Deutsche Datenschutzbehörden prüfen internationale Datentransfers

Gestern wurde bekannt, dass insgesamt 10 deutsche Landesdatenschutzbehörden in der nächsten Zeit ca. 500 deutsche Unternehmen und durch diese vorgenommene Datenübermittlungen in Drittstaaten außerhalb des EWR prüfen.

Beteiligt sind die Behörden folgender Bundesländer: Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt.
Die Landesbeauftragte aus Nordrhein-Westfalen informiert zum Hintergrund der Aktion:

Nach den bisherigen Erfahrungen der Aufsichtsbehörden ist mit bestimmten Produkten und Leistungen regelmäßig eine Übermittlung personenbezogener Daten in Nicht-EU-Staaten verbunden. Relevant sind beispielswiese Fernwartung, Support, Ticketing-Bearbeitung, aber auch Customer Relationship Management oder Bewerbermanagement. Um Unternehmen das Auffinden solcher Übermittlungen zu erleichtern, wird im Rahmen der Prüfaktion gezielt nach dessen Einsatz gefragt. Die Unternehmen werden dann aufgefordert, die entsprechenden von ihnen genutzten Dienstleistungen und Produkte konkret zu benennen.

Den Fragebogen der Behörden können Sie hier abrufen (pdf).

Unter anderem wird darin auch nach Datentransfers gefragt, die auf dem neuen EU-US Datenschutzschild (Privacy Shield) basieren. Zudem wird bei den möglichen Auswahlkriterien auch noch „Safe Harbor“ erwähnt. Der Beschluss der EU-Kommission zu Safe Harbor wurde jedoch bereits am 6. Oktober 2015 durch den Europäischen Gerichtshof für ungültig erklärt. Datenübermittlungen in die USA können seitdem nicht mehr zulässig auf dieser Grundlage erfolgen.

EU-U.S. Privacy Shield: Übersicht zum Safe Harbor-Nachfolger für Datentransfers in die USA.

Am 12. Juli 2016 hat die Europäische Kommission das EU-U.S. Privacy Shield angenommen. Hierbei handelt es sich um die Nachfolgeregelung der im Oktober 2015 durch den europäischen Gerichtshof für ungültig erklärten Safe Harbor-Entscheidung. Zweck Privacy Shield ist es, die Übermittlung personenbezogener Daten an Unternehmen in den USA datenschutzrechtlich zulässig zu ermöglichen.

Gerne stellen wir Ihnen hier unsere Kundeninformation mit einem kurzen Überblick über die zentralen Aspekte des Privacy Shield zum Download bereit.

Neue Tätigkeitsberichte der Aufsichtsbehörden in Hessen und Rheinland-Pfalz vorgestellt

Diese Woche haben die Datenschutzaufsichtsbehörden in Hessen und auch in Rheinland-Pfalz ihre Tätigkeitsberichte für die Jahre 2014/15 veröffentlicht.

Tätigkeitsbericht Hessen (pdf)

Tätigkeitsbericht Rheinland-Pfalz (pdf)

Wie immer gilt, dass die Tätigkeitsberichte der Aufsichtsbehörden für den Datenschutz Praxis relevante Informationen zur Anwendung des Datenschutzrechts liefern.

So befasst sich der hessische Datenschutzbeauftragte etwa mit der sehr relevanten Frage der Zulässigkeit von konzerninternen Datentransfers zwischen Unternehmen. Wenn keine Auftragsdatenverarbeitung vorliegt, muss für Datenübermittlungen eine Einwilligung der Beschäftigten oder ein gesetzlicher Erlaubnistatbestand vorliegen. Nähere Informationen zu dieser Thematik finden Sie im Blog von Carlo Piltz.

Landgericht Düsseldorf: Social Media-Buttons einbinden nur nach Einwilligung des Nutzers

Gestern hat das Landgericht Düsseldorf in einem Verfahren der Verbraucherzentrale NRW und eine Onlineshop-Betreiber ein Urteil zu datenschutzrechtlichen Fragen rund um den Facebook Like-Button gefällt. Es ging vor allem um zwei Aspekte: Die deutliche und rechtzeitige Information des Nutzers und die Frage, ob der Button zudem mit aktivierter Funktion nur in die Internetseite eingebunden sein darf, nachdem der Nutzer seine Einwilligung in die mit dem Button verbundene Kommunikation von Daten erklärt hat. Zu beiden Aspekten enthält das Urtiel klare Ausagen. Vor allem sei eine Einwillung erforderlich, so das Gericht.

Carlo Piltz hat dazu einen Beitrag veröffentlicht, der das Verfahren aus rechtlicher Sicht einmal näher beleuchtet. Auch wenn davon auszugehen ist, dass das Verfahren in die nächte Instanz gehen wird, ist das Urteil des LG Düsseldorf aber erst einmal ein Wort. Gerade im Online-Bereich sind die Datenschutzfragen also immer noch „im Fluss“ und müssen laufend neu gedacht werden.

EU-US Privacy Shield: Was steckt hinter dem Safe Harbor-Nachfolger?

Bisher sind noch kaum valide Informationen dazu bekannt, wie genau der zukünftige Rahmen für Datenübermittlungen in die USA, das EU-US Privacy Shield, aussehen wird. Aus den wenigen veröffentlichen Pressemitteilungen der Europöischen Kommission und des US-Handelsministeriums hat Carlo Piltz in seinem Blog eine Übersicht erstellt.

Die nun folgenden Wochen und Monate, in denen die Europäische Kommission einen Entwurf für eine neue Angemessenheitsentscheidung veröffentlichen will, dürften spannend bleiben.