31.7.2019
Der Europäische Datenschutzausschuss, das sogenannte European Data Protection Board (edpb), hat erneut den US Privacy Shield und den CLOUD Act für datenschutzwidrig erklärt und nochmals seine Einwände begründet. Der Ausschuss ist eine unabhängige europäische Einrichtung, die zur einheitlichen Anwendung der Datenschutzvorschriften in der gesamten Europäischen Union beiträgt und die Zusammenarbeit zwischen den EU-Datenschutzbehörden fördert. Er besteht aus Vertretern der nationalen Datenschutzbehörden und den Europäischen Datenschutzbeauftragten.
Datenschutz nach der Europäischen Datenschutzgrundverordnung nicht gewährleistet
In Sachen Datenschutz sind sich beide Länder uneinig.
(Foto: jamdesign, Adobe.com)
Nutzung amerikanischer Datenraum-Anbieter in Deutschland datenschutzwidrig?
In der Praxis hieße dies, dass Datenräume von US-amerikanischen Anbietern in Deutschland weder mit Serverstandort USA noch Serverstandort in Deutschland gemietet oder betrieben werden können. Der edpb bemängelt erneut, dass immer noch keine konkreten Zusicherungen seitens der USA vorlägen, dass die wahllose Erhebung und der Zugriff auf personenbezogene Daten zu Zwecken der nationalen Sicherheit ausgeschlossen seien. Auf der Grundlage der bisher vorliegenden Informationen kann der edpb derzeit nicht davon ausgehen, dass die Länderbeauftragten für den Datenschutz über ausreichende Befugnisse verfügen, um Verstöße zu ahnden und zu beheben. Darüber hinaus weist das Board darauf hin, dass die Überprüfung der Einhaltung der Grundsätze des US Privacy Shield nicht stark genug seien.
Cloud Act und Privacy Shield verstoßen gegen die EU-DSGVO
Nach Ansicht der edpb hat die Überprüfung des Privacy Shield ergeben, dass die Sicherheit europäischer Daten auf US-Rechnern nicht gegeben ist. Das könnte dazu führen, dass Europäische Gerichte den Datentransfer personenbezogener Daten in die USA und die Speicherung der Daten auf Servern US-amerikanischer Cloudanbieter auch offiziell verbieten. Nach Auffassung des Ausschusses verstoßen Cloud Act und Privacy Shield gegen die EU-DSGVO und sind somit datenschutzwidrig. Der edpb hat darüber hinaus Bedenken hinsichtlich der erforderlichen Kontrollen zur Einhaltung der Anforderungen für die Weitergabe, des Bedeutungsumfangs der Personaldaten und des Rezertifizierungsprozesses sowie hinsichtlich einer Liste alter Probleme, die nach der ersten gemeinsamen Überprüfung noch nicht behoben wurden, geäußert.
Über den edpb
Im Europäische Datenschutzausschuss sind auch die Aufsichtsbehörden der EWR-/EFTA-Staaten als Mitglieder vertreten, allerdings ohne Stimmrecht und ohne das Recht, zum Vorsitzenden oder zu stellvertretenden Vorsitzenden gewählt zu werden. Der edpb gründet sich auf die Datenschutz-Grundverordnung (DSGVO) und hat seinen Sitz in Brüssel. Die Europäische Kommission sowie – im Hinblick auf Angelegenheiten in Verbindung mit der DSGVO – die EFTA-Überwachungsbehörde sind berechtigt, ohne Stimmrecht an den Beratungen und Sitzungen des Ausschusses teilzunehmen. Der edpb besteht aus Vertretern der nationalen Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten (EDSB). Die Aufsichtsbehörden der EWR-/EFTA-Staaten sind im Hinblick auf Angelegenheiten in Verbindung mit der DSGVO ebenfalls Mitglied, allerdings ohne Stimmrecht und ohne das Recht, zum Vorsitzenden oder zu stellvertretenden Vorsitzenden gewählt zu werden. Der EDSA gründet sich auf die Datenschutz-Grundverordnung (DSGVO) und hat seinen Sitz in Brüssel. Die Europäische Kommission sowie – im Hinblick auf Angelegenheiten in Verbindung mit der DSGVO – die EFTA-Überwachungsbehörde sind berechtigt, ohne Stimmrecht an den Beratungen und Sitzungen des Ausschusses teilzunehmen.