Kategorie: Aufsichtsbehördliche Maßnahmen

Einigung über Safe Harbor 2.0 bis Ende Januar nicht absehbar – Aufsichtsbehördliche Maßnahmen ab Februar?

21. Januar 2016

Mit dem Urteil vom 06. Oktober 2015 hat der EuGH das Safe Harbor Abkommen für ungültig erklärt. Die obersten Datenschutzbehörden (Artikel-29-Gruppe) haben daraufhin in ihrer Presseerklärung vom 16. Oktober 2016 den Unternehmen, die von der Entscheidung des EuGHs betroffen sind, eine Umsetzungsfrist bis Ende Januar 2016 eingeräumt, um Datenübermittlungen in Drittstaaten auf alternative Grundlagen zu stützen.

Gleichzeitig wurden die EU-Regierungen, die EU-Kommission sowie die US-Regierung aufgefordert, innerhalb dieser Frist ein neues Safe Harbor Abkommen zu verbschieden, das die vom EuGH ausgeurteilten Voraussetzungen erfüllt und als weitere Grundlage neben den Standardvertragsklauseln sowie den Binding Corporate Rules für den Datentransfer in die Vereinigten Staaten dienen kann.

Eine Einigung über ein neues Abkommen noch im Januar scheint nach derzeitigem Stand unwahrscheinlich.

Am 15. Januar 2016 habe die EU-Kommission die Mitgliedsstaaten darüber informiert, dass die Verhandlungen ins Stocken geraten seien. Teilnehmer der Sitzung hielten eine zeitnahe Einigung für “unrealistisch” und “unwahrscheinlich”, die Stimmung sei insgesamt pessimistisch.

Laut dem EU-Datenschutzbeauftragten Giovanni Buttarelli hätte eine Einigung im Januar allenfalls politische Bedeutung, ein rechstwirksames Abkommen mit Bindnungswirkung erfordere noch weitere Monate Verhandlung.

Am 2. Februar 2016 tritt die Artikel-29-Gruppe wieder zu einer Sitzung zusammen. Es ist zu erwarten, dass im Anschluss daran mitgeteilt wird, welche Maßnahmen die Aufsichtsbehörden gegen Unternehmen, die Daten auf Grundlage des für ungültig erklärten Safe Harbor Abkommens in die Vereinigten Staaten übermitteln, ergreifen werden.

Vor dem Hintergrund, dass der unzureichende Schutz vor einem Zugriff von US-Behörden auf Daten von EU-Bürgern wesentlicher Grund für die Ungültigerklärung des Safe Harbor Abkommens war, könnte ein aktueller Rechtsstreit zwischen der US-Regierung und Microsoft Bedeutung erlangen. Die US-Regierung begehrt hier Zugriff auf Daten, die sich auf einem Server von Microsoft in Irland befinden und zwar allein aufrund eines US-amerikanischen Gesetzes ohne Berücksichtigung andere Rechtsordnungen. Dass ein Einigungswille auf Seite der Vereinigten Staaten besteht, ein Abkommen zu schließen, dass die Daten von EU-Bürgern vor einem Zugriff schützt, scheint daher fraglich.

BfDI 2.0 – Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit wird oberste Bundesbehörde

