Das EuGH-Urteil hat weitreichende Folgen

Das EuGH-Urteil ist kein bloßer juristischer Akt, sondern hat unmittelbar massive Konsequenzen für Unternehmen. Sie müssen schleunigst prüfen, ob sie beziehungsweise ihre Dienstleister davon betroffen sind. Grund: „Übermittlungen von personenbezogenen Daten in die USA, die allein auf Safe Harbor als Rechtsgrundlage gestützt sind, können gegen die nationale Umsetzung von Artikel 25 der EU-Datenschutzrichtlinie 95/46/EG verstoßen“, erklärt der oberste europäische Datenschützer Buttarelli.

In Deutschland tun sie das auf jeden Fall, so NRW-Datenschützerin Helga Block: „Nach dem Safe-Harbor-Urteil des EuGH (…) ist eine Datenübermittlung aufgrund der Safe-Harbor-Entscheidung der Kommission vom 26. Juli 2000 (2000/520/EG) nicht zulässig.“ Wer diesen Sachverhalt ignoriert, riskiert Bußgelder bis zu 300.000 Euro. In Einzelfällen können sogar noch höhere Summen fällig werden, etwa wenn es um die Abschöpfung von Gewinnen geht. „Auch zivilrechtliche Klagen derjenigen, deren Daten übertragen werden, kommen in Betracht“, ergänzt der Rechtsanwalt und Fach­anwalt für IT-Recht Jens Eckhardt, Vorstand bei EuroCloud Deutschland_eco e. V. (Ressort Recht).

Nach dem EuGH-Urteil hatten sich die europäischen Datenschützer allerdings auf ein Stillhalteabkommen bis Ende Januar 2016 geeinigt. Während dieser Zeit sollte es keine Sanktionen für Firmen geben. „Sofern bis Ende Januar 2016 keine angemessene Lösung für eine Nachfolgeregelung zu Safe Harbor gefunden sein sollte, werden die Datenschutzbehörden dann alle notwendigen und angemessenen Maßnahmen ergreifen, um die Rechte betroffener Personen zu schützen, gegebenenfalls in koordinierten Aktionen“, kündigte Buttarelli aber an.

Ob es zu diesen Aktionen kommt und wie sie ausgestaltet sind, stand zu Redaktionsschluss noch nicht fest.