Heute wurde die gemeinsame Position der deutschen Datenschutzbehörden zum Safe Harbor-Urteil des EuGH veröffentlicht. Bisherige Berichte hierzu aus der vergangenen Woche wurden allerdings nicht vollständig bestätigt. Insbesondere ist nicht die Rede von einer Schonfrist.

Die deutschen Aufsichtsbehörden haben sich auf eine gemeinsame Position zum Safe Harbor-Urteil des EuGH geeinigt. Hierzu wurde bereits in der vergangenen Woche berichtet. Eine Bestätigung von offizieller Seite hat nun der Hessische Datenschutzbeauftragte veröffentlicht.

Daraus ergeben sich die folgenden Kernaussagen:

• Eine Datenübermittlung in die USA kann nicht mehr allein auf Safe Harbor gestützt werden kann. Soweit Datenschutzbehörden Kenntnis über ausschließlich auf Safe-Harbor gestützte Datenübermittlungen in die USA erlangen, werden sie diese untersagen.
• Auch die Zulässigkeit der Datentransfers in die USA auf Grundlage von Standardvertragsklauseln oder Binding Corporate Rules steht in Frage.
• Die Behörden werden Datentransfers in die USA eigenständig und unabängig von etwaigen Kommissionsentscheidungen prüfen.
• Neue Genehmigungen für Datenübermittlungen in die USA auf Grundlage von verbindlichen Unternehmensregelungen (BCR) oder Datenexportverträgen sollen derzeit nicht erteilt werden.
• Einwilligungen können nur unter engen Bedingungen Grundlage für den Transfer personenbezogener Daten sein. Grundsätzlich darf der Datentransfer jedoch nicht wiederholt, massenhaft oder routinemäßig erfolgen. Beim Export von Beschäftigtendaten oder wenn gleichzeitig auch Daten Dritter betroffen sind, könne die Einwilligung nur in Ausnahmefällen eine zulässige Grundlage für eine Datenübermittlung in die USA sein.
• Sowohl die Kommission wie auch die Bundesregierung werden aufgefordert, in Verhandlungen mit den USA auf die Schaffung von ausreichenden Garantien und Standards zum Schutz der Privatsphäre zu drängen.
• Die Kommission wird aufgefordert, zeitnah ihre Entscheidungen zu den Standardvertragsklauseln an die Vorgaben aus dem EuGH-Urteil anzupassen.
• Für die Trilogverhandlungen zur Datenschutzgrundverordnung wird ebenfalls gefordert, die Vorgabe des EuGH umfassend zur Geltung zu bringen.

Von einer Schonfrist, bis Ende Januar 2015 nicht gegen betroffene Unternehmen vorgehen zu wollen, ist allerdings nicht ausdrücklich die Rede. Entsprechendes wurde vergangene Woche in einem Bericht auf tagesschau.de veröffentlicht. Es ist lediglich davon die Rede, dass man die von der Art 29-Gruppe gesetzte Frist zum 31. Januar 2016 begrüße. Die Art 29-Gruppe hatte bereits Mitte Oktober angekündigt, bis Ende Januar 2016 die Auswirkungen des EuGH-Urteils insbesondere auf die Standardvertragsklauseln zu prüfen. In der Zwischenzeit gehe man davon aus, dass die Standardvertragsklauseln eingesetzt werden können.

Mehr dazu findet sich in den FAQ Safe Harbor von Dr. Martin Schirmbacher und mir.