Die deutschen Datenschutzbehörden haben heute, am 26. Oktober 2015, zu dem Safe Harbor-Urteil des EuGH Stellung genommen, sodass es nunmehr Zeit ist, sich des Themas anzunehmen.

Worum geht es?

Übermitteln EU-Unternehmen personenbezogene Daten an Stellen außerhalb des Europäischen Wirtschaftraums (Drittstaat, d.h. alles außer EU, Island, Lichtenstein und Norwegen) so müssen sie sicherstellen, dass dort ein sogenanntes „angemessenes Datenschutzniveau“ herrscht.

Unternehmen in den USA können sich dazu nach den Safe Harbor Grundsätzen selbst zertifizieren. Sie verpflichten sich dabei bestimmte Regeln beim Umgang mit Daten aus der EU zu beachten. In ihrer Entscheidung vom 26. Juli 2000 (2000/520/EG) hatte die EU Kommission festgestellt, dass Safe Harbor zertifizierte Unternehmen ein angemessenes Datenschutzniveau gewährleisten.

Was ist passiert?

Mit Urteil vom 6. Oktober 2015 hat der Europäische Gerichtshof diese Entscheidung für unwirksam erklärt. Außerdem hat er den Datenschutzbehörden die volle Prüfkompetenz für die Frage zugesprochen, ob in einem Drittstaat ein angemessenes Datenschutzniveau herrscht.

Zu diesem grundlegenden Urteil haben zwischenzeitlich die EU Datenschutzbehörden Stellung genommen (15. Oktober 2015) und jetzt auch die deutschen Datenschutzbehörden ihre gemeinsame Position formuliert (26. Oktober 2015).

Für 89 Prozent der Unternehmen sind juristische Fragen zum Datenschutz ein wesentliches Problem bei der Planung von Big Data und Business Analytics [7]. Im folgenden Beitrag erhalten Sie einen fundierten, praxisnahen Einblick in das hierfür relevante Datenschutzrecht.

Sie erfahren

  • welche datenschutzrechtlichen Anforderungen für Big Data und Business Analytics gelten sowie
  • wie Sie Daten in Ihrem Projekt rechtskonform verwenden.

Der Beitrag entspricht dem von mir verfassten Kapitel im dem bald erscheinenden "Handbuch Business Intelligence - Potenziale, Strategien und Best Practices", Hrsg.: Michael Lang, ISBN 978-3-86329-660-5.

Sie können den Beitrag auch kostenlos als PDF herunterladen.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) prüft derzeit die Einhaltung von Datenschutzvorschriften durch Immobilienmakler in Bayern, wie mir im Rahmen meiner anwaltlichen Beratungstätigkeit bekannt geworden ist.

Hierzu versendet die Datenschutzbehörde Fragenbögen an zufällig ausgewählte Immobilienmakler und verlangt Auskunft gemäß § 38 Absatz 3 Bundesdatenschutzgesetz. Es handelt sich um eine anlasslose Kontrolle, das heißt der Behörde liegen keine Verdachtsmomente oder Beschwerden vor. In ihrem Schreiben kündigt die Behörde bereits an, bei einzelnen Immobilienmakler auch Kontrollen vor Ort durchführen zu wollen.

Binding Corporate Rules (BCR) LeitfadenInhalt

1. Was sind Binding Corporate Rules?
2. Sind Binding Corporate Rules für mein Unternehmen sinnvoll?
3. Was sind die Vor- und Nachteile von Binding Corporate Rules und welche Alternativen gibt es?
4. Welche Schritte sind zur Umsetzung von Binding Corporate Rules nötig?
5. Was ist noch wichtig und welche Fehlvorstellungen gilt es zu vermeiden?
6. Welche Auswirkungen hat die EU Datenschutz-Grundverordnung
7. Wie können Sie uns bei Binding Corporate Rules helfen?
8. Wo erhalte ich weiterführende Informationen?

BCR Leitfaden als PDF herunterladen

Einleitung

Binding Corporate Rules (BCR) sind ein datenschutzrechtliches Instrument, bei dem sich eine Unternehmensgruppe nach bestimmten Vorgaben verbindliche Datenschutzregeln gibt und ein Datenschutzprogramm auferlegt, das die zuständige Datenschutz-Aufsichtsbehörde genehmigt.

