EuGH kippt Safe Harbor. RA Horst Speichert

Transkript

1 EuGH kippt Safe Harbor RA Horst Speichert 1

2 Horst Speichert e s b Rechtsanwälte Stuttgart Rechtsanwalt Lehrbeauftragter Universität Stuttgart horst@speichert.de Internet: Informationssicherheit Compliance-Audit IT-Verträge Betriebsvereinbarungen Datenschutz ext. Datenschutzbeauftragter EDV- und Internet-Recht Vorträge, Schulung, Seminare 2

3 Literaturhinweis Speichert, Horst Praxis des IT-Rechts - Praktische Rechtsfragen der IT-Sicherheit und Internetnutzung Vieweg Verlag, 2. Auflage KES-Reihe ISBN: ,90 3

4 Cloud-Computing und Globaler Datentransfer 4

5 Cloud - Rechtslage Auslandsdatenverarbeitung Auftrags-DV nach 11 BDSG, freier Datenverkehr innerhalb EU EU-Positivliste sicherer Drittstaaten USA: Safe Harbour Framework EU-Standardvertragsklauseln, unsichere Drittstaaten speziell im Konzern: Binding Corporate Rules, BCR 5

6 Globaler Datentransfer Deutschland EU EWR Sichere Drittländer USA Safe Harbor Unsichere Drittländer 6 6

7 weltweite Datenströme Zeitzonen Abdeckung USA D Int. Projekte F Entsendung AN Datenströme Norwegen CRM, SAP HR Schweiz IT-Services Australien Indien China 7

8 weltweite Datenströme Datentransfer ins Ausland aus Sicht des Auftraggebers zwei Voraussetzungen für eine rechtmäßige Datenübermittlung ins Ausland Artikel 25 der Datenschutzrichtlinie 95/46/EG, in Deutschland umgesetzt durch 4b, 4c BDSG zweistufige Prüfung: 1. Stufe: Erlaubnistatbestand 2. Stufe: angemessenes Datenschutzniveau 8

9 1. Stufe: Erlaubnistatbestand gesetzliche Ermächtigungsgrundlage Wahrnehmung berechtigter Interessen, 28 Abs. 1 Nr. 2 BDSG Beschäftigtendaten, 32 BDSG kein Konzernprivileg Einwilligung der Betroffenen Auftragsdatenverarbeitung, 11 BDSG, nur EU oder EWR (Konzern-) Betriebsvereinbarung 9

10 2. Stufe: angemessenes Datenschutzniveau angemessenes Datenschutzniveau beim Datenempfänger sichere Drittstaaten unsichere Drittstaaten 10

11 2. Stufe: angemessenes Datenschutzniveau sichere Drittstaaten Europäische Union (EU), Europäischer Wirtschaftsraum (EWR) Harmonisierung durch EU- Datenschutzrichtlinien automatisch ausreichendes Datenschutzniveau Liste der EU-Kommission für bestimmte Länder z.b. Schweiz, Argentinien, Uruguay, Israel, Kanada, Australien, Neuseeland generell ein angemessenes Datenschutzniveau 11

12 Auftrags-DV, 11 BDSG Datenverarbeitung im Auftrag gemäß 11 BDSG durch den externen Dienstleister, z.b. Callcenter Abgrenzung zur Funktionsübertragung wichtig, da nur mit Einwilligung des Betroffenen Auftraggeber bleibt Herr der Daten Callcenter: nur Kundenpflege, keine Gewinnung von Neukunden durch selbständige Marketingaktionen keine DV des Auftragnehmers zu eigenen Zwecken Wartungsarbeiten und vergleichbare Hilfstätigkeiten sind Auftrags-DV Auftragnehmer ist nicht Dritter, so dass keine Übermittlung 12

13 Auftrags-DV, 11 BDSG Zusatzvertrag, zwingende Schriftform Kontrollpflicht beim Dienstleister bei Beginn der Datenverarbeitung und sodann regelmäßig bezüglich technisch-organisatorischer Maßnahmen vor Ort? Problem bei Dienstleistern im Ausland Dokumentationspflicht des Ergebnisses keine Übergangsregelung, gilt auch für Altverträge ab bei Nichterfüllung Bußgeld bis ,-- Konsequenz: Anpassung der Altverträge Kundendaten bei Insolvenz des Dienstleisters, OLG Düsseldorf vom

14 Auftrags-DV, 11 BDSG Vertrag muss insbesondere Regelungen enthalten zu Gegenstand und Dauer des Auftrags Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, Art der Daten und Kreis der Betroffenen technisch-organisatorische Maßnahmen nach 9 BDSG Berichtigung, Löschung und Sperrung von Daten Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers mitzuteilende Verstöße gegen Datenschutzvorschriften Umfang der Weisungsbefugnisse des Auftraggebers Rückgabe Datenträger und Löschung der Daten 14

