{"id":659896,"date":"2016-01-18T00:53:33","date_gmt":"2016-01-17T23:53:33","guid":{"rendered":"https:\/\/blog.wiwo.de\/management\/?p=659896"},"modified":"2016-01-18T00:53:33","modified_gmt":"2016-01-17T23:53:33","slug":"drei-monate-nach-dem-safe-harbor-urteil-durfen-deutsche-unternehmen-jetzt-keine-daten-mehr-in-die-usa-ubertragen-gastbeitrag-von-it-rechtlerin-lokke-moerel-von-morrison-foerster","status":"publish","type":"post","link":"https:\/\/blog.wiwo.de\/management\/2016\/01\/18\/drei-monate-nach-dem-safe-harbor-urteil-durfen-deutsche-unternehmen-jetzt-keine-daten-mehr-in-die-usa-ubertragen-gastbeitrag-von-it-rechtlerin-lokke-moerel-von-morrison-foerster\/","title":{"rendered":"Drei Monate nach dem Safe-Harbor-Urteil: D\u00fcrfen deutsche Unternehmen jetzt keine Daten mehr in die USA \u00fcbertragen? Gastbeitrag von IT-Rechtlerin Lokke Moerel von Morrison & Foerster"},"content":{"rendered":"

Weil Schleswig-Holstein und die Datenschutzbeauftragten aus der europ\u00e4ischen Reihe tanzen, stehen deutsche Unternehmen vor der Wahl: Entweder keine Daten\u00fcbertragungen mehr in die USA oder m\u00fchsam Einwilligungen einsammeln, die wom\u00f6glich ohnehin unwirksam sind?<\/strong><\/p>\n

Gastbeitrag von Lokke Moerel, einer der renommiertesten europ\u00e4ischen IT-Rechtlerinnen, Anw\u00e4ltin bei Morrison & Foerster in Berlin und Professorin an der niederl\u00e4ndischen Universit\u00e4t Tilburg.<\/strong><\/p>\n

 <\/p>\n

 <\/p>\n

\"Lokke\"<\/a>

Lokke Moerel<\/p><\/div>\n

\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 <\/a><\/p>\n

Das Landeszentrum f\u00fcr Datenschutz Schleswig-Holsteins und die Konferenz der Datenschutzbeauftragten des Bundes und der L\u00e4nder tanzen bei der Zusammenarbeit mit ihren europ\u00e4ischen Kollegen aus der Reihe.<\/p>\n

Anders als ihre europ\u00e4ischen Datenschutzkollegen haben Sie sich dazu entschlossen, Unternehmen nicht wenigstens bis 31. Januar 2016 Zeit zu lassen, um das Urteil des Europ\u00e4ischen Gerichtshofs umzusetzen. Vielmehr haben sie erkl\u00e4rt, dass auch die alternativen Methoden f\u00fcr einen rechtm\u00e4\u00dfigen Datentransfer in die USA unwirksam seien – und setzen sich damit von ihren Kollegen in Europa ab.<\/p>\n

 <\/p>\n

Keine gro\u00dfe Wahl mehr<\/strong><\/p>\n

Die Folge: Deutsche Unternehmen stehen daher vor der Wahl, Datentransfers in die USA einzustellen, oder die betroffenen Personen um Zustimmungen im Einzelfall zu bitten – was indes f\u00fcr Arbeitnehmer als unwirksam angesehen wird.<\/p>\n

\u00a0<\/b><\/p>\n

Zur Erinnerung: Am 6. Oktober 2015 hat der Europ\u00e4ische Gerichtshof (EuGH) eine Klage gegen Facebook zugunsten des Kl\u00e4gers Max Schrems entschieden. Damit erkl\u00e4rte er alle Daten\u00fcbertragungen in die Vereinigten Staaten im Rahmen des Safe-Harbor f\u00fcr ung\u00fcltig. In einer gemeinsamen Erkl\u00e4rung gaben die europ\u00e4ischen Datenschutzbeh\u00f6rden den USA und der EU bis 30. Januar 2016 Zeit, um zu einem Konsens zu kommen. Darin sollen die Bedenken des EuGH zum ungehinderten Zugang der US-Regierung zu Daten europ\u00e4ischer B\u00fcrger ber\u00fccksichtigt werden.\u00a0Die europ\u00e4ischen Datenschutzbeh\u00f6rden k\u00fcndigten konzertierte Durchsetzungsma\u00dfnahmen an, falls keine Einigung erzielt werden sollte.<\/span><\/p>\n

 <\/p>\n

Die europ\u00e4ischen Datenschutzbeh\u00f6rden erkennen in der Zwischenzeit allerdings die alternativen Mechanismen f\u00fcr Daten\u00fcbertragung in die USA an, die auch bisher zur Verf\u00fcgung stehen: also insbesondere die Vereinbarung von Standardvertragsklauseln (SSC \u2013 Standard Contract Clauses) mit den Empf\u00e4ngern der Daten in den USA, sowie verbindliche Unternehmensrichtlinien, sogenannte Binding Corporate Rules (BCR), die sichere Datentransfers gew\u00e4hrleisten sollen.<\/p>\n

\u00a0<\/b><\/p>\n

Deutsche Datensch\u00fctzer erkl\u00e4rten die Alternativen f\u00fcr ung\u00fcltig <\/strong><\/p>\n

Die deutschen Datensch\u00fctzer erkl\u00e4rten diese alternativen Transfermechanismen nun ebenfalls f\u00fcr ung\u00fcltig. Man stelle vorerst keine neuen Genehmigungen f\u00fcr Daten\u00fcbertragungen auf der Grundlage von BCR aus und halte Daten\u00fcbertragungsvereinbarungen (SCC) ebenfalls f\u00fcr unzureichend.<\/p>\n

