Rechtsgrundlage für Datenübermittlung in die USA in Frage gestellt!

Die Safe-Harbor-Selbstverpflichtung eines US-Dienstleisters (Datenempfängers in den USA) war bislang eine Möglichkeit, im Rahmen einer genehmigungsfreien Ausnahme den Datentransfer in ein unsicheres Drittland, in diesem Fall die USA, zu rechtfertigen. Der EuGH hat nun in seiner Entscheidung vom 6.10.2015 die Kommissionsentscheidung vom 26.07.2000, die dieser Ausnahmeregelung zu Grunde lag, für ungültig erklärt.

Der EuGH hat sich in seinem Urteil weder mit der Frage befasst, ob grundsätzlich ein angemessenes Schutzniveau für personenbezogene Daten in den USA existiert, noch enthält das Urteil konkrete und ausdrückliche Vorgaben für Unternehmen, welche Maßnahmen bezüglich bestehender Datentransfers auf der Grundlage einer Safe-Harbor-Zertifizierung des Datenempfänger nun zu ergreifen sind. Eine zulässige Gewährleistung eines sicheren Datenschutzniveaus auf der Basis von Safe Harbor ist bis auf weiteres nicht mehr gegeben. Wie schon bislang kann auf die anderen Möglichkeiten (EU-Standardvertragsklauseln, Binding Corporate Rules oder genehmigte Individualverträge) zurückgegriffen werden.

Eine Aufsichtsbehörde, die sich mit der Beschwerde eines Betroffenen darüber zu befassen hat, weil er den Transfer seiner Daten an einen Safe-Harbor-zertifizierten Datenempfänger als unsicher betrachtet, wird nun unabhängig zu prüfen haben, ob bei der Datenübermittlung die in der Richtlinie 95/46/EG aufgestellten Anforderungen eingehalten werden. In ersten Einschätzungen wird von den Aufsichtsbehörden darauf hingewiesen, dass bei der Umsetzung dieser Entscheidung die nationalen und europäischen Datenschutzbehörden künftig eine Schlüsselrolle einnehmen würden. Es sei zu prüfen, ob und inwieweit Datentransfers in die USA auszusetzen sind, auch dann, wenn sie auf andere Rechtsgrundlagen wie Standardvertragsklauseln, Einwilligung oder Binding Corporate Rules gestützt werden. Die Aufsichtsbehörden werden zur umfassenden Klärung der Konsequenzen des Urteils kurzfristig ihr Vorgehen auf nationaler und europäischer Ebene koordinieren. Wir werden die Entwicklung in diesem Bereich verfolgen und unsere Mandanten über den Fortgang informieren.

Zunächst raten wir dazu, eine aktuelle Übersicht der betroffenen Verfahren zu erstellen, damit der Handlungsbedarf ermittelt und eine Priorisierung durchgeführt werden kann. Ihr ds²-Datenschutzbeauftragter unterstützt Sie dabei.

Meldungen der deutschen Datenschutz-Aufsichtsbehörden zum Thema: