Die Artikel-29-Datenschutzgruppe hat in ihrem Statement zum Wegfall des Safe Harbor Abkommens angenommen, „dass die Standardvertragsklauseln und BCR weiter verwendet werden können.“ Aber ist darauf wirklich Verlass?

EU-STANDARDVERTRAGS-KLAUSELN

Bei den sogenannten EU-Standardvertragsklauseln handelt es sich um den Beschluss der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern.

GRÖSSTER VORTEIL:

• Die Europäische Kommission stellt diese Vertragsklauseln in diversen Sprachen und Datenformaten zur Verfügung. Unternehmen haben somit ein (derzeit noch) rechtssicheres Vertragswerk, dass so auch von den Aufsichtsbehörden toleriert wird.

BINDING CORPORATE RULES

Die zweite Alternative besteht in Form der Binding Corporate Rules (BCR). Im Grunde genommen nennt man so ein Datenschutzprogramm, dem sich eine Gruppe von Unternehmen gemeinsam unterwirft. Sozusagen eine unternehmensweite, rechtsverbindliche Datenschutz-Richtlinie die den Umgang mit personenbezogenen Daten festlegt.

GRÖSSTER NACHTEIL:

• Die BCR müssen von der Aufsichtsbehörde abgesegnet werden. Dies beinhaltet eine Überarbeitung des Erstentwurfs und eine zeitaufwändige Zulassung. Für diese, gerne mal bis zu 3o-monatige Zeitspanne, herrscht Rechtsunsicherheit im Unternehmen.

HEUTE „HÜ“ UND MORGEN „HOTT“

Wer denkt, nach Aussage der Artikel-29 Datenschutzgruppe bestünde Rechtssicherheit, der hat sich getäuscht.
So schreibt das ULD am 6.10.2015 in seinem Positionspapier – zwar noch vor Veröffentlichung des Statements der Artikel-29-Datenschutzgruppe: „In konsequenter Anwendung der Vorgaben des EuGH in seinem Urteil ist eine Datenübermittlung auf Basis von Standardvertragsklauseln nicht mehr zulässig.“ Seitens des ULD wurde hierzu auch keine Änderung oder Revision veröffentlicht, weshalb man davon ausgehen muss, dass das ULD diese Meinung weiterhin vertritt. Auch das erst am 26.10.2015 erschienene Positionspapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz) widerspricht der Annahme der Artikel-29-Datenschutzgruppe: „Im Lichte des Urteils des EuGH ist auch die Zulässigkeit der Datentransfers in die USA auf der Grundlage der anderen hierfür eingesetzten Instrumente, etwa Standardvertragsklauseln oder verbindliche Unternehmensregelungen (BCR), in Frage gestellt.“

FAZIT

Es ist wohl davon auszugehen, dass die von der Artikel-29 Datenschutzgruppe veröffentliche Kulanzzeit bis Ende Januar 2016 von den Aufsichtsbehörden so ausgelegt wird, dass man hier nicht konkret gegen den Einsatz der EU-Standardvertragsklauseln bzw. BCR bei Datenübermittlung in die USA vorgehen wird. Jedenfalls nicht ohne sehr konkreten Anlass. Somit bleibt nur zu hoffen, dass bis dahin ein Nachfolgeabkommen für Safe Harbor rechtssicher im Raume steht.