Nach Safe Harbor:Wie vermeiden Sie Risiken bei der Datenübermittlung in die USA?

Dezember 2015

i

Inhalt

Nach Safe Harbor: Wie vermeiden Sie Risiken bei der Datenübermittlung in die USA? 1

Ihre Ansprechpartner:

Tim Wybitul 12

Dr. Nils Rauer 13

Hogan Lovells im Überblick 14

1

Nach dem Ende von Safe Harbor: Wie Sie Risiken bei der Datenübermittlung in die USA vermeiden

Bekanntlich hat der Europäische Gerichtshof (EuGH) am 6. Oktober 2015 das Safe Harbor-Abkommen für unwirksam erklärt (Maximilian Schrems v. Data Protection Commissioner – Az. C-362/14). Das Safe Harbor-Abkommen entfällt damit als Rechtfertigung für die Übermittlung von personenbezogenen Daten aus der EU in die USA.

Auch die Datenschutzaufsichtsbehörden haben auf das Urteil reagiert. Die Art. 29 Datenschutzgruppe will prüfen, ob Daten künftig noch auf der Grundlage von EU-Standard-vertragsklauseln oder verbindlichen Unternehmensrichtlinien (Binding Corporate Rules – BCRs) in die USA übermittelt werden dürfen. Zudem kündigen auch die deutschen Datenschützer ein hartes Vorgehen gegen die Übermittlung von Daten an, sofern sich die EU und die USA nicht zeitnah auf rechtssichere Vorgaben für die transatlantische Übermittlung personenbezoge Daten einigen sollten.1 Eine besonders harte Gangart hat etwa der Landesdatenschutzbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) angekündigt. Er fordert Unternehmen auf, personenbezogene Daten nur noch nach einer ausdrücklichen Genehmigung seiner Behörde in die USA zu übermitteln. Diese Anforderung soll nur in Fällen des § 4c Abs. 1 BDSG nicht gelten.

Im Anschluss an das Urteil des Gerichtshofes hat die EUKommission die Verhandlungen mit den Vereinigten Staaten über einen neunen und sicheren Rahmen für die Übermittlung persondenbezogener Daten intensivert. Ziel der Kommission ist es, die Gespräche bis Ende Januar abzuschließen. In der Zwischenzeit müssen Unternehmen auf alternative Datenübermittlungsinstrumente zurückreifen. Einen Monat nach der Safe-Harbor Entscheidung des EuGHs hat die EU-Kommission Leitlinien für die transatlantische Datenübermittlung bekannt gegeben. Diese werden im weiteren Verlauf dargestellt.

Das Vorgehen der Aufsichtsbehörden und die Leitlinien der EU-Kommission stellt Unternehmen vor erhebliche Herausforderungen. Der vorliegende Betrag zeigt, wie man diese Herausforderungen am besten meistert.

Nachfolgend werden – neben den praktischen Auswirkungen der EuGH-Entscheidung – insbesondere die Aussagen der Art. 29 Gruppe, der deutschen Datenschutzbehörden sowie

1   https://www.datenschutz.rlp.de/de/ grem_dsbkonferenz/sonstiges/20151021_Positionspapier_DSK_Safe_Harbor.pdf .

der EU-Kommission zusammengefasst. Der Überblick zeigt, welche Zwangsmittel den Datenschützern zur Verfügung stehen. Zudem gibt er Handlungsempfehlungen für Unternehmen zur Vermeidung unnötiger rechtlicher Risiken bei der Übermittlung von personenbezogenen Daten in die USA. Eine Checkliste verdeutlicht die einzelnen Ablaufschritte. Abschließend bewerten wir die Vor- und Nachteile der einzelnen rechtlichen Möglichkeiten zur Datenübermittlung in die USA (oder andere Drittstaaten) bewertet und beschreiben ihre Einsatzmöglichkeiten in der Praxis. Die im Anschluss dargestellten Handlungsempfehlungen zeigen auch Strategien zur Verteidigung von EU-Standardvertragsklauseln und Tipps zum Umgang mit der für Sie zuständigen Datenschutzbehörde.

Was sind die praktischen Auswirkungen der EuGH-Entscheidung?

Die Entscheidung, mit der der EuGH Safe Harbor für ungültig erklärt, hat für Unternehmen in der Praxis folgende Konsequenzen:

Übermittlungen personenbezogener Daten aus der EU in die USA, welche derzeit auf Safe Harbor gestützt werden, werden unzulässig, soweit sie nicht von den Datenschutzaufsichtsbehörden genehmigt werden oder unter die gesetzlichen Ausnahmetatbestände fallen (vgl. etwa § 4c Abs. 2 Bundesdatenschutzgesetz – BDSG).

International tätige Konzerne, welche sich auf Safe Harbor als Mittel zur Rechtfertigung der Datenübermittlung von EU-Tochterunternehmen an die US-Muttergesellschaft oder andere Unternehmen mit Sitz in den USA verlassen haben, müssen nun nach Alternativen suchen. Hier kommen nach derzeitiger Rechtslage insbesondere Binding Corporate Rules (BCRs) oder die von der EU-Kommission vorgegebenen Standardvertragsklauseln in Frage. Dabei können Unternehmen Verträge mit Standardvertragsklauseln schnell abschließen, um so auch kurzfristig bestehende Risiken zu verringern.

Dienstleister mit Sitz in den USA, welche nach Safe Harbor zertifiziert sind, um personenbezogene Daten von ihren Kunden aus der EU erhalten zu dürfen, sollten Kunden z.B. alternative Garantien anbieten, um ihre Dienstleistungen weiterhin rechtmäßig erbringen zu können.

Stellungnahme der Art. 29 Gruppe

Die Art. 29 Gruppe hat am 16. Oktober 2015 eine Reihe von Vorgaben dazu gemacht, wie Unternehmen auf das Urteil des EuGH reagieren sollen. Die Gruppe wurde auf der Grundlage von Art. 29 der EU-Datenschutzrichtlinie 95/46/EG eingesetzt und dient der europaweiten Koordination der Arbeit der Aufsichtsbehörden für den Datenschutz. Sie ist das unabhängige Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes. Die Stellungnahme der Gruppe unterstreicht die Notwendigkeit einer einheitlichen, geschlossenen und belastbaren Position

2

der EU zur Umsetzung der Entscheidung des EuGH. Sie stellt zunächst fest, dass die Übermittlung personenbezogener Daten nicht mehr auf die Entscheidung 2000/520/EC der EU-Kommission und das Safe Harbor-Abkommen gestützt werden kann.

Die Datenschützer betrachten Datentransfers, die zeitlich nach dem Urteil des EuGH stattfinden, als rechtswidrig.

Stellungnahme der deutschen Datenschutzbehörden

Auch die deutsche Datenschutzkonferenz hat am 26. Oktober 2015 eine umfassende Stellungnahme abgegeben.2 Die Datenschutzkonferenz dient der Abstimmung zwischen den Datenschutzbeauftragten des Bundes und der Länder und ist somit ein zentrales Abstimmungsgremium der Datenschutzbehörden. Das Positionspapier der Datenschutzkonferenz umfasst unter anderem folgende Punkte:

Safe Harbor: Auch die deutschen Aufsichtsbehörden beurteilen Datenübermittlungen auf der Grundlage von Safe Harbor als unzulässig.

EU-Standardvertragsklauseln und Binding Corporate Rules: Die deutschen Datenschutzbehörden sehen auch die Zulässigkeit von Datentransfers auf der Grundlage von EU-Standardvertragsklauseln oder von Binding Corporate Rules infrage gestellt. Allerdings werden sie bis zum 31. Januar 2016 voraussichtlich keine umfassenden Zwangsmaßnahmen umsetzen.

EU-Standardvertragsklauseln: Auch vor dem 31. Januar 2016 werden die deutschen Datenschutzbehörden die Übermittlung von personenbezogenen Daten auf der Grundlage von EU-Standardvertragsklauseln in Einzelfällen gründlich prüfen. Dabei werden die Datenschützer die vom EuGH aufgestellten Standards anwenden.

