Welche Folgen hat das Safe-Harbor-Urteil des EuGH vom 06.10.2015?

Safe-Harbor

 

Der Europäische Gerichtshof (EuGH) hat mit seinem Urteil vom 06.10.2015 eine grundlegende Entscheidung zum sogenannten Safe-Harbor-Abkommen getroffen. Durch diese Entscheidung hat der EuGH die Datenübermittlung von Europa in die USA auf der rechtlichen Grundlage des Safe-Harbor-Abkommens für unzulässig erklärt.

Seit dem ist einige Zeit vergangen und es bietet sich an, einen Überblick über den aktuellen Stand der Diskussion zu geben.

Insbesondere ist hier von Interesse, ob eine Datenübertragung in die USA denn überhaupt noch möglich ist und wenn ja, unter welchen Bedingungen diese zu erfolgen hat.

I. Hintergrund Safe-Harbor

Beim Safe-Harbor-Abkommen handelt es sich um eine im Jahre 2000 zwischen der Europäischen Union und den USA getroffene Vereinbarung, welche gewährleisten sollte, dass personenbezogene Daten legal in die USA übertragen werden konnten.

Grund für dieses Abkommen war Artikel 25 und 26 der Europäischen Datenschutzrichtlinie. Nach diesen Normen war ein Datentransfer in einen Drittstaat außerhalb Europas verboten, sofern dieser über kein dem EU-Recht vergleichbares Datenschutzniveau verfügt. Die USA stellen einen solchen Drittstaat dar, da es dort keine umfassenden gesetzlichen Regelungen zum Datenschutz gibt, weshalb sie nicht mit dem europäischen Datenschutzniveau gleichzusetzen sind.

Um dennoch einen Datentransfer in die USA zu ermöglichen, erließ die EU-Kommission am 26.10.2000 die Entscheidung 2000/520, wonach in den USA tätige Organisationen dann über ein dem EU-Standard angemessenes Datenschutzniveau verfügen sollten, wenn sie sich öffentlich und unmissverständlich gegenüber der amerikanischen Federal Trade Commission verpflichteten, 7 Datenschutzprinzipien einzuhalten, welche zuvor vom US-Handelsministerium aufgestellt wurden.

II. Entscheidung des EuGH

Durch das Urteil des EuGH vom 06.10.2015 hat dieser aber nun im Grundsatz entschieden, dass die Entscheidung 2000/520 der EU-Kommission aus dem Jahr 2000 (Safe-Harbor-Abkommen) aufgrund von Verstößen gegen die RL 95/46/EG und europäischen Grundrechten ungültig ist.

Nach der Meinung der EuGH-Richter, hätte die Kommission vor Inkrafttreten des Safe-Harbor-Abkommens ausführlich untersuchen müssen, ob das US-Recht überhaupt ein angemessenes Datenschutzniveau zulässt und zudem obliege es nationalen Datenschutzbehörden trotz der Entscheidung der EU-Kommission, zu prüfen, ob bei der Verarbeitung personenbezogener Daten und der Übermittlung in Drittländer die Anforderungen des EU-Rechts auch tatsächlich eingehalten werden.

III. Folgen der Entscheidung

Die EU-Kommission will deshalb jetzt mit den USA verhandeln, um bei in den USA verarbeiteten Daten, das vom EuGH geforderte Datenschutzniveau doch erreichen zu können. Dazu solle bis Ende Januar 2016 ein Ergebnis vorgelegt werden.

Aufgrund dieser Entscheidung ergeben sich direkte Folgen für Unternehmen in Deutschland, welche bisher personenbezogene Daten an Unternehmen in den USA übermittelt haben oder solche Dienstleister genutzt haben, die das tun. Denn als Folge der Entscheidung des EuGH ist auch die rechtliche Grundlage für die Datenübermittlung in die USA weggefallen.
Grundsätzlich gibt es deshalb für die Lösung dieses Problems drei unterschiedliche Ansätze:

1. Ausschließliche Nutzung europäischer Server

Der wohl sicherste Weg ist jeglichen Datentransfer in die USA sofort zu stoppen und stattdessen ausschließlich Dienste und Server zu nutzen, die Daten alleine in Europa verarbeiten und lagern. Dies ist aber wohl nur für einen kleinen Teil der Unternehmen kurzfristig handhabbar, vor allem Konzerne mit Tochtergesellschaften in den USA sind auf einen Datenaustausch mit in den USA ansässigen Gesellschaften angewiesen.

