EuGH erklärt Safe Harbor für ungültig – und nun?

Nachdem der EuGH das Safe-Harbor-Abkommen zwischen der EU und den USA faktisch als keine zulässige Grundlage für eine Datenübermittlung in die USA sieht, stellt sich für Unternehmen nun die Frage, welche Grundlagen es geben könnte.

Generell gibt es vier weitere Möglichkeiten, die als rechtliche Grundlage für eine Übermittlung dienen könnten:

  1. Eine gesetzliche Ausnahme nach §4c (1) BDSG besteht, wenn der „Betroffene seine Einwilligung gegeben hat“. Inzwischen wird jedoch diskutiert, ob eine solche Einwilligung gültig gegeben werden kann. Eine wirksame Einwilligung setzt voraus, dass der Betroffene sich der Tragweite seiner Einwilligung bewusst ist. Und es ist fraglich, ob der „Durchschnittsbürger“ sich der Auswirkungen der Einwilligung angesichts der umfassenden staatlichen Überwachung, dem Verzicht auf Rechtsschutz und Auskunftsrecht bewusst ist oder bewusst sein kann.
  2. Die zweite Ausnahme erlaubt „die Übermittlung für die Erfüllung eines Vertrags zwischen dem Betroffenen und der verantwortlichen Stelle oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung des Betroffenen getroffen worden sind“. Ist also eine solche Übertragung für die Vertragserfüllung zwingend erforderlich, so ist diese erlaubt. Ein Beispiel wäre z. B. die Buchung eines Zimmers in einem Hotel in den USA über eine deutsche Buchungsplattform.
  3. Auf die weiteren gesetzlichen Ausnahmen, bei juristischen Auseinandersetzungen, bei öffentlichem Interesse und bei Gefahr für Leib und Leben des Betroffenen gehe ich hier nicht weiter ein.
  4. Ferner ist die Datenübertragung erlaubt, wenn im Vertrag zwischen den Unternehmen die EU-Standardvertragsklauseln wörtlich verwendet wurden. Jedoch wurden auch diese Klauseln von der Europäischen Kommission erstellt – und genau hier liegt ja der Kritikpunkt des EuGH. Es könnte also durchaus sein, der der EuGH auch die EU-Standardvertragsklauseln als pauschale Erlaubnis für eine Datenübermittlung als nicht ausreichend betrachtet.
  5. Die letzte Ausnahme betrifft den Fall der konzerninternen Datenübermittlung. Wenn es sogenannte „Binding Corporate Rules“, also verbindliche Konzernregeln gibt, die sicherstellen, dass das europäische Datenschutznivau eingehalten wird, ist eine Übermittlung erlaubt. Aber eben angesichts der juristischen Situation in den USA mit den entsprechenden Verpflichtungen für US-Unternehmen, mit den dortigen Behörden zusammen zu arbeiten und angesichts der behördlichen Überwachungsmaßnahmen stellt sich auch hier die Frage, ob es solche Regeln aktuell geben kann.

Fazit

Der meines Erachtens nach einzig zulässige Weg, personenbezogene Daten in die USA zu übermitteln, führt, wenn nicht eine der oben aufgeführten gesetzlichen Ausnahmen nach Punkt 2 oder Punkt 3 gegeben ist, über die Einwilligung des Betroffenen unter umfassender Aufklärung des Betroffenen, eine Aufklärung, die angesichts der Komplexität der Materie kaum geleistet werden kann. Doch wie sollen Unternehmen nun agieren? Sollen sie schlagartig alle Verträgen mit US-Unternehmen fristlos kündigen? Oder sollen sie weiter machen wie bisher? Die konkreten Handlungsempfehlungen folgen in einem weiteren Artikel.

Markierungen: , ,

Antwort schreiben

Sie müssen angemeldet sein um einen Kommentar zu verfassen.