Datenübermittlung in die USA

Alternativen zum Safe-Harbor-Prinzip

| Autor / Redakteur: Oliver Schonschek / Stephan Augsten

Nachdem Safe Harbor für ungültig erklärt wurde, müssen sich Unternehmen auf andere Datenschutzabkommen verständigen.
Nachdem Safe Harbor für ungültig erklärt wurde, müssen sich Unternehmen auf andere Datenschutzabkommen verständigen. (Bild: Archiv)

Nach dem EuGH-Urteil, das Safe Harbor für ungültig erklärte, sehen sich viele Unternehmen im Zugzwang. Um personenbezogene Daten weiterhin in die USA zu übermitteln, muss man sich einen Überblick über die rechtlichen Möglichkeiten verschaffen.

Nach dem Urteil des Europäischen Gerichtshofes (EuGH), dass die Safe-Harbor-Entscheidung ungültig ist, ist die rechtliche Grundlage entfallen, nach der viele Unternehmen Daten in die USA übermittelt haben. Mit dem Urteil verbunden ist die Feststellung, dass die Vereinigten Staaten von Amerika kein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten.

Fehlt ein angemessenes Schutzniveau, greifen klare Vorgaben des Bundesdatenschutzgesetzes (BDSG): Die Übermittlung unterbleibt, soweit der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat, insbesondere wenn ein angemessenes Datenschutzniveau nicht gewährleistet ist.

Wenn die Übermittlung aber unterbleiben muss, können zum Beispiel keine personenbezogenen Daten von der EU aus in US-Clouds übermittelt werden. Da dies gegenwärtig aber im breiten Umfang stattfindet, müssen für all die Fälle, die bisher das Safe-Harbor-Prinzip genutzt haben, umgehend Alternativen gefunden werden. Wie diese aussehen, darüber besteht allerdings bislang keine Einigkeit.

„Hier müssen wir nach neuen Wegen suchen“, so Prof. Dr. Dieter Kugelmann, Landesdatenschutzbeauftragter für Rheinland-Pfalz . „Die enge Abstimmung mit den deutschen und europäischen Datenschutzbehörden hat bereits begonnen.“ Das Urteil des EuGH stelle die Unternehmen vor große Herausforderungen, die aber in konstruktiver Zusammenarbeit zu bewältigen seien.

Eine Stellungnahme der EU-Kommission verweist darauf, dass die Datenübermittlungen in die USA auf Basis anderer rechtlicher Grundlagen fortgesetzt werden können, die die EU-Datenschutzvorgaben vorsehen. Für Unternehmen ist es allerdings nicht so einfach ersichtlich, welche dies sein könnten.

EU-Kommission nennt Alternativen

Aus Sicht der EU-Kommission ist es nach dem Aus für Safe-Harbor entscheidend, dass die transatlantischen Datentransfers fortgesetzt werden können, denn diese seien das Rückgrat der europäischen Ökonomie. Unabhängig von jeder Bewertung dieser Aussage, lohnt sich ein Blick in die von der EU-Kommission genannten Alternativen zu Safe-Harbor.

Genannt werden die Erfüllung eines Vertrages (wie die Online-Buchung eines Hotels in den USA), das öffentliche Interesse an einem Datenaustausch mit den USA (z.B. zur Verbrechensbekämpfung), das überwiegende Interesse des Betroffenen (z.B. im medizinischen Notfall) sowie die informierte Einwilligung des Betroffenen.

Für Unternehmen relevant sind insbesondere die Möglichkeiten, die Verträge bieten, sowie die informierte Einwilligung des Betroffenen, die allerdings vor der Datenübermittlung erfolgen muss. Für die vertraglichen Regelungen gibt es in der Praxis gegenwärtig drei Möglichkeiten. Zum einen gibt es von der EU-Kommission genehmigte Standardverträge.

Datenschutz-Juristen sehen für diese Musterverträge allerdings die gleichen Probleme wie für das Safe-Harbor-Prinzip. Zum einen basieren die EU-Musterverträge für die Datenübermittlung in die USA auf Safe-Harbor, zum anderen dürfte die Entscheidung des EuGH, dass die EU-Kommission die Prüfrechte der nationale Datenschutzbehörden nicht beschränken kann, zusätzliche Prüfungen und Freigaben von Musterverträgen durch die jeweilige Datenschutzaufsicht erforderlich machen.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43651483 / Compliance und Datenschutz )