Article
Newsflash IT / Datenschutz
Archiv
Halten Sie sich mit unserem IT/Datenschutz Newsflash auf dem Laufenden über aktuelle Entwicklungen, Entscheidungen und Nachrichten aus dem Bereich IT und Datenschutz.
Bekanntmachung der EU-Kommission zum Datentransfer zwischen der EU und Großbritannien nach dem Brexit
09. Januar 2018
Zukünftige datenschutzrechtliche Anforderungen an die Übermittlung personenbezogener Daten in das Vereinigte Königreich („Großbritannien“):
Die EU-Kommission hat mit Bekanntmachung vom 9. Januar 2018 darauf hingewiesen, dass infolge des Brexit ab dem 30. März 2019 europäisches Recht, wie die EU-Datenschutzgrundverordnung, nicht mehr in Großbritannien Anwendung findet. Datenschutzrechtlich führt dies dazu, dass Großbritannien als Drittland eingestuft wird. Die Übermittlung personenbezogener Daten nach Großbritannien wird dann nur erlaubt sein, wenn ein angemessenes Datenschutzniveau nachgewiesen werden kann, z.B. durch die Vereinbarung von EU-Standardvertragsklauseln oder Binding Corporate Rules.
Jedoch hat der Datenschutzbeauftragte des Vereinigten Königreichs in einer Stellungnahme bereits bekanntgegeben, dass die geltenden EU-Datenschutzrechtsstandards trotz des Brexit weiterhin als gesetzlicher Maßstab bestehen bleiben sollen. Großbritannien strebt somit eine Angemessenheitsentscheidung der EU-Kommission an, die einen erleichterten Datentransfer ohne weitergehende Nachweise eines angemessenen Datenschutzniveaus ermöglicht.
Unternehmen, die personenbezogene Daten an britische Geschäftspartner übermitteln, sollten die zukünftigen Anforderungen im Blick haben und rechtzeitig eine Strategie zum Umgang mit der neuen Situation entwickeln.
BSI veröffentlicht Lagebericht zur IT-Sicherheit 2017
23. November 2017
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im November seinen jährlichen Lagebericht zur IT-Sicherheit in Deutschland veröffentlicht. Nach der Analyse der aktuellen Sicherheitslage wird anhand von Beispielen erläutert, welche Angriffsmittel von Cyber-Kriminellen genutzt werden, welche Ursachen sie haben und wie man sich gegen sie wehren kann.
Es wird die nach wie vor angespannte Gefährdungslage angezeigt. Entwicklungen wie das „Internet der Dinge“, „Industrie 4.0“ und „Smart Everything“ bieten Cyber-Kriminellen eine wachsende Angriffsfläche, die sie nutzen können, um an Informationen zu gelangen, Geschäfts- und Verwaltungsprozesse zu sabotieren oder sich anderweitig kriminell zu bereichern. Gerade Phishing-Attacken und der Einsatz erpresserischer Ransomware gegen Behörden und Unternehmen habe zugenommen.
Das BSI mahnt zudem an, dass Antiviren-Programme oft nicht mithalten, da Schädlinge schnell weiterentwickelt werden. Auch der Faktor Mensch als Gefahrenquelle bspw. im Hinblick auf den sog. „CEO-Fraud“ spielt eine Rolle. Unternehmen wird geraten, ihre Mitarbeiter in Sachen IT-Sicherheit intensiver zu schulen.
Der Lagebericht macht deutlich, dass Cyber-Angriffe wie WannaCry oder Petya/NotPetya immense Auswirkungen haben können, die es notwendig machen, Informationssicherheit als Voraussetzung einer erfolgreichen Digitalisierung zu verstehen.
Neues IT-Grundschutz Kompendium
11. Oktober 2017
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 11. Oktober 2017 sein neues IT-Grundschutz-Kompendium vorgestellt. Dieses ersetzt die bisherigen IT-Grundschutz-Kataloge und enthält in seiner ersten Version eine modernisierte Fassung der wichtigsten bisherigen Bausteine sowie Bausteine zu neuen IT-Sicherheitsthemen. Es soll mehr Flexibilität und Differenzierung ermöglichen. Der finale Entwurf des Kompendiums kann hier eingesehen werden.
Darüber hinaus wurden überarbeitete Fassungen der BSI-Standards und ein Leitfaden zur Basisabsicherung kleiner und mittlerer Unternehmen veröffentlicht.
Aktuelle Urteile zur verdeckten Überwachung von Beschäftigten
11. Oktober 2017
Der Europäische Gerichtshof für Menschenrechte (EGMR) und das Bundesarbeitsgericht (BAG) haben kürzlich zu zentralen Fragen des Beschäftigtendatenschutzes entschieden.
Das BAG urteilte in seiner Entscheidung vom 29. Juni 2017, dass vom Arbeitgeber veranlasste verdeckte Überwachungsmaßnahmen nicht nur zur Aufdeckung von Straftaten, sondern auch zur Aufdeckung schwerwiegender Pflichtverletzungen eines Beschäftigten nach § 32 Abs. 1 S. 2 des Bundesdatenschutzgesetzes (BDSG) zulässig sein können. Nach dem Urteil dürfen Arbeitgeber zum einen kontrollieren, ob ein Arbeitnehmer seinen Pflichten nachkommt und zum anderen alle Daten speichern und verarbeiten, die sie benötigen um ihrer Darlegungs- und Beweislast in einem möglichen Kündigungsschutzverfahren nachzukommen. Sind alle weniger einschneidenden Mittel ergebnislos ausgeschöpft und die Überwachung praktisch das einzig verbleibende Mittel, können auch verdeckte Überwachungsmaßnahmen zur Aufdeckung einer konkreten schweren Pflichtverletzung zulässig sein. Eine solche Pflichtverletzung ist z.B. die Aufnahme einer Konkurrenztätigkeit während eines bestehenden Arbeitsverhältnisses.
Der EGMR benennt in seinem Urteil vom 5. September 2017 Kriterien für die zulässige Überwachung der Internetkommunikation am Arbeitsplatz. Hintergrund der Entscheidung war die verdeckte Überwachung der Messenger-Kommunikation eines Beschäftigten mit dem Ziel dessen unerlaubte Privatnutzung aufzudecken. Nach Auffassung des EGMR ist eine verdeckte Überwachung der Kommunikation nur unter engen Voraussetzungen zulässig. Insbesondere komme es darauf an,
- ob der Beschäftigte im Vorfeld über die Möglichkeit der Überwachung seiner Kommunikation informiert wurde,
- ob der qualitative und quantitative Umfang der Überwachung angemessen ist,
- ob konkrete und ausreichende Anhaltspunkte vorliegen, welche die Überwachung der Kommunikation rechtfertigen,
- ob im Einzelfall weniger einschneidende Maßnahmen möglich sind,
- ob die mit der Überwachung erhaltenen Informationen nur zum Erreichen des damit verfolgten Ziels verwendet werden,
- ob ausreichende Maßnahmen zum Schutz des Betroffenen vorgesehen sind. Dem Arbeitgeber sollte ein Zugriff auf den Inhalt der Kommunikation nur dann möglich sein, wenn der Beschäftigte im Vorfeld hierüber informiert wurde.
Verdeckte Überwachungen der Kommunikation, die die Anforderungen nicht erfüllen, verstoßen gegen das Recht auf Achtung des Privatlebens und der Korrespondenz in Art. 8 der Europäischen Menschenrechtskonvention.
Diese Rechtsprechung ergänzt das kürzlich ergangene Urteil des Bundesarbeitsgerichts, welches den heimlichen Einsatz eines Software-Keyloggers, mit dem alle Tastatureingaben an einem dienstlichen Computer des Arbeitnehmers aufgezeichnet werden, für datenschutzrechtlich unzulässig erklärte.
Unternehmen sollten die aktuelle Rechtsprechung bei internen Compliance Maßnahmen berücksichtigen. Überwachungsmaßnahmen müssen geeignet und angemessen sein. Transparente unternehmensinterne Regelungen sind eine wesentliche Voraussetzung für die Zulässigkeit derartiger Maßnahmen.
Aufsichtsbehörde prüft Einsatz von Facebook Custom Audience
7. Oktober 2017
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat kürzlich Unternehmen auf den datenschutzkonformen Einsatz von Facebook Custom Audience hin geprüft. Facebook Custom Audience ist ein Online-Werbetool, dass es Unternehmen ermöglicht, auf Facebook kundenspezifische Werbung zu platzieren. Dies geschieht entweder durch das Hochladen von Kundenlisten oder mit Hilfe eines Facebook-Pixels, das in die Webseite des Unternehmens eingebunden wird und das Online-Verhalten von Nutzern verfolgt.
Nach dem Ergebnis der Prüfung war der Einsatz durch viele Unternehmen nicht datenschutzkonform: Häufig fehlte es an der notwendigen Transparenz, da Betroffene nicht ausreichend über den Einsatz von Facebook Custom Audience informiert wurden. Zudem wurde oft keine bzw. keine ausreichend funktionierende Widerspruchsmöglichkeit zur Verfügung gestellt.
Angesichts der anstehenden Datenschutzgrundverordnung und der damit einhergehenden hohen Bußgeldrisiken sollten Unternehmen überprüfen, ob sie Facebook Custom Audience datenschutzkonform einsetzen. Das BayLDA hat hierfür allgemeine Hinweise veröffentlicht.