7. Januar 2016

Seit dem 01.Januar 2016 ist die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) eine unabhängige oberste Bundesbehörde. Bislang stand die BfDI unter der Dienstaufsicht des Bundesministeriums des Inneren und unter der Rechtsaufsicht der Bundesregierung. Mit Beginn dieses Jahres entfällt die Verantwortlichkeit der BfDI gegenüber diesen Aufsichtsbehörden und die Bundesbeauftragte ist lediglich dem Parlament gegenüber rechenschaftspflichtig. Ihre Entscheidungen sind gerichtlich überprüfbar.
Bereits seit 1995 ist die Bundesrepublik gemäß europarechtlicher Vorgaben verpflichtet, eine unabhängige Datenschutzkontrolle auf Bundesebene einzurichten. Hierzu gehört auch, dass nicht einmal der Anschein einer Abhängigkeit der BfDI bestehen darf. Dieses Ziel soll durch die beschriebene Umgestaltung erreicht werden.
Wie die BfDI in einer Pressemitteilung bekannt gibt, beabsichtigt der Gesetzgeber mit der Neugestaltung der Behördenstruktur ein weiteres Signal in Sachen Datenschutz zu senden – nämlich, dass „eine starke, unabhängig agierende Aufsichtsbehörde ein wichtiges Anliegen ist“. Auch durch personelle Aufstockungen soll die BfDI zukünftig besser aufgestellt sein.
Zu den Tätigkeitsschwerpunkten der BfDI gehört nach eigenen Angaben vor allem die Anpassung des nationalen Datenschutzrechts an die voraussichtlich ab 2018 geltende Europäische Datenschutz-Grundverordnung (DSGVO). Die DSGVO enthält teilweise Öffnungsklauseln, deren Ausgestaltung den Mitgliedsstaaten obliegt. Beispielhaft sei hier der Themenbereich des Arbeitnehmerdatenschutzes genannt.
Ferner wird die neue Gestaltung des Datentransfers in Drittstaaten auf der Agenda der BfDI stehen. Seitdem der EuGH im Oktober 2015 den Datentransfer in die USA auf Grundlage des Safe-Harbor-Abkommens für unzulässig erklärt hat, besteht auch in dieser Angelegenheit noch Regelungsbedarf für die BfDI.
Welche Auswirkung die Umgestaltung der BfDI auf die Praxis haben und wie die BfDI ihre Vorhaben umsetzt, bleibt abzuwarten.

Bayern: Datenschutzverstöße bei der Anforderung von Kontoauszügen durch Sozialbehörden

7. Dezember 2015

Der Bayerische Landesbeauftragte für den Datenschutz Petri hat bei etwa 120 bayerischen Sozialbehörden geprüft, ob bei der an Antragsteller von Sozialleistungen gerichteten Anforderung von Kontoauszügen, z. B. um die Angaben zum Einkommen zu kontrollieren, die Vorgaben des Sozialgesetzbuchs und der Rechtsprechung eingehalten werden. Als ernüchterndes Ergebnis wurde festgestellt, dass eine sehr unterschiedliche Vorgehensweise herrscht und zudem die meisten Sozialbehörden  jedenfalls nicht alle datenschutzrechtlichen Vorgaben einhalten.

So dürfen beispielsweise Sozialbehörden von Antragstellern Kontoauszüge lediglich für einen Zeitraum von bis zu drei Monaten anfordern. Die Anforderung von Kontoauszügen von länger zurückliegenden Zeiträumen ist nur ausnahmsweise erforderlich. In solchen Ausnahmefällen muss die Behörde die Gründe dafür dokumentieren. Demgegenüber forderte nach den Prüfergebnissen des Bayerischen Landesbeauftragten für den Datenschutz eine Reihe der geprüften Sozialbehörden Kontoauszüge pauschal für deutlich längere Zeiträume an.
Auch sind die Antragsteller berechtigt, auf ihren Kontoauszügen bei den Ausgaben den Überweisungszweck bzw. den Empfänger schwärzen, sofern es sich um „besondere Arten personenbezogener Daten“ (=Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben, § 3 Abs. 9 BDSG) handelt. Nur etwa die Hälfte der Sozialbehörden soll sich an diese rechtlichen Vorgaben gehalten haben, die Übrigen sollen ausdrücklich keinerlei Schätzungen akzeptiert haben. Ferner seien nur wenige Behörden der Pflicht nachgekommen, auf das Recht zur Schwärzung hinzuweisen.

„Meine Prüfung ist noch nicht abgeschlossen. Ich habe die Sozialbehörden aufgefordert, die jeweils festgestellten Mängel zu beheben und mir über die ergriffenen Maßnahmen zu berichten. Außerdem behalte ich mir punktuelle weitere Überprüfungen vor Ort ausdrücklich vor.“, so Petri zu dem Stand der Prüfungen.

