Cloud und Datensicherheit – ein Widerspruch? Wie sicher sind Cloud-Anbieter und welche rechtlichen Anforderungen müssen bei der Nutzung von Cloud-Diensten beachtet werden?

Referent: RA Christian Solmecke, LL.M.

Cloud und Datensicherheit – ein Widerspruch? 1. Einführung 2.

Rechtssichere Vertragsgestaltung – Was ist zu beachten? Insbesondere:    

3.

Vertragsgegenstand Service Level Agreement Vergütung Haftung

Datenschutz in der Cloud

Einführung – Vorteile des Cloud Computing  deutliche Einsparung von Kapazitäten  je nach Unternehmensgröße: „Outsourcing“ von Server-Räumen und damit verbundenen IT-Zentralen  Wartung der Hardware und regelmäßiges Überprüfen und Updaten der Software entfallen  Bereitstellung und Abrechnung erfolgen häufig bedarfsabhängig (bloß laufende Kosten)  Zugriff von überall möglich  Zugriff durch Mitarbeiter, aber auch Freigabe der

Daten für Dritte möglich

Einführung – Nachteile des Cloud Computing Gefahr für die Datensicherheit  Clouds als attraktive Hackerziele  Datenlecks sind keine Seltenheit  teilweise problematische AGB der Cloud-Dienste: z.B. Zugriff auf Inhalte der Cloud durch den Provider

 Rechtliche Probleme bei Übermittlung ins Nicht-EUAusland

Einführung – Nachteile des Cloud Computing Beispiele aus Cloud-Service AGB: Apple iCloud (Ziff. C, E) "Apple behält sich jedoch das Recht vor, jederzeit zu prüfen, ob Inhalte angemessen sind und mit dieser Vereinbarung übereinstimmen, und Apple ist berechtigt, Inhalte jederzeit ohne vorherige Ankündigung nach eigenem Ermessen herauszufiltern, zu verschieben, abzulehnen, zu modifizieren und/oder zu entfernen, wenn diese Inhalte diese Vereinbarung verletzen oder in sonstiger Weise anstößig sind.“

"Sie erklären sich damit einverstanden, dass Apple, ohne Ihnen gegenüber zu haften, auf Ihre Accountinformationen und Ihre Inhalte zugreifen, diese nutzen, aufbewahren und/oder an Strafverfolgungsbehörden, andere Behörden und/oder sonstige Dritten weitergeben darf, wenn Apple der Meinung ist, dass dies vernünftigerweise erforderlich oder angemessen ist, wenn dies gesetzlich vorgeschrieben ist oder wenn Apple einen hinreichenden Grund zu der Annahme hat, dass ein solcher Zugriff, eine solche Nutzung, Offenlegung oder Aufbewahrung angemessenerweise notwendig ist (…)"

Einführung – Nachteile des Cloud Computing Beispiele aus Cloud-Service AGB: Dropbox-AGB

Recht und Ordnung – Wir können Ihre Daten auch für Dritte freigeben, wenn eine Freigabe nach unserem Ermessen sinnvoll und notwendig scheint, um (a) dem Gesetz Folge zu leisten, (b) einen Menschen vor dem Tod oder schwerer körperlicher Verletzung zu schützen, (c) Dropbox oder unsere Nutzer vor Betrug oder Missbrauch zu schützen oder (d) die Eigentumsrechte von Dropbox zu schützen.

Einführung – Überblick über die rechtlichen Probleme  Verfügbarkeit des Dienstes  Haftung für… • Datenverlust • Sicherheitslücken • Verfügbarkeitslücken  Geheimhaltungspflichten  Datentransfer ins Nicht-EU-Ausland  Urheber- und patentrechtliche Nutzungsrechte  Beteiligung des Betriebsrates

Cloud und Datensicherheit – ein Widerspruch?

1.

Einführung

2. Rechtssichere Vertragsgestaltung – Was ist zu beachten? Insbesondere:     3.

Vertragsgegenstand Service Level Agreement Vergütung Haftung

Datenschutz in der Cloud

Rechtssichere Vertragsgestaltung – Was ist zu beachten? Anwendbares Recht  Anwendbares Recht abhängig vom Sitz des Cloud-Anbieters

 Evtl. deutliche datenschutzrechtliche Unterschiede  Evtl. Zugriff durch Behörden erlaubt  Cloud-Anbieter sitzt in der EU/EWR: vertragliche Vereinbarung über das anwendbare Recht möglich; wenn keine Vereinbarung vorliegt, gilt das Recht am Sitz des Anbieters (Art. 4 ROM-I-VO)  Cloud-Anbieter sitzt außerhalb der EU/EWR: oft Vereinbarung zugunsten des Rechts am Sitz des Anbieters

Rechtssichere Vertragsgestaltung – Was ist zu beachten? Anwendbares Recht  Welche Folgen hat die Anwendbarkeit ausländischen Rechts?

 auf den Vertrag ist ausländisches Recht anzuwenden  Datenschutzgesetze für die Übermittlung personenbezogener Daten ins Ausland gelten trotzdem  also: Deutsches Datenschutzrecht bleibt auch dann gültig, wenn der CloudAnbieter im Ausland sitzt

Rechtssichere Vertragsgestaltung – Was ist zu beachten? Vertragstyp  Gesetz kennt keinen Vertragstyp für Cloud Computing, bislang existieren auch keine gerichtlichen Entscheidungen

 daher: Orientierung an Vertragstypen des BGB → Mietvertrag? Werkvertrag? Dienstvertrag?  Entscheidung des BGH zu Application-Service-Providing-Vertrag (ASP-Vertrag): mietvertragliche Regelungen anwendbar  ASP = Bereitstellung von Software zur Nutzung über das Internet oder über andere Netze  anzunehmen, dass Gerichte auf Cloud-Computing-Verträge als Mietverträge einordnen werden

Rechtssichere Vertragsgestaltung – Was ist zu beachten? Vertragstyp – warum ist die Einordnung wichtig?

 gesetzliche Regelungen füllen Lücken bei der Auslegung der Verträge  gesetzliche Regelungen entscheiden über die Art der Mängelgewährleistungsrechte

Rechtssichere Vertragsgestaltung – Was ist zu beachten? Vertragsgegenstand  Art, Umfang und Güte der geschuldeten Leistung sollte genau festgelegt werden  üblicherweise in sog. Service Level Agreements geregelt  Kernregelung in Service Level Agreements: Verfügbarkeit der Leistung

 gesetzlicher Grundsatz bei der Miete: 100 % Verfügbarkeit

Rechtssichere Vertragsgestaltung – Was ist zu beachten? Vertragsgegenstand  Verfügbarkeit der Leistung wird in der Regel mit bestimmtem Prozentsatz bezogen auf eine Zeitgröße angegeben (z.B. 99,5 % im Monat, 98 % im Jahr)

 AGB enthalten meist auch Regelungen dazu, welche Fälle nicht als Ausfall gelten  z.B. bestimmte Wartungsfenster

 Wartungsfenster müssen aber klar definiert werden

Rechtssichere Vertragsgestaltung – Was ist zu beachten? Vertragsgegenstand  Regelungen zu Entstörzeiten = Zeitraum, in dem Störungen durch den Anbieter zu beheben sind

 verschiedene Regelungen möglich  jede Störung ist innerhalb eines fest definierten Zeitfensters zu beheben (sog. Time to Repair)  es wird eine durchschnittliche Entstörzeit für alle Störungen innerhalb eines bestimmten Zeitraums vereinbart (sog. Mean Time to Repair)  es wird nur eine Reaktion des Anbieters auf eine Störungsmeldung innerhalb eines bestimmten Zeitraums geschuldet, nicht eine Entstörung

 Anbieter ist grundsätzlich nur für Störungen in seinem Verantwortungsbereich verantwortlich

Rechtssichere Vertragsgestaltung – Was ist zu beachten? Rechtsfolgen bei Schlechtleistung  z.B. Verfügbarkeitsausfälle außerhalb der Toleranzbereiche  Ausfall der Leistung → Minderung der Vergütung; tritt aufgrund von Gesetz ein, muss nicht erklärt werden (mietvertragliche Grundsätze anwendbar)  üblicherweise werden pauschale Minderungsbeträge vereinbart (sog. Service Credits)

 wichtig: pauschale Minderungsbeträge können auch ohne Verschulden des Anbieters geltend gemacht werden  unterscheide dazu: Vertragsstrafe/pauschaler Schadensersatz → setzen Verschulden des Anbieters voraus

Rechtssichere Vertragsgestaltung – Was ist zu beachten? Haftung  Cloud-Anbieter versuchen fast immer, durch AGB ihre Haftung zu begrenzen  Aber: Haftungsbeschränkungen in AGB können nach den §§ 307 ff. BGB unwirksam sein  Unwirksam ist:  Haftungsausschluss für Vorsatz oder grobe Fahrlässigkeit  Haftungsbeschränkung für die Verletzung von Leben, Körper oder Gesundheit  Haftungsausschluss für die Verletzung von „Kardinalpflichten“ = wesentliche Vertragspflichten; z.B. Verfügbarkeit des Services; sorgsamer Umgang mit den gespeicherten Daten

Rechtssichere Vertragsgestaltung – Was ist zu beachten? Haftung Unwirksam:

 Haftungsausschluss für Gewinnausfall  Haftungsausschluss für Kosten der Datenrekonstruktion

Beachte: individuell vereinbarte Haftungsklauseln sind in aller Regel wirksam, da AGB Recht keine Anwendung findet (in der Praxis aber selten)

Rechtssichere Vertragsgestaltung – Was ist zu beachten? Wichtig:  Enthält der Vertrag Regelungen zu Sicherungspflichten des Nutzers?

→ z.B. Anfertigung von Sicherungskopien oder Antivirenprogrammen  Verstoß gg. Pflicht: Ausschluss oder Minderung des Schadensersatzanspruchs  Grund: dem Cloud-Nutzer kann Mitverschulden vorgeworfen werden (§ 254 BGB)

Rechtssichere Vertragsgestaltung – Was ist zu beachten? Subunternehmer Wichtige Regelungen:  Darf der Cloud-Anbieter Subunternehmer beauftragen und wenn ja, in welchem Umfang?  Muss der Kunde der Einschaltung eines Subunternehmers vorab zustimmen?

Rechtssichere Vertragsgestaltung – Was ist zu beachten? Vergütung  marktüblich: Kombination aus festen Vergütungsbestandteilen mit leistungsabhängigen Komponenten

 Problem: Preisanpassungsklauseln  Unterliegen einer strengen rechtlichen Kontrolle  Preisklauselgesetz (PrKlG) verbietet automatische Preisanpassung, wenn Bezugsgröße nichts mit der betroffenen Leistung zu tun hat (Beispiel: Preis der Cloud-Leistung richtet sich nach einem Währungskurs)  AGB-Kontrolle: Klauseln, die eine Preiserhöhung erlauben, dürfen den Kunden nicht unangemessen benachteiligen

Rechtssichere Vertragsgestaltung – Was ist zu beachten? Beteiligung des Betriebsrates  Unterrichtungs- und Beratungspflicht:

Arbeitgeber ist verpflichtet, die Auswirkungen der Cloud-Nutzung auf die Arbeitnehmer frühzeitig mit dem Betriebsrat zu beraten → Informationspflicht

 Mitbestimmungsrecht: Betriebsrat darf bei der Einführung technischer Einrichtungen mitbestimmen, die dazu geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer zu

überwachen (§ 87 I Nr. 6 BetrVG)

Rechtssichere Vertragsgestaltung – Was ist zu beachten? Beteiligung des Betriebsrates  Leistungs- und Verhaltenskontrolle der Arbeitnehmer i.d.R. möglich

 Cloud-Dienste erstellen meist sog. Log-Files  Arbeitgeber kann z.B. feststellen wer wie lange an einem Dokument gearbeitet hat

 daher: Mitbestimmungsrecht  Abschluss eines Betriebsvereinbarung bietet sich an

Cloud und Datensicherheit – ein Widerspruch?

