News
Zusätzliche Schutzmaßnahmen für EU-Standardvertragsklauseln in der Praxis - Österreichische Datenschutzbehörde gibt eine erste Orientierung
Der Einsatz von Google Analytics steht nicht im Einklang mit der DSGVO. Zu diesem Schluss kam die österreichische Datenschutzbehörde (DSB) aufgrund einer Musterbeschwerde, die der Datenschutzverein "Noyb" (none of your business bzw. Europäisches Zentrum für digitale Rechte) bereits im August 2020 eingereicht hatte. Dem Teilbescheid der DSB vom 22.12.2021 zufolge, ist ein (damals noch) österreichisches Unternehmen betroffen, das den Dienst auf seiner Webseite implementiert hatte. Die DSB stellt fest, dass die Verwendung von Google Analytics nicht mit der DSGVO vereinbar sei. Dies sei auf das Schrems-II-Urteil des EuGHs (Urt. v. 16.07.2020, Az. C-311/18) zurückzuführen. Es seien die allgemeinen Grundsätze der Datenübermittlung gemäß Art. 44 DSGVO verletzt worden, da der Dienst personenbezogene Nutzerdaten an den Hauptsitz von Google in den Vereinigten Staaten übermittelt habe, diese Übermittlung jedoch nach Ansicht der Behörde nicht mit ausreichenden zusätzlichen Schutzmaßnahmen abgesichert war.
Google selbst reagierte am selben Tag auf die Entscheidung der österreichischen Behörde und veröffentlichte einige Fakten zum Thema Datenschutz bei der Nutzung von Google Analytics.
In ihrem Bescheid setzt sich die DSB (leider nicht vertieft) mit den zusätzlichen Schutzmaßnahmen von Google auseinander, die das Unternehmen für Datentransfers in die USA vorsieht. Solche zusätzlichen Schutzmaßnahmen sind nach Ansicht des EDSA insbesondere bei Datentransfers in die USA zwingend erforderlich. Nachfolgend finden Sie eine Übersicht der technischen und organisatorischen Maßnahmen, die die österreichische DSB in ihrem Teilbescheid berücksichtigt, jedoch als ungenügend eingestuft hat. Außerdem wurde eine kurze Einschätzung der Behörde hinzugefügt.
|
Technische Maßnahmen |
Einschätzung der DSB |
|
- Schutz der Kommunikation zwischen Google-Diensten
- Schutz von Daten im Transit zwischen Rechenzentren
- Schutz der Kommunikation zwischen Nutzern und Websites
- On-Site-Security |
Eine Verschlüsselung, bei der der Datenimporteur den Schlüssel besitzt, ist nicht ausreichend. Soweit Google auf Verschlüsselungstechnologien, wie die Verschlüsselung von "Daten im Ruhezustand" in Rechenzentren zurückgreift, seien dem Unternehmen die EDSA-Empfehlungen 01/2020 entgegenzuhalten. Dort heißt es, dass ein Importeur von Daten (wie hier Google), der dem 50 U.S. Code § 1881a („FISA 702") unterliegt, unmittelbar verpflichtet ist, Zugang zu den importierten Daten zu gewähren, die sich in seinem Besitz oder Gewahrsam befinden oder unter seiner Kontrolle zur Verfügung stehen. Diese Verpflichtung kann sich ausdrücklich auf kryptografische Schlüssel ausdehnen, ohne die die Daten unlesbar sind. Nach Ansicht der DSB unterliegt Google dieser Pflicht. Solange Google selbst die Möglichkeit hat, auf die unverschlüsselten Daten zuzugreifen, können diese technischen Maßnahmen nicht als wirksam angesehen werden, da sie die im „Schrems-II-Urteil“ festgestellten Rechtsschutzlücken nicht schließen. Der EuGH hat außerdem in seinem Urteil ausdrücklich darauf hingewiesen, dass US-Gesetze wie das FISA-Gesetz eine Massenüberwachung durch Sicherheitsbehörden zulassen und, dass das Datenschutzniveau in den USA nicht dem der EU gerecht wird. |
|
Organisatorische Maßnahmen |
Einschätzung der DSB |
|
- Benachrichtigung der betroffenen Personen über Datenanfragen (sofern erlaubt)
- Veröffentlichung eines Transparenzberichtes
- Sorgfältige Prüfung von Datenzugriffsanfragen |
Es sei nicht klar, inwieweit diese organisatorischen Maßnahmen wirksam sind. Es sei zudem fraglich, inwieweit die "sorgfältige Prüfung einer jeder Datenzugriffsanfrage" eine effektive Maßnahme darstellt, da der EuGH festgestellt hat, dass zulässige (d. h. nach US-Recht legale) Anfragen von US-Geheimdiensten nicht mit dem Grundrecht auf Datenschutz nach Art. 8 EU-GRCh in Einklang zu bringen sind.
