Cloud und Datensicherheit ein Widerspruch?

Transkript

1 Cloud und Datensicherheit ein Widerspruch? Wie sicher sind Cloud-Anbieter und welche rechtlichen Anforderungen müssen bei der Nutzung von Cloud-Diensten beachtet werden? Referent: RA Christian Solmecke, LL.M.

2 1. Einführung Cloud und Datensicherheit ein Widerspruch? 2. Rechtssichere Vertragsgestaltung Was ist zu beachten? Insbesondere: Vertragsgegenstand Service Level Agreement Vergütung Haftung 3. Datenschutz in der Cloud

3 Einführung Vorteile des Cloud Computing deutliche Einsparung von Kapazitäten je nach Unternehmensgröße: Outsourcing von Server-Räumen und damit verbundenen IT-Zentralen Wartung der Hardware und regelmäßiges Überprüfen und Updaten der Software entfallen Bereitstellung und Abrechnung erfolgen häufig bedarfsabhängig (bloß laufende Kosten) Zugriff von überall möglich Zugriff durch Mitarbeiter, aber auch Freigabe der Daten für Dritte möglich

4 Einführung Nachteile des Cloud Computing Gefahr für die Datensicherheit Clouds als attraktive Hackerziele Datenlecks sind keine Seltenheit teilweise problematische AGB der Cloud-Dienste: z.b. Zugriff auf Inhalte der Cloud durch den Provider Rechtliche Probleme bei Übermittlung ins Nicht-EU- Ausland

5 Einführung Nachteile des Cloud Computing Beispiele aus Cloud-Service AGB: Apple icloud (Ziff. C, E) "Apple behält sich jedoch das Recht vor, jederzeit zu prüfen, ob Inhalte angemessen sind und mit dieser Vereinbarung übereinstimmen, und Apple ist berechtigt, Inhalte jederzeit ohne vorherige Ankündigung nach eigenem Ermessen herauszufiltern, zu verschieben, abzulehnen, zu modifizieren und/oder zu entfernen, wenn diese Inhalte diese Vereinbarung verletzen oder in sonstiger Weise anstößig sind. "Sie erklären sich damit einverstanden, dass Apple, ohne Ihnen gegenüber zu haften, auf Ihre Accountinformationen und Ihre Inhalte zugreifen, diese nutzen, aufbewahren und/oder an Strafverfolgungsbehörden, andere Behörden und/oder sonstige Dritten weitergeben darf, wenn Apple der Meinung ist, dass dies vernünftigerweise erforderlich oder angemessen ist, wenn dies gesetzlich vorgeschrieben ist oder wenn Apple einen hinreichenden Grund zu der Annahme hat, dass ein solcher Zugriff, eine solche Nutzung, Offenlegung oder Aufbewahrung angemessenerweise notwendig ist ( )"

6 Einführung Nachteile des Cloud Computing Beispiele aus Cloud-Service AGB: Dropbox-AGB Recht und Ordnung Wir können Ihre Daten auch für Dritte freigeben, wenn eine Freigabe nach unserem Ermessen sinnvoll und notwendig scheint, um (a) dem Gesetz Folge zu leisten, (b) einen Menschen vor dem Tod oder schwerer körperlicher Verletzung zu schützen, (c) Dropbox oder unsere Nutzer vor Betrug oder Missbrauch zu schützen oder (d) die Eigentumsrechte von Dropbox zu schützen.

7 Einführung Überblick über die rechtlichen Probleme Verfügbarkeit des Dienstes Haftung für Datenverlust Sicherheitslücken Verfügbarkeitslücken Geheimhaltungspflichten Datentransfer ins Nicht-EU-Ausland Urheber- und patentrechtliche Nutzungsrechte Beteiligung des Betriebsrates

8 Cloud und Datensicherheit ein Widerspruch? 1. Einführung 2. Rechtssichere Vertragsgestaltung Was ist zu beachten? Insbesondere: Vertragsgegenstand Service Level Agreement Vergütung Haftung 3. Datenschutz in der Cloud

9 Anwendbares Recht Rechtssichere Vertragsgestaltung Was ist zu beachten? Anwendbares Recht abhängig vom Sitz des Cloud-Anbieters Evtl. deutliche datenschutzrechtliche Unterschiede Evtl. Zugriff durch Behörden erlaubt Cloud-Anbieter sitzt in der EU/EWR: vertragliche Vereinbarung über das anwendbare Recht möglich; wenn keine Vereinbarung vorliegt, gilt das Recht am Sitz des Anbieters (Art. 4 ROM-I-VO) Cloud-Anbieter sitzt außerhalb der EU/EWR: oft Vereinbarung zugunsten des Rechts am Sitz des Anbieters

