Bay LDA Datenschutzaufsicht - vbw-bayern.de · Bayerisches Landesamt für Datenschutzaufsicht Bay...

Bayerisches Landesamt fürDatenschutzaufsicht

BayLDA

1

I n t e r n a t i o n a l e D a t e n t r a n s f e r s – S i c h t e i n e r d e u t s c h e n A u f s i c h t s b e h ö r d e

A l e x a n d e r F i l i p , R e f e r a t s l e i t e r b e i m

B a y e r. L a n d e s a m t f ü r D a t e n s c h u t z a u f s i c h t

4 . D e u t s c h - a m e r i k a n i s c h e r D a t e n s c h u t z t a g ,

0 7 . 1 2 . 2 0 1 7 , M ü n c h e n


BayLDA

2

Agenda1. Internationaler Datentransfers – Relevanz für Bayern

2. EU-U.S. Privacy Shield: aktueller Stand, Sicht der Art.-29-Gruppe

3. Aktueller Stand EU-Standardvertragsklauseln, Binding Corporate Rules, Ausnahmetatbeständen (Art. 49)

4. Internationale Auftrags(daten)verarbeitung: Vergleich BDSG (alt) – DS-GVO anhand des „Fallgruppen-Papiers“ zur internationalen Auftragsdatenverarbeitung des Düsseldorfer Kreises von 2007 (https://www.lda.bayern.de/media/dk_fallgruppen.pdf)

Achtung: Es gibt bislang keine abgestimmten Positionen der Aufsichtsbehörden zur

internationalen ADV nach DS-GVO; der vorliegende Beitrag gibt lediglich eine

derzeitige vorläufige Einschätzung des Referenten wieder.ru


BayLDA

316 + 4 Planstellen

Der Freistaat Bayern hat

12,7 Mio. Einwohner

Der Freistaat Bayern hat ca.

670.000„Unternehmen“

1. Internationale Datentransfers – Relevanz für Bayern

Das BayLDA


BayLDA

4

2015 2016

Beschwerden 1103 1424

Beratungen Bürger 877 1065

Beratungen Unternehmen

1850

Bußgeldverfahren 94 79

Datenpannen 28 85

2013 2014

925 953

1733

64

32 21

799 991

1821 2003

53

Tendenz


Vorgangsstatistik BayLDA (alle Vorgänge)


BayLDA

5

Videoüberwachung 16 %

Internet 14 %

Werbung und Adressenhandel 14 %

IT-Sicherheit und Technik 10 %

Internationaler Datenverkehr 6 %

Versicherungswirtschaft 5 %

Gesundheit und Soziales 5 %

Banken 5 %

Vereine und Verbände 3 %

Wohnungswirtschaft und Mieterdaten 3 %

Auskunftsanspruch 9 %

Sonstiges 5 %

Arbeitnehmer 5 %

+193

+88

+199

+43

+56

-13

+3

±0

+1

+30

-4

+21

+32


Themenfelder der Beschwerden beim BayLDA


BayLDA

6


Datenübermittlungen in Drittländer – Bayern im Fokus. Warum?

• In Bayern gibt es schlicht sehr viele Unternehmen – s.o. .

• In Bayern liegt der Hauptsitz vieler deutscher „Global Player“.

• In Bayern siedeln sich viele ausländische „Global Player“ mit ihrem Deutschland-Hauptsitz oder sogar dem Europa-Headquarter an.

• Zudem ist die „Cloud“ heute für eine Vielzahl von KMU - auch in Bayern - interessant


BayLDA

7


Schriftliche Großprüfung des BayLDA 2016/2017 zu Datenübermittlungen in Nicht-EU-Länder mit 150 geprüften Unternehmen (unterschiedliche Branchen und Größen)

• 56% der befragten Unternehmen bejahten Übermittlungen in Nicht-EU-Länder

o 33% - Übermittlungen in die USA und in andere Nicht-EU-Länder

o 13% - Übermittlungen in die USA, nicht aber in andere Nicht-EU-Länder

o 10% - Übermittlungen nicht in die USA, aber in andere Nicht-EU-Länder

• „Dunkelziffer“ vermutlich höher, da sich viele Unternehmen der Übermittlung in Drittländer nicht immer bewusst sind


BayLDA

8


Bayern starkt im Fokus z.B. bei Binding Corporate Rules

• EU-weit bislang etwas über 100 BCR-Verfahren abgeschlossen, siehe offizielle Liste der Art.-29-Gruppe unter http://ec.europa.eu/newsroom/just/document.cfm?doc_id=48705

• häufigste Federführungen bislang bei ICO (UK), CNIL (F)

• Deutsche Aufsichtsbehörden bislang federführend in 11 BCR-Genehmigungsverfahren, davon allein BayLDA in 6 Fällen

• BayLDA muss daher (notgedrungen) „Spezialist für BCR“ sein.