|
Die Ansicht der DSB ist sicher als streng zu bewerten. Leider geht die Behörde in ihrem Bescheid nicht näher auf die einzelnen Maßnahmen ein und bewertet diese nicht im Detail. Die Aussagen der DSB zu den verschiedenen Maßnahmen können für Unternehmen in der Praxis eine wichtige Rolle bei der eigenen Bewertung von Datentransfers spielen. Ob man Ihnen ein zu eins folgen muss, ist eine andere Frage.
News
Risikomanagementmaßnahmen besonders wichtiger und wichtiger Einrichtungen und Dokumentationsnachweis nach dem neuen BSIG
Das neue BSIG befindet sich auf der Zielgeraden des Gesetzgebungsverfahrens zur Umsetzung der NIS-2-Richtlinie. Im aktuellen Entwurf legt der dortige § 30 Abs. 1 Satz 1 BSIG fest, dass besonders wichtige und wichtige Einrichtungen verpflichtet sind, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen (TOM) zu ergreifen, um u.a. Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der IT-Systeme und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten.
Barrierefreiheitsstärkungsgesetz (Teil 2) – Für welche Apps und Websites gilt das BFSG?
In Teil 1 unserer Beitragsreihe zum Barrierefreiheitsstärkungsgesetz (BFSG) haben wir uns bereits mit den allgemeinen Anforderungen des BFSG befasst. In Teil 2 geht es darum, für welche Apps und Websites das BFSG gilt.
Piltz Legal Whitepaper zur KI-Verordnung
Die KI-Verordnung, auch bekannt als Artificial Intelligence Act („AI Act“), ist kürzlich in Kraft getreten. Erstmalig wird damit ein harmonisierter Rechtsrahmen auf europäischer Ebene zum Einsatz von Künstlicher Intelligenz (KI) geschaffen. Die Verordnung gilt aufgrund ihrer Rechtsnatur bereits mit ihrem Inkrafttreten unmittelbar in allen Mitgliedstaaten, ohne dass ein weiterer Vollzugsakt notwendig wird.
Barrierefreiheitsstärkungsgesetz (Teil 1) – Neue Pflichten für Unternehmen ab Juni 2025
Bestimmte Produkte und Dienstleistungen müssen ab dem 28. Juni 2025 barrierefrei zugänglich sein. Dies sieht das bereits im Juli 2021 veröffentlichte Barrierefreiheitsstärkungsgesetz (BFSG) vor. Konkret betrifft das BFSG vor allem auch die Gestaltung von Websites und Apps. Um Sie angemessen auf die Anforderungen des BFSG vorzubereiten, haben wir einen kurzen Überblick zu den wichtigsten Informationen erstellt.
Ist mein Unternehmen Anbieter nach der KI-Verordnung? Zum Begriff des „Inverkehrbringens“ nach der KI-VO
Die Einführung der KI-Verordnung (KI-VO) der Europäischen Union hat weitreichende Auswirkungen auf Unternehmen, die KI-Systeme entwickeln und / oder anbieten. Die KI-VO legt eine Vielzahl von Anforderungen fest, die in erster Linie von den Anbietern von KI-Systemen erfüllt werden müssen. Daher ist es für Unternehmen essenziell zu klären, ob sie als „Anbieter“ von KI-Systemen im Sinne der KI-VO gelten.
Gutachten von Piltz Legal zum Cloud-Einsatz im Gesundheitswesen für den bvitg – Fragen zum neuen § 393 SGB V
Seit dem 1. Juli 2024 gilt der neue § 393 SGB V. Darin geht es um den Einsatz von Cloud-Diensten für die Verarbeitung von Gesundheits- und Sozialdaten im Gesundheitsbereich. Piltz Legal hat für den Bundesverband Gesundheits-IT – bvitg e. V. („bvitg“) ein Gutachten zu ausgewählten Fragen der Mitglieder des bvitg erstellt. Dieses Gutachten ist jetzt öffentlich auf der Website des bvitg unter der folgenden URL abrufbar: https://www.bvitg.de/wp-content/uploads/2024-05-27_bvitg-Cloud-Gutachten.pdf.In diesem Newsbeitrag gehen wir auf ausgewählte Themen ein, die auch im Gutachten detaillierter besprochen werden.