TRANSATLANTISCHER DATENVERKEHR UNTER DEM EU-US PRIVACY SHIELD

Transkript

1 TRANSATLANTISCHER DATENVERKEHR UNTER DEM EU-US PRIVACY SHIELD Rechtsanwalt Daniel Schätzle Webinar, ein Rechtsberatungsangebot des Bundesverband E-Commerce und Versandhandel (bevh) e.v.

2 Inhalt 2 THEMEN Safe Harbor und der EuGH Warum ist das Privacy Shield erforderlich? Was regelt das Privacy Shield? Welche Folgen ergeben sich für Unternehmen? Welche rechtlichen Pflichten bestehen? Welche sonstigen datenschutzrechtlichen Anforderungen müssen beachtet werden? Welche Alternativen existieren? Kritik?

3 Safe Harbor und EuGH 3

4 Safe Harbor und EuGH 4 SAFE HARBOR Safe Harbor-Entscheidung der EU Kommission Im Jahr 2000 Ermöglicht Datenübermittlung aus einem EU-Staat in die USA in Übereinstimmung mit europäischer Datenschutzrichtlinie Voraussetzung: US-Dienstleister verpflichtet sich zur Einhaltung der Safe Harbor Datenschutzkriterien Safe Harbor Zertifikat genügte für Compliance Safe Harbor-Abkommen Entsprechende Abstimmung auf EU-Ebene mit den USA Safe Harbor-Urteil EuGH, Urteil v Safe-Harbor-Entscheidung ist ungültig

5 Safe Harbor und EuGH 5 FOLGEN DES SAFE HARBOR-URTEILS Übermittlung von personenbezogenen Daten in die USA ist unzulässig, soweit diese auf Safe Harbor gestützt wird und die Einhaltung eines EU-Datenschutzniveaus nicht auf andere Weise sicher gestellt wird Übermittlung meint sowohl die echte Weitergabe als auch die Gewährung von Zugriff auf personenbezogene Daten Theoretisch: Bußgelder bis zu ,- Euro drohen Betroffen sind sowohl der deutsche Datenexporteur als auch der U.S.-Datenimporteur

6 Safe Harbor und EuGH 6 PRIVACY SHIELD Verhandlungen zwischen EU und USA über ein Nachfolgeabkommen bereits vor EuGH-Urteil Bestehende Kritik wurde durch NSA-Enthüllungen verstärkt Druck auf Verhandlungen durch EuGH verstärkt Februar 2016 Einigung mit USA über Nachfolgeabkommen Schaffung der gesetzlichen Voraussetzungen in den USA Veröffentlichung des Wortlautes Juli 2016 Zustimmung der Bundesregierung Angemessenheitsbeschluss der EU-Kommission August 2016 Zertifizierung über privacyshield.gov

7 7 Warum ist das Privacy Shield erforderlich?

8 Warum ist das Privacy Shield erforderlich? 8 PROBLEM DER DATENÜBERMITTLUNG IN DIE USA Datenschutzrecht: Verbotsprinzip Übermittlung von personenbezogenen Daten ins Ausland bedarf zusätzliche einer gesonderten Rechtfertigung Kein schutzwürdiges Interesse am Ausschluss der Übermittlung Wenn beim Empfänger ein angemessenes Datenschutzniveau nicht gewährleistet ist unproblematisch für Europäische Union und EWR, 4b Abs. 1 BDSG Drittländer mit angemessenem Datenschutzniveau (z.b. Argentinien, Kanada, Israel und Schweiz) USA ist unsicheres Drittland Angemessenheitsbeschluss der EU-Kommission simuliert hinreichendes Datenschutzniveau

9 9 Was regelt das Privacy Shield?

10 Was regelt das Privacy Shield? 10 ZERTIFIZIERUNG VON UNTERNEHMEN US-Unternehmen können sich beim US-Handelsministerium registrieren Verpflichtung auf Einhaltung von Datenschutzgrundsätzen Pflicht zur Information Betroffener Zweckbindung Wahlmöglichkeit des Betroffenen bei Zweckänderung oder Datenweitergabe Auftragsdatenverarbeitungsvertrag und Schutz bei Weitergabe an Dritte Datensicherheit Erforderlichkeit, Datensparsamkeit Auskunfts- und Beschwerderecht von EU-Bürgern gegenüber US-Unternehmen Einrichtung eines Beschwerdeverfahrens (z.b. ADR-Verfahren) Besondere Anforderungen bei Personaldaten

11 Was regelt das Privacy Shield? 11 DURCHSETZUNG Schriftliche Zusicherungen der US-Regierungen Aufsichtsmaßnahmen durchzuführen Sanktionen bei Verletzung der Verpflichtungen Überwachung durch US-Handelsministerium Zusätzliche Beschwerdemöglichkeiten bei der nationalen Datenschutzbehörde in Europa dem US-Handelsministerium durch die nationale Datenschutzbehörde der Federal Trade Commission beim US-Verkehrsministerium, z.b. bei Fluggesellschaften Datenschutz-Panel Verbindliches Schiedsverfahren Gerichtlich durchsetzbar

12 Was regelt das Privacy Shield? 12 ZUGRIFF DURCH US-BEHÖRDEN Beschränkung staatlicher Zugriffsmöglichkeiten Grundsatz der Erfoderlichkeit Nationale Sicherheit Strafvollzug Ombudsman Beim US-Außenministerium für den Bereich nationale Sicherheit Beschwerdestelle für Datenzugriffe unter Berufung auf die nationale Sicherheit

13 13 Welche Folgen ergeben sich für Unternehmen?

