//Von Safe Harbor zum EU-US Privacy Shield

Dr. Daniel Rücker, LL.M. (University of New South Wales, Sydney)

17.03.2016, Brüssel

/ Internationaler Datentransfer und Safe Harbor

„1. Stufe“: Rechtfertigung der Datenverwendung

„an sich“

„2. Stufe“: Übermittlung personenbezogener Daten ins Ausland

Innerhalb der EU / des EWR

Ohne zusätzliche Anforderungen möglich

In „Drittstaaten“

Gesonderte Rechtfertigung (sog. „2. Stufe“)

erforderlich

Angemessenes Datenschutzniveau

Sichere Drittstaaten

Safe Harbor

Ausreichende Garantien

EU-Standard-vertragsklauseln

Binding Corporate Rules

Ausnahme-tatbestände

Verbot mit

Erlaubnisvorbehalt

Einwilligung

/ Safe Harbor-Abkommen

� Grundlage

� Vereinbarung der EU mit den USA

� Verbindlichkeit durch Safe Harbor-Entscheidung der EU-Kommission (2000/520/EG) vom 26.07.2000

� Angemessenheitsentscheidung der EU-Kommission nach Art. 25 Abs. 6 der EU-Datenschutzrichtlinie (95/46/EG)

� Kerninhalt

� Selbstzertifizierung und Registrierung der US-Datenempfänger beim DOC (Department of Commerce)

� Verpflichtung des US-Datenempfängers auf die Datenschutzgrundsätze von Safe Harbor einschließlich der zugehörigen

Hinweise in den FAQ (15 häufig gestellte Fragen)

� Eintragung des US-Datenempfängers in die vom DOC geführte Safe Harbor-Liste

� Folge: Annahme eines angemessenen Datenschutzniveau beim jeweiligen US-Datenempfänger

/ EuGH: Safe-Harbor unwirksam

� Urteil des EuGH vom 6. Oktober 2015: Ungültigkeit der Safe Harbor Angemessenheitsentscheidung mit sofortiger Wirkung

� Kernaussagen:

� System der Selbstzertifizierung

◦ Vereinbarkeit mit Art. 25 Abs. 6 der Datenschutzrichtlinie grundsätzlich gegeben

◦ Aber: Schaffung wirksamer Überwachungs- und Kontrollmechanismen erforderlich

� Wesentliche Kriterien für die „Angemessenheit“ des Datenschutzniveaus im Drittstaat:

◦ Inhalt der hierfür relevanten rechtlichen Vorschriften im Drittstaat

◦ Praktische Durchsetzbarkeit dieser Regeln

� Beanstandung: Unbedingter Vorrang von US-Recht gegenüber Safe Harbor-Grundsätzen (nationale Sicherheit, öffentliches

Interesse oder Durchführung von US-Gesetzen)

� Formelle Fehler der seinerzeitigen Safe Harbor-Entscheidung der EU-Kommission (tragender Entscheidungsgrund)

◦ Keine „gebührend begründete Feststellung“ der Kommission, dass die nationalen Vorschriften in den USA ein angemessenes

Datenschutzniveaus gewährleisten

/ EuGH: Auswirkungen auf internationalen Datentransfer

� Safe Harbor nicht mehr geeignet zur Absicherung eines angemessenen Datenschutzniveaus

� EU-Standardvertragsklauseln und Binding Corporate Rules (BCR) nicht automatisch unwirksam (auch für Datentransfer in die USA)

� Klarstellung: Pflicht der Aufsichtsbehörden der Mitgliedstaaten, Beschwerden von Betroffenen auch dann nachzugehen, wenn

� Drittstaatentransfer auf Angemessenheitsentscheidung der Kommission gestützt ist und

� Betroffener die Angemessenheit des Datenschutzniveaus im Drittstaat angreift

� Aber: Alleinige Verwerfungskompetenz des EuGH für Angemessenheitsentscheidungen der Kommission

/ Reaktionen der Aufsichtsbehörden auf die EuGH-Entscheidung

� Datenschutzkonferenz der Datenschutzbeauftragten des Bundes und der Länder: Positionspapier vom 26.10.2015

� Wegen Safe Harbor-Urteil: Zweifel an Binding Corporate Rules (BCR) und EU-Standardvertragsklauseln für Datentransfers in die

USA

� Ankündigung, keine BCRs und „Datenexportverträge“ mehr zu genehmigen

� Einwilligungen weiterhin möglich

� Stellungnahme der Artikel-29-Datenschutzgruppe vom 16.10.2015

� Binding Corporate Rules (BCR) und EU-Standardvertragsklauseln sind weiterhin möglich

� „Schonfrist“ bis zum 31.01.2016

� Ankündigung „koordinierter Durchsetzungsmaßnahmen“ nach Fristablauf

� Februar 2016: Ankündigung einiger Datenschutzbehörden, gegen Unternehmen vorzugehen, die sich weiter auf Safe Harbor

stützen

/ EU-US Privacy Shield - Kerninhalte

� Einigung der EU-Kommission und der US-Regierung auf neues „EU-US Privacy Shield“ (02.02.2016)

� Veröffentlichung der Entwürfe zum EU-US Privacy Shield (29.02.2016)

� Entwurf eines Angemessenheitsbeschlusses der Kommission

◦ Basis für angemessenes Schutzniveau: Selbstzertifizierung mit Verpflichtung auf die Einhaltung bestimmter

Datenschutzgrundsätze durch US-Unternehmen

� Garantien der US-Regierung als Anlage zur Angemessenheitsentscheidung (in Form von Briefkorrespondenz)

◦ Strenge Auflagen für Unternehmen und konsequente Durchsetzung

◦ Behördlicher Datenzugriff: Klare Schutzvorschriften und Transparenzpflichten

◦ Wirksamer Schutz der EU-Bürger durch verschiedene Rechtsbehelfe bei Datenschutzverstößen

◦ Jährliche Überprüfung der Funktionsweise des Privacy Shield

� Lage nach In-Kraft-Treten der Datenschutz-Grundverordnung: Fortgeltung des jetzt noch auf der Datenschutz-Richtlinie

basierenden EU-US Privacy Shield bis zur Änderung, Ersetzung oder Aufhebung (Art. 41 Abs. 8 der Trilogfassung)

/ EU-US Privacy Shield – wesentliche Kritikpunkte

� Äußerung unterschiedlicher Zweifel an der Vereinbarkeit mit Anforderungen des EuGH, etwa:

� Bisher keine „gebührend begründete Feststellungen“ der Kommission, welchen Rechtscharakter diese Briefe haben und

inwieweit die Regelungen der USA dem EU-Datenschutzrecht gleichwertig sind

� Herstellung des angemessenen Datenschutzniveaus nicht nur durch „innerstaatliche Rechtsvorschriften“ oder „internationale

Verpflichtungen“ (Art. 25 Abs. 6 DS-RL)

◦ Stattdessen teilweise nur einfache Zusicherungen der US-Regierung

� Zweifel an der Unabhängigkeit der für Rechtsbehelfe zuständigen US-Behörden

/ Ihr Ansprechpartner

Dr. Daniel Rücker ist spezialisiert im Recht der Informationstechnologie sowie im Datenschutzrecht. Neben komplexen datenschutzrechtlichen Fragen wie der Strukturierung internationaler Datenflüsse gehören zu seinen Beratungsschwerpunkten insbesondere die Bereiche IT-Compliance, E-Commerce, Vertragsgestaltung und rechtliche Begleitung von IT-Projekten, IT-Outsourcing und IT-Prozessführung. Zudem ist er Dozent an der Universität Passau im Datenschutz- und IT-Sicherheitsrecht.

Kompetenzen

◦ Datenschutz- und IT-Sicherheitsrecht ◦ IT-Compliance ◦ E-Commerce-Recht ◦ IT-Vertragsrecht ◦ IT-Outsourcing ◦ IT-Prozessführung

Dr. Daniel Rücker

Rechtsanwalt LL.M. (University of New South Wales, Sydney)Partner

+49 89 28628457 daniel.ruecker@noerr.com

/ Noerr ist Exzellenz und unternehmerisches Denken

Mit Teams aus starken Persönlichkeiten findet

Noerr Lösungen für komplexe und anspruchsvolle

Fragestellungen. Vereint durch gemeinsame Werte,

haben die über 500 Berater immer das gemein-

same Ziel vor Augen: den Erfolg der Mandanten.

Auf den Rat der Kanzlei vertrauen börsennotierte

Konzerne und mittelständische Unternehmen

ebenso wie Finanzinstitute und -investoren.

Auch international ist Noerr als eine führende

europäische Wirtschaftskanzlei bestens aufgestellt:

mit Büros in elf Ländern und einem weltweiten

Netzwerk an befreundeten Top-Kanzleien.

Zudem ist Noerr exklusives deutsches Mitglied von

Lex Mundi, dem global führenden Netzwerk

unabhängiger Wirtschaftskanzleien mit

umfangreicher Erfahrung in mehr als 100 Ländern.

