Art. 29 Datenschutzgruppe, gemeins. Erkl. v. 16.10.2015

Datentransfer in die USA: Kein "Safe Harbor", aber EU-Standardvertragsklauseln und BCR bis Januar 2016

Am 16.10.2015 hat die Art. 20 Datenschutzgruppe eine gemeinsame Erklärung zur Umsetzung der "Safe Harbor"-Entscheidung des EuGH veröffentlicht. Darin fordert die Art. 29 Datenschutzgruppe die Mitgliedstaaten und Institutionen der EU sowie die USA auf, bis Ende Januar 2016 politische, rechtliche und technische Lösungen für den Datentransfer in die USA zu entwickeln, die die Grundrechte der EU-Bürger wahren. Bis Ende Januar 2016 bilden nach Einschätzung der Art. 29 Datenschutzgruppe sowohl EU-Standardvertragsklauseln als auch Binding Corporate Rules (dazu Grapentin, "Haftung und anwendbares Recht im internationalen Datenverkehr - EU-Standardvertragsklauseln und Binding Corporate Rules", CR 2010, 102 - 107) eine taugliche Rechtsgrundlage für den Transfer personenbezogener Daten in die USA (vertiefend Moos (Hrsg.), Datennutzungs- und Datenschutzverträge, Teil 5  Kapitel I. und V.).

Kein "Safe Harbor" als Rechtsgrundlage

Durch das "Safe Harbor"-Urteil des EuGH v. 6.10.2015 steht nach Einschätzung der Art. 29 Datenschutzgruppe fest, dass jedweder Datentransfer auf Grundlage der "Safe Harbor"-Entscheidung 2000/520/EG der EU-Kommission rechtswidrig erfolgt.

Schwacher Bestandsschutz für EU-Standardvertragsklauseln und BCR

Bis Ende Januar 2016 werden die Art. 29 Datenschutzgruppe und die nationalen Datenschutzaufsichtsbehörden EU-Standardvertragsklauseln und Binding Corporate Rules (BCR) nur grundsätzlich als taugliche Rechtsgrundlage ansehen. Danach können beide Rechtsinstitute zwar bis Ende Januar 2016 weiterhin verwendet werden, alle Datenschutzaufsichtsbehörden sind aber auch schon während dieser Zeit zum Schutz individuell Betroffener aufgerufen und ermächtigt, in Einzelfällen schon früher geeignete Datenschutzmaßnahmen zu ergreifen.

Ultimatum

Wenn bis Ende 2016 keine angemessene Lösung für den rechtskonformen Transfer personenbezogener Daten in die USA gefunden ist, kündigt die Art. 29 Datenschutzgruppe Entschlossenheit zu notwendigen und verhältnismäßigen Maßnahmen der Datenschutzaufsichtsbehörden an, zu denen auch koordinierte Vollstreckungsmaßnahmen gehören.

(ga)

Article 29 Data Protection Working Party, "STATEMENT on the implementation of the judgement of the Court of Justice of the European Union of 6 October 2015 in the Maximilian Schrems v Data Protection Commissioner case (C-362-14)", 16 October 2015

Inoffizielle Übersetzung der gemeinsamen Erklärung der Art. 29 Datenschutzgruppe v. 16.10.2015 zur Umsetzung der "Safe Harbor"-Entscheidung des EuGH von DURY Rechtsanwälte

Art. 29 Datenschutzgruppe, "Statement of the Article 29 Working Party - Deutsche Fassung", seit 20.10.2015 verfügbar auf der Website der BfDI

Article 29 Data Protection Working Party, "The Court of Justice of the European Union invalidates the EU Commission Safe Harbor Decision", Press Release of 6 October 2015

Verlag Dr. Otto Schmidt vom 22.10.2015 09:51

zurück zur vorherigen Seite