1.

Einführung

2.

Rechtssichere Vertragsgestaltung – Was ist zu beachten? Insbesondere:

3. Datenschutz in der Cloud  Schutz personenbezogener Daten  Übermittlung an Europäische Cloud-Anbieter  Übermittlung an Cloud-Anbieter in Drittländern → insbesondere USA und Safe-Harbor-Urteil des EuGH

Datenschutz in der Cloud – Schutz personenbezogener Daten  Wann greift Datenschutzrecht überhaupt ein?

 nur bei personenbezogenen Daten  Definition:

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). (Vgl. § 3 Abs. 1 BDSG)

Datenschutz in der Cloud – Schutz personenbezogener Daten Beispiele:  Personaldaten

 Kundendaten  Nutzerdaten  Unternehmensdaten mit

Personenbezug … usw.

Datenschutz in der Cloud – Schutz personenbezogener Daten Grundprinzip des Datenschutzrechts (§ 4 Abs. 1 BDSG): Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.

Cloud-Nutzung = Verarbeitung „Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten.“

Datenschutz in der Cloud – Übermittlung an Europäische Cloud-Anbieter  unterschiedliche rechtliche Beurteilung, je nachdem wo der Cloud-Anbieter sitzt  Cloud-Anbieter in EU-/EWR-Land: Übermittlung und Speicherung der Daten an Cloud-Anbieter kann durch Vorschriften über

Auftragsdatenverarbeitung (§ 11 BDSG) gerechtfertigt werden (vgl. neue Microsoft Cloud in Kooperation mit der Telekom)

Datenschutz in der Cloud – Übermittlung an Europäische Cloud-Anbieter Prinzip der Auftragsverarbeitung:  Auftraggeber lagert bestimmte Datenverarbeitungen aus („Outsourcing“)

 Auftragnehmer (= Cloud-Anbieter) ist dabei von dem Auftraggeber weisungsabhängig; er agiert sozusagen als „verlängerter Arm“ des Auftraggebers  Auftraggeber bleibt datenschutzrechtlich verantwortlich (sog. „verantwortliche Stelle“)  Grund: durch Outsourcing soll Verantwortung nicht auf Auftragnehmer verlagert werden können

Datenschutz in der Cloud – Übermittlung an Europäische Cloud-Anbieter  Auftragsdatenverarbeitung nur unter bestimmten rechtlichen Voraussetzungen zulässig  in der Praxis teilweise nur schwer einzuhalten  Anforderungen:  „Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen.“ (§ 11 Abs. 2 S. 1 BDSG) → Problem: Cloud-Nutzer hat keinen Einblick in interne Betriebsabläufe des Cloud-Anbieters; muss sich gewissermaßen auf Außendarstellung und Werbeaussagen verlassen

Datenschutz in der Cloud – Übermittlung an Europäische Cloud-Anbieter Anforderungen an Auftragsdatenverarbeitung:  Auftraggeber muss Art und Umfang der Datenverarbeitung sowie Ort und Zeit kennen

→ nach derzeitigem Stand nicht möglich  Vertrag über Auftragsdatenverarbeitung muss mindestens folgenden Inhalt haben:

 Gegenstand und Dauer des Auftrags,  Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,  zu treffende technische und organisatorischen Maßnahmen,  die Berichtigung, Löschung und Sperrung von Daten,

