Home / Aktuelles & Termine / it.sec blog

Die EU-Justizkommissarin Vera Jourova droht mit Kündigung des Privacy Shield. Von Beginn an stand das Privacy Shield Abkommen zwischen der Europäischen Union und den USA unter Kritik.

Das Privacy Shield (Nachfolger von Safe Harbour) ist ein informelles Übereinkommen im Bereich des Datenschutzrechts, das zwischen der Europäischen Union und den USA ausgehandelt wurde. Die Kommission hat am 12. Juli 2016 beschlossen, dass die Vorgaben des Privacy Shields dem Datenschutzniveau der Europäischen Union entsprechen.

Das Übereinkommen regelt den Schutz personenbezogener Daten, die aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen werden.

Jetzt soll damit eventuell schon wieder Schluss sein. Die EU-Justizkommissarin will sich Ende März mit Vertretern der neuen US-Regierung treffen um das Thema neu zu besprechen. Nach Trumps Executive Order vom 25.01.2017 werden Nicht-US-Bürger nämlich vom Schutz des Privacy Act ausgenommen. Das US-Justizministerium hat jedoch versichert, dass die USA weiter zum Privacy Shield stehe. Bei dem Termin Ende März soll nun geklärt werden, ob die bisher zugesagten Bedingungen von der USA tatsächlich eingehalten werden.

Andernfalls will die EU-Justizkommissarin das Privacy Shield-Abkommen außer Kraft setzen.

Dr. Bettina Kraft
Beraterin für Datenschutz
Justiziarin

Seit der Verkündung des EuGH-Urteils vom 06.10.2015 ist die Übermittlung personenbezogener Daten in die USA auf Grundlage von Safe Harbor rechtswidrig. Die Aufsichtsbehörden konnten ab sofort gegen Unternehmen, die auf Safe Harbor basierende Daten-Übermittlungen in die USA vornehmen, Untersagungsanordnungen aussprechen bzw. Bußgelder verhängen. Nun ist ein Nachfolge-Abkommen, das EU-US Privacy Shield, am 12. 07.2016 von der Europäischen Kommission verabschiedet worden.

Die folgende Aufstellung soll einen kurzen Überblick über die aktuell anwendbaren Rechtsgrundlagen für Datenübermittlungen in die USA geben:

Einwilligung der Betroffenen

Eine Datenübermittlung in die USA ist grundsätzlich zulässig gemäß § 4c Abs. 1 S.1 Nr. 1 BDSG bzw. Art. 49 Abs. 1 lit. a DSGVO, sofern der Betroffene in die Übermittlung seiner personenbezogenen Daten in die USA eingewilligt hat.

VORAUSSETZUNG:Die Einwilligung muss den Anforderungen aus § 4a BDSG bzw. Art. 7 DSGVO gerecht werden. Der Betroffene muss zudem über die für ihn bestehenden möglichen Risiken derartiger Datenübermittlungen in Drittstaaten ohne angemessenes Datenschutzniveau vor Abgabe seiner Einwilligung unterrichtet werden.

EINSCHRÄNKUNG: Einwilligungen von Betroffenen sind i.d.R. nicht wirksam, wenn diese aufgrund von Abhängigkeiten (z.B. wirtschaftliche Abhängigkeit der Beschäftigten vom Arbeitgeber) und / oder unzureichender Informationen erteilt werden. Des Weiteren hat der EuGH in seinem Urteil ausgeführt, dass die anlasslose Massenüberwachung der amerikanischen Behörden den Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt. In derartige Eingriffe kann auch der Grundrechtsträger selbst gemäß ständiger Rechtsprechung des Bundesverfassungsgerichts nicht einwilligen.

Vertragserfüllung

Eine Datenübermittlung in die USA ist zulässig gemäß § 4c Abs. 1 S. 1 Nr. 2 BDSG bzw. Art. 49 Abs. 1 lit. b DSGVO, sofern die Übermittlung der personenbezogenen Daten

  • für die Erfüllung eines Vertrages, der zwischen dem Betroffenen und dem Verantwortlichen geschlossen wurde, oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich ist und
  • dem Interesse des Betroffenen entspricht, der im Vertrag seinen Ausdruck gefunden hat.

VORAUSSETZUNG: Die Erfüllung des Vertrags bzw. die Durchführung von vorvertraglichen Maßnahmen darf nicht anders zu bewirken sein als durch die Datenübermittlung gerade in die USA (z.B. wenn für Beschäftigte im Rahmen von Einsätzen in den USA Visa beantragt, Hotelzimmer, Flugticket und Mietwagen gebucht werden müssen).

