Kommission veröffentlicht Leitlinien für transatlantische Datenübermittlungen und fordert rasche Einigung auf neuen Rechtsrahmen als Konsequenz aus dem Schrems-Urteil

Die Europäische Kommission arbeitet seit Januar 2014 daran, auf der Grundlage von 13 Empfehlungen Datenübertragungen für EU-Bürger sicherer zu machen. Im Anschluss an das Urteil des Gerichtshofes hat die Kommission die Verhandlungen mit den Vereinigten Staaten über einen neuen und sicheren Rahmen für die Übermittlung personenbezogener Daten intensiviert. Ziel der Kommission ist es, die Gespräche innerhalb von drei Monaten abzuschließen.

In der Zwischenzeit müssen Unternehmen das Urteil befolgen und nach Möglichkeit auf alternative Datenübermittlungsinstrumente zurückgreifen. Wie bereits vom ersten Vizepräsidenten Timmermans und von Kommissionsmitglied Jourová am Tage des Urteilsspruches angekündigt, hat die Kommission heute Leitlinien für die Übergangszeit bis zur Annahme eines neuen Rechtsrahmens veröffentlicht. In der betreffenden Mitteilung der Kommission werden die Folgen des Urteils analysiert und alternative Verfahren für die Übermittlung von personenbezogenen Daten in die Vereinigten Staaten erörtert. Die Kommission wird zudem weiterhin eng mit den unabhängigen Datenschutzbehörden zusammenarbeiten, um eine einheitliche Umsetzung des Urteils sicherzustellen.

Vizepräsident Andrus Ansip (zuständig für den digitalen Binnenmarkt) sagte dazu: „Wir brauchen ein Abkommen mit unseren US-amerikanischen Partnern in den nächsten drei Monaten. Die Kommission ist aufgefordert worden, rasch zu handeln, und genau das werden wir tun. Wir legen heute klare Leitlinien vor, und wir setzen uns einen festen zeitlichen Rahmen für den Abschluss der Verhandlungen. Die EU und die Vereinigten Staaten sind der wichtigste Handelspartner füreinander. Datenströme zwischen unseren Kontinenten sind von wesentlicher Bedeutung für Menschen und Unternehmen. Auch wenn es alternative Möglichkeiten gibt, ist ein sicherer neuer Rahmen doch die beste Lösung für den Schutz unserer Bürger und zum Bürokratieabbau für Unternehmen und insbesondere für junge Unternehmen.“

Kommissionsmitglied Vera Jourová ergänzte: „Die Bürger brauchen robuste Garantien für den Schutz ihrer Grundrechte, und die Unternehmen brauchen Klarheit in dieser Zwischenzeit. Deshalb möchten wir heute erläutern, unter welchen Bedingungen Unternehmen auf rechtmäßige Art und Weise vorübergehend Daten übermitteln können. Wir werden auch weiterhin eng mit den nationalen Datenschutzbehörden zusammenarbeiten, die für die Durchsetzung der Datenschutzvorschriften in den Mitgliedstaaten verantwortlich sind. Ich habe die laufenden Gespräche mit den Vereinigten Staaten über einen neuen und soliden Rahmen für transatlantische Datenübermittlungen intensiviert und werde die Gespräche nächste Woche in Washington fortführen. Ein etwaiges neues Abkommen muss die Bestimmungen des EuGH-Urteils erfüllen.”

In der Mitteilung hebt die Kommission folgende Punkte hervor:

–          Das Safe-Harbor-Abkommen kann nicht mehr als Rechtsgrundlage für die Übermittlung personenbezogener Daten in die Vereinigten Staaten dienen.

–          Die Kommission wird die Verhandlungen über einen neuen und soliden Rahmen für transatlantische Übermittlungen personenbezogener Daten fortsetzen und zum Abschluss bringen, wobei dieser Rahmen die Anforderungen des Urteils erfüllen muss, insbesondere in Bezug auf die Beschränkungen und Garantien bezüglich des Zugriffs auf personenbezogene Daten durch die US-amerikanischen Behörden;

–          Darüber hinaus werden weitere Angemessenheitsbeschlüsse geändert werden müssen, damit die Datenschutzbehörden der Mitgliedstaaten auch künftig Beschwerden von Einzelpersonen ungehindert nachgehen können.

In der Mitteilung werden alternative Grundlagen für die Übermittlung personenbezogener Daten in die Vereinigten Staaten dargelegt, ohne der Unabhängigkeit und den Befugnissen der Datenschutzbehörden der Mitgliedstaaten zur Prüfung der Rechtmäßigkeit einer solchen Datenübermittlung vorzugreifen. Datenübertragungen von Unternehmen können derzeit auf folgenden Grundlagen erfolgen:

• vertragliche Regeln: Vertragliche Regeln müssen bestimmte Pflichten (z.B. Sicherheitsmaßnahmen, Benachrichtigung der betroffenen Person, Sicherheitsvorkehrungen bei der Übermittlung sensibler Daten usw.) vorsehen.
  

• verbindliche unternehmensinterne Vorschriften für unternehmensgruppeninterne Datenübermittlungen: Auf der Grundlage derartiger Vorschriften können personenbezogene Daten unbegrenzt zwischen den Unternehmen einer weltweit operierenden Unternehmensgruppe übermittelt werden. Die Übermittlungen bedürfen jeweils der Zustimmung der Datenschutzbehörde des Mitgliedstaats, aus dem das multinationale Unternehmen Daten übermitteln möchte.
• Ausnahmeregelungen:

o   Datenübermittlung zum Abschluss oder zur Erfüllung eines Vertrags [einschließlich vorvertraglicher Situationen, beispielsweise zur Buchung eines Flugs oder eines Hotelzimmers in den Vereinigten Staaten];

o   Durchsetzung oder Verteidigung von Rechtsansprüchen;

o   (falls kein anderer Grund besteht:) Datenübermittlung bei aus freien Stücken und in voller Sachkenntnis erfolgender Zustimmung der betroffenen Person.

Hintergrund

Der Europäische Gerichtshof hat in seinem Urteil vom 6. Oktober in der Rechtssache Schrems die Safe-Harbor-Entscheidung der Kommission für ungültig erklärt. Durch das Urteil wurden die seit November 2013 unternommenen Bemühungen der Kommission um eine Überarbeitung des Safe-Harbor-Abkommens mit dem Ziel eines nach EU-Recht hinreichenden Datenschutzes bestätigt.

Am 15. Oktober trafen Vizepräsident Ansip sowie die Kommissionsmitglieder Öttinger und Jourová mit Vertretern der Unternehmen und der Industrie zusammen. Dabei forderten letztere eine klare und einheitliche Auslegung des Urteils und mehr Klarheit über die ihnen für Datenübermittlungen zur Verfügung stehenden Instrumente.

Am 16. Oktober veröffentlichten die 28 Datenschutzbehörden der Mitgliedstaaten eine Erklärung über die Folgen des Urteils.