Safe-Harbor-Entscheidung des EuGH – Update

Am 06.10.2015 erklärte der Europäische Gerichtshof das Safe-Harbor-Abkommen zwischen der Europäischen Union und den USA für ungültig. Über die Hintergründe des Urteils, die Folgen für Unternehmen und die rechtlichen Alternativen der EU-Standardvertragsklauseln bzw. der Corporate Binding Rules berichteten wir bereits (siehe auch die Stellungnahme unserer Partnerkanzlei Baum Reiter & Collegen).

Zwischenzeitlich haben sich auch die deutschen Aufsichtsbehörden, die europäische Datenschutzgruppe („Article-29-Working Party“) und die Europäische Kommission zu der aktuellen Situation geäußert.

In ihrer Stellungnahme von 16.10.2015 fordert die Artikel-29-Datenschutzgruppe die Mitgliedsstaaten und die Institutionen der europäischen Union auf, schnellstmöglich mit den USA Verhandlungen für ein neues Safe-Harbor-Abkommen aufzunehmen. Gleichzeitig kündigt die Datenschutzgruppe an, die Konsequenzen des Urteils auf die EU-Standardvertragsklauseln bzw. die Corporate Binding Rules sorgfältig zu prüfen. Solange diese Prüfung noch nicht abgeschlossen ist, können Unternehmen diese Vertragswerke als Legitimation für eine Datenübermittlung in die USA nutzen. Unabhängig davon steht es den nationalen Aufsichtsbehörden frei, in Einzelfällen Datenübermittlungen zu untersagen. Als Übergangsfrist wurde Ende Januar 2016 genannt. Jegliche Übermittlung auf Basis des Safe-Harbor-Abkommens ist mit sofortiger Wirkung illegal.

Auch die EU-Kommission weist in ihrer Verlautbarung vom 06.11.2015 darauf hin, dass die EU-Standardvertragsklauseln und Binding Corporate Rules nach wie vor als Legitimation für die transatlantische Datenübermittlung genutzt werden können. Den Aufsichtsbehörden ist es vorbehalten, in Einzelfällen den Datentransfer zu prüfen und ihn abzulehnen. Die Kommission betont allerdings, dass die nationalen Aufsichtsbehörden die EU-Standardvertragsklauseln nicht pauschal ablehnen dürfen.

Die deutschen Aufsichtsbehörden konkretisieren in ihrem Positionspapier vom 26.10.2015 ihre Anforderungen an die datenschutzkonforme Übermittlung von Daten in die USA wie folgt:

  • Eine Einwilligung nach §§ 4, 4a BDSG kann im Einzelfall, jedoch nicht massenhaft oder wiederholt, eine Grundlage für einen Datentransfer sein.
  • Eine Übermittlung auf Basis der EU-Standard-Vertragsklauseln ist möglich, wobei die Aufsichtsbehörden sich mögliche Prüfungen und Verbote vorbehalten.
  • Genehmigungen der Behörden für Datentranfers auf Basis von Corporate Binding Rules werden vorläufig nicht mehr erteilt.

Nach der Urteilsverkündung haben einige US-Unternehmen, darunter Google, Microsoft und Salesforce, die EU-Standardvertragsklauseln in ihr Vertragswerk aufgenommen. Unabhängig davon sind Unternehmen, die US-amerikanische Dienstleister beauftragen oder US-Dienste nutzen, die einen Transfer personenbezogener Daten in die USA beinhalten - darunter fallen auch Analyse-Tools wie z.B. Google Analytics, Social Media Plugins wie der Facebook Like-Button oder Cloud- bzw. E-Mail-Dienstleister wie z.B. Mailchimp - aufgefordert, die Beauftragung auf seine Datenschutzkonformität sorgfältig zu prüfen. Das Unternehmen ist als „Herr der Daten“ für die Datenerhebung und –nutzung gegenüber den Betroffenen und den Aufsichtsbehörden verantwortlich. Vor allem müssen Unternehmen die weitere Entwicklung im Auge behalten – mit der Fristsetzung Ende Januar könnten weitere Änderungen bald folgen.

Quellen:

European Commission: "Communication from the Commssion to the European Parliament and the Councel on the Transfer of Personal Data from the EU to the United States of America under the Directive 95/46/EC following the Judgment by the Court of Justice in Case C-362/14 (Schrems)", 6 November 2015

Statement of the Article 29 Working Party, 16 October 2015

Positionspapier der Datenschutzkonferenz der Datenschutzbeauftragten des Bundes und der Länder, 26.10.2015

Quelle: 

Artikel-29-Datenschutzgruppe, EU-Kommission, Datenschutzkonferenz der Datenschutzbeauftragten des Bundes und der Länder

Autor: 
Christine Thieme