Datentransfer: Die notwendige Bewertung ausländischer Gesetze?

von | Jul 9, 2021

Aktualisiert am 2. November 2022

 

Der Europäische Datenschutzausschuss (EDSB) gibt den Rahmen für die Einhaltung der DSGVO bei der Übermittlung von Daten außerhalb der Europäischen Union vor.

Empfehlungen 01/2020 über Maßnahmen, die
zusätzliche Transferwerkzeuge, um die Einhaltung der Bestimmungen zu gewährleisten
das EU-Niveau des Schutzes von personenbezogenen Daten
Version 2.0
Verabschiedet am 18. Juni 2021.

 https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_fr

Es war zu erwarten, dass dieser Rahmen die vertraglichen Formalitäten für Unternehmen (Binding Corporate Rules oder Standardvertragsklauseln) in Bezug auf die Übermittlung von Daten außerhalb der Europäischen Union erleichtern würde.

Mais il ressort de ce cadre que l’examen minutieux des législations étrangères reste nécessaire, comme le préconise l’arrêt Schrems II (https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A62018CJ0311), dès qu’une zone territoriale est identifiée comme incertaine par les autorités européennes : https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde,

Es sei denn, Sie fallen unter die in Artikel 49 der DSGVO vorgesehenen Ausnahmen.

Nur ein allgemeiner Antrag auf Zugang zu Daten könnte prinzipiell in Frage gestellt werden.

In Bezug auf die Datenübermittlung in die USA gibt es nach den EuGH-Urteilen Schrems I vom 6. Oktober 2015 (C-362/14) (Ungültigkeitserklärung von Safe Harbour) und Schrems II vom 16. Juli 2020 (C-311/18) (Ungültigkeitserklärung von Privacy Shield) immer noch keine Angemessenheitsentscheidung der Europäischen Kommission. Die US-Gesetzgebung spiegelt in der Tat ein Konzept der Privatsphäre wider, das sich auf den Schutz des US-Bürgers konzentriert und Ausländer nicht einschließt, was nicht dem universalistischen Konzept der Europäischen Union entspricht.

Der 4. Zusatzartikel der Verfassung der Vereinigten Staaten sieht in der Tat vor: "Das Recht der Bürger, in ihrer Person, ihrer Wohnung, ihren Papieren und ihrem Eigentum gegen unbegründete Durchsuchungen und Beschlagnahmen gesichert zu sein, darf nicht verletzt werden, und es darf kein Haftbefehl ausgestellt werden, es sei denn auf eine ernsthafte Vermutung hin, die durch einen Eid oder eine feierliche Erklärung bekräftigt wird und den Ort, der durchsucht werden soll, und die zu beschlagnahmenden Personen oder Sachen genau beschreibt."

Trotz der Bemühungen um eine Annäherung (vgl. Joe Bidens jüngste Exekutivanordnung vom 7. Oktober 2022, die zwar den Einsatz eines Exekutivbeauftragten und sogar eines unabhängigen Gerichts vorsieht, dessen Stellungnahmen jedoch nicht bindend sind), sieht das US-Recht immer noch die Massenüberwachung und das Fehlen wirksamer Rechtsmittel in Bezug auf die Rechte von Personen, die von einer Datenverarbeitung betroffen sind, vor.

Es ist daher in erster Linie Aufgabe des Datenexporteurs, in einer gefährlichen Bewertungsübung die ausländische Gesetzgebung zu überprüfen. Der Ausschuss führt in Anhang III seiner Empfehlungen eine Liste von Datenquellen an.

Die neuen Standardvertragsklauseln ("STV") (von der Europäischen Kommission am 4. Juni 2021 angenommen und am 7. Juni 2021 veröffentlicht, die am 27. Juni 2021 in Kraft treten, https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale=fr) entbinden nicht von dieser Übung.

Die vorläufige Entscheidung von Doctolib kann Hinweise darauf geben, wie ein Datentransfer gesichert werden kann: Lokalisierung und Verschlüsselung in Frankreich, Verpflichtung der europäischen Tochtergesellschaft, die "allgemeine" Anfrage aus dem Ausland anzufechten, wenig sensible Daten, kurze Dauer der Datenspeicherung: https://roquefeuil.avocat.fr/2021/04/transfert-de-donnees-sur-un-cloud.html 

Wenden Sie sich an einen Anwalt für IT-Recht

Datenübertragung in eine ausländische Cloud: die Doctolib-Entscheidung

von | Mai 12, 2021

EK, Ref.ord., 12. März 2021, Doctolib, Beschw. Nr. 450163 - Vorläufige Entscheidung über eine einstweilige Verfügung

In seiner Doctolib-Entscheidung erkannte der Staatsrat die Unvereinbarkeit des US-Rechts mit dem Schutz personenbezogener Daten in der Europäischen Union an.

