Safe Harbor – Empfehlungen für die Vertragsgestaltung mit amerikanischen Dienstleistern

Der Europäische Gerichtshof (EuGH) hat am 06. Oktober 2015 die Angemessenheitsentscheidung der Europäischen Kommission aus dem Jahre 2000 in Bezug auf die Übermittlung von personenbezogenen Daten von EU/EWR-Unternehmen an US-Organisationen, die sich einer Selbstzertifizierung nach den Safe Harbor-Prinzipien unterworfen hatten, für unzulässig erklärt.

Die Datenschutzfachverbände GDD e.V. und BvD haben dazu ihre Stellungnahmen veröffentlicht.

Auszug GDD:
„… In der Zwischenzeit wird jeglicher Datenexport in die Vereinigten Staaten in Frage gestellt. Dementsprechend prüfen hiesige Aufsichtsbehörden ob und inwieweit Datentransfers in die USA, die auf andere Rechtsgrundlagen wie Standardvertragsklauseln, Einwilligung oder Binding Corporate Rules gestützt werden, auszusetzen sind. Diesbezüglich ist jedoch festzuhalten, dass die Entscheidung des EuGH an die Vorlagefragen des irischen High Courts gebunden ist und insoweit andere Instrumente für den Datenexport in ein unsicheres Drittland nicht für unzulässig erklärt hat. Demnach können hiesige Datenverarbeiter mit transatlantischen Beziehungen formal gesehen weiterhin auf alternative Maßnahmen wie Standardvertragsklauseln, Binding Corporate Rules oder die informierte Einwilligung des Betroffenen setzen. Hierbei ist zu erwägen, ob ein Datenexport durch zusätzliche technische Maßnahmen, so über eine Verschlüsselung, abgesichert werden kann.“
Stellungnahme des Datenschutzfachverbands GDD e.V.

Auszug BVD:
„… Die Safe Harbor-Principles sind keine tragfähige Grundlage mehr für den grenzüber-schreitenden Datenverkehr. Eine schnell umzusetzende Alternative ist der Abschluss ei-nes sog. EU-Standardvertrags. Gleichwohl bedarf dieser der Erstellung und der Beach-tung einiger Vorgaben. Vorteilhaft ist, dass dieser EU-Standardvertrag – anders als Bin-ding Corporate Rules oder Individualverträge – nicht der zuständigen Aufsichtsbehörde zur Genehmigung vorgelegt werden oder angezeigt werden müssen. In einigen EU-Mitgliedstaaten bestehen auch insoweit Anzeige- bzw. Genehmigungspflichten.“
Stellungnahme des Datenschutzfachverbands BVD e.V.

BfDI
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Andrea Voßhoff teilte am 06.10.2015 mit: „Die BfDI wird das Urteil in den kommenden Tagen gründlich auswerten und bei einem Treffen mit den europäischen Kolleginnen und Kollegen in Brüssel die Konsequenzen aus dem Urteil beraten und das weitere Vorgehen abstimmen.“
Information der BfDI zu Safe Harbor

Empfehlungen zur Vertragsgestaltung:
Die Rechtsgrundlage für Datenübermittlungen an US-Organisationen auf Basis der Safe-Habor-Principles ist entfallen. Aufgrund dessen, dass Unklarheit darüber besteht, ob Verträge nach EU-Standardvertragsklauseln oder Konzernverträge (Binding Corporate Rules) als Alternative einzusetzen sind, empfehlen wir zum aktuellen Zeitpunkt die angekündigten Stellungnahmen der Aufsichtsbehörden abzuwarten.