Safe Harbor: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(→Positionspapier des ULD: Typo) |
(Hinzugefügt: Position der DSK, LfDI RLP, Hinweise auf ältere vertragliche Regelungen konkretisiert) |
||
| Zeile 3: | Zeile 3: | ||
Aufgrund der [[#Aktuelle Ereignisse|Aktuellen Ereignisse]] sollte im Moment höchste Sorgfalt angewendet werden und die aktuelle Fach-Berichterstattung sowie die Handlungsempfehlungen der Aufsichtsbehörden zu Rate gezogen werden, da Safe Harbor keine gültige Rechtsgrundlage für Datenübermittlungen in die USA ist. | Aufgrund der [[#Aktuelle Ereignisse|Aktuellen Ereignisse]] sollte im Moment höchste Sorgfalt angewendet werden und die aktuelle Fach-Berichterstattung sowie die Handlungsempfehlungen der Aufsichtsbehörden zu Rate gezogen werden, da Safe Harbor keine gültige Rechtsgrundlage für Datenübermittlungen in die USA ist. | ||
Dieser Beitrag ist eine Zusammenstellung veröffentlichter Dokumente der [[ASB|Datenschutzaufsichtsbehörden]], [https://www.bfdi.bund.de BfDI | Dieser Beitrag ist eine Zusammenstellung veröffentlichter Dokumente der [[ASB|Datenschutzaufsichtsbehörden]], [https://www.bfdi.bund.de BfDI] sowie zusätzlicher Informationen. | ||
== Das Abkommen == | == Das Abkommen == | ||
| Zeile 69: | Zeile 69: | ||
Hingegen sehen sich die Aufsichtsbehörden in ihrer jahrelangen Kritik an dem Abkommen bestätigt und kündigten an, eine Aussetzung von Datentransfers in die USA sowie andere Rechtsgrundlagen wie Standardvertragsklauseln, Einwilligung oder Binding Corporate Rules zu prüfen [https://www.datenschutz-hamburg.de/news/detail/article/eugh-kippt-transatlantisches-safe-harbor-abkommen.html]. Die [[Artikel-29-Datenschutzgruppe]] teilte mit, umgehend eine Analyse des Urteils durchführen und über mögliche Konsequenzen beraten zu wollen [http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2015/20151006_wp29_press_release_on_safe_harbor.pdf] (PDF). | Hingegen sehen sich die Aufsichtsbehörden in ihrer jahrelangen Kritik an dem Abkommen bestätigt und kündigten an, eine Aussetzung von Datentransfers in die USA sowie andere Rechtsgrundlagen wie Standardvertragsklauseln, Einwilligung oder Binding Corporate Rules zu prüfen [https://www.datenschutz-hamburg.de/news/detail/article/eugh-kippt-transatlantisches-safe-harbor-abkommen.html]. Die [[Artikel-29-Datenschutzgruppe]] teilte mit, umgehend eine Analyse des Urteils durchführen und über mögliche Konsequenzen beraten zu wollen [http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2015/20151006_wp29_press_release_on_safe_harbor.pdf] (PDF). | ||
== | == Die Folgen des Untergangs == | ||
Die | === Positionspapier der Aufsichtsbehörden === | ||
Die unabhängigen Datenschutzbehörden des Bundes und der Länder rufen die Unternehmen auf, ihre Verfahren zum Datentransfer unverzüglich datenschutzgerecht zu gestalten. | |||
In ihrem Positionspapier [https://www.datenschutz.rlp.de/de/grem_dsbkonferenz/sonstiges/20151021_Positionspapier_DSK_Safe_Harbor.pdf] (PDF) stellt die Datenschutzkonferenz (DSK) die Unzulässigkeit der Datenübermittlung auf Grundlage der Safe-Harbor-Entscheidung 2000/520/EG fest sowie die Zulässigkeit von Datentransfers in die USA auf Grundlagen wie Standardvertragsklauseln oder verbindlichen Unternehmensregelungen (BCR) in Frage. Der von der Artikel-29-Gruppe gesetzten Frist, bis Ende Januar 2016 eine geeignete Lösung für Datenübermittlungen in die USA zu finden, die die fundamentalen Rechte der Betroffenen respektiert [http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2015/20151016_wp29_statement_on_schrems_judgement.pdf], stimmte die DSK zu und formulierte ihrerseits Anforderungen an den Gesetzgeber. An die Beteiligten von Verhandlungen appelliert sie, auf die Einhaltung eines angemessenen Grundrechtsstandards hinsichtlich Privatsphäre und Datenschutz zu drängen. | |||
Für einen Datenexport in die USA oder andere Drittländer wird auf die Entschließung der DSK vom 27.03.2014 "[https://www.datenschutz-hamburg.de/uploads/media/Entschliessung_87.DSK_ElektronischeKommunikation.pdf Gewährleistung der Menschenrechte bei der elektronischen Kommunikation]" (siehe auch [https://www.datenschutz-hamburg.de/uploads/media/Entschliessung_87.DSK_ElektronischeKommunikation_Anlage.pdf Anlage] (PDF)) und auf die [https://www.datenschutz-hamburg.de/news/detail/article/orientierungshilfe-cloud-computing.html Orientierungshilfe "Cloud Computing"] vom 09.10.2014 verwiesen. | |||
Die Aufsichtsbehörden erklären in ihrem Positionspapier, dass | |||
* sie bei der "''Ausübung ihrer Prüfbefugnisse nach Art. 4 der jeweiligen Kommissionsentscheidungen zu den Standardvertragsklauseln vom 27. Dezember 2004 (2004/915/EG) und vom 5. Februar 2010 (2010/87/EU) die vom EuGH formulierten Grundsätze, insbesondere die Randnummern 94 und 95 des Urteils, zugrunde legen''" werden. | |||
* sie ausschließlich auf Safe-Harbor gestützte Datenübermittlungen in die USA untersagen werden. | |||
* derzeit keine neuen Genehmigungen für Datenübermittlungen in die USA auf Grundlage von verbindlichen Unternehmensregelungen (BCR) oder Datenexportverträgen erteilt würden. | |||
* eine Einwilligung zum Transfer personenbezogener Daten unter engen Bedingungen eine tragfähige Grundlage sein könne. Grundsätzlich dürfe der Datentransfer jedoch nicht wiederholt, massenhaft oder routinemäßig erfolgen. | |||
* beim Export von Beschäftigtendaten oder wenn gleichzeitig auch Daten Dritter betroffen sind, die Einwilligung nur in Ausnahmefällen eine zulässige Grundlage für eine Datenübermittlung in die USA sein könne. | |||
=== Folgerungen des LfDI Rheinland-Pfalz === | |||
Der LfDI folgt den Einschätzungen der Datenschutzkonferenz und sieht in seiner Stellungnahme [https://www.datenschutz.rlp.de/de/aktuell/2015/images/20151026_Folgerungen_des_LfDI_RLP_zum_EuGH-Urteil_Safe_Harbor.pdf] (PDF) die Datenübermittlung aufgrund der Safe-Harbor-Entscheidung als nicht mehr zulässig an. Die Übermittlung von personenbezogenen Daten in die USA sei nur noch ausnahmsweise zulässig ({{bdsg|4c}} BDSG) und bedürfe, abgesehen der Ausnahmeregelungen in {{bdsg|4c|1}} BDSG, der ausdrücklichen Genehmigung des LfDI. Er wird im Einzelfall prüfen, ob Datenexporteure und -importeure ihren vertraglichen Verpflichtungen nachkommen und zunächst keine neuen Genehmigungen für Datenübermittlungen Grundlage der BCR erteilen können. Eine Einwilligung als zulässige | |||
Grundlage für eine Datenübermittlung sieht der LfDI nur in seltenen Fällen als wirksam an und schließt sie für Beschäftigtendaten regelmäßig aus. | |||
Den datenexportierenden Unternehmen wird empfohlen, bis zum 31.01.2016 zu prüfen | |||
* auf welcher Rechtsgrundlage bislang Datenübermittlungen in die USA stattfinden, | |||
* insbesondere ob bisher Übermittlungen auf Grundlage der jetzt für ungültig erklärten Safe Harbor-Entscheidung der EU-Kommission erfolgten, | |||
* ob die Entscheidung des EuGH Grundlage einer außerordentlichen Kündigung bestehender Vertragsbeziehungen zu Safe Harbor-zertifizierten Unternehmen in den USA ist und | |||
* welche alternativen Übermittlungsmöglichkeiten in die USA bestehen. | |||
Die Aufsichtsbehörde stellt hierbei ihre unterstützende und beratende Position in Aussicht und weist auf stichprobenartige und gleichförmige Kontrollen der Rechtsgrundlagen, vertragliche Bindungen sowie der Nutzung und Prüfung von Alternativen werden ab Februar hin. | |||
=== Positionspapier des ULD === | === Positionspapier des ULD === | ||
