EU Datenschutzgrund VO & EU-US-Privacy Shield

Transkript

1 CCC Stuttgart EU Datenschutzgrund VO & EU-US-Privacy Shield

2 Aufgaben eines Konzerndatenschutzbeauftragten Aufbau eines Datenschutzmanagement- & Compliancesystems Beratung der Unternehmensleitung = Hinwirken auf die Einhaltung des Datenschutzes Vorabprüfung kritischer Verfahren (Videoüberwachung / Leistungskontrollen) Ansprechpartner für alle Fachbereiche (HR, Revision, Legal, Marketing etc.) Schulungen Ansprechpartner für Betroffene (MA, Kunden, Geschäftspartner, sonstige Dritte) Ansprechpartner für alle sonstigen Player (BR, Aufsichtsbehörden, Dienstleister, Auftragnehmer) Prüfung / Erstellung datenschutzrelevanter Verträge Interne Audits Kontrolle externer Dienstleister ( 11, 9 BDSG) Zusammenarbeit mit IT Security Abteilung Fazit: Der DSB berät, die Entscheidung verbleibt beim Management!

3 Beispieltext Vortragsthema Datenschutz ist ein Grund- & Menschenrecht Recht auf informationelle Selbstbestimmung Jeder Einzelne ist befugt, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Volkszählungsurteil des BVerfG von 1983 Hergeleitet aus den Grundrechten auf Unantastbarkeit der Menschenwürde, Art. 1 GG freie Entfaltung der Persönlichkeit, Art. 2 GG

4 Beispieltext Vortragsthema Exkurs: Welche wirtschaftliche Bedeutung haben Daten? Welche Branchen und Unternehmen wirtschaften mit personenbezogenen Daten? Big Data: Information ist das Öl des 21. Jahrhunderts ( Personenbezogene Daten sind eine Währung. (Süddeutsche) Facebooks Börsenwert überschreitet 200 Mrd. Dollar (New York Times) Facebook kauft WhatsApp für 19 Mrd. Dollar (Die Welt)

5 Beispieltext Vortragsthema Was regelt das Datenschutzrecht? Datenschutzrecht regelt, für welche Zwecke und in welchem Umfang personenbezogene Daten eines anderen verarbeitet werden dürfen ( Spielregeln der Datenverarbeitung).

6 Beispieltext Vortragsthema (Rechts-)Quellen des Datenschutzrechts Europarecht EU-Datenschutzrichtlinie 95/46 Vorgaben für die nationalen Gesetze Bundesrecht BDSG - Bundesdatenschutzgesetz TKG Telekommunikationsgesetz TMG - Telemediengesetz SGB X Sozialgesetzbuch Landesrecht Unternehmen & Bundesbehörden Anbieter von Telekommunikation Betreiber von Telemedien Datenschutz im Sozialbereich! Landesdatenschutzgesetze Landes- und Kommunalbehörden

7 Beispieltext Vortragsthema Rechtsquellen des Datenschutzrechts Europarecht EU-Datenschutzrichtlinie 95/46 Vorgaben für die nationalen Gesetze Bundesrecht BDSG - Bundesdatenschutzgesetz TKG Telekommunikationsgesetz TMG - Telemediengesetz SGB X Sozialgesetzbuch Unternehmen & Bundesbehörden Anbieter von Telekommunikation Betreiber von Telemedien Datenschutz im Sozialbereich Landesrecht Landesdatenschutzgesetze Landes- und Kommunalbehörden

8 Beispieltext Vortragsthema Exkurs: EU-Datenschutzgrundverordnung = Diesen Sachverhalt regelt die DSGVO anders! = Die DSGVO enthält vergleichbare Regeln. = Diesen Sachverhalt regelt die DSGVO gar nicht!

9 Beispieltext Vortragsthema Was sind personenbezogene Daten? Personenbezogen Daten sind alle Informationen, die sich entweder direkt oder mit Hilfe anderer Stellen/Quellen eindeutig einem einzelnen Menschen (dem Betroffenen ) zuordnen lassen.

10 Beispieltext Vortragsthema Was sind besondere Arten pers.bez. Daten? Besonders sensibel sind personenbezogene Daten über die rassische und ethnische Herkunft, politische Meinungen und Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung sowie Gesundheit und Sexualleben. Diese Daten genießen besonderen Schutz!

