Nach der Entscheidung zur Unwirksamkeit von Safe Harbor (siehe unsere letzten beiden Newsletter) sollen sich die Aufsichtsbehörden nach Medienberichten auf einen Kompromiss zum Umgang mit Datentransfers in die USA geeinigt haben:

Die schleswig-holsteinische Datenschutzaufsicht („ULD“) hatte entgegen ihrer vorherigen Äußerungen erklärt, dass sie nun einen Datentransfer in die USA selbst bei zusätzlicher Ab- sicherung durch EU-Standardvertragsklauseln oder Binding Corporate Rules und selbst bei Einwilligung der Betroffenen für unzulässig halte (https://www.datenschutzzentrum.de/up- loads/internationales/20151014_ULD-Positionspapier-zum-EuGH-Urteil.pdf).

Die Datenschutzaufsichten Hessen und Bayern vertraten dagegen die Ansicht, dass die EU- Standardvertragsklauseln „in Prüfung“, aber als Instrument nicht ausgeschlossen seien (https://www.datenschutz.hessen.de/ft-europa.htm#entry4518,   Stand   13.10.2015).

Laut jüngsten Medienberichten haben sich  die  deutschen  Datenschutzaufsichtsbehörden nun auf einen Kompromiss verständigt. Danach sind vorläufig Datenübertragungen in die USA unter Verwendung von EU-Standardvertragsklauseln und Binding Corporate Rules zu- lässig. Bis Ende Januar 2016 soll diese Frage geklärt werden. Bis dahin soll gegen betroffene Unternehmen nicht vorgegangen werden.

Mittlerweile geht auch die Art. 29 Working Party der EU bis zu einer Entscheidung der Aufsichtsbehörden davon aus, dass Datentransfers in die USA vorläufig auf Basis von EU- Standardvertragsklauseln und Binding Corporate Rules zulässig sein können (siehe hierzu: http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_ press_material/2015/20151016_wp29_statement_on_schrems_judgement.pdf).

Bis auf Weiteres sollte daher (wie bereits von uns empfohlen) Folgendes beachtet werden:

  • Es sollten auch bei bestehender aktueller Safe-Harbor-Registrierung des Datenemp- fängers zusätzlich die jeweils passenden EU-Standardvertragsklauseln vereinbart wer- den. Im Fall einer Auftragsdatenverarbeitung sind daneben die zehn Vorgaben des § 11 BDSG zu beachten.
  • Binding Corporate Rules, die dies nicht vorsehen, sollten angepasst werden.
  • Ebenso anzupassen sind ggf. abweichende Betriebsvereinbarungen.