Als rechtliche Folge können innerhalb der Unternehmensgruppe personenbezogene Daten leichter von EU-Gesellschaften in Länder außerhalb der EU - sogenannte Drittländer - übermittelt werden. In praktischer Hinsicht sind Binding Corporate Rules dagegen vor allem ein Instrument, um innerhalb von Unternehmensverbünden einheitliche Datenschutzstandards zu schaffen und ein globales Datenschutzprogramm umzusetzen und dies nach außen hin zu zeigen.

In der juristischen Fachzeitschrift „Kommunikation und Recht“ ist im Heft 3/2015 mein Aufsatz zum Thema „Big Data und der datenschutzrechtliche Grundsatz der Zweckbindung“ erschienen. Sie können den Beitrag hier als PDF kostenlos herunterladen.

Die EU-Datenschutzbehörden haben auf die Einhaltung der Cookie- und Datenschutz-Anforderungen beim sogenannten „Device Fingerprinting“ hingewiesen. Die Einschätzung mit dem Titel „Opinion 9/2014 on the application of Directive 2002/58/EC“ (englisch) stammt von der Artikel 29 Arbeitsgruppe, einem unabhängigen europäischen Datenschutz-Beratungsgremium, in dem Vertreter der nationalen Datenschutzbehörden sitzen.

Ist Ihre Mobile Anwendung datenschutzkonform? Vermeiden Sie die häufigsten Stolpersteine. Erfahren Sie als Datenschützer, Entwickler, Gründer oder Projektverantwortlicher welches die wichtigsten Anforderungen des Datenschutzrechts an Mobile Business Anwendungen sind und wie Sie diese umsetzen. Verständlich erklärt anhand kleiner Fälle. 

Inhalte:

  • Kurze Einführung in das Datenschutzrecht
  • Anforderungen und Grenzen bei der Erhebung und Verwendung von Daten (z.B. Nutzungsverhalten, Standortdaten, Social Media Daten, Vertrags- und Stamm-/Profildaten)
  • Informationspflichten für App-Anbieter; Anforderungen und Rügepunkte von Aufsichtsbehörden sowie Best Practices für Datenschutzhinweise im Mobile Business
  • Anforderungen und Gestaltung von Datenschutzeinwilligungen
  • Besonderheiten bei Standortdaten
  • Datenübermittlungen in die USA (z.B. Amazon Cloud Services)

von Rechtsanwalt Dr. Thomas Helbing

Das Tracking von Besuchern auf Webseiten mit Tools wie Google Analytics oder Piwik (Webtracking) ist seit längerem in Fokus der Web-Gemeinde und Datenschützer. Das Tracking des Nutzungsverhaltens von E-Mail Empfängern mittels Ein-Pixel-Bildern (Web-Beacons) und individualisierten Links in E-Mails wurde dagegen bisher wenig beachtet. Dies hat sich nunmehr geändert: Wie mir bekannt ist, hat zumindest eine deutsche Aufsichtsbehörde begonnen, Unternehmen anzuschreiben, die entsprechende Mail- und Newsletter-Tracking Technologien einsetzen.

Nicht nur die Nutzung US-amerikanischer Dienste stellt dabei den Kunden vor datenschutzrechtliche Herausforderungen. Auch wer ein E-Mail-Tracking in Eigenregie betreibt oder deutsche Anbieter nutzt, muss eine Reihe von Punkten beachten.

Der folgende Beitrag erläutert die Anforderungen an einen datenschutzkonformen Einsatz von E-Mail-und Newsletter-Tracking Technologien und gibt konkrete Hinweise zur Datenschutz-konformen Umsetzung nach dem Telemediengesetz (TMG) und Bundesdatenschutzgesetz (BDSG).

Soviel vorab: Nach meinem persönlichen Eindruck werden die Anforderungen derzeit oft nicht oder nur unvollständig umgesetzt. Es droht ein Einschreiten von Behörden bis hin zu Bußgeldern sowie Abmahnungen durch Wettbewerber, da einige Gerichte zuletzt unvollständige Datenschutzhinweise und Datenschutzverletzungen für abmahnfähig gehalten haben. Kunden können Unternehmen mit Auskunftsbegehren und Beschwerden bei Behörden das Leben schwer machen und unzulässig gebildete Nutzerprofile müssen unter Umständen gelöscht werden.

