Das Urteil des Europäischen Gerichtshofs zu Safe Harbor (wir berichteten) führt zu einer großen Unsicherheit bei Unternehmen. Das merken wir vor allem in unserem Beratungsalltag. Für gestern war eine abgestimmte Erklärung der Landesdatenschutzbehörden erwartet worden, leider vergeblich. Jedoch ist das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) gestern mit einer Presseerklärung an die Öffentlichkeit getreten (wir berichteten). Grund genug uns zu fragen, ob die anderen Landesdatenschutzbehörden ebenfalls auf ihren Internetseiten Stellung beziehen. Wir haben für Sie eine Übersicht erstellt. Sobald eine abgestimmte Erklärung herausgegeben wird, werden wir Sie darüber informieren.
Für heute ist übrigens eine Erklärung der Artikel 29-Gruppe angekündigt. Die Artikel-29-Datenschutzgruppe ist das unabhängige Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes. Sie setzt sich aus je einem Vertreter der jeweiligen nationalen Datenschutzbehörden, dem Europäischen Datenschutzbeauftragten und einem – nicht stimmberechtigten – Vertreter der Europäischen Kommission zusammen. Wir sind über den Inhalt sehr gespannt und werden auch darüber berichten.
Was sagen die Aufsichtsbehörden der Länder?
Stand 15.10.2015 – 10:00 Uhr
Kurz zusammengefasst: Die Behörden sagen
- gar nichts,
- stellen in Aussicht, dass sie noch was sagen,
- sehen Handlungsbedarf bei Unternehmen – lassen aber offen welchen,
- melden Zweifel an,
- halten eine Datenübermittlung in die USA nunmehr generell für rechtswidrig.
Grundsätzlich halten sich die Behörden noch zurück und stellen eine Stellungnahme in Aussicht. Unsere derzeitige Empfehlung finden Sie hier.
Auf der Homepage haben wir keinerlei Hinweise auf das Urteil oder den Umgang damit gefunden.
„Für Unternehmen, die personenbezogene Daten bislang auf der Grundlage von Safe Harbor transferiert haben, besteht daher [nach dem Urteil des EuGH, Anm.d.R.] akuter Handlungsbedarf. Die Unternehmen müssen ab sofort überprüfen, ob von entsprechenden Transfers in die USA abgesehen werden kann oder aber der Gebrauch anderer Instrumente wie von EU-Standardverträgen oder Binding Corporate Rules in Betracht kommt. Die Datenschutzaufsichtsbehörden Deutschlands und in Europa prüfen derzeit intensiv, inwieweit das Urteil auch Auswirkungen auf die EU-Standardvertragsklauseln und Binding Corporate Rules hat.“
„Die Datenschutzbehörden in Deutschland und Europa werden sich jetzt auf ein gemeinsames Vorgehen zur Umsetzung des EuGH-Urteils verständigen.“
“Die Datenschutzbeauftragten des Bundes, der Länder sowie der Mitgliedstaaten der europäischen Union werden auf der Grundlage der Entscheidung ihr weiteres Vorgehen miteinander abstimmen.“
Bremen, prüft seit längerem die Aussetzung der Übermittlung personenbezogener Daten in die USA und erwartet eine Reaktion der bremischen Unternehmen. Nach Ansicht der Landesbeauftragten Frau Dr. Sommer kann „nur die US-Regierung [kann] die Unternehmen aus ihrer unbequemen Lage befreien.“
„Es ist zu prüfen, ob und inwieweit Datentransfers in die USA auszusetzen sind. Dies gilt auch, wenn sie auf andere Rechtsgrundlagen wie Standardvertragsklauseln, Einwilligung oder Binding Corporate Rules gestützt werden. Die Aufsichtsbehörden werden dafür noch in dieser Woche ihr Vorgehen auf nationaler und europäischer Ebene koordinieren. Die EU-Kommission ihrerseits muss die USA drängen, ein angemessenes Datenschutzniveau herzustellen.“
„Für Unternehmen, die personenbezogene Daten bislang auf der Grundlage von Safe Harbor transferiert haben, besteht daher akuter Handlungsbedarf. Die Unternehmen müssen ab sofort überprüfen, ob von entsprechenden Transfers in die USA abgesehen werden kann oder aber der Gebrauch anderer Instrumente wie von EU-Standardverträgen oder Binding Corporate Rules in Betracht kommt. Der HDSB weist ausdrücklich darauf hin, dass die Datenschutzaufsichtsbehörden Deutschlands und in Europa intensiv prüfen, inwieweit angesichts des Urteils von Standardvertragsklauseln und BCR weiterhin Gebrauch gemacht werden kann.“
