Das Safe Harbor Abkommen ist ungültig. Ab sofort können Betroffene durch die Aufsichtsbehörden prüfen lassen, ob und wie ihre Daten bei einer Datenübermittlung in die USA geschützt sind. Der EuGH hat mit seiner Entscheidung damit die umfassende Zuständigkeit der unabhängigen Datenschutzbehörden in Europa bestärkt, die auch durch die EU-Kommission nicht eingeschränkt werden können.
Die Frage lautet nun, wie sich deutsche und europäische Unternehmen verhalten sollen, wenn sie weiterhin personenbezogene Daten in die USA übermitteln wollen. Erwartet wird, dass nun Alternativen für einen legalen Datentransfer in die USA erarbeitet werden. Bis zu deren Verabschiedung dürfte jedoch noch einige Zeit vergehen.
1) Aktuelle gesetzeskonforme Alternativen sind:
– Einwilligung § 4a BDSG
Die sicherste Möglichkeit wäre, vom Betroffenen eine Einwilligung einzuholen. Allerdings muss sich der Betroffene dazu der Tragweite seiner Entscheidung bewusst sein, damit diese wirksam abgegeben wird. Die Formulierung einer solchen wirksamen Einwilligung ist alles andere als trivial. Dazu muss der Betroffene – unter anderem – frei von Zwang entscheiden und er muss die Einwilligung jederzeit widerrufen können.
Anmerkung: Der ehemalige Bundesdatenschutzbeauftragte Peter Schaar kommt zum Schluss, dass eine “pauschale Einwilligung in umfassende staatliche Überwachung durch einen Drittstaat, verbunden mit dem Verzicht auf Rechtsschutz und auf das nach EU-Recht unabdingbare Auskunftsrecht bezüglich der eigenen Daten” unwirksam ist.
EU-Standardvertragsklauseln
EU-Standartvertragsklauseln wurden von der EU-Kommission für die Übermittlung von personenbezogenen Daten in Drittländer festgelegt. Damit soll die Einhaltung eines angemessenen Datenschutzniveaus sichergestellt werden. Sie haben auch den Vorteil, dass sie sich vergleichsweise leicht zwischen den Vertragspartnern umsetzen lassen. Allerdings besteht auch hier ebenfalls kein Schutz vor potentiellen staatlichen Zugriffen amerikanischer Behörden auf ebendiese personenbezogene Daten. Daher kann dieses Instrument der europäischen Kommission ebenfalls gekippt werden.
Binding Corporate Rules
Hierbei handelt es sich um verbindliche Konzernregelungen. Im Vergleich zu den EUStandardvertragsklauseln sind BCR flexibler und können vor allem individuell an den Konzern angepasst werden. Durch ihre Verwendung können weltweit einheitliche Datenschutzstandards auf recht hohem Niveau festgelegt werden, zumal es einer Genehmigung durch die Aufsichtsbehörden bedarf. Aufgrund des größeren Aufwands dauert die Einführung und Umsetzung aber oft ein bis zwei Jahre. Somit ist die Umsetzung ein nicht zu unterschätzender Kostenfaktor. EU- Standardvertragsklauseln sind demgegenüber praktikabler, da keine Modifikationen vom Unternehmen möglich sind, und damit keine Vertragsverhandlungen anfallen. Daneben kann mit dem Abschluss von einer Legitimation des Datentransfers ausgegangen werden.
2) Aufstellen von Servern durch US-Unternehmen in Europa?
Diese Meinung ist nur scheinbar ein Lösungsansatz, denn die Tochter eines US-Unternehmen ist nach amerikanischer Justiz-Auffassung dem amerikanischen Recht unterworfen. Nach dem “Patriot Act” müssen auch Daten in anderen Ländern von US-Unternehmen herausgegeben werden, so dass letztlich ein Datenschutz nach den deutschen Gesetzen nicht besteht, da ein einfacher Transfer in die USA gerade nicht stattfinden darf.
PDF Download:
Bericht zur EU-Datenschutz-Grundverordnung vorgelegt