EuGH, Urteil vom 6. Oktober 2015 – C­362/14

Mit seiner Entscheidung vom 6. Oktober 2015 hat der Euro­ päische Gerichtshof (EuGH) die Entscheidung der EU­Kom­ mission vom 26. Juli 2000 (200/520/EG) für ungültig erklärt. Der EuGH stellte fest, dass die USA nicht durch innerstaatliche Rechtsvorschriften oder internationale Verpflichtungen ein an­ gemessenes, dem der Rechtsordnung der Union gleichwer­ tiges Schutzniveau gewährleisten. Personenbezogene Daten dürfen nicht länger allein auf der Grundlage einer Safe­Har­ bor-Zertifizierung eines Unternehmens in die USA übermit­ telt werden.

Rechtlicher Hintergrund für den Austausch personenbezogener Daten vor der EuGH­Entscheidung

Art. 25 der EU­Datenschutzrichtlinie (Richtlinie 95/46/EG) be­ stimmt, dass eine Übermittlung personenbezogener Daten, die Gegenstand einer Verarbeitung sind oder nach der Über­ mittlung verarbeitet werden sollen, außerhalb der EU nur dann zulässig ist, wenn dort ein angemessenes Datenschutzniveau besteht. Die Richtlinie ermöglicht der EU­Kommission eine EU­weit gültige Feststellung, dass ein solches Schutzniveau in einem Land gewährleistet sei. Die Safe Harbor Entschei­ dung der EU­Kommission vom 26. Juli 2000 erkannte ein an­ gemessenes Schutzniveau der USA an, sofern die betreffen­ den Organisationen die Grundsätze des sicheren Hafens und die FAQ beachten, die vom amerikanischen Handelsministe­ rium herausgegeben wurden. Voraussetzung war somit le­ diglich der Beitritt eines US­Unternehmens, das in den Zu­ ständigkeitsbereich des US-Handelsministeriums fiel, zu Sa­ fe Harbor. Diese Selbstzertifizierung sah die EU Kommission zur Gewährleistung eines einheitlichen Schutzniveaus als aus­ reichend an.

Safe Harbor Urteil des EuGH vom 6. Oktober 2015 („Schrems“)

Dem Urteil liegt ein Rechtsstreit eines österreichischen Staats­ bürgers vor dem irischen High Court zugrunde. Dieser hat­ te sich zunächst vergeblich an den irischen Datenschutzbeauftragten gewandt, mit der Forderung, die Übermittlung personenbezogener Daten zwischen Facebook Irland, einer Tochtergesellschaft von dem in den Vereinigten Staaten an­ sässigen Unternehmen Facebook Inc., und dem Mutterkonzern zu untersagen. Der Datenschutzbeauftragte wies dies mit der Begründung zurück, dass die Einschätzung der Kommission bindend sei, wonach die Vereinigten Staaten ein angemesse­ nes Schutzniveau gewährleisten. Gegen diesen Bescheid leg­ te der Österreicher Klage ein. Das Gericht sah sich jedoch zur Klärung der aufgeworfenen Fragen nicht in der Lage, da die Rechtssache Unionsrecht betreffe. Es legte daraufhin dem EuGH die Frage vor, ob eine unabhängige Datenaufsichts­ behörde bei der Prüfung der Frage, ob ein Drittland keinen angemessenen Schutz gewährleiste, an die Feststellung der Kommission gebunden sei oder eigene Ermittlungen anstel­ len dürfe.

Der EuGH beantwortete die ihm vorgelegte Frage dahinge­ hend, dass eine Entscheidung der Kommission für alle Or­ gane der Mitgliedstaaten verbindlich sei, solange sie nicht vom Gerichtshof für ungültig erklärt werde. Eine Entschei­ dung wie die Safe Harbor Entscheidung hindere eine Kont­ rollstelle jedoch nicht an der Prüfung einer entsprechen­ den Eingabe, wenn geltend gemacht werde, dass ein Land, in das personenbezogene Daten aus der EU übermittelt wer­ den, kein angemessenes Datenschutzniveau gewährleiste. Je nach Entscheidung der Kontrollstelle sei ihr oder der Person der Rechtsweg vor den nationalen Gerichten zu öffnen, die die Frage der Gültigkeit der Kommissionsentscheidung zwar prü­ fen, aber nicht feststellen dürfen. Hierzu sei allein der EuGH befugt, der im Wege eines Vorlageverfahrens anzurufen ist.