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein veröffentlichte ein [https://www.datenschutzzentrum.de/artikel/967-.html Positionspapier zum Safe-Harbor-Urteil des EuGH] und stellt darin u.a. die Rechtsgrundlagen für Übermittlungen personenbezogener Daten in Länder ohne angemessenes Datenschutzniveau klar: [[Nicht-öffentliche Stellen]] müssen eine solche Übermittlung anhand von {{bdsgl|4c|1||}} BDSG beurteilen. Das ULD kommt hinsichtlich der wirksamen [[Einwilligung]] gem. {{bdsgl|4a}} BDSG zu dem Ergebnis, dass diese als Rechtsgrundlage für die Zulässigkeit der Übermittlung trotz eines fehlenden angemessenen Datenschutzniveaus ausscheide. Für die nicht-öffentlichen Stellen käme somit als Rechtsgrundlage im Wesentlichen nur {{bdsg|4c|1||2}} und 3 BDSG in Betracht. Zudem wird - in konsequenter Anwendung der Vorgaben des EuGH - eine Datenübermittlung auf Basis von Standardvertragsklauseln nicht mehr als zulässig erachtet. | Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein veröffentlichte ein [https://www.datenschutzzentrum.de/artikel/967-.html Positionspapier zum Safe-Harbor-Urteil des EuGH] und stellt darin u.a. die Rechtsgrundlagen für Übermittlungen personenbezogener Daten in Länder ohne angemessenes Datenschutzniveau klar: [[Nicht-öffentliche Stellen]] müssen eine solche Übermittlung anhand von {{bdsgl|4c|1||}} BDSG beurteilen. Das ULD kommt hinsichtlich der wirksamen [[Einwilligung]] gem. {{bdsgl|4a}} BDSG zu dem Ergebnis, dass diese als Rechtsgrundlage für die Zulässigkeit der Übermittlung trotz eines fehlenden angemessenen Datenschutzniveaus ausscheide. Für die nicht-öffentlichen Stellen käme somit als Rechtsgrundlage im Wesentlichen nur {{bdsg|4c|1||2}} und 3 BDSG in Betracht. Zudem wird - in konsequenter Anwendung der Vorgaben des EuGH - eine Datenübermittlung auf Basis von Standardvertragsklauseln nicht mehr als zulässig erachtet. | ||
== | |||
Das Folgende sollte mit entsprechender Sorgfalt bedacht werden. | == Ältere Hinweise == | ||
'''Das Folgende sollte hinsichtlich der vorgehenden Erläuterungen mit entsprechender Sorgfalt bedacht werden.''' Die Aufsichtsbehörden und die Artikel-29-Datenschutzgruppe stimmen darin überein, dass die bisherigen Grundlagen bis Ende Januar 2016 geprüft und ggf. neu erarbeitet werden müssen. | |||
Im September 2013 äußerte sich der [[Düsseldorfer Kreis]] zur Datenübermittlung in Drittstaaten. Die notwendige Prüfung von Datenschutzfragen erfolgt nach einem Stufenmodell und erst beim Vorliegen eines positiven Prüfungsergebnisses beider Stufen, wird die Datenübermittlung als zulässig angesehen [https://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DuesseldorferKreis/12092013DatenuebermittlungInDrittstaaten.html]: | Im September 2013 äußerte sich der [[Düsseldorfer Kreis]] zur Datenübermittlung in Drittstaaten. Die notwendige Prüfung von Datenschutzfragen erfolgt nach einem Stufenmodell und erst beim Vorliegen eines positiven Prüfungsergebnisses beider Stufen, wird die Datenübermittlung als zulässig angesehen [https://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DuesseldorferKreis/12092013DatenuebermittlungInDrittstaaten.html]: | ||
| Zeile 94: | Zeile 119: | ||
Die Tätigkeiten, die im Zusammenhang mit dieser Prüfung erfolgen, sollten dokumentiert werden, um die Prüfung auf Anfrage der Aufsichtsbehörde nachweisen zu können. | Die Tätigkeiten, die im Zusammenhang mit dieser Prüfung erfolgen, sollten dokumentiert werden, um die Prüfung auf Anfrage der Aufsichtsbehörde nachweisen zu können. | ||
=== Garantien === | === Garantien === | ||
Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts der Betroffenen und der Ausübung der damit verbundenen Rechte können sich aus (Standard-)Vertragsklauseln [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32001D0497:DE:HTML] [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32004D0915:DE:HTML] [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32010D0087:DE:HTML] oder verbindlichen Unternehmensregelungen (sog. Binding Corporate Rules, BCR) ergeben. | Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts der Betroffenen und der Ausübung der damit verbundenen Rechte können sich aus (Standard-)Vertragsklauseln [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32001D0497:DE:HTML] [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32004D0915:DE:HTML] [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32010D0087:DE:HTML] oder verbindlichen Unternehmensregelungen (sog. Binding Corporate Rules, BCR) ergeben. | ||
