Benutzeranmeldung
Jetzt Mitglied werden
Neueste Beiträge
Viel diskutiert
Neueste Kommentare
danbalans1325 kommentierte zu Fahrlehrer macht sich an Fahrschülerinnen ran: Widerruf der Fahrlehrererlaubnis
Stefan Chatzipa... kommentierte zu Bielefelder Maschinenbauer will Betriebsvorsitzenden kündigen – Verfahren vor dem LAG Hamm
oebuff kommentierte zu Neue Software für Poliscan - und nun????
Gast kommentierte zu Wenden auf Autobahn und Fahren gegen die Fahrtrichtung ist noch kein § 315c StGB
Meine Kommentare
Barbara Schmitz kommentiert am Permanenter Link
Auf der #DPI22 hat sich die BayLDA wohl dazu geäußert: https://twitter.com/DSGVO_Portal/status/1580211861014052864?t=vnjaaP6kOK...
Barbara Schmitz kommentiert am Permanenter Link
Hier noch die Q&As der EU Kommission zur E.O und zum weiteren Prozess:
https://ec.europa.eu/commission/presscorner/detail/en/qanda_22_6045
Barbara Schmitz kommentiert am Permanenter Link
In seinem Statement bemüht Max Schrems eine "europäische Definition" des Begriffs "verhältnismäßig" und kommt zu dem Schluss, dass die amerikanische Version (?) nur begrifflich gleich ist, aber eine andere Bedeutung hat und bedauert, dass " die Europäische Kommission auf Basis dieses Wortes, Europäer weiterhin ausspionieren lassen will."
Der EuGH äußert sich im Urteil zu Schrems II zur Verhältnismäßigkeit im Rahmen der Prüfungsfrage zu 5b):
Sind die Einschränkungen, denen das Recht einer natürlichen Person auf einen gerichtlichen Rechtsbehelf nach dem Recht der Vereinigten Staaten im Kontext der nationalen Sicherheit der Vereinigten Staaten unterliegt, im Sinne von Art. 52 der Charta verhältnismäßig, und gehen sie nicht über das in einer demokratischen Gesellschaft für Zwecke der nationalen Sicherheit erforderliche Maß hinaus?
unter RZ 180 folgendes:
Demzufolge lässt Section 702 des FISA in keiner Weise erkennen, dass für die darin enthaltene Ermächtigung zur Durchführung von Überwachungsprogrammen zum Zweck der Auslandsaufklärung Einschränkungen bestehen. Genauso wenig ist erkennbar, dass für potenziell von diesen Programmen erfasste Nicht-US-Personen Garantien existieren. Unter diesen Umständen ist diese Vorschrift, wie der Generalanwalt in den Nrn. 291, 292 und 297 seiner Schlussanträge der Sache nach festgestellt hat, nicht geeignet, ein Schutzniveau zu gewährleisten, das dem durch die Charta – in ihrer Auslegung durch die in den Rn. 175 und 176 des vorliegenden Urteils wiedergegebene Rechtsprechung, wonach eine gesetzliche Grundlage für Eingriffe in Grundrechte, um dem Grundsatz der Verhältnismäßigkeit zu genügen, den Umfang, in dem die Ausübung des betreffenden Rechts eingeschränkt wird, selbst festlegen sowie klare und präzise Regeln für die Tragweite und die Anwendung der betreffenden Maßnahme vorsehen und Mindesterfordernisse aufstellen muss – garantierten Niveau der Sache nach gleichwertig ist.
Schrems erklärt nun, dass diese (hier in fett gekennzeichneten Anforderungen des EuGH) nicht erfüllt seien, weill
Wie sehen Sie das? Hat sich nichts verändert? Kann ein neuer Angemessenheitsbeschluss auf der Grundlage der E.O. keinen Bestand vor dem EuGH haben?
