10. März 2016

Daten­schutz: Die Safe-Harbor- Entschei­dung des EuGH

Der Euro­päi­sche Gerichtshof (EuGH) hatte mit dem viel beach­teten Urteil vom 6. Oktober 2015 nach Vorlage des irischen High Courts entschieden, dass das Safe-Harbor-Abkommen kein aus euro­päi­scher Sicht ange­mes­senes Daten­schutz­ni­veau bildet und die (irische) Daten­schutz-Aufsichts­be­hörde die recht­liche Befugnis hat, eine Daten­über­mitt­lung auf Basis des Safe-Harbor-Abkom­mens zu unter­sagen.

Sach­ver­halt

Dem Urteil ist eine Beschwerde des Öster­rei­chers Max Schrems voraus­ge­gangen, ob die irische Daten­schutz­be­hörde prüfen muss, ob Face­book perso­nen­be­zo­gene Daten in die USA über­tragen darf. Die Behörde hielt sich nicht für zuständig, dies zu prüfen. Zum einen sei Face­book den Safe-Harbor-Regeln unter­worfen und zum anderen würde Face­book die Safe-Harbor- Bedin­gungen einhalten.

Hinter­grund

Die Über­mitt­lung von perso­nen­be­zo­genen Daten in ein außer­eu­ro­päi­sches Land ist nach dem Daten­schutz­recht nur dann erlaubt, wenn dort ein ange­mes­senes Schutz­ni­veau für die Daten gewähr­leistet ist. In den USA bestand kein ange­mes­senes Daten­schutz­ni­veau. In Staaten ohne ein ange­mes­senes Daten­schutz­ni­veau kann ein solches dennoch ange­nommen werden, wenn eine Verein­ba­rung mit der EU besteht, die ein ange­mes­senes Daten­schutz­ni­veau sicher­stellt. Dabei muss sich die Daten empfan­gende Stelle der Verein­ba­rung unter­werfen. Das Safe-Harbor-Abkommen ist eine solche Verein­ba­rung.

Proble­ma­tisch ist vor allem der US Patriot Act, der ameri­ka­ni­schen Ermitt­lungs­be­hörden weit­rei­chende Eingriffs­rechte gibt. Das Safe-Harbor-Abkommen hat der EuGH schließ­lich für unwirksam erklärt. Damit entfällt die Vermu­tung der Einhal­tung der euro­päi­schen Daten­schutz­re­ge­lungen und das Safe-Harbor-Abkommen stellt keine ausrei­chende Grund­lage für eine Daten­über­tra­gung in die USA durch Unter­nehmen wie Face­book mehr dar.

In seiner Pres­se­mit­tei­lung vom 6. Oktober teilte der EuGH abschlie­ßend mit: „Dieses Urteil hat zur Folge, dass die irische Daten­schutz­be­hörde die Beschwerde von Herrn Schrems mit aller gebo­tenen Sorg­falt prüfen und am Ende ihrer Unter­su­chung entscheiden muss, ob nach der Richt­linie die Über­mitt­lung der Daten der euro­päi­schen Nutzer von Face­book in die Verei­nigten Staaten auszu­setzen ist, weil dieses Land kein ange­mes­senes Schutz­ni­veau für perso­nen­be­zo­gene Daten bietet.“

Prak­ti­sche Konse­quenzen

Sämt­liche ameri­ka­ni­schen Anbieter von Online-Tools – um einige bekannte Unter­nehmen zu nennen wie Amazon Cloud Services, Apple, Dropbox, Google, Mailchimp Micro­soft, Sales­force oder Skype – sind betroffen. Entschei­dend ist jedoch, ob perso­nen­be­zo­gene Daten in die USA über­tragen werden. Beispiele für Anbieter, die perso­nen­be­zo­gene Daten über­tragen, sind Cloud-Anbieter, Anbieter von Hosting-Systemen und von Webseiten-Analy­se­tools.

Die Anbieter reagieren nun auf verschie­denen Wegen. So wird Micro­soft die Dienste Azure, Office 365 und CRM Online zukünftig auch aus zwei deut­schen Rechen­zen­tren anbieten, deren Zugang T-Systems wird dabei als Treu­händer über­wa­chen wird. Andere Anbieter bieten häufig den Abschluss von Stan­dard­ver­trags­klau­seln an.

Alter­na­tiven zum Safe-Harbor-Abkommen

Um ein ange­mes­senes Daten­schutz­ni­veau sicher­zu­stellen, gibt es verschie­dene Möglich­keiten. Die in der Fach­li­te­ratur am meisten benannten Alter­na­tiven sind:

  • die ausdrück­liche Einwil­li­gung der Daten­über­mitt­lung in die USA,
  • die Verwen­dung von EU-Stan­dard­ver­trags­klau­seln, mit denen sich der Dienst­leister vertrag­lich den wesent­li­chen Rege­lungen der EU zum Daten­schutz unter­wirft oder
  • der Einsatz von Dienst­leis­tern, die Daten in der EU, dem EWR oder in sicheren Dritt­län­dern spei­chern. Dies erfolgt durch Verwen­dung von Binding Corpo­rate Rules, also der recht­lich verbind­li­chen Imple­men­tie­rung von Unter­neh­mens­re­ge­lungen (Privacy Policy) zum Umgang mit perso­nen­be­zo­genen Daten im Konzern.

Erste Hand­lungs­emp­feh­lungen

Als ersten Schritt sollten Sie sich eine Liste der Dienst­leister erstellen, die perso­nen­be­zo­gene Daten in die USA auf Grund­lage des Safe-Harbor-Abkom­mens über­mit­teln. Die EU-Daten­schutz­be­hörden haben eine Art Schon­frist bis Ende Januar 2016 ausge­spro­chen und Stan­dard­ver­trags­klau­seln ausdrück­lich als zunächst weiterhin verwendbar erklärt. Die Posi­tio­nie­rung der deut­schen Daten­schutz­auf­sichts­be­hörden, die bisher unein­heit­lich war, sollte unbe­dingt beob­achtet werden. So hatte Anfang Oktober 2015 das Unab­hän­gige Landes­zen­trum für Daten­schutz (ULD) aus Schleswig-Holstein Bedenken gegen die von der EU-Kommis­sion empfoh­lenen Ausweich­maß­nahmen geäu­ßert.

In einem Posi­ti­ons­pa­pier hat die Konfe­renz der unab­hän­gigen Daten­schutz­be­hörden des Bundes und der Länder vom 21.10.2015 Unter­nehmen aufge­for­dert, unver­züg­lich ihre Verfahren zum Daten­transfer daten­schutz­ge­recht zu gestalten. Leider bleibt im Posi­ti­ons­pa­pier offen, wie dies in der Praxis erfolgen soll. Aber auch Bundes­re­gie­rung, Bundestag, Kommis­sion, Rat und Parla­ment der EU wurden aufge­for­dert, für Rechts­si­cher­heit zu sorgen. Die Konfe­renz hat zudem ange­kün­digt, ausschließ­lich auf Safe Harbor gestützte Daten­über­mitt­lungen in die USA zu unter­sagen und stellt auch die Zuläs­sig­keit der Daten­trans­fers in die USA auf der Grund­lage der anderen hierfür einge­setzten In­strumente wie die Stan­dard­ver­trags­klau­seln oder die verbind­li­chen Unter­neh­mens­re­ge­lungen infrage.

Bei Fragen spre­chen Sie uns gerne an.