Safe Harbor: Was ist zu tun?
 
 
 | 
Datenschutz

Safe Harbor: Was ist zu tun?

Nach der Entscheidung des Europäischen Gerichtshofs (EuGH) im Oktober, das Safe-Harbor-Abkommen zu Datentransfers in die USA für ungültig zu erklären, sehen sich Unternehmen mit großer Rechtsunsicherheit konfrontiert.

Können Daten überhaupt noch in die USA übertragen werden und wenn ja, wie? Besonders die Stellungnahmen der jeweils zuständigen Aufsichtsbehörde geben wichtige erste Hinweise. Den betroffenen Unternehmen wird zwar grundsätzlich bis Ende Januar 2016 eine Umstellungsfrist zugestanden, Aufsichtsbehörden  sind jedoch jetzt schon verpflichtet, auf Bürgeranfragen Datenübermittlungen auf ihre Rechtmäßigkeit hin zu überprüfen.

Folgende drei Fragen sollte sich jedes Unternehmen noch bis zum Jahreswechsel stellen:

1. Ist mein Unternehmen von der Safe-Harbor-Entscheidung betroffen?

Unternehmen sollten die verbleibende Zeit bis zum Januar 2016 nutzen, um Datenübermittlungen zu identifizieren, die bisher auf Grundlage des Safe-Harbor-Abkommens erfolgten. Recht klar lässt sich diese Frage beantworten, wenn mit US-Dienstleistern schriftliche Vereinbarungen vorliegen, die die Datenübermittlung regeln. In diesen Vereinbarungen wird sich in der Regel ein Verweis auf Safe Harbor finden. Achtung: Datenübermittlungen liegen unter Umständen schon dann vor, wenn zum Beispiel auf der eigenen Unternehmens-Webseite Dienste von US-Anbietern eingebunden werden (z.B. Video-Plugins, Web-Analytics). Hierzu gibt es oft (trotz gesetzlicher Verpflichtung) keine schriftlichen Vereinbarungen.

2. Welche Meinung vertritt die für mein Unternehmen zuständige Aufsichtsbehörde?

Unternehmen sollten sich bei der Bewertung ihres Handlungsbedarfs mit der Rechtsauffassung der Datenschutzbehörde in ihrem Bundesland vertraut machen.

Stellungnahmen sonstiger EU-Datenschutz-Aufsichtsbehörden

Eine umfassende Zusammenstellung der Reaktionen der europäischen Datenschutz-Aufsichtsbehörden wurde von Bird & Bird erstellt.
 

3. Wie sollte mein Unternehmen auf die Safe-Harbor-Entscheidung reagieren?

Eine praxistaugliche Möglichkeit sind die sogenannten Standardvertragsklauseln der EU-Kommission. Datenübermittlungen in die USA sind weiter möglich, wenn die vertragliche Beziehung mit dem Dienstleister auf diese Vertragsklauseln gestützt wird. Als Reaktion auf die Safe-Harbor-Entscheidung bieten mehrere US-Dienstleister an, sowohl Alt- als auch Neuverträge auf Standardvertragsklauseln umzustellen. Achtung: Die Standardvertragsklauseln sind kein Bausatz sondern müssen unverändert in die jeweiligen Verträge mit dem Dienstleister übernommen werden.

Darüber hinaus hat die EU-Kommission angekündigt, schnellstmöglich ein neues Abkommen mit den USA erarbeiten zu wollen, um Safe Harbor zu ersetzen: The objective of the Commission is to conclude these discussions and achieve this objective in three months. Hierbei soll unter anderen berücksichtigt werden, dass mit dem amerikanischen Judicial Redress Act es mittlerweile für EU-Bürger leichter ist, ihre Rechte bei Datenschutzverstößen in den USA durchzusetzen. 

Weitere Informationen

Bitkom: Das Safe-Harbor-Urteil des EuGH und die Folgen - Fragen und Antworten
Eine regelmäßig aktualisierte Zusammenstellung von Fragen und Antworten zu Safe Harbor gibt es auf der Webseite des Bitkom e.V.

Über die Bitkom-Akademie können sich Unternehmen in mehreren kostenfreien Online-Seminaren zu Safe Harbor informieren

Die Datenschutz-Experten bei Bitkom Consult beraten Ihr Unternehmen individuell, wie es sachgerecht auf das Thema Safe Harbor reagieren sollte und welche Schritte künftig nötig sind, um datenschutzkonformes Outsourcing zu betreiben.