/ Ausgezeichnete Rechtsberatung

Germany Law Firm of the Year

Chambers Europe Awards 2015

Kanzlei des Jahres Kanzlei des Jahres für M&A

JUVE Awards 2014

Law Firm of the Year: Germany

The Lawyer European Awards 2015

International Firm of the Year 2014

Legal Business Awards 2014

Global Dispute of the Year: U.K. Litigation

The American Lawyer Global Legal Awards 2015

Kanzlei des Jahres für Informationstechnologie

JUVE Awards 2013

Kanzlei des Jahres für IP, Kartellrecht und Marken- und Wettbewerbsrecht

JUVE Awards 2015

European Law Firm of the Year

The Lawyer European Awards 2012

/ Vernetztes Denken & wirtschaftliche Kompetenz

Rechtsgebiete

� Aktien- & Kapitalmarktrecht

� Arbeitsrecht

� Banking & Finance

� Gesellschaftsrecht/Mergers & Acquisitions

� Gewerblicher Rechtsschutz & Medien

� Kartellrecht

� Prozessführung, Schiedsverfahren & ADR

� Regulierung & Governmental Affairs

� Restrukturierung & Insolvenz

� Steuerrecht & Private Clients

Branchen & Lösungen

� Automobilindustrie

� Compliance & Interne Ermittlungen

� Einkauf, Logistik & Vertrieb

� Energie

� Gesundheitswesen (Pharma, Medizintechnik)

� IT, Outsourcing & Datenschutz

� Private Equity & Venture Capital

� Telekommunikation

� The Real Estate Investment Group

� Versicherung & Rückversicherung

� Advisory

/ Über Lex Mundi

Noerr ist exklusives Mitglied von Lex Mundi, dem führenden

Netzwerk unabhängiger Wirtschaftskanzleien mit

umfangreicher Erfahrung in mehr als 100 Ländern.

Als Teil des weltweiten Lex Mundi-Netzwerks bieten wir

unseren Mandanten über einen Ansprechpartner bevorzugt

Zugang zu über 21.000 Anwälten weltweit

Jedes Lex Mundi-Mitglied ist in seinem nationalen bzw.

regionalen Markt führend. Gemeinsam bieten die Lex Mundi-

Kanzleien globale Rechtsberatung von einzigartiger Qualität

und Bandbreite. In Zusammenarbeit mit anderen Lex Mundi-

Kanzleien können wir anspruchsvollste grenzübergreifende

Transaktionen und Streitfälle unserer Mandanten aus einer

Hand begleiten.

0 1000 2000 3000 4000 5000 6000

Lex Mundi Network

Global Law Firm 1

Global Law Firm 2

Global Law Firm 3

Global Law Firm 4

Global Law Firm 5

Global Law Firm 6

Global Law Firm 7

Global Law Firm 8

Global Law Firm 9

Global Law Firm 10

PLC Which Lawyer? 2012 Aggregated Rankings Lex Mundi and Global Firms

/Standorte

Alicante Noerr Alicante IP, S.L.

Avenida México 20

03008 Alicante

Spanien

T +34 965 980480

Berlin Noerr LLP

Charlottenstraße 57

10117 Berlin

Deutschland

T +49 30 20942000

Bratislava Noerr s.r.o.

AC Diplomat

Palisády 29/A

81106 Bratislava

Slowakische Republik

T +421 2 59101010

Brüssel Noerr LLP

Boulevard du Régent 47-48

1000 Brüssel

Belgien

T +32 2 2745570

Budapest Kanzlei Noerr & Partner

Fő utca 14-18

1011 Budapest

Ungarn

T +36 1 2240900

Bukarest S.P.R.L. Menzer & Bachmann - Noerr

Str. General Constantin

Budişteanu nr. 28 C, Sector 1

010775 Bukarest

Rumänien

T +40 21 3125888

Dresden Noerr LLP

Paul-Schwarze-Straße 2

01097 Dresden

Deutschland

T +49 351 816600

Düsseldorf Noerr LLP

Speditionstraße 1

40221 Düsseldorf

Deutschland

T +49 211 499860

Frankfurt am Main Noerr LLP

Börsenstraße 1

60313 Frankfurt am Main

Deutschland

T +49 69 9714770

London Noerr LLP

Tower 42

25 Old Broad Street

London EC2N 1HQ

Großbritannien

T +44 20 75624330

Moskau Noerr OOO

1-ya Brestskaya ul. 29

Pf. 247

125047 Moskau

Russische Föderation

T +7 495 799 56 96

München Noerr LLP

Brienner Straße 28

80333 München

Deutschland

T +49 89 286280

New York Noerr LLP

Representative Office

885 Third Avenue, Suite 2610

New York, NY 10022

USA

T +1 212 4331396

Prag Noerr s.r.o.

Na Poříčí 1079/3a

110 00 Prag 1

Tschechische Republik

T +420 233 112111

Warschau Noerr Menzer Sp.k.

Al. Armii Ludowej 26

00-609 Warschau

Polen

T +48 22 5793060

info@noerr.com

www.noerr.com

© Noerr LLP