© 2016 Iron Mountain Incorporated. All rights reserved. Iron Mountain and the design of the mountain are registered trademarks of Iron Mountain Incorporated. All other trademarks and registered trademarks are the property of their respective owners.

Was bedeutet das Safe Harbor-Urteil für IhreInformationen und Ihr Unternehmen?Iron Mountain-Webinar 09.03.2016, 10:00-10:45 UhrReferenten: Manuela Sube und Hans-Günter Börgmann

2

Ihre heutigen Sprecher

Manuela Sube

Datenschutzbeauftragte der

Iron Mountain Deutschland GmbH

Hans-Günter Börgmann

Geschäftsführer der

Iron Mountain Deutschland GmbH

3

Agenda

Bedeutung der Aufhebung des Safe Harbor-Abkommens

Regelung des Datentransfers in der Übergangsphase

Aktueller Stand der Folgeverhandlungen

Welche Branchen sind betroffen?

Daten bei Iron Mountain

Fazit

Bedeutung der Aufhebung des Safe Harbor-Abkommens

Bisherige Regelung

5

Die Datenschutzrichtlinie 95/46/EG verbietet es grundsätzlich, personenbezogene Daten aus Mitgliedstaaten der Europäischen Union in Staaten zu übertragen, deren Datenschutz kein dem EU-Recht vergleichbares Schutzniveau aufweist.

Mitgliedstaaten der EU/EWR, automatisch ausreichendes Datenschutzniveau:Belgien, Bulgarien, Dänemark, Estland, Finnland, Frankreich, Griechenland, Irland, Island (EWR), Italien, Lettland, Litauen, Luxemburg, Malta, Niederlande, Norwegen (EWR), Österreich, Polen, Portugal, Rumänien, Schweden, Slowakei, Slowenien, Spanien, Tschechien, Ungarn, Vereinigtes Königreich und Zypern.

Nicht-EU/EWR-Länder mit insgesamt angemessenen Datenschutzniveau: Argentinien, Schweiz, Kanada (sofern auf den Empfänger der Personal Information Protectionand Electronic Documents Act - PIPEDA - Anwendung findet), Guernsey, Isle of Man, Jersey, Israel (31.01.2011).

Bisherige Regelung

6

Seit dem Jahr 2000 konnten sich Unternehmen unter dem Safe Harbor-Abkommen freiwillig selbstverpflichten, personenbezogene Daten nach den europäischen Datenschutzrichtlinien zu behandeln.

Die Safe Harbor-Entscheidung ist vom Europäischen Gerichtshof am6. Oktober 2015 für ungültig erklärt worden, ausschlaggebend war eine Beschwerde gegen die Übermittlung von Daten in die USA, durch das soziale Netzwerk Facebook.

7

Die 7 Prinzipien des Safe Harbor-Abkommens

1. Informationspflicht

Unternehmen müssen die Betroffenen darüber unterrichten, welche Daten sie für welche Zwecke erheben und welche Rechte die Betroffenen haben.

5. Sicherheit

4. Zugangsrecht2. Wahlmöglichkeit

Unternehmen müssen den Betroffenen die Möglichkeit geben, der Weitergabe ihrer Daten an Dritte oder der Nutzung für andere Zwecke zu widersprechen.

7. Durchsetzung

3. Weitergabe

Wenn ein Unternehmen Daten an Dritte weitergibt, muss es die Betroffenen darüber und die Wahlmöglich-keit (vgl. 2) informieren.

Betroffene müssen die Möglichkeit haben, die über sie gespeichertenDaten einzusehen und sie ggf. berichtigen, ergänzen oder löschen können.

6. Datenintegrität

Unternehmen müssen angemessene Sicherheitsvorkehrun-gen treffen, um die Daten vor unbefugtem Zugang oder vor Zerstörung und Missbrauch zu schützen.

Unternehmen müssen sicherstellen, dass die von ihnen erhobenen Daten korrekt, vollständig und zweckdienlich sind.

Die dem Safe Harbor beigetretenen Unternehmen verpflichten sich, Streitschlichtungs-mechanismenbeizutreten.

8

Bedeutung der Aufhebung

• Die Aufhebung bedeutet, dass Transfers personenbezogener Daten in die USA auf dieser Grundlage nicht mehr möglich sind.

