Cloud und Datensicherheit – ein Widerspruch? Wie sicher sind Cloud-Anbieter und welche rechtlichen Anforderungen müssen bei der Nutzung von Cloud-Diensten beachtet werden?
Referent: RA Christian Solmecke, LL.M.
Cloud und Datensicherheit – ein Widerspruch? 1. Einführung 2.
Rechtssichere Vertragsgestaltung – Was ist zu beachten? Insbesondere:
3.
Vertragsgegenstand Service Level Agreement Vergütung Haftung
Datenschutz in der Cloud
Einführung – Vorteile des Cloud Computing deutliche Einsparung von Kapazitäten je nach Unternehmensgröße: „Outsourcing“ von Server-Räumen und damit verbundenen IT-Zentralen Wartung der Hardware und regelmäßiges Überprüfen und Updaten der Software entfallen Bereitstellung und Abrechnung erfolgen häufig bedarfsabhängig (bloß laufende Kosten) Zugriff von überall möglich Zugriff durch Mitarbeiter, aber auch Freigabe der
Daten für Dritte möglich
Einführung – Nachteile des Cloud Computing Gefahr für die Datensicherheit Clouds als attraktive Hackerziele Datenlecks sind keine Seltenheit teilweise problematische AGB der Cloud-Dienste: z.B. Zugriff auf Inhalte der Cloud durch den Provider
Rechtliche Probleme bei Übermittlung ins Nicht-EUAusland
Einführung – Nachteile des Cloud Computing Beispiele aus Cloud-Service AGB: Apple iCloud (Ziff. C, E) "Apple behält sich jedoch das Recht vor, jederzeit zu prüfen, ob Inhalte angemessen sind und mit dieser Vereinbarung übereinstimmen, und Apple ist berechtigt, Inhalte jederzeit ohne vorherige Ankündigung nach eigenem Ermessen herauszufiltern, zu verschieben, abzulehnen, zu modifizieren und/oder zu entfernen, wenn diese Inhalte diese Vereinbarung verletzen oder in sonstiger Weise anstößig sind.“
"Sie erklären sich damit einverstanden, dass Apple, ohne Ihnen gegenüber zu haften, auf Ihre Accountinformationen und Ihre Inhalte zugreifen, diese nutzen, aufbewahren und/oder an Strafverfolgungsbehörden, andere Behörden und/oder sonstige Dritten weitergeben darf, wenn Apple der Meinung ist, dass dies vernünftigerweise erforderlich oder angemessen ist, wenn dies gesetzlich vorgeschrieben ist oder wenn Apple einen hinreichenden Grund zu der Annahme hat, dass ein solcher Zugriff, eine solche Nutzung, Offenlegung oder Aufbewahrung angemessenerweise notwendig ist (…)"
Einführung – Nachteile des Cloud Computing Beispiele aus Cloud-Service AGB: Dropbox-AGB
Recht und Ordnung – Wir können Ihre Daten auch für Dritte freigeben, wenn eine Freigabe nach unserem Ermessen sinnvoll und notwendig scheint, um (a) dem Gesetz Folge zu leisten, (b) einen Menschen vor dem Tod oder schwerer körperlicher Verletzung zu schützen, (c) Dropbox oder unsere Nutzer vor Betrug oder Missbrauch zu schützen oder (d) die Eigentumsrechte von Dropbox zu schützen.
Einführung – Überblick über die rechtlichen Probleme Verfügbarkeit des Dienstes Haftung für… • Datenverlust • Sicherheitslücken • Verfügbarkeitslücken Geheimhaltungspflichten Datentransfer ins Nicht-EU-Ausland Urheber- und patentrechtliche Nutzungsrechte Beteiligung des Betriebsrates
Cloud und Datensicherheit – ein Widerspruch?
1.
Einführung
2. Rechtssichere Vertragsgestaltung – Was ist zu beachten? Insbesondere: 3.
Vertragsgegenstand Service Level Agreement Vergütung Haftung
Datenschutz in der Cloud
Rechtssichere Vertragsgestaltung – Was ist zu beachten? Anwendbares Recht Anwendbares Recht abhängig vom Sitz des Cloud-Anbieters
Evtl. deutliche datenschutzrechtliche Unterschiede Evtl. Zugriff durch Behörden erlaubt Cloud-Anbieter sitzt in der EU/EWR: vertragliche Vereinbarung über das anwendbare Recht möglich; wenn keine Vereinbarung vorliegt, gilt das Recht am Sitz des Anbieters (Art. 4 ROM-I-VO) Cloud-Anbieter sitzt außerhalb der EU/EWR: oft Vereinbarung zugunsten des Rechts am Sitz des Anbieters
Rechtssichere Vertragsgestaltung – Was ist zu beachten? Anwendbares Recht Welche Folgen hat die Anwendbarkeit ausländischen Rechts?
