Safe-Habor-Programm

Safe-Harbor ist ungültig – was tun?

Seit dem Urteil des Europäischen Gerichtshofes (EuGH) vom 06.10.2015 (C 362/14) ist klar: Das Safe-Harbor-Programm ist ungültig. Der EuGH hat die entsprechende Entscheidung der EU-Kommission (2000/520/EG vom 26.07.2000) annulliert.

Safe-Habor-Programm

Damit entfällt ab diesem Tag die praktisch wichtigste Rechtsgrundlage für den rechtskonformen Fluss personenbezogener Daten von der Europäischen Union in die USA. Hauptargument des EuGH ist die vom Gericht gesehene Möglichkeit amerikanischer Behörden, auf den Inhalt elektronischer Kommunikation zuzugreifen, der Teil des Datentransfers zwischen der EU und den USA ist. Weiter weist das Gericht auf den nach seiner Sicht nicht vorhandenen Rechtsschutz gegen Datenzugriffe und auch nicht vorhandene Möglichkeiten, unrichtige Daten zu berichten oder löschen zu lassen hin. Damit stellte der EuGH Verstöße gegen Art. 7, 8 und 47 der Grundrechtecharta der Europäischen Union fest.

Welche Folgen hat die Entscheidung für die Praxis?

Auswirkung hat diese Entscheidung nicht nur auf die gezielte Übermittlung von Daten in die USA. Auch Cloud-Lösungen gehören nun auf den Prüfstand, wenn der Server in den USA lokalisiert ist. Klar ist, das Safe-Harbor-Programm kann nicht länger als Rechtsgrundlage für den Datenfluss in die USA dienen. Was fortbesteht, sind die EU Standard Vertragsklauseln und die Binding Corporate Rules, die nach deutschem Datenschutzrecht für ein angemessenes Datenschutzniveau für den Datenfluss in die USA sorgen können (§ 4c Abs. 2 Satz 1 BDSG). Damit blieben also mindestens zwei Rechtsgrundlagen für den datenschutzkonformen Datenfluss über den Atlantik erhalten. Daneben wird auf § 4c Abs. 1 Nr. 2 und 3 BDSG hingewiesen: Durch diese Regelungen ist, auch wenn ein angemessenes Datenschutzniveau nicht gewährleistet ist, die Übermittlung von Daten zulässig, wenn sie zur Erfüllung eines Vertrages mit oder im Interesse des Betroffenen erforderlich ist. Diese Rechtfertigung ist aber für personenbezogene Daten, insbesondere Personaldaten, wohl nicht einschlägig. Die gesetzliche Reformierung des Beschäftigtendatenschutzes lässt ohnehin weiter auf sich warten.

Leider machen die deutschen Datenschutzbehörden die Situation teilweise noch unübersichtlicher: In einem Positionspapier vom 14.10.2015, veröffentlicht durch das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (Landesbeauftragte für Datenschutz Schleswig-Holstein) ist zu lesen, auch EU Standardvertragsklauseln und Binding Corporate Rules dürften nach der Entscheidung des EuGH nicht mehr Rechtsgrundlage für den Datentransfer sein. Denn in diesen Regelungen garantierten die Datenimporteure, sie unterlägen keinen Gesetzen, die ihnen die Befolgung der Anweisungen des Datenexporteurs und die Einhaltung der vertraglichen Pflichten möglich machen. Die Datenschutzbehörde in Schleswig-Holstein meint, diese vertraglichen Pflichten könnten US-amerikanische Vertragspartner nicht einhalten. Daher will sie ab sofort – ohne Übergangsfrist – hart gegen Unternehmen, die Daten übermitteln, vorgehen, wenn sie weiter Daten auf diesen Rechtsgrundlagen in die USA übertragen.

In einer Erklärung vom 16.10.2015 der Art. 29-Arbeitsgruppe der Datenschutzaufsichtsbehörden der Europäischen Union wird aber klargestellt, dass auch nach dem Ende des Safe-Harbor-Programms die EU Standardvertragsklauseln und Binding Corporate Rules zunächst weiter eingesetzt werden dürfen. Es wird allerdings eine Frist bis zum Januar 2016 gesetzt, bis zu der eine andere angemessene Lösung mit den US-amerikanischen Behörden gefunden werden soll. Wenn bis dahin der jetzige Zustand nach dem Safe-Harbor-Konzept fortbesteht, wollen die europäischen Datenschutzbehörden weitere Maßnahmen ergreifen, einschließlich koordinierten Aktionen zum Stopp von Datenflüssen.

Was ist jetzt zu tun?

Europäische und deutsche Unternehmen, die auf Übermittlung personenbezogener Daten, vor allem Personaldaten, in die USA angewiesen sind (z.B. bei US-amerikanischen Muttergesellschaften), müssen jetzt ihr Datenschutzregime überprüfen: Falls sich die Datenübermittlung bisher nur auf das Safe-Harbor-Programm stützte, muss sofort auf EU Standardvertragsklauseln oder Binding Corporate Rules umgestellt werden. Bei den Binding Corporate Rules müssen Unternehmen beachten, dass diese von der zuständigen Datenschutzaufsichtsbehörde zu genehmigen sind (§ 4c Abs. 2 Satz 1 BDSG). Aber das ist noch nicht alles: Es ist bisher nicht klar, wie die deutschen Datenschutzbehörden in der Praxis mit dem Ende des Safe-Harbor-Programms umgehen werden.

Wirtschaftsunfreundlichen Positionen, wie die des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein stehen pragmatische Ansätze gegenüber, die zumindest eine Übergangszeit und eine Zusammenarbeit der Datenschutzbehörden mit Unternehmen favorisieren. Einen einheitlichen Ansprechpartner aber gibt es nicht, denn die Datenschutzaufsicht gemäß § 38 Abs. 6 BDSG in Deutschland ist föderal nach Bundesländern organisiert. Daher sind Ansprechpartner der Unternehmen die jeweiligen Landesdatenschutzbeauftragten. Eine Kontaktaufnahme sollte – um ein Aufgreifrisiko mit anschließendem Bußgeldverfahren auszuschließen – anonym über die datenschutzrechtlich spezialisierten Rechtsanwälte von Buse Heberer Fromm erfolgen. So können wir eine rechtssichere Lösung vorbereiten.

Seite als PDF sichern

Tags: #Compliance, #Datenschutz, #Safe Harbor, #Safe Harbor Programm

Artikel versenden