SAFE HARBOR URTEIL REAKTIONEN DER LDSB. Lasse Junghänel

Transkript

1 1 SAFE HARBOR URTEIL REAKTIONEN DER LDSB Lasse Junghänel

2 2 Positionspapier der Datenschutzkommission Reaktionen der Landesdatenschutzbeauftragten Gemäß Ziffer 7 des Positionspapiers der DSKwerden derzeit keinen neuen Genehmigungen für Datenübermittlungen in die USA auf Grundlage BCR oder Datenexportverträgen erteilt. Gemäß Ziffer 9 kann unter engenbedingungen die Einwilligung zum Transfer von Daten eine tragfähige Grundlage sein. Gemäß Ziffer 2 ist die Zulässigkeit vondatentransfers in die USA auf Grundlage von EU-Standardvertragsklauseln oder BCR in Frage zu stellen. Diese Aussagewird von allen Landesdatenschutzbehörden getragen. Nach Ansicht des LDSB Schleswig-Holsteinund Rheinland-Pfalz ist als Grundlage zur Datenübermittlung die Einwilligung nicht mehr ernsthaft in Betracht zu ziehen. Denn selbst eine freiwillige Einwilligung nach 4a BDSG, die bereits nicht zu erwarten ist würde in Anbetracht der Anlasslose Massenüberwachung der US Geheimdienste in den Wesensgehalt des Grundrechts auf Achtung des Privatlebens eingreifen. In jedem Fall ist eine Einzelfallprüfung bei Datenübermittlung auf Grundlage der Einwilligung notwendig. Nach Ansicht des Hamburger LDSB können die Eu- Standardvertragsklauselnund BCR noch als Rechtsgrundlage für die Datenübermittlung fungieren. DerLDSB Rheinland-Pfalz sieht beide Punkte kritisch und prüft wiederum den Einzelfall, insbesondere die Einhaltung des Vertrages durch den Datenimporteur. Der LDSB Schleswig-Holstein sieht die EU-Standardvertragsklauseln als nicht mehr wirksam an, da der Datenimporteur dem europäischen Datenexporteur darin garantiert, dass er seines Wissens keinen Gesetzten unterliege, die Ihm die Befolgung der Anweisungen des Datenexporteurs und die Einhaltung seiner vertraglichen Pflichten unmöglich mache. Dies ist jedoch in den USA gerade der Fall.

3 3 Positionspapier der Datenschutzkommission Reaktionen der Landesdatenschutzbeauftragten Eine Schonfrist bzw.ein Zeitpunkt der Ergreifung rechtlicher Maßnahmen durch die Datenschutzbehörden bestimmt das Positionspapier nicht. Jedoch wird in Ziffer 12 die gesetzte Frist bis zum zur Schaffung ausreichend weitreichender Garantien zum Schutz der Privatsphäre begrüßt. Der Hamburger LDSB erklärt durch den aufgestellten 3 Phasenplan, dass ab Februar 2016 rechtliche Maßnahmen zur Durchsetzung des Urteils ergriffen werden, um eine Datenübermittlung allein auf Grundlage von Safe Harbor in Gänze zu unterbinden Der LDSB Rheinland-Pfalzhält fest, dass Unternehmen bis zum klären sollen, auf welcher Grundlage die Datenübermittlung in die USA durchgeführt wird, ob Kündigungsmöglichkeiten der bestehenden Verträge durch das Safe Harbor Urteil bestehen und welche Alternativen Übertragungsmöglichkeiten in die USA bestehen. Eine Art Schonfrist kann hier hereingelesen werden. Der LDSB Schleswig-Holstein hat dagegen keine Schonfrist benannt und nach seinen Ausführungen durchblicken lassen, unverzüglich gegen Verstöße vorzugehen.

4 4 LDSB HAMBURG Der HamburgerDatenschutzbeauftrage ergreift nach dem Safe Harbor Urteil des EuGH in drei Phasen aufgeteilte Maßnahmen. Zunächst werden Unternehmen identifiziert, die mit hoher Wahrscheinlichkeit Daten in die USA übermitteln, diese werden zum Stand der rechtlichen Entwicklung und den weiter geplanten Umsetzungsschritten informiert. Diese Unternehmen werden im Zeitraum von Dezember 2015 bis Januar 2016 um Auskunft gebeten, ob personenbezogene Daten in die USA übermittelt werden und auf welcher Grundlage dies geschieht. In einer Dritten Phase werden ab Februar 2016 rechtliche Maßnahmen zur Durchsetzung des Urteils ergriffen, um eine Datenübermittlung allein auf Grundlage von Safe Harbor in Gänze zu unterbinden. Zunächst können EU-Standardvertragsklauseln und BCR (verbindliche Unternehmensregelungen) noch als Rechtsgrundlage für den Datentransfer in die USA fortgelten.

5 5 LDSB SCHLESWIG-HOLSTEIN Nach Ansicht des Landesdatenschutzbeauftragten Schleswig-Holstein ist eine Datenübermittlung in die USA nach dem bisher geregelten Rechtsrahmen nicht möglich. Denn selbst eine freiwillige Einwilligung nach 4a BDSG, die bereits nicht zu erwarten ist würde in Anbetracht der Anlasslose Massenüberwachung der US Geheimdienste in den Wesensgehalt des Grundrechts auf Achtung des Privatlebens eingreifen. Im Übrigen können die EU-Standardvertragsklauseln nicht mehr wirksam sein, da der Datenimporteur dem europäischen Datenexporteur darin garantiert, dass er seines Wissens keinen Gesetzten unterliege, die Ihm die Befolgung der Anweisungen des Datenexporteurs und die Einhaltung seiner vertraglichen Pflichten unmöglich mache. Dies ist jedoch in den USA gerade der Fall. Eine Art Schonfrist hat der Landesdatenschutzbeauftragte nicht benannt.

6 6 LDSB RHEINLAND-PFALZ Nach Ansicht des Datenschutzbeauftragten Rheinland-Pfalz ist eine Datenübertragung in die USA nur noch ausnahmsweise gemäß 4c BDSG zulässig und bedarf einer ausdrücklichen Genehmigung des LDSB. Die EU-Standardvertragsklauseln werden kritisch gesehen und bei den betroffenen Unternehmen der Einzelfall geprüft. Insbesondere wie der Datenimporteur seinen vertraglichen Pflichten nachkommt und wie der Datenexporteur reagiert. Auch die freiwillige Einwilligung wird nur in extremen Ausnahmefällen als zulässige Grundlage für die Datenübermittlung angesehen. Eine Einzelfallprüfung ist hier notwendig. Bis zum sollen Unternehmen klären auf welcher Grundlage die Datenübermittlung in die USA durchgeführt wird, ob Kündigungsmöglichkeiten der bestehenden Verträge durch das Safe Harbor Urteil bestehen und welche Alternativen Übertragungsmöglichkeiten in die USA bestehen.