Skip to content

Wir beleuchten, wie das Merkmal der Angemessenheit zum Schutz von Geheimnissen nach dem Geschäftsgeheimnisgesetz auszulegen ist.

Schutz von Geschäftsgeheimnissen
nach § 2 Nr. 1 GeschGehG

Einleitung

Wie zuvor berichtet, ist seit dem 26. April 2019 das neue Geschäftsgeheimnisgesetz (GeschGehG) in Kraft getreten, welches der Umsetzung der Geschäftsgeheimnis-Richtlinie 2016/943/EU dient.

Vor Umsetzung der Richtlinie ins deutsche Recht wurden Geschäftsgeheimnisse in § 17 des Gesetzes gegen den unlauteren Wettbewerb (UWG) geschützt. Hier wurde für die Klassifikation als Geschäftsgeheimnis und demnach dem Schutz der Information lediglich ein subjektiver Wille zur Geheimhaltung als ausreichend angesehen. Der Anwendungsbereich des GeschGehG ist hingegen klarer eingegrenzt und schützt nur solche Informationen, welche auch objektiv als Geschäftsgeheimnisse zu qualifizieren sind. Gemäß § 2 Nr. 1 GeschGehG liegt ein zu schützendes Geschäftsgeheimnis vor, wenn die jeweilige Information nur einem begrenzten Personenkreis zugänglich und daher von wirtschaftlichem Wert ist, angemessene Geheimhaltungsmaßnahmen ergriffen wurden und ein berechtigtes Interesse an der Geheimhaltung der Information besteht.

Was unter angemessen Geheimhaltungsmaßnahmen zu verstehen ist, ist eine Frage der Auslegung. Im Folgenden wird das Merkmal der Angemessenheit der Geheimhaltungsmaßnahmen näher beleuchtet.

Gesetzesbegründung

In der Gesetzesbegründung (Drucksache 19/4724, S. 24) wird ausgeführt, dass die Art der Geheimhaltungsmaßnahme von der Art des Geschäftsgeheimnisses und den konkreten Umständen der Nutzung abhängt. In Betracht kämen insbesondere physische Zugangsbeschränkungen oder vertragliche Sicherungsmechanismen.

Ob die jeweiligen Geheimhaltungsmaßnahmen angemessen sind, hängt demnach vom Einzelfall ab und kann folgende Kriterien umfassen:

  • Wert des Geschäftsgeheimnisses und dessen Entwicklungskosten,
  • Bedeutung für das Unternehmen,
  • übliche Geheimhaltungsmaßnahmen im Unternehmen (Zugangssperren, Passwörter, IT-Sicherheitsmaßnahmen),
  • Art der Kennzeichnung der Information,
  • Verschwiegenheitsverpflichtungen mit Arbeitnehmern und Geschäftspartnern.

Eine eindeutige Konkretisierung ist also nicht vorhanden. Vielmehr muss die Gesamtsituation zur Beurteilung der Angemessenheit herangezogen werden. In der Geschäftsgeheimnis-Richtlinie wird ebenfalls nicht näher auf den Begriff der Angemessenheit eingegangen.

Auslegung unter Berücksichtigung der Normhistorie

Da die Gesetzbegründung die Angemessenheit nicht näher definiert, muss für eine weitere Konkretisierung des Begriffs auf die Normgeschichte der Richtlinie zurückgegriffen werden. Die Geschäftsgeheimnis-Richtlinie nimmt in ihren Vorbemerkungen Bezug auf das 1994 von den Gründungsmitgliedern der Welthandelsorganisation (WTO, World Trade Organization) beschlossene „Abkommen über handelsbezogene Aspekte der Rechte des geistigen Eigentums“ (TRIPS-Abkommen). Das TRIPS-Abkommen setzt in Art. 39 Nr. 2 lit. c) für den Geschäftsgeheimnisbegriff voraus, dass angemessene Schritte unternommen wurden, um die betroffene Information geheim zu halten. Allerdings wird auch im TRIPS-Abkommen nicht näher darauf eingegangen, was genau unter angemessenen Maßnahmen zu verstehen ist. Demnach ist zum weiteren Verständnis des Begriffs der Angemessenheit auf die Normhistorie des TRIPS-Abkommens einzugehen.

Das TRIPS-Abkommen hat eine Formulierung des US-amerikanischen Uniform Trade Secrets Act (UTSA) übernommen. Der Uniform Trade Secrets Act definiert Geschäftsgeheimnisse (“trade secrets”) in Sec. 1 (4) als Informationen, einschließlich Formeln, Mustern, Kompilationen, Programmen, Vorrichtungen, Methoden, Techniken oder Verfahren, die einen unabhängigen wirtschaftlichen Wert, ob tatsächlich oder potenziell, daraus ableiten, dass sie anderen Personen, die aus seiner Offenlegung oder Nutzung wirtschaftlichen Wert erhalten können, nicht allgemein bekannt sind und nicht ohne weiteres mit angemessenen Mitteln ermittelt werden können. Zudem müssen den Umständen nach angemessenen Maßnahmen unternommen wurden, um die betroffenen Informationen geheim zu halten.

Nach Ansicht der englischsprachigen Literatur bedarf es für die Angemessenheit der Geheimhaltungsmaßnahmen weder der absoluten noch der größtmöglichen Sicherheit. Stattdessen soll das Erfordernis der Angemessenheit der Maßnahmen bewirken, dass Personen, die mit einem Geschäftsgeheimnis in Berührung kommen, sich diesem Umstand aufgrund äußerer Anzeichen bewusst oder sich dessen nur durch eigene Fahrlässigkeit nicht bewusst sind. Die Formulierung „den Umständen nach“ impliziert, dass die Größe des Unternehmens einen entscheidenden Einfluss auf die Beurteilung der Angemessenheit haben dürfte. Zusätzlich zu den allgemeinen Sicherungsmaßnahmen im Unternehmen ist es unerlässlich für den Geheimnisschutz, dass die betroffene Information den vorgebrachten Sicherungsmaßnahmen unterlegen haben muss. Wenn sich jedoch bereits aus persönlichen und beruflichen Sonderbeziehungen eine Geheimhaltungspflicht ergibt, beispielsweise im Verhältnis zwischen dem Anwalt und seinen Mandaten, sind keine weiteren Maßnahmen notwendig.

Praxis

In der Praxis sollten zum Schutz von Geschäftsgeheimnissen grundlegende Maßnahmen getroffen werden. Unternehmen sollten vertragliche Maßnahmen ergreifen, welche bereits in die Arbeitsverträge aufgenommen werden. Es empfiehlt sich jedoch, besonders vertrauliche Dokumente als solche zu kennzeichnen. Zudem sind organisations- und informationstechnische Regelungen zu treffen. In der täglichen Organisation sollte insbesondere sichergestellt werden, dass nur berechtige Mitarbeiter Zugriff auf entsprechende geheime Informationen bekommen. Darüber hinaus sollten sicherheitstechnische Maßnahmen umgesetzt werden. Hierzu bedarf es meist eines angepassten Sicherheitskonzepts.

Inwiefern hier ein Rückgriff auf die Regelungen der Datenschutz-Grundverordnung (DS-GVO) möglich ist, ist fraglich. Das GeschGehG und die DS-GVO verfolgen unterschiedliche Zwecke. Die DS-GVO dient dem Schutz personenbezogener Daten, das GeschGehG eben nur dem Schutz von Geschäftsgeheimnissen. Für personenbezogene Daten gilt die DS-GVO automatisch. Das GeschGehG entfaltet hingegen erst Wirkung nachdem angemessene Geheimhaltungsmaßnahmen ergriffen worden sind.

Fazit

Da im deutschen Recht der Begriff der Angemessenheit im Rahmen von Geheimhaltungsmaßnahmen neu ist, ist damit zu rechnen, dass die Rechtsprechung diesen noch näher konkretisieren wird. Diese Aufgabe hat der europäische Gesetzgeber offensichtlich der Rechtsprechung überlassen, da Erwägungsgrund 14 der Geschäftsgeheimnis-Richtlinie explizit eine homogene Definition des Geschäftsgeheimnisses, und damit auch der Angemessenheit der Geheimhaltungsmaßnahmen, verlangt.

Bis dahin bietet es sich an, sich an den Grundsätzen des amerikanischen Rechts zu orientieren. Nicht nur, weil der europäische Begriff der Angemessenheit der Maßnahmen auf den amerikanischem zurückzuführen ist, sondern auch, weil insbesondere internationale Unternehmen darauf zurückgreifen.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir erklären, welche Voraussetzungen gelten und wie das Recht auf Einschränkung vom Recht auf Löschung abzugrenzen ist.

