News
„Safe-Harbor“-Urteil des EuGH
EuGH schränkt den Datentransfer in die USA erheblich ein
Der Europäische Gerichtshof (EuGH) hat in seiner Entscheidung vom 6. Oktober 2015 (Az.: C-362/14) die sog. „Safe-Harbor“-Entscheidung der EU-Kommission für unwirksam erklärt. Damit können ab sofort Übermittlungen personenbezogener Daten aus Europa an Unternehmen in den USA nicht mehr auf die „Safe-Harbor“-Entscheidung gestützt werden.
Vielen Unternehmen wird dadurch die von ihnen bisher gewählte rechtliche Grundlage für die Übermittlung von personenbezogenen Daten an Dienstleister und Unternehmen in den USA entzogen. Vor allem ist auch die Übermittlung von personenbezogenen Daten zwischen europäischen und US-amerikanischen Konzerngesellschaften auf der Grundlage der „Safe-Harbor“-Entscheidung nicht mehr möglich.
Zusammenfassung
- „Safe-Harbor“-Entscheidung zwischen der EU-Kommission und den USA
Gemäß der innerhalb der Europäischen Union geltenden Datenschutzrichtlinie (Richtlinie 95/46/EG) dürfen personenbezogene Daten nur dann in andere Staaten übermittelt werden, wenn die Informationen dort ausreichend geschützt werden. Maßgeblich ist dabei, dass in demjenigen Staat, in den die personenbezogenen Daten übermittelt werden, ein Datenschutzniveau existiert, das dem Datenschutzniveau der Europäischen Union gleicht. Ob andere Staaten dieses Datenschutzniveau zu garantieren in der Lage sind, bewertet die EU-Kommission. Vor diesem Hintergrund hat die EU-Kommission im Jahre 2000 die USA im Wege der „Safe-Harbor“-Entscheidung zu einem Staat mit gleichem Datenschutzniveau erklärt.
Auf der Grundlage der „Safe-Harbor“-Entscheidung können daher personenbezogene Daten von Kunden oder Internetnutzern, aber auch Arbeitnehmern ohne weitere Erfordernisse (wie zum Beispiel einer Einwilligung der betroffenen Person) von Staaten innerhalb der EU in die USA übermittelt und dort gespeichert sowie verarbeitet werden. Voraussetzung ist lediglich, dass sich die US-Unternehmen verpflichten, die „Safe-Harbor-Principles“ (eine Selbstverpflichtung zur Einhaltung der EU-Datenschutzstandards) zu beachten und sich beim US-Handelsministerium zur sog. „Safe-Harbor“-Liste eintragen lassen. - Entscheidung des EuGH vom 6. Oktober 2015
In seiner Entscheidung vom 6. Oktober 2015 hat der Europäische Gerichtshof (EuGH) nun jedoch festgestellt, dass in den USA kein gleiches Datenschutzniveau existiert und personenbezogene Daten in den USA nicht ausreichend geschützt sind. Vor diesem Hintergrund hat der EuGH die „Safe-Harbor“-Entscheidung der EU-Kommission für unwirksam erklärt und damit einer Übermittlung personenbezogener Daten in die USA im Wege der „Safe-Harbor“-Entscheidung die rechtliche Grundlage entzogen. - Auswirkungen auf die Praxis (insbesondere hinsichtlich personenbezogener Arbeitnehmerdaten)
Die Entscheidung des EuGH ist nicht nur im Hinblick auf die Daten von Kunden oder Internetnutzern, sondern auch in Bezug auf personenbezogene Daten von Arbeitnehmern von größter praktischer Relevanz. Denn oftmals werden personenbezogene Daten von Arbeitnehmern zum Zwecke ihrer Speicherung und Verarbeitung – insbesondere innerhalb eines Konzernverbunds – zwischen europäischen und US-amerikanischen Konzerngesellschaften transferiert.
Werden diese Daten auf der Grundlage der „Safe-Harbor“-Entscheidung übermittelt, muss nun auf andere rechtliche Gestaltungsmöglichkeiten ausgewichen werden. Genügen aber auch diese anderweitigen Gestaltungsmöglichkeiten nicht dem Datenschutzniveau innerhalb der EU, besteht wiederum die Gefahr deren Unwirksamkeit.
Die derzeit einzig rechtssichere Möglichkeit eines Transfers personenbezogener Daten in die USA ist daher die ausdrückliche Einwilligung der betreffenden Person in die Übermittlung ihrer Daten. Für die Rechtswirksamkeit der Einwilligung ist jedoch wiederum entscheidend, dass die betreffende Person vor der Abgabe der Einwilligungserklärung über den genauen Verwendungszweck ihrer personenbezogenen Daten sowie die Reichweite der Datenverarbeitung und -speicherung in Kenntnis gesetzt wird.