 

Safe Harbor und die Folgen – Fragen und Antworten im Webinar von marktforschung.de

4. Dezember 2015

Auch an dieser Stelle wurde das Safe-Harbor-Urteil des Europäischen Gerichtshofs (EuGH) umfassend diskutiert. Manche Kommentatoren mögen in der Tatsache, dass der EuGH die Grundsatzentscheidung der EU-Kommission zum Safe Harbor-Abkommen aus dem Jahr 2000 für ungültig erklärt hat, ein deutliches Signal, wenn ich gar einen kleinen Sieg gegen die Überwachungsmethoden der USA gesehen haben – vor allem die Spionagemethoden der NSA haben das Vertrauen der Bürger in die Datenschutzpolitik der Vereinigten Staaten nachhaltig beschädigt und die Debatte emotionalisiert.

In der Wirtschaftswelt, vor allem solchen Unternehmen, die transatlantisch operieren, ist die Freude erwartungsgemäß verhalten ausgefallen, die Verunsicherung hingegen groß.

Zum 1. Februar 2016 endet die Übergangsfrist, in welcher die nationalen Aufsichtsbehörden eine Lösung zur Datenübermittlung in die USA im Rahmen von EU-Standardvertragsklauseln noch akzeptieren. Was danach kommt, ist ungewiss. Die Aufsichtsbehörden werden aber mit Sicherheit die Umsetzung der EuGH-Entscheidung vorantreiben – Sanktionen wie vor allem Bußgelder sind dann nicht mehr ausgeschlossen, aber auch die Kappung von relevanten Systemen kann Unternehmen drohen, die nicht reagiert haben.

Bleibt das bange Warten, ob und unter welchen Voraussetzungen bis dahin die Politik ein neues „Safe Harbor 2.0“ auf die Beine gestellt bekommt, welches dann auch von den Datenschutzinstitutionen wie auch vom Gericht akzeptiert wird.

Und dann ist da noch der Ausblick auf die Europäische Datenschutzgrundverordnung, welche aller Voraussicht nach im kommenden Jahr verabschiedet wird, und dann ab 2018 in Kraft tritt – inklusive „Marktortprinzip“, welches eine Verarbeitung europäischer Daten auch außerhalb der EU die Regelungen der EU-Verordnung verbindlich vorschreiben wird.

Einen Überblick über die Hintergründe des Urteils, die Reaktionen und die Folgen, sowie die Gelegenheit zu Frage und Antwort bietet das Portal für Markt-, Medien- und Meinungsforschung marktforschung.de in dem Webinar Q&A zum Thema “Safe Harbor” am 7. Januar 2016, 11 Uhr, in dem der Externe Datenschutzbeauftragte und Rechtsanwalt Dr. Karsten Kinast von der Kanzlei Kinast & Partner Rede und Antwort stehen wird.

Eine Anmeldung ist bis zum Veranstaltungsbeginn unter diesem Link möglich.

Fach-Tagung zur Datenschutz-Grundverordnung der EU in der IHK München

17. November 2015

Am 16.11. fand in der Münchener Industrie- und Handelskammer eine große Fachtagung mit Vertretern aus Politik, Wissenschaft und Wirtschaft zur neuen EU-Datenschutz-Grundverordnung statt. Diskutiert wurden unter anderem die Veränderungen, die auf die Wirtschaft zukommen, der Stand der Trilog-Verhandlungen sowie – aus aktuellem Anlass – die Zukunft von Safe Harbour.

Die Kanzlei Kinast & Partner war mit zwei Rechtsanwälten vor Ort, um aktuelle Informationen einzuholen und sich an Diskussionen mit Entscheidungsträgern zu beteiligen. Insbesondere was die Zukunft des BDSG angeht, besteht noch große Unklarheit. Denkbar ist hier sowohl ein kompletter Wegfall des Gesetzes als auch ein weitgehendes Bestehenbleiben von wesentlichen Vorschriften bis hin zu einer Neufassung deutscher Regelungen. Insbesondere im Hinblick auf die Planbarkeit für deutsche Unternehmen erscheint diese bestehende Rechtsunsicherheit unbefriedigend. Das Bundesinnenministerium wird insoweit über die Zukunft dieser und andere Vorschriften entscheiden. Mehrere Redner ließen jedoch bereits durchblicken, dass Entscheidungen diesbezüglich wohl nicht vor der Bundestagswahl 2017 fallen dürften.

