- Anzeigen -

Sie sind hier: Home » Recht » Datenschutz und Compliance

Kritik an Safe Harbour & die Entscheidung des EuGH


Safe Harbour-Entscheidung: Hintergrundinformationen und mögliche Konsequenzen
Datenschützer bezweifelten schon seit langem, ob US-Unternehmen alleine aufgrund der Anerkennung der Safe Harbour-Grundsätze datenschutzrechtlich wirklich als "sichere Häfen" anzusehen waren

(29.10.15) - Der Europäische Gerichtshof (EuGH) hat das Safe Harbour-Abkommen zum Austausch personenbezogener Daten zwischen der Europäischen Union und den USA für ungültig erklärt (Az. C-362/14). Die Datenschutz-Experten des BDO haben einige Informationen hierzu zusammengestellt und auch mögliche Konsequenzen der Entscheidung aufgezeigt.

1. Was war Safe Harbour?
Die Datenschutzrichtlinie (Richtlinie 95/46/EG) und das Bundesdatenschutzgesetz (BDSG) verbieten die Übermittlung personenbezogener Daten aus EU-Mitgliedstaaten in Staaten, die über kein Datenschutzniveau verfügen, das dem der EU-Mitgliedstaaten entspricht. Ein solches "Defizit" hinsichtlich des Datenschutzes besteht unter anderem im Hinblick auf die USA, bleibt das US-Datenschutzrecht doch weit hinter dem EU-Datenschutzrecht zurück.

In der Praxis besteht aber ein großes Bedürfnis, personenbezogene Daten aus EU-Mitgliedstaaten in die USA zu übermitteln. Vor diesem Hintergrund entstanden die sog. Safe Harbour-Grundsätze:

>> US-Unternehmen können sich im Wege einer Selbstverpflichtung bestimmten datenschutzrechtlichen Prinzipien unterwerfen und diese Selbstverpflichtung in einer Liste des US-Handelsministeriums registrieren lassen.
>> Das US-Handelsministerium kann Verstöße gegen die Safe Harbour-Grundsätze ahnden.
>> Die EU-Kommission entschied im Jahr 2000, dass bei US-Unternehmen, die sich den Safe Harbour-Grundsätzen unterworfen haben, von einem ausreichenden Datenschutzniveau auszugehen sei. Folglich konnte die Übermittlung personenbezogener Daten an solche US-Unternehmen auch aus EU-Mitgliedstaaten rechtmäßig erfolgen.

Viele US-Unternehmen unterwarfen sich daraufhin den Safe Harbour-Grundsätzen, transatlantische Datenübermittlungen wurden seitdem regelmäßig mit den Safe Harbour-Grundsätzen legitimiert.

2. Kritik an Safe Harbour und die Entscheidung des EuGH
Datenschützer bezweifelten allerdings schon seit langem, ob US-Unternehmen alleine aufgrund der Anerkennung der Safe Harbour-Grundsätze datenschutzrechtlich wirklich als "sichere Häfen" anzusehen waren.

Im Zusammenhang mit einem Rechtsstreit über Datenschutz bei Facebook hatte schließlich der EuGH über das Safe Harbour-Konstrukt zu entscheiden. Der EuGH teilte in seinem Urteil vom 6. Oktober 2015 die Auffassung von Datenschützern und dem Generalanwalt beim EuGH, dass vor dem Hintergrund der in den USA rechtlich zulässigen umfangreichen Datenspeicherung von personenbezogenen Daten aus EU-Mitgliedstaaten von einem angemessenen Datenschutzniveau nicht ausgegangen werden könne – auch wenn sich US-Unternehmen den Safe Harbour-Grundsätzen unterwerfen.

Die entsprechende Entscheidung der EU-Kommission aus dem Jahr 2000 hat der EuGH daher nun für ungültig erklärt. Auf die Safe Harbour-Grundsätze kann daher die Übermittlung personenbezogener Daten aus EU-Mitgliedstaaten in die USA ab sofort nicht mehr gestützt werden.

3. Konsequenzen für die Praxis und Handlungsbedarf
Die Datenübermittlung in die USA ist von Unternehmen, die ihren Sitz in der EU haben, somit auf eine neue rechtliche Grundlage zu stellen. Soweit sich Ihr Unternehmen im transatlantischen Rechtsverkehr bislang auf die Safe Harbour-Grundsätze berufen hat, sollten Sie sich daher umgehend mit folgenden Fragen auseinandersetzen:

Kann Ihr Unternehmen die Datenübermittlung in die USA auf eine gesetzliche Grundlage stützen, so dass das Entfallen der Safe Harbour-Grundsätze unschädlich ist?
Dies ist regelmäßig z.B. dann der Fall, wenn die Übermittlung der Daten zur Vertragserfüllung erforderlich ist (Online-Shopping etc.).

Kommen die EU-Standardvertragsklauseln als Grundlage für die künftige Datenübermittlung in die USA in Betracht?
Die EU-Kommission hat entschieden, dass für eine Datenübermittlung aus EU-Mitgliedstaaten in die USA von einem ausreichenden Datenschutzniveau auszugehen und somit die Datenübermittlung erlaubt ist, wenn zwischen den beteiligten Unternehmen die Geltung der sog. EU-Standardvertragsklauseln vereinbart werden.

Kommen die Binding Corporate Rules als Grundlage für die künftige Datenübermittlung in die USA in Betracht?
Diese Möglichkeit bietet sich vor allem internationalen Konzernen: Diese können konzernintern verbindliche Regelungen zum Datenschutz aufstellen, um ein angemessenes Datenschutzniveau herzustellen.

Ist die Einwilligung der betroffenen Personen erforderlich?
Sofern keine dieser Grundlagen für die Übermittlung der personenbezogenen Daten von EU-Mitgliedstaaten in die USA zutrifft, muss von den betroffenen Personen die Einwilligung in die Datenübermittlung in die USA eingeholt werden.
(BDO: ra)

BDO Wirtschaftsprüfungsgesellschaft: Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Datenschutz und Compliance

  • Schutz der Privatsphäre

    Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) bemängelt eine veröffentlichte Studie zu den hypothetischen Auswirkungen der geplanten E-Privacy-Verordnung. Die Studie des WIK Instituts konzentriert sich einseitig auf die vermeintlich negativen Folgen für das Online-Werbegeschäft und ignoriert dabei potenzielle Chancen, die sich für die Branche aufgrund der Änderungen ergeben könnten.

  • Fünf Jahre Transparenzgesetz

    Mehr als fünf Jahre nach Inkrafttreten des Hamburgischen Transparenzgesetzes stellt dieses auch heute noch ein Gesetzeswerk mit Strahlkraft für andere Bundesländer dar, mitunter sogar für andere Mitgliedstaaten der EU. Auch die Bundesregelung zum Informationsfreiheitsgesetz, die mehr als zehn Jahre nach Erlass kaum noch zeitgemäß erscheint, könnte vom hamburgischen Regelwerk durchaus weiterführende Impulse erhalten. Hierzu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: "Dass das Hamburgische Transparenzgesetz bundesweit Maßstäbe gesetzt hat, ist sehr erfreulich. Das Gesetz hat aber bereits seit Inkrafttreten verschiedene Schwachstellen und ist natürlich nur so gut wie seine Umsetzung. Optimierungsbedarf besteht daher sowohl im legislativen als auch im Vollzugsbereich."

  • Überprüfung der Privacy Shield-Entscheidung

    Die Artikel 29-Gruppe der europäischen Datenschutzbehörden hat von der EU-Kommission Nachbesserungen am Privacy Shield für die Übermittlung von personenbezogenen Daten in die USA gefordert. Derzeit hält es die Artikel 29-Gruppe für fraglich, ob Daten von EU-Bürgern in den USA so gut geschützt werden wie in der EU. Die europäischen Datenschutzbehörden haben die Europäische Kommission aufgefordert, in Nachverhandlungen mit der US-Regierung entscheidende Verbesserungen des Privacy Shield-Mechanismus zu erzielen. Die Datenschutzbehörden halten es nach der ersten gemeinsamen Überprüfung des Privacy Shield weiterhin für fraglich, ob das vom Privacy Shield geschaffene Datenschutzniveau in den USA tatsächlich der Sache nach gleichwertig mit dem Datenschutzniveau in der EU ist. Dies hatte der Europäische Gerichtshof (EuGH) im sogenannten Schrems-Urteil gefordert, durch das die Vorgängerregelung Safe Harbor gekippt wurde.

  • Strengere Regeln für das Tracking

    Anlässlich des Weltinternettages wies die Bundesdatenschutzbeauftragte Andrea Voßhoff auf die wachsende Bedeutung des digitalen Datenschutzes hin. Gemeinsam mit den Datenschutzbeauftragten der Länder hat sie Herausforderungen für die neue Legislaturperiode benannt. Vor 48 Jahren, am 29. Oktober 1969, wurde von einem kalifornischen Universitätscomputer aus die erste Botschaft über das Internet versendet. Zum Jahrestag dieser bahnbrechenden Neuerung verweist die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Andrea Voßhoff, auf die Bedeutung des Internets für Freiheit und informationelle Selbstbestimmung.

  • Urteil leider einen Rückschritt

    Das Verwaltungsgericht Hamburg hat mit einer veröffentlichten Entscheidung (http://justiz.hamburg.de/aktuellepresseerklaerungen/9754222/pressemitteilung/) eine zentrale Rechtsfrage vorläufig geklärt, die die hamburgische Verwaltung seit dem Inkrafttreten des Hamburgischen Transparenzgesetzes beschäftigt hat. Hintergrund des Rechtsstreits ist die im Hamburgischen Transparenzgesetz enthaltene Pflicht, Informationen nicht nur auf Antrag herauszugeben, sondern auch proaktiv im Transparenzportal (http://transparenz.hamburg.de/) zu veröffentlichen.