EU-US Privacy Shield – datensicherheit.de Informationen zu Datensicherheit und Datenschutz https://www.datensicherheit.de Datensicherheit und Datenschutz im Überblick Tue, 04 Oct 2022 11:52:49 +0000 de hourly 1 EU-US Privacy Shield: Nachfolgeabkommen soll laut eco Rechtssicherheit bringen https://www.datensicherheit.de/eu-us-privacy-shield-nachfolgeabkommen-eco-rechtssicherheit https://www.datensicherheit.de/eu-us-privacy-shield-nachfolgeabkommen-eco-rechtssicherheit#respond Tue, 04 Oct 2022 11:52:49 +0000 https://www.datensicherheit.de/?p=42453 Der eco-Vorstandsvorsitzende warnt, dass die Zeit davonläuft

[datensicherheit.de, 04.10.2022] Laut einer Stellungnahme des eco – Verband der Internetwirtschaft e.V. vom 30. September 2022 könnte nun – sechs Monate nach Ankündigung einer neuen transatlantischen Vereinbarung für den rechtssicheren Transfer personenbezogener Daten – das Nachfolgeabkommen des „EU-US Privacy Shield“ jetzt endlich kommen: Die Einigung zum „Trans-Atlantic Data Privacy Framework“ soll demnach in der ersten Oktober-Woche vorgestellt werden.

Oliver Süme, Vorstandsvorsitzender des eco – Verbands der Internetwirtschaft e. V.

Bild: eco

Oliver Süme fordert zwingend eine langfristige Lösung für die rechtssichere Übertragung personenbezogener Daten aus der EU in die USA

eco: Rechtssicherer Datenaustausch auf internationaler Ebene Basis datengetriebener Geschäftsmodelle

„Nach den zuletzt gescheiterten Versuchen zur Vereinbarung eines Nachfolgeabkommens zum ,EU-US Privacy Shield’ muss nun endlich Bewegung in die Sache kommen“, fordert der eco-Vorstandsvorsitzende, Oliver Süme. Er erläutert: „Die Zeit läuft uns davon, denn die ,Standardvertragsklauseln’, auf die sich Unternehmen seit dem Wegfall des ,EU-US Privacy Shields’ stützen müssen, sind oftmals mit großer Rechtsunsicherheit verbunden.“ Viele Unternehmen müssten im schlechtesten Fall mit Bußgeldern und Übertragungsverboten rechnen, wenn sie personenbezogene Daten ohne ausreichende Rechtsgrundlage aus der EU in die USA transferieren.
Für die deutsche Wirtschaft, insbesondere für viele kleine und mittelständische Unternehmen (KMU), sei ein rechtssicherer Datenaustausch auf internationaler Ebene jedoch die „Basis ihrer datengetriebenen Geschäftsmodelle und damit ein wichtiger Baustein für eine gelingende Digitale Transformation. Süme betont: „Wir brauchen deshalb zwingend eine langfristige Lösung für die rechtssichere Übertragung personenbezogener Daten aus der EU in die USA, die den Anforderungen der Vorgaben des Europäischen Gerichtshofs Rechnung trägt.“

eco setzt sich seit Jahren für Stärkung einer synchronisierten transatlantischen Lösung für den Datenschutz ein

Der eco setzt sich nach eigenen Angaben seit Jahren für die Stärkung einer synchronisierten transatlantischen Lösung für den Datenschutz ein. Am 5. Oktober 2022 veranstaltet demnach der American Council on Germany ein „Breakfast Briefing“ mit dem eco-Vorstandsvorsitzenden, zugleich Leiter der Arbeitsgruppe „Datenschutz“ bei EuroISPA, und eco-Geschäftsführer Alexander Rabe, zugleich Mit-Initiator der „Allianz zur Stärkung digitaler Infrastrukturen in Deutschland“.
In Kooperation mit dem US-Partnerverband i2coalition werde eco außerdem am 6. Oktober 2022 in Washington D.C. erneut einen „Transatlantic Dialogue“ durchführen – zum Thema: „Diverse Stakeholder Considerations Around The Future of the Trans-Atlantic Data Privacy Framework“.

