Deutsche Datenschutzbehörden zweifeln an der Zulässigkeit von Datenübermittlungen in die USA auf Grundlage von Standardvertragsklauseln

15. Oktober 2015

Nach der Safe-Harbor-Entscheidung des EuGH vom 06. Oktober 2015 sind Datenübermittlungen auf Grundlage des Abkommens nicht mehr zulässig.  Hintergrund der Entscheidung ist der Zugriff der amerikanischen Behörden auf der Basis des Patriot Act, der unabhängig von der gewählten rechtlichen Grundlage zur Anwendung kommen kann und europäische Daten nicht ausnimmt.

Nach wie vor in Betracht kommt indes ein Transfer auf der Basis der Standardvertragsklauseln bzw. Binding Corporate Rules, deren Zulässigkeit nicht Gegenstand des Verfahrens war. Datenschutzrechtliche Bedenken hiergegen bestanden jedoch bereits vor der Entscheidung des EuGH und werden erneut vor dem erläuterten Hintergrund der Entscheidung diskutiert.


Deutsche Datenschutzbehörden haben bereits im Jahr 2013 in einer gemeinsamen Presseerklärung erklärt, dass ihnen diese Standard-Vertragsklauseln nicht (mehr) ausreichten, solange die genauen Zugriffsmöglichkeiten der amerikanischen Geheimdienste nicht geklärt seien:

„Deshalb fordert die Konferenz die Bundesregierung auf, plausibel darzulegen, dass der unbeschränkte Zugriff ausländischer Nachrichtendienste auf die personenbezogenen Daten der Menschen in Deutschland effektiv im Sinne der genannten Grundsätze begrenzt wird.
Bevor dies nicht sichergestellt ist, werden die Aufsichtsbehörden für den Datenschutz keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten (zum Beispiel auch zur Nutzung bestimmter Cloud-Dienste) erteilen und prüfen, ob solche Datenübermittlungen auf der Grundlage des Safe-Harbor-Abkommens und der Standardvertragsklauseln auszusetzen sind.“


In dem Positionspapier zu dem Safe-Harbor-Urteil hält die schleswig-holsteinische Datenschutzbauftragte bei konsequenter Anwendung der Vorgaben des EuGH in seinem Urteil eine Datenübermittlung auf Basis von Standardvertragsklauseln für nicht mehr zulässig. Nichtöffentliche Stellen, die für ihren Datentransfer in die USA Standardvertragsklauseln verwenden, müssten nun in Erwägung ziehen, den zugrunde liegenden Standardvertrag mit dem Datenimporteur in den USA zu kündigen oder die Datenübermittlungen auszusetzen. Eine dauerhafte Lösung könne nur in einer Änderung des amerikanischen Rechts liegen.

Es werde nun geprüft, ob Anordnungen gegenüber nichtöffentlichen Stellen getroffen werden müssen, auf deren Basis Datenübermittlungen in die USA ausgesetzt oder verboten werden müssen.