EuGH kippt Safe Harbor / Unternehmen müssen ihre Datenschutzregelungen überprüfen

PrintMailRate-it
Der Gerichtshof der Europäischen Union hat mit Urteil vom 06.10.2015 (Az. C-362/14) entschieden, dass die Vereinigten Staaten von Amerika aus europäischer Sicht kein angemessenes Schutzniveau für personenbezogene Daten bieten. Da US-Behörden nach amerikanischem Recht jederzeit auf die Informationen zugreifen können und europäischen Bürgern kein Rechtsbehelf zur Verfügung steht, Zugang zu den Daten zu erlangen noch deren Berichtigung oder Löschung zu verlangen, ist die Safe Harbor-Regelung der Europäischen Kommission ungültig. Die Luxemburger Richter folgen damit in wesentlichen Punkten den Schlussanträgen von Generalanwalt Yves Bot vom 23. September 2015.
 

Konsequenzen des Urteils

Das Urteil hat weitreichende Konsequenzen nicht nur für die Übermittlung personenbezogener Daten in die USA, sondern auch in andere Länder. Die Safe Harbor-Entscheidung der Kommission kann ab sofort nicht mehr als Rechtfertigung herangezogen werden, personenbezogene Daten in die USA zu übermitteln. Bisherige Datentransfers auf der Grundlage der Safe Harbor-Entscheidung bleiben aber grundsätzlich wirksam. Unklar ist, wie die Datenübermittlung in laufenden Vertragsverhältnissen zu bewerten ist, insbesondere ob nur die bisherigen zulässig waren und künftige einer neuen Rechtsgrundlage bedürfen. Die Daten und Datensätze müssten in diesem Fall getrennt werden.
 

Alternativen zu Safe Harbor

Künftig müssen für Datentransfers in die USA andere Rechtsinstrumentarien eingesetzt werden, etwa Standardverträge oder Binding Corporate Rules. Dies kann einen erheblichen Aufwand nach sich ziehen. Insbesondere internationale Unternehmen sowie Unternehmen im Cloud-Umfeld müssen sich auf gravierende Änderungen einstellen. Problematisch ist, dass auch die alternativen Instrumentarien zum Teil entweder ebenso den Zugriff der Geheimdienste auf personenbezogene Daten ermöglichen oder ihn nicht verhindern können. Ob sie von den Datenschutzaufsichtsbehörden künftig als Rechtsgrundlage akzeptiert werden, ist bislang völlig offen.
 
Daneben kommen Einzelfallentscheidungen der Datenschutzaufsichtsbehörden in Betracht. Sie nehmen jedoch mehr Zeit in Anspruch als die Instrumentarien Safe Harbor und Standardvertragsklauseln oder individuelle Einwilligungserklärungen. Zudem bleibt die Problematik, dass letztere jederzeit widerrufen werden können.
 

Stärkung der Aufsichtsbehörden

Die Stellung der nationalen Datenschutzaufsichtsbehörden wird durch das EuGH-Urteil gestärkt. Es bleibt diesen unbenommen, anhand einer Prüfung des Schutzniveaus festzustellen, ob die genannten Garantien ausreichen. Der EuGH hat klargestellt, dass die nationalen Behörden in völliger Unabhängigkeit prüfen können, ob bei der Übermittlung personenbezogener Daten die Anforderungen der Richtlinie 95/46/EG und des EuGH gemäß seinem heutigen Urteil erfüllt werden.
 

Safe Harbor Verhandlungen EU/USA

Die EU-Kommission ist nun in den laufenden Verhandlungen mit den USA über ein neues  Safe Harbor Abkommen aufgefordert, die Grundsätze des EuGH berücksichtigen. Die Verhandlungen dürften schwierig werden. Denn der EuGH stützt sein Urteil maßgeblich auf die Geheimdiensttätigkeiten der NSA. Es ist anzunehmen, dass diese nicht unterbunden werden. Auch Datenübermittlungen in andere Länder jenseits der USA, bei denen Geheimdienste Zugriff auf personenbezogene Daten haben, sind nach der Entscheidung des EuGH neu zu bewerten.
 

Handlungsbedarf für Unternehmen

Die Safe Harbor-Entscheidung ist mit diesem Urteil seit dem 6.10.2015 ungültig. Sie kann demnach nicht mehr als Rechtfertigung für die Übermittlung personenbezogener Daten in die USA herangezogen werden. Unternehmen ist dringend zu empfehlen, ihre datenschutzrechtlichen Vereinbarungen mit US-Unternehmen daraufhin zu überprüfen, ob sie den Anforderungen des EuGH entsprechen. Ist dem nicht so, sind die erforderlichen Anpassungen vorzunehmen.
 
zuletzt aktualisiert am 06.10.2015

Kontakt

Contact Person Picture

Alexander von Chrzanowski

Rechtsanwalt, Fachanwalt für IT-Recht und Arbeitsrecht

Associate Partner

+49 3641 4035 30

Anfrage senden

Profil

 Wir beraten Sie gern!

Deutschland Weltweit Search Menu