- Übermittlung von personenbezogenen Daten in die USA muss möglich bleiben
- Weitere Einschränkungen schaden der deutschen Export-Wirtschaft
- Frist für rechtliche Prüfung von Datentransfers läuft am 31. Januar aus
Der Europäische Gerichtshof (EuGH) hatte im Oktober 2015 die Übermittlung personenbezogener Daten in die USA auf Grundlage des Safe-Harbor-Abkommens untersagt. Aus Sicht der Richter bot Safe Harbor keinen Schutz gegen Zugriffsrechte von US-Behörden auf die Daten von EU-Bürgern, zum Beispiel im Fall einer Gefährdung der öffentlichen Sicherheit. Zudem gebe es für Europäer kaum Möglichkeiten, rechtlich gegen Datenzugriffe vorzugehen. Daher wurde Safe Harbor nicht als ausreichend erachtet, um ein nach EU-Recht angemessenes Datenschutzniveau für Datenübermittlungen in die USA herzustellen. Die Unternehmen sind nach dem Urteil gezwungen, ihre Datentransfers in die USA auf alternative rechtliche Grundlagen zu stellen. Dabei kommen in erster Linie Standardvertragsklauseln der EU-Kommission zum Einsatz, die durch vorgegebene vertragliche Regelungen ein hohes Datenschutzniveau gewährleisten sollen. Eine weitere Alternative sind Corporate Binding Rules, die für den Datenaustausch innerhalb eines Unternehmens genutzt werden. Für die Umstellung auf diese anderen Rechtsinstrumente gilt eine Frist bis zum 31. Januar. Danach müssen Unternehmen bei Verstößen mit Bußgeldern der Datenschutzaufsichtsbehörden rechnen.
„Für die Unternehmen besteht auch nach einer Umstellung von Safe Harbor auf andere Regelungen keine Rechtssicherheit“, betonte Dehmel. Die EU-Datenschutzbehörden prüfen derzeit, welche Auswirkungen das Safe-Harbor-Urteil aus Ihrer Sicht auf Standardvertragsklauseln und Corporate Binding Rules haben. Anfang Februar wollen sie sich zu den generellen Möglichkeiten für Datentransfers in die USA äußern. „Die Datenschutzbehörden müssen das europäische Grundrecht auf den Schutz personenbezogener Daten durchsetzen, aber gleichzeitig den Anforderungen einer global vernetzten Wirtschaft gerecht werden“, sagte Dehmel. Aus Sicht des Bitkom sind Standardvertragsklauseln und Corporate Binding Rules eine wirksame Grundlage, um den Datenschutz von EU-Bürgern in den USA zu gewährleisten. Die EU-Datenschutzaufsichtsbehörden dürfen die Verträge prüfen und Verstöße ahnden. Zudem haben die Betroffenen ein Beschwerde- und Klagerecht bei Aufsichtsbehörden und Gerichten in Europa.
Aus Sicht des Bitkom sollten Standardvertragsklauseln und Corporate Binding Rules bis auf weiteres gültig bleiben. Mittelfristig müssten sich die EU und die USA beim Zugriff auf Daten ihrer Bürger im Gastland auf vergleichbare rechtliche Standards verständigen. Entsprechende Vereinbarungen könnten in ein neues Safe-Harbor-Abkommen einfließen, über das derzeit zwischen EU-Kommission und US-Regierung verhandelt wird.