Schlagwort: Artikel-29-Datenschutzgruppe

Artikel-29-Datenschutzgruppe veröffentlicht Leitlinien zu wichtigen Themen der Grundverordnung

20. Dezember 2016

In ihrer letzten Sitzung in diesem Jahr hat die Artikel-29-Datenschutzgruppe in der vergangenen Woche drei Leitlinien und FAQs zu wichtigen Neuerungen der Datenschutz-Grundverordnung veröffentlicht.

Es handelt sich dabei um

Sie geben einen hilfreichen Überblick über die Neuregelungen für die Praxis und ermöglichen einen Eindruck, wie die europäischen Datenschutzbehörden verschiedene Bestimmung der Datenschutz-Grundverordnung interpretieren.

Die Artikel-29-Datenschutzgruppe wird in Zukunft weitere Leitlinien zu verschiedenen Themen der Datenschutz-Grundverordnung veröffentlichen, so im kommenden Januar zu den Themen Datenschutzfolgeabschätzung und Zertifizierung.

Artikel-29-Datenschutzgruppe: Beurteilung internationaler Datenübermittlungen

4. Februar 2016

Nach einer am gestrigen Tag veröffentlichten Stellungnahme der Artikel-29-Datenschutzgruppe sind Übermittlungen personenbezogener Daten in die USA auf Grundlage von EU-Standardvertragsklauseln (Standard Contractual Clauses, SCC) oder Binding Corporate Rules (BCR)  bis zu einer weiteren Benachrichtigung – jedenfalls aber bis Ende April dieses Jahres – als zulässig anzusehen.

Die Artikel-29-Datenschutzgruppe hat die EU Kommission aufgerufen, alle Dokumente, die das neue EU-US Privacy Shield betreffen, bis Ende Februar vorzulegen. Nur dann sei man in der Lage, eine abschließende rechtliche Würdigung und verbindliche Entscheidung zum Umgang mit Datenübermittlungen in die USA – im Speziellen auf Grundlage von EU-Standardvertragsklauseln und Binding Corporate Rules – zu tätigen.

Praktische Konsequenzen:

1) Datenübermittlungen in die USA auf Basis von EU-Standardvertragsklauseln oder Binding Corporate Rules gelten noch immer als zulässig.
2) Jede Intervention von einzelnen Aufsichtsbehörden bezüglich einer Datenübermittlung in die USA ist nicht zu erwarten.
3) Beschwerden oder Rechtsstreitigkeiten wegen Datenübermittlungen in die USA auf Grundlage von EU-Standardvertragsklauseln oder Binding Corporate Rules sollten bis zu einer abschließenden Beurteilung der Artikel-29-Datenschutzgruppe zurückgestellt werden.
4) Die derzeit bestehende Rechtsunsicherheit im Hinblick auf die Zulässigkeit von Datenübermittlungen in die USA besteht fort. Die nächste Prüfung wird voraussichtlich März dieses Jahres erfolgen. Bis Ende April soll entschieden werden, wie der internationale Datenumgang insgesamt zu beurteilen ist – sei es im Hinblick auf das EU-US Privacy Shield, im Hinblick auf EU-Standardvertragsklauseln oder im Hinblick auf Binding Corporate Rules.

Wenn Sie regelmäßig über aktuelle Entwicklungen im Datenschutzrecht auf dem Laufenden gehalten werden möchten, abonnieren Sie einen unserer Newsletter:

  • Deutsches / Europäisches Datenschutzrecht: http://www.datenschutzticker.de/newsletter/ (deutsch)
  • Internationales Datenschutzrecht http://www.privacy-ticker.com/newsletter/ (englisch)

Bei Fragen, wie mit internen Policies zum Datenschutz umzugehen ist, wie Datenübermittlungen in Drittländer zu bewerten sind oder wie man sich schon jetzt als Unternehmen auf die Neuregelungen der EU-Datenschutzgrundverordnung vorbereitet, kontaktieren Sie uns jederzeit gern für eine individuelle Beratung!

Einigung über Safe Harbor 2.0 bis Ende Januar nicht absehbar – Aufsichtsbehördliche Maßnahmen ab Februar?

21. Januar 2016

Mit dem Urteil vom 06. Oktober 2015 hat der EuGH das Safe Harbor Abkommen für ungültig erklärt. Die obersten Datenschutzbehörden (Artikel-29-Gruppe) haben daraufhin in ihrer Presseerklärung vom 16. Oktober 2016 den Unternehmen, die von der Entscheidung des EuGHs betroffen sind, eine Umsetzungsfrist bis Ende Januar 2016 eingeräumt, um Datenübermittlungen in Drittstaaten auf alternative Grundlagen zu stützen.

Gleichzeitig wurden die EU-Regierungen, die EU-Kommission sowie die US-Regierung aufgefordert, innerhalb dieser Frist ein neues Safe Harbor Abkommen zu verbschieden, das die vom EuGH ausgeurteilten Voraussetzungen erfüllt und als weitere Grundlage neben den Standardvertragsklauseln sowie den Binding Corporate Rules für den Datentransfer in die Vereinigten Staaten dienen kann.

Eine Einigung über ein neues Abkommen noch im Januar scheint nach derzeitigem Stand unwahrscheinlich.

Am 15. Januar 2016 habe die EU-Kommission die Mitgliedsstaaten darüber informiert, dass die Verhandlungen ins Stocken geraten seien. Teilnehmer der Sitzung hielten eine zeitnahe Einigung für „unrealistisch“ und „unwahrscheinlich“, die Stimmung sei insgesamt pessimistisch.

Laut dem EU-Datenschutzbeauftragten Giovanni Buttarelli hätte eine Einigung im Januar allenfalls politische Bedeutung, ein rechstwirksames Abkommen mit Bindnungswirkung erfordere noch weitere Monate Verhandlung.

Am 2. Februar 2016 tritt die Artikel-29-Gruppe wieder zu einer Sitzung zusammen. Es ist zu erwarten, dass im Anschluss daran mitgeteilt wird, welche Maßnahmen die Aufsichtsbehörden gegen Unternehmen, die Daten auf Grundlage des für ungültig erklärten Safe Harbor Abkommens in die Vereinigten Staaten übermitteln, ergreifen werden.

Vor dem Hintergrund, dass der unzureichende Schutz vor einem Zugriff von US-Behörden auf Daten von EU-Bürgern wesentlicher Grund für die Ungültigerklärung des Safe Harbor Abkommens war, könnte ein aktueller Rechtsstreit zwischen der US-Regierung und Microsoft Bedeutung erlangen. Die US-Regierung begehrt hier Zugriff auf Daten, die sich auf einem Server von Microsoft in Irland befinden und zwar allein aufrund eines US-amerikanischen Gesetzes ohne Berücksichtigung andere Rechtsordnungen. Dass ein Einigungswille auf Seite der Vereinigten Staaten besteht, ein Abkommen zu schließen, dass die Daten von EU-Bürgern vor einem Zugriff schützt, scheint daher fraglich.

Mitteilung der EU-Kommission zum transatlantischen Datentransfer nach der Safe-Harbor-Entscheidung

9. November 2015

In der Mitteilung COM(2015)566 vom 06. November 2015 nimmt der EU-Kommission zu den rechtlichen Folgen der Safe Harbor Entscheidung sowie dem aktuellen Stand der Verhandlungen über ein erneutes Abkommen Stellung.

In Übereinstimmung mit den Ausführungen der Artikel 29-Datenschutzgruppe vom 16. Oktober 2015 empfiehlt die EU-Kommission die Verwendung von Standardvertragsklauseln oder Binding Corporate Rules um personenbezogene Daten von EU-Bürgern datenschutzkonform in die Vereinigten Staaaten zu übermitteln. Sie betont dabei gleichzeitzig, dass die Empfehlung, so wie die Mitteilung insgesamt, ohne rechtliche Bindungswirkung für die Mitgliedsstaaten sei und insbesondere das Vorgehen der nationalen Aufsichtsbehörden in ihrem eigenen Ermessen stehe.

In den seit 2013 stattfindenden Verhandlungen über ein neues Safe-Harbor-Abkommen seien deutliche Fortschritte erzielt worden. Es hätten bereits Verständigungen über eine strengere Überwachung und Durchsetzung der Safe-Harbor-Datenschutzgrundsätze durch Behörden der Vereinigten Staaten, transparentere Verbraucherrechte und einfacherere und günstigere Abhilfemöglichkeiten bei Beschwerden gegeben. Nach der Safe-Harbor-Entscheidung seien die Verhandlungen mit dem Ziel intensiviert worden, die Verhandlungen in drei Monaten abzuschließen.

