Aktivisten begrüßen Entscheidung
Facebook-Urteil: EuGH erklärt Datenweitergabe an USA für nicht zulässig
Der Gerichtshof der Europäischen Union (EUGH) mit Sitz in Luxemburg hat heute sein Urteil in der Rechtssache Facebook Ireland vs. Max Schrems gefällt und die bisherige Praxis der Datenweitergabe an die Facebook-Zentrale in die USA gekippt.
After a first read of the judgement on #PrivacyShield it seems we scored a 100% win – for our privacy
The US will have to engage in serious surveillance reform to get back to a "privileged" status for US companies.
More details here: https://t.co/t7LFgE7LmT#ThanksToEveryone!
— Max Schrems 🇪🇺🇦🇹 (@maxschrems) July 16, 2020
Verhandelt wurde, ob das soziale Netzwerk gegen europäisches Recht verstößt, wenn Daten aus der EU an die amerikanische Zentrale in den USA übermittelt werden und hier auch den amerikanischen Sicherheits-Behörden zum uneingeschränkten Zugriff vorliegen.
Das EuGH stimmt damit nicht nur der Kritik des klagenden Datenschutz-Aktivisten Max Schrems zu, sondern kippt mit dem Urteil die zwischen den USA und Europa gültige Datenschutzvereinbarung „Privacy Shield“.
Der Gerichtshof erklärt den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig
In diesem PDF erklärt der Gerichtshof die Hintergründe der vor wenigen Minuten veröffentlichten Entscheidung. Ein Auszug:
[…] Der Gerichtshof führt zunächst aus, dass das Unionsrecht, insbesondere die DSGVO, auf eine zu gewerblichen Zwecken erfolgende Übermittlung personenbezogener Daten durch einen in einem Mitgliedstaat ansässigen Wirtschaftsteilnehmer an einen anderen, in einem Drittland ansässigen Wirtschaftsteilnehmer Anwendung findet, auch wenn die Daten bei ihrer Übermittlung oder im Anschluss daran von den Behörden des betreffenden Drittlands für Zwecke der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates verarbeitet werden können. Eine derartige Datenverarbeitung durch die Behörden eines Drittlands kann nicht dazu führen, dass eine solche Übermittlung vom Anwendungsbereich der DSGVO ausgenommen wäre.
Hinsichtlich der Pflichten, die den Aufsichtsbehörden im Zusammenhang mit einer solchen Übermittlung obliegen, befindet der Gerichtshof, dass diese Behörden, sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliegt, insbesondere verpflichtet sind, eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie im Licht der Umstände dieser Übermittlung der Auffassung sind, dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann, es sei denn, der in der Union ansässige Datenexporteur hat die Übermittlung selbst ausgesetzt oder beendet. […]
Damit steht fest: Es reicht nicht aus, wenn Facebook USA der eigenen Tochter in Irland zusichert, die übermittelten Daten im Sinne der DSGVO zu behandeln. Unternehmen müssen europäischen Aufsichtsbehörden mit sogenannten Standardvertragsklauseln vielmehr nachweisen, dass diese in der Praxis gewährleisten können, dass das vom Unionsrecht verlangte Schutzniveau eingehalten wird.
Schrems kommentiert: „Das Gericht hat ausdrücklich betont, dass die Aufhebung des Datenschutzschildes kein ‚Rechtsvakuum‘ schaffen wird, da die unbedingt notwendigen Datenflüsse weiterhin stattfinden können. Die USA werden nun einfach in ein durchschnittliches Land ohne besonderen Zugang zu EU-Daten zurückversetzt“.
Also schnell ne Scheinfirma in Irland aufbauen. Spart auch Steuern.
Hat damit nichts zu tun denn auch Apple, in Irland ansässig jedoch Hauptsitz USA, ist hiervon betroffen. Und meinst du etwa die ganzen Unternehmen haben nichts bereits schon Tochtergesellschaften in Europa um Steuern zu sparen und die fette Kohle in die USA zu schaffen? Auch dank Europa verschwinden Milliarden jährlich in nicht einmal Ländern, weil einige wenige Euro Staaten davon profitieren.
Der Knackpunkt ist der wo deine Daten landen und du glaubst doch nicht das deine iCloud Informationen nur von Apple in Irland verwaltet werden :)
Ps meinte nicht EU Länder.
Sehr gut! Damit muss dann auch WhatsApp die erfassten Telefonnummern DSGVO-konform verarbeiten.
