Social Media: SDTB startet mit eigener Instanz des Kurznachrichtendienstes Mastodon

Dr. Juliane Hundert: »Behörden des Freistaates Sachsen können sich ebenfalls ein Profil für ihre Öffentlichkeitsarbeit einrichten«

Für öffentliche Stellen des Freistaates Sachsen gibt es unter social.sachsen.de ab sofort eine eigene Instanz des Kurznachrichtendienstes Mastodon. Darüber können Behörden datenschutzfreundlich über ihre Arbeit informieren und sich mit Bürgerinnen und Bürgern austauschen. Der Server wird von der Sächsischen Datenschutz- und Transparenzbeauftragten (SDTB) betrieben, die für ihr eigenes Profil bislang die Mastodon-Instanz des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) genutzt hat. Nun ist die SDTB auf ihre eigene Instanz umgezogen. Ihr Account ist unter social.sachsen.de/@sdtb erreichbar.

Anlässlich der Inbetriebnahme der eigenen Mastodon-Instanz sagt Dr. Juliane Hundert: »Ich freue mich, dass ich öffentlichen Stellen ein datenschutzkonformes soziales Netzwerk für ihre Öffentlichkeitsarbeit zur Verfügung stellen kann. Die Gelegenheit für den Wechsel ist günstig. Insbesondere Mastodon hat in den vergangenen Monaten an Popularität nochmals deutlich zugelegt. Der Kurznachrichtendienst gilt inzwischen nicht mehr nur bei IT-Expertinnen und Experten als datensparsame und nicht-kommerzielle Alternative zu Facebook und X, ehemals Twitter. Mit der Einrichtung einer eigenen Instanz auf social.sachsen.de möchte ich diese positive Entwicklung unterstützen. Damit komme ich auch dem Wunsch von Verantwortlichen in öffentlichen Stellen nach, die für ihre Öffentlichkeitsarbeit an einem Mastodon-Account interessiert sind, aber den Aufwand für einen eigenen Server scheuen.«

Neben Ministerien können in der Pilotphase auch nachgeordnete Behörden des Freistaates Sachsen einen Account auf social.sachsen.de erhalten. Dazu genügt eine E-Mail an socialmedia@sdtb.sachsen.de. Sonstige öffentliche Stellen sind aufgrund der begrenzten Ressourcen der SDTB von dem Angebot vorerst noch ausgenommen. Privatpersonen haben die Möglichkeit, sich einen Account bei einer der zahlreichen weiteren öffentlichen Mastodon-Instanzen anzulegen. Wer sich nicht bei Mastodon anmelden möchte, kann Nachrichten (»Toots« oder »Tröts«) auf der Plattform entweder direkt im Browser lesen oder als RSS-Feed abonnieren. Der Link zum RSS-Feed des SDTB-Profils lautet:
https://social.sachsen.de/@sdtb.rss

Weiterführende Links
Mastodon-Instanz social.sachsen.de
Mastodon-Profil der SDTB

BfDI für effektivere Regeln zur Durchsetzung der DSGVO bei grenzüberschreitenden Sachverhalten

Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 26.09.2023

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, begrüßt, dass sich die europäischen Datenschutzaufsichtsbehörden und der Europäische Datenschutzbeauftragte (EDSB) für schnellere und transparentere Verfahren bei der Bearbeitung von grenzüberschreitenden Fällen aussprechen. Gerade bedeutende Fälle mit vielen Betroffenen oder weitreichenden Folgen für den Datenschutz müssen zeitnah entschieden werden.

Weiterlesen BfDI für effektivere Regeln zur Durchsetzung der DSGVO bei grenzüberschreitenden Sachverhalten

ZOOM in der Hamburger Verwaltung: HmbBfDI und Senatskanzlei legen Streit bei

Pressemitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit vom 19.09.2023.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit und die Senatskanzlei der Freie und Hansestadt Hamburg haben ihr Verfahren vor dem Hamburgischen Verwaltungsgericht über den Einsatz des Videokonferenzsystems ZOOM durch einen Vergleich beendet.

Im August 2021 hatte der HmbBfDI eine „Warnung“ gegenüber der Senatskanzlei ausgesprochen, weil diese beabsichtigte, ZOOM in der Hamburger Verwaltung in einer Art und Weise einzusetzen, die wegen der Übermittlung personenbezogener Daten in die USA nach Auffassung des HmbBfDI nicht mit dem geltenden Datenschutzrecht im Einklang stand. Hiergegen erhob die Senatskanzlei im September 2021 Klage vor dem VG Hamburg. Es kam bisher nicht zu einer gerichtlichen Entscheidung.

Weiterlesen ZOOM in der Hamburger Verwaltung: HmbBfDI und Senatskanzlei legen Streit bei

Stellungnahmen zum neuen Bundesdatenschutzgesetz – Kugelmann: Fortschritt, aber Länderrolle widerspiegeln!

Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz

Anfang August veröffentlichte das Bundesinnenministerium den Entwurf für ein novelliertes Bundesdatenschutzgesetz. Die deutschen Datenschutzbehörden haben dazu mit Stellungnahmen Position bezogen. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Professor Dr. Dieter Kugelmann, hat an den Stellungnahmen wesentlich mitgewirkt. Er resümiert: „Wir haben einige Punkte identifiziert, die der Nachschärfung bedürfen. An einem Punkt ist der Entwurf ein Fortschritt: Erstmalig wird darin die schon lange existierende Datenschutzkonferenz als etabliertes Format der Zusammenarbeit zwischen den deutschen Datenschutzaufsichtsbehörden gesetzlich anerkannt.“

Das Bundesdatenschutzgesetz ergänzt und präzisiert die Datenschutz-Grundverordnung in Bereichen, die die EU-Staaten jeweils selbst ausgestalten dürfen. In Deutschland regelt das Bundesdatenschutzgesetz den Datenschutz bei privaten Unternehmen und Einrichtungen und insbesondere auch die Zuständigkeiten der Datenschutzaufsichtsbehörden der Länder und des Bundes.

Datenschutzkonferenz gesetzlich festgeschrieben
Die im Entwurf nun faktisch vorgesehene Institutionalisierung der Datenschutzkonferenz begrüßen die 18 deutschen Datenschutzaufsichtsbehörden in ihrer gemeinsamen Stellungnahme<https://www.datenschutz.rlp.de/fileadmin/lfdi/Bilder_News/23-09-06_DSK-Stellungnahme_BDSG.pdf> ausdrücklich. Die Datenschutzkonferenz ist als Format für die gelingende Zusammenarbeit der Behörden seit langem etabliert. Dieter Kugelmann leitet den im Jahr 2020 gegründeten Arbeitskreis „DSK 2.0“, der auf die weitere Intensivierung und Professionalisierung hinarbeitet. Schon heute hat die Datenschutzkonferenz eine Geschäftsordnung und lässt Mehrheitsbeschlüsse zu. „Der vorliegende Gesetzentwurf schreibt insoweit die Fortschritte fest, die wir in den vergangenen Monaten erzielt haben. Das ist gut.“ Was im Gesetzentwurf jedoch fehle, sei die Einrichtung einer Geschäftsstelle für die Datenschutzkonferenz. „Die Datenschutzkonferenz braucht eine Geschäftsstelle, um dauerhaft effizient arbeiten zu können. Ich bedaure, dass die Chance zur organisatorischen Festlegung des Gremiums im Gesetzentwurf noch nicht genutzt wurde. Ich werde mich weiter für die Einrichtung einer Geschäftsstelle einsetzen“, so Kugelmann weiter.

