Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Nachdem der Generalanwalt des Gerichtshofs der Europäischen Union (EuGH) bereits mit deutlichen Worten die Safe-Harbor-Grundsätze für unzureichend befunden hat (siehe Pressemitteilung des ULD vom 23.09.2015), hat der EuGH mit Urteil vom 06.10.2015 die Safe-Harbor-Entscheidung ausdrücklich für ungültig erklärt. Unternehmen, die personenbezogene Daten an US-amerikanische Geschäftspartner und Auftragnehmer übermitteln, können sich von nun an nicht mehr auf die Safe-Harbor-Grundsätze stützen. 

• Position Paper as PDF
• German Version

This Position Paper addresses public and private bodies in Schleswig-Holstein in their function as controllers responsible for the collection, processing or use of personal data [in the context of section 3, para. 7 BDSG (German Federal Data Protection Act) and section 2, para. 3 LDSG (State Data Protection Act of Schleswig-Holstein)]. The Unabhängiges Landeszentrum für Datenschutz (ULD) of Schleswig-Holstein aims to explain the appropriate consequences following the “Schrems”/Safe Harbor Judgment of the Court of Justice of the European Union (CJEU) in case C-362/14.

First, this paper clarifies which statements the CJEU has or has not taken in its judgment. Second, the position paper takes a stand on the question of what options for action are available to the European Commission in line with the judgment. Third, it considers on which legal basis a transfer of personal data to the United States can or cannot be taken into consideration, and, fourth, how to deal with Standard Contractual Clauses  for transfers to the United States. Fifth, and finally, it discusses the impact of the court decision – as far as is currently conceivable – on ULD’s enforcement action.

• Positionspapier als PDF
• English translation

Dieses Positionspapier richtet sich an nichtöffentliche und öffentliche Stellen in ihrer Funktion als verantwortliche Stellen für Datenverarbeitungen (§ 3 Abs. 7 BDSG/§ 2 Abs. 3 LDSG) und soll verdeutlichen, welche Folgen das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig-Holstein aus dem „Safe-Harbor-Urteil“ des Gerichtshofs der Europäischen Union (EuGH) vom 06.10.2015, C-362/14, zieht.

Zunächst wird dargestellt, welche Aussagen der EuGH in seinem Urteil getroffen bzw. nicht getroffen hat (1). Das Positionspapier nimmt danach Stellung zu der Frage, welche Handlungsoptionen nach dem Urteil für die EU-Kommission bestehen (2), auf Basis welcher Rechtsgrundlagen eine Übermittlung personenbezogener Daten in die USA noch in Betracht kommt bzw. nicht mehr zulässig ist (3) und wie mit den Standardvertragsklauseln umzugehen ist (4). Schließlich wird dargestellt, welche Auswirkungen die gerichtliche Entscheidung – soweit dies derzeit absehbar ist – auf die Prüftätigkeit des ULD hat (5).

Tagungsband AK Technik-Workshop 2015 „Das Standard-Datenschutzmodell – der Weg vom Recht zur Technik"

Im April 2015 hatte der AK Technik eingeladen, um den Stand der Entwicklung des Standard-Datenschutzmodells (SDM) zu erläutern und zur Diskussion zu stellen. Die Datenschutzkonferenz hat den AK Technik beauftragt, das SDM zu entwickeln. Ziel des SDM ist es, die rechtlichen Anforderungen der Datenschutzgesetzgebung von Bund und Ländern in die Gewährleistungsziele Datensparsamkeit, Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Nichtverkettbarkeit und Intervenierbarkeit zu überführen und daraus einen Katalog mit standardisierten Datenschutzmaßnahmen abzuleiten. Auf diese Weise lassen sich aus den rechtlichen Anforderungen insbesondere Maßnahmen zur Gewährleistung eines angemessenen Datenschutzes ableiten. Da sich das SDM methodisch an den IT‐Grundschutz anlehnt, können auch Maßnahmen zur Gewährleistung der erforderlichen Informationssicherheit ausgewählt und auf ihre Datenschutzkonformität und Ordnungsmäßigkeit hin bewertet werden. Im Ergebnis soll das SDM auch bewirken, dass die datenschutzrechtlichen Anforderungen möglichst bundesweit einheitlich und für die verantwortlichen Stellen leicht nachvollziehbar sind. 

Das SDM soll auch dazu beitragen, dass die deutschen Datenschutzaufsichtsbehörden auf europäischer Ebene mit einer Stimme sprechen. Das SDM soll mit Blick auf die Entwürfe der europäischen Datenschutz‐Grundverordnung einen Weg aufzeigen, wie auch künftig ein an Grundrechten orientierter Datenschutz durchgesetzt werden kann. Auch vor diesem Hintergrund wird das SDM ins Englische übersetzt. Eine Kurzversion der Übersetzung ist diesem Tagungsband beigefügt.

2-11/2011

Rezertifiziert am 13.11.2015
Befristet bis 13.11.2015

Erstzertifizierung am 01.11.2011

Lagerverwaltungssoftware, die Prozesse der Aktenarchivierung in strukturierten Lagern unterstützt

4-11/2015

Zertifiziert am 03.11.2015
Befristet bis 03.11.2017

Patienenerfassungs- und Protokollsoftware zur Erstdokumentation und Protokollierung von Rettungsdiensteinsätzen

06-11/2012

Rezertifiziert am 03.11.2015
Befristet bis: 03.11.2017
Erstzertifizierung: 29.11.2012

Technische Realisierung des Abrechnungs- und Verwaltungsverfahrens von Nachbaugebühren

04-06/2013

Rezertifiziert am 06.10.2015
Befristet bis 06.10.2017

Erstzertifizierung: 05.06.2013

Analyse der Kassendaten zur Aufdeckung von Manipulationen im Kassierprozess

Schleswig-Holsteinische Unternehmen, die personenbezogene Daten an Geschäftspartner oder Auftragnehmer in die Vereinigten Staaten von Amerika übermitteln, haben sich bisher vor allem auf „Safe Harbor“ („Sicherer Hafen“) berufen: Die Europäische Kommission hatte im Jahr 2000 eine Übermittlung personenbezogener Daten an US-amerikanische Unternehmen für zulässig erklärt, sofern sich diese den Vorgaben der sogenannten Safe-Harbor-Grundsätze unterwerfen. 

Die Grundsätze dieser Safe-Harbor-Entscheidung werden seit mehreren Jahren erheblich von den Datenschutzaufsichtsbehörden kritisiert. Sie ermöglichen keine befriedigende Kontrolle für Betroffene, werden nur unzureichend durchgesetzt und sind vor dem Hintergrund der willkürlichen Überwachungsmaßnahmen der US-amerikanischen Geheimdienste nicht dazu geeignet, ein angemessenes Schutzniveau für Betroffene zu gewährleisten. Aus diesem Grund hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder im März 2015 auf Initiative des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) in einer Entschließung darauf hingewiesen, dass die Safe-Harbor-Entscheidung keinen ausreichenden Schutz für das Grundrecht auf Datenschutz bei der Übermittlung personenbezogener Daten in die USA biete.

Dieser Auffassung hat sich nun auch der Generalanwalt des Europäischen Gerichtshofs (EuGH) in dem Verfahren des österreichischen Studenten Max Schrems gegen die irische Datenschutzaufsichtsbehörde angeschlossen. Der EuGH hat in diesem Verfahren über die Frage zu entscheiden, ob die irische Aufsichtsbehörde verpflichtet war, auf Beschwerde des Studenten hin gegen die Facebook Ltd. tätig zu werden. Die irische Aufsichtsbehörde hatte dies mit Verweis auf die ausreichende Schutzwirkung der Safe-Harbor-Grundsätze verneint. Der daraufhin angerufene Irish High Court hat diese Rechtsfrage dem EuGH vorgelegt.

Mit der Bestellung von Barbara Körffer als Stellvertreterin der Landesbeauftragten für Datenschutz Marit Hansen ist die neue Leitung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) nun komplett.

Die parteilose Juristin Barbara Körffer bringt eine langjährige berufliche Erfahrung im Datenschutz mit und ist sowohl mit dem ULD als auch mit der öffentlichen Verwaltung und der Wirtschaft in Schleswig-Holstein bestens vertraut. Nach Jurastudium in Hamburg und Rechtsreferendariat in Schleswig-Holstein hat sie ihre berufliche Laufbahn vor 13 Jahren im ULD begonnen und seitdem Erfahrungen im Datenschutzbereich auf Landes- und Bundesebene gesammelt. Unterbrochen von einer zweijährigen Tätigkeit im Datenschutzreferat des Bundesministeriums der Justiz hat sie im ULD als Referatsleiterin vor allem den Bereich Polizei, Justiz und Verfassungsschutz bearbeitet.