Barbara Schmitz kommentiert am Permanenter Link
Im Newsletter Digital Bridge by Politico vom 29.9.2022 überlegt Mark Scott, was in der E.O. geregelt sein wird:
was nach der E.O. passieren könnte/wird:
und eine kritische Betrachtung der aktuellen transatlantischen Datenschutz-Diskussion:
Barbara Schmitz kommentiert am Permanenter Link
Vielen Dank für diesen BlogBeitrag. Gerne möchte ich folgende Überlegung einbringen:
In einem Informationspapier der Europäischen Kommission von 2015 mit dem Titel „Handel für alle - Hin zu einer verantwortungsbewussteren Handels- und Investitionspolitik“ heißt es (noch): „Das Ziel der EU sollte die Schaffung weltweit gleicher Wettbewerbsbedingungen ohne Diskriminierung sowie die Beseitigung ungerechtfertigter Datenlokalisierungsvorschriften sein. Europa sollte dieses Ziel in bilateralen, plurilateralen und multilateralen Foren verfolgen.“
Dieses Ziel scheint Brüssel unter anderem mit der gemeinsamen Stellungnahme von EDPB-EDPS 03/2022 und der Regelungen in Art. 31 des Data Governance Act aufgegeben zu haben!
In der BT-Dr. 19/30882 vom 21.6.2021 beantragen mehrere MdBs einen „Neustart der internationalen Handelspolitik“ und fordern die Bundesregierung unter II. 2 a) iv) auf, "sich für einen multilateralen Welthandel und damit eine echte globale Partnerschaft einsetzt, die im Rahmen der Joint Statement Initiative Verhandlungen auf WTO -Ebene über ein Abkommen zum E-Commerce sicherzustellen, dass die Regelungen im Abkommen die Regulierungshoheit der EU, insbesondere in den Bereichen Datenschutz, Verbraucherschutz und Wettbewerbspolitik, nicht gefährden und einschränkende Bestimmungen zur Datenlokalisierung weit gefasste Ausnahmen für legitime Entwicklungsziele beinhalten und Gegenstand einer Revisionsklausel sind;“
Die Europäische Union ist (Gründungs-)Mitglied der Joint Initiative on E-Commerce.
Am 26.4.2019 hat die Europäische Union in dieser WTO Joint Initiative einen Vorschlag (INF/ECOM/22 (19-2880)) eingebracht, der u.a. folgendes beinhaltete:
2.7 Cross-Border Data Flows
1. Members are committed to ensuring cross-border data flows to facilitate trade in the digital economy. To that end, cross-border data flows shall not be restricted by:
(a) requiring the use of computing facilities or network elements in the Member's territory for processing, including by imposing the use of computing facilities or network elements that are certified or approved in the territory of the Member;
(b) requiring the localization of data in the Member's territory for storage or processing;
(c) prohibiting storage or processing in the territory of other Members;
(d) making the cross-border transfer of data contingent upon use of computing facilities or network elements in the Member's territory or upon localization requirements in the Member's territory.
Weder im der Joint Opinion von EDPS/EDPB 03/2022 noch im DGA findet sich eine explizite Abkehr von diesen Stellungnahmen und Erklärungen. Gelten sie einfach nicht mehr? Reicht ein EU-BINNEN-Markt für den digitalen Handel? Macht es Sinn in WTO- und Privacy-Silos zu denken und die notwendige Verknüpfung außen vor zu lassen? Ist Datenschutz und Privatheit von Daten nur mit digitalen Protektionismus sicherzustellen? Schade wäre´s!
Barbara Schmitz kommentiert am Permanenter Link
Die LDI Ba-Wü Stellungnahme ist absolut lesenswert. Sie seziert passgenau die Schwachstellen der Vergabekammer. Zum einen die Nichtbeachtung vorhandener Vertragsklausel für die Prüfung eines adäquaten Drittlandtransfers. Zum anderen das Zugriffsrisiko staatlicher (Drittland-) Stellen als unzulässige Übermittlung (= Verarbeitung) anzusehen. Der Hinweise des LDI darauf, dass für „solche Zugriffsrisiken wirksame Gegenmittel in Gestalt sog. „technisch-organisatorischer Maßnahmen“ existieren, die letztlich jedes Risiko ausschließen können.“ ist hilfreich und richtig.
