Generalanwalt zu Safe Harbor – Konsequenzen für die Praxis Fall: Maximilian Schrems v Data Protection Commissioner / Facebook, EuGH C-362/14 Gegenstand: Transfer von Daten europäischer Nutzer von Facebook in die USA Status: Schlussanträge des Generalanwalts Bot vom 23.9.2015 Safe Harbor ungültig; nationale Behörden sind bei Prüfung, ob angemessener Datenschutz vorhanden ist, nicht an eine Entscheidung der EU-Kommission gebunden. Konsequenz: Wenn der EuGH der Ansicht des Generalanwalts folgt, wären Datentransfers in die USA illegal, sofern nicht ein besonderer Erlaubnistatbestand vorliegt. Maßnahmen, die man als Vorbereitung auf ein negatives EuGH-Urteil treffen kann, wenn man Daten in die USA schickt: 1. Sachverhalt erheben Werden Daten von z.B. Kunden, Mitarbeitern oder Lieferanten in personenbezogener Form in die USA gesendet oder unterliegen solche dort einem Zugriff? Denkbar ist ein Transfer/Zugriff zwischen Konzerngesellschaften durch externe Dienstleister oder durch Cloud-Dienstleister (z.B. Microsoft, Google, Apple, Amazon, Dropbox etc.) Wenn keine Daten gesendet werden oder kein Zugriff besteht: kein Problem. Ergebnis „positiv“ 2. Ist ein Erlaubnistatbestand vorhanden? wirksame Zustimmung der Betroffenen? Zweck der Vertragserfüllung? gesetzliche Verpflichtung? zulässigerweise veröffentliche Daten? anonymisierte oder pseudonymisierte Daten? Ergebnis „negativ“ Wenn vorhanden: kein Problem. Wenn ja, akute Gefahr, dass der Datentransfer künftig illegal erfolgt! 3. Falls kein Fall von Pkt. 2. zutrifft: Basiert der Datentransfer auf Safe Harbor? Standardvertragsklauseln? Binding Corporate Rules? Maßnahmen erforderlich! (siehe Pkt. 5) Ergebnis „negativ“ 4. Falls kein Fall von Pkt. 2 oder 3. zutrifft und dennoch Daten in die USA geschickt werden oder von dort auf sie zugegriffen werden kann, ist der Datentransfer vermutlich heute schon illegal. Datentransfer bereits jetzt illegal! Sanierung erforderlich! Sanierungsmaßnahmen 5. Maßnamen ergreifen: unbedingt über den Verfahrensgang informiert halten alternative Rechtsgrundlagen prüfen und umsetzen (z.B. Zustimmungserklärungen) oder technische Lösungen für den Datentransfer suchen (siehe Pkt. 2) eigenen Zugriff auf Daten in den USA sicherstellen (für Kopie und allfällige Löschung) Möglichkeit sicherstellen, um „fremden“ Zugriff auf Daten aus den USA zu unterbinden Beschaffung und Kontrolle von Verträgen mit internen und externen Dienstleistern: Besteht eine Rückgabe- und Löschpflicht? Suche nach alternativen Anbietern in Europa! Bei Bedarf Preslmayr Rechtsanwälte kontaktieren! Fazit: Sofern personenbezogener Datenverkehr mit den USA in Ihrem Unternehmen stattfindet und kein Erlaubnistatbestand vorhanden ist, sollten Maßnahmen laut Punkt 5. ergriffen werden. Kontakt Preslmayr Rechtsanwälte OG 1010 Wien, Universitätsring 12 Tel. +43/1/5331695, Fax +43/1/5355686, [email protected] [email protected]
© Copyright 2024 ExpyDoc
