Verarbeitung und Schutz von Daten ohne Safe Harbor
Der Europäische Gerichtshof hat das Safe Harbor-Abkommen zwischen der EU und den USA für ungültig erklärt. Unternehmen können Exporte von personenbezogenen Daten in die USA nun nicht mehr nach den Safe Harbor-Grundsätzen datenschutzrechtlich legitimieren. Auf Basis des Abkommens dennoch erfolgende Datenexporte können von der zuständigen Aufsichtsbehörde untersagt werden. Zahlreiche Unternehmen müssen jetzt handeln. Doch die Aufsichtsbehörden sollten auch mit Augenmaß prüfen, erklärt Jan Schneider, Fachanwalt für IT-Recht und Partner bei SKW Schwarz Rechtsanwälte.
„
Am 6.10.2015 ist passiert, was sich bereits seit geraumer Zeit angekündigt hatte: Der Europäische Gerichtshof hat das zwischen der EU und den USA bestehende Safe Harbor-Abkommen über die Übertragung von Personendaten aus Europa in die USA für ungültig erklärt (Rs.: C-362/14). Vor rund 15 Jahren, nämlich am 26.7.2000, hatte die EU-Kommission im Rahmen einer sog. Angemessenheitsentscheidung den US-Unternehmen, die sich den Prinzipien des Safe Harbor unterwerfen, ein angemessenes Schutzniveau bescheinigt. Dennoch sind deutsche Datenschützer seit Jahren der Auffassung, dass das Abkommen kein angemessenes Datenschutzniveau bietet. Denn US-Unternehmen konnten sich dem Safe Harbor-Abkommen zwar im Wege einer freiwilligen Selbstverpflichtung unterwerfen. Jedoch fehlte zum einen jedwede Nachweispflicht, dass die Unternehmen die Safe Harbor-Prinzipien auch tatsächlich einhalten. Zum anderen ist spätestens seit dem NSA-Skandal bekannt, dass US-Unternehmen unter Umständen den US-Behörden Zugriff auf die gespeicherten Daten ihrer Kunden und Auftraggeber gewähren (müssen).
Die Entscheidung des EuGH
Der Europäische Gerichtshof hatte zu prüfen, ob die Angemessenheitsentscheidung den nationalen Aufsichtsbehörden verbietet, Datenexporte in die USA zu prüfen und im Falle eines nicht angemessenen Datenschutzniveaus gegebenenfalls auszusetzen. Zuvor hatte der Kläger die irische Datenschutz-Aufsichtsbehörde aufgefordert, die Datenübermittlungen von Facebook an Server in den USA zu untersuchen, was die Aufsichtsbehörde unter Verweis auf die Angemessenheitsentscheidung der EU-Kommission ablehnte. Daraufhin hatte der irische High Court den Europäischen Gerichtshof angerufen (Beschluss v. 18.6.2014). Der EuGH hat nun entschieden, dass die Befugnisse der nationalen Kontrollstellen durch das Safe Harbor-Abkommen nicht eingeschränkt werden. Damit sind die Datenschutz-Aufsichtsbehörden berechtigt, derart legitimierte Datenexporte in die USA uneingeschränkt zu prüfen. An die Angemessenheitsentscheidung der EU-Kommission sind die Aufsichtsbehörden dabei nicht gebunden.
Handlungsbedarf für Unternehmen
Was folgt daraus? Unternehmen können Personendaten-Exporte in die USA ab sofort nicht mehr mittels der Safe Harbor-Grundsätze datenschutzrechtlich legitimieren. Das gilt sowohl für US-Unternehmen, die sich bisher auf die Safe Harbor-Prinzipien berufen haben, als auch für hiesige Unternehmen, die derart legitimierte Datenexporte an US-Unternehmen durchführen. Insbesondere diese Unternehmen auf Auftraggeber- bzw. Anwenderseite müssen nun befürchten, dass derartige transatlantische Datenexporte von der zuständigen Aufsichtsbehörde untersagt und bei Zuwiderhandlung mit Bußgeldern geahndet werden. Hiesige Unternehmen sollten daher sorgfältig prüfen, inwieweit sie oder auftragsgemäß ihre Vertragspartner transatlantischen (Personen-) Datenverkehr betreiben, beispielsweise durch die Inanspruchnahme von US-Cloud-Services im Rahmen von Fernwartungen oder mittels anderweitiger Geschäftsverhältnisse über (transatlantische) Auftragsdatenverarbeitung. All diese Geschäfts- und Vertragsverhältnisse müssen entsprechend überprüft und bei Bedarf sorgfältig nachgebessert werden. Dabei muss insbesondere untersucht werden, inwieweit der US-Datenexport datenschutzrechtlich legitimiert und ein ausreichendes Datenschutzniveau gewährleistet ist.
