EuGH erklärt Safe Harbor für ungültig – UPDATE 21.04.2016

EU-Flagge

Der Gerichtshof der Europäischen Union hat mit Urteil vom 06.10.2015 die unter dem Namen "Safe Harbor" bekannte Entscheidung der EU-Kommission für ungültig erklärt. Davon betroffen sind Datentransfers in die USA, z. B. bei Facebook, die Anlass für das Urteil waren. Zu den Folgen der Entscheidung koordinieren sich die Datenschutzaufsichtsbehörden bundes- und europaweit.

 

Bei Übermittlung personenbezogener Daten aus Deutschland an eine Stelle in einem außereuropäischen Staat muss ein wirksamer Schutz der Persönlichkeitsrechte der Betroffenen sichergestellt werden. Für die USA hatte die Safe-Harbor-Entscheidung der Europäischen Kommission (2000/520/EG) festgestellt, dass dort ein angemessenes Datenschutzniveau bestehe, soweit US-Unternehmen, die der Kontrolle des US-Handelsministeriums unterliegen, die „Grundsätze des sicheren Hafens“ anerkennen und sich entsprechend zertifizieren. Diese Möglichkeit besteht ab sofort nicht mehr, da der Gerichtshof der Europäischen Union die Safe-Harbor-Entscheidung mit Urteil vom 06.10.2015 für ungültig erklärt hat.

 

Der EuGH stellt fest, dass die EU-Kommission mögliche Datenzugriffsrechte durch US-Behörden, welche den Wesensgehalt der Grundrechte auf Achtung des Privatlebens und auf wirksamen gerichtlichen Rechtsschutz verletzen können, nicht ausreichend geprüft hat. Die europäischen und die deutschen Datenschutzaufsichtsbehörden hatten die Safe-Harbor-Entscheidung der EU-Kommission zuletzt im März 2015 kritisiert. Auch für andere Instrumente wie EU-Standardverträge, Individualverträge und verbindliche Konzernregelungen ist im Licht des EuGH-Urteils zu überprüfen, ob sie einen Datentransfer in die USA rechtfertigen können. Dazu hat die Art.-29-Datenschutzgruppe der EU-Kommission am 16. Oktober 2015 ein Statement veröffentlicht. Ebenso haben die deutschen Datenschutzaufsichtsbehörden am 21. Oktober 2015 ein Positionspapier vorgelegt.

 

Zur umfassenden Klärung der Konsequenzen des Urteils befinden sich die Datenschutzaufsichtsbehörden auch weiterhin auf Bundesebene sowie auf EU-Ebenekontinuierlich in Beratungen. Politische, rechtliche und technische Lösungen für grundrechtskonforme Datenübermittlungen in die USA werden gesucht. Hier sind auch die europäischen Gremien und die Regierungen der Mitgliedstaaten gefordert.

 

Soweit die LDI NRW von ausschließlich auf Safe Harbor gestützten Datenexporten Kenntnis erlangt, werden aufsichtsrechtliche Maßnahmen ergriffen.

 

Die europäischen Aufsichtsbehörden hatten sich darauf verständigt, für die Suche nach Lösungen Zeit bis zum 31. Januar 2016 einzuräumen. In Übereinstimmung damit hat die LDI NRW bis dahin aus eigener Initiative keine Maßnahmen gegen Datenübermittlungen in die USA aufgrund der EU-Standardvertragsklauseln sowie bereits genehmigter Verbindlicher Unternehmensregelungen (BCR) oder Datenexportverträge ergriffen. Anlassbezogene Maßnahmen im Einzelfall zum Schutz der Grundrechte betroffener Personen sind weiter jederzeit möglich. Auch werden weiterhin keine neuen Genehmigungen auf Grundlage von BCR oder Datenexportverträgen erteilt.