| Zeile 111: | Zeile 136: | ||
* Arbeitsdokument zu „Häufig gestellten Fragen“ über verbindliche unternehmensinterne Datenschutzregelungen (BCR) - [http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2008/wp155_rev.04_de.pdf WP 155 (Rev.4), letzte Überarbeitung 08.04.2009] (PDF) | * Arbeitsdokument zu „Häufig gestellten Fragen“ über verbindliche unternehmensinterne Datenschutzregelungen (BCR) - [http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2008/wp155_rev.04_de.pdf WP 155 (Rev.4), letzte Überarbeitung 08.04.2009] (PDF) | ||
* Arbeitsdokument 02/2012 mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher unternehmensinterner Datenschutzregelungen (BCR) für Auftragsverarbeiter - [http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp195_de.pdf WP 195 vom 06.06.2012] (PDF) | * Arbeitsdokument 02/2012 mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher unternehmensinterner Datenschutzregelungen (BCR) für Auftragsverarbeiter - [http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp195_de.pdf WP 195 vom 06.06.2012] (PDF) | ||
== Einzelnachweise == | == Einzelnachweise == | ||
| Zeile 122: | Zeile 148: | ||
[9] Datenaustausch mit USA: [http://www.europarl.europa.eu/news/de/news-room/content/20140115STO32701/html/ Debatte über Safe-Harbour-Abkommen nach NSA-Skandal]<br/> | [9] Datenaustausch mit USA: [http://www.europarl.europa.eu/news/de/news-room/content/20140115STO32701/html/ Debatte über Safe-Harbour-Abkommen nach NSA-Skandal]<br/> | ||
[10] Entwurf eines Berichtes über das Überwachungsprogramm der Nationalen Sicherheitsagentur der Vereinigten Staaten, die Überwachungsbehörden in mehreren Mitgliedstaaten und die entsprechenden Auswirkungen auf die Grundrechte der EU-Bürger und die transatlantische Zusammenarbeit im Bereich Justiz und Inneres ([http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/pr/1014/1014703/1014703de.pdf 2013/2188(INI)]) (PDF)<br/> | [10] Entwurf eines Berichtes über das Überwachungsprogramm der Nationalen Sicherheitsagentur der Vereinigten Staaten, die Überwachungsbehörden in mehreren Mitgliedstaaten und die entsprechenden Auswirkungen auf die Grundrechte der EU-Bürger und die transatlantische Zusammenarbeit im Bereich Justiz und Inneres ([http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/pr/1014/1014703/1014703de.pdf 2013/2188(INI)]) (PDF)<br/> | ||
[12 | [12] 31. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Baden-Württemberg, [http://www.baden-wuerttemberg.datenschutz.de/31-taetigkeitsbericht-zur-situation/ 1.3.7 Internationaler Datentransfer: Safe Harbor in stürmischen Zeiten]<br/> | ||
[13] Mitteilung der Kommission an das Europäische Parlament und den Rat über die Funktionsweise der Safe-Harbor-Regelung aus Sicht der EU-Bürger und der in der EU niedergelassenen Unternehmen [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2013:0847:FIN:DE:PDF (COM(2013) 847)] (PDF)<br/> | [13] Mitteilung der Kommission an das Europäische Parlament und den Rat über die Funktionsweise der Safe-Harbor-Regelung aus Sicht der EU-Bürger und der in der EU niedergelassenen Unternehmen [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2013:0847:FIN:DE:PDF (COM(2013) 847)] (PDF)<br/> | ||
[14] [https://ssl.bremen.de/datenschutz/sixcms/detail.php?gsid=bremen236.c.9283.de Pressemitteilung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 24. Juli 2013] Geheimdienste gefährden massiv den Datenverkehr zwischen Deutschland und außereuropäischen Staaten<br/> | [14] [https://ssl.bremen.de/datenschutz/sixcms/detail.php?gsid=bremen236.c.9283.de Pressemitteilung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 24. Juli 2013] Geheimdienste gefährden massiv den Datenverkehr zwischen Deutschland und außereuropäischen Staaten<br/> | ||
| Zeile 130: | Zeile 156: | ||
[19] [http://europa.eu/rapid/press-release_STATEMENT-15-5782_en.htm First Vice-President Timmermans and Commissioner Jourová 's press conference] on Safe Harbour following the Court ruling in case C-362/14<br/> | [19] [http://europa.eu/rapid/press-release_STATEMENT-15-5782_en.htm First Vice-President Timmermans and Commissioner Jourová 's press conference] on Safe Harbour following the Court ruling in case C-362/14<br/> | ||
[20] HmbBfDI: [https://www.datenschutz-hamburg.de/news/detail/article/eugh-kippt-transatlantisches-safe-harbor-abkommen.html EuGH kippt transatlantisches Safe Harbor-Abkommen]<br/> | [20] HmbBfDI: [https://www.datenschutz-hamburg.de/news/detail/article/eugh-kippt-transatlantisches-safe-harbor-abkommen.html EuGH kippt transatlantisches Safe Harbor-Abkommen]<br/> | ||
[21] Pressemitteilung Artikel-29-Datenschutzgruppe: [http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2015/20151006_wp29_press_release_on_safe_harbor.pdf The Court of Justice of the European Union invalidates the EU Commission Safe Harbor Decision] (PDF)<br/> | [21] Pressemitteilung Artikel-29-Datenschutzgruppe: [http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2015/20151006_wp29_press_release_on_safe_harbor.pdf The Court of Justice of the European Union invalidates the EU Commission Safe Harbor Decision] vom 6.Oktober 2015 (PDF)<br/> | ||
[23] [https://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DuesseldorferKreis/12092013DatenuebermittlungInDrittstaaten.html Beschluss des Düsseldorfer Kreises vom 11./12.09.2013] Datenübermittlung in Drittstaaten<br/> | [22] [https://www.datenschutz.rlp.de/de/grem_dsbkonferenz/sonstiges/20151021_Positionspapier_DSK_Safe_Harbor.pdf Positionspapier der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder], Sondersitzung der DSK am 21.Oktober 2015<br/> | ||
[ | [23] [http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2015/20151016_wp29_statement_on_schrems_judgement.pdf Statement of the Article 29 Working Party] vom 16.Oktober 2015<br/> | ||
[ | [23] [http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2015/20151016_wp29_statement_on_schrems_judgement.pdf Statement of the Article 29 Working Party] vom 16.Oktober 2015<br/> | ||
[ | [24] [https://www.datenschutz.rlp.de/de/aktuell/2015/images/20151026_Folgerungen_des_LfDI_RLP_zum_EuGH-Urteil_Safe_Harbor.pdf Folgerungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz] aus dem Urteil des EuGH vom 6.Oktober 2015<br/> | ||
[ | [25] [https://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DuesseldorferKreis/12092013DatenuebermittlungInDrittstaaten.html Beschluss des Düsseldorfer Kreises vom 11./12.09.2013] Datenübermittlung in Drittstaaten<br/> | ||
[26] [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32001D0497:DE:HTML 2001/497/EG]: Entscheidung der Kommission vom 15. Juni 2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG<br/> | |||
[27] [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32004D0915:DE:HTML 2004/915/EG]: Entscheidung der Kommission vom 27. Dezember 2004 zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer<br/> | |||
[28] [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32010D0087:DE:HTML 2010/87/EU]: Beschluss der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates<br/> | |||
[29] BfDI: [https://www.bfdi.bund.de/DE/Datenschutz/Themen/Arbeit_Bildung/PersonalArbeitnehmerdatenArtikel/PersonaldatenflussInternKonzern.html Personaldatenfluss im internationalen Konzern]<br/> | |||
[[Kategorie:Themen]] | [[Kategorie:Themen]] | ||