Das Ende von Safe-Harbor! Was nun?

Der europäische Gerichtshof (EuGH) hat am 6. Oktober 2015 festgestellt, dass die Übertragung persönlicher Daten von Mitgliedsländern der europäischen Union in die USA auf der Grundlage des Safe-Harbor-Abkommens nicht mehr möglich ist.

Hintergrund

Grundsätzlich ist es verboten, personenbezogene Daten aus Mitgliedstaaten der europäischen Union in Staaten zu übertragen, deren Datenschutzvorkehrungen nicht mit dem Schutzniveau des EU-Rechtes vergleichbar sind. Die USA weisen ein solches Schutzniveau nicht auf, da es dort keine umfassenden gesetzlichen Regelungen zum Datenschutz gibt, die dem EU-Recht vergleichbar wären. Zur Überbrückung dieser Unterschiede wurde zwischen der EU und den USA im Jahr 2000 eine Vereinbarung getroffen (Safe-Harbor-Abkommen). Danach konnte ein legaler Austausch personenbezogener Daten mit US-Unternehmen dann erfolgen, wenn diese sich den sogenannten Safe-Harbor-Principals unterworfen haben.

Der EuGH hat nunmehr am 6. Oktober 2015 festgestellt, dass auch das Safe-Harbor-Abkommen kein angemessenes Datenschutzniveau für eine Übermittlung personenbezogener Daten in die USA bietet und das Abkommen schlicht für ungültig erklärt. Zudem wurde den EU-Datenschutzaufsichtsbehörden die Befugnis zugesprochen, Datenübermittlungen in die USA, welche bisher auf der Basis des Safe-Harbor-Abkommens rechtmäßig waren, zu untersagen.

Wer ist betroffen?

Grundsätzlich sind sämtliche Unternehmen betroffen, die personenbezogene Daten in die USA übermitteln.

Im Einzelfall stellt sich die Bestimmung, ob es sich bei Informationen um personenbezogene Daten handelt oder nicht, als äußerst schwierig dar. Grundsätzlich gilt, dass alle Informationen, über die irgendwie ein Personenbezug hergestellt werden kann, auch unter den Begriff der personenbezogenen Daten fallen. Dies betrifft nicht nur allgemeine Adressdaten wie Anschrift, Telefonnummer und E-Mailadresse, sondern auch IP-Adressen, GPS-Daten und vieles mehr. Betroffen sind diesbezüglich nicht nur Nutzer- und Kundendaten, sondern auch die Daten der eigenen Mitarbeiter.

Rechtlich gesehen müsste unmittelbar eine Speicherung und Verarbeitung solcher Daten in den USA ohne Einwilligung des Betroffenen unterlassen werden.

Wie geht’s weiter?

Die EU-Datenschutzbehörden haben sich darauf verständigt, Maßnahmen erst dann zu ergreifen, wenn es bis Ende Januar 2016 keine angemessene Lösung, beispielsweise eine Reformierung des Safe-Harbor-Abkommens, für die Datenübertragung in die USA gibt. Nach Ablauf der Frist sind Vollstreckungsmaßnahmen und Bußgelder gegen Unternehmen, die weiterhin Daten in die USA übermitteln und dort speichern und/oder bearbeiten lassen, möglich.

Zudem wird der rechtliche Fokus auf den Datenschutz durch die aktuellen Entwicklungen erheblich verschärft, so dass sich der Zeitpunkt anbietet, das eigene Datenschutzniveau zu hinterfragen und Risiken zu minimieren.

Was ist zu tun?

Zunächst sollte überprüft werden, ob personenbezogene Daten aus dem eigenen Unternehmen in die USA übermittelt und dort gespeichert und/oder verarbeitet werden. Sofern dies der Fall ist, könnte nach Alternativen Ausschau gehalten werden. Gegebenenfalls bietet es sich an, die Daten in der EU unter Verwendung eines geeigneten Vertrages speichern und verarbeiten zu lassen. Möglicherweise kommt auch ein Drittstaat in Betracht, der ein zum EU-Recht vergleichbares Datenschutzniveau aufweist. Sollten Sie Dienstleister zur Verarbeitung personenbezogener Daten nutzen, sollten entsprechende Verträge auf Grund der neuen Entwicklungen geprüft und ggf. überarbeitet werden. Unerlässlich ist es, bereits jetzt eine geeignete Datenschutzerklärung anzubieten, die über Ihre Datenverarbeitung Auskunft gibt. Möglicherweise sind, je nach Einzelfall, explizite Einwilligungen zur Verarbeitung personenbezogener Daten einzuholen.