Nachdem der Europäische Gerichtshof (EuGH) das Safe Harbor-Abkommen für ungültig erklärt hatte, soll der EuGH nun die sog. EU Standard Contract Clauses zur Datentransfer außerhalb der EU überprüfen.
Die irische Datenschutzbehörde, die dem österreichischen Juristen Max Schrems im Streit um das Safe Harbor-Abkommen unterlag, will die EU Standard Contract Clauses überprüfen lassen. Nachdem das Safe Harbor-Abkommen für ungültig erklärt worden war, mussten viele Unternehmen auf alternative Rechtsgrundlagen für einen Datentransfer außerhalb der EU ausweichen. Neben der Einwilligung und den sog. Binding Corporate Rules (BCR) sind dies die EU Standard Contract Clauses.
Kaum verhältnismäßige Rechtsgrundlage ohne Standard Contract Clauses
Sollte der EuGH nach Safe Harbor auch die Standard Contract Clauses für ungültig erklären, bliebe Datenexporteuren de facto keine verhältnismäßige Rechtsgrundlage mehr. Die Praxis von jedem Betroffenen rechtswirksame Einwilligungen einzuholen dürfte praktisch für alle Unternehmen einen ebenso unverhältnismäßig hohen Aufwand darstellen, wie die Einholung entsprechender aufsichtsbehördlicher Genehmigungen. Die Standard Contract Clauses bleiben jedoch bis zu einer Entscheidung des Europäischen Gerichtshofs (EuGH) in Kraft. Sie können weiterhin genutzt werden, um personenbezogene Daten zu übermitteln. Sofern Unternehmen den Datentransfer bereits auf die Grundlage der Standard Contract Clauses gestützt haben, ist ein Handeln nach heutigem Stand nicht erforderlich.
Schwierige Situation für Datenexporteure
Unternehmen, die Daten in z.B. in die USA transferieren wollen oder müssen, finden sich in einer zunehmend schwierigen Situation wieder. Nach dem Wegfall von Safe Harbor wurden sie einer ihrer wichtigsten und meistgenutzten Rechtsgrundlage für den Datentransfer in die USA verlustig. Wer nicht schnell genug auf eine andere Rechtsgrundlage umstellte sah sich mit einem Bußgeldverfahren konfrontiert. Die ersten dieser Verfahren endeten in Hamburg mit der Verhängung von Bußgeldern von bis zu 11.000 EUR. Dabei blieb die Hamburgische Datenschutzbehörde noch deutlich unter der Maximalstrafe von 300.000 EUR, weil sich die betroffenen Unternehmen im Verfahren kooperativ zeigten und ihren Datentransfer an die neue Rechtslage anpassten. Weitere Verfahren der Behörde sind noch offen, andere Landesdatenschutzbehörden könnten dem Beispiel folgen und ebenfalls Verfahren einleiten.