10 Anwendbares Recht Rechtssichere Vertragsgestaltung Was ist zu beachten? Welche Folgen hat die Anwendbarkeit ausländischen Rechts? auf den Vertrag ist ausländisches Recht anzuwenden Datenschutzgesetze für die Übermittlung personenbezogener Daten ins Ausland gelten trotzdem also: Deutsches Datenschutzrecht bleibt auch dann gültig, wenn der Cloud- Anbieter im Ausland sitzt

11 Vertragstyp Rechtssichere Vertragsgestaltung Was ist zu beachten? Gesetz kennt keinen Vertragstyp für Cloud Computing, bislang existieren auch keine gerichtlichen Entscheidungen daher: Orientierung an Vertragstypen des BGB Mietvertrag? Werkvertrag? Dienstvertrag? Entscheidung des BGH zu Application-Service-Providing-Vertrag (ASP-Vertrag): mietvertragliche Regelungen anwendbar ASP = Bereitstellung von Software zur Nutzung über das Internet oder über andere Netze anzunehmen, dass Gerichte auf Cloud-Computing-Verträge als Mietverträge einordnen werden

12 Rechtssichere Vertragsgestaltung Was ist zu beachten? Vertragstyp warum ist die Einordnung wichtig? gesetzliche Regelungen füllen Lücken bei der Auslegung der Verträge gesetzliche Regelungen entscheiden über die Art der Mängelgewährleistungsrechte

13 Vertragsgegenstand Rechtssichere Vertragsgestaltung Was ist zu beachten? Art, Umfang und Güte der geschuldeten Leistung sollte genau festgelegt werden üblicherweise in sog. Service Level Agreements geregelt Kernregelung in Service Level Agreements: Verfügbarkeit der Leistung gesetzlicher Grundsatz bei der Miete: 100 % Verfügbarkeit

14 Vertragsgegenstand Rechtssichere Vertragsgestaltung Was ist zu beachten? Verfügbarkeit der Leistung wird in der Regel mit bestimmtem Prozentsatz bezogen auf eine Zeitgröße angegeben (z.b. 99,5 % im Monat, 98 % im Jahr) AGB enthalten meist auch Regelungen dazu, welche Fälle nicht als Ausfall gelten z.b. bestimmte Wartungsfenster Wartungsfenster müssen aber klar definiert werden

15 Vertragsgegenstand Rechtssichere Vertragsgestaltung Was ist zu beachten? Regelungen zu Entstörzeiten = Zeitraum, in dem Störungen durch den Anbieter zu beheben sind verschiedene Regelungen möglich jede Störung ist innerhalb eines fest definierten Zeitfensters zu beheben (sog. Time to Repair) es wird eine durchschnittliche Entstörzeit für alle Störungen innerhalb eines bestimmten Zeitraums vereinbart (sog. Mean Time to Repair) es wird nur eine Reaktion des Anbieters auf eine Störungsmeldung innerhalb eines bestimmten Zeitraums geschuldet, nicht eine Entstörung Anbieter ist grundsätzlich nur für Störungen in seinem Verantwortungsbereich verantwortlich

16 Rechtssichere Vertragsgestaltung Was ist zu beachten? Rechtsfolgen bei Schlechtleistung z.b. Verfügbarkeitsausfälle außerhalb der Toleranzbereiche Ausfall der Leistung Minderung der Vergütung; tritt aufgrund von Gesetz ein, muss nicht erklärt werden (mietvertragliche Grundsätze anwendbar) üblicherweise werden pauschale Minderungsbeträge vereinbart (sog. Service Credits) wichtig: pauschale Minderungsbeträge können auch ohne Verschulden des Anbieters geltend gemacht werden unterscheide dazu: Vertragsstrafe/pauschaler Schadensersatz setzen Verschulden des Anbieters voraus

17 Rechtssichere Vertragsgestaltung Was ist zu beachten? Haftung Cloud-Anbieter versuchen fast immer, durch AGB ihre Haftung zu begrenzen Aber: Haftungsbeschränkungen in AGB können nach den 307 ff. BGB unwirksam sein Unwirksam ist: Haftungsausschluss für Vorsatz oder grobe Fahrlässigkeit Haftungsbeschränkung für die Verletzung von Leben, Körper oder Gesundheit Haftungsausschluss für die Verletzung von Kardinalpflichten = wesentliche Vertragspflichten; z.b. Verfügbarkeit des Services; sorgsamer Umgang mit den gespeicherten Daten

