in Infodocc

Safe Harbor – Der EuGH hat die Achtung des Grundrechts auf Privatsphäre in der Datenübermittlung gestärkt, C-362/14. Dies wird Auswirkungen auf alle Unternehmen haben, die Daten von Dritten in Nicht-EU-Länder übermitteln.

folge mir

Karsten Gulden

Fachanwalt für Urheber- und Medienrecht bei gulden röttger | rechtsanwälte
Outlaw: draußen unterwegs, drinnen Anwalt
folge mir

Das Safe Harbor Urteil des EuGH stärkt zweifelsohne die Online-Privatsphäre der EU-Bürger. Reduzieren Unternehmen die Übermittlung personenbezogener Daten aus der Union bspw. in die USA künftig nicht auf das absolut Notwendige, so ist das unzulässig und stellt einen Verstoß gegen das Grundrecht auf Achtung der Privatsphäre dar.

Nicht auf das absolut Notwendige beschränkt ist eine Regelung, die generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt wurden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen und ohne ein objektives Kriterium vorzusehen, EuGH, C-362/14, Rn. 93. tweet

Bisher konnten sich die Unternehmen bequem auf das Safe-Harbor Abkommen berufen. Dies ist nun passe, da die Kommission zwar eine dahingehende Entscheidung treffen durfte, aber nicht mit den vorhandenen inhaltlichen Mängeln. Es muss sichergestellt sein, dass die EU-Bürger einen wirksamen und effektiven Schutz erlangen können, der die Wahrung der Online-Privatsphäre sicherstellt. Einen solchen Schutz sah das Safe-Harbor Abkommen bisher nicht vor. Es wurde einfach festgestellt, dass die Übermittlung der Daten erlaubt sei. Das ist so einfach wie rechtswidrig. Künftig wird es so sein, dass sich Bürger, die sich in ihrem Recht auf Privatsphäre verletzt sehen, an innerstaatliche Kontrollstellen wenden und beschweren können. In Deutschland wird das zumindest der Datenschutzbeauftragte sein, der sich über zahlreiche Beschwerden einstellen darf – mit oder ohne Substanz, das sei mal dahingestellt.

Welche Daten sind betroffen?

Das EuGH-Urteil umfasst alle personenbezogenen Daten unabhängig von ihrer Sensibilität.

Für die Feststellung des Vorliegens eines Eingriffs in das Grundrecht auf Achtung der Privatsphäre kommt es nicht darauf an, ob die betreffenden Informationen über die Privatsphäre sensiblen Charakter haben oder ob die Betroffenen durch den Eingriff Nachteile erlitten haben könnten, EuGH, C-362/14, Rn.87. tweet

Unternehmen, die also künftig Daten in Drittländer übermitteln wollen, müssen sicherstellen, dass das Drittland ein angemessenes Schutzniveau gewährleistet. Das wird schwierig bis unmöglich, da private Unternehmen nicht nachweisen können, ob ein Drittland gleichwertige (Rn. 96) Datenschutzkriterien aufweist.

Welche Unternehmen sind betroffen?

Das Safe Harbor Urteil trifft alle Unternehmen, die personenbezogene Daten in Drittländer übermitteln.

Dürfen Unternehmen jetzt keine Daten mehr an Drittländer übermitteln?

Unternehmen dürfen auch weiterhin personenbezogene Daten in Nicht-EU-Länder übermitteln, wenn die Drittländer über ein entsprechendes Schutzniveau verfügen. Ist es nicht möglich – was in der Praxis sehr oft der Fall sein wird – zu bestimmen, ob das Datenschutzniveau in dem Drittland EU-konform ist, dann wäre die Übermittlung der Daten rechtswidrig und die Unternehmen können mit Bußgeldern belegt werden. Das Bundesdatenschutzgesetz sieht in § 43 beispielsweise Bußgelder im Mindestmaß von 50.000 – 300.000 Euro vor. Reichen diese nicht aus, weil bspw. ein globales Unternehmen wie Facebook oder Google gegen die Datenschutzbestimmungen verstößt, so können die Bußgelder auch erhöht werden.

Bußgelder in Millionenhöhe sind denkbar wegen des Verstoßes gegen die Online-Privatsphäre tweet

Einwilligung in die Datenübermittlung der Kunden nicht ausreichend

Die Europäische Union ist eine Rechtsunion, die die Mitgliedstaaten bindet und verpflichtet, dafür Sorge zu tragen, dass die Verträge, die allgemeinen Rechtsgrundsätze und die Grundrechte gewahrt werden. Willigt ein Nutzer oder Kunde in die Übermittlung seiner Daten in ein Drittland ein, so entbindet dies nicht das Unternehmen von der Verpflichtung sicherzustellen, dass die Datenübermittlung nur in ein Land erfolgen darf, dessen Datenschutz den EU-Standards entspricht.

Binding Corporate Rules und EU-Standardvertragsklausel

Eine Möglichkeit der legalen Datenübermittlung bieten die Binding Corporate Rules und die Nutzung der EU-Standardvertragsklausel. Allerdings sollten Unternehmen hier berücksichtigen, dass nur eine unveränderte Übernahme der Regelungen eine gewisse Form der Rechtssicherheit bieten können.

Fazit:

Unternehmen, die Daten in EU-Drittländer übermitteln, können sich künftig nicht mehr auf das Safe-Harbor-Abkommen berufen, da dies vom EuGH für ungültig erklärt wurde. Die Ungültigkeit beruht auf der Tatsache, dass die Kommission die Befugnisse der nationalen Kontrollstellen beschränkt hat.

Das Urteil betrifft alle Unternehmen, die bspw. personenbezogene Daten in die USA übermitteln. Betroffene können sich künftig an mitgliedstaatliche Kontrollstellen wenden, wenn sie sich in ihrem Recht auf Online-Privatsphäre verletzt sehen. Neue Abkommen oder unternehmensinterne Übereinkünfte müssen die Feststellung enthalten, dass die Drittländer aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein angemessenes Schutzniveau gewährleisten.

 

Schreibe einen Kommentar

Kommentar

  1. Jaja, „Save-Harbour“. Schon peinlich, wenn auf diese Weise deutlich wird, dass man weder das Urteil gelesen noch sich je mit der Sache befasst hat, über die man schreibt (und kein Englisch kann …).

    • Sehr geehrter Jens, vielen Dank für den Hinweis. Das unsägliche Missgeschick wurde behoben. Gerne schaue ich mir Ihre Ausführungen – auch in einer englischsprachigen Version – an und wir können die Inhalte gemeinsam erörtern. Bitte übersenden Sie mir den Link zu Ihrer Ausarbeitung. Vielen Dank vorab.

1 Star2 Stars3 Stars4 Stars5 Stars (6 Stimmen, Durchschnitt: 4,83 aus 5)
Loading...