Safe-Harbor-Regelungen unzulässig – Was nun?

Seitdem die Große Kammer des Europäischen Gerichtshofs (EuGH) mit Urteil vom 6. Oktober 2015 das Safe-Harbor-Abkommen vom 26.07.2000 für ungültig erklärt hat, sind viele Fragen, den Datentransfer ins Ausland – im Besonderen die USA betreffend – aufgeworfen worden.

Der Datentransfer in Länder ohne angemessenes Datenschutzniveau konnte bisher auf Grundlage der Safe-Harbor-Regelungen, der EU-Standardvertragsklauseln oder verbindlicher Unternehmensregelungen (Binding Corporate Rules = BCR) erfolgen. Letztere müssen individuell mit der zuständigen Aufsichtsbehörde abgestimmt werden.

Die Artikel-29-Datenschutzgruppe, die durch Artikel 29 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates eingesetzt wurde, hat eine Frist zum 31. Januar 2016 gesetzt. Bis zu dieser Frist soll eine angemessene Lösung im Zusammenhang mit den US-amerikanischen Behörden gefunden werden.

Was ist zu tun für Unternehmen?

  • Prüfen Sie, ob beauftragte Dienstleister bzw. ggf. von diesen in Anspruch genommene Unterauftragnehmer sich auf Safe-Harbor-Reglungen berufen. Diese Regelungen reichen nicht mehr aus, um den Datentransfer in die USA zu legitimieren.
  • Verfolgen Sie die Presse hinsichtlich des Abschlusses eines neuen Abkommens mit den USA zum Datentransfer (voraussichtlich Januar 2016).
  • Kontaktieren Sie Ihren Datenschutzbeauftragten, der Sie in dieser Frage unterstützen kann.