BayLDA

9


Bayern stark im Fokus z.B. bei Binding Corporate Rules

• BayLDA ferner häufig als Co-Prüfer in weiteren BCR-Fällen aktiv

• Warum? Weil die „deutsche Zuständigkeit“ sich nach dem deutschen Hauptsitz des jeweiligen Konzerns richtet -> sehr häufig in Bayern

• Ähnlich sieht es für Genehmigungsverfahren bei „leicht abgewandelten“ Standardverträgen von Konzernen aus (Verfahren gemäß Working Paper 226 der Art.-26-Gruppe).

• Fazit: Für BayLDA müssen Fragen der internationalen Datentransfers hohe Priorität haben.


BayLDA

10


Bayern allgemein stark im Fokus bei internationalen Datentransfers

Typische Fragen an das BayLDA an einem „ganz normalen Arbeitstag“

• „Unsere US-Muttergesellschaft will die Personaldaten aller Konzernunternehmen bei sich in den USA speichern, geht das?“

• „Ich soll als Prüfarzt bei einer Arzneimittelstudie Studienergebnisse an den US-Sponsor übermitteln. Was muss ich beachten?“

• „Unsere Personalabteilung möchte ein Recruiting-Tool / CRM-Tool /… aus der Cloud nutzen. Ist das zulässig?“

• „Wir sind eine weltweit tätige Unternehmensgruppe und möchten evtl. BCR einführen, weil wir compliant sein wollen. Lohnt sich das für uns?“

• „Wir wurden von der US ….-Behörde aufgefordert, E-Mail-Korrespondenz unserer Mitarbeiter im Rahmen einer Untersuchung vorzulegen. Wir haben Bedenken, ob das zulässig ist.“

• „Dürfen Mitarbeiterdaten überhaupt noch in die USA übermittelt werden?“

• „Was müssen wir als Firma bei „Microsoft Office 365“ datenschutzrechtlich beachten?“

• „Ist der Privacy Shield sicher? Und wie sieht es mit den Standardvertragklauseln aus?“


BayLDA

11

2. EU-U.S. Privacy Shield – aktueller Stand

• September 2017: erster Joint Review zum Privacy Shield

• 18.10.2017: Bericht der EU-Kommission. Fazit: Privacy Shield „funktioniert“, aber mehrere Empfehlungen der KOM zur Verbesserung:

o mehr proaktive Überprüfung der Compliance der Unternehmen durch DoC

o mehr Überprüfungen des DoC zu „false claims“

o bessere Information für Betroffene über ihre Rechte

o engere Zusammenarbeit zwischen DoC, FTC und EU DPAs – mehr Hinweise für Unternehmen

o Schutz durch PPD-28 für Non-US-Personen sollte auch für Überwachungsmaßnahmen nach Section 702 FISA eingeführt werden

o schnelle Benennung der Ombudsperson sowie Besetzung der vakanten Stellen im PCLOB


BayLDA

12

2. EU-U.S. Privacy Shield – aktueller Stand

Bewertung durch Artikel-29-Gruppe vom 05.12.2017

• zwar eine Reihe von Verbesserungen (insb. verglichen mit Safe Harbor)

• aber weiterhin mehrere signifikante Probleme, KOM und US-Seite werden zu Nachverhandlungen aufgefordert

• erste Priorität: bis zum 25.05.18 Lösungen für folgende Punkte:

o Ernennung der Ombudsperson

o umfassende Erläuterung der Befugnisse und Verfahren der Ombudsperson; US-Seite muss entsprechende Dokumente „deklassifizieren“

o Besetzung vakanter Stellen im PCLOB

• Lösung restlicher Problempunkte spätestens bis zum zweiten Joint Review (Herbst 2018)

• andernfalls werden Klagen gegen den Privacy Shield in Aussicht gestellt


BayLDA

13

3. Aktuelles zu Standardvertragsklauseln, BCR, Ausnahmen (Art. 49)

1. EU-Standardvertragsklauseln

• Standardvertragsklausel-Beschlüsse der KOM gelten unter DS-GVO fort (Art. 46(5) S. 2

• StV für Processors (KOM-Beschluss 2010/87/EU) wurde vom Irish High Court dem EuGH zur Prüfung der Gültigkeit vorgelegt („Schrems 2“)!

