Zur Ungültigerklärung der Safe Harbor-Entscheidung der Europäischen Kommission durch den EuGH

Der Europäische Gerichtshof hat am 6. Oktober 2015 die Safe-Harbor-Entscheidung der Europäischen Kommission für ungültig erklärt. Auf Grundlage dieser Entscheidung war der Großteil des Datenverkehrs zwischen den Unternehmen in Mitgliedstaaten der Europäischen Union und den USA genehmigungsfrei.

Im Gegensatz zu anderen Angemessenheitsentscheidungen der Europäischen Kommission galt diese Entscheidung nur für Unternehmen in den USA, die sich selbst zur Einhaltung bestimmter Datenschutzregeln verpflichtet hatten, nicht für das ganze Land.

Was bedeutet dieses Urteil für mich als Privatperson im Verkehr mit anderen Privatpersonen in den USA?

Das Urteil hat keine Auswirkungen für Privatpersonen, weil dieser Datenverkehr immer genehmigungsfrei war und dies nach wie vor ist.

Was bedeutet dieses Urteil für mich und mein Unternehmen?

Datentransfers in die USA, die bisher ausschließlich auf Grund von Safe Harbor- genehmigungsfrei waren, sind auf dieser Grundlage nicht mehr geboten. Dies betrifft primär Datentransfers durch und an Unternehmen.

Liste der Safe Harbor Mitglieder

Falls Sie personenbezogene Daten an Empfänger in den USA transferieren, die Mitglieder im Safe Harbor sind, haben Sie folgende Möglichkeiten:

  • Sie können die Daten aus den USA "zurückholen" und lokal bzw. auf einem anderen Server verarbeiten. Das heißt, entweder auf einem unternehmenseigenen Server, einem Server in einem EU-Mitgliedstaat oder einem anderen Staat mit angemessenem Datenschutzniveau. Dies sind alle Länder des Europäischen Wirtschaftsraums (EWR) und einige andere Länder, die in der Verordnung des Bundeskanzlers über den angemessenen Datenschutz in Drittstaaten (Datenschutzangemessenheits-Verordnung - DSAV)

Gibt es auch andere legale Möglichkeiten personenbezogene Daten in die USA zu senden?

Die §§ 12 und 13 Datenschutzgesetz 2000 sehen zahlreiche Alternativen vor. Dazu gehören unter anderem

  • die Erfüllung von eindeutig im Interesse des Betroffenen abgeschlossenen Verträgen (§ 12 Abs. 3 Z 6 DSG 2000), z.B. Kaufverträge, bei denen der Geschäftspartner seinen Sitz in den USA hat
  • die Weitergabe der personenbezogenen Daten mit Zustimmung des Betroffenen (§ 12 Abs. 3 Z 5 DSG 2000),
  • die Weitergabe von veröffentlichten Daten (§ 12 Abs. 3 Z 1 DSG 2000),
  • die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor ausländischen Behörden erforderlich ist und die Daten rechtmäßig ermittelt wurden (§ 12 Abs. 3 Z 7 DSG 2000),
  • die Übermittlung oder Überlassung in einer Standardverordnung (§ 17 Abs. 2 Z 6 DSG 2000) oder Musterverordnung (§ 19 Abs. 2 DSG 2000) ausdrücklich angeführt ist (§ 12 Abs. 3 Z 7 DSG 2000).

Die Europäische Kommission hat in ihrer offiziellen Stellungnahme zur Safe-Harbor-Entscheidung vom 6. Oktober 2015 unter anderem festgehalten, dass ein Transfer personenbezogener Daten in die USA auch in Zukunft auf Mechanismen wie Standardvertragsklauseln (2001/497/EG, 2004/915/EG oder 2010/87/EG) und Binding Corporate Rules (Verbindliche unternehmensinterne Vorschriften) gestützt werden kann. Die Datenschutzbehörde behält sich (diesbezüglich) im Rahmen des Genehmigungsverfahrens aber die Beurteilung des im Empfängerstaat geltenden angemessenen Datenschutzniveaus gemäß § 13 Abs. 2 DSG 2000 im Einzelfall vor.

Kann ich mich mit darüber hinausgehenden persönlichen Fragen an die Datenschutzbehörde wenden?

Die Datenschutzbehörde kann keine rechtliche Beratung im Einzelfall bieten. Bitte konsultieren Sie Ihren Rechtsbeistand, um die für Sie beste Lösung zu ermitteln.

Wie muss ich vorgehen, wenn ich zum Schluss komme, dass mein Datenverkehr mit den USA genehmigungspflichtig ist?

Es ist ein entsprechender Antrag an die Datenschutzbehörde zu stellen, die darüber bescheidmäßig innerhalb von maximal 6 Monaten abzusprechen hat. Dem Antrag sind die Begründung für die Genehmigungspflicht sowie die erforderlichen Unterlagen (Angabe, ob die Meldepflicht beim Datenverarbeitungsregister erfüllt wurde, vertragliche Zusicherung des Empfängers in Form von Standardvertragsklauseln, dass schutzwürdige Geheimhaltungsinteressen vom Empfänger gewahrt werden; einseitige Zusagen im Zusammenhang mit Binding Corporate Rules) beizulegen. Bitte beachten Sie, dass die Eingabe gebührenpflichtig ist.