2.817
Bearbeitungen
Safe Harbor: Unterschied zwischen den Versionen
keine Bearbeitungszusammenfassung
(→Einzelnachweise: Fußnoten Test Fehlerkorrektur) |
Keine Bearbeitungszusammenfassung |
||
| Zeile 1: | Zeile 1: | ||
'''Safe Harbor''' war ein umstrittenes Abkommen, das es erlaubte, personenbezogene Daten von EU-Bürgern in den USA zu speichern und zu verarbeiten, bis der EuGH es für ungültig erklärte. Ob es wiederbelebt wird, ist noch ungeklärt. | '''Safe Harbor''' war ein umstrittenes Abkommen, das es erlaubte, personenbezogene Daten von EU-Bürgern in den USA zu speichern und zu verarbeiten, bis der EuGH es für ungültig erklärte. Ob es wiederbelebt wird, ist noch ungeklärt. | ||
Aufgrund der [[#Aktuelle Ereignisse|Aktuellen Ereignisse]] sollte im Moment höchste Sorgfalt | Aufgrund der [[#Aktuelle Ereignisse|Aktuellen Ereignisse]] sollte im Moment höchste Sorgfalt angewendet werden und die aktuelle Fach-Berichterstattung sowie die Handlungsempfehlungen der Aufsichtsbehörden zu Rate gezogen werden, da Safe Harbor keine gültige Rechtsgrundlage für Datenübermittlungen in die USA ist. | ||
Dieser Beitrag ist eine Zusammenstellung veröffentlichter Dokumente der [[ASB|Datenschutzaufsichtsbehörden]], [https://www.bfdi.bund.de BfDI] und des [http://www.baden-wuerttemberg.datenschutz.de Landesdatenschutzbeauftragten Baden-Württemberg] sowie zusätzlicher Informationen. | Dieser Beitrag ist eine Zusammenstellung veröffentlichter Dokumente der [[ASB|Datenschutzaufsichtsbehörden]], [https://www.bfdi.bund.de BfDI] und des [http://www.baden-wuerttemberg.datenschutz.de Landesdatenschutzbeauftragten Baden-Württemberg] sowie zusätzlicher Informationen. | ||
== Das Abkommen == | == Das Abkommen == | ||
Safe Harbor war eine vom 06.07.2000 bis 6.10.2015 bestehende Vereinbarung zwischen der EU und dem Handelsministerium (Department of Commerce) der USA zu den Grundsätzen des sog. „sicheren Hafens“ (Safe Harbor, Kommissionsentscheidung 2000/520/EG | Safe Harbor war eine vom 06.07.2000 bis 6.10.2015 bestehende Vereinbarung zwischen der EU und dem Handelsministerium (Department of Commerce) der USA zu den Grundsätzen des sog. „sicheren Hafens“ (Safe Harbor, Kommissionsentscheidung 2000/520/EG [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32000D0520:DE:HTML]). Ausgangspunkt für diese Vereinbarung bilden die Vorschriften der Art. 25 und 26 der {{eur|dsrl}}, nach denen ein Datentransfer in Drittstaaten verboten ist, die über kein dem EU-Recht vergleichbares Datenschutzniveau verfügen. Dies trifft auf die USA zu, da es dort keine umfassenden gesetzlichen Regelungen zum Datenschutz gibt, die dem europäischen Standard entsprechen. Allerdings sieht Art. 25 Abs. 6 der Richtlinie vor, dass die Kommission der Europäischen Gemeinschaft die Angemessenheit des Datenschutzes in einem Drittland "feststellen" kann, wenn dieses bestimmte Anforderungen erfüllt. Ausführliches ist in den Erläuterungen zu Safe Harbor von BfDI nachzulesen [https://www.bfdi.bund.de/DE/Europa_International/International/Artikel/SafeHarbor.html]. | ||
== Die Sicht der Datenschutzaufsichtsbehörden == | == Die Sicht der Datenschutzaufsichtsbehörden == | ||
| Zeile 77: | Zeile 77: | ||
=== Prüfmaßnahmen === | === Prüfmaßnahmen === | ||
Für alle betroffenen Unternehmen stellt sich die Frage, wie sie als datenexportierende Stellen ihren Prüfpflichten in Bezug auf den Importeur in den USA nachkommen können und was hierfür konkret zu veranlassen ist. Die notwendigen Prüfmaßnahmen sind: | Für alle betroffenen Unternehmen stellt sich die Frage, wie sie als datenexportierende Stellen ihren Prüfpflichten in Bezug auf den Importeur in den USA nachkommen können und was hierfür konkret zu veranlassen ist. Die notwendigen Prüfmaßnahmen (exklusive der Safe-Harbor-Bestimmungen) sind: | ||
