Datenverwendung und Datenweitergabe - was ist noch legal?

Transkript

1 RA Andreas Jaspers Geschäftsführer der Gesellschaft für Datenschutz und Datensicherung (GDD) e.v. Pariser Str Bonn Tel.: Fax: Die GDD e.v. Die GDD e.v. tritt als gemeinnütziger Verein für einen - sinnvollen, - vertretbaren, - technisch realisierbaren Datenschutz ein. Die GDD e.v. unterstützt Unternehmen und Behörden sowie ihre Datenschutzverantwortlichen u.a. durch - fachlichen Rat - Schulungen - Erfahrungsaustauschkreise - vielfältige Arbeitshilfen. März 2009: über Mitglieder Weitere Informationen:

2 Beispiel: Herausforderungen für die Personaldatenverarbeitung im weltweittätigen Konzern Steuerung der IT-Infrastruktur Personalrecruiting Zentrale Mitarbeiterbetreuung / -entwicklung Skill-Management im Konzern Complianceanforderungen (SOX) Bonusprogramme Unternehmenstransaktionen

3 Die Herausforderung: Art. 25 Abs. 1 EU-Datenschutz-Richtlinie 95/46/EG Die Mitgliedsstaaten sehen vor, dass die Übermittlung personenbezogener Daten, in ein Drittland vorbehaltlich der Beachtung der auf Grund der anderen Bestimmungen dieser Richtlinie erlassenen einzelstaatlichen Vorschriften zulässig ist, wenn dieses Drittland ein angemessenes Schutzniveau gewährleistet. Folge: Besondere Anforderungen bei Datenflüssen in Länder außerhalb der EU/EWR (nicht erfasst: Drittland/EU bzw. Drittland/Drittland). Nachweis eines angemessenen Datenschutzniveaus nach Länderstatus Auf Grund von EU-Kommissions-Entscheidung bisher: Argentinien (ggf. Überprüfungsverfahren) Kanada (nur für Geltungsbereich des Personal Information Protection and Electronic Documents ACT, PIPEDIA) Schweiz Guernsey Isle of Man

4 Prüfschema für die grenzüberschreitende Übermittlung: 1. Hürde Zulässigkeit der Übermittlung an einen Dritten Nach allgemeinen Datenschutz- Kriterien 2. Hürde Zulässigkeit der grenzüberschreitenden Übermittlung an einen Dritten - EU/EWG grundsätzlich (+), - Drittland grundsätzlich (-), es sei denn, Ausnahmeregelungen, 4c BDSG? - angemessenes Datenschutz-Niveau? Nachweis eines angemessenen Datenschutzniveaus beim Datenempfänger im Drittland auf Grund Anerkennung der Safe Harbor Principles (bei Datentransfers in die USA) auf Grund vertraglicher Vereinbarung der EU- Standardvertragsklauseln auf Grund sonstiger vertraglicher individueller oder kollektiver Vereinbarungen auf Grund verbindlicher Unternehmensregelungen - Binding Corporate Rules (BCRs)

5 Anforderungen an den Datenschutz im Drittland Zweckbindung im Drittland Transparenz (Informations- und Auskunftsrechte) Recht auf Berichtigung, Widerspruch, Löschung Beschränkung der Weiterübermittlung Geltung des einzelstaatlichen Rechts EU-DS-Recht reist mit Datenschutzrecht des Drittlandes nur bei Mehrwert Beschwerdemechanismus Gewährleistung der Datensicherheit Haftungsregelung/Drittbegünstigungsklausel Verhältnis EU-Datenschutz-Richtlinie 95/46/EG und nationales Recht EU-Recht ist supranationales Recht und bedarf der Umsetzung auf der Ebene der Mitgliedsstaaten Herausforderung: Abweichungen Befugnisse Aufsichtsbehörden (Kontrolle, Genehmigung BCRs) Gestaltung von Betroffenenrechten (z.b. Information, Einwilligung, Haftung) Folge: Langer Weg, auch heute keine einstimmige Positionierung bzw. Vetorecht und kein wirklich zentrales Genehmigungsverfahren

6 Vielen Dank für Ihre Aufmerksamkeit!