Zum Inhalt springen Zur Navigation springen
Deutsche Aufsichtsbehörden reagieren auf Safe Harbor-Urteil des EuGH

Deutsche Aufsichtsbehörden reagieren auf Safe Harbor-Urteil des EuGH

Common Sense siegt über Maximalforderungen: Im Gegensatz zur Schleswig-Holsteinischen Aufsichtsbehörde reagieren die Datenschutzbeauftragten des Bundes und der Länder auf das Urteil nicht mit der Androhung von Bußgeldern, sondern mit Handlungsaufrufen an alle Beteiligten und sogar mit einigen praxisorientierten Hinweisen.

Gute Nachrichten für Unternehmen

Unternehmen in Deutschland können – zumindest vorläufig – personenbezogene Daten mit Unternehmen in den USA weiterhin austauschen, das ist die beruhigende Nachricht, die wir heute von den zuständigen Aufsichtsbehörden vernommen haben. Eine einzelne Behörde, nämlich das Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD), sorgte vor zwei Wochen mit einer frühen Stellungnahme für Aufregung, weil es die Übermittlung personenbezogener Daten in die USA weitgehend für unzulässig hält.

Die Datenschutzkonferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) hat sich am Mittwoch auf eine gemeinsame Position zum Safe Harbor-Urteil des Europäischen Gerichtshofs geeinigt und das Positionspapier heute veröffentlicht. Darin nehmen die Datenschutzbeauftragten Stellung zur Rechtsgrundlage für Übermittlungen in die USA, geben einige konkrete Hinweise für Unternehmen und rufen alle Unternehmen, den deutschen Gesetzgeber und die EU-Kommission auf, aus dem Urteil Konsequenzen zu ziehen.

Rechtsgrundlage: Zeichnet sich eine Lösung ab?

Nach der EuGH-Entscheidung kann die Übermittlung personenbezogener Daten in die USA nicht mehr auf die Grundsätze des Safe Harbour-Abkommens gestützt werden. Das richtungsweisende Urteil wirkt sich aber auch auf die übrigen Rechtsgrundlagen aus, wie die Datenschutzbeauftragten betonen:

Im Lichte des Urteils des EuGH ist auch die Zulässigkeit der Datentransfers in die USA auf der Grundlage der anderen hierfür eingesetzten Instrumente, etwa Standardvertragsklauseln oder verbindliche Unternehmensregelungen (BCR), in Frage gestellt.

Neben Standardvertragsklauseln und verbindlichen Unternehmensregeln kommt als Rechtsgrundlage noch die Einwilligung derjenigen Person in Betracht, deren Daten übermittelt werden sollen. Im Gegensatz zum ULD schließen die Datenschutzbeauftragten des Bundes und der Länder eine Einwilligung nicht grundsätzlich aus. Nur wiederholte, massenhafte oder routinemäßige Datentransfers können nicht darauf gestützt werden, wobei es ohnehin meist nicht praktikabel sein dürfte, in diesen Fällen eine Einwilligung von allen Betroffenen einzuholen.

Der einzig praktikable Weg, personenbezogene Daten datenschutzkonform in die USA und andere Drittstaaten zu übermitteln sind Standardvertragsklauseln. Während das ULD diese Lösung kategorisch ablehnt, halten es die übrigen Aufsichtsbehörden für möglich, die

Standardvertragsklauseln an die in dem EuGH-Urteil gemachten Vorgaben anzupassen.

Wird die EU-Kommission also ihre Entscheidungen zu den Standardvertragsklauseln überarbeiten, sodass dieser Weg weiterhin offen bleibt? Zumindest gibt es Anzeichen dafür, dass deutsche Aufsichtsbehörden in größerem Umfang von Ihren Prüfungskompetenzen Gebrauch machen werden als bisher. Die Behörden betonen in ihrem Positionspapier, dass sie Datenübermittlungen auf Grundlage von Standardvertragsklauseln viel umfänglicher prüfen dürfen, als es in den derzeitigen Kommissionsentscheidungen vorgesehen ist.

Konkrete Hinweise und offene Fragen

Für den Datenexport in die USA und andere Drittländer weisen die Aufsichtsbehörden auf die Orientierungshilfe „Cloud Computing“ und die Entschließung „Gewährleistung der Menschenrechte bei der elektronischen Kommunikation“ hin. Insbesondere die Anlage zu der Entschließung enthält konkrete technische und organisatorische Maßnahmen, um personenbezogene Daten bei der Übermittlung zu schützen.

Allerdings erhalten Unternehmen keine konkrete Auskunft darüber, auf welche Rechtsgrundlage sie Daten in die USA übermitteln dürfen, bis die Rechtslage geklärt ist. Wegen der unklaren Rechtslage kann man von den Datenschutzbeauftragten des Bundes und der Länder eine solche Auskunft zwar nicht erwarten. Doch wenn die Behörden in der entscheidenden Frage die Antwort schuldig bleiben, können sie dann die Unternehmen nachdrücklich auffordern,

unverzüglich ihre Verfahren zum Datentransfer datenschutzgerecht zu gestalten?

Zumindest bis Ende Januar 2016 gilt eine Schonfrist, in der wahrscheinlich keine Bußgelder verhängt werden. Diese Frist aus der Stellungnahme der nationalen Aufsichtsbehörden der EU (Artikel 29-Gruppe) haben die deutschen Behörden ausdrücklich begrüßt.

Handlungsaufforderungen in alle Richtungen

Nicht nur die Unternehmen werden aufgefordert, auf das EuGH-Urteil zu reagieren. Auch die Bundesregierung, der Bundestag sowie Kommission, Rat und Parlament der EU werden in die Pflicht genommen. Die zentrale Forderung lautet:

Die Kommission wird aufgefordert, in ihren Verhandlungen mit den USA auf die Schaffung ausreichend weitreichender Garantien zum Schutz der Privatsphäre zu drängen. Dies betrifft insbesondere das Recht auf gerichtlichen Rechtsschutz, die materiellen Datenschutzrechte und den Grundsatz der Verhältnismäßigkeit.

Damit verleihen die Datenschutzbeauftragten des Bundes und der Länder einer ähnlichen Forderung der Artikel 29-Gruppe Nachdruck. Erzwingen können die deutschen und europäischen Aufsichtsbehörden aber nichts. Selbst wenn die Kommission Verhandlungen anbietet, müssen sich die zuständigen Regierungsbehörden der USA nicht darauf einlassen, geschweige denn auf die Forderung, weitreichende Garantien zum Schutz der Privatsphäre von EU-Bürgern zu gewähren.

Ob Verhandlungen schon vor Januar 2016 aufgenommen werden, erscheint daher fraglich. Wie werden die Aufsichtsbehörden reagieren, wenn nach Ablauf der Frist eine Klärung der Rechtslage noch nicht in Sicht ist? Werden Sie dann eher geneigt sein, sich den Maximalforderungen des ULD anzuschließen? Wenn der Datenverkehr mit den USA weitgehend untersagt wird, würde die Auseinandersetzung vor allem auf dem Rücken der Unternehmen ausgetragen.

Bleibt also zu hoffen, dass sich der gesunde Menschenverstand auch langfristig durchsetzt.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • „Bleibt also zu hoffen, dass sich der gesunde Menschenverstand auch langfristig durchsetzt.“

    Was ist der „gesunde Menschenverstand“? Die Verweigerungstaktik der USA einfach hinnehmen?

    Die USA werden gar nichts tun, um EU-Bürgern ernsthaft mehr Rechte zu gewähren. Damit wird es am Ende heißen: „Friss oder stirb!“. Entweder wir Europäer akzeptieren, keinerlei Rechte gegenüber den USA zu haben oder wir können keine US-Internetdienste mehr nutzen.

    • Die Haltung der USA ist mit „Verweigerungstaktik“ zu einseitig beschrieben. Immerhin hat das Repräsentantenhaus den Judicial Redress Act verabschiedet. Das sind zwar nur ganz kleine Schritte. Aber gibt es eine Alternative zu den kleinen Schritten? Dem ULD schwebt anscheinend vor, den Datenverkehr mit den USA auszusetzen, bis dort ein angemessenes Schutzniveau hergestellt worden ist. Man kann sich durchaus darüber streiten, ob diese Position geeignet ist, um als Datenschützer ernst genommen zu werden.

  • Genug auf das ULD eingedroschen! Es ist unseriös weiterhin nachzutreten! Nur wenn alle Datenschützer zusammenhalten und auch mit Meinungsvielfalt im Innenverhältnis umgehen lernen, können wir im Kampf für Datenschutz überhaupt ernst genommen werden und etwas erreichen.

    • Die deutschen Aufsichtsbehörden haben schon 2013 das Safe Harbor-Abkommen und auch Standardvertragsklauseln mit guten Gründen in Frage gestellt. Unmittelbar nach dem Urteil des EuGH Bußgelder anzudrohen, hat aber gerade nichts mit Meinungsvielfalt zu tun, sondern eher mit der einseitigen Durchsetzung einer bestimmten Auffassung. Die „Meinung“ des ULD kann für Unternehmen in Schleswig-Holstein schon jetzt ganz konkrete Folgen haben. Eine besonnene Reaktion in Abstimmung mit anderen Behörden und Übergangsfristen zur Bewertung der Rechtslage können auch hilfreich sein, um ernst genommen zu werden.

  • „Auseinandersetzung vor allem auf dem Rücken der Unternehmen austragen“
    1. Es könnte sein, dass eine Datenspeicherung in Europa durchaus zumutbar wäre, wenn die Unternehmen einige Monate Vorlauf bekommen. Eine sofortige Aussetzung ist hingegen eine Katastrophe und deshalb tatsächlich unklug, vorzuschlagen.
    2. Wer, wenn nicht US Unternehmen könnten wirklichen Druck auf die US Verhandlungspartner ausüben?

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.