Nachfolgeabkommen zu „Safe Harbour“ angekündigt: EU-US-Privacy-Shield

Erstellt von Mag Sylvia Unger |

Seit der EuGH das Abkommen zur Zulässigkeit des Datentransfers zwischen der EU und den USA („Safe-Harbour“-Abkommen) für ungültig erklärt hat (siehe näher: www.unger-rechtsanwaelte.at/aktuelles/detail/article/eugh_erklaert_das_abkommen_zur_zulaessigkeit_des_datentransfers_zwischen_der_eu_und_den_usa_safe.html, sind viele europäische Unternehmen gezwungen, auf Alternativen, wie zB Standardvertragsklauseln, auszuweichen, wollen sie den Datenaustausch mit US-Unternehmen beibehalten. Nun wurden erste Details des Nachfolgeabkommens „EU-US-Privacy-Shield“ bekannt.

 

Wie bereits berichtet, hat der EuGH das „Safe Harbour“-Abkommen im Oktober 2015 für ungültig erklärt.

Dieses Abkommen ermöglichte es europäischen Unternehmen auf legalem Weg Daten an US-Unternehmen zu transferieren. Einzige Voraussetzung war, dass das US-Unternehmen in die Liste der „Safe-Harbour“-zertifizierten Unternehmen eingetragen war. Für österreichische Unternehmen bedeutete dies, dass sie ohne Genehmigung der Datenschutzbehörde (DSB) Daten an US-Unternehmen übermitteln durften, solange diese auf der „Safe Harbour“-Liste standen.

Seit der Entscheidung des EuGH ist dies jedoch nicht mehr ohne weiteres möglich. Grundsätzlich ist für jede Datenübermittlung an US-Unternehmen eine Genehmigung der DSB einzuholen. Ausnahmen bestehen nur etwa bei Zustimmung des Betroffenen, dessen Daten in die USA übermittelt werden sollen oder im Anwendungsbereich von sogenannten Standardanwendungen. Eine Datenübermittlung an US-Unternehmen ohne Genehmigung der DSB oder außerhalb der Ausnahmebestimmungen ist mit Verwaltungsstrafe iHv bis zu EUR 10.000,00 bedroht.

Als Alternative bleibt den Unternehmen bislang entweder den Datenfluss mit den US-Unternehmen einzustellen und die Daten zukünftig innerhalb der EU zu verarbeiten oder eine Genehmigung der DSB unter Abschluss einer Standardvertragsklausel einzuholen. Diese Alternativen waren für viele Unternehmen unbefriedigend:
• Eine Umstellung auf Datenspeicherung innerhalb der EU ist meist mit einem hohen Aufwand verbunden und innerhalb von Konzernstrukturen mit US-Bezug oft nicht möglich, da Muttergesellschaften, die in den USA ansässig sind, auch weiterhin Zugang zu den Daten benötigen.
• Die Einholung einer Genehmigung der DSB dauert bis zu sechs Monate. In der Zwischenzeit dürften die Daten rechtmäßig nicht an US-Unternehmen weitergeleitet werden.

Aus unternehmerischer Sicht ist eine rasche Lösung daher begrüßenswert. Datenschützer kündigen bereits an, auch das EU-US-Privacy-Shield-Abkommen vor den EuGH tragen zu wollen.

Bislang gibt es nur wenige Details zu diesem Abkommen, wie etwa die Einrichtung eines Ombudsmannes für Beschwerden von EU-Bürgern bei Datenschutzverletzungen. In den nächsten Wochen soll das gesamte Abkommen veröffentlicht werden. Gültigkeit erlangt es erst nach Zustimmung sämtlicher EU-Mitgliedstaaten, was noch einige Monate in Anspruch nehmen kann.

Bis dahin sind heimische Unternehmen, die Daten an US-Unternehmen transferieren, gut beraten, sich einer rechtmäßigen Alternative, wir etwa der Einholung der Genehmigung der DSB unter Abschluss einer Standardvertragsklausel, zu bedienen.