Safe Harbor

Aus Datenschutz-Wiki
Zur Navigation springen Zur Suche springen

Safe Harbor war ein umstrittenes Abkommen, das es erlaubte, personenbezogene Daten von EU-Bürgern in den USA zu speichern und zu verarbeiten, bis der EuGH es für ungültig erklärte. Ob es wiederbelebt wird, ist noch ungeklärt.

Aufgrund der Aktuellen Ereignisse sollte im Moment höchste Sorgfalt angewendet werden und die aktuelle Fach-Berichterstattung sowie die Handlungsempfehlungen der Aufsichtsbehörden zu Rate gezogen werden, da Safe Harbor keine gültige Rechtsgrundlage für Datenübermittlungen in die USA ist.

Dieser Beitrag ist eine Zusammenstellung veröffentlichter Dokumente der Datenschutzaufsichtsbehörden, BfDI sowie zusätzlicher Informationen.

Das Abkommen

Safe Harbor war eine vom 06.07.2000 bis 6.10.2015 bestehende Vereinbarung zwischen der EU und dem Handelsministerium (Department of Commerce) der USA zu den Grundsätzen des sog. „sicheren Hafens“ (Safe Harbor, Kommissionsentscheidung 2000/520/EG[1]). Ausgangspunkt für diese Vereinbarung bilden die Vorschriften der Art. 25 und 26 der EU-Datenschutzrichtlinie, nach denen ein Datentransfer in Drittstaaten verboten ist, die über kein dem EU-Recht vergleichbares Datenschutzniveau verfügen. Dies trifft auf die USA zu, da es dort keine umfassenden gesetzlichen Regelungen zum Datenschutz gibt, die dem europäischen Standard entsprechen. Allerdings sieht Art. 25 Abs. 6 der Richtlinie vor, dass die Kommission der Europäischen Gemeinschaft die Angemessenheit des Datenschutzes in einem Drittland "feststellen" kann, wenn dieses bestimmte Anforderungen erfüllt. Ausführliches ist in den Erläuterungen zu Safe Harbor von BfDI nachzulesen[2].

Die Sicht der Datenschutzaufsichtsbehörden

Die Vereinbarung sollte ein angemessenes Datenschutzniveau bei US-amerikanischen Unternehmen sicherstellen, indem sich Unternehmen auf die in der Safe Harbor-Vereinbarung vorgegebenen Grundsätze verpflichteten[3]. Durch die Verpflichtung und eine Meldung an die Federal Trade Commission (FTC) konnten sich die Unternehmen selbst zertifizieren. So zertifizierte US-Unternehmen schafften damit grundsätzlich die Voraussetzungen, dass eine Übermittlung personenbezogener Daten aus Europa an sie unter denselben Bedingungen möglich war, wie Übermittlungen innerhalb des europäischen Wirtschaftsraumes (EU/EWR). Das US-Handelsministerium veröffentlichte eine Safe-Harbor-Liste aller zertifizierten Unternehmen im Internet (Trade Information Center: U.S.-EU Safe Harbor List).

Die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich wiesen im Beschluss vom 28./29. April 2010[3] darauf hin, dass

  • die Safe Harbor-Selbstzertifizierungen vorliegen und deren Grundsätze auch eingehalten werden müssen,
  • die Gültigkeit der Safe Habor-Zertifizierung des Importeurs geklärt sein muss und
  • der Informationspflicht des importierenden Unternehmens gegenüber den von der Datenverarbeitung Betroffenen nachkommen werden muss.

Die Inhalte der Informationspflicht umfassten diese Punkte:

  • Die Organisation (Unternehmen) muss Privatpersonen darüber informieren, zu welchem Zweck sie die Daten über sie erhebt und verwendet, wie sie die Organisation bei eventuellen Nachfragen oder Beschwerden kontaktieren können,
  • Die Kategorien von Dritten an die Daten weitergegeben werden und welche Mittel und Wege sie den Privatpersonen zur Verfügung stellt, um die Verwendung und Weitergabe der Daten einzuschränken.

Diese Angaben waren den Betroffenen bei der ersten Erhebung bzw. baldmöglichst danach, vor einer Zweckänderung oder der Übermittlung seiner personenbezogenen Daten unmissverständlich und deutlich erkennbar zu machen.

