[UPDATE 03.02.2016] - Safe Harbor Urteil des EuGH - Gemeinsame Erklärung der Artikel 29 Gruppe

Die Artikel 29 Datenschutzgruppe, eine Zusammenkunft der nationalen Datenschutzbehörden aller EU-Staaten und unabhängiges Beratungsgremium der Europäischen Kommission zu Fragen des Datenschutzes, hat nun - vor dem Hintergrund des Safe-Harbor Urteils des EuGH vom 06.10.2015, eine Frist bis Ende Januar 2016 gesetzt, um eine angemessene Lösung zur Umsetzung der datenschutzrechtlichen Vorgaben des EuGH-Urteils zur Safe-Harbor-Regelung zu finden.

Ab Februar 2016 seien die Datenschutzbehörden der EU-Staaten verpflichtet, alle nötigen und angebrachten Schritte zu ergreifen, um einen Datenexport in die USA und andere unsichere Drittstaaten zu verhindern.

 Das beinhalte abgestimmte Schritte, um das Urteil durchzusetzen, sprich: Vollstreckungsmaßnahmen und Bußgelder gegen Unternehmen, die weiterhin Daten in unsicheren Drittstaaten speichern.

Lesen Sie weiter, um den übersetzten Wortlaut der Erklärung abzurufen!

Bildquelle: sergey ilin fotolia.com

Hintergrund:

Der Gerichtshof der Europäischen Union (EuGH) hat das bisherige Safe-Harbor-Abkommen, das die Übermittlung von personenbezogenen Daten in die USA regelte, mit Urteil vom 6. Oktober 2015 für ungültig erklärt.

Die Versammlung der Datenschutzaufsichtsbehörden der EU-Staaten, die Artikel-29-Gruppe, fordert nun eine zügige Überarbeitung und Verabschiedung einer neuen Vereinbarung, die den Datentransfer in die USA gemäß den Vorgaben des EuGH regeln soll.

Die „massive und wahllose Überwachung“ durch Geheimdienste in den USA war ein Hauptargument des EuGH in dem Urteil vom 06.10.2015 - Rechtssache C-362/14 Maximilian Schrems ./. Data Protection Commissioner.

Das Vorgehen der USA widerspreche den Europäischen Datenschutzstandards. Mit den derzeit eingesetzten rechtlichen Konstruktionen (Safe Harbor, BCR und Standard-Vertragsklauseln) seien diese Probleme nicht zu lösen.

Wortlaut der Erklärung der Artikel 29 Gruppe vom 18.10.2015 - inoffizielle Deutsche Übersetzung von DURY Rechtsanwälte:

Nach der Grundsatzentscheidung des Gerichtshofs der Europäischen Union (EuGH) von 6. Oktober 2015 (Maximilian Schrems ./. Data Protection Commissioner - Az.: C- 362-14)  haben sich die EU-Datenschutzbehörden in der Artikel 29-Gruppe zusammengesetzt und die ersten Folgen, die auf europäischer und nationaler Ebene gezogen werden müssen, diskutiert.

Die EU-Datenschutzbehörden sind der Auffassung, dass es absolut notwendig ist, einen robusten, kollektiven und gemeinsamen Standpunkt über die Umsetzung des Urteils einzunehmen. Darüber hinaus wird die Artikel 29 Arbeitsgruppe die anstehenden Entwicklungen in dem weiteren Verfahren vor dem Irish High Court verfolgen, an den das Verfahren von dem EuGH zurück verwiesen wurde.

Zunächst betont die Artikel29-Datenschutzgruppe, dass die Frage der massiven und wahllosen Überwachung ein Schlüsselelement der Analyse des EuGH ist. Der EuGH erinnert daran, dass er stets erklärt hat, dass eine solche Überwachung mit dem EU-Rechtsrahmen nicht vereinbar ist und die bestehenden Transferwerkzeuge keine Lösung für dieses Problem darstellen.

Ferner, wie bereits angegeben, werden Datenübermittlungen in Drittländer, in denen die Befugnisse der staatlichen Behörden bzgl. des Zugriffs auf personenbezogene Informationen über das für die in einer demokratischen Gesellschaft erforderliche Maß hinausgehen, nicht als Datenübertragung in einen sicheren Drittstaat qualifiziert werden können. In dieser Hinsicht erfordert das Urteil des EuGH, dass jede Angemessenheitsentscheidung eine umfassende Analyse des betreffenden Drittlandes, seiner innerstaatlichen Rechtsvorschriften und seiner internationalen Verpflichtungen impliziert.

