Safe Harbor

Mit dem Abkommen von Safe Harbor konnten US-amerikanische Unternehmen erklären, über ein angemessenes Datenschutzniveau zu verfügen, um mit Unternehmen in der EU personenbezogene Daten austauschen zu können. Die Vereinbarung zwischen der Europäischen Kommission und den USA war nötig, weil die sogenannte Datenschutzrichtlinie (95/46/EG) untersagt, personenbezogene Daten in Drittstaaten (außerhalb der EU bzw. des EWR) zu übermitteln, die über kein angemessenes Datenschutzniveau verfügen. Dazu gehören auch die USA.

Im Oktober 2015 erklärte der Europäische Gerichtshof das Safe-Harbor-Abkommen für ungültig. Die Nachfolgeregelung, das sogenannte EU-U.S. Privacy Shield, wird derzeit noch verhandelt. Auf dieser Seite finden Sie alle Hintergründe zu Safe Harbor sowie Alternativen für Unternehmen, die datenschutzkonform personenbezogene Daten in die USA übertragen wollen.

Beiträge

Safe Harbor: Aufsichtsbehörden verhängen erste Bußgelder

Nach dem Ende des Safe-Harbor-Abkommens im Oktober 2015 haben die Datenschutz-Aufsichtsbhörden auf die neue Rechtslage reagiert und Bußgelder gegen mehrere Unternehmen verhängt. Die Übergangsfrist für ungültig gewordene Datenübertragungen in die USA endete bereits am 31. Januar 2016. Die betroffenen Unternehmen hätten allerdings erheblich härter bestraft werden können.

EU-U.S. Privacy Shield: Was regelt der Entwurf des transatlantischen Datenschutzschutzschildes?

Nachdem die EU-Kommission Anfang Februar erklärte, mit dem EU-U.S. Privacy Shield einen Ersatz für das ungültige Safe-Harbor-Abkommen gefunden zu haben (activeMind berichtete), legte die Behörde am 29. Februar 2016 erste schriftliche Entwürfe vor. Dem Anschein nach handelt es sich bei den Neuregelungen eher um eine Fortsetzung von Safe Harbor mit unverbindlichen Zusagen der USA, als um ein neues, für beide Seiten verbindliches Regelwerk, z. B. in Form eines Vertrages.

Auf Safe Harbor folgt EU-U.S. Privacy Shield

Die Europäische Union und die USA haben sich am heutigen 2. Februar 2016 nach Angaben der EU-Kommission auf eine Nachfolge-Vereinbarung zum Safe-Harbor-Abkommen geeinigt. Der vielversprechende Titel der neuen Vereinbarung: „EU-U.S. Privacy Shield“ – zu Deutsch „EU-US-Privatsphäre-Schild“. Nach dem vom Europäischen Gerichtshof gekippten Safe-Harbor-Abkommen soll diese Vereinbarung zukünftig den Datentransfer zwischen den beiden Schwergewichten regeln.

Nach dem Aus von Safe Harbor: Aufsichtsbehörden werden aktiv

Die Entscheidung des Europäischen Gerichtshofs (EuGH), das Safe-Harbor-Abkommen für nichtig zu erklären, hat zu einer sehr deutlichen Verunsicherung geführt – nicht nur auf Seiten der betroffenen Unternehmen, sondern auch bei den Datenschutz-Aufsichtsbehörden. Es besteht Unklarheit, wie weitreichend das Urteil zu interpretieren ist und ob tatsächlich nicht nur Safe Harbor, sondern alle Konstruktionen betroffen sind, mit denen versucht wird, den Transfer von personenbezogenen Daten in die USA zu rechtfertigen. Dies führt derzeit zu einer unterschiedlichen Herangehensweise der zuständigen Aufsichtsbehörden in den Ländern. Der folgende Artikel verschafft einen kurzen Überblick.

Der EuGH kippt Safe Harbor – was Unternehmen jetzt tun müssen

Der Europäische Gerichtshof (EuGH) hat die Vereinbarung mit den USA zum Datenaustausch für ungültig erklärt. Unternehmen können sich nun nicht mehr auf das Safe-Harbor-Abkommen berufen. Das verursacht dringenden Handlungsbedarf. Was müssen Sie als Unternehmer jetzt tun?

Steht das Safe-Harbor-Abkommen vor dem Aus?

Beim sogenannten „Facebook-Prozess“ vor dem Europäischen Gerichtshof (EuGH) gibt es derzeit äußerst spannende Entwicklungen zu beobachten, die weitreichende Konsequenzen haben könnten. Denn das Safe-Harbor-Abkommen, das derzeit die Weitergabe von personenbezogenen Daten in die USA ermöglicht, ist aufgrund einer Aussage des Generalanwalts beim EuGH stärker in der Kritik denn je. Folgt der Europäische Gerichtshof den Empfehlungen des Generalanwalts, so ist der Fortbestand des Abkommens – zumindest in seiner bisherigen Ausformung – fraglich.

Cloud Computing und Datenschutz außerhalb der EU

Verarbeitet ein Cloud-Dienst Daten außerhalb der EU und des Europäischen-Wirtschaftsraums (EWR), so gelten die besonderen Anforderungen der §§ 4b, 4c BDSG für den Drittstaatentransfer. Zu den Drittstaaten in diesem Sinne zählen beispielsweise die USA.