Suchen

Datenübermittlung in die USA

Alternativen zum Safe-Harbor-Prinzip

Seite: 2/2

Firma zum Thema

Datenschutzabkommen auf Unternehmensebene

Die zweite Möglichkeit sind Individualverträge: Wenn Unternehmen individuelle Verträge für die Datentransfers in die USA aushandeln, müssen sie als verantwortliche Stelle für den Datenschutz dafür Sorge tragen, dass der Vertrag ausreichende Garantien für die Persönlichkeitsrechte der von der Übermittlung betroffenen Personen gewährleistet.

Welche Vorgaben hier konkret zu beachten sind, haben http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DSBundLaender/89DSK-SafeHarbor.html?nn=5217228 zusammengestellt, in der sie auf die Problematik von Safe-Harbor erneut hingewiesen hatten. Die zuständige Datenschutzaufsicht prüft das Vertragswerk entsprechend.

Die dritte Möglichkeit sind die sogenannten Binding Corporate Rules (BCR). Die Übersetzung „Verbindliche Konzernregelung zum Datenschutz“ zeigt bereits, dass sich diese denkbare Alternative für die meisten Unternehmen in Deutschland gar nicht eignet, denn mit BCR wird ein Datenschutzrahmen für internationale Konzerne vereinbart, damit diese konzernintern grenzüberschreitend Daten austauschen können.

Datenübermittlungen auf Basis von BCRs erfordern grundsätzlich der Prüfung und Genehmigung der zuständigen Datenschutzaufsicht. Dabei erfolgen die Prüfungen auf Basis der zu übermittelnden Datenkategorien, Einzelfallprüfungen müssen zusätzlich im Konzern erfolgen.

Doch selbst die für die meisten Unternehmen prinzipiell möglichen Individualverträge haben ihren Haken. Zum einen müssen sich viele Unternehmen erst einmal Rechtsbeistand beschaffen, um ein entsprechendes Vertragswerk aufsetzen zu können. Zum anderen ist es fraglich, ob nicht auch die Individualverträge und die zuvor genannten BCR das Schicksal von Safe-Harbor teilen.

Johannes Caspar, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit, weiß um die Fallstricke: „Es ist zu prüfen, ob und inwieweit Datentransfers in die USA auszusetzen sind. Dies gilt auch, wenn sie auf andere Rechtsgrundlagen wie Standardvertragsklauseln, Einwilligung oder Binding Corporate Rules gestützt werden.“

Nach Safe-Harbor: Wie es nun weitergeht

Die Grundfrage ist nun, wie es rechtlich, technisch und organisatorisch sichergestellt werden kann, dass die Voraussetzungen für Datenübermittlungen in Drittstaaten und damit insbesondere das angemessene Schutzniveau für die personenbezogenen Daten gewährleistet sind. Die EU-Kommission will nun die Verhandlungen mit den USA fortsetzen und den nationalen Datenschutzbehörden Empfehlungen für einheitliche Prüfungsgrundlagen geben, wenn Datenübermittlungen in die USA zu genehmigen sind.

Die deutsche Bundeskanzlerin erwartet von der EU jetzt schnellstmöglich die Schaffung von Rechtssicherheit. Das US-Department auf Commerce setzt die Safe-Harbor-Liste fort, US-Unternehmen können sich dort weiterhin eintragen lassen, verweist aber auch auf das EuGH-Urteil. Die sogenannte Artikel-29-Datenschutzgruppe der EU, in der unter anderem Vertreter der nationalen Datenschutzbehörden sind, stimmt sich über die Konsequenzen des EuGH-Urteils ab und wird dann auch die Alternativen zu Safe-Harbor bewerten.

Welche Alternativen letztlich Safe-Harbor ersetzen oder ob sich ein neues Safe-Harbor-Prinzip finden lässt, ist nun Gegenstand behördlicher Prüfungen und politischer Verhandlungen. Unternehmen sollten die Entwicklung weiter verfolgen und bei aller rechtlichen Diskussion die Maßnahmen der Datensicherheit für Datenübermittlungen nicht vergessen, die in jedem Fall erforderlich sind.

(ID:43653350)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research