BLOG | kanzlei-job.de

Update Safe Harbor: Die Schonfrist für Datenübermittlungen in die USA ist vorbei. Was nun?

Dr. Tobias FuchsVon Dr. Tobias Fuchs, Partner – KPMG Rechtsanwalts-gesellschaft mbH

Mit Urteil vom 6. Oktober 2015 (Rs. C-362/14) hatte der Europäische Gerichtshof („EuGH“) das „Safe Harbor“-Abkommen zwischen der Europäischen Union („EU“) und den USA für ungültig erklärt. Seit-dem dürfen personenbezogene Daten nicht mehr auf Grundlage dieses Abkommens in die USA über-mittelt werden. Die von den Aufsichtsbehörden gewährte „Schonfrist“ endet am 31. Januar 2016. Was bedeutet das nun für betroffene Unternehmen?

Das Urteil des EuGH zu „Safe Harbor“ hat die Bedeutung des Datenschutzes im digitalen Zeitalter gestärkt. Um den Gefahren für das informationelle Selbstbestimmungsrecht entgegenzuwirken, erlaubt das europäische Datenschutzrecht eine Übermittlung personenbezogener Daten in Drittländer außerhalb der EU nur dann, wenn die übermittelten Daten dort mindestens genauso gut geschützt sind wie innerhalb des Geltungsbereichs europäischer Datenschutzregulierung.

Die „Safe Harbor“-Entscheidung der Europäischen Kommission vom 26. Juli 2000 ermöglichte US-Unternehmen die Übermittlung personenbezogener Daten in die USA, wenn sie sich gegenüber dem US-Handelsministerium zur Einhaltung der sogenannten „Safe Harbor Privacy Principles“ verpflichteten und so die Einhaltung eines entsprechend hohen Datenschutzniveaus zusicherten.

Die öffentlich bekannt gewordenen Überwachungspraktiken insbesondere der US-Sicherheitsbehörden, die trotz des „Safe Harbor“-Abkommens scheinbar relativ problemlos auf in den USA gespeicherte personenbezogene Daten zugreifen, haben dann in den vergangenen Jahren zu einem Aufschrei geführt.

Machtwort des EuGH

Der EuGH sah hierdurch sowohl das Grundrecht der betroffenen Nutzer auf Achtung ihrer Privatsphäre, als auch – da es an wirksamen Rechtsbehelfen fehle – ihr Grundrecht auf gerichtlichen Rechtsschutz verletzt. Da Erfordernisse der nationalen Sicherheit stets Vorrang vor den Regelungen des Abkommens hätten, könnten sich die datenverarbeitenden Unternehmen gegenüber den Behörden nicht auf ihre datenschutzrechtlichen Verpflichtungen berufen. Vor diesem Hintergrund erklärte der EuGH die Entscheidung der Europäischen Kommission für ungültig und entzog „Safe Harbor“ damit die Grundlage.

Das Urteil des EuGH hat zu großer Verunsicherung bei vielen Unternehmen geführt. Jede Übermittlung personenbezogener Daten in die USA auf Basis des „Safe Harbor“-Abkommens ist seit Anfang Oktober rechtswidrig. Im Verletzungsfall drohen unter anderem Bußgelder von mehreren hunderttausend Euro.

Nach der Entscheidung des EuGH haben die zuständigen Datenschutzbehör-den betroffenen Unternehmen eine „Schonfrist“ eingeräumt, innerhalb derer Datenschutzverstöße noch nicht ge-ahndet wurden. Diese Schonfrist endet aber jetzt am 31. Januar 2016.

Was wird jetzt passieren?

Wer jetzt noch auf den kurzfristigen Abschluss des ursprünglich einmal für Ende Januar geplanten Nachfolgeabkommens zu „Safe Harbor“ wartet, gehört zu den wenigen risikofreudigen Optimisten. Denn die Entwicklung einer den Anforderungen des EuGH entsprechenden Lösung wird voraussichtlich Monate dauern; die Art.-29-Datenschutzgruppe hat hierzu bereits weitere Beratungen angekündigt. Ob und wann eine Lösung kommt, ist derzeit unklar.