11 Beispieltext Vortragsthema 1. Verbot mit Erlaubnisvorbehalt Das Erheben, Verarbeiten und Nutzen von personenbezogenen Daten ist grundsätzlich verboten, es sei denn, es wird von einer Rechtsvorschrift erlaubt oder angeordnet oder es liegt eine Einwilligung des Betroffenen vor

12 Beispieltext Vortragsthema Was bedeutet verarbeiten? Erheben = Beschaffen von Daten Verarbeiten (i.e.s.) Speichern = Erfassen auf Datenträger Verändern = inhaltlich umgestalten Übermitteln = Bekanntgabe an einen Dritten Sperren = Einschränkung der weiteren Nutzung Löschen = unkenntlich machen Nutzen = Jede sonstige Verwendung, die nicht Verarbeiten ist.

13 Beispieltext Vortragsthema Die 5 Grundsätze des Datenschutzrechts Verhältnismäßigkeit Zweckbindung Verbot mit Erlaubnisvorbehalt Datensparsamkeit/ Datenvermeidung Direkterhebung

14 Beispieltext Vortragsthema Welche Konsequenz kann ein Datenschutzverstoß haben? Ordnungswidrigkeiten, 43 BDSG Verstöße sind in der Regel Ordnungswidrigkeiten. Geldbußen von bis zu EUR oder bis zu EUR Straftaten, 44 BDSG Vorsätzliche Handlung a) gegen Entgelt, b) mit Schädigungsabsicht oder c) mit Bereicherungsabsicht Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe Schadensersatz, 7 BDSG

15 Beispieltext Vortragsthema Welche Konsequenz kann ein Datenschutzverstoß haben? Ordnungswidrigkeit Geldbußen von bis zu 2%/4% des weltweiten Jahresumsatzes des Vorjahres (Unternehmen) bzw. bis zu 10 Mio./20 Mio.. (Sonstige). Sanktionen Mitgliedsstaaten können weitere Sanktionen definieren. Schadensersatz

16 Hauptthemen Konzerndatenschutz Beschäftigtendatenschutz HR Systeme (bspw. SAP HCM) Mitbestimmungsrechte (BR) Leistungsauswertungen / Verhaltenskontrolle (ZKS, Zeiterfassung, Kassensysteme, BDE etc.) Whistle Blowing ( 130 OwiG) Kundendatenschutz Marketing / Newsletter/ CRM / Segmentierung Bezahlsysteme / Scoringverfahren Onlinetracking / Webseiten / Onlineshops Kundenservice / Callcenter Sonstige Betroffene Social Media Monitoring Videoüberwachungssysteme Outsourcing / Cloudcomputing (SaaS, IaaS etc.)

17 Gründe internationaler Datentransfers aus Unternehmenssicht Globale Konzernstrukturen mit internen zentralen Dienstleistungen (bspw. HR / Controlling / Marketing / Finance / Compliance, etc.) Inanspruchnahme von externen Cloud Dienstleistungen zur Performancesteigerung (Sales Force / Travel Management) Erledigung von Regelaufgaben (SAP erecruiting) Einführung Neuer Anwendungen (MS Yammer) Einsparpotential (IaaS) mangelnde Alternativen (MS Office 365) Marketing (FB / Google+ / Youtube) Weitere Anwendungsbeispiele: MS Office 365, MS Yammer, SAP, Amazon, HP, IBM etc.)

18 Faktische und Rechtliche Problemstellung beim internationalen Datentransfer und Cloudcomputing Physikalischer Speicherort außerhalb der eigenen Verfügungsgewalt Globaler Zugriff über VPN / IP Sec / Client-/Serverstrukturen Ort der Datenverarbeitung (und somit Übermittlung in solcher Länder) u.u. in Ländern ohne gleichwertige Datenschutzstandards Auditpflichten Formelle Vertragspflichten (u.a. Vertrag nach 11 BDSG)

19 Beispieltext Vortragsthema Besonderheiten in Konzernen Mutter Tochter I Tochter II Kein Konzernprivileg: Alle Unternehmen sind eigenständige Einheiten Folge: Datenfluss ist entweder Übermittlung oder ADV

20 Beispieltext Vortragsthema Exkurs: Datentransfer ins Ausland Datentransfer in ein EU- oder EWR-Land = wie Datenübermittlung oder Auftragsdatenverarbeitung im Inland Datentransfer in ein Drittland (nicht EU/EWR) 1. Übermittlungsbefugnis (Rechtsvorschrift oder Einwilligung) Datentransfer in Drittländer stellt IMMER eine Übermittlung dar! 2. Angemessenes Datenschutzniveau beim Empfänger Beschluss der EU-Kommission Verpflichtung nach Safe Harbor in den USA Bilaterales Recht (insbes. EU-Standardverträge) / BCR s