Binding Corporate Rules: Die Datenschutzaufsichtsbehörden vertreten den Standpunkt, dass sie Datenübermittlungen auf der Grundlage von Binding Corporate Rules jeweils genehmigen müssen, damit diese zulässig sind. Sie kündigen an, bis auf weiteres keine weiteren Übermittlungen personenbezogener Daten auf der Grundlage von Binding Corporate Rules oder Datenübermittlungsverträgen zu genehmigen.

Einwilligungen: Nach Ansicht der Datenschutzkonferenz sollen Übermittlungen personenbezogener Daten in die USA (oder andere Drittstaaten) nur in Ausnahmefällen auf Einwilligungen gestützt werden können. Dies soll insbesondere bei der Übermittlung von Beschäftigtendaten gelten. Grundsätzlich dürfe der Datentransfer jedoch nicht wiederholt, massenhaft oder routinemäßig erfolgen.

Folgen für Unternehmen: Die Datenschutzaufsichtsbehörden rufen Unternehmen

2 https://www.datenschutz.hessen.de, Fachthemen, Europa.

auf, "unverzüglich Ihre Verfahren zum Datentransfer datenschutzgerecht zu gestalten." Dabei ist es etwas bedauerlich, dass die Datenschützer davon absehen, Unternehmen hierfür auch Hilfestellungen an die Hand zu geben. Die in dem Positionspapier vom 26. Oktober 2015 genannten Veröffentlichungen der Datenschutzkonferenz zu elektronischer Kommunikation und zu Cloud Computing bieten hier wenig Unterstützung.

Folgen von Verstößen für Unternehmen

Sowohl die Entscheidung des EuGH als auch die Stellungnahme der Art. 29 Gruppe haben erhebliche Folgen für Unternehmen, die Daten in die USA übermitteln. Derzeit können die Datenschutzbehörden Bußgelder von bis zu 300.000 Euro pro Fall verhängen. Mit Inkrafttreten der EU-Datenschutz-Grundverordnung können sogar Bußgelder von 100 Millionen Euro oder mehr verhängt werden. Eine Aufzählung über weitere Zwangsmittel und Sanktionen, die den Datenschutzaufsichtsbehörden zur Verfügung stehen, finden Sie nachstehend als Überblick.

Die Arbeitsgruppe fordert Aufsichtsbehörden, EU-Institutio-nen, Mitgliedsstaaten sowie Unternehmen auf, nachhaltige Lösungen zur Umsetzung der Entscheidung des EuGH zu finden. Dabei sollten Unternehmen die Risiken unzulässiger Datentransfers gründlich gegen mögliche Vorteile abwägen. Daher fordert die Art. 29 Gruppe europäische Unternehmen nachdrücklich auf, EU-Datenschutzvorschriften zu beachten und sofort rechtliche und technische Lösungen zur Vermeidung von Datenschutzverletzungen umzusetzen. Vor dem Hintergrund der großen Aufmerksamkeit, die die Entscheidung des EuGH nach sich gezogen hat, sind Unternehmen gut beraten, bestehende Datenschutzstrukturen und einzelne Übermittlungen zu überprüfen, um rechtliche Risiken zu verringern oder auszuschließen.

Welche Folgen hat das Urteil des EuGH für EU-Standardvertragsklauseln und Binding Corporate Rules?

Bis auf weiteres – aber nach Ankündigung der EU-Daten-schützer nicht länger als bis Ende Januar 2016 – prüft die Arbeitsgruppe, ob personenbezogene Daten weiterhin auf der Grundlage von EU-Standardvertragsklauseln oder Binding Corporate Rules in die USA übermittelt werden dürfen. Diese vieldeutige Aussage zeigt, dass die Art. 29 Gruppe derzeit analysiert, ob die Begründung der EuGH-Entscheidung auch nahelegt, dass andere Rechtsgrundlagen für die Übermittlung personenbezogener Daten in die USA nicht mehr angewendet werden dürfen.

Dabei betont die Arbeitsgruppe, dass die einstweilige Aussetzung koordinierter Zwangsmaßnahmen bis Ende Januar 2016 Datenschutzaufsichtsbehörden nicht davon abhalten soll, in möglichen Verdachtsfällen auch bereits während der Verhandlungen zwischen EU und den USA Ermittlungen anzustellen. Insbesondere bei Beschwerden von Betroffenen sind die Behörden gehalten, ihre Befugnisse zum Schutz einzelner Personen einzusetzen. Dies erlaubt es einzelnen Aufsichtsbehörden, auch vor Februar 2016 gegen Unternehmen vorzugehen, die die strikten Vorgaben des EuGH nicht erfüllen.

3

Weitere Verhandlungen zwischen der EU und den USA

Derzeit verhandeln die EU und die USA über eine Neufassung des Safe Harbor-Abkommens. Die Art. 29 Gruppe wird während dieser Verhandlungen weiter prüfen, welche Folgen die Entscheidung des EuGH nach sich zieht. Die Art. 29 Gruppe betrachtet unverhältnismäßige Überwachungsmaßnahmen als unvereinbar mit dem Recht der EU. Sie betrachtet derzeit bereits bestehende Transfermechanismen nicht als eine Lösung dieses Problems. Die Arbeitsgruppe sieht Drittstaaten, in denen Behörden einen Zugriff auf Informationen haben, der über das unbedingt erforderliche Maß hinausgeht, nicht als sichere Ziele von Datenübermittlungen. Jede Entscheidung über ein angemessenes Datenschutzniveau müsse mit einer umfassenden Analyse der in dem Drittstaat geltenden Gesetze und internationalen Verpflichtungen einhergehen. Auch diese Aussage legt nahe, dass die Datenschutzbehörden die Folgen des EuGH-Urteils auch für EU-Standardvertragsklauseln und Binding Corporate Rules genau analysieren werden.

Die Art. 29 Gruppe fordert die EU auf, die derzeit laufenden Gespräche mit US-Behörden fortzusetzen. Dabei sollen grundrechtskonforme Lösungen für die Datenübermittlung gefunden werden. Dies könnte beispielsweise durch eine zwischenstaatliche Vereinbarung ermöglicht werden, die Grundrechtsträgern in der EU stärkere Rechte einräumt. Der derzeitige Dialog über ein neues Safe Harbor-Abkommen könnte nach Ansicht der Arbeitsgruppe ein Teil dieser Lösung sein.

Forderungen zu Kernpunkten künftiger Abkommen zur Datenübermittlung

Die EU-Datenschützer verlangen für künftige Abkommen zur Übermittlung personenbezogener Daten entsprechende klare und verbindliche Regelungsmechanismen zum Schutz der Rechte von Betroffenen. Nach Auffassung der Art. 29 Gruppe müssen derartige Regelungen jedenfalls Verpflichtungen zu den folgenden Punkten enthalten:

Überwachung von Zugriffen auf übermittelte Daten durch öffentliche Behörden,

Transparenz,

Verhältnismäßigkeit,

Gewährleistung von Mechanismen zur Geltendmachung von Rechtsbehelfen und

Datenschutzrechte Einzelner.

Sollten sich EU und USA bis Ende 2016 nicht auf eine Lösung zur Übermittlung personenbezogener Daten verständigt haben, sind die europäischen Datenschutzbehörden gehalten, alle notwendigen und verhältnismäßigen Maßnahmen zur Durchsetzung der Vorgaben des europäischen Datenschutzrechts umzusetzen. Laut Arbeitsgruppe kann dies insbesondere umfassende koordinierte Zwangsmaßnahmen beinhalten. Vor dem Hintergrund der bis Ende Januar 2016 festgesetzten Prüfperiode der Art. 29 Gruppe sind

umfassende Zwangsmaßnahmen vor Februar 2016 jedoch unwahrscheinlich.

Nachstehend finden Sie einen kurzen Überblick darüber, welche Befugnisse deutschen Datenschutzbehörden zur Durchsetzung des BDSG im Einzelnen zur Verfügung stehen.

Überblick: Zwangsmittel und Sanktionen der Datenschutzbehörden

Kontrolle der Einhaltung von Vorschriften über den Datenschutz, § 38 Abs. 1 Satz 1 BDSG;

Auskunftsverlangen, § 38 Abs. 3 Satz 1 BDSG;

Prüfung und Besichtigung, § 38 Abs. 3 Satz 1 BDSG;

Einsicht in geschäftliche Unterlagen, gespeicherte personenbezogene Daten und Datenverarbeitungsprogramme, § 38 Abs. 3 Satz 2 BDSG;

Anordnung von Maßnahmen zur Beseitigung festgestellter Verstöße, § 38 Abs. 5 Satz 1 BDSG, also z.B. Verbote einzelner Datenverarbeitungen bzw. -über-mittlungen;

Verhängung eines Zwangsgelds nach § 38 Abs. 5 Satz 2 BDSG;

Untersagung einzelner Verfahren bzw. Übermittlungen gemäß § 38 Abs. 5 Satz 2 BDSG;

Androhung von Bußgeldern im Sinne von § 43 Abs. 2 BDSG;

Unterrichtung der Betroffenen, § 38, Abs. 1 Satz 6 BDSG;

Anordnung der Abberufung des betrieblichen Datenschutzbeauftragten

Verhängung von Bußgeldern nach § 43 Abs. 2 BDSG;

Abschöpfung von durch Datenschutzverstöße gezogenen gewinnen, § 43 Abs. 3 S. 3 BDSG

Strafanträge nach § 44 Abs. 2 BDSG;

Veröffentlichungen von Pressemeldungen über festgestellte Verstöße.

4

5

Leitlinien der EU-Kommission für die Datenübermittlung in die USA

Am 6. November 2015 hat die EU-Kommission Leitlinien für die transatlantische Datenübermittlung veröffentlicht. Die EU-Kommission betont, dass diese keine verbindlichen Rechtswirkungen haben. Bis zur Annahme eines neuen Rechtsrahmens, fasst sie in ihren Leitlinien dennoch alternative Grundlagen für die Übermittlung personenbezogener Daten in Drittstaaten zusammen. Dazu gehören EU-Standardvertragsklauseln, Binding Corporate Rules und verschiedene andere Mechanismen, die unter bestimmten Umständen zur Verfügung stehen.

Die Datenschutzbehörden spielen in den Leitlinien der Kommission eine zentrale Rolle. Sie sind dazu ermächtigt den Datentransfer zu überwachen, um die Grundrechte der betroffenen Personen zu schützen. Sie besitzen auch die erforderliche Kompetenz zu prüfen, ob der Datentransfer mit den Bestimmungen von Artikel 28 Abs. 4 der EU-Datenschutzrichtline 95/46/EG übereinstimmt. Eine endgültige Feststellung können sie nicht abgeben. Dazu müssen sie nationale Gerichte anrufen. Diese können einen Vorabentscheidungsersuch an den EuGH richten.

Die Kernpunkte der Kommissions-Leitlinie lauten:

Binding Corporate Rules: Die Kommission betont, dass Binding Corporate Rules ein Mittel unternehmensinterner Übermittlungen von Daten darstellen. In den meisten Mitgliedsstaaten aus denen Daten transferiert werden, müssen Datenschutzbehörden, Binding Corporate Rules autorisieren. Drittbegünstigte sind die betroffene Personen des Datentransfers. Sie können Beschwerden an Datenschutzbehörden richten und Klagen vor nationale Gerichte bringen.

EU-Standardvertragsklauseln: Seit den verbindlichen Beschlüssen der Kommission sind nationale Behörden grundsätzlich verpflichtet, EU-Standartvertragsklauseln zu akzeptieren. Folglich können sie die Übernahme der Daten in ein Drittland nicht allein auf der Grundlage ablehnen, dass die Standardvertragsklauseln nicht ausreichende Garantien bieten.

Konsequenzen der EuGH-Entscheidung: Mitgliedsstaaten sind befugt EU-Standardvertragsklauseln im Hinblick auf die Anforderungen der Safe Harbor-Entscheidung zu überprüfen.

Rolle des EuGHs: Datenschutzbehörden können im Zweifel nationale Gerichte anrufen. Diese klären die Rechtslage, indem sie den EuGH um Vorabentscheidung ersuchen.

Mitteilungen und Vorabgenehmigungen: Zwar gibt es kein Erfordernis einer vorherigen Genehmigung in vielen Mitgliedsstaaten nach den Rechtsvorschriften zur Umsetzung der EU-Datenschutzrichtlinie 95/46/EG, dennoch haben einige Mitgliedsstaaten ein System der Notifizierung oder der

Vorabgenehmigung für die Verwendung von Standardvertragsklauseln beibehalten. Wo sie dies tun, muss die nationalen Datenschutzbehörde die Klauseln des Vertrages mit den EU-Standardvertragsklauseln vergleichen und überprüfen, dass keine Änderungen vorgenommen wurden. Grundsätzlich wird die Genehmigung automatisch erteilt, wenn die Klauseln ohne Änderungen verwendet werden.

Zusätzliche Maßnahmen: Datenexporteure müssen möglicherweise zusätzliche Maßnahmen ergreifen. Wenn beispielsweise ein Datenimporteur einen Datenexporteur darüber informiert, dass ihn bestimmte Bedingungen an seinen vertraglichen Verpflichtungen hindert, muss der Datebexporteuer sicherstellen, dass geeignete Schutzmaßnahmen geschaffen werden.

Überwachung durch Datenschutzbehörden: In Bezug auf die Anwendung von EU-Standardvertrags-klauseln, werden sowohl Datenexporteure als auch Datenimporteure von Datenschutzbehörden überwacht.

Rechte der betroffenen Personen: Die betroffenen Personen können sich als Drittbegünstigte auf ihre Rechte, die sie aus den EU-Standardvertrags-klauseln herleiten, gegenüber Datenschutzbehörden oder nationalen Gerichten berufen.

Vereinbarkeit von EU-Standardvertragsklauseln mit anderen Instrumenten: Die Annahme von EU-Standardvertragsklauseln hindert Unternehmen nicht daran, sich auf andere Instrumente, wie Ad-hoc-Vereinbarungen einzulassen, um zu beweisen, dass ihr Datentransfer sicher und im Einklang mit Art. 26 Abs. 2 der EU-Datenschutzrichtlinie 95/46/EG stattfindet. Gemäß Art. 26 Abs. 2 der Richtlinie muss dies von nationalen Datenschutzbehörden auf Einzelfallbasis genehmigt werden. Einige Behörden haben Leitlinien in diesem Bereich entwickelt, einschließlich standardisierter Verträge oder Durchführungsvorschriften zu der Ausarbeitung von Datentransferklauseln.

Im Ergebnis beziehen sich die Leitlinie auf die Meinungen und Einschätzungen der Art. 29 Datenschutzgruppe. Sie überlassen den nationalen Datenschutzbehörden ein weites Feld.

Handlungsempfehlungen für Unternehmen

Die derzeitige Rechtslage ist eine erhebliche Herausforderung für Unternehmen. Nur wenige Unternehmen können es sich leisten, darauf zu verzichten, personenbezogene Daten in die USA zu übermitteln. Die nachstehende Checkliste zeigt, wie Unternehmen am besten mit der gegenwärtigen Situation umgehen können. Sie enthält eine Reihe von Vorschlägen, wie man die Übermittlung personenbezogener Daten in die USA nach dem EuGH-Urteil und den Leitlinien der EU-Kommission möglichst datenschutzkonform und rechtssicher umsetzen kann.

6

Im Ergebnis sind Unternehmen gut beraten, wenn Sie die Übermittlung personenbezogener Daten auf das Nötigste beschränken und das Vorliegen der Voraussetzungen einer Rechtsgrundlage für Übermittlungen sicherstellen. Beispielsweise sollten sie bei der Übermittlung auf der Grundlage von EU-Standardvertragsklauseln auch sicherstellen, dass die Regelungen aus den Klauseln in der Praxis auch tatsächlich umgesetzt werden.

