EuGH kippt Safe-Harbor, Oktober 2015

Zusammenfassung:

  • EuGH kippt "Safe Harbor".
  • Aktuell bieten sich die Nutzung von EU-Standardvertragsklauseln oder "Binding Corporate Rules" für die Datenübermittlung in die USA an.
  • Wir erwarten: Nach einer kurzen Übergangsphase werden die Aufsichtsbehörden den auf Safe-Harbor basierenden Datenverkehr unterbinden.
  • Analysieren Sie jetzt Ihren Datentransfer in die USA, um notwendige Umstellungen anzustoßen.

Was ist passiert?

Der EuGH entschied in seinem Urteil vom 06.10.2015 (Az: C-362/14), dass das Safe-Harbor-Abkommen nicht geeignet ist, Datentransfer in die USA zu legitimieren.

Die EU-Datenschutzrichtlinie – und daraus abgeleitet das nationale deutsche Datenschutzrecht – erlaubt den Datenexport in außereuropäische Drittstaaten (u. a. USA) nur, wenn dort ein ausreichendes Datenschutzniveau gewährleistet ist. Das Safe-Harbor-Abkommen zwischen der EU und den USA erlaubte es Unternehmen, personenbezogene Daten aus Europa an selbstzertifizierte Unternehmen in die USA zu übermitteln. Dem EuGH zufolge bietet jedoch das Safe-Harbor-Abkommen kein ausreichendes Schutzniveau für die personenbezogenen Daten aus Europa. Er hat den entsprechenden legitimierenden Rechtsakt der Kommission für nichtig erklärt. Außerdem hat der EuGH erneut die Unabhängigkeit und Prüfungskompetenz der Datenschutzaufsichtsbehörden gestärkt.

Gibt es Alternativen zu Safe-Harbor?

Das Urteil betrifft unmittelbar nur Datentransfers, die auf dem Safe-Harbor-Abkommen beruhen. Alternative Absicherungen des Datentransfers kommen weiterhin in Betracht. So können Datenübermittlungen insbesondere derzeit noch auf die EUStandartvertragsklauseln (ggfs. über ein Framework Agreement konzernweit implementiert / ausgerollt) oder „Binding Corporate Rules“ (insbesondere für konzerninternen Datentransfer) gestützt werden.

Wie geht es weiter?

Unklar ist derzeit noch, wie die Datenschutzaufsichtsbehörden mit dem Urteil des EuGH umgehen. Wir erwarten, dass die Aufsichtsbehörden nach einer überschaubaren Übergangszeit den Datentransfer auf Basis des Safe-Harbor-Abkommens unterbinden werden. Die Übergangszeit sollte genutzt werden, um den Datentransfer alternativ abzusichern. Offen ist allerdings noch, ob die EU-Standartvertragsklauseln den strengen inhaltlichen Vorgaben standhalten werden, die der EuGH mit dem heutigen Urteil aufgestellt hat. Der EuGH hat allerdings ein sog. Verwerfungsmonopol für die legitimierenden Rechtsakte der EU-Kommission. So lange die Beschlüsse der Kommission zu den Standardvertragsklauseln also nicht durch den EuGH für nichtig erklärt werden, bleiben diese Standardvertragsklauseln grundsätzlich ein für den Datentransfer in die USA geeignetes Mittel. Allerdings können die Aufsichtsbehörden im konkreten Einzelfall den Datentransfer untersagen, wenn die Betroffenenrechte nicht gewahrt sind, wie der EuGH heute ebenfalls entschied.

Was ist aktuell zu tun?

  1. Nutzen Sie die Übergangszeit.
  2. Analysieren Sie Ihre Datenübermittlungen in die USA: Welche Übermittlungen basieren auf der Safe-Harbor-Zertifizierung? Oftmals werden Cloud-Lösungen und Software-as-a-Service-Produkte unter der Safe-Harbor-Zertifizierung angeboten.
  3. Fragen Sie Ihren Anbieter nach kurzfristig umzusetzenden Alternativen zu Safe-Harbor, beispielsweise bei Cloud-basierten Produkten nach einem Serverstandort in Europa oder nach Standardvertragsklauseln.
  4. Konzerndatentransfer: Sofern der Datentransfer innerhalb Ihrer Unternehmensgruppe auf Safe-Harbor basiert (z. B. die konzernweite Personalverwaltung oder konzerninterne CRMDatenbanken), sollten sie kurzfristig alternative Absicherungsmittel, z. B. auf Basis der Standardvertragsklauseln in Betracht ziehen.
  5. Nehmen Sie notfalls Kontakt zu der für Sie zuständigen Datenschutzaufsichtsbehörde auf. Wir können auf Wunsch als zur Verschwiegenheit verpflichtete Berater anonym Sachverhalte und Vorgehensweisen mit den Behörden abstimmen.
  6. Warten Sie nicht auf die Datenschutz-Grundverordnung. Die neue EU-weite Regulierung wird zwar sehr wahrscheinlich in 2016 kommen. Allerdings bringt sie bei den Anforderungen im internationalen Datentransfer zur Absicherung des Datenschutzniveaus kaum Erleichterungen für die datenexportierenden Unternehmen.