 

UPDATE 02.02.2016:

Am 01.02.2015 berichtete EU-Justizkommissarin Vera Jourová im LIBE-Ausschuss des EP über den aktuellen Stand der Verhandlungen mit den USA über eine mögliche neue Safe-Harbor-Regelung. Sie finden das Statement in englischer Sprache unter folgendem Link: http://europa.eu/rapid/press-release_SPEECH-16-208_en.htm Danach sei man dem Ziel eines umfassend rechtmäßigen neuen Systems in vielen Punkten schon näher gekommen, es seien aber noch weitere Anstrengungen erforderlich. Wann mit dem Abschluss der Verhandlungen zu rechnen ist, lässt sich daraus nicht entnehmen. Erst danach könnte ggf. geprüft werden, ob das neue System tatsächlich allen datenschutzrechtlichen Anforderungen gerecht würde.

 

UPDATE 03.02.2016:

In einer Pressekonferenz der EU-Kommission vom 02.02.2016 wurde nun ein neues Datenschutzabkommen mit der US-Regierung angekündigt, das den Namen „EU-US Privacy Shield“ trägt. Die Details sollen in den nächsten Wochen noch ausgearbeitet werden. Die schriftliche Presseerklärung in englischer Sprache finden Sie unter diesem Link: http://europa.eu/rapid/press-release_IP-16-216_en.htm

 

Am 2./3. Februar hat die Art.-29-Datenschutzgruppe der EU-Kommission (WP 29) getagt. Die wesentlichen Ergebnisse können Sie der Stellungnahme vom 03.02.2016 in englischer Sprache entnehmen: http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/20160203_statement_consequences_schrems_judgement_en.pdf Demnach soll die EU-Kommission der WP29 zunächst bis Ende Februar alle Dokumente zum neuen „EU-US Privacy Shield“ vorlegen. Dann will die WP29 alle rechtlichen Instrumente für Transfers personenbezogener Daten in die USA abschließend bewerten. Bis dahin sollen die bisherigen Instrumente, z.B. EU-Standardverträge oder Verbindliche Unternehmensregelungen, weiterhin anwendbar bleiben.

 

UPDATE 10.02.2016:

Die Stellungnahme der WP29 vom 03.02.2016 finden Sie hier in deutscher Übersetzung.

 

UPDATE 01.03.2016:

Am 29.02.2016 hat die Europäische Kommission den EU-US-Datenschutzschild vorgestellt. Laut ihrer Pressemitteilung soll durch verbindliche Garantien das erschütterte Vertrauen in den transatlantischen Datenverkehr wieder hergestellt werden. Das gesamte Legislativpaket in englischer Sprache finden Sie unter diesem Link: http://europa.eu/rapid/press-release_IP-16-433_en.htm. Damit beginnt die inhaltliche Analyse und Bewertung seitens der Datenschutzbehörden.

 

UPDATE 21.04.2016:

Die Art. 29-Gruppe hat den Entscheidungsentwurf der Europäischen Kommission zum EU-US Privacy Shield geprüft und am 13. April 2016 eine Stellungnahme veröffentlicht.

Sie stellt fest, dass der Entwurf im Vergleich zu der vorherigen "Safe Harbor Regelung" zwar Verbesserungen zum Schutz personenbezogener Daten enthält. Gleichzeitig begegnen einige Punkte jedoch erheblichen Bedenken. Die Art. 29-Gruppe hat daher die Europäische Kommission aufgefordert, auf diese Bedenken zu reagieren und durch entsprechende Änderungen sicherzustellen, dass der Privacy Shield einem dem EU-Recht gleichwertigen Datenschutzniveau genügt. Die LDI NRW begrüßt diese gemeinsame Forderung.

 

Der Stellungnahme liegt ein Arbeitspapier der Art. 29-Gruppe mit vier „Grundlegenden europäischen Garantien“ zugrunde, das am selben Tag verabschiedet wurde.

 

Eine begleitende schriftliche Presseerklärung der Arbeitsgruppe in englischer Sprache können Sie hier herunterladen.

 

zurück zur Übersicht