Übermittlung personenbezogener Daten...

Übermittlung personenbezogener Daten in den USA im Lichte von Entscheidungen der zuständigen EU-Stellen

In Anbetracht der Tatsache, dass die Allgemeine Verordnung zum Schutz personenbezogener Daten der Europäischen Union 2016/679 (DSGVO) als Mustergesetz für die Ausarbeitung des Gesetzes zum Schutz personenbezogener Daten von RS diente, sind Meinungen und Praktiken der EU-Aufsichtsbehörden in diesem Bereich von großer Bedeutung für die Umsetzung des innerstaatlichen Rechts und sie waren bisher eine stabile Unterstützung für die Entscheidungsfindung und das Handeln von Unternehmen, die als Kontrolleure oder Verarbeiter personenbezogener Daten auftreten und ihr Geschäft mit den europäischen Grundsätzen des Rechts auf Privatsphäre von Personen in Einklang bringen wollen.

In Anbetracht dessen wurde in der kürzlich verabschiedeten Entscheidung des Europäischen Gerichtshofs C-311/18 vom 16. Juli 2020 die Entscheidung 2016/1250 der Europäischen Kommission vom 12. Juli 2016 über die Angemessenheit des Schutzes innerhalb des Datenschutzschilds EU-USA festgelegt Ungültig ist für multinationale Unternehmen, die als Betreiber und Verarbeiter auftreten, von größter Bedeutung.

Die Bedeutung der genannten Entscheidung spiegelt sich in der Tatsache wider, dass eine große Anzahl von in Serbien oder der EU tätigen Unternehmen personenbezogene Daten in die USA übermitteln müssen. Nach unserer bisherigen Erfahrung ergibt sich die Notwendigkeit der Übermittlung personenbezogener Daten in die Vereinigten Staaten in der Regel aus der Notwendigkeit, eine zentralisierte Datenbank auf der Ebene eines multinationalen Unternehmens einzurichten, dessen "Muttergesellschaft" eine solche Datenbank verwaltet und kontrolliert befindet sich in den USA. Eine große Anzahl von Unternehmen, die Cloud-Dienste bereitstellen oder es Benutzern ermöglichen, soziale Netzwerke, Internetprogramme und Anwendungen zur Verbesserung ihres Geschäfts zu nutzen, suchen Server in den USA.

Aus diesem Grund schließt die Aufhebung der Entscheidung, wonach in Bezug auf die Übermittlung personenbezogener Daten an Organisationen in den USA, die durch Selbstzertifizierung Teil des Privacy Shield Framework geworden sind, ein angemessenes Schutzniveau aus, die Möglichkeit einer Übermittlung aus von personenbezogenen Daten in den USA übertragen, dh ohne besondere, zusätzliche Bedingungen und Einschränkungen zu erfüllen, die für andere Übertragungsgrundlagen charakteristisch sind. In seiner Entscheidung geht der Europäische Gerichtshof noch einen Schritt weiter und stellt die Übermittlung personenbezogener Daten an den USA grundsätzlich in Frage.

Zur Erinnerung, dies ist nicht das erste Mal, dass die Frage der Übertragung personenbezogener Daten und des Systems des Schutzes personenbezogener Daten in den Vereinigten Staaten als umstritten eingestuft wurde. Darüber hinaus wurde das fragliche Thema bereits früher und jetzt erörtert, als die Entscheidung über die Unzulänglichkeit des Datenschutzschilds zwischen der EU und den USA im Beschwerdeverfahren von Maximillian Schrems, einem österreichischen Staatsbürger und Facebook-Nutzer, getroffen wurde die typischen Unternehmen, von denen wir im oberen Teil gesprochen haben. Die Entscheidung der Europäischen Kommission über die Angemessenheit des Schutzes innerhalb des EU-US-Datenschutzschilds wurde getroffen, nachdem die Verhandlungen zwischen der EU und den USA verstärkt wurden, um Mechanismen für den Schutz personenbezogener Daten in den USA einzurichten, die dies gewährleisten würden wirksamer Schutz der in die USA übertragenen Daten. Die genannten Verhandlungen erwiesen sich als notwendig, da die Entscheidung des Europäischen Gerichtshofs C-362/14 vom 6. Oktober 2015 im Verfahren zur Beschwerde von Herrn Schremsdie Entscheidung der Europäischen Kommission 2000/520 / EG über die Angemessenheit ist Der durch Safe-Harbor-Grundsätze festgelegte Schutz, auf dessen Grundlage Facebook die Datenübertragung in die USA realisierte, wurde ebenfalls für ungültig erklärt.

Angesichts der Tatsache, dass die Gründe, die in der Begründung der Entscheidung des Europäischen Gerichtshofs zum Schutz der Privatsphäre angegeben wurden, weitgehend mit den Gründen in der früheren Entscheidung des Gerichtshofs über Safe Harbor identisch sind, scheinen Anstrengungen der EU und der USA unternommen zu werden, , um die auf den EU übertragenen Mechanismen zum Schutz personenbezogener Daten zu stärken Die Vereinigten Staaten haben nach Angaben des Europäischen Gerichtshofs keine zufriedenstellenden Ergebnisse erzielt.. Nach den Feststellungen des Gerichts bleiben die breiten und ungenauen Befugnisse der Behörden in den Vereinigten Staaten im Bereich der Verarbeitung personenbezogener Daten durch etablierte Überwachungssysteme (PRISM, UPSTREAM) und das Fehlen eines wirksamen Rechtsschutzes für Personen außerhalb der Vereinigten Staaten das Risiko der Verarbeitung personenbezogener Daten in den Vereinigten Staaten. Die von den zuständigen US-Behörden erlassenen Maßnahmen zur Einschränkung der Befugnisse der Geheimdienste führten nach Angaben des Gerichts nicht zur Einführung der Grundsätze der Verhältnismäßigkeit und Zweckmäßigkeit als grundlegende europäische Grundsätze zum Schutz des Rechts auf Privatsphäre von Einzelpersonen. Das Gericht stellte außerdem fest, dass das Fehlen eines wirksamen Schutzes vor US-Gerichten für Nicht-US-Bürger durch den neu eingerichteten US-Kommissar nicht kompensiert werden konnte, da die unabhängige Position dieses Gremiums aufgrund des Mangels an Wirksamkeit auf der Ebene einer Erklärung blieb Garantien der Beständigkeit.

In Anbetracht dessen, dass in Übereinstimmung mit den Bestimmungen des Gesetzes zum Schutz personenbezogener Daten der RS die Entscheidung der Regierung der RS RS 55/19 vom 02.08.2019. Datenübertragung an Organisationen in den USA im Rahmen des Privacy Shield Framework, die als Übertragung unter Bereitstellung eines angemessenen Schutzniveaus unter dem Gesichtspunkt des innerstaatlichen Rechts festgelegt wurde, basierend auf der Entscheidung der Europäischen Kommission über die Angemessenheit des Schutzes innerhalb der EU-USA Privacy Shield , Privacy Shield Framework, bietet aufgrund der Ungültigkeit dieser Entscheidung keinen angemessenen Schutz mehr, selbst unter dem Aspekt des Gesetzes zum Schutz personenbezogener Daten der RS. Infolgedessen müssen für die Verarbeitung Verantwortliche, die Daten in die USA übertragen und bisher Daten auf dieser Grundlage übertragen haben, eine andere Grundlage für die Übertragung finden, die nach innerstaatlichem Recht festgelegt ist. Die angegebene Auslegung wurde auch vom Kommissar für Informationen von öffentlicher Bedeutung und zum Schutz personenbezogener Daten der Republik Serbien bestätigt, der ein Schreiben an die Regierung der RS zur Harmonisierung der Entscheidung des Amtsblatts RS 55/19 vom 02.08.2019 mit den Folgen des Beschlusses des Europäischen Gerichtshofs in Bezug auf den Datenschutzschild, auf den nach vorliegenden Daten noch eine Antwort anhängig ist.

Wie oben erwähnt, hat die Entscheidung des Gerichts über die Unzulänglichkeit des Datenschutzschilds weitreichende Auswirkungen, die nicht auf den Ausschluss der Datenübertragung im Rahmen dieses Systems beschränkt sind. Es ist zweifellos klar, dass dieses System nicht mehr für Datenübertragungen verwendet werden kann. Es stellt sich jedoch die Frage, welche Übertragungsgrundlage nach den Feststellungen des Gerichts die Einhaltung der geltenden Vorschriften für die Datenübertragung in den USA gewährleisten sein kann.