Datenschutz in der Cloud – Übermittlung an Europäische Cloud-Anbieter  die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,  die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,

 die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,  mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,  der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,  die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Datenschutz in der Cloud – Übermittlung an Europäische Cloud-Anbieter  Alternative: Verschlüsselung der Daten  dann: kein Personenbezug für Cloud-Anbieter

herstellbar; BDSG findet keine Anwendung  Daten müssten bereits vor Übertragung in Cloud verschlüsselt werden  Schlüssel darf dem Cloud-Anbieter nicht bekannt sein

Datenschutz in der Cloud – Übermittlung in Drittländer  Problem: Auftragsdatenverarbeitung nach § 11 BDSG in diesen Fällen nicht möglich

 Grund: Staaten außerhalb des EU-/EWR-Raumes gelten oft als „unsichere Drittstaaten“; keine Privilegierung der Übertragung  Übermittlung nur zulässig, wenn Drittstaat ein angemessenes Datenschutzniveau hat

Datenschutz in der Cloud – Übermittlung in Drittländer Rechtliche Grundlage im deutschen Recht: § 4b BDSG

(2) 1Für die Übermittlung personenbezogener Daten an Stellen nach Absatz 1, die nicht im Rahmen von Tätigkeiten erfolgt, die ganz oder teilweise in den Anwendungsbereich des Rechts der Europäischen Gemeinschaften fallen, sowie an sonstige ausländische oder über- oder zwischenstaatliche Stellen gilt Absatz 1 entsprechend. 2Die Übermittlung unterbleibt, soweit der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat, insbesondere wenn bei den in Satz 1 genannten Stellen ein angemessenes Datenschutzniveau nicht gewährleistet ist.

Datenschutz in der Cloud – Übermittlung in Drittländer Was bedeutet nun „angemessenes Datenschutzniveau“?  gleichwertig mit EU-Recht, rechtlich bindend, Datensicherheit muss gewährleistet sein  Staaten für die ein angemessenes Datenschutzniveau festgestellt wurde: z.B. Argentinien, Kanada, Schweiz, Neuseeland und Uruguay  Problem: USA; viele Cloud-Anbieter haben dort ihren Sitz  haben eigentlich kein mit EU vergleichbares Datenschutzniveau

 Warum? USA verfolgen sog. sektoralen Ansatz = Mischung aus Rechtsvorschriften, Verordnungen und Selbstregulierung

Datenschutz in der Cloud – Übermittlung in Drittländer Was ist das Safe Harbor-Abkommen?  aber: Datenverkehr zwischen EU und USA sollte ermöglicht werden  durch Abstimmung zwischen EU und USA wurde zwischen 1998 und 2000 das Safe Harbor-“Abkommen“ daher entwickelt/abgestimmt/vereinbart  Safe Harbor-“Abkommen“ verfolgt in erster Linie wirtschaftliche Zwecke

Datenschutz in der Cloud – Übermittlung in Drittländer  US-Handelsministerium hat „Safe Harbor Principles“ und die dazugehörigen FAQ entwickelt  US-Unternehmen konnten sich diesen Grundsätzen freiwillig unterwerfen Geltung der Safe Harbor Grundsätze kann u.a. beschränkt werden durch:

 Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen  Gesetzesrecht, staatliche Regulierungsvorschriften oder Fallrecht

 Ausnahmeregelungen in der Richtlinie oder im nationalen Recht  also: Safe Harbor Grundsätze gelten nicht absolut, sondern nur wenn nicht Gesetze der USA entgegenstehen

Datenschutz in der Cloud – Übermittlung in Drittländer Entscheidung der Kommission: Es wird davon ausgegangen, dass die „Grundsätze des sicheren Hafens zum Datenschutz“ (…) ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die von der Europäischen Union an in den Vereinigten Staaten niedergelassene Organisationen übermittelt werden (…).

