Gutachten und andere Hintergrundinformationen zu "Datenschutz ist Chefsache! Leitfaden für kleine und mittlere Unternehmen"
Auf Seite 85 der im Betreff bezeichneten Broschüre führen Sie im Kontext von Drittstaatentransfers aus, dass bei der Verwendung von europäischen Cloudanbietern, die Rechenzentren in der EU haben, aber Teil eines US-Konzerns sind, ein Restrisiko bestünde, dass "gespeicherte Daten aufgrund des CLOUD-Acts an den US-Mutterkonzern übermittelt werden und von dort US-amerikanischen Sicherheitsbehörden ausgehändigt werden."
Bitte lassen Sie mir dazu alle Gutachten oder sonstigen Informationen zukommen, auf die Sie diese “Restrisiko”-Einschätzung stützen, insbesondere
1. Gutachten und Informationen zur Auslegung des US-Rechts nach denen der US-CLOUD-Act auf EU-Gesellschaften *unmittelbar* Anwendung findet, insbesondere
a) woraus sich diese unmittelbare Anwendung ergibt, wenn möglich, Ausführungen und Gerichtsurteile zur Auslegung von "within such provider’s possession" nach 18 U.S. Code § 2713, insbesondere der Subsumption der EU-Anbieter unter dieses Tatbestandsmerkmal,
b) ob eine EU- Gesellschaft Adressat einer Verfügung nach 18 U.S. Code § 2713 sein kann,
c) ob sich eine EU- Gesellschaft in den USA wirksam auf ein Übertragungsverbot aus der DSGVO berufen kann, falls sie Adressat einer Verfügung nach 18 U.S. Code § 2713 sein kann, und ob sich dies unterscheidet, wenn (i) der Betroffene US-Staatsbürger ist oder dort seinen gewöhnlichen Aufenthalt hat (ii) dies nicht der Fall ist.
(In allen Fällen werden die Daten auf Servern in der EU gespeichert).
2. Gutachten und Informationen zur Auslegung des US-Rechts nach denen der US-CLOUD-Act auf EU-Gesellschaften *mittelbar* Anwendung findet, insbesondere
a) woraus sich diese mittelbare Anwendung ergibt, wenn möglich, Ausführungen zur Auslegung von "within such provider’s possession" nach 18 U.S. Code § 2713, insbesondere bei den Konstellationen
(i) die Muttergesellschaft hat unmittelbaren Zugriff auf die Daten der Tochtergesellschaft,
(ii) die US-Muttergesellschaft hat selbst *keinen* Zugriff auf die Daten der EU-Tochter, sondern muss stets "durch" die EU-Tochter,
(iii) die US-Muttergesellschaft erbringt untergeordnete Tätigkeiten für die Tochtergesellschaft (etwa Supportdienstleistungen) und hat in diesem Fall die Möglichkeit die angefordeten Daten zu beschaffen, würde sich bei aber einem Zugriff vertragsbrüchig verhalten.
(In allen Fällen werden die Daten auf Servern in der EU gespeichert).
b) ob im Fall einer deutschen Gesellschaft die Muttergesellschaft über die Gesellschafterebene (etwa per Gesellschafterbeschluss) zur Übermittlung der Daten in die USA wirksam verpflichten kann.
3. Gutachten und Informationen dazu, ob eine Verarbeitung durch eine EU-Gesellschaft mit Rechenzentren in der EU mit US-Muttergesellschaft bereits nur deshalb ein Drittstaatentransfer ist, weil ein Beherrschungsverhältnis vorliegt und insbesondere aus welchem Aspekt der Drittstaatentransfer vorliegen soll.
4. Gutachten und Informationen dazu, ob eine Verarbeitung durch eine EU-Gesellschaft mit Rechenzentren in der EU *ohne* US-Muttergesellschaft ein Drittstaatentransfer ist, wenn sie selbst auf dem US-Markt tätig ist, insbesondere, wenn sie dort Tochtergesellschaften hat. Jeweils in der Konstellation, dass in den USA selbst Rechenzentren betrieben werden oder nicht, jeweils getrennt zwischen Betrieb durch die US-Tochtergesellschaften und Betrieb durch die EU-Gesellschaft in den USA.
5. Gutachten und Informationen dazu, ob eine EU-Gesellschaft, die Daten in europäischen Rechenzentren speichert und Daten nur in die USA transferiert, um dort Dienstleistungen gegenüber Kunden zu erbringen dem US-CLOUD-Act, insbesondere 18 U.S. Code § 2713, unterfällt.
6. Gutachten und Informationen zu Fällen in denen die EU-Tochtergesellschaft eines US-Cloud-Anbieters seit Bestehen des CLOUD-Acts a) Daten an US-Behörden übermittelt hat, b) von ihrer Muttergesellschaft dazu angewiesen wurde oder c) selbst Adressat einer Anfrage nach 18 U.S. Code § 2713 wurde.
7. Gutachten und Informationen zur Fragestellung, inwieweit die gesellschaftsrechtliche Beherrschung einer EU-Gesellschaft (insbesondere einer deutschen Gesellschaft) durch ein Unternehmen aus den USA für die Einschätzung der Zulässigkeit der Verarbeitung nach der DSGVO relevant sind und ob dies mit völkerrechtlichen Verträgen (insbesondere dem deutsch-amerikanischen Freundschaftsvertrag [dort Artikel V, VII] und dem Allgemeine Zoll- und Handelsabkommen (GATS) [dort insbesondere Artikel XIV]) vereinbar ist.
8. Gutachten und Informationen zur Anwendbarkeit der Rechtsprechung zu behördlichen Produktwarnungen auf Datenschutzbehörden, insbesondere, zur Frage, ob Sie die auf Seite 85 getätigte Aussage als Produktwarnung klassifizieren.
9. Gutachten und Informationen zur Anwendbarkeit der DSGVO, insbesondere Kapitel V, auf Cloud-Anbieter mit US-Bezug soweit diese OTT-Anbieter sind (insbesondere seit In-Kraft-Treten des TTDSD), insbesondere ob es Besonderheiten oder Vorrangregeln im Verhältnis zur DSGVO gibt und welche dies konkret sind.
Anfrage eingeschlafen
-
Datum16. Dezember 2021
-
19. Januar 2022
-
Kosten dieser Information:1065,00 Euro
-
16 Follower:innen
Ein Zeichen für Informationsfreiheit setzen
FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!