privacy shield

2023 ging ja gut los: Kurz nach Jahreswechsel knallte es in der Datenschutzwelt. Die irische Datenschutzbehörde DPC hat dem Facebook-Konzern Meta eher widerwillig ein Bußgeld von 390 Millionen Euro aufgebrummt, weil dieser seit Jahren Informationen zur Verwendung von Kundendaten in den AGB versteckt und keine explizite Tracking-Einwilligung einholt. Gegen diesen direkten Angriff auf sein Geschäftmodell wird Meta in Irland gerichtlich vorgehen. In Auslegungssache 77 sprechen Holger und Joerg ausführlich über Entstehung und eventuelle Folgen des Falls. Dies ist aber nur der Einstieg in einen launischen Rückblick ins Datenschutz-Jahr 2022, den die beiden fast schon traditionell mit Dr. Thomas Schwenke wagen. Thomas berät als Rechtsanwalt zu den Themen Datenschutz, Social Media und Marketing und produziert zusammen mit dem Radiojournalisten Marcus Richter den Podcast "Rechtsbelehrung". Im Rückblick geht es um Themen wie die berüchtigte Google-Fonts-Abmahnwelle, Aufsehen erregende Bußgelder, Trippelschritte hin zu einem neuen EU-US-Datentransfer-Abkommen, zweifelhafte EU-Gesetzesintitiativen, KI, und natürlich um Cookies. Außerdem wagt die Dreierrunde einige Prognosen zu dem, was die Datenschutzwelt 2023 am meisten beschäftigen könnte.

In dieser Folge geht es darum, wie der Datenschutz mit der enormen Entwicklung der Cloud-Lösungen in den vergangenen Jahren umgeht, wie die Aufsichtsbehörden diese prüfen und einschätzen und was öffentliche Stellen und privatwirtschaftliche Behörden bei deren Einsatz beachten sollten. Außerdem werfen wir einen kurzen Blick auf die jüngsten Entwicklungen zur Privacy-Shield-Nachfolge.

TADPF - damit haben wir wohl den kürzesten Titel ever in unserer mittlerweile mehr als einjährigen Padcasthostorie hinbekommen... 😀 Nein - unsere Tastatur⌨ ist nicht defekt...😉 Bei TADPF handelt es sich um ein Akronym und dieses steht für Trans-Atlantic Data Privacy Framework. Und damit sollen künftig nun endlich alle Probleme bei der Drittlandübermittlung in die USA gelöst sein...

Einen "großen Durchbruch" für den internationalen Datenverkehr hatten US-Präsident Joe Biden und EU-Kommissionspräsidentin Ursula von der Leyen Ende März versprochen. In einer gemeinsamen Pressekonferenz vermeldeten sie eine "grundsätzliche Einigung" für ein neues Datenschutzabkommen, nachdem das Privacy Shield 2020 vom Europäischen Gerichtshof für rechtswidrig und damit unwirksam erklärt worden war. Mit ihrer Erklärung weckten die beiden Spitzenpolitiker große Hoffnungen bei Unternehmen dies- und jenseits des Atlantiks. Zu recht? Dieser Frage gehen Holger und Joerg in Episode 59 nach. Als Gast in dieser Folge schätzt Prof. Alexander Golland die Lage kompetent ein. Alexander lehrt, forscht und publiziert schwerpunktmäßig zum deutschen und europäischen Datenschutzrecht. Er hält eine Professur für Wirtschaftsrecht an der Fachhochschule Aachen. Zunächst klären die drei, welche Voraussetzungen für einen sicheren Datentransfer in Staaten außerhalb der EU gegen sein müssen: Nach Art. 45 DSGVO muss die EU-Kommission einen sogenannten Angemessenheitsbeschluss verabschieden, in dem dem Zielland ein dem der EU ähnliches Datenschutzniveau attestiert wird. Dies sst beispielsweise für die Schweiz, Kanada, Neuseeland oder Japan der Fall. Warum die Kommission nach dem Brexit sehr eilig einen befristeten Angemessenheitsbeschluss mit dem Vereinigten Königreich (UK) herbeigeführt hat, erklärt Alexander ausführlich. Außerdem schildert er detailliert, wie steinig und zeitraubend der formale Weg zu einem neuen Angemessenheitsbeschluss zur Datensicherheit in den USA sein wird. Deshalb dämpft er die Erwartungen für eine baldige neue Rechtsgrundlage: "Vor 2023 wird das eher nicht klappen", lautet seine Prognose, die sich mit der vieler anderen Experten deckt. Viele Unternehmen bringt das nun in eine schwierige Situation: Bis Ende 2022 müssen sie ihren Datentransfer mit den Juni 2021 aktualisierten Standard-Vertragsklauseln (SCC) rechtlich absichern. Dann sind sie auch verpflichtet, eine Risikoabschätzung im Rahmen eines Transfer Impact Assessments (TIA) vorzuhalten - was erhebliche zusätzliche Kosten verursacht. Die SCC-Vertragsparteien müssen darin darstellen, dass der Empfänger der Daten im Drittland in der Lage ist, den rechtlichen Anforderungen nachzukommen. Was also tun? Sollten die Unternehmen darauf vertrauen, dass die EU-Kommission bis dahin einen Beschluss zustande bekommt - oder sollten sie doch vorbeugend in den sauren, teuren Apfel beißen? Alexander gibt im Podcast Hinweise.

In Jubiläumsfolge 25 von HÄRTING.fm begrüßen Euch Martin Schirmbacher mit Co-Host Marlene Schreiber. Unser Gast ist Henry Neulitz-Braun, Senior Legal Counsel bei Jimdo, einem Anbieter von Website-Baukästen und Online-Tools speziell für Selbstständige und kleine Unternehmen. Henry hat bei Jimdo einen Whistleblowing-Meldekanal eingeführt und berichtet in dieser Folge über die Herausforderungen in der Praxis. Es geht zunächst um die Whistleblower-Richtlinie und die - noch fehlende - Umsetzung in Deutschland. Henry erklärt, warum es dennoch sinnvoll ist, sich jetzt mit dem Thema auseinanderzusetzen und in Unternehmen mit mehr als 50 Beschäftigten eine Möglichkeit einzuführen, Missstände zu melden. Dann geht es um die Praxis und die konkrete Einführung des Meldekanals bei Jimdo. Nach einem kleinen Ausflug ins Datenschutzrecht gibt Henry schließlich ein paar Tipps für eine pragmatische Umsetzung in Unternehmen. In den News geht es um E-Commerce und die durchaus diffizilen Anforderungen, die das neue Gesetz über faire Verbraucherverträge aufstellt. Marlene berichtet von der Notwendigkeit, AGB anzupassen und einen oder mehrere Kündigungsbuttons in die eigene Website zu integrieren. Schließlich geht es um die Nachricht aus der letzten Woche, dass der Datentransfer in die USA endlich auf rechtssicherere Beine gestellt werden soll. Martin erläutert kurz, worauf sich die Unterhändler von Weißem Haus und EU-Kommission geeinigt haben. Für eine Bewertung, was der EuGH einmal dazu sagen wird, ist es noch deutlich zu früh, für eine Empfehlung, wie sich Unternehmen deswegen zu verhalten haben, dagegen nicht.

„Münchner Cloud-Startup macht Microsoft Konkurrenz“. Diese Schlagzeile sorgte doch für überraschtes Interesse hier in der Redaktion.

Daher ist in dieser Episode der Datenschutzexperten Stefan Sander zu Gast, der nicht nur IT-Fachanwalt, sondern auch studierter Software System Ingenieur ist und u.a. diese Fragen beantwortet: • Welche Konsequenzen bringt der Corona-bedingte Wandel unseres Geschäfts mit sich? • Wie gehen wir mit der Erhebung von sensiblen Gesundheitsdaten um? • Welche Rollen und Verantwortlichkeiten gibt es im Datenschutz? • Welche Aufgaben hat der Datenschutzbeauftragte – und vor allem: welche nicht? • Was bedeutet das gekippt Privacy Shield, wenn wir mit Anbietern zusammenarbeiten, die ihre Serverstandort in den USA haben? • Ganz konkret: was droht mir wirklich, wenn ich gegen die DSGVO verstoße?

Als der Europäische Gerichtshof am 16. Juli 2020 mit dem sogenannten Schrems II-Urteil das Datenschutzabkommen Privacy Shield für ungültig erklärte, war dem Austausch personenbezogener Daten zwischen der EU und den USA auf einen Schlag die Legitimation entzogen. Datenschützer hatten dieses Urteil längst kommen sehen, denn das europäische Recht auf informationelle Selbstbestimmung ist mit der Realität der US-amerikanischen Datenverarbeitung unvereinbar. Trotzdem hat diese neue Rechtslage die Verantwortlichen vor eine gigantische Aufgabe gestellt: Es muss garantiert werden, dass in allen gesellschaftlichen Bereichen datenschutzkonforme Digitalisierung möglich wird. Deutschland ist aber weit davon entfernt, zentrale Aufgaben wie Bildung und Verwaltung datenschutzkonform digital organisieren zu können. Rückgriffe auf Angebote, die personenbezogene Daten in die USA übertragen, scheinen kaum vermeidbar – hier klaffen Anspruch und Wirklichkeit auseinander. Alexander Roßnagel ist Professor für öffentliches Recht an der Universität Kassel und jetzt Datenschützer im Hauptberuf: Im März 2021 hat der Wissenschaftler und Datenschutzexperte das Amt des Hessischen Beauftragten für Datenschutz und Informationsfreiheit übernommen. Im Digitalgespräch spricht er über den Arbeitsalltag und die dringendsten Aufgaben in seiner Behörde, erklärt Möglichkeiten und Spielräume, Datenschutz zu sichern und gibt Ausblicke auf kommende Herausforderungen. Mit den Gastgeberinnen Marlene Görger und Petra Gehring diskutiert er außerdem die Bedeutung von Datenschutz für ein selbstbestimmtes Leben und die Abwägung von Grundrechten und Werten, die sich daran orientiert.

