Schlagwort: Binding Corporate Rules

Weitere Stellungnahmen der Aufsichtsbehörden zum Privacy-Shield-Aus

31. Juli 2020

Zeitnah nach Verkündung des EuGH-Urteils zur Wirksamkeit des EU-US-Privacy-Shields (Urteil v. 16.07.2020, C-311/18) hatten bereits die ersten deutschen Aufsichtsbehörden zu dieser Entscheidung Stellung bezogen (wir berichteten). Nunmehr haben sich mit der Datenschutzkonferenz (DSK, Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder) und dem Europäischen Datenschutzausschuss (EDSA) weitere „Big Player“ unter den Aufsichtsbehörden zu Wort gemeldet.

Stellungnahme und FAQ des EDSA

Der EDSA hat diesbezüglich gleich zwei Dokumente (in englischer Sprache) veröffentlicht, eine Stellungnahme sowie ein FAQ zum Urteil des Gerichts mit Sitz in Luxemburg. Zunächst einmal wird das Urteil durch den EDSA begrüßt, verdeutliche es doch den Stellenwert des „right to privacy“ auch im Hinblick auf den Datentransfer in Drittstaaten. Im Hinblick auf die Unwirksamkeit des Privacy Shields stellt der EDSA heraus, dass einige der nunmehr aufgegriffenen Kritikpunkte auch bereits durch den EDSA aufgeworfen worden waren, und dass ein neues Abkommen zwischen der EU und den USA erforderlich sei, welches sämtliche Rechte der Betroffenen schützt.

Hinsichtlich der Standardvertragsklauseln – welche durch den EuGH grundsätzlich als wirksam anerkannt wurden – obliege es im Wesentlichen den Verantwortlichen selbst, auf ein geeignetes Schutzniveau im betreffenden Drittstaat zu achten. Werde ein solches Schutzniveau nach Ansicht des verantwortlichen Datenexporteurs nicht erreicht, müsse in Betracht gezogen werden, über die in den Standardvertragsklauseln genannten Schutzmaßnahmen hinaus zusätzliche Maßnahmen zum Schutz der personenbezogenen Daten zu ergreifen. Wenn die vertraglichen Pflichten (aus den Standardvertragsklauseln) nicht eingehalten werden können – ausdrücklich werden hier die Informationspflichten hinsichtlich Rechtsänderungen in dem Drittstaat genannt – dann müsse in Betracht gezogen werden, den Datentransfer zu stoppen, die Standardvertragsklauseln zu kündigen oder die zuständige Aufsichtsbehörde zu informieren.

In seinen FAQs stellt der EDSA dann noch einmal klar, dass es hinsichtlich der Reaktion auf das Urteil und somit für die Anpassung der Datentransfers in Drittstaaten keine „Gnadenfrist“ gebe und sich auf alle Übermittlungen in die USA beziehe. Des Weiteren ist interessant, dass der EDSA die im Urteil nicht erwähnten Binding Corporate Rules (BCRs) ebenfalls anspricht. Auch diese sollten nach Ansicht des EDSA – genauso wie die Standardvertragsklauseln – im Einzelfall daraufhin überprüft werden, ob sie einen hinreichenden Schutz bieten. Ist dies nicht der Fall, sollte hier genauso vorgegangen werden wie bei den Standardvertragsklauseln.

Presseerklärung der DSK

Die Presseerklärung der DSK stimmt mit den Äußerungen des EDSA im Wesentlichen überein. Die DSK stellt jedoch ausdrücklich fest, dass die bisher genutzten Standardvertragsklauseln bei einer Übermittlung in die USA ohne zusätzliche Maßnahmen grundsätzlich nicht ausreichend seien. Dies gelte auch für die weiteren Garantien nach Art. 46 DS-GVO – also auch für die Binding Corporate Rules. Eine Übermittlung nach Art. 49 DS-GVO sei hingegen weiterhin uneingeschränkt zulässig.