Aktuelle Ereignisse

Als im zweiten Halbjahr 2013 das enorme Ausmaß der Überwachung der digitalen Kommunikation durch US-amerikanische Geheimdienste durch die Enthüllungen Edward Snowdens bekannt wurden, stellte sich für die Politik, für die Aufsichtsbehörden und für die datenexportierenden Unternehmen und ihre Datenschutzbeauftragten die Frage nach der weiteren Anwendung des Safe-Harbor-Abkommens.

Mit der Praxis der Fernmeldeüberwachung in Europa durch die NSA in Gestalt des Abhörsystems „Echelon“ hatte sich bereits der Echelon-Ausschuss des Europäischen Parlaments befasst. Sein Mitte des Jahres 2001 vorgelegter Bericht ließ keine Zweifel mehr daran zu, dass ein globales Kommunikationsabhörsystem existiert, dessen Zielsetzung das Abhören privater und kommerzieller - nicht-militärischer - Kommunikation ist (vgl. Abhörsystem "Echelon"[4], Bericht über die Existenz eines globalen Abhörsystems[5]). Nach den Anschlägen vom 11. September 2001 auf das World Trade Center und das Pentagon wurde die Thematik des Berichts jedoch politische nicht weiter verfolgt.

2013: Safe Harbor erlebt stürmische Zeiten

Europa

Die Europäische Kommission forderte im November 2013 die Wiederherstellung des Vertrauens in die Datenströme und beim Datenaustausch zwischen der EU und den USA[6][7].

Der Innenausschuss des Europaparlaments stimmte dafür, das Safe Habor-Abkommen auszusetzen[8]. Im zur Entschließung vorgelegten Entwurf eines Berichtes des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres (2013/2188(INI)) wird die Auffassung vertreten, „dass die Grundsätze des „sicheren Hafens“ den EU-Bürgern unter den jetzigen Umständen keinen angemessenen Schutz bieten“[9]. Zum Zeitpunkt stand eine Entschließung des EU-Parlaments zur Konsolidierung oder Aussetzung des Safe Harbor-Abkommens und anderer Vereinbarungen noch aus. (Dokumente zur Berichterstattung: Procedure reference 2013/2188(INI), Committee dossier LIBE/7/13778: COM(2013) 846 final (PDF), COM(2013) 847 final (PDF), Resolution 1954(2013) (PDF), Parltrack 2013/2188(INI))


Bis zur Entscheidung wurden der US-Seite dreizehn Empfehlungen an die Hand gegeben, mittels derer der auf Safe Harbor gestützte Datentransfer im Hinblick auf Transparenz, Rechtsschutz, Durchsetzung und den Zugang für US-Behörden optimiert werden könne[7]. Der zusammengefaßte Überblick des LfD Baden-Württemberg[10]:

  • eine verstärkte Information der Betroffenen auf der Internet-Präsenz der betroffenen Unternehmen, z.B. über den aktuellen Stand der Zertifizierung, den Wortlaut der „privacy policy“ des Unternehmens, Unterauftragsverhältnisse, Beschwerdemöglichkeiten und allgemeine Informationen über im US-Recht vorgesehene Zugriffsmöglichkeiten für US-Geheimdienste;
  • eine Intensivierung der Kontrollen und verhängten Sanktionen durch die US-Aufsichtsbehörden (U.S. Department of Commerce und U.S. Federal Trade Commission), z.B. die Veröffentlichung festgestellter Datenschutzverstöße, stichprobenartige, anlassunabhängige Vorortkontrollen sowie regelmäßige Nachkontrollen bei festgestellten Verstößen;
  • einen Appell an die Behörden der USA, die für die Erfordernisse der nationalen Sicherheit vorgesehenen Ausnahmeregelungen künftig nur noch im unbedingt erforderlichen Umfang und unter strikter Beachtung des Gebots der Verhältnismäßigkeit in Anspruch zu nehmen.


Ausführlichere Informationen zu den Empfehlungen und Hintergründen können der Mitteilung der Kommission an das Europäische Parlament und den Rat über die Funktionsweise der Safe-Harbor-Regelung aus Sicht der EU-Bürger und der in der EU niedergelassenen Unternehmen (COM(2013) 847)[11] entnommen werden. Diese beruhen z.T. auf den Erkenntnissen der Ad-hoc-Arbeitsgruppe EU-USA, die infolge der Enthüllungen über die US-Überwachungsprogramme eingerichtet wurde (siehe o.e Bericht).