Bis zu dem Abschluss eines neuen Abkommens seien die breits genannten Standardvertragsklauseln oder Binding Corporate Rules mögliche Optionen. Für die rechtskonforme Durchführung eines transatlantischen Datentransfers seien die Datenexporteure unter der Aufsicht der nationalen Aufsichtsbehörden verantwortlich.

Eine Zusammenfassung der Mitteilung sowie unverbindliche Handlungsempfehlungen der EU-Kommission können dem Q&A-Dokument vom 06. November 2015 entnommen werden.

Artikel-29-Datenschutzgruppe: Datenübermittlungen in die USA auf Grundlage von Standardvertragsklauseln und Binding Corporate Rules vorläufig zulässig

19. Oktober 2015

In der Pressemitteilung vom 16. Oktober 2015 nimmt die Artikel-29-Datenschutzgruppe zu den Konsequenzen und Folgen des Safe-Harbor-Urteils Stellung.

Die Entwicklung politischer, rechtlicher und technischer Lösungen um einen Datentransfer in die USA, der die Grundrechte der EU-Bürger gewährleistet, zu ermöglichen sei nun von hoher Dringlichkeit. Die bereits seit 2013 laufenden Verhandlungen über ein neues Safe-Harbor-Abkommen könnten hierbei die Grundlage bilden bzw. Teil einer neuen Vereinbarung werden.

Die Artikel-29-Datenschutzgruppe werde die Auswirkungen des Urteils auf die Standardvertragsklauseln und die Binding Corporate Rules weiter untersuchen. Bis auf Weiteres werde der Datentransfer auf Grundlage der genannten Regelungen ausdrücklich als zulässig betrachtet. Standardvertragsklauseln und Binding Corporate Rules seien daher bei Datenübermittlungen weiterhin verwendbar. Dies bedeute jedoch nicht, dass die Aufsichtsbehörden gehindert seien, Datenübermittlungen im Einzelfall, beispielsweise aufgrund von Beschwerden, zu überprüfen.

Erste Reaktionen nationaler Datenschutzbehörden auf die Safe-Harbor-Entscheidung und Folgen für die Praxis

7. Oktober 2015

Nach der Entscheidung des EuGH vom 06. Oktober 2015 über die Gültigkeit des Safe-Harbor-Abkommens haben sich einzelne nationale Datenschutzbehörden zu möglichen Konsequenzen geäußert, die teilweise unterschiedlich bewertet werden. In Rede steht die Aussetzung des Datentranfers in die Vereinigten Staaten, aber auch die fortbestehende Rechtmäßigkeit einer Datenübermittlung im Rahmen von Standardvertragsklauseln oder verbindlichen Unternehmensvereinbarungen.


Die Artikel 29-Datenschutzgruppe hat in der Pressemitteilung vom 06. Oktober 2015 die Safe-Harbor-Entscheidung des EuGH ausdrücklich begrüßt. Sie teilte zudem mit, bereits in der folgenden Woche das Urteil in einer Expertenrunde zu analysieren und die Folgen für den Datentransfer in die Vereinigten Staaten zu diskutieren. Ein Termin für eine außerordentliche Plenarsitzung folge in Kürze.


Der Hamburgische Beauftragte für Datenschutz geht davon aus, dass die Aufsichtsbehörden bei der Umsetzung des Urteils eine Schlüsselrolle einnehmen werden. Dabei sei zu prüfen, ob Datentransfers in die Vereinigten Staaten auszusetzen seien. Dies gelte auch, wenn sie auf andere Rechtsgrundlagen wie Standardvertragsklauseln, Einwilligung oder Binding Corporate Rules gestützt würden. Die Aufsichtsbehörden würden dafür noch in dieser Woche ihr Vorgehen auf nationaler und europäischer Ebene koordinieren. Die EU-Kommission ihrerseits müsse die USA drängen, ein angemessenes Datenschutzniveau herzustellen.