Inhalt

IT-Recht

1.       Schwerpunkt: So reduzieren Sie Ihr Haftungsrisiko als Anbieter von Software

Datenschutz

2.       Sammelt der Arbeitgeber datenschutzwidrig Beweise, kann er diese im Prozess nicht gegen den Arbeitnehmer verwenden

3.       EU-Datenschutzreform liegt vorerst auf Eis

4.       Bundesgerichtshof begrenzt den Umfang des Auskunftsanspruchs beim Scoring

5.       Unsicherheit in Bezug auf Cookies bleibt auch nach einer Auskunft des Bundeswirtschaftsministerium bestehen

6.       Kammergericht Berlin bestätigt Unzulässigkeit des Freunde-Finders von Facebook

7.       Verbände sollen gegen Datenschutzverstöße klagen können

8.       Nutzer wechseln von WhatsApp zum Schweizer Dienst "Threema"

9.       Neue Tätigkeitsberichte aus Hamburg und Baden-Württemberg

10.   Aufsichtsbehörde rügt Datenschutzverstöße beim Einsatz von Google Analytics

11.   Einscannen und Speichern von Personalausweisen vom Verwaltungsgericht Hannover als unzulässig angesehen

12.   Informationsflyer mit Datenschutztipps für Smartphone-Nutzer

13.   Muster-Information für die Datenspeicherung in Fahrzeugen veröffentlicht

von Rechtsanwalt Dr. Thomas Helbing

Cover BroschüreAnbieter von IT-Dienstleistungen sind vielfältigen Haftungsrisiken ausgesetzt, egal ob sie Software entwickeln, verkaufen, als Application Service Providing (ASP), Software as a Service (SaaS) oder sonst "in der Cloud" bereitstellen.

Das mögliche Ausmaß einer Haftung wird leicht unterschätzt. Verbreitet ist etwa der Irrtum, durch Haftungsklauseln im Vertrag ließen sich die Risiken weitgehend minimieren. Für einen wirksamen Schutz ist nämlich deutlich mehr nötig und auch möglich. 

In diesem Beitrag erfahren Sie, welche Haftungsrisiken bestehen und erhalten konkrete Empfehlungen, wie Sie sich als Anbieter schützen können. Juristische Vorkenntnisse sind nicht nötig. 

 

A) Haftung von IT Anbietern: Wofür haften Anbieter von Software und IT-Berater und wie weit reicht die Haftung?

B) Haftungsbeschränkung in IT-Verträgen: Wie kann die Haftung in Standardverträgen (AGBs) und bei Einzelverträgen eingeschränkt werden? Welche Fallstricke und Tricks gibt es? Was ist speziell bei Open Source Software zu beachten?

C) Kundenpflichten: Wie können Mitwirkungspflichten und Verantwortlichkeiten des Kunden geregelt werden?

D) Leistungsbeschreibungen und Marketing: Worauf ist bei Leistungs- und Produktbeschreibungen aus Haftungssicht zu achten? Was gilt für Marketingunterlagen?

E) Schlecht beraten: Welche Haftungs-Risiken entstehen durch mangelhafte Aufklärung und Falschberatung? Wie lässt sich das Risiko reduzieren?

F) Systemhäuser und Vertragshändler/Reseller: Welche besonderen Risiken bestehen für Systemhäuser, Vertragshändlern bzw. Resellern? Welche Schutzvorkehrungen gibt es?

G) Versicherungen: Worauf ist beim Abschluss von IT-Haftpflicht-Versicherungen zu achten?

Sie können den Beitrag auch als PDF-Broschüre herunterladen.

Dieser Beitrag ist auch in Englisch verfügbar:

Download English Guide “Liability and Warranty for Software under German Law”

Mit "Big Data" hat die IT Branche ein neues Lieblings-Schlagwort gefunden. Gemeint ist damit die Analyse großer Datenmengen in hoher Geschwindigkeit, mit dem Ziel, diese - meist wirtschaftlich - nutzbar zu machen. Die Daten stammen dabei oft aus verschiedenen Quellen und sind unstrukturiert, d.h. liegen in unterschiedlichen Formaten vor. Die hohe Geschwindigkeit erlaubt Echtzeit-Berechnungen (real-time data) und immer genauere Hochrechnungen und Vorhersagen (Prediction) sowie das Erkennen von neuen Zusammenhängen, Mustern und Bedeutungen.