Das Recht auf Einschränkung der Verarbeitung nach Art. 18 DS-GVO

Einleitung

Artikel 18 der Datenschutz-Grundverordnung (DS-GVO) enthält das Recht auf Einschränkung der Verarbeitung von personenbezogenen Daten. Als Initiativrecht des Betroffenen muss es geltend gemacht und beantragt werden, um als gewünschte Rechtsfolge die Begrenzung der Datenverarbeitung herbeizuführen. Unter Einschränkung der Verarbeitung ist gem. Art. 4 Nr. 4 DS-GVO „die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken“, zu verstehen. Eine Markierung ist ein unmissverständlicher Einschränkungsvermerk im System des Verantwortlichen (s. Erwägungsgrund 67 der DS-GVO). Abzugrenzen ist Art. 18 DS-GVO vom Recht auf Löschung aus Art. 17 DS-GVO, bei dem die personenbezogenen Daten vollständig gelöscht und nicht nur wie bei Art. 18 DS-GVO deren Verarbeitung eingeschränkt.

Voraussetzungen

Voraussetzungen Ein Einschränkungsrecht steht nicht jedem zu: um eine Einschränkung der Verarbeitung verlangen zu können, muss der Betroffene eine der in Art. 18 Abs. 1 lit a-d DS-GVO genannten Voraussetzungen erfüllen. Dies ist der Fall, wenn der Betroffene die Richtigkeit der verarbeiteten Daten bestreitet (lit. a) oder er Widerspruch gegen die Verarbeitung eingelegt hat (lit. d). Die Einschränkung der Datenverarbeitung gilt dann für die Zwischenzeit, in der Abwägungsentscheidungen bezüglich der Verarbeitung getroffen werden.

Ein Einschränkungsrecht steht dem Betroffenen zudem alternativ zu einem Löschungsrecht aus Art. 17 DS-GVO zu. Gem. Art. 18 Abs. 1 lit. b DS-GVO kann der Betroffene eine Einschränkung verlangen, wenn die Verarbeitung seiner personenbezogenen Daten unrechtmäßig erfolgt, er eine Löschung aber explizit ablehnt. Des Weiteren steht dem Betroffenen ein Einschränkungsrecht gem. Art 18 Abs. 1 lit. c DS-GVO zu, wenn die personenbezogenen Daten vom Verantwortlichen zur Verarbeitung nicht länger benötigt werden, der Betroffene sie aber nicht löschen will, weil die Daten noch zur Geltendmachung seiner Rechtsansprüche gebraucht werden. Demnach setzen lit. b und c voraus, dass dem Betroffenen ein Löschungsrecht zusteht, er dieses jedoch ablehnt und die (mildere) Einschränkung der Verarbeitung verlangt. Dies liegt daran, dass eine Löschung in einigen Fällen nicht dem berechtigten Interesse des Betroffenen entspricht, sodass eine Einschränkung praktikabler erscheint.

Rechtsfolgen

Sobald ein Betroffener sein Recht auf Einschränkung geltend gemacht hat, dürfen seine personenbezogenen Daten gem. Abs. 2 nur noch mit seiner Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen verarbeitet werden. Darüber hinaus kann eine Datenverarbeitung trotz Einschränkung erfolgen, wenn sie dem Schutz der Rechte anderer natürlicher oder juristischer Personen dient oder aus Gründen eines wichtigen öffentlichen Interesses der EU oder eines Mitgliedstaates geboten ist.

Als Folge der Einschränkung treffen den Verantwortlichen Mitteilungspflichten aus Art. 18 Abs. 3 und Art. 19 DS-GVO. Demnach muss der Verantwortliche dem Betroffenen im Voraus mitteilen, wenn die Einschränkung der Verarbeitung aufgehoben wird. Zudem ist er verpflichtet, Dritte, an welche die Daten des Betroffenen weitergegeben wurden, über die Einschränkung zu informieren, sodass sie ihre Verarbeitungsprozesse ebenfalls beschränken. Diese Pflicht besteht jedoch nur, soweit die Unterrichtung möglich ist und für den Verantwortlichen keinen unverhältnismäßigen Aufwand darstellt. Darüber hinaus ist dem Betroffenen Auskunft über die Empfänger seiner Daten zu erteilen, sofern er dies vom Verantwortlichen verlangt.

