Gutachten und andere Hintergrundinformationen zu "Datenschutz ist Chefsache! Leitfaden für kleine und mittlere Unternehmen"

Anfrage an: Landesbeauftragter für den Datenschutz Sachsen-Anhalt

Auf Seite 85 der im Betreff bezeichneten Broschüre führen Sie im Kontext von Drittstaatentransfers aus, dass bei der Verwendung von europäischen Cloudanbietern, die Rechenzentren in der EU haben, aber Teil eines US-Konzerns sind, ein Restrisiko bestünde, dass "gespeicherte Daten aufgrund des CLOUD-Acts an den US-Mutterkonzern übermittelt werden und von dort US-amerikanischen Sicherheitsbehörden ausgehändigt werden."
Bitte lassen Sie mir dazu alle Gutachten oder sonstigen Informationen zukommen, auf die Sie diese “Restrisiko”-Einschätzung stützen, insbesondere
1. Gutachten und Informationen zur Auslegung des US-Rechts nach denen der US-CLOUD-Act auf EU-Gesellschaften *unmittelbar* Anwendung findet, insbesondere
a) woraus sich diese unmittelbare Anwendung ergibt, wenn möglich, Ausführungen und Gerichtsurteile zur Auslegung von "within such provider’s possession" nach 18 U.S. Code § 2713, insbesondere der Subsumption der EU-Anbieter unter dieses Tatbestandsmerkmal,
b) ob eine EU- Gesellschaft Adressat einer Verfügung nach 18 U.S. Code § 2713 sein kann,
c) ob sich eine EU- Gesellschaft in den USA wirksam auf ein Übertragungsverbot aus der DSGVO berufen kann, falls sie Adressat einer Verfügung nach 18 U.S. Code § 2713 sein kann, und ob sich dies unterscheidet, wenn (i) der Betroffene US-Staatsbürger ist oder dort seinen gewöhnlichen Aufenthalt hat (ii) dies nicht der Fall ist.
(In allen Fällen werden die Daten auf Servern in der EU gespeichert).
2. Gutachten und Informationen zur Auslegung des US-Rechts nach denen der US-CLOUD-Act auf EU-Gesellschaften *mittelbar* Anwendung findet, insbesondere
a) woraus sich diese mittelbare Anwendung ergibt, wenn möglich, Ausführungen zur Auslegung von "within such provider’s possession" nach 18 U.S. Code § 2713, insbesondere bei den Konstellationen
(i) die Muttergesellschaft hat unmittelbaren Zugriff auf die Daten der Tochtergesellschaft,
(ii) die US-Muttergesellschaft hat selbst *keinen* Zugriff auf die Daten der EU-Tochter, sondern muss stets "durch" die EU-Tochter,
(iii) die US-Muttergesellschaft erbringt untergeordnete Tätigkeiten für die Tochtergesellschaft (etwa Supportdienstleistungen) und hat in diesem Fall die Möglichkeit die angefordeten Daten zu beschaffen, würde sich bei aber einem Zugriff vertragsbrüchig verhalten.
(In allen Fällen werden die Daten auf Servern in der EU gespeichert).
b) ob im Fall einer deutschen Gesellschaft die Muttergesellschaft über die Gesellschafterebene (etwa per Gesellschafterbeschluss) zur Übermittlung der Daten in die USA wirksam verpflichten kann.
3. Gutachten und Informationen dazu, ob eine Verarbeitung durch eine EU-Gesellschaft mit Rechenzentren in der EU mit US-Muttergesellschaft bereits nur deshalb ein Drittstaatentransfer ist, weil ein Beherrschungsverhältnis vorliegt und insbesondere aus welchem Aspekt der Drittstaatentransfer vorliegen soll.
4. Gutachten und Informationen dazu, ob eine Verarbeitung durch eine EU-Gesellschaft mit Rechenzentren in der EU *ohne* US-Muttergesellschaft ein Drittstaatentransfer ist, wenn sie selbst auf dem US-Markt tätig ist, insbesondere, wenn sie dort Tochtergesellschaften hat. Jeweils in der Konstellation, dass in den USA selbst Rechenzentren betrieben werden oder nicht, jeweils getrennt zwischen Betrieb durch die US-Tochtergesellschaften und Betrieb durch die EU-Gesellschaft in den USA.
5. Gutachten und Informationen dazu, ob eine EU-Gesellschaft, die Daten in europäischen Rechenzentren speichert und Daten nur in die USA transferiert, um dort Dienstleistungen gegenüber Kunden zu erbringen dem US-CLOUD-Act, insbesondere 18 U.S. Code § 2713, unterfällt.
6. Gutachten und Informationen zu Fällen in denen die EU-Tochtergesellschaft eines US-Cloud-Anbieters seit Bestehen des CLOUD-Acts a) Daten an US-Behörden übermittelt hat, b) von ihrer Muttergesellschaft dazu angewiesen wurde oder c) selbst Adressat einer Anfrage nach 18 U.S. Code § 2713 wurde.
7. Gutachten und Informationen zur Fragestellung, inwieweit die gesellschaftsrechtliche Beherrschung einer EU-Gesellschaft (insbesondere einer deutschen Gesellschaft) durch ein Unternehmen aus den USA für die Einschätzung der Zulässigkeit der Verarbeitung nach der DSGVO relevant sind und ob dies mit völkerrechtlichen Verträgen (insbesondere dem deutsch-amerikanischen Freundschaftsvertrag [dort Artikel V, VII] und dem Allgemeine Zoll- und Handelsabkommen (GATS) [dort insbesondere Artikel XIV]) vereinbar ist.
8. Gutachten und Informationen zur Anwendbarkeit der Rechtsprechung zu behördlichen Produktwarnungen auf Datenschutzbehörden, insbesondere, zur Frage, ob Sie die auf Seite 85 getätigte Aussage als Produktwarnung klassifizieren.
9. Gutachten und Informationen zur Anwendbarkeit der DSGVO, insbesondere Kapitel V, auf Cloud-Anbieter mit US-Bezug soweit diese OTT-Anbieter sind (insbesondere seit In-Kraft-Treten des TTDSD), insbesondere ob es Besonderheiten oder Vorrangregeln im Verhältnis zur DSGVO gibt und welche dies konkret sind.

Anfrage eingeschlafen

Warte auf Antwort
  • Datum
    16. Dezember 2021
  • Frist
    19. Januar 2022
  • Kosten dieser Information:
    1065,00 Euro
  • 16 Follower:innen
  • Anfrage teilen
    Twitter Mastodon Kurzlink kopieren
  • RSS-Feed
Alle einklappen Alle ausklappen Zum Ende
<< Anfragesteller:in >>
am 16.12.2021
Antrag nach dem IZG LSA/UIG LSA/VIG AG LSA Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu: A…
An Landesbeauftragter für den Datenschutz Sachsen-Anhalt Details
Von
<< Anfragesteller:in >>
Betreff
Gutachten und andere Hintergrundinformationen zu "Datenschutz ist Chefsache! Leitfaden für kleine und mittlere Unternehmen" [#235821]
Datum
16. Dezember 2021 22:39
An
Landesbeauftragter für den Datenschutz Sachsen-Anhalt
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Antrag nach dem IZG LSA/UIG LSA/VIG AG LSA Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu:
Auf Seite 85 der im Betreff bezeichneten Broschüre führen Sie im Kontext von Drittstaatentransfers aus, dass bei der Verwendung von europäischen Cloudanbietern, die Rechenzentren in der EU haben, aber Teil eines US-Konzerns sind, ein Restrisiko bestünde, dass "gespeicherte Daten aufgrund des CLOUD-Acts an den US-Mutterkonzern übermittelt werden und von dort US-amerikanischen Sicherheitsbehörden ausgehändigt werden." Bitte lassen Sie mir dazu alle Gutachten oder sonstigen Informationen zukommen, auf die Sie diese “Restrisiko”-Einschätzung stützen, insbesondere 1. Gutachten und Informationen zur Auslegung des US-Rechts nach denen der US-CLOUD-Act auf EU-Gesellschaften *unmittelbar* Anwendung findet, insbesondere a) woraus sich diese unmittelbare Anwendung ergibt, wenn möglich, Ausführungen und Gerichtsurteile zur Auslegung von "within such provider’s possession" nach 18 U.S. Code § 2713, insbesondere der Subsumption der EU-Anbieter unter dieses Tatbestandsmerkmal, b) ob eine EU- Gesellschaft Adressat einer Verfügung nach 18 U.S. Code § 2713 sein kann, c) ob sich eine EU- Gesellschaft in den USA wirksam auf ein Übertragungsverbot aus der DSGVO berufen kann, falls sie Adressat einer Verfügung nach 18 U.S. Code § 2713 sein kann, und ob sich dies unterscheidet, wenn (i) der Betroffene US-Staatsbürger ist oder dort seinen gewöhnlichen Aufenthalt hat (ii) dies nicht der Fall ist. (In allen Fällen werden die Daten auf Servern in der EU gespeichert). 2. Gutachten und Informationen zur Auslegung des US-Rechts nach denen der US-CLOUD-Act auf EU-Gesellschaften *mittelbar* Anwendung findet, insbesondere a) woraus sich diese mittelbare Anwendung ergibt, wenn möglich, Ausführungen zur Auslegung von "within such provider’s possession" nach 18 U.S. Code § 2713, insbesondere bei den Konstellationen (i) die Muttergesellschaft hat unmittelbaren Zugriff auf die Daten der Tochtergesellschaft, (ii) die US-Muttergesellschaft hat selbst *keinen* Zugriff auf die Daten der EU-Tochter, sondern muss stets "durch" die EU-Tochter, (iii) die US-Muttergesellschaft erbringt untergeordnete Tätigkeiten für die Tochtergesellschaft (etwa Supportdienstleistungen) und hat in diesem Fall die Möglichkeit die angefordeten Daten zu beschaffen, würde sich bei aber einem Zugriff vertragsbrüchig verhalten. (In allen Fällen werden die Daten auf Servern in der EU gespeichert). b) ob im Fall einer deutschen Gesellschaft die Muttergesellschaft über die Gesellschafterebene (etwa per Gesellschafterbeschluss) zur Übermittlung der Daten in die USA wirksam verpflichten kann. 3. Gutachten und Informationen dazu, ob eine Verarbeitung durch eine EU-Gesellschaft mit Rechenzentren in der EU mit US-Muttergesellschaft bereits nur deshalb ein Drittstaatentransfer ist, weil ein Beherrschungsverhältnis vorliegt und insbesondere aus welchem Aspekt der Drittstaatentransfer vorliegen soll. 4. Gutachten und Informationen dazu, ob eine Verarbeitung durch eine EU-Gesellschaft mit Rechenzentren in der EU *ohne* US-Muttergesellschaft ein Drittstaatentransfer ist, wenn sie selbst auf dem US-Markt tätig ist, insbesondere, wenn sie dort Tochtergesellschaften hat. Jeweils in der Konstellation, dass in den USA selbst Rechenzentren betrieben werden oder nicht, jeweils getrennt zwischen Betrieb durch die US-Tochtergesellschaften und Betrieb durch die EU-Gesellschaft in den USA. 5. Gutachten und Informationen dazu, ob eine EU-Gesellschaft, die Daten in europäischen Rechenzentren speichert und Daten nur in die USA transferiert, um dort Dienstleistungen gegenüber Kunden zu erbringen dem US-CLOUD-Act, insbesondere 18 U.S. Code § 2713, unterfällt. 6. Gutachten und Informationen zu Fällen in denen die EU-Tochtergesellschaft eines US-Cloud-Anbieters seit Bestehen des CLOUD-Acts a) Daten an US-Behörden übermittelt hat, b) von ihrer Muttergesellschaft dazu angewiesen wurde oder c) selbst Adressat einer Anfrage nach 18 U.S. Code § 2713 wurde. 7. Gutachten und Informationen zur Fragestellung, inwieweit die gesellschaftsrechtliche Beherrschung einer EU-Gesellschaft (insbesondere einer deutschen Gesellschaft) durch ein Unternehmen aus den USA für die Einschätzung der Zulässigkeit der Verarbeitung nach der DSGVO relevant sind und ob dies mit völkerrechtlichen Verträgen (insbesondere dem deutsch-amerikanischen Freundschaftsvertrag [dort Artikel V, VII] und dem Allgemeine Zoll- und Handelsabkommen (GATS) [dort insbesondere Artikel XIV]) vereinbar ist. 8. Gutachten und Informationen zur Anwendbarkeit der Rechtsprechung zu behördlichen Produktwarnungen auf Datenschutzbehörden, insbesondere, zur Frage, ob Sie die auf Seite 85 getätigte Aussage als Produktwarnung klassifizieren. 9. Gutachten und Informationen zur Anwendbarkeit der DSGVO, insbesondere Kapitel V, auf Cloud-Anbieter mit US-Bezug soweit diese OTT-Anbieter sind (insbesondere seit In-Kraft-Treten des TTDSD), insbesondere ob es Besonderheiten oder Vorrangregeln im Verhältnis zur DSGVO gibt und welche dies konkret sind.
Dies ist ein Antrag auf Zugang zu Informationen nach dem Informationszugangsgesetz Sachsen-Anhalt (IZG LSA) sowie hilfsweise dem Umweltinformationsgesetz des Landes (UIG LSA), soweit Umweltinformationen im Sinne des § 2 Abs. 3 UIG betroffen sind bzw. nach dem Verbraucherinformationsgesetz (VIG), soweit Verbraucherinformationen im Sinne des § 2 Abs. 1 VIG betroffen sind. Sollte die Aktenauskunft wider Erwarten gebührenpflichtig sein, bitte ich Sie, mir dies vorab mitzuteilen und dabei die Höhe der voraussichtlichen Kosten anzugeben. Nach § 7 Abs. 5 IZG LSA bzw. § 3 Abs. 3 Nr. 1 UIG oder § 5 Abs. 2 VIG möchte ich Sie bitten, mir die erbetenen Informationen unverzüglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Sollten Sie für diesen Antrag nicht zuständig sein, bitte ich Sie, ihn an die zuständige Behörde weiterzuleiten und mich darüber zu unterrichten. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an Dritte. Ich möchte Sie um eine Antwort in elektronischer Form (E-Mail) bitten, ggf. zusätzlich zu einer postalischen Zusendung. Ich bitte Sie um Empfangsbestätigung und danke Ihnen für Ihre Mühe! Mit freundlichen Grüßen Antragsteller/in Antragsteller/in Anfragenr: 235821 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/235821/ Postanschrift Antragsteller/in Antragsteller/in << Adresse entfernt >> << Adresse entfernt >>