Zustimmend äußerte sich zudem die britische Datenschutzbehörde ICO. Sie werde die Folgen des Urteils analysieren und in den kommenden Wochen bekanntgeben. Bereits jetzt erkennbare Folgen für die Praxis:

  • Personenbezogene Daten seien nun nicht verstärkt gefährdet, jedoch seien Unternehmen jetzt verpflichtet sicherzustellen, dass Daten mit dem europäischen Datenschutzrecht konform übermittelt werden.
  • Der Datenschutzbehörde sei dabei bewusst, dass den Unternehmen ein gewisser Zeitraum für Erfüllung dieser Pflichten eingeräumt werden müsse.
  • Es bestünden bereits jetzt Möglichkeiten für eine rechtskonforme Übertragung.
  • Verhandlungen über den Abschluss eines neuen Abkommens zwischen der EU und den Vereinigten Staaten seinen bereits fortgeschritten.
  • Die Folgen des Urteils werden durch die ICO analysiert und Ergebnisse in den kommenden Wochen bekanntgegeben.

Die spanische Agencia Española de Protección de Datos – AEPD führt in ihrer Pressemitteilung zu der Entscheidung aus:

Bisher hat die AEPD internationale Datenübermittlungen an Safe Harbor zertifizierte amerikanische Unternehmen rechtlich anerkannt. Diese Unternehmen hatten demnach das Privileg, dass bei einer Meldung eines Systems an die zuständige Behörde keine weitere Genehmigung durch die Datenschutzbehörde erfoderlich war um die Übermittlung datenschutzkonform durchzuführen.

Jetzt hat die Datenschutzbehörde im Einzelfall zu prüfen, ob die Datenübermittlungen an Safe Harbor zertifizierte amerikanische Unternehmen rechtmäßig sind.

Die Europäischen Datenschutzbehörden hätten bereits in der Vergangenheit auf Mängel des Safe Harbor Abkommens aufmerksam gemacht. Nun arbeiteten sie zusammen, um koordinierte Maßnahmen bezüglich des EuGH-Urteils herbeizuführen, damit es gleichmäßig in allen EU Mitgliedstaaten interpretiert und umgesetzt werde.

Datenschutzrechtliche Bewertung des Einsatzes von Drohnen

17. August 2015

Der Einsatz von Mini-Drohnen nimmt auch in Deutschland mehr und mehr zu. Doch was bedeutet dies eigentlich für den Einzelnen, der von einer Drohne erfasst wird?

Die potenziellen Risiken aus Sicht des Datenschutzes folgen vor allem aus der möglichen Erhebung von Bild- und Tonaufnahmen, wenn eine Person von einer Drohne erfasst wird. Aber auch Ortungsdaten können mit Hilfe dieser Technik „gesammelt“ und verarbeitet werden.

Es mangelt zunächst an der erforderlichen Transparenz über die Tatsache, dass eine solche Datenerhebung stattfinden kann, denn der Betroffene bleibt in der Regel ahnungslos darüber, dass er überhaupt erfasst wird. Darüber hinaus fehlt es an der Zweckbestimmung bezüglich der Datenerhebung und -verarbeitung, an Kenntnis über die Speicherdauer und überhaupt über die konkrete verantwortliche Stelle.

Die Artikel-29-Datenschutzgruppe hat daher nun in einer Stellungnahme die Schaffung eines gesetzlichen Rahmens für den Einsatz von Drohnen auf nationaler und europäischer Ebene gefordert, einhergehend mit der Erarbeitung eines Regelwerks für den verantwortungsvollen Einsatz von Drohnen unter Wahrung der Privatsphäre. Die Empfehlungen der Gruppe gehen zum einen dahin, eine leichtere Identifikation der Betreiber der Drohnen zu ermöglichen, des Weiteren raten sie dazu, über die beabsichtigte Datennutzung im Vorfeld aufzuklären. Im Allgemeinen könnten die für die öffentliche Videoüberwachung geltenden gesetzlichen Regelungen als Maßgabe dienen.

Man darf gespannt sein, wann und in wie weit diese Empfehlungen zur Anwendung kommen.

Kategorien: Allgemein
Schlagwörter: ,

EU-Datenschützer einigen sich auf Kriterienkatalog zum „Recht auf Vergessen“

22. September 2014

Die Artikel-29-Gruppe der europäischen Datenschutzbeauftragten hat einen gemeinsamen Ansatz für den Umgang mit dem „Recht auf Vergessen“ definiert. Ein „Netzwerk spezieller Kontaktpersonen“ der Aufsichtsbehörden soll übergreifende Kriterien für den Umgang mit diesbezüglichen Eingaben von Bürgern und Firmen entwickeln. Dies teilte die Gruppe am vergangenen Donnerstag in einer Pressemitteilung mit.