Deutsche Aufsichtsbehörden verständigen sich auf Muster-Verfahrensverzeichnisse
30. Juni 2017
Die deutschen Aufsichtsbehörden haben sich auf Vorlagen für das Verfahrensverzeichnis nach Artikel 30 der EU-Datenschutzgrundverordnung (DSGVO) verständigt:
- Verzeichnis des Verantwortlichen (Art. 30 Abs. 1 DSGVO),
- Verzeichnis des Auftragsverarbeiters (Art. 30 Abs. 2 DSGVO),
- Übersicht über die getroffenen technischen und organisatorischen Datenschutzmaßnahmen,
- Ergänzende Hinweise.
Die Vorlagen bieten Unternehmen eine Orientierungshilfe bei der Erstellung oder Anpassung ihres Verfahrensverzeichnisses an die neuen Anforderungen der DSGVO. Insbesondere im Bereich der technischen und organisatorischen Maßnahmen sollte überprüft werden, ob und inwieweit die bisherige Darstellung den neuen Anforderungen entspricht.
Urteil: Keine vorzeitige Durchsetzung der DSGVO
13. September 2017
Nach einem Urteil des Verwaltungsgerichts (VG) Karlsruhe dürfen Datenschutzbehörden derzeit noch keine Verfügungen oder Sanktionen im Hinblick auf die Anforderungen der Datenschutzgrundverordnung (DSGVO) festsetzen.
Hintergrund des Rechtsstreits ist, dass sich mit der DSGVO ab dem 25. Mai 2018 die datenschutzrechtlichen Rahmenbedingungen für die Dauer der Speicherung von Bonitätsdaten durch Auskunfteien ändern. Die DSGVO enthält anders als die bisherige Regelung in § 35 des Bundesdatenschutzgesetzes keine konkreten Löschfristen. Vielmehr dürfen Daten nach Art. 5 DSGVO (nur) so lange aufbewahrt werden, wie es für den konkreten Zweck erforderlich ist. Die konkreten Auswirkungen der Änderungen und die damit einhergehenden zukünftigen branchenspezifischen Verhaltensregeln (Code of Conduct) sind derzeit Gegenstand von Abstimmungen zwischen Aufsichtsbehörden und Branchenverbänden.
Der Landesbeauftragte für Datenschutz Baden-Württemberg erließ in diesem Zusammenhang eine datenschutzrechtliche Verfügung gegen eine Auskunftei, die Gegenstand des Rechtsstreits war. Er wollte vor dem Hintergrund der anstehenden Änderungen Auskunfteien in seinem Zuständigkeitsbereich dazu verpflichten, von ihm festgelegte Löschfristen zukünftig einzuhalten und entsprechend in ihrem Löschkonzept festzusetzen.
Das VG hob die Verfügung auf. Nach dem Urteil dürfen Datenschutzbehörden Maßnahmen auf Grundlage der DSGVO erst am dem 25. Mai 2018 erlassen. Zudem sind Datenschutzbehörden nicht befugt, Regelungen der DSGVO, die Spielräume lassen, bereits präventiv einzuschränken und durchzusetzen.
Bundestag beschließt Änderung von § 203 StGB
29 June 2017
Am 29. Juni 2017 hat der Bundestag gesetzliche Neuregelungen beschlossen, die Berufsgeheimnisträgern die Inanspruchnahme externer IT-Dienstleister erleichtert. Kernstück der Neuregelungen ist eine Änderung von § 203 des Strafgesetzbuchs (StGB). § 203 StGB bestraft die Offenbarung fremder Geheimnisse, die bestimmten Berufsgeheimnisträgern (z.B. Rechtsanwälte, Ärzte, Angehörige von Versicherungsunternehmen) im Rahmen ihrer Berufsausübung bekannt geworden sind.
Ziel der Änderung ist es, § 203 StGB an die mit der Digitalisierung einhergehenden Anforderungen anzupassen und die Einschaltung externer Dienstleister, insbesondere bei Einrichtung, Betrieb, Wartung und Anpassung informationstechnischer Anlagen, Anwendungen und Systeme zu ermöglichen. Bislang bedarf die Einschaltung externer Dienstleister einer ausdrücklichen Einwilligung der Betroffenen, sofern ihnen ein Zugriff auf oder die Kenntnis der Geheimnisse möglich ist. Zukünftig ist eine Offenbarung von Geheimnissen an sog. mitwirkende Personen zulässig, sofern dies für deren Tätigkeit erforderlich ist. Die externen Dienstleister sind vertraglich zur Geheimhaltung zu verpflichten. Für Mitarbeiter externer Dienstleister von Berufsgeheimnisträgern ist zukünftig zu beachten, dass sie sich persönlich strafbar machen, wenn sie Geheimnisse offenbaren, die ihnen im Rahmen ihrer Tätigkeit bekannt geworden sind.
Die gesetzlichen Neuregelungen umfassen darüber hinaus Anpassungen der Bundesrechtsanwaltsordnung (BRAO), der Bundesnotarordnung (BNotO), der Patentanwaltsordnung (PAO), des Steuerberatungsgesetzes (StBerG) und der Wirtschaftsprüfungsordnung (WPO).
Handreichungen der Aufsichtsbehörden zum Beschäftigtendatenschutz
29. Juni 2017
Neue Handreichungen zum Beschäftigtendatenschutz: Sowohl die Artikel 29 Gruppe, ein Zusammenschluss der europäischen Datenschutzbehörden, als auch der Datenschutzbeauftragte des Landes Baden-Württemberg haben kürzlich Handreichungen zur Datenverarbeitung im Beschäftigungskontext veröffentlicht. Auch eine Veröffentlichung des Bayerischen Landesdatenschutzbeauftragten beschäftigt sich mit der Thematik (siehe hier, hier und hier). Die Handreichungen berücksichtigen noch nicht die Neuregelung des § 26 Bundesdatenschutzgesetz (BDSG). Die angesprochenen Themen und Empfehlungen werden jedoch auch nach dem neuen Recht von Relevanz sein.
OVG NRW: Neufassung der Vorratsdatenspeicherung verstößt gegen EU-Recht | Bundesnetzagentur setzt Durchsetzung aus
22. Juni 2017
Die ab dem 1. Juli 2017 zu beachtende Neufassung der Vorratsdatenspeicherung ist nach einem Beschluss des Oberverwaltungsgerichts NRW vom 22.06.2017, Az. 13 B 238/17 nicht mit EU-Recht vereinbar.
Nach Auffassung des Gerichts ist die in § 113 b Telekommunikationsgesetz geregelte Pflicht für Anbieter öffentlicher Telekommunikationsdienste, pauschal und anlasslos die Verkehrs- und Standortdaten ihrer Nutzer für zehn (Verkehrsdaten) bzw. vier (Standortdaten) Wochen zu speichern, nicht mit Art. 15 Abs. 1 der EU-Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG) vereinbar. Das Gericht stützt sich auf ein Urteil des Europäischen Gerichtshofs vom 21. Dezember 2016, Az. C-203/15 und C-698/15. Danach müssen nationale Regelungen zur Vorratsdatenspeicherung den betroffenen Personenkreis wirksam begrenzen, z.B. im Hinblick auf die Verfolgung schwerer Straftaten, die Bekämpfung schwerer Kriminalität oder die Verhinderung einer schwerwiegenden Gefahr für die öffentliche Sicherheit.
Der Beschluss ist unanfechtbar. Eine Entscheidung im Hauptsacheverfahren steht derzeit noch aus. Die Entscheidung gilt unmittelbar nur für das am Verfahren beteiligte Unternehmen. Die Bundesnetzagentur hat jedoch mitgeteilt, bis zum Abschluss des Hauptsacheverfahrens auf Anordnungen und Maßnahmen zur Durchsetzung der Vorratsdatenspeicherung zu verzichten.
BGH-Urteil zur Speicherung von IP-Adressen durch Webseitenbetreiber
16. Juni 2017
Nach einer Entscheidung des BGH vom 16. Mai 2017, Az. VI ZR 135/13 dürfen Internetseitenbetreiber die IP-Adressen ihrer Besucher auch ohne Einwilligung über den Nutzungsvorgang hinaus speichern, sofern dies erforderlich ist, um die Funktionsfähigkeit der Webseite zu gewährleisten. Dies wird insbesondere dann der Fall sein, wenn die Webseite Ziel von Cyberangriffen ist. Die Frage, wie groß die Gefahr für die jeweilige Website sein muss, wurde nicht geklärt. Das Thema dürfte daher auch weiterhin die Gerichte beschäftigen. Die vorsorgliche Speicherung muss dem Zweck dienen, Angriffe abzuwehren und die Strafverfolgung zu erleichtern.
Bereits im Oktober 2016 hatte der Europäische Gerichtshof auf Vorlage des BGH entschieden, dass auch dynamische IP-Adressen personenbezogene Daten sind (C-582/14). Künftig regelt Art. 4 Nr. 1 DSGVO, dass IP-Adressen personenbezogene Daten sind.
Erste Stellungnahme der Artikel-29-Datenschutzgruppe zum EU-US Privacy Shield
15. Juni 2017
Zur Vorbereitung der jährlichen Überprüfung des EU-US Privacy Shield (Privacy Shield) durch die Europäische Kommission hat die Artikel-29-Datenschutzgruppe, ein Zusammenschluss von Vertretern aller europäischer Datenschutzaufsichtsbehörden, eine erste Einschätzung abgegeben.
Die Gruppe äußert insbesondere Bedenken hinsichtlich der Umsetzung des Abkommens durch das US-Wirtschaftsministerium und forderte die Präzisierung von zu weit formulierten Definitionen des Abkommens. Außerdem verlangt sie Auskünfte zu den jüngsten Entwicklungen im US-Datenschutzrecht. Zudem sei unsicher, ob und wie die neue US-Administration das Abkommen umsetzen und sich an gegebene Zusagen halten werde.
