Der Umgang mit der EuGH-Entscheidung zu Safe Harbor war in den vergangenen Wochen des Öfteren Thema in unserem Blog. Zumindest vorerst ist durch die Stellungnahme der Artikel 29 Datenschutzgruppe und dem abgestimmten Positionspapier der deutschen Aufsichtsbehörden eine erste Linie zu erkennen: Unternehmen müssen prüfen, ob sie von der EuGH-Entscheidung betroffen sind und ggf. auf EU-Standardvertragsklauseln wechseln.

Unklar ist jedoch nach wie vor, wie es ab dem 31. Januar 2016 im Hinblick auf EU-Standardvertragsklauseln und Binding Corporate Rules weitergeht. Unklar ist auch, wie sich Aufsichtsbehörden bis zum 31. Januar 2016 im Hinblick auf die EuGH-Entscheidung in der Praxis verhalten – insbesondere ob und ab wann eine aktive Prüfung erfolgt. Wir haben uns deshalb heute einmal auf den einzelnen Internetauftritten der Aufsichtsbehörden umgesehen und teilweise sehr unterschiedliche Aussagen gefunden:

Die meisten deutschen Landesdatenschutzbehörden verweisen auf Ihren Internetseiten auf das abgestimmte Positionspapier. Einen Schritt weiter gehen die Aufsichtsbehörden in Hamburg, Nordrhein-Westfalen Rheinland-Pfalz und Schleswig-Holstein:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit kündigt an, Unternehmen daraufhin zu überprüfen, ob „…sie Daten weiterhin allein auf Grundlage von Safe Harbor in die USA übermitteln. Diese Prüfung wird insbesondere bei den Töchterunternehmen von Safe Harbor-gelisteten US-Firmen erfolgen, die ihren Sitz in Hamburg haben und ihre Daten an die Mutterunternehmen in den USA übersenden. Untersagungsverfügungen können sich daran anschließen.“ Die Ankündigung lässt vermuten, dass eine zeitnahe Prüfung erfolgt – etwa durch eine Fragebogenaktion.

Der  Landesbeauftragte für den Datenschutz Rheinland-Pfalz weist im Einklang mit dem abgestimmten Positionspapier darauf hin, das Unternehmen aufgerufen sind, ihre Verfahren zum Datentransfer in die USA unverzüglich datenschutzgerecht zu gestalten. Zwar wird auch darauf hingewiesen, dass Maßnahmen wie Untersagungen oder Bußgelder insbesondere dann in Betracht kommen, wenn Datenübermittlungen in die USA ausschließlich auf die Safe  Harbor Entscheidung gestützt werden. Allerdings stellt der Landesbeauftragten für den Datenschutz Rheinland-Pfalz auch klar, dass die Beratungsleistung der Aufsichtsbehörde derzeit im Vordergrund steht. Für die Zeit ab dem 1. Februar 2016 werden dann jedoch gleichförmige stichprobenartige (also aktive) Prüfungen angekündigt.

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein hatte sich noch vor dem abgestimmten Positionspapier der deutschen Aufsichtsbehörden mit einem eigenen Positionspapier zu Wort gemeldet. Erstaunlich ist, dass dieses Positionspapier seitdem – zumindest auf der Website – nicht mehr relativiert wurde und selbst die abgestimmte Position der deutschen Aufsichtsbehörden keine weitere Erwähnung auf der Website des Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein findet.

Interessant sind auch die Äußerungen bzw. die fehlenden Äußerungen anderer europäischer Aufsichtsbehörden. Eine recht gute Übersicht in englischer Sprache finden Sie hier.

Hervorzuheben ist die Meinung der britischen Aufsichtsbehörde (ICO). Zwar votiert die ICO auch für eine europäische Abstimmung, nimmt den britischen Unternehmen aber auch jedwede Angst vor Sanktionen. Die Handlungsempfehlung liest sich aus deutscher Sicht sehr befremdlich und steht im krassen Gegensatz zur abgestimmten Position der deutschen Aufsichtsbehörden:

“The first thing for businesses to do is take stock. Ask yourself what personal data you are transferring outside the EU, where is it going to, and what arrangements have you made to ensure that it is adequately protected. For some this will be no easy task. Then look at whether these arrangements are the most appropriate ones taking into account the ICO’s guidance on international transfers. If they include the Safe Harbor, what alternative mechanisms might you use if there’s no progress on a new Safe Harbor? But don’t rush to change, especially with the possibility that a new, improved and perhaps rebranded Safe Harbor will emerge.”

Britische Unternehmen müssen also nicht möglichst schnell nach Alternativen suchen, sondern können erst einmal alles beim Alten lassen. Auch sieht die britische Aufsichtsbehörde Grund zur Annahme, dass es eine Neuauflage von Safe Harbor geben könnte.

Hier noch einmal die bisherigen Ereignisse:
6. Oktober 2015: Urteil des EuGH zu Safe Harbor (Quelle)
14. Oktober 2015: Positionspapier des ULD (Quelle)
16. Oktober 2015: Stellungnahme der Artikel 29 Datenschutzgruppe (Quelle)
21. Oktober 2015: Stellungnahme der Datenschutzbeauftragten des Bundes und der Länder (Quelle)