Entscheidung des EuGH – Safe-Harbor-Abkommen ungültig?

Die gestrige Entscheidung des Europäischen Gerichtshofes (1) fand bereits am Mittag erste Resonanzen in den Online-Medien. Stellungnahmen deutscher Politiker folgten im Laufe des Tages. So äußerte sich Bundesjustizminister Heiko Maas: „Das Urteil ist ein starkes Signal für den Grundrechtsschutz in Europa“. Doch was beinhaltet das Urteil konkret und was sind die Folgen für Unternehmen? 

Zunächst einmal zum Inhalt des Urteils selbst:

Die Richtlinie 95/46/EG des europäischen Parlamentes bestimmt, dass die Übermittlung personenbezogener Daten in ein Drittland nur zulässig ist, wenn das betreffende Drittland ein angemessenes Schutzniveau für diese Daten bietet. In der Entscheidung zu den Safe-Harbor-Regelungen aus dem Jahr 2000 stellte die EU-Kommission fest, dass die Vereinigten Staaten ein angemessenes Schutzniveau gewährleisten. Hierzu urteilte das Gericht nun wie folgt:

Eine Entscheidung der EU-Kommission kann die Befugnisse der nationalen Datenschutzbehörden nicht beseitigen oder beschränken. Nationalen Datenschutzbehörden müsse es möglich sein, die Rechtmäßigkeit einer Datenübermittlung in ein Drittland in völliger Unabhängigkeit zu prüfen. Die EU-Kommission habe keine Kompetenz, die Befugnisse der nationalen Behörden zu beschränken.

Die europäische Kommission hätte in ihrer Entscheidung von 2000 feststellen müssen, ob tatsächlich ein angemessenes Datenschutzniveau in den USA vorliege. Dies habe sie aber nicht getan, sondern sich darauf beschränkt, die Safe-Harbor-Regelung zu prüfen. Der EuGH betont, dass er nicht urteilt, ob die Regelung selbst ein Schutzniveau gewährleiste, sondern hält fest, dass die Safe Harbor Regelung nur für US-Unternehmen, nicht aber für die amerikanischen Behörden gelte. US-Unternehmen seien ohne jede Einschränkung verpflichtet, die Safe-Harbor-Regelungen auszusetzen, wenn Erfordernisse amerikanischer Behörden dies erfordere. Mit großer Deutlichkeit weist der EuGH auf den Zugriff der US-Behörden auf personenbezogene Daten von EU-Bürgern hin. Dieser Zugriff und die Speicherung der Daten ohne Differenzierung oder Einschränkung sei mit den rechtsstaatlichen Prinzipien nicht vereinbar.

Aus diesen Gründen erklärt der Gerichtshof die Entscheidung der Kommission vom 26.07.2000 für ungültig.

Was bedeutet dies konkret für Unternehmen?

Unternehmen, die aktuell auf Basis des Safe-Harbor-Abkommens Daten in die USA übermitteln, bewegen sich nun in einem rechtsfreien Raum. Auf der einen Seite hat das EuGH die Entscheidung der Kommission (nicht das Abkommen selbst!) für ungültig erklärt, verweist aber auch auf die Zuständigkeit der nationalen Datenschutzbehörden. Die deutschen Behörden zeigten sich bisher reserviert und konkretisierten in der Entschließung der 89. Konferenz der Datenschutzbeauftragten des Bundes und der Länder ihre Anforderungen an einen Datenexport auf Basis des Safe-Harbor-Abkommens (2):

Die Zweckbindung der Daten ist grundsätzlich sicherzustellen, staatliche Zugriffsmöglichkeiten müssen auf ein grundrechtskonformes Maß begrenzt bleiben. Den Betroffenen ist ein effektiver Anspruch auf Auskunft, Berichtigung bzw. Löschung gespeicherter Daten zu gewähren. Unternehmen sind gehalten, im Detail zu prüfen, ob und wie der amerikanische Datenimporteur die Safe-Harbor-Regelungen einhält, und die Prüfung muss dokumentiert werden.

Bisher beschränkte sich die Bundesdatenschutzbeauftragte darauf, das Urteil generell zu begrüßen (3), äußerte sich aber nicht zu möglichen Konsequenzen. Unternehmen, die auf Basis des Safe-Harbor-Abkommens Daten in die USA übermitteln, bleibt nun die Möglichkeit, die offiziellen Handlungsempfehlungen des BfdI und der Landesbehörden abzuwarten, im Vertrauen darauf, dass nach dem Urteil eine gewisse Karenzzeit gewährt wird, bis Neuregelungen in Kraft treten oder auf andere Regelungen zurückzugreifen:

  • Die bisherigen Vertragsregelungen werden mit einem Vertrag unter Verwendung der EU-Standardvertragsklauseln (nach EU-Richtlinie 95/46/EG) ergänzt. Hier handelt es sich im Grunde um eine klassische Vereinbarung zur Auftragsdatenverarbeitung. Die Vorlage kann im Internet abgerufen werden (Link hier).
  • die Anwendung von „Binding Corporate Rules (BCR)“ (verbindliche konzernweite Regelungen für den internationalen Datenverkehr). Dabei legt das Unternehmen verbindliche Unternehmensregelungen für den internationalen Datenverkehr fest und erreicht so ein angemessenes Datenschutzniveau im Sinne der EU-Richtlinie. Sinnvoll ist dieses Vorgehen vor allem für weltweit tätige Konzerne. Teilweise unterliegt dieses Vorgehen auch der Genehmigungspflicht durch die Landesdatenschutzbehörde.
  • Die Einholung einer Einwilligung des einzelnen Betroffenen gemäß §4a BDSG

Richtig zufriedenstellend ist keine dieser alternativen Lösungen. Das Einholen von Einwilligung ist bei einer massenhaften, automatisierten Datenverarbeitung keine realistische Alternative, und sowohl die EU-Standardvertragsklauseln wie die BCRs schützen Betroffene genauso wenig wie das Safe-Harbor-Abkommen vor dem (nach amerikanischen Recht legitimierten) Zugriff der US-Behörden auf ihre Daten. Rechtssicher agieren Unternehmen, wenn sie Dienstleistern mit Rechenzentren in Ländern des EWR-Wirtschaftsraumes beauftragen (sofern es diese gibt). Ansonsten bleibt nur zu hoffen, dass die zuständigen Verhandlungspartner in der EU und den USA in nicht allzu ferner Zukunft sich auf ein realistisches Handling beim transatlantischen Datentransfer einigen können.

Quellen:

(1) Pressemelung des Europäischen Gerichtshofes vom 06.10.2015

(2) 89. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 18./19.03.2015

(3) Stellungnahme der BUndesbeauftragten für den Datenschutz und die Informationsfreiheit, Andrea Voßhof, vom 06.10.2015

Autor: 
Christine Thieme