Dafür ist es eh schon zu spät.. Die Nummern sind eh schon alle in der usa und in jensten datenbanken, die kommen dort nicht mehr so schnell weg
LOL
Genau. +1
Einfach nur lächerlich find ich das
Leute, WhatsApp und Facebook löschen und gut ist……
So einfach ist das leider nicht. Ich war nie bei WhatsApp oder Facebook. Trotzdem besitzt Facebook meine Daten, da jeder, der sich bei WhatsApp anmeldet, auch meine Daten ungefragt mit hochlädt.
Viel schlimmer ist das jede App mit Facebook SDK und jede Webseite mit Facebook Like Button deine Besuche/Nutzung an FB melden. Auch Google erfährt Dank analytics und Co ne menge über dein Verhalten….das ist das eigentlich schlimme….Denn da kommst du nur drum rum, wenn du überhaupt keine Apps verwendest und beim Browsen nach jeder Sitzung alle Cookies löscht.
Das ist leider richtig, ja so sollte man es machen, dazu alle Tracker deaktivieren bzw blocken. Ist jetzt auch kein Hexenwerk.
„Internet“ in den Papierkorb verschieben und gut ist!
Aber vorher den „Verlauf“ löschen!!
„Schatz, ich habe das Internet gelöscht!“
Geht der noch?
http://www.dasinternetabschalt.....en.de/
@Scoo: Hat bei mir nicht geklappt. :-)
Kein Gesetz, welches nicht doch irgendwie umgangen werden kann. Und wenn in regelmäßigen Abständen immer wieder Datenlecks doch für den notwendigen Transfer im sehr großen Stil sorgen.
Das müssen natürlich sehr große Datenmengen sein, damit sich die Strafzahlungen auch lohnen. Und die Länder / die EU haben auch noch was davon ;-)
Hut ab vor Max Schrems!
Das Urteil betrifft dann wohl auch Zoom, Apple iCloud, MS … und so weiter?
Oder hab ich das was falsch verstanden?
Versteh ich genauso, scheint für alle Firmen aus der USA zu gelten.
Das Urteil betrifft zunächst mal nur Unternehmen, die den Datenaustausch mit den USA auf das Privacy Shield stützen. Wie im Text geschrieben, sind also alle Unternehmen, die den Austausch auf die sog. EU Standardvertragsklauseln stützen, nicht betroffen. Zu Letzteren gehört übrigens auch Facebook.
Von daher ist die Auswirkung erst mal abzuwarten, und führt wahrscheinlich bei einigen Diensten zu einer Welle an neuen Datenschutzbestimmungen, wenn diese Dienste die Rechtsgrundlage des Datentransfers umstellen (und mehr wird leider erstmal nicht passieren).
Wie immer sind das alles Worthülsen und reine Phrasen. Es werden so lange fröhlich unter „erlaubten Bedingungen“ Daten verschoben, bis es handfeste Gesetze und Bestimmungen gibt. Denn „das Internet ist für uns Neuland“. Wegen dieser Aussage muss ich immer noch lachen. Oder Heulen. Ich kann mich nicht entscheiden..
Zumindest bei MS sind alle Clouddaten aus Deutschland in Deutschland gespeichert. Hier hat die Telekom als Treuhänder die Oberhand über die Daten. Wohl extra mit Blick darauf, dass MS die Daten ansonsten nur schwer schützen kann.
@Steiner:
nein, schon seit Ende 2018 nicht mehr: https://www.heise.de/newsticker/meldung/Auslaufmodell-Microsoft-Cloud-Deutschland-4152650.html
Aber auch bei Anbietern wie AWS, wo man einen deutschen Standort wählen kann, greifen dennoch Service-Dienstleister rund um den Globus auf die Rechenzentren zu. Und: alle US-Anbieter unterliegen dem „Patriot Act“, müssen also auf Verlangen von US-Behörden Daten rausgeben – auch die von europäischen Bürgern, und auch, wenn diese auf Rechenzentren außerhalb der USA liegen.
Wenn dieses Urteil endlich die Datensammelwut von Facebook und Google einschränkt, wäre das klasse!
Etwas detaillierter hier:
https://www.derstandard.at/story/2000118748636/europaeischer-gerichtshof-verbietet-uebertragung-von-nutzerdaten-an-die-usa
Sehr gut!
Was heißt das denn nun konkret für uns Normalos?
„Unternehmen müssen europäischen Aufsichtsbehörden mit sogenannten Standardvertragsklauseln vielmehr nachweisen, dass diese in der Praxis gewährleisten können, dass das vom Unionsrecht verlangte Schutzniveau eingehalten wird.“
Facebook muss also einen Vertrag unterschreiben. Done. Gibt es überhaupt genügend europäischen Aufsichtsbehörden, die aktiv nach Verstößen suchen? Die Datenschutzbehörden innerhalb Europas und selbst innerhalb Deutschlands ticken ja alle schon mal anders.
Und DSGVO heißt ja erst mal _nicht_, dass keiner getrackt wird, dass keine Daten gesammelt werden und dass Datenschutz Vorrang hat. Es sagt ja nur aus, dass der Anbieter den Nutzer über den Zweck der Datenerhebung informieren muss und der Nutzer diese abfragen kann. Wenn ich nicht weiß, wer meine Daten sammelt, kann ich die auch nicht einfordern. Und dass jede Website ein Banner zeigt „Wir sammeln alle Daten. Bitte zustimmen sonst sammeln wir trotzdem.“ oder beim Installieren ich irgendwo ein Häkchen bei „Wir machen was. Kannste hier nachlesen.“ machen muss, hilft mir jetzt nicht wirklich.
Die Überschrift ist schlicht und ergreifend falsch und verwirrend.
Es wurden nicht Datentransfers in die USA verboten, sondern das Privacy Shield wurde als unwirksam erklärt. Dadurch sind jetzt manche Datentransfers (nämlich solche, die durch das Privacy Shield legitimiert wurden) unzulässig. Viele — ich würde fast sagen die meisten — Firmen nutzen aber Standardvertragsklauseln zur Legitimation von Datentransfers in die USA (genauer: in Drittstaaten, also außerhalb des Europäischen Wirtschaftsraums, EWR).
Inbesondere facebook nutzt diese und wird somit auch weiterhin Daten übertragen dürfen. Es sei denn die irische Datenschutzbehörde untersagt es ihnen.
Korrigiert doch bitte mal den Artikel und die Überschrift, so viel journalistischen Anspruch solltet Ihr haben, auch wenn das hier ein Technik- und kein Jura-Blog ist.
Naja wenn ich das richtig verstanden habe betrifft es auch alle Firmen die diese so genannten Standard Vertragsklauseln nutzen. Jetzt müssen sie nämlich aktiv nachweisen dass sie die Datenschutzbestimmung die in diesen Klauseln vereinbart wurden auch praktisch wirklich umsetzen können und auch umsetzen. Und solange das nicht geschieht ist erst mal Ende im Gelände mit Daten senden
Diese Urteile sind ja immer ganz toll aber, wer kontrolliert das denn überhaupt nach, oder wir will man das nachkontrollieren? Im prinzip garnicht…
Schnell neue AGB’s aufsetzen – ließt eh keine, Häckchen bestätigen sind wir schon gewohnt und alles läuft wieder seinen gesetzeskonformen Gang, ohne dass sich irgendwas geändert hat!
Hoffentlich dann auch für iCloud-> alles auf EU Servern und am besten gleich mit end- zu end- Verschlüsselung für alles
Mal ehrlich, warum sollten selbst dann wenn die Daten auf sagen wir mal Europäischen Servern liegen die Daten sicherer sein? Alleine durch die in den, seit Snowdens Aufdeckungen was im Prinzip eh schon lange vermutet wurde erklärt wurde was ein ManInTheMiddle Angriff tun würde, wäre es doch vollkommen Egal.
So gut die DSGVO gemeint ist, wird sie doch permanent umgangen und ausgehebelt.
Wo war der Aufschrei als alle Datedsammeldienste like FB, Insta, WA und Konsorten durch ihre Standardvertragsklauseln auf den Anwender abwälzten.. scheint keiner von euch wirklich gelesen zu haben das ihr euch allesamt strafbar gemacht habt, weil ihr von keinem Eurer Kontakte die Erlaubnis dazu eingeholt habt.
Datenschutz? Das ist im Prinzip auch ein Wirtschaftszweig geworden, denn den Normalsterblichen juckt es ziemlich wenig wie wir erkennen durften und der unlängst aufgedeckte CopyPast Skandal der Zwischenablage gezeigt hatte. Diese ursprünglich unter iOS Devices beobachtete Eigenschaft in einer API ist mitnichten nur auf iOS zu finden sondern auf allen Systemen und wird auch in Googles Bausteinen recht fleißig genutzt und auch die Großen der Branche haben sich fleißig dessen bedient.