Schließlich weist die DSK noch einmal darauf hin, dass eine Schonfrist für laufende Übermittlungen in die USA nicht besteht. Sämtliche datenverarbeitende Akteure, die Übermittlungen in die USA vornehmen, sollten die datenschutzrechtliche Zulässigkeit ihrer Verarbeitungen also umgehend überprüfen.

Artikel-29-Datenschutzgruppe: Beurteilung internationaler Datenübermittlungen

4. Februar 2016

Nach einer am gestrigen Tag veröffentlichten Stellungnahme der Artikel-29-Datenschutzgruppe sind Übermittlungen personenbezogener Daten in die USA auf Grundlage von EU-Standardvertragsklauseln (Standard Contractual Clauses, SCC) oder Binding Corporate Rules (BCR)  bis zu einer weiteren Benachrichtigung – jedenfalls aber bis Ende April dieses Jahres – als zulässig anzusehen.

Die Artikel-29-Datenschutzgruppe hat die EU Kommission aufgerufen, alle Dokumente, die das neue EU-US Privacy Shield betreffen, bis Ende Februar vorzulegen. Nur dann sei man in der Lage, eine abschließende rechtliche Würdigung und verbindliche Entscheidung zum Umgang mit Datenübermittlungen in die USA – im Speziellen auf Grundlage von EU-Standardvertragsklauseln und Binding Corporate Rules – zu tätigen.

Praktische Konsequenzen:

1) Datenübermittlungen in die USA auf Basis von EU-Standardvertragsklauseln oder Binding Corporate Rules gelten noch immer als zulässig.
2) Jede Intervention von einzelnen Aufsichtsbehörden bezüglich einer Datenübermittlung in die USA ist nicht zu erwarten.
3) Beschwerden oder Rechtsstreitigkeiten wegen Datenübermittlungen in die USA auf Grundlage von EU-Standardvertragsklauseln oder Binding Corporate Rules sollten bis zu einer abschließenden Beurteilung der Artikel-29-Datenschutzgruppe zurückgestellt werden.
4) Die derzeit bestehende Rechtsunsicherheit im Hinblick auf die Zulässigkeit von Datenübermittlungen in die USA besteht fort. Die nächste Prüfung wird voraussichtlich März dieses Jahres erfolgen. Bis Ende April soll entschieden werden, wie der internationale Datenumgang insgesamt zu beurteilen ist – sei es im Hinblick auf das EU-US Privacy Shield, im Hinblick auf EU-Standardvertragsklauseln oder im Hinblick auf Binding Corporate Rules.

Wenn Sie regelmäßig über aktuelle Entwicklungen im Datenschutzrecht auf dem Laufenden gehalten werden möchten, abonnieren Sie einen unserer Newsletter:

  • Deutsches / Europäisches Datenschutzrecht: http://www.datenschutzticker.de/newsletter/ (deutsch)
  • Internationales Datenschutzrecht http://www.privacy-ticker.com/newsletter/ (englisch)

Bei Fragen, wie mit internen Policies zum Datenschutz umzugehen ist, wie Datenübermittlungen in Drittländer zu bewerten sind oder wie man sich schon jetzt als Unternehmen auf die Neuregelungen der EU-Datenschutzgrundverordnung vorbereitet, kontaktieren Sie uns jederzeit gern für eine individuelle Beratung!

BfDI: Binding Corporate Rules der Telekom genehmigt

26. Mai 2014

Die Deutsche Telekom AG hat nach Angaben der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) Voßhoff das Verfahren zur Anerkennung ihrer Konzernrichtlinie Datenschutz als unternehmensweite Datenschutzregelung (Binding Corporate Rules) erfolgreich abgeschlossen. Seitens der BfDI werde bestätigt, dass die Deutsche Telekom AG künftig nach Maßgabe ihrer Bindung Corporate Rules personenbezogene Daten ins Ausland übermitteln kann, ohne dafür im Einzelfall eine Genehmigung einholen zu müssen.

