27.10.2015 — Hans Sebastian Helmschrott

Der Streit um die Folgen der Safe Harbor Entscheidung

Widersprüchliche Einschätzung der Folgen der Safe Harbor Entscheidung des EuGH

seit Bekanntwerden der Entscheidung des EuGH am 06.10.2015, mit der die Safe Harbor Regelung für nichtig erklärt wurde, schießen die Meinung über die Folgen und Tragweite der Entscheidung regelrecht ins Kraut. Die Rechtsunsicherheit ist auch deshalb so groß, weil das Urteil bislang nicht veröffentlicht wurde, sondern lediglich eine kurze Pressemitteilung des EuGH bekannt ist.

Umstritten ist im Wesentlichen, ob die weiteren im BDSG und den europäischen Rechtsgrundlagen vorgesehenen datenschutzrechtlichen Rechtfertigungsmöglichkeiten für einen Datentransfer in die USA (also ausdrückliche Einwilligung, Nutzung der Standardvertragsklauseln (sog. EU Model Contracts), Binding Corporate Rules (BCR)) noch Basis bzw. Ersatz der für nichtig erklärten Safe Harbor Regelung sein können.

So ist nach Ansicht der sog. Article 29 Working Group, einer Arbeitsgruppe bestehend aus Vertretern nationaler Datenschutzbehörden und der EU Kommission gemäß einer Stellungnahme vom 16. Oktober 2015 unter Berufung auf die Rechtsauffassung verschiedener nationaler Datenschutzbehörden ein Ausweichen auf diese Rechtsgrundlagen weiterhin möglich. 

Hingegen vertritt das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig-Holstein in einem Positionspapier vom 14. Oktober 2015 die Auffassung, das nicht einmal mehr eine ausdrückliche und schriftliche Einwilligung des Betroffenen genügt, um den Transfer der Daten des Betroffenen in die USA zu rechtfertigen und kündigt bereits Prüfungen und die Verhängung von Bußgeldern an. Dass dem ULD die weiteren Rechtfertigungsmöglichkeiten wie BCRs oder EU Model Contracts nicht genügen, und die Verwender zur Kündigung entsprechender Verträge mit US Unternehmen auffordern versteht sich von selbst.

Nach unserer Meinung sind die Positionen des ULD überzogen. Sollte eine Überprüfung durch das ULD auf Basis dieser Rechtsaufassung zur Anordnung von Maßnahmen führen sollte unbedingt hiergegen vorgegangen werden.

 

Dieser Beitrag wurde veröffentlicht unter IT-Recht, Datenschutzrecht, Tags: E-Commerce, Datenschutzrecht, Safe Harbour, IT-Security