* Prüfung der "privacy policy" des Importeurs: Soweit hier Unklarheiten bestehen, z.B. in Bezug auf die in der policy genannten Verarbeitungszwecke, müssen diese aufgeklärt werden; | |||
* Prüfung der "privacy policy" des Importeurs: Soweit hier Unklarheiten bestehen, z.B. | |||
* Prüfung, ob die Informationen für die Betroffenen hinreichend sind (siehe oben Informationspflicht) | * Prüfung, ob die Informationen für die Betroffenen hinreichend sind (siehe oben Informationspflicht) | ||
* Prüfung und Test des in der policy beschriebenen Systems zur Durchsetzung von Betroffenenrechten auf Plausibilität und Funktionsfähigkeit; | * Prüfung und Test des in der policy beschriebenen Systems zur Durchsetzung von Betroffenenrechten auf Plausibilität und Funktionsfähigkeit; | ||
| Zeile 95: | Zeile 94: | ||
[http://ec.europa.eu/justice/policies/privacy/docs/modelcontracts/c_2010_593/c_2010_0593_de.doc Word-Dokument in der Version vom 05.02.2010] heruntergeladen werden (andere Sprachen und Versionen sind hier verfügbar: [http://ec.europa.eu/justice/data-protection/document/international-transfers/transfer/index_en.htm Model contracts for the transfer of personal data to third countries]). | [http://ec.europa.eu/justice/policies/privacy/docs/modelcontracts/c_2010_593/c_2010_0593_de.doc Word-Dokument in der Version vom 05.02.2010] heruntergeladen werden (andere Sprachen und Versionen sind hier verfügbar: [http://ec.europa.eu/justice/data-protection/document/international-transfers/transfer/index_en.htm Model contracts for the transfer of personal data to third countries]). | ||
Verbindliche Unternehmensregelungen (BCR) stellen grundsätzlich einen Unterfall vertraglicher Vereinbarungen dar. Für die Ausgestaltung solcher Unternehmensregelungen ist ausschlaggebend, dass sie in einer rechtlich verbindlichen, alle Konzernunternehmen und Unternehmensteile gleichermaßen verpflichtenden Weise beschlossen werden und dass dies nach innen in Form von Handlungsanweisungen der jeweiligen Arbeitgeber gegenüber allen Arbeitnehmern umgesetzt wird, beispielsweise mithilfe einer Betriebsvereinbarung [https://www.bfdi.bund.de/DE/Datenschutz/Themen/Arbeit_Bildung/PersonalArbeitnehmerdatenArtikel/PersonaldatenflussInternKonzern.html] | Verbindliche Unternehmensregelungen (BCR) stellen grundsätzlich einen Unterfall vertraglicher Vereinbarungen dar. Für die Ausgestaltung solcher Unternehmensregelungen ist ausschlaggebend, dass sie in einer rechtlich verbindlichen, alle Konzernunternehmen und Unternehmensteile gleichermaßen verpflichtenden Weise beschlossen werden und dass dies nach innen in Form von Handlungsanweisungen der jeweiligen Arbeitgeber gegenüber allen Arbeitnehmern umgesetzt wird, beispielsweise mithilfe einer Betriebsvereinbarung [https://www.bfdi.bund.de/DE/Datenschutz/Themen/Arbeit_Bildung/PersonalArbeitnehmerdatenArtikel/PersonaldatenflussInternKonzern.html]. | ||
| Zeile 106: | Zeile 105: | ||
* Arbeitsdokument zu „Häufig gestellten Fragen“ über verbindliche unternehmensinterne Datenschutzregelungen (BCR) - [http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2008/wp155_rev.04_de.pdf WP 155 (Rev.4), letzte Überarbeitung 08.04.2009] (PDF) | * Arbeitsdokument zu „Häufig gestellten Fragen“ über verbindliche unternehmensinterne Datenschutzregelungen (BCR) - [http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2008/wp155_rev.04_de.pdf WP 155 (Rev.4), letzte Überarbeitung 08.04.2009] (PDF) | ||
