Safe Harbor – Fristverlängerung für Unternehmen

Von: | 8. Februar 2016
Safe Harbor – Fristverlängerung für Unternehmen, 4.2 out of 5 based on 5 ratings
VN:F [1.9.22_1171]
Bewertung: 4.2 (5 Bewertungen )

protectedshops-logoAm 02.02.2016 hat die EU-Kommission verkündet, eine Einigung mit der US-Regierung erzielt zu haben, um personenbezogene Daten von EU-Bürgern, die in die USA übermittelt werden, zu schützen. Obwohl es noch keine schriftliche Vereinbarung gibt, wird das Nachfolgeabkommen zu Safe Harbor bereits jetzt heftig kritisiert. Für Online-Händler gibt es zunächst jedoch gute Neuigkeiten.

Was wir wissen

EuGH erklärt Safe Harbor für ungültig

Am 06.10.2015 hat der europäische Gerichtshof (EuGH) das sog. Safe-Harbor-Abkommen, das als Rechtsgrundlage für die Übermittlung personenbezogener Daten aus Europa in die Vereinigten Staaten dienen sollte, für ungültig erklärt (Rechtssache C 362/14). Folge davon war, dass Datentransfers nicht mehr darauf gestützt werden konnten. Wer Daten seiner Kunden oder Mitarbeiter in die USA übermittelte, entweder weil seine eigenen Server dort stehen, oder weil er Dienstleister nutzt, die Daten nach Amerika übermitteln (z.B. Webtools), musste diesen Transfer seit dem Urteil aus Luxemburg auf andere rechtliche Füße stellen. Alternativen waren vor allem die EU-Standardvertragsklauseln und verbindliche Unternehmensregeln (Binding Corporate Rules – BCR).

Verwendung von Standardvertragsklauseln und BCR bis Ende Januar zulässig

Obwohl beide Optionen ebenfalls datenschutzrechtlichen Bedenken begegnen, stuften zumindest die europäischen Datenschutzbehörden – deren Vertreter zusammen mit dem europäischen Datenschutzbeauftragten die sog. Artikel-29-Datenschutzgruppe bilden – sie als weiterhin zulässig ein. Sie setzten der EU-Kommission jedoch eine Frist, um bereits schwebende Verhandlungen mit den USA über ein Nachfolgeabkommen zu Safe Harbor zeitnah abzuschließen. Diese Frist lief Ende Januar 2016 aus. Danach sollten alle „geeigneten und erforderlichen Maßnahmen“ ergriffen werden, um die Entscheidung des EuGH umzusetzen. Für betroffene Unternehmen hätte das verwaltungsrechtliche Unterlassungsverfügungen und Ordnungsgelder zur Folge gehabt.

02.02.2016: Einigung zwischen EU und USA auf Nachfolgeabkommen

Zwei Tage nach Ablauf der Frist, am 02.02.2016 hat nun die EU-Kommission die Einigung mit der US-Regierung verkündet. Der „EU-US Privacy Shield“ soll künftig für einen angemessenen Schutz europäischer personenbezogener Daten in den USA sorgen. Eine schriftliche Vereinbarung gibt es allerdings noch nicht. Einblicke in den Inhalt der Vereinbarung hatte die EU-Kommission in ihrer Pressemitteilung gegeben und damit bereits reichlich Kritik ausgelöst. Unter anderem von Seiten Max Schrems, dessen Klage gegen den Umgang seiner Daten durch Facebook letztendlich zum Urteil des EuGH geführt hat.

Was wir nicht wissen

Schriftliche Vereinbarung liegt noch nicht vor

Eine schriftliche Version, in der die Vereinbarungen, die zwischen der EU-Kommission und der US-Regierung getroffen wurden, festgehalten sind, gibt es noch nicht. Diese soll in den nächsten Wochen ausgearbeitet werden. Erst dann kann – unter anderem – von der Artikel-29-Datenschutzgruppe geprüft werden, ob die Vorgaben des EuGH eingehalten wurden, der Privacy Shield also ein Datenschutzniveau in den Vereinigten Staaten herstellen kann, das mit dem in Europa vergleichbar ist. Denn das ist die Grundvoraussetzung dafür, dass personenbezogene Daten aus Europa in die USA übermittelt werden dürfen.