Anwendungsbereich

Betroffene können ein Interesse an einer Einschränkung haben, wenn sie eine Löschung als zu radikal empfinden, diese nicht möglich oder nicht praktisch erscheint. Ein solcher Fall läge vor, wenn von vornherein damit gerechnet werden kann, dass die betroffene Person dem Verantwortlichen die Daten zu einem späteren Zeitpunkt wieder übermitteln möchte; im Fall der Einschränkung müssen die Daten dann nur wieder freigeschaltet und nicht neu erhoben werden. Art. 18 DS-GVO kann zudem zur Anwendung kommen, wenn der Kunde eines Unternehmens seine Daten weiterhin zur Vertragserfüllung gespeichert haben will, die Nutzung für Werbezwecke allerdings einschränkt werden soll.

Damit dem Einschränkungsgesuch der Betroffenen auch gerecht werden kann, sollen geeignete technische und organisatorische Maßnahmen ergriffen werden, damit die jeweiligen personenbezogenen Daten nicht für andere als die in Abs. 2 genannten Zwecke verwendet werden. Es soll durch die jeweiligen Maßnahmen gewährleistet werden, dass die Daten in keiner Weise weiterverarbeitet oder verändert werden. Erwägungsgrund 67 der DS-GVO nennt ein paar Beispiele dazu, wie eine Einschränkung ablaufen kann. Hierzu zählen unter anderem die vorübergehende Übertragung der jeweiligen Daten auf ein anderes Verarbeitungssystem, eine Sperrung der Daten für Nutzer, sowie eine vorübergehende Entfernung der Daten von einer Website.

Frühere Regelungen im Bundesdatenschutzgesetz (BDSG aF)

Art. 18 DS-GVO entspricht im weitesten Sinne dem Recht auf Sperrung statt Löschung aus §§ 20 Abs. 3-7 und 35 Abs. 3 und 4 BDSG aF. Im BDSG aF wurde stets von Datensperrung gesprochen, dies meint aber ebenso wie das Recht auf Einschränkung der Verarbeitung die vorübergehende Unbrauchbarmachung von personenbezogenen Daten, ohne diese gänzlich zu löschen. Im Wesentlichen stimmen die Regelungen im BDSG aF und der DS-GVO überein, dennoch gibt es kleine Unterschiede.

Art. 18 DS-GVO beinhaltet beispielsweise eine Einwilligungslösung, wohingegen die Vorschriften des BDSG aF von einer Widerspruchslösung ausgingen. Zudem ist die Regelung in der DS-GVO etwas schärfer als § 20 Abs. 3 bis 7 BDSG aF, in dessen Abs. 7 noch weitere Fälle aufgezählt sind, in denen eine Nutzung und Übermittlung der „gesperrten“ Daten ohne Einwilligung als zulässig angesehen wird. Als Beispiel ist die Verarbeitung zu wissenschaftlichen Zwecken zu nennen. Das Einschränkungsrecht der DS-GVO lässt eine weitere Nutzung der jeweiligen Daten nur zur Geltendmachung von Rechtsansprüchen, sowie bei Gebotenheit der Verarbeitung im öffentlichen Interesse, zu (s.o.). Ein weiterer Unterschied besteht darin, dass nach § 20 Abs. 4 und § 35 Abs. 4 BDSG aF eine Datensperrung auch ausdrücklich für den Fall vorgesehen war, dass die Richtigkeit der Daten zwar bestritten wird, im Ergebnis aber weder die Richtigkeit noch die Unrichtigkeit der Daten feststellbar ist. Eine Regelung zu den Fällen des sog. „non liquet“ (lat.: es ist nicht klar), in denen sich die Richtigkeit oder Unrichtigkeit der Daten nicht feststellen lässt, findet sich in der DS-GVO hingegen nicht. Solch eine ausdrückliche Bestimmung findet sich nur außerhalb der DS-GVO in § 58 Abs.1 S. 3, 4 BDSG, der eine Einschränkung der Datenverarbeitung auch dann vorsieht.