Deutschland

Im Juli 2013 gaben die Datenschutzbeauftragten des Bundes und der Länder bekannt, dass durch die Überwachungspraxis die Grundsätze in den Kommissionsentscheidungen (Safe Harbor-Grundsätze, Standardvertragsklauseln) verletzt würden. Den Grund dafür sahen sie in den Erkenntnissen zum umfassenden und anlasslosen Zugriff - ohne die Einhaltung der Grundsätze der Erforderlichkeit, Verhältnismäßigkeit und Zweckbindung - auf personenbezogene Daten, die von Unternehmen in Deutschland an Stellen in den USA übermittelt werden[12].

Bevor nicht sichergestellt ist, dass „der unbeschränkte Zugriff ausländischer Nachrichtendienste auf die personenbezogenen Daten der Menschen in Deutschland effektiv im Sinne der genannten Grundsätze begrenzt wird“, behalten sich die Aufsichtsbehörden das Recht vor, „keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten (zum Beispiel auch zur Nutzung bestimmter Cloud-Dienste)“ zu erteilen und zu prüfen, „ob solche Datenübermittlungen auf der Grundlage des Safe Harbor-Abkommens und der Standardvertragsklauseln auszusetzen sind.“.

2015: Unsafe Harbor geht unter

Am 06.10.2015 erklärte der Europäische Gerichtshof im Urteil zur Rechtssache C‑362/14 die Entscheidung 2000/520 der EU-Kommission für ungültig und folgte weitgehend dem Rechtsgutachten des Generalanwaltes[13]. Der EuGH stärkt mit diesem Urteil zum einen die Unabhängigkeit der Datenschutzaufsichtsbehörden, indem er klar feststellt, dass die Kompetenzen und Befugnisse der nationalen Kontrollstellen durch Entscheidungen der EU-Kommission nicht tangiert werden.

„Nach alledem ist auf die vorgelegten Fragen zu antworten, dass Art. 25 Abs. 6 der Richtlinie 95/46 im Licht der Art. 7, 8 und 47 der Charta dahin auszulegen ist, dass eine aufgrund dieser Bestimmung ergangene Entscheidung wie die Entscheidung 2000/520, in der die Kommission feststellt, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, eine Kontrollstelle eines Mitgliedstaats im Sinne von Art. 28 der Richtlinie nicht daran hindert, die Eingabe einer Person zu prüfen, die sich auf den Schutz ihrer Rechte und Freiheiten bei der Verarbeitung sie betreffender personenbezogener Daten, die aus einem Mitgliedstaat in dieses Drittland übermittelt wurden, bezieht, wenn diese Person geltend macht, dass das Recht und die Praxis dieses Landes kein angemessenes Schutzniveau gewährleisteten.“

– Europäischer Gerichtshof, Urteil vom 6. Oktober 2015 in der Rechtssache C‑362/14, Rdnr. 66

Zum anderen weist der EuGH deutlich darauf hin, dass ein angemessenes Schutzniveau nicht besteht, wenn Behörden generell auf elektronische Kommunikationsdaten zugreifen und eine wirksame rechtsstaatliche Kontrolle nicht gegeben ist. Dies ist mit den europäischen Grundsätzen zum Schutz personenbezogener Daten nicht vereinbar.

„Hierzu ist festzustellen, dass angesichts der besonderen Bedeutung des Schutzes personenbezogener Daten für das Grundrecht auf Achtung der Privatsphäre und der großen Zahl von Personen, deren Grundrechte im Fall der Übermittlung personenbezogener Daten in ein Drittland, das kein angemessenes Schutzniveau gewährleistet, verletzt werden können, der Wertungsspielraum der Kommission hinsichtlich der Angemessenheit des durch ein Drittland gewährleisteten Schutzniveaus eingeschränkt ist, so dass eine strikte Kontrolle der Anforderungen vorzunehmen ist, die sich aus Art. 25 der Richtlinie 95/46 im Licht der Charta ergeben.

Insbesondere verletzt eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des durch Art. 7 der Charta garantierten Grundrechts auf Achtung des Privatlebens.

