Der externe Datenschutzbeauftragte

Als Dienstleister übernehmen wir alle Aufgaben des betrieblichen Datenschutzbeauftragten für Ihr Unternehmen.

Mehr Informationen

Datenschutz-Audits

Mit einer Zertifizierung nach dem Standard DS-BvD-GDD-01 kann Ihr Unternehmen nach außen dokumentieren, dass Sie den Datenschutz ernst nehmen und die Daten Ihrer Kunden bei Ihnen sicher sind.

Mehr Informationen

Computerforensik

Wer hat wann welche Tätigkeiten am PC oder Smartphone durchgeführt? Die Computerforensik findet die Antworten...

Mehr Informationen

Datenschutz

Ein hohes Datenschutzniveau ist heute ein wichtiges Qualitätsmerkmal für viele Unternehmen. Ein externer Datenschutzbeauftragter gewährleistet die Umsetzung der gesetzlichen Vorgaben.

Mehr Informationen

Datenschutz-Audits

Mit einem Datenschutz-Audit kann ein Unternehmen die Einhaltung der datenschutzrechtlichen Vorschriften nach außen dokumentieren. Für Auftragsdatenverarbeitungen ist insbesondere der Standard DS-BvD-GDD-01 interessant.

Mehr Informationen

Gutachten

Ob zur Strafverfolgung durch die Behörden, zur Beweisführung in zivilrechtlichen Verfahren oder zur Bewertung von Hard- und Software - häufig kann ein IT-Gutachen die benötigten Nachweise liefern.

Mehr Informationen

Computer-Forensik

Computerstraftaten haben in den letzten Jahren enorm zugenommen. Zur Beweisführung aber auch zur Verteidigung gegen unberechtigte Beschuldigungen können computerforensische Gutachten den entscheidenden Beitrag liefern.

Mehr Informationen

gdd-mitglied-pos
2016_01_29_Logo_Mitglieder_lowres

EuGH kippt Safe Harbor Abkommen

27. Oktober 2015

Das Safe Harbor Abkommen war seit dem Jahr 2000 eine gerne genutzte Rechtsgrundlage um eine Datenübermittlung in die USA zu rechtfertigen. Es ging davon aus, dass Unternehmen, die sich diesem Abkommen unterwarfen, ein Datenschutzniveau böten, wie es in der EU herrscht.

Seit dem 06.10.2015 ist diese Rechtsgrundlage ersatzlos entfallen. Der Europäische Gerichtshof (EuGH) hat nach der Klage des Österreichers Maximilian Schrems den Beschluss 2000/520/EG der EU-Kommission für ungültig erklärt.

Keine Wertung des Datenschutzniveaus

Interessant ist, dass der EuGH diese Entscheidung nicht mit dem tatsächlich in den USA herrschenden Datenschutzniveau begründet. Dieses wird vom EuGH gar nicht bewertet. Der EuGH bemängelt vielmehr, dass die EU-Kommission ihre Befugnisse überschritten habe. So müssen die nationalen Datenschutzaufsichtsbehörden z. B. bei Beschwerden völlig unabhängig tätig werden können. Sie müssen in der Lage sein, zu entscheiden, ob die in der Richtlinie 95/46/EG aufgeführten Anforderungen eingehalten werden. Die Entscheidungen der EU-Kommission seien dabei nicht zu berücksichtigen. Damit ist nun zu erwarten, dass die einzelnen Aufsichtsbehörden jeweils ihre Sicht auf die Dinge bekannt geben. Und die muss nicht zwingend einheitlich sein. Die Schleswig-Holsteinische Aufsichtsbehörde hat das bereits am 14.10.2015 getan.

Die Ermittlungsbehörden

Einer der Gründe – den auch ich in der Vergangenheit bei meinen Kunden immer wieder als Vorbehalt eingebracht habe – ist dabei der nahezu wahlfreie Zugriff der US-Ermittlungsbehörden und -Geheimdienste auf jegliche in den USA gespeicherten Daten. Verschlimmert wird diese Situation noch durch die fehlende Möglichkeit für Betroffene, die keine US-Bürger sind, sich gegen diese Zugriffe zur Wehr zu setzen.

Mit Safe Harbor ist nun die vermutlich meist genutzte Rechtsgrundlage für die Legitimation von Datentransfers in die USA entfallen. Sämtliche hierauf basierenden Übermittlungen müssen kurzfristig auf den Prüfstand und – soweit möglich – neu legitimiert werden.

Alternativen

Zur Wahl stehen

  • die EU-Standardvertragsklauseln
  • eine explizite und informierte Einwilligung des Betroffenen
  • Binding corporate rules
  • andere gesetzliche Grundlagen

Es ist leicht zu erkennen, dass nicht viele Möglichkeiten existieren. Der gangbarste Weg für die meisten Unternehmen wird vermutlich der Abschluss der EU-Standardvertragsklauseln sein. Auch für die betroffenen US-Unternehmen dürfte dieses die einfachste, weil bequemste, Lösung sein, müssen diese doch „nur“ unterzeichnet werden. Inhaltliche Änderungen sind nicht zulässig, damit wissen auch alle Beteiligten, worauf sie sich einlassen. Großer Vorteil der EU-Standardvertragsklauseln ist, dass diese im Gegensatz z. B. zu Binding corporate rules nicht von den Aufsichtsbehörden genehmigt werden müssen. Leider hat sich die Schleswig-Holsteinische Aufsichtsbehörde sich bereits entschieden, auch EU-Standardvertragsklauseln nicht mehr ohne Weiteres akzeptieren zu wollen. Die Begründung ist m. E. gut nachvollziehbar und bezieht sich auf die Massenüberwachung durch die US-Geheimdienste.

Ich meine, im Konzernumfeld sind Binding corporate rules ein probates Mittel für die Legitimation von Datenexporten. Allerdings sind diese durch die deutschen Aufsichtsbehörden zu genehmigen. Somit dürften diese nicht kurzfristig (und in Schleswig-Holstein vermutlich gar nicht mehr) umzusetzen sein.

Einwilligung?

Auch die Einwilligung der Betroffenen könnte eine Lösung darstellen. Allerdings muss diese von allen Betroffenen eingeholt werden. Des Weiteren muss eine Einwilligung immer informiert erfolgen, damit sie auch wirksam ist.

Was machen die Aufsichtsbehörden draus?

Insgesamt hat der EuGH hier mit einer kleinen Entscheidung für ein großes Unsicherheits- und Konfliktpotenzial in den Unternehmen gesorgt. Jetzt ist abzuwarten, wie nach Schleswig-Holstein sich die restlichen Aufsichtsbehörden der Länder positionieren. Die Chance, vorsorglich eine gemeinsame Aussage im Rahmen ihrer gerade beendeten 90. Konferenz (am 30.09. und 01.10.2015) zu treffen, haben sie ja leider nicht wahrgenommen

Exportieren Sie Daten in die USA auf Basis des Safe Harbor Abkommens? Dann haben Sie dringenden Handlungsbedarf. Sprechen Sie mich an, ich unterstütze Sie bei der erneuten Legitimation auf Basis einer anderen Rechtsgrundlage.