16.12.2015EuGH: „Safe Harbor“-Abkommen gekippt – Massive Auswirkungen für Datentransfers in die USA
Der EuGH hat in seinem Urteil vom 6. Oktober 2015 das sog. „Safe Harbor“-Abkommen zwischen der EU-Kommission und den USA für ungültig erklärt. Damit können ab sofort Übermittlungen personenbezogener Daten aus Europa an Unternehmen in den USA nicht mehr auf Grundlage einer „Safe Harbor“-Zertifizierung des US-Datenimporteurs gestützt werden. Vielen Unternehmen wird dadurch die von ihnen bisher gewählte rechtliche Grundlage für die Übermittlung von personenbezogenen Daten an Dienstleister und Unternehmen in den USA entzogen. Betroffen ist insoweit allerdings auch die Übermittlung von personenbezogenen Daten zwischen europäischen und US-amerikanischen Konzerngesellschaften, die vielfach ausschließlich auf der Grundlage von „Safe Harbor“ erfolgte.
„Safe Harbor“-Abkommen zwischen den USA und der EU-Kommission
Gemäß der innerhalb der EU geltenden Datenschutzrichtlinie (Richtlinie 95/46/EG) dürfen personenbezogene Daten nur dann an andere Stellen (z.B. Unternehmen) im EU-Ausland übermittelt werden, wenn die betreffende Person in die Übermittlung der Daten eingewilligt hat, oder aber eine entsprechende vertragliche Regelung zwischen der die Daten übermittelnden Stelle und der die Daten empfangenden Stelle existiert. Voraussetzung für die Übermittlung personenbezogener Daten auf der Grundlage einer vertraglichen Regelung ist jedoch stets, dass die Daten bei der empfangenden Stelle ausreichend geschützt werden. Entscheidend ist dabei immer, dass in demjenigen Staat, in welchen die personenbezogenen Daten übermittelt werden, ein Datenschutzniveau existiert, das dem Datenschutzniveau der EU entspricht.
Ein solch‘ hinreichend hohes Datenschutzniveau existiert in den USA grundsätzlich nicht. Um allerdings dennoch den Datenaustausch mit den USA zu erleichtern, haben sich die EU-Kommission und die USA im Jahre 2000 auf das sog. „Safe Harbor“-Abkommen (Kommissionsentscheidung 2000/520/EG) geeinigt. Danach können sich US-Unternehmen vertraglich verpflichten, im Rahmen ihrer Datenverarbeitung die „Safe Harbor-Principles“ zu befolgen und sich beim US-Handelsministerium entsprechend zertifizieren lassen.
Ist ein US-amerikanisches Unternehmen „Safe Harbor“-zertifiziert, können personenbezogene Daten ohne weitere Erfordernisse (z.B. einer gesonderten Einwilligung der betroffenen Person) u.a. zur Abwicklung von Vertragsverhältnissen oder im Rahmen von Auftragsdatenverarbeitung aus Staaten innerhalb der EU in die USA übermittelt und dort gespeichert sowie verarbeitet werden.
Urteil des EuGH vom 6. Oktober 2015
In seinem Urteil vom 6. Oktober 2015 (Az.: C-362/14) hat der EuGH nunmehr jedoch festgestellt, dass personenbezogene Daten in den USA nicht hinreichend geschützt sind, selbst wenn das jeweilige US-Unternehmen „Safe Harbor“-zertifiziert ist. Ausgangspunkt war die Klage eines österreichischen Staatsangehörigen, der sich dagegen wehrte, dass der europäische Ableger des sozialen Netzwerks „Facebook“ mit Sitz im irischen Dublin personenbezogene Nutzerdaten an Server in die USA übermittelt und dort verarbeitet. Seines Erachtens seien seine personenbezogenen Daten in den USA nur unzureichend vor dem Zugriff durch US-amerikanische Sicherheitsbehörden geschützt.
