Internationaler Datenverkehr

Die sich stetig verstärkende Internationalisierung von Arbeits- und Geschäftsprozessen von Unternehmen und Unternehmensgruppen und der damit verbundene steigende internationale Datenverkehr wirft zum Teil sehr komplexe datenschutzrechtliche Fragen auf. Gerade im Hinblick auf die EU-Datenschutz-Grundverordnung und die Entwicklungen zu Safe Harbor bzw. dem EU-US Privacy Shield besteht derzeit aus datenschutzrechtlicher Hinsicht ein immenser Informationsbedarf.

Das BayLDA informiert daher auf dieser Seite regelmäßig über die Updates zu diesen Thema. Am Seitenende finden Sie darüberhinaus einige einschlägige Links, die gerade den Umgang mit Daten im multinationalen Konzern erklären, zusammengestellt.

Ansbach, 29.09.2016

EU-U.S. Privacy Shield in Kraft

Da es seit dem 1. August 2016 für U.S.-Unternehmen möglich ist, sich nach den Regeln des EU-U.S. Datenschutzschilds (Privacy Shield) zu zertifizieren, finden sich auf der vom U.S. Handelsministerium geführten Liste bereits eine Anzahl von Unternehmen, für die der Selbst-Zertifizierungsprozess abgeschlossen ist. Da der Beschluss der Europäischen Kommission zum EU-U.S. Privacy Shield bindend ist, kann das Privacy Shield nun trotz der von den Datenschutzbehörden geäußerten Kritik an den Regelungen (s.u.) als Grundlage genutzt werden, um personenbezogene Daten aus Europa an zertifizierte U.S.-Unternehmen zu transferieren. Die für den Datenexport verantwortlichen europäischen Stellen (z.B. Unternehmen) haben dabei stets darauf zu achten, dass das U.S.-Unternehmen, an das die Daten übermittelt werden, auch tatsächlich auf o.g. Liste des U.S.-Handelsministeriums eingetragen ist. Ferner muss das datenexportierende Unternehmen anhand des Listeneintrags auch überprüfen, ob die Zertifizierung auch die Kategorie von Daten umfasst (Beschäftigtendaten="HR" oder sonstige Daten = "Non HR"), die übermittelt werden soll.

Der von der Europäischen Kommission zum Privacy Shield veröffentlichte Leitfaden für Bürger und Bürgerinnen, in dem vor allem die Rechte Betroffener dargestellt werden, ist inzwischen auch in deutscher Sprache verfügbar.

Ansbach, 22.07.2016

EU-US Privacy Shield verabschiedet

Der EU-US Privacy Shield ist am 12. Juli 2016 von der Europäischen Kommission verabschiedet worden. Laut einer Pressemitteilung der Kommission wird es US-Unternehmen ab dem 1. August 2016 möglich sein, eine entsprechende Zertifizierung zu erhalten. Mit der Zertifizierung unterwirft sich ein US-Unternehmen den Regeln des Privacy Shield und erhält damit die Möglichkeit, auf der Grundlage dieses Regelwerks personenbezogene Daten aus Europa zu erhalten. Damit können auf dieser Grundlage personenbezogene Daten aus der EU grundsätzlich an zertifizierte US-Unternehmen übermittelt werden (sofern auch die übrigen datenschutzrechtlichen Anforderungen an eine Übermittlung erfüllt sind).

Die Europäische Kommission hat weiter angekündigt, in Kürze einen Leitfaden zu veröffentlichen, der Betroffenen aus der EU, deren Daten an zertifizierte US-Unternehmen übermittelt wurden, ihre datenschutzrechtlichen Rechte unter dem EU-U.S. Privacy Shield anschaulich erläutert.

Der Beschluss der Kommission zum EU-U.S. Privacy Shield wird in Kürze in allen europäischen Amtssprachen im Amtsblatt der Europäischen Union veröffentlicht werden. Sobald die Texte in deutscher Sprache verfügbar sind, wird an dieser Stelle ein entsprechender Hinweis erfolgen.

