EuGH erklärt Safe Harbor Abkommen für ungültig

Anwalt für Datenschutzrecht AugsburgDatenschutzrechtWas tun mit personenbezogenen Daten, die in von Ihrem Unternehmen aus aufgrund dieses Abkommens in die USA transferiert werden?

Nach einem Urteil des EuGH ist das Safe-Habor-Abkommen für rechtswidrig erklärt worden. In diesem Beitrag klären wir Sie darüber auf, welche Folgen dies für Ihr Unternehmen hat, soweit Sie aufgrund des Safe Habor Abkommens Datentransfers in die USA vorgenommen haben. zum Urteil des EUGH Safe Harbor AbkommenZum Urteil geht’s hier 

Wer ist von dem Urteil betroffen?

Betroffen ist im Grunde jeder, der Cloud-Angebote, Social Media oder Internet-Werbung nutzt oder schaltet, Services in Anspruch nimmt, die von den Dienstleistern im Konzern auch in die USA transferiert werden. Nutzer von Salesforce, Microsoft, Cisco, IBM, etc. etc. sind betroffen

Regelung nach der Datenschutzrichtlinie 

Gemäß der Datenschutzrichtlinie 2002/58/EG (in Ergänzung der Datenschutzrichtlinie 95/46/EG) und §§ 4 b, c BSDG können personenbezogene Daten in Drittstaaten nur bei Vorliegen eines „angemessenen Schutzniveaus“ übermittelt werden. Dieses „angemessene Datenschutzniveau“ wird eingehalten, wenn den wesentlichen Datenschutzgrundsätzen der europäischen Datenschutzrichtlinien entsprochen wird.

Datenübermittlung ins EU-Ausland grundsätzlich zulässig

Von zentraler Bedeutung ist danach zunächst, ob personenbezogene Daten aus Deutschland an eine Stelle in einem anderen EU-Land (einschließlich Norwegen, Island und Liechtenstein) oder in das „EU-Ausland“ (so genannte „Drittländer“) übermittelt werden sollen. Insoweit dürfen personenbezogene Daten (soweit die Übermittlung im Übrigen zulässig ist) stets in ein anderes EU-Land übermittelt werden.

„Angemessenheitsentscheidungen“ der EU-Kommission

Daneben hat die EU-Kommission für einige Länder (z.B. Argentinien, Guernsey, Isle of Man, Jersey, Kanada, Schweiz) die Angemessenheit des dortigen Datenschutzniveaus verbindlich festgestellt, so dass auch in diese Länder grundsätzlich personenbezogene Daten übermittelt werden dürfen. 

Safe Harbor Abkommen gekippt

 

PDF Download:

Laden Sie sich diesen Artikel zum Safe Harbor Abkommen als PDF herunter

Artikel Safe Harbor Abkommen zum PDF

Foto: Pascal Ballottin / pixelio.de

Die Safe Harbor Principles

Die USA hatten aus Sicht des europäischen Normgebers kein angemessenes Datenschutzniveau. Um eine praktikable Lösung für die in der Praxis häufig vorkommende Übermittlung personenbezogener Daten in die USA sicherzustellen, wurden die so genannten "Safe Harbor Principles'" (zu Deutsch „Grundsätze des sicheren Hafens“) entwickelt. Diese umfassen datenschutzrechtliche Vorgaben insbesondere hinsichtlich der Auskunfts- und Informationspflichten der Unternehmen, der Weitergabe und Sicherheit personenbezogener Daten, der Datenintegrität sowie der Durchsetzung datenschutzrechtlicher Ansprüche. Amerikanische Unternehmen können diesen Prinzipen freiwillig beitreten, indem sie sich gegenüber amerikanischen Behörden zur Einhaltung der Safe Harbor Principles verpflichten. Der Beitritt wird auf einer entsprechenden Liste des US-Handelsministeriums registriert, welche auch die Einhaltung der Safe Harbor Principles überwacht und einen Verstoß mit Strafen versieht. 

Kritik in der Vergangenheit aus Deutschland stark

Dieses Abkommen wurde in der Vergangenheit weitläufig kritisiert, insbesondere weil das so gewährleistete Schutzniveau nicht stark genug sei, die Unternehmen würden daneben nicht kontrolliert werden. Die obersten Datenschutzaufsichtsbehörden in Deutschland haben bereits im Jahre 2010 bestimmt, dass soweit deutsche Unternehmen einen Datentransfer in die USA aufgrund von Safe Habor zulassen würden, die Aktualität der Safe Habor Zertifizierung jedenfalls kontrolliert werden müsste. Deutsche Datenschutzbeauftragte haben damit bereits seit längerem einen Datentransfer aufgrund dieser Vorschriften umfassen abgelehnt. 

Verhandlungen zu neuem Safe Harbor Abkommen

Seit 2013 laufen Verhandlungen zu einem überarbeiteten Safe-Harbor-Abkommen mit einem System effektiver Überwachungsmaßnahmen insbesondere bei der Neuregistrierung. Hier würden zwar die Regelungen zur Weitergabe von Daten an Subunternehmer durch US Unternehmen konkretisiert und die Haftung erhöht werden, nicht geklärt ist aber die Handhabung geheimdienstlicher Überwachungstätigkeit. Die Verhandlungen haben bisher nicht zu einem Ergebnis geführt. 

Was muss nunmehr geschehen?

Soweit Sie Datentransfers in die USA vornehmen, ist es notwendig, dass Sie die Datenübermittlung nach §§ 4b, 4 c BDSG legitimieren. Das heisst für Sie: Personenbezogene Daten dürfen nur übermittelt werden, wenn ausnahmsweise gemäß § 4 c Abs. 1 BDSG eine Übermittlung trotz unangemessenen Datenschutzniveaus zulässig ist, oder sich das die personenbezogene Daten erhaltende Unternehmen im Ausland in so genannten Standardverträgen zur Einhaltung bestimmter Datenschutzvorschriften verpflichtet hat.

Was ist für die Zukunft zu erwarten? 

Aufsichtsbehörden auf nationaler und europäischer Seite werden vermutlich eilig Lösungsansätze suchen, da nunmehr die bisher legitimierten Datentransfers nicht mehr gerechtfertigt sind. Erwartet werden auch Erklärungen in Ergänzung zu Safe Harbor seitens der USA-Dienstleister oder Konzernmutter-Unternehmen. Nachdem schon vor vielen Jahren der Düsseldorfer Kreis als Präzisierung zu Safe-Harbor Ergänzungen gefordert hat und mittelbar Standardvertragsklauseln auf der Wunschliste hatte, wird eine weitere Absicherung mit TOMS (Technisch-organisatorischen Maßnahmen) und Verfahrensbeschreibungen das Ergebnis sein.

Sollten Sie Datentransfers in die USA vornehmen und diesen Transfer auf den Beitritt des Unternehmens zu den Safe Habor-Prinzipien stützen, so empfehlen wir Ihnen dringend eine Überarbeitung dieses Datentransfers.

 

JuS Rechtsanwälte Schloms und Partner ist schwerpunktmäßig in den Bereichen Wettbewerbsrecht, Urheberrecht, IT-Recht, Datenschutzrecht und Markenrecht tätig.  Gerne können Sie sich zum Thema Datenschutzrecht an unser Datenschutzbeauftragte AugsburgTeam Datenschutz wenden.