Internationaler Datenverkehr

Weltweiter Handel macht auch internationalen Datenverkehr (inkl. Datentransfer, Datenspeicherung und Datenverarbeitung) notwendig. Doch wenn Unternehmen personenbezogene Daten über Landesgrenzen hinweg übertragen bzw. konzernintern verarbeiten, sind bestimmte nationale Gesetze zum Datenschutz sowie internationale Abkommen zu beachten. Die Experten der activeMind AG erklären wie datenschutzkonformer internationaler Datenverkehr funktioniert (oder helfen direkt bei Erstellung und Implementierung von Binding Corporate Rules):

Beiträge

EU-Standardvertragsklauseln für die Datenverarbeitung durch außereuropäische Dienstleister

Der Transfer personenbezogener Daten an einen Dienstleister in einem sogenannten unsicheren Drittstaat bedarf zusätzlich zur Transfergrundlage einer eigenen Datenschutzgarantie. Für US-Dienstleister kann hier seit dem 1. August 2016 auf das EU-US-Privacy-Shield zurückgegriffen werden, sofern sich der gewünschte Dienstleister (bereits) entsprechend verpflichtet hat. Für datenverarbeitende Dienstleister in anderen unsicheren Drittländern wie z. B. China oder Indien muss auch weiterhin auf die sogenannten EU-Standardvertragsklauseln zurückgegriffen werden. Der Beitrag zeigt auf, in welchen Konstellationen ein Abschluss der Klauseln möglich und sinnvoll ist und was dabei insbesondere aus deutscher Sicht zu beachten ist.

EU-U.S. Privacy Shield verabschiedet

Am 12. Juli 2016 verabschiedete die EU-Kommission das von allen Beteiligten sehnlichst erwartete EU-U.S. Privacy Shield. Es löst das durch Urteil des Europäischen Gerichtshofs für ungültig erklärte Safe-Harbor-Abkommen ab. Nachdem ein erster Entwurf für das Abkommen zur Ermöglichung von Datentransfers in die USA bereits Ende Februar 2016 auf dem Tisch lag, folgten noch weitere Abstimmungsrunden, bis das Regelwerk endlich von allen Seiten abgesegnet wurde. In einer Pressemitteilung verkündete die EU-Kommission nun ihren Beschluss zum EU-U.S. Privacy Shield.

Asiens Interesse an der europäischen Datenschutz-Grundverordnung

Nachdem die Verabschiedung der EU-Datenschutz-Grundverordnung in Europa bereits viel Aufmerksamkeit auf sich zog, werden auch andere Regionen auf die neuen Vorschriften zum Datenschutz aufmerksam. Vor allem Artikel 3 der Datenschutz-Grundverordnung, der deren Anwendungsbereich auch auf Unternehmen erweitert, die keine Niederlassung in Europa haben, führt zu viel Aufregung, wie eine Präsentation der activeMind AG in Hongkong zeigte.

Was bedeutet der Brexit für den Datenschutz in der Europäischen Union?

Falls sich die Briten am 23. Juni 2016 für den sogenannten Brexit entscheiden, wird dies wirtschaftliche Folgen von bisher nicht absehbarem Ausmaß haben. Davon wären keineswegs nur Unternehmen in Großbritannien betroffen, auch viele Firmen in EU-Staaten müssten mit Änderungen rechnen. So sollte unter anderem die Bedeutung des Brexit für den Datenschutz nicht vernachlässigt werden. Denn wenn das Vereinigte Königreich aus der Europäischen Union austritt, stellt sich die Frage, unter welchen Bedingungen künftig überhaupt noch personenbezogene Daten an britische Unternehmen übertragen werden dürfen.

Safe Harbor: Aufsichtsbehörden verhängen erste Bußgelder

Nach dem Ende des Safe-Harbor-Abkommens im Oktober 2015 haben die Datenschutz-Aufsichtsbhörden auf die neue Rechtslage reagiert und Bußgelder gegen mehrere Unternehmen verhängt. Die Übergangsfrist für ungültig gewordene Datenübertragungen in die USA endete bereits am 31. Januar 2016. Die betroffenen Unternehmen hätten allerdings erheblich härter bestraft werden können.