• Für Unternehmen, die personenbezogene Daten bislang auf der Grundlage von Safe Harbor in die USA übermittelt haben, besteht daher akuter Handlungsbedarf.

• Die Unternehmen müssen ab sofort überprüfen, ob von entsprechenden Transfers in die USA abzusehen ist oder aber der Gebrauch anderer Instrumente, wie EU-Standardverträge oder Binding Corporate Rules (BCR), in Betracht kommt.

U.S. * EUS A F E H A R B O RUS DEPARTMENT OF COMMERCE

Regelung des Datentransfers in der Übergangsphase

Übergangsregelung

10

Binding Corporate Rules:• Verbindliche Richtlinien zum Umgang mit

personenbezogenen Daten• Müssen von der europäischen

Datenschutzbehörde des Landes, aus dem Daten übertragen werden sollen, verifiziert werden

EU-Standardvertragsklauseln:• Regeln die Erfordernisse der Verarbeitung von

personenbezogenen Daten und die technischen und organisatorischen Maßnahmen.

Aktueller Stand der Folgeverhandlungen

Die Änderungen

12

Einigung zwischen EU und USA: Safe Harbor heißt jetzt EU-US-Privacy Shield.

Den europäischen Datenschutzbehörden räumt der Entwurf weitgehende Prüfrechte ein.

Die EU-Kommission will noch im Februar den Beschluss zur künftigen Legitimation von Datentransfers in die USA fertigstellen.

13

Inhalt der Privacy Shield Einigung

Strenge Datenschutz-Auflagen für US-Unternehmen, die Daten aus der Europäischen Union verarbeiten.

Klare Schutzmechanismen und Verpflichtungen zur Transparenz für Zugriffsmöglichkeiten von staatlichen Einrichtungen.

Verbesserung des Schutzes von europäischen Bürgern.

Kürzliche Ankündigungen

14

Erstes Konklomerat zu Privacy Shield steht.

Veröffentlichung verschiedener Dokumente am 29.02.2016.

Zustimmung der Datenschutzbeauftragten der Länder steht noch aus.

Welche Firmen und Branchen sind betroffen?

16

Betroffene Branchen und Firmen

* oder Microsoft (one drive, office 365), Amazon, Google (inkl. Android), Apple, Oracle u.a.

• Wenn Sie bisher mit US-Dienstleistern keine Verträge über eine den EU-Vorgaben entsprechende Datenverarbeitung im Auftrag abgeschlossen hatten, dann handelten Sie ohnehin rechtswidrig.

• Das wird wohl bei 99,99% der Datentransfers der Fall sein, da US-Unternehmen außerhalb von größeren unternehmerischen Kooperationen, keine solchen Verträge anboten.

• D. h., wenn Sie Social Plugins auf Ihrer Website einsetzen, Analysewerkzeuge aus den USA verwenden, Kundendaten in der Dropbox* lagern oder Workflows Ihrer Mitarbeiter mit US-Tools optimieren, handelten Sie ohnehin in den meisten Fällen rechtswidrig und müssen sich nun überlegen, ob Sie wie bisher weiter machen wollen.

Welche Daten transferiert Iron Mountain?

Über Iron Mountain

18

Iron Mountain betreibt diverse Archivcenter in Deutschland und in der ganzen Welt. Alle Kundenarchive lagern lokal und in Einklang mit den lokalen Datenschutzrichtlinien.

Die Muttergesellschaft und der Ursprung von Iron Mountain stammen aus den USA.

Dort entdeckte der Gründer von Iron Mountain 1951 das Geschäftsmodell der sicheren Aktenaufbewahrung.

Iron Mountain bot seine Dienstleistung also zunächst nurin den USA an, expandierte dort und erweiterte sich dann Stück für Stück in den europäischen Markt.

Man entschied sich für eine zentrale Nutzung eines Archivmanagement-Systems, da es für den Kunden nützlicher war. Digitale Dokumente werden in der EU verarbeitet.

19

Welche Daten speichert und transferiert Iron Moutain?

Iron Mountain speichert Schlagwortein den Metadaten.

Welche Schlagworte und wie detailreich wird vom Kunden festgelegt.

