Zwischenruf: Wo geht´s zum sicheren US Hafen?

cropped-DSF06621.jpgDie US amerikanischen Datenhäfen sind nach europäischen Verständnis nicht mehr sicher und waren das auch nie! Der EuGH hat wie berichtet am 06.10.2015 das Safe Harbor Abkommen (Entscheidung 2000/520/EG der Kommission) für nichtig erklärt. In der Zwischenzeit gibt es diverse Kommentare und Einschätzungen zu den Konsequenzen. Die Artikel 29 Datenschutzgruppe fordert in einer Erklärung vom 16.10.2015 „die Mitgliedstaaten und die europäischen Institutionen nachdrücklich dazu auf, offene Gespräche mit den US-amerikanischen Behörden zu führen, um politische, rechtliche und technische Lösungen zu finden, damit die Grundrechte bei Datenübermittlungen in das Hoheitsgebiet der Vereinigten Staaten gewahrt werden. „In einer Überganszeit bis Ende Januar 2016 gehen Datenschutzaufsichtsbehörden „davon aus, dass die Standardvertragsklauseln und BCR weiter verwendet werden können“.Kommt es bis dahin zu keiner einvernehmlichen europäischen Lösung mit der US-amerikanischen Behörden, „sind die EU-Datenschutzbehörden verpflichtet, alle notwendigen und angemessen Maßnahmen zu ergreifen, einschließlich koordinierter Durchsetzungsmaßnahmen.“

Klare Worte, die von einem Positionspapier der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 26.10.2015 noch weiter angereichert werden. Derzeit werden keine neuen Genehmigungen für Datenübermittlungen auf Basis von BCR (Binding Corporate Rules) oder EU-Standardvertragsklauseln erteilt. Die Einwilligung des Betroffenen zum Transfer personenbezogener Daten (§ 4a BDSG) kann eingeschränkt als Rechtsgrundlage dienen. Falls es sich hierbei um Beschäftigtendaten handelt kann dies nur der Ausnahmefall sein.
Was bedeutet dies nun in der Praxis für Betroffene, Unternehmen und auch für uns Datenschutzbeauftragte. Die Lage ist einerseits klar, indem bestehende Standardvertragsklauseln bis zum 31.01.2016 als akzeptabel eingestuft werden – neue Datenübermittlungen in die USA sind aktuell datenschutzrechtlich legal nicht möglich. Und ob bis Januar 2016 eine verbindliche Regelung getroffen werden kann erscheint mit Verlaub mehr als fraglich.

Jetzt ist die Politik gefordert eine tragbare Regelung durch Verhandlungen zu erreichen. Die europäische Datenschutzrechtlinie 95/46/EG und das BDSG sind aktuell immer noch gültiges Recht und sind die Grundlage für die anstehenden Verhandlungen. Kommt es zu keine Einigung im Januar 2016, so ist es dringend erforderlich ein Stück Rechtssicherheit (wieder) herzustellen um den faktisch vorhanden Datenexport personenbezogener Daten in die USA für alle Beteiligten rechtssicher gewährleisten zu können.

Wobei abschließend die anstehende Frage noch erweitert werden muss, da der Datenexport innerhalb der EU/EWR ohne vergleichbare Einschränkungen möglich ist, jedoch US-Unternehmen oder deren europäische Ableger auch innerhalb der EU/EWR nach US amerikanischen Recht eben diesen Zugriff auf personenbezogene Daten gewähren müssen, der von der Artikel 29 Datenschutzgruppe als nicht mit EU-Recht vereinbar gebrandmarkt wurde.

Um es anders zu formulieren: Auch die europäischen Binnenhäfen sind dann nicht mehr sicher, wenn US amerikanische Unternehmen die entsprechender „Lagerhäuser“ in Form von Rechenzentren ohne das europäische Datenschutzniveau betreiben. Das Problem ist wesentlich umfassender und die Lösung erscheint deshalb noch ein Stück komplexer zu sein. Viel Erfolg!