Safe Harbour: Jetzt handeln – Galgenfrist bis 31.01.2016
Die Datenschützer in Deutschland haben sich beraten. Und sie sind sich einig: Nach dem Safe Harbour-Urteil des EuGH ist nichts mehr wie es war. Insbesondere besteht Einigkeit darüber, dass alleine auf Basis von Safe Harbour erfolgende Datenübermittlungen in die USA mit dem Urteil vom 06.10.2015 unverzüglich rechtswidrig geworden sind.
Geprüft wird jetzt bis Ende Januar 2016, ob auch die Verwendung der so genannten Standardvertragsklauseln unzulässig geworden ist, die bislang bei wörtlicher Übernahme eine sichere Datenübermittlung ermöglicht haben. Dasselbe gilt für die Frage, ob die bindenden Unternehmensregelungen, so eine Art interne, von der zuständigen Aufsichtsbehörde genehmigte, Policy bzgl. Datensicherheit und Datenschutz im Unternehmen, noch zugelassen werden können.
Das Ergebnis dürfte aber eigentlich schon feststehen: Liest man die EuGH-Entscheidung sorgfältig durch, dann fällt auf, dass insbesondere der fehlenden Rechtsschutz für EU-Bürger in den USA und die Gesetzeslage, die den Zugriff der Behörden auf diese Daten ermöglicht, dazu geführt haben, dass die USA für den EuGH kein sicheres Drittland für Daten sind.
Diese beiden Punkte aber können weder über Standardvertragsklauseln noch über bindende Unternehmensregeln geändert werden.
Ergo: Ab dem 01.02.2016 dürften damit die Aufsichtsbehörden die jetzt schon in verschiedenen Stellungnahmen bereits angekündigten Prüfungen in den Unternehmen beginnen und damit dürfte auch die Verhängung von Bußgeldern folgen.
Jedes Unternehmen muss daher die jetzt vereinbarte Galgenfrist nutzen und bis zum 31.01.2016 die Datenübermittlungen umstellen, bspw. indem ausschließlich europäische Anbieter genutzt bzw. auf Rechenzentren in der EU zurückgegriffen wird.
Sprechen Sie uns gerne an, wenn wir Sie hierbei begleiten und unterstützen sollen.
Timo Schutt
Rechtsanwalt
Fachanwalt für IT-Recht
Geprüft wird jetzt bis Ende Januar 2016, ob auch die Verwendung der so genannten Standardvertragsklauseln unzulässig geworden ist, die bislang bei wörtlicher Übernahme eine sichere Datenübermittlung ermöglicht haben. Dasselbe gilt für die Frage, ob die bindenden Unternehmensregelungen, so eine Art interne, von der zuständigen Aufsichtsbehörde genehmigte, Policy bzgl. Datensicherheit und Datenschutz im Unternehmen, noch zugelassen werden können.
Das Ergebnis dürfte aber eigentlich schon feststehen: Liest man die EuGH-Entscheidung sorgfältig durch, dann fällt auf, dass insbesondere der fehlenden Rechtsschutz für EU-Bürger in den USA und die Gesetzeslage, die den Zugriff der Behörden auf diese Daten ermöglicht, dazu geführt haben, dass die USA für den EuGH kein sicheres Drittland für Daten sind.
Diese beiden Punkte aber können weder über Standardvertragsklauseln noch über bindende Unternehmensregeln geändert werden.
Ergo: Ab dem 01.02.2016 dürften damit die Aufsichtsbehörden die jetzt schon in verschiedenen Stellungnahmen bereits angekündigten Prüfungen in den Unternehmen beginnen und damit dürfte auch die Verhängung von Bußgeldern folgen.
Jedes Unternehmen muss daher die jetzt vereinbarte Galgenfrist nutzen und bis zum 31.01.2016 die Datenübermittlungen umstellen, bspw. indem ausschließlich europäische Anbieter genutzt bzw. auf Rechenzentren in der EU zurückgegriffen wird.
Sprechen Sie uns gerne an, wenn wir Sie hierbei begleiten und unterstützen sollen.
Timo Schutt
Rechtsanwalt
Fachanwalt für IT-Recht