Zuständigkeit der Länder
Neben der gemeinsamen Stellungnahme der Datenschutzkonferenz haben die Landesdatenschutzaufsichtsbehörden eine zweite, eigene Stellungnahme <https://www.datenschutz.rlp.de/fileadmin/lfdi/Bilder_News/23-09-06_Laender-Stellungnahme_BDSG.pdf> an das Bundesinnenministerium geschickt. Die Stellungnahme der Länder geht insbesondere auf diejenigen Aspekte des Gesetzentwurfs ein, die die Verteilung der Zuständigkeiten der Aufsichtsbehörden auf föderaler Ebene und die Mitwirkung auf der Ebene der EU betreffen. Dieter Kugelmann stellt fest: „Einige der vorgesehenen Änderungen fallen hinter die Lösungen zurück, die die Aufsichtsbehörden in der Praxis für eine schnelle und gute Abstimmung schon gefunden haben.“ Die Stellungnahme formuliert daher aus Ländersicht konstruktive Vorschläge zu denjenigen Passagen im Gesetzentwurf, die etwa länderübergreifende Datenverarbeitungsvorhaben und die deutsche Vertretung auf EU-Ebene betreffen. Dieter Kugelmann betont: „Als rheinland-pfälzischer Landesdatenschutzbeauftragter leitet mich stets das Ziel, eine einheitliche Anwendung der DS-GVO für alle Bürgerinnen und Bürger, die Wirtschaft und die Verwaltung zu erreichen, ohne die zahlreichen Vorteile der regionalen Zuständigkeit zu verlieren.“

Weitere Informationen:

Stellungnahme der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder<https://www.datenschutz.rlp.de/fileadmin/lfdi/Bilder_News/23-09-06_DSK-Stellungnahme_BDSG.pdf> vom 06.09.2023

Stellungnahme der unabhängigen Datenschutzaufsichtsbehörden der Länder<https://www.datenschutz.rlp.de/fileadmin/lfdi/Bilder_News/23-09-06_Laender-Stellungnahme_BDSG.pdf> vom 06.09.2023

Anwendungshinweise der DSK zum Angemessenheitsbeschluss des EU-U.S. Data Privacy Framework – Der TLfDI weicht vom Votum der DSK ab und nimmt Stellung!

Pressemitteilung des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) vom 04.09.2023

Bereits am 14. Juli 2023 hat der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) in seiner Pressemittelung zu EU-U.S. Data Privacy Framework (DPF) vor zu großer Euphorie gewarnt.

Die Datenschutzkonferenz der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) verabschiedete jetzt ein Papier mit Anwendungshinweisen zum Angemessenheitsbeschluss des Data Privacy Frameworks.

Dieses Framework erlaubt den Datentransfer personenbezogener Daten in die USA, ohne dabei zusätzliche Maßnahmen treffen zu müssen. Empfänger sind zertifizierte US-Organisationen (meist Unternehmen). Der TLfDI verweist zur inhaltlichen Information, welche Regelungen und Beschwerdemöglichkeiten für Verantwortliche und Betroffene existieren auf das oben genannte DSK-Papier. Hierin finden sich insbesondere in Kapitel III Eingriffsmöglichkeiten bei Beschwerden

  • gegenüber zertifizierten Unternehmen,
  • bei Verdacht auf rechtswidrige Datenverarbeitung im Fall von Strafverfolgung,
  • bei Verdacht auf rechtswidrige Datenverarbeitung im Fall der „Sicherstellung der nationalen Sicherheit“.

Sind damit Datentransfers in die USA von nun an problemlos möglich? Kann nun alles mit einer Vertragsunterschrift bedenkenlos bewilligt werden? Nein. Es gibt weitere Punkte zu bedenken und dies ist auch der Grund, weshalb der TLfDI den Anwendungshinweisen der DSK leider nicht zustimmen konnte, da diese die Punkte allenfalls sehr dezent aufgreifen .

Daher möchte der TLfDI zu den Anwendungshinweisen zwei Punkte ergänzen.

