Article

Safe-Harbor - Wie weiter?

Bewegungen im Datenschutz

Seit dem Urteil des Europäischen Gerichtshofs zum EU-US Safe Harbor Rahmenabkommen haben zahlreiche Unternehmen, Datenschützer und die europäischen Institutionen hart daran gearbeitet, mögliche Alternativen und Lösungen zu erarbeiten.

Wir haben für Sie die wichtigsten aktuellen Entwicklungen zusammengestellt und die aktuell verbleibenden Optionen für den gesetzeskonformen Transfer personenbezogener Daten aus der EU in die USA zusammengefasst.

Was sind die aktuellen Entwicklungen?

Die EU-Justizkommissarin Vera Jourová wird noch im Dezember mit der US-Handelssekretärin Penny Pritzker zusammentreffen, um ein Nachfolgeabkommen zu Safe Harbor zu verhandeln. Auf dem Weg zu einem solchen „Safe Harbor 2.0“ gibt es dem Vernehmen nach zwar bereits erste Fortschritte, allerdings ist der Zeitdruck immens hoch. Bereits ab Februar könnten nationale Datenschutzbehörden solche Datenübertragungen in die USA sanktionieren, die ausschließlich mit dem Safe Harbor Abkommen begründet sind. Denn dann sind die von der Artikel 29-Gruppe, einem von der EU eingesetzten Beratungsgremium von Datenschutzexperten, vorgeschlagenen Übergangsfristen, überschritten. Inwieweit nach dem 31. Januar 2016 mögliche Alternativen wie etwa Binding Corporate Rules (BCR) und EU-Standardvertragsklauseln (EU Model Clauses) noch akzeptiert werden, ist derzeit offen.

In Deutschland hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) bereits im November angekündigt, bis auf weiteres keine neuen Datentransfers und keine neuen BCRs mehr zu genehmigen.

Welche Optionen gibt es im Moment?

Neben dem Safe Harbor bestehen aktuell die Optionen, sich auf Binding Corporate Rules oder EU Model Clauses zu berufen. Daneben besteht grundsätzlich die Möglichkeit, die Zustimmung der Betroffenen einzuholen; eine solche Zustimmung ist jedoch an strenge Auflagen gebunden („informed, specific and freely given“) gebunden, und ist grundsätzlich nicht zulässig für wiederholte, massenhafte oder strukturierte Datenübermittlungen.

Was können Unternehmen tun?

Soweit Unternehmen bereits heute personenbezogene Daten in die USA übermitteln, sollten sie die bestehenden Verträge daraufhin prüfen, ob die Übertragung auf Basis des Safe Harbor Abkommens erfolgt. Ist dies der Fall, so sollte – gegebenfalls auch unter Hinzuziehung externer Spezialisten – erwogen werden, inwieweit die oben erwähnten alternativen Optionen angeführt werden können. Sprechen Sie uns gerne an.

Auf lange Sicht ist die Tragfähigkeit der Alternativlösung derzeit noch unsicher. Unsere Empfehlung für Unternehmen kann daher nur lauten, die in der Begründung zum Safe Harbor Urteil genannten Punkte angemessen zu berücksichtigen und gegenüber den Datenschutzregulatoren auskunftsfähig zu sein. Dazu gehören unter anderem eine angemessene Begründung des Datentransfers aus Sicht des Unternehmens und des Betroffenen sowie die Sicherstellung von Transparenz über unternehmensweite Datenschutzstandards und Datensparsamkeit. Unsere aktuellen Diskussionen und Kundenprojekte zeigen, dass auf dem Stand gehaltene  Datenschutzprogramme und -maßnahmen  sowie unabhängige Datenschutzreviews wirksame Mittel sind, Datentransfers rechtssicher auszugestalten und die Rechte der Betroffenen zu gewährleisten. 

 

Europäische Datenschutzgrundverordnung - Ein erster Ausblick

Am 15. Dezember 2015 wurde zwischen Vertretern des Parlaments, der Mitgliedstaaten und der Kommission eine Einigung über die Europäische Datenschutzgrundverordnung erzielt. Damit wird ab 2018 zum ersten Mal der Datenschutz zu großen Teilen für alle 28 Mitgliedsstaaten der Europäischen Union einheitlich geregelt.

Dabei wird ausdrücklich die Möglichkeit eröffnet, Datenübertragungen in Länder außerhalb der EU ohne weiteres zuzulassen, soweit ein dem EU-Datenschutzrecht vergleichbares Schutzniveau sichergestellt ist und die Rechte der Betroffenen nicht berührt sind.

Fanden Sie diese Information hilfreich?