Zum Inhalt springen Zur Navigation springen
Safe Harbor: Bundesregierung erlaubt Datenübermittlung in die USA

Safe Harbor: Bundesregierung erlaubt Datenübermittlung in die USA

Laut der deutschen Bundesregierung ist die Übermittlung von personenbezogenen Daten in die USA nach der Safe Harbor-Entscheidung auf der Grundlage den EU-Standardverträgen sowie einer Einwilligung des Betroffenen weiterhin zulässig. Dies ergibt sich aus der Antwort des Bundestages auf die Anfrage der Fraktion LINKE, dessen Vorabfassung gestern veröffentlicht wurde.

Auffassung der deutschen Aufsichtsbehörden

Mit seinem Urteil vom 6. Oktober 2015 hat der Europäische Gerichtshof entschieden, dass personenbezogenen Daten auf der Grundlage der Safe Harbor-Zertifizierung nicht mehr rechtmäßig in die USA übermittelt werden können. Über die Auswirkungen dieser Entscheidung haben wir bereits hier berichtet.

Der Datenschutzkonferenz der Datenschutzbeauftragten des Bundes und der Länder hat in seinem Positionspapier vom 26. Oktober 2015 die Bunderegierung aufgefordert, in direkten Verhandlungen mit der US-Regierung auf die Einhaltung eines angemessenen Grundrechtsstandards hinsichtlich Privatsphäre und Datenschutz zu drängen. Nach Ansicht der meisten Aufsichtsbehörden können Unternehmen in Deutschland – zumindest vorläufig bis Ende Januar – personenbezogene Daten mit Unternehmen in den USA auf der Grundlage der Standardvertragsklauseln, BCR oder Einwilligung der Betroffenen weiterhin austauschen.

ULD hält die Datenübermittlung die USA für unzulässig

Nicht jedoch nach der Auffassung des Unabhängige Landeszentrum für Datenschutz (ULD) in Schleswig-Holstein. Dieses erklärte in seiner Stellungnahme, welche rein juristisch betrachtet weitgehend nachvollziehbar und folgerichtig ist, auch die EU-Standardvertragsklauseln für unwirksam. Tenor des Positionspapiers des ULD zum Urteil des EuGH ist:

  • Für deutsche Unternehmen ist es ab der Entscheidung des EuGH nicht mehr zulässig, personenbezogene Daten von US-Dienstleistern verarbeiten zu lassen oder in die USA zu übermitteln
  • Wer es doch tut, muss mit Bußgeldern in Höhe bis zu 300.000 € rechnen

Reaktion der Bundesregierung

Nun hatte die Fraktion DIE LINKE die Bundesregierung zur Rede gebeten. Hier eine kurze Zusammenfassung über die wesentlichen Aussagen:

  • Für die Übermittlung personenbezogener Daten in die USA kommen alternative Rechtsgrundlagen in Betracht, wie EU-Standardverträge, BCR oder Einwilligung der Betroffenen.
  • Die EU-Standardvertragsklauseln können nur vom EuGH für ungültig oder nichtig erklärt werden. Die Datenschutzbehörden der Mitgliedstaaten können die Rechtmäßigkeit einer Datenübermittlung auf der Grundlage alternativer Instrumente im Einzelfall jederzeit überprüfen.
  • Die Bundesregierung unterstützt das Ziel der Europäischen Kommission, zeitnah ein neues Safe Harbor-Abkommen zu erreichen, um Rechtssicherheit sowohl für Verbraucher als auch für die Wirtschaft zu schaffen. Sie verfolgt die Verhandlungen mit der US-Regierung und steht mit beiden Verhandlungsparteien im Austausch.
  • Auf die Frage, ob „nach Auffassung der Bundesregierung Datentransfers in die USA ohne Schutzlücken und Grundrechtseinschränkungen gewährleistet werden, solange die geheimdienstliche Massenausforschung, die der EuGH als das zentrale Problem für die Datentransfers identifiziert hat, nicht beendet wird?“, hat die Bundesregierung keine klare Antwort gegeben. Sie hat lediglich die Auffassung mitgeteilt, dass eine Nachfolgeregelung für Safe Harbor möglich ist, die den Maßstäben der EuGH gerecht wird.
  • Immer wieder weist die Bundesregierung in den Antworten darauf hin, dass die wesentlichen Gründe für die Entscheidung des Gerichts die fehlenden Feststellungen der Europäischen Kommission über einen angemessenen Grundrechtsstandard und hinreichende Rechtsschutzmöglichkeiten in den USA waren. Eine eigene Auffassung über das Datenschutzniveau in den USA teilt die Bundesregierung den Lesern nicht mit. Wortwörtlich heißt es: „Die Bundesregierung sieht sich nicht gehalten, eine Bewertung der US-amerikanischen Verfassungsrechtlage vorzunehmen“.
  • Die Bundesbeauftragte für Datenschutz und die Informationsfreiheit hat im Haushalt für das Jahr 2016 Personalverstärkung im Hinblick auf die sich aus dem Safe Harbor-Urteil des EuGH ergebenden Folgen erhalten.
  • Nach dem Inkrafttreten der Datenschutz-Grundverordnung wird die Bundesregierung überprüfen, ob den Datenschutzbehörden gesetzlich ein Klagerecht eingeräumt wird.