1. Pflichten des Verantwortlichen:
Bei Nutzung von US-Anbietern (wie z.B. Cloud-Anbieter) sind diese als Auftragnehmer häufig nicht Verantwortliche im Sinne der DS-GVO. Verantwortlich ist vielmehr in der überwiegenden Mehrzahl der Fälle der Auftraggeber. Insbesondere müssen Verantwortliche auch die Anforderungen aus Art 5 Abs. 2 DS-GVO bezüglich der Rechenschaftspflicht erfüllen können. Falls Datenübermittlungen in Drittländer an Auftragsverarbeiter erfolgen, sind auch die Bedingungen des Art. 28 DS-GVO (hier insb. Abs. 1 und 3) einschlägig, um die Nachweise nach Art. 5 Abs. 2 DS-GVO erfüllen zu können. Daher muss Lesern der Anwendungshinweise zum Data Privacy Framework klar sein, dass die Hinweise für Datenexporteure in Kap. II , Kasten am Ende von Abschnitt 2.1 so verstanden werden müssen, dass aufgrund der fehlenden Regelungen des Data Privacy Frameworks zu datenschutzrechtlichen Verpflichtungen der DS-GVO der Verantwortliche diese im Zweifel ohne Hilfe des Datenexporteurs erfüllen können muss, oder diese über einen Auftragsverarbeitungsvertrag mit dem Datenimporteur nach Art. 28 DS-GVO bzw. einer Vereinbarung nach Art. 26 DS-GVO mit dem Datenimporteur sicherstellen muss. Diese Verpflichtungen von Verantwortlichen wären z.B. Betroffenenrechte wie das Recht auf Auskunft oder das Recht auf Löschung oder das Recht auf Berichtigung. Insoweit kann ein Datenexporteur (Verantwortlicher) sich bei der Unterstützung zur Wahrung der Nutzerrechte auch nur auf vertragliche Zusicherungen des Datenimporteurs (Auftragsverarbeiter) verlassen. Technische Vereinbarungen zu Verarbeitungszwecken, auch im Rahmen der im DPF-Zertifikat benannten Verarbeitungszwecke, sowie technische Sicherheitsmaßnahmen muss der Datenimporteur auch tatsächlich nachweisen können.

2. Kritikpunkte der Europäischen Datenschutzausschusses und von Max Schrems:
Die Zertifizierung von US-Organisationen ist immer eine Selbstzertifizierung, welche aber an einen externen Auditor ausgelagert werden kann . Die zuständige Zertifizierungsbehörde erhält einige Unterlagen aus diesem Zertifizierungsprozess , die zertifizierte Stelle muss ihre Datenschutzerklärung öffentlich zur Verfügung stellen und diese vollständig umsetzen und wird dann als „zertifizierte Stelle“ geführt. Der Wahrheitsgehalt einer Selbstzertifizierung wird erst im Beschwerdefall geprüft. Staatliche Verarbeitung von Daten (zu Zwecken der Strafverfolgung und Sicherstellung der nationalen Sicherheit) können durch Beschwerden ebenfalls überprüft werden. Für die Prüfverfahren im Beschwerdefall, aber auch für die Wahrnehmung der Betroffenenrechte laut DS-GVO, hat sowohl der Europäische Datenschutzausschuss, aber auch Max Schrems, Kritik geäußert, welche in der richterlichen Überprüfung dazu führen kann, dass der Angemessenheitsbeschluss richterlich für unwirksam erklärt wird. Max Schrems hat diesen Nachweis bereits für den Angemessenheitsbeschluss zum Privacy Shield (Rechtssache C 311/18 beim EuGH) sowie vor Inkrafttreten der DS-GVO zum Safe Harbor Abkommen (Rechtssache C-362/14 beim EuGH) erfolgreich führen können.

Die Menge an Kritikpunkten ist signifikant, weshalb der TLfDI der Auffassung ist, dass Datenexporteure, welche sich auf das Data Privacy Framework berufen wollen, sich der Kritikpunkte und damit dem Risiko des Widerrufs des Angemessenheitsbeschlusses bewusst sein sollten. Es wurde bisher folgende Kritik geäußert:

a. Europäischer Datenschutzausschuss:
Der Europäische Datenschutzausschuss (englisch EDBP) kritisierte in seiner Stellungnahme zum Entwurf des Angemessenheitsbeschlusses folgende Punkte:

