Nachdem der Europäische Gerichtshof die Safe Harbour-Entscheidung für ungültig erklärt hat, hat die Artikel-29-Datenschutzgruppe, ein Beratungsgremium der EU-Kommission, Übergangslösungen ermöglicht.
In seiner Entscheidung vom 06.10.2015 (C 362/14) hat der EuGH die Safe Harbour-Entscheidung der EU-Kommission (Entscheidung 2000/520/EG) für ungültig erklärt. Eine Legitimation auf dieser Basis für den Datentransfer in die Vereinigten Staaten ist damit entfallen.
Zum weiteren Vorgehen hat sich die “Artikel-29-Datenschutzgruppe” geäußert. Bei dieser Gruppe handelt es sich um ein Beratungsgremium der EU-Kommission, das sich u. a. aus den Vertretern der jeweiligen nationalen Datenschutzbehörden zusammensetzt. Die Artikel-29-Datenschutzgruppe fordert die EU-Mitgliedsstaaten und die europäischen Institutionen auf, mit den US-amerikanischen Behörden zu beraten, welche politischen, rechtlichen und technischen Möglichkeiten gefunden werden können, um eine Datenübermittlung in die USA sicherzustellen, die inhaltlich die Grundrechte achtet.
Wichtig ist, dass die Artikel-29-Datenschutzgruppe während dieser Zeit die anderen Übermittlungsbedingungen wie Standardvertragsklauseln und verbindliche Unternehmensregelungen als Grundlage für die Datenübermittlung zulässt.
Sollten bis Ende Januar keine angemessenen Lösungen mit den US-amerikanischen Behörden gefunden sein, wollen die Aufsichtsbehörden alle notwendigen und angemessenen Maßnahmen ergreifen, die aber bislang noch inhaltlich unspezifiziert sind.
Nutzen Unternehmen Standardvertragsklauseln und sonstige verbindliche Unternehmensregelungen, behalten sich Datenschutzbehörden vor, diese auf das Datenschutzniveau zu untersuchen und unter Umständen Maßnahmen zum Schutz Betroffener zu verhängen.
Hinweis für die Praxis:
Die Erklärung der Artikel-29-Datenschutzgruppe verdeutlicht, dass die Aufsichtsbehörden zumindest für eine Übergangsfrist Standardvertragsklauseln und verbindliche Unternehmensregelungen als Grundlage für die Datenübermittlung in die USA akzeptieren werden.
Nicht erwähnt werden die sonstigen in Art. 26 der Datenschutzrichtlinie 95/46/EG genannten Übermittlungsinstrumente wie z. B. die Einwilligung und die Übermittlung der Daten zur Erfüllung eines Vertrages. Die BDA hält diese Möglichkeiten zum Datentransfer ebenfalls für zulässig. Eine anderslautende Erklärung der Datenschutzgruppe liegt bislang nicht vor.
Deutlich macht die Artikel-29-Datenschutzgruppe, dass für die Übermittlung der Daten in die USA auf der Grundlage von Safe Harbour keine Übergangsfrist eingeräumt wird.
Über die weitere Entwicklung werden wir Sie unterrichtet halten.
Quelle: Prof. Dr. Franz-Josef Rose, 23.10.2015