News

Wieder einmal wollen Behörden in den USA den vollen Zugriff auf Kundendaten von US-Unternehmen – auch wenn diese Daten in Rechenzentren in Europa gespeichert sind. Der oberste Gerichtshof der Vereinigten Staaten muss nun entscheiden, ob dies rechtens ist. Falls er den Zugriff auf die Daten für legitim erklärt, hätte dies katastrophale datenschutzrechtliche Auswirkungen.

Die sogenannten EU-Standardvertragsklauseln werden von höchstrichterlicher Stelle geprüft. Der irische Gerichtshof hat die Frage der Rechtmäßigkeit der Klauseln dem Europäischen Gerichtshof (EuGH) vorgelegt. Nachdem der EuGH im Jahr 2015 bereits das Safe-Harbor-Abkommen für ungültig erklärte, ist die gerichtliche Überprüfung der Standardvertragsklauseln für Datenschutzexperten keine große Überraschung. Ein ähnlich vernichtendes Urteil würde jedoch alle Unternehmen, die personenbezogene Daten in die USA übermitteln, vor sehr große Probleme stellen.

Dass US-Präsident Donald Trump nicht viel vom Datenschutz hält, hat er schon mehrfach gezeigt. Zukünftig könnten Unternehmen innerhalb der EU davon betroffen sein. Denn ob das erst 2016 ausgehandelte EU-U.S. Privacy Shield Bestand haben wird, ist derzeit sehr fraglich. Ohne dieses Abkommen ist eine Übertragung personenbezogener Daten in die USA aber juristisch (nahezu) unmöglich.

Knapp ein Jahr vor Anwendbarkeit der europäischen Datenschutz-Grundverordnung (DSGVO) hat der Bundestag am 27. April 2017 das Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) verabschiedet. Es dient der Novellierung des Bundesdatenschutzgesetzes (BDSG), damit dieses den Anforderungen der neuen DSGVO gerecht wird. Deutschland ist damit der erste EU-Staat, der von den Anpassungsklauseln der DSGVO Gebrauch macht und europäische Datenschutz-Vorschriften für Unternehmen und Aufsichtsbehörden konkretisiert.

Am 25. Mai 2018 wird die EU-Datenschutz-Grundverordnung (DSGVO) unmittelbar anwendbar. Bis zu diesem Zeitpunkt müssen die nationalen Gesetzgeber dafür Sorge tragen, dass Aufsichtsbehörden und Unternehmen gleichermaßen wissen, worauf sie zu achten haben. Auch das deutsche Datenschutzrecht ändert sich in entscheidenden Punkten. Das wichtigste Gesetz dafür könnte schon sehr bald in Kraft treten. Spätestens dann kommt auf datenverarbeitende Unternehmen ein gutes Stück Arbeit zu.

Unternehmen mit Sitz in Bayern, die eine Website betreiben, könnte kurzfristig eine Überprüfung des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) in Haus stehen. Konkretes Prüfinteresse der Datenschützer ist dieses Mal die Verschlüsselung von Websites. Auf welche Fragen Unternehmen sich vorbereiten sollten und was die technischen Hintergründe sind, erklärt unser Beitrag.

Am 12. Juli 2016 verabschiedete die EU-Kommission das von allen Beteiligten sehnlichst erwartete EU-U.S. Privacy Shield. Es löst das durch Urteil des Europäischen Gerichtshofs für ungültig erklärte Safe-Harbor-Abkommen ab. Nachdem ein erster Entwurf für das Abkommen zur Ermöglichung von Datentransfers in die USA bereits Ende Februar 2016 auf dem Tisch lag, folgten noch weitere Abstimmungsrunden, bis das Regelwerk endlich von allen Seiten abgesegnet wurde. In einer Pressemitteilung verkündete die EU-Kommission nun ihren Beschluss zum EU-U.S. Privacy Shield.

Nachdem die Verabschiedung der EU-Datenschutz-Grundverordnung in Europa bereits viel Aufmerksamkeit auf sich zog, werden auch andere Regionen auf die neuen Vorschriften zum Datenschutz aufmerksam. Vor allem Artikel 3 der Datenschutz-Grundverordnung, der deren Anwendungsbereich auch auf Unternehmen erweitert, die keine Niederlassung in Europa haben, führt zu viel Aufregung, wie eine Präsentation der activeMind AG in Hongkong zeigte.

Falls sich die Briten am 23. Juni 2016 für den sogenannten Brexit entscheiden, wird dies wirtschaftliche Folgen von bisher nicht absehbarem Ausmaß haben. Davon wären keineswegs nur Unternehmen in Großbritannien betroffen, auch viele Firmen in EU-Staaten müssten mit Änderungen rechnen. So sollte unter anderem die Bedeutung des Brexit für den Datenschutz nicht vernachlässigt werden. Denn wenn das Vereinigte Königreich aus der Europäischen Union austritt, stellt sich die Frage, unter welchen Bedingungen künftig überhaupt noch personenbezogene Daten an britische Unternehmen übertragen werden dürfen.

Seit der Einführung des Facebook-Marketingtools „Facebook Custom Audiences“ im Jahr 2012 war unklar, ob ein datenschutzkonformer Einsatz für werbetreibende Unternehmen möglich ist. Von den deutschen Datenschutzbehörden hatte sich bisher erst das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) mit einem vernichtenden Urteil zu einer der Custom-Audiences-Varianten geäußert. Gegenüber der activeMind AG bestätigte die Behörde nun, dass bayerische Unternehmen derzeit stichprobenartig auf den Einsatz des Tools überprüft werden, was bundesweit Konsequenzen nach sich ziehen könnte. Wo liegen die datenschutzrechtlichen Schwachstellen von Facebook Custom Audiences? Ist ein datenschutzkonformer Einsatz (mancher Varianten) möglich?