IT-Sicherheit: Entwurf zur Änderung der BSI-KRITIS-Verordnung
6. Juni 2017
Neue Entwicklungen im Bereich IT-Sicherheit: Das Bundeskabinett hat einen Entwurf zur Änderung der BSI-KRITIS-Verordnung beschlossen. Dieser legt für weitere Sektoren fest, welche Infrastrukturen als kritisch gelten.
Zum Hintergrund:
Mit dem IT-Sicherheitsgesetz wurden im Juli 2015 umfangreiche gesetzliche Pflichten für die Betreiber kritischer Infrastrukturen eingeführt. Hierzu gehören nach § 8 a und b des BSI-Gesetzes die Pflicht zu einem angemessenen Schutz der IT-Systeme nach dem Stand der Technik und zu dessen Nachweis, zur Benennung einer Kontaktstelle und zur Meldung wesentlicher Störungen der IT-Systeme.
Was kritische Infrastruktur ist, wurde für die Sektoren Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation bereits im Mai 2016 durch die BSI-KRITIS-Verordnung festgelegt. Der nun beschlossene Änderungsentwurf beinhaltet darüber hinaus die kritischen Infrastrukturen in den Sektoren Finanz- und Versicherungswesen, Gesundheit, sowie Transport und Verkehr.
Die Verordnung wird voraussichtlich noch im Sommer 2017 in Kraft treten. Betreiber kritischer Infrastrukturen der neu erfassten Sektoren müssen dann dem Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von sechs Monaten eine Kontaktstelle benennen und innerhalb von zwei Jahren angemessene technische und organisatorische Maßnahmen zum Schutz der IT-Systeme treffen und nachweisen. Hierfür können Sie auf die Orientierungshilfe des BSI zurückgreifen.
Neue Regelungen zum elektronischen Personalausweis
2. Juni 2017
Der Bundesrat hat dem Gesetz zur Förderung des elektronischen Identitätsnachweises (eID) (konsolidierte Fassung liegt noch nicht vor: Gesetzesentwurf, Änderungen des Bundesrates) am 2. Juni 2017 zugestimmt. Ziel der Neuregelung ist es, die Handhabung der Online-Funktionen des elektronischen Personalausweises zu vereinfachen. Hierdurch soll deren Akzeptanz erhöht und die Anwendung verbreitet werden.
Zukünftig werden die Online-Funktionen des elektronischen Personalausweises standardmäßig aktiviert sein. Die hierfür erforderliche eID-Funktion ist zwar bereits seit November 2010 in den Personalausweis integriert. Bisher wurden die Online-Funktionen jedoch nur auf Wunsch des Inhabers aktiviert, was Schätzungen zufolge nur von etwa einem Drittel der Inhaber in Anspruch genommen wurde.
Für Unternehmen wird es zudem einfacher eine Berechtigung zu erhalten, um ihren Kunden die Online-Funktionen des elektronischen Personalausweises anbieten zu können.
Außerdem ist vorgesehen, dass Sicherheitsbehörden künftig automatisiert Zugriff auf die biometrischen Lichtbilder erhalten. Dies wird von Datenschützern teils heftig kritisiert.
Vor seinem Inkrafttreten muss das Gesetz noch durch den Bundespräsidenten unterzeichnet und anschließend verkündet werden. Es tritt - mit Ausnahme des automatisierten Lichtbildabrufs, der erst ab Mai 2018 gilt - am Tag nach seiner Verkündung in Kraft.
Update neues Bundesdatenschutzgesetz
12. Mai 2017
Das neue Bundesdatenschutzgesetz (BDSG-neu) ist da: Am 12. Mai 2017 hat der Bundesrat dem finalen Entwurf zugestimmt und das Gesetzgebungsverfahren abgeschlossen.
Regelungen im BDSG-neu betreffen z.B. die Datenverarbeitung im Beschäftigungsverhältnis, bei der der Vergabe von Verbraucherkrediten, sowie bei Scoring und Bonitätsauskünften und die Pflicht zur Bestellung eines Datenschutzbeauftragten. Mehr dazu finden Sie in Kürze in unseren Topics IT/ Datenschutz.
Das BDSG-neu wird am 25. Mai 2018 in Kraft treten.
Deutschland hat damit als erstes Land der EU ein nationales Begleitgesetz zur EU- Datenschutz-Grundverordnung (DSGVO) geschaffen. Es ist anzunehmen, dass BDSG-neu anderen EU-Staaten als Basis für nationale Datenschutzgesetze dienen wird. Aufgrund der umfassenden Abweichungen von der DSGVO, die das BDSG-neu vorsieht, steht zu befürchten, dass die Datenschutzanforderungen in den einzelnen Mitgliedsstaaten der EU stark variieren werden und sich die mit der DSGVO verfolgte Idee eines europaweit einheitlichen Datenschutzes nicht durchsetzen kann.
Bundestag verabschiedet neues Bundesdatenschutzgesetz
27. April 2017
Am 27. April 2017 hat der Bundestag das Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) in seiner finalen Version vom 25. April 2017 angenommen. Das Gesetzespaket dient der Anpassung des deutschen Datenschutzrechts an die Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO) und der Umsetzung der EU-Datenschutzrichtlinie für Polizei- und Justiz (EU-Richtlinie 2016/680). Kernstück ist das neue Bundesdatenschutzgesetz (BDSG), das zum 25. Mai 2018 das bisherige BDSG ersetzen wird und die DSGVO in einzelnen Punkten ergänzt und konkretisiert.
Mit der für Mai 2017 anvisierten Zustimmung des Bundesrates zu dem Gesetzespaket wird das Gesetzgebungsverfahren abgeschlossen sein. Damit ist Deutschland europaweit Vorreiter bei der Umsetzung der neuen Anforderungen des EU-Datenschutzrechts in nationales Recht.
Ob der Abschluss des Gesetzgebungsverfahrens die gewünschte Rechtssicherheit bringt, bleibt abzuwarten: Die Europäische Kommission hat sich der bisher geäußerten Kritik an einigen Regelungen des neuen BDSG angeschlossen und Zweifel an deren Rechtmäßigkeit geäußert.
Weißbuch Digitale Plattformen
20. März 2017
Am 20. März 2017 hat die Bundesregierung ihr „Weißbuch Digitale Plattformen“ veröffentlicht. Das Dokument stellt das Ergebnis eines Konsultationsprozesses vor, an dem Unternehmen, Gewerkschaften, Verbände sowie interessierte Bürger teilgenommen haben. Anhand von verschiedenen Thesen und Leitlinien wurde die Öffentlichkeit über die mögliche Ausgestaltung eines künftigen Ordnungsrahmens für digitale Plattformen befragt.
Das Weißbuch folgt der Digitalen Strategie 2025 des Bundesministeriums für Wirtschaft und Energie (BMWi), welche im März 2016 Leitsätze und Handlungsfelder für die weitere Digitalisierung der Wirtschaft und Gesellschaft identifizierte. Im Weißbuch wird u.a. für eine rasche und europaweit einheitliche Umsetzung der europäischen Datenschutz-Grundverordnung plädiert. Ferner nimmt das BMWi Stellung zur Entstehung eines Vertrauensdienstegesetzes und zieht die Einrichtung einer Digitalagentur in Betracht.
EU US Privacy Shield und Trumps „Executive Order“
2. März 2017
Die EU-Justizkommissarin hat gegenüber der Nachrichtenagentur Bloomberg erklärt, die erst jüngst in Kraft getretene EU US Privacy Shield-Vereinbarung "ohne Zögern“ außer Kraft zu setzen, wenn die US-Regierung etwas an den ausgehandelten Voraussetzungen "signifikant“ ändere.
Hintergrund ist die Executive Order zur „Verbesserung der öffentlichen Sicherheit“ von US-Präsident Donald Trump vom 25. Januar. Diese nimmt Nicht-US-Bürger vom Schutz des "Privacy Act“ aus. Zwar hatte das US-Justizministerium der EU-Kommission am 22. Februar in einem Schreiben versichert, dass die USA weiterhin hinter dem Privacy Shield stünden. Die EU will jedoch in Anbetracht der „Unvorhersehbarkeit“ in einen weiteren Dialog mit der US-Regierung eintreten. Ende März soll ein klärendes Treffen zwischen der EU-Justizkommissarin und Vertretern der US-Regierung in Washington D.C. stattfinden.
Sollte das Privacy Shield tatsächlich kippen, bestünde erneut Rechtsunsicherheit im Hinblick auf Datenübermittlungen in die USA.
Aktuelle Leitfäden der Artikel 29 Gruppe zur DSGVO
1. Februar 2017
Die Artikel 29 Gruppe hat im Dezember 2016 einige Leitfäden zur Umsetzung der Datenschutzgrundverordnung (DSGVO) veröffentlicht: Ein Leitfaden beschäftigt sich mit dem Recht auf Datenportabilität in Artikel 20 DSGVO (Leitfaden, FAQ). Ein weiterer Leitfaden wurde zum Thema „Datenschutzbeauftragter“ veröffentlicht (Leitfaden, FAQ). Der dritte Leitfaden beschäftigt sich mit der Frage, welche Aufsichtsbehörde bei grenzüberschreitender Datenverarbeitung federführend ist, Artikel 56 DSGVO (Leitfaden, FAQ). Weitere Leitfäden zu den Themen Einwilligung, Profiling, Transparenz, Datenübermittlung in Drittländer und zur Meldepflicht bei Datenschutzvorfällen sind für das Jahr 2017 angekündigt.