auf den Vertrag ist ausländisches Recht anzuwenden Datenschutzgesetze für die Übermittlung personenbezogener Daten ins Ausland gelten trotzdem also: Deutsches Datenschutzrecht bleibt auch dann gültig, wenn der CloudAnbieter im Ausland sitzt
Rechtssichere Vertragsgestaltung – Was ist zu beachten? Vertragstyp Gesetz kennt keinen Vertragstyp für Cloud Computing, bislang existieren auch keine gerichtlichen Entscheidungen
daher: Orientierung an Vertragstypen des BGB → Mietvertrag? Werkvertrag? Dienstvertrag? Entscheidung des BGH zu Application-Service-Providing-Vertrag (ASP-Vertrag): mietvertragliche Regelungen anwendbar ASP = Bereitstellung von Software zur Nutzung über das Internet oder über andere Netze anzunehmen, dass Gerichte auf Cloud-Computing-Verträge als Mietverträge einordnen werden
Rechtssichere Vertragsgestaltung – Was ist zu beachten? Vertragstyp – warum ist die Einordnung wichtig?
gesetzliche Regelungen füllen Lücken bei der Auslegung der Verträge gesetzliche Regelungen entscheiden über die Art der Mängelgewährleistungsrechte
Rechtssichere Vertragsgestaltung – Was ist zu beachten? Vertragsgegenstand Art, Umfang und Güte der geschuldeten Leistung sollte genau festgelegt werden üblicherweise in sog. Service Level Agreements geregelt Kernregelung in Service Level Agreements: Verfügbarkeit der Leistung
gesetzlicher Grundsatz bei der Miete: 100 % Verfügbarkeit
Rechtssichere Vertragsgestaltung – Was ist zu beachten? Vertragsgegenstand Verfügbarkeit der Leistung wird in der Regel mit bestimmtem Prozentsatz bezogen auf eine Zeitgröße angegeben (z.B. 99,5 % im Monat, 98 % im Jahr)
AGB enthalten meist auch Regelungen dazu, welche Fälle nicht als Ausfall gelten z.B. bestimmte Wartungsfenster
Wartungsfenster müssen aber klar definiert werden
Rechtssichere Vertragsgestaltung – Was ist zu beachten? Vertragsgegenstand Regelungen zu Entstörzeiten = Zeitraum, in dem Störungen durch den Anbieter zu beheben sind
verschiedene Regelungen möglich jede Störung ist innerhalb eines fest definierten Zeitfensters zu beheben (sog. Time to Repair) es wird eine durchschnittliche Entstörzeit für alle Störungen innerhalb eines bestimmten Zeitraums vereinbart (sog. Mean Time to Repair) es wird nur eine Reaktion des Anbieters auf eine Störungsmeldung innerhalb eines bestimmten Zeitraums geschuldet, nicht eine Entstörung
Anbieter ist grundsätzlich nur für Störungen in seinem Verantwortungsbereich verantwortlich
Rechtssichere Vertragsgestaltung – Was ist zu beachten? Rechtsfolgen bei Schlechtleistung z.B. Verfügbarkeitsausfälle außerhalb der Toleranzbereiche Ausfall der Leistung → Minderung der Vergütung; tritt aufgrund von Gesetz ein, muss nicht erklärt werden (mietvertragliche Grundsätze anwendbar) üblicherweise werden pauschale Minderungsbeträge vereinbart (sog. Service Credits)
wichtig: pauschale Minderungsbeträge können auch ohne Verschulden des Anbieters geltend gemacht werden unterscheide dazu: Vertragsstrafe/pauschaler Schadensersatz → setzen Verschulden des Anbieters voraus
Rechtssichere Vertragsgestaltung – Was ist zu beachten? Haftung Cloud-Anbieter versuchen fast immer, durch AGB ihre Haftung zu begrenzen Aber: Haftungsbeschränkungen in AGB können nach den §§ 307 ff. BGB unwirksam sein Unwirksam ist: Haftungsausschluss für Vorsatz oder grobe Fahrlässigkeit Haftungsbeschränkung für die Verletzung von Leben, Körper oder Gesundheit Haftungsausschluss für die Verletzung von „Kardinalpflichten“ = wesentliche Vertragspflichten; z.B. Verfügbarkeit des Services; sorgsamer Umgang mit den gespeicherten Daten
Rechtssichere Vertragsgestaltung – Was ist zu beachten? Haftung Unwirksam:
Haftungsausschluss für Gewinnausfall Haftungsausschluss für Kosten der Datenrekonstruktion
Beachte: individuell vereinbarte Haftungsklauseln sind in aller Regel wirksam, da AGB Recht keine Anwendung findet (in der Praxis aber selten)
Rechtssichere Vertragsgestaltung – Was ist zu beachten? Wichtig: Enthält der Vertrag Regelungen zu Sicherungspflichten des Nutzers?
→ z.B. Anfertigung von Sicherungskopien oder Antivirenprogrammen Verstoß gg. Pflicht: Ausschluss oder Minderung des Schadensersatzanspruchs Grund: dem Cloud-Nutzer kann Mitverschulden vorgeworfen werden (§ 254 BGB)
Rechtssichere Vertragsgestaltung – Was ist zu beachten? Subunternehmer Wichtige Regelungen: Darf der Cloud-Anbieter Subunternehmer beauftragen und wenn ja, in welchem Umfang? Muss der Kunde der Einschaltung eines Subunternehmers vorab zustimmen?
Rechtssichere Vertragsgestaltung – Was ist zu beachten? Vergütung marktüblich: Kombination aus festen Vergütungsbestandteilen mit leistungsabhängigen Komponenten
Problem: Preisanpassungsklauseln Unterliegen einer strengen rechtlichen Kontrolle Preisklauselgesetz (PrKlG) verbietet automatische Preisanpassung, wenn Bezugsgröße nichts mit der betroffenen Leistung zu tun hat (Beispiel: Preis der Cloud-Leistung richtet sich nach einem Währungskurs) AGB-Kontrolle: Klauseln, die eine Preiserhöhung erlauben, dürfen den Kunden nicht unangemessen benachteiligen
Rechtssichere Vertragsgestaltung – Was ist zu beachten? Beteiligung des Betriebsrates Unterrichtungs- und Beratungspflicht:
Arbeitgeber ist verpflichtet, die Auswirkungen der Cloud-Nutzung auf die Arbeitnehmer frühzeitig mit dem Betriebsrat zu beraten → Informationspflicht
Mitbestimmungsrecht: Betriebsrat darf bei der Einführung technischer Einrichtungen mitbestimmen, die dazu geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer zu
überwachen (§ 87 I Nr. 6 BetrVG)
Rechtssichere Vertragsgestaltung – Was ist zu beachten? Beteiligung des Betriebsrates Leistungs- und Verhaltenskontrolle der Arbeitnehmer i.d.R. möglich
Cloud-Dienste erstellen meist sog. Log-Files Arbeitgeber kann z.B. feststellen wer wie lange an einem Dokument gearbeitet hat
daher: Mitbestimmungsrecht Abschluss eines Betriebsvereinbarung bietet sich an
Cloud und Datensicherheit – ein Widerspruch?
1.
Einführung
2.
Rechtssichere Vertragsgestaltung – Was ist zu beachten? Insbesondere:
3. Datenschutz in der Cloud Schutz personenbezogener Daten Übermittlung an Europäische Cloud-Anbieter Übermittlung an Cloud-Anbieter in Drittländern → insbesondere USA und Safe-Harbor-Urteil des EuGH
Datenschutz in der Cloud – Schutz personenbezogener Daten Wann greift Datenschutzrecht überhaupt ein?
nur bei personenbezogenen Daten Definition:
Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). (Vgl. § 3 Abs. 1 BDSG)
Datenschutz in der Cloud – Schutz personenbezogener Daten Beispiele: Personaldaten
Kundendaten Nutzerdaten Unternehmensdaten mit
Personenbezug … usw.
Datenschutz in der Cloud – Schutz personenbezogener Daten Grundprinzip des Datenschutzrechts (§ 4 Abs. 1 BDSG): Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.