Interessant aber auch der Nebensatz zum „risikobasierten Ansatz“: „Dass die DS-GVO einen „risikobasierten Ansatz“ zugunsten Verantwortlicher eingeführt habe, wird von interessierten Kreisen zwar immer wieder (und in dieser Pauschalität wenig überzeugend) vorgebracht. Dass dieser Ansatz jetzt aber zu Lasten von Verantwortlichen und Auftragsverarbeitern umgedreht werden dürfte, überzeugt ebenso wenig.“ Damit gibt es -nach meinem Verständnis- für den „risikobasierte Ansatz“ in der DS-GVO durchaus eine Daseinsberechtigung. Die Anforderungen daran sollten allerdings konkreter werden.
#privacyworks #dsgvoworks
Barbara Schmitz kommentiert am Permanenter Link
Dr. Axel Spies hat dankenswerter Weise in diesem Zusammenhang auf die Leitlinien der dänischen Datenschutzbehörde vom März zu Cloud-Diensteanbietern (CSPs) hingewiesen, die praxisnah u.a. folgende Anforderungen aufführen und damit im absoluten Gegensatz zu den Ausführungen der Vergabekammer stehen:
RZ 3.6 übersetzt: "Es ist an sich nicht rechtswidrig, einen CSP zu nutzen, dessen [Drittland-]Muttergesellschaft [inländischen] Gesetzen unterliegt ... was den Strafverfolgungsbehörden die Befugnis gibt, Informationen anzufordern, die sich im Besitz anderer Gruppenmitglieder befinden, einschließlich solcher in der EU/EWR."
RZ. 25 "dass ein Verantwortlicher personenbezogene Daten an einen CSP, der unter die FISA fällt, ohne zusätzliche Maßnahmen übermitteln kann, wenn der für die Verarbeitung Verantwortliche nachweisen kann, dass in der Praxis nicht auf sie zugegriffen wird - zum Beispiel wenn der CSP schlicht bisher keine Anfragen erhalten hat".
Barbara Schmitz kommentiert am Permanenter Link
Lieber Herr Spies,
vielen Dank fürs Teilen der EDPB FAQs zu den neuen SCC.
Diese Pflicht des Auftragsverarbeiters die Subunternehmer und auch der Änderung dem Verantwortlichen mitzuteilen, erwächst mE aus der Dokumentationspflicht der DS-GVO. Nur so kann der Verantwortliche nachweisen und prüfen, wo „seine“ Daten verarbeitet werden.
Um diese Pflicht praxisnah auszugestalten, erlebe ich immer öfter die von Ihnen angesprochenen Weblinks, die mal mehr und mal weniger agil und aktuell sind. Inzwischen bieten einige Unternehmen sogenannte Newsletter an, mit denen Sie den verantwortlichen Auftraggeber über Änderungen der Subunternehmer informieren. Auf der Auftraggeberseite stellt sich dann die Herausforderung für einen entsprechenden Informations- und Dokumentationsprozess. Wo geht diese Info ein? Beim Einkauf oder in der Datenschutzabteilung und wer bearbeitet die Info und lehnt im Zweifel den neuen Subunternehmer ab und was passiert dann mit dem gesamten Vertrag?
Ehrlicherweise gab es diese Fragestellung auch schon vor den neuen SCC – nur ist nun der (vorhandene oder fehelende) unternehmensseitige Prozess im Rahmen der AVV-Dokumentation stärker in den Fokus gerückt.
Barbara Schmitz kommentiert am Permanenter Link
EU-Justizchef Didier Reynders - Pressekonferenz vom 30.3.2022 zum #TADPF-Verfahren -> Umsetzung möglich bis Ende 2022 (ab Minute 21:47)
Barbara Schmitz kommentiert am Permanenter Link
Das hört sich durchaus belastbar an:
FACT SHEET: United States and European Commission Announce Trans-Atlantic Data Privacy Framework | The White House
"The new Trans-Atlantic Data Privacy Framework underscores our shared commitment to privacy, data protection, the rule of law, and our collective security as well as our mutual recognition of the importance of trans-Atlantic data flows to our respective citizens, economies, and societies. Data flows are critical to the trans-Atlantic economic relationship and for all companies large and small across all sectors of the economy."
Seiten