26
Okt
2015

Deutsche Datenschutzbehörden nehmen Stellung zum EuGH-Urteil zu Safe Harbor

Die Datenschutzkonferenz der Datenschutzbeauftragten des Bundes und der Länder („DSK„) hat heute eine Stellungnahme zum Safe-Harbor-Urteil des EuGH veröffentlicht. Darin wiederholt die DSK im Wesentlichen die bereits bekannte Stellungnahme der Art. 29 Arbeitsgruppe: Die EuGH-Entscheidung stellt nach Ansicht der deutschen Datenschutzbehörden auch Standardvertragsklauseln und Binding Corporate Rules („BCRs„) in Frage. Unternehmen, die personenbezogene Daten exportieren, sollen nach Auffassung der DSK „unverzüglich“ ihre Verfahren zum Datentransfer datenschutzgerecht gestalten. Dabei unterlassen es die Behördenvertreter allerdings, Unternehmen auch praktikable Ratschläge zur Umsetzung dieser Forderung mitzugeben. Im Ergebnis werden viele Unternehmen daher voraussichtlich EU-Standardvertragsklauseln trotz der Kritik der Datenschutzkonferenz als kurz- oder mittelfristige Option zur Vermeidung von Bußgeldern, Rufschäden oder andere Nachteilen wählen.

Die Stellungnahme der DSK nennt den 31. Januar 2016 als Zeitpunkt, bis zu dem er US-Gesetzgeber ein angemessenes Datenschutzniveau schaffen soll und bis zudem die Europäische Kommission die Vorgaben des EuGH an Standardvertragsklauseln umsetzen soll. Eine Übergangsfrist für Unternehmen, um ihre Prozesse datenschutzkonform zu gestalten, nennt die DSK in ihrem Positionspapier hingegen nicht.

Die wesentlichen Aussagen des Positionspapiers der DSK lassen sich wie folgt zusammenfassen:

  • Safe Harbor: Auch die deutschen Aufsichtsbehörden beurteilen Datenübermittlungen auf der Grundlage von Safe-Harbor als unzulässig.
  • EU-Standardvertragsklauseln und Binding Corporate Rules: Die deutschen Datenschutzbehörden sehen auch die Zulässigkeit von Datentransfers auf der Grundlage von EU-Standardvertragsklauseln oder von Binding Corporate Rules infrage gestellt. Allerdings werden sie bis zum 31. Januar 2016 voraussichtlich keine umfassenden Zwangsmaßnahmen umsetzen.
  • EU-Standardvertragsklauseln: Auch vor dem 31. Januar 2016 werden die deutschen Datenschutzbehörden die Übermittlung von personenbezogenen Daten auf der Grundlage von EU-Standardvertragsklauseln in Einzelfällen gründlich prüfen. Dabei werden die Datenschützer die vom EuGH aufgestellten Standards anwenden.
  • Binding Corporate Rules: Die Datenschutzaufsichtsbehörden vertreten den Standpunkt, dass sie Datenübermittlungen auf der Grundlage von Binding Corporate Rules jeweils genehmigen müssen, damit diese zulässig sind. Sie kündigen an, bis auf weiteres keine weiteren Übermittlungen personenbezogener Daten auf der Grundlage von Binding Corporate Rules oder Datenübermittlungsverträgen zu genehmigen.
  • Einwilligungen: Nach Ansicht der Datenschutzkonferenz sollen Übermittlungen personenbezogener Daten in die USA oder andere Drittstaaten nur in Ausnahmefällen auf Einwilligungen gestützt werden können. Dies soll insbesondere bei der Übermittlung von Beschäftigtendaten gelten. Grundsätzlich dürfe der Datentransfer jedoch nicht wiederholt, massenhaft oder routinemäßig erfolgen.
  • Folgen für Unternehmen: Die Datenschutzaufsichtsbehörden rufen Unternehmen auf, „unverzüglich Ihre Verfahren zum Datentransfer datenschutzgerecht zu gestalten.“ Dabei ist es etwas bedauerlich, dass die Datenschützer davon absehen, Unternehmen hierfür auch Hilfestellungen an die Hand zu geben. Die in dem Positionspapier vom 26. Oktober 2015 genannten Veröffentlichungen der Datenschutzkonferenz zu elektronischer Kommunikation und zu Cloud Computing bieten hier wenig Unterstützung.

Eine operativ zweckmäßige und rechtlich sichere Lösung ist derzeit nicht in Sicht. Unternehmen sollten sich daher vor allem darauf konzentrieren, Compliance-Risiken beim Datenschutz zu minimieren. Vor dem Hintergrund der heutigen Stellungnahme der DSK sind Unternehmen daher gut beraten, den Transfer von personenbezogenen Daten in die USA zunächst auf ein nötiges Mindestmaß zu beschränken. Als Übergangslösung der Wahl bieten sich insbesondere Standardvertragsklauseln an, um verbleibende Bußgeld- und Compliance-Risiken abzudecken, bis politisch eine neue sichere Lösung für den Datentransfer gefunden ist.

Den kompletten Text des Positionspapiers der DSK finden Sie hier.

 

Verfasst von Tim Wybitul und Dr. Wolf-Tassilo Böhm (sind aus der Sozietät ausgeschieden)