News
Belgischer Staatsrat: Drittlandsübermittlung an AWS kann unter gewissen Umständen DSGVO-konform sein
Der belgische Staatsrat, ein außergerichtliches Beratungs- und Rechtsprechungsorgan, das die Exekutive in Belgien überwacht, äußerte sich kürzlich in einem Eilrechtsschutzverfahren in bemerkenswerter Weise zum Thema Drittlandsübermittlungen an den US-amerikanischen Cloud-Dienst Amazon Web Services (AWS).
Der Entscheidung des Staatsrats vorausgegangen war die Zuschlagserteilung einer flämischen Behörde an eine in der EU ansässige Niederlassung eines US-Unternehmens in einem Vergabeverfahren für die Errichtung und den Betrieb eines sog. Mobilitätszentrums. Das Mobilitätszentrum wird aufgrund eines Dekrets der Verwaltungsregion Flandern errichtet, um die flämische Behörde für Mobilität und öffentliche Arbeiten (Flemish Department of Mobility and Public Works - DMOW) bei der Entwicklung einer langfristigen Vision für nachhaltige Mobilität in der flämischen Region und der Überwachung und Umsetzung der regionalen Mobilitätspolitik, einschließlich der Umsetzung des neuen Dekrets zu unterstützen. Für die Ausführung des Vergabeauftrags beabsichtigt das US-Unternehmen, AWS einzusetzen. Dabei sollen die „normalen“ personenbezogenen Daten i. S. d. Art. 4 Nr. 1 DSGVO aller Nutzer der Mobilitätszentrale (u. a. Adresse, Uhrzeit, Identifikationsdaten, Benutzername, Login, Bankdaten für die Abrechnung, usw.) aber auch besondere Kategorien personenbezogener Daten i. S. v. Art. 9 Abs. 1 DSGVO (u. a. körperliche Einschränkungen der Nutzer) in AWS verarbeitet werden.
Ein niederländisches Unternehmen, das für den zu vergebenden Auftrag nicht ausgewählt wurde, griff diese Entscheidung vor dem Staatsrat mit der Begründung an, dass die Bestimmungen der DSGVO u. a. im Hinblick auf die Vorgaben zur Drittlandsübermittlung verletzt wurden, da in den USA kein angemessener Schutz der Daten gewährleistet werden könne. Das niederländische Unternehmen stützte sich insbesondere auf eine Stellungnahme der flämischen Datenschutzkommission („Vlaamse Toezichtcommissie voor de verwerking van persoonsgegevens“), wonach die Nutzung von AWS grundsätzlich nicht mit dem Schrems-II-Urteil und der DSGVO vereinbar sei.
Der Staatsrat entschied dementgegen, dass das Schrems II-Urteil nicht per se mit Blick auf das Datenschutzniveau in den USA Datenübermittlungen aus der EU auf Grundlage der sog. Standardvertragsklauseln (Art. 46 Abs. 2 lit. c) DSGVO) verbiete. Vielmehr sei es Aufgabe des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters, in jedem Einzelfall zu prüfen, ob die Standardvertragsklauseln bei der Übermittlung in ein Drittland eingehalten werden können. Sofern sich bei der Prüfung herausstellen sollte, dass die Standardvertragsklauseln in Anbetracht des Rechts des Bestimmungslandes nicht eingehalten werden können, sei es Aufgabe des Verantwortlichen oder des Auftragsverarbeiters, zu prüfen, welche zusätzlichen Schutzmaßnahmen getroffen werden können, um die festgestellten Lücken zu schließen und ein der DSGVO vergleichbares Datenschutzniveau sicherzustellen. Das Gericht verwies in diesem Zusammenhang darauf, dass der Europäische Datenschutzausschuss (EDSA) in seinen Empfehlungen für zusätzliche Schutzmaßnahmen hinsichtlich Drittlandsübermittlungen aber auch die vom Kläger zitierte flämische Datenschutzkommission nicht per se die Verwendung von Verschlüsselung als eine solche zusätzliche Schutzmaßnahme ablehnten und dass diese unter bestimmten Umständen eine angemessene zusätzliche Schutzmaßnahme zu den sog. Standardvertragsklauseln darstellen könne. Ferner wies der Staatsrat in diesem Zusammenhang darauf hin, dass der Verschlüsselungsschlüssel, also der Schlüssel, mit dem die Daten verschlüsselt werden, bevor sie an AWS übermittelt werden, im streitgegenständlichen Fall ausschließlich in den Händen der „flämischen Berufsorganisation“ (wohl also dem Mobilitätszentrum) verbleibe. Zudem hat das US-amerikanische Unternehmen, das den Zuschlag für die Vergabe erhielt, laut dem Urteil eine Reihe von Garantien geboten, was ebenfalls den zusätzlichen Schutzmaßnahmen gemäß dem Schrems II-Urteil des EuGH und den Empfehlungen des EDSA Rechnung trage. In Anbetracht der vorstehenden Gründe erkennt der Staatsrat keine hinreichende Glaubhaftmachung der Verletzung der Art. 44 ff. DSGVO.