In der Entscheidung des Europäischen Gerichtshofs C-311/18 vom 16. Juli 2020 wurde auch die der Standardvertragsklauseln der Europäischen Kommission (SCC) berücksichtigt , auf deren Grundlage auch die Übermittlung personenbezogener Daten durchgeführt werden kann, insbesondere seitdem Die genannten Klauseln sind vertraglicher Natur und können folglich die Behörden des übertragenden Staates nicht binden. Der Europäische Gerichtshof hat den Standpunkt vertreten, dass das oben Gesagte die Gültigkeit dieser Klauseln nicht beeinträchtigt, zumal die Teilnehmer an der Datenübertragung durch sie die Verantwortung übernehmen und die Einhaltung der EU-Vorschriften und die Fähigkeit zur Erfüllung der durch die EU auferlegten Verpflichtungen gewährleisten Klauseln. Was bedeutet das? Vor der Durchführung einer Übertragung auf der Grundlage des SCC müssen die Teilnehmer an der Übertragung prüfen, ob sie die Verpflichtungen der SCC selbst erfüllen können und damit die Übertragung selbst gültig ist. Folglich garantieren die Teilnehmer an der Übertragung durch den SCC selbst, dass der Datenempfänger in der Lage ist, die Verpflichtungen des SCC zu erfüllen (unter anderem "dass es keinen Grund zu der Annahme gibt, dass die für ihn geltenden Rechtsvorschriften die Erfüllung seiner Verpflichtungen verhindern." vertragliche Verpflichtungen"). Wenn sich jedoch bei einer Übertragung auf der Grundlage des SCC herausstellt, dass solche Garantien nicht der Realität entsprechen und dass beispielsweise die Behörden des Staates, in den die Übertragung erfolgt, ein hohes Maß an Intervention oder Einschränkungen aufweisen Aufgrund dessen, welche SCC-Verpflichtungen nicht erfüllt werden können (Risiko der Datenübertragung durch den Europäischen Gerichtshof in den USA), wird die Verantwortung der Unterzeichner des SCC aktiviert. Zusammenfassend lässt sich sagen, dass Unternehmen, die im Rahmen des SCC Übertragungen in die USA vornehmen, ihre Fähigkeit zur Erfüllung der SCC-Verpflichtungen sorgfältig analysieren müssen, da die bloße Verwendung formal gültiger SCCs ihnen keine vollständige Garantie für die Rechtmäßigkeit der Übertragung selbst bietet . In diesem Bereich soll die Befugnis der Aufsichtsbehörde die Übertragung von Daten, die auf der Grundlage von SCC durchgeführt werden, einschränken, dh verbieten, wenn festgestellt wird, dass die Verpflichtungen von SCC im Zusammenhang mit der Übertragung nicht erfüllt werden können, und dass das Niveau Der durch EU-Recht festgelegte Schutz kann nicht gewährleistet werden. In Anbetracht all dieser Punkte und insbesondere der Feststellungen des Gerichts zum System des Schutzes der Privatsphäre in den USA scheint die Verwendung von SCC für Überweisungen in die USA eine unzureichende Grundlage für die Übermittlung zu sein.

Angesichts dieser Risiken ist zu prüfen, ob die Gründe, aus denen die DSGVO als „Datenübertragung in besonderen Situationen“qualifiziert ist, auf einen bestimmten Übertragungsfall angewendet werden können, beispielsweise wenn die betroffene Person der vorgeschlagenen Übertragung ausdrücklich zugestimmt hat, nachdem aufgrund des Fehlens einer Entscheidung über das angemessene Schutzniveau und geeignete Schutzmaßnahmen über mögliche Risiken im Zusammenhang mit dieser Übertragung informiert ist. Diese Fälle beziehen sich auf Situationen, die die Übertragung erheblich einschränken, indem sie entweder von der Zustimmung der Person abhängig gemacht werden (die jederzeit widerrufen werden kann, was eine weitere Verarbeitung verbietet), oder durch das Vorhandensein einer besonders wichtigen (in der Praxis eine sehr begrenzte Anzahl von anwendbaren Fällen) Gründe für die Übertragung, die in diesem Sinne das Interesse der Privatsphäre der Person überwiegen. Als interessante und potenziell anwendbare Grundlagen in diesem Teil gelten neben der Zustimmung auch Übertragungsfälle, die zum Abschluss oder zur Ausführung eines zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen geschlossenen Vertrages oder zur Anwendung vorvertraglicher Maßnahmen auf Antrag der Person erforderlich sind, sowie Der Abschluss oder die Ausführung eines Vertrags sollte im Interesse der betroffenen Person zwischen dem für die Verarbeitung Verantwortlichen und einer anderen natürlichen oder juristischen Person abgeschlossen werden.