Checkliste: Übermittlung von Daten in die USA

Verantwortlichkeiten: Identifizieren Sie die geeigneten Beteiligten und stellen Sie deren Verfügbarkeit sicher; neben den Bereichen Datenschutz, Recht, IT, Revision, Personal und Compliance können durchaus auch weitere Funktionen im Unternehmen betroffen sein.

Datenschutzbeauftragter: Der betriebliche Datenschutzbeauftragte sollte in sämtliche Vorgänge eingebunden werden.

Bestandsaufnahme: Prüfen Sie bestehende IT-Systeme, Prozesse und Berichtslinien daraufhin, ob sie die Übermittlung von personenbezogene Daten umfassen; hierzu sollte auch das intern geführte Verfahrensverzeichnis Informationen enthalten, vgl. § 4e Satz 1 Nr. 8 BDSG.

Reporting: Denken Sie bei der Überprüfung einzelner Übermittlungen auch an künftige Reportingstrukturen. Gegebenenfalls muss das System für entsprechende Meldungen durch System- oder Prozessverantwortliche verbessert oder angepasst werden. Dabei sollten Sie besonders auf die Einbindung zusätzlicher Module und Funktionen (Plug-Ins, Skripte etc.) achten, die bislang nicht angemessen dokumentiert wurden. Hier sollten Sie nicht nur an direkte Dienstleister, sondern auch an Unterauftragnehmer denken, also in der Leistungskette auch nachfolgende Empfänger personenbezogener Daten in Ihren Prozessen berücksichtigen.

Zweckbindung: Stellen Sie fest, zur Verwirklichung welcher Zwecke personenbezogene Daten jeweils übermittelt werden. Der Zweck der Verarbeitung von Daten entscheidet über deren Zulässigkeit.

Bewertung: Staffeln Sie die Datenübermittlungen nach ihrer Wichtigkeit sowie ihrer Sensitivität; je maßgeblicher der Transfer von Daten oder je kritischer die übermittelten Daten sind, desto eher sollte ein rechtssicherer Weg zu ihrer Übermittlung festgelegt werden.

Erforderlichkeit: Bei jeder Übermittlung personenbezogener Daten ist auf einer ersten Stufe zu prüfen, ob eine Weitergabe an Dritte überhaupt zulässig ist. In der Regel ist hierfür die Erforderlichkeit nach § 28 Abs. 1 Satz 1 Nr. 2, § 28 Abs. 6 oder § 32 Abs. 1 Satz 1 oder 2 BDSG entscheidend.

Transparenz: Die Information der Datensubjekte über den Umgang mit ihren personenbezogenen Daten ist für die Zulässigkeit einer Weitergabe von Informationen entscheidend. Übermittlungen ohne Kenntnis der Betroffenen sind demnach oftmals unzulässig.

Übermittlung: Die Weitergabe von personenbezogenen Daten an Empfänger in Drittstaaten wie den USA unterliegt gesteigerten Anforderungen. Diese Vorgaben können nach dem BDSG insbesondere durch EU-Standardvertragsklauseln oder Binding Corporate Rules erfüllt werden. Dabei sollten Unternehmen dringend beachten, dass die Datenschutzaufsichtsbehörden derzeit auch die Zulässigkeit der Übermittlung personenbezogener Daten in die USA auf der Grundlage von Standardvertragsklauseln oder Binding Corporate Rules auf den Prüfstand stellen. In Einzelfällen können aber z.B. auch Einwilligungen oder die Verwirklichung von Rechtsansprüchen eine Übermittlung erlauben, vgl. § 4c Abs. 1 und Abs. 2 BDSG. Häufig werden Standardvertragsklauseln ein geeignetes Mittel sein, um kurzfristig auf das Urteil des EuGH zu reagieren. Mittel- bis langfristig sind Datenübermittlungsverträge oder Binding Corporate Rules sicherer und flexibler (siehe hierzu die nachstehende Bewertung).

Kontrolle: Prüfen Sie auch künftig in regelmäßigen Abständen, ob Übermittlungen den aktuellen Vorgaben entsprechen; zum einen kann sich die Sachlage (Zweckbestimmung) ändern, zum anderen die künftige rechtliche Bewertung; es ist mit weiteren Stellungnahmen deutscher Datenschutzbehörden zu rechnen.

7

Bewertung der einzelnen Wege zur Übermittlung personenbezogener Daten

Nach der Entscheidung des EuGH, der Stellungnahme der Art. 29 Arbeitsgruppe und den Leitlinien der EU-Kommission steht fest, dass es derzeit keinen uneingeschränkt zu empfehlenden Weg zur Übermittlung personenbezogener Daten in die USA gibt. Sowohl die Luxemburger Richter wie auch die europäischen Datenschützer haben in Bezug auf mögliche Zugriffe US-amerikanischer Behörden klare und restriktive Position bezogen. Vor diesem Hintergrund haben alle zur Verfügung stehenden Optionen ihre Vor- und Nachteile. Der vorliegende Abschnitt zeigt, welche Vorgehensweise sich für welche Übermittlungen eignet.

Aus Unternehmenssicht ist es empfehlenswert, sich daran zu orientieren, wie man Beeinträchtigungen und Risiken möglichst wirksam vermeiden kann. Eine wesentliche Überlegung ist hierbei, welche Optionen die Gefahr von Bußgeldern effektiv ausschließen.

Der nachstehende Überblick beschreibt, welche Möglichkeiten zur Rechtfertigung der Übermittlung von personenbezogenen Daten Unternehmen zur Verfügung stehen und welche Chancen und Risiken diese Möglichkeiten bergen.

Einwilligungen

Einzelne Datenschutzaufsichtsbehörden vertreten die Auffassung, dass Einwilligungen eine Übermittlung personenbezogener Daten in die USA nicht ermöglichen können.3 Auch die Datenschutzkonferenz hält in ihrem Positionspapier vom 26. Oktober 2015 Einwilligungen nicht zur Rechtfertigung wiederholter, massenhafter oder routinemäßiger Datentransfers für zulässig. Diese Rechtsauffassung dürfte in Anbetracht des klaren Wortlauts von § 4c Abs. 1 S. 1 Nr. 1 BDSG allerdings nicht zwingend sein. Für die Praxis empfiehlt es sich, abzuwarten, wie sich Gerichte künftig in dieser Frage positionieren werden. Eine Rechtfertigung allein über Einwilligungen wird dauerhaft voraussichtlich jedoch keine flächendeckenden Datentransfers legitimieren können.

Zudem müssen gerade Einwilligungen in die Übermittlung personenbezogener Daten ein hohes Maß an Transparenz gewährleisten. In diesem Zusammenhang müssen Unternehmen Betroffene präzise darüber informieren, was mit den übermittelten personenbezogenen Daten in den USA geschieht. Pauschaleinwilligungen, die diesen hohen Transparenzanforderungen nicht genügen, sind unwirksam. Bereits aus diesem Grund sind Einwilligungen in der Praxis oftmals nicht das geeignete Mittel, um Datentransfers zu legitimieren. Hinzu kommt, dass Datensubjekte einmal abgegebene Einwilligungen auch widerrufen können. In diesem Fall müssen Unternehmen sicherstellen, dass sie in der Lage sind, dafür zu sorgen, dass übermittelte Daten unverzüglich gelöscht werden. Auch die Kritik der Datenschutzkonferenz vom 26. Oktober 2015 spricht gegen

3 https://www.datenschutzzentrum.de/artikel/966-Gerichtshof-der-Europaeischen-Union-erklaert-Safe-Harbor-fuer-ungueltig-was-muessen-Unternehmen-und-oeffentliche-Stellen-in-Schleswig-Holstein-nun-beachten.html

die umfassende Rechtfertigung von Datentransfers auf der Grundlage von Einwilligungen.

Bewertung: Im Ergebnis sind Einwilligungen allenfalls in Einzelfällen ein geeignetes Mittel, um die Zulässigkeit der Übermittlung personenbezogener Daten in die USA zu gewährleisten.

8

EU-Standardvertragsklauseln

Eine naheliegende Lösung ist der Einsatz der von der EU-Kommission vorgegebenen Standardvertragsklauseln. Der Abschluss entsprechender Vereinbarungen stellt Unternehmen vor geringe Herausforderungen. Daher kommen sie gerade kurz- und mittelfristig als logische Alternative zu Safe Harbor in Frage.

Allerdings haben die Standardvertragsklauseln auch Nachteile. Zunächst sind sie auf bilaterale Übermittlungen von Daten zwischen zwei Vertragsparteien ausgelegt. Sie enthalten strenge inhaltliche Vorgaben, die erfahrungsgemäß nicht von allen Datenempfängern auch tatsächlich umgesetzt werden. Bereits vor der Entscheidung des EuGH war die Übermittlung personenbezogener Daten auf der Grundlage von EU-Standardvertragsklauseln mit einigen Beeinträchtigungen verbunden.

Zum einen erlauben die Klauseln keine Anpassungen oder Flexibilität. Zum anderen sind sie administrativ mit einigem Aufwand verbunden. Die rechtssichere Übermittlung personenbezogener Daten in die USA auf der Basis von Standardvertragsklauseln setzt voraus, dass die jeweiligen Übermittlungszwecke und die übermittelten personenbezogenen Daten recht genau beschrieben werden. Zudem müssen beide Vertragsparteien sicherstellen, dass die Regelungen aus den Standardvertragsklauseln in der Praxis auch tatsächlich umgesetzt werden. Nach den Leitlinien der EU-Kommission haben Datenschutzbehörden weitgehende Kompetenzen. Sie können im Zweifel nationale Gerichte anrufen, um klären zu lassen, ob die EU-Standardvertragsklauseln die Anforderungen der EuGH-Entscheidung einhalten. Auch dies erfordert einigen Aufwand.

Zudem lassen sich viele Kritikpunkte des EuGH an Safe Harbor auch auf EU-Standardvertragsklauseln übertragen. Es bleibt abzuwarten, wie die Art. 29 Gruppe, nationale Datenschutzbehörden und Gerichte diese Frage letztlich bewerten werden. Jedenfalls sollte man sich durch das Positionspapier der Datenschutzkonferenz vom 26. Oktober 2015 nicht davon abhalten lassen, Standardvertragsklauseln als Option zu prüfen. Zumindest bis zu einer endgültigen Entscheidung des EuGH auch über diesen Übermittlungsmechanismus bleiben sie eine gültige Rechtsgrundlage.

Bewertung: Standardvertragsklauseln sind schnell abgeschlossen, aber es bleibt abzuwarten, wie Gerichte künftig ihre Wirksamkeit bewerten. Sie sind zudem nicht sehr flexibel und erfordern in der Handhabung etwas Aufwand. In jedem Fall sind sie eine schnell implementierte Übergangslösung zur Absicherung von Übermittlungen, die beispielsweise zuvor auf Safe Harbor gestützt wurden.

Wichtig: Stellen Sie sicher, dass Datenempfänger ihre Pflichten aus dem maßgeblichen Standardvertrag erfüllen. Folgende Checkliste können Sie dabei zu Rate ziehen.

Checkliste: Wie verteidigen Sie Übermittlungen in die USA auf Basis von EU-Standardvertragsklauseln?

Datenschutz-Strukturen: Stellen Sie den Nachweis von Strukturen zur Gewährleistung eines angemessenen Datenschutzniveaus beim Datenempfänger sicher. Lassen Sie sich dafür die Implementierung eines wirksamen Datenschutz Management Systems (DMS) beim Datenempfänger belegen, insbesondere die Dokumentation eines "Sicherheitsniveaus, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten gerecht wird“.

Informationspflichten zu Gesetzen: Gewährleisten Sie eine Unterrichtung über Gesetzesänderungen in den USA (z.B. Patriot Act, Änderungen des Privacy Act und des Foreign Intelligence Act).

Datensicherheit: Halten Sie Nachweise zur Umsetzung von technischen und organisatorischen Maßnahmen im Sinne von § 9 S. 1 BDSG und dessen Anlage (data security und cyber security) vor.

Nachfragen zum Datenschutz: Der Datenempfänger sollte Fragen Ihres Unternehmens zur Gewährleistung des angemessenen Datenschutzniveaus beantworten können, damit Ihr Unternehmen etwaige Fragen der zuständigen Datenschutzaufsichtsbehörde ebenfalls zeitnah beantworten kann.

Kooperation: Signalisieren Sie Bereitschaft zur (zumindest mittelbaren) Abstimmung mit der zuständigen Datenschutzaufsichtsbehörde.

Datenschutzaudits: Stellen Sie Überprüfungen des DMS beim Datenempfänger (spätestens als zeitnahe Reaktion auf EuGH-Entscheidung vom 6.10.2015 und den Stellungnahmen der Datenschutzbehörden) sicher; streben Sie ggf. eine Zertifizierung an. Veranlassen Sie ggf. Überprüfungen durch Ihr Unternehmen vor Ort.

Zweckbindung: Dokumentieren Sie Maßnahmen zur Sicherstellung, dass Daten nur für die in den Anlagen zu den jeweiligen Standardverträgen genannten Zwecke verwendet werden; ggf. ist eine Anpassung der Anlagen zu den vereinbarten Standardverträgen erforderlich.

Weitergabe: Fordern Sie Nachweise ein, durch die der Datenempfänger sicherstellt, dass er die Rechtspflichten aus dem jeweiligen Standardverträgen in Bezug auf die Weitergabe von Daten beachtet. Lassen Sie sich eine Dokumentation der erforderlichen strukturellen und organisatorischen Vorkehrungen aushändigen.

Unterbeauftragung: Stellen Sie sicher, dass auch die Regelungen des jeweiligen Standardvertrags zu Unterauftragnehmern umgesetzt werden.

9

Datenübermittlungsverträge

Die zuständige Aufsichtsbehörde kann Übermittlungen personenbezogener Daten genehmigen, wenn das übermittelnde Unternehmen ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorweist. Derartige Garantien können sich insbesondere aus Vertragsklauseln ergeben, § 4c Abs. 2 S. 1 BDSG. Man könnte hier von "BCRs light" sprechen.

Derartige Datenübermittlungsverträge bieten ein größeres Maß an Flexibilität als EU-Standardvertragsklauseln. Sie müssen aber vor ihrem Einsatz von der jeweils zuständigen Datenschutzaufsichtsbehörde genehmigt werden. Die Erstellung entsprechender Vertragsklauseln erfordert in der Praxis einen nicht unerheblichen Aufwand. Auch die Abstimmung mit der Datenschutzbehörde erfordert Zeit und Einsatzbereitschaft. Hinzu kommt das Risiko, dass die zuständige Datenschutzbehörde die notwendige Genehmigung ablehnt. Diese Gefahr dürfte bereits mit der Entscheidung des EuGH und der Stellungnahme der Art. 29 Gruppe erheblich gestiegen sein. Nach der Stellungnahme der Datenschutzkonferenz vom 26. Oktober 2015 ist klar, dass die deutschen Datenschutzbehörden bis auf weiteres hier eine Blockadehaltung einnehmen. Damit sind Datenübermittlungsverträge derzeit nicht das Mittel der Wahl.

Bewertung: Datenübermittlungsverträge nach § 4c Abs. 2 S. 1 BDSG bleiben ein rechtssicherer Weg zur Übermittlung personenbezogener Daten in Drittstaaten. Sie bieten Flexibilität, erfordern aber ein hohes Maß an Abstimmung mit den Datenschutzbehörden. Deutsche Datenschutzaufsichtsbehörden haben jedoch angekündigt, zunächst keine weiteren Übermittlungen auf der Grundlage von Datenübermittlungsverträgen zu genehmigen.