21 Safe Harbor Urteil EuGH kippt im Fall Schrems./. Facebook das Safe Harbor Abkommen aus 2000 Kritik richtet sich insbesondere gegen mangelhafte Kontrollmöglichkeiten, mangelhaften Rechtsschutz und faktische Verstöße durch Nachrichtendienste (Erkenntnisse aus der Snowden Affäre) Safe Harbor ex hunc nichtig / EU Kommission kündigt Nachfolgeabkommen an. Folge: Aufsichtsbehörden kündigen Schonfrist an ( ) Unternehmen müssen Alternativen finden -> EU Standardvertragsklauseln Erste Bußgeldbescheide wurden im Mai / Juni 2016 verhängt:

22 Vereinbarung eines angemessenen DS Niveaus heute Binding Corporate Rules (BCR) -> Lösung für einen Konzern -> Genehmigungspflichtig! Derzeit werden keine neuen BCR genehmigt! EU Standardvertragsklauseln, oder auch EU Model Clauses (C2C / C2P) -> von der EU Kommission entworfene Standardverträge, in denen sich der Empfänger der Daten einseitig zur Einhaltung der europäischen DS Standards verpflichtet. -> EuGH wird sich auch hiermit beschäftigen!!! Wahrscheinlich kippen auch diese! Zukünftig: EU-US-Privacy Shield PM der Kommission am zur Einigung über neues Abkommen mit den USA. Art. 29 Gruppe war nicht an Verhandlungen hierzu beteiligt (!) und forderte danach dazu auf, die Inhalte der Einigung bis Ende Februar zur Prüfung vorgelegt zu bekommen. Artikel-29-Datenschutzgruppe ist die Kurzbezeichnung für die Datenschutzarbeitsgruppe, die gemäß Artikel 29 der Richtlinie 95/46/EG eingesetzt wurde. Sie ist eine unabhängige Beratungsinstanz für die EU Kommission in DS Angelegenheiten und unterstützt die Entwicklung harmonisierter politischer Strategien für den DS in den EU-Mitgliedstaaten.

23 EU-US-Privacy Shield

24 EU-US Privacy-Shield Inhalt (Auszug) Die Unternehmen werden nach dem Abkommen durch eine Selbstverpflichtung zertifiziert. Diese beinhaltet eine Verpflichtung zur Einhaltung folgender Inhalte: Informationspflicht: Unternehmen müssen über Kernelemente ihrer DV informieren (u.a Art der Daten, Verarbeitungszwecke, Hinweise auf Betroffenenrechte) Diese Informationen müssen zur Verfügung gestellt werden, as soon thereafter as is practicable (???) aber auf jeden Fall vor einer Datenweitergabe oder einer Zweckänderung Wahlmöglichkeiten: Betroffene haben ein Widerspruchsrecht gegen werbliche Nutzung (!) / Widerspruchsrecht gegen Datenweitergabe & Zweckänderung Vor der Weitergabe von sensiblen Daten ist eine Einwilligung einzuholen (bei normalen Daten besteht anscheinend nur ein opt out) Die Weitergabe von Auftragsdaten durch das zertifizierte Unternehmen an Dritte (Subprocessors) unterliegt einer strengen Zweckbindung und der Pflicht, vertragliche Regelungen hierrüber zu treffen (onward transfers). Security: Unternehmen müssen dem Risiko angemessene Maßnahmen treffen Unternehmen dürfen nur Daten verarbeiten, die für Zweck relevant sind Daten müssen stets aktuell, richtig und vollständig sein (ach nee) Auskunftsrecht innerhalb eines angemessenen Zeitraums und gegen nicht exzessive Gebühr Betroffenenrechte (u.a. Löschen), ja, aber nur wenn dies nicht einen übermäßigen Aufwand bedeutet.

