Safe-Harbor no more: Was nun?

Nach dem bahnbrechenden Urteil zum Safe-Harbor des EuGH steht die Datenübertragung in die USA Kopf.

Jetzt hat die EU-Datenschutzbehörde der EU Kommission sowie der US-amerikanischen Regierung drei Monate Zeit gegeben, um eine neue Lösung für die Datenübertragung zu finden.

Hintergrund: Das Safe-Harbor-Abkommen aus dem Jahr 2000 erlaubte es, dass sowohl europäische Unternehmen als auch in Europa angesiedelte Tochterunternehmen US-amerikanischer Firmen, personenbezogene Daten in die USA übermitteln durften.

Regelmäßig umstritten war jedoch der Punkt, ob die entsprechenden in die USA gesendeten Daten dort „ausreichend“ geschützt wurden.

Mit dem Urteil vom 6.10.2015 setzte der EuGH dem Streit nun ein vorläufiges Ende – er kippte das Safe-Harbor-Abkommen.
 

(Keine) Datenübertragung in die USA?

Vom Urteil betroffen sind rund 4.400 US-amerikanische Unternehmen, die europäische Kundendaten in den Vereinigten Staaten speicherten (darunter auch bekannte Unternehmen, wie bsp. Microsoft, Apple, Google, Salesforce und Dropbox).

Mit dem Fall des Safe-Harbor-Abkommens sind diese Unternehmen nun gezwungen, die europäischen Kundendaten auch in Europa zu speichern – es wird vermutet (und teilweise ist dies sogar belegt), dass die entsprechenden Daten jedoch tatsächlich einfach ungehindert weiterfließen.

Datenübermittlung in die USA: Neue Gesetzesvorlage erbeten

Aus Datenschützerkreisen ist deshalb der Ruf nach weiteren rechtlichen Beschränkungen laut geworden: Die deutschen Datenschützer wollen Datenübertragungen untersagen, die vormals ausschließlich auf das Safe-Harbor-Abkommen gestützt waren. Das geht aus einem Positionspapier zum Safe-Harbor-Urteil hervor, das die deutschen Datenschutzbehörden nach längeren Beratungen veröffentlicht haben.

Die Aufsichtsbehörden kündigten weiterhin an, bis Ende Januar eine entsprechende Analyse vorzulegen: Aus dieser soll detailliert hervorgehen, inwieweit Unternehmen andere Wege nutzen können, um Daten in den Vereinigten Staaten speichern.

Als Option können Standardvertragsklauseln oder verbindliche Unternehmensregeln (Binding Corporate Rules) in Betracht gezogen werden. Alternativ könnten Unternehmen den Anwender auch detailliert über die Verwendung seiner Daten informieren und ihn einwilligen lassen.

Jedoch wäre damit zwar die Datenübertragung formal ordnungsgemäß, doch würden die Grundrechte des Anwenders noch nicht ausreichend geschützt. Die Aufsichtsbehörden wollen sie deshalb nur unter „engen Bedingungen“ zulassen, wobei Daten „nicht wiederholt, massenhaft oder routinemäßig“ transferiert werden dürften.

Handlungsempfehlung: Was können Sie tun?

Ein erster Schritt kann darin bestehen, sich einen Überblick über die in Ihrer Kanzlei eingesetzten Software-Lösungen zu verschaffen und zu beurteilen, ob diese von dem EuGH-Urteil betroffen sind (das können z.B. auch einfache Anwendungen wie Dropbox sein!).

Im nächsten Schritt empfehlen wir, die Diskussionen weiter zu verfolgen. Melden Sie sich hier zu unserem kostenlosen Newsletter an!

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.