Sie sind hier
Entscheidung des EuGH – Safe-Harbor-Abkommen ungültig?
Die gestrige Entscheidung des Europäischen Gerichtshofes (1) fand bereits am Mittag erste Resonanzen in den Online-Medien. Stellungnahmen deutscher Politiker folgten im Laufe des Tages. So äußerte sich Bundesjustizminister Heiko Maas: „Das Urteil ist ein starkes Signal für den Grundrechtsschutz in Europa“. Doch was beinhaltet das Urteil konkret und was sind die Folgen für Unternehmen?
Zunächst einmal zum Inhalt des Urteils selbst: Die Richtlinie 95/46/EG des europäischen Parlamentes bestimmt, dass die Übermittlung personenbezogener Daten in ein Drittland nur zulässig ist, wenn das betreffende Drittland ein angemessenes Schutzniveau für diese Daten bietet. In der Entscheidung zu den Safe-Harbor-Regelungen aus dem Jahr 2000 stellte die EU-Kommission fest, dass die Vereinigten Staaten ein angemessenes Schutzniveau gewährleisten. Hierzu urteilte das Gericht nun wie folgt:
- Die bisherigen Vertragsregelungen werden mit einem Vertrag unter Verwendung der EU-Standardvertragsklauseln (nach EU-Richtlinie 95/46/EG) ergänzt. Hier handelt es sich im Grunde um eine klassische Vereinbarung zur Auftragsdatenverarbeitung. Die Vorlage kann im Internet abgerufen werden (http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2010:039:0005...).
- die Anwendung von „Binding Corporate Rules (BCR)“ (verbindliche konzernweite Regelungen für den internationalen Datenverkehr). Dabei legt das Unternehmen verbindliche Unternehmensregelungen für den internationalen Datenverkehr fest und erreicht so ein angemessenes Datenschutzniveau im Sinne der EU-Richtlinie. Sinnvoll ist dieses Vorgehen vor allem für weltweit tätige Konzerne. Teilweise unterliegt dieses Vorgehen auch der Genehmigungspflicht durch die Landesdatenschutzbehörde.
- Die Einholung einer Einwilligung des einzelnen Betroffenen gemäß §4a BDSG
Richtig zufriedenstellend ist keine dieser alternativen Lösungen. Das Einholen von Einwilligung ist bei einer massenhaften, automatisierten Datenverarbeitung keine realistische Alternative, und sowohl die EU-Standardvertragsklauseln wie die BCRs schützen Betroffene genauso wenig wie das Safe-Harbor-Abkommen vor dem (nach amerikanischen Recht legitimierten) Zugriff der US-Behörden auf ihre Daten. Rechtssicher agieren Unternehmen, wenn sie Dienstleistern mit Rechenzentren in Ländern des EWR-Wirtschaftsraumes beauftragen (sofern es diese gibt). Ansonsten bleibt nur zu hoffen, dass die zuständigen Verhandlungspartner in der EU und den USA in nicht allzu ferner Zukunft sich auf ein realistisches Handling beim transatlantischen Datentransfer einigen können.