Grenzüberschreitender Datentransfer rechtliche Herausforderungen

Transkript

1 Grenzüberschreitender Datentransfer rechtliche Herausforderungen Hamburg, DFN-Konferenz DFN-CERT Referent: Dr. Jens Eckhardt Rechtsanwalt und Fachanwalt für IT-Recht 1

2 1 Überblick internationaler Datentransfer 2 Datentransfer in Drittstaaten 3 EuGH-Entscheidung vom Alternativen zu Safe Harbor 2

3 Überblick über 4b, 4c BDSG Grundsätzliche Differenzierung innerhalb EU/EWR und an Organe und Einrichtungen der EG 4 Abs. 1 BDSG: Übertragung an einen Dritten Einwilligung oder gesetzliche Zulässigkeit oder ADV Datenübermittlung nach den allgemeinen Regeln ohne zusätzliche Hürde ( 4b Abs. 1 BDSG) andere Staaten (sog. Drittstaaten) 4 Abs. 1 BDSG: Übertragung an einen Dritten keine Privilegierungswirkung der ADV ( 3 Abs. 8 BDSG) Datenübermittlung nur unter den zusätzlichen Anforderungen der 4b, 4c BDSG 3

4 Überblick über 4b, 4c BDSG Was ist die sog. Privilegierungswirkung der ADV? Dritte sind nicht der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen. ( 3 Abs. 8 S. 2 BDSG) Auftragsdatenverarbeitung Dritter ( 3 Abs. 8 BDSG) Übertragung der Daten Übermittlung ( 3 Abs. 4 S. 2 Nr. 3) Folgeprobleme Vorrang der 11 ff. TMG und der 91 ff. TKG sog. bes. personenbez. Daten: enge Grenzen Vorrang des 32 BDSG (Beschäftigte) str.: Europarechtswidrigkeit und damit Unwirksamkeit der Beschränkung auf EU/EWR 4

5 Überblick über 4b, 4c BDSG Datenübermittlung in Drittstaaten: Zweistufigkeit der Prüfung 1. Übermittlung in Drittstaat: 4b, 4c BDSG Anforderungen der 4b, 4c BDSG Auswirkung der EuGH-Entscheidung vom OH Cloud Computing : Ergänzung entspr. 11 Abs Übermittlung: 4 Abs. 1 BDSG - bspw. 28 BDSG Einwilligung gesetzliche Zulässigkeitsregelung EuGH-Entscheidung vom : Auswirkungen auch auf Interessenabwägung? keine(!) Privilegierungswirkung einer ADV aber positive Auswirkung auf Interessenabwägung 5

6 1 Überblick internationaler Datentransfer 2 Datentransfer in Drittstaaten 3 EuGH-Entscheidung vom Alternativen zu Safe Harbor 6

7 Datentransfer in Drittstaaten ( 4b, 4c BDSG) Grenzüberschreitung Sitz des Providers <-> Standort der Server? Übermittlung in Drittstaaten: Unterscheidung in Bezug auf angemessenes Datenschutzniveau bei Empfänger ( 4b Abs. 2 und 3 BDSG) Zulässigkeit trotz unangemessenem Datenschutzniveau ( 4c Abs. 2 BDSG) bis : Sonderfall: sog. Safe Harbor-Principles Zulässigkeit aufgrund Genehmigung durch die Aufsichtsbehörde ( 4c Abs. 2 BDSG) EU-Standardvertragsklauseln 7

8 Datentransfer in Drittstaaten ( 4b, 4c BDSG) Datenübermittlung in Drittstaaten ( 4b Abs. 2 BDSG) keine Übermittlung bei entgegenstehendem schutzwürdigen Interesse des Betroffenen ( 4b Abs. 2 BDSG) insbesondere: unangemessenem Datenschutzniveau bei empfangender Stelle 4b Abs. 3 BDSG: Bestimmung des Datenschutzniveaus Berücksichtigung aller bedeutenden Umstände insbes.: Art der Daten, Zweckbestimmung, Dauer der Verarbeitung, Herkunfts- und Empfängerland, für den Empfänger geltende Rechtsnormen und Standesregeln, Sicherheitsmaßnahmen Feststellung der Angemessenheit durch EU-Kommission für einzelne Staaten (z. B. Schweiz, USA- Safe Harbor (hierzu s.u.)) 8