Safe Harbor 2.0

Derzeit verhandeln die EU und die USA über den Abschluss eines neuen Safe Harbor-Abkommen. Ob und wann es hier zu einer Einigung kommt, ist derzeit nicht abzusehen. Die Entscheidung des EuGH dürfte zwar einige Bewegung in die Debatte über eine Neuauflage von Safe Harbor gebracht haben. Ob sie aber eine schnellere Einigung wahrscheinlich macht, darf bezweifelt werden.

Bewertung: Kaum ein europäisches Unternehmen wird es sich leisten können, abzuwarten, bis sich EU und die USA möglicherweise auf Safe Harbor 2.0 verständigen werden. Warten ist daher sicherlich keine Lösung.

Binding Corporate Rules

Zwar hat die Art. 29 Gruppe angekündigt, auch die Zulässigkeit von Binding Corporate Rules im Hinblick auf die Entscheidung des EuGH zu überprüfen. Auch im Rahmen von verbindlichen Unternehmensrichtlinien können Firmen Rechtspflichten nach US-Gesetzen nicht außer Kraft setzen. Allerdings können Unternehmen im Rahmen von Binding Corporate Rules Verpflichtungen nach US-Recht transparent beschreiben und festlegen, bei der Erfüllung solcher nationaler US-Pflichten möglichst verhältnismäßig und datensparsam vorzugehen. Soweit das US-Recht dies

erlaubt, können Binding Corporate Rules auch vorsehen, dass Datensubjekte von einem Zugriff auf ihre personenbezogenen Daten informiert werden.

Binding Corporate Rules erlauben ein hohes Maß an Flexibilität und Rechtssicherheit. Sie sind als ein ausgesprochen hoher Standard an Datenschutz-Compliance anerkannt. Gerade im Rahmen von Binding Corporate Rules können Unternehmen Datensubjekten auch Möglichkeiten einräumen, ihre Rechte vor nationalen Gerichten geltend zu machen. So lässt sich bei Binding Corporate Rules einer der wesentlichen Kritikpunkte des EuGH an Safe Harbor ausräumen.

Binding Corporate Rules sind primär dafür gedacht, den Transfer von Informationen zwischen Konzernunternehmen zu erlauben. Wenn US-Unternehmen aber im Rahmen von Binding Corporate Rules Datenschutzstrukturen einführen, die einem EU-Niveau entsprechen, so kann dies auch eine zulässige Übermittlung von konzernfremden Unternehmen rechtfertigen. Diesen Punkt sollte man im Rahmen der Abstimmung mit den zuständigen Datenschutzaufsichtsbehörden klären.

Auch Binding Corporate Rules sind nicht ohne Nachteile. Unternehmen müssen nicht unerhebliche Ressourcen zur Einführung und Umsetzung von Binding Corporate Rules zur Verfügung stellen. Ähnlich wie bei Datenübermittlungsverträgen besteht auch hier das Risiko, dass die Datenschutzbehörden eine Genehmigung letztendlich verweigern. Die Abstimmung mit den Datenschutzaufsichtsbehörden kann ebenfalls durchaus Aufwand und vor allem einige Zeit erfordern. Es bleibt zu hoffen, dass sich die Datenschutzbehörden auf Wege verständigen, datenschutzbewussten Unternehmen den Weg zu Binding Corporate Rules zu erleichtern. Die deutschen Datenschutzbehörden haben sich in ihrem Positionspapier vom 26. Oktober 2015 gegenüber Binding Corporate Rules zunächst kritisch positioniert. Es bleibt abzuwarten, ob die Behörden und damit befasste Gerichte diese Position dauerhaft beibehalten bzw. übernehmen werden. Bis auf weiteres haben die deutschen Datenschutzbehörden angekündigt, keine weiteren Datenübermittlungen auf der Grundlage von Binding Corporate Rules zu genehmigen.

In jedem Falle ist zumindest das Risiko der Verhängung von Bußgeldern wegen Datentransfers in die USA während einer laufenden Einführung von Binding Corporate Rules ausgesprochen gering.

Bewertung: Langfristig nach wie vor die "Deluxe-Lösung". Binding Corporate Rules erfordern Aufwand und Abstimmungen mit der Datenschutzbehörde. Dafür sind sie aber flexibel und rechtssicher. Von den derzeit für die Übermittlung von personenbezogenen Daten in die USA zur Verfügung stehenden Optionen sind solche verbindliche Unternehmensrichtlinien für viele Unternehmen sicherlich der beste Weg. Wegen der Blockadehaltung der deutschen Datenschutzaufsichtsbehörden sind sie aber derzeit kein geeignetes Mittel, um kurzfristig Übermittlungen zu rechtfertigen.

10

Tipps für den Umgang mit der Datenschutzbehörde

Nutzen Sie auch den Kontakt mit der für Sie zuständigen Datenschutzaufsichtsbehörde, um etwaige drohende Nachteile für Ihr Unternehmen effektiv und frühzeitig zu vermeiden. Dies betrifft auch Fragen der Kommunikation. Gerade bei Fragen der Übermittlung von Daten müssen Sie damit rechnen, dass Untersagungsverfügungen oder Gerichtsverfahren schnell publik werden können. Das öffentliche Interesse an diesen Fragen ist nach der Safe Harbor-Entscheidung des EuGH noch einmal erheblich gestiegen. Und auch vor dem Verwaltungsgericht werden Verfahren grundsätzlich öffentlich geführt.

Checkliste: Umgang mit Datenschutzaufsichtsbehörden bei Gerichtsverfahren

Information: Informieren Sie die Datenschutzaufsichtsbehörde vor allem auch über die Bedeutung der konkret in Frage gestellten Datenübermittlungen für ihr Unternehmen. Dabei sollten Sie auch die wirtschaftlichen Folgen gegebenenfalls unverhältnismäßiger Zwangsmaßnahmen klar ansprechen.

Kooperation: Gerade bei Gerichtsverfahren birgt es viele Vorteile, sich aktiv mit der für Sie zuständigen Datenschutzaufsichtsbehörde abzustimmen. So sollten Sie bereits im Rahmen einer Kontrolle nach § 38 BDSG darauf drängen, dass die Behörde im Falle einer Untersagung von Übermittlungen nicht deren sofortige Vollziehung anordnet. Hierbei sind teilweise auch landesrechtliche Besonderheiten zu beachten.

Öffentlichkeitsarbeit: Stimmen Sie sich auch in Bezug auf Pressearbeit mit der Datenschutzaufsichtsbehörde ab. Denn unkoordinierte Aussagen der Datenschützer über laufende Kontrollmaßnahmen oder Gerichtsverfahren können dem Ruf des Unternehmens erheblichen Schaden zufügen. Dagegen können Aussagen, dass es der Behörde um den Datenschutz in den USA und nicht in dem beteiligten Unternehmen geht, hilfreich sein.

Vorbereitung: Seien sie auch auf einen nachteiligen Ausgang einer gerichtlichen Überprüfung einer Untersagung von Übermittlungen vorbereitet. Hier sollte Ihr Unternehmen einen "Plan B" mit der Datenschutzbehörde abstimmen – beispielsweise einen Datenübermittlungsvertrag nach § 4c Abs. 2 BDSG, um mittelfristig Übermittlungen zu rechtfertigen. Auch wenn die Datenschutzbehörden grundsätzlich keine derartigen Verträge genehmigen wollen, wäre eine Ablehnung einer solchen Nachfrage während eines gegen das Unternehmen laufenden Gerichtsverfahrens wohl unverhältnismäßig. Daher sollte man darauf drängen, dass die Behörde wegen der besonderen Situation des Unternehmens eine Ausnahme macht.

Bußgelder: Durch eine enge Abstimmung mit der Datenschutzbehörde lassen sich mögliche Konflikte

im Vorfeld vermeiden und Risiken späteren Bußgelder reduzieren.

Zusammenfassung

Eine einfache Lösung für die Übermittlung personenbezogener Daten gibt es nach dem Urteil des EuGH vom 6. Oktober 2015 nicht mehr.