Da mit einer endgültigen Verabschiedung der Verordnung noch vor Weihnachten 2015 zu rechnen ist und dann – nach Übersetzung in alle Amtssprachen – ein Inkrafttreten für Anfang 2016 geplant ist, wird die Verordnung nach zwei Jahren Anfang 2018 Anwendung finden. Den politischen Entscheidungsträgern wird dann nur wenig Zeit verbleiben, um hier die richtigen Weichen zu stellen. Zudem muss dies in einer Zeit erfolgen, in der womöglich um eine Regierungsbildung gerungen wird.

Sofern Deutschland aufgrund von Öffnungsklauseln in der Verordnung eigene datenschutzrechtliche Traditionen beibehalten kann und will, wird also einiges an Anstrengungen nötig sein, um hier Rechtssicherheit für betroffene Unternehmen zu schaffen.

Insgesamt werden auf die Wirtschaft weitaus größere Meldepflicht zukommen, die es in dieser Form in Deutschland bisher nicht gegeben hat. Seitens des Präsidenten des bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) wurde außerdem darauf hingewiesen, dass zukünftig kaum Ermessenspielraum hinsichtlich von Bußgeldern bestehen wird. Die bisher gelebte Praxis, dass Bußgelder nur in Ausnahmefällen verhängt werden, wird nach den neuen Vorschriften nicht mehr umsetzbar sein. Dies ist vor allem deshalb beachtlich, da zukünftig voraussichtlich bis zu fünf Prozent des weltweiten Umsatzes als Bußgeld herangezogen werden kann.

Im Ergebnis lässt sich festhalten, dass die neue Verordnung wohl trotz aller ungeklärten Fragen noch 2015 verabschiedet wird und sich die Wirtschaft mit nicht ganz klaren Vorschriften auf eine neue Rechtslage wird einstellen müssen.

Status quo und Entwicklung von Safe-Harbor 2.0

29. Oktober 2015

Die EU-Justizkommissarin Vĕra Jourová hat den Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) am 25. Oktober 2015 über den aktuellen Stand der Verhandlungen über ein neues Safe-Harbor-Abkommen informiert. Zwischen der EU-Kommission und dem US-Handelsministerim bestehe zwar im Grundsatz Einigkeit, jedoch müsse noch über eine Vielzahl kritischer Punkte diskutiert werden.

Die Kommissarin äußerte sich vorsichtig optimistisch, dass die derzeitig stattfindenden Verhandlungen über technische Lösungen bis zu ihrem Besuch Mitte November in Washington fortgeschritten seien. Die Vereinigten Staaten hätten bereits jetzt Zusagen bezüglich einer strengeren Kontrolle der Safe-Harbor-Zertifizierungsverfahrens durch das US-Handelsministerium und einer engeren Zusammenarbeit mit europäischen Datenschutzbehörden gemacht. Neben der Einführung von Datenschutzvorschriften, die denjenigen der EU entsprechen, sei die Regelung des Zugriffs der US-Geheimdienste auf Daten von EU-Bürgern sowie die gerichtliche Kontrolle von Überwachungsmaßnahmen wesentlicher Punkt der Verhandlungen. Dabei sei der letzte Aspekt, die Einführung einer wirksamen gerichtliche Kontrolle der US-Geheimdienste, die größte Herausforderung auf dem Weg zu einem Abkommen.

Mit einer Einigung über ein Safe-Harbor 2.0 könne daher vor Ende Januar 2016 nicht gerechnet werden.

Die Kommissarin macht insoweit deutlich, dass Safe-Harbor 2.0 wesentlich von der Haltung der Vereinigten Staaten zu dem behördlichen Zugriff auf die übermittelten Daten von EU-Bürgern abhängt. Bis zu einem Abschluss eines neuen Abkommens bleibt die Übermittlung im Rahmen von Standardvertragsklauseln und Binding Corporate Rules vorläufig zulässig.

