Menu Expand

Cite BOOK

Style

Seak, S. (2022). Grenzen der Datenübermittlungen aus der EU in Drittstaaten – anhand des Beispiels der USA. Duncker & Humblot. https://doi.org/10.3790/978-3-428-58505-2
Seak, Sabrina. Grenzen der Datenübermittlungen aus der EU in Drittstaaten – anhand des Beispiels der USA. Duncker & Humblot, 2022. Book. https://doi.org/10.3790/978-3-428-58505-2
Seak, S (2022): Grenzen der Datenübermittlungen aus der EU in Drittstaaten – anhand des Beispiels der USA, Duncker & Humblot, [online] https://doi.org/10.3790/978-3-428-58505-2

Format

Grenzen der Datenübermittlungen aus der EU in Drittstaaten – anhand des Beispiels der USA

Seak, Sabrina

Beiträge zum Informationsrecht, Vol. 42

(2022)

Additional Information

Book Details

Pricing

About The Author

Die Autorin schloss das Studium der Rechtswissenschaften an der Rheinischen Friedrich-Wilhelms-Universität Bonn 2016 ab. Für ihre Promotion forschte sie an der University of California in Berkeley. Promotionsbegleitend arbeitete sie als Unternehmensjuristin in einem Softwareunternehmen in Dänemark mit Fokus auf der Einhaltung der DSGVO. Anschließend unterstütze sie die von Maximilian Schrems gegründete NGO NOYB in Wien mit ihrer datenschutzrechtlichen Expertise. Ihr Referendariat absolvierte sie u.a. bei dem Bayerischen Landesbeauftragten für den Datenschutz. Im Sommer 2021 wurde sie mit ihrer von Prof. Dr. Hoeren und Prof Dr. Determann betreuten Arbeit promoviert.

Abstract

Die Arbeit strebt eine Lösungsfindung für Datenübermittlungen aus der EU in die USA an, für die seit der Schrems II-Entscheidung des EuGH keine Rahmenvereinbarung mehr besteht. Die Autorin setzt sich mit dem europäischen Datenschutzniveau, insbesondere der DSGVO, und den daraus resultierenden Anforderungen an Drittstaaten auseinander. Darauf basierend bewertet sie Entwicklungen des kalifornischen Datenschutzrechts und ausgewählte Rechtsakte auf US-Bundesebene für private und öffentliche Datenverarbeiter. Einen Schwerpunkt stellt dabei die Untersuchung der Zugriffsrechte der US-Sicherheitsbehörden auf personenbezogene Daten dar. Anschließend beleuchtet die Autorin vorhandene Mechanismen zur Legitimierung von Datenübermittlungen einschließlich des Kommissionsentwurfs der neuen Standardvertragsklauseln. Im Einklang mit der Schrems II-Rechtsprechung untersucht sie zusätzliche Schutzmaßnahmen, die das Risiko eines unberechtigten Zugriffs von US-Sicherheitsbehörden senken.»Limits of Data Transfers from the EU to Third Countries - Based on the Example of the US«: The book is aimed at finding a solution to data transfers between the EU and USA, for which there is no longer a framework agreement since the ECJ's Schrems II decision. The author addresses the European level of data protection, in particular the GDPR, and the resulting requirements for third countries. Based on this, the author evaluates Californian data protection law, selected legal acts at the federal level, and the national security law in the USA.