Im Webinar lernen Sie, welche Anforderungen das deutsche Datenschutzrecht an Big Data Anwendungen stellt und welche konkreten Punkte bei der Konzeption und Umsetzung aus rechtlicher Sicht zu beachten sind.

von Rechtsanwalt Dr. Thomas Helbing

Betreiber von Webseiten müssen ihre Besucher darüber informieren, welche Daten sie über die diese erheben und wie sie diese verwenden. So verlangt es § 13 Absatz 1 des Telemediengesetzes.

Für einfache und kleine Webseiten gibt es für solche Datenschutzerklärungen eine Reihe von Mustern, Generatoren und Textbausteinen im Netz. Schwieriger wird es bei Angeboten mit umfangreichen Funktionalitäten (z.B. soziale Netzwerke oder Software as a Service Dienste), bei Online-Diensten, die mit sensiblen Daten umgehen (z.B. Online-Bezahldienste, Partnervermittlungen) oder umfangreichen Internet-Auftritten von Konzernen oder Unternehmensverbünden. Dieser Beitrag gibt allen eine Hilfestellung, die vor der Herausforderung stehen, für solche Angebote ordentliche Datenschutzhinweise zu verfassen.

Von Rechtsanwalt Dr. Thomas Helbing

Immer mehr Unternehmen ernennen Compliance Officer und implementieren zum Teil umfassende Compliance Programme. Deren Aufgabe ist, die Einhaltung von Rechtsvorschriften durch das Unternehmen sicherzustellen, z.B. Korruption und unzulässige Kartellabsprachen, Geldwäsche sowie Betrugs- und Untreuefälle zu verhindern und aufzuklären.

Doch auch das Compliance-Programm selbst muss den gesetzlichen Anforderungen genügen. Vor allem das Datenschutzrecht stellt hierbei eine Reihe von Anforderungen und setzt Grenzen.

Wie Fälle aus der Vergangenheit gezeigt haben, können selbst vermeintliche Verstöße des Compliance-Programms gegen den Datenschutz erhebliche Imageschäden für das Unternehmen und sogar persönliche Konsequenzen für das Management haben. Es drohen Bußgelder und im Extremfall strafrechtliche Verfolgung.

Mit der geplanten Vereinheitlichung des Datenschutzes durch eine Europäische Datenschutz-Grundverordnung wird der Datenschutz zukünftig weiter an Bedeutung gewinnen. Dies auch deshalb, weil die drohenden Sanktionen bei Datenschutzverletzungen massiv verschärft werden sollen.

Ich habe eine Checkliste mit dem Titel "Datenschutz bei Compliance Programmen - eine Checkliste mit Erläuterungen und Best Practices" entworfen. Diese hilft, datenschutzrelevante Themen bei Compliance-Programmen zu erkennen. Neben Kontrollfragen enthält die Checkliste Erläuterungen sowie Empfehlungen und Best Practices. Die Checkliste wendet sich an Compliance Officer, Mitarbeiter von Compliance-, Rechts- und Revisions-Abteilungen und Datenschutzbeauftragte.

Die Checkliste deckt derzeit folgende Bereiche ab:

A) Interne Compliance Ermittlungen
B) Einsichtnahme und Auswertung von Mitarbeiter E-Mails
C) IT-Forensische Untersuchungen / Compliance Screenings / Massendatenanalysen
D) Hinweisgebersysteme (Whistleblowing)
E) Zentrale Compliance im Konzern / Verbund

Geplante weitere Themen sind:

  • E-Discovery
  • Pre-Employment Screenings
  • Terrorlisten Screenings
  • Geldwäscheprävention

Die Checkliste wird regelmäßig aktualisiert und ergänzt. Bitte laden Sie die jeweils aktuelle Version herunter.

Die Checkliste ist (z.B. zur Zitierung) auch erschienen in der ZRFC, "Risk, Fraud & Compliance", 2013, Heft 8, Seite 170 ff.

Ich freue mich über Anregungen, Kritik und einen Erfahrungsaustausch. Kontaktieren Sie mich gerne.

von Rechtsanwalt Dr. Thomas Helbing

Am 26. November 2012 habe ich auf der CloudConf in München zum Thema "Anforderungen des Datenschutzrechts an Cloud Computing - Grundlagen und neueste Entwicklungen in 2012" gesprochen.

Preview FolienBeim Cloud Computing hat sich in Sachen Datenschutz in 2012 viel getan:

  • Am 25. Januar 2012 hat die Europäische Kommission Ihren Entwurf einer "Datenschutz-Grundverordnung" für eine umfassende Reform des Datenschutzrechts in Europa vorgelegt. So umgesetzt, würde diese erhebliche Auswirkungen für das Geschäft von Cloud-Anbietern und -Kunden haben.
  • Am 1. Juli 2012 veröffentlicht die Artikel 29 Arbeitsgruppe eine umfassende Stellungnahme zum Cloud Computing: Opinion 5/2012 on Cloud Computing. Die Arbeitsgruppe ist ein beratendes Gremium zum Datenschutz auf EU Ebene. Ihr gehören Vertreter der nationalen Datenschutz-Aufsichtsbehörden in der Europäischen Union an. Erstmals liegt damit eine einheitliche umfassende Stellungnahme von Aufsichtsbehörden zum Cloud Computing vor.
  • Am 27. August 2012 erscheint ein Strategiepapier der Europäische Kommission mit dem Titel "Unleashing the Potential of Cloud Computing in Europe". Unter anderem erklärt die Kommission darin, welche weiteren Schritte 2013 geplant sind, um den Einsatz von Cloud Computing zu stärken. Unter anderem kündigt die Kommission an, Musterverträge für Cloud Computing entwickeln zu wollen.
  • Und am 16. November 2012 nimmt Peter Hustinx, der Europäische Datenschutzbeauftragte (EDPS), in einer Erwiderung auf das Strategiepapier der Kommission ebenfalls Stellung zum Datenschutz beim Cloud Computing. Er geht dabei im Detail auch auf mögliche Auswirkungen des Entwurfs der EU-Datenschutz-Grundverordnung vom 25. Januar 2012 auf das Cloud Computing ein.

Mein Vortrag beschäftigte sich vorallem mit der Stellungnahme der Artikel 29 Arbeitsgruppe und den Auswirkungen des Entwurfs der EU-Datenschutz-Grundverordnung zum Cloud Computing.

In einer Link-Liste habe ich ausgewählte Dokumente zu dem Thema zusammengestellt, die auch in meinem Vortrag angesprochen wurden (Linkliste "Datenschutzrecht und Cloud Computing Ausgewählte Quellen" als PDF herunterladen).

Außerdem habe ich auf Basis des Papiers der Artikel 29 Arbeitsgruppe eine Checkliste zum Datenschutz zusammengestellt ("Checkliste Cloud Computing" als PDF herunterladen). Die Checkliste fast datenschutzrechtliche Vorgaben zusammen, welche die Artikel 29 Arbeitsgruppe in ihrer "Opinion 5/2012 on Cloud Computing" formuliert hat. Sie kann Cloud-Kunden und Cloud-Anbietern gut als erste schnelle Orientierung dienen.

Sie snd Anbieter von Software as a Service oder anderen Cloud-Diensten? Dann lesen auch meine Broschüre "Haftung und Gewährleistung für Software - mit diesen Tipps reduzieren Sie ihr Risiko als IT-Anbieter"

Wenn Sie Fragen oder Anregungen haben, kontaktieren Sie mich gerne.

LeitfadenIch habe in der Expertengruppe "Recht und Compliance" des EuroCloud Deutschland_eco e.V. an einem Leitfaden zum Thema Cloud Computing und Datenschutz mitgearbeitet. Das gemeinsam mit Kollegen erarbeitete 34seitige Werk ist nun fertig und erschienen. Wenn Sie eine kostenlose, gedruckte Fassung des Leitfadens möchten, kontaktieren Sie mich bitte.

Aus der Einleitung: "Mit dem Leitfaden Recht, Datenschutz & Compliance bekommen sowohl Anbieter als auch Anwender eine Richtlinie an die Hand, die bei der sicheren Vertragsgestaltung und der Auswahl des richtigen Dienstleisters hilft. Der Leitfaden bildet die Grundlage für die richtige Einordnung der rechtlichen Bestimmungen. Dabei konzentriert er sich auf den Bereich „Software as a Service“ als „Public Cloud“-Dienst und erörtert die besonderen Anforderungen hinsichtlich des Datenschutzes und die – je nach Anwendungszweck – erweiterten Vorgaben im steuerrechtlichen und betrieblichen Bereich. Die Themenübersicht ist abgeleitet aus den Prüfkriterien des Euro-Cloud SaaS-Gütesiegels, das „Software as a Service“-Angebote in Bezug auf Serviceerbringung, Datensicherheit, Datenschutz, Vertragsgestaltung und Interoperabilität untersucht.

UPDATE 9. Okt 2011: Zwischenzeitlich liegt auch die Entschließung der 82. Konferenz der Datenschutzaufsichtsbehörden vom 28./29. September 2011 zur datenschutzkonforme Gestaltung und Nutzung von Cloud-Computing vor, sowie die Orientierungshilfe Cloud Computing der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder

Wenn Sie Fragen zu diesen Dokumenten oder zum Thema Cloud Computing und Datenschutz, Vertragsgestaltung und Compliance haben, kontaktieren Sie mich bitte gerne.

Sie snd Anbieter von Software as a Service oder anderen Cloud-Diensten? Dann lesen auch meine Broschüre "Haftung und Gewährleistung für Software - mit diesen Tipps reduzieren Sie ihr Risiko als IT-Anbieter"

Der Beitrag enthält Links zu den Folien meiner Präsentation auf der CloudConf 2010 in Stuttgart zum Thema "Cloud Computing/ SaaS: Verträge datenschutzkonform und rechtssicher gestalten".

Die Folien des Vortrags können sie hier herunterladen.

Wenn Sie Fragen, Anregungen oder Kritik haben, kontaktieren Sie mich.

Von Rechtsanwalt Dr. Thomas Helbing

Nachdem in den ersten beiden Teilen des Beitrages die einzelnen Instrumente zur Sicherstellung eines angemessenen Datenschutzniveaus vorgestellt (Teil 1) und Ihre Vor- und Nachteile erläutert wurden (Teil 2), soll im vorliegenden dritten und letzten Part auf die konkrete Umsetzung der Standardvertragsklauseln eingegangen werden. Safe Harbor und Binding Corporate Rules werden aufgrund ihrer Komplexität gegebenenfalls in späteren gesonderten Beiträgen dargestellt.

Jeder Transfer von Daten von einer Gesellschaft in der EU an eine Konzerngesellschaft in einem Drittland muss bei der Lösung über Standardvertragsklauseln von einem entsprechenden Vertrag abgedeckt werden, der die EU-Klauseln enthält.

Von Rechtsanwalt Dr. Thomas Helbing


Der Beitrag erläutert Hintergrund und Funktionsweise der Facebook Social Plugins und erklärt, wie Webseitenbetreiber ihre Nutzer über den Einsatz der Plugins in den Datenschutzhinweisen informieren müssen. Darüber hinaus wird diskutiert, ob die Einbindung von Facebook Social Plugins nach deutschem Datenschutzrecht zulässig ist.

UPDATE 19. August 2011: Das Unabhängige Landeszentrum für Datenschutz (ULD), die Datenschutz-Aufsichtsbehörde für Unternehmen in Schleswig Holstein, hält den Einsatz des Facebook Like-Buttons für rechtswidrig und fordert Seitenbetreiber auf, diesen zu entfernen.


von Rechtsanwalt Dr. Thomas Helbing

Dies ist der zweite Beitrag aus meiner Artikel-Reihe "Datenschutz im Konzern", in der ich auf Fragestellungen des Datenschutzes eingehe, wie sie sich typischerweise in Konzernen stellen.

Im ersten Beitrag habe ich mich mit der Organisation des Datenschutzes im Konzern beschäftigt, insbesondere der Ausgestaltung der Position des Konzerndatenschutzbeauftragten und dessen Aufgaben.

In diesem Beitrag geht es um die Sicherstellung der datenschutzrechtlichen Anforderungen bei internationalen Datentransfers in einem Konzern, zum Beispiel wenn eine zentrale Kundendatenbank oder ein konzernweites Personalinformationssystem eingerichtet werden. Erläutert werden dabei unter anderem die EU Standardvertragsklauseln, das Safe Harbor Programm und Binding Corporate Rules. Im Vordergrund steht die Auswahl und Umsetzung der Instrumente in der Praxis. Der Aufbau des Beitrages orientiert sich an einer schrittweisen Handlungsempfehlung, wie in der Unternehmenspraxis an die nicht leichte Aufgabe herangetreten werden kann, konzerninterne Datenflüsse datenschutzrechtlich in den Griff zu bekommen. Der Fokus liegt auf dem deutschen Recht wobei stets die Bezüge zur EG-Richtlinie dargestellt werden und auf einzelne nationale Besonderheiten hingewiesen wird.

