Handlungsempfehlungen zu anstehenden Datenschutzprüfungen nach dem EuGH Urteil zu Safe Harbor

19. Januar 2016

Mit dem Titel

Anstehende Datenschutzprüfungen durch Aufsichtsbehörden nach EuGH-Urteil vom 06.10.2015 zu „Safe Harbor“ und aktuelle Handlungsempfehlungen

ist ein Beitrag von RA David Seiler in der Zeitschrift Juris Praxisreport Bank- und Kapitalmarktrecht erschienen: juris-PR-BKR 1/2016, Anm. 1

Dargestellt wird, dass es nach der Ungültigkeitsentscheidung des EuGH zu Safe Harbor keine Übergangsfrist gibt, die Art. 29 Arbeitsgruppe gleichwohl der EU-Kommission eine Verhandlungsfrist bis Ende Januar für ein neues Safe Harbor-Abkommen gesetzt hat und die sich daraus ergebenden praktischen Probleme. Weiter wird auf die aktuell unterschiedlichen Positionspapiere der Datenschutzaufsichtsbehörden eingegangen und die Ergebnisse der ersten Datenschutzprüfung durch die Aufsicht in Rheinland-Pfalz vorgestellt. Daraus werden dann Handlungsempfehlungen abgeleitet.

Anfrage an die Bundesregierung zu Datenschutzrecht und Safe Harbor

Als Update, welches in den Beitrag nicht mehr eingearbeitet werden konnte, sei auf die Antwort der Bundesregierung zu einer kleinen Anfrage zu den Auswirkungen der Safe Harbor-Entscheidung des Europäischen Gerichtshofes hingewiesen- BTDr. 18/7134 vom 21.12.2015. (siehe Bericht hierzu) Die Bundesregierung hält nach wie vor die EU-Standardvertragsklausel und verbindliche Unternehmensregelungen (Binding Corportate Rules) für mögliche alternative Rechtsgrundlagen.

Hierzu ist anzumerken, dass die Bundesregierung den Datenschutzaufsichtsbehörden gegenüber nicht weisungsbefugt ist, so dass diese in ihrer Unabhängigkeit nicht an diese Ansicht gebunden sind. Die sich aus der von den Aufsichtsbehörden geäußerten gegenteiligen Auffassung lässt also die Rechtsunsicherheit für betroffene Unternehmen weiter bestehen und die Gefahr von Sanktionen besteht weiterhin.

Erfreulich klar und mit zutreffender Begründung unter Verweis auf § 4c Abs. 1 S. 1 Nr. 1 BDSG stellt die Bundesregierung klar (Ziff. 13 der Antwort), dass weiterhin Einwilligungen der Betroffenen einen zulässige Rechtsgrundlage für Datenübermittlungen in unsichere Drittstaaten, z.B. in die USA, sind.

Der Bundesregierung ist die Entscheidung des New Yorker Bezirksgericht vom Mai 2014 bekannt (Ziff. 13 u. 14 der Antwort), welches Microsoft dazu verurteilt hat in Irland gespeicherte E-Mail-Inhaltsdaten (Hotmail) an US-Sicherheitsbehörden herauszugeben. (U.S. search warrant can acquire foreign cloud, email data, judge rules) Da kein europäisches Unternehmen einem US-Unternehmen oder auch nur einer Tochtergesellschaft eines US-Unternehmens in Europa vor dem Hintergrund dieser Entscheidung guten Gewissens Daten anvertrauen kann, wehrt sich Microsoft gegen dieses Urteil vor Gericht in den USA und bekommt dabei öffentliche Unterstützung von AT&T Inc , Apple Inc, Cisco Systems Inc and Verizon Communications. Die Bundesregierung sieht vor dem Hintergrund dieser Rechtsprechung jedoch keinen Grund zu handeln, sondern will die Entscheidung des Gerichtsverfahrens in den USA abwarten. Diese US-Entscheidung hatte Einfluss auf die Verhandlungen zur EU-Datenschutzgrundverordnung, wonach Unternehmen, die in der EU niedergelassen sind, sich an EU-Datenschutzrecht zu halten haben, auch wenn ihr Hauptsitz in einem Drittstaat ist.

Obwohl der EuGH in seinem Safe Harbor Urteil angemerkt hat, dass die nationalen Datenschutzaufsichtsbehörden ein eigenes Klagerecht gegen Entscheidungen der EU-Kommission haben sollten, wird die Bundesregierung dieses Thema in den nächsten zwei Jahren nicht aufgreifen (und erst nach Inkrafttreten der EU-DSGVO prüfen).

Das SWIFT-Abkommen (Zahlungsverkehr) und das Fluggastdatenabkommen sieht die Bundesregierung von der EuGH-Entscheidung nicht betroffen, da in diesen beiden Abkomme Klagerecht für die EU-Bürger enthalten seien. Diese Antwort übersieht jedoch den anderen wichtigen Grund, weshalb der EuGH die Safe Harbor Entscheidung für ungültig erklärt hat: die anlasslose Massenüberwachung durch US-Geheimdienste verletzt die Datenschutzgrundrechte der davon betroffenen EU-Bürger. Und diese Überwachung macht vor den Bank- und Passagierdaten nicht halt.

Verhandlungsstand zu Safe Harbor 2.0

Update: Presseberichten ist zu entnehmen, dass zwar die Wirtschafts- und Industrieverbände auf beiden Seite des Atlantiks sich intensiv für eine fristgerechte Neuverhandlung der Safe Harbor Regelungen bis Ende Januar einsetzen und vor den Folgen eines Scheiterns warnen (siehe offenen Brief vom 15.01.2016 an die Präsidenten Obama (USA), Juncker (EU-Kommission) und Tusk (EU-Rat)).

Europäische und US-Wirtschafts- und Industrieverbände haben an die Präsidenten der USA, der Europäischen Kommission und des EU-Rates einen offenen Brief vom 15.0.1.2016 verfasst, in dem sie eine erfolgreiche Neuverhandlung der Safe Harbor-Regelungen bis Ende Januar 2016 fordern. Sie weise auf die enorme wirtschaftliche Bedeutung des transatlantischen Datenaustauschs hin und sehen diesen durch die EuGH-Entscheidung zu Safe Harbor gefährdet. Sie weisen auch auf die Bedeutung dieser Entscheidung für die alternativen Rechtsgrundlagen, die EU-Standardvertragsklauseln und Binding Corportate Rules, hin.

Jedoch scheinen die Verhandlungen dennoch zu stocken und eine längere Hängepartie mit entsprechender Rechtsunsicherheit und drohenden Bußgeldverfahren durch die Datenschutzaufsichtsbehörden ist nicht unwahrscheinlich.

Bei Fragen zum Datenschutzrecht steht Ihnen Rechtsanwalt David Seiler gerne zur Verfügung.

Über Datenschutzrecht Health Care:

Gerade durch die Digitalisierung des Gesundheitswesens ist neben dem Arztgeheimnis des § 203 StGB und der standrechtliches ärztlichen Schweigepflicht (MBOÄ) auch das Datenschutzrecht von erheblicher praktischer Bedeutung wie zahlreiche Erwähnungen in den Tätigkeitsberichten der Landesdatenschutzaufsichsbehörden aber auch Presseberichten (z.B. in der Zeitschrift Test über „Plaudertaschen in Arztpraxen“) zeigen. Der Blog will hier sensibilisieren und informieren.