Update "Safe Harbor"


Am 26. Oktober 2015 haben die Datenschutzaufsichtsbehörden ein Positionspapier der Datenschutzkonferenz der Datenschutzbeauftragten des Bundes und der Länder veröffentlicht.

 

 

„Nach dem Safe-Harbor-Urteil des EuGH vom 6. Oktober 2015 ist eine Datenübermittlung aufgrund der Safe-Harbor-Entscheidung der Kommission vom 26. Juli 2000 (2000/520/EG) nicht zulässig. Im Lichte des Urteils des EuGH ist auch die Zulässigkeit der Datentransfers in die USA auf der Grundlage der anderen hierfür eingesetzten Instrumente, etwa Standardvertragsklauseln oder verbindliche Unternehmens-regelungen (BCR), in Frage gestellt.“

 

-Positionspapier vom 26.10.2015

 

 

 Soweit Datenschutzbehörden Kenntnis über Datenübermittlungen in die USA erlangen, die ausschließlich auf Safe-Harbor gestützt werden, so werden sie diese untersagen. Unternehmen müssen daher ihre Datentransfers unbedingt, soweit dies nicht bereits geschieht auf die zu stützenden Rechtsgrundlagen überprüfen und gegebenenfalls auf andere Grundlagen, wie Standardvertrags-klauseln bzw. Corporate Binding Rules umstellen. Hierbei können wir Sie gerne unterstützen. Auch diese Vorkehrungen werden keine endgültige Rechtssicherheit bieten können, jedoch stellen Sie derzeit eine der wenigen rechtlichen Möglichkeiten dar:

 

 

„Die Datenschutzbehörden werden derzeit keine neuen Genehmigungen für Datenübermittlungen in die USA auf Grundlage von verbindlichen Unternehmensregelungen (BCR) oder Datenexportverträgen erteilen.“

 

-Positionspapier vom 26.10.2015

 

 

Die Aufsichtsbehörden betrachten den Vorschlag der EU-Kommission als äußerst kritisch, die Übermittlung personenbezogener Daten über die EU- Standardvertragsklauseln oder verbindliche Unternehmensregeln (Binding Corporate Rules) zu absolvieren. Die Standardvertragsklauseln sind Vor- gaben, welche die EU-Kommission mit der US-Regierung ausgehandelt hat. Hier werden dem europäischen Verbraucher mehr Rechte eingeräumt.

 

 

Auch hier droht eine Verschärfung. Der Hamburgische Datenschutz- beauftragte Johannes Caspar erklärte, dass er dann eine Übermittlung auf Basis der Standverträge beanstanden werde, wenn die Aufsichtsbehörden die Bewertung der EU-Standartvertragsklauseln geklärt hätten. An dieser Stelle herrscht Uneinigkeit zwischen den Aufsichtsbehörden in Deutschland und der EU-Kommission und Teilen der Literatur. Die Kommission sowie einzelne Datenschutzbehörden anderer europäischer Länder legen das Urteil des EuGH wörtlich aus. Danach hat das Gericht nur das Safe-Harbor-Abkommen gekippt, jedoch die alternativen Rechtsinstrumente wie die EU-Standard-vertragsklauseln oder das Instrument der „informierten“ Einwilligung haben weiter Bestand. Die deutschen Aufsichtsbehörden wollen zu diesem Thema bis Ende Januar 2016 zu einer gemeinsamen Position kommen. Insbesondere dadurch, dass der EuGH klargestellt hat, dass er die alleinige Verwerfungs-kompetenz hat, dürften hier neue Rechtsstreite zu erwarten sein.

 

 

Vor dem Hintergrund, dass die deutschen Aufsichtsbehörden bereits ange- kündigt haben, keine neuen Transfers genehmigen zu wollen, ist an dieser Stelle dringender Handlungsbedarf angezeigt.

 

 

Alternativ zu den EU-Standardverträgen könnten Unternehmen die Be- troffenen  auch detailliert über die Verwendung ihrer Daten informieren und sie einwilligen lassen. Auch diese Rechtsgrundlage ist mit einigen Unsicherheiten verbunden, denn die Grundrechte der Betroffenen wären damit noch nicht geschützt. Die Aufsichtsbehörden wollen sie deshalb nur unter "engen Bedingungen" zulassen, wobei Daten "nicht wiederholt, massenhaft oder routinemäßig" transferiert werden dürften. Die Übermittlung von Beschäftigtendaten, auf diesen Grundlagen gestützt, welche in den USA z.B. zur Leistungs- oder Verhaltenskontrolle verarbeitet werden, ist nach Auffassung des ULD derzeit ausgeschlossen. Hier sollte unmittelbar Kontakt mit der zuständigen Aufsichtsbehörde genommen werden um eine Datenübertragung nach § 4c Abs. 2BDSG zu ermöglichen.

 

Nachstehend einige Links zu den Positionspapieren: