Datenwinter Frostiges Datenschutz-Verhältnis

Es ist deutlich abgekühlt, das Verhältnis zwischen den USA und Europa was die Behandlung personenbezogener Daten angeht.

Ausgangslage

Das Safe Harbor Abkommen war bisher der formal - jedoch nicht inhaltlich korrekte und ausreichende Weg zum Austausch personenbezogener Daten zwischen Europa und den USA. Dieses Abkommen wurde am 6. Oktober 2015 vom Europäischen Gerichtshof (EU-GH) für unzulässig erklärt. Ref. [1] [8]

Begründung

Zurecht hat der EU-GH das Safe Harbor Abkommen als unzulässig - weil inhaltlich nicht ausreichend eingestuft - und somit dem hierauf basierendem Austausch personenbezogener Daten durch Unternehmen zwischen Europa und den USA eine Absage erteilt.

[…] die Gültigkeit der Entscheidung 2000/520/EG der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46 über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) […]

[…] Die Entscheidung 2000/520 ist ungültig.

Hierzu gab es bereits seit 2010 abschlägige Experten-Bewertungen (siehe auch Wortlaut des EU-GH Urteils).

Ref. [1] [3] [4] [5] [6]

Die Folge

Ein Austausch personenbezogener Daten zwischen Europa und den USA auf Basis des Safe Harbor Abkommens ist nicht mehr zulässig!

Daraus resultiert, daß viele Unternehmen nun ihre Risiken neu bewerten - und zusätzliche Verträge abschließen müssen, die als Grundlage die EU Standardvertragsklauseln beinhalten. Hierzu gibt es prinzipiell die folgende Möglichkeiten:

  • Binding Corporate Rules (für den internationalen Datenaustausch in Konzernen)
  • EU Standardvertragsklauseln (für den internationalen Datenaustausch zwischen Unternehmen)

    • Ref. [2]

    Die Zukunft

    Seitens der USA ist man nicht untätig, zumindest was die Möglicheit Betroffener angeht Klagen in den USA einzureichen wenn sie ihre Persönlichkeitsrechte verletzt sehen Ref. [7]. Dieser Gesetzesvorschlag reicht jedoch bei Weitem nicht aus, zumal das Verständnis des Persönlichkeitsrechts zum Umgang mit personenbezogenen Daten zwischen den USA und Europa ziemlich auseinandergeht.

    Seitens der EU gibt es bisher keine Anpassungen oder Bestrebungen zu einem angepassten Rahmenabkommen.

    Bis dahin bleibt den betroffenen Unternehmen nur der Weg über den zusätzlich abzuschließenden EU Standardvertrag mit allen Konsequenzen.

    Quellen zum Thema

    [1] Das EU-GH Urteil im Wortlaut
    [2] Data transfers outside the EU: Informationen der Europäische Kommission zum internationalen Datenaustausch
    [3] Pressemitteilung des Unabhängigen Landeszentrum für Datenschutz (ULD) zu Safe Harbor
    [4] Artikel der FAZ „Safe Harbour“ war schon immer eine Illusion
    [5] Positionspapier des Unabhängigen Landeszentrum für Datenschutz (ULD) zum EU-GH Urteil
    [6] Stellungnahme der Gesellschaft für Datenschutz und Datensicherheit (GDD e.V.)
    [7] Judicial Redress Act: Bill Act
    [8] Seiten der US-Behörden zu Safe Harbor

    Die hier gemachten Angaben sind als allgemeine Information zu verstehen und erheben keinen Anspruch auf Vollständigkeit und Rechtsverbindlichkeit. Für rchtsverbindliche Ausküfte wenden Sie sich bitte an einen Datenschutzbeauftragten.