Aufgrund des Umfangs des Themas ist dieser Beitrag in mehrere Teile untergliedert, die nacheinander erscheinen:

von Rechtsanwalt Dr. Thomas Helbing

Die obersten deutschen Datenschutz-Aufsichtsbehörden stellen seit April 2010 verschärfte formale Anforderungen an die Übermittlung personenbezogener Daten an Unternehmen in den USA nach dem "Safe Harbor" Programm.

Mit dem Beschluss des "Düsseldorfer Kreises" vom 29. April 2010 haben die Datenschutzbehörden mitgeteilt, dass sich Datenexporteure in Deutschland nicht auf die Behauptung einer Safe Harbor Zertifizierung von US Unternehmen verlassen dürfen. Die Aufsichtsbehörden verlangen, dass sich das exportierende Unternehmen die Safe Harbor Zertifizierung und Beachtung der Safe Harbor Grundsätze nachweisen lässt.

von Dr. Thomas Helbing

Dies ist der einleitende Beitrag aus meiner neuen Artikel-Reihe "Datenschutz im Konzern". In den einzelnen Beiträgen möchte ich auf Fragestellungen des Datenschutzes eingehen, wie sie sich typischerweise in Konzernen stellen.

Im einleitenden Teil geht es um die Organisation des Datenschutzes im Konzern, insbesondere die Ausgestaltung der Position des Konzerndatenschutzbeauftragten und dessen Aufgaben.

Weitere (geplante Themen) sind:

  • Internationale Datentransfers im Konzern (mittlerweile alle drei Teile erschienen)
  • Datenschutz bei Hinweisgeber-Systemen (Whistleblowing)
  • Zentrale Speicherung von Mitarbeiterdaten im Konzern (Personal-Informations-Systeme)

Wenn Sie interessiert, welche Datenschutzfragen bei Compliance-Programmen relevant sind (z.B. bei internen Ermittlungen, Whsitleblowing, Screening, eSearch, etc.), dann empfehle ich Ihnen meine 12-seitige Checkliste zum "Datenschutz bei Compliance-Programmen".

Sie wollen zukünftige Beiträge nicht verpassen? Dann abbonieren Sie meinen kostenlosen Newsletter. Ich freue mich auf Ihre Kommentare, Fragen, Anregungen und Hinweise, die ich gerne in bestehende oder zukünftige Beiträge integriere.

von Dr. Thomas Helbing

Obwohl sich Software as a Service (SaaS) immer größerer Beliebtheit erfreut, herrscht noch viel Unsicherheit und zum Teil Unkenntnis im Hinblick auf die datenschutzrechtlichen Anforderungen. Kaum ein SaaS-Vertrag, den ich zur Prüfung oder Überarbeitung erhalten habe, erfüllte die Vorgaben des neuen § 11 Bundesdatenschutzgesetz (BDSG). Kunden aber auch Anbieter dürfen sich der Materie nicht verschließen.

Nach dem BDSG bleibt der Kunde für die Rechtmäßigkeit der Verarbeitung seiner Mitarbeiter- und Kundendaten durch den SaaS-Anbieter voll verantwortlich und ist verpflichtet, den Anbieter sorgfältig auszuwählen, regelmäßig zu kontrollieren und das Ergebnis der Kontrollen zu dokumentieren. Das BDSG enthält zudem seit dem 1. September 2009 einen 10-Punkte Katalog mit Regelungsgegenständen, die in einem schriftlichen Vertrag zur Auftragsdatenverarbeitung zwingend umgesetzt werden müssen. Bei mangelhaften Verträgen drohen Kunden Bußgelder bis zu € 50.000.

Aber auch Anbieter sollten darauf achten, dass Ihre Standardvertragsbedingungen (AGB) den gesetzlichen Anforderungen genügen. Leider ignorieren noch immer viele Anbieter die datenschutzrechtlichen Compliance Anforderungen ihrer Kunden. Dabei würden SaaS-Provider, deren AGB den Vorgaben des BDSG genügen, bei potentiellen Kunden und deren Datenschutzbeauftragten leicht Pluspunkte sammeln; oder anders gesagt: wessen AGB den gesetzlichen 10-Punkte Katalog ignorieren, fällt oftmals schon von vorne herein heraus, weil sich der Kunde nicht auf mühsame Vertragsverhandlungen einlassen will.