Table of Contents

Section Title Page Action Price
Vorwort 7
Inhaltsverzeichnis 13
Einleitung 27
A. Gegenstand der Arbeit 27
B. Gang der Untersuchung 28
Erstes Kapitel: Datenübermittlungen aus der EU in Drittstaaten nach der DSGVO 30
A. Grenzen der Datenübermittlungen in Drittstaaten 30
I. Gegenstand der Grenzen 30
II. Territorialer Anwendungsbereich der Grenzen 32
1. Niederlassungsprinzip 32
2. Marktortprinzip 33
a) Anbietung von Waren oder Dienstleistungen an Betroffene 33
b) Beobachtung des Verhaltens Betroffener 34
c) Zwischenergebnis 34
3. Verhältnis von Artikel 3 Absatz 2 zum fünften Kapitel der DSGVO 35
a) Status Quo: Keine öffentliche Klarstellung 35
b) Argumente zur Anwendbarkeit des fünften Kapitels 36
aa) Durchsetzungsprobleme 36
(1) Vertragliche Bindung 36
(2) Vertreter in der EU 37
bb) Schrems-Rechtsprechung 38
cc) Schutzabweichung 39
(1) Generelle Anforderungen 39
(2) Risikoanalyse 40
(3) Ergebnis 40
c) Konsequenzen des Ergebnisses 40
aa) Funktionsfähigkeit der digitalen Welt 40
bb) Anwendbarkeit auf die Direkterhebung 41
cc) Wahrung der Bedeutung eines angemessenen Datenschutzniveaus 41
B. Zulässigkeit der Datenübermittlung 42
I. Allgemeine Anforderungen 42
II. Formale Bedingungen im fünften Kapitel 42
1. Angemessenheitsentscheidungen der EU-Kommission 42
a) Allgemeine Beschlüsse 43
b) Beschlüsse für selbstzertifizierte Unternehmen in den USA 44
aa) Schrems I – Ungültigkeit von Safe Harbor 44
bb) Entstehung von Privacy Shield 45
cc) Schrems II – Ungültigkeit von Privacy Shield 46
2. Andere Übermittlungsgarantien 46
3. Ausnahmen 47
4. Zwischenergebnis 48
Zweites Kapitel: Angemessenes Datenschutzniveau als Schranke 49
A. Bedeutung und Ziele eines angemessenen Datenschutzniveaus 49
I. Anlehnung an die internationalen Vorbilder 49
II. Ermöglichung des freien Datenflusses 51
1. EU-Binnenmarkt 51
2. Mit Handelspartnern 51
III. Wahrnehmung einer politischen Funktion 52
IV. Wahrung eines hohen Grundrechteschutzes 53
1. Datenschutz als europäisches Grundrecht 53
2. Anspruch auf Fortwahrung des Grundrechteschutzes 53
3. Verhältnismäßigkeit zu tangierten Grundrechten 55
a) Recht auf informationelle Selbstbestimmung 55
b) Unternehmensfreiheit 55
c) Recht auf Sicherheit 56
d) Abwägung im Rahmen der Verhältnismäßigkeit 56
e) Hohes Schutzniveau als Leitlinie 57
f) Wesensgehalt des Grundrechts auf Datenschutz 57
V. Zwischenergebnis 58
B. Kriterien für ein angemessenes Datenschutzniveau 59
I. Datenschutzregime 59
1. Werte der EU 59
2. Einschlägiges Recht 59
3. Unabhängige Aufsichtsbehörde 60
II. Internationale Verpflichtungen 60
C. Endergebnis 61
Drittes Kapitel: EU-Datenschutzrechtsniveau als Vergleichsmaßstab 63
A. Hohes Datenschutzniveau unter der DSGVO als Vergleichsmaßstab 63
I. Datenschutzgrundsätze 64
1. Rechtmäßigkeit, Fairness und Transparenz 64
2. Zweckbindung und zusammenhängende Grundsätze 65
3. Integrität und Vertraulichkeit 66
4. Rechenschaftspflicht 66
II. Rechtmäßigkeit der Datenverarbeitung 66
1. Einwilligung 67
2. Weitere Legitimierungen 67
