Safe-Harbor-Abkommen ungültig

Was Sie beim Datentransfer in die USA beachten müssen

Frank Schmid Frank Schmid

Die aktuelle Situation

Der Europäische Gerichtshof (EuGH) hat das "Safe-Harbor-Abkommen", also die Rechtsgrundlage für Datenübertragungen aus der EU in die USA, im Oktober 2015 für ungültig erklärt. Als Ersatz für dieses Abkommen haben sich die EU-Kommission und das US-Handelsministerium nunmehr auf eine neue Regelung, genannt "EU-US-Privacy-Shield", verständigt. Bislang sind aber nur Eckpunkte des Privacy-Shields bekannt, da es an einer Verabschiedung und Veröffentlichung des neuen Abkommens noch mangelt. Folglich besteht nach wie vor ein datenschutzrechtliches Vakuum. Die damit verbundene Unsicherheit wird zusätzlich noch durch die Ankündigung verstärkt, dass alternative Grundlagen einer legalen Übermittlung ebenfalls überprüft werden sollen.

Unsere Risikoeinschätzung

Grundsätzlich setzen sich Unternehmen, die Daten in die USA versenden oder in den USA ansässigen Personen oder Körperschaften den Einblick in ihre Daten ermöglichen, der Gefahr eines Verstoßes gegen Datenschutzrecht aus. Dieser kann mit Bußgeldern bis hin zu Freiheitsstrafen geahndet werden. Auslöser für ein entsprechendes Ermittlungsverfahren können sowohl Beschwerden von Betroffenen als auch eigenständige Ermittlungen der Datenschutzbehörden der Länder sein. Die Wahrscheinlichkeit steigt mit der Länge des Zeitraums der Rechtsunsicherheit, also voraussichtlich bis zur Veröffentlichung des EU-US-Privacy-Shields. Zwar ist möglich, dass Unternehmen durch entsprechende Binding Corporate Rules oder Verträge mit geeigneten Standardklauseln bereits ausreichende Vorsorge zum Datenschutz getroffen haben. Es besteht aber das Risiko, dass bestimmte Sachverhalte entweder gar nicht oder nur unzureichend abgedeckt sind oder gegebenenfalls neu verhandelt werden müssen.

Handlungsempfehlung

Ungewiss ist, wann das EU-US Privacy-Shield Abkommen veröffentlicht und somit wirksam werden wird. Die langfristige Gültigkeit alternativer Grundlagen ist ebenfalls fraglich. In der Zwischenzeit sollten Unternehmen ihre Datentransfers in die USA überprüfen, indem sie:

  1. Die Art und den Umfang der Daten, die mit Personen, Unternehmen oder Institutionen in den USA ausgetauscht werden, feststellen.
  2. Die Grundlage, auf der dieser Datentransfer bisher stattfindet, ermitteln.
  3. Die zugrundeliegenden Vereinbarungen überprüfen.

Praxishinweis

Wir werden über Neuregelungen das EU-US-Privacy-Shield aktuell berichten. Bis zur Konkretisierung des Abkommens besteht jedoch Handlungsbedarf. Sprechen Sie hierzu unsere Experten an.