INTERNET WORLD Business





Safe-Harbor-Nachfolger

[Ob das EU-US Privacy Shield Bestand haben wird, müssen die Gerichte entscheiden]

„Eins ist rechtlich sicher: die Datenverarbeitung innerhalb der EU“

Dr. Hajo Rauschhofer, Rauschhofer Rechtsanwälte, Wiesbaden www.rechtsanwalt.de

Über die rechtlichen Konsequenzen, die das Safe-Harbor-Urteil des EuGH und die dadurch bedingte Unzulässigkeit eines Datentransfers in die USA nach sich zieht, wurde viel geschrieben und diskutiert. Die Datenschutzbehörden hatten bis Ende Januar eine Schonfrist gewährt, in der die Rechtmäßigkeit eines Datentransfers von der EU in die USA nachgewiesen werden musste. Das wäre de facto nicht möglich gewesen.

Auf den ersten Blick grenzte es fast an ein Wunder: Kurz nach Ablauf dieser Schonfrist einigten sich die USA und die EU über eine neue Regelung, die die Rechtmäßigkeit des Datenaustauschs weiter sicherstellen soll – das EU-US Privacy Shield. Für Unternehmen bedeutet dies in der Praxis, dass ein Datenaustausch nicht unrechtmäßig ist, soweit die datenschutzrechtlichen Anforderungen eingehalten werden.

Der Vertragstext liegt zwar noch nicht vor, doch bekannt ist inzwischen, dass der EU ein Ombudsmann und auch gewisse Kontrollrechte eingeräumt werden, die USA aber weiter aus Gründen der nationalen Sicherheit eine Datenüberwachung durchführen können. Vor allem für die Kritiker des Abkommens liegt auf der Hand, dass für die US-Behörden mit dem Argument „nationale Sicherheit“ durchaus Raum für Maßnahmen besteht, die dem EuGH-Urteil widersprechen. Damit besteht – auch wenn das höchst spekulativ ist – zumindest mittelfristig das Risiko, dass auch das Privacy Shield durch ein EuGH-Urteil unwirksam wird. Aus rechtlicher Sicht haben jedoch Unternehmen, die auf den Datenaustausch mit US-Partnern angewiesen sind, zumindest Zeit gewonnen.

Quintessenz dieser Vereinbarung aus rechtlicher Sicht dürften nach meiner Ansicht zwei wesentliche Aspekte sein:

Es ist unklar, ob Unternehmen, die sich den Safe-Harbor-Prinzipien unterworfen haben, jetzt automatisch wieder als datenschutzrechtlich zulässige Datenempfänger gelten. Nach derzeitigem Wissensstand ist das eher unwahrscheinlich.

Wichtiger hingegen dürfte sein, dass die von vielen Unternehmen in ihren Verträgen mit US-Dienstleistern verwendeten EU-Standardvertragsklauseln vorerst weiter verwendet werden können. Dies gilt, solange das Abkommen wirksam ist und/oder die von den Datenschutzbehörden angekündigte Prüfung nicht zu einem ungenügenden Ergebnis führt. Bis dahin jedenfalls kann ein US-Vertragspartner wieder nach den EU-Klauseln bestätigen, dass er seines Wissens nach „keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisung des Datenexporteurs und die Einhaltung seiner vertraglichen Pflicht unmöglich“ machen.

Ob dieses Abkommen mittelfristig belastbar bleibt, wird spätestens durch den EuGH zu entscheiden sein. Für Unternehmen, die nicht zwingend auf US-Anbieter angewiesen sind, bietet sich als Chance die Option, ohne Zeitdruck und mit der Möglichkeit alternativer Verhandlungen den Übergang zu einem neuen Provider innerhalb der EU voranzutreiben, damit sie, wenn der Druck wieder wächst, nicht in eine ungünstige Verhandlungssituation kommen. Denn eines ist rechtlich sicher: die Datenverarbeitung innerhalb der EU. ❚

Weitere Bilder
comments powered by Disqus