Fazit

Art. 18 DS-GVO ist ein Teil der Betroffenenrechte aus der DS-GVO und entspricht weitestgehend dem Recht auf Sperrung aus dem BDSG aF. Es ist scharf zu trennen vom Recht auf Vergessenwerden aus Art. 17 DS-GVO, welches auf die Löschung von personenbezogenen Daten abzielt. Das Einschränkungsrecht aus Art 18 DS-GVO kann in manchen Fällen interessengerechter sein als das Recht auf Datenlöschung aus Art. 17 DS-GVO. Dies liegt daran, dass die Daten teilweise noch zur Geltendmachung von Rechtsansprüchen benötigt werden oder der Betroffene die Verarbeitung seiner Daten beispielsweise nur im Rahmen von Werbung untersagen möchte, einer weiteren Verarbeitung aber zustimmt. Zudem ist zu beachten, dass den Verantwortlichen erweiterte Mitteilungspflichten aus Art. 18 Abs. 3 und Art 19 DS-GVO treffen.

In der Praxis wird bisher relativ selten vom Recht auf Einschränkung Gebrauch gemacht. Ein Antrag auf Datenlöschung ist indes viel häufiger.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Datenschutz für personenbezogene Daten wird auch auch weiterhin in den USA eher lasch behandelt. Gelten hier noch Standartklauseln?

Vorlagefragen beim EuGH
(Az. C-311/18) – Zulässigkeit von Standardvertragsklauseln

 

Einleitung

Als das Safe-Harbor-Abkommen vom EuGH gekippt wurde, behauptete die im Fall beklagte Facebook Inc., dass sie sich in Bezug auf den Datentransfer mit den USA auf sogenannte Standardvertragsklauseln (standard contractual clauses – SCC) im Sinne der Richtlinie 95/46/EG stütze. Daraufhin reichte der aus der Rechtssache C-362/14 (Safe-Harbor) bekannte österreichische Datenschützer Maximilian Schrems erneut Beschwerde beim irischen Datenschutzbeauftragten (Data Protection Commissioner – DPC) ein, woraufhin die irische Datenschutzbehörde Klage gegen denselben und Facebook Inc. beim Irischen High Court einreichte. Dieser wiederum rief am 29. Juni 2018 den EuGH an, um Antworten auf seine Vorlagefragen zu erbitten.

Die Vorlagefragen sind unter der Rechtssache C-311/18 auf der Seite des EuGH vorzufinden. Gegenstand ist zum einen die Zulässigkeit von Standardvertragsklauseln unter Zugrundelegung europäischer Rechtsnormen und zum anderen unter welchen Gesichtspunkten diese zu beurteilen ist. Diesbezüglich hat der Generalwalt des EuGH eine Stellungname am 19. Dezember 2019 veröffentlicht.

Einschätzung des Generalanwalts

Der Generalanwalt hat festgestellt, dass gegen die Verwendung von Standardvertragsklauseln grundsätzlich keine Bedenken bestehen. Das Verwenden von Standardvertragsklauseln wurde durch die Richtlinie 95/46/EG ermöglicht und durch den Beschluss 2010/87 der EU-Kommission genauer festgelegt. Auch die mittlerweile in Kraft getretene Verordnung 2016/679 (DS-GVO) sieht gemäß Art. 46 Abs. 2 lit. d) DS-GVO die Verwendung von Standardvertragsklauseln vor. Dort heißen sie jedoch nun Standarddatenschutzklauseln. Sie bestehen aus einem Set I und einem Set II. Unabhängig davon muss Facebook den Anforderungskatalog aus Art. 28 DS-GVO einhalten, da Facebook Ireland als Auftragsverarbeiter für Facebook Inc. fungiert.

Demnach folgt bereits aus Art. 1 des Beschlusses 2010/87, dass die Verwendung der im Anhang gelisteten Standardvertragsklauseln als „angemessene Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten von Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte nach Artikel 26 Abs. 2 der Richtlinie 95/46/EG gelten.“

Allerdings betont der Generalanwalt, dass es gemäß Art. 58 DS-GVO Aufgabe der jeweiligen nationalen Datenschutzbehörde ist, zu prüfen, ob sich ein Unternehmen im Einzelfall an die vereinbarten Standardvertragsklauseln hält und gegebenenfalls Maßnahmen zu ergreifen (Rn. 21 der Stellungnahme).

Folgt der EuGH der Ansicht des Generalanwalts nicht, muss die Kommission neue Standarddatenschutzklauseln erlassen.