Desgleichen verletzt eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des in Art. 47 der Charta verankerten Grundrechts auf wirksamen gerichtlichen Rechtsschutz. Nach Art. 47 Abs. 1 der Charta hat nämlich jede Person, deren durch das Recht der Union garantierte Rechte oder Freiheiten verletzt worden sind, das Recht, nach Maßgabe der in diesem Artikel vorgesehenen Bedingungen bei einem Gericht einen wirksamen Rechtsbehelf einzulegen. Insoweit ist schon das Vorhandensein einer wirksamen, zur Gewährleistung der Einhaltung des Unionsrechts dienenden gerichtlichen Kontrolle dem Wesen eines Rechtsstaats inhärent.“

– Europäischer Gerichtshof, Urteil vom 6. Oktober 2015 in der Rechtssache C‑362/14, Rdnr. 78, 94, 95

Die US-Handelsministerin zeigte sich vom Urteil tief enttäuscht[14]. Die EU-Kommission erklärte Datenübermittlungen in die USA für weiterhin mit dem europäischen Recht vereinbar und verwies auf die Verhandlungen zu den dreizehn Empfehlungen[15].

Hingegen sehen sich die Aufsichtsbehörden in ihrer jahrelangen Kritik an dem Abkommen bestätigt und kündigten an, eine Aussetzung von Datentransfers in die USA sowie andere Rechtsgrundlagen wie Standardvertragsklauseln, Einwilligung oder Binding Corporate Rules zu prüfen[16]. Die Artikel-29-Datenschutzgruppe teilte mit, umgehend eine Analyse des Urteils durchführen und über mögliche Konsequenzen beraten zu wollen[17].

Die Folgen des Untergangs

Positionspapier der Aufsichtsbehörden

Die unabhängigen Datenschutzbehörden des Bundes und der Länder rufen die Unternehmen auf, ihre Verfahren zum Datentransfer unverzüglich datenschutzgerecht zu gestalten.

In ihrem Positionspapier[18] stellt die Datenschutzkonferenz (DSK) die Unzulässigkeit der Datenübermittlung auf Grundlage der Safe-Harbor-Entscheidung 2000/520/EG fest sowie die Zulässigkeit von Datentransfers in die USA auf Grundlagen wie Standardvertragsklauseln oder verbindlichen Unternehmensregelungen (BCR) in Frage. Der von der Artikel-29-Gruppe gesetzten Frist, bis Ende Januar 2016 eine geeignete Lösung für Datenübermittlungen in die USA zu finden, die die fundamentalen Rechte der Betroffenen respektiert[19], stimmte die DSK zu und formulierte ihrerseits Anforderungen an den Gesetzgeber. An die Beteiligten von Verhandlungen appelliert sie, auf die Einhaltung eines angemessenen Grundrechtsstandards hinsichtlich Privatsphäre und Datenschutz zu drängen.

Für einen Datenexport in die USA oder andere Drittländer wird auf die Entschließung der DSK vom 27.03.2014 "Gewährleistung der Menschenrechte bei der elektronischen Kommunikation" (siehe auch Anlage (PDF)) und auf die Orientierungshilfe "Cloud Computing" vom 09.10.2014 verwiesen.

Die Aufsichtsbehörden erklären in ihrem Positionspapier, dass

  • sie bei der "Ausübung ihrer Prüfbefugnisse nach Art. 4 der jeweiligen Kommissionsentscheidungen zu den Standardvertragsklauseln vom 27. Dezember 2004 (2004/915/EG) und vom 5. Februar 2010 (2010/87/EU) die vom EuGH formulierten Grundsätze, insbesondere die Randnummern 94 und 95 des Urteils, zugrunde legen" werden.
  • sie ausschließlich auf Safe-Harbor gestützte Datenübermittlungen in die USA untersagen werden.
  • derzeit keine neuen Genehmigungen für Datenübermittlungen in die USA auf Grundlage von verbindlichen Unternehmensregelungen (BCR) oder Datenexportverträgen erteilt würden.
  • eine Einwilligung zum Transfer personenbezogener Daten unter engen Bedingungen eine tragfähige Grundlage sein könne. Grundsätzlich dürfe der Datentransfer jedoch nicht wiederholt, massenhaft oder routinemäßig erfolgen.
  • beim Export von Beschäftigtendaten oder wenn gleichzeitig auch Daten Dritter betroffen sind, die Einwilligung nur in Ausnahmefällen eine zulässige Grundlage für eine Datenübermittlung in die USA sein könne.
Folgerungen des LfDI Rheinland-Pfalz