Mit freundlichen Grüßen << Anfragesteller:in >>
Noch keine Kommentare. Please login to write a comment.
Landesbeauftragter für den Datenschutz Sachsen-Anhalt
am 13.01.2022
Ihr IZG-Antrag / FragDenStaat Gutachten und andere Hintergrundinformationen zu "Datenschutz ist Chefsache! Le…
Details
Von
Landesbeauftragter für den Datenschutz Sachsen-Anhalt
Via
Briefpost
Betreff
Ihr IZG-Antrag / FragDenStaat Gutachten und andere Hintergrundinformationen zu "Datenschutz ist Chefsache! Leitfaden für kleine und mittlere Unternehmen" [#235821]
Datum
13. Januar 2022
Status
Warte auf Antwort
scan00085820220116191428_geschwaerzt.pdf
geschwärzt
2,3 MB
Es liegen zum Themenkomplex drei öffentliche Gerichtsentscheidungen und zwei nicht-öffentliche Gutachten vor. Die Gerichtsentscheidungen sind: franz. Counseil d'État vom 13.10.2020 (Nr 444937) und 12.03.2021 (Nr 450163) sowie VG Wiesbaden vom 01.12.2021 (Az.: 6 L 738/21.WI). Die beiden nicht-öffentlichen Gutachten sind nicht benannt. Es wird nur auf die allgemeine Kostenkalkulation verwiesen.
Noch keine Kommentare. Please login to write a comment.
Landesbeauftragter für den Datenschutz Sachsen-Anhalt
am 28.01.2022
Weitere Auskünfte erhalten
Details
Von
Landesbeauftragter für den Datenschutz Sachsen-Anhalt
Via
Briefpost
Betreff
Weitere Auskünfte erhalten
Datum
28. Januar 2022
Status
Warte auf Antwort
anlage-1-330-441_geschwaerzt.pdf
geschwärzt
1,2 MB
anlage-2-330-441_geschwaerzt.pdf
geschwärzt
2,5 MB
anlage-3-330-441_geschwaerzt.pdf
geschwärzt
2,0 MB
anlage-4-330-441_geschwaerzt.pdf
geschwärzt
485,9 KB
anschreiben-330-441_geschwaerzt.pdf
geschwärzt
1,1 MB
Zeige 2 weitere Anhänge
Noch keine Kommentare. Please login to write a comment.
Landesbeauftragter für den Datenschutz Sachsen-Anhalt
am 21.02.2022
Weitere Es gibt zwei weitere Gutachten, die derzeit noch nicht zur Verfügung gestellt werden. Beim ersten Gutach…
Details
Von
Landesbeauftragter für den Datenschutz Sachsen-Anhalt
Via
Briefpost
Betreff
Weitere
Datum
21. Februar 2022
Status
Warte auf Antwort
Es gibt zwei weitere Gutachten, die derzeit noch nicht zur Verfügung gestellt werden. Beim ersten Gutachten verweigert der Verfasser dies mit Hinblick auf das Urheberrecht. Beim zweiten Gutachten verweigert der Bundesbeauftragte für Datenschutz die Zustimmung zur Weitergabe. Die bisherigen Kosten der Anfrage belaufen sich auf voraussichtlich 639 EUR + weitere 426 EUR.
Noch keine Kommentare. Please login to write a comment.

Ein Zeichen für Informationsfreiheit setzen

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!

Jetzt spenden!

Landesbeauftragter für den Datenschutz Sachsen-Anhalt
am 21.02.2022
Weitere Gutachten
Details
Von
Landesbeauftragter für den Datenschutz Sachsen-Anhalt
Via
Briefpost
Betreff
Weitere Gutachten
Datum
21. Februar 2022
Status
Warte auf Antwort
scan00090420220301175645_geschwaerzt.pdf
geschwärzt
2,0 MB
Noch keine Kommentare. Please login to write a comment.