Cloud-Nutzung = Verarbeitung „Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten.“
Datenschutz in der Cloud – Übermittlung an Europäische Cloud-Anbieter unterschiedliche rechtliche Beurteilung, je nachdem wo der Cloud-Anbieter sitzt Cloud-Anbieter in EU-/EWR-Land: Übermittlung und Speicherung der Daten an Cloud-Anbieter kann durch Vorschriften über
Auftragsdatenverarbeitung (§ 11 BDSG) gerechtfertigt werden (vgl. neue Microsoft Cloud in Kooperation mit der Telekom)
Datenschutz in der Cloud – Übermittlung an Europäische Cloud-Anbieter Prinzip der Auftragsverarbeitung: Auftraggeber lagert bestimmte Datenverarbeitungen aus („Outsourcing“)
Auftragnehmer (= Cloud-Anbieter) ist dabei von dem Auftraggeber weisungsabhängig; er agiert sozusagen als „verlängerter Arm“ des Auftraggebers Auftraggeber bleibt datenschutzrechtlich verantwortlich (sog. „verantwortliche Stelle“) Grund: durch Outsourcing soll Verantwortung nicht auf Auftragnehmer verlagert werden können
Datenschutz in der Cloud – Übermittlung an Europäische Cloud-Anbieter Auftragsdatenverarbeitung nur unter bestimmten rechtlichen Voraussetzungen zulässig in der Praxis teilweise nur schwer einzuhalten Anforderungen: „Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen.“ (§ 11 Abs. 2 S. 1 BDSG) → Problem: Cloud-Nutzer hat keinen Einblick in interne Betriebsabläufe des Cloud-Anbieters; muss sich gewissermaßen auf Außendarstellung und Werbeaussagen verlassen
Datenschutz in der Cloud – Übermittlung an Europäische Cloud-Anbieter Anforderungen an Auftragsdatenverarbeitung: Auftraggeber muss Art und Umfang der Datenverarbeitung sowie Ort und Zeit kennen
→ nach derzeitigem Stand nicht möglich Vertrag über Auftragsdatenverarbeitung muss mindestens folgenden Inhalt haben:
Gegenstand und Dauer des Auftrags, Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, zu treffende technische und organisatorischen Maßnahmen, die Berichtigung, Löschung und Sperrung von Daten,
Datenschutz in der Cloud – Übermittlung an Europäische Cloud-Anbieter die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.
Datenschutz in der Cloud – Übermittlung an Europäische Cloud-Anbieter Alternative: Verschlüsselung der Daten dann: kein Personenbezug für Cloud-Anbieter
herstellbar; BDSG findet keine Anwendung Daten müssten bereits vor Übertragung in Cloud verschlüsselt werden Schlüssel darf dem Cloud-Anbieter nicht bekannt sein
Datenschutz in der Cloud – Übermittlung in Drittländer Problem: Auftragsdatenverarbeitung nach § 11 BDSG in diesen Fällen nicht möglich
Grund: Staaten außerhalb des EU-/EWR-Raumes gelten oft als „unsichere Drittstaaten“; keine Privilegierung der Übertragung Übermittlung nur zulässig, wenn Drittstaat ein angemessenes Datenschutzniveau hat
Datenschutz in der Cloud – Übermittlung in Drittländer Rechtliche Grundlage im deutschen Recht: § 4b BDSG
(2) 1Für die Übermittlung personenbezogener Daten an Stellen nach Absatz 1, die nicht im Rahmen von Tätigkeiten erfolgt, die ganz oder teilweise in den Anwendungsbereich des Rechts der Europäischen Gemeinschaften fallen, sowie an sonstige ausländische oder über- oder zwischenstaatliche Stellen gilt Absatz 1 entsprechend. 2Die Übermittlung unterbleibt, soweit der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat, insbesondere wenn bei den in Satz 1 genannten Stellen ein angemessenes Datenschutzniveau nicht gewährleistet ist.
Datenschutz in der Cloud – Übermittlung in Drittländer Was bedeutet nun „angemessenes Datenschutzniveau“? gleichwertig mit EU-Recht, rechtlich bindend, Datensicherheit muss gewährleistet sein Staaten für die ein angemessenes Datenschutzniveau festgestellt wurde: z.B. Argentinien, Kanada, Schweiz, Neuseeland und Uruguay Problem: USA; viele Cloud-Anbieter haben dort ihren Sitz haben eigentlich kein mit EU vergleichbares Datenschutzniveau
Warum? USA verfolgen sog. sektoralen Ansatz = Mischung aus Rechtsvorschriften, Verordnungen und Selbstregulierung
Datenschutz in der Cloud – Übermittlung in Drittländer Was ist das Safe Harbor-Abkommen? aber: Datenverkehr zwischen EU und USA sollte ermöglicht werden durch Abstimmung zwischen EU und USA wurde zwischen 1998 und 2000 das Safe Harbor-“Abkommen“ daher entwickelt/abgestimmt/vereinbart Safe Harbor-“Abkommen“ verfolgt in erster Linie wirtschaftliche Zwecke
Datenschutz in der Cloud – Übermittlung in Drittländer US-Handelsministerium hat „Safe Harbor Principles“ und die dazugehörigen FAQ entwickelt US-Unternehmen konnten sich diesen Grundsätzen freiwillig unterwerfen Geltung der Safe Harbor Grundsätze kann u.a. beschränkt werden durch:
Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen Gesetzesrecht, staatliche Regulierungsvorschriften oder Fallrecht
Ausnahmeregelungen in der Richtlinie oder im nationalen Recht also: Safe Harbor Grundsätze gelten nicht absolut, sondern nur wenn nicht Gesetze der USA entgegenstehen
Datenschutz in der Cloud – Übermittlung in Drittländer Entscheidung der Kommission: Es wird davon ausgegangen, dass die „Grundsätze des sicheren Hafens zum Datenschutz“ (…) ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die von der Europäischen Union an in den Vereinigten Staaten niedergelassene Organisationen übermittelt werden (…).
Datenschutz in der Cloud – Übermittlung in Drittländer Safe Harbor-Abkommen erfasste: Übermittlung personenbezogener Daten
von EU-Staaten in die USA
Datenschutz in der Cloud – Übermittlung in Drittländer
Beitritt zum Safe Harbor-Abkommen ist für US-Unternehmen freiwillig also: Safe Harbor-Abkommen als Form der Selbstregulierung
beigetretene Unternehmen müssen dies öffentlich bekanntmachen
Datenschutz in der Cloud – Übermittlung in Drittländer Auswahl von Unternehmen, die dem Safe Harbor-Abkommen beigetreten sind
Safe Harbor-Entscheidung des EuGH Schrems ./. Data Protection Commissioner Hintergrund Österreicher Max Schrems setzt sich seit Jahren für einen besseren Datenschutz bei Facebook ein
Max Schrems reicht im Juni 2013 eine Beschwerde beim irischen „Data Protection Commissioner“ (irische Datenschutzbehörde) ein Aufforderung an Behörde: Unterbindung der Übermittlung personenbezogener Daten von der EU in die USA Begründung: Daten in den USA nicht ausreichend vor staatlicher Überwachung geschützt Verweis auf Enthüllungen von Edward Snowden
Safe Harbor-Entscheidung des EuGH Schrems ./. Data Protection Commissioner Foto von der irischen Datenschutzbehörde
Safe Harbor-Entscheidung des EuGH Schrems ./. Data Protection Commissioner Entscheidung des EuGH im Überblick 1.
Befugnisse der nationalen Datenschutzbehörden
Datenschutzbehörden müssen auch bei Vorliegen einer Kommissionsentscheidung in völliger Unabhängigkeit prüfen, ob bei der Übermittlung personenbezogener Daten die Anforderungen der Richtlinie beachtet werden; also: ob in den USA ein angemessenes Datenschutzniveau besteht 2.
Zur Wirksamkeit der Safe Harbor-Entscheidung
Safe Harbor-Entscheidung der Kommission ist ungültig, weil sie den nationalen Datenschutzbehörden Prüfungsbefugnisse entzieht. Kommission hat damit ihre Kompetenzen überschritten
Safe Harbor-Entscheidung des EuGH Konsequenzen und mögliche Lösungsansätze Konsequenzen: Safe Harbor-Entscheidung seit 16.10.2015 unwirksam; keine Übergangsfrist Datenübermittlung in die USA erfolgt ohne Rechtsgrundlage
Unternehmen stehen also vor der Wahl: auf Alternativen setzen? Datenverkehr in die USA einstellen? bewusst illegal handeln?
Safe Harbor-Entscheidung des EuGH Konsequenzen und mögliche Lösungsansätze Konsequenzen: Datenschutzbehörden haben angekündigt, einen Übergangszeitraum bis Ende Januar 2016 zu belassen bis dahin werden sie keine Maßnahmen wegen der Übermittlung von Daten in die USA einleiten Vorgehensweise danach unklar
Safe Harbor-Entscheidung des EuGH Konsequenzen und mögliche Lösungsansätze Mögliche Alternativen für Unternehmen Standardvertragsklauseln Sog. Binding Corporate Rules
→ Problem: Auswirkungen der EuGH-Entscheidung auf diese Methoden der Datenübertragung in Drittstaaten?