25 EU-US Privacy-Shield Inhalt (Auszug) Zertifizierung erfolgt durch eine Erklärung des US Unternehmens ggü. des US Handelsministeriums (Federal Trade Commission). Dort erfolgt eine Schlüssigkeitsprüfung der Selbstverpflichtungserklärung. Dies muss jährlich wiederholt werden. Es soll ein Publizitätsregister geführt werden. Hierin sollen auch anhängige Beschwerdeverfahren gegen Zertifikatsinhaber aufgeführt werden. Dauerhafte Verstöße führen zu einem Entzug des Zertifikats und zur Löschpflicht aller EU Daten. Die FTC / das US Ministerium für Verkehr / das US Handelsministerium sollen künftig die Einhaltung pro aktiv kontrollieren dürfen. Die Einhaltung der Löschauflage wird durch Fragebögen sichergestellt. Die zertifizierten Unternehmen müssen Beschwerdeprozesse definieren und vorhalten. Beschwerden müssen innerhalb von 45 Tagen bearbeitet werden.

26 EU-US Privacy-Shield Inhalt (Auszug) Darüber hinaus kann jeder EU-Bürger, der seine Datenschutzrechte durch amerikanische Firmen oder Ermittlungsbehörden in den USA verletzt sieht, sich an einen Ombudsmann, der unabhängig von allen Geheimdiensten sein soll, wenden. Diese hat eine Antwortfrist von 90 Tagen einzuhalten. Zuvor muss aber eine Beschwerde bei der nationalen Behörde gestellt worden sein. Meinungen der europäischen Aufsichtsbehörden zu bestimmten Streitfällen müssen von einem informellen US Gremium gehört werden. Höchste Fachinstanz Privacy Shield Panel 20 Experten vom US- Handelsminsterium ernannt -> Schiedsgerichtsbarkeit danach letzte Instanz Pflicht zur Überprüfung der Einhaltung des Abkommens obliegt jedem zertifizierten Unternehmen selbst (auf Selbstverpflichtung erfolgt Selbstkontrolle). Die behördliche Aufsicht erfolgt durch Fragebögen bei Beschwerden. Zertifiziertes Unternehmen ist uneingeschränkt haftbarfür DS Verstöße, es sein es kann sich exkulpieren. Nach den Worten von EU-Justizkommissarin Vera Jourová muss das Abkommen noch von den EU-Staaten bestätigt werden. Auch das EU-Parlament habe Prüfrechte. EU und USA sollen die Umsetzung des Abkommens jährlich überprüfen. Das EU-US Privacy Abkommen soll jährlich überprüft werden. Text des Abkommens:

27 EU-US-Privacy Shield - Kritik Das Abkommen steht unter massiver Kritik der Datenschützer. Es wird bemängelt, dass die schriftliche Zusicherung der USA nicht valide ist. Ich glaube kaum, dass ein Europäer seine Grundrechte vor einem US- Gericht verteidigen kann, indem er auf einen Brief von irgendjemand hinweist., sagte Max Schrems. Und auch der EU-Abgeordnete Jan Philipp Albrecht bezeichnete die Einigung auf Twitter als einen Witz. Peter Schaar, ehemaliger Bundesdatenschutzbeauftragter, sieht die Ankündigung des Abkommens kritisch. Seiner Meinung nach ist fraglich, ob die Anforderungen des EuGH Urteils durch dieses Abkommen erfüllt werden Quelle:

28 EU-US-Privacy Shield - Kritik Art. 29 Gruppe und der Bundesverband der Verbraucherzentralen begrüßen zwar einige Verbesserungen, melden aber Nachbesserungsbedarf an. Quelle : Das Abkommen beruht nicht auf US Gesetzen oder vergleichbaren verbindlichen Regelungen, sondern lediglich auf Zusagen in Briefen der US-Administration. Die Dokumente sowie die Verfahren sind undurchsichtig und kompliziert. In der Frage, welche Verpflichtungen teilnehmende US-Unternehmen zusagen müssen, gibt das Abkommen nur vage Vorgaben und lässt viel Spielraum. Auch gibt es keine klaren Vorgaben für die Selbstzertifizierung der Unternehmen. Problematisch ist zudem, dass die mit der Aufsicht betrauten US-Stellen (US Department of Commerce und die Federal Trade Commission) als Teil der Exekutive nicht unabhängig sind. Das an US-Recht ausgerichtete Beschwerdeverfahren ist umständlich, kompliziert und langwierig. Das Abkommen lässt weiterhin die massenhafte und willkürliche Datensammlung durch US Nachrichtendienste zu.

