Rechtstipp

Datentransfers in die USA: EuGH kippt Safe-Harbor-Abkommen

Der EuGH erklärte das "US-EU Safe Harbor Agreement" für ungültig. Lesen Sie hier, was das für Unternehmen bedeutet.

Der EuGH hat am 6.10.2015 für einen Paukenschlag im europäischen Datenschutzrecht gesorgt.
In der Rs Schrems ./. Data Protection Commissioner (EuGH C-362/14) erklärte der EuGH, dass nationale Datenschutzbehörden unabhängig das angemessene Datenschutzniveau eines Drittstaates prüfen können, und erklärte das "US-EU Safe Harbor Agreement" – das potenziell die Rechtsgrundlage für Datentransfer von Europa an über 4.500 US-Unternehmen bildet – für ungültig.

Für die Übertragung von personenbezogenen Daten in Staaten außerhalb des EWR ist nach österreichischem Datenschutzrecht grundsätzlich eine Vorabgenehmigung durch die Datenschutzbehörde (DSB) notwendig. Durch Verordnung kann festgestellt werden, ob das Datenschutzniveau in einem Drittstaat angemessen ist (derzeit u. a. in der Schweiz oder Argentinien). Den USA wird in der aktuellen Verordnung kein angemessenes Datenschutzniveau bescheinigt. Es wird jedoch auf das "US-EU Safe Harbor Agreement" verwiesen: Die Europäische Kommission hat in einer Entscheidung (2000/520) Datentransfers an US-Unternehmen als zulässig erachtet, wenn sich diese im Wege einer Selbst-Zertifizierung den Safe-Harbor-Grundsätzen unterwerfen. Dies führte dazu, dass die Zulässigkeit von Datentransfers an diese Unternehmen keiner weiteren Prüfung durch nationale Datenschutzbehörden unterlag.

In der Praxis kommt es insbesondere dann zu Datentransfers in die USA, wenn eine Gesellschaft einem US-Konzern angehört. Zudem speichern Unternehmen häufig Daten auf Servern oder Clouds in den USA oder nutzen andere IT-Systeme, deren Verarbeitung in den USA stattfindet. Anders als in anderen europäischen Ländern bedeutet der Wegfall des "US-EU Safe Harbor Agreements" für österreichische Unternehmen, dass alle Datentransfers in die USA vorab einem Genehmigungsverfahren der DSB unterzogen werden müssen. Dies gilt auch dann, wenn das Unternehmen den Transfer künftig auf Binding Corporate Rules oder die EU-Standardvertragsklauseln stützen will. Da die Erteilung der Genehmigung durch die DSB vor Aufnahme der Datentransfers abzuwarten ist, kann dies zu beträchtlichen Verzögerungen führen.

White Paper zum Thema

Von der Genehmigungspflicht bestehen nur wenige, weiter anwendbare Ausnahmen: So befreit die Einholung der Zustimmung der Betroffenen von der Verpflichtung, das Genehmigungsverfahren einzuhalten. Die Kriterien der DSB an eine gültige Zustimmung sind allerdings streng; sie muss insbesondere vom Betroffenen jederzeit widerrufen werden können, womit Zustimmungserklärungen keine dauerhafte Rechtssicherheit bieten. Zu beachten ist zudem, dass die DSB in bestimmten Drucksituationen (z. B. bei Whistleblowing Hotlines) die Freiwilligkeit der Zustimmung anzweifelt. Ausgenommen von der Genehmigungspflicht sind zudem Datentransfers, denen ein Vertrag zugrunde liegt, der im eindeutigen Interesse des Betroffenen liegt und nicht anders erfüllt werden kann als durch die Weitergabe der Daten in die USA. Vereinzelte Ausnahmen finden sich auch in sogenannten Standardanwendungen.

Da die bestehenden Ausnahmetatbestände von der Genehmigungspflicht eng sind, müssen nun viele Unternehmen Genehmigungsverfahren einleiten, um weiterhin Daten in die USA übermitteln zu können. Es ist davon auszugehen, dass sich die Bearbeitungszeiten bei der DSB entsprechend verlängern werden. Da die Safe-Harbor-Regelung frist- und ersatzlos weggefallen ist, sind alle darauf basierenden Datentransfers bis auf Weiteres unzulässig und müssen sofort eingestellt werden.

Dr. Angelika Pallwein-Prettner ist Partnerin bei Binder Grösswang und auf Arbeits- und Datenschutzrecht spezialisiert.