Safe-Harbor-Abkommen unwirksam

von Dr. Thomas Lapp, veröffentlicht am 06.10.2015

Der Europäische Gerichtshof ist heute dem Votum des Generalsanwalts gefolgt und hat das Safe-Harbor-Abkommen zwischen den USA und der EU für unwirksam erklärt.
Die Übertragung personenbezogener Daten aus der EU in Drittstaaten ist nur zulässig, wenn dort ein vergleichbares Datenschutzniveau gewährleistet ist. Mit dem Safe-Harbor-Abkommen wurden Grundsätze geregelt, bei deren Anwendung auch die Übertragung personenbezogener Daten an ein Unternehmen in den USA zulässig sein konnte, wenn dieses Unternehmen sich gegenüber dem Handelsministerium zur Einhaltung verpflichtete. Spätestens mit der Veröffentlichung der Praxis der Geheimdienste durch Snowden wurde erhebliche Kritik an diesem Abkommen erhoben. Insbesondere deutsche Datenschutzbehörden haben erhebliche Bedenken geäußert. Zweifelhaft war, ob die nationalen Datenschutzbehörden berechtigt sein, die Entscheidung der EU-Kommission eigenständig zu prüfen.
Der EUGH hat sich nun der Auffassung des Generalsanwalts angeschlossen, wonach die EU-Kommission eine eigene Beurteilung durch die nationalen Datenschutzbehörden nicht ausschließen durfte. Auch inhaltlich ist der EuGH der Linie des Generalsanwalts gefolgt und hat das Abkommen für unwirksam erklärt. Die Konsequenzen, insbesondere für Unternehmen, sind erheblich.

Unternehmen, welche Datenübertragungen personenbezogener Daten mit Unternehmen in den USA auf Basis des Safe-Harbor-Abkommens vereinbart haben, müssen ihre Verträge auf neue Grundlagen stellen, gegebenenfalls die Zusammenarbeit mit dem amerikanischen Unternehmen beenden. Betroffen ist eine Vielzahl von Unternehmen, die heute Cloud-Angebote amerikanischer Anbieter nutzen und dabei personenbezogene Daten in die USA transferieren bzw. dort speichern und verarbeiten.
Die EU-Kommission wird ihre Verhandlungen mit den USA über ein neues Abkommen verstärken. Ob es möglich ist mit den USA Vereinbarungen zu treffen, die den europäischen Datenschutzstandards tatsächlich entsprechen, wird sich zeigen. Amerikanische Unternehmen werden versuchen, verstärkt europäische Rechenzentren aufzubauen. Allerdings dürfte auch hier die Gefahr des Zugriffs der amerikanischen Geheimdienste bestehen, da amerikanische Behörden nach wie vor die Rechtsauffassung haben, auf Daten der europäischen Tochtergesellschaften zugreifen zu dürfen. Europäische Unternehmen werden sich daher überlegen müssen, ob sie nicht rein europäische Lösung bevorzugen.

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

11 Kommentare

Kommentare als Feed abonnieren

Vielen Dank. Die Entscheidung hat weitgehende Auswirkungen über Safe Harbor hinaus, da dieselben Argumente des Gerichts auch gegen die anderen Compliance Methoden, wie Model Clauses, BCR geltend gemacht werden können. Damit wird der internationale Datenfluss aus der EU, an dem auch und gerade die in der EU ansässigen Unternehmen ein großes Interesse haben,  natürlich nicht aufgehalten. Auf die Reaktion der Datenschutzbehörden /EU Kommission darf man gespannt sein.

Hier die Stellungnahme der EU Kommission zum Urteil:

 

First Vice-President Timmermans and Commissioner Jourová 's press conference on Safe Harbour following the Court ruling in case C-362/14 (Schrems)

Strasbourg, 6 October 2015

Speaking points of First Vice-President Timmermans and Commissioner Jourová First Vice-President Timmermans and Commissioner Jourová 's press conference on Safe Harbour following the Court ruling in case C-362/14 (Schrems)

First Vice-President Frans Timmermans :

Today's judgment by the Court is an important step towards upholding Europeans' fundamental rights to data protection.

The Court confirms the need of having robust data protection safeguards in place before transferring citizens' data.

I see this as a confirmation of the European Commission's approach for the renegotiation of the Safe Harbour.

We have already been working with the American authorities to make data transfers safer for European citizens.

In the light of the ruling, we will continue this work towards a renewed and safe framework for the transfer of personal data across the Atlantic.

In the meantime, transatlantic data flows between companies can continue using other mechanisms for international transfers of personal data available under EU data protection law.

Our priorities as Commission are now:

  • the protection of personal data transferred across the Atlantic;
  • the continuation of transatlantic data flows, which are important for our economy, with adequate safeguards;
  • and the uniform application of EU law in the internal market.

We will come forward with clear guidance for national data protection authorities on how to deal with data transfer requests to the U.S., in the light of the ruling.

As citizens need robust safeguards and businesses need legal certainty; the guidance should help avoiding a patchwork of potentially contradicting decisions by the national data protection authorities and therefore provide predictability for citizens and businesses alike.

We will work closely with national data protection authorities, which are responsible for the enforcement of data protection law in our Member States.

They will meet in the coming days to discuss all of this.

I will let Vera talk you through the steps we have taken so far, and what we are planning to do next.

 

Commissioner Vera Jourová:

As Frans Timmermans just said, we have three priorities :

-         First, we have to guarantee that EU citizens' data are protected by sufficient safeguards when they are transferred.

-         Then, it is important that transatlantic data flows can continue, as they are the backbone of our economy.

-         Finally, we will work together with the national Data protection authorities to ensure a coordinated response on alternative ways to transfer data. This is important for European businesses.

We will also continue our discussions with the US. Let me remind you that following the Snowden revelations in 2013, the Commission had identified the shortcomings of the Safe Harbour arrangement and had made 13 concrete recommendations on how to make the Safe Harbour safer. This has been acknowledged by the Court ruling.

Since 2013, we've been working relentlessly with the American authorities to revise the Safe Harbour. And we have made important progress that we can now build on in light of the judgment. Our aim is to step up discussions with the US towards a renewed and safe framework for the transfer of personal data across the Atlantic.

Now, you'll ask me how data flows can continue without the Safe Harbour in the meantime.

The EU data protection rules provide for several other mechanisms that provide safeguards for international transfers of personal data, for instance through standard data protection clauses in contracts between companies exchanging data across the Atlantic or binding corporate rules for transfers within a corporate group.

Also the Data protection rules include derogations under which data can be transferred on the basis of:

  • performance of a contract [e.g. If you book a hotel in the U.S., my personal data are transferred there in order to fulfil the contract];
  • Important public interest grounds [e.g. cooperation between authorities in the fight against fraud, cartels, etc.];
  • The vital interest of the data subject [e.g. it means in urgent life or death situations, personal data such as medical records can be transferred internationally in the person's own interest]; or
  • Or if there is no other ground, the free and informed consent of the individual.

 

The Commission will work closely with the Data Protection Authorities. I have already spoken to the Chair of the "Article 29 working party" (gathering the national Data Protection Authorities) earlier today.

We agreed on the need to avoid fragmentation and ensure a coordinated European approach in the Internal Market. The Commission will also look into what it can to offer assistance and help to business who are looking for answers on how to facilitate data transfers in light of the judgement. We will put relevant information and contact points on our website.

And we will be in contact with our counterparts in the US to discuss next steps in light of the judgement.

Let me also shortly touch upon two other files that are often mentioned in the context of this ruling today: the EU Data Protection Reform and the EU-US Umbrella Agreement for the law enforcement sector.

Both are well on track and we will be able to finalize them this year. In fact the Court confirms the importance of strong data protection safeguards once more today and this is exactly the aim of the Commission's reforms that are on the table.

One example on the Data Protection Reform: the reform aims to strengthen the powers of national data protection authorities, which have an essential role in upholding individuals' rights to data protection. This is fully in line with today's ruling.

The Umbrella agreement is something different than Safe Harbour. It does not itself enable data transfers. Rather, it sets high data protection standards in the area of police and criminal justice cooperation. The Umbrella agreement will improve the protection of personal data of Europeans in the U.S. as it will make sure that citizens will have recourse to judicial redress possibilities in the U.S. in case of privacy breaches, once the US Congress has adopted the respective draft Bill.

To conclude, let me underline once more: The Commission remains fully committed to data transfers across the Atlantic whilst ensuring robust data protection safeguards for citizens and legal clarity for businesses. Thank you.

Die Article 29 Arbeitsgruppe wird sich wohl auch zu den Konsequenzen der Entscheidung äußern.  In der MMR und der ZD wird es natürlich schnellstmöglich Urteilsanmerkungen ud Analysen geben.

Wenn ich vorbildliche Rechtsprechung und richtiges Recht sehen will, richtet sich mein Blick von Mal zu Mal mehr und mehr quasi automatisch nach Luxemburg. Deutsche Gerichte wirken dagegen vielfach altbacken, regressiv und solipsistisch.

0

Eine ersten Stellungnahme des Hamburger Datenschutzbeauftragten deutet darauf hin, dass diese Behörde durchaus auch die Instrumente Standardvertragsklauseln und BCR auf den Prüfstand stellen will. Zitat: „Es ist zu prüfen, ob und inwieweit Datentransfers in die USA auszusetzen sind. Dies gilt auch, wenn sie auf andere Rechtsgrundlagen wie Standardvertragsklauseln, Einwilligung oder Binding Corporate Rules gestützt werden.“

https://www.datenschutz-hamburg.de/news/detail/article/eugh-kippt-transatlantisches-safe-harbor-abkommen.html?tx_ttnews%5BbackPid%5D=1&cHash=94d5b65d21da5a3c065c2b6e556ce3e1

 

Kommentar hinzufügen