Sie snd Anbieter von Software as a Service oder anderen Cloud-Diensten? Dann lesen auch meine Broschüre "Haftung und Gewährleistung für Software - mit diesen Tipps reduzieren Sie ihr Risiko als IT-Anbieter"

Bitte beachten Sie die UPDATES am Ende des Beitrages.

Das Innenministerium hat am 31.März 2010 ein Eckpunktepapier zur geplanten Regelung für den Beschäftigtendatenschutz veröffentlicht.

Bereits im Koalitionsvertrag hatten Union und FDP vereinbart, den Arbeitnehmerdatenschutz in einem eigenen Kapitel im BDSG auszugestalten. Damit soll die oft uneinheitliche und lückenhafte Rechtsprechung der Arbeitsgerichte kodifiziert werden. Grundlegende Neuerung dürften indes nicht zu erwarten sein aber ein Plus an Rechtsklarheit und -sicherheit. Vorallem sollen "praxisgerechte Regelungen für Bewerber und Arbeitnehmer geschaffen und gleichzeitig Arbeitgebern eine verlässliche Regelung für den Kampf gegen Korruption an die Hand gegeben werden."

Ziel einer gesetzlichen Regelung ist: "Durch umfassende, allgemeingültige Regelungen für den Datenschutz am Arbeitsplatz soll die Rechtslage für Arbeitgeber und Beschäftigte gleichermaßen deutlich gemacht und insgesamt mehr Rechtssicherheit erreicht werden."

Eckpunkte des geplante Beschäftigungsdatenschutzes sind:

Dieser Beitrag enthält ergänzende Informationen zu Thomas Helbing's Präsentation "Data Protection Law Requirements to Cloud Computing Agreements in the European Union" vom 24 März 2010 auf der CloudSlam 2010 Conference.

Sie können die Folien hier herunterladen (PDF - 1,26 MB).

Wenn Sie das Video der vollständigen Präsentation sehen möchten, kontaktieren Sie mich bitte.

Der Beitrag ist in verkürzter Form in der Fachzeitschrift "Risk, Compliance & Audit" (Heft 3/2010, Seiten 29-33) erschienen.

Am 5. Februar 2010 hat die EU-Kommission eine neue Fassung der "Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern" beschlossen. Standardvertragsklauseln sind ein häufig genutztes Instrument, um datenschutzrechtliche Anforderungen umzusetzen, wenn personenbezogene Daten in einem Land außerhalb der EU und des Europäischen Wirtschaftsraumes (EWR) genutzt oder verarbeitet werden. Am 15. Mai 2010 treten die bisher gültigen Standardklauseln außer Kraft.

Die Entscheidung ist für alle Unternehmen, die Lieferanten, Kunden oder Konzerngesellschaften außerhalb der EU Daten zur Verfügung stellen relevant. Vor allem Verträge zu Outsourcing, Cloud Computing, Software as a Service oder ASP mit Anbietern außerhalb der EU sind betroffen (z.B. in Bezug auf CRM-, ERP- oder Personalverwaltungssysteme).

In diesem Beitrag erläutern wir Hintergrund und Anwendungsbereich der Standardvertragsklauseln, was sich mit der Neufassung geändert hat, welche Verträge betroffen sind und wie diese umgestellt werden müssen.

UPDATE 21. Juli 2010: Ich habe nunmehr das jetzt erschienen Fragen-Antworten Dokument der Artikel 29 Arbeitsgruppe zu den neuen Standardvertragsklauseln in den Beitrag integriert.

Datenverarbeitungverträge müssen bestimmte Mindestregelungen beinhalten, so will es das Bundesdatenschutzgesetz. So müssen zum Beispiel Klauseln aufgenommen werden über die Benachrichtigung bei Datenschutzverstößen, Prüfrechte, die Einschaltung von Unterauftragnehmern sowie eine Reihe weiterer Punkte.

Genügen Verträge den Anforderungen nicht, drohen Bußgelder von bis zu € 50.000. Bereits bestehende Vereinbarungen sollten überprüft und Unternehmensrichtlinien erarbeitet werden, die sicherstellen, dass zukünftige Verträge den neuen Regeln entsprechen.