eu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo brexit angemessenheitsbeschluss uk

EuGH kippt Safe Harbor

/von

[Update 27.10.2015]

Gestern veröffentlichte die Versammlung der Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) ein Positionspapier zu diesem Thema. Einen entsprechenden Artikel finden Sie hier.

[Update Ende]

Das Safe Harbor Abkommen war seit dem Jahr 2000 eine gerne genutzte Rechtsgrundlage um eine Datenübermittlung in die USA zu rechtfertigen. Es ging davon aus, dass Unternehmen, die sich diesem Abkommen unterwarfen, ein Datenschutzniveau böten, wie es in der EU herrscht.

Seit dem 06.10.2015 ist diese Rechtsgrundlage ersatzlos entfallen. Der Europäische Gerichtshof (EuGH) hat nach der Klage des Österreichers Maximilian Schrems den Beschluss 2000/520/EG der EU-Kommission für ungültig erklärt.

Keine Wertung des Datenschutzniveaus

Interessant ist, dass der EuGH diese Entscheidung nicht mit dem tatsächlich in den USA herrschenden Datenschutzniveau begründet. Dieses wird vom EuGH gar nicht bewertet. Der EuGH bemängelt vielmehr, dass die EU-Kommission ihre Befugnisse überschritten habe. So müssen die nationalen Datenschutzaufsichtsbehörden z. B. bei Beschwerden völlig unabhängig tätig werden können. Sie müssen in der Lage sein, zu entscheiden, ob die in der Richtlinie 95/46/EG aufgeführten Anforderungen eingehalten werden. Die Entscheidungen der EU-Kommission seien dabei nicht zu berücksichtigen. Damit ist nun zu erwarten, dass die einzelnen Aufsichtsbehörden jeweils ihre Sicht auf die Dinge bekannt geben. Und die muss nicht zwingend einheitlich sein. Die Schleswig-Holsteinische Aufsichtsbehörde hat das bereits am 14.10.2015 getan.

Die Ermittlungsbehörden

Einer der Gründe – den auch ich in der Vergangenheit bei meinen Kunden immer wieder als Vorbehalt eingebracht habe – ist dabei der nahezu wahlfreie Zugriff der US-Ermittlungsbehörden und -Geheimdienste auf jegliche in den USA gespeicherten Daten. Verschlimmert wird diese Situation noch durch die fehlende Möglichkeit für Betroffene, die keine US-Bürger sind, sich gegen diese Zugriffe zur Wehr zu setzen.

Mit Safe Harbor ist nun die vermutlich meist genutzte Rechtsgrundlage für die Legitimation von Datentransfers in die USA entfallen. Sämtliche hierauf basierenden Übermittlungen müssen kurzfristig auf den Prüfstand und – soweit möglich – neu legitimiert werden.

Alternativen

Zur Wahl stehen

  • die EU-Standardvertragsklauseln
  • eine explizite und informierte Einwilligung des Betroffenen
  • Binding corporate rules
  • andere gesetzliche Grundlagen

Es ist leicht zu erkennen, dass nicht viele Möglichkeiten existieren. Der gangbarste Weg für die meisten Unternehmen wird vermutlich der Abschluss der EU-Standardvertragsklauseln sein. Auch für die betroffenen US-Unternehmen dürfte dieses die einfachste, weil bequemste, Lösung sein, müssen diese doch “nur” unterzeichnet werden. Inhaltliche Änderungen sind nicht zulässig, damit wissen auch alle Beteiligten, worauf sie sich einlassen. Großer Vorteil der EU-Standardvertragsklauseln ist, dass diese im Gegensatz z. B. zu Binding corporate rules nicht von den Aufsichtsbehörden genehmigt werden müssen. Leider hat sich die Schleswig-Holsteinische Aufsichtsbehörde sich bereits entschieden, auch EU-Standardvertragsklauseln nicht mehr ohne Weiteres akzeptieren zu wollen. Die Begründung ist m. E. gut nachvollziehbar und bezieht sich auf die Massenüberwachung durch die US-Geheimdienste.

Ich meine, im Konzernumfeld sind Binding corporate rules ein probates Mittel für die Legitimation von Datenexporten. Allerdings sind diese durch die deutschen Aufsichtsbehörden zu genehmigen. Somit dürften diese nicht kurzfristig (und in Schleswig-Holstein vermutlich gar nicht mehr) umzusetzen sein.

Einwilligung?

Auch die Einwilligung der Betroffenen könnte eine Lösung darstellen. Allerdings muss diese von allen Betroffenen eingeholt werden. Des Weiteren muss eine Einwilligung immer informiert erfolgen, damit sie auch wirksam ist. Zum Thema “informierte Einwilligung” finden Sie hier einen kurzen Artikel von mir.

Was machen die Aufsichtsbehörden draus?

Insgesamt hat der EuGH hier mit einer kleinen Entscheidung für ein großes Unsicherheits- und Konfliktpotenzial in den Unternehmen gesorgt. Jetzt ist abzuwarten, wie nach Schleswig-Holstein sich die restlichen Aufsichtsbehörden der Länder positionieren. Die Chance, vorsorglich eine gemeinsame Aussage im Rahmen ihrer gerade beendeten 90. Konferenz (am 30.09. und 01.10.2015) zu treffen, haben sie ja leider nicht wahrgenommen

Exportieren Sie Daten in die USA auf Basis des Safe Harbor Abkommens? Dann haben Sie dringenden Handlungsbedarf. Sprechen Sie mich an, ich unterstütze Sie bei der erneuten Legitimation auf Basis einer anderen Rechtsgrundlage.


Diesen Beitrag teilen

Das könnte Dich auch interessieren
Datenübertragbarkeit 20 dsgvoSerie Betroffenenrechte: Das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO
bdsg-neu abdsg recht gesetz ldsg bdsg landesdatenschutzgesetz bundesdatenschutzgesetz datenschutzbeauftragter besondere arten kategorien personenbezogener daten ds-gvo bundesrat bundestag ausweis kopieren scannen pauswg personalausweisgesetz beschäftigtendatenschutz abmahnung eprivacy-verordnung epvo stberg steuerberater auftragsverarbeitungAllgemeines Bundesdatenschutzgesetz – ABDSG
ds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvoVerpflichtung auf die Vertraulichkeit nach der DS-GVO
clubhouseClubhouse auf geschäftlich genutzten Smartphones
bußgeld ermittlungen staatsanwaltschaft herausgabeErstes Bußgeld für Datenschutzverstoß nach DSGVO in Deutschland
testen mit echtdatenTesten mit Echtdaten – Eine echte Herausforderung der DSGVO