EuGH kippt Safe Harbor

Durch Urteil vom 6. Oktober 2015 hat der Gerichtshof der Europäischen Union (EuGH) entschieden, dass die Safe-Harbor-Entscheidung der Europäischen Kommission vom 26. Juli 2000 ungültig ist. Damit können Datenübermittlungen in die USA nicht mehr auf diese Kommissionsentscheidung gestützt werden. Unternehmen, die personenbezogene Daten in die USA übermitteln, werden aufgefordert, die Zulässigkeit dieser Übermittlung im Lichte des Urteils des EuGH zu überprüfen. Dies gilt unabhängig davon, ob sie die Befugnis aus Safe Harbor, verbindlichen Unternehmensregelungen oder Einzelverträgen herleiten.

 
Hier lesen Sie mehr:

Urteil des EuGH

Pressemitteilung des EuGH zu Safe Harbor

Statement der Art.-29-Gruppe zu Safe Harbor

Positionspapier der Datenschutzkonferenz


EU-U.S. Privacy Shield

Seit dem 1. August 2016 regelt das EU-U.S. Privacy Shield-Abkommen den Schutz personenbezogener Daten, die aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen werden.

Eine Datenübermittlung auf Grundlage der sog. Safe-Harbor-Entscheidung der Europäischen Kommission vom 26. Juli 2000 ist nicht mehr zulässig. Die Safe-Harbor-Entscheidung wird durch das EU-U.S. Privacy Shield ersetzt.

Die Europäische Kommission hat mit Beschluss vom 12. Juli 2016 entschieden, dass das EU-U.S. Privacy Shield ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet. Dieses ist der Sache nach dem Niveau gleichwertig, wie es durch das europäische Datenschutzrecht (Richtlinie 95/46/EG) garantiert wird. Die Angemessenheit des Schutzniveaus wird regelmäßig überprüft.

Nach dem EU-U.S. Privacy Shield verpflichten sich U.S.-Unternehmen zur Einhaltung von Datenschutzgrundsätzen, die vom U.S.-Handelsministerium herausgegeben wurden. Das U.S.-Handelsministerium veröffentlicht unter https://www.privacyshield.gov eine Liste der zertifizierten Organisationen. Verstößt ein Unternehmen fortwährend gegen die Datenschutzgrundsätze, streicht das Handelsministerium dieses Unternehmen von der Liste.

Betroffenen aus Europa räumt das EU-U.S. Privacy Shield gegenüber zertifizierten U.S.-Unternehmen eine Reihe von Rechten auf Information, Auskunft, Berichtigung etc. ein.

Privatpersonen können eine Beschwerde direkt an ein zertifiziertes U.S.-Unternehmen, an eine von diesem benannte unabhängige Schiedsstelle, an die Federal Trade Commission oder an die nationale Datenschutzbehörde (z. B. an den Landesbeauftragten für den Datenschutz Sachsen-Anhalt) richten.

Privatpersonen haben auch das Recht, ein verbindliches Schiedsverfahren zu beantragen. Dessen Durchführung setzt die Ausschöpfung bestimmter Rechtsbehelfe voraus. Ansonsten können sich Privatpersonen frei für ein Rechtsschutzinstrument entscheiden.

Die Einhaltung der Grundsätze des EU-U.S. Privacy Shields kann so weit eingeschränkt werden, wie dies aus Gründen der nationalen Sicherheit, des öffentlichen Interesses oder der Strafverfolgung erforderlich ist.

Wenn Sie im Rahmen des EU-U.S. Privacy Shields Beschwerde einreichen wollen, wenden Sie sich bitte unter Nutzung der nachstehenden Beschwerdeformulare direkt an den Landesbeauftragten für den Datenschutz Sachsen-Anhalt.

Leitfaden der Artikel 29-Gruppe zum EU-U.S. Privacy Shield

FAQs für europäische Unternehmen zum EU-U.S. Privacy Shield

Formular zur Einreichung von Beschwerden beim Landesbeauftragten

Formular für die Übermittlung von Daten an die U.S.-Ombudsstelle