebook und Instagram.

Die von WhatsApp verwendete Rechtsgrundlage zur Verarbeitung personenbezogener Daten (Dienstverbesserung und Sicherheit) verstößt gegen europäisches Recht.

Diese Entscheidung wurde von der Zivilgesellschaft kritisiert. Sie weist darauf hin, dass die irische Behörde trotz der am 24. Januar veröffentlichten Entscheidung des EDPB die zentrale Frage der Verwendung von Daten für verhaltensbasierte Werbung, Marketing, die Bereitstellung von Messdaten an Dritte und den Datenaustausch mit verbundenen Unternehmen nicht behandelt habe.

Norwegische ODA stellte fest, dass ein Kurier- und Logistikunternehmen aufgrund einer unzureichenden Risikobewertung und des Fehlens geeigneter Sicherheitsmaßnahmen gegen Artikel 32 der DSGVO verstoßen hatte.

Die Anwendung verwendete Telefonnummern als einziges Authentifizierungsmittel für den Zugriff auf das Kundenprofil.

Spanische Autorität war der Ansicht, dass sich die Nationale Kommission gegen Gewalt, Rassismus, Fremdenfeindlichkeit und Intoleranz im Sport nicht auf die Ausnahme des öffentlichen Interesses gemäß Artikel 9 Absatz 2 Buchstabe g der DSGVO berufen könne, um die biometrischen Daten von Fußballfans beim Betreten der Stadien zu verarbeiten.

Italienische ODA verhängte gegen einen Sportverein eine Geldstrafe von 20.000 Euro, weil dieser illegal ein Fingerabdrucksystem zur Erfassung der Anwesenheit seiner Mitarbeiter am Arbeitsplatz verwendete.

Außerdem wurde dem Energieversorger Areti eine Geldstrafe von einer Million Euro auferlegt, weil dieser einige seiner Kunden fälschlicherweise als Betrüger bezeichnet und sie so daran gehindert hatte, den Energieversorger zu wechseln.

Estnische ODA war der Ansicht, dass der Einsatz von CCTV-Kameras zur Überwachung von Mitarbeitern nicht auf einer Einwilligung, sondern nur auf einem berechtigten Interesse im Sinne von Artikel 6 Absatz 1 Buchstabe f der DSGVO beruhen könne, sofern eine gültige Abwägung dieses Interesses durchgeführt worden sei.

Internationales

„Privacy by Design“ wird internationaler Standard: Am 8. Februar wird die Internationale Organisation für Normung (ISO) den Standard ISO 31700 verabschieden.

Dazu gehören 30 Anforderungen und Leitlinien zu den Grundsätzen des Datenschutzes durch Technikgestaltung.

VEREINIGTE STAATEN: Neben der Entwicklung technischer Standards (NIST Risk Management Framework) im Bereich der KI-Politik hat das Weiße Haus einen Entwurf für eine KI-Bill of Rights veröffentlicht.

Auch mehrere US-Bundesstaaten arbeiten an entsprechenden Gesetzen.

Präsident Biden wiederholte diese Empfehlungen kürzlich in einer Kolumne für das Wall Street Journal und hob darin die Bemühungen seiner Regierung hervor, algorithmische Diskriminierung zu bekämpfen, algorithmische Transparenz zu fördern und Gesetze zur KI-Governance umzusetzen.

Auch im Bereich der KI ist die Am 27. Januar unterzeichneten die Europäische Kommission und die US-Regierung ein „Verwaltungsabkommen über künstliche Intelligenz zum Wohle der Öffentlichkeit“.

Das Abkommen wurde im Rahmen des Handels- und Technologierats (TTC) zwischen der EU und den USA unterzeichnet.

Microsoft gab Mitte Dezember auf seinem Blog bekannt, dass es die Speicherung der Daten seiner europäischen Kunden innerhalb der Europäischen Union verlagern werde.

Dieses Programm löst jedoch nicht alle Probleme im Zusammenhang mit dem Zugriff der Vereinigten Staaten auf europäische Daten.

Der Cloud Act ermöglicht es US-amerikanischen Strafverfolgungsbehörden, auf Daten von US-amerikanischen Cloud-Dienstleistern zuzugreifen, unabhängig davon, wo die Daten gespeichert sind und ohne dass ein Verfahren im Rahmen der internationalen Rechtshilfe eingeleitet werden muss.

Australien ist seit mehreren Monaten Opfer von Cyberangriffen auf seine Regierungsbehörden und den privaten Sektor.

Das Land vermutet Angriffe russischen und chinesischen Ursprungs, die darauf abzielen, die Institutionen und Unternehmen des Landes lahmzulegen und durch die massive Verbreitung personenbezogener Daten das Leben der Bürger direkt zu beeinträchtigen.

Für manche ist dies ein Vorgeschmack auf das, was die westlichen Länder erwartet. So kam es beispielsweise in mehreren deutschen Bahnsystemen in jüngster Zeit zu merkwürdigen Störungen.

Nach der Ankündigung im vergangenen Märztritt die russische Regierung formell aus der Konvention 108 des Europarats zum Datenschutz zurück sowie alle anderen internationalen Verträge des Europarats.

Nach dieser Ankündigung setzte der Rat seinerseits einen formellen Mechanismus in Gang und kündigte Russlands Mitgliedschaft einseitig.

Anne Christine Lacoste

Anne Christine Lacoste, Partnerin bei Olivier Weber Avocat, ist Anwältin mit Spezialgebiet Datenschutz. Sie war Leiterin für internationale Beziehungen beim Europäischen Datenschutzbeauftragten und arbeitete an der Umsetzung der DSGVO in der Europäischen Union.