Datenschutz: Die Safe-Harbor- Entscheidung des EuGH
Der Europäische Gerichtshof (EuGH) hatte mit dem viel beachteten Urteil vom 6. Oktober 2015 nach Vorlage des irischen High Courts entschieden, dass das Safe-Harbor-Abkommen kein aus europäischer Sicht angemessenes Datenschutzniveau bildet und die (irische) Datenschutz-Aufsichtsbehörde die rechtliche Befugnis hat, eine Datenübermittlung auf Basis des Safe-Harbor-Abkommens zu untersagen.
Sachverhalt
Dem Urteil ist eine Beschwerde des Österreichers Max Schrems vorausgegangen, ob die irische Datenschutzbehörde prüfen muss, ob Facebook personenbezogene Daten in die USA übertragen darf. Die Behörde hielt sich nicht für zuständig, dies zu prüfen. Zum einen sei Facebook den Safe-Harbor-Regeln unterworfen und zum anderen würde Facebook die Safe-Harbor- Bedingungen einhalten.
Hintergrund
Die Übermittlung von personenbezogenen Daten in ein außereuropäisches Land ist nach dem Datenschutzrecht nur dann erlaubt, wenn dort ein angemessenes Schutzniveau für die Daten gewährleistet ist. In den USA bestand kein angemessenes Datenschutzniveau. In Staaten ohne ein angemessenes Datenschutzniveau kann ein solches dennoch angenommen werden, wenn eine Vereinbarung mit der EU besteht, die ein angemessenes Datenschutzniveau sicherstellt. Dabei muss sich die Daten empfangende Stelle der Vereinbarung unterwerfen. Das Safe-Harbor-Abkommen ist eine solche Vereinbarung.
Problematisch ist vor allem der US Patriot Act, der amerikanischen Ermittlungsbehörden weitreichende Eingriffsrechte gibt. Das Safe-Harbor-Abkommen hat der EuGH schließlich für unwirksam erklärt. Damit entfällt die Vermutung der Einhaltung der europäischen Datenschutzregelungen und das Safe-Harbor-Abkommen stellt keine ausreichende Grundlage für eine Datenübertragung in die USA durch Unternehmen wie Facebook mehr dar.
In seiner Pressemitteilung vom 6. Oktober teilte der EuGH abschließend mit: „Dieses Urteil hat zur Folge, dass die irische Datenschutzbehörde die Beschwerde von Herrn Schrems mit aller gebotenen Sorgfalt prüfen und am Ende ihrer Untersuchung entscheiden muss, ob nach der Richtlinie die Übermittlung der Daten der europäischen Nutzer von Facebook in die Vereinigten Staaten auszusetzen ist, weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten bietet.“
Praktische Konsequenzen
Sämtliche amerikanischen Anbieter von Online-Tools – um einige bekannte Unternehmen zu nennen wie Amazon Cloud Services, Apple, Dropbox, Google, Mailchimp Microsoft, Salesforce oder Skype – sind betroffen. Entscheidend ist jedoch, ob personenbezogene Daten in die USA übertragen werden. Beispiele für Anbieter, die personenbezogene Daten übertragen, sind Cloud-Anbieter, Anbieter von Hosting-Systemen und von Webseiten-Analysetools.
Die Anbieter reagieren nun auf verschiedenen Wegen. So wird Microsoft die Dienste Azure, Office 365 und CRM Online zukünftig auch aus zwei deutschen Rechenzentren anbieten, deren Zugang T-Systems wird dabei als Treuhänder überwachen wird. Andere Anbieter bieten häufig den Abschluss von Standardvertragsklauseln an.
Alternativen zum Safe-Harbor-Abkommen
Um ein angemessenes Datenschutzniveau sicherzustellen, gibt es verschiedene Möglichkeiten. Die in der Fachliteratur am meisten benannten Alternativen sind:
- die ausdrückliche Einwilligung der Datenübermittlung in die USA,
- die Verwendung von EU-Standardvertragsklauseln, mit denen sich der Dienstleister vertraglich den wesentlichen Regelungen der EU zum Datenschutz unterwirft oder
- der Einsatz von Dienstleistern, die Daten in der EU, dem EWR oder in sicheren Drittländern speichern. Dies erfolgt durch Verwendung von Binding Corporate Rules, also der rechtlich verbindlichen Implementierung von Unternehmensregelungen (Privacy Policy) zum Umgang mit personenbezogenen Daten im Konzern.
Erste Handlungsempfehlungen
Als ersten Schritt sollten Sie sich eine Liste der Dienstleister erstellen, die personenbezogene Daten in die USA auf Grundlage des Safe-Harbor-Abkommens übermitteln. Die EU-Datenschutzbehörden haben eine Art Schonfrist bis Ende Januar 2016 ausgesprochen und Standardvertragsklauseln ausdrücklich als zunächst weiterhin verwendbar erklärt. Die Positionierung der deutschen Datenschutzaufsichtsbehörden, die bisher uneinheitlich war, sollte unbedingt beobachtet werden. So hatte Anfang Oktober 2015 das Unabhängige Landeszentrum für Datenschutz (ULD) aus Schleswig-Holstein Bedenken gegen die von der EU-Kommission empfohlenen Ausweichmaßnahmen geäußert.
In einem Positionspapier hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 21.10.2015 Unternehmen aufgefordert, unverzüglich ihre Verfahren zum Datentransfer datenschutzgerecht zu gestalten. Leider bleibt im Positionspapier offen, wie dies in der Praxis erfolgen soll. Aber auch Bundesregierung, Bundestag, Kommission, Rat und Parlament der EU wurden aufgefordert, für Rechtssicherheit zu sorgen. Die Konferenz hat zudem angekündigt, ausschließlich auf Safe Harbor gestützte Datenübermittlungen in die USA zu untersagen und stellt auch die Zulässigkeit der Datentransfers in die USA auf der Grundlage der anderen hierfür eingesetzten Instrumente wie die Standardvertragsklauseln oder die verbindlichen Unternehmensregelungen infrage.
Bei Fragen sprechen Sie uns gerne an.