Obwohl nach dem Vorbild der DSGVO-Lösung das RS-Gesetz zum Schutz personenbezogener Daten die Befugnis des Kommissars vorschreibt, Standardvertragsklauseln zu erlassen , die die Beziehung zwischen Bearbeitern und Verarbeitern regeln und die Grundlage für die Datenübertragung in andere Länder sein können. Der Kommissar hat diese Befugnis bereits genutzt und die genannten Klauseln verabschiedet, da sie in Bezug auf den SCC einen geringfügig anderen Inhalt haben und die explizit beschriebenen Garantien der Teilnehmer an der Übertragung im Zusammenhang mit der Datenübertragung, die charakteristisch für das SCC sind. Auf den ersten Blick kann dies zu der Schlussfolgerung führen, dass die Übermittlung von Daten in die Vereinigten Staaten gemäß nationalem Recht auf vom Kommissar herausgegebenen Standardvertragsklauseln beruhen kann sein, wobei für die Teilnehmer ein geringeres Risiko besteht als der tatsächliche Stand des Schutzes personenbezogener Daten in den USA Verstöße gegen das innerstaatliche Recht. Wortlaut "auf einen Blick" wird verwendet, da Artikel 10 Absatz 10 der Standardvertragsklauseln in diesem Abschnitt entsprechend der Übermittlung personenbezogener Daten an ein anderes Land, einen Teil seines Hoheitsgebiets oder an einen oder mehrere Sektoren von zu berücksichtigen ist Bestimmte Aktivitäten in diesem Land oder in einer internationalen Organisation können in jeder Hinsicht gemäß den Bestimmungen der geltenden Vorschriften durchgeführt werden, wobei ein angemessenes Maß an Schutz personenbezogener Daten, die Durchführbarkeit aller Rechte und ein wirksamer Rechtsschutz für betroffene Personen gewährleistet sind. Dieselbe Bestimmung ist im innerstaatlichen Recht selbst in dem Teil enthalten, der die Übertragung auf der Grundlage der Standardvertragsklauseln regelt. Schließlich ermächtigt das nationale Recht den Kommissar wie die DSGVO, die Übermittlung personenbezogener Daten an einen anderen Staat oder eine andere internationale Organisation auszusetzen. In Anbetracht all dessen scheint das praktische Ergebnis trotz des geringfügig unterschiedlichen Inhalts der Standardvertragsklauseln in Bezug auf den SCC dasselbe zu sein - die formale Gültigkeit dieser Klauseln garantiert dem Betreiber keine automatische Rechtmäßigkeit der Übertragung. Angesichts der Tatsache, dass die Forschungsergebnisse und Erkenntnisse der EU-Gremien für inländische Gremien formal nicht bindend sind, sollte in diesem Teil die offizielle Position des Kommissars abgewartet werden.

Vorsorglich weisen wir darauf hin, , dass das innerstaatliche Recht die oben beschriebene "Übermittlung von Daten in besonderen Situationen" auf die gleiche Weise wie in der DSGVO (Einwilligung, Vertrag usw.) und aufgrund der durch die Ergebnisse verursachten Unsicherheit vorschreibt. Der Europäische Gerichtshof sollte diese Gründe für die Übertragung auf jeden Fall berücksichtigen.

Zusammenfassend lässt sich sagen, dass Unternehmen, die sowohl der DSGVO als auch dem innerstaatlichen Recht unterliegen, für die Übermittlung personenbezogener Daten in die USA das Privacy Shield Frameworknicht mehr nutzen können. Angesichts der Feststellungen zum Datenschutzsystem in den USA ist die Verwendung von SCC sowie der Standardvertragsklauseln des Kommissars umstritten, und die Betreiber sollten die Möglichkeiten für die Verwendung anderer Übertragungsgrundlagen unter Berücksichtigung der Umstände von prüfen die Übertragung. Angesichts der Häufigkeit der Datenübertragung in die Vereinigten Staaten, des berechtigten Geschäftsinteresses von in / mit den Vereinigten Staaten tätigen Unternehmen und der daraus resultierenden Bedeutung der Datenübertragung in die USA ist zu erwarten, dass die zuständigen EU-Behörden und unsere Länder zusammen mit Die US-Behörden werden Schritte unternehmen, um Hindernisse in diesem Bereich zu überwinden.

Hier können Sie den vollständigen Text herunterladen.