aufsichtsbehörden dsk datenschutzkonferenz entschließung göttinger erklärung kündigungsschutz datenschutzbeauftragter verzeichnis verarbeitungstätigkeiten vvt vertrag 61b

Datenschutzbehörden nehmen Stellung zu Safe Harbor Urteil

Gestern, am 26.10.2015, hat die Datenschutzkonferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) in einem Positionspaier Stellung bezogen zum Safe Harbor Urteil des EuGH vom Anfang des Monats, welches bereits für viel Aufregung und Unsicherheit gesorgt hat.

Die Luft wird dünner

Die Stellungnahme bestätigt meine Annahmen, die ich gerade gestern veröffentlicht hatte. Konkret haben die Aufsichtsbehörden angkündigt

  • Datenübermittlungen in die USA, die ausschließlich über Safe Harbor legitimiert sind, zu untersagen, wenn sie Kenntnis davon erlangen (Punkt 5 des Positionspapiers)
  • keine neuen Genehmigungen für Datenübermittlungen in die USA auf der Grundlage von Binding corporate rules (BCR) zu erteilen (Punkt 7 des Positionspapiers)
  • auch bei Datenübermittlungen, die auf der Einwilligung des Betroffenen beruhen, kritisch zu sein, speziell, wenn es sich um Beschäftigtendaten handelt (Punkte 9 und 10 des Positionspapiers)

Neben einigen Appellen in Richtung Bundesregierung sowie EU-Kommission, -Rat und -Parlament fordert die DSK weiterhin Unternehmen dazu auf, [Zitat] „unverzüglich ihre Verfahren zum Datentransfer datenschutzgerecht zu gestalten. Unternehmen, die Daten in die USA oder andere Drittländer exportieren wollen, sollten sich dabei auch an der Entschließung der DSK vom 27.03.2014 ‚Gewährleistung der Menschenrechte bei der elektronischen Kommunikation‚ und an der Orientierungshilfe ‚Cloud Computing‘ vom 09.10.2014 orientieren„.

Damit dürfte das gesamte Gebiet rund um Datenexporte in die USA, aber auch in andere Drittstaaten außerhalb des Europäischen Wirtschaftsraums (EWR) neuen Schwung bekommen.

Was passiert nun?

Unklar ist aktuell noch, wie die einzelnen Aufsichtsbehörden sich nun zum Thema Safe Harbor positionieren werden. Das gemeinsame Positionspapier bezieht sich auf Untersagungsverfügungen zu ausschließlich über Safe Harbor legitimierte Datenexporte, wenn die Behörden Kenntnis davon erlangen. Das könnte einerseits bedeuten, dass die Aufsichtsbehörden vorhaben, Fragebögen zu verschicken um auf diesem Wege von solchen Übermittlungen Kenntnis zu erlangen. Andererseits könnte es auch das Zeichen sein, dass Unternehmen nichts zu befürchten haben, solange sie nicht in den Fokus der Aufsichtsbehörden kommen. Die nächsten Wochen werden zeigen, wohin die Reise geht.

Ich empfehle allen Unternehmen dringend, kurzfristig die Rechtsgrundlagen für Datenübermittlungen in Drittstaaten einschließlich der USA einer eingehenden Überprüfung zu unterziehen und ggf. nachzubessern oder die Übermittlungen sogar einzustellen.

Auch der Appell an die Europäischen Gremien, die sich gerade im Trilog zur EU-Datenschutzgrundverordnung befinden, die aktuelle Situation dort mit einfließen zu lassen dürfte die aktuelle Situation nicht entschärfen. Und es sollte auch nicht vergessen werden: Wenn die DSGVO verabschiedet wurde, wird es eine zweijährige Übergangszeit geben, bis sie geltendes Recht wird.

Handeln Sie jetzt und unterziehen Sie Ihre Datenexporte einer Überprüfung. Falls nötig stellen Sie sie auf eine neue und sichere Rechtsgrundlage. Fordern Sie dabei auch die Unterstützung der Aufsichtsbehörden ein. Ein externer Datenschutzberater wie ich kann das auch ohne Nennung Ihres Unternehmens tun. Rufen Sie mich an und wir klären in einem ersten kostenfreien Gespräch die Optionen.


Diesen Beitrag teilen