Zusammenfassung:
Was ist passiert?
Der EuGH entschied in seinem Urteil vom 06.10.2015, Az.: (Az: C-362/14), dass das Safe-Harbor-Abkommen nicht geeignet ist, Datentransfer in die USA zu legitimieren.
Die EU-Datenschutzrichtlinie - und daraus abgeleitet das nationale deutsche Datenschutzrecht - erlaubt den Datenexport in außereuropäische Drittstaaten (u.a. USA) nur, wenn dort ein ausreichendes Datenschutzniveau gewährleistet ist. Das Safe-Harbor-Abkommen zwischen der EU und den USA erlaubte es Unternehmen personenbezogene Daten aus Europa an selbstzertifizierte Unternehmen in die USA zu übermitteln. Dem EuGH zufolge bietet jedoch das Safe-Harbor-Abkommen kein ausreichendes Schutzniveau für die personenbezogenen Daten aus Europa. Er hat den entsprechenden legitimierenden Rechtsakt der Kommission für nichtig erklärt. Außerdem hat der EuGH erneut die Unabhängigkeit und Prüfungskompetenz der Datenschutzaufsichtsbehörden gestärkt.
Gibt es Alternativen zu Safe Harbor?
Das Urteil betrifft unmittelbar nur Datentransfers, die auf dem Safe-Harbor-Abkommen beruhen. Alternative Absicherungen des Datentransfers kommen weiterhin in Betracht. So können Datenübermittlungen insbesondere derzeit noch auf die EU-Standartvertragsklauseln (ggfs. über ein Framework Agreement konzernweit implementiert/ausgerollt) oder "Binding Corporate Rules" (insbesondere für konzerninternen Datentransfer) gestützt werden.
Wie geht es weiter?
Unklar ist derzeit noch, wie die Datenschutzaufsichtsbehörden mit dem Urteil des EuGH umgehen. Wir erwarten, dass die Aufsichtsbehörden nach einer überschaubaren Übergangszeit den Datentransfer auf Basis des Safe-Harbor-Abkommens unterbinden werden. Die Übergangszeit sollte genutzt werden, um den Datentransfer alternativ abzusichern. Offen ist allerdings noch, ob die EU-Standartvertragsklauseln den strengen inhaltlichen Vorgaben standhalten werden, die der EuGH mit dem heutigen Urteil aufgestellt hat. Der EuGH hat allerdings ein sog. Verwerfungsmonopol für die legitimierenden Rechtsakte der EU-Kommission. So lange die Beschlüsse der Kommission zu den Standardvertragsklauseln also nicht durch den EuGH für nichtig erklärt werden, bleiben diese Standardvertragsklauseln grundsätzlich ein für den Datentransfer in die USA geeignetes Mittel. Allerdings können die Aufsichtsbehörden im konkreten Einzelfall den Datentransfer untersagen, wenn die Betroffenenrechte nicht gewahrt sind, wie der EuGH heute ebenfalls entschied.
Was ist aktuell zu tun?
Sprechen Sie uns an: Tim Christopher Caesar, Dr. Andreas Lober, Dr. Holger Weimann und Dr. Axel von Walter