  • Weiterbestehende Ausnahmen für das Recht auf Auskunft von Betroffenen bleiben bestehen (laut Annex I des Angemessenheitsbeschlusses, Section III „supplemental principles“, Nr. 15, Buchstabe d insbesondere für öffentlich verfügbare Daten, aber z.B. auch für Daten zu Forschungszwecken – Details findet man in Erwägungsgrund 31 des Angemessenheitsbeschlusses und dessen Fußnote 45). D.h. die Auskunft kann verweigert werden, wenn der Datenimporteur sich z.B. hinter Daten zu Forschungszwecken „verstecken“ kann.
  • Unspezifische Regelungen, wann der Anwendungsbereich des EU-US DPF überhaupt eröffnet ist. D.h. es ist unklar, wann das DPF angewendet werden kann und welche Voraussetzungen in den Einzelfällen (z.B. bei Beschwerden, aber auch bei einer Auskunft) eigentlich erfüllt sein müssen. Annex I, Section III, Nr. 8 a ii des Angemessenheitsbeschlusses erlaubt z.B. das Recht auf Auskunft gegenüber Unternehmen ohne Vorbedingungen. Für das gleiche Recht (nur zu Zwecken der „nationalen Sicherheit“ der USA) muss laut Erwägungsgrund 178 des Angemessenheitsbeschlusses die Betroffenheit nachgewiesen werden. Gelingt dieser Nachweis in dem einen Fall nicht, wird das Privacy Framework nicht angewendet. Weiterhin gibt es Ausnahmeregelungen z.B. zu Journalisten (Annex I, Section III, Nr. 2, welche jegliche Recherchedaten vom DPF ausnehmen).
  • Fehlende Definition zentraler Begriffe (und damit weiter bestehende Unklarheit bezüglich der Auslegung dieser Begriffe). Dies ist z. B. dann problematisch, wenn entschieden werden muss, ob eine Datenerfassung „verhältnismäßig“, also geeignet, erforderlich und angemessen ist. Die Begriffe werden im Angemessenheitsbeschluss und dessen Anhängen zwar durchgehend benutzt, aber nicht definiert. Damit kann jede Seite diese Begriffe unterschiedlich auslegen – und im Zweifel wird dies von den Aufsichtsstellen in den USA ausgelegt. Gleiches gilt für die Prüfung der „Notwendigkeit“ (Erforderlichkeit), aber auch der „Betroffenheit“ oder wann die Risiken für ein Individuum die Interessen der US-Organisation überwiegen (wie recht pauschal in Erwägungsgrund 31 aufgezählt ).
  • Fehlende Klarheit, wie Verantwortliche die Prinzipien des EU-US DPF durchsetzen sollen. Annex I Section III, Nr. 9 Buchst. d erklärt z.B. im Angestelltenverhältnis den Arbeitgeber zur primären Beschwerdestelle (und erst im Nachgang können weitere Stellen eingeschaltet werden). Weitere Anlaufstellen für Beschwerden wären je nach Beschwerdegegner das „Department of Commerce“ (DoC), das „Department of Transportation“ (DoT), die „Federal Trade Commision“ (FTC), die Datenschutzaufsichtsbehörden der EU, die zertifizierte US-Organisation, eine unklare Menge an Behörden, welche für Kriminalitätsbekämpfung zuständig sind (siehe Erwägungsgrund 107 und Fußnote 190 des Angemessenheitsbeschlusses sowie Erwägungsgrund 108 des selbigen), ein „Inspector General“, das „Privacy and Civil Liberties Oversight Board“ (PCLOB), der „Foreign Intelligence Surveillance Court“ (FISC), der „Civil Liberties Protection Officer of the Director of National Intelligence“ (ODNI CLPO) sowie der „Data Protection Review Court“ (DPRC). Die Rolle einiger Stellen wird in den Anwendungshinweisen der DSK erklärt. Die Wege zu diesen Beschwerdestellen sind ganz unterschiedlich gestaltet und für Betroffene ohne fundierte rechtliche Beratung schwer zu bewältigen.
  • Vollständig fehlende Regelungen zu Profiling und zur automatisierten Entscheidungsfindung.
  • Unklare Regelungen zur Massendatenerfassung für Zwecke der nationalen Sicherheit sowie deren Datenspeicherdauer und praktische Umsetzung der vereinbarten Regelungen. Hier spielt primär Erwägungsgrund 141 die Hauptrolle. Dieser erlaubt Massendatenerfassung der Geheimdienste (wie Edward Snowden 2010 offenlegte), wenn eine gezielte Datensammlung nicht möglich ist und zweitens die „Notwendigkeit“ der Maßnahme begründet werden kann. Ist dies der Fall, soll die Massendatenerfassung auf das notwendige Minimum reduziert werden. Zur Begründung der „Notwendigkeit“ und was das „notwendige Minimum“ ist, werden keine Festlegungen getroffen. Eine mit der EU-Rechtsprechung vergleichbare Auslegung ist auch hier nicht garantiert.
  • Fehlende Autorisierung zur Massendatenerfassung durch eine unabhängige Stelle, sondern nur nachträgliche Prüfmöglichkeit im Fall von zugelassenen Beschwerden.
  • Nachträgliche Prüfung wird nicht durchgängig durch vom Geheimdienst unabhängige Stellen gewährleistet. Vielmehr ist der hierfür eingerichtete „Foreign Intelligence Surveillance Court“ (FISC) zwar ein unabhängiges Gericht, welches jedoch an die Geheimdienste der USA angegliedert ist und dessen Tätigkeit von außen nicht weiter überprüfbar ist (siehe Annex VII des Angemessenheitsbeschlusses) .
  • Der Status der Prüfung bei einer Beschwerde gegen geheimdienstliches Handeln ist nach wie vor zu intransparent. D.h. es ist unklar, ob die Beschwerde überhaupt angenommen wurde, ob Maßnahmen getroffen wurden und welche Maßnahmen dies überhaupt sind. So wurde früher nur mitgeteilt: „Ohne zu bestätigen oder zu leugnen, dass der Beschwerdeführer Gegenstand von Aktivitäten des US-Signalnachrichtendienstes war, wurden bei der Überprüfung entweder keine erfassten Verstöße festgestellt, oder das Datenschutzüberprüfungsgericht hat eine Feststellung getroffen, die angemessene Abhilfemaßnahmen erfordert.“ In Erwägungsgrund 183 wird dieser Satz bereits als Zitat wieder aufgegriffen. Diese Mitteilung kann nun vom Betroffenen pauschal angegriffen werden, woraufhin ein ausgewählter Jurist den Beschwerdeführer vertritt.

b. Max Schrems:
Auch die gemeinnützige Organisation „NOYB – Europäisches Zentrum für digitale Rechte“, welche bereits die zurückliegenden Urteile „Schrems I“ und „Schrems II“ erwirken konnte, führt weitere Kritikpunkte auf :

  • Begriff der „Verhältnismäßigkeit“ bei staatlicher Überwachung wird in den USA und in der EU unterschiedlich ausgelegt. Damit kann keine pauschale „Verhältnismäßigkeit“ oder ein Maßstab nach den Grundrechten der EU angenommen werden.
  • Die Stelle des „Ombudsmannes“ wurde nun einfach nur durch mehrere Gremien, wie FTC, PCLOB oder FISC ersetzt, welche in Summe aber keine wesentlichen neuen Funktionen ausfüllen.
  • Keine wesentliche Änderung von FISA Section 702. FISA Section 702 regelt die geheimdienstliche Informationsgewinnung von Nicht-US-Bürgern, welche sich wahrscheinlich außerhalb der USA aufhalten, mithilfe von dafür geeigneten elektronischen Hilfsmitteln. Darunter können auch Verfahren zur massenhaften Datenerfassung fallen, falls die Informationsgewinnung nicht anders möglich ist. Die Maßnahmen werden im Innenverhältnis der Geheimdienste genehmigt und durch geheimdienst-eigene Gerichte (wie FISC) überprüft . Diese Regelung führte u. A. in den zurückliegenden Urteilen zur Aufhebung des Angemessenheitsbeschlusses. Dazu Max Schrems: „FISA 702 muss bis Ende 2023 verlängert werden, da es im US-Gesetz eine „Verfallsklausel“ gibt. Dies wäre die perfekte Gelegenheit gewesen, das US-Gesetz zu verbessern, aber angesichts des neuen Abkommens mit der EU gibt es für die USA wenig Grund, FISA 702 zu reformieren. „

Dr. Lutz Hasse: „Unternehmen etwa sollten vor diesem Hintergrund abwägen, ob sie sensible Daten – auch Kundendaten – in die USA transferieren oder bis zur Entscheidung des EuGH vorsorglich nicht. Denn die Wahrscheinlichkeit, dass der Europäische Gerichtshof den Adäquanzbeschluss aufheben wird, ist danach recht hoch.“

Dr. Lutz Hasse Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit Häßlerstraße 8 99096 Erfurt www.tlfdi.de