Ob man nun schlauer ist als vorher, vermag man zu bezweifeln. Letztendlich bleibt es abzuwarten, wie die nationalen Aufsichtsbehörden (Artikel 29-Gruppe) sich in der Stellungnahme, die Ende Januar 2016 veröffentlich werden soll, äußern werden.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • …das ist aber schön!

    Dann warten wir doch mal ab, was Judikative und Exekutive dazu sagen.

  • … und was passiert, wenn sich die Aufsichtsbehörden zusammensetzen und entscheiden, dass EU Standardverträge nicht mehr ausreichen? Was soll ein Unternehmen dann tun? Was kann ein DSB tun, wenn das Unternehmen nicht mitzieht trotz mehrmaliger Erinnerung?

    • Tja, das sind die Gretchenfragen. Einige Aufsichtsbehörden sind schon jetzt der Ansicht, dass die EU Standardverträge nicht ausreichen und haben begonnen, Unternehmen die auf der Safe Harbor Liste standen, zu prüfen. Auftraggeber eines US Unternehmens sind von diesen Prüfungen noch (!) nicht betroffen. Konsequenterweise müsste ihr Unternehmen den Datentransfer in die USA einstellen und sich nach passenden EU Dienstleistern umschauen. Als DSB (aber auch als Unternehmen) können Sie im Falle eines Konflikts mit Ihrer Unternehmensleitung (bzw. mit ihrem DSB) an Ihre Aufsichtsbehörde wenden, die vermittelnd tätig werden sollte. Gem. § 38 Abs. 1 S.2 BDSG hat die Aufsichtsbehörde die Beauftragten für den Datenschutz und die verantwortlichen Stellen mit Rücksicht auf deren typische Bedürfnisse zu beraten und zu unterstützen. In dieser Hinsicht haben die Aufsichtsbehörden bisher völlig versagt.

      • @Dr. Datenschutz

        „In dieser Hinsicht haben die Aufsichtsbehörden bisher völlig versagt.“

        … was nicht zuletzt am massiven Personalmangel liegt.

  • Wer wirklich Wert auf Datenschutz legt, der greift auf heimische Lösungen zurück, wenn es denn möglich ist. So zum Beispiel im Bereich Cloud-Computing. Man sollte aber auch bei heimischen Anbietern darauf achten, dass deren Daten in deutschen/europäischen Rechenzentren gespeichert werden. Leider hat die deutsche IT-Landschaft in vielen Bereichen Nachholbedarf. Echte Alternativen im Bereich Social Media oder Suchmaschinen sind nicht vorhanden. Einzig Xing beweist, dass heimische Social Media-Services keinen Deut schlechter sind als deren Pendants aus Übersee. Ich hoffe, dass heimische Anwender diesen Umstand bemerken und wertzuschätzen lernen.

  • Hm, dieser Artikel spiegelt den Stand vom Januar 2016 und wird im Mai 2017 auf der Startseite als Lesetipp empfohlen. Es wäre prima, wenn er aktualisiert wäre oder zumindest ein Link zu einem aktuellen Beitrag ergänzt worden wäre.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.