Safe Harbor. #medialawcamp E-Commerce und E-Payment. Berlin, 27. November 2015

Transkript

1 Safe Harbor #medialawcamp E-Commerce und E-Payment Berlin, 27. November 2015 G R E E N B E R G T R A U R I G G E R M A N Y, L L P R E C H T S A N W Ä L T E W W W. G T L A W. D E 2015 Greenberg Traurig Germany, LLP. All rights reserved

2 Gliederung 1. Was ist Safe Harbor? 2. Das Safe Harbor Urteil 3. Alternativen zum Safe Harbor 4. Ausblick - 1 -

3 1. Was ist Safe Harbor? Artikel 25 der Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (RL 95/46/EG)» Absatz 1: Die Mitgliedstaaten sehen vor, dass die Übermittlung personenbezogener Daten, die Gegenstand einer Verarbeitung sind oder nach der Übermittlung verarbeitet werden sollen, in ein Drittland vorbehaltlich der Beachtung der aufgrund der anderen Bestimmungen dieser Richtlinie erlassenen einzelstaatlichen Vorschriften zulässig ist, wenn dieses Drittland ein angemessenes Schutzniveau gewährleistet.» Absatz 2: Die Angemessenheit des Schutzniveaus, das ein Drittland bietet, wird unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen eine Rolle spielen; [ ] - 2 -

4 1. Was ist Safe Harbor?» Absatz 6: Die Kommission kann [ ] feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen[ ], hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen ein angemessenes Schutzniveau im Sinne des Absatzes 2 gewährleistet

5 1. Was ist Safe Harbor? Staaten, für die ein angemessenes Schutzniveau für die Übermittlung personenbezogener Daten aus der Europäischen Union festgestellt wurde:» Schweiz (2000), Kanada (2002),Argentinien (2003), Israel (2011), Uruguay (2012), Neuseeland (2013) - 4 -

6 1. Was ist Safe Harbor? Artikel 1 der Entscheidung der Kommission vom 26. Juli 2006 (2000/520/EG)» Absatz 1: Es wird davon ausgegangen, dass die dieser Entscheidung [ ] beigefügten "Grundsätze des 'sicheren Hafens' zum Datenschutz", [ ] für alle unter die Richtlinie 95/46/EG fallenden Tätigkeiten ein im Sinne des Artikels 25 Absatz 2 dieser Richtlinie angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die von der Europäischen Union an in den Vereinigten Staaten niedergelassene Organisationen übermittelt werden[ ]» US- Unternehmen können freiwillig dem Safe Harbor Abkommen beitreten, indem sie sich verpflichten, die Safe Harbor Principles und die dazugehörenden verbindlichen FAQs zu befolgen» Kontrolle der Federal Trade Commission - 5 -

7 2. Das Safe Harbor Urteil EuGH Urteil vom 6. Oktober 2015, C-362/14» Hintergrund: Maximilian Schrems war seit 2008 bei Facebook Mitglied Er forderte die irische Datenschutzbehörde dazu auf, die Übermittlung persönlicher Daten von der irischen Tochterfirma von Facebook an die Server, die sich in den U.S.A befinden, zu verbieten Argument: die U.S.A. böten keinen angemessenen Schutz (Snowden,/NSA) - 6 -

8 2. Das Safe Harbor Urteil» Urteil: Entscheidungen der Kommission i.s.d. Art. 25 Abs. 6 DS-RL hindern nationale Datenschutzbehörden (i.s.d. Art. 28 DS-RL) nicht daran, eigene Untersuchungen zur Angemessenheit des Schutzniveaus anzustellen Rechtsakte der Union kann allein der Gerichtshof für ungültig erklären - 7 -

9 2. Das Safe Harbor Urteil Kommissionsentscheidung zu Safe Harbor ungültig Kommission hätte nach ihrer Entscheidung regelmäßig prüfen müssen, ob das Schutzniveau weiter angemessen ist In der Entscheidung ist den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen Vorrang vor dem Safe Harbor Abkommen eingräumt worden - 8 -

10 3. Alternativen zu Safe Harbor Standardvertragsklauseln (EU Model Clauses) Binding Corporate Rules Einwilligung Besondere Tatbestände bspw.: wenn» die Übermittlung für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich ist oder» die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse der betroffenen Person vom für die Verarbeitung Verantwortlichen mit einem Dritten geschlossen wurde oder geschlossen werden soll - 9 -

11 4. Ausblick Positionspapier der Art. 29-Arbeitsgruppe» Die Art. 29-Gruppe untersucht derzeit, ob andere Übermittlungsinstrumente (BCRs, Standardvertragsklauseln) vom Safe Harbor Urteil betroffen sind» Derzeit können und sollten diese Rechtsgrundlagen weiter genutzt werden, können im Einzelfall aber auch von Datenschutzbehörden bei Beschwerden überprüft werden» Die Übergangs- und Umsetzungsfrist für Unternehmen läuft bis Ende Januar 2016» Die EU-Kommission und die USA sind aufgefordert bis Ende Januar 2016 eine Lösung zu finden» Ab Februar 2016 werden die Aufsichtsbehörden geeignete und angemessene Mittel zur Durchsetzung der Safe-Harbour Entscheidung anwenden

12 4. Ausblick Positionspapier der Datenschutzkonferenz vom » Nr. 6: Den Standardvertragsklausel sind die vom EuGH formulierten Grundsätze, insb. die Randnummern 94 und 95 des Urteils zu Grunde zu legen» Nr. 7: Die Datenschutzbehörden werden derzeit keine neuen Genehmigungen für Datenübermittlungen in die USA auf Grundlage von Binding Corporate Rules oder Datenexportverträgen erteilen

13 4. Ausblick Safe Harbor 2.0» EU-Justizkommissarin Vĕra Jourov: keine Einigung vor Ende 2016» Hauptstreitpunkte zwischen EU-Kommission und US Handelsministerium: Behördlicher Zugriff auf die Daten der EU Bürger Gerichtliche Kontrolle der Überwachungsmaßnahmen

14 4. Ausblick Wie geht es weiter?

15 Kontakt: Dr. Anne Brandenburg Rechtsanwältin/Associate Greenberg Traurig Germany, LLP Potsdamer Platz Berlin, Germany Tel Anne.Brandenburg@gtlaw.com G R E E N B E R G T R A U R I G G E R M A N Y, L L P R E C H T S A N W Ä L T E W W W. G T L A W. D E 2015 Greenberg Traurig Germany, LLP. All rights reserved