Kategorien DatenschutzrechtIT-Recht

EuGH: Entscheidung betreffend Safe Harbour

Der sichere Hafen ist nicht so sicher, wie einst von der Kommission angenommen. Die Safe-Harbor-Entscheidung des EuGH vom 5.10.2015 – Rechtssache C‑362/14 – in dem Verfahren Maximillian Schrems gegen Data Protection Commissioner stellt das Safe Harbor-Abkommen auf den Kopf. Dennoch sind auch nach der EuGH-Entscheidung Datentransfers ins Ausland – einschließlich den USA – unter gewissen Voraussetzungen weiterhin zulässig. Unternehmen sollten allerdings regelmäßig ihre derzeitige Praxis prüfen.

EuGH, Urteil vom 5.10.2015 – Rechtssache C‑362/14
Verfahren Maximillian Schrems gegen Data Protection Commissioner

Spätestens seit der Vorlageentscheidung des High Court (Irland) vom 17. Juli 2014 – 2013 765 JR – gilt das Safe-Harbor-Abkommen als umstritten. Nun bringt der Europäische Gerichtshof in seiner Entscheidung vom 5.10.2015 Gewissheit: Unternehmen können sich bei Datenübermittlungen in die USA nicht auf das Safe Harbor-Abkommen verlassen; die Entscheidung 2000/520/EG der Europäischen Kommission über die Angemessenheit des Schutzniveaus des Safe Harbor-Abkommens ist ungültig. Das heißt: Der sichere Hafen ist nicht so sicher, wie einst von der Kommission angenommen.

Das Urteil des EuGH geht aber noch darüber hinaus. Denn die Feststellung der Europäischen Kommission über die Angemessenheit des Schutzniveaus eines Drittlands hindern die nationalen Datenschutzbehörde nicht an der Prüfung der Angemessenheit des Schutzniveaus. Sie müssen auch die Eingabe einer Person prüfen, die sich auf den Schutz ihrer Rechte und Freiheiten bei der Verarbeitung sie betreffender personenbezogener Daten bezieht, wenn die Daten aus einem Mitgliedstaat in dieses Drittland übermittelt wurden und die Person geltend macht, dass das Recht und die Praxis dieses Landes kein angemessenes Schutzniveau gewährleisten.

Falschmeldungen in der Presse

Bei der Komplexität des Datenschutzrechts verwundert es nicht, dass die Entscheidung des EuGH Falschmeldungen nur so provoziert. Denn der EuGH hat weder festgestellt, dass Facebook keine Daten mehr in die USA übermitteln dürfe. Noch ist es anderen Unternehmen gänzlich verboten, auch die bisherigen Verfahren sind keineswegs „alle“ unzulässig. Leider stimmen auch zahlreiche Berufskollegen vorschnell auf den Kanon eines generellen Datenübermittlungsverbots in die USA ein.

Sie übersehen: Unter Einhaltung bestimmter Voraussetzungen sind Datenübermittlungen auch in die USA weiterhin möglich.

Was müssen Unternehmen beachten

Unternehmen sollten schrittweise vorgehen. Tatsächlich sollten sich Unternehmen bei der Planung und Umsetzung beraten lassen. Mit einem Musterformular ist es nicht getan. Zudem sollten sie sich aufgrund der Entscheidung des EuGH nunmehr auf verstärkte Kontrollen einstellen.

Im ersten Schritt ist festzustellen und zu analysieren, welche Datenströme tatsächlich bestehen. Betroffen können beispielsweise Kundendatenbanken und CRM-System sein ebenso wie Arbeitnehmerdatensätze. Welche Daten werden in das Ausland übermittelt, zu welchem Zweck und an wen? Was wird dort mit den Daten gemacht? Das sind nur einige Fragen dieser Analyse.

Im zweiten Schritt sind die rechtlichen Möglichkeiten auszuloten, mit denen sie ein angemessenes Datenschutzniveau herstellen können. In Betracht kommen der Abschluss eines Vertrags zwischen Datenexporteur und -importeur mit den hierfür vorgesehenen EU-Standardklauseln oder die Einführung von Binding Corporate Rules. „Früher“ kam eben zusätzlich noch das Vorgehen auf Grundlage des Safe Harbor-Abkommens für Unternehmen in den USA in Betracht.