Der LfDI folgt den Einschätzungen der Datenschutzkonferenz und sieht in seiner Stellungnahme[20] die Datenübermittlung aufgrund der Safe-Harbor-Entscheidung als nicht mehr zulässig an. Die Übermittlung von personenbezogenen Daten in die USA sei nur noch ausnahmsweise zulässig (§ 4c BDSG) und bedürfe, abgesehen der Ausnahmeregelungen in § 4c Abs. 1 BDSG, der ausdrücklichen Genehmigung des LfDI. Er wird im Einzelfall prüfen, ob Datenexporteure und -importeure ihren vertraglichen Verpflichtungen nachkommen und zunächst keine neuen Genehmigungen für Datenübermittlungen Grundlage der BCR erteilen können. Eine Einwilligung als zulässige Grundlage für eine Datenübermittlung sieht der LfDI nur in seltenen Fällen als wirksam an und schließt sie für Beschäftigtendaten regelmäßig aus.

Den datenexportierenden Unternehmen wird empfohlen, bis zum 31.01.2016 zu prüfen

  • auf welcher Rechtsgrundlage bislang Datenübermittlungen in die USA stattfinden,
  • insbesondere ob bisher Übermittlungen auf Grundlage der jetzt für ungültig erklärten Safe Harbor-Entscheidung der EU-Kommission erfolgten,
  • ob die Entscheidung des EuGH Grundlage einer außerordentlichen Kündigung bestehender Vertragsbeziehungen zu Safe Harbor-zertifizierten Unternehmen in den USA ist und
  • welche alternativen Übermittlungsmöglichkeiten in die USA bestehen.

Die Aufsichtsbehörde stellt hierbei ihre unterstützende und beratende Position in Aussicht und weist auf stichprobenartige und gleichförmige Kontrollen der Rechtsgrundlagen, vertragliche Bindungen sowie der Nutzung und Prüfung von Alternativen ab Februar hin.

Positionspapier des ULD

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein veröffentlichte ein Positionspapier zum Safe-Harbor-Urteil des EuGH und stellt darin u.a. die Rechtsgrundlagen für Übermittlungen personenbezogener Daten in Länder ohne angemessenes Datenschutzniveau klar: Nicht-öffentliche Stellen müssen eine solche Übermittlung anhand von § 4c Abs. 1 BDSG beurteilen. Das ULD kommt hinsichtlich der wirksamen Einwilligung gem. § 4a BDSG zu dem Ergebnis, dass diese als Rechtsgrundlage für die Zulässigkeit der Übermittlung trotz eines fehlenden angemessenen Datenschutzniveaus ausscheide. Für die nicht-öffentlichen Stellen käme somit als Rechtsgrundlage im Wesentlichen nur § 4c Abs. 1 Nr. 2 und 3 BDSG in Betracht. Zudem wird - in konsequenter Anwendung der Vorgaben des EuGH - eine Datenübermittlung auf Basis von Standardvertragsklauseln nicht mehr als zulässig erachtet.

2016

EU-US Privacy Shield

Anfang Februar einigte sich die EU-Kommission mit den USA grundsätzlich auf einen Entwurf zu einem EU-US Privacy Shield (EU-US-Datenschutzschild) als Nachfolgeabkommen des Safe-Harbor-Abkommens[21][22]. Die neue Regelung umfasst nach Verlautbarung der Kommission folgende Elemente:

  • Strenge Auflagen für Unternehmen, die personenbezogene Daten europäischer Bürgerinnen und Bürger verarbeiten, sowie konsequente Durchsetzung
  • Klare Schutzvorkehrungen und Transparenzpflichten bei Zugriff durch US-Regierung
  • Wirksamer Schutz der Rechte der EU-Bürgerinnen und -Bürger durch verschiedene Rechtsbehelfe

Die Artikel-29-Datenschutzgruppe begrüßte die Einigung zwischen der EU und den USA und erwartet für eine Einschätzung der Vereinbarung die relevanten Dokumente mit genauen Inhalten und rechtlichen Verbindlichkeiten bis Ende Februar. Im Anschluss an ihre Bewertung wird die Gruppe entscheiden, ob für Übermittlungen personenbezogener Daten in die USA bisherige Grundlagen wie Standardvertragsklauseln oder Binding Corporate Rules weiterhin genutzt werden können[23].