Die Artikel 29 Gruppe ist ein europäischer Zusammenschluss aus Vertretern der nationalen Datenschutzbehörden, Vertretern der Europäischen Kommission und dem europäischen Datenschutzbeauftragten. Sie berät die Europäische Kommission in Datenschutzfragen und fördert die einheitliche Anwendung des europäischen Datenschutzrechts. Ihre Stellungnahmen und Leitlinien zu datenschutzrechtlichen Themen sind als rechtlich verbindlich zu betrachten, da sie die Rechtsauffassung der Aufsichtsbehörden im Bereich Datenschutz widerspiegeln.
Bundesregierung beschließt Gesetzesentwurf zum neuen deutschen Datenschutzgesetz
1. Februar 2017
Die Bundesregierung hat heute einen Gesetzesentwurf beschlossen, mit dem das nationale Datenschutzrecht an die neuen Vorgaben der EU-Datenschutzgrundverordnung (DSGVO) angepasst werden soll.
Die DSGVO enthält eine Vielzahl von Öffnungsklauseln, die es den nationalen Gesetzgebern ermöglichen, ergänzende und konkretisierende nationale Regelungen zu treffen, z.B. im Bereich des Beschäftigtendatenschutzes, sowie im Hinblick auf die Voraussetzungen für die Bestellung eines Datenschutzbeauftragten.
Der beschlossene Gesetzentwurf muss jetzt erst noch im parlamentarischen Verfahren im Bundestag und Bundesrat beraten werden und die Entscheidung ist ungewiss. Denn der beschlossene Entwurf trifft wie die beiden ersten Entwürfe auf umfangreiche Kritik, z.B. im Hinblick auf die geplante Verkürzung der Betroffenenrechte und die Vereinfachung der Videoüberwachung öffentlicher Räume. Zudem halten Kritiker Teile des Gesetzes für europarechtswidrig, insbesondere soweit diese über die Öffnungsklauseln in der DSGVO hinausgehen.
IT-Sicherheit, E-Government, Automatisiertes Fahren: Neue Gesetzesentwürfe der Bundesregierung
25. Januar 2017
Aktuelle Entwicklungen im Bereich IT/Datenschutz: Die Bundesregierung hat heute einige relevante Gesetzesentwürfe beschlossen.
Im Bereich IT-Sicherheit handelt es sich um den Entwurf eines Gesetzes zur Umsetzung der EU-Richtlinie 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (NIS Richtlinie). Die NIS Richtlinie enthält neben Regelungen für Betreiber kritischer Infrastrukturen neue Pflichten für Anbieter digitaler Dienste.
Ein weiterer Entwurf betrifft das Thema E-Government: Ein neues sogenanntes „Open-Data-Gesetz“ soll die unentgeltliche Bereitstellung öffentlicher Daten durch die Verwaltungsbehörden des Bundes fördern.
Der dritte Gesetzesentwurf hat das Ziel, das Thema „Automatisiertes Fahren“ in das Straßenverkehrsgesetz zu integrieren. So sollen zukünftig unter bestimmten Voraussetzungen hoch- und vollautomatisierte Fahrsysteme selbständig die Fahraufgaben übernehmen.
Datenschutz: Jahresrückblick 2016 und Ausblick 2017 | DSGVO: Get ready for May 2018!
10. Januar 2017
EU-Datenschutzgrundverordnung (DSGVO), neues Bundesdatenschutzgesetz, internationale Datentransfers, E-Privacy Verordnung, neue Prozessrisiken im Datenschutzbereich. Das waren die Datenschutzthemen des Jahres 2016, die auch für das Jahr 2017 noch von großer Relevanz sind. In unserem Beitrag „Jahresrückblick 2016 und Ausblick 2017“ zeigen wir auf, was wichtig war und geben einen Ausblick darüber, was uns im Jahr 2017 erwartet.
Are you ready for May 2018? Die DSGVO gilt ab Mai 2018 unmittelbar in allen EU-Mitgliedsstaaten. Bis dahin müssen Unternehmen und öffentliche Hand die neuen Vorschriften umgesetzt haben. Somit ist spätestens mit Beginn des Jahres 2017 der Startschuss für die Umsetzung der DSGVO gefallen. Sind Sie bereit? Wir helfen Ihnen, sich den Herausforderungen der DSGVO zu stellen und die Chancen zu nutzen. Deloitte Legal bietet einen interdisziplinären Ansatz, der es Ihnen ermöglicht, nicht nur „compliant" zu sein, sondern vorausschauend zu agieren. Get ready for May 2018 – hier erfahren Sie mehr.
Neue Vorschriften zur internationalen Datenübermittlung zwischen Ermittlungsbehörden
27. Dezember 2016
Auch im Bereich der Datenübermittlung zwischen Justiz- und Ermittlungsbehörden gab es einige Veränderungen in 2016:
Auf europäischer Ebene ist Ende April 2016 die Richtlinie 2016/80 in Kraft getreten. Sie vereinheitlicht europaweit die Vorgaben zur Übermittlung personenbezogener Daten bei der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten, sowie der Strafvollstreckung. Sie beinhaltet unter anderem Vorgaben zur Datenverarbeitung, zu den Rechten Betroffener, zur Datenübermittlung, sowie zu Datenschutz und Datensicherheit. Die Richtlinie muss von den Mitgliedsstaaten bis Mai 2018 in nationales Recht umgesetzt werden.
Auf internationaler Ebene ist das sog. „Umbrella Agreement“ von Relevanz. Es schafft verbindliche Vorgaben für die Datenübermittlung zwischen den Justiz- und Ermittlungsbehörden der EU und den USA. Hintergrund für das Abkommen ist zum einen die gemeinsame Verbrechens- und Terrorismusbekämpfung. Zum anderen soll ein verbesserter Schutz Betroffener gewährleistet werden. Neben einer Beschränkung der Speicherfristen soll den Betroffenen die Möglichkeit offen stehen, die Daten einzusehen und korrigieren zu lassen. Praktisch ist der Schutz allerdings beschränkt: diese Ansprüche müssen vor US Gerichten geltend gemacht werden und können aus Gründen der inneren Sicherheit abgelehnt werden. Nachdem Anfang Dezember 2016 das Europäische Parlament und der Europäische Rat dem Abkommen zugestimmt haben, sind insbesondere auf Seiten der USA noch interne Maßnahmen erforderlich, bevor das Abkommen in Kraft tritt.
Bekanntmachung der EU-Kommission zum Datentransfer zwischen der EU und Großbritannien nach dem Brexit
9. Januar 2018
Zukünftige datenschutzrechtliche Anforderungen an die Übermittlung personenbezogener Daten in das Vereinigte Königreich („Großbritannien“):
Die EU-Kommission hat mit Bekanntmachung vom 9. Januar 2018 darauf hingewiesen, dass infolge des Brexit ab dem 30. März 2019 europäisches Recht, wie die EU-Datenschutzgrundverordnung, nicht mehr in Großbritannien Anwendung findet. Datenschutzrechtlich führt dies dazu, dass Großbritannien als Drittland eingestuft wird. Die Übermittlung personenbezogener Daten nach Großbritannien wird dann nur erlaubt sein, wenn ein angemessenes Datenschutzniveau nachgewiesen werden kann, z.B. durch die Vereinbarung von EU-Standardvertragsklauseln oder Binding Corporate Rules.
Jedoch hat der Datenschutzbeauftragte des Vereinigten Königreichs in einer Stellungnahme bereits bekanntgegeben, dass die geltenden EU-Datenschutzrechtsstandards trotz des Brexit weiterhin als gesetzlicher Maßstab bestehen bleiben sollen. Großbritannien strebt somit eine Angemessenheitsentscheidung der EU-Kommission an, die einen erleichterten Datentransfer ohne weitergehende Nachweise eines angemessenen Datenschutzniveaus ermöglicht.
Unternehmen, die personenbezogene Daten an britische Geschäftspartner übermitteln, sollten die zukünftigen Anforderungen im Blick haben und rechtzeitig eine Strategie zum Umgang mit der neuen Situation entwickeln.
Zweiter Entwurf zum neuen Datenschutzgesetz
11. November 2016
Ab Mai 2018 gilt die EU-Datenschutzgrundverordnung (DSGVO). Bis dahin hat der deutsche Gesetzgeber Gelegenheit, die Vorschriften der DSGVO durch nationale Regelungen zu ergänzen und zu konkretisieren.
Nachdem der im September dieses Jahres veröffentlichte erste Entwurf eines neuen Bundestatenschutzgesetzes von vielen Seiten heftige Kritik erfahren hat, liegt nun ein zweiter Gesetzesentwurf des Bundesinnenministeriums vor.
Dieser enthält neben Regelungen zur Datenverarbeitung durch öffentliche Stellen auch Vorschriften für nichtöffentliche Stellen, die im Rahmen der Tätigkeiten einer Niederlassung in Deutschland personenbezogene Daten verarbeiten. Der Entwurf sieht unter anderem spezielle Regelungen zur Datenverarbeitung im Beschäftigtenverhältnis und bei Scoring, sowie zur Datenübermittlung an Auskunfteien vor.
Darüber hinaus beschränkt auch der neue Entwurf die Rechte der Betroffenen. Ob die damit anvisierte wirtschaftsfreundliche Herangehensweise des Bundesinnenministeriums für Unternehmen Vorteile bringt, ist jedoch zweifelhaft. Denn neben der Frage, ob die vorgesehenen Einschränkungen EU-rechtlich überhaupt zulässig sind, erschweren extensive nationale Abweichungen von der DSGVO die einheitliche und rechtssichere Datenschutzpraxis.
