Datentransfers nach Safe Harbor: Schon­frist bis Ende Januar

von Dr. Marc Störing

03.11.2015

Ein Positionspapier der Aufsichtsbehörden von Bund und Ländern bezieht Stellung zu Auswirkungen des Safe Harbor-Urteils. Damit werden rechtliche Konsequenzen für die deutsche Wirtschaft absehbar – zumindest mittelfristig, sagt Marc Störing.

Vor knapp einem Monat hat der Europäische Gerichtshof (EuGH) das Safe-Harbor Abkommen zum transatlantischen Datenaustausch für unwirksam erklärt – und damit für große Unsicherheit unter den deutschen Unternehmen gesorgt (Az. C-362/14). Sie hatten sich beim Datentransfer in die USA in vielen Fällen auf eben diesen Mechanismus gestützt.

Plant ein Europäisches Unternehmen, einem anderen Unternehmen personenbezogene Daten zukommen zu lassen, unterscheidet das Europäische Datenschutzrecht die Anforderungen nach dem Sitz des die Daten erhaltenden Unternehmens. Liegt dieser in einem Land, dessen Datenschutzniveau nicht dem in der EU entspricht, sind zusätzliche Anforderungen zu erfüllen. Dies gilt insbesondere für die USA.

Dies war bislang meist unproblematisch: Im Jahr 2000 hatte die EU-Kommission mit dem US Department of Commerce einen Mechanismus festgelegt, nach dem US-amerikanische Unternehmen einseitig erklären konnten, sich an bestimmte Prinzipien zu halten; sie galten nach einer Entscheidung der EU-Kommission dann automatisch als sicherer Hafen für Europäische Daten. Diese Entscheidung erklärte der EuGH jedoch für ungültig – maßgeblich deshalb, weil es den US-Behörden gestattet sei, generell auf den Inhalt elektronischer Kommunikation zuzugreifen und Betroffene keinen Rechtsschutz hätten.

Beschränkte Alternativen

In Reaktion auf das Urteil riefen die Datenschutzbehörden der Länder und des Bundes in einem Positionspapier nun die Unternehmen auf, unverzüglich ihre Verfahren zum Datentransfer datenschutzgerecht zu gestalten. Zugleich kündigten sie an,  derzeit keine neuen Genehmigungen für zwei der Alternativen zu Safe-Harbor zu erteilen: Datenübermittlungen auf Grundlage von verbindlichen Unternehmensregelungen (BCR) oder Datenexportverträgen. Auch ein Transfer mit Einwilligung soll nur unter engen Bedingungen möglich sein, insbesondere wenn Beschäftigtendaten betroffen sind. Diese Variante war aber ohnehin selten praktikabel.

Dennoch gibt es auch weiterhin Möglichkeiten für Datentransfers in die USA. So haben die auf europäischer Ebene in der Artikel 29 Datenschutzgruppe organisierten Aufsichtsbehörden verlauten lassen, dass sie bis zum 31. Januar 2016 keine Maßnahmen ergreifen werden, soweit Datentransfers in die USA nicht auf Safe Harbor gestützt werden. Bis zu diesem Zeitpunkt soll demnach eine Lösung zwischen der EU und den USA gefunden werden, etwa durch eine Neuauflage des Safe-Harbor Abkommens unter Berücksichtigung der Bedenken des EuGH. Zudem können Unternehmen bis zum Ablauf dieser Frist noch auf bereits bestehende BCRs und auf Verträge vertrauen, die auf den so genannten Standardvertragsklauseln der EU-Kommission basieren.

Grundsätzliche Eignung bezweifelt

Diese Klauseln sind praktisch derzeit auch die einzige Möglichkeit, Aufsichtsmaßnahmen zu entgehen, zumindest noch bis Ende Januar. Was danach geschieht, ist wohl selbst den Behörden nicht klar. Denn angesichts der deutlichen Argumentation des EuGH bezweifeln sie die grundsätzliche Eignung auch dieser Instrumente. Es ist daher nicht auszuschließen, dass die Aufsicht ab Februar 2016 Maßnahmen ergreift.

Europäische Unternehmen sollten daher ihren Datenexport auf Basis von Safe Harbor dringend ersetzen. Kurzfristig helfen nur EU-Standardvertragskauseln; langfristige Sicherheit könnte Safe Harbor 2.0 bringen - oder der Wechsel aus den USA zu einem europäischen Anbieter.

Dr. Marc Störing ist Datenschutzexperte der Kanzlei Osborne Clarke.

Zitiervorschlag

Dr. Marc Störing, Datentransfers nach Safe Harbor: Schonfrist bis Ende Januar . In: Legal Tribune Online, 03.11.2015 , https://www.lto.de/persistent/a_id/17421/ (abgerufen am: 07.02.2023 )

Infos zum Zitiervorschlag