EINSCHRÄNKUNG: Bei der Zentralisierung der Gehaltsabrechnung oder der Errichtung einer Personaldatenbank beim Mutterkonzern oder einer Schwestergesellschaft in den USA fehlt es bereits an der Erforderlichkeit sowie dem Interesse des Betroffenen.

Vertrag zu Gunsten des Betroffenen

Eine Datenübermittlung in die USA ist zulässig gemäß § 4c Abs. 1 S. 1 Nr. 3 BDSG bzw. Art. 49 Abs. 1 lit. c DSGVO, sofern

  • ein Vertrag zwischen dem Verantwortlichen und einem Dritten im Interesse des Betroffenen geschlossen wurde,
  • die Übermittlung zum Abschluss oder zur Erfüllung dieses Vertrages erforderlich ist und
  • die Übermittlung dem Interesse des Betroffenen entspricht, der in diesem Vertrag seinen Ausdruck gefunden hat.

VORAUSSETZUNG: Es muss sich um einen Vertrag i.S.v. § 328 BGB handeln, d.h. der Betroffene erwirbt unmittelbar das Recht, die Leistung zu fordern, die zwischen dem Verantwortlichen und dem Dritten vertraglich vereinbart wurde, und die Erfüllung des Vertrags darf nicht anders zu bewirken sein als durch die Datenübermittlung gerade in die USA (z.B. Auslandsversicherungen für Mitarbeiter, Kreditkartenverträge).

EINSCHRÄNKUNG: Bei der Zentralisierung der Gehaltsabrechnung oder der Errichtung einer Personaldatenbank beim Mutterkonzern oder einer Schwestergesellschaft in den USA fehlt es bereits an der Erforderlichkeit sowie dem Interesse des Betroffenen.

Angemessenheitsbeschluss der EU-Kommission

Eine Datenübermittlung in die USA darf vorgenommen werden gemäß Art. 45 DSGVO, wenn die EU-Kommission in einem Durchführungsrechtsakt beschließt, dass die USA ein angemessenes Datenschutzniveau aufweist.

Gemäß dem Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12.07.2016 hat die EU-Kommission festgestellt, dass die USA aufgrund der Abreden zum EU-US Privacy Shield (Grundsätze, die am 07.07.2016 vom US-Handelsministerium herausgegeben wurden, offizielle Erklärungen und Zusagen unterschiedlicher Repräsentanten der US-Administration in den Anhängen zum Durchführungsbeschluss) ein angemessenes Datenschutzniveau gewährleisten.

VORAUSSETZUNG: Das US-Unternehmen, an welches personenbezogene Daten übermittelt werden, muss eine Privacy-Shield-Zertifizierung besitzen.

EINSCHRÄNKUNG: Die Artikel-29-Gruppe bzw. der Europäische Datenschutzausschuss hat den Beschluss der EU-Kommission kritisiert und behält sich vor, die Wirksamkeit der Privacy-Shield-Mechanismen in 2017 zu überprüfen. Des Weiteren ist die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder der Auffassung, dass das EU-US Privacy Shield in seiner jetzigen Fassung noch nicht ausreicht und hat den deutschen Gesetzgeber aufgefordert, ein eigenständiges Klagerecht für die unabhängigen Datenschutzbehörden vorzusehen.

Standardvertragsklauseln

Gemäß Art. 46 Abs. 2 lit. c DSGVO darf eine Datenübermittlung erfolgen, wenn ein entsprechender EU-Standardvertrag abgeschlossen wurde zwischen dem Datenexporteur (= Verantwortlicher mit Sitz in der EU/EWR) und dem Datenimporteur (Verantwortlicher / Auftragsverarbeiter mit Sitz in den USA).

VORAUSSETZUNG: Die Standardvertragsklauseln sind im Annex zum Beschluss der EU-Kommission vom 05.02.2010 (2010/87/EU) oder der Entscheidung der EU-Kommission vom 15.06.2001 (2001/497/EG) bzw. vom 27.12.2004 (2004/915/EG) vorgegeben. Sie können gemäß Erwägungsgrund 109 der DSGVO in umfangreichen Verträgen aufgenommen werden und um weitere Klauseln oder zusätzliche Garantien ergänzt werden, solange diese weder mittelbar noch unmittelbar im Widerspruch zu den von der EU-Kommission oder einer Aufsichtsbehörde erlassenen Standard-Datenschutzklauseln stehen oder die Grundrechte und Grundfreiheiten der betroffenen Personen beschneiden. Wir empfehlen, die Standardvertragsklauseln in Wortlaut und Inhalt aus dem jeweiligen Annex zu übernehmen, gemäß den Vorgaben der nationalen Aufsichtsbehörden zu ergänzen und als EU-Standardvertrag gesondert abzuschließen.

EINSCHRÄNKUNG: Die nationalen Aufsichtsbehörden haben gemäß Art. 4 des Beschlusses 2010/87/EU bzw. der Entscheidung 2001/497/EG der EU-Kommission die Möglichkeit, Datenübermittlungen in die USA auf Grundlage des Standardvertrags 2010 per verwaltungsrechtlicher Anordnung zu verbieten. Im Rahmen des Safe Harbor-Urteils haben die nationalen Aufsichtsbehörden daher angekündigt, auch die Zulässigkeit der Standardvertragsklauseln als Grundlage für Datenübermittlugen in die USA zu prüfen. Diesbezüglich sind noch keine Ergebnisse bekannt.

Binding Corporate Rules

Gemäß Art. 47 DSGVO können verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, BCR) innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen getroffen werden.

VORAUSSETZUNG: Die BCR bedürfen der Genehmigung der Aufsichtsbehörden.

EINSCHRÄNKUNG: Die Genehmigung der Aufsichtsbehörde für solche BCR gilt grundsätzlich nur innerhalb des jeweiligen EU-Mitgliedstaates, in dem die Genehmigung erteilt wurde. Allerdings sind Aufsichtsbehörden gemäß Art. 63 DSGVO dazu angehalten, untereinander und gegebenenfalls mit der EU-Kommission zusammenzuarbeiten (Kohärenzverfahren).

Fazit

Für den Fall, dass der Angemessenheitsbeschluss der EU-Kommission zum EU-US Privacy Shield durch ein EuGH-Urteil erneut aufgehoben wird, empfehlen wir, weiterhin die Standardvertragsklauseln einzusetzen.

Falls auch die Standardvertragsklauseln zukünftig nicht mehr als anwendbare Übermittlungsgrundlage für Datentransfers in die USA in Betracht kommen, empfehlen wir, Alternativen zu prüfen, um personenbezogene Daten langfristig ausschließlich innerhalb der EU/EWR (EU-Mitgliedstaaten, Island, Norwegen, Liechtenstein) verarbeiten zu lassen.

Sabrina Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

ADCERT Angemessenheitsbeschluss Anwendbarkeit Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Audit Aufsichtsbehörde Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch BAG BDSG-Neu Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betrieblicher E-Mail-Account betrieblicher Internetzugang Betroffenenrechte BfDI BGH biometrische Daten Biometrische und genetische Daten Bonitätsprüfung Brexit Bundesarbeitsgericht Bußgeld BVG Cloud CNIL Compliance Cookie Datenlöschung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutzgrundverordnung Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung in Drittstaaten Datenverarbeitung Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO dynamische IP-Adresse eCall-Technologie Einwilligung Einwilligungserklärung Entsorgung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative EU-Datenschutz-Grundverordnung EuGH Facebook Fahrzeugdaten Fahrzeuge Fernmeldegeheimnis Fluggastdaten Gemeinsam Verantwortliche Home Office Informationspflichten Informationssicherheit IP-Adresse IT-Forensik IT-forensische Untersuchung IT-Sicherheit Joint Control Kanada Konzern konzerninterner Datentransfer Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Marktortprinzip Meldepflicht Meldescheine Microsoft NIST One Stop Shop Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Personalausweiskopien personenbezogene Daten Privacy by Default Privacy by Design Privacy Shield Privatnutzung Privatnutzungsverbot Profiling Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte der betroffenen Person Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Siegel Skype Sony PSN Standardvertragsklauseln Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telemediendienst Telemediengesetz TKG TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe USA Vereinbarung Vernichtung von Datenträgern Verordnung (EU) 2015/758 Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Vorteile Webseite Webseiten Webtrecking Werbung Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 42a BDSG § 42b BDSG § 88 TKG

An dieser Stelle wollen wir von Zeit zu Zeit unsere Web-Logs ("blogs") pflegen und unsere Meinung zu bestimmten Themen kundtun.

Die einzelnen Posts stellen jeweils die Meinung des Autors dar und nicht zwangsläufig jene der it.sec. Die Inhalte sind stellen keine Beratung dar und übernehmen für die Inhalte keine Haftung.

Tags

Mo Di Mi Do Fr Sa So
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30