Safe-Harbor Abkommen endgültig ausgelaufen

Im Oktober kippte der Europäische Gerichtshof das so genannte Safe-Harbor-Abkommen zwischen der EU und den USA. Seit dem 1.2.2016 ist auch die Übergangsfrist abgelaufen und alle Unternehmen, die Daten mit den USA austauschen, agieren in einer rechtlichen Grauzone. Datenschutzbehörden können Unternehmen, die personenbezogene Daten nicht datenschutzkonform in die USA transferieren, mit einem Bußgeld in Höhe von bis zu 300.000 EUR belegen. Ein neues Abkommen, das Rechtssicherheit gewähren würde, ist nicht in Sicht.

Oft wird Unternehmen die Nutzung der EU-Standardvertragsklausel als Interimslösung empfohlen. Doch laut Dr. Rauschhofer ist auch diese Lösung nicht wirklich tragbar.

»Betrachtet man (…) die Komplexität und Kompliziertheit der Themen (…) müsste fast ein Wunder geschehen, wenn Anfang Februar ein Konsens über die Zulässigkeit des Datentransfers in die USA erzielt wird. Realistisch betrachtet bedeutet dies für die Verantwortlichen eines Unternehmens, die datenschutzrechtliche Zulässigkeit von Datenübermittlungen sicherzustellen. Soweit diese bislang noch in die USA erfolgen, dürfte zu erwarten sein, dass selbst auf Basis der EU-Standard-Vertragsklauseln diese als unzulässig angesehen werden.«

Die Datenschutzbehörden haben bereits im Oktober 2015 darauf hingewiesen, dass im Lichte des EuGH-Urteils die Standard-Vertragsklausel in Frage gestellt sei.

Da auch die sogenannte Einwilligungs-Lösung im Einzelfall problematisch sei, sieht Dr. Rauschhofer für Unternehmen nur eine sichere Lösung: ernsthaft über einen Exit nachzudenken und sofort Verhandlungen mit datenschutzkonformen IT-Dienstleistern innerhalb der EU aufzunehmen, denn es sei »davon auszugehen, dass eine prüfende Datenschutzbehörde kein Bußgeld verhängen wird, wenn das Unternehmen hier unverzüglich nach dem Scheitern einer Lösung eine rechtskonforme Umsetzung begonnen hat.

Abschließend rät Dr. Rauschhofer den Unternehmen:

»Als sorgfältiger Unternehmer sollte man daher nach unserer Auffassung bereits jetzt vorsorglich Verhandlungen mit datenschutzkonformen Anbietern aufnehmen.«

Als ein IT-Anbieter, der von Anfang an auf Datensicherheit und Datenschutz größten Wert gelegt hat, sieht sich Cusy einmal mehr bestätigt. Die Entwicklungs- und Betriebsplattform von Cusy ist so aufgebaut, dass sie die strengen Richtlinien des deutschen Datenschutzes erfüllt. Das entlastet Entwickler und Betreiber und gibt ihren mehr Sicherheit. Firmen, die zu einem datenschutzkonformen Anbieter wechseln möchten, bietet Cusy eine umfassende technische Beratung für mehr Datenschutz und Datensicherheit sowie eine tatkräftige Unterstützung bei der Migration ihrer Anwendungen.

Update 6.6.2016: Erste Bußgelder verhängt

Die Hamburger Datenschutzbehörde hat erste Bußgelder gegen Unternehmen verhängt. Nachdem der EuGH das Safe-Harbour-Abkommen im Oktober 2015 für ungültig erklärt hat, prüfte die Hamburger Datenschutzbehörde 35 international agierende Unternehmen in Hamburg. Drei Bußgeldbescheide sind mittlerweile rechtskräftig geworden. Die drei Unternehmen hatten auch sechs Monate nach dem Wegfall von Safe-Harbour noch keine datenschutzrechtlich akzeptable Alternative für den Transfer von persönlichen Daten in die USA geschaffen. Die Bußgelder fielen niedrig aus, da die Unternehmen ihr Verfahren inzwischen auf Standardvertragsklauseln umgestellt haben.

In seiner Presseerklärung weist die Hamburger Behörde aber daraufhin, dass im Rahmen der Privacy-Shield-Verhandlungen auch »über die Zulässigkeit der derzeit nicht beanstandeten alternativen Übermittlungsinstrumente, insbesondere sogenannter Standardvertragsklauseln, zu entscheiden sein« wird. Dies ist ein deutlicher Hinweis darauf, dass auch die Standardvertragsklauseln rechtlich umstritten sind und damit keine dauerhaft sichere Lösung darstellen. (Näheres dazu in diesem Artikel auf Heise Online.)

Die Empfehlungen von Dr. Rauschhofer, sich einen datenschutzkonformen IT-Dienstleister innerhalb der EU zu suchen, erhalten durch diese Entwicklung neue Aktualität.