a) Im Interesse des Betroffenen 67
b) Verpflichtungen zur Verarbeitung 68
c) Überwiegende Interessen bei Verarbeitung durch Private 68
3. Besonders schutzbedürftige Datenverarbeitungen 68
4. Zwischenergebnis 69
III. Rechte der betroffenen Personen 69
1. Informationspflichten in Bezug auf die Datenverarbeitung 69
2. Auskunftsrecht und der Erhalt von Kopien 70
3. Recht auf Datenübertragbarkeit 70
4. Widerspruchsrecht 71
5. Recht auf Löschung und Vergessenwerden 71
a) Recht auf Löschung 71
b) Recht auf Vergessenwerden 72
c) Abwägung mit der Meinungsfreiheit 73
6. Zwischenergebnis 73
IV. Pflichten des Verantwortlichen 74
1. Pseudonymisierung und Verschlüsselung 74
2. Datenschutz-Folgenabschätzung und Datenschutzbeauftragter 75
3. Privacy by Design and Default 76
4. Wiederherstellungsmaßnahmen 76
5. Meldepflichten bei Verletzungen 76
6. Zwischenergebnis 76
V. Gewährleistung der praktischen Wirksamkeit in der EU 77
1. Überwachung durch unabhängige Aufsichtsbehörden 77
2. Verwaltungsrechtliche und gerichtliche Rechtsbehelfe 78
a) Bedingungsloses Beschwerderecht bei allen Aufsichtsbehörden 78
b) Klage gegen Aufsichtsbehörden 78
c) Klage gegen den Verantwortlichen 78
d) Verbandsklage 79
e) Bewertung 79
3. Sanktionen 79
a) Festgelegte Bedingungen 79
b) Hohe Geldbußen im Ermessen der Behörde 80
c) Ausnahme bei öffentlicher Datenverarbeitung 80
d) Zwischenergebnis 80
B. Europäische Rahmenbedingungen für Behördenzugriffe 81
I. Kein Vergleichsmaßstab im EU-Recht 81
II. EuGH-Rechtsprechung als Vergleichsmaßstab 81
1. Rechtsprechung zur Vorratsdatenspeicherung als Beispiel 82
a) Metadatenschutz unter der ePrivacy-Richtlinie 82
b) Anwendbarkeit von ePrivacy auf die Vorratsdatenspeicherung 83
c) Normierte Anforderungen an Eingriffe 83
d) Übertragungen auf Behördenzugriffe 84
e) Zulässigkeit der Bewertung durch den EuGH 85
III. Rechtsprechung des EGMR als Vergleichsmaßstab 86
IV. Vier Garantien als Auslegungshilfen 87
1. Transparente Eingriffsnorm 88
2. Verhältnismäßigkeit 88
3. Unabhängige Aufsicht 89
4. Effektive Beschwerdemöglichkeit 89
5. Bewertung 90
Viertes Kapitel: Angemessenes Datenschutzniveau in den USA? 92
A. Verfassungsrecht auf Bundesebene 92
I. Vierter Verfassungszusatz 92
1. Privatsphärenschutz 92
2. „Third-party doctrine“ 93
a) FISC-Rechtsprechung zu Metadaten 93
b) Subjektive Erwartungshaltung 94
c) Schutzaufrechterhaltende Rechtsprechung 95
d) Bewertung durch die EU-Kommission 96
e) Ergebnis 96
II. Erster Verfassungszusatz 97
B. Datenverarbeitungen durch Private 97
I. Ausgewähltes Bundesrecht 97
1. Children's Online Privacy Protection Act 98
a) Konkrete Anforderungen an die Einwilligung 98
b) Datenminimierung 99
2. Schutz von Finanzdaten 100
a) Vergleichbare Rechte zur DSGVO 100
b) Keine Transparenz für behördliche Datenzugriffe 101
c) Grundsätzliche Erlaubnis zur Verarbeitung 102
d) Einwilligung durch Opt-Out 102
e) Aufsicht durch die Federal Trade Commission 102
aa) Handlungspotenzial 103
bb) Unabhängigkeit der FTC 104
