Die Ära nach Safe Harbor – Schonfrist für transatlantische Datentransfers endet
In seiner weitreichenden Entscheidung vom 06. Oktober 2015 hat der Europäische Gerichtshof (EuGH) das so genannte „Safe Harbor“-Abkommen zwischen der Europäischen Union und den USA gekippt (wir berichteten).
Damit ist eine der wichtigsten und praktisch relevantesten Wege zur Ermöglichung eines transatlantischen Transfers personenbezogener Daten bis auf Weiteres ersatzlos weggefallen. Auch für deutsche Unternehmen stellt sich seither die Frage, ob und unter welchen Voraussetzungen ein Transfer von personenbezogenen Daten in die USA noch zulässig ist. Zu den Stellungnahmen der Datenschutzbehörden hatten wir bereits berichtet.
In Ihrer Stellungnahme vom 26. Oktober 2015 erklärte die Datenschutzkonferenz des Bundes und der Länder, dass allein auf „Safe Harbor“ gestützte Datenübermittlungen in die USA zukünftig untersagt würden. Die Article 29 Working Party, ein gemeinsames Gremium aller europäischen Datenschutzbehörden, erklärte in Ihrer Stellungnahme vom 16. Oktober 2015, dass sie die Auswirkungen des EuGH-Urteils auf die verbleibenden rechtlichen Instrumente für Datentransfers in die USA derzeit prüfe. In der Zwischenzeiten könnten Standardvertragsklauseln und Binding Corporate Rules auch weiterhin zur Legitimierung von Datentransfers in die USA genutzt werden. Gleichzeitig kündigte die Arbeitsgruppe aber auch an, dass die nationalen Datenschutzbehörden alle erforderlichen Maßnahmen, notfalls auch Durchsetzungsmaßnahmen, ergreifen sollen, falls bis Ende Januar 2016 keine angemessene Lösung mit den US Behörden gefunden werden kann.
Eine Einigung auf ein „Safe Harbor 2.0“ ist derzeit noch nicht absehbar. Am 15. Januar 2016 soll die EU-Kommission nach Medienberichten die Mitgliedsstaaten darüber informiert haben, dass die Verhandlungen mit den US nicht wie erwartet vorankämen. Es bleibt also abzuwarten, wie sich die deutschen Datenschutzbehörden und die Article 29 Working Party nun nach Ablauf der Schonfrist mit Blick auf transatlantische Datentransfers positionieren werden. Voraussichtlich am 02. Februar 2016 wird die Article 29 Working Party zu ihrer nächsten Sitzung zusammentreten. Es ist davon auszugehen, dass die Datenschützer dort auch darüber beraten werden, ob und welche koordinierten Maßnahmen die europäischen Aufsichtsbehörden gegen Unternehmen ergreifen werden, die nach wie vor auf Grundlage von „Safe Harbor“ Daten in die USA übermitteln.
Weitere Artikel: EuGH kippt Safe Harbor!; Die Ära nach Safe Harbor – Wie die Datenschutzbehörden den EuGH verstehen