Kategorie: Safe Harbor

Datentransfer in Drittländer – Kippen die EU-Standardvertragsklauseln?

12. Oktober 2017

Datentransfers in Drittländer, die kein dem europäischen Standard vergleichbares Datenschutzniveau bieten, sind aus datenschutzrechtlicher Sicht als kritisch einzuordnen. Zu einem solchen Drittland gehören auch die USA. Bis zum Jahr 2015 konnte die Übermittlung in solche Drittländer durch das sogenannte Safe Harbor – Abkommen datenschutzrechtlich legitimiert werden. Durch ein Urteil des EuGH vom 6. Oktober 2015 wurde das Safe Harbor – Abkommen jedoch aufgehoben. Dies wurde damit begründet, dass das Abkommen nach dem EuGH einen Verstoß gegen die europäische Grundrechtecharta darstellt.

Nach dem Ende des Safe Harbor – Abkommens konnte eine Übertragung personenbezogener Daten in die USA nur noch durch die Verwendung von EU-Standardvertragsklauseln oder aufgrund des 2016 als Nachfolger des Safe Harbour – Abkommens beschlossenen EU-US-Privacy Shield legitimiert werden. Kernstück des Privacy Shield ist die Verpflichtung zur Selbstzertifizierung von US-Unternehmen, mit der sichergestellt werden soll, dass gewisse Datenschutzanforderungen eingehalten werden. Daneben wurden durch das Privacy Shield für betroffene EU-Bürger erstmals Rechtsschutzmöglichkeiten gegen Unternehmen mit Sitz in den USA und so Klagemöglichkeiten geschaffen. Jedoch legte bereits Ende Oktober 2016 die irische Nichtregierungsorganisation Digital Rights Ireland Klage vor dem EuGH gegen den Privacy Shield ein und auch mit den Standardvertragsklauseln wird sich der EuGH nun beschäftigen müssen.

Angestoßen durch eine Klage des Anwalts Max Schrems gegen den Datentransfer an Facebook aufgrund der Verwendung von Standardvertragsklauseln hat sich der irische oberste Gerichtshof dazu entschlossen, verschiedene diesbezügliche Fragen zur Vorlage an den EuGH zur Klärung weiterzuleiten. Die irische High Court-Richterin Carolin Costello führte in ihrem Beschluss unter anderem an, dass es begründete Hinweise darauf gebe, dass es in den USA an wirksamen Maßnahmen zum Schutz der Daten von EU-Bürgern fehlen würde. Insbesondere der Rechtschutz für europäische Bürger in den USA sei nur fragmentarisch ausgebildet und die US-Geheimdienste hätten fast unbegrenzte Zugriffsmöglichkeiten auf die Daten.

Nach der Vorlage der konkreten Rechtsfragen an den EuGH wird abzuwarten sein, wie der EuGH die rechtliche Zulässigkeit der Standardvertragsklauseln beurteilt. Sollte der EuGH zum Ergebnis der Unzulässigkeit der Standardvertragsklauseln kommen, dürfte dies viele Unternehmen hinsichtlich der Legitimität von Datentransfers in die USA oder sonstige Drittländer vor ernsthafte Probleme stellen.

EU-Justizkommissarin droht die Privacy Shield Vereinbarung außer Kraft zu setzen

6. März 2017

Die EU-Kommissarin für Justiz, Verbraucherschutz und Gleichstellung Jourová erklärte in einem Interview mit der Nachrichtenagentur Bloomberg, dass sie nicht zögern werde, das erst Mitte 2016 in Kraft getretene Privacy Shield Abkommen außer Kraft zu setzen, sobald erhebliche Änderungen durch die neue US-Regierung die geltende Vereinbarung beintächtigten.

Sie werde dabei „nicht zögern, dafür stehe zu viel auf dem Spiel.“

Die EU-Kommissarin hält die Unvorhersehbarkeit der Regierung unter dem US-Präsidenten Trump für besorgniserregend und drängt auf eine schnelle Bestätigung der Regeln des Privacy Shields.

Das US-Justizministerium hat zwar auf eine Anfrage der EU-Kommission am 22. Februar 2017 erklärt, dass die USA an den bisherigen Vereinabrungen des Privacy Shield festhalten werden. Die EU-Kommissarin wird jedoch noch in diesem Monat in Washington im Dialog klären, ob und in wie weit EU-Bürger von dem Dekret des US-Präsidenten betroffen sein werden.

Wird Privacy Shield ein (weiteres) Opfer Donald Trumps Präsidentschaft?

