Rechtslage für Datenübermittlung in die USA

Der Europäische Gerichtshof hat im Fall „Schrems vs. Facebook" (EuGH C 362/14) die Safe Harbor-Entscheidung der Europäischen Kommission aus dem Jahr 2000 (Entscheidung 2000/520) für ungültig erklärt. Unternehmen, die personenbezogene Daten in die USA übermitteln, müssen daher – entgegen anderslautender Meldungen mancher Medien – unverzüglich handeln, zumal betroffene Beschäftigte, Kunden oder Lieferanten bei der Datenschutzbehörde jederzeit eine Beschwerde einbringen können.

Zunächst ist zu prüfen, ob bestimmte Voraussetzungen zutreffen, unter denen personenbezogene Daten weiterhin legal in die USA gesendet werden dürfen (§§ 12, 13 Datenschutzgesetz 2000), wie z.B.

  • Erfüllung von eindeutig im Interesse des Betroffenen abgeschlossenen Verträgen (§ 12 Abs. 3 Z. 6 DSG 2000), z.B. Kaufverträge, bei denen der Geschäftspartner seinen Sitz in den USA hat
  • Weitergabe personenbezogener Daten mit Zustimmung des Betroffenen (§ 12 Abs. 3 Z. 5 DSG 2000)
  • Weitergabe veröffentlichter Daten (§ 12 Abs. 3 Z. 1 DSG 2000)
  • Zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor ausländischen Behörden erforderliche Übermittlung rechtmäßig ermittelter Daten (§ 12 Abs. 3 Z. 7 DSG 2000)
  • Datenübermittlung oder -überlassung gemäß Standardverordnung (§ 17 Abs. 2 Z. 6 DSG 2000) oder Musterverordnung (§ 19 Abs. 2 DSG 2000; § 12 Abs. 3 Z. 7 DSG 2000)

Trifft keine Ausnahme zu, ist es datenschutzrechtlich am sichersten, wenn Unternehmen die Daten nach Europa zurückholen und auf einem unternehmenseigenen Server oder einem Server in einem EU-Staat, EWR-Staat oder in einem in der Datenschutzangemessenheits-Verordnung  angeführten sonstigen Staat verarbeiten. Auf Servern in den USA sind die Daten zu löschen.

Die Europäische Kommission hat in ihrer Stellungnahme zur Safe Harbor-Entscheidung unter anderem festgehalten, dass ein Transfer personenbezogener Daten in die USA auch in Zukunft auf Mechanismen wie Standardvertragsklauseln und Binding Corporate Rules gestützt werden kann. Die österreichische Datenschutzbehörde wird allerdings diesbezüglich im Rahmen des Genehmigungsverfahrens das im Empfängerstaat geltende Datenschutzniveau gemäß § 13 Abs. 2 DSG 2000 im Einzelfall beurteilen.