Im dritten Schritt geht es letztlich an die Umsetzung.

Nicht zu vergessen ist, dass auch die gesetzlichen Erlaubnistatbestände eine Übermittlung weiterhin gestatten können, wenn sie vorliegen.

Die Schritte sind regelmäßig zu überprüfen, da sowohl tatsächliche Änderungen beispielsweise an den zu übermittelnden Daten oder den Empfängern, aber auch Änderungen der rechtlichen Vorgaben, Anpassungen erforderlich machen können. So wird spätestens die EU-Datenschutz-Grundverordnung weitere Neuerungen mit sich bringen.

Entscheidung des Gerichts (gekürzt):

1. Art. 25 Abs. 6 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in der durch die Verordnung (EG) Nr. 1882/2003 vom 29. September 2003 geänderten Fassung ist im Licht der Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass eine aufgrund dieser Bestimmung ergangene Entscheidung wie die Entscheidung 2000/520/EG vom 26. Juli 2000 über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, eine Kontrollstelle eines Mitgliedstaats im Sinne von Art. 28 der Richtlinie nicht daran hindert, die Eingabe einer Person zu prüfen, die sich auf den Schutz ihrer Rechte und Freiheiten bei der Verarbeitung sie betreffender personenbezogener Daten, die aus einem Mitgliedstaat in dieses Drittland übermittelt wurden, bezieht, wenn diese Person geltend macht, dass das Recht und die Praxis dieses Landes kein angemessenes Schutzniveau gewährleisteten.

2. Die Entscheidung 2000/520 ist ungültig.

Zum Volltext des Urteils

Letzte Bearbeitung: 7. Oktober 2015 0:12

Dr. Andreas Staufer

Teilen
Veröffentlicht von
Dr. Andreas Staufer
Tags: DatenschutzEinwilligungEuGHKMUSafe HarbourSafe-Harbor-AbkommenUnternehmen

Letzte Beiträge

  • FASP
  • Medizinrecht
  • rescuenomics
  • Rettungsdienstrecht

Krankentransport: Genehmigung beantragen

Es ist nicht immer einfach eine Genehmigung für den qualifizierten Krankentransport zu erhalten. Vor allem dann, wenn die Zuverlässigkeit des…

17. September 2018 10:29
  • FASP
  • Medizinrecht
  • Praxiskaufrecht

Praxisverkauf: Entfallen Zulassungsbeschränkungen?

Der Referentenentwurf für ein Terminservice- und Versorgungsgesetzes bringt einige Neuerungen bei den Zulassungsbeschränkungen mit sich. Können Kinderärzte, Psychiater, Psychotherapeuten und Rheumatologen…

15. September 2018 10:20
  • FASP
  • Medizinrecht
  • Öffentliches Recht
  • Praxiskaufrecht

Versorgungsalternativen: Terminservice- und Versorgungsgesetz

Schnellere Termine und bessere Versorgung: Das will der Referentenentwurf eines Terminservice- und Versorgungsgesetz (TSVG) vom 23.07.2018 erzielen. Doch wird das…

14. September 2018 23:02
  • Datenschutzrecht
  • FASP
  • Medizinrecht

Zahntechniker im Visier

Seit Mai scheint es für viele nur noch ein Thema zu geben, auch im Bereich der Zahntechnik. Manch Zahnarzt und…

1. August 2018 22:03
  • Datenschutzrecht
  • FASP
  • IT-Recht
  • Krankenhausrecht
  • Medizinrecht

Arztpraxis: Kein Backup verpassen

Bloß kein Backup verpassen! Doch wer kümmert sich darum? Wer ist verantwortlich, wenn es doch einmal zum Datenverlust kommt? Und…

18. Juli 2018 11:22
  • FASP
  • IT-Recht

Berufshaftpflichtversicherung im Impressum

Fehlt bei Ihnen die Angabe der Berufshaftpflichtversicherung im Impressum? Ist die Angabe Pflicht? Keine Sorge. Die Angabe des Versicherers im…

9. Juli 2018 12:31