Unternehmen im datenschutzrechtlichen Würgegriff der US-Behörden

Wie stark nutzen US-amerikanische Behörden eigentlich ihr Recht, personenbezogene Daten von Unternehmen zu kontrollieren? Angesichts der spektakulären Entscheidung des Europäischen Gerichtshofs (EuGH), den Datentransfer in die USA auf Grundlage des Safe-Harbor-Abkommens für unwirksam zu erklären, gewinnt diese Frage neue Brisanz. Immerhin führte das Gericht die massenhaften und unkontrollierten Überprüfungsaktivitäten US-amerikanischer Behörden als wichtiges Argument an. Denn dies sei nicht mit den datenschutzrechtlichen Regelungen der EU vereinbar, so der EuGH. Wie aktuelle Veröffentlichungen zeigen, lag der Gerichtshof mit seiner Urteils-Begründung noch näher an der Realität, als zu befürchten war.

Nach dem Aus von Safe Harbor: Aufsichtsbehörden werden aktiv

Die Entscheidung des Europäischen Gerichtshofs (EuGH), das Safe-Harbor-Abkommen für nichtig zu erklären, hat zu einer sehr deutlichen Verunsicherung geführt – nicht nur auf Seiten der betroffenen Unternehmen, sondern auch bei den Datenschutz-Aufsichtsbehörden. Es besteht Unklarheit, wie weitreichend das Urteil zu interpretieren ist und ob tatsächlich nicht nur Safe Harbor, sondern alle Konstruktionen betroffen sind, mit denen versucht wird, den Transfer von personenbezogenen Daten in die USA zu rechtfertigen. Dies führt derzeit zu einer unterschiedlichen Herangehensweise der zuständigen Aufsichtsbehörden in den Ländern. Der folgende Artikel verschafft einen kurzen Überblick.

Vom Patriot Act zum Freedom Act: Datenschutz in den USA

Am 2. Juni 2015 einigte sich der US-Senat auf den Freedom Act, eine gesetzliche Regelung, die Teile des abgelaufenen Patriot Acts ablöst. Die Neufassung unter anderem der Teile, die die Telekommunikationsdaten und ihre Überwachung betreffen, war notwendig geworden, um der amerikanischen Öffentlichkeit nach den Enthüllungen Edward Snowdens das Vertrauen in ihre Behörden wiederzugeben. Gemäß dem Freedom Act dürfen amerikanische Behörden (z. B. die NSA) nicht mehr massenhaft Daten von Betroffenen sammeln. Vor dem Hintergrund der vernichtenden Entscheidung des EuGH über das Safe-Harbor-Abkommen stellt sich nun für Unternehmen die Frage, ob durch den Freedom Act der internationale Datentransfer zwischen EU-Staaten und den USA ermöglicht, bzw. erleichtert wird?

Anleitung: 3 Methoden zur Beseitigung des Personenbezugs von Daten

Die Verarbeitung von personenbezogenen Daten unterliegt erheblichen Beschränkungen durch die Datenschutzgesetze. Für Unternehmen ist deshalb die Beseitigung des Personenbezugs von Daten ein interessanter Weg, weil hierdurch bestimmte Vorschriften wie beispielsweise die Zweckbindung der Datenverarbeitung oder die Einhaltung von Löschpflichten entfallen oder aber die Verarbeitung sonst erleichtert werden kann. Ein prominentes Einsatzgebiet ist die Weitergabe von Daten an Cloud-Dienstleister außerhalb Europas, insbesondere nach dem Wegfall von Safe Harbor. Zur Entfernung des Personenbezugs existieren verschiedene Möglichkeiten, deren Einsatz jedoch stets eine gründliche Planung erfordert. Im Folgenden erläutern wir die wichtigsten Methoden.

Der EuGH kippt Safe Harbor – was Unternehmen jetzt tun müssen

Der Europäische Gerichtshof (EuGH) hat die Vereinbarung mit den USA zum Datenaustausch für ungültig erklärt. Unternehmen können sich nun nicht mehr auf das Safe-Harbor-Abkommen berufen. Das verursacht dringenden Handlungsbedarf. Was müssen Sie als Unternehmer jetzt tun?