201629.01.

Datenübermittlung in die USA: Safe-Harbor Übergangsfrist endet – und nun?

von Tags: ,

Am 6. Oktober 2015 hat der Europäische Gerichtshof entschieden, dass das Datenschutzabkommen „Safe Harbor“ zwischen der EU und den USA ungültig ist (siehe Blogartikel dazu). Denn, so die vereinfachte Begründung, in den USA seien die Daten durch das Abkommen nicht ausreichend vor dem Zugriff der US-Behörden geschützt.

In der Folge entwickelte sich eine lebhafte Diskussion welche Konsequenzen sich aus diesem Urteil ergeben. Die Article 29 Working Party, ein Zusammenschluss der europäischen Datenschutzbehörden, hatte im Oktober 2015 ein kurzes Positionspapier veröffentlicht, und der EU-Kommission und der US-Regierung bis Ende Januar 2016 Zeit gegeben, um zu einer neuen Einigung zur Übermittlung von personenbezogenen Daten in die USA zu kommen (siehe Blogartikel dazu).

Diese Frist neigt sich dem Ende zu, ohne dass es wesentliche Fortschritte in der Verhandlung einer “neuen” Rechtsgrundlage für die Übermittlung von personenbezogenen Daten in die USA gibt.

In einer Sondersitzung haben die Datenschutzbeauftragten aus Bund und Ländern diese Woche darüber beraten, wie sie mit dem “Safe Harbor”-Urteil nach dem Ablauf des Moratoriums weiter verfahren wollen. Ergebnis: Unternehmen, die weiterhin Daten auf Grundlage von Safe-Harbor in die USA übermitteln, müssen mit Sanktionen der Aufsichtsbehörden rechnen. Verstöße können nach § 43 Abs. 3 BDSG mit Geldbußen bis zu 50.000 EUR bzw. bis zu 300.000 EUR geahndet werden.

Auch die alternativen Rechtsfertigungsmöglichkeiten für eine Datenübermittlung in die USA, die EU-Standardvertragsklauseln oder sog. Binding Corporate Rules, unterliegen nach Ansicht der Datenschutzaufsichtsbehörden dem selben Mangel wie das inzwischen ungültige Safe-Harbor Verfahren: Bis zum Abschluss eines “neues” Abkommens sei es deswegen nach Ansicht einiger Aufsichtsbehörden notwendig, den Einzelfall zu bewerten. Aus diesem Grund hat bspw. der hamburgische Datenschutzbeauftragte in den letzten Wochen mehrere Unternehmen aufgefordert mitzuteilen, auf welcher Rechtsgrundlage sie Daten in die USA übermitteln.

Um etwaige Sanktionen seitens der Aufsichtsbehörden zu vermeiden, sollten Unternehmen ihre datenschutzrechtlichen Prozesse überprüfen und den Einsatz von US-amerikanischen Angeboten (z.B. Hosting/Cloud-Lösungen u.a.) kritisch überdenken.