06
Oct
2015

Datenschutz und IT-Recht

EuGH beschließt das Ende von Safe Harbor: Welche Konsequenzen folgen hieraus für Datentransfers in die USA?

Dr. Frank Bongers

Nicht nur die Automobilindustrie sorgt in diesen Tagen für Schlagzeilen. Heute hat der Europäische Gerichtshof (EuGH) eine wegweisende Entscheidung zum Datenschutz getroffen und damit zugleich unzählige Unternehmen verunsichert. Das Safe-Harbor-Abkommen zum Austausch von Daten zwischen Unternehmen der EU und Unternehmen in den USA wurde für ungültig erklärt. Für den Kläger Maximilian Schrems ist das Urteil ein Erfolg. Deutsche Unternehmen, die personenbezogene Daten z.B. bei einem Cloud-Dienstanbieter in den USA speichern, dürften allerdings weniger erfreut sein, denn im Ergebnis wird durch das Urteil des EuGH nahezu jeglicher Datentransfer in die USA in Frage gestellt.

Gegenstand des Verfahrens    


An sich ging es in dem Verfahren primär um eine formale Frage: Ist die irische Aufsichtsbehörde für den Datenschutz formal an das Safe-Harbor-Abkommen (Entscheidung 2000/520/EG der Europäischen Kommission) gebunden oder muss sie selbst prüfen, ob eine Datenübermittlung durch Facebook in die USA durch eine Safe-Harbor-Zertifizierung legitimiert ist?

Spricht man von Safe Harbor, geht es um die Möglichkeit amerikanischer Unternehmen, sich durch ein Verfahren der Selbstzertifizierung gegenüber dem US-Handelsministerium zur Einhaltung von Datenschutzstandards zu verpflichten, die zwischen der EU-Kommission und der US-Regierung ausgehandelt worden sind. Dadurch sollte eine Datenübermittlung aus der EU in die USA, welche sonst wegen des niedrigen Datenschutzniveaus in den USA grundsätzlich unzulässig ist, ermöglicht werden.

Die Entscheidung

Der EuGH hat in seinem heutigen Urteil nicht nur eine Bindung der irischen Aufsichtsbehörde an die Kommissionsentscheidung verneint, er hat die Kommissionsentscheidung zu Safe Harbor gleich für ungültig erklärt. Eine Safe-Harbor-Zertifizierung ist somit nicht mehr geeignet, einen Transfer personenbezogener Daten aus der Europäischen Union in die Vereinigten Staaten zu legitimieren.

Damit hat sich der EuGH der zunehmenden Kritik an Safe Harbor und letztlich der Auffassung des Generalanwalts angeschlossen.

Neuverhandlung des Safe-Harbor-Abkommens

Zwar verhandelt die EU-Kommission unter der Leitung der Kommissarin Věra Jouravá mit der US-Regierung über eine Novellierung des Safe-Harbor-Abkommens, aber selbst wenn die Verhandlungen wie angekündigt kurzfrist abgeschlossen sein könnten, bleibt fraglich, ob das neue Abkommen tauglicher ist. Denn es ist kaum zu erwarten, dass die Zugriffmöglichkeiten von Geheimdiensten zugunsten des Datenschutzes in der EU eingeschränkt werden.

Alternativen

Fällt die Legitimation von Datentransfers auf Basis von Safe Harbor ersatzlos weg, stellt sich die Frage nach Alternativen. Hier wurde in der Vergangenheit häufig der Abschluss der sogenannten EU-Standardverträge genannt. Dabei handelt es sich um Musterverträge, die von der EU-Kommission vorformuliert sind und die darauf abzielen, bei Stellen in Staaten ohne angemessenes Datenschutzniveau ein solches durch Vertragspflichten herzustellen. Es stellt sich aber die Frage, ob die EU-Standardverträge nicht "an der gleichen Krankheit leiden" wie das Safe-Harbor-Abkommen, denn auch die EU-Standardverträge stellen nicht sicher, dass amerikanische Geheimdienste keinen Zugriff auf personenbezogene Daten erhalten. Das gleiche dürfte für sogenannte Binding Corporate Rules gelten, mit denen grundsätzlich innerhalb eines Konzerns durch gegenseitige Verpflichtungen der Unternehmen und Genehmigung der Aufsichtsbehörden ein angemessenes Datenschutzniveau hergestellt werden kann.

Sollten all diese Möglichkeiten in der Zukunft den europäischen Stellen nicht mehr zur Verfügung stehen, bliebe letztendlich nur noch die Einwilligung des Betroffenen als Legitimation eines Datentransfers in die USA. Eine Einwilligung kommt in vielen Fällen aber aus praktischen Gründen nicht in Betracht. So wird es z.B. niemals verlässlich gelingen, die Einwilligung der gesamten aktuellen und künftigen Belegschaft eines deutschen Unternehmens für eine Verarbeitung von Beschäftigtendaten in den USA zu erhalten. Zudem könnte man die Frage stellen, ob eine Einwilligung überhaupt wirksam erteilt werden könnte, denn eine wirksame Einwilligung setzt voraus, dass der Einwilligende vollständig über die Verarbeitung und Nutzung seiner personenbezogenen Daten informiert wird. Letzteres dürfte in Bezug auf den Umgang mit den Daten durch amerikanische Geheimdienste schwierig sein.

Folgen für transatlantische Wirtschaftsbeziehungen

Unternehmen und andere verantwortliche Stellen müssen nun prüfen, ob die Datenübermittlung in anderer Weise legitimiert werden kann oder ob ggf. sogar auf Datenübermittlungen verzichtet werden muss. Da keine transatlantische Kooperation und Kommunikation ohne den Austausch personenbezogener Daten denkbar ist, berührt das oben genannte Urteil elementare Aspekte der transatlantischen Wirtschafsbeziehungen. Es wäre wünschenswert, wenn Politik und Aufsichtsbehörden zu den praktischen Folgen umgehend Stellung beziehen und ggf. Regelungen herbeiführen, die verhindern, dass Unternehmen vor die oben skizzierten unlösbaren Ausgaben gestellt werden. Der Hamburgische Beauftragte für den Datenschutz und Informationsfreiheit, Herr Prof. Dr. Johannes Caspar, hat angekündigt, dass die deutschen Aufsichtsbehörden noch in dieser Woche ihr Vorgehen auf nationaler und europäischer Ebene koordinieren werden.

Autoren: Dr. Frank Bongers und Dr. Karsten Krupna

» zur Übersicht