Der EuGH hat im Wesentlichen ausgeführt, dass das „Safe Harbor“-Abkommen zwar für diejenigen amerikanischen Unternehmen Geltung beansprucht, die sich ihm unterworfen haben. Gleichwohl ist bei der Feststellung eines angemessenen Datenschutzniveaus in den USA zu berücksichtigen, dass die Erfordernisse der nationalen Sicherheit und des öffentlichen Interesses sowie die Durchführung von US-amerikanischen Gesetzen stets Vorrang vor den „Safe Harbor“-Prinzipien genießen. Damit aber seien die US-amerikanischen Unternehmen verpflichtet, die „Safe Harbor“-Prinzipien immer dann nicht anzuwenden, wenn sie in Widerstreit zu solchen Erfordernissen stehen oder US-amerikanische Gesetze entgegenstehen. Insofern biete das „Safe Harbor“-Abkommen keine Grundlage, um aus EU-Sicht ungerechtfertigte Eingriffe der amerikanischen Behörden in die Grundrechte der betroffenen Personen zu verhindern.
Vor diesem Hintergrund hat der EuGH das „Safe-Harbor“-Abkommen, d.h. die Entscheidung der EU-Kommission 2000/520/EG, für ungültig erklärt und damit einer Übermittlung personenbezogener Daten in die USA im Wege der „Safe-Harbor“-Entscheidung nunmehr die rechtliche Grundlage entzogen.
Auswirkungen des EuGH-Urteils auf Datentransfers mit den und in die USA
Das Urteil des EuGH stellt europäische Unternehmen, die personenbezogene Daten sowohl konzernintern (z.B. Beschäftigtendaten) als auch an Drittunternehmen (z.B. Cloud-Dienstleister) in die USA transferieren, vor große praktische Herausforderungen. Waren diese Datentransfers vor dem EuGH-Urteil noch allein durch „Safe Harbor“ gedeckt, so können zum gegenwärtigen Zeitpunkt nur noch individuelle Einwilligungen, EU-Standardvertragsklauseln oder bestehende verbindliche Konzernregeln („Binding Corporate Rules“ oder „BCR“) den Transfer personenbezogener Daten in die USA rechtfertigen.
Hinsichtlich der EU-Standardvertragsklauseln sowie BCR ist gleichwohl zu beachten, dass die unabhängigen Datenschutzbehörden des Bundes und der Länder in einem Positionspapier vom 26. Oktober 2015 mitgeteilt haben, dass zum einen für BCR bis auf weiteres keine Genehmigungen mehr erteilt werden und dass zum anderen beide Instrumente zur möglichen Rechtfertigung eines Datentransfers in die USA im Lichte der EuGH-Entscheidung überprüft werden sollen. Eine verbindliche Stellungnahme der deutschen Datenschützer wie auch der europäischen Datenschützer (Art. 29-Gruppe) ist für Ende Januar 2016 angekündigt. Sollte hier entschieden werden, dass weder EU Standardvertragsklauseln noch BCR einen Transfer personenbezogener Daten in die USA rechtfertigen können, wird eine Rechtfertigung künftig nur noch auf Grundlage individueller Einwilligungserklärungen der Betroffenen erfolgen können.
Zur Vermeidung zivilrechtlicher oder sogar strafrechtlicher Sanktionen ist dringend angezeigt, Datentransfer- und Datenschutzkonzepte detailliert zu überprüfen und, sofern erforderlich, anzupassen. Ungeachtet dessen bleibt zu hoffen, dass die bereits seit 2013 laufenden Verhandlungen zwischen der EU und den USA zur Überarbeitung des „Safe Harbor“-Abkommens durch die EuGH-Entscheidung wieder an Fahrt aufnehmen, so dass hier schnellstmöglich neue verbindliche Regelungen im Interesse eines rechtssicheren transatlantischen Datenaustauschs geschaffen werden.
Ihre Ansprechpartner
