- Anzeigen -

Sie sind hier: Home » Recht » Datenschutz und Compliance

EuGH: Safe Harbor mit USA ungültig


Die Entscheidung des EuGH betrifft nicht nur das Safe Harbor-Abkommen, sondern stellt darüber hinaus jede Übermittlung personenbezogener Daten in die USA inhaltlich auf den Prüfstand
Soweit deutsche Unternehmen personenbezogene Daten in die USA übermitteln, sollte die vertragliche Grundlage der Übermittlung unverzüglich überprüft werden - Wenn die Übermittlung bisher auf Basis von Safe Harbor erfolgt ist, sollte umgehend vertraglich nachgebessert werden

(30.10.15) - Der Europäische Gerichtshof (EuGH) hat das Safe Harbor-Abkommen zwischen der EU und den USA am 06.10.2015 für ungültig erklärt (Rechtssache C-362/14). Nach dem Urteil des EuGH sind nationale Datenschutzbehörden befugt und verpflichtet, jede Übermittlung personenbezogener Daten in die USA selbst zu prüfen. Darauf machte jetzt SKW Schwarz Rechtsanwälte Steuerberater Wirtschaftsprüfer Partnerschaft mbB aufmerksam.

Die EU-Kommission hatte am 26. Juli 2000 mit ihrer Entscheidung 2000/520/EG Unternehmen in den USA, die sich den Safe Harbor-Regelungen unterwerfen, ein angemessenes Schutzniveau für personenbezogene Daten bescheinigt. Daran sind die nationalen Datenschutzbehörden nach dem Urteil des EuGH bei ihrer Prüfung nicht gebunden.

Die Entscheidung des EuGH hat weitreichende Konsequenzen für europäische Unternehmen, die personenbezogene Daten durch US-Unternehmen verarbeiten lassen oder konzernintern personenbezogene Daten mit US-Unternehmen austauschen. Gerade deutsche Aufsichtsbehörden für den Datenschutz stehen der Übermittlung personenbezogener Daten in die USA spätestens seit den Enthüllungen von Edward Snowden kritisch gegenüber.

Konkret musste sich der Europäische Gerichtshof mit der Frage beschäftigen, ob die Safe Harbor-Entscheidung der Kommission eine nationale Kontrollstelle daran hindert, eine Beschwerde über ein nicht angemessenes Schutzniveau in den USA zu untersuchen und die beanstandete Übermittlung von Daten auszusetzen. Der Kläger hatte die irische Aufsichtsbehörde aufgefordert, die Datenübermittlung der europäischen Zentrale von Facebook an Server von Facebook in den USA zu prüfen. Die irische Aufsichtsbehörde hatte diese unter Hinweis auf das Safe Harbor-Abkommen abgelehnt. In der Folge hatte der irische High Court den Europäischen Gerichtshof angerufen.

Der EuGH hat nun entschieden, dass die Befugnisse der nationalen Aufsichtsbehörden durch das Safe Harbor-Abkommen nicht beschränkt werden. Die Kommission habe gar keine Kompetenz, die Befugnisse der nationalen Datenschutzbehörden zu beschränken.

Nach dem Urteil des EuGH enthalten die Safe Harbor-Regelungen keine Beschränkungen der Rechte der US-Behörden. Die US-Behörden könnten daher im Interesse der nationalen Sicherheit, des öffentlichen Interesses und der nationalen Gesetze der USA auch Zugriff auf personenbezogene Daten nehmen, die US-Unternehmen von Bürgern oder von Unternehmen aus der EU erhalten haben. Die Safe Harbor-Regelungen verhindern also Eingriffe in die Grundrechte der Betroffenen nicht. Der EuGH kritisiert außerdem, dass es für die Betroffenen keine wirksamen Rechtsschutzmöglichkeiten gibt.

Die Entscheidung des EuGH betrifft nicht nur das Safe Harbor-Abkommen, sondern stellt darüber hinaus jede Übermittlung personenbezogener Daten in die USA inhaltlich auf den Prüfstand. Auch Binding Corporate Rules oder die Standard-Vertragsklauseln der EU-Kommission stellen nur vertragliche Regelungen zwischen Unternehmen dar, die Eingriffsmöglichkeiten der US Behörden in keiner Weise beschränken. Es ist daher denkbar, dass nationale Aufsichtsbehörden in der EU solche vertraglichen Regelungen nicht als angemessenes Schutzniveau für personenbezogene Daten anerkennen.

Die deutschen Aufsichtsbehörden hatten bereits im April 2010 empfohlen, dass sich deutsche Datenexporteure nicht auf eine behauptete Safe Harbor-Zertifizierung US-amerikanischer Unternehmen verlassen sollten. Nach dem PRISM-Skandals gaben die deutschen Datenschutzbehörden bekannt, sie würden bis auf weiteres keinen Datenexport in die USA unter dem Safe Harbor-System zulassen.

Es steht zu erwarten, dass sich die nationalen Aufsichtsbehörden demnächst zu der Entscheidung des EuGH äußern werden. Die EU-Kommission und die USA stehen bereits in Verhandlungen über ein neues Datenschutzabkommen. Wann diese Verhandlungen abgeschlossen sein werden und welche konkreten Auswirkungen ein neues Abkommen auf die Übermittlung von Daten in die USA haben wird, lässt sich derzeit noch nicht absehen. Wir werden über den weiteren Fortgang der Entwicklungen informieren und unterstützen bei Bedarf auch bei der Prüfung und Umsetzung von Sofortmaßnahmen.

Praxistipp:
Soweit deutsche Unternehmen personenbezogene Daten in die USA übermitteln, sollte die vertragliche Grundlage der Übermittlung unverzüglich überprüft werden. Wenn die Übermittlung bisher auf Basis von Safe Harbor erfolgt ist, sollte umgehend vertraglich nachgebessert werden. Ein Vertrag nach den EU-Standardvertragsklauseln erscheint derzeit als mögliche Sofortmaßnahme. Besonderes Augenmerk sollte auf den technischen und organisatorischen Maßnahmen liegen. Da ein Datenzugriff durch US-Behörden rechtlich nicht ausgeschlossen werden kann, sollten technische Maßnahmen geprüft und vereinbart werden, um den Schutz der Daten zu erhöhen. Sofern Einwilligungen der Betroffenen eingeholt werden können, sollte diese Möglichkeit geprüft werden.
(SKW Schwarz Rechtsanwälte Steuerberater Wirtschaftsprüfer Partnerschaft: ra)

SKW Schwarz: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Datenschutz und Compliance

  • Datenschutz & Gesichtserkennung

    Die Bundespolizei hat mitgeteilt, dass es sich bei den an die Testteilnehmer ausgegeben Token, mit denen über ein Referenzsystem Fehler bei der Gesichtserkennung festgestellt werden sollen, nicht um passive RFID-Chips, sondern um aktive Bluetooth-Transponder mit iBeacon-Funktion handelt. Letztere senden dauerhaft und überall Informationen, die nicht nur von den Lesegeräten der Bundespolizei am Bahnhof, sondern von jedermann mit einem Smartphone, auf dem eine entsprechende App installiert ist, empfangen werden können. Über diesen Umstand wurden die Teilnehmer im Vorfeld der Abgabe ihrer Einwilligung nicht informiert.

  • Pilotprojekt am Berliner Südkreuz

    Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat die Bundespolizei aufgefordert, von den Teilnehmern des Pilotprojekts zur biometrischen Gesichtserkennung am Berliner Bahnhof Südkreuz eine erneute datenschutzrechtliche Einwilligung einzuholen, die die Verwendung eines aktiv sendenden Bluetooth-Transponders mit einbezieht. Bis dies geschehen ist, sollte das Verfahren mangels Rechtsgrundlage ausgesetzt werden. Die Bundespolizei hat mitgeteilt, dass es sich bei den an die Testteilnehmer ausgegeben Token, mit denen über ein Referenzsystem Fehler bei der Gesichtserkennung festgestellt werden sollen, nicht um passive RFID-Chips, sondern um aktive Bluetooth-Transponder mit iBeacon-Funktion handelt.

  • Unzulässig Insolvenzdaten veröffentlicht

    Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat in den letzten Monaten zahlreiche Eingaben von Bürgerinnen und Bürgern erhalten, die sich über die Auffindbarkeit ihrer Insolvenzdaten über die Google-Suchmaschine beschwert haben. Der HmbBfDI konnte nun durchsetzen, dass die Google Inc. mehrere Internetangebote, auf denen personenbezogene Daten aus Insolvenzverfahren unzulässig veröffentlicht werden, generell nicht mehr als Suchergebnisse verlinkt. Personenbezogene Daten in Insolvenzverfahren, dazu zählen u.a. Name, Adresse, Verfahrensstand sowie Aktenzeichen, sind nach Maßgabe der Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (InsoBekV) durch eine zentrale, länderübergreifende Veröffentlichung im Internet bekannt zu machen. Die InsoBekV enthält für das amtliche Portal auch Vorschriften zur Beschränkung der Auffindbarkeit und zur Löschung von Bekanntmachungen. Insbesondere werden Suchmaschinen durch eine sog. robots.txt-Datei erfolgreich ausgeschlossen.

  • Datenschutzrechte & Überwachungsmaßnahmen

    Nach dem Urteil intensivierten die US-Regierung und die Europäischen Kommission ihre ohnehin bereits begonnen Verhandlungen zur Verbesserung der Safe Harbor-Übereinkunft, um die entstandene Lücke für rechtmäßige Datenübermittlungen in die USA zu schließen. Der von der Europäischen Kommission veröffentlichte erste Entwurf für eine EU-US Privacy Shield genannte Nachfolgevereinbarung wurde von den in der Artikel-29-Datenschutzgruppe versammelten europäischen Datenschutzbehörden einer umfassenden Prüfung unterzogen. Nachdem insbesondere Fragen der Überwachungstätigkeiten der US-Geheimdienst- und Sicherheitsbehörden und die Rechtsschutzmöglichkeiten für Betroffene im Fokus des EuGH-Urteils standen, hat die Artikel-29-Datenschutzgruppe zunächst einen aus der einschlägigen Rechtsprechung des EuGH und des Europäischen Gerichtshofs für Menschenrechte (EGMR) abgeleiteten Bewertungsmaßstab entwickelt.

  • Datenschutz und Informationsfreiheit im Umbruch

    Das Unabhängige Landeszentrums für Datenschutz Schleswig-Holstein (ULD) seinen Tätigkeitsbericht für die vergangenen zwei Jahre vorgestellt. Es handelt sich um den 36. Tätigkeitsbericht der Dienststelle. Dies ist zugleich der erste Tätigkeitsbericht der Landesbeauftragten für Datenschutz Marit Hansen, die im Juli 2015 vom Schleswig-Holsteinischen Landtag als Nachfolgerin von Dr. Thilo Weichert gewählt wurde. Der Tätigkeitsbericht beschreibt die wichtigen Entwicklungen und interessante Einzelfälle zu den Kernthemen des ULD Datenschutz und Informationsfreiheit.