Safe Harbor – Schonfrist für Unternehmer

In vielen europäischen Unternehmen herrscht zurzeit Unsicherheit. Unsicherheit darüber, wie mit personenbezogenen Daten umzugehen ist, die – zum Beispiel aufgrund von Firmenkooperationen oder Firmenstammsitzen – in die USA transferiert werden. Bis Ende September fühlten sich Unternehmer datenschutzrechtlich auf der sicheren Seite – gab es doch das Abkommen zum transatlantischen Datenaustausch zwischen den Vereinigten Staaten und der EU – das sogenannte Safe-Harbor-Abkommen. Im Jahr 2000 hatte die EU-Kommission mit dem US Department of Commerce einen Mechanismus festgelegt, nach dem US- Unternehmen einseitig erklären konnten, sich an bestimmte Prinzipien zu halten. Damit galten sie nach einer Entscheidung der EU-Kommission automatisch als „sicherer Hafen“ für Europäische Daten.

Seit dem 6. Oktober ist nun alles anders. Der Europäische Gerichtshof hat das Safe-Harbor-Abkommen für ungültig erklärt (AZ: C-362/14). Seitdem sind viele Unternehmern unsicher und ratlos. Was bedeutet das für Unternehmen, die auf den Datentransfer in die USA angewiesen sind? Wie wird es weitergehen? Müssen alle Transfers sofort gestoppt werden? Welche Alternativen gibt’s?

 

Die Gute Nachricht: Bis Ende Januar gibt’s eine Schonfrist.

Auf europäischer Ebene haben die in der sogenannten „Artikel 29 Datenschutzgruppe“ organisierten Aufsichtsbehörden verlauten lassen, dass sie bis zum 31. Januar 2016 keine Maßnahmen ergreifen werden. Diese Übergangsfrist schafft vielen Unternehmen zunächst ein wenig Luft. In Reaktion auf das Urteil riefen die Datenschutzbehörden der Länder und des Bundes in einem Positionspapier nun die Unternehmen auf, unverzüglich ihre Verfahren zum Datentransfer datenschutzgerecht zu gestalten. Derzeit gibt es drei Alternativen zum Safe-Harbor-Abkommen – neue Genehmigungen für diese Verfahren wird es jedoch vorerst nicht geben:

  • Datenübermittlungen auf Grundlage von verbindlichen Unternehmensregelungen (BCR)
  • Datenübermittlungen auf Grundlage von Datenexportverträgen
  • Transfer mit Einwilligung der Betroffenen

Bis zum Ablauf der Frist am 31. Januar soll eine Lösung zwischen der EU und den USA gefunden werden, etwa durch eine Neuauflage des Safe-Harbor-Abkommens – selbstverständlich unter Berücksichtigung der EuGH-Auflagen. Zudem können Unternehmen bis zum Ablauf dieser Frist noch auf bereits bestehende BCR und auf Verträge vertrauen, die auf den so genannten Standardvertragsklauseln der EU-Kommission basieren.

Die Gespräche und Verhandlungen zwischen der EU und den USA laufen seit Wochen auf Hochtouren. Und wie es nicht anders zu erwarten war, wird es harte Verhandlungsarbeit sein, um zu einem Ergebnis zu kommen, das dem Urteil des EuGH entspricht. So haben die US-Behörden offenbar in vielen Punkten ein anderes Verständnis von Datenschutz, als die Politiker im Europäischen Parlament in Brüssel. Die EU bringt jedenfalls auf der Grundlage des EuGH-Urteils wenig Verhandlungsspielraum mit.

 

Übergangsfrist nutzen

Die drei genannten Alternativen sind praktisch derzeit die einzige Möglichkeit, Aufsichtsmaßnahmen zu entgehen – zumindest noch bis zum 31. Januar 2016. Was danach geschieht, ist wohl selbst den Behörden zu diesem Zeitpunkt noch nicht klar. Denn angesichts der deutlichen Argumentation des EuGH bezweifeln sie die grundsätzliche Eignung. Es ist daher wohl nicht auszuschließen, dass die Aufsicht nach Fristablauf, ab Februar 2016, Maßnahmen ergreifen wird.

So oder so: Europäische Unternehmen sollten ihren Datenexport auf Basis von Safe Harbor dringend ersetzen. Kurzfristig helfen nur EU-Standardvertragsklauseln. Langfristige Sicherheit könnte Safe-Harbor 2.0 bringen. Oder: Durch einen Wechsel aus den USA zu einem europäischen Anbieter generell einen Datentransfer über den großen Teich zu verhindern.

Post your comments here

Your email address will not be published. Required fields are marked *