Seit dem Urteil des EuGH vom 06.10.2015 (C 362/14) ist klar: Das Safe Harbor-Programm ist ungültig. Der EuGH hat die entsprechende Entscheidung der EU-Kommission (2000/520/EG vom 26.07.2000) annulliert. Damit entfällt ab diesem Tag die praktisch wichtigste Rechtsgrundlage für den rechtskonformen Fluss personenbezogener Daten von der Europäischen Union in die USA.
Hauptargument des EuGH ist die vom Gericht gesehene Möglichkeit amerikanischer Behörden, auf den Inhalt elektronischer Kommunikation zuzugreifen, der Teil des Datentransfers zwischen der EU und den USA ist. Weiter weist das Gericht hin auf den nach seiner Sicht nicht vorhandenen Rechtsschutz gegen Datenzugriffe und auch nicht vorhandene Möglichkeiten, unrichtige Daten zu berichtigen oder löschen zu lassen. Damit stellte der EuGH Verstöße gegen Art. 7, 8 und 47 der Grundrechte Charta der Europäischen Union fest.
Was fortbesteht, sind die EU Standard Vertragsklauseln und die Binding Corporate Rules, die nach deutschem Datenschutzrecht für ein angemessenes Datenschutzniveau für den Datenfluss in die USA sorgen können (§ 4c Abs. 2 Satz 1 BDSG).
Leider wird die Situation immer unübersichtlicher: In einem Positionspapier vom 14.10.2015, veröffentlicht durch das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (Landesbeauftragte für Datenschutz Schleswig- Holstein) ist zu lesen, auch EU Standardvertragsklauseln und Binding Corporate Rules dürften nach der Entscheidung des EuGH nicht mehr Rechtsgrundlage für den Datentransfer sein. Daher will man ab sofort hart gegen verantwortliche Stellen (Unternehmen, die Daten übermitteln), vorgehen, wenn sie weiter mit diesen Rechtsgrundlagen arbeiten.
In einer Erklärung vom 16.10.2015 der Art. 29-Arbeitsgruppe der Datenschutzaufsichtsbehörden der Europäischen Union wird aber klargestellt, dass auch nach dem Ende des Safe Harbor- Programms die EU Standard Vertragsklauseln und Binding Corporate Rules weiter eingesetzt werden dürfen. Es wird allerdings eine Frist bis zum Januar 2016 gesetzt, bis zu der eine angemessene Lösung mit den US-amerikanischen Behörden gefunden werden soll.
Empfehlung für die Praxis:
Unternehmen, die auf Übermittlung personenbezogener Daten, vor allem Personaldaten, in die USA angewiesen sind, müssen jetzt ihr Datenschutzregime überprüfen: Falls sich die Datenübermittlung bisher nur auf das Safe Harbor- Programm stützte, muss sofort auf EU Standard Vertragsklauseln oder Binding Corporate Rules umgestellt werden. Es ist aber bisher nicht klar, wie die Datenschutzbehörden mit dem Ende des Safe Harbor-Programms umgehen werden. Extrem wirtschaftsunfreundlichen Positionen stehen pragmatische Ansätze gegenüber, die zumindest eine Übergangszeit und eine Zusammenarbeit der Datenschutzbehörden mit Unternehmen favorisieren. Ansprechpartner sind jeweils die Landesdatenschutzbeauftragten. Eine Kontaktaufnahme sollte – um ein Aufgreifrisiko mit anschließendem Bußgeldverfahren auszuschließen – anonym z. B. über eine Rechtsanwaltskanzlei erfolgen.
Dr. Jan Tibor Lelley LL.M.
Autor:
Rechtsanwalt und
Fachanwalt für Arbeitsrecht
Dr. Jan Tibor Lelley, LL.M.
lelley@buse.de
Hauptargument des EuGH ist die vom Gericht gesehene Möglichkeit amerikanischer Behörden, auf den Inhalt elektronischer Kommunikation zuzugreifen, der Teil des Datentransfers zwischen der EU und den USA ist. Weiter weist das Gericht hin auf den nach seiner Sicht nicht vorhandenen Rechtsschutz gegen Datenzugriffe und auch nicht vorhandene Möglichkeiten, unrichtige Daten zu berichtigen oder löschen zu lassen. Damit stellte der EuGH Verstöße gegen Art. 7, 8 und 47 der Grundrechte Charta der Europäischen Union fest.
Was fortbesteht, sind die EU Standard Vertragsklauseln und die Binding Corporate Rules, die nach deutschem Datenschutzrecht für ein angemessenes Datenschutzniveau für den Datenfluss in die USA sorgen können (§ 4c Abs. 2 Satz 1 BDSG).
Leider wird die Situation immer unübersichtlicher: In einem Positionspapier vom 14.10.2015, veröffentlicht durch das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (Landesbeauftragte für Datenschutz Schleswig- Holstein) ist zu lesen, auch EU Standardvertragsklauseln und Binding Corporate Rules dürften nach der Entscheidung des EuGH nicht mehr Rechtsgrundlage für den Datentransfer sein. Daher will man ab sofort hart gegen verantwortliche Stellen (Unternehmen, die Daten übermitteln), vorgehen, wenn sie weiter mit diesen Rechtsgrundlagen arbeiten.
In einer Erklärung vom 16.10.2015 der Art. 29-Arbeitsgruppe der Datenschutzaufsichtsbehörden der Europäischen Union wird aber klargestellt, dass auch nach dem Ende des Safe Harbor- Programms die EU Standard Vertragsklauseln und Binding Corporate Rules weiter eingesetzt werden dürfen. Es wird allerdings eine Frist bis zum Januar 2016 gesetzt, bis zu der eine angemessene Lösung mit den US-amerikanischen Behörden gefunden werden soll.
Empfehlung für die Praxis:
Unternehmen, die auf Übermittlung personenbezogener Daten, vor allem Personaldaten, in die USA angewiesen sind, müssen jetzt ihr Datenschutzregime überprüfen: Falls sich die Datenübermittlung bisher nur auf das Safe Harbor- Programm stützte, muss sofort auf EU Standard Vertragsklauseln oder Binding Corporate Rules umgestellt werden. Es ist aber bisher nicht klar, wie die Datenschutzbehörden mit dem Ende des Safe Harbor-Programms umgehen werden. Extrem wirtschaftsunfreundlichen Positionen stehen pragmatische Ansätze gegenüber, die zumindest eine Übergangszeit und eine Zusammenarbeit der Datenschutzbehörden mit Unternehmen favorisieren. Ansprechpartner sind jeweils die Landesdatenschutzbeauftragten. Eine Kontaktaufnahme sollte – um ein Aufgreifrisiko mit anschließendem Bußgeldverfahren auszuschließen – anonym z. B. über eine Rechtsanwaltskanzlei erfolgen.
Dr. Jan Tibor Lelley LL.M.
Autor:
Rechtsanwalt und
Fachanwalt für Arbeitsrecht
Dr. Jan Tibor Lelley, LL.M.
lelley@buse.de