Wie sich diesbezüglich die Aufsichtsbehörden künftig positionieren werden, lässt sich derzeit noch nicht abschätzen. Ersten Tendenzen, jegliche Datenexporte in die USA pauschal in Frage zu stellen, ist entgegenzuhalten, dass sich die Reichweite der EuGH-Entscheidung auf die Vorlagefragen des irischen High Courts beschränkt. Eine pauschale Unzulässigkeit jeglicher Maßnahmen für den datenschutzkonformen Datentransfer in die USA lässt sich der Entscheidung nicht entnehmen. Mithin spricht einiges dafür, dass hiesigen Unternehmen auch weiterhin andere Möglichkeiten für den datenschutzkonformen US-Datenexport zur Verfügung stehen. In Betracht kommen, insbesondere auch nach aktueller Stellungnahme der Artikel-29-Datenschutzgruppe vom 16.10.2015, verbindliche Richtlinien zum Umgang mit Personendaten (Binding Corporate Rules) oder der vertragliche Einbezug der EU-Standardvertragsklauseln. Dringend tätig werden müssen insofern jedenfalls die US-Datenverarbeiter, die derartige Lösungen in ihrem Verantwortungsbereich bereitzustellen haben. Das beinhaltet auch die verbindliche Gewährleistung ausreichender technischer und organisatorischer Datenschutzmaßnahmen sowie adäquate Zertifizierungen, beispielsweise nach ISO 27001. Einige US-Datenverarbeiter sind diesbezüglich bereits gut aufgestellt. Für viele andere US-Unternehmen dürfte der erforderliche Umsetzungsbedarf allerdings erheblich sein.
„
ARTIKEL DIESER AUSGABE
Reform der Insolvenzanfechtung – Praxisrelevanz des Gesetzentwurfes umstritten
Die Insolvenzordnung (InsO) strebt die Maximierung des haftenden Schuldnervermögens und die bestmögliche Befriedigung der Gläubiger als primäres Verfahrensziel an, unter anderem durch... mehr
XIO Group kauft mit Jones Day zu
Jones Day berät die XIO Group beim Kauf der Lumenis Ltd. Das Transaktionsvolumen entspricht 510 Mio. US-Dollar. mehr
Akquisitionsfinanzierung mit Hengeler Mueller
Tele Columbus hat eine Kapitalerhöhung zur Finanzierung von Zukäufen angekündigt. Hengeler Mueller berät das Unternehmen bei der Kapitalerhöhung. mehr
Osborne Clarke berät Highland
Osborne Clarke hat Highland Europe bei einem Investment von 15 Mio. Euro in die adjust GmbH (Business Intelligence Plattform) beraten. mehr
Latham & Watkins unterstützt pbb Deutsche Pfandbriefbank
Latham & Watkins hat die pbb Deutsche Pfandbriefbank bei der Kreditvergabe (138 Mio. Euro) an die Immobiliengesellschaften CBRE Global Investment Partners und TH Real Estate beraten. mehr
Steuerliche Behandlung von virtuellen Währungen
Der Umtausch gängiger Währungen in Bitcoins ist von der Mehrwertsteuer befreit. Umsätze mit virtuellen Währungen fallen wie bei anderen gesetzlichen Zahlungsmitteln wie Devisen, Banknoten... mehr
Mitbestimmung von Zeitarbeitern
"Für Zeitarbeiter, die mindestens drei Monate in einem Betrieb tätig sind, galt bisher der Grundsatz „Wählen, aber nicht zählen"". Mittlerweile zeichnet sich in der Rechtsprechung... mehr
DLA Piper M&A Intelligence Report – Einflussfaktoren bei Transaktionen
Entscheidet die Transaktionsgröße darüber, ob die Kaufpreisfindung im Rahmen einer Auktion oder durch Exklusivverhandlungen erfolgt? Werden Locked-Box-Modelle eher bei Finanzinvestoren... mehr
Delisting nur noch bei Erwerbsangebot
" Ein vollständiges Delisting setzt neuerdings ein gleichzeitiges Erwerbsangebot voraus, nicht aber einen zustimmenden Hauptversammlungsbeschluss. Eine Überprüfung der Abfindungshöhe... mehr