Umfangreiche Prüfungsaktion der Datenschutzaufsichtsbehörden
3. November 2016
Die Datenschutzaufsichtsbehörden haben angekündigt, in einer gemeinsamen Aktion 500 Unternehmen einer datenschutzrechtlichen Prüfung zu unterziehen.
Inhalt der Prüfung ist die Übermittlung personenbezogener Daten an Länder außerhalb des EU/EWR Raums. Mit Hilfe eines Fragebogens wird ermittelt,
- welche Daten
- zu welchen Zwecken und
- auf welche Art und Weise
- an welche Länder übermittelt werden und
- auf welcher Rechtsgrundlage die Datenübermittlung erfolgt.
Ein Fokus der Prüfung liegt auf der Datenübermittlung bei der Nutzung externer Services, wie Fernwartung, Support, Reisemanagement, CRM-Systeme, Recruiting, Cloud-Speicherlösungen und -Officelösungen, Kommunikationsdienste und Kollaborationsplattformen.
An der Prüfung nehmen die Datenschutzaufsichtsbehörden der Bundesländer Bayern, Berlin, Bremen, Hamburg, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt teil. Die Aktion beginnt im November 2016.
Bundestag beschließt Gesetz zu automatisierten Fahrzeugsystemen
29. September 2016
Der Bundestag hat heute beschlossen, dass die bereits im Frühjahr 2014 erfolgten Änderungen des Wiener Übereinkommens über den Straßenverkehr nun auch in Deutschland gelten.
Was bedeutet das für assistierte, automatisierte und autonome Fahrzeugsysteme?
Ein erster Schritt ist getan. Auf Grundlage des Gesetzes können die nationalen Regelungen so angepasst werden, dass auf technische Entwicklungen im Bereich des assistierten und automatisierten Fahrens schneller reagiert werden kann: Die Änderungen im Wiener Übereinkommen sehen vor, dass Fahrzeugsysteme, die Einfluss auf das Führen des Fahrzeugs haben, z.B. Fahrerassistenzsysteme oder teil- und hochautomatisierte Fahrsysteme unter zwei Voraussetzungen zulässig sind: Zum einen sind sie dann zulässig, wenn sie den laufend überarbeiteten und an den Stand der Technik angepassten technischen Regelungen der Wirtschaftskommission der Vereinten Nationen für Europa (UN-ECE) entsprechen. Zum anderen sind sie dann zulässig, wenn sie durch den Fahrer übersteuerbar oder abschaltbar sind.
Der Einsatz vollständig autonomer Fahrzeuge im öffentlichen Straßenverkehr ist derzeit rechtlich noch nicht möglich. Entsprechende Änderungen der internationalen Übereinkommen über den Straßenverkehr sind jedoch in Diskussion.
IT/Datenschutz
27. September 2016
Im Juni 2016 hatte der Hamburger Datenschutzbeauftragte darauf hingewiesen, dass die Nutzung von Google Analytics nicht rechtskonform sei, da die Datenübermittlung auf Grundlage des bereits ungültigen Safe-Harbor-Abkommens erfolge.
Google ist seit kurzem dem EU-U.S. Privacy-Shield beigetreten. Im Zusammenhang damit stellt Google jetzt auch ein aktualisiertes Vertragsformular zur Auftragsverarbeitung von Daten zur Verfügung.
Websitebetreibern, die Google Analytics nutzen ist dringend anzuraten, den aktualisierten Vertrag mit Google abschließen. Auf Grundlage des bisherigen Vertrages ist die Nutzung nicht datenschutzkonform.
---
Zum Hintergrund:
Bei der Verwendung von Google Analytics werden personenbezogene Daten der Nutzer einer Website von Google verarbeitet und dem Websitebetreiber zur statistischen Auswertung zur Verfügung gestellt. Um Google Analytics datenschutzkonform nutzen zu können muss
1. ein Vertrag über die Auftragsverarbeitung von Daten mit Google geschlossen werden,
2. mit Hilfe des Tools „anonymize IP“ die IP-Adresse der Nutzer anonymisiert werden,
3. in der Datenschutzerklärung auf die Nutzung von Google Analytics hingewiesen und eine Widerspruchsmöglichkeit (Opt-Out) implementiert werden.
Da die Daten in den USA verarbeitet werden, ist zudem eine Rechtsgrundlage für die Datenübermittlung erforderlich. In der Vergangenheit erfolgte die Datenübermittlung auf Grundlage des Safe-Harbour-Abkommens. Nachdem dieses vom EUGH für ungültig erklärt wurde, gibt es seit dem Sommer 2016 eine neue Rechtsgrundlage: das EU-US Privacy-Shield.
IT/Datenschutz
14. September 2016
Der Düsseldorfer Kreis hat am 14. September 2016 einen Beschluss zur Fortgeltung bisher erteilter Einwilligungen unter der EU-Datenschutzgrundverordnung (DSGVO) gefasst.
Der Düsseldorfer Kreis ist ein Gremium, in dem die deutschen Aufsichtsbehörden für den Datenschutz im nichtöffentlichen Bereich ihr Vorgehen zu bestimmten Fragestellungen abstimmen und beschließen.
Nach dem aktuellen Beschluss können „alte“ unter dem Bundesdatenschutzgesetz (BDSG) erteilte Einwilligungen in die Verarbeitung personenbezogener Daten auch unter der DSGVO weiter gelten. Die Aufsichtsbehörden gehen davon aus, dass bisher rechtswirksame Einwilligungen regelmäßig den Bedingungen der neuen EU-Datenschutz-Grundverordnung (EU-DSGVO) entsprechen und damit fortgelten.
Einwilligungen gelten nach dem Beschluss jedoch zum einen dann nicht fort, wenn die Betroffenen die Altersgrenze von 16 Jahren nach Art. 8 DSGVO nicht erreicht haben. Zum anderen ist eine Weiterverwendung ausgeschlossen, wenn die Einwilligungen nicht freiwillig erfolgt sind, insbesondere wenn sie gegen das Koppelungsverbot aus Art. 7 Abs. 4 DSGVO verstoßen.
Wir empfehlen darüber hinaus, nur solche Einwilligungen weiter zu verwenden, bei denen die Betroffenen im Vorfeld auf ihr Widerspruchsrecht hingewiesen wurden. Denn abweichend von der bisherigen Rechtslage ist eine Einwilligung nach Art. 7 Abs. 3 DSGVO nur dann wirksam, wenn der Betroffene vorab über sein Widerrufsrecht informiert wurde.
IT/Datenschutz
7. September 2016
Ein halbes Jahr nach dem Inkrafttreten der Europäischen Datenschutzgrundverordnung (DSGVO) liegt der erste Entwurf eines neuen deutschen Datenschutzgesetzes (ABDSG) vor. Dieses ergänzt und konkretisiert die Regelungen der DSGVO.
Der Entwurf enthält unter anderem Regelungen zu Betroffenenrechten, zum Datenschutzbeauftragten, zum Beschäftigtendatenschutz, zur Zuständigkeit der Aufsichtsbehörden und der Verhängung von Bußgeldern.
Welche Regelungen des Entwurfs final werden, bleibt abzuwarten. Erste Stellungnahmen des Bundesministeriums für Justiz und Verbraucherschutz und der Bundesbeauftragten für Datenschutz und Informationsfreiheit sehen an vielen Stellen noch Änderungsbedarf. Insbesondere die Einschränkung der Betroffenenrechte stößt auf großen Widerstand.
Safe Harbor 2.0
19. August 2016
Seit dem 1. August 2016 können sich US Unternehmen unter dem neuen „EU-US Privacy Shield“ selbst zertifizieren. Datenschutzrechtlich entsteht durch die Selbstzertifizierung ein „angemessenes Datenschutzniveau“ gemäß § 4b Absatz 2 BDSG.
Die teilnehmenden US Unternehmen werden in die vom US Handelsministerium geführte öffentliche „Privacy Shield Liste“ aufgenommen. Über die Liste können insbesondere die jeweiligen Privacy Policies der Unternehmen sowie Informationen über die Art der betroffenen Daten abgerufen werden. Zudem sind dort die Kontaktdaten zum jeweiligen Ansprechpartner beim Unternehmen für Fragen und Beschwerden hinterlegt. Die Unternehmen müssen auf Anfragen innerhalb von 45 Tagen antworten.
Da jedoch die Kritik am EU-US Privacy Shield nicht abreißt und fraglich ist, ob die Angemessenheitsentscheidung der EU Kommission zum EU-US Privacy Shield einer Überprüfung durch den EuGH standhalten wird, sollte die Entwicklung beobachtet werden. Eine längerfristige Strategie für den internationalen Datentransfer sollte deshalb auch weiterhin die anderen Möglichkeiten wie EU-Standardvertragsklauseln (diese allerdings mit Blick auf die aktuellen Entwicklungen der möglichen Überprüfung durch den EuGH) und Binding Corporate Rules berücksichtigen.
Safe Harbor 2.0
12. Juli 2016
Die EU-Kommission hat am 12. Juli 2016 das EU-US Privacy Shield (Privacy Shield) angenommen und damit den Weg für die Übermittlung personenbezogener Daten in die USA geebnet. Das Privacy Shield ist die Nachfolgeregelung des Safe Harbor Abkommens, welches im Oktober 2015 vom Europäischen Gerichtshof (EUGH) für ungültig erklärt wurde. Das Abkommen gewährleistet nach dem Angemessenheitsbeschluss der EU--Kommission ein angemessenes Datenschutzniveau und ausreichende Betroffenenrechte. Es kann von Unternehmen zukünftig als Grundlage für die Übermittlung personenbezogener Daten aus der EU/EWR an teilnehmende Unternehmen in den USA herangezogen werden.
US Unternehmen, die am Privacy Shield teilnehmen wollen, zertifizieren sich jährlich anhand der dort geregelten Vorgaben selbst. Sie müssen insbesondere die dort geregelten Voraussetzungen der Privacy Principles einhalten und unter anderem sicherstellen, dass ihre Datenschutzerklärung bestimmte Informationen enthält, dass sie den Anforderungen zu Transparenz, Datensparsamkeit, Datensicherheit, Datenweitergabe, Datenintegrität und Vertraulichkeit entsprechen und dass sie den Betroffenen ausreichende Rechte einräumen.
Ab dem 1. August 2016 können sich US Unternehmen in eine vom US Handelsministerium geführte öffentliche Liste teilnehmender Unternehmen aufnehmen lassen.
Angesichts der umfangreichen Kritik an dem EU-US Privacy Shield ist allerdings fraglich, ob es sich um eine dauerhafte Lösung handelt. Es ist nicht auszuschließen, dass auch dieses Abkommen dem EUGH zur Prüfung vorgelegt werden wird.
IT/Datenschutz
10. Juni 2016
Website-Betreiber aufgepasst: Der Hamburgische Datenschutzbeauftragte weist darauf hin, dass die Nutzung des Analyse Tools Google Analytics derzeit nicht rechtskonform ist.
Hintergrund des Hinweises ist, dass die für das Tool erforderliche Datenübermittlung in die USA noch auf Grundlage des Safe-Harbor-Abkommens erfolgt. Dieses wurde jedoch bereits im Oktober 2015 vom EUGH für unwirksam erklärt und darf nicht mehr als Grundlage für eine Datenübermittlung in die USA herangezogen werden. Derzeit laufen erste Bußgeldverfahren gegen Unternehmen, die ihre Datenübermittlung nicht rechtzeitig umgestellt haben.
Eine aktualisierte Handreichung des Hamburgischen Datenschutzbeauftragten zur Nutzung von Google Analytics ist in Kürze zu erwarten. Bis dahin ist die Nutzung von Google Analytics risikobehaftet.
Haftung für W-Lan Betreiber
1. Juni 2016
Am 1. Juni 2016 hat der Bundestag eine Änderung des Telemediengesetzes (TMG) beschlossen. Die Gesetzesänderung soll dazu führen, dass Betreiber von offenen W-Lan-Netzen zukünftig nicht für Rechtsverletzungen Dritter über ihren Anschluss haften. Ziel ist es, die Ausbreitung offener Netze zu fördern.
Ob die Gesetzesänderung die rechtlichen Fragen im Zusammenhang mit dem Betrieb offener W-Lan-Netze klärt, wird sich zeigen. Klar ist nach derzeitiger Gesetzesfassung lediglich, dass Betreiber offener W-Lan-Netze unter den Voraussetzungen des § 8 Abs. 1 TMG nicht auf Schadensersatz haften. Juristisch umstritten bleibt jedoch, ob die Haftungsbeschränkung auch für Unterlassungsansprüche gilt und welche Darlegungs- und Beweispflichten bestehen.
Safe Harbor 2.0
26. Mai 2016
Die für Facebook zuständige irische Datenschutzaufsichtsbehörde hat mitgeteilt, nunmehr auch die Datenübermittlung in die USA auf Grundlage der EU-Standardvertragsklauseln vom EUGH überprüfen lassen zu wollen.
Seit der EuGH das Safe-Harbor Abkommen als bisherige Grundlage der Datenübermittlung in die USA gekippt hat, gelten die EU-Standardvertragsklauseln zumindest als vorübergehende „Lösung“. Sollte der EUGH jedoch an seinen bisherigen Kriterien festhalten, dürften auch die EU-Standardklauseln zukünftig nicht ausreichen, um Daten von EU-Bürgern rechtmäßig in die USA zu übermitteln. Denn das Grundproblem der bestehenden Zugriffsmöglichkeiten der US-Behörden und den fehlenden Rechtsschutzmöglichkeiten gegen derartige Zugriffe bleibt bestehen.
Eine dauerhafte Lösung des Grundproblems auf Ebene der US-Gesetze scheint politisch nahezu ausgeschlossen. Ob das neue EU-US Privacy Shield hier Abhilfe schaffen wird, ist derzeit mehr als fraglich. Das derzeitige Verhandlungsergebnis wurde gerade erst durch das EU-Parlament als unzureichend kritisiert, die Verhandlungen zwischen der EU und den USA werden fortgesetzt.
Safe Harbor
26. Mai 2016
In einer nichtbindenden Resolution fordert das EU-Parlament die EU-Kommission auf, die Verhandlungen mit den USA über eine Regelung zum Schutz persönlicher Daten von EU-Bürgern, die in die USA übertragen werden, fortzuführen. Die neuen Verhandlungen waren nötig geworden, nachdem der EUGH im Oktober 2015 die Vorgängerregelung „Safe Harbor“ gekippt hatte.
Die bisherigen Verhandlungsergebnisse hält das EU-Parlament in Teilen für verbesserungswürdig. Zwar wurde beispielsweise die geforderte Einsetzung eines Ombudsmannes vereinbart, diesem fehlten jedoch die erforderlichen Kompetenzen und Unabhängigkeit, um seine Aufgabe wirksam zu erfüllen. Auch das Rechtsbehelfsverfahren hinke in Sachen Benutzerfreundlichkeit und Effizienz hinterher. Größter Kritikpunkt dürfte wohl sein, dass die Daten der EU-Bürger nach Ansicht des EU-Parlaments immer noch nicht hinreichend vor dem Zugriff der US-Behörden geschützt seien.
IT/Datenschutz
4. Mai 2016
Bereits im April 2016 wurde die EU-Datenschutzgrundverordnung (EU-DSGVO) durch das EU-Parlament verabschiedet (siehe unten). Mit der Veröffentlichung im Amtsblatt gilt nunmehr die Übergangsfrist und ab dem 25. Mai 2018 ein einheitliches EU-Datenschutzrecht (zu den Auswirkungen siehe bereits hier). Bestimmte Regelungsbereiche können jedoch weiterhin von den nationalen Gesetzgebern ausgestaltet werden. In der Übergangsfrist sind daher erhebliche Neuerungen in den nationalen Datenschutzregelungen zu erwarten, insbesondere im Hinblick auf die Einrichtung und Ausgestaltung der nationalen Aufsichtsbehörden, des Rechtsschutzes gegen deren Entscheidungen und der Regelung weitergehender Sanktionen. Auch der Beschäftigtendatenschutz und die Voraussetzungen für die verpflichtende Bestellung eines Datenschutzbeauftragten können von den nationalen Gesetzgebern gesondert geregelt werden.
IT/Datenschutz
20. April 2016
Das Bundesverfassungsgericht (BVerfG) hat eine Entscheidung zu einer vor Jahren erhobenen Verfassungsbeschwerde gegen das Anfang 2009 geänderte BKA-Gesetz getroffen. Die Gesetzesänderung hatte zu einer Ausweitung der Befugnisse des BKA, insbesondere im Bereich der Datenerhebung zur Terrorismusbekämpfung geführt. Diese Befugnisse sind zum Teil verfassungswidrig, so entschied das BVerfG nun in seiner vom Vize-Gerichtspräsident Ferdinand Kirchhof als „Grundsatzentscheidung zum Datenschutz“ bezeichneten Entscheidung.
Nach (nicht einstimmiger Ansicht) der Richter ist das Gesetz zwar im Grundsatz mit den Grundrechten vereinbar. Aber verschiedene Einzelvorschriften stellten unverhältnismäßige Eingriffe dar, insbesondere im Bereich der Wohnungsüberwachung. Zudem entschied das BVerfG erstmals zur Datenübermittlung an in- und ausländische Stellen. Die Regelungen zur Datenübermittlung an Verfassungsschutzbehörden, den MAD und den BND seien nicht verhältnismäßig, die Regelungen für die Datenübermittlung an ausländische Stellen genügten sogar grundgesetzlichen Anforderungen nicht.
Da laut BVerfG nicht der Kern des Gesetzes berührt ist, gelten die beanstandeten Vorschriften eingeschränkt bis Mitte 2018 fort. Bis dahin muss das BKA-Gesetz vom Gesetzgeber stark nachgebessert werden.
IT-Sicherheit
18. April 2016
Die Bundesregierung hat letzte Woche dem Erlass einer vom Bundesinnenminister vorgelegten Rechtsverordnung zur Konkretisierung des im Juli 2015 in Kraft getretenen IT-Sicherheitsgesetzes zugestimmt. Gegenstand dieser ersten Rechtsverordnung sind die Sektoren Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation.
730 Anlagen werden von der Verordnung als kritisch eingeschätzt. Die betroffenen Betreiber sind mit Inkrafttreten der Rechtsverordnung (voraussichtlich Anfang Mai diesen Jahres) verpflichtet, dem BSI innerhalb von sechs Monaten eine zentrale Kontaktstelle zu benennen und dem BSI innerhalb von zwei Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen.
Entsprechende Regelungen für die Bereiche Transport und Verkehr, Gesundheit sowie Finanz- und Versicherungswesen sollen bis zum Anfang des kommenden Jahres folgen.
