Safe Harbor vor dem Aus: Welche Alternativen haben Unternehmen?

harbor 02
News

Seit heute hat das derzeit gegen die irische Datenschutzbehörde vor dem Europäischen Gerichtshof (EuGH) in Sachen Datenschutz anhängige Verfahren einen neuen Höhepunkt erreicht: In seinem Schlussplädoyer erklärte der zuständige Generalanwalt das zwischen der EU und den USA geschlossene Safe-Harbor-Abkommen für ungültig. Der Generalanwalt kommt zu dem Schluss, dass das Abkommen ausgesetzt werden sollte.

Safe Harbor sichert Datenübermittlung in die USA

Datenschutzrechtlich sind die USA ein unsicherer Drittstaat, das dort herrschende Datenschutzniveau ist, so hat es die EU entschieden, nicht mit dem in Europa herrschenden vergleichbar. Daten an einen solchen unsicheren Drittstaat zu übermitteln, ist nur unter engen Voraussetzungen möglich. Gleichwohl haben viele Unternehmen ein Interesse daran, ihre personenbezogenen Daten an ein in den USA ansässiges Unternehmen zu übermitteln.

Um den Datenverkehr in die USA nicht in unnötigem Maße einzuschränken, hat die Europäische Kommission im Jahr 2000 entschieden, dass die Datenübermittlung in die USA dann rechtlich zulässig sein soll, wenn das die Daten empfangende Unternehmen ein Safe-Harbor-Zertifikat nachweisen kann.

Vorgehen bei der Zertifizierung nach dem Safe-Harbor-Prinzip

In den „sicheren Hafen“ kommen Unternehmen, die hinsichtlich des Datenschutzes bestimmte Prinzipien einhalten und dies gegenüber dem US-amerikanischen Handelsministerium nachweisen. Nur sie werden in das beim Handelsministerium geführte Verzeichnis Safe-Harbor-zertifizierter Unternehmen aufgenommen.

Eine Kontrolle von externen unabhängigen Stellen, ob die Unternehmen sich den datenschutzrechtlichen Prinzipien auch tatsächlich unterworfen haben und diese auch tatsächlich langfristig einhalten, findet jedoch nicht statt. Ausschlaggebend für die Zertifizierung sind allein die Angaben des Unternehmens.

Abkommen bereits seit Langem in der Kritik

Kein Wunder also, dass das Safe-Harbor-Abkommen bereits seit Jahren von europäischen Datenschützern kritisiert wird. Nicht nur der Kläger in dem aktuellen vor dem EuGH anhängigen Verfahren wundert sich, wie US-amerikanische Unternehmen in Zeiten von PRISM ein mit den europäischen Vorgaben vergleichbares Datenschutzniveau sicherstellen wollen.

Regelungslücke beim Kippen des Safe-Harbor-Abkommens

Ob der EuGH dem Antrag des Generalanwalts auf Aussetzung des Safe-Harbor-Abkommens nachkommen wird, ist derzeit noch nicht absehbar. Würde das Gericht im Sinne des Generalanwalts entscheiden, könnten sich deutsche Unternehmen zukünftig nicht mehr auf die Safe-Harbor-Zertifizierung ihrer US-amerikanischen Geschäftspartner berufen. Eine rechtskonforme Datenübermittlung auf Grundlage dieser Zertifikate wäre damit nicht mehr möglich.

Die Europäische Kommission wäre daher aufgefordert, eine neue Regelung zu erarbeiten, nach der europäische Unternehmen ihre personenbezogenen Daten rechtssicher in die USA übertragen können. In Anbetracht des Arbeitstempos der Europäischen Kommission wird dies einige Zeit in Anspruch nehmen.

Handlungsbedarf für Unternehmen

Deutsche Unternehmen, die sich bei der Übermittlung von personenbezogenen Daten in die USA auf die Safe-Harbor-Zertifizierung ihrer Geschäftspartner berufen, sollten daher unbedingt den Fortgang des vor dem EuGH geführten Rechtsstreits im Auge behalten. Sollte der EuGH im Sinne des Klägers entscheiden, sind auch Datenübermittlungen an ein in den USA ansässiges und nach den Safe-Harbor-Prinzipien zertifiziertes Unternehmen rechtlich unzulässig.

In diesem Fall sollten die betroffenen Unternehmen so schnell wie möglich EU-Standardverträge mit ihren US-amerikanischen Geschäftspartnern abschließen, um keinen Verstoß gegen das Datenschutzrecht zu begehen. Gehören beide Unternehmen einem Konzern an, können alternativ auch Binding Corporate Rules verwendet werden.

Update 30.09.2015:

Die Entscheidung des EuGH wird am 6. Oktober erwartet. Da die Entscheidung nunmehr doch eher schnell ergehen soll, ist zu erwarten, dass der EuGH der Ansicht von Generalanwalt Bot folgen wird. Wir bleiben am Ball!

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Rechtskonforme Datentransfers von Unternehmen in das Ausland
  • Wie geht es weiter nach dem Wegfall von Safe Harbor?
  • Einsatzmöglichkeiten von EU-Standardvertragsklauseln und Binding Corporate Rules

Informieren Sie sich hier über unser Leistungsspektrum: Internationaler Datenschutz

6 Kommentare zu diesem Beitrag

  1. @Frau Ackermann:

    „Nicht nur der Kläger in dem aktuellen vor dem EuGH anhängigen Verfahren wundert sich“

    Sie hätten wenigstens einmal anerkennend Herrn Max Schrems namentlich nennen können. Hier ist zuviel „Datenschutz“ eindeutig fehl am Platze. ;-)

  2. Wie sollen DTAs bzw. Corporate Rules Datenschutzkonformität herstellen, wenn das Safe Harbour Programm es nicht mehr kann? Wenn US-Unternehmen aufgrund staatlicher Zugriffe die von der EU verlangten Standards unter Safe Harbour nicht bieten können wie sollen sie das vertraglich gewährleisten? Der Generalanwalt ist daran, den Datenverkehr mit den USA komplett abzuschiessen. Hoffentlich geht der EuGH darauf nicht ein.

  3. Wie verhält es sich wenn man als Dienstleister im Kundenauftrag personenbezogene Daten in die USA sendet? Muss der Dienstleister dann den EU-Standardvertrag mit dem empfangenden US-Unternehmen abschließen oder der Auftraggeber des Dienstleisters?
    Besten Dank im Voraus.

    Gruß,
    UserOne

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.