Safe-Harbor-Update

Datenschutz

von Mariusz Bucki

Entwicklungen und Perspektiven der vergangenen Wochen.

Der EuGH hatte am 06.10.2015 das Safe-Harbor-Abkommen, eine Entscheidung der EU-Kommission zum Transfer personenbezogener Daten in die USA, für ungültig erklärt.

Aktuelle Datenübermittlungen im Rahmen eines Dienstleistungsvertrages mit einem US-Unternehmen, sind auf dieser Grundlage nicht mehr möglich. Verantwortliche Stellen müssen mit Sanktionen der Aufsichtsbehörden rechnen.

Gesundheitsdaten

Datenschutz-Arbeitsgruppen unterschiedlicher Institutionen, wie des Bundesverbandes Gesundheits-IT (bvitg) oder der Gesellschaft für Datenschutz und Datensicherheit (GDD), haben die Auswirkungen des Urteils auf Arztpraxen und Krankenhäuser kritisch hinterfragt. Laut einer gemeinsamen Stellungnahme der Autoren sind Verträge, die auf EU-Standardvertragsklauseln oder Binding Corporate Rules (BCR) basieren, nicht von der Unwirksamkeit des Safe-Harbor-Abkommens betroffen.

Relevanz hat diese Einschätzung ebenfalls für soziale Einrichtungen und generell für Berufsgruppen, die der Schweigepflicht unterliegen.

EU-US Privacy Shield (Safe-Harbor 2.0)

Die neue Einigung der EU-Kommission mit den USA wurde am 02.02.2016 bekanntgeben und die Details werden derzeit ausgearbeitet. Allerdings sehen Datenschutz-Aufsichtsbehörden die Einigung sehr kritisch. Eine abschließende Bewertung wird bis Ende April erwartet.

Bis dahin sind Datentransfers nur auf Grundlage der EU-Standardvertragsklauseln oder Binding Corporate Rules (BCR) legitim, betont die Bayrische Aufsichtsbehörde.

Alternativer Datenschutzvertrag

Für den Fall, dass eine Neuauflage von Safe-Harbor nicht zu einem europarechtskonformen Ergebnis führen könnte, haben Mitglieder des Netzwerks Datenschutzexpertise einen entsprechenden Export-Import-Standardvertrag entwickelt. Dr. Thilo Weichert, ehemaliger Leiter des unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein und Karin Schuler reagieren mit Ihrer Vorlage auf die herrschende Ratlosigkeit. Der Vorschlag richtet sich dabei an unterschiedliche Adressaten, wie die EU-Kommission, Aufsichtsbehörden, Unternehmen, Verbände und Betriebsräte.

Zurück