* Arbeitsdokument 02/2012 mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher unternehmensinterner Datenschutzregelungen (BCR) für Auftragsverarbeiter - [http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp195_de.pdf WP 195 vom 06.06.2012] (PDF) | * Arbeitsdokument 02/2012 mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher unternehmensinterner Datenschutzregelungen (BCR) für Auftragsverarbeiter - [http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp195_de.pdf WP 195 vom 06.06.2012] (PDF) | ||
== Einzelnachweise == | == Einzelnachweise == | ||
1 | [1] [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32000D0520:DE:HTML 2000/520/EG]: Entscheidung der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des "sicheren Hafens" und der diesbezüglichen "Häufig gestellten Fragen" (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA<br/> | ||
[2] BfDI: [https://www.bfdi.bund.de/DE/Europa_International/International/Artikel/SafeHarbor.html Erläuterungen zu Safe Harbor]<br/> | |||
[3][4] [https://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DuesseldorferKreis/290410_SafeHarbor.html Beschluss des Düsseldorfer Kreises am 28./29. April 2010] Prüfung der Selbst-Zertifizierung des Datenimporteurs nach dem Safe-Harbor-Abkommen durch das Daten exportierende Unternehmen<br/> | |||
[5] Abhörsystem "Echelon", [http://www.europarl.europa.eu/sides/getDoc.do?type=PRESS&reference=DN-20010905-1&format=XML&language=DE nicht-legislative Stellungnahme des Echelon-Ausschusses]<br/> | [5] Abhörsystem "Echelon", [http://www.europarl.europa.eu/sides/getDoc.do?type=PRESS&reference=DN-20010905-1&format=XML&language=DE nicht-legislative Stellungnahme des Echelon-Ausschusses]<br/> | ||
[6] [http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+REPORT+A5-2001-0264+0+DOC+PDF+V0//DE Bericht über die Existenz eines globalen Abhörsystems] für private und wirtschaftliche Kommunikation (Abhörsystem ECHELON) (2001/2098 (INI)) (PDF)<br/> | [6] [http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+REPORT+A5-2001-0264+0+DOC+PDF+V0//DE Bericht über die Existenz eines globalen Abhörsystems] für private und wirtschaftliche Kommunikation (Abhörsystem ECHELON) (2001/2098 (INI)) (PDF)<br/> | ||
[7] Europäische Kommission fordert [http://europa.eu/rapid/press-release_IP-13-1166_de.htm Wiederherstellung des Vertrauens in die Datenströme zwischen der EU und den USA]<br/> | [7] Europäische Kommission fordert [http://europa.eu/rapid/press-release_IP-13-1166_de.htm Wiederherstellung des Vertrauens in die Datenströme zwischen der EU und den USA]<br/> | ||
[8][11] | [8][11] Wiederherstellung des Vertrauens beim Datenaustausch zwischen der EU und den USA - [http://europa.eu/rapid/press-release_MEMO-13-1059_de.htm Häufig gestellte Fragen (MEMO/13/1059)]<br/> | ||
[9] Datenaustausch mit USA: [http://www.europarl.europa.eu/news/de/news-room/content/20140115STO32701/html/ Debatte über Safe-Harbour-Abkommen nach NSA-Skandal]<br/> | [9] Datenaustausch mit USA: [http://www.europarl.europa.eu/news/de/news-room/content/20140115STO32701/html/ Debatte über Safe-Harbour-Abkommen nach NSA-Skandal]<br/> | ||
[10] Entwurf eines Berichtes über das Überwachungsprogramm der Nationalen Sicherheitsagentur der Vereinigten Staaten, die Überwachungsbehörden in mehreren Mitgliedstaaten und die entsprechenden Auswirkungen auf die Grundrechte der EU-Bürger und die transatlantische Zusammenarbeit im Bereich Justiz und Inneres ([http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/pr/1014/1014703/1014703de.pdf 2013/2188(INI)]) (PDF)<br/> | [10] Entwurf eines Berichtes über das Überwachungsprogramm der Nationalen Sicherheitsagentur der Vereinigten Staaten, die Überwachungsbehörden in mehreren Mitgliedstaaten und die entsprechenden Auswirkungen auf die Grundrechte der EU-Bürger und die transatlantische Zusammenarbeit im Bereich Justiz und Inneres ([http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/pr/1014/1014703/1014703de.pdf 2013/2188(INI)]) (PDF)<br/> | ||