Auf eine Untätigkeit der Datenschutzbehörden sollte jetzt ebenfalls niemand mehr vertrauen. Wie die Dinge stehen, werden die Datenschutzbehörden ab dem 1. Februar 2016 alle notwendigen und geeigneten Schritte ergreifen, um das Urteil des EuGH durchzusetzen. In Rheinland-Pfalz wurden bereits vor Ablauf der Schonfrist mehr als 120 behördliche Auskunftsverfahren eingeleitet.

Ins Visier der Aufsichtsbehörden geraten nun alle Unternehmen, die personenbezogene Daten in der EU erheben und in die USA übermitteln. Anders als viele denken, betrifft das Urteil des EuGH keineswegs nur Großkonzerne und IT-Unternehmen. Es hat vielmehr branchenunabhängige Auswirkungen für Unternehmen jeder Größe.

Betroffen können alle Unternehmen sein, die etwa personenbezogene Daten auf Servern in den USA hosten (lassen), Cloud-Services nutzen, oder Daten an eine US-amerikanische Konzernmutter oder Tochterunternehmen übermitteln. Weniger bekannt ist, dass alleine die Nutzung bestimmter Software für die Datenverarbeitung zu einem Datenaustausch mit US-Servern führen kann.

In bestimmten Situationen könnten jetzt auch Unternehmensangehörige (z.B. Betriebsräte oder Datenschutzbeauftragte) gegen einen rechtswidrigen Umgang mit personenbezogenen Daten im Unternehmen vorgehen. So etwa wenn externe Personaldienstleister zum Einsatz kommen, die ihrerseits personenbezogene Daten in die USA übertragen (z.B. auch im Rahmen von Outsourcing der Lohn- und Gehaltsabrechnung, des Personalrecruitings oder des allgemeinen Personalmanagements).

Schließlich steigt das Risiko von Ab-mahnungen und Unterlassungsklagen von Mitbewerbern oder Verbraucherschutzorganisationen. Im Falle von einstweiligen Verfügungen droht dann sogar eine kurzfristige Abschaltung von Diensten. Die in solchen Fällen möglichen Umsatzverluste können ganz extreme Auswirkungen für die betroffenen Unternehmen haben.

Was ist jetzt zu tun?

Wer bisher nicht geprüft hat, ob sein (grenzüberschreitender) Umgang mit personenbezogenen Daten den regulatorischen Anforderungen des Datenschutzes entspricht, sollte dies spätes-tens jetzt tun und gleichzeitig auch versuchen, noch geeignete Notfallpläne zu entwickeln. Mit unserem Privacy Impairment Check unterstützen wir Sie dabei, die konkreten Möglichkeiten zur Übermittlung von personenbezogenen Daten in die USA schnell und kostengünstig zu identifizieren, zu analysieren und zu bewerten. Im Streitfall vertreten wir Sie darüber hinaus in allen behördlichen oder gerichtlichen Verfahren.

Bei Fragen sprechen Sie uns gerne an.

Leistungen von KPMG Law

Unser Team von hoch spezialisierten Rechtsanwälten berät rechtlich nationale und internationale Konzerne, Finanzinvestoren und öffentliche Körperschaften, sowie mittelständische Unternehmen, inhabergeführte Unternehmen und Start-Ups umfassend im Bereich Informationsmanagement (Datenschutz und IT-Sicherheit), insbesondere

  • bei der Identifikation, Analyse und Bewertung bestehender rechtlicher Dokumentation und interner Prozesse zum Um-gang mit personenbezogenen Daten („Privacy Impairment Check“) sowie deren Optimierung;
  • gestaltend bei der datenschutzkonformen Einführung eines Informations-/Datenmanagements sowie der Entwicklung und Markteinführung von Produkten („Privacy by Design“);
  • anlassbezogen bei internen oder externen Untersuchungsverfahren, z.B. nach einem „Data Loss Incident“ (Krisenfall);
  • in allen behördlichen oder gerichtlichen Verfahren (Prozessvertretung).

Kontakt

KPMG Rechtsanwaltsgesellschaft mbH

Dr. Tobias FuchsDr. Tobias Fuchs
Rechtsanwalt, Partner
Leiter der Practice Group Technologie, Medien & Telekommunikation (V.i.S.d.P.)
Ganghoferstraße 29,
80339 München

T +49 89 5997606-1380
tobiasfuchs@kpmg-law.com
www.kpmg-law.de

kpmglaw

Kommentar verfassen