Daten rechtlich einwandfrei nutzen und verarbeiten

Transkript

1 Daten rechtlich einwandfrei nutzen und verarbeiten Datenschutzkonformität nach dem NSA-Skandal Dr. Flemming Moos Hamburg 8. Mai

2 Agenda Folgen des NSA-Skandals aus Sicht der Datenschutzbehörden Gewährleistung des Datenschutzes bei internationalen Datenübermittlungen Handlungsempfehlungen für Unternehmen 2

3 Folgen des NSA-Skandals aus Sicht der Datenschutzbehörden 3

4 Reaktionen auf den NSA-Skandal (1) Pressemitteilung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 24. Juli 2013 Europäische Kommission hat in mehreren Entscheidungen Grundsätze des "sicheren Hafens" (Safe Harbor) zum Datentransfer in die USA (2000) und Standardvertragsklauseln zum Datentransfer auch in andere Drittstaaten (2004 und 2010) festgelegt. Beachtung dieser Vorgaben soll gewährleisten angemessenes Datenschutzniveau gewährleisten. Allerdings könnten Datenübermittlung aussetzen werden, wenn eine "hohe Wahrscheinlichkeit" besteht, dass die Safe-Harbor-Grundsätze oder Standardvertragsklauseln verletzt sind. 4

5 Reaktionen auf den NSA-Skandal (2) "Dieser Fall ist jetzt eingetreten. Die Grundsätze in den Kommissionsentscheidungen sind mit hoher Wahrscheinlichkeit verletzt, weil die NSA und andere ausländische Geheimdienste nach den gegenwärtigen Erkenntnissen umfassend und anlasslos ohne Einhaltung der Grundsätze der Erforderlichkeit, Verhältnismäßigkeit und Zweckbindung auf personenbezogene Daten zugreifen, die von Unternehmen in Deutschland an Stellen in den USA übermittelt werden." 5

6 Reaktionen auf den NSA-Skandal (3) Angedrohte Konsequenzen Aufsichtsbehörden würden keine neuen Genehmigungen für die Datenübermittlungenin Drittstaaten (zum Beispiel auch zur Nutzung bestimmter Cloud-Dienste) erteilen und Aufsichtsbehörden prüfen, ob solche Datenübermittlungenauf der Grundlage des Safe-Harbor-Abkommens und der Standardvertragsklauseln auszusetzen sind Aufforderung an Kommission, Entscheidungenzu Safe Harbour und Standardvertragsklauseln auszusetzen 6

7 Reaktionen auf den NSA-Skandal (4) Artikel29-Datenschutzgruppe: Opinion 04/2014 on surveillance of electronic communications for intelligence and national security purposes, 10 April 2014 None of the instruments (Safe Harbour, Standard Contractual Clauses and BCRs) allow for third country public authorities for the purpose of indiscriminate, massive surveillance to gain access to personal data transferred on the basis of these instruments Also companies need to be aware that they may be acting in breach of European law if intelligence services of third countries gain access to the data of European citizens stored on their servers or comply with an order to hand over personal data on a large scale 7

8 Gewährleistung des Datenschutzes bei internationalen Datenübermittlungen 8

9 Internationale Datenübermittlungen Wann liegen datenschutzrelevante internationale Datenübermittlungen vor? Übertragung von Kundendaten an Geschäftspartner im Ausland? Konzerninterner Datentransfer an Muttergesellschaft? Weitergabe der Daten an einen weisungsgebundenen Datenverarbeitungsdienstleister im Ausland? Gewährung von Datenzugriff an ausländisches Serviceunternehmen? Speicherung von Daten in einer Cloud-Umgebung? 9

10 Datenschutzanforderungen an Drittlandstransfers EWR als einheitlicher Datenschutzraum Vollharmonisierung durch EU- Datenschutzrichtlinie = gleichwertiges Schutzniveau Binnentransfers sind rein nationalen Übermittlungen gleichgestellt Datenübermittlung ins Nicht-EU-Ausland erfordert "angemessenes Datenschutzniveau" beim Datenempfänger 10

11 Angemessenes Datenschutzniveau angemessenes Datenschutzniveaugilt qua Kommissionsbeschluss für sog. White List Countries (derzeit 13 Stück: Andorra Argentinien Australien Faröer Guernsey Israel Isle of Man Jersey Kanada Neuseeland Schweiz Uruguay 11

12 Safe Harbour Sonderfall USA: Safe Harbour-Prinzipien Vom US-Handelsministerium erarbeitete Datenschutzgrundsätze, zu deren Einhaltung US-Unternehmen sich verpflichten müssen, um "angemessenes Datenschutzniveau" herzustellen Liste der Safe-Harbour-Mitglieder ist im Internet abrufbar unter: Grundsätze umfassen 7 Datenschutzprinzipien und 15 sog. FAQ, insbesondere: Notice Choice Onward Transfer Security Data Integrity Access Enforcement 12

13 Ausnahmen vom angemessenen Datenschutzniveau Diverse Ausnahmen vom Erfordernis eines angemessenen Datenschutzniveaus, u.a.: Einzelfallgenehmigung der Datenschutzaufsichtsbehörde Voraussetzung: ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte" Können sich ergeben aus: EU-Standardvertragsklauseln Individualverträgen verbindlichen Unternehmensregelungen (Binding Corporate Rules BCR) 13

14 EU-Standardvertragsklauseln EU Kommission kann gemäß Art. 26 Abs. 4 EG-Datenschutz-RL feststellen, dass durch die Verwendung bestimmter Vertragsklauseln ausreichende Garantien gegeben sind EU Kommission hat bislang drei unterschiedliche Vertragsklauselwerkein genereller Form genehmigt: Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer ( ) Alternative Standardvertragsklauseln für die Übermittlung von Daten in Nicht-EU- Länder ( ) Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern ( ) Im Internet abrufbar unter: 14

15 EU-Standardvertragsklauseln Nationale Aufsichtsbehörden sind bei Genehmigung der Datentransfers an die Kommissionsentscheidungen zu EU-Standardvertragsklauseln gebunden In der Praxis deshalb kein Genehmigungserfordernis bei unveränderter Verwendung der EU-Standardvertragsklauseln Manche Mitgliedstaaten erlauben geringfügige Änderungen zugunsten der Betroffenen Problem: manche Länder verlangen sogar bestimmte Ergänzungen / Anpassungen 15

16 Grenzen der Vertrags- und Safe Harbour-Lösung Beschluss der Kommission vom 5. Februar 2010 bzgl. Standardvertragsklauseln für Auftragsverarbeiter 16

17 Rechtsgrundlagen für Datenzugriffe in den USA Sec. 702 FISA: Procedures for Targeting Certain Persons Outside the United States Other Than United States Persons the Attorney General and the Director of National Intelligence may authorize jointly, for a period of up to 1 year from the effective date of the authorization, the targeting of persons reasonably believed to be located outside the United States to acquire foreign intelligence information Auf Basis einer richterlichen Anordnung des FISA Courts Anordnung muss jährlich erneuert werden Grundlage für PRISM-Datenerhebungen Sec 501 FISA: Access to Certain Business Records for Foreign Intelligence and International Terrorism Investigations FBI maymakean applicationforan orderrequiringtheproductionofanytangiblethings(includingrecords, papers, documents and other items) for an investigation to protect against international terrorism Bedarf grundsätzlich einer Entscheidung des geheim tagenden FISA Courts ausnahmsweise auch ohne richterlichen Beschluss auf Basis sog. National Security Letters des FBI 17

18 Handlungsempfehlungen für Unternehmen 18

19 Handlungsempfehlungen für Unternehmen (1) Sind alle Datentransfers in die USA deshalb nun datenschutzrechtswidrig? Bekomme ich künftig keine Genehmigungen mehr für Datentransfers in die USA? Wird mir eine Aufsichtsbehörde Datenübermittlungen verbieten? Wie kann ich als Unternehmen weiterhin Datenschutzkonformität gewährleisten? 19

20 Handlungsempfehlungen für Unternehmen (2) Ausschluss oder Begrenzung staatlicher Datenzugriffe im Ausland durch Unternehmen nicht möglich Strikte Befolgung der Vorgaben des datenschutzrechtlichen Handlungsrahmens Kontrollierter Einsatz von Safe-Harbour-Unternehmen Abschluss der erforderlichen Datenübermittlungsverträge Derzeit ggf. Präferenz für genehmigungsfreie Übermittlungsvarianten Transparenz gegenüber Betroffenen (Information über mögliche Datenzugriffe) 20

21 Handlungsempfehlungen für Unternehmen (3) Zusätzliche vertragliche Vorkehrungen gegenüber US-Datenimporteuren Verpflichtung zur Information über Datenzugriffe (sofern zulässig) und zur Ergreifung gerichtlicher Schritte gegen Anordnungen (sofern möglich) Verpflichtung zur Berufung auf deutsche Datenschutzvorschriften als blocking statute" Präferenz für europ. Datenverarbeitungslösungen (EU-Cloud) Aber nach einer Entscheidung eines US Bezirksgerichts vom 25. April 2014 muss Microsoft auch solche Kommunikationsdaten an die US- Sicherheitsbehörden herausgeben, die auf einem Server in Irland gespeichert sind: 21

22 osborneclarke.de Fragen und Diskussion Dr. Flemming Moos Partner, Rechtsanwalt Fachanwalt für IT-Recht osborneclarke.com 22 22