3. Health Insurance Portability and Accountability Act 105
a) Umfangsreiche Zugangsrechte 105
b) Datensicherheit 105
c) „De-Identifizierung“ 106
d) Schutz für innovative Herausforderungen? 107
aa) Adressatenkreis 107
bb) Selbstzertifizierung am Beispiel biometrischer Daten 107
cc) Zwischenergebnis 108
4. Bewertung der Angemessenheit des Bundesrechts 109
a) Vergleichbarkeit der Betroffenenrechte 109
b) Berücksichtigung von Analogien 110
c) Schwerpunkt bei der Auswahl der Schutzmaßnahmen 110
d) Angemessenheit ohne Datenminimierung? 111
e) Ergebnis 111
f) Ausblick: Einheitliches US-Datenschutzrecht 112
aa) Aktuelle Debatten 112
bb) Bedeutung für die EU 113
II. Föderales Recht am Beispiel von Kalifornien 114
1. Entstehungsgeschichte 114
2. Anwendungsbereich für persönliche Informationen 115
a) Verbraucher 115
b) Erfassung des Haushalts 115
c) Referenz zu Gerätedaten 116
3. Adressatenkreis 117
4. Verantwortlichkeit 118
5. Schutzausschluss 118
a) Verbraucherstandort außerhalb Kaliforniens 118
b) De-Identifizierung und Aggregierung 118
c) Vorrang vom Bundesrecht 119
6. Schutzmaßnahmen 119
a) Erhebung und Verkauf von Daten 119
b) Datenschutzgrundsätze 120
c) Recht auf Löschung 121
aa) Umfang des Anspruchs 121
bb) Meinungsfreiheit und andere Ausnahmen 121
d) Datenübertragbarkeit 122
7. Rechtsdurchsetzung 123
a) Generalstaatsanwalt 123
b) Haftung und Anspruch auf Schadenersatz 123
c) Sanktionen und Bußgelder 124
8. Bewertung des Datenschutzniveaus in Kalifornien 125
a) Angemessener Anwendungsbereich des CCPA 125
b) Teilweise gleichwertige Rechte und Pflichten in CPPA 125
aa) Fortschritt durch Widerspruchsrecht 125
bb) Schutz bei einer Weiterübermittlung 125
cc) Steigerungspotenzial 126
dd) Untergeordnete Rolle der Datenschutzgrundsätze 126
ee) Auswirkung der fehlenden Datenminimierung 127
c) Verbesserungsmöglichkeiten bei der Durchsetzung 128
d) Zwischenergebnis 129
e) Ausblick: Angemessenheitsentscheidung durch den neuen CPRA? 129
aa) Änderungen des CCPA durch den CPRA 129
(1) Risikobasierter Anwendungsbereich 129
(2) Erweiterung des Opt-Out-Rechts 130
(3) Angemessener Schutz durch Opt-Out? 131
(4) Neue Rechte nach dem Vorbild der DSGVO 132
(5) Erstmalige Definierung sensibler Daten 133
(6) Einführung der Datenminimierung 133
(7) Eigene Datenschutzbehörde 134
bb) Praktische Herausforderungen 135
C. Datenverarbeitungen durch öffentliche Stellen 136
I. Allgemeine Datenverarbeitungen 136
1. Privacy Act 1974 und Freedom of Information Act 136
a) Verarbeitungsgrundsätze 137
aa) Übereinstimmungen mit der DSGVO 137
bb) Offenlegungen und Weiterübermittlungen 138
b) Rechte betroffener Personen 138
aa) Recht auf Zugang, Korrekturen und Kopien 138
bb) Kein Widerspruchsrecht 139
c) Vielseitige Maßnahmen zur Effektivität 140
d) Anforderungen an Ausnahmen 141
e) Bewertung der Angemessenheit des Privacy Acts 142
aa) Unionsgleicher Anwendungsbereich und vergleichbare Grundsätze 142
bb) Besonderheiten behördlicher Datenverarbeitungen 143
cc) Missachtung unionsrelevanter Anforderungen 143
