Safe Harbor gekippt – im unsicheren Hafen Gründe und Konsequenzen der EuGH-Entscheidung zur Unwirksamkeit von Safe Harbor Der Europäische Gerichtshof (EuGH) hat am 6. Oktober 2015 die Entscheidung der Europäischen Kommission, wonach die Vereinigten Staaten von Amerika im Rahmen des Safe Harbor-Abkommens ein angemessenes Schutzniveau für aus der EU übermittelte personenbezogene Daten gewährleisten, für ungültig erklärt. Ein Datentransfer ist damit auf Basis dieses Abkommens nicht mehr rechtskonform möglich. Um empfindlichen Bußgeldern zu entgehen, sind Unternehmen in Zugzwang. Doch auch die Alternativen sind limitiert. Hintergrund Im europäischen Datenschutzrecht gilt der Grundsatz: Die Übermittlung von personenbezogenen Daten in Drittländer (wie auch die USA) ist nur dann erlaubt, wenn die übermittelten Daten dort mindestens genauso gut geschützt sind wie innerhalb des Geltungsbereichs europäischer Datenschutzregulierung. Ein solches „angemessenes Datenschutzniveau“ kann von der europäischen Kommission auch individuell festgestellt werden, wie es in ihrer Safe Harbor-Entscheidung vom 26. Juli 2000 der Fall war. Gemäß diesem Abkommen können sich US-Unternehmen gegenüber der Federal Trade Commission (FTC) zur Einhaltung der sogenannten „Safe Harbor Privacy Principles“ verpflichten und so zum „sicheren Hafen“ für europäische Daten werden. Entsprechend konnten Unternehmen bisher personenbezogene Daten aus EU-Ländern an Safe Harbor zertifizierte Unternehmen in den USA übermitteln. Durch die Entscheidung des EuGH besteht diese Möglichkeit nicht mehr. Entscheidung des EuGH Der Europäische Gerichtshof führt in seiner Entscheidung aus, dass die Kommission bei der Feststellung eines angemessenen Datenschutzniveaus der Vereinigten Staaten nach dem Safe Harbor-Abkommen wesentliche Punkte nicht geprüft hat. Sie betreffen unter anderem die Frage, ob und unter welchen Umständen staatliche Stellen nach US-Recht Zugriff auf diese Daten verlangen können und ob hiergegen Rechtsschutzmöglichkeiten für die Betroffenen bestehen. Ob letztlich in den USA ein angemessenes Datenschutzniveau bestehen kann, wurde durch den EuGH nicht abschließend beurteilt. Allein die Tatsache aber, dass die vorgenannten Punkte nicht geprüft wurden, führt nach Auffassung des Gerichts dazu, dass die Safe Harbor-Entscheidung insgesamt als ungültig anzusehen ist. Position der Aufsichtsbehörden Vor diesem Hintergrund haben nun die deutschen Aufsichtsbehörden für den Datenschutz ein einheitliches Positionspapier zum Safe Harbor-Urteil veröffentlicht. Ihm zufolge verbleiben derzeit für Unternehmen nur noch limitierte Möglichkeiten für Transfers personenbezogener Daten in die USA. • Der Safe Harbor-Mechanismus ist nach dem Urteil des EuGH nicht mehr möglich. Aufsichtsbehörden kündigen sofortige Untersagungsverfügungen für den Fall an, dass sie Kenntnis von Transfers personenbezogener Daten auf dieser Basis erlangen. • Binding Corporate Rules, also verbindliche Unternehmensregeln, werden von den Aufsichtsbehörden für Datentransfers in die USA zukünftig nicht mehr genehmigt. Gleiches gilt für sogenannte genehmigungspflichtige Datenexportverträge. Die Aufsichtsbehörden äußern bisher nicht die Absicht, bestehende Regelungen für ungültig zu erklären. Unklar bleibt die Frage, wie deutsche Aufsichtsbehörden mit Binding Corporate Rules umgehen werden, die zukünftig von anderen Mitgliedsstaaten genehmigt werden. • Standardvertragsklauseln werden ebenfalls kritisch bewertet, aber mit Blick auf die Äußerung der Artikel 29Gruppe, bestehend aus Vertretern der nationalen Datenschutzbehörden der Mitgliedsstaaten der Europäischen Union, ist davon auszugehen, dass bis zum 31. Januar 2016 keine umfassenden Zwangsmaßnahmen umgesetzt werden. Bis dahin können Standardvertragsklauseln eine mögliche, vorübergehende Rechtsgrundlage für Transfers von personenbezogenen Daten in die USA darstellen. • Einwilligungen zur Übermittlung personenbezogener Daten werden nur in engen Ausnahmefällen als zulässige Rechtsgrundlage gewertet. Sie sollen aber keinen dauerhaften/regelmäßigen Datentransfer rechtfertigen können. Die Aufsichtsbehörden für den Datenschutz fordern betroffene Unternehmen auf, „unverzüglich ihre Verfahren zum Datentransfer datenschutzgerecht zu gestalten“. Handlungsmaßnahmen für Unternehmen Wir empfehlen Unternehmen aktuell, folgende Fragen zu klären: • Werden personenbezogene Daten in die USA übermittelt? • Auf welcher Rechtsgrundlage werden sie transferiert? • Was sind gegebenenfalls bestehende Handlungsalternativen? Zunächst sollten alle Unternehmen prüfen, ob und welche personenbezogenen Daten sie auf Basis des Safe HarborAbkommens in die Vereinigten Staaten übermitteln. Dabei sollte auch die Übermittlung durch dritte Parteien, wie Cloud-Anbieter oder sonstige externe Datenverarbeiter bedacht werden. Werden Daten in die USA übertragen, sollten die Unternehmen gemeinsam mit ihren amerikanischen Partnern Alternativen erarbeiten. Unternehmen, die nicht über bestehende Binding Corporate Rules oder einen genehmigten Datenexportvertrag verfügen, dürften kurzfristig und vorübergehend bis Ende Januar 2016 auf die Standardvertragsklauseln zurückgreifen können, in absoluten Einzelfällen auch auf Einwilligungen. Klar wird aber auch, dass mit der Entschließung der deutschen Aufsichtsbehörden eine wirklich belastbare Rechtsgrundlage für Unternehmen aktuell nicht mehr besteht. Vor dem Hintergrund der klaren Positionierung der deutschen Aufsichtsbehörden sind Unternehmen dazu angehalten, auch kurzfristig den Transfer von personenbezogenen Daten in die USA auf ein Mindestmaß zu beschränken und möglicherweise bestehende Datentransfers umzugestalten. Rechtssicherheit kann nur die von vielen Seiten angemahnte politische Lösung mit den USA bringen. Bis dahin werden deutsche Unternehmen aber nicht auf eine Schonfrist der Aufsichtsbehörden vertrauen können, sondern müssen proaktiv ihre Datenschutz-Compliance auch für Datentransfers in die USA sicherstellen. Wie Maßnahmen für Ihr Unternehmen aussehen können und wie diese kurzfristig effizient umgesetzt werden können, erarbeiten wir gerne gemeinsam mit Ihnen. Fortlaufend aktualisierte Informationen zum Thema finden Sie unter: www.kpmg.de/safeharbor Kontakt KPMG AG Wirtschaftsprüfungsgesellschaft KPMG Rechtsanwaltsgesellschaft mbH Barbara Scheben Partner, Audit Forensic T +49 69 9587-3737 [email protected] Dr. Tobias Fuchs Partner, Leiter Practice Group Technology, Media & Telecommunication T +49 89 599 7606 1380 [email protected] www.kpmg.de www.kpmg-law.de Die enthaltenen Informationen sind allgemeiner Natur und nicht auf die spezielle Situation einer Einzelperson oder einer juristischen Person ausgerichtet. Obwohl wir uns bemühen, zuverlässige und aktuelle Informationen zu liefern, können wir nicht garantieren, dass diese Informationen so zutreffend sind wie zum Zeitpunkt ihres Eingangs oder dass sie auch in Zukunft so zutreffend sein werden. Niemand sollte aufgrund dieser Informationen handeln ohne geeigneten fachlichen Rat und ohne gründliche Analyse der betreffenden Situation. Unsere Leistungen erbringen wir vorbehaltlich der berufsrechtlichen Prüfung der Zulässigkeit in jedem Einzelfall. © 2015 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG - Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.
© Copyright 2024 ExpyDoc
