Tag Archives: Datentransfers in Drittstaaten

Alarmstufe rot: Harter Brexit und Datenschutz

Nachdem das Unterhaus den zwischen der europäischen Kommission und der britischen Regierung ausgehandelten Vertragstext zum Austritt Großbritanniens aus der Europäischen Union (https://ec.europa.eu/commission/sites/beta-political/files/draft_withdrawal_agreement_0.pdf) abgelehnt hat, ist ein „harter Brexit“ – die Auflösung der Beziehung ohne Scheidungsvertrag -wahrscheinlicher geworden. Das hat auch gravierende Wirkungen für den Datenschutz und die ihm unterworfenen Unternehmen.

Zwar hatte die Europäische Kommission bereits in ihrem vor mehr als einem Jahr abgegebenen Statement (http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=611943) auf die gravierenden Konsequenzen für den Datenschutz hingewiesen, die sich aus dem Ausscheiden Großbritanniens ergeben. Zu Recht wies Sie darauf hin, dass Großbritannien nach dem Brexit zu einem „Drittstaat“ wird, auf den die entsprechenden Regeln der DSGVO zur Datenübermittlung in Staaten außerhalb der EU anzuwenden sind (Art. 44 ff DSGVO). 

Während zwischen den Mitgliedstaaten der Europäischen Union die Übermittlung personenbezogener Daten ohne datenschutzrechtlichen Restriktionen zulässig ist, muss beim Transfer in Drittstaaten ein angemessenes Datenschutzniveau beim Empfänger nachgewiesen werden. Dafür sieht die Datenschutz-Grundverordnung verschiedene Instrumente vor.

Der „Königsweg“ wäre eine so genannte „Angemessenheitsentscheidung“ der Kommission (Art. 45 DSGVO). Es ist unrealistisch, dass eine entsprechende Entscheidung kurzfristig zu realisieren ist, denn es gilt nicht nur, das im letzten Jahr neu gefasst der britische Datenschutzgesetz zu bewerten, sondern die gesamte Rechtsordnung, darunter auch den höchst umstrittenen „Investigations Powers Act“ (IPA), welcher den britischen Sicherheitsbehörden umfassende zu Befugnisse auf personenbezogene Daten einräumt.

Garantien, mit denen die Angemessenheit des Datenschutzes beim Empfänger demonstriert werden kann (Art. 46 DSGVO), sind „Standarddatenschutzklauseln“, verbindliche Unternehmensregeln (Binding Corporate Rules – BCR), genehmigte Verhaltensregeln (Codes of Conduct – CoC) und Zertifizierungsmechanismen.

Allerdings sah es bis vor kurzem so aus, als könnten sich die Unternehmen mit der Suche nach Alternativen noch etwas Zeit lassen. Der zwischen der Kommission und der britischen Regierung ausgehandelte Vertragstext sieht in Art. 70 ff vor, dass die DSGVO (mit Ausnahme der Bestimmungen des siebenten Abschnittes, welcher die Zusammenarbeit der Aufsichtsbehörden regelt) für die vorgesehene Übergangszeit von zwei Jahren in Großbritannien weiterhin Geltung behalten sollten. Zudem war man übereingekommen, dass innerhalb der Übergangsfrist eine Angemessenheitsentscheidung vorbereitet werden sollte.

Nachdem nun der Vertragstext Makulatur ist, besteht für die Unternehmen dringlichster Handlungsbedarf, die personenbezogene Daten mit Geschäftspartnern in Großbritannien austauschen. Sie müssen bis Ende März 2019 durch eines der oben genannten Instrumente oder durch einzelvertraglichen Gestaltung und ggf. entsprechende Genehmigungen der Aufsichtsbehörden die Vorgaben der DSGVO zum Drittlandstransfer gewährleisten. Andernfalls würden die entsprechenden Übermittlungsvorgänge illegal. 

Es ist zu hoffen, dass die europäischen Datenschutzaufsichtsbehörden den Unternehmen dabei beratend zur Seite stehen.

Ihr 

Peter Schaar

Datenschutz-Brexit: out is out

Von Peter Schaar, Vorsitzender der Europäischen Akademie für Informationsfreiheit und Datenschutz

Die Frage nach den Folgen des Brexit-Volksentscheid für den Datenschutz kann derzeit nicht abschließend beantwortet werden. Zumindest bis zum Ergebnis der anstehenden Austrittsverhandlungen bleiben erhebliche Unsicherheitsfaktoren. Sofern  keine besonderen Vereinbarungen zum Datenschutz getroffen werden, wird Vereinigten Königreich ab dem Datum des Austritts zu einem Drittstaat wie jeder andere, etwa Japan oder Südafrika.

Im günstigsten Falle bekommt das Land einen Status wie Norwegen, das dem europäischen Wirtschaftsraum angehört und damit weitgehend zur Anwendung des EU-Rechts verpflichtet ist, ohne jedoch – wie die EU-Mitgliedstaaten – über effektive Mitspracherechte und Mitwirkungsmöglichkeiten im Europäischen Datenschutzausschuss zu verfügen.

Dass sich die britische Regierung und das Parlament darauf einlassen werden, die in der ab Mai 2018 anwendbaren Datenschutzgrundverordnung 1:1 anzuerkennen, erscheint äußerst unwahrscheinlich, zumal Großbritannien sich schon mit deren Verabschiedung schwergetan hat. Hinzuweisen ist etwa  auf die Erklärung der britischen Regierung, Art. 48 der Grundverordnung, die so genannte „NSA-Klausel“ nicht anzuerkennen, die die europäischen Bürgerinnen und Bürger vor drittstaatlichen Überwachungsmaßnahmen  schützen soll. Unabhängig davon, dass die Wirksamkeit dieser Erklärung (“Opt Ourt”) europarechtlich zweifelhaft ist, würde Art. 48 nach dem EU-Austritt wohl auch auf das Vereinigte Königreich anwendbar sein, sofern die britische Regierung die Anerkennung dieser Vorschrift weiterhin verweigert. Damit würde die Datenübermittlung  bzw. die Datenhherausgabe an britische Behörden oder Gerichte nur noch im Rahmen von Rechtshilfeabkommen erfolgen können. Dies ist insbesondere deshalb von Bedeutung, weil das britische Parlament kürzlich die ohnehin schon starken Überwachungsbefugnisse  der Sicherheitsbehörden und die damit korrespondierenden Verpflichtungen von Unternehmen  mit dem „Investigatory Powers Bill“  drastisch ausgeweitet hat.

Wahrscheinlicher ist, dass auf Großbritannien zukünftig die Vorgaben  der Datenschutzgrundverordnung zur Übermittlung personenbezogener Daten an Drittstaaten (Art. 44 ff)  Anwendung finden. Danach ist jedwede Übermittlung personenbezogener Daten nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in der Grundverordnung festgelegten Bedingungen einhält; dies gilt auch für die etwaige Weiterübermittlung personenbezogener Daten an ein anderes Drittland oder an eine internationale Organisation. Die Datenschutzgrundverordnung erlaubt die Übermittlung auf der Basis eines „Angemessenheitsbeschlusses“ der Europäischen Union oder sonstiger geeigneter Garantien, insbesondere auf der Grundlage von Standardvertragsklauseln oder im Rahmen eines Systems verbindlicher Unternehmensregeln (Binding Corporate Rules).

Der britische Information Commissioner (ICO) hat bereits  darauf hingewiesen, dass das Vereinigte Königreich  weiterhin klare und effektive Datenschutzgesetze benötige, unabhängig von der Frage der EU-Zugehörigkeit (https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2016/04/statement-on-the-implications-of-brexit-for-data-protection/).  Sollte der britische Gesetzgeber diesem Ratschlag folgen, könnte die europäische Kommission gemäß Art. 45 der Datenschutzgrundverordnung das Bestehen eines „angemessenen Datenschutzniveaus“  feststellen. Eine solche Feststellung ist jedoch kein Selbstgänger und bedürfte gründlicher Prüfungen und Vorbereitungen, die innerhalb der zur Verfügung stehenden Zweijahresfrist für die Umsetzung des EU-Austritts kaum bewältigt werden könnten.

Vor diesem Hintergrund müssen  die Unternehmen aber auch staatliche Stellen der EU-Staaten und EU-Institutionen Vorsorge dafür treffen, dass die Datenübermittlung in das Vereinigte Königreich zukünftig erheblich erschwert wird. Dies trifft insbesondere solche Unternehmen hart, bei denen im Rahmen  eingespielter Geschäftsprozesse europaweit erhobene Daten in Großbritannien zusammengeführt und verarbeitet werden.

Peter Schaar

Doch (k)ein sicherer Hafen? (mit Update vom 02.02.2016, 17:15)

Bis zum vergangenen Wochenende hielten sich Gerüchte, dass die Verhandlungen zwischen der Europäischen Kommission und der US-Regierung über eine Nachfolgevereinbarung für das vom Europäischen Gerichtshof am 6. Oktober 2015 annullierte Safe Harbour-Abkommen kurz vor einem erfolgreichen Abschluss stünden. Inzwischen ist die von den Datenschutzbehörden der EU-Mitgliedstaaten in der Art. 29-Gruppe mehrheitlich beschlossene „Stillhaltefrist“ bis Ende Januar 2016 verstrichen, ohne dass eine Einigung erzielt wurde.

Einen aktuellen Einblick in den Stand der Verhandlungen gab EU-Justizkommissarin Vera Jourová bei der Sitzung des Ausschusses für bürgerliche Freiheitsrechte, Justiz und Inneres des europäischen Parlaments (LIBE-Ausschuss) am 1. Februar 2016. Der Kommission gehe es in erster Linie darum, das Grundrecht auf Datenschutz auch für den Fall zu sichern, dass personenbezogene Daten ins Ausland transferiert werden und zugleich die Voraussetzungen dafür zu schaffen, dass die transatlantischen Datenflüsse mit entsprechenden Sicherheitsvorkehrungen fortgesetzt werden können. Die Kommission habe sich unmittelbar nach der EuGH-Entscheidung vorgenommen, innerhalb von drei Monaten nach dem EuGH-Urteil einen entsprechenden robusten Rahmen zu schaffen. Eine solche Neuregelung müsse sich fundamental von dem durch den EuGH annullierten Safe Harbour-System unterscheiden. Inzwischen ist es sehr unwahrscheinlich, das sich dieses Ziel in dieser Frist erreichen lässt.

Zur Erinnerung: Kernstück des Safe Harbour-Systems war eine Entscheidung der EU-Kommission aus dem Jahr 2000, dass Unternehmen, die sich zur Einhaltung der mit dem US-Handelsministerium ausgehandelten „Safe Harbour-Prinzipien“ bekennen, ein angemessenes Schutzniveau für die in die USA übermittelten personenbezogenen Daten garantieren. Der EuGH hat in seinem Urteil, mit dem er diese Angemessenheitsentscheidung annullierte, deutlich gemacht, dass die durch die EU Grundrechte-Charta garantierten Grundfreiheiten, insbesondere die Grundrechte auf Gewährleistung der Privatsphäre (Art. 7), auf Datenschutz (Art. 8) und die Rechtsschutzgarantie (Art. 47) den entscheidenden Maßstab für die Angemessenheit des Schutzniveaus im Empfängerland bilden.

Fraglich ist bis heute, ob auf US-Seite wirklich die Bereitschaft besteht, sowohl die materiellen Datenschutzanforderungen für die aus Europa übermittelten Daten zu gewährleisten als auch einen diskriminierungsfreien Rechtsschutz für diejenigen Personen garantieren, deren Daten transferiert werden.

So muss eine rechtlich belastbare Beschränkung der Überwachungsaktivitäten der US-Sicherheitsbehörden erfolgen; eine anlasslose Überwachung der grenzüberschreitenden Kommunikation und ein umfassender Zugriff auf personenbezogene Daten von Personen, die weder US-Bürger sind, noch sich dauerhaft in den Vereinigten Staaten aufhalten („US persons“) darf es nach den Vorgaben des EuGH nicht geben, denn eine solche umfassende Überwachung würde den Wesensgehalt der Grundrechte verletzen. Ob diese  Anforderungen durch die inzwischen erfolgten Gesetzesänderungen in den USA (US Freedom-Act)  erfüllt werden, ist mehr als zweifelhaft, denn im wesentlichen beschränken sich dessen Regelungen auf die Daten amerikanischer Bürger.