dd) Effektivität des Rechtsschutzes 144
ee) Folgen von Ausnahmen 144
ff) Ergebnis 145
2. Korrekturen durch ausgehandelte Rechtsakte? 145
a) Judicial Redress Act für EU-Strafverfolgungsbehörden 145
aa) Vorstellung des Schutzes 145
bb) Geltung des Schutzes 146
b) Umbrella Agreement 147
aa) Unionsgleiche Verarbeitungsgrundsätze 148
bb) Löschung und Ausnahmen 148
cc) Speicherungslimit im US-Recht 149
dd) Sensible Daten 149
ee) Einwilligungsbedingte Weiterübermittlung 149
ff) Pflichten bei Verletzungen 150
gg) Benennung geeigneter Aufsichtsstellen 151
hh) Rechtsbehelfe 152
ii) Todesstrafe als Folge einer Übermittlung 153
jj) Aufhebung des Schutzes durch Trump-Dekret? 153
c) Bewertung des JRA und des Umbrella Agreements 154
aa) Ergänzungen des Privacy Acts 154
bb) Korrekturen des Privacy Acts 155
cc) Aufsichtsstellen 155
dd) Gleichstellung zu US-Staatsangehörigen 156
ee) Einfluss auf die US-Nachrichtendienste 156
II. Endergebnis 157
D. Überwachungen durch US-Behörden 158
I. Recht zur Überwachung von aus der EU übermittelten Daten 159
1. Section 702 FISA 159
a) Ausländische Geheimdienstinformationen 159
b) Anbieter elektronischer Kommunikationsdienste 160
c) Foreign Intelligence Surveillance Court 160
d) Minimierungsmaßnahmen 161
e) Genehmigte Überwachungsprogramme 162
aa) Prism 162
bb) Upstream – Glasfaserkabelanzapfung 163
cc) About-collection 163
f) Betroffenenrechte 164
aa) Schweigeanordnung 164
bb) Freedom Act 164
cc) Klageberechtigung 165
2. NSL 165
3. EO12333 166
a) Befugnisse 166
b) Unklarer territorialer Anwendungsbereich 167
c) Ausländerdiskriminierung und Verhältnismäßigkeit 167
4. Bewertung 168
a) Anwendungsbereich des FISA 168
b) Gefährdungszusammenhang von FISA und NSL 168
c) Korrekturen durch den Freedom Act? 168
d) Anwendungsbereich von der EO12333 169
e) Begrenzungen und Rechtsschutz 169
5. Erweiterte Schutzmaßnahmen unter PPD-28 170
a) Gleichstellung von Ausländern 171
b) Zweckbeschränkungen 171
c) Ombudsmechanismus 172
aa) Kontaktstelle für EU-Staatsangehörige 172
bb) Einfache Antragsstellung 172
cc) Auf Prüfung beschränkte Kompetenz 173
dd) Derzeitige Besetzung 173
6. Zusicherungen von Sicherheitsbehörden im Privacy Shield 174
a) Prozesse im Hintergrund der Überwachung 174
b) Gesteigerte Transparenz 175
c) Überwachung der nachrichtendienstlichen Tätigkeit 175
7. Bewertung unter Gegenüberstellung offizieller Einschätzungen 176
a) Hinreichender Schutz nach Einschätzung der EU-Kommission 176
aa) Einbeziehung behördlicher Zusagen 176
bb) Notwendigkeit und Verhältnismäßigkeit durch die PPD-28 176
cc) Ombudsstelle als effektiver Rechtsbehelf 177
b) Kein angemessenes Datenschutzniveau für den EuGH 178
aa) Keine Verhältnismäßigkeit der Ausnahmen 178
bb) Kein effektiver Rechtsschutz in den USA 179
cc) Keine Korrektur durch Ombudsperson 180
c) Eigene Bewertung 180
aa) Transparente Eingriffsbefugnisse? 180
(1) Die EU übersteigende Transparenz 180
(2) Festgelegte Strategien zur Abwägung 181
(3) Stabilität und Verbindlichkeit 181