Es darf lediglich eine bestimmteZeichenlän-ge nichtüberschrittenwerden.

Uns reicht auch eine eindeutige Zahlenkom-bination(je nach vereinbartem Service).

Fazit

Fazit

• Die Entscheidung des EuGH zu Safe Harbor gilt vor allem für Unternehmen, die auf Grundlage von Datenschutzverträgen personenbezogene Daten in die USA transferierten.

• Betroffen sind vor allem Anbieter wie Facebook, deren EU-Tochter Nutzerdaten an die USA-Muttergesellschaft übermittelt. Aber auch viele andere US-Unternehmen, die Datengeschäfte in der EU machen, werden wirtschaftlich beeinträchtigt.

• Allerdings wird der rechtliche Fokus auf den Datenschutz stärker und Sie sollten daher noch mehr auf die möglichst genaue Einhaltung der Datenschutzvorschriften achten.

• Vor allem sollten Sie mit allen Dienstleistern, denen Sie personenbezogene Daten übermitteln, Auftragsdatenverarbeitungsverträge abschließen.

21

Fazit

• Wie sich das neue Privacy Shield-Abkommen zwischen den USA und der EU entwickelt und wann es endgültig fertig gestellt wird, ist noch nicht vorauszusehen!

• Iron Mountain hat Ihre Daten immer nach aktueller Gesetzeslage und in Ihrem besten Interesse gehandhabt und wird dies auch in Zukunft tun.

• Wir informieren Sie auchweiterhin über die aktuelleGesetzeslage.

22

Fragen? Stellen Sie uns diese gerne jetzt über den Chat!

• Fragen/Antworten aus dem letzten Webinar (23.02.16):

• Wurden europäische und US amerikanische Unternehmen beim Verfassen des EU Privacy Shield-Abkommens mit eingebunden?

− Bisher wurden nur das Handelsministerium und Außenministerium und einigen ausgewählte Parlamentsmitgliedern in die Verhandlungen mit eingebunden.

• Würden Sie die EU-Standardvertragsklauseln für die Übersendung solcher Daten auch für die Schweiz empfehlen?

− Ja das würden wir. Die Schweiz wird als sicheres Herkunftsland eingestuft, auch wenn es kein Mitgliedstaat der EU ist. Auch mit diesen Ländern ist ein Abschluss von EU-Standardvertragsklauseln möglich.

• Betreffen diese Regelungen auch anonymisierte und pseudo-nymisierte Daten, wie sie in klinischen Studien erhoben werden?

− Diese Regelungen betreffen ausschließlich personenbezogene Daten.

23

Vielen Dank für IhrInteresse!

24

Gerne senden Sie uns Fragen oder Anmerkungen an:Datenschutz@ironmountain.de

Nächstes Webinar zum Thema „Digitalisierung“:05.04.2016, 10:00 - 10:45

25

Quellen

1. https://www.bfdi.bund.de/DE/Europa_International/International/Artikel/SafeHarbor.html

2. http://www.heise.de/newsticker/meldung/Einigung-zwischen-EU-und-USA-Safe-Harbor-heisst-jetzt-EU-US-Privacy-Shield-3091607.html

3. http://europa.eu/rapid/press-release_IP-16-216_en.htm

4. http://www.golem.de/news/eu-datenschutzabkommen-safe-harbor-heisst-jetzt-privacy-shield-1602-118878.html

5. http://www.berliner-zeitung.de/politik/safe-harbor-nachfolger--privacy-shield--scharfe-kritik-an-abkommen-zum-transatlantischen-datenaustausch,10808018,33708018.html

6. https://www.datenschutzbeauftragter-info.de/eu-us-privacy-shield-eine-verbesserung-fuer-unternehmen-und-buerger/

7. http://www.zeit.de/digital/datenschutz/2016-02/privacy-shield-safe-harbor-datenschutz-kapitulation

8. http://www.internetworld.de/technik/datenschutz/privacy-shield-datenschutzbeauftragte-skeptisch-1078642.html

9. http://rechtsanwalt-schwenke.de/was-bedeutet-das-safe-harbor-urteil-des-eugh-fuer-sie/

10. http://eur-ex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2010:039:0005:0018:DE:PDF

11. http://europa.eu/rapid/press-release_IP-16-433_de.htm