Wir verwenden Cookies auf unserer Webseite, um Ihren Besuch effizienter zu machen und Ihnen eine möglichst angenehme Nutzung bieten zu können. Indem Sie diese Website nutzen, erklären Sie sich damit einverstanden, dass wir Cookies verwenden. Bitte lesen Sie unseren DATENSCHUTZERKLÄRUNG. Dort erfahren Sie mehr über die von uns verwendeten Cookies und wie Sie diese löschen oder blockieren können.

Ende der Safe Harbor-Grundsätze nach EUGH-Urteil

EuGH: Safe Harbor-Grundsätze sind ungültig – Handlungsbedarf für Unternehmen im transatlantischen Rechts-/Datenverkehr

Der Europäische Gerichtshof (EuGH) hat am 6. Oktober 2015 das „Safe Harbor-Abkommen“ zum Austausch personenbezogener Daten zwischen der Europäischen Union und den USA für ungültig erklärt (Az. C-362/14). Hieraus ergibt sich für den transatlantischen Rechts- bzw. Datenverkehr umgehender Handlungsbedarf, von dem unter Umständen auch Sie betroffen sind. Nachfolgend geben wir Ihnen einige Hinweise zu dieser Thematik.

1. Was war Safe Harbor?

Die Datenschutzrichtlinie (Richtlinie 95/46/EG) und das Bundesdatenschutzgesetz (BDSG) verbieten die Übermittlung personenbezogener Daten aus EU-Mitgliedstaaten in Staaten, die über kein Datenschutzniveau verfügen, das dem der EU-Mitgliedstaaten entspricht. Ein solches „Defizit“ hinsichtlich des Datenschutzes besteht unter anderem im Hinblick auf die USA, bleibt das US-Datenschutzrecht doch weit hinter dem EU-Datenschutzrecht zurück.

In der Praxis besteht aber ein großes Bedürfnis, personenbezogene Daten aus EU-Mitgliedstaaten in die USA zu übermitteln. Vor diesem Hintergrund entstanden die sog. Safe Harbor-Grundsätze:

  • US-Unternehmen können sich im Wege einer Selbstverpflichtung bestimmten datenschutzrechtlichen Prinzipien unterwerfen und diese Selbstverpflichtung in einer Liste des US-Handelsministeriums registrieren lassen.
  • Das US-Handelsministerium kann Verstöße gegen die Safe Harbor-Grundsätze ahnden.

Die EU-Kommission entschied im Jahr 2000, dass bei US-Unternehmen, die sich den Safe Harbor-Grundsätzen unterworfen haben, von einem ausreichenden Datenschutzniveau auszugehen sei. Folglich konnte die Übermittlung personenbezogener Daten an solche US-Unternehmen auch aus EU-Mitgliedstaaten rechtmäßig erfolgen.

Viele US-Unternehmen unterwarfen sich daraufhin den Safe Harbor-Grundsätzen, transatlantische Datenübermittlungen wurden seitdem regelmäßig mit den Safe Harbor-Grundsätzen legitimiert.

 

2. Kritik an Safe Harbor und die Entscheidung des EuGH

Datenschützer bezweifelten allerdings schon seit langem, ob US-Unternehmen alleine aufgrund der Anerkennung der Safe Harbor-Grundsätze datenschutzrechtlich wirklich als „sichere Häfen“ anzusehen waren.

Im Zusammenhang mit einem Rechtsstreit über Datenschutz bei Facebook hatte schließlich der EuGH über das Safe Harbor-Konstrukt zu entscheiden. Der EuGH teilte in seinem Urteil vom 6. Oktober 2015 die Auffassung von Datenschützern und dem Generalanwalt beim EuGH, dass vor dem Hintergrund der in den USA rechtlich zulässigen umfangreichen Datenspeicherung von personenbezogenen Daten aus EU-Mitgliedstaaten von einem angemessenen Datenschutzniveau nicht ausgegangen werden könne – auch wenn sich US-Unternehmen den Safe Harbor-Grundsätzen unterwerfen.

Die entsprechende Entscheidung der EU-Kommission aus dem Jahr 2000 hat der EuGH daher nun für ungültig erklärt. Auf die Safe Harbor-Grundsätze kann die Übermittlung personenbezogener Daten aus EU-Mitgliedstaaten in die USA ab sofort somit nicht mehr gestützt werden.

 

3. Konsequenzen für die Praxis und Handlungsbedarf

Die Datenübermittlung in die USA ist von Unternehmen, die ihren Sitz in der EU haben, auf eine neue rechtliche Grundlage zu stellen. Soweit sich Ihr Unternehmen im transatlantischen Rechtsverkehr bislang auf die Safe Harbor-Grundsätze berufen hat, sollten Sie sich daher umgehend mit folgenden Fragen auseinandersetzen:

  • Kann Ihr Unternehmen die Datenübermittlung in die USA auf eine gesetzliche Grundlage stützen, so dass das Entfallen der Safe Harbor-Grundsätze unschädlich ist?

Dies ist regelmäßig z.B. dann der Fall, wenn die Übermittlung der Daten zur Vertragserfüllung erforderlich ist (Online-Shopping etc.).

  • Kommen die EU-Standardvertragsklauseln als Grundlage für die künftige Datenübermittlung in die USA in Betracht?

Die EU-Kommission hat entschieden, dass für eine Datenübermittlung aus EU-Mitgliedstaaten in die USA von einem ausreichenden Datenschutzniveau auszugehen und somit die Datenübermittlung erlaubt ist, wenn zwischen den beteiligten Unternehmen die Geltung der sog. EU-Standardvertragsklauseln vereinbart werden.

  • Kommen die Binding Corporate Rules als Grundlage für die künftige Datenübermittlung in die USA in Betracht?  

Diese Möglichkeit bietet sich vor allem internationalen Konzernen: Diese können konzernintern verbindliche Regelungen zum Datenschutz aufstellen, um ein angemessenes Datenschutzniveau herzustellen. Sollten für Ihr Unternehmen Binding Corporate Rules in Betracht kommen, können auf dieser Grundlage Datenübermittlungen auch in andere Staaten als die USA rechtmäßig erfolgen.

  • Ist die Einwilligung der betroffenen Personen erforderlich?  

Lässt sich keine andere Grundlage für die Übermittlung der personenbezogenen Daten von EU-Mitgliedstaaten in die USA begründen, muss von den betroffenen Personen die Einwilligung in die Datenübermittlung in die USA eingeholt werden.

 

4. BDO unterstützt Sie gerne

BDO unterstützt Ihr Unternehmen gerne bei allen Fragenstellungen, die sich nach dem Aus für die Safe Harbor-Grundsätze nun stellen. Wir überprüfen Ihre Datenschutzkonzepte und Abreden mit US-Unternehmen auf Handlungsbedarf und entwickeln Lösungen für Ihren zukünftigen Datentransfer in die USA. Gerne beraten wir Sie z.B. bei der Implementierung der EU-Standardvertragsklauseln in Ihre Vertragswerke und der Festlegung und Beschreibung der hierfür erforderlichen technischen und organisatorischen Sicherheitsmaßnahmen mit unserem interdisziplinären Team. Wir prüfen selbstverständlich auch, ob Binding Corporate Rules für Sie als Alternative in Betracht kommen. Auch bei allen Fragen rund um datenschutzrechtliche Einwilligung unterstützen wir Sie. Sprechen Sie uns gerne an!

Loading...