EU-Standardvertrag als schnelle Alternative?

EuGH: Safe Harbor gekippt

Der Europäischen Gerichtshof (EuGH) hat heute in der Rechtssache C-362/14 die „Safe Harbor Principles“ gekippt – und damit die Befugnisse der nationalen Datenschutzaufsichtsbehörden gestärkt.

„Tausende von Unternehmen haben ihre Datenübermittlungen zwischen Deutschland und den USA bisher auf Safe Harbor gestützt“, fordert Susanne Dehmel, Geschäftsleiterin des Branchenverbands Bitkom, jetzt „schnellstmöglich Rechtssicherheit“. Diese Unternehmen müssten unbedingt wissen, „auf welche rechtliche Grundlagen sie zukünftig bauen können und wie viel Zeit sie für die Umstellung auf andere Rechtsgrundlagen haben.“ Hier sind aus Bitkom-Sicht die EU-Kommission und die nationalen Datenschutzbehörden in der Pflicht.

Sache Schrems gegen Facebook

Auslöser des Urteils ist die Auseinandersetzung zwischen Max Schrems und Facebook und der irischen Datenschutzaufsichtsbehörde über die Zulässigkeit der Datenübermittlung aus Irland in die USA auf der Grundlage des Safe-Harbor-Abkommens zwischen EU und USA.

Mit dem Urteil erklärte der EuGH den Beschluss der EU-Kommission betreffend „Safe Harbor“ vom 26. Juli 2000 (Entscheidung 2000/520/EG der Kommission) für ungültig. Safe Harbor ist damit keine Rechtsgrundlage mehr für die Übermittlung von Daten an Unternehmen in den USA. Die Begründung: Die nationalen Datenschutzbehörden müssen bei Beschwerden in völliger Unabhängigkeit prüfen können, ob bei der Übermittlung der Daten einer Person in ein Drittland die in der Richtlinie 95/46/EG aufgestellten Anforderungen gewahrt werden. Sie sind dabei nicht an Entscheidungen der EU-Kommission zur Angemessenheit des Schutzniveaus in dem jeweiligen Drittland gebunden.

Schutzniveau in den USA angemessen?

Die Feststellung der Ungültigkeit des Safe-Harbor-Abkommens stützt der EuGH – laut Pressemitteilung – unter mehreren Gesichtspunkten auf die fehlenden Feststellungen zu Zugriffsbefugnissen der US-Behörden und zu (fehlenden) Rechtsbehelfe der dadurch Betroffenen bei solchen Zugriffen trotz Safe Harbor. Auch rügt der EuGH, dass die EU-Kommission bei der Entscheidung über Safe Harbor seinerzeit nur die Safe-Harbor-Regelung geprüft habe, aber nicht auch Feststellungen zum Schutzniveau im Lichte der europäischen Datenschutzwerte. Der EuGH trifft dabei keine eigenen Feststellungen zur Frage nach dem angemessenen Schutzniveau in den USA.

Die zweite Feststellung des EuGH hat die langfristig größere Tragweite: Die nationalen Aufsichtsbehörden können trotz Entscheidungen der EU-Kommission zur Angemessenheit des Datenschutzniveaus selbständig prüfen. Allerdings – und das betont der EuGH – sie können diese nicht aus eigener Machtvollkommenheit aussetzen. Das ist der Entscheidung durch den EuGH vorbehalten.

Zwei praktische Probleme

Die nationalen Behörden oder der Betroffene müssen die nationalen Gerichte anrufen, die dann die Frage der Angemessenheit dem EuGH zur Entscheidung vorlegen können. „Das hat zwei praktische Probleme“, sagt Thomas Spaeing, Vorstandsvorsitzender des Berufsverbandes der Datenschutzbeauftragten Deutschlands (BvD). „Die deutschen Datenschutzaufsichtsbehörden können nicht direkt deutsche Gerichte damit befassen, sondern müssen den Umweg über Anordnungen bzw. Untersagungen oder Bußgelder gehen.“ Die deutschen Gerichte aber seien – wie die Praxis zeige – „nicht besonders vorlagefreudig“.

Wichtigste Konsequenz des Urteils: Die Safe-Harbor-Principles sind keine tragfähige Grundlage mehr für den grenzüberschreitenden Datenverkehr. Susanne Dehmel weist darauf hin, dass es neben Safe Harbor weitere rechtliche Möglichkeiten gibt, einen Transfer von personenbezogenen Daten in Drittstaaten außerhalb der EU datenschutzkonform zu gewährleisten. Dazu zählt sie die von der EU-Kommission frei gegebenen Standardvertragsklauseln und die so genannten „Corporate Binding Rules“. Alternativ könnten Unternehmen die Einwilligung ihrer Nutzer für die Datenübermittlung individuell einholen.

Bitkom befürchtet lähmende Rechtsunsicherheit

Eine schnell umzusetzende Alternative sieht Spaeing im Abschluss eines EU-Standardvertrags. Gleichwohl bedürfe dieser der Erstellung und der Beachtung einiger Vorgaben. Vorteilhaft sei, dass dieser EU-Standardvertrag – anders als „Binding Corporate Rules“ oder Individualverträge – nicht der zuständigen Aufsichtsbehörde zur Genehmigung vorgelegt werden oder angezeigt werden müssen. In einigen EU-Mitgliedstaaten bestehen aber auch insoweit Anzeige- bzw. Genehmigungspflichten.

„Eine Umstellung von Safe Harbor auf andere rechtliche Verfahren bedeutet für die Unternehmen einen enormen Aufwand“, betonte Dehmel. Große Unternehmen hätten zum Teil hunderte Verträge auf der Basis von Safe Harbor geschlossen, die jetzt hinfällig werden. Sie müssen sofort handeln, ist damit doch die Übermittlung personenbezogener Daten in die USA nicht mehr zulässig. Die IT-Chefs dieser Firmen sollten alle Datenübermittlungen in die USA unverzüglich prüfen und ggf. schnellstmöglich mit den US-Dienstleistern individuelle Verträge aushandeln.

Inhaltlich jedoch war das Urteil überfällig, denn es gibt keinen „sicheren Hafen“ in den USA. Durch verschiedene Gesetze (etwa Patriot-Act) haben amerikanische Behörden jederzeit das Recht, auch personenbezogenen Daten einzusehen und zu verwenden. Aus europäischer Sicht hat das mit Datenschutz nichts zu tun.

curia.europa.eu

www.bvdnet.de

www.bitkom.org

Bildquelle: Thinkstock / iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok