Am 6. Oktober 2015 hat der Europäische Gerichtshof (EuGH) in der Rechtssache C-362/14 (Schrems/irische Datenschutzbehörde) entschieden, dass die im Jahre 2000 von der Europäischen Kommission erlassene Genehmigung des Safe Harbor-Datenschutzabkommens („Safe Harbor-Abkommen“) zwischen der EU und den USA unwirksam sei. Betroffen sind rund 4.400 Unternehmen, die gem. dem Safe Harbor-Abkommen zertifiziert sind auf dieser Basis Daten austauschen. Zusätzlich stellt sich die Frage, ob das Urteil auch Auswirkungen auf die Pflichten deutscher Banken zur Weitergabe personenbezogener Daten in die USA unter dem FATCA Regime haben.

Safe Harbor-Abkommen – Hintergründe der Entscheidung

Das Safe Harbor-Abkommen regelte bislang die Weitergabe personenbezogener Daten von EU Bürgern an US Unternehmen, die unter dem Safe Harbor-Abkommen entsprechend zertifiziert sind. Allerdings erlauben die relevanten Datenschutzregeln in Deutschland und Europa den Austausch personenbezogener Daten mit Staaten außerhalb der EU nur, wenn in den relevanten Drittstaaten ein ausreichendes Datenschutzniveau gewährleistet ist. Und genau hier setzt das Urteil des EuGH an: das Gericht bezweifelt nämlich, dass das Safe Harbor-Abkommen dieses ausreichende Schutzniveau bietet. Insbesondere stellte der EuGH fest, dass das Abkommen nicht für US-Behörden gelte und US-Unternehmen verpflichtet seien, die Regeln des Safe Harbor-Abkommens nicht anzuwenden, wenn selbige mit Erfordernissen der „nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der Vereinigten Staaten“ im Widerspruch stünden. Die derzeitige Regelung erlaube somit „Eingriffe der amerikanischen Behörden in die Grundrechte der Personen“ in der EU.

Safe Harbor-Abkommen – Folgen der Entscheidung für die Privatwirtschaft

Die Folgen der durch den EuGH festgestellten Nichtigkeit des Safe Harbor-Abkommens sind nicht vollständig absehbar, allerdings könnten die nationalen Aufsichtsbehörden die

Weitergabe personenbezogener Daten durch europäische Unternehmen an Unternehmen in den USA – und hierzu zählen grundsätzlich auch konzernverbundene Unternehmen – für unzulässig erklären, sofern die Weitergabe allein auf Basis des Safe Harbor-Abkommens stattfindet und ein angemessenes Datenschutzniveau nicht anderweitig sichergestellt ist oder aber Bußgelder verhängen.

Welche Alternativen bestehen also, zur Sicherstellung eines angemessenen Datenschutzniveaus? Zwar arbeiten die USA und die EU-Kommission seit 2013 an einem neuen Datenschutzabkommen, allerdings ist derzeit nicht abzusehen, wann und in welcher Form dieses in Kraft treten wird.

Die mit Abstand sicherste Lösung ist der Verzicht auf eine Datenübertragung in die USA und der rasche Ausbau und die Nutzung sog. EU-Cloud-Lösungen (und z.B. einer German-Cloud).

Was als Lösung für international tätige Konzerne in der Zwischenzeit grundsätzlich bleiben könnte, ist die Nutzung bereits genehmigter verbindlicher Konzernrichtlinien (sog. Binding Corporate Rules oder BCRs ), mit denen die Vorgaben der relevanten Datenschutzregeln in Deutschland und Europa innerhalb des Konzerns (aber auch nur dort) für verbindlich erklärt werden. Dies ist allerdings mit Sicherheit für einen internationalen Konzern mit Hauptsitz in Deutschland oder in einem anderen EWR-Mitgliedstaat („EWR-Konzern“) einfacher darstellbar als für einen internationalen Konzern  mit Hauptsitz außerhalb des EWR („Nicht-EWR-Konzern“). Sofern BCRs nicht schon genehmigt sind, müssen diese von den zuständigen europäischen

Datenschutzbehörden genehmigt werden, aus denen heraus personenbezogene Daten in die USA weitergegeben werden sollen. Zwar bestimmt das EWR-Unternehmen eine Datenschutzbehörde, die dann mit den anderen Behörden die Abstimmung übernimmt, aber das Genehmigungsverfahren ist in jedem Fall zeitaufwändig (ein bis drei Jahre) und der Abstimmungsprozess durch das Urteil des EuGH nicht einfacher geworden.

Ein weiterer Lösungsansatz ist die Nutzung von Standardvertragsklauseln der EU-Kommission für Datenexporte, mit denen die Einhaltung des im EWR angemessenen Datenschutzniveaus sichergestellt werden sollen. Allerdings ist mehr als fraglich, inwieweit US-Unternehmen (insbesondere außerhalb desselben Konzerns) entsprechende Standardvertragsklauseln tatsächlich einhalten können bzw. sich als Nicht-EWR-

Schließlich bleibt die Einwilligung der von der Weitergabe der personenbezogenen Daten konkret betroffenen Person, die jedoch in der Praxis hohe formale und inhaltliche Anforderungen erfüllen muss, was die Umsetzung fehleranfällig macht. Zudem dürften Generalerklärungen für eine Vielzahl von Datenverarbeitungen regelmäßig unzulässig sein.Konzern den deutschen bzw. europarechtlichen Datenschutzbestimmungen unterwerfen wollen oder können.

Allerdings sind alle diese Alternativen nicht unumstritten. In seiner Stellungnahme vom 14. Oktober 2015 z.B. fordert das Unabhängige Landeszentrum für Datenschutz (ULD) in Schleswig- Holstein sehr klar, dass die als Lösungsansätze dargestellten Möglichkeiten der freiwilligen Einwilligung der Anwender, der Nutzung von EU-Standardverträgen oder die Erstellung von Corporate Binding Rules, neu bewertet werden müssen. Insbesondere müsse man sich dabei an den Grundsätzen orientieren, die der EuGH aufgestellt hat und damit jedenfalls auf ein vergleichbares rechtstaatliches Niveau im Empfängerland abstellen. Insbesondere sei in konsequenter Anwendung der Vorgaben des EuGH die Datenübermittlung auf Basis von Standardvertragsklauseln in der Privatwirtschaft nicht mehr zulässig. Das ULD hat zudem angekündigt, dass es prüfen wird, ob es die Weitergabe personenbezogener Daten in die USA im privatwirtschaftlichen Kontext per verwaltungsrechtlichen Anordnungen verboten oder ausgesetzt werden muss und/oder ob infolge der Datenweitergabe  privatwirtschaftliche  Unternehmen ordnungswidrig gehandelt haben.

Datenschutzbehörden setzen der EU-Kommission ein Ultimatum

In einer gemeinsamen Erklärung der in der Art. 29 Working Party versammelten EU- Datenschutzbehörden vom 16. Oktober 2015 heißt es zudem, dass die Datenschutzbehörden der EU-Staaten alle nötigen und angebrachten Schritte ergreifen werden, sofern bis Ende Januar 2016 keine angemessene Lösung des Problems geschaffen wurde. Damit drohen die Datenschutzbehörden mit abgestimmten Schritten, um das Urteil durchzusetzen; notfalls auch mit datenschutzrechtlichen Verfügungen, Vollstreckungsmaßnahmen und Bußgeldern gegen Unternehmen, die weiterhin Daten in die USA ohne Rechtsgrundlage  übertragen.

Safe Harbor-Urteil und etwaige Folgen für die Weitergabe von personenbezogenen Daten in die USA gem. FATCA

An dieser Stelle soll auch der Frage nachgegangen werden, ob das Safe Harbor-Urteil des EuGH Folgen für die Weitergabe von personenbezogenen Daten in die USA gem. FATCA hat, was insbesondere für die betroffenen Banken derzeit von hohem Interesse ist.

Datenweitergabe unter FATCA – Hintergrund

Mit dem bereits im März 2010 in den USA in Kraft gesetzten Foreign Account Tax Compliance Act (FATCA) will der US-Fiskus die Steuerehrlichkeit bei internationalen Sachverhalten fördern bzw.

Schwarzgeld im Ausland aufspüren. Grundsätzlich betrifft FATCA jeden, der Zahlungen aus US-Quellen erhält. Zudem sind ausländische Finanzinstitute, aus US-Sicht sog. Foreign Financial Institutions (FFIs), seit Januar 2014 unter FATCA verpflichtet, alle Einkünfte aus US-Quellen – also Zinsen, Dividenden und andere passive Einkünfte – an der Quelle mit 30% zu versteuern (withholdable payments), wenn sie nicht entweder:

  • gegenüber der US-Steuerbehöde Internal Revenue Service (IRS) unter einem entsprechenden Vertrag mit dem IRS offenlegen, ob die Zahlung mittelbar oder unmittelbar einer„US-Person“ zugutekommt; oder
  • in einem Staat ansässig sind, mit dem die USA ein zwischenstaatliches Abkommen zur Umsetzung von FATCA, ein so genanntes Intergovernmental Agreement (IGA) abgeschlossen haben, zusätzlich bei der IRS registriert sind und die Einhaltung bestimmter Verfahrensanforderungen bestätigen.

