Datenschutz nach Safe Harbor: Droht jetzt der

KPMG Law
Technology, Media &
Telecommunication
Client Alert|Oktober2015
Datenschutz nach Safe Harbor:
Droht jetzt der SuperGAU?
Der Europäische Gerichtshof („EuGH“) hat mit seinem Urteil vom 6. Oktober 2015 (Rs. C362/14) das
„Safe Harbor“Abkommen zwischen der Europäischen Union und den USA für unzulässig erklärt. Damit
können personenbezogene Daten nicht mehr ohne Weiteres in die USA übermittelt werden. Viele
Unternehmen befürchten nun, ins Visier von Aufsichtsbehörden zu geraten oder von Mitbewerbern abgemahntzuwerden.WasmüssenbetroffeneUnternehmenjetzteigentlichtun?
Im digitalen Zeitalter hinterlassen Menschen überall ihre Daten, etwa wenn sie
in einer Suchmaschine nach etwas suchen,aufeinemeCommerce-Portaletwas
kaufen oder einen Film bei einem
Streaming-Anbieter ansehen. Dabei kann
essichschnellumeinegroßeMengean
Daten handeln, wie der Österreicher Maximilian Schrems im Jahre 2011 erfuhr.
AufeineAnfragenachseinengespeicherten Daten beim US-Unternehmen FacebookerhieltereineDateimit1222Seiten,
dieSchrems’Facebook-NutzungimDetail
auflistet.SeitherführtSchremsseinenjuristischen Kampf um das Grundrecht auf
SchutzvonpersonenbezogenenDaten.
DieDiskussionrundumdasDatenschutzniveau in den USA wird von den Enthüllungen Edward Snowdens im Jahr 2013
im Zusammenhang mit den weltweiten
Überwachungs- und Spionagepraktiken
von Geheimdiensten, speziell des USDienstesNSA,angefeuert.Seitheristbe-
kannt, dass in den USA auch USGeheimdiensteundUS-Fahnderscheinbar
relativ problemlos Zugang zu personenbezogenen Daten bekommen, die auf
ServernindenUSAgespeichertsind.
Mit Blick auf die bekannt gewordenen
PraktikenwurdeimmerlauterZweifeldarangeäußert,obdieUSAeinausreichendes Datenschutzniveau gewährleisten.
Anlässlich mehrerer von Schrems angestrengterVerfahrenhattenunletztlichder
EuGH darüber zu entscheiden, ob die
Überwachungspraktiken der USGeheimdienstezurUnterschreitungeinesmiteuropäischen Standards vereinbaren Datenschutzniveausführten.
Das Urteil des EuGH
Als Grundsatz gilt zunächst: Das europäische Datenschutzrecht erlaubt die Übermittlung von personenbezogenen Daten
inDrittländer(wieauchdieUSA)nurdann,
wenn die übermittelten Daten dort min-
destens genauso gut geschütztsind,wie
innerhalb des Geltungsbereichs europäischer Datenschutzregulierung. Die Europäische Kommission ermöglichte USUnternehmenmitihrerEntscheidungvom
26. Juli 2000 die Übermittlung personenbezogener Daten in die USA, wenn sich
diese
gegenüber
dem
USHandelsministerium zur Einhaltung der
sogenannten„SafeHarborPrivacyPrinciples“ verpflichten und so zum „sicheren
Hafen“ für europäische Daten werden.
VereinfachtgesagtkonntenUnternehmen
personenbezogeneDatenausderEUauf
derBasisdes„SafeHarbor“-Abkommens
relativungehindertindieUSAübertragen.
SchremsklagteundmachtemitBlickauf
die zuletzt bekannt gewordenen Überwachungspraktiken der US-Geheimdienste
geltend, dass das erforderliche DatenschutzniveauindenUSA.
© 2015 KPMG Rechtsanwaltsgesellschaft mbH, assoziiert mit der KPMG AG Wirtschaftsprüfungsgesellschaft, einem Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG
International“),einerjuristischenPersonschweizerischenRechts,angeschlossensind.AlleRechtevorbehalten.DerNameKPMGunddasLogosindeingetrageneMarkenzeichenvonKPMGInternational.
2| Client Alert|Technology,Media&Telecommunication|Oktober2015
nicht mehr gewährleistet sei. Die irische
Tochtergesellschaft von Facebook dürfe
deshalb seine personenbezogenen Daten
nichtmehrindieUSAübermitteln.
Letztlich hatte der EuGH zu entscheiden.
Der hat das „Safe Harbor“-Abkommen
nun für ungültig erklärt. Er folgte weitgehend der Argumentation Schrems‘. Der
EuGHsahsowohldasGrundrechtderbetroffenen Nutzer auf Achtung ihrer Privatsphäre,alsauch–daesanwirksamen
Rechtsbehelfenfehle–ihrGrundrechtauf
gerichtlichen Rechtsschutz verletzt. Die
Erfordernisse der nationalen Sicherheit
hättenstetsVorrangvordenRegelungen
desAbkommens,sodassdiedatenverarbeitenden Unternehmen sich den Behördengegenübernichtaufihredatenschutzrechtlichen Verpflichtungen berufen
könnten.
