Rechtswidriger US-Datentransfer laut Bundesvergabeamt

Veröffentlicht am 9. August 2022 von Bild von Carlo CilentoCarlo Cilento

Die Vergabekammer Baden-Württemberg hat am 13. Juli in einem Verfahren zu einem öffentlichen Vergabeverfahren für digitale Unternehmenssoftware entschieden. Dabei stellte er fest, dass Übermittlungen personenbezogener Daten in die Vereinigten Staaten auf der Grundlage von Standardvertragsklauseln gegen die DSGVO verstoßen.

Es sei darauf hingewiesen, dass die Kammer keine Datenschutzbehörde ist und der Fall streng genommen kein Datenschutzfall ist.

Die Entscheidung ist jedoch ziemlich wichtig. Mehrere europäische Datenschutzbehörden haben bei der Bearbeitung der 101 von noyb eingereichten Beschwerden einen strengen Ansatz für Datenübertragungen gewählt. Die anstehende Entscheidung signalisiert, dass der radikale Ansatz für Datenübertragungen nun außerhalb der engen Grenzen des Datenschutzrechts Fuß fassen kann.

Das ist knallhart (statisch) Es ist knallhart (animiert)

Lade GIF...

Der vorliegende Fall Die wichtigsten Punkte der Haltestelle Die Folgen des Urteils

Lass uns tauchen!

1. Der vorliegende Fall

Eine öffentliche Behörde hat eine Ausschreibung für den Erwerb einer digitalen Verwaltungssoftware gestartet. Zu den Vergabekriterien gehörten Datenschutz- und Sicherheitsanforderungen: Insbesondere mussten alle Daten im Einklang mit der DSGVO sowie dem Bundesdatenschutzgesetz behandelt werden. Den Zuschlag erhielt die europäische Niederlassung eines US-Unternehmens (Firmennamen weggelassen).

Ein anderes Unternehmen, das an der Ausschreibung teilgenommen hat, bat das Repräsentantenhaus, die Entscheidung zu überprüfen, und sagte, dass der vom Gewinnerunternehmen angebotene Dienst US-Datenübertragungen unter Verstoß gegen die DSGVO beinhaltete. Der von der erfolgreichen Ausschreibung erbrachte Dienst ermöglichte die Speicherung von Daten in der EU. Dies erforderte jedoch in bestimmten Szenarien eine Datenübertragung an die Muttergesellschaft:

Um den Service aufrechtzuerhalten oder Support zu leisten. Um dem Gesetz oder einer rechtsverbindlichen Anordnung nachzukommen.

Standardvertragsklauseln (SCCs) waren der Datenübertragungsmechanismus unter der DSGVO.

Die Kammer stellte fest, dass die Datenübermittlung tatsächlich gegen Kapitel V der DSGVO verstößt. Die Behörde wurde angewiesen, die Angebote neu zu bewerten, wobei die Einhaltung der DSGVO zu den in der Ausschreibungsbekanntmachung genannten Anforderungen gehört.

2. Die Hauptpunkte des Urteils

Die Kammer stellte fest, dass die Standardvertragsklauseln keinen angemessenen Schutz für die Übermittlung personenbezogener Daten in die Vereinigten Staaten bieten. Auch die bloße Zugänglichmachung personenbezogener Daten eines US-Anbieters bedeute, dass eine Datenübermittlung vorliege und die Daten der DSGVO unterliege, so die Kammer. Überweisungen gelten. Tatsächlich befanden sich die Daten in diesem Fall in der EU. Dennoch könnten sie von der US-Muttergesellschaft eingesehen werden (der Fall ähnelt in dieser Hinsicht etwas der jüngsten Entscheidung von Datatilsynet zu Google Workspace).

Die Argumentation hinter dieser Entscheidung entspricht der Logik mehrerer europäischer Datenschutzbehörden und findet ihren Wert in der Tatsache, dass...

  Technologie   Aug 13, 2022   0   50  Add to Reading List
Rechtswidriger US-Datentransfer laut Bundesvergabeamt

Veröffentlicht am 9. August 2022 von Bild von Carlo CilentoCarlo Cilento

Die Vergabekammer Baden-Württemberg hat am 13. Juli in einem Verfahren zu einem öffentlichen Vergabeverfahren für digitale Unternehmenssoftware entschieden. Dabei stellte er fest, dass Übermittlungen personenbezogener Daten in die Vereinigten Staaten auf der Grundlage von Standardvertragsklauseln gegen die DSGVO verstoßen.

Es sei darauf hingewiesen, dass die Kammer keine Datenschutzbehörde ist und der Fall streng genommen kein Datenschutzfall ist.

Die Entscheidung ist jedoch ziemlich wichtig. Mehrere europäische Datenschutzbehörden haben bei der Bearbeitung der 101 von noyb eingereichten Beschwerden einen strengen Ansatz für Datenübertragungen gewählt. Die anstehende Entscheidung signalisiert, dass der radikale Ansatz für Datenübertragungen nun außerhalb der engen Grenzen des Datenschutzrechts Fuß fassen kann.

Das ist knallhart (statisch) Es ist knallhart (animiert)

Lade GIF...

Der vorliegende Fall Die wichtigsten Punkte der Haltestelle Die Folgen des Urteils

Lass uns tauchen!

1. Der vorliegende Fall

Eine öffentliche Behörde hat eine Ausschreibung für den Erwerb einer digitalen Verwaltungssoftware gestartet. Zu den Vergabekriterien gehörten Datenschutz- und Sicherheitsanforderungen: Insbesondere mussten alle Daten im Einklang mit der DSGVO sowie dem Bundesdatenschutzgesetz behandelt werden. Den Zuschlag erhielt die europäische Niederlassung eines US-Unternehmens (Firmennamen weggelassen).

Ein anderes Unternehmen, das an der Ausschreibung teilgenommen hat, bat das Repräsentantenhaus, die Entscheidung zu überprüfen, und sagte, dass der vom Gewinnerunternehmen angebotene Dienst US-Datenübertragungen unter Verstoß gegen die DSGVO beinhaltete. Der von der erfolgreichen Ausschreibung erbrachte Dienst ermöglichte die Speicherung von Daten in der EU. Dies erforderte jedoch in bestimmten Szenarien eine Datenübertragung an die Muttergesellschaft:

Um den Service aufrechtzuerhalten oder Support zu leisten. Um dem Gesetz oder einer rechtsverbindlichen Anordnung nachzukommen.

Standardvertragsklauseln (SCCs) waren der Datenübertragungsmechanismus unter der DSGVO.

Die Kammer stellte fest, dass die Datenübermittlung tatsächlich gegen Kapitel V der DSGVO verstößt. Die Behörde wurde angewiesen, die Angebote neu zu bewerten, wobei die Einhaltung der DSGVO zu den in der Ausschreibungsbekanntmachung genannten Anforderungen gehört.

2. Die Hauptpunkte des Urteils

Die Kammer stellte fest, dass die Standardvertragsklauseln keinen angemessenen Schutz für die Übermittlung personenbezogener Daten in die Vereinigten Staaten bieten. Auch die bloße Zugänglichmachung personenbezogener Daten eines US-Anbieters bedeute, dass eine Datenübermittlung vorliege und die Daten der DSGVO unterliege, so die Kammer. Überweisungen gelten. Tatsächlich befanden sich die Daten in diesem Fall in der EU. Dennoch könnten sie von der US-Muttergesellschaft eingesehen werden (der Fall ähnelt in dieser Hinsicht etwas der jüngsten Entscheidung von Datatilsynet zu Google Workspace).

Die Argumentation hinter dieser Entscheidung entspricht der Logik mehrerer europäischer Datenschutzbehörden und findet ihren Wert in der Tatsache, dass...

What's Your Reaction?

like

dislike

love

funny

angry

sad

wow