„Die Einführung von unternehmensweiten Datenschutzregelungen ist eine sinnvolle Maßnahme zur Sicherstellung und Verbesserung eines angemessenen Datenschutzniveaus bei internationalen Datentransfers. Daher begrüße ich es, wenn sich Unternehmen dazu entschließen, den Genehmigungsprozess zu durchlaufen; insbesondere wenn ihr Kerngeschäft darauf beruht, täglich in hohem Maße personenbezogene Daten zu verarbeiten. Ich hoffe, dass in Zukunft weitere Unternehmen dem Vorbild der Telekom folgen und ebenfalls die Vorzüge der Binding Corporate Rules nutzen.“, so Voßhoff.

Artikel 29 Gruppe veröffentlicht Leitlinien für Binding Corporate Rules für die datenverarbeitende Stelle

4. Juli 2012

Nachdem die Artikel 29 Datenschutzgruppe bereits im Jahr 2008 die Anforderungen an Binding Corporate Rules für die verantwortliche Stelle (Controller) dargelegt hat, soll ein neues Arbeitspapier der datenverarbeitenden Stelle (Processor) aufzeigen, welche Bedingungen für den rechtlich wirksamen Einsatz von Binding Corporate Rules zu erfüllen sind.

Zu diesem Zweck hat die Artikel 29 Gruppe einen Leitfaden ausgearbeitet. In dessen erstem Teil findet sich eine Liste, anhand derer man Punkt für Punkt prüfen kann, ob sämtliche Voraussetzungen für die Wirksamkeit von Binding Corporate Rules vorliegen. Hier wird einerseits dargestellt, welche Anforderungen an die Binding Corporate Rules selber zu stellen sind, andererseits wird darauf eingegangen, welche Erfordernisse bei dem Antrag zur Genehmigung  von Binding Corporate Rules zu beachten sind. Insgesamt ergibt sich so eine neunseitige Liste, die über 20 Einzelpunkte zu bedenken gibt. Dabei werden vielfach erläuternde Beispiele zur besseren Verständlichkeit genannt.

Im zweiten Teil des Leitfadens fordert die Artikel 29 Gruppe dazu auf, Binding Corporate Rules mit einem Service-Level-Agreement zu verbinden und führt aus, welche Verpflichtungen in Bezug auf Binding Corporate Rules in einem Service-Level-Agreement aufgenommen werden sollten.

EU: Reformpläne zu Binding Corporate Rules

5. Dezember 2011

Die EU-Kommissarin Viviane Reding hat sich im Rahmen einer Rede vor der International Association of Privacy Professionals dafür eingesetzt, dass die Bestimmungen für rechtlich verbindliche Selbstverpflichtungen von Unternehmen zum Datenschutz („Binding Corporate Rules“) in Europa verbessert werden. Das System solle dafür vereinfacht und insgesamt konsequent(er) umgesetzt werden. Dafür schlug sie – neben der Kürzung der Zeit und Kosten des Genehmigungs- verfahrens – u.a. vor, dass künftig nur noch eine Datenschutzbehörde als zentrale Anlaufstelle für die Selbstverpflichtungen zuständig sein soll, die dann EU-weit anerkannt würden. Das derzeitige Procedere führe dazu, dass auf Basis der EU-Datenschutzrichtlinie Selbstverpflichtungen von verschiedenen Behörden begutachtet werden, die wiederum unterschiedliche, z.T. auch widersprüchliche Methoden anwenden. Außerdem sei erforderlich, dass die rechtlichen Befugnisse der nationalen Behörden ausgebaut werden, da derzeit viele nicht in der Lage seien, Verstöße effektiv zu sanktionieren. Daneben forderte Reding eine Anpassung des Systems an Innovationen, z.B. neue Formen der Datenver- arbeitung wie etwa das Cloud Computing. (sa)