- Anzeigen -

Sie sind hier: Home » Recht » Datenschutz und Compliance

Safe-Harbor-Entscheidung & Datenschutz


Safe Harbor ist keine ausreichende Grundlage für Datenübermittlung in die USA
Schlussantrag im Verfahren vor dem EuGH spricht deutliche Sprache

(05.10.15) - Schleswig-Holsteinische Unternehmen, die personenbezogene Daten an Geschäftspartner oder Auftragnehmer in die Vereinigten Staaten von Amerika übermitteln, haben sich bisher vor allem auf "Safe Harbor" ("Sicherer Hafen") berufen: Die Europäische Kommission hatte im Jahr 2000 eine Übermittlung personenbezogener Daten an US-amerikanische Unternehmen für zulässig erklärt, sofern sich diese den Vorgaben der sogenannten Safe-Harbor-Grundsätze unterwerfen.

Die Grundsätze dieser Safe-Harbor-Entscheidung werden seit mehreren Jahren erheblich von den Datenschutzaufsichtsbehörden kritisiert. Sie ermöglichen keine befriedigende Kontrolle für Betroffene, werden nur unzureichend durchgesetzt und sind vor dem Hintergrund der willkürlichen Überwachungsmaßnahmen der US-amerikanischen Geheimdienste nicht dazu geeignet, ein angemessenes Schutzniveau für Betroffene zu gewährleisten. Aus diesem Grund hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder im März 2015 auf Initiative des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) in einer Entschließung darauf hingewiesen, dass die Safe-Harbor-Entscheidung keinen ausreichenden Schutz für das Grundrecht auf Datenschutz bei der Übermittlung personenbezogener Daten in die USA biete.

Dieser Auffassung hat sich nun auch der Generalanwalt des Europäischen Gerichtshofs (EuGH) in dem Verfahren des österreichischen Studenten Max Schrems gegen die irische Datenschutzaufsichtsbehörde angeschlossen. Der EuGH hat in diesem Verfahren über die Frage zu entscheiden, ob die irische Aufsichtsbehörde verpflichtet war, auf Beschwerde des Studenten hin gegen die Facebook Ltd. tätig zu werden. Die irische Aufsichtsbehörde hatte dies mit Verweis auf die ausreichende Schutzwirkung der Safe-Harbor-Grundsätze verneint. Der daraufhin angerufene Irish High Court hat diese Rechtsfrage dem EuGH vorgelegt.

In diesem Verfahren hat der Generalanwalt nun seinen Schlussantrag vorgelegt und dargelegt, dass die Entscheidung der Europäischen Kommission zu "Safe Harbor" ungültig sei. Der Generalanwalt stützt sich in seinen Ausführungen unter anderem darauf, dass die Safe-Harbor-Grundsätze ungeeignet seien, massenhaften und anlasslosen Zugang zu den in die USA übermittelten Daten zu unterbinden. Zudem seien die im US-Recht vorgesehenen Kontrollbefugnisse der zuständigen amerikanischen Handelsaufsicht nicht ausreichend, um eine derartige Massenüberwachung auf Basis von solchen übermittelten Daten zu verhindern. Der EuGH wird die Argumente des Generalanwalts für seine Entscheidung prüfen.

Marit Hansen, Leiterin des ULD, sagte: "Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein hat bereits Verfahren auf Grundlage des unzureichenden Schutzniveaus gegen Unternehmen geführt; teilweise wurden sie mit Blick auf die erwartete Entscheidung des EuGH ausgesetzt. Schleswig-Holsteinischen Unternehmen wird empfohlen, den endgültigen Ausgang des Verfahrens zu beobachten und gegebenenfalls alternative Grundlagen für die Übermittlung von Daten in die USA zu prüfen. Dafür kommen insbesondere konzerninterne Regelungen (Binding Corporate Rules) und die Standardvertragsklauseln der Europäischen Union in Betracht, zu denen das ULD gerne berät. Auf europäischer Ebene wird immer deutlicher, dass eine Neuverhandlung der Datenschutzgarantien für EU-Bürgerinnen und EU-Bürger dringend nötig ist." (ULD: ra)

ULD: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Datenschutz und Compliance

  • Unterstützung bei Rechtsunsicherheiten

    Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. sieht vor dem Start der europaweiten Datenschutz-Grundverordnung (DSGVO) für Unternehmen keinen Grund zur Panik. "Bei vielen Unternehmen dominiert gerade die Furcht vor Kontrollen und Sanktionen nach dem Stichtag 25. Mai", sagte BvD-Vorstand Thomas Spaeing zur Eröffnung der BvD-Verbandstage 2018 in Berlin. Zwar könne es vereinzelt vor allem bei Unternehmen, die sich noch nicht mit den neuen Anforderungen auseinandersetzten, zu Überprüfungen kommen. Das Gros der Betriebe könnten aber nach dem Wechsel ihre Datenschutz-Prozesse weiter ausbauen. Der BvD steht zur Vorbereitung der Umstellung mit Vertretern von Bundesministerien sowie den Aufsichtsbehörden von Bund und Ländern über den Stichtag 25. Mai hinaus in engem Austausch. Unter anderem nimmt der BvD-Vorstand im Juli an einem weiteren Treffen der Verbände auf Einladung des Bundesinnen- und Bundeswirtschaftsministeriums teil.

  • Neue Herausforderungen beim Datenschutz

    Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit legt seinen 26. Tätigkeitsbericht Datenschutz für die Jahre 2016/2017 vor Im Vorfeld der ab Mai 2018 europaweit geltenden Datenschutzgrundverordnung (DSGVO) werfen die gesetzlichen Neuerungen längst ihre Schatten voraus. Datenschutzaufsichtsbehörden, aber auch die gesamte öffentliche Verwaltung sowie die Unternehmen in Europa stellen sich intensiv auf diesen Wandel ein. Diese Umstellung und Neujustierung war auch für die Behörde des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) in den letzten beiden Jahren ein bestimmender Faktor.

  • DSGVO-Compliance: Hat LDSG viele Mängel?

    Die Landesregierung von Schleswig-Holstein hat zu Beginn des Jahres einen Gesetzentwurf für ein neues Landesdatenschutzgesetz (LDSG), das für alle öffentlichen Stellen im Land gelten wird, und zur Änderung anderer Vorschriften vorgelegt. Damit soll die europäische Datenschutzreform - die EU-Datenschutz-Grundverordnung und die EU-Richtlinie für den Datenschutz bei der Verhütung und Verfolgung von Straftaten - umgesetzt werden. Leider ist der Entwurf laut ULD mit vielen Mängeln behaftet. Einige davon verstoßen sogar gegen EU-Recht. Die EU-Datenschutz-Grundverordnung gewährt allen Datenschutzaufsichtsbehörden, also auch dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD), eine Reihe von "Abhilfebefugnissen", wenn gegen Datenschutzrecht verstoßen wird. Dazu gehören z. B. die Verwarnung oder die Anweisung, personenbezogene Daten auf eine bestimmte Weise zu verarbeiten. Diese Befugnisse schränkt der Entwurf für ein neues Landesdatenschutzgesetz nun aber in europarechtswidriger Weise ein. Er sieht nämlich vor, dass das ULD in Zukunft vor der Ausübung der Abhilfebefugnisse gegenüber öffentlichen Stellen seine Erkenntnisse zunächst der jeweiligen Fach- oder Rechtsaufsichtsbehörde mitteilen und dieser Gelegenheit zur Stellungnahme geben muss.

  • Anordnung des HmbBfDI hat Bestand

    Das Klageverfahren der Google LLC vor dem Verwaltungsgericht Hamburg gegen die bereits 2014 durch den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) erlassene Anordnung auf Beachtung des Datenschutzes bei der Verarbeitung der Nutzerdaten wurde nunmehr durch Gerichtsbeschluss eingestellt. Dadurch konnte ein europaweit koordiniertes Verfahren zu einem für die Betroffenen guten Ausgang gebracht werden. Aus Anlass der Neuformulierung der Datenschutzerklärung durch Google im Jahr 2012 beauftragte die europäische Art.-29-Datenschutzgruppe eine Task-Force unter Leitung der Französischen Datenschutzaufsichtsbehörde CNIL. Diese hatte die Aufgabe, die Rechtmäßigkeit der Datenverarbeitung durch das Unternehmen zu untersuchen und die datenschutzrechtlichen Anforderungen nach Maßgabe der jeweiligen nationalen Gesetze durchzusetzen. An dieser Task- Force war neben den Aufsichtsbehörden Großbritanniens, Italiens, der Niederlande und Spaniens auch der HmbBfDI beteiligt, da Google ihren deutschen Sitz in Hamburg hat.

  • Schutz der Privatsphäre

    Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) bemängelt eine veröffentlichte Studie zu den hypothetischen Auswirkungen der geplanten E-Privacy-Verordnung. Die Studie des WIK Instituts konzentriert sich einseitig auf die vermeintlich negativen Folgen für das Online-Werbegeschäft und ignoriert dabei potenzielle Chancen, die sich für die Branche aufgrund der Änderungen ergeben könnten.