Safe-Harbor-Abkommen ungültig (EuGH)

Mit Urteil vom 6.10.2015 (Aktz. C-362/14) hat der EuGH die Feststellung der Europäischen Kommission, dass die USA ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten (Safe-Harbor-Abkommen), für ungültig erklärt.

Ausgangsverfahren ist eine datenschutzrechtliche Beschwerde in Irland gegenüber Facebook, deren irische Tochtergesellschaft Daten ganz oder teilweise an Server, die sich in den Vereinigten Staaten befinden, übermittelt und dort verarbeitet.

Ausgehend von den Erwägungen dieses EuGH-Urteils hat die irische Datenschutzbehörde nun zu entscheiden, ob die Übermittlung der Daten der europäischen Nutzer von Facebook in die Vereinigten Staaten auszusetzen ist, weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten bietet.

Teilnehmer am Safe-Harbor-Abkommen sind neben Facebook tausende Unternehmen, auch deutsche. Größere Unternehmen können hunderte von Verträgen haben, deren Durchführung das so genannte Safe-Harbor-Abkommen voraussetzen. Diese Grundlage ist jetzt nicht mehr gegeben; ein neues Abkommen ist kurzfristig nicht absehbar. Dabei ist auch nicht zu übersehen, dass materiellrechtlich die Erwägungen des EuGH nicht nur für die USA, sondern für alle Staaten gelten, also auch ob diese ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten.

Ausgehend von dem Urteil des EuGH könnte eine Lösung für die betroffenen Unternehmen eine Zustimmung ihrer Kunden zur Speicherung oder Verarbeitung deren Daten in den USA und ggfs sonstigen Drittstaaten sein. Eine schlichte (Neu)Regelung in den allgemeinen Geschäftsbedingungen wird dafür nicht ausreichend sein. Demgegenüber sind betroffene Kunden nun mit dem Urteil des EuGH in der Position jene Praxis anzugreifen, wobei vermutlich demnächst Übergangsfristen zu erwarten sind.

In jedem Fall werden betroffene Unternehmen umgehend, insbesondere auch in den Fällen der sog. Cloudspeicherung, mit ihren ausländischen Geschäftspartner nachzuverhandeln haben, um entsprechende Erklärungen zur Gewährleistung des vom EuGH benannten angemessenen Datenschutzniveaus zu vereinbaren.

Das in diesem Beitrag verwendete Foto „uss-constitution“ stammt von tpsdave @pixabay.com. Herzlichen Dank!