Beitrag von Herrn Rechtsanwalt Dr. Sebastian Kraska (externer Datenschutzbeauftragter).

6.10.15 - Der EuGH kommt in seinem Urteil in der Rechtssache C-362/14 (Maximillian Schrems gegen die irische Datenschutz-Aufsichtsbehörde bzgl. der Datenübermittlung nach USA innerhalb des Facebook-Konzerns) nach Vorlage des irischen High Courts zu der Auffassung, dass das gegenwärtige Safe-Harbor-Abkommen kein aus europäischer Sicht angemessenes Datenschutz-Niveau bildet und die (in dem vorliegenden Fall irische) Datenschutz-Aufsichtsbehörde die rechtliche Befugnis hat, eine Datenübermittlung auf Basis des Safe-Harbor Abkommens zu untersagen.

Hintergrundinformationen

Gegenstand des Gerichtsverfahrens war im Kern die Rechtsfrage, ob den nationalen Datenschutz-Aufsichtsbehörden die Entscheidungsmöglichkeit zukommt, die Angemessenheit des Safe-Harbor Abkommens zu hinterfragen und entsprechend Datenübermittlungsvorgänge auf Basis von Safe-Harbor zu untersagen. Dies ist nach Ansicht des Gerichts der Fall. Ferner hält das Gericht das Safe-Harbor-Abkommen selbst für rechtswidrig. Damit steht das derzeitige Safe-Harbor Abkommen in der Praxis vor dem Aus. Es bleibt abzuwarten, ob sich die EU und die USA nun auf eine Aktualisierung des Abkommens einigen können. [Am Rande: Stellungnahme zu den Auswirkungen für das zwischen der Schweiz und den USA bestehende Safe-Harbor-Abkommen.]

Praktische Auswirkungen [laufend aktualisiert]

Dies heißt in der Praxis, dass die Übermittlung personenbezogener Daten rein auf Basis von Safe-Harbor in die USA unzulässig ist. Es ist derzeit fraglich, ob auch die Wirksamkeit von EU-Standardverträgen und „Binding-Corporate-Rules“ von der Entscheidung betroffen ist.

Die EU-Kommission selbst hält eine Verwendung der EU-Standardverträge weiter für zulässig und plant eine zeitnahe Neuverhandlung des Safe-Harbor-Abkommens mit den USA (Quelle).

Die europäischen Datenschutz-Aufsichtsbehörden richten in Form der Artikel 29-Gruppe angesichts der durch das Urteil des EuGH entstandenen Fragestellungen einen Appell an die Politik, klare Rahmenbedingungen zum Datenaustausch mit außereuropäischen Stellen zu schaffen (Quelle). Die deutschen Aufsichtsbehörden haben sich der Stellungnahme der Artikel 29-Gruppe im Wesentlichen angeschlossen (Quelle).

Die Aufsichtsbehörden werden dabei nach eigener Aussage bis zum 31. Januar 2016 Zurückhaltung bei der Umsetzung des EuGH-Urteils walten lassen, um Politik und Unternehmen einen angemessenen Handlungsspielraum zu belassen. Bis zu diesem Datum wird die Verwendung auch von EU-Standardverträgen noch für zulässig erachtet.

Pressemitteilung zum Urteil und Entscheidung im Volltext

In der begleitenden Pressemitteilung zu dem Urteil heißt es (Urteil im Volltext):

„Aus all diesen Gründen erklärt der Gerichtshof die Entscheidung der Kommission vom 26. Juli 2000 für ungültig. Dieses Urteil hat zur Folge, dass die irische Datenschutzbehörde die Beschwerde von Herrn Schrems mit aller gebotenen Sorgfalt prüfen und am Ende ihrer Untersuchung entscheiden muss, ob nach der Richtlinie die Übermittlung der Daten der europäischen Nutzer von Facebook in die Vereinigten Staaten auszusetzen ist, weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten bietet.“

Datenschutz-Kit
Das kostengerechte EU-DSGVO Komplettpaket für kleine Unternehmen.
zum Datenschutz Tool »
Compliance-Kit
Das umfassende Tool zur Bewältigung der EU-DSGVO in mittleren und großen Strukturen.
zur DSGVO Software »
eLearning-Plattform
Unter der EU-DSGVO sind Unternehmen verpflichtet, ihre Beschäftigten im Datenschutz regelmäßig zu schulen.
zum Datenschutz Seminar »
EU-Vertreter nach Artikel 27
Der Service für Unternehmen außerhalb der EU.
zum EU DSGVO Vertreter »
Externer Datenschutzbeauftragter
Umfassende Beratung im Bereich des betrieblichen Datenschutzes.
zum externen Datenschutzbeauftragten »

Bleiben Sie auf dem neuesten Stand

Sie möchten über Neuigkeiten im Bereich Datenschutz informiert bleiben?
Tragen Sie sich hier in unseren Datenschutz Newsletter ein.