Czech Republic: Ein bahnbrechendes Urteil des Europäischen Gerichtshofs hat der freien Weitergabe personenbezogener Daten in die USA auf der Grundlage des Safe Harbor-Programms ein Ende gesetzt
Im Rahmen des Safe Harbor-Programms („Sicherer Hafen“), welches im Jahr 2000 durch eine Entscheidung der Europäischen Kommission geschaffen wurde, war es möglich, personenbezogene Daten aus der EU an Gesellschaften in den USA weiterzugeben, die sich freiwillig zu den Prinzipien des Schutzes der Privatsphäre bekannten und auf einer „Safe Harbor“-Liste unbedenklicher Datenempfänger geführt wurden, ohne eine Genehmigung seitens der Datenschutzbehörde einzuholen. Der Europäische Gerichtshof hat aber diese Entscheidung der Europäischen Kommission in einem Rechtsstreit zwischen Facebook Ireland Ltd. und Edward Snowden für ungültig erklärt; Snowden war mit der Nachricht an die Öffentlichkeit gegangen, die Geheimdienste der USA hätten die massive weltweite Überwachung von Telefonen und E-Mails betrieben.
Mit der Aufhebung der Safe Harbor-Klausel sind die USA um ihre Sonderrolle im Bereich grenzüberschreitende Weitergabe personenbezogener Daten gekommen, und unterliegen nun der selben Behandlung wie andere Drittländer. Angesichts dessen, dass die „Safe Harbor“-Regelung die einfachste Art des Datentransfers in die Vereinigten Staaten darstellte, hat diese Entscheidung des EGH weitreichende Folgen nicht nur für große amerikanische Unternehmen wie z.B. Google oder die Betreiber von Cloud-Lösungen, sondern insbesondere auch für deren Kunden in Europa. Das Problem besteht im Kern darin, dass die größten Betreiber von Datenzentren auf globaler Ebene eben amerikanische Firmen sind. Solange bis die Europäische Kommission und die USA eine neue Vereinbarung schließen, muss die Weitergabe von personenbezogenen Daten auf eine der nachstehend beschriebenen Arten vollzogen werden.
Da ist zum einen die Aufnahme einer vertraglichen Standardklausel in den Vertrag, mit dem sich die jeweilige Partei verpflichtet, dass die von ihr in ein Drittland weitergegebenen personenbezogenen Daten ausreichend gegen unbefugte Eingriffe abgesichert werden, wobei die Klausel selbst konkrete Pflichten für die Parteien festschreibt, den Haftungsumfang definiert, die Beilegung von Streitigkeiten regelt usw.
Die zweite Möglichkeit besteht in der Verabschiedung sogenannter BCR – Binding Corporate Rules (verbindliche unternehmensinterne Datenschutzregelungen). Bei diesen handelt es sich um eine interne Richtlinie, die lediglich innerhalb eines (in mehreren EU-Ländern aktiven) Konzerns gilt. Im Regelfall wird diese Richtlinie den Transfer von Auskünften über Kunden oder Arbeitnehmer regeln. Allerdings ist das Prozedere im Zusammenhang mit der Verabschiedung derartiger Regeln höchst kompliziert; der Wortlaut der Regeln muss außerdem im Einklang mit sämtlichen nationalen Datenschutzvorschriften derjenigen Länder stehen, in denen die Gesellschaft Filialen unterhält.
In allen übrigen Fällen muss bei der Datenschutzbehörde (also in Tschechien bei der „ÚOOÚ“) eine Genehmigung zur Weitergabe der Daten beantragt werden, wobei wenigstens einer der Gründe erfüllt sein muss, die im Datenschutzgesetz vorgesehen sind, d.h. insbesondere eine Situation, in der die Weitergabe der Daten mit dem Einverständnis des Datensubjekts erfolgt, eine Situation, in der die Datenweitergabe für den Vertragsschluss unabdingbar ist, oder eine Situation, in der ein wichtiges öffentliches Interesse die Datenweitergabe erfordert.
Quelle: Entscheidung des EGH in Sachen Schrems v. Data Protection Commissioner (C-362/14), sowie Datenschutzgesetz (Ges. Nr. 101/2000 Slg.)