Datenschutz

 

ISIS12

Informationssicherheit

Privacy Shield das neue Safe Harbor

Nachdem am 6. Oktober 2015 der EuGH (Az. C 362/14) die Safe Harbor Regelung als ungültig erklärt hat, Max Schrems sei Dank, war eine Übermittlung personenbezogener Daten in die USA nicht mehr ohne weiteres möglich. Es bestand für die Betroffenen Rechtsunsicherheit und die Aufsichtsbehörden drohten bzw. verhängten Bußgelder.

So hat nun am 12.07.2016 die Europäische Kommission das Privacy Shield Framework als Nachfolgeregelung zu Safe Harbor beschlossen. Vergleichbar zu Safe Harbor können Auftragsdatenverarbeiter personenbezogener Daten in den USA durch eine Zertifizierung nach den Vorgaben des Privacy Shield beim US-Handelsministerium ein angemessenes Datenschutzniveau im Sinne des § 4b BDSG sicherstellen.

Bei der Übermittlung personenbezogener Daten in die USA sind zwei Prüfungen von der verantwortlichen Stelle durchzuführen: Die erste Stufe betrifft die Prüfung der Zulässigkeit der Datenübermittlung (Rechtsgrundlage). Die zweite Stufe umfasst die Prüfung ob ein angemessenes Schutzniveau gewährleistet ist. Durch die nun erfolgte Verabschiedung des Privacy Shield, einschließlich des Angemessenheitsbeschlusses der EU-Kommission bezüglich des Schutzniveaus bei zertifizierten Datenempfängern in den USA, kann dies für den Export personenbezogener Daten in die USA an zertifizierte Empfänger als angemessenes Schutzniveau herangezogen werden.

Was bedeutet dies nun in der Praxis? Zunächst heißt dies erstmals abwarten. Ab dem 1. August 2016 können sich Datenverarbeiter in den USA gegenüber dem US-Handelsministerium nach dem EU-U.S. Privacy Shield zertifizieren lassen. Europäische Auftraggeber sollten dann ab diesem Termin in der Lage sein durch Online-Zugriff auf ein vom US-Handelsministerium geführtes Register eine Prüfung durchführen.

Ob diese neue Abkommen Bestand haben wird ist fraglich. Die im o.a. EuGH Urteil kritisierten Punkte sind stellenweise immer noch nicht ausgeräumt. Der EU-Datenschutzbeauftragte als auch die Datenschutzbeauftragten der Mitgliedsstaaten haben das Privacy Shield zurückgewiesen.  Es gilt nun abzuwarten wie das EuGH die neue Regelung bewerten wird. Max Schrems Ihr Auftritt …

 

BLOG

 

ISIS12 als Zertifizierungsmöglichkeit nach DS-GVO

Im Rahmen des Workshops „Nachweismöglichkeiten nach der DS-GVO. Zertifizierungen, Verhaltensregeln und was noch?“ beim Bayerischen Landesamt für Datenschutzaufsicht am 22.07. 2016 konnten wir das von BSP-SECURITY initiierte Vorgehensmodell ISIS12 vorstellen. Der von der GDD e.V und BvD e.V. organisierte Workshop beschäftigte sich mit der Frage, wie der in der DS-GVO geforderte Nachweis der Informationssicherheit (Art. 25 und 32) durch vorhandene bzw. noch anzupassende Zertifizierungsverfahren (Art. 42) gewährleistet werden kann.

RAin Sabine Sobola (Paluka Sobola Loibl & Partner Rechtsanwälte) und Herr Michael Gruber (BSP-SECURITY), beide Fachbeiräte Datenschutz des Bayerischen IT-Sicherheitsclusters e.V., präsentierten das für KMU entwickelte ISMS ISIS12 unter dem Aspekt der DS-GVO gerechten Nachweis- und Zertifizierungsmöglichkeit.

Den Vortrag können Sie hier herunterladen.