 <\/p>\n

Erste Warnungen an US-Firmen aus Rheinland-Pfalz<\/strong><\/p>\n

Die Folge: Deutsche Unternehmen haben nun keine M\u00f6glichkeit mehr, Daten auf rechtlich sicherer Basis in die USA zu \u00fcbertragen.\u2028\u2028Die deutschen Beh\u00f6rden scheinen vor allem Auswirkungen auf die amerikanische Cloud-Service-Dienstleister im Auge zu haben. Die Datenschutzbeh\u00f6rde in Rheinland-Pfalz hat, Meldungen zufolge, bereits begonnen, erste Warnschreiben an Unternehmen mit Sitz in den USA zu versenden. \u00a0Der Berliner Datenschutzbeauftragte Alexander Dix erkl\u00e4rte, dass sich europ\u00e4ische Cloud-Dienstleister nun besser positionieren k\u00f6nnten. Dies k\u00f6nnte zu mehr Arbeitspl\u00e4tzen und Investitionen im Technologiebereich in Europa f\u00fchren.<\/p>\n

Fakt ist: Die derzeitige Praxis hat gravierende Auswirkungen auf die Gesch\u00e4ftst\u00e4tigkeit deutscher multinationaler Konzerne mit kontinuierlichem Datenaustausch.<\/p>\n

 <\/p>\n

Die praktischen Folgen<\/strong><\/p>\n

Einige Bespiele: Deutsche Banken, die Niederlassungen in den USA haben, k\u00f6nnen ihren Verpflichtungen nicht mehr nachkommen und die notwendigen Kontrollen durchf\u00fchren, um Betrug und Geldw\u00e4sche zu verhindern.<\/p>\n

Oder: Deutsche Pharmafirmen mit US-Sparten k\u00f6nnen nicht mehr – wie gesetzlich gefordert – Nebenwirkungen von Arzneien und Fehlfunktionen medizinischer Ger\u00e4te melden.<\/p>\n

Deutsche multinationale Konzerne, die auch in den USA an der B\u00f6rse sind, k\u00f6nnen das geforderte weltweite Meldesystem f\u00fcr Rechtsverst\u00f6\u00dfe nicht mehr umsetzen, ihr Personal nicht mehr global verwalten und ihr Recruiting nicht mehr weltweit durchf\u00fchren.<\/p>\n

Deutsche Firmen k\u00f6nnen nicht auf globalen, internetbasierten E-Commerce-Plattformen agieren, die US-Firmen betreiben.<\/p>\n

 <\/p>\n

Fr\u00fcher laxer deutscher Datenschutz, pl\u00f6tzlich eine Kehrtwende <\/strong><\/p>\n

Die Haltung der deutschen Datenschutzbeh\u00f6rden ist eine Kehrtwende gegen\u00fcber der Vergangenheit. Denn bis jetzt hat es wenig oder gar keine Durchsetzungskraft im Datenschutz gegeben. Obwohl Deutschland auf dem Papier eines der strengsten Datenschutzgesetze weltweit hat, ist die praktische Umsetzung anders: Datenschutz wird in Deutschland oft als soft law und nicht als hard law betrachtet.<\/p>\n

 <\/p>\n

Bislang sch\u00fctzten gerade Betriebsr\u00e4te die Daten<\/strong><\/p>\n

In der Praxis gew\u00e4hrleisten vor allem die Betriebsr\u00e4te in Deutschland die Umsetzung des Datenschutzes. Setzt ein Unternehmen beispielsweise ein neues globales Personalverwaltungssystem ein, verlangt h\u00e4ufig der Betriebsrat, ein Datentransfer-Tool, wie etwa Binding Corporate Rules (BCR), zu nutzen. Inzwischen arbeiten 72 multinationale Konzerne auf der Grundlage solcher BCRs – 24 davon aus den USA und Gro\u00dfbritannien, wo das Datenschutzrecht oft als lax betrachtet wird. Nur sieben dieser Unternehmen stammen aus Deutschland.<\/p>\n

Mein Vorschlag: Wie w\u00e4re es also, zun\u00e4chst Unternehmen, die derzeit \u00fcber gar keine Datentransferstandards verf\u00fcgen, zur Durchsetzung der Datentransferregeln zu verpflichten?<\/p>\n

Anstatt diejenigen Firmen abzustrafen, die ihre Verpflichtungen ernst nehmen und sich Mechanismen eines soliden Datenschutzes bedienen, wie beispielsweise der Binding Corporate Rules (BCR).<\/p>\n","protected":false},"excerpt":{"rendered":"

Weil Schleswig-Holstein und die Datenschutzbeauftragten aus der europ\u00e4ischen Reihe tanzen, stehen deutsche Unternehmen vor der Wahl: Entweder keine Daten\u00fcbertragungen mehr in die USA oder m\u00fchsam Einwilligungen einsammeln, die wom\u00f6glich ohnehin unwirksam sind? Gastbeitrag von Lokke Moerel, einer der renommiertesten europ\u00e4ischen … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":19,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[252,428,5347,4749,5348,5349,1105],"class_list":["post-659896","post","type-post","status-publish","format-standard","hentry","category-allgemein","tag-datenschutz","tag-gastbeitrag","tag-lokke-moerel","tag-morrison-foerster","tag-safe-harbor","tag-universitat-tilburg","tag-usa"],"_links":{"self":[{"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/posts\/659896","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/users\/19"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/comments?post=659896"}],"version-history":[{"count":0,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/posts\/659896\/revisions"}],"wp:attachment":[{"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/media?parent=659896"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/categories?post=659896"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/tags?post=659896"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}