english

Safe-Harbor: Was ist zu tun?

Safe-Harbor: Was ist zu tun?
© SVolodymyr Kyrylyuk - Fotolia.com

Ansprechpartner

Sebastian Greif
Sebastian Greif

Telefon: +49 2151 635-410
Telefax: +49 2151 635-44410
E-Mail:
V-Card: Kontaktdaten speichern

Nordwall 39
47798 Krefeld

Tanja Neumann
Tanja Neumann

Telefon: +49 2161 241-140
Telefax: +49 2151 635-44140
E-Mail:
V-Card: Kontaktdaten speichern

Bismarckstraße 109
41061 Mönchengladbach

Der Europäische Gerichtshof (EuGH) hat am 6. Oktober 2015 die Safe-Harbor-Regelung für ungültig erklärt. Diese gewährleiste aus europäischer Sicht kein angemessenes Datenschutzniveau. Ferner hat der EuGH den Datenschutzaufsichtsbehörden die Befugnis attestiert, Datenübermittlungen in die USA auf der Basis des Safe-Harbor-Abkommens zu untersagen. Was müssen Unternehmen tun?

Mit der Entscheidung des EuGH können Datenschutzaufsichtsbehörden den auf Safe-Horbor gestützten Transfer personenbezogener Daten in die USA untersagen. Die Auswirkungen sind noch sehr unklar, wir halten Sie auf dem Laufenden.

Was wurde entschieden?

Der EuGH hat am 06.10.2015 in der Rechtssache C-362/14 (Maximilian Schrems gegen die irische Datenschutzaufsichtsbehörde wegen der Übermittlung von Daten in die USA innerhalb des Facebook-Konzerns) Folgendes entschieden:

  1. Das Safe-Harbor-Abkommen bietet aus europäischer Sicht kein angemessenes Datenschutzniveau für eine Datenübermittlung in die USA. Denn das US-Recht ermögliche den Geheimdiensten uneingeschränkt Zugriff auf Daten von Unternehmen in USA. Daher hat der EuGH dieses Abkommen für ungültig erklärt.
  2. Ferner hat der EuGH den Datenschutzaufsichtsbehörden in der EU die Befugnis zugesprochen, Datenübermittlungen in die USA auf der Basis des Safe-Harbor-Abkommens zu untersagen. zurück

Welche Unternehmen sind betroffen?

  • Prinzipiell alle Unternehmen, die personenbezogene Daten in die USA übermitteln und/oder diese dort selber oder durch Dritte verarbeiten bzw. verarbeiten lassen, also z. B. Cloud-Angebote oder Software-as a-Service-Produkte amerikanischer Unternehmen nutzen. In einem ersten Schritt sollten Unternehmen prüfen, ob sie Daten auf der Basis von Safe-Harbor in die USA übermitteln. Derartige Datenübermittlungen können nun nicht mehr auf das Safe-Harbor-Abkommen bzw. entsprechende Zerifikate in den USA gestützt werden.
  • Unternehmen, die Safe-Harbor beigetreten sind
    Unternehmen in USA können sich freiwillig dem Safe-Harbor-Abkommen unterwerfen und sich in eine Liste der FTC eintragen lassen. Bisher erlaubte das zwischen der EU und den USA geschlossene Safe-Harbor-Abkommen es Unternehmen, personenbezogene Daten aus Europa an Safe-Harbor-zertifizierte Unternehmen in USA zu übermitteln.zurück

Ist sofort mit Maßnahmen von Seiten der Datenschutzbehörden zu rechnen?

  • Bayern
    Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat entschieden, dass es vor einer Klärung der weiteren Vorgehensweise unter den Datenschutzaufsichtsbehörden keine hoheitlichen Maßnahmen gegenüber Firmen in Bayern ergreifen wird. Damit bleibt abzuwarten, ob und auf welche Vorgehensweise die deutschen Datenschutzaufsichtsbehörden sich verständigen werden.
  • Deutschland
    Der Hamburgische Landesdatenschutzbeauftragte ist zuständig für Facebook. Er wird sich am 8.10.2015 mit seinen europäischen Kollegen in Brüssel treffen. Die Vertreter der deutschen Datenschutzaufsichtsbehörden treffen sich am Freitag, 9.10.2015, und werden sich einheitlich in der Vorgehensweise abstimmen. Vorher sind keine weiteren Hinweise zu erwarten. Auch die EU-Kommission möchte ein abgestimmtes Vorgehen EU-weit. zurück

Welche Möglichkeiten gibt es?
Zwei Optionen stehen zur Diskussion:

  1. Für die 4400 in der Safe-Harbor-Liste aufgeführten Unternehmen wird eine Übergangsregelung beschlossen.
  2. Es wird keine Übergangsregelung geben und der Datenverkehr in die USA wird von den Landesdatenschutzaufsichtshehörden untersagt. Inwieweit in der Situation dann ein Rückgriff auf Rechtsinstrumente wie Standardvertragsklauseln oder konzerninterne Datenschutzgarantien bleibt, ist offen. Es steht zu befürchten, dass diese dann auch nicht mehr wirken, weil Sicherheitsinteressen in USA vor Datenschutzregeln gehen. zurück

Empfehlungen für Unternehmen

Prüfen Sie, ob Daten aus Ihrem Unternehmen in den USA verarbeitet werden und suchen Sie in diesen Fällen nach einer Alternative.

  • Nicht betroffen und nach wie vor möglich ist eine Datenübermittlung in die USA, die für die Erfüllung eines Vertrages (z. B. zur Buchung eines Hotels oder eines Mietwagens) notwendig ist.
  • Falls Sie Software-as-a-Services (SaaS)-Angebote nutzen, prüfen Sie, ob Daten außerhalb der EU verarbeitet werden. Beispiele dafür sind Online-Mietshops oder Businesslösungen.
  • Daher: Überprüfen Sie, ob Ihr Dienstleister sich dem Safe-Harbor-Abkommen unterworfen hat. Er mus dann in der Liste der FTC eingetragen sein. Ggf. finden Sie entsprechende Hinweise auch in der Datenschutzerklärung Ihres Anbieters. Wird Bezug darauf genommen, sind Alternativen (informierte Einwilligung; ob Alternativen wie Standardvertragsklauseln noch Bestand haben, ist noch unklar) zu prüfen, weil der EuGH das Safe-Harbor-Abkommen für ungültig erklärt hat und dieses ab sofort keine Rechtsgrundlage für eine Datenübermittlung in die USA mehr bietet.
  • StartUps: Gerne nutzen Startups Tracking-Tools, Cloud-, Storage- oder z. B. Internetdienste amerikanischer Unternehmen, die Safe-Harbor-zertifiziert sind. Aufgrund des Wegfalls der Rechtsgrundlage für die Datenübermittlung sollten auch hier Alternativen erwogen werden.
  • Website: Wenn Sie festgestellt haben, dass Ihre Website nicht in USA gehostet wird, sondern von einer Niederlassung/Tochter eines US-Unternehmens auf einem Server in Europa, ist offen, ob dies weiterhin eine datenkonforme Variante ist. Einige Datenschutzaufsichtsbehörden verneinen dies, weil für diese Niederlassungen trotzdem die Verpflichtung besteht, an US-Geheimdienste Daten zu liefern. Entschieden ist diese Frage noch nicht.
  • Social Media Plugins: Falls Sie es noch nicht getan haben, binden Sie Social Plugins nicht direkt ein. Vermindern Sie zumindest das Risiko (Datenschutzkonformität erreicht man damit nicht, allerdings wird diese Variante von Datenschutzaufsichtsbehörden bis dato noch nicht aufgegriffen), indem Sie jetzt auf die Doppel-Klick-Lösung bei Social Media Buttons zurückgriefen. Eine Möglichkeit bietet das Tool Shariffzurück


Politsche Forderung der IHK
Wir fordern eine schnelle politische Lösung. Die Entscheidung zu Safe-Harbor darf nicht einseitig zu Lasten der Unternehmen gehen. Die europäische Wirtschaft benötigt eine sichere Rechtsgrundlage für den Datentransfer in die USA. Daher muss ein neues Safe-Harbor-Abkommen unmittelbar nach dem Inkrafttreten der EU-Datenschutz-Grundverordnung ausgehandelt sein. Bis dahin sollten die Datenschutzaufsichtsbehörden von einer Ahndung von Datenübermittlungen, die bisher auf der Basis des Safe-Harbor-Abkommens erfolgten, absehen. zurück