Positionspapier der Datenschutzkonferenz zu Safe-Harbor-Urteil

28. Oktober 2015

Die Datenschutzkonferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) hat in einem nun veröffentlichten Positionspapier zum Safe-Harbor-Urteil des EuGH vom 6. Oktober 2015 klar gestellt, dass die deutschen Datenschutzbehörden solche Datenübertragungen in Zukunft untersagen wollen, die ausschließlich auf das Safe-Harbor-Abkommen gestützt sind, soweit sie davon Kenntnis erlangen. Damit verdeutlichen sie einen ersten Punkt ihrer zentralen Strategie. Des weiteren sind sie sich ebenfalls einig, derzeit keine neuen Genehmigungen für Datenübermittlungen in die USA auf Grundlage von verbindlichen Unternehmensregelungen (Binding Corporate Rules) oder Datenexportverträgen zu erteilen.

Noch Uneinigkeit herrscht hingegen im Umgang mit Übermittlungen personenbezogener Daten in die USA auf Basis der EU-Standardvertragsklauseln. Sie seien nach dem Positionspapier zwischenzeitlich “in Frage” zu stellen, ohne dass jedoch eine einheitliche Vorgehensweise postuliert wird. Der Hamburgische Landesdatenschutzbeauftragte beispielsweise erklärte, dass seine Behörde erst dann eine Datenübermittlung auf Basis der Standverträge beanstanden werde, wenn die Aufsichtsbehörden geklärt hätten, welche Konsequenzen aus dem o. g. EuGH-Urteil diesbezüglich genau zu ziehen sind. Fest steht jedoch, dass die deutschen Datenschutzbehörden bereits jetzt den transatlantischen Datenverkehr auf Beschwerden hin im Einzelfall überprüfen werden. Vor einer Entscheidung in den jeweiligen Verfahren ist jedoch nicht vor Februar 2016 zu rechnen.

Die britischen und die irischen Aufsichtsbehörden hingegen zeigen eine weniger strenge Haltung: Sie argumentieren hinsichtlich der Folgen des Urteils mit dem Wortlaut der Entscheidungsgründe, der sich allein auf die rechtliche Zulässigkeit des Abkommens beschränke. Sowohl Standardvertragsklauseln als auch Binding Corporate Rules seien von der Entscheidung unberührt, so dass diese nach wie vor rechtliche Grundlage für einen Datentransfer in die Vereinigten Staaten sein sollen.

Die DSK macht ihererseits schließlich deutlich, dass die Verantwortung für eine neue rechtliche Grundlage, die den Vorgaben des EuGH-Urteils Rechnung trägt, bei der EU-Kommission liegt. Diese solle bei den Verhandlungen mit den USA “auf die Schaffung ausreichend weitreichender Garantien zum Schutz der Privatsphäre zu drängen.” Darüber hinaus seien die Kommissionsentscheidungen aus den Jahren 2004 und 2010 zu den Standardvertragsklauseln schnellstmöglich an die in dem EuGH-Urteil gemachten Vorgaben anzupassen. Die DSK begrüßt die in dieser Sache von der Art. 29-Gruppe gesetzte Frist bis zum 31. Januar 2016.

Oberstes Irisches Gericht ordnet Überprüfung von Facebook an

21. Oktober 2015

Die Grundsatzentscheidung des EuGH vom 6. Oktober 2015 führt zu ersten praktischen Konsequenzen für Facebook Ireland Ltd., dem europäischen Hauptquartier des amerikanischen Unternehmens Facebook Inc.

So urteilte der irische High Court nunmehr, dass die irische Datenschutzbeauftragte verpflichtet sei, die Beschwerde von Max Schremms, die Gegenstand des EuGH-Urteils war, vollumfänglich zu prüfen. Bei dieser Überprüfung werden insbesondere die Schutzmaßnahmen, die bei der Übermittlung personenbezogener Daten von Facebook Ireland Ltd. an Facebook Inc. in den USA gelten, unter die Lupe genommen werden. Facebook küdigte dabei seine “kontruktive Mitarbeit” an.

Die irische Datenschutzaufsicht hatte die Einleitung von Ermittlungen zunächst abgelehnt. Wie genau der Prüfungsprozess ablaufen wird, steht noch nicht fest.

Artikel-29-Datenschutzgruppe: Datenübermittlungen in die USA auf Grundlage von Standardvertragsklauseln und Binding Corporate Rules vorläufig zulässig

19. Oktober 2015

In der Pressemitteilung vom 16. Oktober 2015 nimmt die Artikel-29-Datenschutzgruppe zu den Konsequenzen und Folgen des Safe-Harbor-Urteils Stellung.

Die Entwicklung politischer, rechtlicher und technischer Lösungen um einen Datentransfer in die USA, der die Grundrechte der EU-Bürger gewährleistet, zu ermöglichen sei nun von hoher Dringlichkeit. Die bereits seit 2013 laufenden Verhandlungen über ein neues Safe-Harbor-Abkommen könnten hierbei die Grundlage bilden bzw. Teil einer neuen Vereinbarung werden.

Die Artikel-29-Datenschutzgruppe werde die Auswirkungen des Urteils auf die Standardvertragsklauseln und die Binding Corporate Rules weiter untersuchen. Bis auf Weiteres werde der Datentransfer auf Grundlage der genannten Regelungen ausdrücklich als zulässig betrachtet. Standardvertragsklauseln und Binding Corporate Rules seien daher bei Datenübermittlungen weiterhin verwendbar. Dies bedeute jedoch nicht, dass die Aufsichtsbehörden gehindert seien, Datenübermittlungen im Einzelfall, beispielsweise aufgrund von Beschwerden, zu überprüfen.

Deutsche Datenschutzbehörden zweifeln an der Zulässigkeit von Datenübermittlungen in die USA auf Grundlage von Standardvertragsklauseln

15. Oktober 2015

Nach der Safe-Harbor-Entscheidung des EuGH vom 06. Oktober 2015 sind Datenübermittlungen auf Grundlage des Abkommens nicht mehr zulässig.  Hintergrund der Entscheidung ist der Zugriff der amerikanischen Behörden auf der Basis des Patriot Act, der unabhängig von der gewählten rechtlichen Grundlage zur Anwendung kommen kann und europäische Daten nicht ausnimmt.

Nach wie vor in Betracht kommt indes ein Transfer auf der Basis der Standardvertragsklauseln bzw. Binding Corporate Rules, deren Zulässigkeit nicht Gegenstand des Verfahrens war. Datenschutzrechtliche Bedenken hiergegen bestanden jedoch bereits vor der Entscheidung des EuGH und werden erneut vor dem erläuterten Hintergrund der Entscheidung diskutiert.


Deutsche Datenschutzbehörden haben bereits im Jahr 2013 in einer gemeinsamen Presseerklärung erklärt, dass ihnen diese Standard-Vertragsklauseln nicht (mehr) ausreichten, solange die genauen Zugriffsmöglichkeiten der amerikanischen Geheimdienste nicht geklärt seien:

“Deshalb fordert die Konferenz die Bundesregierung auf, plausibel darzulegen, dass der unbeschränkte Zugriff ausländischer Nachrichtendienste auf die personenbezogenen Daten der Menschen in Deutschland effektiv im Sinne der genannten Grundsätze begrenzt wird.
Bevor dies nicht sichergestellt ist, werden die Aufsichtsbehörden für den Datenschutz keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten (zum Beispiel auch zur Nutzung bestimmter Cloud-Dienste) erteilen und prüfen, ob solche Datenübermittlungen auf der Grundlage des Safe-Harbor-Abkommens und der Standardvertragsklauseln auszusetzen sind.”


In dem Positionspapier zu dem Safe-Harbor-Urteil hält die schleswig-holsteinische Datenschutzbauftragte bei konsequenter Anwendung der Vorgaben des EuGH in seinem Urteil eine Datenübermittlung auf Basis von Standardvertragsklauseln für nicht mehr zulässig. Nichtöffentliche Stellen, die für ihren Datentransfer in die USA Standardvertragsklauseln verwenden, müssten nun in Erwägung ziehen, den zugrunde liegenden Standardvertrag mit dem Datenimporteur in den USA zu kündigen oder die Datenübermittlungen auszusetzen. Eine dauerhafte Lösung könne nur in einer Änderung des amerikanischen Rechts liegen.

Es werde nun geprüft, ob Anordnungen gegenüber nichtöffentlichen Stellen getroffen werden müssen, auf deren Basis Datenübermittlungen in die USA ausgesetzt oder verboten werden müssen.

1 25 26 27 28 29 34