Safe Harbor und Privacy Shield – Auswirkungen in Bezug auf Compliance und mögliche Alternativen

10:00 09 Oktober in Compliance

update

Die Europäische Kommission hat am 12.07.2016 das umstrittene Datenschutzabkommen Privacy Shield verabschiedet. Mit dem neuen Datenschutzabkommen soll das vom EuGH für rechtswidrig erklärte Safe-Harbor-Abkommen mit den USA ersetzt werden.

Mit Entscheidung vom 06.10.2015, Az. C-362/14 hat der EUGH das zwischen der EU und den USA geschlossene Safe Harbor-Datenschutzabkommen für ungültig erklärt. Infolge dieser Entscheidung entfällt die wichtigste Rechtsgrundlage für den Datenexport aus der EU in die USA.

Die Weitergabe von personenbezogenen Daten in Länder außerhalb der EU, welche über kein angemessenes Datenschutzniveau verfügen, ist grundsätzlich nur in eingeschränktem Umfang zulässig. Allerdings nutzen eine Vielzahl von Unternehmen in Europa die Dienste, Softwareangebote und sonstigen Leistungen von Unternehmen außerhalb der EU, vornehmlich aus den USA. Zudem bedarf es auch innerhalb von internationalen Konzernen eines länderübergreifenden Informationsaustausches.

Für die vor diesem Hintergrund zu tätigenden Übermittlungen von personenbezogenen Daten gibt das europäische Datenschutzrecht strenge Anforderungen vor, in deren Rahmen die Angemessenheit des Schutzes der Daten beim Empfänger zu prüfen ist.

In Anbetracht des Umstandes, dass die Datenschutzkriterien in den USA nicht den von der EU geforderten Standards entsprachen, entwickelten beide Wirtschaftszonen im Jahr 2000 das Safe Harbor Modell zur Ermöglichung von Datentransfers zwischen den EU-Staaten und den USA.

Im Rahmen von Safe Harbor konnten US-Unternehmen diesem Abkommen beitreten, sich in eine Liste der US-Handelskommission Federal Trade Commission (FTC) eintragen lassen und sich verpflichten, die Prinzipien von Safe Harbor einzuhalten. Im Gegenzug wurde den Unternehmen gestattet, datenschutzrelevante Informationen in die USA zu transferieren.

Die FTC war für Fälle von Verstößen gegen das Abkommen ermächtigt, Sanktionen gegen  betroffene Unternehmen zu verhängen oder Datenverarbeitungen durch das Unternehmen zu unterbinden.

Vor dem Hintergrund, dass ein Einschreiten der FTC nur in seltenen Fällen stattfand und dass lediglich die Erklärung eines Unternehmens, die im Abkommen definierten Datenschutzstandards zu befolgen, keine Gewährleistung für einen ausreichenden Schutz von Daten bietet, hatten Datenschützer die Wirksamkeit von Safe Harbor von Anbeginn an bezweifelt. Diese anfänglichen Zweifel wurden durch die Enthüllungen von Edward Snowden im Nachhinein bestätigt.

Die Folgen der Entscheidung

Vor diesem Hintergrund folgte der EuGH dem Vorschlag von Generalanwalt Yves Bot und ging sogar über die vom irischen High Court vorgelegte Frage hinaus, indem er das Safe Harbor Abkommen für nichtig erklärte.

Das Urteil des EuGH hatte zur Folge, dass allein auf Basis des Safe Harbor Abkommens vorgenommene Datenübermittlungen europäischer Unternehmen in die USA mit sofortiger Wirkung unzulässig sein konnten, wenn sich ein angemessenes Datenschutzniveau nicht auf andere Weise nachweisen ließ.

Diesen Artikel weiterlesen

Compliance-Auswirkungen

Die Auswirkungen der Entscheidung des EuGH zu Safe Harbor waren gravierend für Unternehmen und für den Großteil der europäischen Wirtschaft.

Insbesondere die persönlich haftenden Führungskräfte von betroffenen Unternehmen sahen sich nach der Entscheidung des EuGH vor ein akutes Compliance-Problem gestellt, weil das Urteil des EuGH ist unmittelbar wirksam war und keine Übergangsfrist, in der ein Datentransfer auf Grundlage von Safe Harbor noch zulässig sein sollte, vorsah.

Diesen Artikel weiterlesen

Alternativen zu Safe Harbor und Privacy Shield

Nach der festgestellten Unzulässigkeit des Safe Harbor Datenschutzabkommens benötigten Unternehmen andere Instrumente zur Legalisierung von Datenübermittlungen in die USA oder anderen Drittstaaten.

Alternativen zu Safe Harbor waren vor der Verabschiedung von Privacy Shield der Verzicht auf eine Zusammenarbeit mit US-Unternehmen, der Einsatz von Standardvertragsklauseln, die Implementierung von konzerninternen Datenschutzregelungen, die Einholung von Einwilligungen der Betroffenen oder die Nutzung von gesetzlichen Ausnahmetatbeständen darstellen.

Diesen Artikel weiterlesen

Ausblick

Denn nach dem Urteil des EuGH zum Safe Harbor Datenschutzabkommen ist es nicht ausgeschlossen, dass mittelfristig auch Privacy Shield und Alternativen wie Standardvertragsklauseln unter datenschutzrechtlichen Aspekten für rechtswidrig und unzulässig erklärt werden.

Denn weder Privacy Shield oder Standardvertragsklauseln, noch konzerninterne Datenschutzregelungen alleine bieten einen wirksamen Schutz vor dem Zugriff von ausländischen Geheimdiensten, insbesondere der US-Geheimdienste, auf Daten, die in den USA gespeichert sind.

Diesen Artikel weiterlesen

WPNO steht Ihnen mit unserem interdisziplinären Team aus Wirtschaftsprüfern, Rechtsanwälten, Steuerberatern und Datenschutzspezialisten für Fragen zu Handlungsalternativen vor dem Hintergrund des für ungültig erklärten Safe Harbor Datenschutzabkommens und dessen Nachfolgeabkommen Privacy Shield zur Verfügung und berät und begleitet Sie bei der Auswahl von entsprechenden Alternativen und deren kurzfristiger, aber vor allem rechtssicheren Umsetzung.