2. Vertragliche Regelungen durch EU-Standardvertragsklauseln und Binding Corporate Rules

Eine andere Möglichkeit ist, dass Unternehmen für die Zukunft andere zulässige Rechtsgrundlagen für einen Datentransfer in die USA heranziehen oder schaffen.

a. EU-Standardvertragsklauseln
Eine solche zulässige Rechtsgrundlage könnten die sog. EU-Standard-Vertragsklauseln sein, welche letztlich den US-Datenimporteur dazu verpflichten das europäische Datenschutzrecht einzuhalten, insbesondere dem Betroffenen bezüglich seiner Daten ein Auskunfts-, Löschungs- und Sperrungsrecht einräumt sowie technisch-organisatorische Vorkehrungen beim US-Datenimporteur garantiert, um ein dem EU-Recht angemessenes Datenschutzniveau zu gewährleisten.

Bei den EU-Standardvertragsklauseln handelt es sich um standardisierte Verträge, die von der EU-Kommission neben dem Safe-Harbor-Abkommen geschaffen wurden und ein ausreichendes Datenschutz-Niveau statuieren sollen.
Problematisch ist dabei jedoch, dass diese EU-Standardvertragsklauseln bei einem Datentransfer in die USA an denselben rechtlichen Mängeln leiden dürften wie das Safe-Harbor-Abkommen. Zwar betrifft das EuGH-Urteil nur das Safe-Harbor-Abkommen, jedoch ist nicht auszuschließen, dass aufgrund derselben Begründung auch die EU-Standardvertragsklauseln in Zukunft für unzulässig erklärt werden.

b. Binding Corporate Rules
Binding Corporate Rules stellen unternehmensinterne Datenschutzregeln dar, welche dann weltweit (für das betreffende Unternehmen) gelten. Problematisch dabei ist jedoch, dass US-Unternehmen trotzdem den Zugriff amerikanischer Geheimdienste nicht wirksam ausschließen können, sofern sie ihren Sitz in den USA haben und somit der dortigen Hoheitsmacht unterliegen.
Zudem ist die Erarbeitung von Binding Corporate Rules für einen Konzern ein oft Jahre dauernder Prozess, an dessen Ende 2 Aufsichtsbehörden in Deutschland diese Binding Corporate Rules genehmigen müssen. Hier zeigt die aktuelle Praxis, dass die Datenschutzbehörden das Genehmigungsverfahren aktuell ausgesetzt haben, eine Genehmigung also bis auf weiteres nicht erlangt werden kann.

3. Einwilligungen

Nach Ansicht der deutschen Datenschutzaufsichtsbehörden kann möglicherweise auch die Einwilligung des Betroffenen die Datenübermittlung in die USA zulässig machen.
Eine solche Einwilligung soll aber nur unter engen Bedingungen möglich sein. Außerdem soll die Einwilligung beim Export von Beschäftigtendaten oder wenn Daten Dritter betroffen sind nur in Ausnahmefällen zulässig sein.

Schwierig könnte außerdem die Anforderung sein, dass der jeweilige Betroffene über Art, Umfang und Reichweite seiner Einwilligung konkret informiert werden müsste. Zudem könnte der Betroffene dann seine Einwilligung auch noch jederzeit widerrufen.

Somit ist es in der Praxis unmöglich, einen Austausch größerer Datenmengen aufgrund von Einwilligungen vorzunehmen.

Handlungsempfehlungen für Unternehmen

Im Rahmen der ganzen Diskussion darf nicht vergessen werden, dass sowohl das nun gekippte Safe-Harbor-Abkommen als auch EU-Standardvertragsklauseln oder Binding-Corporate-Rules keine Rechtsgrundlage für den Datentransfer schaffen, sondern nur einen nach deutschem Datenschutzrecht grundsätzlich erlaubten Datentransfer in ein Drittland (USA) ermöglichen sollen.

Ein Patentrezept gibt es derzeit nicht leider.

Viele Aufsichtsbehörden raten bis auf weiteres dazu, keinen Datentransfer in die USA vorzunehmen.

In jedem Fall ist anzuraten, Datenaustausch wenn überhaupt nur auf Grundlage der EU-Standardvertragsklauseln vorzunehmen. Auch wenn die o.g. rechtlichen Unsicherheiten bestehen ist dies immer noch der bessere – und datenschutzrechtlich sicherere – Weg als keinerlei vertragliche Absicherung des Datentransfers vorzunehmen.

RA Norbert Geyer

Über RA Norbert Geyer

Rechtsanwalt Norbert Geyer leitet das Referat IT-Recht bei RDP. Sein Tätigkeits- und Interessenschwerpunkt liegt dabei in der Vertragsgesaltung und im Datenschutzrecht. Er bloggt über wichtige Urteile und Entwicklungen im IT-Recht.