Etwas mehr als einen Monat nach dem Safe Harbor-Urteil des EuGH (C-362/14) haben sich die Artikel-29-Datenschutzgruppe, die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) sowie zahlreiche Aufsichtsbehörden zu Wort gemeldet. Auch die EU-Kommission hat ihre erste schriftliche Einschätzung abgegeben. Wir haben die wichtigsten Aussagen und den aktuellen Stand der Diskussion nachfolgend für Sie zusammengefasst.

Kurz zusammengefasst ist der Stand der Folgende:

  1. Datentransfers auf der Basis von Safe Harbor sind rechtswidrig; eine einheitliche Übergangsfrist zur Umstellung auf Alternativinstrumente gibt es bisher nicht. 
  2. Deutsche Aufsichtsbehörden genehmigen derzeit keine Datentransfers auf Basis selbst gestalteter vertraglicher Garantien (sog. ad-hoc-Verträge) oder Binding Corporate Rules (BCRs).
  3. Auf den Standardvertragsklauseln basierende Datentransfers dürfen nicht pauschal untersagt werden.

Im Einzelnen:

Übergangsfrist für Datentransfers auf der Basis von Safe Harbor? 

Klar ist, dass Datentransfers in die USA nicht mehr auf Safe Harbor gestützt werden können. Ob und inwieweit den Unternehmen eine offizielle Übergangsfrist zur Umstellung auf Alternativmaßnahmen zu gewähren ist, vor deren Ende die Gesetzesverstöße zumindest von den Datenschutzbehörden nicht verfolgt und geahndet werden, ist derzeit unklar. Die Artikel-29-Datenschutzgruppe hatte sich in ihrer Stellungnahme zur EuGH-Entscheidung dahingehend geäußert, dass die nationalen Datenschutzbehörden bei einer fehlenden Verbesserung der rechtlichen Rahmenbedingungen „ab Ende Januar 2016“ koordinierte Durchsetzungsmaßnahmen erwägen würden. Diese Aussage wird in vielen europäischen Mitgliedstaaten als Übergangsfrist für eine Umstellung von Safe Harbor auf andere Alternativmaßnahmen verstanden. Die DSK hatte in ihrem Positionspapier allerdings keinen Zweifel daran gelassen, dass die deutschen Behörden auf Safe Harbor gestützte Datenübermittlungen, die ihnen bekannt werden, untersagen würden (vgl. Ziff. 5 des Positionspapiers der DSK). Anders hat sich nun allerdings der Hamburgische Beauftragten für Datenschutz und Informationsfreiheit positioniert, der in seiner Stellungnahme vom 5. November 2015 ausführt, dass rechtliche Durchsetzungsmaßnahmen erst ab Februar 2016 ergriffen würden. Es bleibt abzuwarten, ob andere deutsche Datenschutzbehörden diesem Beispiel folgen werden.

Soweit Unternehmen einen Wechsel von Safe Harbor zu Alternativinstrumenten planen, sollten sie berücksichtigen, dass die deutschen Datenschutzbehörden nach der Stellungnahme der DSK aktuell keine neuen ad-hoc-Verträge und BCRs mehr genehmigen (vgl. Ziff. 7 des Positionspapiers der DSK). Die entsprechende Stellungnahme der rheinland-pfälzischen Datenschutzbehörde zum EuGH-Urteil deutet darüber hinaus an, dass die Behörde Datentransfers in die USA auf der Basis von Standardvertragsklauseln offenbar nur noch nach einer Genehmigung zulassen will.

Wird es ein Safe Harbor II geben?

Der EuGH hat die Safe Harbor zugrunde liegende Selbstzertifizierungslösung nicht per se für unzulässig erklärt. Erforderlich wäre jedoch, dass sich eine erneute Angemessenheitsentscheidung der Kommission tatsächlich auf das Datenschutzniveau in den USA bezöge (d.h. auch die Ebene der behördlichen Datenverarbeitungen und Rechtsschutzmöglichkeiten berücksichtigte), selbst wenn dieses Niveau auf die zertifizierten Unternehmen beschränkt wäre. Ob die Einschätzung der Kommission, Safe Harbor II binnen drei Monaten auf die Beine stellen zu können (unter Ziff. 4. der Stellungnahme der Kommission), realistisch ist, ist aufgrund der Reaktionen aus den USA und dem LIBE-Ausschuss des EU-Parlaments äußerst fraglich.

Konsequenzen für andere Angemessenheitsentscheidungen

Im Hinblick auf andere Angemessenheitsentscheidungen kündigt die Kommission eine Anpassung der bisherigen Praxis an: Die bisher in allen derartigen Entscheidungen enthaltenen Regelungen, die die Kontrollrechte der nationalen Datenschutzbehörden beschneiden, sollen in Kürze ersetzt werden. Des Weiteren sollen nun auch regelmäßige Überprüfungen der getroffenen Entscheidungen erfolgen (unter Ziff. 3 der Stellungnahme der Kommission). Damit dürften nun auch verstärkt die Sicherheitsgesetze in anderen Drittstaaten auf den Prüfstand gestellt werden.