Das US-Handelsministerium wird auf seiner Homepage eine Liste der US-Unternehmen führen, die sich nach dem Privacy Shield zertifiziert haben. Damit können Unternehmen aus der Europäischen Union, die personenbezogene Daten an US-Unternehmen übermitteln wollen, prüfen, ob das entsprechende US-Unternehmen eine aktuelle Privacy-Shield-Zertifizierung besitzt. Nähere Informationen hierzu werden wir zu gegebener Zeit auch an dieser Stelle veröffentlichen.

Neben dem neuen Instrument Privacy Shield besteht weiterhin die Möglichkeit, personenbezogene Daten auf der Grundlage von verbindlichen Unternehmensregeln (Binding Corporate Rules, BCR) sowie Standardvertragsklauseln zu übermitteln, wobei die Wirksamkeit der Standardvertragsklauseln derzeit einer gerichtlichen Prüfung in einem Verfahren in Irland unterzogen ist.

Achtung: Personenbezogene Daten können auf der Grundlage des Privacy Shield an ein US-Unternehmen erst übermittelt werden, sobald das Unternehmen eine Privacy-Shield-Zertifizierung besitzt, was erst ab dem 1. August 2016 möglich sein wird.

Ansbach, 14.04.2016

EU-US Privacy Shield: Stellungnahme der Artikel-29-Gruppe

Die Artikel-29-Datenschutzgruppe hat den Entscheidungsentwurf der Europäischen Kommission zum EU-U.S. Privacy Shield untersucht und am 13.04.2016 ihre Stellungnahme sowie eine begleitende Pressemitteilung veröffentlicht. Sie stellt fest, dass der derzeit vorliegende Entwurf des Privacy Shield im Vergleich zu der vom Europäischen Gerichtshof am 06.10.2015 aufgehobenen Vorgängerregelung "Safe Harbor" eine Reihe von Verbesserungen im Hinblick auf den Schutz personenbezogener Daten enthält. Gleichzeitig begegnen einige Punkte jedoch noch erheblichen Bedenken. Die Artikel-29-Gruppe hat die Europäische Kommission daher aufgefordert, auf diese Bedenken zu reagieren und durch entsprechende Änderungen sicherzustellen, dass der Privacy Shield ein angemessenes Datenschutzniveau gewährleistet.

Die Stellungnahme und die Pressemitteilungen können nachfolgend heruntergeladen werden.

Ansbach, 01.03.2016

EU-US Privacy Shield - Update

Die Europäische Kommission hat gestern die Einzelheiten einschließlich der maßgeblichen Dokumente für den geplanten sog. EU-US Privacy Shield veröffentlicht; die Dokumente sind online unter http://europa.eu/rapid/press-release_IP-16-433_en.htm erhältlich. Darunter befindet sich insbesondere der Entwurf für eine sog. Angemessenheitsentscheidung, die die Kommission in diesem Bereich plant und mit welcher die Kommission für den Anwendungsbereich des Privacy Shield das Vorhandensein eines grundsätzlich angemessenen Datenschutzniveau im Sinne von Artikel 25 der EG-Datenschutzrichtlinie anzuerkennen plant.

Die Datenschutzbehörden der EU-Mitgliedstaaten (Artikel-29-Gruppe) werden nunmehr, wie von ihnen am 03.02.2016 angekündigt, die von der Kommission vorgelegten Dokumente zeitnah überprüfen, um eine Stellungnahme zur geplanten Angemessenheitsentscheidung der Kommission abzugeben. Des Weiteren plant die Artikel-29-Gruppe, im Lichte der neuen Dokumente eine Aussage hinsichtlich des in den USA bestehenden Datenschutzniveaus insgesamt abzugeben.

Über die weiteren Entwicklungen werden wir an dieser Stelle auch in den kommenden Wochen zeitnah informieren.

