Kanzlei Mitarbeiter Kontakt Impressum  Suchen

EuGH kippt Safe Harbor Decision der EU Kommission

6.10.2015 | Allgemeines | ITK-Vertragsrecht | Datenschutz und IT-Sicherheit | von Christian Welkenbach

Die Entscheidung des EuGH schlug heute Vormittag ein wie eine Bombe! Auch wenn es nicht vollkommen unwahrscheinlich war, hatten einige dem höchsten Europäischen Gericht nicht zugetraut, eine derart weit reichende Entscheidung zu fällen.

Der EuGH hat entschieden, dass die Safe Harbor Entscheidung der EU-Kommission, wonach die USA in datenschutzrechtlicher Hinsicht zumindest dann einem sicheren Drittland gleichgestellt werden kann, wenn das US-Unternehmen, bei dem die personenbezogenen Daten aus Europa empfangen und verarbeitet werden, sich der Safe Harbor Regelung unterworfen hat, unwirksam ist. Dies ist z. B. im Falle Facebook, Twitter, Amazon und Co. der Fall, so dass ein Datentransfer in die USA bislang auf dieser wenn auch wackeligen Grundlage rechtlich vertretbar erscheinen konnte. Dies gestaltet sich nun anders, da der EuGH entschieden hat, dass die Entscheidung der EU-Kommission aus dem Jahre 2000, wonach die USA mit dieser Maßgabe ein angemessenes Schutzniveau gewährleiste, hinfällig ist.

Der Kläger, eine Privatperson aus Österreich, hatte beim irischen Datenschutzbeauftragten eine Beschwerde über die Weitergabe seiner personenbezogenen Daten von Facebook Irland an Facebook USA eingereicht und geltend gemacht, dass in den USA spätestens seit den Enthüllungen des Whistleblowers Edward Snowden kein angemessenes Datenschutzniveau mehr herrschen könne. Das höchste irische Zivilgericht legte daraufhin dem EuGH die Frage der Vereinbarkeit der Datenweitergabe mit den aktuellen EU-Datenschutzvorschriften vor, der sodann die Safe Harbor Decision aus dem Jahre 2000 kassierte.

Nun stellt sich insbesondere für Unternehmen die Frage der rechtlichen Zulässigkeit des Datentransfers in die USA, und zwar sowohl auf Basis bestehender als auch künftiger Vertragsbeziehungen. Zwar gibt es Alternativen zur Safe Harbor Regelung, z. B. die Verwendung der EU-Standardvertragsklauseln (EU Model Clauses) oder auch sog. Binding Corporate Rules (BCR), doch auch hier muss nach intensiver Bewertung der vollständigen Entscheidungsgründe sorgfältig geprüft werden, ob diese Alternativen eine tragfähige Grundlage darstellen können, solange den US-Geheimdiensten derart umfangreiche Zugriffsmöglichkeiten auf personenbezogene Daten ohne Anlass zustehen. In jedem Fall muss der Fokus in der Vertragsgestaltung in grenzüberschreitenden Vertragsbeziehungen noch mehr als bisher auf datenschutzrechtliche Fragestellungen gerichtet werden.

Der Volltext der Entscheidung kann hier eingesehen werden. Wir werden diesen nun sehr sorgfältig mit Blick auf tragfähige Alternativen sichten und in den nächsten Tagen ein Whitepaper zu den rechtlichen Konsequenzen der Entscheidung herausbringen. 

Für Fragen hierzu stehen wir Ihnen an unseren Standorten jederzeit gerne zur Verfügung. 

Christian Welkenbach 
Partner 
TCI Rechtsanwälte Mainz 



Download:
 CURIA - Dokumente.pdf

16.08.2017

Ausgezeichnet


JUVE-Handbuch 2016/2017 empfiehlt erneut TCI Rechtsanwälte

mehr

 

Datenschutzgrundverordnung (DSGVO)

Am 25. Mai 2018 tritt die Datenschutz-Grundverordnung (DS-GVO) in Kraft. Wir beraten Sie zu den neuen Anforderungen, den drohenden Risiken und zur der Umsetzung erforderlicher Maßnahmen zur Gewährleistung der Datenschutz- Compliance.

mehr

 

IT-Beschaffung und Ausschreibung

Sie finden bei uns Informationen zur Ausschreibung und Beschaffung von Software durch die öffentliche Hand - z.B. Beschaffung von Gebrauchtsoftware, Open-Source-Software oder über Rahmenverträge.

mehr

 

Aktuelle Veröffentlichungen

Carsten Gerlach, Sicherheitsanforderungen für Telemediendienste - der neue § 13 Abs. 7 TMG, in: CR 2015, 581


Carsten Gerlach, Personenbezug von IP-Adressen, in: CR 2013, S. 478


Carsten Gerlach, Vergaberechts- probleme bei der Verwendung von Open-Source-Fremdkomponenten, in: CR 2012, S. 691


Michael Karger,
BGH: "Handlungsanweisung" für Hostprovider bei möglicherweise persönlichkeitsrechtsverletzendem Blogbeitrag, in: GRUR-Prax 2012, S. 35

 

IT-Recht im beck-blog

blog zum IT-Recht von Dr. Michael Karger im Experten-blog des Verlags C.H. Beck