Weitere Informationen zum Thema:

eco VERBAND DER INTERNETWIRTSCHAFT
Reawakening Digital Trade: Diverse Stakeholder Considerations Around The Future of the Trans-Atlantic Data Privacy Framework

]]>
https://www.datensicherheit.de/eu-us-privacy-shield-nachfolgeabkommen-eco-rechtssicherheit/feed 0
Das datenschutzrechtliche Damoklesschwert über den EU-Standardvertragsklauseln https://www.datensicherheit.de/das-datenschutzrechtliche-damoklesschwert-ueber-den-eu-standardvertragsklauseln https://www.datensicherheit.de/das-datenschutzrechtliche-damoklesschwert-ueber-den-eu-standardvertragsklauseln#respond Tue, 21 Jun 2016 13:15:39 +0000 http://www.datensicherheit.de/?p=25618 Gefahr für Datenübermittlungen in die USA?

Von unserem Gastautor RA Michael Kamps, CMS Hasche Sigle

[datensicherheit.de, 21.06.2016] Das „Safe Harbor“-Urteil des Europäischen Gerichtshofs (EuGH) im Oktober 2015 schlägt weitere Wellen: Denn die irische Datenschutzbehörde hat jetzt angekündigt, auch die sogenannten „EU-Standardvertragsklauseln“ als weitere Gestaltungsmöglichkeit für internationale Datentransfers gerichtlich überprüfen zu lassen. Damit gerät eine praktisch sehr relevante Alternative zur Gewährleistung eines angemessenen Datenschutzniveaus in Gefahr. Stellt der letztlich wohl dem Fall zu befassende EuGH wie im Falle des Safe Harbor-Konzepts die Unwirksamkeit auch der EU-Standardvertragsklauseln fest, können die Auswirkungen für europäische Unternehmen erheblich sein.

Kern des Problems: Das angemessene Datenschutzniveau

Wenn Unternehmen in der EU personenbezogene Daten an Dritte übermitteln dürfen, diese Empfänger aber außerhalb der EU ansässig sind (oder die Daten dort verarbeiten) müssen ergänzende Anforderungen beachtet werden. Grund hierfür ist die Annahme, dass lediglich in den EU-Mitgliedsstaaten ein „angemessenes Datenschutzniveau“ sichergestellt ist, in allen anderen Ländern (den sogenannten „Drittstaaten“) aber nicht. Für einige dieser Länder bestehen Angemessenheitsentscheidungen der EU-Kommission, also eine allgemeine Feststellung des angemessenen Datenschutzniveaus. Hierzu gehören Andorra, Argentinien, Kanada, die Schweiz, die Faröer-Inseln, Guernsey, Israel, die Isle of Man, Jersey, Neuseeland und Uruguay.

Einen Sonderweg hatte die EU-Kommission für Datenübermittlungen in die USA eingeschlagen: Sofern Empfänger in den USA im Rahmen einer Selbstzertifizierung die Einhaltung der „Safe Harbor“-Prinzipien sicherstellten, durften personenbezogene Daten auch an Stellen in den USA übermittelt werden. Dieser Sonderweg ist jedoch versperrt, seit der EuGH das Safe Harbor-Konzept für unwirksam erklärt hatte. Grund hierfür waren insbesondere die Befugnisse der US-Behörden (z.B. der Geheimdienste) zur anlasslosen Überwachung jeglicher elektronischer Kommunikation und die fehlenden Rechtsschutz-, Berichtigungs- und Löschungsmöglichkeiten für EU-Bürger. Dies sei, so der EuGH mit den Wertungen des europäischen Rechts unvereinbar.

Für die Datenübermittlung in Drittstaaten (einschließlich der USA) standen bislang weitere Gestaltungsmöglichkeiten zur Verfügung: Datenübermittlungen innerhalb von Unternehmensgruppen konnten durch verbindliche Unternehmensregelungen („Bindung Corporate Rules“) gerechtfertigt werden, die in der Regel durch die jeweiligen Aufsichtsbehörden genehmigt werden mussten. Neben Einzelfallgenehmigungen der Aufsichtsbehörden spielten vor allem die EU-Standardvertragsklauseln. Hierbei wurde das erforderliche „angemessene Datenschutzniveau“ durch vertragliche Vereinbarungen auf Grundlage von durch die EU-Kommission vorgegebener Vertragsmuster hergestellt.

„Übermitteln“ auch bei Cloud- und „Software as a Service“-Angeboten

Mit den rechtlichen Anforderungen für international Datentransfers müssen sich zudem nicht nur diejenigen Unternehmen in der EU befassen, die personenbezogene Daten tatsächlich übermitteln, z.B. an eine Niederlassung oder ein Konzernunternehmen in den USA übermittelten. Denn der datenschutzrechtliche Begriff der „Übermittlung“ umfasst auch die anderweitige Bereitstellung oder die bloße Gewährung von Zugriffsmöglichkeiten. Selbst wenn also ein Unternehmen in der EU die Infrastruktur eines Cloud- oder „Software as a Service“-Dienstleisters nutzt und dieser Dienstleister – etwa zu Wartungszwecken – Zugriff auf die in dieser Infrastruktur gespeicherten personenbezogenen Daten haben kann, liegt bereits eine „Übermittlung“ vor, für die die datenschutzrechtlichen Anforderungen zu beachten sind.

EU-Standardvertragsklauseln – eine relativ einfache Gestaltungsmöglichkeit…

Bereits vor dem Safe Harbor-Urteil des EuGH verwendeten viele europäische Unternehmen die EU-Standardvertragsklauseln als Grundlage für Datenübermittlungen in Drittstaaten, auch in die USA. Diese Alternative war vor allem deshalb beliebt, weil die EU-Standardvertragsklauseln jedenfalls bei unveränderter Verwendung der vorgegebenen Vertragsmuster nicht von den Aufsichtsbehörden genehmigt werden mussten und sich mit vergleichsweise überschaubarem Aufwand implementieren ließen.

Die Nutzung der EU-Standardvertragsklauseln hat sich dann nach dem Safe Harbor-Urteil des EuGH nochmals intensiviert. Unternehmen, die Datenübermittlungen oder –zugriffe durch eine Safe Harbor-Zertifizierung beim Empfänger legitimierten, wichen auf die EU-Standardvertragsklauseln aus, und viele Dienstleister boten ihren europäischen Kunden die EU-Standardvertragsklauseln als Alternative an. Dies war und ist die wohl sicherste Alternative für eine rechtskonforme Datenübermittlung, da die europäischen Aufsichtsbehörden die Verwendung der Klauseln auch nach dem Safe Harbor-Urteil vorläufig jedenfalls grundsätzlich tolerieren.

… aber nicht ohne rechtliche Bedenken!

Die vorläufige Duldung der EU-Standardvertragsklauseln durch die Aufsichtsbehörden stand jedoch von Anfang an unter einem Damoklesschwert: Bereits unmittelbar nach der Safe Harbor-Entscheidung wurden rechtliche Bedenken auch gegen die EU-Standardvertragsklauseln geltend gemacht. Denn die Gründe für die Unwirksamkeit des Safe Harbor-Konzepts lassen sich nach Auffassung vieler Datenschutzexperten nahezu unverändert auch auf die EU-Standardvertragsklauseln übertragen: Genau wie nach dem Safe Harbor-Konzept wäre der Empfänger personenbezogener Daten in den USA im Zweifel nicht verpflichtet, gegen die für ihn geltenden US-Gesetze zu verstoßen und z.B. Aufforderungen von US-Behörden zur Herausgabe personenbezogener Daten nicht nachzukommen oder den Zugriff von US-Behörden auf personenbezogene Daten zu verhindern.

Ob die Wertungen der Safe Harbor-Entscheidung tatsächlich auch gegen eine Wirksamkeit der EU-Standardvertragsklauseln (bzw. der entsprechenden Entscheidungen der EU-Kommission) sprechen, wird nun auf Veranlassung der irischen Aufsichtsbehörde zunächst durch ein irisches Gericht und sodann durch den EuGH geprüft werden.

Welche Alternativen bleiben für europäische Unternehmen?

Das ist derzeit unklar. Zwar hat die EU-Kommission hat nach der Safe Harbor-Entscheidung mit ihren US-Partnern über ein Nachfolgekonzept verhandelt. Auf Druck der europäischen Datenschutzbehörden wurde Anfang Februar 2016 der „EU US Privacy Shield“ vorgestellt. Dieser „Datenschutzschild“ basiert auf dem auch bei Safe Harbor verwendeten Konzept einer Selbstzertifizierung auf Grundlage bestimmter Prinzipien. Unter dem Datenschutzschild soll nun die Einhaltung des Regelwerks intensiver kontrolliert und strengere Sanktionen verhängt werden können. Zudem soll der Zugriff auf Daten durch US-Behörden klaren Beschränkungen, Sicherungs- und Überprüfungsmechanismen unterliegen; eine Massenüberwachung soll ausgeschlossen sein. Dies soll eine jährliche Überprüfung unter Einbeziehung der europäischen Datenschutzbehörden sicherstellen. Der Datenschutzschild sieht zudem erweiterte Rechtsschutzmöglichkeiten für EU-Bürger vor, die sich bei möglichen Datenzugriffen durch US-Behörden an einen Ombudsmann wenden und Ansprüche auch vor US-Gerichten geltend machen können.

Auch das Nachfolgekonzept blieb jedoch nicht ohne erhebliche Kritik sowohl der Aufsichtsbehörden als auch des Europäischen Datenschutzbeauftragten: Wird das vorgestellte Konzept nicht erheblich nachgebessert, werden die europäischen Aufsichtsbehörden wohl keine abschließende zustimmende Einschätzung zum Datenschutzschild geben. Deshalb ist mit einer gerichtliche Prüfung auch des neuen Konzepts durch den EuGH zu rechnen

Für europäische Unternehmen, die personenbezogene Daten in die USA übermitteln müssen oder die Leistungen von Dienstleistern in den USA in Anspruch nehmen, könnte sich die Anzahl der zur Verfügung stehenden Gestaltungsmöglichkeiten für rechtskonforme Datenübermittlungen deshalb erheblich reduzieren. Dies betrifft vor allem diejenigen Unternehmen, für die eine Datenverarbeitung ausschließlich innerhalb der EU keine praktikable Alternative ist.

Und nun?

Die irische Aufsichtsbehörde wird ihre jüngste Ankündigung wohl nun zunächst vor dem irischen High Court umsetzen. Wie lange dieses Verfahren dauern wird, ist ebenso wenig verlässlich abzusehen wie der Zeitraum bis zu einer möglichen Entscheidung des EuGH in dieser Sache. Als Anhaltspunkt mag der Zeitraum für die EuGH-Entscheidung zu Safe Harbor dienen: Das Vorabentscheidungsersuchen des irischen Gerichts wurde im Juli 2014 beim EuGH eingereicht, bis zur Entscheidung am 06. Oktober 2015 vergingen demnach rund 15 Monate.

Betroffenen Unternehmen mit Sitz in der EU bleibt deshalb derzeit nur die Möglichkeit, die weitere Entwicklung zu rechtskonformen Datentransfers an Empfänger außerhalb der EU aufmerksam zu verfolgen. Besonders aufmerksam sollten Verlautbarungen der europäischen und der zuständigen nationalen Datenschutzbehörden geprüft werden – denn diese werden letztlich für die Durchsetzung der datenschutzrechtlichen Regelungen gegenüber Unternehmen zuständig sein.

RA Michael Kamps, CMS Hasche Sigle

Bild: CMS Hasche Sigle

Michael Kamps ist Rechtsanwalt bei der Wirtschaftskanzlei CMS Hasche Sigle und berät schwerpunktmäßig im Datenschutzrecht.

]]>
https://www.datensicherheit.de/das-datenschutzrechtliche-damoklesschwert-ueber-den-eu-standardvertragsklauseln/feed 0
TeleTrusT: „EU-US Privacy Shield“ weder Schutz noch Schild https://www.datensicherheit.de/teletrust-eu-us-privacy-shield-weder-schutz-noch-schild https://www.datensicherheit.de/teletrust-eu-us-privacy-shield-weder-schutz-noch-schild#respond Wed, 03 Feb 2016 17:02:50 +0000 http://www.datensicherheit.de/?p=25104 Inkonsequenter Schnellschuss und Feigenblatt der EU-Kommission / Erneuter Bruch geltenden EU-Rechtes / Keine Beseitigung der vom EuGH aufgezeigten Missstände

[datensicherheit.de, 03.02.2016] Am 02.02.2016 hat die EU-Kommission den erfolgreichen Abschluss der Verhandlungen mit den USA über eine Folgevereinbarung zum Safe-Harbor-Abkommen mitgeteilt. Künftig sollen Daten in die USA datenschutzkonform auf Basis des EU-US Privacy Shield übermittelt werden dürfen. Bereits jetzt sei klar, dass die neue Vereinbarung geltendes EU-Recht brechen werde, weil sie keinen ausreichenden Schutz der Daten vorsieht. Unternehmen könnten sich auf diesen Schild nicht verlassen.

Inhalt der Vereinbarung soll insbesondere die Zusage der US-Regierung werden, den massenhaften Datenzugriff der US-Behörden auf das erforderliche Maß zu beschränken und entsprechende Schutzmechanismen zu etablieren. Eine Massendatenspeicherung solle ausgeschlossen sein. Europäische Aufsichtsbehörden sollen nun Beschwerden an das US-Handelsministerium und die FTC weiterleiten können. Für Beschwerden gegen den Zugriff von Regierungsbehörden werde ein neuer Ombudsmann geschaffen.

RA Karsten U. Bartels, HK2 RAe Berlin (TeleTrusT-Vorstand und Leiter der TeleTrusT-AG „Recht“): „Bereits vor Veröffentlichung des vollständigen Vertragstextes ist klar, dass die Forderungen des EuGH aus dem ‚Schrems-Urteil‘ so nicht erfüllt werden können. Statt staatlicher Regeln zur Begrenzung des Datenzugriffs seitens der USA bleibt es bei einseitigen Absichtserklärungen. Statt eines wirksamen gerichtlichen Rechtsschutzes richten die USA lediglich Kummerkästen ein. Völlig außer Acht lässt die Kommission, dass die Sammelwut der USA bis zum nächsten Snowden wieder im streng Geheimen stattfindet. Die Wahrung des europäischen Grundrechts auf Schutz der personenbezogenen Daten würde dagegen ein radikales Umdenken der USA beim Thema Datenschutz, insbesondere beim Zugriff der Geheimdienste, voraussetzen. Das ist aber keineswegs in Sicht. Dies zeigen nicht zuletzt auch die aktuellen Gesetzgebungsverfahren zum USA Freedom Act und dem Judicial Redress Act. Beide werden die vom EuGH aufgezeigten Missstände nicht beseitigen.“

Die Annahme, die USA würden allein aufgrund des Privacy Shield das Datenschutzniveau angemessen anheben können, seit nicht vertretbar. Es hieße nicht weniger als den Europäern ein höheres Schutzniveau zu gewähren als den eigenen Bürger gegenüber. Tatsächlich werde die Einhaltung eines EU-grundrechtskonformen Schutzniveaus auch weiterhin alleine in das Ermessen der USA gestellt. Dies sei eine Kapitulation ins Sachen Datenschutz und IT-Sicherheit. Die Kommission scheue dabei die Konsequenzen der derzeit gebotenen Einstufung der USA als unsicheres Drittland und verkenne dabei, dass die europäischen, insbesondere auch deutschen Unternehmen wirtschaftlich von einem konsequenten Handeln hätten profitieren können. Stattdessen präsentiere die Kommission einen Schnellschuss, der sich auf die Beteuerungen eines Verhandlungspartners verlasse, wegen dessen verdeckten Datenzugriffs das Vorgänger-Abkommen gerade gescheitert war.

Der Privacy Shield ist nach Auffasung des TeleTrusT damit leider nur ein Feigenblatt, welches als formale Rechtsgrundlage für den transatlantischen Datenfluss verdeckt, dass es substantielle Änderung in der Sache nicht gibt. Es ist davon auszugehen, dass der EuGH das Abkommen für unwirksam erklären wird.

Für Unternehmen, die Daten in die USA übermitteln, stelle sich damit die Frage, ob dies auf einer derart unsicheren Grundlage erfolgen solle. Dadurch erlange die für heute erwartete Stellungnahme der Artikel 29-Gruppe zum rechtssicheren Datentransfer in die USA besondere Bedeutung. Hier bleibe zu hoffen, dass diese sich nicht lediglich mit dem neuen Abkommen zufrieden gebe, sondern eigene, tatsächlich rechtssichere Leitlinien enthält, an denen sich Unternehmen künftig orientieren könnten.

]]>
https://www.datensicherheit.de/teletrust-eu-us-privacy-shield-weder-schutz-noch-schild/feed 0