28 Jan 2022
Ein Hoch auf den Gleichklang der DSGVO und der eIDAS-Verordnung als unverzichtbare Basis für die elektronische Signatur.
Am 28. Januar 1981 wurde die Europäische Datenschutzkonvention von den damaligen Mitgliedstaaten des Europarats unterzeichnet. Mit dem Übereinkommen wollten die unterzeichnenden Staaten den Datenschutz im Geltungsbereich der Konvention sicherstellen. Angesichts des zunehmenden grenzüberschreitenden Datenverkehrs sollte innerhalb der Unterzeichnerstaaten ein einheitliches Datenschutzniveau hergestellt werden. Seit 2007 ist der 28. Jänner der Europäische Datenschutztag.
Die Konvention beinhaltet bestimmte elementare Datenschutzprinzipien für die automatisierte Verarbeitung von personenbezogenen Daten, die in innerstaatliches Recht umzusetzen waren – darunter den Grundsatz der Datenverarbeitung nach Treu und Glauben, den Zweckbindungsgrundsatz, das Erforderlichkeitsprinzip sowie den Informationsanspruch der betroffenen Person.
DSGVO als EU-weite Nachfolgerin
Diese damals vereinbarten Prinzipien beinhaltet auch die Datenschutz-Grundverordnung (DSGVO), welche seit dem 25. Mai 2018 den gemeinsamen Datenschutzrahmen in der Europäischen Union bildet.
Die DSGVO als Nachfolgerin der Datenschutzrichtlinie (Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr) gilt unmittelbar in allen EU-Mitgliedstaaten. Der von der Verordnung festgeschriebene Datenschutz darf durch nationale Regelungen weder abgeschwächt oder verstärkt werden; lediglich Öffnungsklauseln ermöglichen den einzelnen Mitgliedstaaten bestimmte Aspekte des Datenschutzes national zu regeln.
Gleichklang mit der eIDAS-Verordnung
Hier setzt der Gleichklang mit der eIDAS-Verordnung der EU zur Regelung u. a. der elektronischen Signaturen und Vertrauensdienste an. Die eIDAS-Verordnung gilt seit dem 1. Juli 2016 und ist auf Grund ihres Rechtscharakters ebenso in allen Mitgliedstaaten unmittelbar anwendbar, besitzt allgemeine Geltung und dient der Schaffung eines EU-weit harmonisierten Rechtsrahmens für elektronische Signaturen und Vertrauensdienste. In den nationalen Gesetzen werden daher nur jene Bereiche geregelt, in denen die unmittelbar anwendbare eIDAS-VO den Mitgliedstaaten die Möglichkeit überlässt, nationale Vorschriften zu erlassen. Auch hier war die Vorgängerin eine im nationalen Recht umzusetzende Richtlinie.
Seien wir uns ehrlich: Die Themen elektronische Signatur und Datenschutz hängen untrennbar zusammen, insbesondere in Zeiten der Cloud-Services wird diese Verbindung immer enger. Die Historie der Regelung des Datenschutzes in der EU und deren Gleichklang mit der eIDAS-Verordnung wird eine rechtliche Basis geschaffen, welche die elektronische Signatur erst auf einheitliche und standfeste Beine stellt. Wir können von Glück sagen, dass diese Basis bereits bestand, als die COVID-Pandemie ausbrach und die elektronische Signatur mehr denn je einen wichtigen Eckpfeiler für die Geschäftstätigkeit von Unternehmen und Behörden bildet.
Unsicherheit bei Datentransfer in die USA
Auf unsicheren Beinen steht hingegen die Übermittlung von personenbezogenen Daten in die USA. Dies ist nach der DSGVO nur dann zulässig, wenn dort ein angemessenes Schutzniveau für die Verarbeitung der personenbezogenen Daten der EU-Bürger*innen herrscht.
Mit dem Urteil des EuGH in der Rechtssache Schrems II ist das sogenannte Privacy Shield als Rechtsgrundlage für den Datentransfer in die USA weggefallen. Nun hat die DSB mit Bescheid vom 22.12.2021 klargestellt, dass auch die bloße Übernahme der von der EU-Kommission ausgearbeiteten Standardschutzklauseln zwischen Google und Websitebetreiber alleine keine ausreichende Rechtsgrundlage für den Datentransfer in die USA bieten. Diese Unsicherheit wird es demnach noch länger geben.
Vielen Dank an Rechtsanwältin und Datenschutzexpertin Dr. Irene Binder, LL.M. für diesen Gastbeitrag!
