Der „Sichere Hafen“ ist trockengelegt – keine Nachfolge für „Safe Harbor“

Bis zum Oktober war der Austausch von personengebundenen Daten zwischen den USA und der Europäischen Union relativ einfach geregelt. Das sogenannte „Safe Harbor“-Abkommen machte das möglich. Doch die höchsten europäischen Richter sahen es nicht so und kassierten die Regelung. Eine Übergangsfrist lief nun ab, ohne dass es eine neue Regelung gibt.

Safe Harbor – der sichere Hafen. 15 Jahre gab es ihn, dann wurde dieser Hafen buchstäblich am 6. Oktober 2015 vom Europäischen Gerichtshof trockengelegt. Bis gestern gab es eine Übergangsregelung nach dem Motto „Beide Augen zu und durch“. Nun aber ist der sicherere Hafen unsicheres und brüchiges Glatteis geworden.

Worum geht es konkret?

Im Jahr 2000 hatte die EU-Kommission entschieden, dass personengebundene Daten aller Bereiche ohne Probleme und ohne weitere Genehmigungen an die USA übermittelt werden können. Dies sei durch die europäischen Datenschutzgesetze gedeckt. Inzwischen habe sich diese Situation geändert, meinten die Richter am
Europäischen Gerichtshof. Sie bemängelten, dass US-Behörden und Geheimdienste Zugriff auf diese Daten hätten und setzten die Regelung aus. Die Datenschützer gaben allen Beteiligten bis Mitternacht – also eigentlich bis gestern – Zeit, eine Nachfolgeregelung zu finden. Doch diese gibt es nicht.

Für den Bundesverband der Deutschen Industrie (BDI) ist das nun ein katastrophales Rechtsvakuum. Dazu der Leiter der Rechtsabteilung, Heiko Willems:

Die EU und die USA sind zwei der wichtigsten Handelsmächte der Welt. Und da findet zwangsläufig auch ein Austausch von Personendaten statt und der kann nicht von heute auf morgen rechtswidrig sein.

Betroffen davon seien ganz simple Daten, deren Austausch im allgemeinen Geschäftsverkehr vollkommen normal sei:

Kontaktdaten von Ansprechpartnern, Kundendaten, Personaldaten – allein der Name und eine Telefonnummer ist ja schon ein personenbezogenes Datum, also es braucht gar nichts Privates oder Intimes zu sein, sondern wirklich jede Information mit Personenbezug fällt unter den Datenschutz.

Eigentlich müssten jetzt alle Verträge mit US-Geschäftspartner geändert und dann langwierig in jedem Einzelfall durch den deutschen Datenschutz überprüft werden. Oder man müsste von jedem Kunden und Geschäftspartner eine Erklärung einholen, dass er mit der Weitergaben der Daten in die USA einverstanden sei.

Da es aber weiterhin Verhandlungen zwischen der EU und den USA gibt, appelliert der BDI-Jurist Heiko Willems an die Datenschützer abzuwarten und nicht einzugreifen.

Wenn ein Nachfolgeabkommen kurz vor dem Abschluss steht, dann sollte das eigentlich genügen, und dann sollten keine Untersagungsverfügungen ausgesprochen werden, denn dann ist ja absehbar, dass bald wieder der Datentransfer aufgrund von Save Harbor 2 möglich sein wid.

Morgen und übermorgen treffen sich die europäischen Datenschützer mit der EU-Kommission, um über den Stand der Verhandlungen informiert zu werden.