09.11.2015

Safe Harbor: EU-Kommission legt Leitlinien für transatlantische Datenübermittlungen vor

Nachdem der EuGH jüngst das Safe-Harbor-Abkommen mit den USA für ungültig erklärt hatte, hat die EU-Kommission die Verhandlungen mit den USA über einen neuen und sicheren Rahmen für die Übermittlung personenbezogener Daten intensiviert. Für die Übergangszeit hat die Kommission am 6.11.2015 Leitlinien vorgelegt, die erläutern, unter welchen Bedingungen Unternehmen auf rechtmäßige Art und Weise vorübergehend Daten übermitteln können.

Die Kommission verfolgt das Ziel, die Gespräche innerhalb von drei Monaten abzuschließen. Bis dahin bleibt Unternehmen nichts anderes übrig, als das EuGH-Urteil zu befolgen und nach Möglichkeit auf alternative Datenübermittlungsinstrumente zurückzugreifen. In den jetzt veröffentlichten Leitlinien werden die Folgen des Urteils analysiert und alternative Verfahren für die Übermittlung von personenbezogenen Daten in die USA erörtert. Die Kommission wird zudem weiterhin eng mit den unabhängigen Datenschutzbehörden zusammenarbeiten, um eine möglichst einheitliche Umsetzung des Urteils sicherzustellen.

In der Mitteilung werden alternative Grundlagen für die Übermittlung personenbezogener Daten in die USA dargelegt, ohne der Unabhängigkeit und den Befugnissen der Datenschutzbehörden der Mitgliedstaaten zur Prüfung der Rechtmäßigkeit einer solchen Datenübermittlung vorzugreifen. Datenübertragungen von Unternehmen können derzeit auf folgenden Grundlagen erfolgen:

  • vertragliche Regeln:
    Vertragliche Regeln müssen bestimmte Pflichten (z.B. Sicherheitsmaßnahmen, Benachrichtigung der betroffenen Person, Sicherheitsvorkehrungen bei der Übermittlung sensibler Daten usw.) vorsehen. Mustervertragsklauseln sind hier verfügbar.
  • verbindliche unternehmensinterne Vorschriften für unternehmensgruppeninterne Datenübermittlungen:
    Auf der Grundlage derartiger Vorschriften können personenbezogene Daten unbegrenzt zwischen den Unternehmen einer weltweit operierenden Unternehmensgruppe übermittelt werden. Die Übermittlungen bedürfen jeweils der Zustimmung der Datenschutzbehörde des Mitgliedstaats, aus  dem das multinationale Unternehmen Daten übermitteln möchte.
  • Ausnahmeregelungen:
    • Datenübermittlung zum Abschluss oder zur Erfüllung eines Vertrags [einschließlich vorvertraglicher Situationen, beispielsweise zur Buchung eines Flugs oder eines Hotelzimmers in den Vereinigten Staaten];
    • Durchsetzung oder Verteidigung von Rechtsansprüchen;
    • (falls kein anderer Grund besteht:) Datenübermittlung bei aus freien Stücken und in voller Sachkenntnis erfolgender Zustimmung der betroffenen Person

Linkhinweis:

EU-Kommission PM vom 6.11.2015
Zurück