Nach dem Wegfall des Safe Harbor Abkommens herrscht große Verunsicherung bei vielen Unternehmen. Binding Corporate Rules und EU-Standardvertragsklauseln sind die Zwischenlösung. Aber es muss ein neues Abkommen her. Das kommt nun vielleicht schneller als zu erwarten war.

LÖSUNG INNERHALB VON DREI MONATEN

Wie EU-Kommissionsvizepräsident Andrus Ansip am Wochenende mitteilte, wird angestrebt innerhalb von drei Monaten mit den US-amerikanischen Partnern ein Abkommen zu treffen: „Die Kommission ist aufgefordert worden, rasch zu handeln, und genau das werden wir tun. Wir legen heute klare Leitlinien vor, und wir setzen uns einen festen zeitlichen Rahmen für den Abschluss der Verhandlungen. Die EU und die Vereinigten Staaten sind der wichtigste Handelspartner füreinander. Datenströme zwischen unseren Kontinenten sind von wesentlicher Bedeutung für Menschen und Unternehmen. Auch wenn es alternative Möglichkeiten gibt, ist ein sicherer neuer Rahmen doch die beste Lösung für den Schutz unserer Bürger und zum Bürokratieabbau für Unternehmen und insbesondere für junge Unternehmen.“ Wie EU-Justizkommissarin Věra Jourová betonte: „Ein etwaiges neues Abkommen muss die Bestimmungen des EuGH-Urteils erfüllen.“

LEITLINIEN SOLLEN HELFEN

Bis es aber soweit ist, sollen die neu veröffentlichten Leitlinien zum Thema „on the Transfer of Personal Data from the EU to the United States of America under Directive 95/46/EC following the Judgment by the Court of Justice in Case C-362/14“, die die EU-Kommission am Freitag veröffentlichte, alle Fragen klären und soweit möglich für Sicherheit sorgen.

BCR UND EU-STANDARDVERTRAGSKLAUSELN

Es bleibt dabei. Vorübergehend füllen die EU-Standardvertragsklauseln und die Binding Corporate Rules die Lücke, die Safe Harbor hinterlassen hat.
Wie es in der Pressemitteilung der EU heißt:
vertragliche Regeln: Vertragliche Regeln müssen bestimmte Pflichten (z.B. Sicherheitsmaßnahmen, Benachrichtigung der betroffenen Person, Sicherheitsvorkehrungen bei der Übermittlung sensibler Daten usw.) vorsehen. Mustervertragsklauseln sind hier verfügbar.
verbindliche unternehmensinterne Vorschriften für unternehmensgruppeninterne Datenübermittlungen: Auf der Grundlage derartiger Vorschriften können personenbezogene Daten unbegrenzt zwischen den Unternehmen einer weltweit operierenden Unternehmensgruppe übermittelt werden. Die Übermittlungen bedürfen jeweils der Zustimmung der Datenschutzbehörde des Mitgliedstaats, aus dem das multinationale Unternehmen Daten übermitteln möchte.
Ausnahmeregelungen:
o Datenübermittlung zum Abschluss oder zur Erfüllung eines Vertrags [einschließlich vorvertraglicher Situationen, beispielsweise zur Buchung eines Flugs oder eines Hotelzimmers in den Vereinigten Staaten];
o Durchsetzung oder Verteidigung von Rechtsansprüchen;
o (falls kein anderer Grund besteht:) Datenübermittlung bei aus freien Stücken und in voller Sachkenntnis erfolgender Zustimmung der betroffenen Person.