Nach dem Ende der Safe-Harbor-Regelung wollen deutsche Datenschützer nun überprüfen, ob Unternehmen weiterhin Daten in die USA übermitteln. Besonders die Rechtmäßigkeit der Standardvertragsklauseln wird von den Behörden angezweifelt.
Die Datenschutzbehörden in Deutschland werden nach dem EuGH-Urteil zur Rechtmäßigkeit von Datenübertragungen von Europa in die USA nicht darauf warten, dass sich Betroffene beschweren. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit kündigte am Montag stellvertretend für seine Landeskollegen an, Unternehmen daraufhin zu überprüfen, ob sie Daten weiterhin allein auf Grundlage von der vom EuGH kassierten Rechtskonstrukt „Safe Harbor“ in die USA übermitteln. „Diese Prüfung wird insbesondere bei den Töchterunternehmen von Safe-Harbor-gelisteten US-Firmen erfolgen, die ihren Sitz in Hamburg haben und ihre Daten an die Mutterunternehmen in den USA übersenden. Untersagungsverfügungen können sich daran anschließen.“
Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hatte in der vergangenen Woche die Zulässigkeit der Datentransfers in die USA in Frage gestellt. Viele Unternehmen verwenden dafür sogenannte Standardvertragsklauseln oder verbindliche Unternehmensregelungen (BCR). Die Datenschützer bezweifeln, ob diese Instrumente noch Gültigkeit haben. Allerdings ist diese Rechtsauffassung umstritten. Die Datenschutzbehörden betonten, sie würden derzeit keine neuen Genehmigungen für Datenübermittlungen in die USA auf Grundlage der BCR oder Datenexportverträgen erteilen.
„Nachdem der Europäische Gerichtshof das Safe-Harbor-Abkommen überraschend für ungültig erklärt hat, lassen die Datenschutzexperten die Unternehmen jetzt im Regen stehen“, kritisierte Datenschutz-Experte Tim Wybitul von der Wirtschaftskanzlei Hogan Lovells. „Sie wollen Datenübermittlungen in die USA auf Grundlage von verbindlichen Unternehmensregeln nicht mehr genehmigen. Dabei handelt es sich um ein Verfahren, das seit 20 Jahren angewendet wird.“
Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, erklärte: „Es gilt der Grundsatz: Wer unsere Daten importiert, muss auch einen angemessenen Schutzstandard für diese bereithalten.“ Wer europäische Daten exportieren möchte, dürfe dies nur, wenn ein solcher Standard bestehe. „Die Übermittlung von Daten in die USA steht seit dem EuGH-Urteil auf dem Prüfstand. Wer unabhängig von den rechtlichen und politischen Konsequenzen des Urteils bleiben will, sollte insbesondere darüber nachdenken, personenbezogene Daten künftig nur auf Servern innerhalb der EU zu speichern.“
Der EuGH hatte Anfang Oktober nach einer Klage eines österreichischen Facebook-Nutzers die Regelung zum Datenaustausch zwischen den USA und der EU („Safe Harbor“) gekippt. In den USA sei der Datenschutz nicht ausreichend. [dpa/buhl]
Bildquelle:
- Medien_Maerkte_Artikelbild: © Phongphan Supphakank - Fotolia.com
