Der EuGH hat am 06. Oktober 2015 das Safe Harbor-Abkommen für ungültig erklärt. Seitdem können die Übermittlung personenbezogener Daten in die USA sowie der Zugriff von US-Unternehmen auf Daten in der EU nicht mehr auf Safe Harbor gestützt werden. Was nun? Diese Frage stellen sich nicht nur Unternehmen, die Cloud-Services von US-Anbietern wie Microsoft, Salesforce oder Mailchimp nutzen, sondern auch Datenschützer und Behörden.

 

Das Safe Harbor Abkommen war nur ein Weg, personenbezogene Daten rechtsicher in die USA übermitteln zu dürfen. Andere Möglichkeiten bieten sogenannte EU-Standardvertragsklauseln, welche von der EU-Kommission zur Verfügung gestellt werden und zum Beispiel bei einigen Micsosoft-Dienste angeboten werden, als auch verbindliche Unternehmensregeln (Binding Corporate Rules, kurz: BCR). Streitpunkt ist nun insbesondere die Frage, ob auch diese Übermittlungswege durch das Safe Harbor-Urteil abgeschnitten sind.

Die Europäische Kommission hält daran fest, dass diese anwendbar bleiben, da sich das EuGH-Urteil nur auf das Safe Harbor Abkommen beschränke. Die deutschen Datenschutzbehörden haben allerdings ihre Zweifel daran geäußert, dass die Alternativen mit den Aussagen des Urteils vereinbar seien. Das Hauptargument ist, dass die Gründe, die zur Safe Harbor Entscheidung geführt haben, strenggenommen auch auf EU-Standardvertragsklauseln und BCRs Anwendung finden würden, nämlich der anlasslose und unkontrollierte Zugriff durch US-Behörden.

Die Datenschutzbehörden haben den Unternehmen eine „Schonfrist“ bis zum 31.01.2016 eingeräumt, um Datenübermittlungen in die USA, die bislang allein auf Safe Harbor beruhten, rechtlich abzusichern. Die Übermittlung aus Basis von EU-Standardvertragsklauseln bleibt vorerst rechtmäßig. Die deutschen Behörden haben jedoch angekündigt, keine neuen Genehmigungen für Datenübermittlungen in die USA auf Grundlage von BCRs zu erteilen. Allerdings erklärte der Hamburgische Datenschutzbeauftragte, dass er die Übermittlung von Daten auf Grundlage bereits bestehender BCRs solange nicht beanstanden werde, bis die Konsequenzen des Urteils für diese alternativen Maßnahmen geklärt sind.

Wie gehen die deutschen Datenschutzbehörden nun vor, wenn Unternehmen weiterhin Daten in die USA übermitteln? Der Hamburgische Datenschutzbeauftragte informiert die Unternehmen bislang lediglich über die Folgen des Urteils. Ab Februar 2016 drohen dann aber verwaltungsrechtliche Maßnahmen bis hin zum Bußgeld. Allerdings könnte bereits im Januar, nach Abschluss der derzeit laufenden Verhandlungen der EU-Kommission mit den USA, eine Art Safe Harbor 2.0 beschlossen werden, auf dessen Grundlage der Datentransfer in die USA wieder zulässig wäre. (MaK)

 

Praxistipp

Nutzen Sie die Zeit bis zum 31.01.2016 für eine Datenschutz-Inventur:

 

  1. Ermitteln Sie, ob und inwieweit Ihr Unternehmen personenbezogene Daten in die USA übermittelt bzw. welche US-Dienstleister und US-Cloud Dienste im Einsatz sind. Ermitteln Sie auch, ob Ihre deutschen/europäischen Dienstleister auf US-Dienste zurückgreifen, um Ihre Daten zu verarbeiten.
  2. Prüfen Sie, auf welcher rechtlichen Grundlage Ihre Daten in die USA übermittelt werden (Safe Harbor, EU-Standardvertragsklauseln, BCR, ohne?).
  3. Klären Sie für US-Dienste, die für Ihr Unternehmen besonders wichtig sind, den Abschluss von EU-Standardvertragsklauseln.
  4. Verfolgen Sie das Thema (oder übertragen Sie diese Aufgabe Ihrem Datenschutzbeauftragten), um auf neue Entwicklungen rasch reagieren zu können.