Zum Hintergrund

Grundsätzlich bedarf jeder Transfer personenbezogener Daten an eine Stelle außerhalb der EU/des EWR einer zusätzlichen Rechtfertigung. Neben der allgemeinen Zulässigkeit dieser Übermittlung muss im Empfängerland, dem sog. Drittstaat, ein angemessenes Schutzniveau gewährleistet sein (vgl. Artikel 25 Abs. 1 der Richtlinie 95/46/EU§ 4b Abs. 2 BDSG). Die Feststellung der Angemessenheit des Schutzniveaus in einem Land obliegt der EU-Kommission nach Artikel 25 Abs. 6 der Richtlinie 95/46/EG. Zu den sog. sicheren Drittländern gehören derzeit Andorra, Argentinien, Kanada, Schweiz, Färöer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland und Uruguay, nicht aber die USA (vgl. http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm).

Für die USA galt mit Hinblick auf das Safe-Harbor Abkommen entsprechend der Kommissionsentscheidung 2000/520/EG ein Sonderfall. Die EU-Kommission und das US-Handelsministerium einigten sich auf bestimmte Prinzipien, die – wenn sich ein US-Unternehmen auf diese verpflichtete und die Prinzipien umsetzte – ein angemessenes Schutzniveau sicherstellen sollten.

Bereits hat die EU-Kommission 2013 festgestellt, dass bestimmte Zugriffsrechte durch US-Behörden auf personenbezogene Daten bei Unternehmen bestehen, die nicht in Einklang mit den grundrechtlichen Gewährleistungen in der EU zum Schutz der Persönlichkeitsrechte der Betroffenen stehen (Mitteilung der EU-Kommission, COM 846 und 847 final). Die Kommission nahm daraufhin Verhandlungen für ein überarbeitetes Safe Harbor-Abkommen auf („Safe Harbor II“), die aber bis heute nicht zum Abschluss gekommen sind.

Neben dem Safe Harbor-Abkommen können auch die von der EU-Kommission verabschiedeten EU-Standardvertragsklauseln sowie bindende Unternehmensrichtlinien (Binding Corporate Rules) zur Sicherstellung eines angemessenen Datenschutzniveaus in unsicheren Drittländern genutzt werden. Darüber hinaus kann ein Betroffener auch in die Übermittlung seiner Daten in ein unsicheres Drittland einwilligen.

Zur Entscheidung

Der EuGH stellte in seiner Entscheidung fest, dass die nationalen Aufsichtsbehörden ohne Rücksicht auf eine bestehende Kommissionsentscheidung selbst prüfen können, ob nach ihrer Auffassung ein Datentransfer in ein Drittland den gesetzlichen Vorgaben entspricht oder nicht. Die Aufsichtsbehörden haben das Recht, diese Prüfung selbst vorzunehmen und dabei den aktuellen Sachverhalt zugrunde zu legen, der sich ggf. gegenüber einer Kommissionsentscheidung (wie z.B. Safe Harbor) geändert haben kann. Als grundsätzlich nicht mit dem geltenden Recht vereinbar sieht der EuGH Datentransfers in ein Drittland an, in dem anlasslos und ohne die Möglichkeit eines effektiven Rechtsschutzes auf Daten von EU-Bürgern zugegriffen werden kann.

Neben dieser Klarstellung der Kompetenzen und Pflichten der Datenschutzbehörden, erklärte der EuGH auch die Kommissionsentscheidung 2000/520/EG zu Safe Harbor für ungültig.

Konsequenzen

Als erste Konsequenz aus dem Urteil ergibt sich die sofortige Rechtswidrigkeit von Datentransfers in die USA, die sich ausschließlich auf das Safe Harbor-Abkommen stützen.

Die Artikel 29-Arbeitsgruppe hat angekündigt, bis Ende Januar 2016 Transfers basierend auf den Standardvertragsklauseln oder Binding Corporate Rules als mögliche Rechtfertigung für Drittlandtransfers zu akzeptieren. Sollte bis Ende Januar 2016 keine Einigung mit den Vereinigten Staaten erzielt worden sein, die Kritikpunkte des EuGH bezüglich des Rechtsschutzes sowie der anlasslosen Überwachung aufzunehmen und einer Regelung zuzuführen, behalten sich die Aufsichtsbehörden allerdings weitere Schritte vor. Die deutschen Behörden haben angekündigt, Einzelbeschwerden auch vor Januar 2016 nachzugehen und entsprechende Prüfungen vorzunehmen. Basierend auf der Begründung des EuGH sind verschiedene weitere Auswirkungen zu erwarten:

  • Die nationalen Behörden können verlangen, dass ihnen Drittlandtransfers basierend auf den EU-Standardvertragsklauseln vorgelegt werden; im Hinblick darauf, dass vertragliche Abreden zwischen Unternehmen keine Abwehrrechte gegenüber den Behörden der Zielstaaten begründen, ist mit der EuGH-Entscheidung damit zu rechnen, dass solche EU-Standardvertragsklauseln als nicht ausreichend angesehen werden können. Entsprechende Datentransfers in die USA könnten untersagt werden. Zudem besteht auch die Möglichkeit, dass andere Länder in den Fokus der jeweiligen Aufsichtsbehörden rücken, die mit ähnlichen Überwachungsprogrammen und fehlenden Garantien zu kämpfen haben. Eine Einzeluntersagung von Datentransfers sehen die Standardvertragsklauseln ausdrücklich vor (Art. 4(1) Kommissionsentscheidung 2010/87/EU, Art. 4(1) Kommissionsentscheidung 2001/497/EC, Art. 4 (2)Kommissionsentscheidung 2004/915/EG), ohne dass sich eine nationale Aufsichtsbehörde gegen die Kommissionsentscheidung an sich wenden würde, was nach Ansicht des EuGH dem Gericht selbst vorbehalten ist.
  • Gleiches Schicksal kann auch die bestehenden Binding Corporate Rules eines Unternehmens treffen. Auch diese wirken nur gegenüber den Binding Corporate Rules beigetretenen Unternehmen selbst sowie den Dritten, die wirksam auf die Binding Corporate Rules vertraglich verpflichtet wurden, nicht aber gegenüber Behörden. Auch hier können Datentransfers untersagt werden.
  • In den Ländern, in denen die Mitgliedsstaaten bereits Klagemöglichkeiten für Aufsichtsbehörden gegen EU-Kommissionsentscheidungen vorsehen, können sich die Aufsichtsbehörden gegen die Kommissionsentscheidung an sich wenden. Das heißt, z. B. könnten Aufsichtsbehörden die Kommissionsentscheidungen einschließlich der Standardvertragsklauseln auf den Prüfstand stellen.

Lösungsvorschläge

  • Ein Vertragsaudit sollte für jedes Unternehmen mit Drittlandtransfers an vorderster Stelle stehen. Sämtliche Aufsichtsbehörden haben klar gemacht, dass eine Übermittlung basierend auf dem Safe Harbor-Abkommen rechtswidrig ist, hier drohen Bußgelder. Als Möglichkeit, diese Datentransfers zu legitimieren, bieten sich jedenfalls bis Ende Januar 2016 EU-Standardvertragsklauseln als Zwischenlösung an.
  • Technische Maßnahmen, bei denen sichergestellt ist, dass US-Unternehmen oder ihre Töchter auf die Daten von EU-Bürgern keinen direkten oder indirekten Zugriff haben, sollten ebenfalls ausreichen, um den Schutz der Betroffenen sicherzustellen. Zu beachten ist, dass beispielsweise der richtige Verschlüsselungsmechanismus ausgewählt wird, der keine bekannten Sicherheitslücken aufweist. Ferner können auch solche Hosting-Produkte gewählt werden, bei denen physische und logische Zugriffsrechte und Zugangsmöglichkeiten ausschließlich für europäische Dienstleister möglich sind.
  • Die Zugangsbeschränkungen können zugleich kombiniert werden mit einer „EU-Cloud“-Lösung. Besteht auf eine solche EU-Cloud nämlich die Zugriffsmöglichkeit durch US-Unternehmen oder ihre Töchter, dann dürfte aufgrund der extensiven Zugriffsrechte auch unter dem USA Freedom-Act kein ausreichender Schutz bestehen.
  • Langfristig ist abzuwarten, wie die Aufsichtsbehörden ihr weiteres Vorgehen koordinieren bzw. ob gerade im Vollstreckungsbereich ein erhebliches Risikogefälle innerhalb der Mitgliedsstaaten einsetzen wird.
  • Unklar ist ferner, ob selbst die erfolgreichen Verhandlungen für Safe Harbor II ausreichen, um z. B. Datenübermittlung basierend auf Standardverträgen oder Binding Corporate Rules auch weiterhin als zulässigen Weg möglich machen.