EU-US Datentransfer: Sind jetzt auch noch die Standardvertragsklauseln unwirksam?
von , veröffentlicht am 14.10.2015Nach der viel Staub aufwirbelnden Entscheidung der EuGH in Sachen „Schrems“ von letzter Woche (siehe im Blog hier), meint jetzt das "Unabhängige Landeszentrum für Datenschutz" (ULD) Schleswig-Holstein in einer Stellungnahme, dass auch die EU Standardklauseln "nicht mehr zulässig“ seien. Das sind von der EU Kommission abgesegnete Musterverträge, die häufig im internationalen Datenverkehr von Unternehmen genutzt werden.
Zitat: „Nichtöffentliche Stellen, die für ihren Datentransfer in die USA Standardvertragsklauseln verwenden, müssen nun in Erwägung ziehen, den zugrunde liegenden Standardvertrag mit dem Datenimporteur in den USA zu kündigen oder die Datenübermittlungen auszusetzen. In konsequenter Anwendung der Vorgaben des EuGH in seinem Urteil ist eine Datenübermittlung auf Basis von Standardvertragsklauseln nicht mehr zulässig.“
Eine abgestimmte Position der dt. oder gar europäischen Datenschutzbehörden zur Umsetzung der Entscheidung gibt es noch nicht. Die Verwirrung ist komplett. Soll jetzt der Datenfluss in die USA insgesamt gestoppt werden?
Eine Analyse der Entscheidung des EuGH aus Sicht der USA von mir finden Sie hier .
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
24 Kommentare
Kommentare als Feed abonnieren"aus Sicht der USA" = Axel Spies auf englisch.
Danke, ich musste lachen.
Über die Formulierung, der EuGH wolle "auf einem Kreuzzug" das EU-Datenschutzrecht "weltweit durchsetzen", kann man dagegen nur den Kopf schütteln.
Wollen Sie etwa das Recht der EU-Bürger aushöhlen, dass ihre in der EU erhobenen Daten nur nach dem Recht des Landes der Erhebung behandelt werden dürfen?
Dass sich die Firmen und Aufsichtsbehörden in den USA nicht einmal an die bisherigen Regelungen zu "Safe Harbor" gehalten haben, ist mittlerweile sogar in den USA aufgefallen: http://m.heise.de/newsticker/meldung/Safe-Harbor-Datenschutzbeschwerde-g...
Mit der Kritik kann ich leben:-)
Der verlinkte Artikel fasst zusammen, was ich hier in Washington höre. Es geht dem EuGH nicht darum, dass sich "die Firmen und Aufsichtsbehörden" nicht an SH gehalten haben. sonder genau um zwei Punkte (a) heimliches Abhören und Datensammlen durch die Behörden und (b) mangelnden Rechtsschutz. Das steht klar so im Urteil
Sicher gibt es US-Unternehmen, die SH nicht ordentlich umgesetzt haben. Und darüber, wie weit die FTC diese Unternehmen sanktioniert, kann man trefflich streiten. Ich kenne aber auch viel Untermehnen, die ihre SH -Verpflichtungen sehr ernst nehmen. Wieso diesen Unternehmen der Teppich unter den Füßen weggeszogen wird, ist mir nicht einsichtig.
Zum Argument "Recht der EU-Bürger aushöhlen, dass ihre in der EU erhobenen Daten nur nach dem Recht des Landes der Erhebung behandelt werden dürfen..." Genau das fordert doch der EuGH: Daten, die der EU erhoben werden sollen weiter nach EU-Recht behandelt werden, auch wenn sie die EU verlassen. Andere Länder haben aber nun mal andere Datenschutzrechte. Wieso muss der EU-Standart Weltgeltung haben?
Zwingt denn irgendjemand die in der EU ansässigen Firmen, die Daten außerhalb der EU verarbeiten zu lassen? Auf welcher Grundlage halten Sie personenbezogene Daten für ein Handelsgut ohne Schranken?
Wenn man sich anschaut, wie die USA ihr Rechtsverständnis z.B. im Schadensersatz per "forum non conveniens" weltweit durchsetzen, nur weil eine nichtamerikanische Firma ein Vertriebsbüro in den USA hat, dann drängt sich bei den nun aufkommenden Beschwerden in den USA durchaus der Eindruck von double standards auf.
Danke. Ich habe ja auch nicht gesagt, dass personenbezogene Daten ein Handelsgut ohne Schranken sind. Aber wenn man Schranken aufstellt, dann müssen auch alle gleich behandelt werden. Beispiele:
Wer sagt denn, dass die Israelis nicht aus Daten sammeln (Israel ist ein Land mit "adäquatem" Datenschutz)?
Und wer sammelt alles Daten in Eurpopa (gerade heute hat das VorratsdatenspeicherungsG den BT passiert)?
Und was ist mit dem Vertrauensschutz für Unternehmen, die sich 15 Jahre lang auf SH verlassen haben?
Ich höre übrigens eben aus Brüssel, dass die Art. 29 Arbeitsgruppe und die Kommission zu keiner Einigung gekommen sind, wie man bei der Umsetzung der EuGH-Entscheidung gemeinsam vorgehen soll. Droht jetzt die datenschutzrechtliche Kleistaaterei?
Zu dem Thema jetzt auch die Art. 29 Arbeitsgruppe:
http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2015/20151016_wp29_statement_on_schrems_judgement.pdf
Sehr schwache Analyse, die nicht einmal zwischen den in die Ausspähung eingebundenen Firmen und anderen unterscheidet. Schrems zeigt, wie man es besser macht:
http://www.europe-v-facebook.org/EN/Complaints/PRISM/Response/response.html
In Dublin soll der eigentliche Prozess nun weitergehen: http://www.bbc.com/news/technology-34573339
A propos Vertrauensschutz: seit wann gibt es einen solchen, wenn ein Sachverhalt noch nie (höchst)gerichtlich geklärt wurde? Dass ausgerechnet von einem Juristen eine derart durchsichtige Irreführung (die Intelligenz verbietet es spätestens seit der Entscheidung zu den Tarifverträgen der "christlichen" Gewerkschaften, so etwas "Argument zu nennen) kommt, erstaunt mich nun doch.
Man kann natürlich versuchen, die NSA-Spähprogramme und die Zugriffsrechte durch den Patriot Act aus seiner Wahrnehmung auszublenden, aber Wegschauen erschafft keinen Vertrauensschutz (und den Patriot Act mit seinem nicht richterlich kontrollierten Zugriffsrecht gibt es ebenfalls schon seit 14 Jahren). Das gilt erst recht für die Firmen, die wissentlich in PRISM involviert sind (es aber wegen Schweigeverpflichtungen abstreiten).
Was Sie übrigens als "Kleinstaaterei" denunzieren, heißt Subsidiarität und ist von Beginn an ein zentraler Grundsatz der EWG/EG/EU.
Und der EuGH hat etwas sehr wichtiges entschieden: die EU-Kommission kann nicht per ordre du mufti eigene Datenschutzstandards einführen, die die parlamentarisch beschlossenen abschwächen. Wollen Sie wirklich die Gewaltenteilung abschaffen, um Unternehmen höhere Gewinne zu ermöglichen?
Das US Repräsentantenhaus hat gestern den Judicial Redress Act of 2015 verabschiedet:
http://judiciary.house.gov/index.cfm/press-releases?id=9455FA93-0026-4928-8D3A-DDB374D64472
Was meinen Sie - welche Auswirkungen wird das neue Gesetz auf die Debatte in Europa haben?
https://www.datenschutz-notizen.de/deutsche-aufsichtsbehoerden-einigen-s...
Vielen Dank. Es bleibt spannend. Der Düsseldorfer Kreis schient sich ja recht eng an die Stellungnahme der Art. 29 Arbeitsgruppe zu halten.
Was meinen Sie - wie geht es nach dm 31.1. weiter?
Die Stellungnahme der deutsche Datenschutzbeauftragen ist raus:
https://www.datenschutz.hessen.de/ft-europa.htm#entry4521
Neue BCRs mit USA-Bezug scheinen grundsätzlich nicht mehr genehmigungsfähig zu sein und individuelle Genehmigungen der Betroffenen scheinen nur noch in Ausnahmefällen möglich zu sein.