Sollte der EuGH hingegen der Ansicht des Generalanwalts Folge leisten, ist die Beurteilung, ob Facebook Ireland Ltd. die in Europa gesammelten Daten an das in den USA ansässige Mutterunternehmen Facebook Inc. weiterleiten darf, von der Einschätzung der irischen Datenschutzbehörde abhängig.

Trotz erheblicher Kritik und Zweifeln an der DS-GVO-Konformität, kann die irische Datenschutzbehörde die Standarddatenschutzklauseln für zulässig erklären, sodass sich letztlich nichts an der Wirksamkeit des Datentransfers von Facebook in die USA ändern würde.

Diese Kritik und besonders die Bestimmungen der nach dem Safe-Harbor-Urteil in Kraft getretenen DS-GVO sollte der EuGH in seiner Entscheidung berücksichtigen.

Kritikpunkte

Die Übermittlung der personenbezogenen Daten von Facebook Ireland Ltd. an das Mutterunternehmen Facebook Inc. soll nur dieses berechtigen, diese Daten zu verarbeiten. Dass das in der Praxis so geschieht, ist jedoch äußerst fraglich. Zum einen ist seit den Enthüllungen von Edward Snowden bekannt, dass der amerikanische Geheimdienst NSA durch sein Programm PRISM in erheblichem Ausmaß transatlantische Glasfaserkabel anzapft und sich so Zugang zu diesen Daten verschaffen kann. Zum anderen erlaubt das Privacy Shield-Abkommen – wie bereits zuvor das Safe-Harbor-Abkommen, dass sich amerikanische US-Sicherheitsbehörden im Rahmen des Patriot Acts ohne Benachrichtigung der Betroffenen sich Zugang zu den von amerikanischen Unternehmen verarbeiteten Daten verschaffen können. Diese Bedenken hat die US-Regierung nach der Safe-Harbor-Entscheidung versucht auszuräumen indem sie schriftlich zugesagt hat, dass eine Überwachung der EU-Daten durch staatliche Einrichtungen nur nach klaren Regelungen und Limitierungen erfolgen soll. Insbesondere soll die wahllose Massenüberwachung von Daten ein Ende haben. Um die Einhaltung dieser Vereinbarung zu kontrollieren, soll es eine jährliche Bestandsaufnahme geben. Aber lediglich eine Limitierung bedeutet auch, dass ein Zugriff durch US-Behörden weiterhin möglich ist und nicht, dass der Zugriff verboten ist.

Ebenso ist festzustellen, dass europäische Bürger weiterhin keine wirksame Handhabe gegen amerikanische Unternehmen bei Datenschutzpannen haben. Zwar gibt es eine Ombudsstelle an die sich Betroffene wenden können. Dies läuft jedoch ins Leere, da Betroffene mangels Informationspflichten gar nicht von der Überwachung ihrer Daten erfahren.

Seit März 2018 ist in den USA der so genannte „Cloud Act“ in Kraft. Dieser erlaubt US-Behörden den Zugriff auf Daten amerikanischer Internet-Firmen und IT-Dienstleister, sogar wenn sie ihre Daten außerhalb der USA speichern, zum Beispiel in der EU. Da gleichzeitig Art. 3 der DS-GVO festlegt, dass für die Verarbeitung von personenbezogenen Daten innerhalb der Union ausschließlich die Bestimmungen der DS-GVO gelten, geht es um die Frage, wie weit eine Rechtsordnung in das Hoheitsgebiet eines anderen Staates hineinragen darf.

Fazit

Es bleibt offen, ob dem Generalanwalt Tatsachen vorliegen, die eine tatsächliche Sicherheit des Datenverkehrs garantieren und die keinen Einzug in seine Stellungnahme gehalten haben, oder ob er schlichtweg ignoriert, dass der Datentransfer in die USA von amerikanischen Geheimdiensten kontinuierlich angezapft wird und das amerikanische Recht weiterhin einen eher laschen Umgang mit personenbezogenen Daten vorsieht.

Das letzte Wort hat jedoch der EuGH. Dieser folgt zwar oft den Empfehlungen seiner Generalanwälte, aber auch nicht immer. Eine umfassende Beurteilung der Standarddatenschutzklauseln sollte alle diese genannten Kritikpunkte berücksichtigen. Dass der EuGH jedoch nicht davor zurückschreckt, Urteile mit weitreichenden Konsequenzen für bestehende Rahmenverträge zu sprechen, hat er mit dem Safe-Harbor-Urteil bereits demonstriert.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!