Datenschutz in der Cloud – Übermittlung in Drittländer Safe Harbor-Abkommen erfasste:  Übermittlung  personenbezogener Daten

 von EU-Staaten  in die USA

Datenschutz in der Cloud – Übermittlung in Drittländer

 Beitritt zum Safe Harbor-Abkommen ist für US-Unternehmen freiwillig  also: Safe Harbor-Abkommen als Form der Selbstregulierung

 beigetretene Unternehmen müssen dies öffentlich bekanntmachen

Datenschutz in der Cloud – Übermittlung in Drittländer Auswahl von Unternehmen, die dem Safe Harbor-Abkommen beigetreten sind

Safe Harbor-Entscheidung des EuGH Schrems ./. Data Protection Commissioner Hintergrund  Österreicher Max Schrems setzt sich seit Jahren für einen besseren Datenschutz bei Facebook ein

 Max Schrems reicht im Juni 2013 eine Beschwerde beim irischen „Data Protection Commissioner“ (irische Datenschutzbehörde) ein  Aufforderung an Behörde: Unterbindung der Übermittlung personenbezogener Daten von der EU in die USA  Begründung: Daten in den USA nicht ausreichend vor staatlicher Überwachung geschützt  Verweis auf Enthüllungen von Edward Snowden

Safe Harbor-Entscheidung des EuGH Schrems ./. Data Protection Commissioner Foto von der irischen Datenschutzbehörde

Safe Harbor-Entscheidung des EuGH Schrems ./. Data Protection Commissioner Entscheidung des EuGH im Überblick 1.

Befugnisse der nationalen Datenschutzbehörden

Datenschutzbehörden müssen auch bei Vorliegen einer Kommissionsentscheidung in völliger Unabhängigkeit prüfen, ob bei der Übermittlung personenbezogener Daten die Anforderungen der Richtlinie beachtet werden; also: ob in den USA ein angemessenes Datenschutzniveau besteht 2.

Zur Wirksamkeit der Safe Harbor-Entscheidung

Safe Harbor-Entscheidung der Kommission ist ungültig, weil sie den nationalen Datenschutzbehörden Prüfungsbefugnisse entzieht. Kommission hat damit ihre Kompetenzen überschritten

Safe Harbor-Entscheidung des EuGH Konsequenzen und mögliche Lösungsansätze Konsequenzen:  Safe Harbor-Entscheidung seit 16.10.2015 unwirksam; keine Übergangsfrist  Datenübermittlung in die USA erfolgt ohne Rechtsgrundlage

 Unternehmen stehen also vor der Wahl: auf Alternativen setzen? Datenverkehr in die USA einstellen? bewusst illegal handeln?

Safe Harbor-Entscheidung des EuGH Konsequenzen und mögliche Lösungsansätze Konsequenzen:  Datenschutzbehörden haben angekündigt, einen Übergangszeitraum bis Ende Januar 2016 zu belassen  bis dahin werden sie keine Maßnahmen wegen der Übermittlung von Daten in die USA einleiten  Vorgehensweise danach unklar

Safe Harbor-Entscheidung des EuGH Konsequenzen und mögliche Lösungsansätze Mögliche Alternativen für Unternehmen  Standardvertragsklauseln  Sog. Binding Corporate Rules

→ Problem: Auswirkungen der EuGH-Entscheidung auf diese Methoden der Datenübertragung in Drittstaaten?

 Andere Handlungsalternative? Einwilligung des Betroffenen?