Bei der Entscheidung des EuGH handelt
essichwohlumeinesderbedeutendsten
und folgenschwersten Urteile im Bereich
DatenschutzimletztenJahrzehnt.Aktuell
bestehtmassiveVerunsicherunginvielen
Unternehmen.
Die Aufsichtsbehörden können jetzt die
Zulässigkeit einer Übermittlung personenbezogenerDatenindieUSAaufihre
Vereinbarkeit mit europäischen Datenschutzstandards prüfen. Darüber hinaus
drohenfürdenFalleinesrechtswidrigen
Umgangs mit personenbezogenen Daten Abmahnungen und Unterlassungsklagen, etwa durch Mitbewerber und
Verbraucherschutzbehörden. Werden
Unterlassungen im Wege des einstweiligen Rechtsschutzes mit einstweiligen
Verfügungen durchgesetzt, ist möglicherweise sogar das Geschäftsmodell
unmittelbar bedroht. Jedenfalls drohen
bei einer Abschaltung von Diensten erheblicheUmsatzverluste.
Betroffen sind dabei alle Unternehmen,
die personenbezogene Daten in der EU
erheben und in die USA übermitteln
(etwa durch HostingaufServerninden
USA, Nutzung von Cloud-Services, die
ÜbermittlungvonDatenanDienstleister
indenUSA,ÜbermittlungvonDatenan
eine US-amerikanische Konzernmutter
oder an US-amerikanische Tochterunternehmenetc.).
Was ist jetzt zu tun?
BiszuderjetztvonvielengefordertenÄnderung des nationalen oder internationalengesetzlichenRahmenskannvielZeit
vergehen. Unternehmen müssen sich
aberjetztaufdiekonkreteGefährdungslage einstellen und umgehend und umfassendüberprüfen,obihrderzeitiger(grenzüberschreitender)
Umgang
mit
personenbezogenen Daten den regulatorischen Anforderungen an den Datenschutzentspricht.InsbesonderedieÜbertragung personenbezogener Daten in die
USA muss jetzt kritisch geprüft werden.
Soweit Unternehmen konkret betroffen
sind, müssen geeignete Notfallpläne entwickeltwerden.
Mit unserem Privacy Impairment Check
identifizieren, analysieren und bewerten
wir die konkreten Möglichkeiten zur
Übermittlung von personenbezogenen
DatenindieUSA.
BeiFragensprechenSieunsgernean!
Leistungen von KPMG
UnserTeamvonhochspezialisiertenRechtsanwältenberätnationaleundinternationaleKonzerne,Finanzinvestorenundöffentliche Körperschaften, sowie mittelständische Unternehmen, inhabergeführte Unternehmen und Start-Ups umfassend im Bereich
Informationsmanagement(DatenschutzundIT-Sicherheit),insbesondere
• beiderIdentifikation,AnalyseundBewertungbestehenderrechtlicherDokumentationundinternerProzessezumUmgangmit
personenbezogenenDaten(„Privacy Impairment Check“) sowiederenOptimierung;
• gestaltend bei der datenschutzkonformen Einführung eines Informations-/Datenmanagements sowie der Entwicklung und
MarkteinführungvonProdukten(„Privacy by Design“);
• anlassbezogenbeiinternenoderexternenUntersuchungsverfahren,z.B.nacheinem„DataLossIncident“(Krisenfall);
• inallenbehördlichenodergerichtlichenVerfahren(Prozessvertretung).
Kontakt
KPMGRechtsanwaltsgesellschaftmbH
Tobias Fuchs
Rechtsanwalt, Partner
Leiter Practice Group Technology, Media &
Telecommunication
T+498959976061380
[email protected]
www.kpmg-law.de
Matthias Platzer
Rechtsanwalt
PracticeGroup
Technology,Media&Telecommunication
T+498959976061091
[email protected]
Die enthaltenen Informationen sind allgemeiner Natur und nicht auf die spezielle Situation einer Einzelperson oder einer juristischen Person ausgerichtet. Obwohl wir uns bemühen, zuverlässige und aktuelle Informationen zu liefern,
könnenwirnichtgarantieren,dassdieseInformationensozutreffendsindwiezumZeitpunktihresEingangsoderdasssieauchinZukunftsozutreffendseinwerden.NiemandsollteaufgrunddieserInformationenhandelnohnegeeigneten
fachlichenRatundohnegründlicheAnalysederbetreffendenSituation.UnsereLeistungenerbringenwirvorbehaltlichderberufsrechtlichenPrüfungderZulässigkeitinjedemEinzelfall.
© 2015 KPMG Rechtsanwaltsgesellschaft mbH, assoziiert mit der KPMG AG Wirtschaftsprüfungsgesellschaft, einem Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperatve
(„KPMGInternational“),einerjuristischenPersonschweizerischenRechts,angeschlossensind.AlleRechtevorbehalten.DerNameKPMGunddasLogosindeingetrageneMarkenzeichenvonKPMGInternational.

Download Report