10. Februar 2017

Das Safe-Harbor-Abkommen wurde im Oktober 2015 durch den Europäischen Gerichtshof (EuGH) für ungültig erklärt, da es im Wesentlichen die Daten und somit mittelbar die Persönlichkeitsrechte von EU-Bürgern nicht ausreichend vor dem Zugriff von US-Behörden schützte.

Der Nachfolger des Abkommens, der sogenannte Privacy Shield, trat Mitte 2016 in Kraft und soll den EU-Bürgern einen höheren Schutz ihrer Daten vor dem Zugriff der US-Behörde bieten. Ob dies tatsächlich erreicht wird, wird von Datenschützern bezweifelt.

Ob der Privacy Shield den in dem Urteil zum Safe-Harbor-Abkommen vom EuGH dargelegten Grundsätzen in Zukunft gerecht wird, muss unter Trumps Präsidentschaft bezweifelt werden.

In der Executive Order vom 25. Januar 2017 zur Verbesserung der öffentlichen Sicherheit heißt es unter Section 14:

„Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.“

Das Dekret hat zunächst keine unmittelbaren Auswirkungen auf die Regelungen des Privacy Shield, da die Behörden ausschließlich unter Beachtung des geltenden Rechts dazu aufgefordert werden, US-Ausländer von der Anwendung der Datenschutzvorschriften des Privacy Acts auszuschließen.

Zu dem geltenden Recht gehört der Privacy Shield zwar nach wie vor, ob das Abkommen unter der Präsidentschaft Trumps Bestand haben wird, bleibt jedoch abzuwarten.

Klage gegen Privacy Shield vor dem Gericht der EU anhängig

28. Oktober 2016

Irische Datenschützer haben eine Klage gegen das EU-US Privacy Shield bei dem Gericht der Europäischen Union (EuG) eingereicht. Wie ZDNet berichtet, beabsichtige die Nichtregierungsorganisation Digital Rights Ireland mit ihrer Klage die Annulierung des Privacy Shields, da dieses nicht ausreichend Schutz für personenbezogene Daten gewährleiste. Zurzeit prüft der EuG die Zulässigkeit der Klage. Sofern er diese bejaht, wird im nächsten Schritt über den ausreichenden Umfang des Datenschutzes durch das Privacy Shield entschieden.

Das Privacy Shield ist Mitte Juli 2016 in Kraft getreten und ersetzt das Safe Habor Abkommen, welches der EuGH im Oktober 2015 für unzulässig erklärt hatte. Das Privacy Shield bildet für US und europäische Unternehmen die Rechtsgrundlage für den transatlantischen Datenaustausch.

Nun bleibt die Entscheidung des EuG über die Zulässigkeit der Klage abzuwarten.

Kein eigenständiges Klagerecht der Datenschutzaufsichtsbehörden gegen Privacy Shield

1. August 2016

Der Bundesrat hat die Bundesregierung in seiner Entschließung BR Drs 171/16 (B) vom 13. Mai 2016 dazu aufgefordert, einen Gesetzesentwurf vorzulegen, mit dem den Datenschutzaufsichtsbehörden von Bund und Ländern ein ausdrücklich normiertes Klagerecht gegen Angemessenheitsbeschlüsse der EU für Datentransfers in Drittstaaten eingeräumt wird.

Hierzu hat der Bundesrat den Entwurf eines § 38b BDSG vorgelegt, der eine Klagebefugnis der Datenschutzbehörden für eine objektive Feststellungsklage vorsieht.

Im Rahmen dieser Klage könnten die Aufsichtsbehörden die Rechtswidrigkeit von Angemessenheitsbeschlüssen, wie dem Privacy Shield, bereits vor einem möglicherweise rechtswidrigen Datentransfer festellen lassen.

In der Stellungnahme vom 15. Juli 2016 lehnt die Bundesregierung die Einräumung eines solchen Klagerechts mit der Begründung ab, dass derzeit bereits an der Anpassung des nationalen Datenschutzrechts an die Datenschutzgrundverordnung (DSGVO) gearbeitet werde.

Der Gesetzesentwurf werde in Konkretisierung der Vorschrift in Artikel 58 Absatz 5 DSGVO auch Rechtsbehelfe der Aufsichtsbehörden enthalten und dabei die einschlägige Rechtsprechung des EuGH berücksichtigen. Damit werde dem Wunsch des Bundesrates nach einem Gesetzesentwurf Rechnung getragen.

Dass dem Wunsch des Bundesrates durch eine Umsetzung der Vorgaben des Artikel 58 Absatz 5 DSGVO nicht Rechnung getragen werden kann, lässt sich dem Wortlaut der Vorschrift entnehmen.

