Nach Safe Harbor – Schonfrist bis Ende Januar 2016
Autor: Daniel Schätzle Erstellt am: 23. Oktober 2015 Rubrik: Datenschutzbehörde, Safe HarborNach dem Safe Harbor-Urteil stellt sich für viele europäische Unternehmen und US-Dienstleister die Frage, auf welcher Grundlage zukünftig eine Datenübermittlung über den Atlantik datenschutzkonform gestaltet werden kann. Nach einem Bericht auf tagesschau.de geben deutsche Aufsichtsbehörden bis Ende Januar 2016 Zeit, nach Alternativen zu suchen, bevor die Behörden gezielt tätig werden wollen.
Für viele lautet die Antwort Standardvertragsklauseln. Gleichzeitig verbreiten sich Aussagen, dass auch diese keine Zukunft haben. Die Art 29 Datenschutzgruppe hatte bereits Mitte Oktober mitgeteilt, dass Sie die Standardvertragsklauseln auf den Prüfstand stellen. In der Zwischenzeit (bis Ende Januar 2016) gehen die europäischen Datenschutzbehörden jedoch davon aus, dass die Standardvertragsklauseln weiterhin eingesetzt werden können.
Dem scheinen sich die deutschen Datenschutzbehörden nun weitestgehend anschließen zu wollen. Laut dem Bericht auf tageschau.de haben diese sich in einer Sondersitzung auf eine gemeinsame Position geeinigt. Danach werde bis Februar 2016 geprüft, inwieweit auch die Standardvertragsklauseln hinfällig sind. Bis Ende Januar 2016 werde man nicht gezielt gegen betroffene Unternehmen vorgehen. Allerdings werden man schon jetzt entsprechende Maßnahmen ergreifen, wenn Beschwerden eingehen. Eine offizielle Bestätigung wurde bisher nicht veröffentlicht. Es ist jedoch anzunehmen, dass diese in Kürze folgen wird.
Welchen Weg die deutsche Aufsichtsbehörden beschreiten werden, ist dabei bereits vorgezeichnet. Der Hamburgs Datenschutzbeauftragter Johannes Caspar wird in dem Bericht wie folgt zitiert: „Ich rate allen betroffenen Unternehmen, künftig ihre Daten in Europa zu speichern“. Das spricht eindeutig gegen Die Standardvertragsklauseln.
Gespannt darf man sein, wie eine Reaktion der Behörden in der Praxis konkret aussieht. Haben die Aufsichtsbehören einmal für sich festgestellt, dass eine Datenübermittlung in die USA aufgrund der Standardvertragsklauseln nicht zulässig ist, müssen Sie dennoch jeden Einzelfall prüfen und begründen. Eine Untersagungsverfügung mit dem alleinigen Hinweis, man halte die Standardvertragsklauseln für hinfällig, dürfte formal nicht ausreichen. Dem stehen die Kommissionsentscheidungen entgegen, die die Standardvertragsklauseln verabschiedeten. Nach dem Safe Harbor-Urteil kann nur die Kommission selbst oder der EuGH an der Entscheidung grundlegend rütteln. Im Ergebnis bedeutet das für die Behörden jedoch nur einen höheren Prüfungs- und Begründungsaufwand, um im Einzelfall eine Übermittlung zu untersagen.
In diesem Zusammenhang haben Martin Schirmbacher und ich FAQ zu dem Safe Harbor-Urteil veröffentlicht. Diese werden wir in den nächsten Tagen, Wochen und Monaten immer wieder aktualisieren, so dass die häufigsten Fragen auch dort immer frisch abrufbar sind.
Zudem haben wir heute das Safe Harbor-Urteil, einige Alternativen sowie die Reaktionen der Aufsichtsbehörden und von US-Dienstleistern in einem Webinar besprochen. Das Webinar „Unsafe Harbor: Datenverarbeitung von Online-Shops nach dem EuGH-Urteil“ steht zum Nachhören ebenso bereit wie die Folien.
Rubrik: Datenschutzbehörde, Safe Harbor Stichwörter: Datenübermittlung, Standardvertragsklauseln