15 Globaler Datentransfer 15

16 2. Stufe: angemessenes Datenschutzniveau unsichere Drittstaaten: Datentransfer in die USA Vorgaben des Safe Harbor Frameworks Self-Certification: Verification durch Internal-Audit Datenschutzbehörden stoppen Datentransfer in die USA und setzten Safe-Harbor aus; Pressemitteilung , men236.c.9283.de aktuell: EuGH vom : Klage des österreichischen Datenschutz-Aktivisten Schrems gegen Facebook (Az. C- 362/14) zur Vereinbarkeit von Safe Harbor mit der Grundrechte-Charta. Safe Harbor unzulässig, weil in den USA der Datenschutz nicht ausreichend ist, personenbezogenen Daten nicht ausreichend vor dem Zugriff von US-Behörden geschützt. 16

17 2. Stufe: angemessenes Datenschutzniveau Herausgabe von Daten aus EU-Cloud US-District Court, Bundesrichter James Francis, NEW YORK vom Volltext der Entscheidung: Medienbericht: bestätigt von US-Bundesgericht vom Berufung möglich und eingelegt Microsoft muss s und sonstige Daten (Kreditkarten-Nr., Bankdaten) seiner Kunden an US-Behörden herauszugeben, auch wenn die Daten im US-Ausland (z.b. Europa) gespeichert sind. US-Provider darf die Herausgabe nicht verweigern, nur weil die Daten in Europa gespeichert oder EU-Bürger sind. 17

18 NSA-Affäre - Datenspionage 18

19 Internet-Routing, Peering 19

20 NSA-Skandal, PRISM 20

21 21

22 2. Stufe: angemessenes Datenschutzniveau unsichere Drittstaaten - Rest der Welt aktuelle Ersatzlösung für Safe Harbor Einbeziehung der EU-Standardvertragsklauseln Einführung von konzernweiten Verbindlichen Unternehmensrichtlinien - Binding Corporate Rules, BCR 22

23 2. Stufe: angemessenes Datenschutzniveau unsichere Drittstaaten - Rest der Welt Einbeziehung der EU-Standardvertragsklauseln 23

24 im Konzern Binding Corporate Rules, BCR multilateral, weltweite Geltung im Konzern mittlerweile auch von Behördenseite empfohlen Mutual Recognition Abstimmungsverfahren, gegenseitige Anerkennung der Entscheidungen der Datenschutzbehörden, so dass nur ein Genehmigungsverfahren Lead Authority federführende Datenschutzbehörde, zumeist am Sitz der Hauptverwaltung Working Papers detaillierte Vorgaben der Art. 29-Gruppe der EU notwendige Transparenz für Inhalte und Genehmigungsverfahren das neue WP

25 2. Stufe: angemessenes Datenschutzniveau möglicher Safe-Harbor-Nachfolger: Privacy Shield kein Vertragscharakter, keine gesetzliche Verankerung in USA, keine Zusicherung von US-Behörden ungeklärt, welche US-Behörden auf personenbezogene Daten aus Europa Zugriff haben Zusicherung des US-Geheimdienstkoordinators Ombudsmann für Rechte der EU-Bürger auf individuelle Einsichtnahme und Beschwerdemöglichkeit 25

26 Strategie o weltweite Standorte (weltweite Cloud), Follow-the-sun, künftig noch möglich? o Standort Europa? Standort Deutschland? o ausschließlich Eigensicherung zielführend? Inhouse-Lösungen o Server Housing vs. Server Hosting, Recht an den Daten und Recht am Datenträger o Safe Harbor - EU-Standardvertragsklauseln - konzernweite Datenschutzrichtlinien, Binding Corporate Rules (BCR) o technische Schutzmaßnahmen: Verschlüsselung, TOR-Netzwerk o kombinierte Dienste Daten-Hosting und Verschlüsselungs-Lösungen von verschiedenen Anbietern o Wie das Sicherheitskonzept beim Cloud-Anbieter prüfen? - Orientierungshilfe Cloud Computing der Aufsichtsbehörden, Stand , Version 2.0 o Zertifizierung: Standards für IT-Dienstleister und RZ 26

27 Horst Speichert e s b Rechtsanwälte Stuttgart Rechtsanwalt Lehrbeauftragter Universität Stuttgart horst@speichert.de Internet: Informationssicherheit Compliance-Audit IT-Verträge Betriebsvereinbarungen Datenschutz ext. Datenschutzbeauftragter EDV- und Internet-Recht Vorträge, Schulung, Seminare 27