Der EDSA führt in seinen vorstehend erwähnten Empfehlungen tatsächlich eine ganze Reihe an beispielhaften Empfehlungen an, die angemessene zusätzliche Schutzmaßnahmen i. S. d. Schrems II-Urteils darstellen können (siehe Empfehlungen für zusätzliche Schutzmaßnahmen hinsichtlich Drittlandsübermittlungen, Rn. 79 ff.). Nach einem vom EDSA angeführten Beispiel kann Verschlüsselung bei Inanspruchnahme eines Hosting-Dienstleisters in einem Drittland unter den folgenden Voraussetzungen eine angemessene zusätzliche Schutzmaßnahme i. S. d. Schrems II-Urteils sein:
Wenn (siehe Empfehlungen für zusätzliche Schutzmaßnahmen hinsichtlich Drittlandsübermittlungen, Rn. 84),
- die personenbezogenen Daten vor der Übertragung mit einer starken Verschlüsselung verarbeitet werden und die Identität des Importeurs überprüft wird,
- der Verschlüsselungsalgorithmus und seine Parametrisierung (z. B. Schlüssellänge, ggf. Betriebsmodus) dem Stand der Technik entsprechen und unter Berücksichtigung der den Behörden im Empfängerland zur Verfügung stehenden Ressourcen und technischen Möglichkeiten (z. B. Rechenleistung für Brute-Force-Angriffe) als robust gegenüber Kryptoanalysen angesehen werden können,
- die Stärke der Verschlüsselung und die Schlüssellänge dem spezifischen Zeitraum Rechnung tragen, in dem die Vertraulichkeit der verschlüsselten personenbezogenen Daten gewahrt bleiben muss,
- der Verschlüsselungsalgorithmus korrekt und durch ordnungsgemäß gewartete Software ohne bekannte Schwachstellen implementiert wird, deren Konformität mit der Spezifikation des gewählten Algorithmus z. B. durch eine Zertifizierung überprüft worden ist,
- die Schlüssel zuverlässig verwaltet werden (Erzeugung, Verwaltung, Speicherung, gegebenenfalls Verknüpfung mit der Identität eines vorgesehenen Empfängers und Widerruf) und
- die Schlüssel ausschließlich unter der Kontrolle des Datenexporteurs oder einer vom Exporteur vertrauenswürdigen Stelle im EWR oder in einer Rechtsordnung aufbewahrt werden, die ein im Wesentlichen gleichwertiges Schutzniveau wie innerhalb des EWR gewährleistet.
Der Staatsrat liegt mit seiner Entscheidung im Eilrechtsschutz bisher ausweislich der Urteilsgründe auf der Linie des EDSA. Ob auch alle der vorstehend genannten Vorgaben im Einzelnen geklärt wurden, muss der Staatsrat wohl im Hauptsacheverfahren klären. Besondere Bedeutung kommt dem vorstehenden Punkt 6 (alleinige Kontrolle des Verschlüsselungsschlüssels durch den Datenexporteur) zu. Diese Option bietet inzwischen nicht nur AWS, sondern z. B. auch der Cloud-Dienst von Microsoft mit dem Namen Azure. Gerade dieser letzte Aspekt (oft auch „bring you own key“ genannt) hat besondere Praxisrelevanz für Unternehmen, die auf Dienste von Unternehmen in den USA zurückgreifen möchten.