9 Datentransfer in Drittstaaten ( 4b, 4c BDSG) Sonderfall: Safe Harbor : Datenübermittlungen in die USA teilnehmende Unternehmen bieten angemessenes Schutzniveau Kontrolle durch verschiedene Behörden (z.b. FTC) nicht anwendbar auf Finanzinstitutionen Inhalt Unterwerfung durch US-Unternehmen Informationspflicht und Wahlmöglichkeit (opt out) Weitergabe / Sicherheit und Datenintegrität Auskunftsrecht und Durchsetzung Onward Transfer Principles Kritik und zusätzliche Forderung des Düsseldorfer Kreises Beschluss vom 28./ EuGH am : ungültig 9

10 Datentransfer in Drittstaaten ( 4b, 4c BDSG) Ausnahmen vom Übermittlungsverbot trotz unangemessenem Datenschutzniveau ( 4 c Abs. 1 BDSG): Einwilligung des Betroffenen erforderlich für Vertrag oder vorvertragliche Maßnahmen zwischen Betroffenem und übermittelnder Stelle erforderlich für Vertrag zwischen verantwortlicher Stelle und Drittem im Interesse des Betroffenen zur Wahrung eines wichtigen öffentlichen Interesses Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht Wahrung lebenswichtiger Interessen des Betroffenen Übermittlung aus Register zur Information der Öffentlichkeit, das der gesamten Öffentlichkeit oder Personen mit berechtigtem Interesse offen steht und die gesetzlichen Voraussetzungen vorliegen 10

11 Datentransfer in Drittstaaten ( 4b, 4c BDSG) Genehmigung durch Aufsichtsbehörde bei ausreichenden Garantien für den Schutz der Persönlichkeitsrechte und Ausübung der damit verbundenen Rechte Garantien insbesondere durch: Vertragsklauseln Verbindliche Unternehmensregeln (Binding Corporate Rules, (BCR)) 11

12 Datentransfer in Drittstaaten ( 4b, 4c BDSG) Sonderfall: EU-Standardvertragsklausel = genehmigter Vertrag i. S. v. 4c Abs. 2 BDSG Grund: Einschränkung des Ermessens der Aufsichtsbehörden aufgrund der Entscheidung der EU-Kommission Voraussetzung: unveränderte Verwendung; anderenfalls genehmigungspflichtig zusätzlich: Regelungen nach 11 Abs. 2 BDSG bei EU- Standardvertrag zur ADV (vgl. Düsseldorfer Kreis, Orientierungshilfe Cloud Computing, Version 2.0) (bisherige) Praxis: Widerstand bei Einbeziehung in Vertragsbeziehung 12

13 Datentransfer in Drittstaaten ( 4b, 4c BDSG) Innereuropäischer Dienstleister mit Subunternehmer in Drittstaat Problemstellung Privilegierungswirkung der ADV für Dienstleister, aber nicht für Subunternehmer keine Anwendung des EU-Standardvertrag innerhalb der EU/des EWR Lösung EU-Standardvertrag zwischen Auftraggeber und Subunternehmer in Drittstaat ( Direktvertrag ) Bevollmächtigung des Dienstleisters zum Abschluss des EU- Standardvertrags mit Subunternehmer Genehmigungspflichtiger Ad-hoc-Vertrag 13

14 1 Überblick internationaler Datentransfer 2 Datentransfer in Drittstaaten 3 EuGH-Entscheidung vom Alternativen zu Safe Harbor 14

