Sie sind hier: Home » Recht » Datenschutz und Compliance

Kritik an Safe Harbour & die Entscheidung des EuGH


Safe Harbour-Entscheidung: Hintergrundinformationen und mögliche Konsequenzen
Datenschützer bezweifelten schon seit langem, ob US-Unternehmen alleine aufgrund der Anerkennung der Safe Harbour-Grundsätze datenschutzrechtlich wirklich als "sichere Häfen" anzusehen waren

(29.10.15) - Der Europäische Gerichtshof (EuGH) hat das Safe Harbour-Abkommen zum Austausch personenbezogener Daten zwischen der Europäischen Union und den USA für ungültig erklärt (Az. C-362/14). Die Datenschutz-Experten des BDO haben einige Informationen hierzu zusammengestellt und auch mögliche Konsequenzen der Entscheidung aufgezeigt.

1. Was war Safe Harbour?
Die Datenschutzrichtlinie (Richtlinie 95/46/EG) und das Bundesdatenschutzgesetz (BDSG) verbieten die Übermittlung personenbezogener Daten aus EU-Mitgliedstaaten in Staaten, die über kein Datenschutzniveau verfügen, das dem der EU-Mitgliedstaaten entspricht. Ein solches "Defizit" hinsichtlich des Datenschutzes besteht unter anderem im Hinblick auf die USA, bleibt das US-Datenschutzrecht doch weit hinter dem EU-Datenschutzrecht zurück.

In der Praxis besteht aber ein großes Bedürfnis, personenbezogene Daten aus EU-Mitgliedstaaten in die USA zu übermitteln. Vor diesem Hintergrund entstanden die sog. Safe Harbour-Grundsätze:

>> US-Unternehmen können sich im Wege einer Selbstverpflichtung bestimmten datenschutzrechtlichen Prinzipien unterwerfen und diese Selbstverpflichtung in einer Liste des US-Handelsministeriums registrieren lassen.
>> Das US-Handelsministerium kann Verstöße gegen die Safe Harbour-Grundsätze ahnden.
>> Die EU-Kommission entschied im Jahr 2000, dass bei US-Unternehmen, die sich den Safe Harbour-Grundsätzen unterworfen haben, von einem ausreichenden Datenschutzniveau auszugehen sei. Folglich konnte die Übermittlung personenbezogener Daten an solche US-Unternehmen auch aus EU-Mitgliedstaaten rechtmäßig erfolgen.

Viele US-Unternehmen unterwarfen sich daraufhin den Safe Harbour-Grundsätzen, transatlantische Datenübermittlungen wurden seitdem regelmäßig mit den Safe Harbour-Grundsätzen legitimiert.

2. Kritik an Safe Harbour und die Entscheidung des EuGH
Datenschützer bezweifelten allerdings schon seit langem, ob US-Unternehmen alleine aufgrund der Anerkennung der Safe Harbour-Grundsätze datenschutzrechtlich wirklich als "sichere Häfen" anzusehen waren.

Im Zusammenhang mit einem Rechtsstreit über Datenschutz bei Facebook hatte schließlich der EuGH über das Safe Harbour-Konstrukt zu entscheiden. Der EuGH teilte in seinem Urteil vom 6. Oktober 2015 die Auffassung von Datenschützern und dem Generalanwalt beim EuGH, dass vor dem Hintergrund der in den USA rechtlich zulässigen umfangreichen Datenspeicherung von personenbezogenen Daten aus EU-Mitgliedstaaten von einem angemessenen Datenschutzniveau nicht ausgegangen werden könne – auch wenn sich US-Unternehmen den Safe Harbour-Grundsätzen unterwerfen.

Die entsprechende Entscheidung der EU-Kommission aus dem Jahr 2000 hat der EuGH daher nun für ungültig erklärt. Auf die Safe Harbour-Grundsätze kann daher die Übermittlung personenbezogener Daten aus EU-Mitgliedstaaten in die USA ab sofort nicht mehr gestützt werden.

3. Konsequenzen für die Praxis und Handlungsbedarf
Die Datenübermittlung in die USA ist von Unternehmen, die ihren Sitz in der EU haben, somit auf eine neue rechtliche Grundlage zu stellen. Soweit sich Ihr Unternehmen im transatlantischen Rechtsverkehr bislang auf die Safe Harbour-Grundsätze berufen hat, sollten Sie sich daher umgehend mit folgenden Fragen auseinandersetzen:

Kann Ihr Unternehmen die Datenübermittlung in die USA auf eine gesetzliche Grundlage stützen, so dass das Entfallen der Safe Harbour-Grundsätze unschädlich ist?
Dies ist regelmäßig z.B. dann der Fall, wenn die Übermittlung der Daten zur Vertragserfüllung erforderlich ist (Online-Shopping etc.).

Kommen die EU-Standardvertragsklauseln als Grundlage für die künftige Datenübermittlung in die USA in Betracht?
Die EU-Kommission hat entschieden, dass für eine Datenübermittlung aus EU-Mitgliedstaaten in die USA von einem ausreichenden Datenschutzniveau auszugehen und somit die Datenübermittlung erlaubt ist, wenn zwischen den beteiligten Unternehmen die Geltung der sog. EU-Standardvertragsklauseln vereinbart werden.

Kommen die Binding Corporate Rules als Grundlage für die künftige Datenübermittlung in die USA in Betracht?
Diese Möglichkeit bietet sich vor allem internationalen Konzernen: Diese können konzernintern verbindliche Regelungen zum Datenschutz aufstellen, um ein angemessenes Datenschutzniveau herzustellen.

Ist die Einwilligung der betroffenen Personen erforderlich?
Sofern keine dieser Grundlagen für die Übermittlung der personenbezogenen Daten von EU-Mitgliedstaaten in die USA zutrifft, muss von den betroffenen Personen die Einwilligung in die Datenübermittlung in die USA eingeholt werden.
(BDO: ra)

BDO Wirtschaftsprüfungsgesellschaft: Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Datenschutz und Compliance

  • Verstoß gegen die DSGVO

    Der Bundesbeauftragter für den Datenschutz (BfDI), Prof. Ulrich Kelber, erteilt der unsicheren Feature-Spezifikationsvariante "Abruf der E-Rezepte in der Apotheke nach Autorisierung" kein Einvernehmen. Die geplante Schnittstelle ist nicht nach dem Stand der Technik abgesichert und verstößt damit gegen die DSGVO. Er schlägt eine sichere, für die Versicherten, Ärzte und Apotheker vollkommen funktionsgleiche Alternative vor, bei der im Hintergrund andere Verfahren genutzt werden.

  • Einigung der G7-Digitalministerien

    Der BfDI, Prof. Ulrich Kelber, zeigt sich zufrieden mit dem Ergebnis des diesjährigen G7-Roundtable der Datenschutzaufsichts- und Privacy-Behörden: "Wir haben uns darauf geeinigt, gemeinsam an Grundlagen für einen freien und vertrauensvollen Datenfluss zu arbeiten und hierbei den Schutz der persönlichen Daten der Bürgerinnen und Bürger in den Fokus zu stellen. Für diesen Weg des "Data Free Flow with Trust" oder DFFT werden wir bei unseren jeweiligen Regierungen werben."

  • EU-Kommission evaluiert JI-Richtlinie

    Die EU-Kommission hat am 26. Juli 2022 ihren Bericht zur Evaluierung der JI-Richtlinie (Datenschutz-Richtlinie im Bereich von Justiz und Inneres) vorgelegt. Die Kommission stellt in ihrem Bericht fest, dass die JI-Richtlinie insgesamt ein hohes Datenschutzniveau gewährleistet, allerdings noch Defizite bei der Umsetzung in die nationalen Rechtsvorschriften bestehen.

  • BfDI genehmigt Verhaltensregeln für Notare

    Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, hat datenschutzrechtliche Verhaltensregeln für Notare in Deutschland genehmigt. Es ist die erste Genehmigung auf Bundesebene nach Art. 40 DSGVO.

  • BfDI legt Konsultationsbericht zu KI vor

    Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) veröffentlicht die Ergebnisse des Konsultationsverfahrens zum Einsatz von Künstlicher Intelligenz (KI) im Bereich der Strafverfolgung und der Gefahrenabwehr. Der BfDI, Professor Ulrich Kelber, sagte dazu: "KI wird eingesetzt, ohne dass grundlegende rechtliche Fragen beantwortet wären. Der Gesetzgeber sollte jetzt zeitnah die notwendigen Entscheidungen treffen."

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen