Nachdem am 6. Oktober 2015 der EuGH (Az. C 362/14) die Safe Harbor Regelung als ungültig erklärt hat, Max Schrems sei Dank, war eine Übermittlung personenbezogener Daten in die USA nicht mehr ohne weiteres möglich. Es bestand für die Betroffenen Rechtsunsicherheit und die Aufsichtsbehörden drohten bzw. verhängten Bußgelder.
Safe Harbor
„EU-US Privacy Shield“ das neue „Safe Harbor“?
Die von den deutschen Aufsichtsbehörden für den Datenschutz eingeräumte Schonfrist für eine Neuregelung von Datenübermittlungen und Datenverarbeitungen im Auftrag in den USA ist am 31. Januar 2016 abgelaufen. Die EU-Kommission hat nun am 2. Februar unter der Bezeichnung „EU-US Privacy Shield“ ein neues Datenschutzabkommen mit der US-Regierung angekündigt. Die Details des Abkommens werden in den nächsten Wochen noch ausgearbeitet (weitere Informationen).
Am 2./3. Februar hat nun die Art.-29-Datenschutzgruppe der EU-Kommission (WP 29) getagt. Die wesentlichen Ergebnisse stehen in deutscher Sprache hier zur Verfügung:
Status Quo Safe Harbor – Aktuelle Antwort einer Aufsichtsbehörde
Der EuGH hat bekanntlich am 06.10.2015 das Safe Harbor Abkommen (Entscheidung 2000/520/EG der Kommission) für nichtig erklärt. In der Zwischenzeit gibt es diverse Kommentare und Einschätzungen zu den Konsequenzen. Die Artikel 29 Datenschutzgruppe forderte in einer Erklärung vom 16.10.2015 „die Mitgliedstaaten und die europäischen Institutionen nachdrücklich dazu auf, offene Gespräche mit den US-amerikanischen Behörden zu führen, um politische, rechtliche und technische Lösungen zu finden, damit die Grundrechte bei Datenübermittlungen in das Hoheitsgebiet der Vereinigten Staaten gewahrt werden.“ Was bedeutet dies konkret für Unternehmen, die bislang Safe Harbor als geltende Rechtsgrundlage verwendet haben?
EU-Kommission: Neue Leitlinie für US-Datenexport
Die EU-Kommission veröffentlichte am 06.11.2015 eine Leitlinie für den Datentransfers in die USA (Transfer of Personal Data from the EU to the United States of America underDirective 95/46/EC following the Judgment by the Court of Justice in Case C-362/14).
Die dort vertretene Position deckt sich nicht mit der Auffassung der deutschen Datenschutz-Aufsichtsbehörden zu diesem Thema. Die EU-Kommission beabsichtigt innerhalb von drei Monaten ein neues Datenschutz-Abkommen mit den USA zu verhandeln und in Kraft zu setzen. Bis dorthin sind nach Auffassung der EU-Kommission die Methoden der Einwilligung der Betroffenen, die Verwendung der EU-Standardvertragsklauseln oder die Binding Corporate Rules (BCR) weiterhin zulässig.
Zwischenruf: Wo geht´s zum sicheren US Hafen?
Die US amerikanischen Datenhäfen sind nach europäischen Verständnis nicht mehr sicher und waren das auch nie! Der EuGH hat wie berichtet am 06.10.2015 das Safe Harbor Abkommen (Entscheidung 2000/520/EG der Kommission) für nichtig erklärt. In der Zwischenzeit gibt es diverse Kommentare und Einschätzungen zu den Konsequenzen. Die Artikel 29 Datenschutzgruppe fordert in einer Erklärung vom 16.10.2015 „die Mitgliedstaaten und die europäischen Institutionen nachdrücklich dazu auf, offene Gespräche mit den US-amerikanischen Behörden zu führen, um politische, rechtliche und technische Lösungen zu finden, damit die Grundrechte bei Datenübermittlungen in das Hoheitsgebiet der Vereinigten Staaten gewahrt werden. „In einer Überganszeit bis Ende Januar 2016 gehen Datenschutzaufsichtsbehörden „davon aus, dass die Standardvertragsklauseln und BCR weiter verwendet werden können“.