News
The Legal 500 Deutschland: Dr. Carlo Piltz als führender Name im Praxisbereich Datenschutz
Wir freuen uns sehr, dass Dr. Carlo Piltz in der neuesten Ausgabe des Handbuchs Legal 500 Deutschland unter den führenden Namen im Bereich Datenschutz vertreten ist.
Belgische Aufsichtsbehörde verhängt Bußgeld gegen IAB Europe wegen Transparency and Consent Framework (TCF)
Die belgische Datenschutzaufsichtsbehörde (APD-GBA) hat heute am 2.2.2022 ein Bußgeld in Höhe von 250.000 Euro gegen IAB Europe (IAB) verhängt. Zudem ordnete die Behörde Maßnahmen an, die zu einer umfassenden Anpassung des Transparency and Consent Framework (TCF) führen sollen.
Hervorzuheben ist dabei, dass die APD-GBA davon ausgeht, dass IAB zusammen mit den Publishern u.a. im Hinblick auf die Einholung der Einwilligung als Joint Controller agiert. Grundsätzlich könnten daher die angenommenen Verstöße auch App- und Webseitenbetreibern zu Last gelegt werden, die aktuell das TCF nutzen.
EDSA veröffentlicht Leitlinien zum Auskunftsrecht nach Art. 15 DSGVO
Der Europäische Datenschutzausschuss (EDSA), das Gremium der europäischen Datenschutzaufsichtsbehörden, hat in seiner Sitzung vom 18. Januar 2022 einen ersten Leitlinienentwurf zu einem der bedeutendsten Betroffenenrechte nach der DSGVO herausgegeben: dem Auskunftsrecht nach Art. 15.
Dieses Recht sorgt in der Praxis oft für Anwendungsunsicherheiten und lässt viel Raum für Interpretationen. Aus diesem Grund erschien es notwendig, dieses 60-seitige Dokument zu veröffentlichen, um für mehr Klarheit und Kohärenz zu sorgen. In dem Dokument widmet sich der EDSA einer Reihe von Themen, von denen einige in der Praxis äußerst umstritten sind.
Zusätzliche Schutzmaßnahmen für EU-Standardvertragsklauseln in der Praxis - Österreichische Datenschutzbehörde gibt eine erste Orientierung
Der Einsatz von Google Analytics steht nicht im Einklang mit der DSGVO. Zu diesem Schluss kam die österreichische Datenschutzbehörde (DSB) aufgrund einer Musterbeschwerde, die der Datenschutzverein "Noyb" (none of your business bzw. Europäisches Zentrum für digitale Rechte) eingereicht hatte. In ihrem Bescheid setzt sich die DSB (leider nicht vertieft) mit den zusätzlichen Schutzmaßnahmen von Google auseinander, die das Unternehmen für Datentransfers in die USA vorsieht. In diesem Beitrag finden Sie eine kurze Übersicht der technischen und organisatorischen Maßnahmen, die die österreichische DSB in ihrem Teilbescheid berücksichtigt, jedoch als ungenügend eingestuft hat.
Rechtswidrige Datenübermittlung zwischen EU und USA und weitere Verstöße: Der EDSB erlässt Unterlassungsanordnung gegen das Europäische Parlament
Anfang Januar veröffentlichte der Europäische Datenschutzbeauftragte (EDSB) eine Entscheidung, nachdem die Vereinigung noyb (none of your business bzw. European Centre for Digital Rights) bereits vor einem Jahr im Namen von sechs Mitgliedern des Europäischen Parlaments eine Beschwerde bzgl. einer Webseite des Europäischen Parlaments eingereicht hatte. In seiner Entscheidung geht der EDSB davon aus, dass die COVID-Testseite des Europäischen Parlaments gegen mehrere Datenschutzvorschriften verstößt. Kritisiert wurden in der Beschwerde von noyb insbesondere irreführende Cookie-Banner, vage und unklare Datenschutzinformationen und die illegale Übermittlung von personenbezogenen Daten in die USA. Der EDSB überprüfte den Fall und stellte einen Verstoß gegen die Verordnung (EU) 2018/1725 (nachfolgend „Verordnung)“, die zwar nur für EU-Institutionen gilt, der DSGVO jedoch sehr ähnelt, fest. Eine detaillierte Auflistung der einzelnen Verstöße sowie ihrer korrespondierenden Vorschriften in der Verordnung (EU) 2016/679 „EU-DSGVO“ finden Sie unter Nummer 4.