Änderungen amerikanischer Gesetze erforderlich

Die Richter aus Luxemburg haben in ihrer Entscheidung vor allem die massenhafte und anlasslose Überwachungstätigkeit der us-amerikanischen Sicherheitsbehörden und Geheimdienste kritisiert. Um personenbezogene Daten aus Europa in den Vereinigten Staaten tatsächlich sicher zu speichern und zu verarbeiten, müssten die amerikanischen Gesetze geändert werden, die einen uneingeschränkten Zugriff auf sie gestatten. Zudem müssten EU-Bürger die Möglichkeit bekommen, Informationen zu den über sie gespeicherten Daten zu erlangen und diese berichtigen oder löschen zu lassen. Auch eine Rechtsschutzmöglichkeit muss ihnen zur Verfügung gestellt werden. Sofern der Privacy Shield diesen Anforderungen nicht gerecht wird, ist es unwahrscheinlich, dass er einer Überprüfung standhält.

Eigenanzeige

Ihr Online-Shop ist meist mehr wert als Sie denken!

Mit unserem Praktikerverfahren erfahren Sie was Ihr Onlineshop tatsächlich wert sein könnte. Nur zehn Minuten Aufwand für Sie!

Jetzt mehr erfahren

Was betroffene Unternehmen wissen müssen

Seit der Entscheidung des EuGH Anfang Oktober 2015, mit der er das Safe-Harbor-Abkommen für ungültig erklärt hat, besteht bei der Übermittlung personenbezogener Daten in die USA erhebliche Rechtsunsicherheit. Bis Ende Januar hatten die europäischen Datenschutzbehörden der EU-Kommission und den Vereinigten Staaten Zeit gegeben, sich auf ein Nachfolgeabkommen zu einigen. Ein Datentransfer auf Grundlage der EU-Standardvertragsklauseln und verbindlicher Unternehmensregeln sollte in der Zwischenzeit zulässig bleiben.

Mit zwei Tagen Verspätung wurde nun eine Einigung verkündet, die jedoch noch nicht schriftlich festgehalten ist. Die Artikel-29-Datenschutzgruppe fordert die Vorlage entsprechender Schriftstücke bis Ende Februar. Sie will dann prüfen, ob die Vereinbarungen den Vorgaben des EuGH gerecht werden. Bis zu ihrer Entscheidung dürfen auch weiterhin die Safe-Harbor-Alternativen genutzt werden. Die Schonfrist für Unternehmen wird also noch einmal – voraussichtlich – bis März verlängert.

Das Wichtigste im Überblick

  • EU und USA haben sich auf ein neues Datenschutzabkommen geeinigt: EU-US Privacy Shield
  • Die Vereinbarungen sind noch nicht schriftlich festgehalten
  • Die europäischen Datenschutzbehörden fordern die Vorlage entsprechender Schriftstücke bis Ende Februar
  • Die Vereinbarung soll anschließend überprüft werden, ob sie den Vorgaben des EuGH entspricht
  • Bis zu dieser Entscheidung dürfen die EU-Standardvertragsklauseln und BCR weiterhin verwendet werden, um Daten aus Europa in die USA zu übermitteln
  • Ein Datentransfer auf Grundlage von Safe Harbor ist seit der Entscheidung des EuGH am 06.10.2015 unzulässig
Autorenfoto studierte Rechtswissenschaften an der Leibniz-Universität Hannover. Rechtsreferendariat und Staatsexamina in Hannover. Schwerpunktsetzung auf das Urheber- und IT-Recht. Seit 2013 ist sie juristische Redakteurin bei der Protected Shops GmbH in München und dort verantwortlich für die Erstellung allgemein verständlicher Texte zu juristischen Themen.
Newsletter abonnieren
Ähnliche Artikel zum Thema

Jetzt unseren kostenlosen Newsletter abonnieren und frei Haus wöchentlich alle neuen Artikel, Tipps und Links für Ihr Onlinegeschäft erhalten. Gleichzeitig erhalten Sie Zugang zu unserem Download-Bereich mit wertvollen Ratgebern, Praxisleitfäden und Fachartikeln!

Keine Datenweitergabe!

Thematisch passende Anbieter und Dienstleister

Keine Kommentare

Noch keine Kommentare

RSS-Feed für Kommentare zu diesem Artikel.


Die Kommentarfunktion ist zur Zeit leider deaktiviert.