Interviewgast in der heutigen Folge ist Rechtsanwalt Lukas Bootz von der Kanzlei RESMEDIA in Mainz.

Diese Ausgabe der Cloud Computing Report Podcast News besteht aus einigen Auszügen des privacy provided Fireside-Talks mit Max Schrems, der Ende Mai 2021 stattfand.

In dieser Ausgabe der Cloud Computing Report Podcast News beschäftigen wir uns mit der Microsoft Ankündigung einer "EU-Datengrenze".

Am 16. Juli 2020 hat der Europäische Gerichtshof das Privacy Shield Abkommen zwischen der EU und den USA gekippt. Die Konsequenz: Personenbezogene Daten dürfen auf dieser Grundlage nicht mehr von der EU in die USA transferiert werden und auch andere zulässige Wege zur Datenübermittlung sind nur noch sehr schwer zu beschreiten. Doch welche Konsequenzen sind mit dem Urteil für Unternehmen verbunden? Wir haben bei Dr. Anja Hoffmann, LL.M. Eur. und RA Dr. Jan Dörrwächter nachgefragt. +++ Mehr zum Thema Privacy Shield finden Sie in unseren Zeitschriften Der Betrieb und Der Aufsichtsrat

Im Mittelpunkt der heutigen Ausgabe stehen zwei Themen, die wir hier im Cloud Computing Report Podcast regelmäßig behandeln, die es in den letzten Tagen aber sogar in die Schlagzeilen der großen Wirtschaftsmedien geschafft haben: Das EuGH-Urteil zum Privacy Shield und GAIA-X.

Das Dilemma USA & Datentransfer . Was hat das mit dem EuGH Privacy Shield Urteil auf sich? . Welche Auswirkungen hat das EuGH Urteil? . Was kann ich tun? --> NEUE Episode Nr. 44 EU-US Data Privacy Framework

Was hätte zum Brexit-Stichtag schlimmstenfalls passieren können aus Datenschutzsicht? Was sollte nun in der Übergangsfrist auf politischer und datenschützerischer Ebene passieren? Wie sollten die Unternehmen agieren, wenn es keinen Angemessenheitsbeschluss der EU für Großbritannien geben sollte? Wir lassen uns die möglichen Datenschutzfolgen des Brexit genau erklären von Dr. Imke Sommer, der Landesbeauftragten für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen.

Interviewgast ist J. Amadeus Waltz, Managing Director und Co-Founder der Firma Cloud Monsters. Das Unternehmen mit Standorten in Hamburg und München ist Salesforce-Partner. Im Gespräch unterhalten wir uns unter anderem über das EuGH Privacy Shield-Urteil und dessen Auswirkungen auf das Business der Cloud Monster als Partner eines amerikanischen Cloud Service Providers.

Das Privacy Shield wurde im Sommer für nichtig erklärt. Was hat sich dadurch verändert und wird sich noch ändern? Das besprechen wir in einer neuen heiseshow.

Diskussionen rund um den Datenschutz und die DSGVO werden hierzulande meist stark aus inländischer Sicht geführt. Sei es, wenn es um die Höhe von Bußgeldern, die Auslegung der DSGVO-Artikel oder um die praktischen Auswirkungen der DSGVO geht. Joerg und Holger weiten deshalb in Episode 22 einmal den Blick und schauen hinüber ins Nachbarland Österreich. Dort an der Universität Wien leitet Professor Nikolaus Forgó das Institut für Innovation und Digitalisierung im Recht. Prof. Forgó erläutert die Unterschiede im Institutionensystem zwischen den beiden Ländern und erklärt, warum die österreichische Datenschutzaufsicht zurückhaltender Bußgelder verhängt als die deutschen Behörden. Außerdem geht es um eine Kuriosität in der österreichischen DSGVO-Umsetzung: Obwohl es die Verordnung nicht vorsieht, umfasst sie auch den Schutz der Daten von juristischen Personen, also etwa von Unternehmen. Dies führte in Österreich bereits zu einigen gerichtlichen Auseinandersetzungen.

Der EuGH hat den Privacy Shield gekippt. Doch was nun? Grund genug für Laura und Cornelius über die Folgen für den internationalen Datentransfer zu philosophieren. Unter anderem geht es um die Traumatisierung der Amerikaner, SCC’s, Einwilligung und zu guter Letzt ein kleines Wunder. Wer wissen will, wie die beiden das Chaos um das Privacy Shield lösen würden, hört besser schnell rein!