15 Entscheidung des EuGH vom zu Safe Harbor Hintergrund der Entscheidung Nutzer von Facebook Zulässigkeit der Übermittlung von Daten durch Facebook Ireland in die USA auf der Grundlage der Safe Harbor Principles Irische Datenschutzaufsichtsbehörde: Bindung an Safe-Harbor- Entscheidung der EU-Kommission Irischer High Court: Vorlage an EuGH: Bindungswirkung? Safe Harbor Vorlage-Frage?! Entscheidung des EuGH vom Rechtssache C 362/14 Prüfungskompetenz der nationalen Aufsichtsbehörden aber: Verwerfungsmonopol des EuGH Ungültigkeit der Entscheidung der EU-Kommission 2000/520/EG vom ( Safe-Harbor ) 15

16 Entscheidung des EuGH vom zu Safe Harbor EuGH: Prüfungskompetenz der nationalen Aufsichtsbehörden zur Wahrung des (Daten-)Schutzes des Betroffenen kein Ausschluss der Prüfung durch EU-Komm-Entscheidung (Rn. 54) unabhängige Prüfung durch nationale Aufsichtsbehörden (Rn. 57) keine Befugnis der EU-Kom durch Kom-Entscheidung die nationale Prüfungskompetenz zu beschränken (Rn. 103) Anruf der nationalen Gerichte durch Aufsichtsbehörden (Rn. 65) 16

17 Entscheidung des EuGH vom zu Safe Harbor EuGH: Verwerfungsmonopol des EuGH in Bezug auf Entscheidungen der EU-Kommission Rollenverteilung Solange die Entscheidung der Kommission vom Gerichtshof nicht für ungültig erklärt wurde, können die Mitgliedstaaten und ihre Organe, zu denen ihre unabhängigen Kontrollstellen gehören, somit zwar keine dieser Entscheidung zuwiderlaufenden Maßnahmen treffen, wie etwa Rechtsakte, mit denen verbindlich festgestellt wird, dass das Drittland, auf das sich die Entscheidung bezieht, kein angemessenes Schutzniveau gewährleistet. (Rn. 52 Hervorhebung nur hier) Verwerfungsmonopol des EuGH [ ] allein der Gerichtshof befugt, die Ungültigkeit eines Unionsrechtsakts wie einer nach Art. 25 Abs. 6 der Richtlinie 95/46 ergangenen Entscheidung der Kommission festzustellen, [ ]. (Rn. 61) (Grund: Rechtssicherheit) Die nationalen Gerichte sind [ ] nicht befugt, selbst die Ungültigkeit eines solchen Rechtsakts festzustellen ([ ]). Erst recht sind die nationalen Kontrollstellen [ ] nicht befugt, selbst die Ungültigkeit einer solchen Entscheidung festzustellen. (Rn. 62 Hervorhebung nur hier) 17

18 Entscheidung des EuGH vom zu Safe Harbor EuGH: Ungültigkeit der Entscheidung der EU-Kommission 2000/520/EG vom ( Safe-Harbor ) Leitlinien für Mindestanforderungen zur Bestimmung der Angemessenheit in Schlagworten Begrenzung des Zugriffs staatlicher Instanzen auf Notwendiges (Rn. 92 ff.) kein automatisierter Voll-/Massenzugriff (Rn. 91, 93 f.) Transparenz für Betroffene Rechtsbehelfe für Betroffene (Rn. 89, 95) Beurteilung der Situation zu Safe Harbor der EU-Kommission (Mitteilung COM (2013) 846) nicht ausreichende Prüfung der Angemessenheit des Schutzniveaus durch EU-Kommission als Voraussetzung der Angemessenheitsentscheidung 18

19 Entscheidung des EuGH vom zu Safe Harbor EuGH: Ungültigkeit der Entscheidung der EU-Kommission 2000/520/EG vom ( Safe-Harbor ) Ergebnis der Bewertung durch EuGH Die Kommission hat jedoch in der Entscheidung 2000/520 nicht festgestellt, dass die Vereinigten Staaten von Amerika aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein angemessenes Schutzniveau gewährleisten. (Rn. 97) Daher ist, ohne dass es einer Prüfung des Inhalts der Grundsätze des sicheren Hafens bedarf, der Schluss zu ziehen, dass Art. 1 der Entscheidung 2000/520 gegen die in Art. 25 Abs. 6 der Richtlinie 95/46 im Licht der Charta festgelegten Anforderungen verstößt und aus diesem Grund ungültig ist. (Rn. 98) Safe Harbor ist keine Rechtsgrundlage mehr (ex nunc) keine Prüfung der Rechtslage in den USA durch EuGH 19

20 Konsequenzen der Entscheidung des EuGH zu Safe Harbor Unmittelbare Konsequenzen Safe Harbor Rechtsgrundlage im Sinne der 4b, 4c BDSG keine Ungültigkeit der sonstigen Kommissions-Entscheidung, insbesondere EU-Standardverträge nationale Datenschutzaufsichtsbehörden Prüfungskompetenz, aber keine Verwerfungskompetenz Berechtigung zur Untersagung im Einzelfall? Mittelbare Konsequenzen nationales Aussetzen von EU-Standardverträgen und Nicht- Erteilung von BCR-Genehmigungen? Verneinung der Interessenabwägung nach 28, 32 BDSG? Leitlinien zur Bestimm. eines angemessenen Datenschutzniveaus Ausbau der Entscheidungskompetenz des EuGH? Auswirkungen der Kritik auf andere Aspekte (bspw. VDS)? 20

21 1 Überblick internationaler Datentransfer 2 Datentransfer in Drittstaaten 3 EuGH-Entscheidung vom Alternativen zu Safe Harbor 21

22 Alternativen zu Safe Harbor Alternativen zu Safe Harbor kein Datentransfer in die USA Binding Corporate Rules Einwilligung der Betroffenen in Datenübermittlung EU-Standardverträge Statement of the Article 29 Working Party vom Ziel: gemeinsame EU-weite Position such surveillance is incompatible with the EU legal framework and that existing transfer tools are not the solution to this issue. Auswirkungen auch über USA hinaus Aufforderung an EU und EU-Mitgliedstaaten zur Abstimmung technischer und rechtlicher Lösungen EU-Standardverträge und BCR = Rechtsgrundlage Lösung bis Ende Januar 2016; danach koordiniertes Vorgehen 22

23 Standpunkte der Aufsichtsbehörden zu den Alternativen Positionspapier der Datenschutzkonferenz der Datenschutzbeauftragten des Bundes und der Länder vom (Auszüge) Safe Harbor Rechtsgrundlage Im Lichte des Urteils des EuGH ist auch die Zulässigkeit der Datentransfers in die USA auf der Grundlage der anderen hierfür eingesetzten Instrumente, etwa Standardvertragsklauseln oder verbindliche Unternehmensregelungen (BCR), in Frage gestellt. Soweit Datenschutzbehörden Kenntnis über ausschließlich auf Safe-Harbor gestützte Datenübermittlungen in die USA erlangen, werden sie diese untersagen. (Hervorhebung nur hier) Prüfung bei EU-Standardverträgen keine Genehmigung von BCR 23

24 Standpunkte der Aufsichtsbehörden zu den Alternativen Positionspapier der Datenschutzkonferenz der Datenschutzbeauftragten des Bundes und der Länder vom (Auszüge) Unternehmen sind daher aufgerufen, unverzüglich ihre Verfahren zum Datentransfer datenschutzgerecht zu gestalten. Unternehmen, die Daten in die USA oder andere Drittländer exportieren wollen, sollten sich dabei auch an der Entschließung der DSK vom Gewährleistung der Menschenrechte bei der elektronischen Kommunikation und an der Orientierungshilfe "Cloud Computing" vom orientieren. (Hervorhebung nur hier) Eine Einwilligung zum Transfer personenbezogener Daten kann unter engen Bedingungen eine tragfähige Grundlage sein. Grundsätzlich darf der Datentransfer jedoch nicht wiederholt, massenhaft oder routinemäßig erfolgen. (Hervorhebung nur hier) 24

25 Diskussion und Fragen Vielen Dank für Ihre Aufmerksamkeit! Dr. Jens Eckhardt Rechtsanwalt und Fachanwalt für IT-Recht JUCONOMY Rechtsanwälte Graf-Recke-Straße Düsseldorf 0211 / / eckhardt@juconomy.de Newsletter unter: 25