Tag Archives: Datentransfers

Alarmstufe rot: Harter Brexit und Datenschutz

Nachdem das Unterhaus den zwischen der europäischen Kommission und der britischen Regierung ausgehandelten Vertragstext zum Austritt Großbritanniens aus der Europäischen Union (https://ec.europa.eu/commission/sites/beta-political/files/draft_withdrawal_agreement_0.pdf) abgelehnt hat, ist ein „harter Brexit“ – die Auflösung der Beziehung ohne Scheidungsvertrag -wahrscheinlicher geworden. Das hat auch gravierende Wirkungen für den Datenschutz und die ihm unterworfenen Unternehmen.

Zwar hatte die Europäische Kommission bereits in ihrem vor mehr als einem Jahr abgegebenen Statement (http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=611943) auf die gravierenden Konsequenzen für den Datenschutz hingewiesen, die sich aus dem Ausscheiden Großbritanniens ergeben. Zu Recht wies Sie darauf hin, dass Großbritannien nach dem Brexit zu einem „Drittstaat“ wird, auf den die entsprechenden Regeln der DSGVO zur Datenübermittlung in Staaten außerhalb der EU anzuwenden sind (Art. 44 ff DSGVO). 

Während zwischen den Mitgliedstaaten der Europäischen Union die Übermittlung personenbezogener Daten ohne datenschutzrechtlichen Restriktionen zulässig ist, muss beim Transfer in Drittstaaten ein angemessenes Datenschutzniveau beim Empfänger nachgewiesen werden. Dafür sieht die Datenschutz-Grundverordnung verschiedene Instrumente vor.

Der „Königsweg“ wäre eine so genannte „Angemessenheitsentscheidung“ der Kommission (Art. 45 DSGVO). Es ist unrealistisch, dass eine entsprechende Entscheidung kurzfristig zu realisieren ist, denn es gilt nicht nur, das im letzten Jahr neu gefasst der britische Datenschutzgesetz zu bewerten, sondern die gesamte Rechtsordnung, darunter auch den höchst umstrittenen „Investigations Powers Act“ (IPA), welcher den britischen Sicherheitsbehörden umfassende zu Befugnisse auf personenbezogene Daten einräumt.

Garantien, mit denen die Angemessenheit des Datenschutzes beim Empfänger demonstriert werden kann (Art. 46 DSGVO), sind „Standarddatenschutzklauseln“, verbindliche Unternehmensregeln (Binding Corporate Rules – BCR), genehmigte Verhaltensregeln (Codes of Conduct – CoC) und Zertifizierungsmechanismen.

Allerdings sah es bis vor kurzem so aus, als könnten sich die Unternehmen mit der Suche nach Alternativen noch etwas Zeit lassen. Der zwischen der Kommission und der britischen Regierung ausgehandelte Vertragstext sieht in Art. 70 ff vor, dass die DSGVO (mit Ausnahme der Bestimmungen des siebenten Abschnittes, welcher die Zusammenarbeit der Aufsichtsbehörden regelt) für die vorgesehene Übergangszeit von zwei Jahren in Großbritannien weiterhin Geltung behalten sollten. Zudem war man übereingekommen, dass innerhalb der Übergangsfrist eine Angemessenheitsentscheidung vorbereitet werden sollte.

Nachdem nun der Vertragstext Makulatur ist, besteht für die Unternehmen dringlichster Handlungsbedarf, die personenbezogene Daten mit Geschäftspartnern in Großbritannien austauschen. Sie müssen bis Ende März 2019 durch eines der oben genannten Instrumente oder durch einzelvertraglichen Gestaltung und ggf. entsprechende Genehmigungen der Aufsichtsbehörden die Vorgaben der DSGVO zum Drittlandstransfer gewährleisten. Andernfalls würden die entsprechenden Übermittlungsvorgänge illegal. 

Es ist zu hoffen, dass die europäischen Datenschutzaufsichtsbehörden den Unternehmen dabei beratend zur Seite stehen.

Ihr 

Peter Schaar

Privacy Shield: „Wir brauchen viel engere Grenzen“

Interview des EAID-Vorsitzenden Peter Schaar für die Zeitschrift Der Spiegel (Nr. 29/2016/16.7.2016 http://www.spiegel.de/spiegel/)
„Wir brauchen viel engere Grenzen“

„Pri­va­cy Shield“ heißt eine neue Da­ten­schutz­ver­ein­ba­rung zwi­schen der EU und den USA. Sie er­setzt die Ab­ma­chung „Safe Har­bor“, die der Eu­ro­päi­sche Ge­richts­hof (EuGH) 2015 kas­siert hat­te. Sind eu­ro­päi­sche Da­ten in den USA nun bes­ser vor Miss­brauch ge­schützt? Pe­ter Schaar, 61, Vor­sit­zen­der der Eu­ro­päi­schen Aka­de­mie für In­for­ma­ti­ons­frei­heit und Da­ten­schutz, hat Zwei­fel.

SPIEGEL: Herr Schaar, ist „Pri­va­cy Shield“ ein Schutz­schirm für die Pri­vat­sphä­re?

Schaar: Es gibt ei­ni­ge Ver­bes­se­run­gen, aber US-Be­hör­den wer­den wei­ter­hin in gro­ßem Um­fang auf Da­ten von EU-Bür­gern zu­grei­fen kön­nen. Zwar wird von Maß­kon­fek­ti­on ge­spro­chen, aber über­all, wo US-Ge­heim­diens­te ter­ro­ris­ti­sche Ge­fah­ren be­fürch­ten, be­hal­ten sie sich eine mas­sen­haf­te Da­ten­samm­lung vor. Dies kann den kom­plet­ten eu­ro­päi­schen Raum um­fas­sen.

SPIEGEL: Klingt nicht nach Ver­bes­se­rung.

Schaar: Neu ist, dass sich Be­trof­fe­ne an ei­nen Om­buds­mann und an US-Ge­rich­te wen­den kön­nen. Um vor ei­nem US-Ge­richt Recht zu be­kom­men, muss man sich aber wei­ter­hin durch et­li­che In­stan­zen kla­gen.

SPIEGEL: Ist das Ab­kom­men denn mit EU-Recht ver­ein­bar?

Schaar: Ob die vom EuGH auf­ge­stell­ten Da­ten­schutz­kri­te­ri­en er­füllt wer­den, hal­te ich für frag­wür­dig.

SPIEGEL: Wel­che Nach­tei­le dro­hen EU-Bür­gern?

Schaar: Die zen­tra­le Fra­ge ist, was die US-Be­hör­den mit eu­ro­päi­schen Da­ten an­stel­len. Wird es auch in Zu­kunft Ein­rei­se­sper­ren in die USA ge­ben, al­lein auf­grund der Da­ten­la­ge? Und wer­den die ge­sam­mel­ten Da­ten zur Droh­nen­pro­gram­mie­rung ver­wen­det in Staa­ten, ge­gen die Ame­ri­ka Krieg führt? Man hät­te hier viel en­ge­re Gren­zen zie­hen müs­sen. Aber da ver­hält sich Eu­ro­pa auch nicht vor­bild­haft, wenn man sich etwa die Prak­ti­ken des Bun­des­nach­rich­ten­diens­tes an­schaut.

SPIEGEL: Die Be­hör­den sa­gen, sie müss­ten auf­grund der Be­dro­hungs­la­ge in­ten­si­ver Da­ten aus­tau­schen.

Schaar: Wenn die­ser Da­ten­aus­tausch sich im Rah­men von in­ter­na­tio­na­len Rechts­hil­fe­ab­kom­men be­wegt, wenn er ei­ner um­fas­sen­den Kon­trol­le un­ter­liegt und sich auf kon­kre­te Ver­däch­ti­ge be­zieht, kann man nichts da­ge­gen sa­gen. Pro­ble­ma­tisch wird es, wenn die Da­ten­samm­ler die Kri­te­ri­en selbst fest­le­gen. Dar­an än­dert sich auch mit dem Pri­va­cy Shield nichts.

SPIEGEL: Der EuGH for­dert, dass ein Da­ten­aus­tausch in der bis­he­ri­gen Form nur statt­fin­den darf, wenn dies­seits wie jen­seits des At­lan­tiks ein „der Sa­che nach gleich­wer­ti­ger“ Da­ten­schutz exis­tiert.

Schaar: Ich sehe nicht, dass der in ab­seh­ba­rer Zeit ga­ran­tiert wer­den kann. Aber es gibt eben auf bei­den Sei­ten ein im­men­ses wirt­schaft­li­ches In­ter­es­se an ei­nem mög­lichst un­ge­hin­der­ten Da­ten­aus­tausch. Dem wer­den Da­ten­schutz­be­den­ken un­ter­ge­ord­net.

DER SPIEGEL 29/2016″