Safe Harbor: Und was nun?

Nachdem der Europäische Gerichtshof entschieden hat, dass die Übermittlung von personenbezogenen Daten in die USA rechtswidrig ist, tritt eine gewisse Ratlosigkeit ein. Die Artikel-29-Datenschutzgruppe hat in einer Stellungnahme vom 16.10.2015 deutlich formuliert, dass nach dem EuGH-Urteil die Übermittlung personenbezogener Daten nicht mehr zulässig ist. Aus der Mitteilung aus der EU-Kommission vom 06.11.2015 ergibt sich eine ähnliche Positionierung. Auch die Datenschutzkonferenz (Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder) hat in einem Positionspapier deutlich gemacht, dass ab sofort die Datenübermittlung aufgrund der Safe Harbor Entscheidung nicht mehr möglich ist.

Für die Unternehmen ergibt sich daraus die große Schwierigkeit, dass ohne Übergangsfrist plötzlich eine neue rechtliche Situation geschaffen wurde. Mit anderen Worten: Was gestern noch richtig war, ist heute plötzlich rechtlich falsch.

Dieses Spannungsfeld hat nicht nur die Bundeskanzlerin in einer Stellungnahme thematisiert, sondern auch die Artikel-29-Datenschutzgruppe. Am 16.10.2015 wurde dazu formuliert, dass zunächst einmal bis Ende Januar 2016 eine angemessene Lösung in Zusammenarbeit mit den US-amerikanischen Behörden gefunden werden soll. Diese Formulierung lässt sich wohl dahin deuten, dass von den Datenschutzaufsichtsbehörden bis Ende Januar 2016 keinerlei Schritte ergriffen werden, wenn Unternehmen weiterhin auf Basis von Safe Harbor personenbezogene Daten in die USA übermitteln.

Allerdings kann dies im Eskalationsfall keine Grundlage für die Einforderung einer Übergangsfrist sein.

Dies insbesondere mit der Ziffer 5 des Positionspapiers der Datenschutzkonferenz. Dort wird deutlich darauf hingewiesen, dass bei Kenntnis der Datenschutzaufsichtsbehörden eine auf Safe Harbor gestützte Datenübermittlung in die USA diese sofort zu untersagen ist. So positioniert sie u. a. auch das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD). Dagegen wurde in einer mündlichen Aussage des Bayerischen Landesamtes für die Datenschutzaufsicht darauf hingewiesen, dass derzeit nicht gegen Unternehmen vorgegangen werden soll. Mit den unterschiedlichen Stellungnahmen der Aufsichtsbehörden ist damit das Chaos perfekt. Die Aufsichtsbehörden sind sich sowohl auf deutscher als auch auf europäischer Ebene völlig uneinig, wie mit der Entscheidung des EuGH umgegangen werden soll.

Wenn Unternehmen auf absolute Rechtssicherheit setzen müssen oder wollen, beispielsweise aufgrund verbindlicher interner Complienes -Vorgaben, dann muss nach dem derzeitigen Stand eine Übermittlung in die USA auf Basis von Safe Harbor-Regelungen unterbleiben.

Allerdings lässt sich auch rechtlich vertreten, bis Ende Januar 2016 im Unternehmen eine Übergangsfrist zu organisieren und danach eine Übermittlung personenbezogener Daten auf Basis von Safe Harbor zu unterlassen.

Völlig unklar ist auch, welche Alternativen es zu Safe Harbor gibt. Die sogenannten Standardvertragsklauseln (SCC) oder die Binding Corporate Rules (BCR) werden von der Entscheidung des EuGH nicht berührt. Allerdings sehen die Datenschutzaufsichtsbehörden sowohl die Standardvertragsklauseln als auch die BCR nicht uneingeschränkt als gültig. So ist es auch in Ziffer 7 des Positionspapiers der Datenschutzkonferenz formuliert. Hier heißt es, dass die Datenschutzbehörden derzeit keine neuen Genehmigungen für Datenübermittlung in die USA auf Grundlage verbindlicher Unternehmensregelungen (BCR) oder auf Basis von Datenexporterträgen erteilen werden. Mit der Bezeichnung „Datenexporterträgen“ sind wohl die Standardvertragsklauseln gemeint.

Rein formal können Unternehmen davon ausgehen, dass die EuGH-Entscheidung weder die Standardvertragsklausel noch BCR zum Gegenstand hatten. Allerdings mit der Argumentation aus dem Safe Harbor Urteil zu erwarten, dass auch diese Rechtsgrundlagen auf Dauer keinen Bestand haben. Zumindest für eine Übergangszeit lässt sich diese rechtliche Argumentation aber nutzen.

Die Alternative, für die Datenübermittlung in die USA jeweils eine Einwilligung einzuholen, ist wohl in der Praxis nicht wirklich einsetzbar. Zum einen verursacht eine solche Einholung von Einwilligungen einen erheblichen Aufwand. Zum anderen sehen die Datenschutzaufsichtsbehörden bei einem massenhaften Datentransfer eine solche Einwilligung sehr kritisch.

Eine Einwilligung beispielsweise für die Übermittlung von Personaldaten in die USA scheint bei größeren Unternehmen kaum machbar.

Insgesamt ist eine große Rechtsunsicherheit festzustellen, die auch in der nächsten Zeit nicht kurzfristig aufgelöst wird. Die französischen Aufsichtsbehörden haben beispielsweise die Stellungnahme der Artikel-29-Datenschutzgruppe übernommen. Ebenso auch die niederländische Datenschutzaufsicht. Zu erwarten ist, dass bis Ende Januar 2016 zunächst keine aufsichtsrechtlichen Schritte erfolgen werden.

 
1 Star2 Stars3 Stars4 Stars5 Stars 4 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
Ein Kommentar zu “Safe Harbor: Und was nun?
    Schreibe einen Kommentar
    Deine E-Mail-Adresse wird nicht veröffentlicht.

    Sie können folgende HTML-Tags benutzen:

    <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

    *
    *