EU-DSGVO
14. April 2016
Nach Jahren der Diskussion wird ein einheitliches europäisches Datenschutzrecht nunmehr Realität. Die EU-Datenschutz-Grundverordnung (EU DSGVO) wurde heute vom EU Parlament verabschiedet und wird zwei Jahre nach der Veröffentlichung im EU-Amtsblatt voraussichtlich im Juni 2018 in Kraft treten. Sie ersetzt dann die bisherigen Datenschutzgesetze der EU-Mitgliedstaaten. Ziel der Reform ist die Stärkung der Rechte der Betroffenen und die Sicherstellung eines hohen und einheitlichen Datenschutzniveaus in Europa, um die EU für das digitale Zeitalter zu rüsten.
Bereits im Vorfeld wurden durch Wirtschaftsverbände insbesondere die mit der Umsetzung der neuen Anforderungen verbundenen Aufwände der Wirtschaftsunternehmen kritisiert. Dies nicht zuletzt vor dem Hintergrund, dass Verstöße zukünftig härter sanktioniert werden. Es drohen Strafen von bis zu 4 % des erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, wobei hierfür der weltweit erzielte Gesamtjahresumsatz herangezogen wird.
Mit der EU DSGVO werden Unternehmen mit einem erweiterten Pflichtenprogramm konfrontiert, welches zu technischen und organisatorischen Anpassungen führt, insbesondere im Zusammenhang mit der Verarbeitung von Kunden- und Beschäftigtendaten sowie mit der vertraglichen Gestaltung der Zusammenarbeit mit dritten Unternehmen (zu den Auswirkungen siehe bereits hier).
Unternehmen haben innerhalb der Umsetzungsfrist von zwei Jahren Zeit, sich auf die Zukunft im Datenschutz vorzubereiten. Hierzu zählen die Analyse der bestehenden Datenschutzorganisation und deren Anpassung an die neuen Anforderungen.
IT/Datenschutz
14. April 2016
Das EU Parlament hat die umstrittene Speicherung von Fluggastdaten – die sogenannte PNR-Richtlinie (Passenger Name Record) – verabschiedet. Die PNR-Richtlinie wird seit rund fünf Jahren diskutiert, blieb aber immer wieder ohne Konsens im EU Parlament.
Die PNR-Richtlinie verpflichtet Luftfahrtgesellschaften, den Behörden der Mitgliedstaaten Fluggastdaten für Flüge von der EU in Drittländer und andersherum zur Verfügung zu stellen. Die Mitgliedstaaten können zusätzlich entscheiden, ob sie die Richtlinie auch auf Flüge innerhalb der EU ausweiten. Die Datensammlung soll der Verhütung, Aufdeckung, Aufklärung und strafrechtlichen Verfolgung terroristischer Straftaten und schwerer Kriminalität dienen. Zur Erhebung, Speicherung und Verarbeitung der Daten sollen die Mitgliedstaaten Zentralstellen errichten, die auch für den Austausch mit anderen Mitgliedstaaten und Europol verantwortlich sein sollen.
Zukünftig werden Daten wie Name, Adresse sowie Telefon- und Kreditkartennummer und das Reiseziel für die Dauer von sechs Monaten unter Klarnamen gespeichert, danach müssen die Daten bis zum Ablauf eines Zeitraums von fünf Jahren unkenntlich vorgehalten werden.
Für die Umsetzung der Richtlinie haben die Mitgliedstaaten zwei Jahre Zeit. Zunächst muss die Richtlinie jedoch noch formell durch den Rat gebilligt werden.
IT/Datenschutz
16. März 2016
Anlässlich des Rechtsstreits vor dem Landgericht München zwischen der Sony Music Entertainment GmbH und einem Betreiber eines Licht- und Tontechnikgeschäfts, der als Nebentätigkeit in seinem Geschäft ein frei zugängliches WLAN-Netz betreibt, hat sich der EuGH mit der Frage nach der Haftung eines WLAN-Betreibers für Urheberrechtsverstöße seiner Nutzer zu befassen. Über das streitgegenständliche Netz wurde 2010 ein Werk des Rechteinhabers Sony illegal zum Download angeboten.
In seinem Schlussantrag hat sich der Generalanwalt nunmehr gegen eine Haftung ausgesprochen. Der Geschäftsinhaber könne sich auf die Richtlinie über den elektronischen Datenverkehr (RL 2000/31/EG) berufen. Diese Richtlinie schränkt die Haftung von Vermittlern, die nur Dienste der reinen Durchleitung von Daten anbieten, für eine von einem Dritten begangene Rechtsverletzung ein.
Schließt sich der EuGH dem Votum des Generalanwalts an, was zwar nicht zwingend aber häufig der Fall ist, müsste das Konzept der Störerhaftung in Deutschland neu gefasst werden. Zudem müsste der Gesetzentwurf, über den der Bundestag gerade berät, überarbeitet werden müssen. Denn hiernach soll jeder Anbieter - egal, ob privat oder gewerblich - dazu verpflichtet werden, sein Netzwerk zu verschlüsseln. Öffentliche Anbieter sollen von den Nutzern ihres Netzwerks zudem eine Einwilligung einholen, keine rechtswidrigen Handlungen über das Netzwerk zu begehen.
Safe Harbor 2.0
29. Februar 2016
Die EU-Kommission hat heute verschiedene Texte zum neuen Datenschutzabkommen zwischen der EU und den USA, dem sog. Privacy Shield, veröffentlicht und die Beteiligung der EU Mitgliedstaaten, der Artikel-29-Datenschutzgruppe und des Europäischen Parlaments eingeleitet.
Neben den Eckpunkten der für Unternehmen geltenden Datenschutzprinzipien, wie insbesondere Anforderungen zur Zertifizierung, soll zukünftig eine sog. „Angemessenheitsentscheidung“ der EU Kommission (Bescheinigung der Einhaltung des EU Datenschutzstandards) sowie verschiedene schriftliche Zusicherungen der US Regierung als Rechtsgrundlage für Datentransfers von Unternehmen aus der EU in die USA dienen.
In den veröffentlichten Schreiben der US Behörden werden Beschränkungen und Schutzmaßnahmen gegen den Zugriff auf Daten von US Behörden aus Gründen der nationalen Sicherheit zugesichert. Durch diese Zusicherungen soll laut EU Kommission sichergestellt werden, dass eine massenhafte und anlasslose Datenerfassung durch US Behörden wie in der Vergangenheit nicht mehr erfolgt. Datenschützer kritisieren jedoch bereits, dass diese Zusicherungen nicht für bestimmte Ausnahmen gelten. Hierzu zählen insbesondere die Spionageabwehr im Rahmen der Terrorismusbekämpfung, die Verhinderung der Verbreitung von Massenvernichtungswaffen oder die Abwehr von internationalen kriminellen Bedrohungen.
IT-Sicherheit
5. Februar 2016
Der angekündigte Entwurf der ersten Rechtsverordnung zur Konkretisierung des IT-Sicherheitsgesetzes wurde diese Woche vom Bundesministerium des Innern veröffentlicht und an die Länder und Verbände zwecks Stellungnahme übermittelt.
Gegenstand des Entwurfs sind bislang lediglich die Sektoren Energie, Wasser, Ernährung sowie Informationstechnik und Telekommunikation. Spannend sind insbesondere die gemäß Entwurf konkretisierten Anlagenkategorien und Arten von Dienstleistungen. Hiernach werden 650 Anlagen als Kritische Infrastruktur gemäß IT-Sicherheitsgesetz eingeschätzt.
Nach Angaben des BSI soll die Rechtsverordnung noch im Frühjahr 2016 erlassen werden. Die Rechtsverordnungen für die Bereiche Transport und Verkehr, Gesundheit sowie Finanz- und Versicherungswesen sollen bis Ende 2016 folgen.
Der Entwurf ist noch nicht die finale Fassung. Gleichwohl lässt sich sicherlich eine Tendenz erkennen, aus der Unternehmen der Sektoren zumindest in etwa abschätzen können, ob sie unter die Regelungen des IT-Sicherheitsgesetzes fallen.
Safe Harbor 2.0
4. Februar 2016
Nach der Pressekonferenz der EU Kommission zum EU-US Privacy Shield am 2. Februar 2016 hat sich die Art. 29-Datenschutzgruppe wie angekündigt am 3. Februar 2016 in einer offiziellen Stellungnahme zum EU-US Privacy Shield geäußert. Da die Inhalte und der Text des neuen Abkommens bislang nur in Auszügen vorliegen, sei man nicht in der Lage, eine abschließende rechtliche Würdigung im Hinblick auf Datenübermittlungen in die USA vorzunehmen. Jedenfalls bestünden immer noch erhebliche Bedenken hinsichtlich des in den USA geltenden Rechtsrahmens.
Deshalb hat die Datenschutzgruppe die EU Kommission dazu aufgefordert, ihr bis Ende Februar 2016 die vollständigen Unterlagen zwecks Prüfung zur Verfügung zu stellen. Sodann werde die Art. 29-Datenschutzgruppe analysieren, ob ihre Bedenken in Bezug auf den in den USA geltenden Rechtsrahmen mit der Einführung des EU-US Privacy Shield ausgeräumt werden. Zudem werde untersucht, inwieweit das Verhandlungsergebnis Rechtssicherheit für die anderen Übermittlungsinstrumente bieten kann. Die Ergebnisse sollen dann in einer außerordentlichen Vollversammlung finalisiert werden.
