Gut zwei Wochen nach der aufsehenerregenden EuGH-Entscheidung zu Safe Harbor vom 6. Oktober 2015 (wir berichteten) haben sich die deutschen Aufsichtsbehörden am 21. Oktober in einer Sondersitzung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder nun auf eine gemeinsame Position geeinigt.
Erste Medienberichte zur gemeinsamen Position wurden u.a. gestern auf der Website der Tagesschau und heute morgen im Radio bei NDR Info veröffentlicht. Eine offizielle Stellungnahme der Aufsichtsbehörden ist jedoch bis jetzt noch nicht zu finden. [Update vom 26.10.2015 13:00 Uhr: Das Positionspapier ist nun hier zu finden.]
Wir haben daher heute beim Vorsitzenden der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, dem Hessischen Datenschutzbeauftragten Ronellenfitsch nachgefragt und folgende Auskunft erhalten:
- Der Text der gemeinsamen Position steht fest – die Aufsichtsbehörden haben aber noch Gelegenheit zur letzten Stellungnahme. Bis morgen läuft insoweit eine Stillhaltefrist. Danach wird die abgestimmte Position von den Aufsichtsbehörden veröffentlicht werden. In Hessen wird dies beispielsweise spätestens am Montag der Fall sein. [Update vom 26.10.2015: Das Positionspapier ist seit Montag online abrufbar].
- Datenverarbeitungen, die ausschließlich auf Safe Harbor beruhen, sind grundsätzlich unzulässig. Es wird allerdings derzeit davon ausgegangen, dass für bestehende Datenverarbeitungen ein Vertrauensschutz bis zum 31.12.2015 besteht. [Update vom 26.10.2015: Der Vertrauensschutz wird im Positionspapier nicht erwähnt].
- Andere Instrumente, wie die EU-Standardvertragsklauseln und Binding Corporate Rules, stehen auf dem Prüfstand. [Update vom 26.10.2015: Es werden keine neuen Genehmigungen für Datenübermittlungen in die USA auf Grundlage von verbindlichen Unternehmensregelungen (BCR) mehr erteilt.]
- Ab Ende Januar 2016 ist damit zu rechnen, dass Aufsichtsbehörden auch von sich aus aktiv werden und an Unternehmen herantreten.
- Insgesamt orientierten sich die Aufsichtsbehörden stark an der Artikel 29 Datenschutzgruppe. Es ist wahrscheinlich, dass dies auch in Zukunft der Fall sein wird.
Die Artikel 29 Datenschutzgruppe hatte bereits am 16. Oktober mitgeteilt, die Wirksamkeit der EU-Standardvertragsklauseln sowie die Wirksamkeit von Binding Corporate Rules zwar zu prüfen, jedoch in der Zwischenzeit grundsätzlich diese zu unterstellen. Allerdings wies bereits die Artikel 29 Datenschutzgruppe darauf hin, dass ab Ende Januar 2016 mit erhöhter Tätigkeit der Aufsichtsbehörden zu rechnen sei, sofern sich bis dahin keine grundsätzliche Lösung abzeichne. Die Artikel 29 Datenschutzgruppe bemerkte gleichfalls, dass eine anlassbezogene Tätigkeit aufgrund von Beschwerden in der Zwischenzeit nicht auszuschließen sei.
Die jetzige gemeinsame Position der deutschen Aufsichtsbehörden ist insbesondere auch deshalb zu begrüßen, da im Vorfeld von Bundesland zu Bundesland durchaus unterschiedliche Auffassungen der Aufsichtsbehörden kommuniziert wurden (hier eine Zusammenstellung) und insofern insbesondere das ULD durch ein eigenes Positionspapier vom 14. Oktober auffiel (wir berichteten).
Wie europäische Unternehmen, die von der EuGH-Entscheidung betroffen sind, derzeit reagieren können, haben wir u.a. hier dargestellt. Insgesamt muss die weitere Entwicklung jetzt aber genau beobachtet werden. Betroffene Unternehmen, die momentan auf die kurzfristige Vereinbarung von EU-Standardvertragsklauseln setzen (mehr dazu hier im Detail), sollten mit Blick auf Ende Januar 2016 dennoch jetzt schon weitere Alternativen vorbereiten und Reaktionspläne erarbeiten.
Wir halten Sie hier über alle weiteren Entwicklungen auf dem Laufenden.
Hier noch einmal die bisherigen Ereignisse:
6. Oktober 2015: Urteil des EuGH zu Safe Harbor (Quelle)
14. Oktober 2015: Positionspapier des ULD (Quelle)
16. Oktober 2015: Stellungnahme der Artikel 29 Datenschutzgruppe (Quelle)
21. Oktober 2015: Stellungnahme der Datenschutzbeauftragten des Bundes und der Länder (Quelle)
Folgen Sie uns auch gerne auf Twitter.
Die Folgen des Safe Harbor Urteils des EuGH – Aktuelles Positionspapier der Datenschutzbehörden und Handlungsempfehlungen - Internet, Social Media & Recht
27. Oktober 2015 @ 9:25
[…] mündlichen Aussagen folgt zudem, dass die Datenschutzbehörden den Unternehmen wohl einen „Vertrauensschutz“ bis […]