• derzeit nicht bekannt, ob KOM an neuen StV arbeitet

• unter DS-GVO sind auch Standarddatenschutzklauseln (SDK) für Processor-to-Subprocessor-Übermittlungen denkbar -> wäre relevant für Processing-Ketten

• Unter DS-GVO können auch einzelne Aufsichtsbehörde SDK erlassen (Art. 46(2) lit. d) -> allerdings Kohärenzverfahren (Art. 64(1) d)).

o aber keine Pflicht der Aufsichtsbehörden hierzu


BayLDA

14


2. Binding Corporate Rules (BCR)

• BCR in DS-GVO nun ausdrücklich geregelt (Art. 46(2) lit. b), Art. 47)

• die zentralen BCR-Dokumente der Art.29-Gruppe WP153 (BCR-C) und WP195 (BCR-P) wurden kürzlich an die DS-GVO angepasst (bitte verfolgen unter http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083)

• Bereits bestehende BCR müssen ergänzt und so an die DS-GVO angepasst werden (Art. Wortlaut ErwGr 171 S. 1 zur Anpassungspflicht für laufende Verarbeitungen)

o zwar kein neues Genehmigungsverfahren für bestehende BCR erforderlich (Arg. ErwGr 171 S. 3)

o Änderungen müssen aber den Behörden mitgeteilt werden

• bei neuen BCR Kohärenzverfahren erforderlich (Art. 64(1) lit. f))

o Beibehaltung des „schlanken“ Mutual-Recognition in der Praxis möglich?


BayLDA

15


3. Ausnahmetatbestände für Übermittlungen in Drittländer (Art. 49)

• Art.-29-Gruppe überarbeitet derzeit das einschlägige WP114 (Veröffentlichung für Februar 2018 geplant)

• ausführlichere Hinweise geplant insb. zu den Ausnahmen „wichtiges öffentliches Interesse“, „Geltendmachung … von Rechtsansprüchen“ (Art. 49(1) UA 1 lit. d) und lit. e). Im Fokus vor allem

o Daten-Anforderungen durch Behörden in Drittländern (insb. USA) im Rahmen von strafrechtlichen / verwaltungsrechtlichen Ermittlungen (z.B. US-Department ofJustice)

o Liegt eine „Verteidigung von Rechtsansprüchen“ vor, wenn Unternehmen Daten z.B. an DoJ übermittelt? Evtl. Unterscheidung angezeigt?

� Ermittlungen gegen das Unternehmen selbst bzw. Mitarbeiter

� Ermittlungen gegen Dritte, Unternehmen ist aber im Besitz der Daten (z.B. „Microsoft warrant case“)


BayLDA

16

4. Fallgruppen internationaler Auftragsdatenverarbeitung (gemäß sog. Fallgruppenpapier Düsseld. Kreises, 2007 – (nur) einige Beispiele)

Fallgruppe B gemäß „Fallgruppenpapier“ nach BDSG(alt)

DS-GVO: Auch ein Auftragsverarbeiter (Auftragnehmer) kann Datenexporteur sein, vgl. Wortlaut Art. 46 Abs. 1 („sofern der Verantwortliche oder der

Auftragsverarbeiter geeignete Garantien vorgesehen hat“)

• Problem: bisher existiert kein StV (SCC) für Übermittlung durch (EU-) Auftragsverarbeiter an Drittlands-Unterauftragsverarbeiter (SCC P-SP, Processor-Subprocessor); bei Verwendung eines Nicht-Standardvertrags: Genehmigungspflicht, Art. 46 Abs. 3 lit. a

• daher bis auf weiteres Vorgehen wie unter BDSG-alt.

Auftraggeber

UnterauftragnehmerAuftragnehmer

EU

DrittlandC-P-StV

Beitritt

§ 11 BDSG


BayLDA

17

Fallgruppe C gemäß „Fallgruppenpapier“

BDSG-alt

keine Notwendigkeit einer eigenen vertraglichen Regelung nach § 4c BDSG (alt) zwischen Dienstleister 2 und Dienstleister 1; Beitritt des Dienstleisters 2 zum C-P-StV ist aber „jedenfalls sinnvoll“

DS-GVO:

• auch Auftragsverarbeiter kann „Datenexporteur“ sein (Wortlaut Art. 46 Abs. 1)

• aber (wie unter BDSG-alt): fraglich, ob „Notwendigkeit“ eigenständiger Garantien nach Art. 44 ff. für Datenrücktransfer besteht

• Bisher existieren jedenfalls keine SCC P-SP.

• bislang noch keine Positionierung der Aufsichtsbehörden!

Auftraggeber (Primärexporteur)

DV-Dienstleister 1 (Auftragnehmer)

DV-Dienstleister 2 (Sekundärexporteur)

EU Drittland

C-P-StV

Daten

Datenrücktransfer

Daten


BayLDA

18

Fallgruppe F gemäß „Fallgruppenpapier“

BDSG-alt

k

(EU-)DV-Dienstleister ist nur für techn.-organisator. Maßnahmen verantwortlich (§ 11 i.V.m. § 9 BDSG, Art. 17 EG-DSRL). Im Übrigen ist Non-EU-Auftraggeber verantwortlich. EU-Dienstleister muss keine Garantien nach §§ 4b, 4c BDSG leisten, hat u.U. aber „Remonstrationspflicht“

DS-GVO: auch Auftragsverarbeiter kann „Datenexporteur“ sein (Wortlaut Art. 46 Abs. 1)

• aber: Gibt es einen Bedarf für Garantien des DV-Dienstleisters nach Art. 44 ff.?

o Sofern für den Non-EU-Auftraggeber ohnehin gem. Art. 3 die DS-GVO gilt, wohl kein Bedarf. Tendenz: Nach Art. 3(1) gelten wohl nur die Auftragsverarbeiterpflichten der DS-GVO für den (EU-)DV-Dienstleister, nicht jedoch die Verantwortlichen-Pflichten für den (Non-EU-)Auftraggeber. Ggf. gilt aber die DS-GVO nach Art. 3(2) für den Auftraggeber. In beiden Fällen zwar wohl nicht gerechtfertigt, dem Dienstleister Verantwortlichen-Pflichten aufzuerlegen; jdf. im ersten Fall müsste Dienstleister aber wohl hinsichtlich seiner DS-GVO-Pflichten Garantien beim Datentransfer erbringen.

DV-Dienstleister Auftraggeber

EU Drittland

Datentransfer

EU-Daten

EU-Daten


BayLDA

19

Noch ein paar Schlagworte zur (internationalen) Auftragsverarbeitung:

• Derzeit gibt es nur einen Standardvertrag für Auftragsverarbeitung (KOM-Beschluss 2010/87/EU)

o Es gibt noch keine StV / Standarddatenschutzklauseln für Übermittlungen von Auftragsverarbeiter an Unterauftragsverarbeiter!

o daher bleibt „Fallgruppe B“ (vgl. oben Folie 4) bis auf weiteres relevant

• Problem: Enthält der AV-StV auch alle Anforderungen des Art. 28 DS-GVO an einen AV-Vertrag? -> ist von den Aufsichtsbehörden noch nicht geprüft.

o wenn nicht, müssen neben dem AV-StV gesondert noch die (fehlenden) Anforderungen nach Art. 28 ergänzt werden


BayLDA

20

Noch ein paar Schlagworte zur (internationalen) Auftragsverarbeitung:

• Für nationale AV planen einige Aufsichtsbehörden (darunter BayLDA) zeitnah die Veröffentlichung eines Musters

o allerdings jedenfalls bislang nicht geplant, dieses Muster als „Standarddatenschutzklauseln“ nach Art. 28(6) zu behandeln

• Für internationale „AV-Konzerne“ können auch „BCR für Auftragsverarbeiter (BCR-Processors) interessante Lösung sein

• Auftragsketten: Art. 28 Abs. 2 DS-GVO zeigt, dass auch künftig für jede Unterbeauftragung die Zustimmung d. Verantwortlichen nötig ist (zumindest Information + Widerspruchsmöglichkeit, vgl. bereits Working Paper WP 196, Nr. 3.3.2)


BayLDA

21

Vielen Dank für Ihre Aufmerksamkeit

Alexander Filip, Referatsleiter beim BayLDA

www.lda.bayern.de

Bay LDA Datenschutzaufsicht - vbw-bayern.de · Bayerisches Landesamt für Datenschutzaufsicht Bay...

Documents

Transcript of Bay LDA Datenschutzaufsicht - vbw-bayern.de · Bayerisches Landesamt für Datenschutzaufsicht Bay...