18 Rechtssichere Vertragsgestaltung Was ist zu beachten? Haftung Unwirksam: Haftungsausschluss für Gewinnausfall Haftungsausschluss für Kosten der Datenrekonstruktion Beachte: individuell vereinbarte Haftungsklauseln sind in aller Regel wirksam, da AGB Recht keine Anwendung findet (in der Praxis aber selten)

19 Rechtssichere Vertragsgestaltung Was ist zu beachten? Wichtig: Enthält der Vertrag Regelungen zu Sicherungspflichten des Nutzers? z.b. Anfertigung von Sicherungskopien oder Antivirenprogrammen Verstoß gg. Pflicht: Ausschluss oder Minderung des Schadensersatzanspruchs Grund: dem Cloud-Nutzer kann Mitverschulden vorgeworfen werden ( 254 BGB)

20 Subunternehmer Rechtssichere Vertragsgestaltung Was ist zu beachten? Wichtige Regelungen: Darf der Cloud-Anbieter Subunternehmer beauftragen und wenn ja, in welchem Umfang? Muss der Kunde der Einschaltung eines Subunternehmers vorab zustimmen?

21 Rechtssichere Vertragsgestaltung Was ist zu beachten? Vergütung marktüblich: Kombination aus festen Vergütungsbestandteilen mit leistungsabhängigen Komponenten Problem: Preisanpassungsklauseln Unterliegen einer strengen rechtlichen Kontrolle Preisklauselgesetz (PrKlG) verbietet automatische Preisanpassung, wenn Bezugsgröße nichts mit der betroffenen Leistung zu tun hat (Beispiel: Preis der Cloud-Leistung richtet sich nach einem Währungskurs) AGB-Kontrolle: Klauseln, die eine Preiserhöhung erlauben, dürfen den Kunden nicht unangemessen benachteiligen

22 Rechtssichere Vertragsgestaltung Was ist zu beachten? Beteiligung des Betriebsrates Unterrichtungs- und Beratungspflicht: Arbeitgeber ist verpflichtet, die Auswirkungen der Cloud-Nutzung auf die Arbeitnehmer frühzeitig mit dem Betriebsrat zu beraten Informationspflicht Mitbestimmungsrecht: Betriebsrat darf bei der Einführung technischer Einrichtungen mitbestimmen, die dazu geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen ( 87 I Nr. 6 BetrVG)

23 Rechtssichere Vertragsgestaltung Was ist zu beachten? Beteiligung des Betriebsrates Leistungs- und Verhaltenskontrolle der Arbeitnehmer i.d.r. möglich Cloud-Dienste erstellen meist sog. Log-Files Arbeitgeber kann z.b. feststellen wer wie lange an einem Dokument gearbeitet hat daher: Mitbestimmungsrecht Abschluss eines Betriebsvereinbarung bietet sich an

24 Cloud und Datensicherheit ein Widerspruch? 1. Einführung 2. Rechtssichere Vertragsgestaltung Was ist zu beachten? Insbesondere: 3. Datenschutz in der Cloud Schutz personenbezogener Daten Übermittlung an Europäische Cloud-Anbieter Übermittlung an Cloud-Anbieter in Drittländern insbesondere USA und Safe-Harbor-Urteil des EuGH

25 Datenschutz in der Cloud Schutz personenbezogener Daten Wann greift Datenschutzrecht überhaupt ein? nur bei personenbezogenen Daten Definition: Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). (Vgl. 3 Abs. 1 BDSG)

26 Datenschutz in der Cloud Schutz personenbezogener Daten Beispiele: Personaldaten Kundendaten Nutzerdaten Unternehmensdaten mit Personenbezug usw.

27 Datenschutz in der Cloud Schutz personenbezogener Daten Grundprinzip des Datenschutzrechts ( 4 Abs. 1 BDSG): Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Cloud-Nutzung = Verarbeitung Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten.

28 Datenschutz in der Cloud Übermittlung an Europäische Cloud-Anbieter unterschiedliche rechtliche Beurteilung, je nachdem wo der Cloud-Anbieter sitzt Cloud-Anbieter in EU-/EWR-Land: Übermittlung und Speicherung der Daten an Cloud-Anbieter kann durch Vorschriften über Auftragsdatenverarbeitung ( 11 BDSG) gerechtfertigt werden (vgl. neue Microsoft Cloud in Kooperation mit der Telekom)

29 Datenschutz in der Cloud Übermittlung an Europäische Cloud-Anbieter Prinzip der Auftragsverarbeitung: Auftraggeber lagert bestimmte Datenverarbeitungen aus ( Outsourcing ) Auftragnehmer (= Cloud-Anbieter) ist dabei von dem Auftraggeber weisungsabhängig; er agiert sozusagen als verlängerter Arm des Auftraggebers Auftraggeber bleibt datenschutzrechtlich verantwortlich (sog. verantwortliche Stelle ) Grund: durch Outsourcing soll Verantwortung nicht auf Auftragnehmer verlagert werden können

30 Datenschutz in der Cloud Übermittlung an Europäische Cloud-Anbieter Auftragsdatenverarbeitung nur unter bestimmten rechtlichen Voraussetzungen zulässig in der Praxis teilweise nur schwer einzuhalten Anforderungen: Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. ( 11 Abs. 2 S. 1 BDSG) Problem: Cloud-Nutzer hat keinen Einblick in interne Betriebsabläufe des Cloud-Anbieters; muss sich gewissermaßen auf Außendarstellung und Werbeaussagen verlassen

31 Datenschutz in der Cloud Übermittlung an Europäische Cloud-Anbieter Anforderungen an Auftragsdatenverarbeitung: Auftraggeber muss Art und Umfang der Datenverarbeitung sowie Ort und Zeit kennen nach derzeitigem Stand nicht möglich Vertrag über Auftragsdatenverarbeitung muss mindestens folgenden Inhalt haben: Gegenstand und Dauer des Auftrags, Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, zu treffende technische und organisatorischen Maßnahmen, die Berichtigung, Löschung und Sperrung von Daten,

32 Datenschutz in der Cloud Übermittlung an Europäische Cloud-Anbieter die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

33 Datenschutz in der Cloud Übermittlung an Europäische Cloud-Anbieter Alternative: Verschlüsselung der Daten dann: kein Personenbezug für Cloud-Anbieter herstellbar; BDSG findet keine Anwendung Daten müssten bereits vor Übertragung in Cloud verschlüsselt werden Schlüssel darf dem Cloud-Anbieter nicht bekannt sein

34 Datenschutz in der Cloud Übermittlung in Drittländer Problem: Auftragsdatenverarbeitung nach 11 BDSG in diesen Fällen nicht möglich Grund: Staaten außerhalb des EU-/EWR-Raumes gelten oft als unsichere Drittstaaten ; keine Privilegierung der Übertragung Übermittlung nur zulässig, wenn Drittstaat ein angemessenes Datenschutzniveau hat

35 Datenschutz in der Cloud Übermittlung in Drittländer Rechtliche Grundlage im deutschen Recht: 4b BDSG (2) 1 Für die Übermittlung personenbezogener Daten an Stellen nach Absatz 1, die nicht im Rahmen von Tätigkeiten erfolgt, die ganz oder teilweise in den Anwendungsbereich des Rechts der Europäischen Gemeinschaften fallen, sowie an sonstige ausländische oder über- oder zwischenstaatliche Stellen gilt Absatz 1 entsprechend. 2 Die Übermittlung unterbleibt, soweit der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat, insbesondere wenn bei den in Satz 1 genannten Stellen ein angemessenes Datenschutzniveau nicht gewährleistet ist.

36 Datenschutz in der Cloud Übermittlung in Drittländer Was bedeutet nun angemessenes Datenschutzniveau? gleichwertig mit EU-Recht, rechtlich bindend, Datensicherheit muss gewährleistet sein Staaten für die ein angemessenes Datenschutzniveau festgestellt wurde: z.b. Argentinien, Kanada, Schweiz, Neuseeland und Uruguay Problem: USA; viele Cloud-Anbieter haben dort ihren Sitz haben eigentlich kein mit EU vergleichbares Datenschutzniveau Warum? USA verfolgen sog. sektoralen Ansatz = Mischung aus Rechtsvorschriften, Verordnungen und Selbstregulierung