Hinsichtlich der ebenfalls durch den EuGH eingeforderten unabhängigen Datenschutz-Kontrollstellen, die individuellen Beschwerden gegen die Verwendung personenbezogener Daten durch Unternehmen und durch US-Behörden nachzugehen, scheinen sich die Positionen zwar angenähert zu haben. Auch in der Frage des gerichtlichen Rechtsschutzes hat es in den letzten Monaten durchaus Bewegung gegeben. Ob die geplanten Änderungen des US-Rechts indes ausreichen, wird zu Recht infrage gestellt (etwa durch die US-Privacy Gruppe EPIC). Von einer rechtlichen Gleichstellung der EU-Bürgerinnen und -Bürger mit US-Bürgern kann nicht die Rede sein, wie ein Blick in den noch nicht abschließend vom US-Kongress gebilligten Entwurf des Judicial Redress Act (JRA) zeigt. So müssen EU-Bürger – anders als US-Personen – zunächst versuchen, ihre Datenschutzrechte auf dem Verwaltungsweg durchzusetzen. Erst wenn sie damit endgültig gescheitert sind, dürfen sie ein US-Gericht anrufen. Zudem sind die vorgesehenen Klagemöglichkeiten auf die Rechte auf Auskunft und Korrektur der jeweiligen personenbezogener Daten beschränkt. EU-Bürger sollen – anders als US-Bürger – weiterhin keine Möglichkeiten haben, die Rechtmäßigkeit des gesamten Verfahrens der Datenverarbeitung gerichtlich überprüfen zu lassen.

Der JRA garantiert den EU-Bürgern zudem nicht einmal diese Datenschutzrechte, sondern er ermächtigt den US-Generalstaatsanwalt (zugl. Justizminister, PSch) lediglich dazu, im Einvernehmen mit anderen Ministerien den Bürgern eines Staates oder eines Wirtschaftsraums, die beschriebenen Rechte einzuräumen. Der Justizminister kann die Entscheidung jederzeit widerrufen, etwa wenn der jeweilige Staat die Datenweitergabe an US-Behörden verweigert oder diese erschwert.

Schließlich werden selbst diese unzureichenden Rechte durch eine in der letzten Woche durch den Rechtsausschuss des US-Senats verabschiedete Änderung weiter relativiert. Danach sollen nur solche Staaten die durch den JRA formulierten Ansprüche erhalten können, die den kommerziellen Datentransfer in die USA erlauben und deren nationalen Sicherheitsinteressen nicht behindern („in order to qualify as a covered country, a foreign country must permit commercial data transfers with the United States and may not impede the national security interests of the United States”). Letztlich bleibt es – mit oder ohne die im Senat vorgeschlagene Änderung – dabei, dass die US-Administration darüber entscheidet, ob und welche Bürger Anspruch auf rechtliches Gehör bekommen. Ein robuster Grundrechtsschutz sieht anders aus.

Sollte die Europäische Kommission auf dieser Basis gleichwohl eine neue Angemessenheitsentscheidung für den Datentransfer in die USA treffen, würde sie ein großes Risiko eingehen, dass auch dieser neue Rahmen für die Datenübermittlung in die USA  die Prüfung durch den Europäischen Gerichtshof nicht übersteht. Ein derartiges, nur leicht angereichertes Safe Harbour-System würde den erforderlichen Grundrechtsschutz der Bürgerinnen und Bürger nicht gewährleisten und wäre letztlich auch nicht im Interesse der europäischen oder amerikanischen Wirtschaft.

Update (02.02.2016, 17:15):

Die Europäische Kommission hat auf einer Pressekonferenz in Brüssel den erfolgreichen Abschluss der Verhandlungen mit der US-Regierung bekanntgegeben. Nach den Worten der Justizkommissarin Vera Jourová soll die neue Vereinbarung belastbare Garantien der US-Seite enthalten, sowohl im Hinblick auf den Umgang der Unternehmen mit personenbezogenen Daten aus der EU als auch zum Zugriff von US-Sicherheitsbehörden. EU-Bürger bekämen das Recht, gegen jede Art der Datenschutzverletzung rechtlich vorzugehen. Die Kommission werde in den nächsten Wochen eine neue Angemessenheitsentscheidung vorlegen. Nach den Worten von EU-Vizepräsident Ansip soll das neue Arrangement wesentlich besser sein als das Safe Harbor System aus dem Jahr 2000. Durch eine jährliche “Joint Review”, an der auch die Datenschutzbehörden beteiligt würden, soll die Umsetzung der Vereinbarung überprüft werden.

