EU-US Privacy Shield

Manisha Singh als Ombudsfrau eingesetzt

Nach Mitteilung des US-Botschaft in der EU, Gordon Sondland, haben die Vereinigten Staaten nun die lange angekündigte Ombudsperson für die Überprüfung von Datenschutz-Beschwerden im Rahmen des EU-US Privacy Shields eingesetzt.  Manisha Singh ist außerdem als Unterstaatssekretärin für Wirtschaftswachstum, Energie und Umwelt tätig. Die Einsetzung ist ein wichtiger Schritt in Richtung Erfüllung der Anforderungen an die Rechtsschutzmöglichkeiten unter dem Privacy Shield und wird wichtig für die anstehende, jährliche Überprüfung des EU-US Privacy Shields sein.

EU-Kommission stellt ersten Prüfbericht zum EU-US-Privacy Shield vor

Rund ein Jahr nach der Angemessenheitsentscheidung der Kommission zum neuen EU-US-Privacy Shield wurde nun der Bericht der jährlichen Überprüfung veröffentlicht. In dem Dokument wird ein insgesamt positives Fazit gezogen. Derzeit sind ca. 2400 US-Unternehmen registriert.

Gleichwohl seien noch einige Verbesserungen notwendig. So ist bislang keine ständige Ombusdperson ernannt worden. Die Stelle wird derzeit kommissarisch betreut. Auch die Besetzung des Aufsichtsorgans (Privacy and Civil Liberties Oversight Board, PCLOB) sei nicht zufriedenstellend, da Mitglieder fehlen und das Gremium bislang nicht beschlussfähig sei.

In jedem Falle soll das Department of Commerce (DOC) dafür sorgen, dass nur solche Unternehmen unter das Privacy Shield fallen und in der offiziellen Liste auftauchen sollen, die zuvor auch tatsächlich eine Zertifizierung dort erhalten haben. Ein Missbrauch durch falsche Angaben gelte es auszuschließen. Dazu gehörten außerdem regelmäßige Compliance-Checks.

Schließlich wird gefordert, die in der Präsidialorder 28 (PPD-28) enthaltenen Beschränkungen der Zugriffe von Geheimdiensten bei der Signalaufklärung beizubehalten und ggf. zu stärken.

Datenübermittlung in die USA – EuGH soll über EU-Standardvertragsklauseln entscheiden

Der Irische High Court hat dem Europäischen Gerichtshof (EuGH) am 03. Oktober 2017 die Frage zur Entscheidung vorgelegt, ob die derzeit neben dem EU-US-Privacy Shield häufig benutzten EU-Standardvertragsklauseln als Rechtsgrundlage ausreichen, um personenbezogene Daten europäischer Bürger in den USA ausreichend zu schützen.

Der Kläger hatte im Jahre 2015 bereits erfolgreich den Safe-Harbor-Beschluss der EU-Kommission als Rechtsgrundlage für Datenübermittlungen in die USA zu Fall gebracht. Erst am 12.Juli 2016 wurde das neue EU-US-Privacy Shield verabschiedet. Von dem Urteil waren die Standardvertragsklauseln zwar zunächst ebensowenig betroffen wie die Binding Corporate Rules (BCR). Allerdings wurde bereits kurz nach dem Urteil Kritik an diesen verbliebenen Rechtsgrundlagen laut.

In dem nun angestrengten Verfahren hatte auch die irische Datenschutzaufsicht Zweifel an der Wirksamkeit der EU-Standardklauseln geäußert, die das Gericht nun übernommen hat. Sollte der EuGH auch hier feststellen, dass Standardvertragsklauseln keine geeignete Rechtsgrundlage für die Übermittlung personenbezogener Daten in Drittstaaten darstellen, hätte das nicht nur massive Auswirkungen auf den transatlantischen Datenverkehr. Anders als mit den USA gibt es für andere Länder, die als unsicher im Datenschutzsinne gelten, keine weiteren Grundlagen als eben jede Vertragsklauseln.

Zunächst bleibt es jedoch bei der aktuellen Rechtslage. Personenbezogene Daten können an US-Unternehmen derzeit entweder bei bestehender EU-US-Privacy Shield-Zertifizierung oder auf Grundlage der Standardvertragsklauseln übermittelt werden. Im Konzernverbund können darüber hinaus BCRs gelten.

EU-US Privacy Shield: Bislang 34 zertifizierte US-Unternehmen

Die auf der Webseite der Federal Trade Commission veröffentlichte Liste (https://www.privacyshield.gov/list) zeigt alle derzeit zertifizierten Unternehmen. Zusätzlich zu den 34 gelisteten Unternehmen kommen Tochtergesellschaften hinzu (z.B. Microsoft mit 20 oder Vertical Screen mit 3 weiteren Unternehmen). Die Liste enthält zudem Informationen zum gewählten Anbieter der vorgesehenen Dispute Resolution. Für Beschäftigtendaten muss dies immer über die europäischen Datenschutzaufsichtsbehörden erfolgen.

Webseite der EU-Kommission zum neuen EU-US-Privacy Shield online

Die EU-Kommission hat im Zuge der Vorstellung der am 12.Juli 2016 verabschiedeten Angemessenheitsentscheidung zu Datentransfers in die USA (EU-US-Privacy Shield) eine neue Infowebseite online gestellt. Das Informationsportal enthält Dokumente und Hintergrunderklärungen zum Inhalt der neuen Regelungen.

Hierzu zählen auch Informationen zum kürzlich unterzeichneten „Umbrella“-Agreement über den Datenaustausch zwischen Strafverfolgungsbehörden (der BVDW berichtete) sowie zur Datenschutzkonvention 108 des Europarats, welche sich derzeit ebenfalls in Überarbeitung befindet.

Links: ec.europa.eu/justice/data-protection/international-transfers/eu-us-privacy-shield/index_en.htm

EU-Mitglieder einigen sich auf neues Privacy Shield

Die EU-Mitgliedsstaaten haben sich im Rahmen der Beratungen des sog. Art. 31 Ausschusses mehrheitlich für die Annahme des Entwurfstextes für eine neue Angemessenheitsentscheidung der EU-Kommission zum Datentransfer zwischen der EU und den USA (EU-US Privacy Shield) ausgesprochen. Das Votum ist verbindlich und muss nun von der EU-Kommission als Angemessenheitsentscheidung umgesetzt werden. Enthalten haben sich allerdings die Länder Österreich, Slovenien, Kroatien und Bulgarien. Die deutsche Bundesregierung hatte sich zuletzt erfreulich deutlich für eine zielführende Lösung im Sinne der digitalen Wirtschaft eingesetzt.

Damit ist nach langem Ringen der Weg frei für den dringend benötigten Safe-Harbor-Nachfolger. Der BVDW hatte zuletzt immer wieder für eine rechtssichere und praktikable Nachfolgeregelung plädiert. Das überarbeitungsbedürftige Safe Harbor Abkommen war im Oktober 2015 vom EuGH für ungültig erklärt worden

Lesen Sie hier unsere Stellungnahme zu dem gefundenen Ergebnis.

Art. 31 Ausschuss verschiebt Stellungnahme zum Entwurf des neuen EU-US Privacy Shields

Auf seiner Sitzung am 19. Mai 2016 wollte der so genannte Art. 31 –Ausschuss zum vorliegenden Entwurf der EU-Kommission für eine Angemessenheitsentscheidung Stellung nehmen. Stattdessen wurde eine abschließende Äußerung verschoben. Der Ausschuss brauche mehr Zeit, um sich mit einigen Details der vorgeschlagenen Regelungen zur Gewährleistung eines angemessenen Datenschutzniveaus bei der Übermittlung personenbezogener Daten zwischen privaten Unternehmen aus der EU in die USA auseinanderzusetzen.

Der Ausschuss umfasst Vertreter der Mitgliedstaaten, die gemeinsam Entscheidungen treffen, wenn die Zustimmung der Mitgliedstaaten gemäß der noch geltenden EU-Datenschutzrichtlinie (95/46/EG) erforderlich ist. Dies ist – wie hier – beispielsweise der Fall in Verfahren für die Annahme von Angemessenheitsentscheidungen der EU-Kommission. Diese ist in dem Ausschuss zwar vertreten, hat aber kein eigenes Stimmrecht.

Im Gegensatz zu Entschließungen der Art.29-Datenschutzgruppe, welche zwar berücksichtigt werden müssen, ansonsten aber keine bindende Wirkung haben, bewirkt eine Ablehnung durch den Ausschuss jedenfalls eine Verschiebung der Kommissionsentscheidung um 3 Monate, es sei denn, der Rat fasst innerhalb dieser Zeit einen anderslautenden Beschluss.

Wie berichtet, hatte die Art.29-Datenschutzgruppe eine umfassende Stellungnahme veröffentlicht und Verbesserungen gefordert. Wichtig ist jedoch anzumerken, dass auch die Datenschützer davon ausgehen, dass die geforderten Nachbesserungen, vor allem bei den Ermessensausübungen der Kommission und bei Fragen des öffentlichen Zugriffs auf übermittelte Daten nichts an einer grundsätzlichen Tragfähigkeit des neuen Privacy Shields ändern.

Der BVDW hatte anlässlich mehrerer Gespräche sowohl mit Politik als auch Datenschützern für verlässliche und praxisnahe Bewertungen plädiert, um die neuen Regelungen alsbald und zukunftsfest für die Wirtschaft zu etablieren. Es muss künftig wieder möglich sein, Übermittlungen ad-hoc an zertifizierte Unternehmen in den USA zu tätigen. Darin lag bislang einer der großen Vorteile von Safe Harbor. Bis dahin gilt weiterhin: Datenübermittlungen zwischen Unternehmen der EU und den AUS auf Grundlage eines Vertrages, welcher EU-Standardklauseln zum Datenschutz enthält oder auf Grundlage verbindlicher Unternehmenskodizes (BCR) sind und bleiben rechtmäßig.

Datenschutzkonferenz: Entschließung zu EU-US Privacy Shield und eigenem Klagerecht

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz) hat am 20.April 2016 eine Entschließung zum geplanten EU-US Privacy Shield, unter welchem der Transfer personenbezogener Daten zwischen europäischen und nordamerikanischen Unternehmen künftig geregelt werden soll, veröffentlicht. Wie vor ihr bereits die Artikel-29-Datenschutzgruppe äußern die Datenschützer erhebliche Bedenken. Zudem wird ein eigenes Klagerecht gefordert.mehr

Datenschutzkonferenz zum Entwurf der EU-Kommission für ein EU-US Privacy Shield

Unter dem Vorsitz des mecklenburg-vorpommerschen Datenschutzbeauftragten Reinhard Dankert hat die Konferenz der unabhängigen Datenschutzbehörden
des Bundes und der Länder (Datenschutzkonferenz) am 07./08.April 2016 in Schwerin getagt. Unter anderem wurde dort eine Entschließung hinsichtlich des Entwurfs der EU-Kommission für eine Adäquanzentscheidung zum EU-US Privacy Shield getroffen. mehr

FTC veröffentlicht Fact Sheet zum EU-US Privacy Shield.

weitere Informationen

Auswirkungen des Safe-Harbor-Urteils

Im Rahmen Informationsreihe EU-US Privacy Shield – Wie geht es weiter? erläutern Mitglieder der Fokusgruppe E-Mail im BVDW die Auswirkungen des Safe-Harbor-Urteils auf ihre jeweiligen Geschäftsmodelle.

zum Download

EU-Kommission veröffentlicht Details zum geplanten EU-US Privacy Shield

Die EU-Kommission hat jetzt Details zum geplanten EU-US Privacy Shield veröffentlicht. Für alle Interessierten stellt der BVDW das umfangreiche Informationsmaterial zum Safe-Harbor-Nachfolgeabkommen zur Verfügung. Unter den Dokumenten finden sich diverse Schriftstücke sowie Briefe und Zusicherungen seitens der USA gegenüber der EU-Kommission. Darin werden u.a. Fragen des zukünftigen Zugriffs der US-Behörden auf Daten von EU-Bürgern, aber auch deren Rechtsschutzmöglichkeiten adressiert. Ebenfalls wird der neue Ombudsmann benannt sowie festgelegt, dass die Vereinbarung jährlich überprüft werden soll.

Dokumente zum EU-US Privacy Shield

EU-Datenschutzreform und EU-US-Privacy-Shield: BVDW veranstaltet Informationsreihe zu neuen Datenschutzrahmenbedingungen

Das Jahr 2015 endete mit zwei rechtlich weitreichenden politischen Entscheidungen für die Digitale Wirtschaft: Der Außerkraftsetzung des Safe-Harbor Abkommens und die Einigung auf europaweit einheitliche Datenschutzregeln im Rahmen der EU-Datenschutzreform. Mit der am 2. Februar 2016 verkündeten Einigung über das Nachfolgeabkommen zu Safe Harbor – das EU-US-Privacy-Shield – soll jetzt zeitnah eine neue Rechtsgrundlage für den Datentransfer zwischen der EU und den USA geschaffen werden. Um Rechtsunsicherheit entgegenzuwirken und umfassend über die neuen Datenschutzrahmenbedingungen aufzuklären, startet der BVDW jetzt eine bundesweite Veranstaltungsreihe zum Thema „EU-US Privacy Shield und neue europäische Datenschutzregeln – Was erwartet die Digitale Wirtschaft?“

Die im März beginnende Veranstaltungsreihe mit Rechtsexperten und den Datenschutzbeauftragten der jeweiligen Bundesländer wendet sich an Unternehmen, für deren Geschäftsmodelle die Nutzung von Daten elementar ist. Das Programm sieht neben einer Podiumsdiskussion und zwei Impulsvorträgen vor allem auch den praxisnahen Austausch zwischen den Teilnehmern und Datenschutzexperten vor.

Die Informationsveranstaltungen ergänzen das umfangreiche Informationsangebot des BVDW zu den aktuellen Entwicklungen im Datenschutz. Auf seiner Webseite hat der Verband die wichtigsten Dokumente zusammengestellt und sämtliche für Unternehmen relevanten Informationen inklusive Handlungsempfehlungen übersichtlich aufbereitet. 

Weitere Informationen zum Programm und den Terminen

EU-Justizkommissarin über den Abschluss der Verhandlungen der Europäischen Kommission mit den USA

Die EU-Justizkommissarin Vera Jourová hat am 02.02.2016 über den Abschluss der Verhandlungen der Europäischen Kommission mit den USA zu einer aktualisierten Vereinbarungsvoraussetzungen für den Datentransfer zwischen der EU und den USA informiert. Der neue Mechanismus soll den Namen "EU-US Privacy Shield" tragen. Das EU-US Privacy Shield soll die vom EuGH für ungültig erklärte Safe Harbor-Entscheidung ersetzen. Die darin ausgehandelten Regelungen sind im Detail nicht bekannt. Eine erste Textversion zum Abkommen soll allerdings bis Ende Februar 2016 vorgelegt werden.

Angesichts dessen hat sich die Art. 29-Datenschutzgruppe (die Datenschützer der EU-Mitgliedsstaaten) in ihrer Stellungnahme anlässlich des Treffens der europäischen Datenschützer am 2. Und 3. Februar in Brüssel darauf zurückgezogen, die Übersendung des Textes zu fordern, um diesen prüfen zu können. Die Alternativen zu Safe Harbor in Form von EU-Standardvertragsklauseln und Binding Corporate Rules hält die Art. 29-Datenschutzgruppe bis dahin nach wie vor für zulässig.

Bundesregierung zu Auswirkungen der Safe-Harbor-Entscheidung des EuGH

Auf eine Kleine Anfrage hat sich die Bundesregierung erstmals zu den erwarteten Auswirkungen des Urteils des EuGH zu Safe-Harbor geäußert. Am 06.10.2015 hatte der Gerichtshof die Entscheidung der EU-Kommssion über die Gewährung eines angemessenenen Datenschutzniveaus auf Grundlage von Safe-Harbor-Zertifizierungen für Datenübermittlungen in die USA für ungültig erklärt. Übermittlungen an US-Unternehmen, welche ausschließlich auf Grundlage von Safe-Harbor stattfinden, sind seitdem unzulässig.

Die Kleine Anfrage enthält insgesamt 30 Fragen rund um das Thema Datentransfers von der EU in die USA. Die Antworten der Bundesregierung hieraus spiegeln letztendlich das wider, was derzeit zumindest grundsätzlich feststeht.

Alternative Übermittlungsgrundlagen

Datenübermittlungen an US-Unternehmen sind derzeit nur noch im Rahmen der verbliebenen rechtlichen Möglichkeiten erlaubt. Hierzu zählen insbesondere eine Übermittlung auf Grundlage eines Vertrages unter Verwendung von EU-Standardvertragsklauseln oder bei Einhaltung bestehender Binding Corporate Rules (BCR). Letzteres dürfte jedoch allenfalls für internationale Grußunternehmen relevant sein.

Eine konkrete Antwort dazu, ob die Bundesregierung die Ansicht teile, dass auch die Zulässigkeit der alternativen Übermittlungsgrundlagen im Lichte der EuGH-Entscheidung in Frage stehe, läßt sich dem Papier nicht entehmen. Verwiesen wird lediglich darauf, dass eine Überprüfung durch die Datenschutzbehörden jederzeit möglich, eine Ungültigkeitsentscheidung darüber jedoch nur vom EuGH zu treffen sei.

Die Einwilligung ist nach Einschätzung der Bundesregierung auch weiterhin ein geeignetes Intrument zur Rechtfertigung von Datenübermittlungen in die USA. Da sich der EuGH nicht zur Einwilligung geäußert habe bestehe keine Veranlassung, die gesetzlichen Regeln zu ändern.

Safe-Harbor 2.0

Mit Blick auf die seit 2014 laufenden Verhandlungen über ein neues Übermittlungsabkommen zwischen der EU-Kommission und den USA (Safe-Harbor 2.0) zeigt sich die Bundesregierung zuversichtlich, dass ein solches Abkommen auch unter Beachtung der seitens des EuGH aufgestellen Vorgaben möglich ist. Auf das derzeitge Datenschutzniveau innerhalb der EU und die vom EuGH geforderte Einhaltung der Grundrechte auch in den Mitgliedsstaaten selbst angesprochen, wird lediglich auf die gerichtliche Überprüfbarkeit dieser Standards verwiesen.

Die Bundesregierung prüft derzeit, welche der von ihr bzw. von Behörden in deren Geschäftsbereich genutzen Dienste von der Entscheidung betroffen sind.

Keine Auswirkungen auf andere Übermittlungen

Nach Auskunft der Bundesregierung sind Datenübermittlungen, welche auf Grundlage spezieller Abkommen erfolgen (etwa Bank-, oder Passagierdaten) nicht von der Entscheidung betroffen. Ebensowenig sieht die Bundesregierung einen Zusammenhang mit den Verhandlungen über einen Freihandel in Gestalt von TTIP oder CETA.

Das vollständige Dokument steht für Sie hier zum Download bereit.

Safe Harbour 2.0 kommt

Die zuständige EU-Justizkommissarin Jourova hat am Montag eine Einigung mit den USA über ein neues Safe Harbour Abkommen für Januar 2016 angekündigt.

"Wir müssen eine Brücke zwischen unseren Datenschutzbehörden und jener der USA schlagen und das in einen rechtlich verbindlichen Text gießen." so Jourova gegenüber dem österreichischen Wirtschaftsblatt.

Mitteilung der EU-Kommission zum Datentransfer EU-USA

Die Europäische Kommission hat heute die bereits angekündigte Mitteilung veröffentlicht, in der sie die Folgen der Safe Harbour Entscheidung des EuGH für den Transfer personenbezogener Daten aus der EU in die USA bewertet. Bemerkenswert ist dabei unter anderem, dass die Kommission - anders als die Datenschutz-behörden in einige EU-Mitgliedsstaaten - sog. Standard Contractual Clauses und auch Binding Corporate Rules nach wie vor als legale Möglichkeiten für den Datentransfer aus der EU in die USA hält. Im Einzelnen wird darauf hingewiesen, dass „nationale Behörden prinzipiell dazu verpflichtet sind, Standardvertragsklauseln zu akzeptieren.“ In der Folge könnten die nationalen Datenschutzbehörden den Datentransfer nicht ablehnen mit dem Argument, dass solche Standardklauseln nicht genug Sicherheit böten.

Die Mitteilung der Kommission ist zunächst nur in englischer Sprache verfügbar und wird in den nächsten Tagen übersetzt.

Den Text finden sie hier.

Der BVDW informiert mit seiner Veranstaltung "Safe Harboram Ende - Was kommt jetzt?" am 11. November 2015 in Hamburg umfassend über die Bedeutung und Auswirkungen des Urteils auf Geschäftsmodelle der Digitalen Wirtschaft sowie darüber, was Unternehmen nun tun müssen, um datenschutzrechtlich sicher zu agieren. Internationale Experten stehen Rede und Antwort u.a. zu folgenden Fragen:

• Welche Geschäftsmodelle der Digitalen Wirtschaft sind von dem Urteil betroffen?
• Was müssen Safe-Harbor-zertifizierte Unternehmen aus den USA nun tun?
• Was bedeutet das Urteil für deutsche Unternehmen, die mit Safe Harbor Unternehmen in den USA zusammenarbeiten?
• Was passiert mit den Daten aus dem Tagesgeschäft?
• Welche anderen rechtlichen Möglichkeiten gibt es, um personenbezogene Daten auszutauschen?
• Was braucht es für ein neues Safe Harbor 2.0 und wann kommt es?

Weitere Informationen zur Veranstaltung

Die Datenschutzkonferenz der Datenschutzbeauftragten des Bundes und der Länder hat heute eine gemeinsame Stellungnahme zu den Auswirkungen des EuGH-Urteils zu Safe Harbor veröffentlicht.

Darin begrüßen die deutschen Datenschützer zwar die von der Art.29-Gruppe gesetzte Frist zur Einführung neuer Leitlinien bis Ende Januar 2016 – aus dem Dokument läßt sich jedoch nicht entnehmen, dass sich die hiesigen Datenschutzbehörden an dies Zeitfenster halten wollen. Vielmehr wird mitgeteilt, auf Safe-Harbor gestützte Datenübermittlungen in die USA untersagt werden, soweit die Datenschutzbehörden Kenntnis über ausschließlich darauf gestützte Übermittlungen erlangen.

Zu den zentralen Aussagen der Datenschützer zählt weiter, dass derzeit keine neuen Genehmigungen für Datenübermittlungen in die USA auf Grundlage von verbindlichen Unternehmensregelungen (BCR) oder Datenexportverträgen erteilt werden sollen, diese Möglichkeit in Zukunft also ausgeschlossen wird. Im Gegenzug soll eine Einwilligung zum Transfer personenbezogener Daten unter engen Bedingungen eine tragfähige Grundlage sein können, solange der Datentransfer nicht wiederholt, massenhaft oder routinemäßig erfolgt.