Gemäß Artikel 58 Absatz 5 DSGVO sieht jeder Mitgliedstaat durch Rechtsvorschriften vor, dass seine Aufsichtsbehörde befugt ist, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben oder sich sonst daran zu beteiligen, um die Bestimmungen dieser Verordnung durchzusetzen.

Verfahren nach dieser Vorschrift setzen einen Verstoß gegen die Datenschutzgrundverordnung voraus. Die Rechtswidrikeit eines Angemessenheitsbeschlusses könnte daher erst in einem Verfahren festgestellt werden, in dem eine Verletzung der Rechte eines Betroffenen durch einen Datentransfer geltend gemacht wird.

Selbstzertifizierung für US-Unternehmen möglich

Ab heute, den 01.August 2016 um 9 Uhr E.S.T., können sich Unternehmen mit Sitz in den USA ein Datenschutz-Zertifikat ausstellen. Die Ausstellung des Zertifikats begründet die Teilnahme des Unternehmens an dem Privacy Shield Programm mit der Folge, dass der Datenaustausch zwischen US-Unternehmen und ihrer europäischen Vertragspartner rechtlich legitimiert ist. Die Selbstzertifizierung ist für US-Unternehmen freiwillig. Sobald ein Unternehmen sich ein Selbstzertifikat ausstellt und an dem Privacy-Shield Programm teilnimmt, besteht die Verpflichtung den im Privacy Shield genannten Prinzipien zu folgen. Die den teilnehmenden Unternehmen obliegenden Verpflichtungen sind von den zuständigen US-Behörden gerichtlich durchsetzbar. Die Selbstzertifizierung ist ein Jahr gültig und kann erneut ausgestellt werden.

Durch die Teilnahme von US-Unternehmen an dem Privacy Shield entsteht ein höheres Datenschutzniveau, da EU-Bürger unter anderem ihre Rechte auch in den USA durchsetzen können. Auch die Zugriffsmöglichkeiten von US-Behörden auf personenbezogene Daten von Europäern sind eingeschränkt. Dies ist war nach dem bis Oktober 2015 geltenden Safe-Habor-Abkommen nicht möglich gewesen.

Privacy Shield in Kraft

14. Juli 2016

Wie die EU-Kommission mitteilte, ist nun das neue Privacy Shield (EU-US-Datenschutzschild) in Kraft. Nach dem monatelangen Hin-und-Her gaben die US-Staatssekretärin Penny Pritzker und die EU-Kommissarin Vera Jourova nun den Angemessenheitsbeschluss der EU-Kommission sowie den Rahmen des Datenschutzschildes bekannt.

Diejenigen US-Unternehmen, die an dem Datenschutzschild teilnehmen möchten, müssen bestimmte Regeln zum Schutzniveau der Datenverarbeitung einhalten und können sich in eine entsprechende Liste beim US-Handelsministerium eintragen lassen. Die Liste soll regelmäßig überprüft und aktualisiert weden.

Die USA haben der EU zugesichert, dass der Datenzugriff von Behörden auf Gründe der Strafverfolgung oder der nationalen Sicherheit beschränkt und nur unter Einhaltung klarer Beschränkungen, Schutzvorkehrungen und Aufsichtsmechanismen gestattet sei.

Von dem Datenschutzschild sollen nicht nur die Unternehmen auf beiden Seiten des Atlantiks profitieren, sondern auch die EU-Bürger. Für sie soll es mehr Beschwerde- und Auskunftsrechte direkt in den USA geben. Hierfür wird die Kommission voraussichtlich im August einen kurzen Leitfaden für Bürger zur Erläuterung der Rechtsbehelfe veröffentlichen.

Nach der Einigung haben US-Unternehmen aktuell nun Gelegenheit, den Rahmen zu überprüfen und Anpassungen zur Einhaltung der Regeln in ihrem Unternehmen vorzunehmen. Ab dem 1. August können sie sich dann eine entsprechende Bescheinigung vom US-Handelsministerium ausstellen lassen.

Dass die Vorstellungen in Sachen Datenschutz von USA und EU mitunter weit auseinander gehen, war allen Beteiligten klar. Der nun vorliegende Angemessenheitsbeschluss ist jedoch ein wichtiger Schritt zu mehr Rechtssicherheit für alle EU-Unternehmen, die Daten mit US-Unternehmen austauschen und für die seit dem Wegfall von  Safe-Harbour Ende 2015 große Unsicherheit herrschte.

 

Update zum Privacy Shield

29. Juni 2016

Das Privacy Shield, der Nachfolger des im Oktober 2015 für ungültig erklärten Safe Harbours, kommt nun vielleicht doch schneller als gedacht.

Nach Berichten von ZEIT Online und der BBC haben sich die EU-Kommission und die US-Regierung nun endgültig geeinigt. Da jedoch kurz darauf die Entscheidung über den Brexit bekannt gegeben wurde, ging die Meldung bisher unter.

Auch wenn schon im Februar eine Einigung über das Privacy Shield bekannt gegeben wurde, so musste die EU-Kommission auf Grund der Vielzahl der Kritiken noch einmal nachbessern.

Dies ist angeblich nun geschehen, auch wenn ein Entwurf bisher nur dem Artikel-31-Ausschuss vorliegt. Ob die wesentlichen Kritikpunkte, wie die massenhafte Speicherung und Überwachung der Daten durch US-Dienste, nun hinreichend geklärt sind, wird sich zeigen.

Für Unternehmen, die Daten in die USA übermitteln, sind dies spannende Zeiten, da die ersten Bußgelder wegen unzulässiger Datenübermittlugn in die USA bereits verhängt wurden.

Erste Bußgelder wegen fehlerhafter Datenübermittlung in die USA

8. Juni 2016

Nachdem der Europäische Gerichtshof Ende vergangenen Jahres das Safe-Harbor-Abkommen , auf dessen Rechtsgrundlage bis dahin der Datenaustauch zwischen den USA und Staaten der EU fußte, für ungültig erklärt hatte, waren deutsche Unternehmen dazu angehalten, eine alternative Rechtsgrundlage zu finden oder de facto den Datentransfer in die USA einstellen. Die meisten Unternehmen sind dazu übergegangen, ihren Datenaustausch auf die (freilich nicht unumstrittenen) EU-Standardvertragsklauseln zu stützen.

Dass dem Erfordernis einer alternativen Rechtsgrundlage nach dem Fall von Safe-Harbor nicht alle betroffenen Unternehmen nachgekommen sind, kommt nun den ersten teuer zu stehen. Drei Hamburger Firmen wurden zu Bußgeldzahlungen in (verhältnismäßig glimpflicher) Höhe zwischen 8.000 € und 11.000 € belangt, weil sie noch nicht auf eine rechtssichere Alternative umgestellt hatten, wie heise online mitteilt.

Laut Spiegel Online handelt es sich bei den drei Firmen um Adobe, Punica und Unilever. Die Bußgelder fielen vor allem deshalb verhältnismäßig gering aus, weil alle drei Unternehmen noch während des Bußgeldverfahrens das gerügte Versäumnis nachgeholt und die rechtliche Grundlage ausgebessert hatten. Zudem kam ihnen zu Gute, dass sie die Ersten waren, die von der Datenschutzbehörde negativ geprüft wurden. Unternehmen, die jetzt noch nicht auf eine rechtssichere Alternative umgestellt haben, werden mit deutlich höheren Bußgeldern rechnen müssen, sagt Prof. Dr. Johannes Caspar, Landesdatenschutzbeauftragter in Hamburg. Laut Gesetz sind sogar bis zu 300.000 € möglich; weitere Verfahren wurden bereits eröffnet.

Auch EU-Datenschutzbeauftragter kritisiert Privacy Shield

31. Mai 2016

Als Nachfolger des im Oktober vergangenen Jahres vom EuGH gekippten Safe Harbor Abkommens wurde zwischen den USA und der EU das Privacy Shield ausgehandelt, das künftig als Rechtsgrundlage für den Transfer personenbezogener Daten zwischen beiden Staatenbunden dienen soll.

Datenschutzbeauftragte der EU-Mitgliedsstaaten sowie Verbraucherschützer hatten das neue Abkommen bereits stark kritisiert und teilweise sogar als Rückschritt bezeichnet, da es nicht mit dem europäischen Datenschutzstandard vergleichbar sei.

Auch der europäische Datenschutzbeauftragte Giovanni Buttarelli gehe davon aus, dass das neue Abkommen vor europäischen Gerichten nicht bestehen werde, wie Medien berichten. Das Privacy Shield schütze europäische Bürger nicht hinreichend vor willkürlicher Massenüberwachung. Buttarelli fordert Transparenz, nachträgliche Korrekturmöglichkeiten, eine Kontrollaufsicht sowie die Gewährleistungen von Datenschutzrechten. Dass diese Forderungen keinen Einzug in das neue Abkommen gefunden haben, liegt in erster Linie an den USA. Dort wären entsprechende Gesetzesänderungen nötig, die jedoch kaum durchzusetzen wären. Stattdessen vertraut das Privacy Shield auf eine Selbstverpflichtung internationaler Unternehmen.

1 2