Safe Harbor – ein Urteil und seine Folgen
Seit dem Jahr 2000 ermöglichte das Abkommen US-Firmen Daten europäischer Bürger in den USA zu verarbeiten, wenn sie erklärten, europäische Datenschutzvorschriften einzuhalten.
Da das Abkommen Zugriffe staatlicher Behörden nicht ausschlösse und gegen Eingriffe in die Rechte der Bürger keine Rechtsbehelfe möglich seien, hat der EUGH das Abkommen gekippt. Dadurch ist es nun prinzipiell unzulässig, die Verarbeitung personenbezogene Daten amerikanischen Dienstleistern zu überlassen. Anders als Länder wie die Schweiz, Kannada, Israel, Argentinien, Australien, ja sogar Uruguay gehören die USA nicht zu sicheren Drittländern außerhalb der EU, die über einen ausreichenden Datenschutz verfügen. Insoweit sind jetzt deutsche Datenschutzbehörden berechtigt, den Datentransfer in die USA bußgeldbewährt zu untersagen. Ebenso könnten Kunden Schadensersatzansprüche erheben.
Als Ausweg gilt im Moment die individuelle Vereinbarung so genannter EU-Standardvertragsklauseln zwischen dem deutschen Unternehmen und dem amerikanischen Dienstleister. Sie werden dem Vernehmen nach auch schon von einigen Dienstleistern angeboten. Mit der Verwendung dieser Mustervertragsklauseln kann ein angemessenes Datenschutzniveau für den Datentransfer hergestellt werden. Werden diese Klauseln unverändert übernommen, müssen sie nicht von der zuständigen Datenschutzbehörde genehmigt werden. Die EU-Kommission hat verschiedene Standardvertragsklauseln verabschiedet, die die Datenübermittlung zum Einen und die Auftragsdatenverarbeitung zum Anderen regeln. Allerdings gibt es auch zu diesen aus den Jahren 2001 und 2004 stammenden Regelungen Stimmen, wonach auch sie vor dem Hintergrund des EuGH-Urteils unwirksam sein dürften.
Deshalb hoffen alle, dass bald ein tragfähiges neues Abkommen zwischen der EU und den USA vereinbart wird. Verhandelt wird schon seit einiger Zeit. Denn auch der Kommission erschien das alte Abkommen nicht mehr ausreichend. Nunmehr müssen aber zusätzlich die Vorgaben des Urteils berücksichtigt werden. Geplant ist eine Einigung noch im Januar 2016. Das klingt ehrgeizig.
Jedenfalls darf man davon ausgehen, dass bis zum 31. Januar 2016 noch Zeit für eine Umstellung bleibt. Auf diese "Umstellungsfrist" hatten sich die nationalen EU-Datenschutzbehörden (Artikel 29 Gruppe) verständigt. Zwar bindet diese Verständigung nicht die unabhängigen Landesdatenschutzbeauftragten in Deutschland. Soweit sie sich geäußert haben, hieß es aber, man werde rechtliche Maßnahmen zur Durchsetzung des Urteils erst ab Februar 2016 ergreifen.