„Die Datenschutzbehörden in Deutschland und Europa werden sich jetzt auf ein gemeinsames Vorgehen zur Umsetzung des EuGH-Urteils verständigen.“
„Nach Angaben Thiels [Landesdatenschutzbeauftragter [Anm.d.R.]] hat das Urteil große Auswirkungen auf Unternehmen in Deutschland, da die Datenübermittlung in die USA von nun an nicht mehr auf das Safe-Harbor-Abkommen gestützt werden könne. Auch die grundsätzliche Zulässigkeit von Datenübermittlung an Stellen in den USA sei angesichts des sorglosen Umgangs mit den Daten dort fraglich.“
„Auch für andere Instrumente wie EU-Standardverträge, Individualverträge und verbindliche Konzernregelungen ist auf dieser Grundlage zu überprüfen, ob sie einen Datentransfer in die USA rechtfertigen können. Zur umfassenden Klärung der Konsequenzen des Urteils werden sich die Datenschutz-Aufsichtsbehörden unverzüglich auf Bundesebene sowie auf EU-Ebene beraten und das weitere Vorgehen abstimmen.“
„‘Als Aufsichtsbehörde werden wir die nächste Zeit nutzen, um so schnell wie möglich gemeinsam mit den Unternehmen in Rheinland-Pfalz Lösungen zu entwickeln. Ein erster Schritt dahin wird die Landesdatenschutzkonferenz am 15. Oktober sein, auf der wir zusammen mit der Landesregierung und den Betrieben in Rheinland-Pfalz die Problematik erörtern werden.‘ Der LfDI werde sich sodann an die betroffenen Unternehmen im Lande wenden und erörtern, welche Folgen der Wegfall von Safe-Harbor in der Praxis für sie hat. Gravierende Umstellungen bei den Unternehmen könnten dabei nicht ausgeschlossen werden. ‚[…] Die Datenschutzaufsichtsbehörde wird zur vernünftigen Umsetzung der Entscheidung beitragen. Dazu kann auch zählen, dass Unternehmen zukünftig verstärkt auf europäische Dienstleister zurückgreifen und Datenübermittlungen in die USA einschränken müssen.‘ Das Urteil des EuGH stelle die Unternehmen vor große Herausforderungen, die aber in konstruktiver Zusammenarbeit zu bewältigen seien.“
Auf der Homepage haben wir keinerlei Hinweise auf das Urteil oder den Umgang damit gefunden.
„Die deutschen und die anderen nationalen Datenschutzaufsichtsbehörden werden ihre Aufsichtspraxis anpassen und sich untereinander koordinieren.“
Auf der Homepage haben wir keinerlei Hinweise auf das Urteil oder den Umgang damit gefunden.
Laut ULD sind Datenübermittlungen in die USA weder per Einwilligung noch über Standardvertragsklauseln möglich. „Nichtöffentliche Stellen, die für ihren Datentransfer in die USA Standardvertragsklauseln verwenden, müssen nun in Erwägung ziehen, den zugrunde liegenden Standardvertrag mit dem Datenimporteur in den USA zu kündigen oder die Datenübermittlungen auszusetzen. In konsequenter Anwendung der Vorgaben des EuGH in seinem Urteil ist eine Datenübermittlung auf Basis von Standardvertragsklauseln nicht mehr zulässig.“
„Das ULD wird prüfen, ob Anordnungen gegenüber nichtöffentlichen Stellen getroffen werden müssen, auf deren Basis Datenübermittlungen in die USA ausgesetzt oder verboten werden müssen. Ferner ist zu prüfen, ob nichtöffentliche Stellen infolge der Datenübermittlung in ein Drittland mit fehlendem angemessenem Datenschutzniveau Ordnungswidrigkeiten verwirklicht haben.“
„Jetzt ist sozusagen der Startschuss gefallen, dass nicht nur in Bezug auf soziale Netzwerke oder Suchmaschinen, sondern im Blick auf sämtliche Datenübermittlung in die USA die Datenschutzbehörden Befugnisse haben, diese Datenübermittlung zu unterbinden […]. Das hat also Auswirkungen, die fast paradiesisch sind.“ (Thüringens Landesbeauftragter Hasse in einem Interview im Deutschlandradio Kultur)