Daher fordert die Artikel29-Datenschutzgruppe dringend die Mitgliedstaaten und die Europäischen Institutionen dazu auf, Gespräche mit den US-Behörden aufzunehmen, um eine politische, rechtliche und technische Lösung zu finden, die eine Datenübertragung in das Gebiet der USA bei Achtung der Grundrechte ermöglicht.

Solche Lösungen könnten durch Verhandlungen über eine zwischenstaatliche Übereinkunft mit stärkeren Garantien für die personenbezogenen Daten von betroffenen Datensubjekten in der EU gefunden werden.

Die aktuellen Verhandlungen über ein neues Safe-Harbor-Abkommen könnten ein Teil der Lösung sein. In jedem Fall sollten diese Lösungen aber immer klar von verbindliche Mechanismen und mindestens Verpflichtungen für die notwendige Aufsicht über den Zugang von Regierungsstellen (öffentliche Hand) zu personenbezogenen Daten, der Transparenz der Regelungen, der Verhältnismäßigkeit und über Rechtsschutzmechanismen sowie bzgl. der Einhaltung von Datenschutzrechten enthalten.

In der Zwischenzeit wird die Artikel29-Datenschutzgruppe ihre Untersuchung über die Auswirkungen des Safe-Harbor-EuGH-Urteils auf die verbliebenen Transfer-Tools (Standard-Vertragsklauseln, Einwilligung, BCR) fortsetzen.

Während dieser Zeit sind die Datenschutzbehörden der Artikel29-Datenschutzgruppe der Auffassung, dass die EU-Standardvertragsklauseln sowie die "Verbindlichen Unternehmensregeln" (BCR) weiterhin als Rechtsgrundlage für einen legalen Datentransfer in die USA verwendet werden können.

Auf jeden Fall wird dies aber nicht die Datenschutzbehörden daran hindern im Einzelfall, zum Beispiel bei einer Beschwerde, ihre Befugnisse zu nutzen, um die Daten von Personen zu schützen.

Wenn bis Ende Januar 2016 keine geeignete Lösung mit den US-Behörden gefunden wird, sind EU-Datenschutzbehörden - je nach Einschätzung der Transferwerkzeuge durch die Artikel29-Datenschutzgruppe - verpflichtet, erforderliche und geeignete Maßnahmen zu ergreifen, was auch eine koordinierte Durchsetzung verschiedener EU-Datenschutzbehörden einschließen könnte.

In Bezug auf die praktischen Folgen des EuGH Urteils ist es nach Auffassung der Artikel29-Datenschutzgruppe klar, dass eine Datenübertragung aus der Europäischen Union in die Vereinigten Staaten nicht länger auf der Grundlage der Angemessenheitsentscheidung der Europäischen Kommission gestaltet werden darf (die so genannten "Safe-Harbour-Entscheidung", Az.: 2000/520/EG).

In jedem Fall sind Datenübertragungen, die immer noch auf Basis des Safe-Harbor-Abkommens erfolgen nach der Entscheidung des EuGH-Urteils in der Rechtssache Maximilian Schrems ./. Data Protection Commissioner - Az.: C- 362-14 erfolgen, rechtswidrig sind. Um sicherzustellen, dass alle Beteiligten hinreichend informiert werden, werden die EU-Datenschutzbehörden an Ort und Stelle entsprechende Informationskampagnen auf nationaler Ebene umsetzen. Dies kann direkte Information an alle Unternehmen umfassen, die nach Kenntnis der Behörden auf Basis der Safe-Harbor Abkommens Daten in die USA übertragen haben sowie allgemeine Meldungen auf den Webseiten der Behörden.

Abschließend betont die Artikel29-Datenschutzgruppe die gemeinsame Verantwortung von Datenschutzbehörden, EU-Institutionen, Mitgliedstaaten und Unternehmen für die Herbeiführung einer nachhaltigen Lösung, die das das Urteil des EuGH umsetzt.

Insbesondere sollten aber auch Unternehmen vor dem Hintergrund des EuGH-Urteils die eventuellen Risiken reflektieren, die sie auf sich nehmen und in Erwägung ziehen, durch juristische und/oder technische Lösungen zeitnah die skizzierten Risiken zu mildern und die Achtung der EU-Datenschutzstandards zu gewährleisten.

[UPDATE 03.02.2016: - Mit einem Tag Verspätung hat die EU-Kommission nun doch noch ein Nachfolgeabkommen mit den USA, das sog. EU-USA Privacy Shield-Abkommen "aus dem Hut gezaubert". Es bleibt abzuwarten, ob die EU-Staaten diesem Abkommen zustimmen werden und ob nicht auch dieses Abkommen letztlich von dem EuGH kassiert werden wird. Lesen Sie hier mehr.

Die Erklärung können Sie hier auf Englisch abrufen!