Starnberg, 6. Okt. 2015 - Safe Harbour-Entscheidung: Hintergrundinformationen und mögliche Konsequenzen...
Zur den Fakten: Der Europäische Gerichtshof (EuGH) hat heute das Safe Harbour-Abkommen zum Austausch personenbezogener Daten zwischen der Europäischen Union und den USA für ungültig erklärt (Az. C-362/14). Dies kann auch für deutsche mittelständische Unternehmen von Bedeutung sein, die im Rahmen von Outsourcing-Projekten die Leistungen US-amerikanischer Anbieter in Anspruch nehmen oder kommerzielle Cloud-Dienste US-amerikanischer Unternehmen nutzen. Darauf hat u.a. das Mittelstandsforum des Globalen Think Tank Diplomatic Council (DC) hingewiesen. DC-Mitgliedsfirmen wie BMT Büsing, Müffelmann & Theye, Leaseweb und andere stehen laut DC bereit, um betroffene Unternehmen bei der Analyse der Auswirkungen des EuGH-Urteils auf ihren Geschäftsbetrieb und bei der Suche nach Alternativen sowie gegebenenfalls Interimslösungen zu beraten und zu unterstützen.
Ferner haben die Datenschutz-Experten der BDO AG Wirtschaftsprüfungsgesellschaft die Situation aus rechtlicher Sicht kommentiert und nachfolgend einige Informationen zusammengestellt, die auch mögliche Konsequenzen der Entscheidung aufzeigen.
Safe Harbour-Entscheidung: Hintergrundinformationen und mögliche Konsequenzen (Quelle: Veröffentlichung der BDO AG vom 6.10.2015):
1. Was war Safe Harbour?
Die Datenschutzrichtlinie (Richtlinie 95/46/EG) und das Bundesdatenschutzgesetz (BDSG) verbieten die Übermittlung personenbezogener Daten aus EU-Mitgliedstaaten in Staaten, die über kein Datenschutzniveau verfügen, das dem der EU-Mitgliedstaaten entspricht. Ein solches „Defizit“ hinsichtlich des Datenschutzes besteht unter anderem im Hinblick auf die USA, bleibt das US-Datenschutzrecht doch weit hinter dem EU-Datenschutzrecht zurück.
In der Praxis besteht aber ein großes Bedürfnis, personenbezogene Daten aus EU-Mitgliedstaaten in die USA zu übermitteln. Vor diesem Hintergrund entstanden die sog. Safe Harbour-Grundsätze:
- US-Unternehmen können sich im Wege einer Selbstverpflichtung bestimmten datenschutzrechtlichen Prinzipien unterwerfen und diese Selbstverpflichtung in einer Liste des US-Handelsministeriums registrieren lassen.
- Das US-Handelsministerium kann Verstöße gegen die Safe Harbour-Grundsätze ahnden.
Die EU-Kommission entschied im Jahr 2000, dass bei US-Unternehmen, die sich den Safe Harbour-Grundsätzen unterworfen haben, von einem ausreichenden Datenschutzniveau auszugehen sei. Folglich konnte die Übermittlung personenbezogener Daten an solche US-Unternehmen auch aus EU-Mitgliedstaaten rechtmäßig erfolgen.
Viele US-Unternehmen unterwarfen sich daraufhin den Safe Harbour-Grundsätzen, transatlantische Datenübermittlungen wurden seitdem regelmäßig mit den Safe Harbour-Grundsätzen legitimiert.
2. Kritik an Safe Harbour und die Entscheidung des EuGH
Datenschützer bezweifelten allerdings schon seit langem, ob US-Unternehmen alleine aufgrund der Anerkennung der Safe Harbour-Grundsätze datenschutzrechtlich wirklich als „sichere Häfen“ anzusehen waren.
- Im Zusammenhang mit einem Rechtsstreit über Datenschutz bei Facebook hatte schließlich der EuGH über das Safe Harbour-Konstrukt zu entscheiden. Der EuGH teilte in seinem Urteil vom 6. Oktober 2015 die Auffassung von Datenschützern und dem Generalanwalt beim EuGH, dass vor dem Hintergrund der in den USA rechtlich zulässigen umfangreichen Datenspeicherung von personenbezogenen Daten aus EU-Mitgliedstaaten von einem angemessenen Datenschutzniveau nicht ausgegangen werden könne – auch wenn sich US-Unternehmen den Safe Harbour-Grundsätzen unterwerfen.
- Die entsprechende Entscheidung der EU-Kommission aus dem Jahr 2000 hat der EuGH daher nun für ungültig erklärt. Auf die Safe Harbour-Grundsätze kann daher die Übermittlung personenbezogener Daten aus EU-Mitgliedstaaten in die USA ab sofort nicht mehr gestützt werden.
3. Konsequenzen für die Praxis und Handlungsbedarf
Die Datenübermittlung in die USA ist von Unternehmen, die ihren Sitz in der EU haben, somit auf eine neue rechtliche Grundlage zu stellen. Soweit sich Ihr Unternehmen im transatlantischen Rechtsverkehr bislang auf die Safe Harbour-Grundsätze berufen hat, sollten Sie sich daher umgehend mit folgenden Fragen auseinandersetzen:
- Kann Ihr Unternehmen die Datenübermittlung in die USA auf eine gesetzliche Grundlage stützen, so dass das Entfallen der Safe Harbour-Grundsätze unschädlich ist?
- Dies ist regelmäßig z.B. dann der Fall, wenn die Übermittlung der Daten zur Vertragserfüllung erforderlich ist (Online-Shopping etc.).
- Kommen die EU-Standardvertragsklauseln als Grundlage für die künftige Datenübermittlung in die USA in Betracht?
Die EU-Kommission hat entschieden, dass für eine Datenübermittlung aus EU-Mitgliedstaaten in die USA von einem ausreichenden Datenschutzniveau auszugehen und somit die Datenübermittlung erlaubt ist, wenn zwischen den beteiligten Unternehmen die Geltung der sog. EU-Standardvertragsklauseln vereinbart werden. Kommen die Binding Corporate Rules als Grundlage für die künftige Datenübermittlung in die USA in Betracht?
- Diese Möglichkeit bietet sich vor allem internationalen Konzernen: Diese können konzernintern verbindliche Regelungen zum Datenschutz aufstellen, um ein angemessenes Datenschutzniveau herzustellen.
Ist die Einwilligung der betroffenen Personen erforderlich?
- Sofern keine dieser Grundlagen für die Übermittlung der personenbezogenen Daten von EU-Mitgliedstaaten in die USA zutrifft, muss von den betroffenen Personen die Einwilligung in die Datenübermittlung in die USA eingeholt werden.
BDO zählt mit über 1.900 Mitarbeitern an 24 Standorten zu den führenden Gesellschaften für Wirtschaftsprüfung und prüfungsnahe Dienstleistungen, Steuerberatung und wirtschaftsrechtliche Beratung sowie Advisory Services in Deutschland. Die BDO AG Wirtschaftsprüfungsgesellschaft ist Gründungsmitglied des internationalen BDO Netzwerks (1963), das mit knapp 60.000 Mitarbeitern in 152 Ländern vertreten ist.
Das Diplomatic Council (UNO reg.) ist ein bei den Vereinten Nationen registrierter globaler Think Tank zur Verbindung von Diplomatie, Wirtschaft und Gesellschaft. Hierzu verknüpft das Diplomatic Council ein weltweites Wirtschaftsnetzwerk mit der Ebene der diplomatischen Kommunikation. Als Mitglieder sind gleichermaßen Diplomaten und Persönlichkeiten aus Wirtschaft und Gesellschaft willkommen.