Harter Brexit und PrivacyShield Neues zur Übermittlung in Drittstaaten 70. DFN-Betriebstagung 19.03.2019 Dr. iur. Jan K. Köcher DFN-CERT Services GmbH
Inhalt Voraussetzung für eine Übermittlung in Drittstaaten Datenübermittlung nach einem harten Brexit 19.03.19 Titel 3
Voraussetzungen für die Übermittlung in Drittstaaten
Drittstaaten? Länder außerhalb des Geltungsbereichs der DS-GVO Übermittlung, Weiterübermittlung an einen Verantwortlichen/ Auftragsverarbeiter in einem Drittstaat Voraussetzung: Ein vergleichbarer Schutz bei der Verarbeitung personenbezogener Daten muss gewährleistet sein Art. 44 50 DS-GVO 19.03.19 Titel 5
Angemessenheitsbeschluss nach Art. 45 Beschluss der Europäischen Kommission, dass ein angemessenes Datenschutzniveau besteht, bezogen auf Gesamtes Drittland Ein Gebiet des Drittlands Ein oder mehrere spezifische Sektoren im Drittland Beispiele: Schweiz, Andorra, Färöer, Guernsey, Jersey, Isle of Man, Argentinien, Kanada, Israel, USA, Neuseeland, Uruguay, Japan In diesen Fällen bedarf die Übermittlung keiner besonderen Genehmigung 19.03.19 Titel 6
PrivacyShiel d Angemessenheitsbeschluss für die USA gilt nur eingeschränkt Angemessenheitsbeschluss ist nur auf Unternehmen anwendbar, die sich zur Einhaltung des Datenschutzstandard PrivacyShield verpflichtet haben Zusicherungen US-Regierung zu Datenzugriffen und Rechtsschutzmöglichkeiten 19.03.19 Titel 7
Geeignete Garantien Eine Übermittlung ist ferner möglich, wenn geeignete Garantien vorgesehen sind und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen: Binding Corporate Rules: Verbindliche interne Datenschutzvorschriften Standarddatenschutzklauseln Genehmigte Zertifizierungen / Verhaltensregeln Genehmigte Vertragsklauseln: Diese müssen individuell von der Aufsichtsbehörde genehmigt werden 19.03.19 Titel 8
Ausnahmen nach Art. 49 Für bestimmte Fälle ist ausnahmsweise eine Übermittlung in einen Drittstaat zulässig: Beispiele: Ausdrückliche Einwilligung der betroffenen Person Übermittlung ist zur Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich Übermittlung ist zum Abschluss oder zur Erfüllung eines Vertrags im Interesse der betroffenen Person erforderlich Vorvertragliche Maßnahmen auf Antrag der Person Übermittlung ist zur Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen erforderlich 19.03.19 Titel 9
Datenübermittlung nach einem harten Brexit
Auswirkungen eines harten Brexit Harter Brexit = Austritt GB ohne ein Abkommen mit der EU Folgen: Ende der Mitgliedschaft in der EU ab dem Austrittsdatum Die DS-GVO gilt dann in GB nicht mehr Es findet somit eine Verarbeitung außerhalb des Geltungsbereichs der DS- GVO statt, mit der Folge, dass Art. 44 50 DS-GVO heranzuziehen sind Ein Angemessenheitsbeschluss der Europäischen Kommission existiert noch nicht Übermittlung nach GB damit ab Austrittsdatum unzulässig? 19.03.19 Titel 11
Auswege? Beitritt GB zum EWR: Die DS-GVO würde dann wieder in GB gelten Regelung des Datenschutzes in einem Freihandelsabkommen zwischen EU und GB Schneller Angemessenheitsbeschluss der Europäischen Kommission Geeignete Garantien, z.b. durch Binding Corporate Rules oder durch genehmigte Vertragsklauseln. Dies erfordert einen erheblichen Aufwand! Ausnahmen???? 19.03.19 Titel 12
Somit Vorsicht bei Forschungsprojekten, bei denen personenbezogene Daten nach GB übermittelt werden Nutzung von Cloud-Diensten die mit einer Übermittlung von Daten nach GB verbunden sind Übermittlung von Daten an Dienstleister und Lieferanten aus GB Die weiteren Entwicklungen zu diesem Thema sollten unbedingt verfolgt werden! Besser: Vorkehrungen gegen einen harten Brexit 19.03.19 Titel 13
Haben Sie noch Fragen? Kontakt Dr. iur. Jan K. Köcher E-Mail: koecher@dfn-cert.de Telefon: 040/ 808077-636 Fax: 040/808077-556 Anschrift: DFN-CERT Services GmbH Sachsenstraße 5 20097 Hamburg