iusNet Digitales Recht und Datenrecht

Schulthess Logo

Schrems II

Der Angemessenheitsbeschluss des EU-US Data Privacy Frameworks – der finale Text und wie es weiter geht

Fachbeitrag
Datentransfer

Der Angemessenheitsbeschluss des EU-US Data Privacy Frameworks – der finale Text und wie es weiter geht

Die Europäische Union und die Vereinigten Staaten von Amerika haben das EU-US Data Privacy Framework (EU-US DPF) unterzeichnet, ein wichtiges Abkommen über den angemessenen Schutz personenbezogener Daten bei der Übermittlung von der EU in die USA. Die Europäische Kommission erliess am 10. Juli 2023 den Angemessenheitsbeschluss zum EU-US DPF, der es US-Unternehmen ermöglicht, Daten aus der EU zu empfangen, ohne zusätzliche Genehmigungen einholen zu müssen. Dieser Beschluss folgte auf die Verabschiedung der Executive Order 14086 durch die USA, um die Anforderungen des Schrems-II-Urteils zu erfüllen. Das EU-US DPF etabliert verbindliche Datenschutzprinzipien für teilnehmende US-Unternehmen und stellt sicher, dass der Datenzugriff durch US-Behörden auf das notwendige Mass beschränkt wird. Es beinhaltet auch ein neues Datenschutzgericht in den USA, das Beschwerden von betroffenen Personen in der EU über den Datenzugriff durch US-Nachrichtendienste prüft und entscheidet. Der Angemessenheitsbeschluss zielt darauf ab, den reibungslosen Datenfluss zwischen der EU und den USA zu gewährleisten und gleichzeitig den Schutz der Privatsphäre und der Grundrechte der betroffenen Personen zu gewährleisten. Es bleibt jedoch abzuwarten, wie die Datenschutzmassnahmen in der Praxis angewendet werden und ob sie insbesondere den Bedenken des Europäischen Datenschutzausschusses gerecht werden.
Olivier Heuberger
iusNet DigR 24.07.2023

Drittstaatenübermittlung post Schrems II: Landgericht Köln entscheidet über Datenübermittlung an Google

Rechtsprechung
Datentransfer
DSGVO

Drittstaatenübermittlung post Schrems II: Landgericht Köln entscheidet über Datenübermittlung an Google

Das Landgericht Köln hat entschieden, dass die Übermittlung von personenbezogenen Daten bei Besuch der Webseite "www.telekom.de" an Google LLC Server in die USA rechtswidrig ist, basierend auf der "Schrems II" Entscheidung des Europäischen Gerichtshofs. Das Gericht stellte auch fest, dass die Übermittlung von Positivdaten an die SCHUFA, die von der Verbraucherzentrale NRW beanstandet wurde, zwar rechtswidrig war, jedoch der Unterlassungsantrag zu weit gefasst war. Das Urteil ist noch nicht rechtskräftig.
iusNet DigR 25.05.2023

Suva und die Cloud

Fachbeitrag
Datenschutzverletzungen
Datentransfer

Suva und die Cloud

Die Suva will in die Cloud, der EDÖB sieht das kritisch, die Suva hält dagegen

Angestossen durch eine Risikobeurteilung der Suva äussert sich der EDÖB kritisch zu wesentlichen Punkten der geplanten Verlagerung der Inhalts- und Mitarbeiterdaten in die Cloud von Microsoft mit Rechenzentrum in der Schweiz: So sei etwa der Umfang der Datenschutz-Folgenabschätzung infolge der Cloud-Verlagerung unklar. Sofern ein Datentransfer in die USA stattfindet, bleibt zu klären, ob der US Cloud Act anwendbar ist, sowie ob wie ein risikobasierter Ansatz zur Beurteilung des Zugriffs einer Ausländischen Behörde beurteilt werden muss. Über diese grundlegenden Fragen, sind sich der EDÖB und die Suva ziemlich uneins.
Denis F. Berger
iusNet DigR 25.07.2022