bb) Gewährleistung der Verhältnismäßigkeit durch die PPD-28? 182
(1) Gleichstellung zu US-Staatsangehörigen 182
(2) Präzisierungen der Anwendungsbereiche 182
(3) Zulässigkeit von Massenerhebungen 183
(4) Ausnahmen 183
(5) Rechte aus der PPD-28 184
cc) Überwachung auf verschiedenen Ebenen 184
dd) Effektiver Rechtsbehelf durch die Ombudsperson? 185
(1) Neue einfache Abhilfestelle 185
(2) Keine Information über konkrete Betroffenheit 185
(3) Keine Weisungsbefugnis 186
(4) Bedenken an der Unabhängigkeit und die Kompetenz 186
(5) Künftige Verbesserungsmöglichkeit 187
ee) Zusammenfassung 187
II. Zugriff US-amerikanischer Geheimdienste auf Daten in der EU 188
1. Befugnis zur Datenanfrage außerhalb der USA 188
a) Section 702 FISA und EO12333 188
b) Vierter Verfassungszusatz als territoriale Beschränkung? 189
c) Supreme Court-Entscheidung und Erlass des CLOUD-Acts 190
d) Voraussetzung des CLOUD-Acts 190
2. Eigener Rechtsbehelf im CLOUD-Act 190
a) Schutz für ausländische Staatsangehörige 191
b) Wesentliches Risiko der Rechtsverletzung 191
c) Abkommen im Sinne des CLOUD-Acts 191
3. Auswirkungen von Abkommen unter dem CLOUD-Act 192
a) Anwendung von Artikel 48 DSGVO 192
aa) CLOUD-Act als internationale Übereinkunft 192
bb) Rechtfertigung von Datenübermittlungen nach Artikel 48 DSGVO 193
(1) Wörtliche und systematische Auslegung 193
(2) Historische und sinngemäße Auslegung 193
b) Einfluss auf Ausnahmen nach Artikel 49 DSGVO 195
c) Einfluss auf der ersten Stufe der Rechtfertigung 195
aa) Öffentliches Interesse der USA 196
bb) Rechtliche Verpflichtung 196
cc) Berechtigtes Interesse des Telekommunikationsanbieters 196
dd) Zwischenergebnis 197
d) Einfluss durch Abkommen mit anderen Drittstaaten 197
e) Bewertung 198
aa) Fokus auf effektiven Rechtsbehelf 198
bb) Internationales Übereinkommen unter dem CLOUD-Act 198
cc) Globale Lösungen 199
dd) Ergebnis 200
Fünftes Kapitel: Legitimierungen von Datenübermittlungen in die USA 201
A. Mechanismen zur Legitimierung von Datenübermittlungen 202
I. Standardvertragsklauseln (SCC) 202
1. Wirksamkeit für die USA 202
2. Bislang genutzte SCC 203
a) Zwei vorgesehene Konstellationen 203
b) Anwendung der SCC auf weitere Konstellationen 203
c) Allgemeine vorformulierte Pflichten 204
d) Pflichten in Bezug auf Zugriffe von Sicherheitsbehörden 204
aa) Informationspflichten auch bei Schweigepflicht 204
bb) Prüfungspflicht 205
3. Entwurf der neuen SCC 206
a) Verfahren 206
b) Übergangsfrist 206
c) Änderungen 207
aa) Weitere Verarbeitungskonstellationen durch neue Module 207
bb) Klare und detaillierte Pflichten 208
cc) Praxisorientierte Anpassungen an die DSGVO 208
dd) Ausdrückliche weitreichende Pflichten bei behördlichen Zugriffsanfragen 210
(1) Keine Unsicherheiten mehr bezüglich der Meldepflicht 210
(2) Bemühung um Aufhebung von Schweigeanordnungen 211
(3) Veröffentlichung über ergangene Anordnungen 211
(4) Aufbewahrungspflicht 211
(5) Ausdrückliche Pflicht zur Aussetzung oder Kündigung 212
(6) Überprüfung der Legalität und Rechtsmittelausschöpfung 212
(7) Datenminimierung 212
ee) Widerrufsmöglichkeit 213
ff) Anwendbarkeit der SCC auf Artikel 3 Absatz 2 DSGVO 213
d) Bewertung 214
aa) Komplexerer Aufbau 214
bb) Ersetzung der alten SCC 215
cc) DSGVO-übertreffende Pflichten 215
dd) Keine vollständige Anpassung an die DSGVO 215
ee) Verbesserungsmöglichkeiten für Behördenanfragen 216
(1) Genehmigungsfreiheit 216
(2) Unterstützung 217
(3) Verhältnismäßigkeit 218
ff) Klarstellungen zum Ausschluss der SCC auf das Marktortprinzip 218
II. Andere Übermittlungsgarantien 218
1. Angemessenheitsentscheidungen 219
a) Drittes Datenschutzschild 219
b) Selbstzertifizierung und Durchsetzung durch die FTC 220
2. SCC von Aufsichtsbehörden 221
3. Binding Corporate Rules 222
4. Weitere Übermittlungsgarantien 223
5. Durchsetzbare Rechte und wirksame Rechtsbehelfe 224
III. Ausnahmen im fünften Kapitel 225
1. Ausnahmetatbestände zugunsten öffentlicher Interessen 225
a) Schutz lebenswichtiger Interessen 225
b) Öffentliches Interesse in der EU 226
aa) Keine Pflichten im Umbrella-Agreement 227
bb) Kein öffentliches Interesse durch PNR-Abkommen 227
cc) Kein öffentliches Interesse durch SWIFT-Abkommen 228
dd) Zwischenergebnis 229
c) Erforderlichkeit von Rechtsansprüchen 229
d) Wahrung zwingender berechtigter Interessen 230
2. Ausnahmetatbestände zugunsten der Privatautonomie 231
a) Einwilligung 231
b) Verträge 233
c) Zwingende berechtigte Interessen 234
3. Ergebnis 234
B. Zusätzliche Schutzmaßnahmen 235
I. Rechtsgrundlage 235
II. Lage in den USA 236
1. Unverhältnismäßige Zugriffsrechte der Nachrichtendienste 236
2. Beschränkung auf die nationale Sicherheit? 237
III. Zusätzliche Maßnahmen zu allen Übermittlungsgarantien 237
1. Notwendigkeit für die neuen SCC 237
2. Notwendigkeit für die anderen Übermittlungsgarantien 238
IV. Einzelabwägung 238
1. Primäre Verantwortung des Datenexporteurs 238
a) Prüfung des Datenschutzniveaus im Drittstaat durch alle Beteiligten 238
b) In der DSGVO begründete Rechenschaftspflicht 239
aa) Direkte Anwendbarkeit auf den Datenexporteur 239
bb) Ausweitung auf den Datenimporteur durch die neuen SCC 240
2. In die Abwägung einzubeziehende Umstände in den USA 241
a) Datenempfänger 242
aa) Kommunikationsanbieter 242
bb) Empfänger vergangener Behördenanfragen 242
cc) PRISM-Kooperationspartner 243
dd) Verantwortliche und Auftragsverarbeiter 243
ee) US-amerikanische Behörden 243
b) Art der Daten und Zweck 244
aa) Unternehmensbezogene Daten 244
bb) Allgemein zugängliche Daten 244
cc) Vom US-Überwachungsrecht erfasste Daten 244
dd) Sensible Daten 245
c) Art der Verarbeitung 245
d) Umfang der Datenübermittlung 246
e) Besonderheiten von Übermittlungen in die USA 246
aa) Mögliche Unterwasserkabelanzapfung 246
bb) CLOUD-Act 247
cc) Vertraulichkeitserwartung 247
f) Zwischenergebnis 248
V. Konkrete zusätzliche Maßnahmen für Datenübermittlungen in die USA 248
1. Vertragliche Garantien 248
a) Relevanz trotz der neuen SCC 249
b) Empfehlung des Landesbeauftragten BW 249
aa) Information an den Betroffenen über die Datenübermittlung 250