27.01.2016: EAID-Veranstaltung zu den Konsequenzen aus dem EuGH-Urteil zu Safe Harbor

Am Mittwoch, dem 27. Januar 2016, ab 18 Uhr (Vorabend des Europäischen Datenschutztags) führt die EAID in den Räumen der Europäischen Akademie Berlin (Grundewald), Bismarckallee 46/48, eine Vortrags- und Diskussionsveranstaltung Konsequenzen aus dem EuGH-Urteil vom 6. Oktober 2015 zu Safe Harbor durch.

Wegen der beschränkten Platzzahl wird um Anmeldung per E-Mail unter gf@eaid-berlin.de gebeten

 

Weitere Informationen

Europäischer Datenschutz: Bitte nicht aufweichen!

Die von der Europäischen Kommission vor mehr als drei Jahren auf den Weg gebrachte Datenschutzreform ist zwar noch nicht in „trockenen Tüchern“, aber immerhin ist absehbar, dass zumindest die Datenschutz-Grundverordnung in absehbarer Zeit von den EU-Gremien beschlossen wird. Bei allen Unsicherheiten im Detail bietet sich damit die einmalige Chance, Herausforderungen an das Datenschutzrecht in Angriff zu nehmen und diese mit einer stärkeren europäischen Harmonisierung zu verbinden. Gerade die Kombination dieser beiden Aspekte macht den möglichen Charme der Reform aus. Dies gilt freilich nur, wenn die Harmonisierung auch zu einem möglichst hohen Datenschutzstandard führt und nicht bloß einen kleinsten gemeinsamen Nenner definiert.

Positiv anzumerken ist, dass wesentliche Grundelemente der Datenschutzreform zwischen den EU-Gremien unstreitig sind: Die Einbeziehung von Unternehmen aus Drittstaaten, die in Europa aktiv sind (Marktortprinzip), den Abbau des Datenschutzgefälles zwischen den Mitgliedstaaten und – last but not least – die Stärkung der Datenschutzaufsicht.

Trotzdem gibt es keinen Anlass, sich beruhigt zurückzulehnen und den Ausgang des Trilogs zwischen Kommission, Parlament und Rat abzuwarten. Zum einen haben die Bemühungen von Interessenvertretungen erneut zugenommen, denen die ganze Richtung nicht passt. Bedauerlich ist insbesondere, dass auch manche europäischen Industrievertreter noch nicht verstanden haben, dass ein wirksamer, europaweit harmonisierter Datenschutz in ihrem wohlverstandenen wirtschaftlichen Interesse liegt. Zum anderen gibt es durchaus auch in den EU-Gremien Neigungen, dem Druck solcher Unternehmen – vor allem aus Drittstaaten – nachzugeben, deren Geschäftsmodelle kaum mit einem hohen europäischen Datenschutzniveau kompatibel sind. Zwar ist das Europäische Parlament in seiner Positionsbestimmung überwiegend zu Gunsten des Datenschutzes über den Kommissionsentwurf hinaus gegangen. Dagegen enthält die Richtungsentscheidung des Rats gefährliche Aufweichungen und bleibt sogar an verschiedenen Punkten hinter dem derzeitigen Recht zurück.

Für den Trilog sind insbesondere die folgenden Felder wichtig, in denen – teils erhebliche – Meinungsdivergenzen zwischen den Gremien bestehen. Im Sinne eines wirksamen Datenschutzes müssen hier klare Weichenstellungen getroffen werden:

