Download

05-2016:
Flugzeug verspätet – Wann gibt es Entschädigung?

Beschreibung

Im Oktober 2015 hob der EuGH das Datenschutzabkommen „Save Harbour“ als ungültig auf. Was war passiert? Unionsbürger, die Facebook nutzen, müssen bei der Anmeldung einen Vertrag mit Facebook Ireland Limited, einer Tochtergesellschaft der in den USA ansässigen Facebook Inc, abschließen. Personenbezogene Daten der Unionsbürger werden im Anschluss größtenteils von der irischen Tochtergesellschaft in die USA übermittelt. Der Österreicher Max Schrems erhob dagegen bei der zuständigen irischen Datenschutzbehörde (solche Behörden sind in jedem Mitgliedsstaat verpflichtend eingerichtet), dem Data Protection Commissioner, Beschwerde. Das Recht und die Praxis in den USA böten keinen ausreichenden Schutz vor massenhaften und undifferenzierten Zugriffen auf personenbezogene Daten, so sein Vorbringen. Der Commissioner hielt sich nicht für befugt, die in der Beschwerde gerügten Tatsachen zu prüfen, weil die Europäische Kommission (2000/520/EG) festgestellt habe, dass die USA ein angemessenes Schutzniveau gewährleisten. Auf Anfrage des Irischen High Court hob der EuGH das „Safe Harbor“ – Abkommen auf, weil es Daten von Europäern in den USA nicht ausreichend vor dem Zugriff staatlicher Stellen schützt. Der EuGH löste damit ein regelrechtes Datenschutz-Erdbeben aus.

Der EuGH hob die Entscheidung ohne Übergangsregelung auf, was zu erheblicher Rechtsunsicherheit führte. Die EU-Datenschützer beschlossen daraufhin fürs Erste, dass die Datenübertragung bis zum Abschluss einer neuen Vereinbarung auf der Basis von Standardvertragsklauseln und verbindlichen unternehmensinternen Vorschriften weiterhin erlaubt sei.

Nun haben sich die EU und die USA auf einen Rahmen für die transatlantische Übermittlung von Daten für kommerzielle Zwecke geeinigt. Das neue Datenschutzabkommen „EU-US-Privacy Shield“, welches seit Mitte März als Entwurf vorliegt, soll nun den Schutz der Grundrechte europäischer Bürger bei der Übermittlung von Daten in die USA verbessern und einer Massenüberwachung und einem unlimitierten Datenzugriff präventiv entgegenwirken. Dafür wird ein unabhängiger Ombudsmann installiert, an den sich EU Bürger wenden können, wenn sie einen unrechtmäßigen Datenzugriff von US Behörden befürchten. Derzeit ist es jedenfalls noch nicht in Geltung.

Welche Auswirkungen hat diese Entscheidung nun für Unternehmen? Derzeit gilt für den Datentransfer die Kommissionsentscheidung 2010/87/EU zu den sogenannten „Standardvertragsklauseln“. Diese fingiert, dass ein nicht in Europa ansässiges Unternehmen durch Verwendung und Einhaltung dieser Klauseln als dem europäischen Datenschutzniveau gleichwertig anzusehen ist.

In Österreich kann zusätzlich die Datenschutzbehörde befragt werden. Jedes Unternehmen sollte daher zuerst alle Datenflüsse an Unternehmen in Drittstaaten erfassen und prüfen, ob die zugrundeliegenden Verträge eine „Standardvertragsklausel“ als Rechtsgrundlage enthalten. Und noch etwas: Im Juni/ Juli 2018 wird nach Zustimmung des europäischen Parlaments eine neue EU Datenschutz- Grundverordnung (EU-DSGVO) erlassen. Der offizielle Entwurf ist seit März veröffentlicht. Ziel ist die unionsweite Vereinheitlichung des europäischen Datenschutzrechts.

Datentransfers an Drittstaaten werden auch weiterhin nur zulässig sein, wenn diese über ein angemessenes Schutzniveau verfügen. Für nationale Datenschutzbehörden werden weitreichendere Bußgeld- und Sanktionsmöglichkeiten (bis zu 20 Millionen!) geschaffen. All diese Vorschriften münden in unsere umfassende anwaltliche Empfehlung: Die datenschutzrechtliche Compliance wird immer wichtiger.