Datenaustausch mit Übersee ohne "sicheren Hafen"?

Berlin, 23.10.2015 — Nachdem der Europäische Gerichtshof (EuGH)die Safe Harbor-Entscheidung der EU-Kommission zur Übermittlung von personenbezogenen Daten in die USA für ungültig erklärt hat, hat die Diskussion über weiterhin mögliche Instrumente für eine rechtmäßige Übermittlung von personenbezogenen Daten in die USA zu ersten Ergebnissen geführt.

Die sogenannte "Artikel-29-Datenschutzgruppe" hat sich nun u.a. zu dieser Frage geäußert. Bei dieser Gruppe handelt es sich um ein Beratungsgremium der EU-Kommission, das sich vor allem aus den Vertretern der jeweiligen nationalen Datenschutzbehörden zusammensetzt.

Die Artikel-29-Datenschutzgruppe fordert die EU-Mitgliedstaaten und die europäischen Institutionen auf, mit den US-amerikanischen Behörden zu beraten, welche politischen, rechtlichen und technischen Möglichkeiten gefunden werden können, um eine Datenübermittlung in die USA sicherzustellen, die die Grundrechte achtet. In der Zwischenzeit werde die Artikel-29-Datenschutzgruppe ihre Analyse der Auswirkungen der EuGH-Rechtsprechung zu Safe Harbor auf die anderen Übermittlungsinstrumente fortsetzen.

Während dieser Zeit könnten Standardvertragsklauseln und verbindliche Unternehmensregelungen als Grundlage für die Datenübermittlung genutzt werden. Gleichwohl behalten sich die Datenschutzbehörden vor, bestimmte Fälle etwa auf Beschwerdebasis zu untersuchen und Maßnahmen zum Schutz Betroffener zu verhängen.

Falls bis Ende Januar keine angemessene Lösung mit den US-amerikanischen Behörden gefunden sei und abhängig vom Ergebnis der Analyse der anderen Übermittlungsinstrumente, wollen die Aufsichtsbehörden alle notwendigen und angemessenen Maßnahmen ergreifen, einschließlich koordinierter Durchsetzungsmaßnahmen. Die Artikel-29-Datenschutzgruppe betont zudem, dass Übermittlungen, die einzig auf der Grundlage der Safe Harbour-Entscheidung nach dem EuGH-Urteil vom 6. Oktober durchgeführt werden, rechtswidrig sein sollen.

Die Artikel-29-Datenschutzgruppe verdeutlicht mit dieser Erklärung, dass die Aufsichtsbehörden zumindest für eine Übergangsfrist Standardvertragsklauseln und verbindliche Unternehmensregelungen als Grundlage für die Datenübermittlung in die USA akzeptieren werden. Nicht erwähnt werden die sonstigen in Artikel 26 der Datenschutzrichtlinie 95/46/EG - umgesetzt in Artikel 4c BDSG - genannten Übermittlungsinstrumente wie z.B. Einwilligung und Übermittlung zur Erfüllung eines Vertrages. Es spricht jedoch einiges dafür, dass diese derzeit ebenfalls Möglichkeiten der rechtmäßigen Datenübermittlung sind.

Die Datenschutzgruppe macht mit ihren Ausführungen klar, dass für die Übermittlung von Daten auf der Grundlage der Safe Harbour-Entscheidung keine Übergangsfrist gewährt wird.

Mit ihrer Erklärung widerspricht sie zudem der Position der Datenschutzaufsichtsbehörde Schleswig-Holstein. Danach sollen nichtöffentliche Stellen (z.B. Unternehmen), die für ihren Datentransfer in die USA Standardvertragsklauseln verwenden, in Erwägung ziehen, diesen Standardvertrag zu kündigen oder die Datenübermittlung auszusetzen. Das entspricht nicht der Auffassung der Artikel-29-Datenschutzgruppe.

Die Erklärung der Artikel-29-Datenschutzgruppe sowie die Position der Datenschutzaufsichtsbehörde Schleswig-Holstein finden Sie hier.

Zum Hintergrund:

Der EuGH hatte am 06.10.2015 in der Rechtssache C-362/14 entschieden, dass die Safe Harbor Entscheidung der EU-Kommission (Entscheidung 2000/520/EG) ungültig ist. Bislang war die Verpflichtung von US-Unternehmen, die Datenschutzprinzipien der Safe Harbor Entscheidung einzuhalten, eines der möglichen Instrumente, um ein angemessenes Datenschutzniveau für Datenübermittlungen in die USA zu erzielen.

1. Sachstand
   
   Der Entscheidung liegt ein Rechtsstreit zwischen dem Österreicher Maximilian Schrems und der irischen Datenschutzbehörde zugrunde. Es ging um die die vollständige oder teilweise Speicherung persönlicher Daten der Nutzer von Facebook auf Servern in den USA. Herr Schrems, der seit 2008 Facebook nutzt, hatte sich mit einer Beschwerde an den irischen Datenschutzbeauftragten gewandt und geltend gemacht, dass in den USA personenbezogene Daten nicht vor staatlicher Überwachung geschützt seien.
   
   Der Datenschutzbeauftragte lehnte die Beschwerde u.a. mit der Begründung ab, dass er an der Prüfung der Vorwürfe durch die Safe Harbor Entscheidung der EU-Kommission gehindert sei. Gegen diese ablehnende Entscheidung des Datenschutzbeauftragten erhob Herr Schrems Klage beim irischen High Court. Dieser wandte sich mit der Frage an den EuGH, ob die Safe Harbour Entscheidung der EU-Kommission eine nationale Kontrollstelle daran hindert, eine Beschwerde zu untersuchen, mit der geltend gemacht wird, dass ein Drittland kein angemessenes Schutzniveau gewährleistet, sowie die beanstandete Übermittlung von Daten ggf. auszusetzen.
   
2. Entscheidungsgründe
   
   Der EuGH stellt in seiner Begründung insbesondere auf Art. 25 Abs. 6 der Datenschutzrichtlinie 95/46/EG ab, wonach die EU-Kommission feststellen kann, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen ein angemessenes Datenschutzniveau gewährleistet.
   
   Die Safe Harbor Entscheidung enthalte jedoch keine hinreichenden Feststellungen zu den Maßnahmen, mit denen die USA aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationalen Verpflichtungen einen ausreichenden Schutz gewährleistet. Zudem gebe es in der Safe Harbor Entscheidung keine Feststellung dazu, ob es in den USA staatliche Regeln gebe, die dazu dienen würden, etwaige Eingriffe in die Grundrechte der Personen, deren Daten aus der Union in die USA übermittelt werden, zu begrenzen. Weiterhin verletze eine Regelung, die keine Möglichkeit für den Bürger vorsehe, mittels eines Rechtsbehelf Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des in Art. 47 der Grundrechtecharta verankerten Grundrechts auf wirksamen gerichtlichen Rechtsschutz.
   
   In der Folge sei die Entscheidung der EU-Kommission zu Safe Harbor ungültig. Dies führt dazu, dass die irische Datenschutzbehörde nun prüfen muss, ob nach der Datenschutzrichtlinie die Übermittlung der Daten europäischer Nutzer von Facebook in die USA auszusetzen ist, weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten bietet.
   
   
3. Folgen
   
   Mit dem Urteil werden die Datenschutzbehörden gestärkt. So führt der EuGH aus, dass die nationalen Datenschutzbehörden in völliger Unabhängigkeit prüfen können müssen, ob bei der Übermittlung der Daten einer Person in ein Drittland die in der Datenschutzrichtlinie 95/46/EG aufgestellten Anforderungen gewahrt werden und zwar auch, wenn die EU-Kommission eine Entscheidung wie die zu Safe Harbor erlassen hat. Die Ungültigkeit eines Unionsrechtsakts wie einer solchen Entscheidung obliegt gleichwohl dem EuGH.
   
   Das Urteil des EuGH erschwert den Datenaustausch mit den Vereinigten Staaten. Gleichwohl bestehen weiterhin Möglichkeiten, Daten in die USA zu übermitteln. Dazu gehören neben der stets möglichen Einwilligung insbesondere sogenannte verbindliche Unternehmensregelungen und vertragliche Regelungen wie die EU-Standardsvertragsklauseln.
   

Tim Geier, Leiter des MITTELSTANDSVERBUND-Büros in Brüssel: "Die momentane Rechtsunsicherheit kann auch als Chance für europäische Unternehmen insgesamt verstanden werden. Wer seine Server im EU-Binnenmarkt hat, kann nunmehr mit gutem Recht sagen, dass er aktiv zum Daten- und damit letztendlich zum Verbraucherschutz beiträgt. Gerade im internationalen Wettbewerb bedeutet dies einen klaren Standortvorteil."