Nach dem Urteil des Europäischen Gerichtshofs, nach welchem eine Datenübermittlung in die USA basierend auf Safe-Harbor rechtswidrig sei, wurde mit Spannung auf die Stellungnahmen der Datenschutzaufsichtsbehörden gewartet, insbesondere bezüglich möglicher alternativen Rechtsgrundlagen, welche eine Datenübermittlung in die USA erlauben könnten.
EU-Kommission: Alternativen uneingeschränkt nutzbar
Zwar ist die EU-Kommission und auch der luxemburgische Ratssitz der Ansicht, dass eine Datenübermittlung in die USA bis zum Abschluss eines neuen Abkommens, welches auch die EU-Grundrechtscharta berücksichtige, aufgrund anderer rechtlicher Bedingungen erfolgen könne. Konkret sind mit diesen alternativen Rechtsgrundlagen etwa eine Datenübermittlung per Einwilligung, EU-Standardvertragsklauseln oder sonstige geeignete Maßnahmen nach § 4c BDSG gemeint.
Dieser Ansicht folgen die nationalen und europäischen Datenschutzbeauftragten nicht oder nicht uneingeschränkt.
ULD: Kein Datenexport in die USA mehr möglich
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) als Datenschutzaufsichtsbehörde für das Land Schleswig-Holstein ist der Ansicht, dass der EuGH mit seinem Urteil „hohe Maßstäbe für jegliche Datenübermittlung in Staaten außerhalb der Europäischen Union und der EWR“ aufgestellt habe und dass von Seiten der EU-Kommission weder das „Datenschutzniveau in den USA ausreichend mit Blick auf die dortige Rechtslage“ geprüft worden noch enthalte das Safe-Abkommen die „erforderlichen Schutzmöglichkeiten für europäische Bürgerinnen und Bürger“.
Vor diesem Hintergrund könne man sich nicht ohne weiteres auf andere Rechtsgrundlagen zu Übermittlung personenbezogener Daten in die USA wie etwa per Einwilligung oder die EU-Standardvertragsklauseln stützen. Das ULD ist der Ansicht, dass eine dauerhafte Lösung nur in einer wesentlichen Änderung im US-amerikanischen Recht liegen könne. Unternehmen in Schleswig-Holstein sollten daher ihre Verfahren zur Übermittlung personenbezogener Daten in die USA „schnellstmöglich überprüfen“ und „Alternativen für eine Verarbeitung personenbezogener Daten in den USA erwägen“.
Mit anderen Worten: Das ULD drückt die Ansicht aus, dass nach derzeitiger Rechtslage eine rechtmäßige Datenübermittlung personenbezogener Daten in die USA grundsätzlich nicht möglich sei.
Europäische Datenschutzaufsichtsbehörden: BCR und EU-Standardvertragsklauseln begrenzt einsetzbar
Die europäischen Datenschutzaufsichtsbehörden formulieren es über die Art. 29 Datenschutz-Gruppe pragmatischer:
Man ist auch hier der Ansicht, dass Kern des Problems die massenhafte und anlasslose Überwachungspraxis in den USA sei. Da dieses Problem offensichtlich nur politisch gelöst werden könne ruft die Art. 29-Datenschutz-Gruppe die EU-Mitgliedsstaaten und die europäischen Institutionen zu Verhandlungen mit den USA auf, um politische, rechtliche und technische Lösungen zu finden, um bei Datenübermittlungen und Verarbeitung in den USA die fundamentalen Rechte der Betroffenen zu gewährleisten.
Die Art. 29-Datenschutz-Gruppe will in der Zwischenzeit die Auswirkungen des Safe-Harbor-Urteils des EuGH auf andere mögliche Rechtsgrundlagen wie Binding Coorporate Rules (BCR) und Standardvertragsklauseln prüfen. Gleichwohl sei den Datenschutzaufsichtsbehörden vorbehalten, spezielle Fälle genauer zu untersuchen und hier gegebenenfalls geeignete Maßnahmen zum Schutz der Rechte der Betroffenen zu ergreifen.
Sollte bis Ende Januar 2016 keine angemessene Lösung auf dem Verhandlungswege zwischen EU und USA gefunden worden sein, behalten die Datenschutzaufsichtsbehörden sich die Ergreifung notwendiger und angemessener Maßnahmen vor, um die Rechte der Betroffenen zu schützen.
Die Datenschutzaufsichtsbehörden der EU betonen hierbei, dass nach ihrer Auffassung bis Ende Januar 2016 Standardvertragsklauseln als auch Binding Corporate Rules als Rechtsgrundlage für eine Übermittlung personenbezogener Daten in die USA genutzt werden können.
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe