Safe Harbor – Positionspapier der DSK
Die Datenschutzkonferenz der Datenschutzbeauftragten des Bundes- und der Länder („DSK“) haben im Nachgang zur Stellungnahme der europäischen Datenschutzbeauftragten („Artikel-29-Datenschutzgruppe“) am 26.10.2015 in einem Positionspapier ihre Auffassung zum Safe-Harbor-Urteil des EuGH vom 06.10.2015 und dessen Auswirkung auf die Wirtschaftsbeziehungen zu den USA und anderen Drittländern dargelegt.
Die Datenschutzkonferenz der Datenschutzbeauftragten des Bundes- und der Länder (DSK) ist ein Gremium auf nationaler Ebene, in dem die Bundesdatenschutzbeauftragte und alle 16 Datenschutzbeauftragten der Länder zusammengeschlossen sind.
Positionspapier der deutschen Aufsichtsbehörden am 26.10.2015 veröffentlicht
Die deutschen Aufsichtsbehörden stellen in ihrem am 26.10.2015 veröffentlichtem Positionspapier fest, dass sie die EU-Standardvertragsklauseln und die Binding Corporate Rules (BCR) zwar in Frage gestellt sehen, folgen aber nicht der Meinung der schleswig-holsteinischen Datenschutzbehörde (ULD), wonach diese Rechtsinstrumente gänzlich ungültig sind. Die DSK begrüßt das von der Artikel-29-Datenschutzgruppe gestellte Ultimatum, wonach die Entscheidung zur Rechtswirksamkeit der alternativen Rechtsinstrumente bis Ende Januar 2016 vertagt wurde.
Die deutschen Aufsichtsbehörden fordern sofortige Anpassung von betroffenen Verträgen
Die deutschen Aufsichtsbehörden weisen des Weiteren darauf hin, dass sie ab sofort keine neuen Genehmigungen für BCR oder Datenexportverträge für eine Datenübermittlung in die USA mehr erteilen werden. Das bedeutet, dass für deutsche Unternehmen gegenwärtig der Datenexport nur auf der Basis des Abschlusses von EU-Standardverträgen oder der informierten Einwilligung der Betroffenen erfolgen kann. Allerdings wird auch ein sehr enger Rahmen für die Einwilligung durch den Betroffenen abgesteckt: Eine Einwilligung kann nur dann als rechtliche Grundlage herangezogen werden, wenn es sich nicht um einen wiederholten, massenhaften oder routinemäßigen Datentransfer handelt. Für Beschäftigtendaten wird auch explizit darauf hingewiesen, dass die „Einwilligung nur in Ausnahmefällen eine zulässige Grundlage für eine Datenübermittlung in die USA sein“ kann.
Die deutschen Aufsichtsbehörden fordern die Unternehmen auf, unverzüglich ihre Verfahren, in denen Datentransfers in die USA enthalten sind, zu überprüfen und datenschutzkonforme Verträge abzuschließen. Die DSK macht deutlich, dass an die Vertragsgestaltung höhere Anforderungen als bisher zu stellen sind. Sie weist darauf hin, dass die Entschließung der DSK vom 27.03.2014 „Gewährleistung der Menschenrechte bei der elektronischen Kommunikation“ und die Orientierungshilfe „Cloud Computing“ vom 09.10.2014 zu berücksichtigen sind.
Ultimatum zur Klärung der Rechtswirksamkeit der aktuell noch gültigen Instrumente „EU-Standardvertrag“ und bestehende „BCR“
Zur Klärung der strittigen Frage, ob die Rechtsinstrumente „EU-Standardvertragsklauseln“ und bereits bestehende Datenschutzverträge gemäß BCR ab Febr. 2016 Rechtsgültigkeit behalten, forderten die deutschen Aufsichtsbehörden in ihrem Positionspapier die Europäische Kommission auf, in ihren Verhandlungen mit den USA hinreichende Garantien zum Schutz der Privatsphäre zu schaffen, basierend auf dem Grundsatz der Verhältnismäßigkeit und einem gerichtlichen Rechtsschutz in den USA.
Darüber hinaus soll auch die Bundesregierung diese Forderung in bilateralen Verhandlungen
mit den USA voranbringen. Bezüglich der Trilog-Verhandlungen zwischen Kommission, Rat und Parlament zur europäischen Datenschutz-Grundverordnung fordert die DSK die Aufnahme der strengen Regeln des EuGH-Urteils in Kapitel V.
Quellen:
Positionspapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz)