Update Datenschutz 01
Sicherer Hafen für den Datenschutz unter Beschuss
Safe Harbor ist ungültig. Nationale Aufsichtsbehörden können bei der Beurteilung des Datenschutzniveaus eines Drittlandes von Kommissionsentscheidung abweichen. Zu diesem Ergebnis gelangt jedenfalls der Generalanwalt des EuGH in einem Rechtsstreit gegen die irische Datenschutzaufsichtsbehörde. Da der EuGH häufig den Ausführungen des Generalanwalts folgt, müssen sich viele Unternehmen nun sehr schnell auf den Worst-Case vorbereiten: Der datenschutzrechtlichen Abschottung der Europäischen Union zu den Vereinigten Staaten und möglicherweise zu weiteren Teil der Welt. Betroffen hiervon ist eine Vielzahl von Unternehmen, die personenbezogene Daten in die USA übermitteln, etwa weil besonders günstige Cloud-Computing Modelle US-amerikanischer Anbieter wahrgenommen werden. Besondere Bedeutung erlangt das Thema auch für Konzerne mit Niederlassungen auf beiden Seiten des Atlantiks: Der Übermittlung einer Vielzahl von Personal- und Kundendaten könnte hier bald ein Riegel vorgeschoben werden.
Rechtlicher Hintergrund der Empfehlung des Generalanwaltes
Der Streit begann, als sich der Datenschützer Maximilian Schrems und sein Verein „Europa versus facebook“ bei mehreren nationalen Datenschutzaufsichtsbehörden über den Datentransfer in die USA durch Facebook und andere US-Konzerne beschwerte. Tatsächlich verbietet die EU-Datenschutzrichtlinie (95/46/EG) in Art. 25 die Übermittlung von personenbezogenen Daten in ein Drittland, welches nicht über ein “angemessenem Datenschutzschutzniveau” verfügt.
Seit 2000 Safe Harbor
Dies stand einer Übermittlung von Daten in die USA aber lange nicht im Wege, da hier entweder das Safe Harbor Abkommen oder die sogenannten Standardvertragsklauseln der EU-Kommission halfen, die bestehenden Datenschutzdefizite zu nivellieren. Gemäß der Kommissionsentscheidung 2000/520/EC, galt der Transfer an ein US-Unternehmen, welches sich gemäß dem Safe Harbor Kriterien in den USA zertifiziert hatte, als ein „sicherer“ Datentransfer mit „angemessenem Schutzniveau“. Lange Zeit entsprach es trotz wachsender Kritik an Safe Harbor dem üblichen Vorgehen, das die Datenschutzaufsichtsbehörden der europäischen Nationalstaaten einen durch Safe Harbor gedeckten Datentransfer in die USA nicht weiter hinterfragten. Dementsprechend berief sich die irische Datenschutzaufsichtsbehörde, bei der Schrems die Beschwerde gegen facebook eingereicht hatte, ebenfalls auf Safe Harbor und wies die Beschwerde zurück. Die hiergegen eingereichte Klage wurde durch den irischen High Court dem EuGH zur Vorabentscheidung vorgelegt.
Gretchenfrage an den EuGH
Das irische Gericht stellte dem EuGH die Frage, ob die Datenschutzaufsichtsbehörden an die Safe-Harbor-Entscheidung der EU-Kommission gebunden sind, wenn sie über einen Datentransfer in ein unsicheres Drittland entscheiden.
Antwort des Generalanwalts
Der Generalanwalt des EuGH bejahte diese Frage. Er stellt fest, dass aufgrund der Verpflichtung der Nationalstaaten zur Durchsetzung der wichtigen Datenschutz-Grundrechte aus Art 7. und 8. der europäischen Grundrechtecharta jedem Staat das Recht verbleiben muss, selbst in Einzelfällen das Datenschutzniveau eines Drittstaates zu überprüfen. Über diese Frage hinausgehend hat sich der Generalanwalt aber auch mit dem konkreten Fall der Datenübermittlung in die USA beschäftigt und in diesem Rahmen über die Rechtswirksamkeit der Safe Harbor-Entscheidung der Kommission befunden. Aufgrund der mangelhaften Durchsetzbarkeit von Safe Harbor für europäische Bürger und aufgrund der weiten Ausnahmeregelung, welche die Spionage durch Geheimdienste gestattet, kommt der Generalanwalt zu dem Schluss, dass die Kommission die Anwendbarkeit von Safe Harbor hätte aussetzen müssen. Der Generalanwalt empfiehlt dem EuGH, Safe Harbor für nichtig zu erklären.
Sind auch die Standardvertragsklauseln betroffen?
Unklar ist derzeit, ob auch die Standardvertragsklauseln, das andere Werkzeug um relativ unkompliziert Datentransfers in die USA zu erledigen, angesichts dieser Argumentation ebenfalls von einer Entscheidung des EuGH zu Safe Harbor betroffen sein könnte. Auch die Standardvertragsklauseln führen – ebenso wie Safe Harbor – gemäß einer Kommissionsentscheidung dazu, dass ein Datentransfer an ein Unternehmen, welches sich gemäß den Standardvertragsklauseln verpflichtet hat, als ein Datentransfer in ein sicheres Drittland gilt. Jedenfalls ist es den nationalen Aufsichtsbehörden nach der Argumentation des Generalanwalts gestattet, eigenständig zu ermitteln, ob der Datentransfer die Vorgaben des europäischen Datenschutzniveaus erfüllt. Gelangt eine Behörde zu dem Ergebnis, dass das Unternehmen im konkreten Einzelfall – trotz unterschriebener Standardvertragsklauseln – kein adäquates Datenschutzniveau aufweist, kann die Datenübermittlung untersagt und per Bußgeld geahndet werden. Die deutschen Datenschutzaufsichtsbehörden haben in der Vergangenheit im Rahmen der Kritik an Safe Harbor angedeutet, die Verwendung der Standardvertragsklauseln ebenfalls kritisch zu hinterfragen. Andererseits gewähren die Standardvertragsklauseln den Betroffenen direkte einklagbare Rechte gegen die datenverarbeitenden Unternehmen und enthalten auch im Übrigen strengere Vorgaben als die relativ unkonkreten Safe Harbor-Prinzipien, beides Aspekte, die nach Meinung des Generalanwalts bei Safe Harbor zu schwach ausgestaltet sind. Die Zukunft der Standvertragsklauseln muss dennoch zumindest als offen bezeichnet werden.
Auswirkungen auf Datentransport in wei-tere Länder mit geringem Rechtstaatsniveau?
Dies gilt, zumal der Generalanwalt in seiner Argumentation deutlich darauf abstellte, dass der rechtlich nicht präzise geregelte Zugriff auf personenbezogene Daten durch ausländische Geheimdienste – ohne faktische Möglichkeiten eines Rechtschutzes – ein Verstoß gegen Art. 7 und 8 der europäischen Grundrechtscharta darstellt. Diese Argumentation ist 1 zu 1 auf eine Reihe von weniger demokratisch und rechtstaatlich organisierten Staaten übertragbar. Vor diesem Hintergrund könnten in Zukunft auch Datenübertragungen etwa nach China oder eine Reihe afrikanischer Staaten – trotz Verwendung von Standardvertragsklauseln – untersagt werden.
To Do aus Unternehmenssicht
Soweit die Datenübermittlung in die USA bislang ausschließlich auf einer Safe Harbor Zertifizierung beruhte, sollten möglichst rasch alternative Lösungen geprüft werden. Ob diese in Standardvertragsklauseln zu sehen ist, muss derzeit allerdings als ungewiss gelten. Eine frühzeitige Kommunikation mit der Datenschutzaufsichtsbehörde ist hier möglicherweise ebenfalls eine Alternative, wobei die nationalen Behörden sich bis zur Entscheidung durch den EuGH sicherlich kaum zu definitiven Aussagen hinreißen lassen werden. Dies bedeutet, dass auch rein faktische Lösungen, also eine Verlagerung der Datenverarbeitung nach Europa, schnell geprüft und vorbereitet werden muss, um zur Not nach diesem rettenden Strohhalm greifen zu können. Bei Neubeschaffung von IT-Leistungen sollte von Beginn an eine europäische Lösung in den Fokus gestellt werden.