14 Welche Folgen ergeben sich für Unternehmen? 14 BEACHTEN! Findet eine Datenübermittlung an ein US-Unternehmen statt? Zugriffsmöglichkeit ist ausreichend Regelmäßig anzunehmen bei Inanspruchnahme von US- Dienstleistern Liegt eine Privacy Shield-Zertifizierung vor? Offizielle Liste des US-Handelsministerium unter privacyshield.gov/list Aktive und inaktive Zertifizierungen Deckt die Zertifizierung die übermittelten Daten ab? Andernfalls Prüfung nach Alternativmöglichkeiten für eine zulässige Übermittlung

15 15 Welche rechtlichen Pflichten bestehen?

16 Welche rechtlichen Pflichten bestehen? 16 PFLICHTEN Überprüfung einer gültigen Zertifizierung US-Unternehmen müssen Zertifizierung jährlich erneuern Beim Status Inactive muss Übermittlung unterbleiben Darüber hinaus bestehen keine aktiven Überwachungspflichten Teilweise Pflicht zur Prüfung, ob Datenschutzgrundsätze eingehalten werden Zumindest Nachweis einfordern Unklar, was das konkrete bedeuten soll Zudem: Privacy Shield soll Voraussetzung für transatlantischen Datenverkehr schaffen, bei dem auf das Vorliegen eines angemessenen Datenschutzniveaus vertraut werden kann Überprüfungspflichten bei Beschwerden Betroffener oder anderweitigen Hinweisen

17 Welche rechtlichen Pflichten bestehen? 17 AUFTRAGSDATENVERARBEITUNG Regelmäßig liegt eine Verarbeitung von personenbezogenen Daten im Auftrag vor Pflicht zum Abschluss eines schriftlichen Auftragsdatenverarbeitungsvertrages gemäß 11 BDSG Kontrollrechte des Auftraggebers Weisungsbefugnisse des Auftraggebers Pflicht zur sorgfältigen Auswahl von Auftragnehmers Pflicht Kontrollrechte und Weisungsbefugnisse auch in Anspruch zu nehmen Beschränkt auf offensichtliche Unzulänglichkeiten und solche, die zumindest nahe liegen

18 18 Welche sonstigen datenschutzrechtlichen Anforderungen müssen beachtet werden?

19 Sonstige datenschutzrechtliche Anforderungen 19 VERBOTSPRINZIP Es müssen stets auch die Anforderungen an eine Datenübermittlung im Inland erfüllt sein Verbotsprinzip mit Erlaubnisvorbehalt, 4 Abs. 1 BDSG Zudem Einwilligung des Betroffenen Gesetzlicher Erlaubnistatbestand Informationspflichten Betroffenenrechte Auftragsdatenverarbeitung Datenschutz-Compliance EU-Datenschutzgrundverordnung Angemessenheitsentscheidung der Kommission gilt auch unter der EU-DSGVO über 25. Mai 2018 hinaus

20 20 Welche Alternativen existieren?

21 Welche Alternativen existieren? 21 ÜBERMITTLUNG TROTZ UNZUREICHENDEM DATENSCHUTZNIVEAU Einwilligung Hohe Anforderungen an Wirksamkeit Häufig nicht praktikabel Zweifel, ob überhaupt möglich Standardvertragsklausel Drei Mustervereinbarungen der EU-Kommission Eine Art Angemessenheitsentscheidung im Einzelfall Privilegierung gilt nur bei vollständiger Übernahme Zweifel, ob eine gerichtliche Überprüfung die Gültigkeit bestätigen könnte Inzwischen hält wohl EU-Kommission selbst ihre Beschlüsse hierzu für rechtswidrig Anpassungen werden beraten Verbindliche Unternehmensregelungen (Binding Corporate Rules) Genehmigungspflichtig

22 Kritik? 22

23 Kritik? 23 BEDENKEN DER DATENSCHÜTZER Datenschützer und Bürgerrechtsorganisationen lehnen Privacy Shield überwiegend ab Art. 29 Arbeitsgruppe Zusammenschluss der nationalen Datenschutzbehörden Unbestimmte Formulierungen Unzureichender Schutz vor staatlichem Zugriff Unzureichende Durchsetzungsmöglichkeiten des Ombudsmannes Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder Schließt sich Art. 29 Arbeitsgruppe an Verbraucherzentrale Bundesverband e.v. (vzbv) Äußert Bedenken nach US-Wahlen Digital Rights Ireland Ltd. Nichtigkeitsklage beim Gericht der EU (EuG) Klagebefugnis? Entsprechendes Verfahren durch französische Netzaktivisten

24 Kritik? 24 PRIVACY SHIELD AUF DEM PRÜFSTAND Jährliche Überprüfung des Privacy Shield Bericht der EU-Kommission an EU-Parlament und Europäischen Rat Unter Beteiligung US-Handelsministerium US-Nachrichtendienste Datenschutzbehörden Bürgerrechtsbewegungen etc. Anpassungen des Privacy Shield wahrscheinlich

25 Praxishinweise 25

26 26 Bei US-Bezug ist Privacy Shield- Relevanz wahrscheinlich

27 27 Ein regelmäßiger Blick auf die Privacy Shield-Liste

28 28 Beschwerden von Kunden oder andere Hinweis nicht ignorieren

29 29 Abschluss einer Auftragsdatenverarbeitungsvereinbarung

30 Informieren 30

31 31 FAQ Safe Harbor haerting.de/neuigkeit/faq-safe-harbor

32 32 Fragen? Nächstes Webinar: : Dr. Martin Schirmbacher zu Online-Handel und EU-Gesetzgebung bevh-blog: bevh.org/veranstaltungen haerting.de: haerting.de/de/termine Newsletter: haerting.de/de/newsletter

33 Daniel Schätzle Rechtsanwalt HÄRTING Rechtsanwälte Chausseestraße 13, Berlin Tel Fax