Der EuGH stellte ferner fest, dass die Safe Harbor Entschei­ dung hinsichtlich der USA ungültig ist. Das von der Daten­ schutzrichtlinie geforderte angemessene Datenschutzniveau als Voraussetzung für die Zulässigkeit der Übermittlung von personenbezogenen Daten in ein Nicht­EU­Land sei bei den USA trotz der Safe Harbor Grundsätze nicht gewahrt. Zum ei­ nen erachtet der EuGH das in den USA praktizierte Verfahren der Selbstzertifizierung eines Unternehmens durch einen Beitritt zu den Safe Harbor Grundsätzen als nicht ausrei­ chend, da es an wirksamen Überwachungs­ und Kontrollme­ chanismen fehlt, die es erlauben, in der Praxis etwaige Ver­ stöße gegen Regeln zur Gewährleistung des Schutzes der Grundrechte, insbesondere des Rechts auf Achtung der Pri­ vatsphäre und des Rechts auf den Schutz personenbezogener Daten, zu ermitteln und zu ahnden. Zum anderen gelten die Grundsätze des „sicheren Hafens“ nur eingeschränkt, da in der Entscheidung 2000/520 der EU­Kommission den Erfor­ dernissen der nationalen Sicherheit, des öffentlichen Inter­ esses oder der Durchführung von Gesetzen Vorrang eingeräumt wird. US­amerikanischem Recht wird hierdurch unein­ geschränkter Vorrang eingeräumt, ohne Rücksicht darauf, ob dies mit den Safe Harbor Grundsätzen vereinbar ist. Die Ent­ scheidung 2000/520 enthalte selbst keine Feststellung dazu, ob für personenbezogene Daten nach den innerstaatlichen Vorschriften in den USA ein angemessenes Schutzniveau ge­ währleistet werde und ob das Rechtssystem einen wirksamen Rechtsschutz zur Verfügung stelle.

Auswirkungen für Unternehmen

Aus der Ungültigkeit der Safe Harbor Entscheidung ergibt sich unmittelbarer Handlungsbedarf für deutsche Unternehmen, die Daten in die USA übermitteln. Das Bundesdatenschutzgesetz (BDSG) verlangt, dass personenbezogene Daten in ein Nicht­ EU­Land nur dann übermittelt werden dürfen, wenn dieses ein angemessenes Schutzniveau gewährleistet. Dies konnte bis­ her durch die Selbstzertifizierung eines in den USA ansässi­ gen Unternehmens gewährleistet werden. Diese Möglichkeit entfällt zukünftig. Das Urteil des EuGH gilt ab sofort. Bis Ende Januar soll die EU­Kommission mit den USA über eine Neure­ gelung der Safe Harbor Grundsätze verhandeln.

Betroffen sind zum einen deutsche Unternehmen, die kon­ zernintern Personal­ oder Kundendaten in die USA über­ mitteln. Zum anderen ist auch die Übermittlung an externe Unternehmen, z. B. IT­Dienstleister, erfasst. Dies betrifft insbe­ sondere Social Media Plattformen und cloudbasierte Dienste.

Der Wegfall der Safe Harbor Zer tifizierung hat zur Fol ­ ge, dass mit anderen Mitteln ein angemessener Schutz der zu übermittelnden Daten gewährleistet werden muss. In Be­ tracht kommen hier Vereinbarungen zwischen den beteiligten Unternehmen, insbesondere durch die so genannten Stan­ dardvertragsklauseln der Europäischen Kommission. Aller­ dings ergibt sich diesbezüglich eine gewisse Rechtsunsicher­ heit, da auch die Datenübertragung auf der Grundlage dieser Standardvertragsklauseln auf dem Prüfstand steht. Für kon­ zerninterne Datenübermittlungen kann der Schutz durch die Aufstellung konzerneinheitlicher Datenschutzregelungen (so genannter Binding Corporate Rules) geregelt werden, wenn diese im Einzelfall ein angemessenes Datenschutzniveau ge­ währleisten. Denkbar ist schließlich auch die Einholung von Einwilligungen der von der Datenübermittlung betroffenen Per­ sonen. An diese Einwilligungen sind allerdings hohe Anforde­ rungen zu stellen, insbesondere muss daraus deutlich hervor­ gehen, dass die Übermittlung in ein Drittland mit nach EU­ Recht nicht angemessenem Datenschutzniveau erfolgt. Auch sind diese Einwilligungen freiwillig und jederzeit widerruflich, so dass sich in der Praxis latente Unsicherheiten ergeben.