Sind Datentransfers auf der Basis alternativer Instrumente (insb. Standardvertragsklauseln) weiterhin möglich?
Die Artikel-29-Datenschutzgruppe hatte angekündigt, bis Ende Januar 2016 eine Einschätzung der Auswirkungen des Urteils auf Standardvertragsklauseln und BCRvorzunehmen. Für den Fall, dass diese Überprüfung zum Ergebnis hat, dass diese Alternativmechanismen keine ausreichenden Garantien bieten und sich die Rechtslage ansonsten nicht ändert, kündigte die Artikel-29-Datenschutzgruppe auch bereits koordinierte Durchsetzungsmaßnahmen der nationalen Behörden an. Insbesondere in Deutschland wurden bereits kurz nach dem Urteil vereinzelte Behördenstimmen laut, welche die Standardvertragsklauseln für eine Datenübermittlung in die USA pauschal für nicht mehr ausreichend halten (vgl. z.B. die Stellungnahme des ULD, unter Ziff. 4). Berücksichtigt man das gemeinsame Positionspapier der DSK, scheint sich dies aber auf eine Ausübung der behördlichen Prüfbefugnisse entsprechend Klausel 4 der jeweiligen Kommissionsentscheidungen zu den Standardvertragsklauseln zu beziehen, wobei die Behörden die vom EuGH formulierten Grundsätze berücksichtigen wollen (vgl. Ziff. 4 und 6 des Positionspapiers).

In Bezug auf die Standardvertragsklauseln hat sich die EU-Kommission nun dahingehend positioniert, dass die Entscheidungen zu den Standardvertragsklauseln bindend und es nationalen Datenschutzbehörden damit bis zu einer etwaigen Entscheidung des EuGH untersagt sei, Datenübermittlungen allein auf der Basis zu verbieten, dass die Standardvertragsklauseln keine ausreichenden Garantien böten. Es obliege aber dem Datenexporteur, den Schutz der personenbezogenen Daten im Drittland zu beurteilen und erforderliche Schutzmaßnahmen zu treffen (vgl. Ziff. 2.1 und 2.4 der Stellungnahme der Kommission). Bei den zusätzlichen Schutzmaßnahmen zählt die Kommission technische, organisatorische, geschäftsmodellbezogene, rechtliche sowie eine Aussetzung der Datenübermittlung bzw. eine Kündigung des Vertrages auf. Eine Einhaltung des Vorstehenden könne dann im Wege einer Einzelfallbetrachtung von den nationalen Datenschutzbehörden überprüft werden (unter Ziff. 2.4 der Stellungnahme der Kommission).

Maßgeblich ist damit, welchen Rahmenbedingungen der konkrete Datenimporteur unterliegt und ob diese noch mit den Vorgaben des EuGH vereinbar sind. Den Standardvertragsklauseln unterliegende Datenimporteure sind verpflichtet, den Datenexporteur auf gesetzliche Regelungen hinzuweisen, die ihnen eine Einhaltung der eingegangenen Verpflichtungen unmöglich machen (vgl. z.B. Klausel 5 lit. b und Fußnote 1 in den Standardvertragsklauseln für Auftragsdatenverarbeiter). Von dieser Pflicht befreit ist der Datenimporteuer nur insoweit, als es sich um zwingende Erfordernisse des innerstaatlichen Rechts handelt, die nicht über das hinausgehen, was in einer demokratischen Gesellschaft für den Schutz eines der in Artikel 13 Absatz 1 der Richtlinie 95/46/EG aufgelisteten Interessen erforderlich ist. Zu diesen Interessen gehören u.a. die Sicherheit des Staates und die öffentliche Sicherheit. Von Datenexporteuren und Datenschutzbehörden wäre daher insbesondere zu prüfen, ob der konkrete Datenempfänger seiner Pflicht nachkommt und ob er entsprechenden Rahmenbedingungen unterliegt, die über das Erforderliche hinausgehen.

Über die weitere Entwicklung halten wir Sie unter Safe Harbor auf dem Laufenden.

Veranstaltungshinweis

Abschließend möchten wir noch auf die Veranstaltung „Safe Harbor am Ende – Was kommt jetzt?” des Bundesverbandes Digitale Wirtschaft (BVDW) am 11. November 2015 hinweisen, auf der Rechtsanwalt Dr. Stefan Alich zusammen mit dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, Herrn Prof. Dr. Johannes Caspar , sowie dem US-Rechtsanwalt Jeremiah Posedel über die Folgen der Safe Harbor-Entscheidung für die digitale Wirtschaft diskutieren wird. Details zu der Veranstaltung sowie eine Anmeldemöglichkeit finden Sie hier .