Neues vom EDÖB: Mitteilung des EDÖB zu den neuen Standardvertragsklauseln

Gesetzgebung
DSG
DSGVO
Datentransfer
Neues vom EDÖB: Mitteilung des EDÖB zu den neuen Standardvertragsklauseln
In Hinblick auf den Schrems II Entscheid und die Ausserkraftsetzung des Privacy Shields wurden die Standardvertragsklauseln überarbeitet. In seiner Mitteilung geht der EDÖB einerseits auf die neuen Vertragsklauseln ein, andererseits auch auf deren Anwendung im Zusammenhang mit dem revidierten schweizerischen Datenschutzgesetz.
iusNet DigR 29.09.2021

Cookies in aller Munde

Fachbeitrag
Data Governance und Compliance

Cookies in aller Munde

Ein Versuch einer Einordnung zwischen nudging, dark patterns, geltendem und noch nicht geltendem Recht

Cookie-Banner sind derzeit wieder im Fokus von Datenschutzaufsichtsbehörden, Unternehmen und anderen Organisationen. Die NGO none of your business (noyb) um Max Schrems startete kürzlich eine Initiative, die Unternehmen dazu bringen soll, ihre Cookie-Policies und Cookie-Banners so anzupassen, dass diese dem Verständnis von noyb für den rechtskonformen Einsatz von Cookies entsprechen. In der EU besteht zwar Klarheit darüber, dass Cookies aktiv akzeptiert werden müssen. EU-Datenschutzaufsichtsbehörden haben indes unterschiedliche Ansätze, wie Unternehmen Cookies einsetzen dürfen. In der Schweiz genügt unter aktuellem Recht eine transparente Information darüber, welche Daten zu welchem Zweck bearbeitet werden sowie ein Hinweis auf ein Ablehnungsrecht von technisch nicht notwendigen Cookies. Das wird sich auch mit dem revidierten DSG nicht wesentlich ändern. Letztlich hat sich aber der EU-Standard auch in der Schweiz etabliert und dürfte mittlerweile der Erwartungshaltung des Publikums entsprechen.
Martina Arioli
iusNet DigR 28.06.2021

EU-Kommission veröffentlicht erneuerte Standardvertragsklauseln

Gesetzgebung
DSGVO
EU-Kommission veröffentlicht erneuerte Standardvertragsklauseln
Die EU-Kommission veröffentliche anfangs Juni die neuen Standardvertragsklauseln, die eine rechtmässige Übermittlung von personenbezogenen Daten in Nicht-EU-Länder ermöglichen. Die Umsetzung von Schrems II führt zu umfangreichen Beurteilungen und Dokumentation der Auswirkungen der Rechtsvorschriften des Bestimmungsdrittlandes auf die Einhaltung der SCC durch den Datenimporteur. Die neuen SCC sind nach einer dreimonatigen Übergangsfrist per 27. September 2021 anwendbar. Bestehende Verträge mit SCC sind bis zum 27. Dezember 2022 umzuschreiben.
iusNet DigR 28.06.2021

EDPB verabschiedet finale Empfehlung zum grenzüberschreitenden Datenfluss

Gesetzgebung
Datentransfer
EDPB verabschiedet finale Empfehlung zum grenzüberschreitenden Datenfluss
Der Europäische Datenschutzausschuss publizierte am 21. Juni 2021 Empfehlungen (erlassen am 18. Juni 2021), wie Transfers von Datenexporteuren, die der Datenschutzgrundverordnung unterstehen, rechtmässig an Datenimporteure, die dieser nicht unterstehen, stattfinden können. Ob eine Datenübertragung in ein Drittland stattfinden kann, erläutert der EDPB in sechs vorzunehmenden Schritten, die der Datenexporteur durchzuführen hat. Diese beinhalten Prüfkriterien, Fallbeispiele und Empfehlungen zu allenfalls erforderlichen Massnahmen, die geeignet sind, ein im Wesentlichen gleichwertiges Schutzniveau für in Drittländer übermittelte Daten zu gewährleisten.
iusNet DigR 28.06.2021

Entscheid Schrems II ECLI:EU:C:2020:559 (Schrems II)

Rechtsprechung
DSGVO

Entscheid Schrems II ECLI:EU:C:2020:559 (Schrems II)

Bei diesem Vorabentscheid ging es im Wesentlichen darum, ob das Privacy Shield Abkommen zwischen der USA und der EU ein angemessenes Schutzniveau aufweist, um die Übermittlung von Personendaten ohne weitere Massnahmen erlauben zu können.
iusNet DigR 26.04.2021