bay lda datenschutzaufsicht - vbw-bayern.de · bayerisches landesamt für datenschutzaufsicht bay...
Post on 03-Sep-2019
3 Views
Preview:
TRANSCRIPT
Bayerisches Landesamt fürDatenschutzaufsicht
BayLDA
1
I n t e r n a t i o n a l e D a t e n t r a n s f e r s – S i c h t e i n e r d e u t s c h e n A u f s i c h t s b e h ö r d e
A l e x a n d e r F i l i p , R e f e r a t s l e i t e r b e i m
B a y e r. L a n d e s a m t f ü r D a t e n s c h u t z a u f s i c h t
4 . D e u t s c h - a m e r i k a n i s c h e r D a t e n s c h u t z t a g ,
0 7 . 1 2 . 2 0 1 7 , M ü n c h e n
Bayerisches Landesamt fürDatenschutzaufsicht
BayLDA
2
Agenda1. Internationaler Datentransfers – Relevanz für Bayern
2. EU-U.S. Privacy Shield: aktueller Stand, Sicht der Art.-29-Gruppe
3. Aktueller Stand EU-Standardvertragsklauseln, Binding Corporate Rules, Ausnahmetatbeständen (Art. 49)
4. Internationale Auftrags(daten)verarbeitung: Vergleich BDSG (alt) – DS-GVO anhand des „Fallgruppen-Papiers“ zur internationalen Auftragsdatenverarbeitung des Düsseldorfer Kreises von 2007 (https://www.lda.bayern.de/media/dk_fallgruppen.pdf)
Achtung: Es gibt bislang keine abgestimmten Positionen der Aufsichtsbehörden zur
internationalen ADV nach DS-GVO; der vorliegende Beitrag gibt lediglich eine
derzeitige vorläufige Einschätzung des Referenten wieder.ru
Bayerisches Landesamt fürDatenschutzaufsicht
BayLDA
316 + 4 Planstellen
Der Freistaat Bayern hat
12,7 Mio. Einwohner
Der Freistaat Bayern hat ca.
670.000„Unternehmen“
1. Internationale Datentransfers – Relevanz für Bayern
Das BayLDA
Bayerisches Landesamt fürDatenschutzaufsicht
BayLDA
4
2015 2016
Beschwerden 1103 1424
Beratungen Bürger 877 1065
Beratungen Unternehmen
1850
Bußgeldverfahren 94 79
Datenpannen 28 85
2013 2014
925 953
1733
64
32 21
799 991
1821 2003
53
Tendenz
1. Internationale Datentransfers – Relevanz für Bayern
Vorgangsstatistik BayLDA (alle Vorgänge)
Bayerisches Landesamt fürDatenschutzaufsicht
BayLDA
5
Videoüberwachung 16 %
Internet 14 %
Werbung und Adressenhandel 14 %
IT-Sicherheit und Technik 10 %
Internationaler Datenverkehr 6 %
Versicherungswirtschaft 5 %
Gesundheit und Soziales 5 %
Banken 5 %
Vereine und Verbände 3 %
Wohnungswirtschaft und Mieterdaten 3 %
Auskunftsanspruch 9 %
Sonstiges 5 %
Arbeitnehmer 5 %
+193
+88
+199
+43
+56
-13
+3
±0
+1
+30
-4
+21
+32
1. Internationale Datentransfers – Relevanz für Bayern
Themenfelder der Beschwerden beim BayLDA
Bayerisches Landesamt fürDatenschutzaufsicht
BayLDA
6
1. Internationale Datentransfers – Relevanz für Bayern
Datenübermittlungen in Drittländer – Bayern im Fokus. Warum?
• In Bayern gibt es schlicht sehr viele Unternehmen – s.o. .
• In Bayern liegt der Hauptsitz vieler deutscher „Global Player“.
• In Bayern siedeln sich viele ausländische „Global Player“ mit ihrem Deutschland-Hauptsitz oder sogar dem Europa-Headquarter an.
• Zudem ist die „Cloud“ heute für eine Vielzahl von KMU - auch in Bayern - interessant
Bayerisches Landesamt fürDatenschutzaufsicht
BayLDA
7
1. Internationale Datentransfers – Relevanz für Bayern
Schriftliche Großprüfung des BayLDA 2016/2017 zu Datenübermittlungen in Nicht-EU-Länder mit 150 geprüften Unternehmen (unterschiedliche Branchen und Größen)
• 56% der befragten Unternehmen bejahten Übermittlungen in Nicht-EU-Länder
o 33% - Übermittlungen in die USA und in andere Nicht-EU-Länder
o 13% - Übermittlungen in die USA, nicht aber in andere Nicht-EU-Länder
o 10% - Übermittlungen nicht in die USA, aber in andere Nicht-EU-Länder
• „Dunkelziffer“ vermutlich höher, da sich viele Unternehmen der Übermittlung in Drittländer nicht immer bewusst sind
Bayerisches Landesamt fürDatenschutzaufsicht
BayLDA
8
1. Internationale Datentransfers – Relevanz für Bayern
Bayern starkt im Fokus z.B. bei Binding Corporate Rules
• EU-weit bislang etwas über 100 BCR-Verfahren abgeschlossen, siehe offizielle Liste der Art.-29-Gruppe unter http://ec.europa.eu/newsroom/just/document.cfm?doc_id=48705
• häufigste Federführungen bislang bei ICO (UK), CNIL (F)
• Deutsche Aufsichtsbehörden bislang federführend in 11 BCR-Genehmigungsverfahren, davon allein BayLDA in 6 Fällen
• BayLDA muss daher (notgedrungen) „Spezialist für BCR“ sein.
Bayerisches Landesamt fürDatenschutzaufsicht
BayLDA
9
1. Internationale Datentransfers – Relevanz für Bayern
Bayern stark im Fokus z.B. bei Binding Corporate Rules
• BayLDA ferner häufig als Co-Prüfer in weiteren BCR-Fällen aktiv
• Warum? Weil die „deutsche Zuständigkeit“ sich nach dem deutschen Hauptsitz des jeweiligen Konzerns richtet -> sehr häufig in Bayern
• Ähnlich sieht es für Genehmigungsverfahren bei „leicht abgewandelten“ Standardverträgen von Konzernen aus (Verfahren gemäß Working Paper 226 der Art.-26-Gruppe).
• Fazit: Für BayLDA müssen Fragen der internationalen Datentransfers hohe Priorität haben.
Bayerisches Landesamt fürDatenschutzaufsicht
BayLDA
10
1. Internationale Datentransfers – Relevanz für Bayern
Bayern allgemein stark im Fokus bei internationalen Datentransfers
Typische Fragen an das BayLDA an einem „ganz normalen Arbeitstag“
• „Unsere US-Muttergesellschaft will die Personaldaten aller Konzernunternehmen bei sich in den USA speichern, geht das?“
• „Ich soll als Prüfarzt bei einer Arzneimittelstudie Studienergebnisse an den US-Sponsor übermitteln. Was muss ich beachten?“
• „Unsere Personalabteilung möchte ein Recruiting-Tool / CRM-Tool /… aus der Cloud nutzen. Ist das zulässig?“
• „Wir sind eine weltweit tätige Unternehmensgruppe und möchten evtl. BCR einführen, weil wir compliant sein wollen. Lohnt sich das für uns?“
• „Wir wurden von der US ….-Behörde aufgefordert, E-Mail-Korrespondenz unserer Mitarbeiter im Rahmen einer Untersuchung vorzulegen. Wir haben Bedenken, ob das zulässig ist.“
• „Dürfen Mitarbeiterdaten überhaupt noch in die USA übermittelt werden?“
• „Was müssen wir als Firma bei „Microsoft Office 365“ datenschutzrechtlich beachten?“
• „Ist der Privacy Shield sicher? Und wie sieht es mit den Standardvertragklauseln aus?“
Bayerisches Landesamt fürDatenschutzaufsicht
BayLDA
11
2. EU-U.S. Privacy Shield – aktueller Stand
• September 2017: erster Joint Review zum Privacy Shield
• 18.10.2017: Bericht der EU-Kommission. Fazit: Privacy Shield „funktioniert“, aber mehrere Empfehlungen der KOM zur Verbesserung:
o mehr proaktive Überprüfung der Compliance der Unternehmen durch DoC
o mehr Überprüfungen des DoC zu „false claims“
o bessere Information für Betroffene über ihre Rechte
o engere Zusammenarbeit zwischen DoC, FTC und EU DPAs – mehr Hinweise für Unternehmen
o Schutz durch PPD-28 für Non-US-Personen sollte auch für Überwachungsmaßnahmen nach Section 702 FISA eingeführt werden
o schnelle Benennung der Ombudsperson sowie Besetzung der vakanten Stellen im PCLOB
Bayerisches Landesamt fürDatenschutzaufsicht
BayLDA
12
2. EU-U.S. Privacy Shield – aktueller Stand
Bewertung durch Artikel-29-Gruppe vom 05.12.2017
• zwar eine Reihe von Verbesserungen (insb. verglichen mit Safe Harbor)
• aber weiterhin mehrere signifikante Probleme, KOM und US-Seite werden zu Nachverhandlungen aufgefordert
• erste Priorität: bis zum 25.05.18 Lösungen für folgende Punkte:
o Ernennung der Ombudsperson
o umfassende Erläuterung der Befugnisse und Verfahren der Ombudsperson; US-Seite muss entsprechende Dokumente „deklassifizieren“
o Besetzung vakanter Stellen im PCLOB
• Lösung restlicher Problempunkte spätestens bis zum zweiten Joint Review (Herbst 2018)
• andernfalls werden Klagen gegen den Privacy Shield in Aussicht gestellt
Bayerisches Landesamt fürDatenschutzaufsicht
BayLDA
13
3. Aktuelles zu Standardvertragsklauseln, BCR, Ausnahmen (Art. 49)
1. EU-Standardvertragsklauseln
• Standardvertragsklausel-Beschlüsse der KOM gelten unter DS-GVO fort (Art. 46(5) S. 2
• StV für Processors (KOM-Beschluss 2010/87/EU) wurde vom Irish High Court dem EuGH zur Prüfung der Gültigkeit vorgelegt („Schrems 2“)!
• derzeit nicht bekannt, ob KOM an neuen StV arbeitet
• unter DS-GVO sind auch Standarddatenschutzklauseln (SDK) für Processor-to-Subprocessor-Übermittlungen denkbar -> wäre relevant für Processing-Ketten
• Unter DS-GVO können auch einzelne Aufsichtsbehörde SDK erlassen (Art. 46(2) lit. d) -> allerdings Kohärenzverfahren (Art. 64(1) d)).
o aber keine Pflicht der Aufsichtsbehörden hierzu
Bayerisches Landesamt fürDatenschutzaufsicht
BayLDA
14
3. Aktuelles zu Standardvertragsklauseln, BCR, Ausnahmen (Art. 49)
2. Binding Corporate Rules (BCR)
• BCR in DS-GVO nun ausdrücklich geregelt (Art. 46(2) lit. b), Art. 47)
• die zentralen BCR-Dokumente der Art.29-Gruppe WP153 (BCR-C) und WP195 (BCR-P) wurden kürzlich an die DS-GVO angepasst (bitte verfolgen unter http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083)
• Bereits bestehende BCR müssen ergänzt und so an die DS-GVO angepasst werden (Art. Wortlaut ErwGr 171 S. 1 zur Anpassungspflicht für laufende Verarbeitungen)
o zwar kein neues Genehmigungsverfahren für bestehende BCR erforderlich (Arg. ErwGr 171 S. 3)
o Änderungen müssen aber den Behörden mitgeteilt werden
• bei neuen BCR Kohärenzverfahren erforderlich (Art. 64(1) lit. f))
o Beibehaltung des „schlanken“ Mutual-Recognition in der Praxis möglich?
Bayerisches Landesamt fürDatenschutzaufsicht
BayLDA
15
3. Aktuelles zu Standardvertragsklauseln, BCR, Ausnahmen (Art. 49)
3. Ausnahmetatbestände für Übermittlungen in Drittländer (Art. 49)
• Art.-29-Gruppe überarbeitet derzeit das einschlägige WP114 (Veröffentlichung für Februar 2018 geplant)
• ausführlichere Hinweise geplant insb. zu den Ausnahmen „wichtiges öffentliches Interesse“, „Geltendmachung … von Rechtsansprüchen“ (Art. 49(1) UA 1 lit. d) und lit. e). Im Fokus vor allem
o Daten-Anforderungen durch Behörden in Drittländern (insb. USA) im Rahmen von strafrechtlichen / verwaltungsrechtlichen Ermittlungen (z.B. US-Department ofJustice)
o Liegt eine „Verteidigung von Rechtsansprüchen“ vor, wenn Unternehmen Daten z.B. an DoJ übermittelt? Evtl. Unterscheidung angezeigt?
� Ermittlungen gegen das Unternehmen selbst bzw. Mitarbeiter
� Ermittlungen gegen Dritte, Unternehmen ist aber im Besitz der Daten (z.B. „Microsoft warrant case“)
Bayerisches Landesamt fürDatenschutzaufsicht
BayLDA
16
4. Fallgruppen internationaler Auftragsdatenverarbeitung (gemäß sog. Fallgruppenpapier Düsseld. Kreises, 2007 – (nur) einige Beispiele)
Fallgruppe B gemäß „Fallgruppenpapier“ nach BDSG(alt)
DS-GVO: Auch ein Auftragsverarbeiter (Auftragnehmer) kann Datenexporteur sein, vgl. Wortlaut Art. 46 Abs. 1 („sofern der Verantwortliche oder der
Auftragsverarbeiter geeignete Garantien vorgesehen hat“)
• Problem: bisher existiert kein StV (SCC) für Übermittlung durch (EU-) Auftragsverarbeiter an Drittlands-Unterauftragsverarbeiter (SCC P-SP, Processor-Subprocessor); bei Verwendung eines Nicht-Standardvertrags: Genehmigungspflicht, Art. 46 Abs. 3 lit. a
• daher bis auf weiteres Vorgehen wie unter BDSG-alt.
Auftraggeber
UnterauftragnehmerAuftragnehmer
EU
DrittlandC-P-StV
Beitritt
§ 11 BDSG
Bayerisches Landesamt fürDatenschutzaufsicht
BayLDA
17
Fallgruppe C gemäß „Fallgruppenpapier“
BDSG-alt
keine Notwendigkeit einer eigenen vertraglichen Regelung nach § 4c BDSG (alt) zwischen Dienstleister 2 und Dienstleister 1; Beitritt des Dienstleisters 2 zum C-P-StV ist aber „jedenfalls sinnvoll“
DS-GVO:
• auch Auftragsverarbeiter kann „Datenexporteur“ sein (Wortlaut Art. 46 Abs. 1)
• aber (wie unter BDSG-alt): fraglich, ob „Notwendigkeit“ eigenständiger Garantien nach Art. 44 ff. für Datenrücktransfer besteht
• Bisher existieren jedenfalls keine SCC P-SP.
• bislang noch keine Positionierung der Aufsichtsbehörden!
Auftraggeber (Primärexporteur)
DV-Dienstleister 1 (Auftragnehmer)
DV-Dienstleister 2 (Sekundärexporteur)
EU Drittland
C-P-StV
Daten
Datenrücktransfer
Daten
Bayerisches Landesamt fürDatenschutzaufsicht
BayLDA
18
Fallgruppe F gemäß „Fallgruppenpapier“
BDSG-alt
k
(EU-)DV-Dienstleister ist nur für techn.-organisator. Maßnahmen verantwortlich (§ 11 i.V.m. § 9 BDSG, Art. 17 EG-DSRL). Im Übrigen ist Non-EU-Auftraggeber verantwortlich. EU-Dienstleister muss keine Garantien nach §§ 4b, 4c BDSG leisten, hat u.U. aber „Remonstrationspflicht“
DS-GVO: auch Auftragsverarbeiter kann „Datenexporteur“ sein (Wortlaut Art. 46 Abs. 1)
• aber: Gibt es einen Bedarf für Garantien des DV-Dienstleisters nach Art. 44 ff.?
o Sofern für den Non-EU-Auftraggeber ohnehin gem. Art. 3 die DS-GVO gilt, wohl kein Bedarf. Tendenz: Nach Art. 3(1) gelten wohl nur die Auftragsverarbeiterpflichten der DS-GVO für den (EU-)DV-Dienstleister, nicht jedoch die Verantwortlichen-Pflichten für den (Non-EU-)Auftraggeber. Ggf. gilt aber die DS-GVO nach Art. 3(2) für den Auftraggeber. In beiden Fällen zwar wohl nicht gerechtfertigt, dem Dienstleister Verantwortlichen-Pflichten aufzuerlegen; jdf. im ersten Fall müsste Dienstleister aber wohl hinsichtlich seiner DS-GVO-Pflichten Garantien beim Datentransfer erbringen.
DV-Dienstleister Auftraggeber
EU Drittland
Datentransfer
EU-Daten
EU-Daten
Bayerisches Landesamt fürDatenschutzaufsicht
BayLDA
19
Noch ein paar Schlagworte zur (internationalen) Auftragsverarbeitung:
• Derzeit gibt es nur einen Standardvertrag für Auftragsverarbeitung (KOM-Beschluss 2010/87/EU)
o Es gibt noch keine StV / Standarddatenschutzklauseln für Übermittlungen von Auftragsverarbeiter an Unterauftragsverarbeiter!
o daher bleibt „Fallgruppe B“ (vgl. oben Folie 4) bis auf weiteres relevant
• Problem: Enthält der AV-StV auch alle Anforderungen des Art. 28 DS-GVO an einen AV-Vertrag? -> ist von den Aufsichtsbehörden noch nicht geprüft.
o wenn nicht, müssen neben dem AV-StV gesondert noch die (fehlenden) Anforderungen nach Art. 28 ergänzt werden
Bayerisches Landesamt fürDatenschutzaufsicht
BayLDA
20
Noch ein paar Schlagworte zur (internationalen) Auftragsverarbeitung:
• Für nationale AV planen einige Aufsichtsbehörden (darunter BayLDA) zeitnah die Veröffentlichung eines Musters
o allerdings jedenfalls bislang nicht geplant, dieses Muster als „Standarddatenschutzklauseln“ nach Art. 28(6) zu behandeln
• Für internationale „AV-Konzerne“ können auch „BCR für Auftragsverarbeiter (BCR-Processors) interessante Lösung sein
• Auftragsketten: Art. 28 Abs. 2 DS-GVO zeigt, dass auch künftig für jede Unterbeauftragung die Zustimmung d. Verantwortlichen nötig ist (zumindest Information + Widerspruchsmöglichkeit, vgl. bereits Working Paper WP 196, Nr. 3.3.2)
top related