Wie lesen Sie diese Aussagen? Gegen die Behörden über ihre rechtlichen Befugnisse hinaus?
Die Antwort auf diese - hoffentlich rhetorisch gemeinte - Frage lautet natürlich Nein.
http://www.haerting.de/de/neuigkeit/faq-safe-harbor#Datenschutzbehoerden
https://twitter.com/EP_Justice/status/658666197525897216
Ich hake gerne nochmal nach zur Rechtsgrundlage für die Maßnahmen.
Sehen die anderen auch so wie der Gast #12?
Das Schrems-Urteil selbst klammert das Thema "individuelle Einwilligung" aus, wie man leicht mit einem Suche-Kommando feststellen kann.
Warum sollte der Betroffene nicht einwilligen können - auch außerhalb des engen Sektors, in dem der Datentransfer "nicht wiederholt, massenhaft oder routinemäßig" erfolgt (Punkt 9 der Stellungnahme)? Wie steht das im Einklang mit dem Recht des selbstbestimmenden, souveränen Bürgers?
https://www.datenschutz.rlp.de/de/aktuell/2015/images/20151026_Folgerung...
Jetz muss ich aber lachen „Der LfDI RLP steht den verantwortlichen Stellen beratend zur Seite. Er wird soweit möglich die verantwortlichen Stellen auf Alternativen zu Datenverarbeitungen in den USA hinweisen, also auf Dienstleister, die Datenverarbeitungen ausschließlich innerhalb der EU oder in Staaten mit angemessenem Datenschutzniveau vornehmen.“
Vielleicht kann sich ein Verkaufsmanager direkt im Nachbarzimmer sprungbereit positionieren.
Und die nach SH übermittelten Daten müssen in den USA gelöscht werden, aha....
Die Verabschiedung des neuen CISA (Cybersecurity Inforamtion Sharing Act) könnte evtl. Safe Harbor 2.0 gefährden. In CISA ist ein weitgehender Informationsaustausch der Unternehmen vorgesehen, der mit Haftungsfreistellungen einhergeht.
In Deutsch u.a. hier:
https://netzpolitik.org/2015/cisa-ein-als-cybersecurity-getarntes-ueberwachungsgesetz/
Was meinen Sie?
https://www.janalbrecht.eu/presse/pressemitteilungen/europaeisches-parla...
http://www.europarl.europa.eu/news/en/news-room/content/20151022IPR98818...
Was halten sich juristisch von dieser Aussage?
EU Commissioner, Vĕra Jourová, yesterday told the 37th International Privacy Conference in Amsterdam that the ECJ’s decision in the Schrems case “reaffirms once more that personal data protection is a fundamental right and that it applies also when personal data is transferred to third countries.
“The protection of personal data is more than a “European” fundamental right it is a right for everyone around the globe.”
http://orf.at/stories/2307333/
https://twitter.com/maxschrems
Interessantes Posting. Vielen Dank - das Safe Harbor Thema hat also das Bundskanzleramt erreicht.
Was meinen Sie: Wie müßte ein Kompromiss bei Safe Harbor aussehen, so dass er vor den Gerichten Bestand hat?
https://netzpolitik.org/2015/merkel-verspricht-verlegern-weniger-datensc...
In Großbritannien (aus deutscher Sicht ein Land mit adäquatem Datenschutz) sollen jetzt alle Besuche von Webseiten (Browser History) von den ISPs für 12 Monate gespeichert werden, berichtet heute die BBC.
http://www.bbc.com/news/uk-politics-34715872
Was halten Sie davon, gerade im Lichte der Schrems-Entscheidung?
Ein DC-Bundesrichter hat heute der National Security Agency auferlegt, sein Telefonie Metadaten-Programm einzustellen - 20 Tage vor es dem USA Freedom Act ausläuft.
US-Bezirksrichter Richard J. Leon gab einem Antrag auf einstweiliger Verfügung gegen die NSA im Namen eines Verizon Wireless-Kunden statt.
Das Rubrum lautet Klayman v Obama et al, Fallnummer 1:13-cv-00851, US District Court für den District of Columbia.