Andere Handlungsalternative? Einwilligung des Betroffenen?
Safe Harbor-Entscheidung des EuGH Konsequenzen und mögliche Lösungsansätze Standardvertragsklauseln - Was ist das? Vertragsklauseln, die ebenfalls Gegenstand von Entscheidungen der EUKommission waren EU-Kommission hat festgestellt, dass Standardvertragsklauseln die Übermittlung in Drittländer ohne angemessenes Datenschutzniveau rechtfertigen wichtiger Unterschied zu Safe Harbor: Standardvertragsklauseln stellen kein angemessenes Datenschutzniveau her; sondern es wird eine Ausnahme für die Übermittlung in „unsichere“ Drittstaaten gemacht
Safe Harbor-Entscheidung des EuGH Konsequenzen und mögliche Lösungsansätze Standardvertragsklauseln - Was ist das? es handelt sich um Musterverträge müssen 1:1 übernommen werden, ansonsten besteht keine Privilegierung
keine Ergänzung, Änderung, Anpassung möglich → mangelnde Flexibilität
Kernpunkte: Pflichten des Datenimporteurs und -exporteurs, Haftung, anwendbares Recht, Zusammenarbeit mit Kontrollstellen
Beispiel: Standardvertragsklauseln bei Auftragsdatenverarbeitung
Safe Harbor-Entscheidung des EuGH Konsequenzen und mögliche Lösungsansätze Problem: Auswirkungen der EuGH-Entscheidung auf Standardvertragsklauseln
formell: nur Safe Harbor-Entscheidung ungültig aber: ähnliche Problematik wie bei Safe Harbor existiert auch bei Standardvertragsklauseln
insbesondere Vorbehalte zugunsten von nationalen Rechtsvorschriften im Hinblick auf die öffentliche Sicherheit etc. zweifelhaft, ob Standardvertragsklauseln daher langfristig Bestand haben
keine echte Alternative
Konsequenzen und mögliche Lösungsansätze Binding Corporate Rules – eine Alternative? bei Datenexport an externe Dienstleister/Dritte in den USA ohnehin nicht anwendbar im Übrigen können auch BCR einen Zugriff der US-Behörden nicht verhindern
gleiches Grundproblem wie bei Safe Habor daher: ebenfalls keine richtige Alternative
Konsequenzen und mögliche Lösungsansätze Fazit: EuGH-Urteil betrifft zwar formell nur die Safe Harbor-Entscheidung der Kommission aber auch Übermittlung auf anderen Grundlagen (Standardvertragsklauseln und Binding Corporate Rules) jetzt fraglich, da gleiches Problem (Zugriff der US-Sicherheitsbehörden möglich) Rechtsunsicherheit
Konsequenzen und mögliche Lösungsansätze Weitere Alternative: Einwilligung des Betroffenen? meist nicht praktikabel Einwilligung kann verweigert oder widerrufen werden
Unterbrechung von automatisierten Geschäftsprozessen weiteres Problem: Einwilligung müsste „informiert“ sein d.h. der Betroffene muss umfassend aufgeklärt werden
Aufklärung umfasst wohl auch Hinweis auf niedrigeres Datenschutzniveau in den USA Hinweis auf Zugriffsrecht der US-Behörden
Aufklärung in AGB wohl nicht möglich auch deshalb ist eine Einwilligung insgesamt nicht praktikabel
Konsequenzen und mögliche Lösungsansätze Ausblick: Wie geht es nun weiter? EU-Kommission hat angekündigt, das Safe Harbor-Abkommen zu überarbeiten (Neuer Name: EU-US Privacy Shield, Unterzeichnung für Ende Februar 2016 geplant, zentrale Fragen allerdings noch offen) US-Handelsministerium hat Kooperationsbereitschaft signalisiert
Problem: ohne Änderung des US-Rechts kann kein rechtmäßiges Abkommen entwickelt werden Erforderlich:
Begrenzung des Zugriffs amerikanischer Behörden auf personenbezogene Daten von EU-Bürgern Schaffung wirksamer Rechtsbehelfe für EU-Bürger
Danke für Ihre Aufmerksamkeit Ich danke für Ihre Aufmerksamkeit!
RA Christian Solmecke, LL.M. +49 221 951 563 0 www.wbs-law.de
[email protected] www.wbs-law.de/twitter www.wbs-law.de/youtube www.wbs-law.de/xing www.wbs-law.de/app
RA Christian Solmecke, LL.M.