Seit dem Fall von „Safe-Harbor“ am 6. Oktober 2015 durch das Urteil des Europäischen Gerichtshofs (EuGH) im Rechtsstreit Maximilian Schrems gegen den irischen Datenschutzbeauftragten müssen transatlantische Datentransfers von der Datenschutzbehörde genehmigt werden, sofern nicht ein anderer Tatbestand vorliegt, der solche Datentransfers ohne Genehmigung gestattet. Eine solche Genehmigung erteilt die Datenschutzbehörde aber nur, wenn ein angemessener Schutz im konkreten Fall gewährleistet ist.
Am 2. Februar 2016 wurde bekanntgegeben, dass sich die EU-Kommission und die US-Regierung auf ein Nachfolge – Modell, den sogenannten „Privacy Shield“ geeinigt hätten. Auch wenn Verbesserungen zum alten Regelwerk vorliegen, sind Zweifel angebracht, ob der „Privacy Shield“ alle Anforderungen aus dem EuGH-Urteil erfüllen wird.
Experten empfehlen daher, ungeachtet des „Privacy Shields“ den Datentransfer auf die Verwendung von anderen, sichereren Rechtsgrundlagen zu stützen.
Unternehmen, die Daten in die USA transferieren wollen, ist daher zu raten, auf den Abschluss von Standardvertragsklauseln der EU (2001/497/EG, 2004/915/EG, 2010/87/EG) oder das Unterwerfen unter sogenannte Binding Corporate Rules (BCR) zu setzen.
Die Kommission stellt grundsätzlich zwei Versionen von Standardvertragsklauseln zur Verfügung:
- eine für die Datenübermittlung an datenschutzrechtliche Auftraggeber [SKl] und
- eine für die Datenüberlassung an datenschutzrechtliche Dienstleister und Subdienstleister [ASKI].
Diese SKl und ASKl sind bei der Datenschutzbehörde genehmigen zu lassen und können in weiterer Folge als Grundlage für den Datentransfer herangezogen werden. Bei Änderung der Gegebenheiten sind die Klauseln neu abzuschließen. Durch den Abschluss von EU-Standardvertragsklauseln wird die Einhaltung des vom EU-Recht geforderten Sicherheitsniveaus am ehesten gewährleistet.
Für multinationale Unternehmen besteht bei Datenübermittlungen oder –überlassungen an Konzerngesellschaften, die sich in Ländern ohne adäquatem Schutzniveau befinden, die Möglichkeit, unternehmensintern verbindliche Datenschutzregelungen (BCR) zu erstellen und einmal genehmigen zu lassen.
Problematisch erscheint, dass ein Genehmigungsvorgang bis zu sechs Monate in Anspruch nehmen kann und erst bei Vorliegen der Genehmigung mit dem Datentransfer begonnen werden darf. Ob Standardvertragsklauseln oder BCR daher tatsächlich praktikable Alternativen sind, darf bezweifelt werden. Dennoch stellen diese – selbst nach Wirksamwerden des „Privacy Shields“ – die sicherste Rechtsgrundlage für einen Transfer von Daten in die USA dar.
ps: Lesen Sie auch „Safe-Harbor“ und die Nachfolgeregelung „Privacy Shield“
Katharina Raabe-Stuppnig & Franz Lippe
Mag. Katharina Raabe-Stuppnig und Mag. (FH) Mag. Franz Lippe LL.M., beide Rechtsanwälte bei Lansky, Ganzger und partner Rechtsanwälte GmbH