  • Keine Aufweichung der Zweckbindung. Eine generelle Erlaubnis für Unternehmen oder Behörden, bei „überwiegendem Interesse“ Daten auch für Zwecke zu verwenden, die mit dem Erhebungszweck nicht vereinbar sind, wäre mit der Gewährleistung des Grundrechts auf Datenschutz nicht vereinbar.
  • Die Bürgerinnen und Bürger müssen wirksam vor der Zusammenführung ihrer Daten zu Persönlichkeitsprofilen geschützt werden. Profiling sollte grundsätzlich nur unter Pseudonym zulässig sein, wobei die Pseudonyme möglichst robust und rücknahmefest zu konstruieren sind. Auch bei der Verwendung von Pseudonymen muss der Betroffene umfassend über die Tatsache und die Zwecke des Profiling informiert werden und ihm ggf. widersprechen können. Sensible Daten sollten generell vom Profiling ausgenommen werden. Für den Betroffenen nachteilige, auf automatisierten bzw. überwiegend auf automatisierten Verfahren beruhende Einzelentscheidungen sollten unzulässig sein.
  • Der Datentransfers in Drittstaaten sollte generell nur zulässig sein, wenn ein angemessenes Datenschutzniveau vorliegt, das den Anforderungen der EU-Grundrechtecharta genügt. Gerade die im wesentlichen auf Edward Snowden zurückgehenden Veröffentlichungen über umfassende geheimdienstliche Überwachungsmaßnahmen haben gezeigt, dass die bisherigen Instrumente defizitär sind. Die vom Rat vorgeschlagenen Ausnahmeregelungen für bestehende Adäquanzentscheidungen, etwa für Safe Harbor, im Rahmen von bilateralen Abkommen oder für Verwaltungsvereinbarungen zwischen öffentlichen Stellen wären inakzeptabel.
  • Sektorspezifische nationale Regelungen – etwa zum Gesundheitswesen und zum Beschäftigtendatenschutz – dürfen das durch die GVO festgelegte Mindestniveau des Datenschutzes nicht unterschreiten. Dagegen sollte es den Mitgliedstaaten weiterhin möglich sein, in begründeten Fällen, insb. bei der Verarbeitung sensibler Daten, aber auch bei der behördlichen Datenverarbeitung, weitergehende Schutzvorschriften vorzusehen, damit das durch nationales Verfassungsrecht (z.B. durch die Rechtsprechung des Bundesverfassungsgerichts) garantierte Standards auch weiterhin gewährleistet werden können.
  • Die Verarbeitung personenbezogener Daten auf Basis einer Einwilligung sollte nur zulässig sein, wenn die faktische Freiwilligkeit gewährleistet ist. Im Falle gravierender Machtunterschiede zwischen der verantwortlichen Stelle und dem Betroffenen kann im Regelfall nicht hiervon ausgegangen werden. Die Einwilligung sollte generell ausdrücklich erfolgen und nicht implizit.
  • Die für die Verarbeitung von Daten für statistische und für Forschungszwecke vorgesehenen weit reichenden Sonderregelungen müssen durch besondere Schutzvorkehrungen, insbesondere durch ein wirksames Forschungsgeheimnis, abgesichert werden.
  • Der technologische Datenschutz sollte gestärkt werden. Dazu ist es erforderlich, die Vorgaben zu Privacy by Design, Privacy by Default und zur Datenschutzfolgenabschätzung konkreter und verbindlicher zu fassen. Die Vorgaben zur Vergabe und Verwendung qualifizierter Datenschutz-Gütesiegel sollten verbindlicher formuliert werden.
  • Die unabhängigen Datenschutzaufsichtsbehörden brauchen wirksame Sanktionsmöglichkeiten bei Verstößen, die sich an der wirtschaftlichen Leistungsfähigkeit der Unternehmen orientieren. Angesichts der erheblichen, mit der GVO verbundenen Ausweitung ihrer Aufgaben benötigen sie eine angemessene personelle und sachliche Ausstattung nach einem europaweit verbindlichen Standard. Der aus den Aufsichtsbehörden gebildete Datenschutzausschuss sollte über Streitfragen über die Auslegung der GVO verbindlich entscheiden. Eine Letztentscheidungsbefugnis der Kommission wäre damit unvereinbar.
  • Die Bestellung interner (betrieblicher/behördlicher) Datenschutzbeauftragter sollte in der gesamte EU obligatorisch sein. Ihre unabhängige Stellung sollte rechtlich effektiv abgesichert sein, etwa durch entsprechenden Kündigungsschutz.

(Dieser Bog-Post entspricht einem Beitrag, den ich für die Zeitschrift DANA der Deutschen Vereinigung für Datenschutz e.V. erstelt habe)