Datenschutzrechtliche Bedenken im Zusammenhang mit FATCA

Die Umsetzung von FATCA hatte eine Reihe von Fragen aufgeworfen, einschließlich Zweifel daran, ob deutsche Finanzinstitute ohne Rechtsverstöße, vor allem gegen das deutsche Datenschutzrecht, den geforderten Meldepflichten nachkommen dürfen. Denn auch hier hätten – wie oben im Bereich der Weitergabe personenbezogener  Daten bereits diskutiert – ohne entsprechende (zwischenstaatliche) Legitimation nach deutschem und europäischem Datenschutzrecht US-Kunden von FFIs wie grds. auch europäische Bürger, die in den USA steuerpflichtig sind, ausdrücklich zustimmen müssen, wenn ihre Daten durch das FFI in die USA übertragen werden. Zudem hätten sie zugunsten der US-Behörden umfassend auf das Bankgeheimnis verzichten müssen.

In Deutschland stellte man sich die Frage, ob die Datenübermittlung an die US-Steuerbehörde auf der Grundlage von §§ 4b und 4c BDSG oder allein auf Basis einer Einwilligung zulässig ist. Auf Grund der datenschutzrechtlichen Bedenken war eine direkte Anwendung von FATCA in Deutschland nicht möglich. Für die Erhebung und Übermittlung der Daten fehlte es an einer nach § 4 Abs. 1 BDSG erforderlichen Rechtsvorschrift. Deutschland und die USA haben vor diesem Hintergrund eine zwischenstaatliche Vorgehensweise (d.h. den Abschluss eines IGA) auf der Grundlage des Artikels 26 des deutschamerikanischen Doppelbesteuerungsabkommens   vereinbart.

Die Vertreter Deutschlands haben sich während der Verhandlungen über das IGA mit den USA für einige datenschutzrechtliche  Kernforderungen  eingesetzt.

Insbesondere sollte für die Finanzinstitute eine datenschutzrechtliche Erlaubnisnorm geschaffen werden, die den Verwendungszweck der übermittelten personenbezogenen Daten festschreibt und verfahrensrechtliche und organisatorische  Schutzvorkehrungen  normiert. Im Ergebnis wurde das entsprechende IGA am 31. Mai 2013 von Deutschland und den USA unterzeichnet; das deutsche Zustimmungsgesetz zu dem Abkommen trat am 16. Oktober 2013 in Kraft, so dass das IGA zwischen Deutschland und den USA am 11. Dezember 2013 in Kraft treten konnte. Die Umsetzung in deutsches Recht erfolgte dann auf Grundlage der Ermächtigung in § 117c AG über die FATCA-USA-Umsetzungsverordnung, die am 23. Juli 2014 ausgefertigt wurde und seit dem 29. Juli 2014 in Kraft ist.

Was bedeutet das EuGH-Urteil für den Datenaustausch gem. FATCA?

Das EuGH-Urteil vom 6. Oktober 2015 berührt das IGA und dessen Umsetzung in Deutschland und damit die bestehende Handhabung des Datenaustauschs im Rahmen von FATCA nicht.

Unabhängig von etwaigen Safe Harbor Zertifizierungen hat sich die Bundesrepublik Deutschland durch das IGA und die Umsetzung in deutsches Recht über die FATCA-USA-Umsetzungsverordnung dazu verpflichtet, den in Deutschland ansässigen FFIs aufzuerlegen, Verfahren zur Identifizierung von Konten spezifizierter US-Personen einzuführen sowie zu den ermittelten Konten mit US-Bezug Daten zu erheben und diese dem Bundeszentralamt für Steuern zur Weiterleitung an die Bundessteuerbehörde der USA zu übermitteln.

Mit diesen Ausführungsbestimmungen liegt eine eigenständige und ausreichende gesetzliche Grundlage im Sinne des § 4 Abs. 1 BDSG vor. Das EuGH-Urteil vom 6. Oktober 2015 tangiert die Datenübertragung in die USA gem. FATCA daher nicht.