Nach dem Aus von Safe Harbor: Aufsichtsbehörden werden aktiv

activeMind AG - Nach Aus von Safe Harbor prüfen Aufsichtsbehoerden

Die Entscheidung des Europäischen Gerichtshofs (EuGH), das Safe-Harbor-Abkommen für nichtig zu erklären, hat zu einer sehr deutlichen Verunsicherung geführt – nicht nur auf Seiten der betroffenen Unternehmen, sondern auch bei den Datenschutz-Aufsichtsbehörden. Es besteht Unklarheit, wie weitreichend das Urteil zu interpretieren ist und ob tatsächlich nicht nur Safe Harbor, sondern alle Konstruktionen betroffen sind, mit denen versucht wird, den Transfer von personenbezogenen Daten in die USA zu rechtfertigen. Dies führt derzeit zu einer unterschiedlichen Herangehensweise der zuständigen Aufsichtsbehörden in den Ländern. Der folgende Artikel verschafft einen kurzen Überblick.

Keine Sanktionen vor dem 31. Januar 2016

Einigkeit besteht derzeit nur darin, dass vorerst keine Maßnahmen von Aufsichtsbehörden ergriffen werden. Sowohl auf europäischer als auch auf nationaler Ebene haben die zuständigen Stellen erklärt, bis zum 31. Januar 2016 abzuwarten, ob bis dahin legitime Alternativen für den Transfer von personenbezogenen Daten in die USA gefunden wurden.

Im Gespräch ist ein „Safe Harbor 2.0“, das angeblich sogar schon Fortschritte macht. Ob die Verhandlungen aber tatsächlich in nunmehr weniger als zwei Monaten abgeschlossen sein werden, ist zu bezweifeln. Zusätzlich wird wohl keine Vereinbarung, egal wie sie aussieht, auf Seiten der US-Unternehmen dafür sorgen, dass diese nicht mehr dem US-Recht unterliegen. Damit bestünden aber weiterhin die mit europäischen Grundrechtsvorstellungen unvereinbaren extremen Eingriffsbefugnisse für bestimmte US-Stellen. Ein der EU vergleichbares Datenschutzniveau wäre somit in den USA nach wie vor nicht vorhanden, was den Transfer personenbezogener Daten weiterhin nach derzeitiger Rechtslage verbietet. Eine gesunde Skepsis bleibt also leider angebracht.

Unterschiedliche Herangehensweisen der Aufsichtsbehörden

Derzeit kann man deutliche Unterschiede feststellen, wie die deutschen Aufsichtsbehörden agieren. Während einige norddeutsche Stellen bereits sehr deutlich mit Unterlassungsverfügungen und Bußgeldern bis 300.000 Euro drohen, sind süddeutsche Datenschutzbehörden – unter anderem die bayerische – eher zurückhaltend und abwartend.

Sicher ist, dass nach Ablauf der Frist ohne Ergebnis auch hier gehandelt wird und gehandelt werden muss. Sollte es keine belastbare Lösung für einen Datentransfer geben, wird im Ergebnis ein Einschreiten notwendig und möglich sein; immerhin bestehen dann Datenschutzverstöße, zu deren Beseitigung die Aufsichtsbehörden aufgerufen sind. Wie hart dabei durchgegriffen wird, hängt aber offenbar sehr von der zuständigen Behörde ab.

Wie sollten Unternehmen in Bezug auf US-Datentransfers jetzt vorgehen?

Für Unternehmen ist es wichtig, sich bereits jetzt über die eigenen Verbindungen zu und Abhängigkeiten von US-Unternehmen klar zu werden und notfalls Alternativen zu ermitteln. Sehr hilfreich ist hierbei ein Schreiben der Aufsichtsbehörde Rheinland-Pfalz, das aktuell an Unternehmen verschickt wird. Darin werden folgende Fragen gestellt:

  1. Hat Ihr Unternehmen im Zeitraum November 2012 bis November 2015 personenbezogene Daten in die USA übermittelt? (wenn nein, weiter bei Frage 9).
  2. Besteht aus Ihrer Sicht bei den Empfängern der Datenübermittlungen in den USA gemäß Frage 1 ein angemessenes Datenschutzniveau (§ 4b Abs. 2 BDSG)?
  3. Hat Ihr Unternehmen im Zeitraum November 2012 bis November 2015 personenbezogene Daten in die USA auf der Grundlage der Safe Harbor-Entscheidung der EU-Kommission übermittelt (wenn nein, weiter bei Frage 5)?
  4. Wenn Frage 3 mit Ja beantwortet wurde: Wie hat Ihr Unternehmen auf die Entscheidung des EuGH vom 6. Oktober 2015 reagiert? Hat Ihr Unternehmen Alternativen zu einer Datenverarbeitung in den USA geprüft? Mit welchem Ergebnis?
  5. Hat Ihr Unternehmen im Zeitraum November 2012 bis November 2015 personenbezogene Daten in die USA auf der Grundlage von EU-Standardvertragsklauseln (§ 4c Abs. 2 BDSG) übermittelt (wenn nein, weiter bei Frage 7)?
  6. Wenn Frage 5 mit Ja beantwortet wurde: Wie hat Ihr Unternehmen auf die Entscheidung des EuGH vom 6. Oktober 2015 reagiert? Hat Ihr Unternehmen Alternativen zu einer Datenverarbeitung in den USA geprüft? Mit welchem Ergebnis?
  7. Hat Ihr Unternehmen im Zeitraum November 2012 bis November 2015 personenbezogene Daten in die USA auf der Grundlage von verbindlichen Unternehmensregelungen (§ 4c Abs. 2 BDSG) übermittelt (wenn nein, weiter bei Frage 9)?
  8. Wenn Frage 7 mit Ja beantwortet wurde: Wie hat Ihr Unternehmen auf die Entscheidung des EuGH vom 6. Oktober 2015 reagiert? Hat Ihr Unternehmen Alternativen zu einer Datenverarbeitung in den USA geprüft? Mit welchem Ergebnis?
  9. Verfügt Ihr Unternehmen über einen betrieblichen Datenschutzbeauftragten?
  10. Wurde Ihr betrieblicher Datenschutzbeauftragter bisher in Prüfungen zu internationalen Datenübermittlungen einbezogen?

Unternehmen sind gut beraten, sich selbst genau diese Fragen möglichst sinnvoll zu beantworten. Sollte nicht wider Erwarten ein kleines Datenschutzwunder geschehen, ist spätestens ab Februar 2016 damit zu rechnen, dass die Aufsichtsbehörden entsprechende Antworten von Unternehmen erwarten.

Bitte bewerten Sie diese Inhalte!
[8 Bewertung(en)/ratings]
0 Kommentare

Dein Kommentar

Want to join the discussion?
Feel free to contribute!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.