Im Sommer seien immer wieder Beschwerden eingegangen, dass Suchmaschinen sich weigerten, unerwünschte Links aus ihren Ergebnislisten herauszunehmen. Das geplante Netzwerk solle diese Beanstandungen nun sammeln, auswerten und über eine Datenbank einen internen Nachweis über ergangene Entscheidungen zu den Eingaben liefern, heißt es bei der Gruppe. Die Datenschützer wollen darüber hinaus das Verhalten von Suchmaschinen in Bezug auf die Umsetzung des Urteils aus Luxemburg analysieren.

Die EuGH-Richter hatten entschieden, dass Google im Einzelfall verpflichtet werden kann, Verweise auf Webseiten mit sensiblen persönlichen Daten nicht mehr anzuzeigen. Den Internetkonzern erreichten daraufhin binnen vier Monaten rund 120.000 Löschanträge. Die hohe Zahl der Löschbegehren und die zunehmende Inanspruchnahme auch der Aufsichtsbehörden zeigt nach Ansicht der Artikel-29-Gruppe, dass das Urteil einen „ganz eigenen Bedarf an Datenschutz“ Betroffener angesprochen habe.

Artikel-29-Datenschutzgruppe: Überprüfung der überarbeiteten Nutzungsbedingungen von Microsoft

3. Januar 2013

Medienberichten zufolge würden Microsofts kürzlich geänderte Nutzungsbedingungen von der Artikel-29-Datenschutzgruppe auf mögliche Verstöße gegen europäische Datenschutzgesetze geprüft.
Die geänderte Nutzungsbedingungen, die für mehrere von Microsofts Produkten gültig sind, sind seit zwei Monaten  in Kraft.

Die Artikel-29-Datenschutzgruppe habe Microsoft-Boss Steve Ballmer in einem Brief (der Bloomberg vorliegt) über die große Reichweite der Änderungen, die es notwendig machten, die Auswirkungen der neuen Bedingungen auf die Endverbraucher zu beurteilen, informiert.

Vor allem sei zu prüfen, ob Microsoft seine Nutzer entsprechend der europäischen Vorschriften über die anstehenden Änderungen informiert habe, indem die Verbraucher  einen Monat vor Inkrafttreten über die Änderungen informiert worden waren. Ein Teil der geänderten Nutzungsbedingungen betreffe nämlich die Möglichkeit, Daten zwischen Desktop- und Cloud-Diensten zu teilen.

Laut anderer Quelle argumentiere Microsoft, dass nur die Nutzungsbedingungen, nicht aber die Datenschutzrichtlinie verändert worden seien.

Umstrittene Selbstregulierungseinrichtung der Online-Werbewirtschaft gegründet

20. November 2012

Unter dem klangvollen Namen „Deutscher Datenschutzrat Online-Werbung (DDOW)“ hat die deutsche Online-Werbewirtschaft eine Selbstregulierungseinrichtung für nutzungsbasierte Online-Werbung („Online Behavioral Advertising“ oder kurz: OBA) aus der Taufe gehoben. Hierbei handelt es sich nicht um eine einzigartige Initiative der deutschen Online-Werber, sondern um eine konzertierte Aktion der gesamten europäischen Werbewirtschaft. Dementsprechend gibt es auch ein europäisches Gegenstück zum DDOW, die „European Interactive Digital Advertising Alliance (EDAA)“.

Die neue Initiative stellt eine Fortführung der Bestrebungen dar, den europarechtlichen Vorgaben zu genügen. Bisherige Vorstöße des Internet Advertising Bureau (IAB) und der European Advertising Standards Alliance (EASA) wurden den strengen Anforderungen der Artikel-29-Gruppe jedoch nicht gerecht. Nichtsdestotrotz setzt die Werbewirtschaft den eingeschlagenen Kurs fort und verweist auch bei der neuen Initiative wieder auf Prinzipien, die bereits 2011 die Europäischen Datenschützer besänftigen sollten. Daher ist es wenig verwunderlich, dass die Online-Werbebranche für diese Initiative abermals Kritik einstecken muss. So sieht die Digitale Gesellschaft e.V. in den neuerlichen Bestrebungen nicht mehr als einen Versuch die „Europäischen Datenschutzregeln möglichst stark zu verwässern.“

1 2