Der Europäische Gerichtshof (EuGH) hat in seiner Entscheidung vom 6. Oktober den Beschluss der EU-Kommission 200/520/EG aufgehoben, in dem die Kommission das Schutzniveau der Vereinigten Staaten von Amerika bei der Übertragung von personenbezogenen Daten von EU-Bürgern als angemessen betrachtet hatte. Diese Entscheidung bekräftigt ausdrücklich, dass die personenbezogenen Daten der europäischen Bürger durch amerikanische Unternehmen keinen Schutz auf dem Niveau der Europäischen Union bei „Safe Harbour“ (Sicherer Hafen) genießen.
Im Rahmen der Richtlinie 95/46/EG vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und den freien Verkehr dieser Menschen, können nur personenbezogene Daten an ein Drittland übertragen werden, wenn ein angemessenes Schutzniveau garantiert wird. Die Europäische Kommission kann ihrerseits unter Berufung auf ihre nationalen Rechtsvorschriften oder internationalen Verpflichtungen erklären, dass ein Drittland ein angemessenes Schutzniveau erfüllt, wie in der Entscheidung 200/520/EG bezüglich der Vereinigten Staaten von Amerika dargelegt wurde.
Der EuGH ist der Auffassung, dass die Entscheidung 200/520/EG die Befugnisse der nationalen Datenschutzbehörden nicht begrenzen darf. Darüber hinaus wies das oberste Gericht darauf hin, dass keine europäische Richtlinie zu diesem Thema, nationale Behörden daran hindere, die Übertragung personenbezogener Daten an Drittländer zu überwachen, die Gegenstand einer Entscheidung der Kommission gewesen sind. Im Gegenzug erklärte sie auch, dass die genannte Entscheidung nichtig sei, weil die Kommission nicht feststellen könne, dass die Vereinigten Staaten über ein Schutzsystem verfügen, dass im Bereich personenbezogener Daten vergleichbar mit dem europäischen System ist.
Die unmittelbare Auswirkung dieser Entscheidung für die Unternehmen ist, dass ab jetzt jede Übertragung von Daten zwischen Europa und den Vereinigten Staaten von staatlichen Regulierungsbehörden genehmigt werden muss. In Spanien ist hierfür die Genehmigung des Leiters der spanischen Datenschutzbehörde erforderlich (Agencia Española de Protección de Datos).
Schließlich wird erwartet, dass Anfang 2016 eine allgemeine EU- Datenschutzvorschrift verabschiedet wird, die Unternehmen, die personenbezogenen Daten aus der EU bearbeiten, eine Reihe von Werkzeugen zur Verfügung stellen soll, um die für sie geltenden Bestimmungen an die europäische Gesetzgebung anzupassen. Diese Regelung zielt darauf ab, die Gesetze der verschiedenen Mitgliedsländer zu vereinheitlichen, um den Unternehmen einfachere Geschäftsprozesse zu gewährleisten und die rechtlichen Verpflichtungen in Bezug auf den Datenschutz festzulegen.
Vilá Abogados
Für weitere Informationen, kontaktieren Sie bitte:
13. November 2015