2.817
Bearbeitungen
Keine Bearbeitungszusammenfassung |
(→Praktische Hinweise: Positionspapier ULD) |
||
Zeile 71: | Zeile 71: | ||
== Praktische Hinweise == | == Praktische Hinweise == | ||
Die Ungültigkeit des Safe-Harbor-Abkommen gibt Anlass, auch die anderen von der EU-Datenschutzrichtlinie und dem BDSG für die Übermittlung von personenbezogenen Daten in Drittländer zur Verfügung gestellten Rechtsgrundlagen in Betracht zu ziehen (vgl. dazu die Hinweise des Landesbeauftragten für den Datenschutz Baden-Württemberg aus dem 31. Tätigkeitsbericht 2012/2013 [http://www.baden-wuerttemberg.datenschutz.de/31-taetigkeitsbericht-zur-situation/]). Solange die Aufsichtsbehörden keine neuen Handlungsempfehlungen verabschieden oder den Datentransfer aussetzen, können die folgenden Hinweise für eine Datenübermittlung herangezogen werden. | Die Ungültigkeit des Safe-Harbor-Abkommen gibt Anlass, auch die anderen von der EU-Datenschutzrichtlinie und dem BDSG für die Übermittlung von personenbezogenen Daten in Drittländer zur Verfügung gestellten Rechtsgrundlagen in Betracht zu ziehen (vgl. dazu die Hinweise des Landesbeauftragten für den Datenschutz Baden-Württemberg aus dem 31. Tätigkeitsbericht 2012/2013 [http://www.baden-wuerttemberg.datenschutz.de/31-taetigkeitsbericht-zur-situation/]). Solange die Aufsichtsbehörden keine neuen Handlungsempfehlungen verabschieden oder den Datentransfer aussetzen, können die folgenden Hinweise für eine Datenübermittlung herangezogen werden. | ||
=== Positionspapier des ULD === | |||
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein veröffentlichte ein [https://www.datenschutzzentrum.de/artikel/967-.html Positionspapier zum Safe-Harbor-Urteil des EuGH]] und stellt darin u.a. die Rechtsgrundlagen für Übermittlungen personenbezogener Daten in Länder ohne angemessenes Datenschutzniveau klar: [[Nicht-öffentliche Stellen]] müssen eine solche Übermittlung anhand von {{bdsgl|4c|1||}} BDSG beurteilen. Das ULD kommt hinsichtlich der wirksamen [[Einwilligung]] gem. {{bdsgl|4a}} BDSG zu dem Ergebnis, dass diese als Rechtsgrundlage für die Zulässigkeit der Übermittlung trotz eines fehlenden angemessenen Datenschutzniveaus ausscheide. Für die nicht-öffentlichen Stellen käme somit als Rechtsgrundlage im Wesentlichen nur {{bdsg|4c|1||2}} und 3 BDSG in Betracht. Zudem wird - in konsequenter Anwendung der Vorgaben des EuGH - eine Datenübermittlung auf Basis von Standardvertragsklauseln nicht mehr als zulässig erachtet. | |||
=== Weitere Hinweise === | |||
Das Folgende sollte mit entsprechender Sorgfalt bedacht werden. | |||
Im September 2013 äußerte sich der [[Düsseldorfer Kreis]] zur Datenübermittlung in Drittstaaten. Die notwendige Prüfung von Datenschutzfragen erfolgt nach einem Stufenmodell und erst beim Vorliegen eines positiven Prüfungsergebnisses beider Stufen, wird die Datenübermittlung als zulässig angesehen [https://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DuesseldorferKreis/12092013DatenuebermittlungInDrittstaaten.html]: | Im September 2013 äußerte sich der [[Düsseldorfer Kreis]] zur Datenübermittlung in Drittstaaten. Die notwendige Prüfung von Datenschutzfragen erfolgt nach einem Stufenmodell und erst beim Vorliegen eines positiven Prüfungsergebnisses beider Stufen, wird die Datenübermittlung als zulässig angesehen [https://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DuesseldorferKreis/12092013DatenuebermittlungInDrittstaaten.html]: | ||
* Auf der ersten Stufe ist es erforderlich, dass die Datenübermittlung durch eine | * Auf der ersten Stufe ist es erforderlich, dass die Datenübermittlung durch eine Einwilligung der betroffenen Person oder eine Rechtsvorschrift gerechtfertigt ist. Hierbei gelten die allgemeinen Datenschutzvorschriften (z.B. {{bdsgl|28}} und {{bdsgl|32}} [[BDSG|Bundesdatenschutzgesetz]] (BDSG)) mit der Besonderheit, dass trotz Vorliegens einer [[Auftragsdatenverarbeitung]] die Datenübermittlung nach {{bdsgl|4|1}} BDSG zulässig sein muss (vgl. {{bdsgl|3|8}} BDSG). Bei Auftragsdatenverarbeitung ist der Prüfungsmaßstab in der Regel {{bdsg|28|1|1|2}} BDSG, bei sensitiven Daten ist {{bdsg|28|6}} ff. BDSG zu beachten. | ||
* Auf der zweiten Stufe ist zu prüfen, ob im Ausland ein angemessenes Datenschutzniveau besteht oder die Ausnahmen nach {{ | * Auf der zweiten Stufe ist zu prüfen, ob im Ausland ein angemessenes Datenschutzniveau besteht oder die Ausnahmen nach {{bdsg|4c}} BDSG vorliegen. | ||
=== Prüfmaßnahmen === | === Prüfmaßnahmen === | ||
Zeile 105: | Zeile 111: | ||
* Arbeitsdokument zu „Häufig gestellten Fragen“ über verbindliche unternehmensinterne Datenschutzregelungen (BCR) - [http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2008/wp155_rev.04_de.pdf WP 155 (Rev.4), letzte Überarbeitung 08.04.2009] (PDF) | * Arbeitsdokument zu „Häufig gestellten Fragen“ über verbindliche unternehmensinterne Datenschutzregelungen (BCR) - [http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2008/wp155_rev.04_de.pdf WP 155 (Rev.4), letzte Überarbeitung 08.04.2009] (PDF) | ||
* Arbeitsdokument 02/2012 mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher unternehmensinterner Datenschutzregelungen (BCR) für Auftragsverarbeiter - [http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp195_de.pdf WP 195 vom 06.06.2012] (PDF) | * Arbeitsdokument 02/2012 mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher unternehmensinterner Datenschutzregelungen (BCR) für Auftragsverarbeiter - [http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp195_de.pdf WP 195 vom 06.06.2012] (PDF) | ||
== Einzelnachweise == | == Einzelnachweise == |