Nach ersten Medienberichten haben sich die deutschen Aufsichtsbehörden auf eine gemeinsame Position zu Safe Harbor geeinigt. Inhaltlich orientiere sich die Position an der Stellungnahme der Artikel-29-Datenschutzgruppe.
Artikel-29-Datenschutzgruppe: Datenübermittlung auf Basis von Standardvertragsklauseln und Binding Corporate Rules bleibt zunächst zulässig
Nach der Safe-Harbor-Entscheidung des EuGH hat die Artikel-29-Datenschutzgruppe in einer Pressemitteilung vom 16. Oktober erste Aussagen zu den Konsequenzen für die Verwendung von Standardvertragsklauseln und Binding Corporate Rules (BCR) veröffentlicht.
Ausweislich ihrer Pressemitteilung seien alle Datenverarbeitungen, die ausschließlich auf Grundlage von Safe Harbor erfolgen, rechtswidrig. Jedoch gehe die Datenschutzgruppe davon aus, dass bis politische, rechtliche und technische Lösungen gefunden sind, die Verwendung von Standardvertragsklauseln und BCR zunächst weiter zulässig bleibe.
Allerdings werde von der Datenschutzgruppe weiter geprüft, welche Auswirkungen die Safe-Harbor-Entscheidung auf die Standardvertragsklauseln und die BCR hat.
Stellungnahme der Artikel-29-Datenschutzgruppe für nationale Datenschutzbehörden nicht bindend
Die Stellungnahme der Artikel-29-Datenschutzgruppe ist jedoch nicht bindend. Insofern konnten die nationalen Datenschutzbehörden die Konsequenzen aus der Safe-Harbor-Entscheidung für die weitere Verwendungsmöglichkeit von Standardvertragsklauseln und BCR auch abweichend beurteilen.
Das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig Holstein hatte bereits nach dem Safe-Harbor-Urteil erklärt, eine Datenübermittlung auch auf Basis von Standardvertragsklauseln und Einwilligungserklärung nicht mehr für zulässig zu halten und die Prüfung von Verboten und Ordnungswidrigkeitsverfahren angekündigt.
Gemeinsame Position der Aufsichtsbehörden
Nach ersten Medienberichten haben sich die Aufsichtsbehörden in Deutschland nun auf eine gemeinsame Position geeinigt. Auch wenn bisher noch keine abgestimmte Meldung veröffentlicht wurde, haben sich die Aufsichtsbehörden wohl stark an der Stellungnahme der Artikel-29-Datenschutzgruppe orientiert. Die Kernpunkte lassen sich wie folgt zusammenfassen:
- Safe Harbor stellt für die Datenverarbeitung keine rechtmäßige Grundlage mehr dar.
- Für Datentransfers auf Grundlage von Safe Harbor besteht ein vorübergehender Vertrauensschutz bis Ende 2015.
- Die Verwendung von Standardvertragsklauseln und BCR bleibt zunächst zulässig, wird allerdings bis Februar 2016 weiter geprüft.
Die gemeinsame Position der Aufsichtsbehörde ist sehr zu begrüßen und beendet insbesondere die durch die Erklärung des ULD Schleswig Holstein entstandenen Unsicherheiten. Sobald die gemeinsame Position veröffentlicht wird, werden wir darüber berichten.
Autor: Dr. Karsten Krupna