Unternehmen sollten abwägen, welche Übermittlungen für ihren Geschäftsbetrieb nötig sind und wie sie diese rechtlich am besten absichern. Dabei geht es in allererster Linie um die Vermeidung von Bußgeldern und anderen Nachteilen. Bevor man auf wichtige Datenübermittlungen wegen Bedenken einzelner Landesdatenschutzbehörden verzichtet, sollte man auch die Aussichten eines möglichen Rechtsstreits prüfen. Ein kompletter Verzicht auf Übermittlungen in die USA ist den allermeisten Unternehmen nicht zuzumuten und wäre somit unverhältnismäßig. Im Kern geht es zunächst darum, die Persönlichkeitsrechte der von der Übermittlung ihrer Daten betroffenen Personen angemessen zu schützen. Dies kann man vor allem durch vertragliche Regelungen sicherstellen.

Unternehmen können etwa entsprechende Regelungen in Datenübermittlungsverträgen und Binding Corporate Rules vereinbaren. Möglich sind aber auch zusätzliche Garantien des Empfängers bei EU-Standardvertragsklauseln. Das Safe Harbor-Abkommen bietet keine Rechtsgrundlage mehr für die Weitergabe von Daten. Einwilligungen können allenfalls in Einzelfällen weiterhelfen, sind aber keine flächendeckende Lösung.

Aus Unternehmenssicht ist es dabei entscheidend, das Risiko von Bußgeldern, anderen Sanktionen oder Zwangsmitteln und sonstigen Nachteilen möglichst gering zu halten. Hierfür ist es zunächst notwendig, Datentransfers auf das wirklich erforderliche Maß zu begrenzen. Zum anderen müssen Firmen nach einer Alternative zu Safe Harbor suchen. Auch wenn beispielsweise EU-Standardvertragsklauseln nicht zwingend langfristige Rechtssicherheit bieten, können Sie kurz- oder mittelfristig Risiken belastbar mindern oder sogar ausschließen.

EU-Standardvertragsklauseln sind wenig flexibel. Zudem treffen wesentliche Kritikpunkte des EuGH an Safe Harbor auch auf Standardvertragsklauseln zu. Somit ist nicht ausgeschlossen, dass die Luxemburger Richter künftig auch über die Zulässigkeit von EU-Standardvertragsklauseln zu entscheiden haben. Man kann nicht ausschließen, dass sie auch die Standardvertragsklauseln für unwirksam erklären werden. Jedenfalls bis zu einer solchen möglichen Entscheidung bleiben die EU-Standardvertragsklauseln ein zulässiges Mittel, um die Übermittlung personenbezogener Daten in die USA zu erlauben. Das macht sie für viele Sachverhalte zu einer zweckmäßigen Übergangslösung, gerade für Unternehmen, die mittelfristig Datenübermittlungsverträge oder Binding Corporate Rules einführen wollen. Beim Einsatz der EU-Standardvertrags-klauseln sollten Unternehmen allerdings genau darauf achten, wie sich die für sie zuständige deutsche Datenschutzaufsichtsbehörde künftig in dieser Frage positioniert.

Auch Datenübermittlungsverträge können die Weitergabe von Informationen in die USA weiterhin erlauben. Sie müssen

11

allerdings mit der zuständigen Datenschutzaufsichtsbehörde abgestimmt werden und von ihr genehmigt.

Die flexibelste und rechtlich sicherste Lösung bleiben Binding Corporate Rules. Der mit ihrer Einführung verbundene Aufwand wird durch die Vorteile derartiger verbindlicher Unternehmensregelungen mehr als aufgewogen. Es bleibt auch abzuwarten, ob die deutschen Datenschutzaufsichtsbehörden ihre derzeit kritische Grundhaltung gegenüber Binding Corporate Rules und Datenübermittlungsverträgen beibehalten werden.

Tim WybitulPartner, Frankfurt am MainT +49 (69) 96236 331tim.wybitul@hoganlovells.com

Informieren Sie sich gerne auch online aktuell über Fragen des Datenschutzes auf dem Hogan Lovells Blog unter http://hldatenschutz oder unter http://hoganlovells-blog.de/.

12

Ihre Ansprechpartner

Tim Wybitul

Partner, Frankfurt am Main

Tim Wybitul ist Partner an unserem Standort Frankfurt. Er berät Unternehmen praxisgerecht und lösungsorientiert zu allen Fragen des Datenschutzes. Schwerpunkte seines Beratungsspektrums sind der Datenschutz und angrenzende Rechtsbereiche wie Prozessführung, grenzüberschreitende Übermittlungen von Daten, Beschäftigtendatenschutz bei internen Ermittlungen, Compliance und Arbeitsrecht. Tim Wybitul berät unter anderem bei grenzüberschreitenden Sachverhalten und Gerichtsverfahren, insbesondere zu Datenschutzfragen, etwa bei Datenübermittlungen für E-Discovery-Verfahren.

Tim Wybitul ist Autor zahlreicher Veröffentlichungen zu Fragen des Datenschutzes. Tim Wybitul ist Mitherausgeber der ab September 2011 im C.H. Beck Verlag erscheinenden "Zeitschrift für Datenschutz (ZD)". 2014 erschien die 2. Auflage seines Praxishandbuchs "Datenschutz im Unternehmen" in der Schriftenreihe des Betriebs-Beraters. BAG und BGH haben seine Veröffentlichungen in mehreren Entscheidungen zitiert.

Ausgewählte Referenzen:

Deutscher Bundestag: Datenschutzrechtliche Stellungnahme als Sachverständiger im Deutschen Bundestag

Allianz Deutschland AG: Umfassende Beratung im Datenschutz

Globales US-amerikanisches IT-Unternehmen: Umfassende Beratung zu Datenschutzfragen

Barclays Plc.: Umfassende Beratung der deutschen Niederlassung zu Fragen des Datenschutzes

Deutsche Bahn Gruppe: Umfassende datenschutzrechtliche Beratung; Unterstützung bei dem datenschutzkonformen Betrieb unternehmensinterner Hinweisgebersysteme (sog. Whistleblowing-Systeme)

Metro AG: Beratung zu Datenschutz, Compliance und Arbeitsrecht

Birkenstock: Umfassende Beratung zu Arbeitsrechts-, Compliance-, und Datenschutzthemen

UBS AG: Datenschutzrechtliche Beratung; Leitung eines Teams von Anwälten im Rahmen mehrjähriger grenzüberschreitender Ermittlungen von U.S.-Behörden

T +49 (69) 96236 331tim.wybitul@hoganlovells.com

Von JUVE in der Kategorie "Führender Name im Datenschutz" bewertet

JUVE Handbuch 2015/2016

"Experte im Arbeitnehmerdatenschutz", "absoluter Datenschutzexperte"

Wettbewerber inJUVE Handbuch 2015/2016

"immer lösungsorientiert, kluge Beratung mit Blick fürs Wesentliche"

Mandant inJUVE Handbuch 2015/2016

"sehr tiefe Kenntnis im Datenschutz (…), kreativ, lösungsorientiert"

Wettbewerber inJUVE Handbuch 2015/2016

"Die eigentliche Erfolgsgeschichte (…) ist aber der erfolgreiche Aufbau einer schlagkräftigen Praxis (…) um Tim Wybitul"

JUVE Handbuch 2015/2016

13

Dr. Nils Rauer, MJI

Partner, Frankfurt am Main

Dr. Nils Rauer ist Partner im Frankfurter Büro von Hogan Lovells und leitet dort den Bereich Intellectual Property, Media & Technology (IPMT). Er hat sich auf den Bereich des gewerblichen Rechtsschutzes spezialisiert. Seine Beratungs-schwerpunkte liegen hier insbesondere im Urheber- und Wettbewerbsrecht. Darüber hinaus verfügt er über eine langjährige Expertise im Datenschutzrecht, insbesondere mit Blick auf den internationalen Datenverkehr und Cloud-Lösungen.

Nils Rauer berät zur Verwertung von Urheberrechten im Internet, digitalen Medien, kollektiver Rechtewahrnehmung und dem Aufbau eines digitalen Binnenmarkts innerhalb der EU. Zu seinen Mandanten zählen Verlage, Universitäten, Verwertungsgesellschaften und andere Institutionen. Im Datenschutzrecht berät Nils Rauer vorwiegend internationale Unternehmen aus der Finanz- und Internetbranche.

Er verfügt über eine langjährige Erfahrung als Prozessanwalt. Insbesondere im einstweiligen Rechtsschutz verfügt er über eine ausgewiesen Expertise. Unlängst hat Nils Rauer die TU Darmstadt in einem Musterprozess erfolgreich vor dem EuGH in Luxemburg vertreten.

Nils Rauer ist Mitglied des Fachausschusses Urheber- und Verlagsrecht der Deutschen Vereinigung für gewerblichen Rechtschutz und Urheberrecht (GRUR) sowie der Deutschen Gesellschaft für Recht und Informatik (DGRI). Er ist Lehrbeauftragter an der Johannes Gutenberg-Universität Mainz und Referent der Akademie des Deutschen Buchhandels.

Schenker Deutschland: Beratung in datenschutzrechtlichen Fragen

diverse namhafte Finanzdienstleister: Beratung im Datenschutzrecht

japanischer Technologiekonzern: Beratung in IT- und datenschutz-rechtlichen Fragen

Philips: wettbewerbsrechtliche Beratung und Prozessvertretung

Pierre Fabre: Beratung und Prozessvertretung im Werbe- und Heilmittel-werberecht

Skoda Auto Deutschland: Beratung im Lizenzvertragsrecht und bei der Ausgestaltung von Werbekampagnen

TU Darmstadt: Beratung und Prozessvertretung vor den EuGH in einem urheberrechtlichen Musterprozess

Verwertungsgesellschaften: Beratung in urheberrechtlichen Fragen

T +49 (69) 96236 33171nils.rauer@hoganlovells.com

Nils Rauer ist eine der "Schlüsselfiguren" der Sozietät im Bereich Informationstechnologie und Outsourcing

Legal 500 Handbuch 2015

Wettbewerber über Nils Rauer: "kenntnisreich, harter Gegner",

JUVE Handbuch 2015/2016

"Häufig empfohlener Anwalt für Wettbewerbs- und Markenrecht"

JUVE Handbuch 2015/2016JUVE Handbuch 2014/2015

Mandaten schätzen ihn besonders für seine "Kommunikation und stetes Einhalten konkreter Zusagen"

Legal 500 Handbuch 2015

14

Individueller und maßgeschneiderter Rechtsrat

Hogan Lovells berät Unternehmen, Finanzinstitute und die öffentliche Hand umfassend auf allen Gebieten des nationalen und internationalen Wirtschaftsrechts. Wir verfügen über ca. 2.500 Anwälte an mehr als 40 Standorten in den bedeutendsten Geschäfts- und Finanzzentren Afrikas, Asiens, Europas, Lateinamerikas, des Nahen Ostens und der USA.

Unser Beratungsangebot

Einzigartige und erstklassige transatlantische Beratungskapazität in den wichtigsten Geschäfts- und Finanzzentren der Welt

Besondere Stärken in den Bereichen Prozessführung und Schiedsgerichtsbarkeit, Corporate, Bank- und Finanzrecht, Government und Regulatory und Gewerblicher Rechtsschutz

Umfangreiches Branchenwissen in Schlüsselindustrien wie Energie, Infrastruktur, Finanz-dienstleistungen, Life Sciences und Pharma, Telekommunikation Medien und Technologie, Konsumgüter und Immobilien

Unverwechselbare Unternehmenskultur

Hogan Lovells zeichnet sich durch eine Unternehmenskultur des Miteinanders aus, die den Beitrag jedes Einzelnen inner- und außerhalb der Sozietät fördert und schätzt. Wir legen großen Wert auf Qualität, Wirtschaftlichkeit, Serviceorientierung und Teamwork für eine erfolgreiche und langjährige Beratung unserer Mandanten.

Die Übernahme gesellschaftlicher Verantwortung ("Good citizenship") ist Bestandteil unserer Unternehmenswerte, die unser Handeln prägen. In den USA leisten wir seit über 40 Jahren Pro Bono Rechtsberatung und waren die ersten, die dafür eine eigene Praxisgruppe eingerichtet haben. In Europa und Asien waren wir die ersten mit einer Vollzeitstelle für einen Pro Bono Manager. Wir waren ebenfalls eine der ersten Sozietäten, die feste Ziele für den Frauenanteil auf Partnerebene eingeführt haben.

Wir bieten:

hochkarätige Rechtsberatung bei komplexen grenzüberschreitenden Projekten

umfangreiches Branchenwissen

große geographische Reichweite

besonderes Engagement gegenüber unseren Mandanten

langjährige Verantwortung und Engagement gegenüber der Gesellschaft

Hogan Lovells im Überblick

15

16

Hogan Lovells in Deutschland

In Deutschland sind wir mit rund 350 Juristen an unseren vier Standorten in Düsseldorf, Frankfurt am Main, Hamburg und München vertreten.

Die hohe Qualität unserer Beratung gründet sich auf die exzellente juristische Qualifikation unserer Anwälte. An den einzelnen Standorten haben wir Beratungsschwerpunkte gebildet, die dem lokalen Bedarf unserer Mandanten und den Marktverhältnissen Rechnung tragen.

Allen Standorten gemeinsam ist eine einheitliche Beratungsqualität und praxisorientierter Rechtsrat mit wirtschaftlich sinnvollen Lösungen. Unsere Marktkenntnis und unser Spezialwissen in unterschiedlichen Branchen setzen wir ein, um für unsere Mandanten optimale Ergebnisse zu erzielen.

Herausragende Stärken in den Bereichen:

Arbeitsrecht

Aufsichtsrecht und Regulierung

Bank- und Finanzrecht

Gesellschaftsrecht (einschließlich M&A und Kapitalmarktrecht)

Gewerblicher Rechtsschutz

Handels- und Vertriebsrecht

Immobilienrecht

Kartellrecht

Prozessführung & Schiedsverfahren

Steuerrecht

Spezielles Branchenwissen in Schlüsselindustrien:

Energie

Finanzdienstleistungen

Immobilien

Konsumgüter

Life Sciences und Pharma

Rohstoffe und Infrastruktur

Telekommunikation, Medien undTechnologie

Versicherungen

17

www.hoganlovells.com

Hogan Lovells hat Büros in:

AlicanteAmsterdamBaltimoreBrüsselBudapest*CaracasColorado SpringsDenverDschidda*Dubai

DüsseldorfFrankfurt am MainHamburgHanoiHo Chi Minh StadtHongkongHoustonJohannesburgLondonLos Angeles

LuxemburgMadridMailandMexiko-StadtMiamiMinneapolisMonterreyMoskauMünchenNew York

Northern VirginiaParisPekingPerthPhiladelphiaRiad*Rio de JaneiroRomSan FranciscoSão Paulo

SchanghaiSilicon ValleySingapurSydneyTokioUlaanbaatarWarschauWashington DCZagreb*

"Hogan Lovells" oder die "Sozietät" ist eine internationale Anwaltssozietät, zu der Hogan Lovells International LLP und Hogan Lovells US LLP und ihnen nahestehende Gesellschaften gehören.Die Bezeichnung "Partner" beschreibt einen Partner oder ein Mitglied von Hogan Lovells International LLP, Hogan Lovells US LLP oder einer der ihnen nahestehenden Gesellschaften oder einen Mitarbeiter oder Berater mit entsprechender Stellung. Einzelne Personen, die als Partner bezeichnet werden, aber nicht Mitglieder von Hogan Lovells International LLP sind, verfügen nicht über eine Qualifikation, die der von Mitgliedern entspricht.Weitere Informationen über Hogan Lovells, die Partner und deren Qualifikationen, finden Sie unter www.hoganlovells.com.Sofern Fallstudien dargestellt sind, garantieren die dort erzielten Ergebnisse nicht einen ähnlichen Ausgang für andere Mandanten. Anwaltswerbung.

©Hogan Lovells 2015. Alle Rechte vorbehalten.

*Kooperationsbüros