Safe Harbor: Was ist zu tun?

Der Europäische Gerichtshof (EuGH) hat am 6. Oktober 2015 die Safe-Harbor-Regelung für ungültig erklärt. Diese gewährleiste aus europäischer Sicht kein angemessenes Datenschutzniveau. Ferner hat der EuGH den Datenschutzaufsichtsbehörden die Befugnis attestiert, Datenübermittlungen in die USA auf der Basis des Safe-Harbor-Abkommens zu untersagen. Was müssen Unternehmen tun?

Der EuGH hat am 06.10.2015 in der Rechtssache C-362/14 (Maximilian Schrems gegen die irische Datenschutzaufsichtsbehörde wegen der Übermittlung von Daten in die USA innerhalb des Facebook-Konzerns) Folgendes entschieden:

  • Das Safe-Harbor-Abkommen bietet aus europäischer Sicht kein angemessenes Datenschutzniveau für eine Datenübermittlung in die USA. Denn das US-Recht ermögliche den Geheimdiensten uneingeschränkt Zugriff auf Daten von Unternehmen in den USA. Daher hat der EuGH dieses Abkommen für ungültig erklärt.
  • Ferner hat der EuGH den Datenschutzaufsichtsbehörden in der EU die Befugnis zugesprochen, Datenübermittlungen in die USA auf der Basis des Safe-Harbor-Abkommens zu untersagen.

Bußgeldverfahren für Unternehmen drohen

Die Hamburger Datenschutzaufsichtsbehörde hat verlauten lassen, dass sie gegen drei Unternehmen, die jeweils deutsche Niederlassungen amerikanischer Unternehmen sind, ein Bußgeldverfahren eingeleitet habe. Die Unternehmen sollen trotz des Urteils des Europäischen Gerichtshofs weiterhin ihren Datentransfer in die USA auf das Safe-Harbor-Abkommen gestützt haben. Überraschen dürfte das Bußgeldverfahren die Unternehmen allerdings nicht. Die Hamburger Datenschutzaufsichtsbehörde hatte bereits im November ein strenges Vorgehen angekündigt. Sie hat dazu zunächst Unternehmen, die wahrscheinlich Daten in die USA exportieren, kontaktiert und über die Rechtslage informiert. Anschließend bat sie um Auskunft, ob tatsächlich Daten in die USA übermittelt werden und auf Grund welcher Rechtsgrundlage. Nun folgt konsequenterweise der angekündigte dritte Schritt: die Einleitung eines Bußgeldverfahrens.
Die Rheinland-Pfälzische Datenschutzaufsichtsbehörde hat ähnliche Vorbereitungsmaßnahmen bereits durchgeführt, aber noch ist kein Fall bekannt, in dem bereits ein Bußgeldverfahren eingeleitet worden ist. Diesen Schritt behält sich die Behörde aber weiterhin ausdrücklich vor.

Politische Forderung der IHK

Wir fordern eine schnelle politische Lösung. Die Entscheidung zu Safe Harbor darf nicht einseitig zu Lasten der Unternehmen gehen. Die europäische Wirtschaft benötigt eine sichere Rechtsgrundlage für den Datentransfer in die USA. Daher muss ein neues Safe-Harbor-Abkommen unmittelbar nach dem Inkrafttreten der EU-Datenschutz-Grundverordnung ausgehandelt sein. Bis dahin sollten die Datenschutzaufsichtsbehörden von einer Ahndung von Datenübermittlungen, die bisher auf der Basis des Safe-Harbor-Abkommens erfolgten, absehen.

Das Positionspapier der Datenschutzkonferenz vom 26.10.2015 geht in diese Richtung, lässt aber viele Fragen, insbesondere die nach praktikablen Lösungen, offen.