In Bezug auf die USA erklärte das Urteil Schrems II (EuGH 16. Juli 2020, Rs. C-311/18) den Privacy Shield, der einem Angemessenheitsbeschluss entspricht, für ungültig, der es Unternehmen, die sich ihm unterwerfen, erlaubte, personenbezogene Daten in die USA zu exportieren. Das US-Recht erlaubt öffentlichen Behörden den Zugang zu personenbezogenen Daten, ohne den betroffenen Personen wirksame Rechtsbehelfe zu gewähren.

Doctolib, das einen Online-Service für die Vereinbarung von Arztterminen anbietet, hostet seine Daten auf den Servern einer Tochtergesellschaft von Amazon Web Services (AWS), einer Gesellschaft nach US-amerikanischem Recht. Im Rahmen der Impfkampagne gegen Covid-19 wurde Doctolib vom Ministerium für Solidarität und Gesundheit beauftragt, die Terminvereinbarungen für diese Kampagne zu verwalten.

Der Richter für einstweilige Verfügungen des Staatsrats wurde mit einem Antrag auf Aussetzung dieser Partnerschaft befasst, da sie gegen die Allgemeine Datenschutzverordnung (EU) 2016/679 vom 27. April 2016 (DSGVO) verstoßen würde.

Der Richter weist dies zurück:

Die Firma AWS Sarl, eine luxemburgische Tochtergesellschaft von AWS Inc. zertifiziert als "Hoster von Gesundheitsdaten". (CSP, Art. L. 1111-8). Die Daten werden in Zentren in Frankreich gespeichert. und Deutschland und eine mögliche Datenübertragung in die USA ist aus technischen Gründen nicht im Vertrag vorgesehen. Da AWS Sarl eine Tochtergesellschaft einer US-Gesellschaft ist, kann sie nach Ansicht der Kläger Gegenstand eines Antrags auf Zugang durch die US-Behörden sein.

Die fraglichen Daten. - Der Staatsrat stellte fest, dass "die strittigen Daten die Daten zur Identifizierung von Personen und die Daten zur Identifizierung von Personen umfassen". Daten zu Terminen Die Personen müssen lediglich ihre Eignung durch eine eidesstattliche Erklärung nachweisen.

Dauer der Speicherung. - Die Daten " spätestens nach einer Frist von drei Monaten gelöscht werden Jede betroffene Person, die auf der Plattform ein Konto für die Impfung eingerichtet hat, kann dieses direkt online löschen.

Antrag auf Zugang durch die US-Behörden. - Um ihre Beziehungen zu sichern, sieht der Vertrag Folgendes vorAWS muss "alle allgemeinen Forderungen oder Forderungen, die nicht den EU-Rechtsvorschriften entsprechen", anfechten. ". Diese Maßnahme wird von einem "System zur Sicherung der bei AWS gehosteten Daten durch eine Verschlüsselungsverfahren, das sich auf einen vertrauenswürdigen Dritten in Frankreich stützt um zu verhindern, dass die Daten von Dritten gelesen werden können".

> Das von den Parteien auf diese Weise eingerichtete Schutzniveau "kann nicht als offensichtlich unzureichend im Hinblick auf das Risiko einer Verletzung der DSGVO angesehen werden".

 

Die Bedeutung der Entscheidung ist relativ, da es sich um eine einstweilige Verfügung handelt, die das "offensichtlich rechtswidrige" Verhalten sanktioniert und daher korrigiert werden könnte. Fortsetzung folgt.

 
V.auch
CNIL, Beschluss Nr. 2020-044 vom 20. April 2020 und Pressemitteilung vom 14. Oktober 2020
EK, Ref.ord., 13. Okt. 2020, Nr. 444937
 
 
de_DE_formalGerman
de_DE_formalGerman fr_FRFrench en_GBEnglish es_ESSpanish pt_PTPortuguese it_ITItalian