Der Europäische Gerichtshof hat in einem aktuellen Urteil die Ungültigkeit des Safe-Harbor-Abkommens zwischen der EU und den USA festgestellt. Über dieses Abkommen war es möglich, in der EU erhobene, personenbezogene Daten an Unternehmen in den USA zu transferieren. Vielfach wird geglaubt, dass dieses Urteil nur US-Unternehmen wie Amazon, Google und Facebook betrifft. Auch wenn Facebook der Ausgangspunkt der Entscheidung des EuGH war, hat das Urteil auch Auswirkungen auf europäische Unternehmen, die Daten in den USA speichern oder verarbeiten. Was müssen diese Unternehmen jetzt berücksichtigen und welche Konsequenzen wird dieses Urteil mittelfristig für die Marketingverantwortlichen haben?
Unternehmen, die keine eigenen Vereinbarungen mit US-Dienstleistern haben oder nicht mit Unternehmen zusammenarbeiten, die wiederum Daten in den USA verarbeiten und zudem nicht zu US-Unternehmen gehören, haben nichts zu befürchten. Betroffen von der Entscheidung sind allerdings diejenigen Unternehmen, deren vertragliche Basis für eine Datenverarbeitung in den USA auf die Einhaltung der Regelungen der Safe-Harbor-Vereinbarung abstellen. Solche Firmen stehen nun vor der Frage, wie sie sich nach dem Urteil des EUGH hinsichtlich ihrer Datenverarbeitung zu verhalten sollen. Dr. Fabian Niemann von der Rechtskanzlei Bird & Bird beantwortet hierzu die dringendsten Fragen:
Adzine: Herr Dr. Niemann, sollten also Unternehmen, die bisher auf Grundlage von Safe Harbor Daten in die USA transferiert haben, dies nach dem Urteil sofort unterlassen?
Dr. Niemann: Das Urteil des EuGH gilt ohne Umstellungsfrist unverzüglich. Nichtsdestotrotz sollten Unternehmen nicht in Panik verfallen und alle Datentransfers sofort abbrechen. Stattdessen gilt es jetzt zu prüfen, welche Datentransfers konkret betroffen sind und Alternativen zu evaluieren.
Adzine: Welche rechtlichen Auswirkungen hat das Urteil nun auf die Unternehmen, die bisher personenbezogene Daten in die USA transferiert haben?
Dr. Fabian Niemann
Dr. Niemann: Die rechtlichen Auswirkungen des Urteils sind noch nicht so klar, wie es zunächst den Anschein haben mag. Obwohl es offensichtlich ist, dass Datentransfers auf der Basis von Safe Harbor neu bewertet werden und möglicherweise auf einer neuen Grundlage erfolgen müssen, ist noch nicht abzusehen, wie neue rechtliche Rahmenbedingungen aussehen könnten. Die Einschätzung des neuen Sachverhalts und der sich daraus ergebenden Konsequenzen für Unternehmen ist von Seiten der zuständigen Datenschutzbehörden in den verschiedenen EU-Mitgliedsstaaten bisher noch sehr unterschiedlich. Schon diese Woche möchte sich die Artikel 29 Gruppe (also die Gruppe der europäischen Datenschutzbehörden) treffen, um die Folgen des Urteils zu beraten; die Resultate dieses Meetings bleiben abzuwarten. Kurzfristig dürften wahrscheinlich Standardvertragsklauseln die einzige Alternative in vielen Fällen sein.
Adzine: Was empfehlen Sie den Unternehmen, wie sollen sie sich verhalten?
Dr. Niemann: Es ist auf jeden Fall empfehlenswert, dass die Unternehmen:
- keine neuen Anwendungen einführen, die auf Datentransfers auf Grundlage von Safe Harbor setzen.
- die Entwicklungen verfolgen und für alle Eventualitäten vorbereitet sind,
- insbesondere darauf, dass Datenschutzbehörden in einzelnen Mitgliedsstaaten auch ohne Abstimmung innerhalb der EU möglicherweise kurzfristig drastische Schritte, wie den vollständigen Abbruch aller Datentransfers, verlangen.
- Optionen evaluieren, wie man auf die verschiedenen Entwicklungen reagieren kann.
Adzine: Wie hoch ist aktuell das Risiko, direkter rechtlicher Konsequenzen?
Dr. Niemann: Den inoffiziellen Statements der zuständigen Behörden nach zu urteilen, ist das Risiko aktuell noch gering. Dies kann sich aber schnell ändern, weshalb Unternehmen, wie bereits erwähnt, schnellstmöglich Alternativen evaluieren sollten.
Adzine: Welche Auswirkungen hat das Urteil auf andere rechtliche Grundlagen des Datentransfers, konkret Standardvertragsklauseln und Binding Corporate Rules (BCR)?
Dr. Niemann: Diese Grundlagen haben weiterhin Gültigkeit. Sie sind nicht Teil des Urteils. Aber auch hier besteht das Risiko, dass Grundlagen mittelfristig von Nutzern, Verbraucherverbänden oder Datenschutzorganisationen vor dem EuGH in Frage gestellt werden.
EVENT-TIPP ADZINE Live - First-Party Data fürs Advertising aktivieren am 16. Mai 2024, 11:00 Uhr - 12:30 Uhr
Alle sprechen von First-Party-Daten im Rahmen zukünftiger Adressierbarkeit von Werbemaßnahmen. Doch wo kommen diese Daten her und wie werden sie beweglich? Darf man sie überhaupt erfassen und nutzen? Jetzt anmelden!