37 Datenschutz in der Cloud Übermittlung in Drittländer Was ist das Safe Harbor-Abkommen? aber: Datenverkehr zwischen EU und USA sollte ermöglicht werden durch Abstimmung zwischen EU und USA wurde zwischen 1998 und 2000 das Safe Harbor- Abkommen daher entwickelt/abgestimmt/vereinbart Safe Harbor- Abkommen verfolgt in erster Linie wirtschaftliche Zwecke

38 Datenschutz in der Cloud Übermittlung in Drittländer US-Handelsministerium hat Safe Harbor Principles und die dazugehörigen FAQ entwickelt US-Unternehmen konnten sich diesen Grundsätzen freiwillig unterwerfen Geltung der Safe Harbor Grundsätze kann u.a. beschränkt werden durch: Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen Gesetzesrecht, staatliche Regulierungsvorschriften oder Fallrecht Ausnahmeregelungen in der Richtlinie oder im nationalen Recht also: Safe Harbor Grundsätze gelten nicht absolut, sondern nur wenn nicht Gesetze der USA entgegenstehen

39 Datenschutz in der Cloud Übermittlung in Drittländer Entscheidung der Kommission: Es wird davon ausgegangen, dass die Grundsätze des sicheren Hafens zum Datenschutz ( ) ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die von der Europäischen Union an in den Vereinigten Staaten niedergelassene Organisationen übermittelt werden ( ).

40 Safe Harbor-Abkommen erfasste: Datenschutz in der Cloud Übermittlung in Drittländer Übermittlung personenbezogener Daten von EU-Staaten in die USA

41 Datenschutz in der Cloud Übermittlung in Drittländer Beitritt zum Safe Harbor-Abkommen ist für US-Unternehmen freiwillig also: Safe Harbor-Abkommen als Form der Selbstregulierung beigetretene Unternehmen müssen dies öffentlich bekanntmachen

42 Datenschutz in der Cloud Übermittlung in Drittländer Auswahl von Unternehmen, die dem Safe Harbor-Abkommen beigetreten sind

43 Safe Harbor-Entscheidung des EuGH - Schrems./. Data Protection Commissioner Hintergrund Österreicher Max Schrems setzt sich seit Jahren für einen besseren Datenschutz bei Facebook ein Max Schrems reicht im Juni 2013 eine Beschwerde beim irischen Data Protection Commissioner (irische Datenschutzbehörde) ein Aufforderung an Behörde: Unterbindung der Übermittlung personenbezogener Daten von der EU in die USA Begründung: Daten in den USA nicht ausreichend vor staatlicher Überwachung geschützt Verweis auf Enthüllungen von Edward Snowden

44 Safe Harbor-Entscheidung des EuGH - Schrems./. Data Protection Commissioner Foto von der irischen Datenschutzbehörde

45 Safe Harbor-Entscheidung des EuGH - Schrems./. Data Protection Commissioner Entscheidung des EuGH im Überblick 1. Befugnisse der nationalen Datenschutzbehörden Datenschutzbehörden müssen auch bei Vorliegen einer Kommissionsentscheidung in völliger Unabhängigkeit prüfen, ob bei der Übermittlung personenbezogener Daten die Anforderungen der Richtlinie beachtet werden; also: ob in den USA ein angemessenes Datenschutzniveau besteht 2. Zur Wirksamkeit der Safe Harbor-Entscheidung Safe Harbor-Entscheidung der Kommission ist ungültig, weil sie den nationalen Datenschutzbehörden Prüfungsbefugnisse entzieht. Kommission hat damit ihre Kompetenzen überschritten

46 Safe Harbor-Entscheidung des EuGH - Konsequenzen und mögliche Lösungsansätze Konsequenzen: Safe Harbor-Entscheidung seit unwirksam; keine Übergangsfrist Datenübermittlung in die USA erfolgt ohne Rechtsgrundlage Unternehmen stehen also vor der Wahl: auf Alternativen setzen? Datenverkehr in die USA einstellen? bewusst illegal handeln?

47 Safe Harbor-Entscheidung des EuGH - Konsequenzen und mögliche Lösungsansätze Konsequenzen: Datenschutzbehörden haben angekündigt, einen Übergangszeitraum bis Ende Januar 2016 zu belassen bis dahin werden sie keine Maßnahmen wegen der Übermittlung von Daten in die USA einleiten Vorgehensweise danach unklar

48 Safe Harbor-Entscheidung des EuGH - Konsequenzen und mögliche Lösungsansätze Mögliche Alternativen für Unternehmen Standardvertragsklauseln Sog. Binding Corporate Rules Problem: Auswirkungen der EuGH-Entscheidung auf diese Methoden der Datenübertragung in Drittstaaten? Andere Handlungsalternative? Einwilligung des Betroffenen?

49 Safe Harbor-Entscheidung des EuGH - Konsequenzen und mögliche Lösungsansätze Standardvertragsklauseln - Was ist das? Vertragsklauseln, die ebenfalls Gegenstand von Entscheidungen der EU- Kommission waren EU-Kommission hat festgestellt, dass Standardvertragsklauseln die Übermittlung in Drittländer ohne angemessenes Datenschutzniveau rechtfertigen wichtiger Unterschied zu Safe Harbor: Standardvertragsklauseln stellen kein angemessenes Datenschutzniveau her; sondern es wird eine Ausnahme für die Übermittlung in unsichere Drittstaaten gemacht

50 Safe Harbor-Entscheidung des EuGH - Konsequenzen und mögliche Lösungsansätze Standardvertragsklauseln - Was ist das? es handelt sich um Musterverträge müssen 1:1 übernommen werden, ansonsten besteht keine Privilegierung keine Ergänzung, Änderung, Anpassung möglich mangelnde Flexibilität Kernpunkte: Pflichten des Datenimporteurs und -exporteurs, Haftung, anwendbares Recht, Zusammenarbeit mit Kontrollstellen

51 Beispiel: Standardvertragsklauseln bei Auftragsdatenverarbeitung

52 Safe Harbor-Entscheidung des EuGH - Konsequenzen und mögliche Lösungsansätze Problem: Auswirkungen der EuGH-Entscheidung auf Standardvertragsklauseln formell: nur Safe Harbor-Entscheidung ungültig aber: ähnliche Problematik wie bei Safe Harbor existiert auch bei Standardvertragsklauseln insbesondere Vorbehalte zugunsten von nationalen Rechtsvorschriften im Hinblick auf die öffentliche Sicherheit etc. zweifelhaft, ob Standardvertragsklauseln daher langfristig Bestand haben keine echte Alternative

53 Konsequenzen und mögliche Lösungsansätze Binding Corporate Rules eine Alternative? bei Datenexport an externe Dienstleister/Dritte in den USA ohnehin nicht anwendbar im Übrigen können auch BCR einen Zugriff der US-Behörden nicht verhindern gleiches Grundproblem wie bei Safe Habor daher: ebenfalls keine richtige Alternative

54 Fazit: Konsequenzen und mögliche Lösungsansätze EuGH-Urteil betrifft zwar formell nur die Safe Harbor-Entscheidung der Kommission aber auch Übermittlung auf anderen Grundlagen (Standardvertragsklauseln und Binding Corporate Rules) jetzt fraglich, da gleiches Problem (Zugriff der US-Sicherheitsbehörden möglich) Rechtsunsicherheit

55 Konsequenzen und mögliche Lösungsansätze Weitere Alternative: Einwilligung des Betroffenen? meist nicht praktikabel Einwilligung kann verweigert oder widerrufen werden Unterbrechung von automatisierten Geschäftsprozessen weiteres Problem: Einwilligung müsste informiert sein d.h. der Betroffene muss umfassend aufgeklärt werden Aufklärung umfasst wohl auch Hinweis auf niedrigeres Datenschutzniveau in den USA Hinweis auf Zugriffsrecht der US-Behörden Aufklärung in AGB wohl nicht möglich auch deshalb ist eine Einwilligung insgesamt nicht praktikabel

56 Konsequenzen und mögliche Lösungsansätze Ausblick: Wie geht es nun weiter? EU-Kommission hat angekündigt, das Safe Harbor-Abkommen zu überarbeiten (Neuer Name: EU-US Privacy Shield, Unterzeichnung für Ende Februar 2016 geplant, zentrale Fragen allerdings noch offen) US-Handelsministerium hat Kooperationsbereitschaft signalisiert Problem: ohne Änderung des US-Rechts kann kein rechtmäßiges Abkommen entwickelt werden Erforderlich: Begrenzung des Zugriffs amerikanischer Behörden auf personenbezogene Daten von EU-Bürgern Schaffung wirksamer Rechtsbehelfe für EU-Bürger

57

58 Danke für Ihre Aufmerksamkeit Ich danke für Ihre Aufmerksamkeit! RA Christian Solmecke, LL.M solmecke@wbs-law.de RA Christian Solmecke, LL.M.