Unternehmen nach dem Ende von Safe Harbor: "Erst Alter­na­tiven zur Kunden-Einwil­li­gung prüfen"

von Pia Lorenz

07.10.2015

Nachdem der EuGH die Safe-Harbor-Grundsätze  für unwirksam erklärte, übermitteln viele Unternehmen Daten ohne Rechtsgrundlage in die USA. Julia Dönch erklärt im Interview, wann das gefährlich wird und was Unternehmen nun tun sollten.

LTO: Nach der Entscheidung des EuGH, die Safe-Harbor-Grundsätze für unwirksam zu erklären, fragen sich alle, was genau das für Unternehmen mit Sitz in Europa bedeutet. Die Antworten bleiben bislang recht inkonkret. Versuchen wir es langsam: Welche Unternehmen sind eigentlich betroffen?

Dönch: Betroffen sind alle Unternehmen, die personenbezogene Daten in der EU erheben und diese in die USA übermitteln. Diese Art der Übermittlung kann dabei in vielfältiger Weise erfolgen: In Betracht kommen z.B. die Übermittlung der Daten an oder die Abrufbarkeit durch konzernverbundene Unternehmen in den USA.  Aber auch bei der Nutzung von Cloud-Computing-Dienstleistungen aus den USA werden regelmäßig personenbezogene Daten übermittelt.

LTO: Auch Juristen geben nach der Entscheidung des EuGH die Auskunft, dass das Fehlen einer Rechtsgrundlage nichts daran ändert, dass täglich vielfach Daten über den Atlantik transferiert werden – ein Zustand also, den man jetzt zunächst einmal hinnehmen muss?

Julia DönchDönch: Soweit sich Unternehmen im transatlantischen Rechtsverkehr bislang auf die Safe Harbour-Grundsätze berufen haben, ist das ab sofort nicht mehr zulässig. Unternehmen mit Sitz in der EU müssen die Übermittlung personenbezogener Daten in die USA daher nun auf eine andere Grundlage stellen, um nicht gegen geltendes Datenschutzrecht zu verstoßen.

Auch nach der Entscheidung des EuGH werden aber ohne Frage personenbezogene Daten in die USA transferiert werden - schon alleine des internationalen Handels wegen. Letztlich bleibt abzuwarten, wie die Datenschutzbehörden mit dieser Situation umgehen. Es liegt auf der Hand, dass die meisten Unternehmen nach dem EuGH-Urteil hier nicht einfach einen "Hebel umlegen" können. Das wissen natürlich auch die Aufsichtsbehörden.

Nur wer mit Safe Harbor arbeitete, muss nun handeln

LTO: Gibt es denn Fälle, in denen für Unternehmen, die Daten in die USA übermitteln, das Entfallen der Safe-Harbor-Grundsätze unschädlich ist?

Dönch: Ja, denn auch schon vor der Entscheidung des EuGH haben nicht alle Unternehmen, die personenbezogene Daten übermitteln, dies auf Basis von Safe Harbor getan. Wenn Unternehmen schon bislang die Übermittlung der Daten in die USA beispielsweise auf die sog. EU-Standardvertragsklauseln gestützt haben, resultiert aus dem Aus für Safe Harbor derzeit kein Handlungsbedarf.

So bleibt zum Beispiel im Rahmen von Online-Shopping die zur Vertragserfüllung erforderliche Übermittlung personenbezogener Daten von Deutschland in die USA nach § 28 Bundesdatenschutzgesetz (BDSG) zulässig.

LTO: Worum handelt es sich bei den EU-Standardvertragsklauseln?  

Dönch: Die EU-Kommission hat entschieden, dass für eine Datenübermittlung aus EU-Mitgliedstaaten in die USA von einem ausreichenden Datenschutzniveau auszugehen, also die Datenübermittlung erlaubt ist, wenn zwischen den beteiligten Unternehmen die Geltung der sog. EU-Standardvertragsklauseln vereinbart wird.

Diese beinhalten eine Vielzahl datenschutzrechtlicher Bestimmungen. Vereinbaren ein Datenexporteur wie zum Beispiel ein Unternehmen mit Sitz in Deutschland und ein Datenimporteur in den USA für die Übermittlung personenbezogener Daten die Geltung dieser Klauseln, ist nach der bisherigen Auffassung der EU-Kommission ein ausreichendes Datenschutzniveau hergestellt.

Zitiervorschlag

Pia Lorenz, Unternehmen nach dem Ende von Safe Harbor: "Erst Alternativen zur Kunden-Einwilligung prüfen" . In: Legal Tribune Online, 07.10.2015 , https://www.lto.de/persistent/a_id/17129/ (abgerufen am: 26.06.2022 )

Infos zum Zitiervorschlag