Ansbach, 04.02.2016

Safe Harbor Update - EU-US Privacy Shield

Am 2. Februar 2016 hat EU-Justizkommissarin Vera Jourová den Abschluss der Verhandlungen der Europäischen Kommission mit den USA zu einem neuen Datentransfermechanismus "EU-US Privacy Shield" verkündet. Der EU-US Privacy Shield soll an die Stelle der vom Europäischen Gerichtshof (EuGH) im Oktober letzten Jahres für ungültig erklärten sog. Safe-Harbor-Entscheidung treten und es EU-Unternehmen ermöglichen, personenbezogene Daten unter dem Schutz der mit den USA ausgehandelten Bedingungen in die USA zu übermitteln.

Die Artikel-29-Datenschutzgruppe* hat seit der Verkündung des EuGH-Urteils dessen Auswirkungen auf Datentransfers in Drittstaaten generell und auf solche in die USA im Besonderen analysiert. In das vorläufige Ergebnis dieser Analyse müssen nun jedoch die neueren Entwicklungen (EU-US Privacy Shield) einbezogen werden. Der Abschluss dieser Bewertung ist für Mitte bis Ende April angekündigt worden.

Das BayLDA teilt die Auffassung der Artikel 29 Gruppe (hier abrufbar in englischer und deutscher Fassung), dass bis dahin von den bestehenden Datenübermittlungsmechanismen (insbesondere Standardvertragsklauseln, Binding Corporate Rules) weiter auch für Übermittlungen in die USA Gebrauch gemacht werden kann. Gleichzeitig wird nachdrücklich darauf hingewiesen, dass Datentransfers allein auf der Grundlage von Safe Harbor nicht mehr zulässig sind. Unternehmen, die weiterhin auf der Grundlage von Safe Harbor Daten transferieren, müssen mit Sanktionen rechnen.

* Die Artikel 29 Datenschutzgruppe besteht aus Vertretern der Datenschutzaufsichtsbehörden der EU-Mitgliedsstaaten, dem Europäischen Datenschutzbeauftragten und einem nicht stimmberechtigten Vertreter der Europäischen Kommission. Sie berät die Europäische Kommission und hat zur einheitlichen Anwendung der Vorschriften der Datenschutzrichtlinie beizutragen. Sie ist unabhängig und trifft ihre Entscheidungen nach dem Mehrheitsprinzip.

Ansbach, 26.10.2015

Urteil zu Safe Harbor

Urteil zu Safe Harbor

Mit seinem Urteil vom 6. Oktober 2015 hat der Europäische Gerichtshof die sogenannte Safe-Harbor-Entscheidung der Europäischen Kommission (2000/520/EC) für ungültig erklärt. Das bedeutet, dass Transfers personenbezogener Daten in die USA auf dieser Grundlage nicht mehr möglich sind. Für Unternehmen, die personenbezogene Daten bislang auf der Grundlage von Safe Harbor transferiert haben, besteht daher akuter Handlungsbedarf.

Die Artikel-29-Gruppe der Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten hat am 16.10.2015 im Anschluss an eine Sondersitzung eine Pressemitteilung hierzu veröffentlicht, in der sie erste Aussagen zu den Konsequenzen der Entscheidung des Europäischen Gerichtshofs trifft.
Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat im Rahmen einer Sondersitzung am 26.10.2015 ein Positionspapier zu den Konsequenzen der EuGH-Entscheidung veröffentlicht.

Die entsprechenden Dokumente sind nachfolgend abrufbar:
Urspüngliche Safe Harbor Entscheidung (26.07.2000)
Aktuelles Urteil des EuGH (06.10.2015)
Artikel-29-Gruppe Statement (16.10.2015)
Artikel-29-Gruppe Statement - deutsche Fassung (16.10.2015)
Positionspapier DSK Deutschland (26.10.2015)


Zentrale Links zum internationalen Datenverkehr