2006 hat der Europarat den Europäischen Datenschutztag ins Leben gerufen. Dafür wurde der 28. Jänner gewählt, an dem im Jahr 1985 das Übereinkommen zum Schutz des Menschen bei der automatisierten Verarbeitung personenbezogener Daten zur Unterzeichnung aufgelegt wurde. Das ist der zentrale völkerrechtliche Vertrag zum Schutz des Einzelnen vor Missbrauch der elektronischen Verarbeitung seiner personenbezogenen Daten, auf dem die modernen Datenschutzbestimmungen gründen. Unsere DORDA Datenschutzexperten haben das zum Anlass genommen, Ihnen ein kurzes Update zu den aktuellen datenschutzrechtlichen Entwicklungen auf europäischer Ebene zu geben:
BREXIT – was nun?
Zwar wird der international als Privacy Day bekannte Datenschutztag heute auch in UK gefeiert, dieses Jahr jedoch nicht mehr als EU-Mitgliedsstaat. Wir haben für Sie die wichtigsten datenschutzrechtlichen Konsequenzen des Ausscheidens Großbritanniens aus der EU zusammengefasst:
- UK gilt seit dem 1.1.2021 auch datenschutzrechtlich als Drittland. Dementsprechend ist es auch in Bezug auf Datentransfers nicht mehr den anderen Mitgliedsstaaten gleichgestellt. Da es aktuell (noch) keinen Angemessenheitsbeschluss gibt, wäre UK als unsicheres Drittland einzuordnen. Allerdings ist im Kooperationsabkommen zwischen der EU und UK eine Übergangsphase vorgesehen: Bis zum 30.4.2021 gilt UK dennoch als sicheres Drittland. Diese Übergangsfrist kann zudem einmalig um zwei weitere Monate verlängert werden. Damit soll bis zum Angemessenheitsbeschluss Rechtssicherheit geschaffen werden. Da UK mittlerweile die Regelungen der DSGVO in ihr Datenschutzrecht übernommen hat, sind die Voraussetzungen für einen entsprechenden Beschluss auch faktisch geschaffen. Es ist daher davon auszugehen, dass in diesem Bereich – anders als beim Brexit generell – rasch eine Einigung erzielt werden kann und der Angemessenheitsbeschluss erlassen wird. Wer auf Nummer Sicher gehen möchte, kann zur Überbrückung und Absicherung auch SCC abschließen. Dies kann aber im Bedarfsfall auch kurzfristig nachgeholt werden.
- Die Übernahme der Regelungen der DSGVO in das nationale Recht in UK hat aber auch zur Folge, dass ausländische Unternehmen, die (i) Waren oder Dienstleistungen für Personen in UK anbieten oder (ii) deren Verhalten überwachen, in Anlehnung an Art 27 DSGVO einen separaten Datenschutzvertreter in UK benötigen. Gerne unterstützen wir Sie mit unserem Netzwerk bei Bedarf bei der Bestellung eines geeigneten Vertreters.
Post-Schrems II – wie geht es weiter?
Die zweite Hälfte von 2020 stand ganz im Zeichen der Auswirkungen der Schrems II Entscheidung des EuGH (DORDA hat berichtet: EuGH kippt Privacy Shield Abkommen | DORDA). Dadurch entstand am Markt nicht nur akuter Handlungsbedarf bei internationalen Datentransfers, sondern zudem eine enorme Rechtsunsicherheit. noyb hat mit den von ihr eingeleiteten 101 Prüfverfahren hinsichtlich der Übermittlung von personenbezogenen Daten an Google und Facebook auch einen entsprechenden Umsetzungsdruck aufgebaut. Mittel- bis langfristig sollen die nunmehr im Entwurf in Begutachtung gegangenen neuen Standarddatenschutzklauseln in Kombination mit den Empfehlungen des Europäischen Datenschutzausschusses (EDSA) Klarheit bringen. Der erste Wurf war jedoch zu wenig praxisnah und hat die Rechtsunsicherheit teilweise sogar noch vergrößert. DORDA hat sich dementsprechend in der öffentlichen Konsultations- und Feedbackphase in Ihrem Interesse mit entsprechenden Stellungnahmen eingebracht und Lösungsvorschläge unterbreitet (die kritische Zusammenfassung von DORDA finden Sie hier: BREAKING NEWS zum EU-US Datentransfer (dorda.at)).
Vor wenigen Tagen hat sich der EDSA nun auch gemeinsam mit dem Europäischen Datenschutzbeauftragten zum Entwurf der neuen SCC geäußert: Eingangs begrüßen sie die Überarbeitung der Klauseln und den neuen modularen Aufbau. Sie äußern sich jedoch zum stellenweise unklaren Wortlaut sowie zur angeblich fehlenden Berücksichtigung des Schrems II Urteils kritisch. Der EDSA hält also an seinem Kurs fest und deklariert die im SCC Entwurf verankerten vertraglichen Maßnahmen als nicht ausreichend bzw nicht streng genug. Auch regt der EDSA ein engeres Zusammenspiel mit seinen eigenen Empfehlungen an, um eine einheitliche, strengere Linie zu schaffen. Das zielt unseres Erachtens vor allem auf die Pflicht zur Implementierung zusätzlicher Maßnahmen neben den neuen vertraglichen Zusagen ab. Es bleibt abzuwarten, ob die Kommission der Position des EDSA folgt oder - bei aller sachlich gebotenen Kritik - doch seinen in der Praxis umsetzbareren und unternehmerfreundlicheren Ansatz beibehält. Dies wäre in Hinblick auf einen lebbaren Datenschutz sehr wichtig.
Es gibt aber auch gute Neuigkeiten: Aktuell werden im Sinne der Vollharmonisierung Standarddatenschutzklauseln für den innereuropäischen Datentransfer vorbereitet. Diese sollen als Muster-Auftragsverarbeitungsvereinbarung für mehr Rechtssicherheit sorgen und vor allem KMUs bei der Vertragsgestaltung und -verhandlung entlasten.
Ausnahmen zum One-Stop-Shop Prinzip
Gerade bei der grenzüberschreitenden Datenverarbeitung gibt es noch viele offene Fragen rund um die Zuständigkeit der nationalen Datenschutzbehörden. Eine davon wird in Kürze vom EuGH geklärt, nämlich ob eine nicht-federführende Datenschutzbehörde (ebenfalls) dazu befugt ist, gerichtliche Verfahren wegen DSGVO-Verstößen bei grenzüberschreitender Datenverarbeitung einzuleiten. Dazu ist unter C-645/19 ein Verfahren beim EuGH anhängig. Ausgangspunkt ist ein 2015 von der belgischen Datenschutzbehörde eingeleitetes Gerichtsverfahren gegen Facebook Inc, Facebook Ltd (Hauptniederlassung der Gruppe) und Facebook Belgium BVBA. Inhaltlich geht es dabei einmal mehr um den Einsatz von Cookies ohne Einwilligung.
Vor wenigen Tagen wurden die Schlussanträge des Generalanwalts in der Rechtssache veröffentlicht. Er kommt zum Ergebnis, dass aufgrund des One-Stop-Shop Prinzips die federführende Datenschutzbehörde bei grenzüberschreitenden Datenverarbeitungen allgemein und ausschließlich zuständig sei. Dementsprechend sei es auch unzulässig, dass eine andere als die federführende Behörde ein gerichtliches Verfahren gegen eine andere Niederlassung in ihrem Mitgliedsstaat einleitet (zB gegen Facebook Belgium BVBA), wenn de facto die (hier: irische) Hauptniederlassung für die inkriminierte Verarbeitung verantwortlich ist.
Dennoch betont der Generalanwalt, dass es auch Ausnahmen vom One-Stop-Shop Prinzip gäbe: Dies insbesondere (i) wenn die nationale Datenschutzbehörde außerhalb des sachlichen Anwendungsbereichs der DSGVO tätig wird, (ii) Untersuchungen zu grenzüberschreitender Datenverarbeitung angestellt werden, die durch Behörden, im öffentlichen Interesse, in Ausübung öffentlicher Gewalt oder durch Verantwortliche erfolge, die keine Niederlassung in der Union haben, (iii) bei Dringlichkeit der Maßnahmen oder (iv) bei Untätigkeit der federführenden Datenschutzbehörde. Damit soll die effektive Rechtsdurchsetzung gesichert werden. Ob und in welchem Ausmaß der EuGH den Schlussanträgen folgt, wird sich in den nächsten Monaten zeigen.