EuGH Safe Harbor Urteil: Stellungnahme der Art. 29-Gruppe sowie Positionspapier der Datenschutzkonferenz

Nach dem Urteil des EuGH vom 06.10.2015 (Az.: C-362/14) in dem das Safe Harbor Abkommen für ungültig erklärt wurde beziehen nun sowohl die Art 29-Gruppe als auch die Datenschutzkonferenz Stellung.

Art. 29-Gruppe

Die Art 29 Gruppe ist ein unabhängiges Beratungsgremium der Europäischen Komission in Sachen Datenschutz.
Nachdem der EuGH das Safe-Harbor Abkommen für ungültig erklärt hat, hat die Art. 29 Gruppe eine Stellungnahme veröffentlicht. In diesem Statement werden die Entscheidungsgründe des EuGH nochmals zusammengefasst und die Mitgliedstaaten aufgerufen eine Lösung auf technischer, politischer und rechtlicher Ebene mit den US-Behörden zu erzielen.

Bis eine solche Einigung erzielt ist, zumindest jedoch bis Januar 2016, sollen nach Ansicht der Art 29-Gruppe die EU-Standardverträge und Binding Corporate Rules weiter genutzt werden können. Das Gremium stellt allerdings klar, dass in dieser Frist nur die Behörden keine eigenen Ermittlungen anstreben. Sollte jedoch eine Beschwerde eingehen, dann wird dieser nachgegangen.

Die Stellungnahmen im Original können Sie hier lesen.

Datenschutzkonferenz

Die Datenschutzkonferenz der Datenschutzbeauftragen des Bundes und der Länder haben anlässlich der EuGH Entscheidung ein 15 Punkte Positionspapier vorgestellt. In den Punkten 1-4 wird ebenfalls kurz das Urteil des EuGH zusammengefasst. In den Punkten 5-10 gibt die Datenschutzkonferenz Handlungsempfehlungen an Unternehmen aus und in den Punkten 11-14 fordert die Datenschutzkonferenz sodann die Bundesregierung, die EU-Kommission sowie den europäischen Rat und das Parlament auf mit der US-Regierung in Verhandlung zu treten und eine Lösung zu erarbeiten.
Im Punkt 15 wird sodann gefordert, die strengen Kriterien des EuGH in der geplanten Datenschutzgrundverordnung zu verankern.

Die einzelnen Punkte lauten wie folgt:

1. Nach dem Safe-Harbor-Urteil des EuGH vom 6. Oktober 2015 ist eine Datenübermittlung aufgrund der Safe-Harbor-Entscheidung der Kommission vom 26. Juli 2000 (2000/520/EG) nicht zulässig.

2. Im Lichte des Urteils des EuGH ist auch die Zulässigkeit der Datentransfers in die USA auf der Grundlage der anderen hierfür eingesetzten Instrumente, etwa Standardvertragsklauseln oder verbindliche Unternehmensregelungen (BCR), in Frage gestellt.

3. Der EuGH stellt fest, dass die Datenschutzbehörden der EU-Mitgliedstaaten ungeachtet von Kommissions-Entscheidungen nicht gehindert sind, in völliger Unabhängigkeit die Angemessenheit des Datenschutzniveaus in Drittstaaten zu beurteilen.

4. Der EuGH fordert die Kommission und die Datenschutzbehörden auf, das Datenschutzniveau in den USA und anderen Drittstaaten (Rechtslage und Rechtspraxis) zu untersuchen und gibt hierfür einen konkreten Prüfmaßstab mit strengen inhaltlichen Anforderungen vor.

5. Soweit Datenschutzbehörden Kenntnis über ausschließlich auf Safe-Harbor gestützte Datenübermittlungen in die USA erlangen, werden sie diese untersagen.

6. Die Datenschutzbehörden werden bei Ausübung ihrer Prüfbefugnisse nach Art. 4 der jeweiligen Kommissionsentscheidungen zu den Standardvertragsklauseln vom 27. Dezember 2004 (2004/915/EG) und vom 5. Februar 2010 (2010/87/EU) die vom EuGH formulierten Grundsätze, insbesondere die Randnummern 94 und 95 des Urteils, zugrunde legen.

7. Die Datenschutzbehörden werden derzeit keine neuen Genehmigungen für Datenübermittlungen in die USA auf Grundlage von verbindlichen Unternehmensregelungen (BCR) oder Datenexportverträgen erteilen.

8. Unternehmen sind daher aufgerufen, unverzüglich ihre Verfahren zum Datentransfer datenschutzgerecht zu gestalten. Unternehmen, die Daten in die USA oder andere Drittländer exportieren wollen, sollten sich dabei auch an der Entschließung der DSK vom 27.03.2014 “Gewährleistung der Menschenrechte bei der elektronischen Kommunikation” und an der Orientierungshilfe “Cloud Computing” vom 09.10.2014 orientieren.

9. Eine Einwilligung zum Transfer personenbezogener Daten kann unter engen Bedingungen eine tragfähige Grundlage sein. Grundsätzlich darf der Datentransfer jedoch nicht wiederholt, massenhaft oder routinemäßig erfolgen.

10. Beim Export von Beschäftigtendaten oder wenn gleichzeitig auch Daten Dritter betroffen sind, kann die Einwilligung nur in Ausnahmefällen eine zulässige Grundlage für eine Datenübermittlung in die USA sein.

11. Die Datenschutzbehörden fordern die Gesetzgeber auf, entsprechend dem Urteil des EuGH den Datenschutzbehörden ein Klagerecht einzuräumen.

12. Die Kommission wird aufgefordert, in ihren Verhandlungen mit den USA auf die Schaffung ausreichend weitreichender Garantien zum Schutz der Privatsphäre zu drängen. Dies betrifft insbesondere das Recht auf gerichtlichen Rechtsschutz, die materiellen Datenschutzrechte und den Grundsatz der Verhältnismäßigkeit. Ferner gilt es, zeitnah die Entscheidungen zu den Standardvertragsklauseln an die in dem EuGH-Urteil gemachten Vorgaben anzupassen.

13. Insoweit begrüßt die DSK die von der Art. 29-Gruppe gesetzte Frist bis zum 31. Januar 2016.

14. Die DSK fordert die Bundesregierung auf, in direkten Verhandlungen mit der US-Regierung ebenfalls auf die Einhaltung eines angemessenen Grundrechtsstandards hinsichtlich Privatsphäre und Datenschutz zu drängen.

15. Die DSK fordert Kommission, Rat und Parlament auf, in den laufenden Trilog-Verhandlungen die strengen Kriterien des EuGH-Urteils in Kapitel V der Datenschutzgrundverordnung umfassend zur Geltung zu bringen.