Ein neuer Name allein bringe für Verbraucher keine Verbesserungen. Die Reaktionen auf die Bekanntgabe der EU-Kommission reichen von Skepsis gegenüber den geplanten Inhalten sowie deren Standhalten vor dem EuGH[24][25] über die Annahme einer lediglich politischen Einigung, um die von den Aufsichtsbehörden gesetzte Frist zu wahren[26], bis zu Kritik an der Intransparenz der Verhandlungen und Zweifeln daran, dass überhaupt Zusagen seitens der US-Administration gemacht wurden und eine Vereinbarung existiert[27]. Datenschützer des Berufsverbandes der Datenschutzbeauftragten Deutschlands (BvD) kritisieren am Entwurf, dass es keine Rechtssicherheit gäbe, weil auf Seiten der USA keine gesetzliche oder international bindende Vertragliche Regelung vorgesehen sei[28]. Gleichwohl wird die Herausforderung an eine Vereinbarung gesehen, die europäischen Datenschutzstandards genügt, den Anforderungen des EuGH entspricht sowie praktikabel für die Unternehmen ist[29].

Abzuwarten bleibt, ob das EU-US Privacy Shield sowohl Anforderungen als auch Garantien tatsächlich erfüllen kann[30].


Ende Februar veröffentlichte die EU-Kommission ein Legislativpaket zum EU-US-Datenschutzschild sowie einen Angemessenheitsbeschluss, der u.a. die von Unternehmen einzuhaltenden Datenschutzgrundsätze sowie schriftliche Zusicherungen der US-Regierung enthält.

Ältere Hinweise

Das Folgende sollte hinsichtlich der vorgehenden Erläuterungen mit entsprechender Sorgfalt bedacht werden. Die Aufsichtsbehörden und die Artikel-29-Datenschutzgruppe stimmen darin überein, dass die bisherigen Grundlagen bis Ende Januar 2016 geprüft und ggf. neu erarbeitet werden müssen.


Im September 2013 äußerte sich der Düsseldorfer Kreis zur Datenübermittlung in Drittstaaten. Die notwendige Prüfung von Datenschutzfragen erfolgt nach einem Stufenmodell und erst beim Vorliegen eines positiven Prüfungsergebnisses beider Stufen, wird die Datenübermittlung als zulässig angesehen[31]:

  • Auf der ersten Stufe ist es erforderlich, dass die Datenübermittlung durch eine Einwilligung der betroffenen Person oder eine Rechtsvorschrift gerechtfertigt ist. Hierbei gelten die allgemeinen Datenschutzvorschriften (z.B. § 28 und § 32 Bundesdatenschutzgesetz (BDSG)) mit der Besonderheit, dass trotz Vorliegens einer Auftragsdatenverarbeitung die Datenübermittlung nach § 4 Abs. 1 BDSG zulässig sein muss (vgl. § 3 Abs. 8 BDSG). Bei Auftragsdatenverarbeitung ist der Prüfungsmaßstab in der Regel § 28 Abs. 1 Satz 1 Nr. 2 BDSG, bei sensitiven Daten ist § 28 Abs. 6 ff. BDSG zu beachten.
  • Auf der zweiten Stufe ist zu prüfen, ob im Ausland ein angemessenes Datenschutzniveau besteht oder die Ausnahmen nach § 4c BDSG vorliegen.

Prüfmaßnahmen

Für alle betroffenen Unternehmen stellt sich die Frage, wie sie als datenexportierende Stellen ihren Prüfpflichten in Bezug auf den Importeur in den USA nachkommen können und was hierfür konkret zu veranlassen ist. Die notwendigen Prüfmaßnahmen (exklusive der Safe-Harbor-Bestimmungen) sind:

  • Prüfung der "privacy policy" des Importeurs: Soweit hier Unklarheiten bestehen, z.B. in Bezug auf die in der policy genannten Verarbeitungszwecke, müssen diese aufgeklärt werden;
  • Prüfung, ob die Informationen für die Betroffenen hinreichend sind (siehe oben Informationspflicht)
  • Prüfung und Test des in der policy beschriebenen Systems zur Durchsetzung von Betroffenenrechten auf Plausibilität und Funktionsfähigkeit;
  • Kontaktaufnahme mit Personen, die als Ansprechpartner genannt werden und Befragung zu den entsprechenden Aufgaben;
  • Im Falle der Auftragsdatenverarbeitung: Sicherstellung, dass Informationen für die Beantwortung z.B. von Auskunftsersuchen in annehmbarer Zeit an den Auftraggeber weitergeleitet werden;
  • Prüfung, wie im Falle von Weiterübermittlungen der Daten ("onward transfers") durch den Importeur verfahren wird, d.h. insbesondere die Frage nach existierenden Vertragsmustern für die Weitergabe in Form der Auftragsdatenverarbeitung, Einräumung eines Widerspruchsrechts/Einholung der Einwilligung der Betroffenen.

Die Tätigkeiten, die im Zusammenhang mit dieser Prüfung erfolgen, sollten dokumentiert werden, um die Prüfung auf Anfrage der Aufsichtsbehörde nachweisen zu können.

Garantien

Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts der Betroffenen und der Ausübung der damit verbundenen Rechte können sich aus (Standard-)Vertragsklauseln[32][33][34] oder verbindlichen Unternehmensregelungen (sog. Binding Corporate Rules, BCR) ergeben.

Die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern können als Word-Dokument in der Version vom 05.02.2010 heruntergeladen werden (andere Sprachen und Versionen sind hier verfügbar: Model contracts for the transfer of personal data to third countries).

Verbindliche Unternehmensregelungen (BCR) stellen grundsätzlich einen Unterfall vertraglicher Vereinbarungen dar. Für die Ausgestaltung solcher Unternehmensregelungen ist ausschlaggebend, dass sie in einer rechtlich verbindlichen, alle Konzernunternehmen und Unternehmensteile gleichermaßen verpflichtenden Weise beschlossen werden und dass dies nach innen in Form von Handlungsanweisungen der jeweiligen Arbeitgeber gegenüber allen Arbeitnehmern umgesetzt wird, beispielsweise mithilfe einer Betriebsvereinbarung[35].


Die Artikel-29-Gruppe erstellt seit 2005 Arbeitspapiere, die europaweit von den Datenschutzbehörden als Hilfsmittel genutzt werden können:

  • Arbeitsdokument „Muster-Checkliste für Anträge auf Genehmigungen verbindlicher unternehmensinterner Datenschutzregelungen“ - WP 108 vom 14.04.2005 (PDF)
  • Arbeitsdokument „Festlegung eines Kooperationsverfahrens zwecks Abgabe gemeinsamer Stellungnahmen zur Angemessenheit der verbindlich festgelegten unternehmensinternen Datenschutzgarantien“ - WP 107 vom 14.04.2005 (PDF)
  • die Empfehlungen für ein Standardantragsverfahren - WP 133 vom 10.01.2007 (DOC)
  • Arbeitsdokument mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher unternehmensinterner Datenschutzregelungen (BCR) - WP 153 vom 24.06.2008 (PDF)
  • Arbeitsdokument „Rahmen für verbindliche unternehmensinterne Datenschutzregelungen (BCR)“ - WP 154 vom 24.06.2008 (PDF)
  • Arbeitsdokument zu „Häufig gestellten Fragen“ über verbindliche unternehmensinterne Datenschutzregelungen (BCR) - WP 155 (Rev.4), letzte Überarbeitung 08.04.2009 (PDF)
  • Arbeitsdokument 02/2012 mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher unternehmensinterner Datenschutzregelungen (BCR) für Auftragsverarbeiter - WP 195 vom 06.06.2012 (PDF)


Einzelnachweise

  1. ^ 2000/520/EG: Entscheidung der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des "sicheren Hafens" und der diesbezüglichen "Häufig gestellten Fragen" (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA
  2. ^ BfDI: Erläuterungen zu Safe Harbor
  3. ^ a b Beschluss des Düsseldorfer Kreises am 28./29. April 2010 Prüfung der Selbst-Zertifizierung des Datenimporteurs nach dem Safe-Harbor-Abkommen durch das Daten exportierende Unternehmen
  4. ^ Abhörsystem "Echelon", nicht-legislative Stellungnahme des Echelon-Ausschusses
  5. ^ Bericht über die Existenz eines globalen Abhörsystems für private und wirtschaftliche Kommunikation (Abhörsystem ECHELON) (2001/2098 (INI)) (PDF)
  6. ^ Europäische Kommission fordert Wiederherstellung des Vertrauens in die Datenströme zwischen der EU und den USA
  7. ^ a b Wiederherstellung des Vertrauens beim Datenaustausch zwischen der EU und den USA - Häufig gestellte Fragen (MEMO/13/1059)
  8. ^ Datenaustausch mit USA: Debatte über Safe-Harbour-Abkommen nach NSA-Skandal
  9. ^ Entwurf eines Berichtes über das Überwachungsprogramm der Nationalen Sicherheitsagentur der Vereinigten Staaten, die Überwachungsbehörden in mehreren Mitgliedstaaten und die entsprechenden Auswirkungen auf die Grundrechte der EU-Bürger und die transatlantische Zusammenarbeit im Bereich Justiz und Inneres (2013/2188(INI)) (PDF)
  10. ^ 31. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Baden-Württemberg, 1.3.7 Internationaler Datentransfer: Safe Harbor in stürmischen Zeiten
  11. ^ Mitteilung der Kommission an das Europäische Parlament und den Rat über die Funktionsweise der Safe-Harbor-Regelung aus Sicht der EU-Bürger und der in der EU niedergelassenen Unternehmen (COM(2013) 847) (PDF)
  12. ^ Pressemitteilung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 24. Juli 2013 Geheimdienste gefährden massiv den Datenverkehr zwischen Deutschland und außereuropäischen Staaten
  13. ^ Case C‑362/14: The Opinion of Advocate General Bot
  14. ^ Statement from U.S. Secretary of Commerce Penny Pritzker on European Court of Justice Safe Harbor Framework Decision
  15. ^ First Vice-President Timmermans and Commissioner Jourová 's press conference on Safe Harbour following the Court ruling in case C-362/14
  16. ^ HmbBfDI: EuGH kippt transatlantisches Safe Harbor-Abkommen
  17. ^ Pressemitteilung Artikel-29-Datenschutzgruppe: The Court of Justice of the European Union invalidates the EU Commission Safe Harbor Decision vom 6.Oktober 2015 (PDF)
  18. ^ Positionspapier der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, Sondersitzung der DSK am 21.Oktober 2015 (PDF)
  19. ^ Statement of the Article 29 Working Party vom 16.Oktober 2015 (PDF)
  20. ^ Folgerungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz aus dem Urteil des EuGH vom 6.Oktober 2015 (PDF)
  21. ^ Pressemitteilung der Europäischen Kommission vom 02.02.2016: Kommission und Vereinigte Staaten einigen sich auf neuen Rahmen für die transatlantische Datenübermittlung: den EU-US-Datenschutzschild
  22. ^ Fact Sheet EU-U.S. Privacy Shield - Office of Public Affairs des Department of Commerce vom 02.02.2016: The EU-U.S. Privacy Shield significantly improves commercial oversight and enhances privacy protections.
  23. ^ Statement of the Article 29 Working Party on the consequences of the Schrems jugdment vom 03.02.2016 (PDF)
  24. ^ Presseerklärung der Deutschen Vereinigung für Datenschutz e.V. - DVD: EU-US Privacy Shield – Nachfolgeregelung zu Safe Harbor noch in weiter Ferne – Grundrechtsschutz durch Briefwechsel? (PDF)
  25. ^ Pressemitteilung Verbraucherzentrale Bundesverband - vzbv: Privacy Shield: Fragen zum Verbraucherschutz noch immer offen
  26. ^ Hintergründe bei Legal Tribune Online - LTO: Politische Einigung über Safe-Harbor-Ersatz - Neuer Datenschutz, alte Fragezeichen
  27. ^ Hintergründe bei European Digital Rights - EDRi: What’s behind the shield? Unspinning the “privacy shield” spin
  28. ^ BvD fordert Rechtssicherheit bei „Safe Harbour“-Nachfolge - „EU-US Privacy Shield“ muss transparent und nachprüfbar sein
  29. ^ Pressemeldung des Verbandes der Internetwirtschaft e.V. - eco: EU-US Privacy Shield: eco fordert interessengerechte Regelung für internationalen Datentransfer
  30. ^ Pressemitteilung BfDI: Safe Harbor Nachfolgeerklärung „Privacy Shield“ muss gründlich geprüft werden
  31. ^ Beschluss des Düsseldorfer Kreises vom 11./12.09.2013 Datenübermittlung in Drittstaaten
  32. ^ 2001/497/EG: Entscheidung der Kommission vom 15. Juni 2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG
  33. ^ 2004/915/EG: Entscheidung der Kommission vom 27. Dezember 2004 zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer
  34. ^ 2010/87/EU: Beschluss der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates
  35. ^ BfDI: Personaldatenfluss im internationalen Konzern


Dieser Text wurde aus dem Datenschutz-Wiki der BfDI übernommen. Bearbeitungen vor dem 16.April 2016 stehen unter der Lizenz Creative Commons Namensnennung 3.0 Deutschland.