Hinweis:

Diese Meldung stammt aus dem Archiv. In archivierten Meldungen sind möglicherweise nicht mehr funktionierende Links zu anderen Websites enthalten. Die Redaktion übernimmt keine Gewähr für die Funktionalität der Links.

Recht kompakt: Safe-Harbor-Urteil - was ist zu tun?

Recht kompakt: Safe-Harbor-Urteil - was ist zu tun?

München (8.10.2015) - Der Europäische Gerichtshof (EuGH) hat am 6. Oktober 2015 in seinem Urteil das Safe-Harbor-Abkommen für ungültig erklärt. Ferner hat der EuGH den Datenschutzaufsichtsbehörden die Befugnis attestiert, Datenübermittlungen in die USA auf der Basis des Safe-Harbor-Abkommens zu untersagen. Wir informieren über aktuelle Schritte der Aufsicht. Was müssen Unternehmen tun?

Der Europäische Gerichtshof (EuGH) hat am 6. Oktober 2015 die Safe-Harbor-Regelung für ungültig erklärt. Diese gewährleiste aus europäischer Sicht kein angemessenes Datenschutzniveau. Ferner hat der EuGH den Datenschutzaufsichtsbehörden die Befugnis attestiert, Datenübermittlungen in die USA auf der Basis des Safe-Harbor-Abkommens zu untersagen. Was müssen Unternehmen tun?

Mit der Entscheidung des EuGH können Datenschutzaufsichtsbehörden den auf Safe-Horbor gestützten Transfer personenbezogener Daten in die USA untersagen. Die Auswirkungen sind noch sehr unklar, wir halten Sie auf dem Laufenden.

Was wurde entschieden?

Der EuGH hat am 06.10.2015 in der Rechtssache C-362/14 (Maximilian Schrems gegen die irische Datenschutzaufsichtsbehörde wegen der Übermittlung von Daten in die USA innerhalb des Facebook-Konzerns) Folgendes entschieden:

  1. Das Safe-Harbor-Abkommen bietet aus europäischer Sicht kein angemessenes Datenschutzniveau für eine Datenübermittlung in die USA. Denn das US-Recht ermögliche den Geheimdiensten uneingeschränkt Zugriff auf Daten von Unternehmen in USA. Daher hat der EuGH dieses Abkommen für ungültig erklärt.
  2. Ferner hat der EuGH den Datenschutzaufsichtsbehörden in der EU die Befugnis zugesprochen, Datenübermittlungen in die USA auf der Basis des Safe-Harbor-Abkommens zu untersagen. zurück

Welche Unternehmen sind betroffen?

  • Prinzipiell alle Unternehmen, die personenbezogene Daten in die USA übermitteln und/oder diese dort selber oder durch Dritte verarbeiten bzw. verarbeiten lassen, also z. B. Cloud-Angebote oder Software-as a-Service-Produkte amerikanischer Unternehmen nutzen. In einem ersten Schritt sollten Unternehmen prüfen, ob sie Daten auf der Basis von Safe-Harbor in die USA übermitteln. Derartige Datenübermittlungen können nun nicht mehr auf das Safe-Harbor-Abkommen bzw. entsprechende Zerifikate in den USA gestützt werden.
  • Unternehmen, die Safe-Harbor beigetreten sind
    Unternehmen in USA können sich freiwillig dem Safe-Harbor-Abkommen unterwerfen und sich in eine Liste der FTC eintragen lassen. Die Liste ist zu finden auf http://safeharbor.export.gov/list.aspx. Bisher erlaubte das zwischen der EU und den USA geschlossene Safe-Harbor-Abkommen es Unternehmen, personenbezogene Daten aus Europa an Safe-Harbor-zertifizierte Unternehmen in USA zu übermitteln.zurück

Ist sofort mit Maßnahmen von Seiten der Datenschutzbehörden zu rechnen?

  • Bayern
    Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat entschieden, dass es vor einer Klärung der weiteren Vorgehensweise unter den Datenschutzaufsichtsbehörden keine hoheitlichen Maßnahmen gegenüber Firmen in Bayern ergreifen wird. Damit bleibt abzuwarten, ob und auf welche Vorgehensweise die deutschen Datenschutzaufsichtsbehörden sich verständigen werden.
  • Deutschland
    Der Hamburgische Landesdatenschutzbeauftragte ist zuständig für Facebook. Er wird sich am 8.10.2015 mit seinen europäischen Kollegen in Brüssel treffen. Die Vertreter der deutschen Datenschutzaufsichtsbehörden treffen sich am Freitag, 9.10.2015, und werden sich einheitlich in der Vorgehensweise abstimmen. Vorher sind keine weiteren Hinweise zu erwarten. zurück

Welche Möglichkeiten gibt es?
Zwei Optionen stehen zur Diskussion:

  1. Für die 4400 in der Safe-Harbor-Liste aufgeführten Unternehmen wird eine Übergangsregelung beschlossen.
  2. Es wird keine Übergangsregelung geben und der Datenverkehr in die USA wird von den Landesdatenschutzaufsichtshehörden untersagt. Inwieweit in der Situation dann ein Rückgriff auf Rechtsinstrumente wie Standardvertragsklauseln oder konzerninterne Datenschutzgarantien bleibt, ist offen. Es steht zu befürchten, dass diese dann auch nicht mehr wirken, weil Sicherheitsinteressen in USA vor Datenschutzregeln gehen. zurück

Empfehlungen für Unternehmen

Prüfen Sie, ob Daten aus Ihrem Unternehmen in den USA verarbeitet werden und suchen Sie in diesen Fällen nach einer Alternative.

  • Online-Shop: Nutzen Sie mit Ihrem Online Shop zum Beispiel das Portal wix.com , werden die Daten auf jeden Fall in den USA verarbeitet.
  • Durchforsten Sie die Datenschutzerklärung Ihres Anbieters auf Hinweise auf Safe Harbor. Wird Bezug darauf genommen, sind Sie datenschutztechnisch nicht mehr auf der sauberen Seite.
  • StartUps: Gerne nutzen Startups die Dienste der Amazon Cloud oder von Dropbox. Auch dies ist unter Datenschutzgründen nicht zu empfehlen.
  • IP-Adresse: Wenn Sie festgestellt haben, dass Ihre IP-Adresse nicht in USA gehostet wird, dann bietet dies keine Gewähr dafür, dass auch die Daten in Europa vorgehalten werden. Hier sind weitere Recherchen notwendig.

Social Media Plugins: Falls Sie es noch nicht getan haben, setzen Sie bitte jetzt auf die Doppel-Click-Lösung bei Social Media Buttons. Eine Möglichkeit bietet das Tool Shariff . Eine direkte Einbindung ist auf keinen Fall datenschutzkonform, die Doppel-Click-Lösung ist zumindest besser. zurück


Politsche Forderung der IHK
Wir fordern eine schnelle politische Lösung. Die Entscheidung zu Safe-Harbor darf nicht zu Lasten der Unternehmen gehen. zurück

>>> Pressemitteilung des EuGH zum Urteil.

(Quelle: IHK München)