In der Zwischenzeit geht die Art. 29-Datenschutzgruppe davon aus, dass die Datenübermittlung auf Grundlage der EU-Standardvertragsklauseln oder Binding Corporate Rules vorübergehend zulässig bleibt. Auch wenn die Stellungnahmen der Art. 29-Datenschutzgruppe für deutsche Aufsichtsbehörden nicht bindend sind, dienen sie als wichtige Orientierung, weshalb zumindest vorübergehend noch auf die EU-Standardvertragsklauseln oder Binding Corporate Rules gesetzt werden kann.
Safe Harbor 2.0
2. Februar 2016
Die EU Kommission und die USA haben sich über neue Rahmenbedingungen zum künftigen Datenaustausch zwischen der EU und den USA geeinigt. Der Nachfolger des Safe-Harbor-Abkommens wird nach derzeitigem Kenntnisstand unter dem Titel "EU-US Privacy Shield" verabschiedet werden.
Ziel des EU-US Privacy Shield ist es, dass das US-Handelsministerium (unter strengeren Auflagen als bisher unter Geltung des Safe-Harbor-Abkommens) Firmen, die Daten aus Europa verarbeiten, überwacht. Ein zentraler Punkt des EU-US Privacy Shields ist zudem eine Zusage der US-Seite, dass behördliche Zugriffe auf in den USA gespeicherte Daten künftig nur zulässig sind, sofern dies für einen bestimmten Zweck erforderlich und verhältnismäßig ist. Ausdrücklich ausgeschlossen werden willkürliche Massenüberwachungen durch die US-Behörden. Sofern EU-Bürger künftig Datenschutz-Rechte durch US-Behörden verletzt sehen, können die Rechtsverletzungen künftig im Wege einer Beschwerde an das US-Handelsministerium sowie im Rahmen eines kostenlosen Alternative Dispute Resolution Verfahrens geltend gemacht werden. Für eventuelle Rechtsverletzungen seitens der US-Geheimdienste soll auf US-Seite ein unabhängiger Ombudsmann bestimmt werden.
Mit der Einigung auf das EU-US Privacy Shield sind Stand heute zunächst lediglich die Gespräche zwischen der EU Kommission und den USA abgeschlossen worden. Das EU-US Privacy Shield wird nunmehr zunächst noch der Art. 29-Datenschutzgruppe zur Prüfung vorgelegt und ist schließlich noch durch die Mitgliedsstaaten zu verabschieden. Auf US-Seite sind bis zur möglichen Anwendung des EU-US Privacy Shields ebenfalls noch einige Hausaufgaben zu erledigen.
Safe Harbor
1. Februar 2016
Die von der Artikel-29-Arbeitsgruppe gesetzte Übergangsfrist zum Abschluss eines neuen Abkommens zwischen der US-Regierung und EU-Kommission ist heute abgelaufen. Ab sofort sind deshalb Maßnahmen der Datenschutzbehörden im Zusammenhang mit der Übertragung personenbezogener Daten in die USA möglich, weitere Informationen von offizieller Seite sind angekündigt: Eine Unterrichtung des europäischen Parlaments durch die EU-Kommission zu den Ergebnissen der bisherigen Verhandlungen wurde für heute angekündigt. Die Artikel-29-Arbeitsgruppe tagt am 2. Februar 2016 und hat ihre Mitteilung für den 3. Februar 2016 angekündigt.
Onlinehandel
9. Januar 2016
Mit Inkrafttreten der „Verordnung (EU) Nr. 524/2013 des Europäischen Parlaments und Rates vom 21. Mai 2013 über die Online-Beilegung verbraucherrechtlicher Streitigkeiten“ (ODR-Verordnung) gelten ab dem 9. Januar 2016 neue Informationspflichten für den Onlinehandel. Hintergrund ist die Einrichtung einer OS-Plattform der EU (Online-Streitbeilegungsplattform), welche der gütlichen Beilegung von Streitigkeiten zwischen Unternehmen und Verbrauchern dient, wobei das Verfahren vollständig online verläuft. Onlinehändler müssen einen leicht zugänglichen Link zur OS-Plattform der EU sowie eine E-Mail-Adresse auf ihrer Webseite angeben. Auch wenn die OS-Plattform nach Angaben der EU-Kommission erst ab dem 15. Februar 2016 zur Verfügung stehen wird, sind die neuen Informationspflichten bereits jetzt verbindlich.
Safe Harbor
21. Dezember 2015
Die Bundesregierung hat eine kleine Anfrage der Fraktion DIE LINKE u.a. zu den Auswirkungen der „Safe Harbor“-Entscheidung des EuGH dahingehend beantwortet, dass Übermittlungen personenbezogener Daten aus Europa an Unternehmen in den USA weiterhin auf Grundlage der verbliebenen möglichen Rechtsgrundlagen der Datenübermittlung (Standard-Vertragsklauseln, Einwilligung, verbindliche Unternehmensregelungen (BCRs)) erfolgen können. Die Bundesregierung weist in ihrer Stellungnahme gleichwohl darauf hin, dass die Art. 29-Datenschutzgruppe derzeit die Auswirkungen des EuGH-Urteils auf diese verbliebenen Rechtsgrundlagen überprüft.
Erfahren Sie mehr zu der Themati in unseren Legal Dbrief Webcast am 17. Februar 2016.
Safe Harbor
17. Dezember 2015
Mit der Erweiterung des Unterlassungsklagengesetzes (UKlaG) sind nunmehr bestimmte autorisierte Verbände berechtigt, bei Datenschutzverstößen mit Unterlassungsklagen gegen Unternehmen und Unternehmensinhaber vorzugehen. Das UKlaG sieht insoweit vor, dass in solchen Unterlassungsklagenverfahren die jeweils zuständige Datenschutzbehörde von Amts wegen anzuhören ist. Unterlassungsklageverfahren dürften mithin stets ein kostspieliges Nachspiel für Unternehmen im behördlichen Bußgeldverfahren haben. Auf Basis einer Übergangsvorschrift stellt das UKlaG klar, dass unzulässige Datenübermittlungen in die USA, die bis zum EuGH-Urteil vom 6. Oktober 2015 noch auf der Grundlage des „Safe Harbor“-Abkommens zulässig waren, erst ab dem 1. Oktober 2016 verfolgt werden können.
Erfahren Sie mehr zu der Themati in unseren Legal Dbrief Webcast am 17. Februar 2016.
EU-DSGVO
15. Dezember 2015
Am 15. Dezember 2015 haben sich die zuständigen EU Organe auf einen gemeinsamen Text für die neue EU-DSGVO geeinigt. Die Einigung ist ein Meilenstein der Reform des europäischen Datenschutzrechts und gleichzeitig Startschuss für Strategien zur EU-Datenschutz-Compliance. Für die Schaffung eines einheitlichen Datenschutzrahmens in der EU bedarf es lediglich noch der finalen Verabschiedung durch das Europäische Parlament. Diese wird für Anfang des Jahres 2016 erwartet.
IT-Sicherheit
7. Dezember 2015
Zum Jahresende 2015 hat die EU eine politische Einigung über den Entwurf einer Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union („NIS-RL“) erzielt. Zwar hat Deutschland mit dem bereits am 25. Juli 2015 in Kraft getretenen Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme („IT-Sicherheitsgesetz“) die Anforderungen der NIS-RL teilweise bereits umgesetzt. Aber es bestehen eine Reihe offener Fragen, insbesondere zum Anwendungsbereich des IT-Sicherheitsgesetzes sowie zu den Auswirkungen der NIS-RL.
Safe Harbor 2.0
26. Oktober 2015
Im Nachgang der „Safe Harbor“-Entscheidung des EuGH vom 6. Oktober 2015 haben die unabhängigen Datenschutzbehörden des Bundes und der Länder (sog. Datenschutzkonferenz) in einem Positionspapier vom 26. Oktober 2015 mitgeteilt, dass zum einen für Binding Corporate Rules (BCR) bis auf weiteres keine Genehmigungen mehr erteilt werden und dass zum anderen BCR und EU Standardvertragsklauseln zur möglichen Rechtfertigung eines Datentransfers in die USA im Lichte der EuGH-Entscheidung überprüft werden sollen. Eine verbindliche Stellungnahme der deutschen Datenschützer wie auch der europäischen Datenschützer (Art. 29-Gruppe) ist für Ende Januar 2016 angekündigt. Sollte hier entschieden werden, dass weder EU Standardvertragsklauseln noch BCR einen Transfer personenbezogener Daten in die USA rechtfertigen können, wird eine Rechtfertigung künftig nur noch auf Grundlage individueller Einwilligungserklärungen der Betroffenen erfolgen können.
Safe Harbor Urteil des EuGH
6. Oktober 2015
Der Europäische Gerichtshof (EuGH) hat in seiner Entscheidung vom 6. Oktober 2015 (Az.: C-362/14) die sog. „Safe Harbor“-Entscheidung der EU-Kommission für unwirksam erklärt. Damit können ab sofort Übermittlungen personenbezogener Daten aus Europa an Unternehmen in den USA nicht mehr auf die „Safe Harbor“-Entscheidung gestützt werden.
Vielen Unternehmen wird dadurch die von ihnen bisher gewählte rechtliche Grundlage für die Übermittlung von personenbezogenen Daten an Dienstleister und Unternehmen in den USA entzogen. Vor allem ist auch die Übermittlung von personenbezogenen Daten zwischen europäischen und US-amerikanischen Konzerngesellschaften auf der Grundlage der „Safe-Harbor“-Entscheidung nicht mehr möglich.
