privacy shield safe harbor usa übermittlung ausland drittländer drittstaat binding corporate rules bcr angemessenheitsbeschluss japan

Safe Harbor: Hamburger Aufsichtsbehörde wird aktiv

[Update 2019]

Offenbar hat die Aufsichtsbehörde Hamburg „aufgeräumt“ und alte (veraltete) Inhalte entfernt. Daher sind die in diesem Artikel verlinkten Dokumente und/oder Seiten nicht mehr aufrufbar.

[Update Ende]

Nach viel hin und her, vielen Gerüchten, Unsicherheiten und Befürchtungen gibt es nun von der Hamburger Aufsichtsbehörde für den Datenschutz (HmbBfDI) eine klare Aussage, wie das Vorgehen nach dem Safe Harbor Urteil aussehen wird. Am 05.11.2015 wurde das Vorgehen bekannt gegeben.

3-phasiges Vorgehen

Dieses teilt sich in drei Phasen, die auch zeitlich grob umrissen wurden:

Phase 1 (November 2015): Identifikation von Unternehmen, die mit hoher Wahrscheinlichkeit Daten in die USA übermitteln und Information dieser Unternehmen zum Stand der Dinge und zu den geplanten Schritten.

Phase 2 (Dezember 2015 / Januar 2016): Einholung von Auskünften von den identifizierten Unternehmen. Die Behörde hat sich nicht geäußert, in welcher Form diese Prüfungen erfolgen sollen, es ist aber anzunehmen, dass Fragebögen versandt werden.

Phase 3 (ab Februar 2016): Treffen von „rechtlichen Maßnahmen“. Je nach Antworte der Unternehmen werden diese vermutlich von Unterstützung (in Form von Beratungsleistungen oder Stellungnahmen) bei der Anpassung von Software und Prozessen bis hin zu (nach eigener Aussage der Behörde) Untersagungsanordnungen und Bußgeldern reichen.

BCR und EU-Klauseln sind (noch) Ok

In der Stellungnahme weist die Aufsichtsbehörde auch noch einmal deutlich darauf hin, dass bestehende (!) Regelungen, wie Binding Corporate Rules (BCR) oder die EU-Standardvertragsklauseln weiter als Rechtsgrundlage für Datenexporte in die USA akzeptiert werden. Die Rechtsgrundlage Safe Harbor wird nicht mehr akzeptiert, die Behörde sieht Datenexporte, die sich auf diese Rechtsgrundlage stützen als rechtswidrig an.

Es wird allerdings auch angedeutet, dass die o. g. verbleibenden zwei Rechtsgrundlagen auch auf dem Prüfstand stehen und hierzu noch eine Aussage getroffen werden wird. Diese wird dann als einheitliche Aussage aller Datenschutz-Aufsichtsbehörden getroffen, es wird also bundeseinheitlich die identischen Rahmenbedingungen für Unternehmen in Bezug auf Datenexporte in die USA geben.

Die Kommission kann es noch mal drehen

Derzeit laufen noch Verhandlungen der EU-Kommission mit den USA, welche Ende Januar abeschlossen sein sollen. Es ist durchaus im Rahmen des Möglichen, dass die Kommission hiernach zu dem Ergebnis gelangt, dass in den USA ein angemessenes Datenschutzniveau herrscht. Sollte das passieren, wären Datenexporte in die USA auf dieser Basis wieder zulässig.

Insgesamt ist die Lage m. E. immer noch recht unübersichtlich. Positiv ist zu werten, dass die Hamburger Aufsichtsbehörde ein Vorgehen festgelegt und dieses Veröffentlicht hat, so dass Unternehmen wissen, worauf sie sich einzustellen haben.

Hat sich die Aufsichtsbehörde bei Ihnen gemeldet und Sie benötigen Unterstützung? Rufen Sie mich an, für Notfälle stehe ich auch kurzfristig zur Verfügung.