Das Safe Harbor Abkommen ist vom EuGH für rechtswidrig erklärt worden. Nunmehr herrscht Rechtsunsicherheit, wie ein Datentransfer in die USA legitimiert werden kann. Wir geben Ihnen mit diesem Artikel einen Überblick über den aktuellen Meinungsstand.
1. Die Artikel 29-Gruppe (Unabhängiges Beratungsgremium der Europäischen Kommission zu Fragen des Datenschutzes) fordert eine Lösung bis Ende Januar 2016: EU-Mitgliedsstaaten und die europäischen Institutionen sollen dringend gemeinsam mit der US-Regierung rechtliche und technische Lösungen finden.
Andernfalls drohen die Aufsichtsbehörden mit Sanktionen („are committed to take all necessary and appropriate actions, which may include coordinated enforcement actions“)
Neues Safe-Harbor Abkommen sei aber nur ein Teil der Lösung. Es seien klare und verbindliche Mechanismen sowie durchgreifende Kontrollbefugnisse und Rechtsbehelfe notwendig, was ohne politische Reformen in den USA aber kaum zu realisieren sei. Hier bei stellt das Hauptproblem die Massenüberwachung dar, die nach europäischen Datenschutzgrundsätzen unzulässig ist.
2. Meinung der deutschen Aufsichtsbehörden für den Bereich Datenschutz:
Eine Mehrheit der Aufsichtsbehörden möchte eine pragmatische Lösung. Im Einzelnen:
Rheinland-Pfalz:
die enge Abstimmung mit den deutschen und europäischen Datenschutzbehörden hat bereits begonnen, um gemeinsam mit den Unternehmen Lösungen zu entwickeln
„Die Datenschutzaufsichtsbehörde wird zur vernünftigen Umsetzung der Entscheidung beitragen. Dazu kann auch zählen, dass Unternehmen zukünftig verstärkt auf europäische Dienstleister zurückgreifen und Datenübermittlungen in die USA einschränken müssen.“
Bremen
"Nur die US-Regierung kann die Unternehmen aus ihrer unbequemen Lage befreien. Sie muss sich deutlich bewegen und Europa zusichern, auf diese unverhältnismäßigen Zugriffe zu verzichten."
Es gibt aber auch Hardliner wie die das ULD Schleswig-Holstein, welches die betroffenen Unternehmen auffordert, umgehend eine Lösung herbeizuführen:
Urteil des EuGH hat auch Folgen für andere rechtliche Instrumente, die bisher zur Rechtfertigung einer Datenübermittlung in die USA herangezogen wurden. „Die vom EuGH aufgestellten Grundsätze bzgl. des notwendigen Schutzniveaus machen auch eine Neubewertung solcher Übermittlungen notwendig, die auf einer Einwilligung beruhen oder von Standartvertragsklauseln durchgeführt werden.“ Eine dauerhafte Lösung kann nur in der Änderung im US-amerikanischen Recht liegen. Unternehmen aus Schleswig-Holstein sollen allgemein Alternativen für Übermittlung personenbezogener Daten in die USA erwägen. (Pressemitteilung vom 14.10.2015)
Für deutsche Unternehmen sei es ab sofort im Ergebnis nicht mehr zulässig, personenbezogene Daten von US-Dienstleistern verarbeiten zu lassen oder in die USA zu übermitteln. Übermittlung personenbezogener Daten in die USA ohne Rechtsgrundlage erfüllt den Bußgeldtatbestand nach § 43 Abs. 2 Nr. 1 BDSG und kann mit einem Bußgeld in Höhe von bis zu 300.000 € geahndet werden.
Daneben könnten Einwilligungen von Betroffenen könnten nicht wirksam eingeholt werden. Denn selbst bei einer umfassenden Aufklärung darüber, dass man sich des europäischem Schutzniveaus begebe, könne der Einzelne eine derartige Disposition über seine Grundrechte nicht vornehmen.
Auch EU-Standardvertragsklauseln seien unzulässig: der Datenimporteur garantiert gegenüber dem europäischen Datenexporteur u.a., dass er seines Wissens keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs und die Einhaltung seiner vertraglichen Pflichten unmöglich machen. Eben diesen vertraglichen Pflichten kann der US-Vertragspartner nun nicht mehr nachkommen, da eben solche Gesetze in den USA bestehen.
3. Daneben warnt Thüringens Datenschutzbeauftragter Lutz Hasse: „man müsse im Auge behalten, dass sich die Rechtslage in Europa verändern werde. Er sieht die Gefahr, dass das EuGH Urteil durch neue Rechtlage ausgehebelt werden könnte. Aber auch die geplante Datenschutzgrundverordnung wird sich an diesem starken Urteil ausrichten.
(Interview mit Lutz Hasse; www.deutschlandradiokultur.de/facebook-urteil-deutliches-signal-fuer-mehr-datenschutz.1008.de.html, Stand 17.10.2015.)
4. Prof. Dr. Thomas Hoeren zur Safe Harbor Entscheidung: „Der Druck auf die Verhandlungsparteien hinsichtlich der Verabschiedung der EU- Datenschutzgrund-verordnung wird enorm wachsen; denn ohne eine Harmonisierung des EU-Datenschutzrechts und eine klare Ansage an die USA, unter welchen Voraussetzungen man zum Export von personenbezogenen Daten bereit ist, droht die digitale Kontinentalsperre.“
Die Aufsichtsbehörden kündigten an, innerhalb dreieinhalb Monaten zu einer gemeinsamen Position zu kommen. Dies entspricht der Forderung der US-Verbände um ein koordiniertes und einheitliches Vorgehen sowie u.a. einer ausreichenden Übergangsperiode für Unternehmen, sich den neuen Anforderungen anzupassen.
PDF Download:
Bericht zur EU-Datenschutz-Grundverordnung vorgelegt