Die Zertifizierung als rechtssichere Grundlage für Datenübermittlungen in Drittstaaten?

Internationale Datentransfers außerhalb des EWR sind in der Wirtschaft praktisch alternativlos: Etliche Tools basieren auf US-Dienstleistungen, nutzen Server in Israel oder anderen Ländern außerhalb des EWR. Spätestens, seitdem der EuGH im Schrems II-Urteil das EU-US-Privacy-Shield kippte und spezifische Prüfpflichten für die Standardvertragsklauseln betont hat, sind jedoch gerade Datenübermittlungen in die USA mit sehr viel mehr Prüfaufwand, Rechtsunsicherheit und Risiken verbunden. Mit seinen neuen Leitlinien ruft der Europäische Datenschutzausschuss (EDSA) die Zertifizierung als Instrument zur rechtlichen Absicherung von Datenübermittlungen auf den (…) Weiterlesen

Immer wieder Google: Websitegestaltung überprüfen!

Die Tools von Google erleichtern die Websitegestaltung enorm. Gleichzeitig stehen sie im Fokus der Datenschutzbehörden. Aktuelle Entwicklungen gibt es zu Google Analytics und Google Fonts (Schriftartenbibliothek). Was Sie beim Einsatz dieser Tools beachten – und gerade in Bezug auf Google Fonts zeitnah ändern – sollten, erfahren Sie in diesem Artikel. 1. Google Fonts Zum Jahresbeginn hat das LG München eine folgenreiche Entscheidung getroffen: Es hat einem Websitebesucher einen Schadensersatz i.H.v. 100 Euro gegen den Websitebetreiber zugesprochen, weil dieser Google Fonts (…) Weiterlesen

Internationale Übermittlungen und Zugriffe 

Im Datenschutzrecht ist der Drittlandtransfer seit jeher gesondert zu erlauben – der Data Act transferiert diesen Gedanken nun auf nicht-personenbezogene Daten. Auch diese sind nach dem Entwurf vor einer ungerechtfertigten internationalen Übermittlung und vor dem Schutz des Zugriffs durch staatliche Stellen anderer Länder zu schützen. Dies soll das Vertrauen der Nutzer stärken und dient etwa dem Geheimnis- und Know-How-Schutz.  Eingebettet ist die Regelung in eine Vielzahl von Neuerungen für eine zukunftsweisende Datenwirtschaft. Einen allgemeinen Überblick über den Data Act finden Sie hier: (…) Weiterlesen

Drittstaatentransfer: Helfen neue Gutachten in der Praxis?

Ein für Unternehmen immer noch leidiger Dauerbrenner: Um das Datenschutzrisiko beim Datentransfer in Länder außerhalb des EWR zu minimieren, muss bei der Verwendung der Standardvertragsklauseln (SCC) im Einzelfall die Rechtslage im Zielland geprüft werden: Erlaubt das nationale Recht dem Datenimporteur, die Vertragsregeln einzuhalten? Oder bestehen nationale Rechtsvorschriften, die dies ausschließen? Diese notwendige Prüfung und Risikobewertung ist in der Praxis komplex. Die Aufsichtsbehörden haben nun Gutachten veröffentlicht, um die Praxis zu entlasten – sie geben Hinweise zu den USA, China, Indien (…) Weiterlesen

Darf Google Analytics noch verwendet werden?

Google Analytics verstößt gegen die DSGVO, die Nutzung dieses Tools ist rechtswidrig. Solche und ähnliche Schlagzeilen haben in den letzten Wochen eine ganz erhebliche Verbreitung in den Medien gefunden. UPDATE: Am 10.2.2022 haben sich diese Schlagzeilen erneuert – die französische CNIL hat den Einsatz von Google Analytics im dort zu entscheidenden Fall ebenfalls für unzulässig erklärt. Ist Google Analytics damit jetzt ein Compliance-Risiko und die Abschaltung dringend anzuraten? Wir haben die Hintergründe der verbreiteten Schlagzeilen einmal näher betrachtet. Grund und (…) Weiterlesen

Erste Gerichtsentscheidung zum Drittstaatentransfer: Online-Tools vor dem Aus?

Das VG Wiesbaden untersagt der Hochschule RheinMain vorläufig den Einsatz des Consent Management Tools „Cookiebot“: Die Nutzung des Dienstes, mit dem Einwilligungen in die Cookie-Verwendung abgefragt werden können, führe zu einem unzulässigen Drittstaatentransfer. Die Entscheidung des VG Mainz ist die erste veröffentlichte Gerichtsentscheidung zum Drittstaatentransfer personenbezogener Daten nach dem Schrems II-Urteil des EuGH. Sie hat enorme Sprengkraft. UPDATE: Der VGH Hessen hat die Entscheidung des VG Wiesbaden aufgehoben. Cookiebot darf vorläufig weiter genutzt werden. Dies hat allerdings keinen datenschutzrechtlichen Hintergrund, (…) Weiterlesen

Neues zum Drittstaatentransfer

Wann dürfen US-Dienstleister datenschutzkonform genutzt werden? Was gilt es zu beachten, um das Datenschutzrisiko beim Transfer von Daten in Länder außerhalb des EWR zu minimieren? Seit der EuGH-Entscheidung in Sachen Schrems II sind diese Fragen ein (leidiger) Dauerbrenner. Vor wenigen Tagen hat der Europäische Datenschutzausschuss neue Leitlinien hierzu erlassen. Wir haben das Wichtigste daraus für Sie zusammengefasst. Die Leitlinien 05/2021 des Europäischen Datenschutzausschusses (EDSA), die am 18.11.2021 angenommen wurden, befassen sich mit dem „Zusammenspiel zwischen der Anwendung von Artikel 3 (…) Weiterlesen

Neue DPAs von AWS und Microsoft: Ist jetzt alles gut?

AWS und Microsoft haben in den letzten Wochen neue Verträge zur Datenverarbeitung veröffentlicht. Damit gelten für die Angebote dieser beiden großen Dienstleister jetzt die neuen Standardvertragsklauseln. Sind damit alle „US-Probleme“ gelöst? Ganz so einfach ist es leider nicht. Worum geht es hier? Für viele von Ihnen ist es inzwischen der tägliche Begleiter: Risikohinweis US. Kaum ein größeres Reizthema begleitet die Datenschützer nun seit über einem Jahr. US-Dienstleister können kaum ohne Datenschutzrisiko genutzt werden, denn zumindest für Support-Dienstleistungen greifen fast alle (…) Weiterlesen