bb) Abstimmung mit der Aufsichtsbehörde 250
cc) Rechtswegbeschreitung bis zur letzten Instanz 250
c) Handlungsempfehlungen des europäischen Datenschutzausschusses 251
aa) Fragenkatalog als Vertragsbestandteil 251
bb) Verpflichtung zur Vornahme zusätzlicher TOM 251
cc) Keine Backdoors 252
(1) Privacy by Design and Default 252
(2) Internationale Bewegungen mit ermittlungsbegünstigendem Ansatz 252
dd) Kurzfristige Reaktionsmöglichkeiten 253
(1) Effektivere Audits durch den Datenexporteur 253
(2) Eigenständiges Handeln durch den Datenimporteur 253
(3) Schnelles Aussetzen der Datenübermittlungen 253
ee) Erweiterte Transparenz 254
(1) Tägliche Mitteilung an den Datenexporteur 254
(2) Informierung der US-Behörde über den Konflikt 254
ff) Keine freiwillige Schutzverringerung 254
gg) Unterstützung der betroffenen Person 255
hh) Vermeidung von Weiterübermittlungen 255
d) Ankündigungen von Microsoft 255
aa) Angriff jeder Behördenanfrage 255
bb) Finanzieller Schadensausgleich 256
e) Zwischenergebnis 256
2. Organisatorische Maßnahmen 256
a) Erschwerung unzulässiger Behördenanfragen 256
aa) Begrenzung der zugriffsberechtigten Personen 257
bb) Reduzierung der Datenmenge 257
cc) Datentreuhand-Modell 258
dd) Vermeidung des Anwendungsbereichs von FISA und EO12333 258
b) Aufdeckung erfolgter Zugriffe 259
aa) Protokollierung 259
bb) Vollständigkeitsprüfung 259
c) Vorfallmanagement 259
aa) Mitarbeitersensibilisierung 260
(1) Sensibilisierung für die Rechtmäßigkeit nach dem US-Recht 260
(2) Keine Sensibilisierung für die EU-Grundrechtecharta 260
bb) Reaktionsplan 261
cc) Bestellung eines Expertenteams 261
d) Zwischenergebnis 262
3. Technische Vorkehrungen 262
a) Ende-zu-Ende-Verschlüsselung 262
b) Pseudonymisierung 263
c) Datenverschleierung 264
d) Versand von Datenträgern 264
e) Trennungsprinzip 264
f) Mehrparteienverarbeitung 264
g) Überwachung der Leitung 265
aa) Eigene Leitungen 265
bb) Auswahl der Netzbetreiber 266
h) Schutz nach Erhalt der Daten 266
i) Zwischenergebnis 266
C. Ausblick und Endbewertung 267
I. Zusätzliche Maßnahmen in einem dritten Datenschutzschild 267
II. Anpassung anderer Übermittlungsgarantien für die USA 268
1. Verpflichtungen der neuen SCC als vertraglicher Mindeststandard 268
2. Zusätzliche technische und organisatorische Maßnahmen 268
3. Im Einzelfall: Kein angemessenes Datenschutzniveau 269
III. Verlagerung von Datenverarbeitungen in die EU 269
IV. Auswirkungen auf den Handel 270
V. Erschwerung der Tätigkeit der US-Überwachungsbehörden 271
VI. Prüfung der Verhältnismäßigkeit für zusätzliche Maßnahmen 272
1. Grundrechtsabwägung im Rahmen der Risikoabwägung 272
2. Vernachlässigung anderer Grundrechte 273
VII. Veränderung des „angemessenen Datenschutzniveaus“? 274
VIII. Herausforderung für Artikel 3 Abs. 2 DSGVO 275
IX. Durchsetzung und Bindung 277
1. Internationaler Pakt über bürgerliche und politische Rechte 277
2. Übereinkommen Nr. 108 des Europarats 278
3. Gewohnheitsrecht 279
Literaturverzeichnis 280
Sachwortverzeichnis 289