Header graphic for print
Datenschutz News & Trends
Rubrik: Compliance, Datenschutz Allgemein, Datenschutz International

EuGH erklärt Safe Harbor für ungültig – Handlungsempfehlungen für Unternehmen

Mit Urteil vom 6. Oktober 2015 (Maximilian Schrems v. Data Protection Commissoner – Az. C-362/14) hat der Gerichtshof der Europäischen Union (EuGH) die Safe-Harbor-Entscheidung der Europäischen Kommission für ungültig erklärt. Das Safe-Harbor-Abkommen entfällt damit als Rechtfertigung für die Übermittlung personenbezogener Daten aus der EU in die USA. Nach der Entscheidung des EuGH sehen sich Unternehmen, die auf Safe Harbor vertraut hat, nun dem Vorwurf ausgesetzt, dass seine Datenübermittlungen in die USA unzulässig sind.

Safe Harbor wurde gemeinsam von der Europäischen Kommission und dem US-Handelsministerium als Regelwerk entwickelt. Das Abkommen sollte es Unternehmen mit Sitz in der EU rechtssicher ermöglichen, personenbezogene Daten an US-Unternehmen zu übermitteln. Aufgrund einer rechtlichen Auseinandersetzung zwischen dem Österreicher Max Schrems und dem irischen Data Protection Commissioner musste der EuGH im Rahmen eines Vorlageverfahrens entscheiden, ob eine nationale Datenschutzaufsichtsbehörde an die Entscheidung der Europäischen Kommission gebunden ist, dass Safe Harbor für ein angemessenes Schutzniveau für Daten aus der EU sorgt.

In seiner Entscheidung geht der EuGH über diese konkrete Frage noch hinaus. Die Luxemburger Richter vertreten die Auffassung, dass die Safe-Harbor-Entscheidung tatsächlich kein angemessenes Datenschutzniveau sicherstellt.

Was sind die praktischen Auswirkungen der Entscheidung?

Die Entscheidung, in der der EuGH Safe Harbor für ungültig erklärt, hat für Unternehmen in der Praxis folgende Konsequenzen:

  • Übermittlungen personenbezogener Daten aus der EU in die USA, welche derzeit auf Safe Harbor gestützt werden, werden unzulässig, soweit sie nicht von den Datenschutzaufsichtsbehörden genehmigt werden oder unter die gesetzlichen Ausnahmetatbestände fallen (vgl. etwa § 4c Abs. 2 BDSG).
  • International tätige Konzerne, welche sich auf Safe Harbor als Compliance-Werkzeug zur Rechtfertigung der Datenübermittlung von EU-Tochterunternehmen an die US-Muttergesellschaft oder andere Unternehmen mit Sitz in den USA verlassen haben, müssen nun nach Alternativen suchen. Hier kommen nach derzeitiger Rechtslage insbesondere Binding Corporate Rules (BCRs) oder die von der EU-Kommission vorgegebenen Standardvertragsklauseln in Frage
  • Dienstleister mit Sitz in den USA, welche nach Safe Harbor zertifiziert sind, um personenbezogene Daten von ihren Kunden aus der EU erhalten zu dürfen, sollten Kunden z.B. alternative Garantien anbieten, um ihre Dienstleistungen weiterhin rechtmäßig erbringen zu können.

Vorschläge zur weiteren Vorgehensweise

Unternehmen, die von dem Urteil betroffen sind, raten wir zu folgendem Vorgehen:

  1. Führen Sie eine Überprüfung Ihrer Datentransfers durch, um festzustellen, welche Übermittlungen personenbezogener Daten aus der EU in die USA Sie derzeit auf Safe Harbor stützen.
  2. Räumen Sie Datenübermittlungen, die aufgrund der Art der Daten und deren Nutzung besonders wichtig für Ihr Geschäft sind, einen klaren Vorrang ein.
  3. Identifizieren Sie alle Unternehmen, die an konzerninternen Datentransfers oder Übermittlungen an Geschäftspartner beteiligt sind und prüfen Sie die zweckmäßigste Alternative zu Safe Harbor. Kurzfristig sind dies vorübergehende vertragliche Lösungen. Es sollte vor allem aber auch über langfristige Ansätze, wie beispielsweise BCRs, nachgedacht werden. EU-Standardvertragsklauseln lassen sich kurzfristig vertraglich vereinbaren, bieten aber wenig Flexibilität und erfordern hohen Arbeitsaufwand, insbesondere, bei der Administration der verbindlich vorgeschriebenen Anlagen, in denen die Datentransfers genau beschrieben werden müssen. BCRs müssen hingegen mit den Datenschutzbehörden im Vorfeld abgestimmt werden. Dafür bieten sie ein hohes Maß an Rechtssicherheit. Zudem können sie genau an die Bedürfnisse der Unternehmensgruppe angepasst werden.
  4. Bei Übermittlungen an Dienstleister sollten Sie sämtliche bestehenden Verträge auf einen Bezug zu Safe Harbor prüfen und ermitteln, ob der jeweilige Dienstleister geeignete vertragliche Lösungen anbietet oder sich auf BCR für Auftragsdatenverarbeiter berufen kann.
  5. Dienstleister mit Sitz in den USA sollten den geeignetsten rechtlichen Ansatz wählen, um es ihren Kunden zu ermöglichen, ihre Dienstleistungen weiterhin rechtmäßig zu nutzen.

Sprechen Sie uns an, wenn Sie detaillierte Beratung zum weiteren Vorgehen und zur Risikoeinschätzung wünschen:

Düsseldorf

 
 Schreibauer_Marcus_L06143 (1)

Dr. Marcus Schreibauer

Partner, Fachanwalt für Informationstechnologierecht

T +49 211 1368 0

marcus.schreibauer@hoganlovells.com

Frankfurt

 
 Rauer_Nils_L11151 (1)

Dr. Nils Rauer, MJI (Gießen)

Partner, Rechtsanwalt

T +49 69 962 36 0

nils.rauer@hoganlovells.com

 Wybitul_Tim_L18149 (1)

Tim Wybitul

Partner, Rechtsanwalt

T +49 69 962 36 0

tim.wybitul@hoganlovells.com

Hamburg

 
 Christian-Tinnefeld2

Dr. Christian Tinnefeld

Counsel, Rechtsanwalt

T +49 40 419 93 0

christian.tinnefeld@hoganlovells.com

München

 
 Schuppert_Stefan_L05882 (1)

Dr. Stefan Schuppert, LL.M. (Harvard)

Partner, Rechtsanwalt

T +49 89 290 12 0

stefan.schuppert@hoganlovells.com

Diese Webseite verwendet Cookies. Wenn Sie diese Webseite nutzen, akzeptieren Sie die Verwendung von Cookies. Mehr erfahren

Ich stimme zu