Safe Harbor-Entscheidung des EuGH Konsequenzen und mögliche Lösungsansätze Standardvertragsklauseln - Was ist das?  Vertragsklauseln, die ebenfalls Gegenstand von Entscheidungen der EUKommission waren  EU-Kommission hat festgestellt, dass Standardvertragsklauseln die Übermittlung in Drittländer ohne angemessenes Datenschutzniveau rechtfertigen  wichtiger Unterschied zu Safe Harbor: Standardvertragsklauseln stellen kein angemessenes Datenschutzniveau her; sondern es wird eine Ausnahme für die Übermittlung in „unsichere“ Drittstaaten gemacht

Safe Harbor-Entscheidung des EuGH Konsequenzen und mögliche Lösungsansätze Standardvertragsklauseln - Was ist das?  es handelt sich um Musterverträge  müssen 1:1 übernommen werden, ansonsten besteht keine Privilegierung

 keine Ergänzung, Änderung, Anpassung möglich → mangelnde Flexibilität

 Kernpunkte: Pflichten des Datenimporteurs und -exporteurs, Haftung, anwendbares Recht, Zusammenarbeit mit Kontrollstellen

Beispiel: Standardvertragsklauseln bei Auftragsdatenverarbeitung

Safe Harbor-Entscheidung des EuGH Konsequenzen und mögliche Lösungsansätze  Problem: Auswirkungen der EuGH-Entscheidung auf Standardvertragsklauseln

 formell: nur Safe Harbor-Entscheidung ungültig  aber: ähnliche Problematik wie bei Safe Harbor existiert auch bei Standardvertragsklauseln

 insbesondere Vorbehalte zugunsten von nationalen Rechtsvorschriften im Hinblick auf die öffentliche Sicherheit etc.  zweifelhaft, ob Standardvertragsklauseln daher langfristig Bestand haben

 keine echte Alternative

Konsequenzen und mögliche Lösungsansätze Binding Corporate Rules – eine Alternative?  bei Datenexport an externe Dienstleister/Dritte in den USA ohnehin nicht anwendbar  im Übrigen können auch BCR einen Zugriff der US-Behörden nicht verhindern

 gleiches Grundproblem wie bei Safe Habor  daher: ebenfalls keine richtige Alternative

Konsequenzen und mögliche Lösungsansätze Fazit:  EuGH-Urteil betrifft zwar formell nur die Safe Harbor-Entscheidung der Kommission  aber auch Übermittlung auf anderen Grundlagen (Standardvertragsklauseln und Binding Corporate Rules) jetzt fraglich, da gleiches Problem (Zugriff der US-Sicherheitsbehörden möglich)  Rechtsunsicherheit

Konsequenzen und mögliche Lösungsansätze Weitere Alternative: Einwilligung des Betroffenen?  meist nicht praktikabel  Einwilligung kann verweigert oder widerrufen werden

 Unterbrechung von automatisierten Geschäftsprozessen  weiteres Problem: Einwilligung müsste „informiert“ sein  d.h. der Betroffene muss umfassend aufgeklärt werden

 Aufklärung umfasst wohl auch  Hinweis auf niedrigeres Datenschutzniveau in den USA  Hinweis auf Zugriffsrecht der US-Behörden

 Aufklärung in AGB wohl nicht möglich  auch deshalb ist eine Einwilligung insgesamt nicht praktikabel

Konsequenzen und mögliche Lösungsansätze Ausblick: Wie geht es nun weiter?  EU-Kommission hat angekündigt, das Safe Harbor-Abkommen zu überarbeiten (Neuer Name: EU-US Privacy Shield, Unterzeichnung für Ende Februar 2016 geplant, zentrale Fragen allerdings noch offen)  US-Handelsministerium hat Kooperationsbereitschaft signalisiert

 Problem: ohne Änderung des US-Rechts kann kein rechtmäßiges Abkommen entwickelt werden  Erforderlich:

 Begrenzung des Zugriffs amerikanischer Behörden auf personenbezogene Daten von EU-Bürgern  Schaffung wirksamer Rechtsbehelfe für EU-Bürger

Danke für Ihre Aufmerksamkeit Ich danke für Ihre Aufmerksamkeit!

RA Christian Solmecke, LL.M. +49 221 951 563 0 www.wbs-law.de [email protected] www.wbs-law.de/twitter www.wbs-law.de/youtube www.wbs-law.de/xing www.wbs-law.de/app

RA Christian Solmecke, LL.M.