29 EU-US-Privacy Shield - Kritik Forderungen des vzbv Privacy Shield muss im Kern dem europäischen Datenschutzrecht gleichwertig sein. So müssen sich Grundregeln des EU-Datenschutzes wie die Einwilligung in die Datenerhebung und -verarbeitung, die Zweckbindung von Daten oder Datensparsamkeit wiederfinden. Wirksame Überwachungs- und Kontrollmechanismen sind nötig, um Verstöße zu ermitteln und zu ahnden. Unternehmen sollten belegen müssen, dass sie die Prinzipien einhalten, bevor sie auf die Privacy-Shield-Liste aufgenommen werden. Verarbeiten zertifizierte Unternehmen Daten in unzulässiger Weise, müssen Verbraucherinnen und Verbraucher ihre Rechte wie das Auskunftsrecht oder das Recht auf Datenlöschung effektiv durchsetzen können. Sie müssen jederzeit vor europäischen Gerichten klagen und Schadenersatz erstreiten können. Quelle ( ):

30 EU-US-Privacy Shield - Kritik Quelle:

31 EU-US-Privacy Shield - Kritik Quelle: PrivacyShield_EN.pdf

32 EU-US-Privacy Shield - Fazit Da die Angemessenheitsentscheidung auf Basis der Stellungnahme der Art. 29 Gruppe und dem Ausschußverfahren nach Art. 31 II der EU DS RL 46/95 erst noch verabschiedet werden muss, können Datenübermittlungen derzeit noch nicht auf Basis des Abkommens erfolgen. Einigung wird nur unter Anpassungen zustande kommen können. Gerichtliche Kontrolle vor dem EuGH ist dennoch zu erwarten. In der Zwischenzeit bleiben EU Standardvertragsklauseln (noch) die einzige Möglichkeit (bis auch diese kassiert werden ). Diese wurden durch die Art. 29 Gruppe entgegen Ihrer Ankündigung nicht im Lichte der EuGH Entscheidung überprüft (Gefälligkeitserwägungen?). Die irische Aufsichtsbehörde hat diese Klauseln dem EuGH zur Prüfung vorgelegt. Bestands BCR s bleiben wirksam. Neue werden gegenwärtig teilweise nicht genehmigt (7 Aufsichtsbehörden)! Bürger kann bereits jetzt gegen Datenübermittlungen klagen / Beschwerde führen. Die Aufsichtsbehörden nehmen dann Einzelfallprüfungen vor. Der Druck auf die US Regierung steigt. Zahlreiche Serviceprovider wehren sich vermehrt gegen Zugriffe auf Know How und Daten (Bsp. Apple und IPhone Verschlüsselung). Es drohen Nachteile am europäischen Markt für US Konzerne (Amazon, HP, Facebook, Google, MS & Co.). Die Marktmacht ist in Europa gegeben, wenn europäische Unternehmen auf Einhaltung der EU Datenschutzvorgaben bestehen.

33 EU-US-Privacy Shield - Fazit Dies war in der Vergangenheit nicht immer der Fall, ist aber vor dem Hintergrund künftiger Bußgelder der EU DSGVO zu erwarten. Die Aufsichtsbehörden müssen personell gestärkt werden, damit überhaupt die theoretische Gefahr des Bußgeldes Realität werden kann. Hier bedarf es Präzedenzfälle wie 2009 bei LIDL oder der Deutschen Bahn. Der Wille der Politik muss gestärkt werden, sich nicht um jeden Preis den US Verhandlungspartnern zu beugen -> Netzpolitik / Abgeordnete kontaktieren etc. Erste Bußgelder in Milliardenhöhe wie im Kartellrecht werden einen Aha Effekt ergeben. Die Gefahr des Nachrichtendienstlichen Zugriffs im Schatten wird stets bleiben - > Technische Lösungen und Verhaltensänderung der User erforderlich. Bewegung in den USA gegeben. Im Februar 2016 hat Pres. Obama den Federal Privacy Council per Präsidialerlass eingerichtet. Dieses Organ soll künftig als erstes Bundesorgan die Datenschutzkoordinatoren in den US Bundesbehörden unterstützen. Aufgabe: Entwicklung von DS Standards in den USA und Best Practice Lösungen. Auswirkungen wohl aber nur für behördliche Arbeit. FAZIT: Keine Rechtssicherheit für EU Bürger und Unternehmen.

34 Beispieltext Vortragsthema Vielen Dank für Ihre Aufmerksamkeit Dr. Christian Borchers Rechtsanwalt Geschäftsführer datenschutz süd GmbH Wörthstraße Würzburg Tel.: office@datenschutz-sued.de Blog: