Am 6. Oktober 2015 hat der Europäische Gerichtshof („EuGH“) seine viel beachtete Entscheidung in der Rechtssache C-362/14, Schrems ./. Data Protection Commissioner (die irische Datenschutzbehörde), verkündet und damit die Safe-Harbour-Entscheidung der Kommission aus dem Jahr 2000 für unwirksam erklärt.

Dieses Memorandum fasst das Urteil zusammen und analysiert die potentiellen weiteren Implikationen zu Angemessenheitsstandards für die internationale Datenübermittlung unter der europäischen Daten- schutzrichtlinie 95/46/EG. Zusätzlich werden kurz Möglichkeiten dargestellt, die den Datentransfer ins außereuropäische Ausland außerhalb des Safe Harbour Abkommens ermöglichen.

I.            Hintergrund der Entscheidung

Gegenstand des Verfahrens ist die Übermittlung personenbezogener Daten durch die irische Tochter- gesellschaft Facebook an sein Mutterunternehmen in den USA. Herr Schrems ist österreichischer Jurastudent und Datenschutzaktivist, der bei der irischen Datenschutzbehörde Beschwerde gegen die Übermittlung seiner personenbezogenen Daten eingelegt hatte. Nach der Argumentation von Herrn Schrems hätten die Enthüllungen durch Edward Snowden im Zusammenhang mit der Aufdeckung des amerikanischen Geheimdienstprogrammes PRISM gezeigt, dass die USA keinen angemessenen Schutz seiner Daten gewährleisten.

Die Übermittlung der Daten basierte auf dem sog. Safe Harbour Abkommen, das von dem ameri- kanischen Handelsministerium zwischen 1998 – 2000 initiiert wurde und die Einhaltung europäischer Datenschutzstandards auch in den USA sicherstellen sollte. Hierzu hatte die EU-Kommission in der weitbeachteten Safe-Harbour-Entscheidung vom 26. Juli 2000 festgestellt, dass die Übermittlung von Daten an US-Unternehmen, die dem Safe Harbour Abkommen beigetreten sind, einen angemessenen Datenschutz gewährleiste. Unter Berufung auf eben diese Safe-Harbour-Entscheidung hatte die irische Datenschutzbehörde die Beschwerde zurückgewiesen.

Der mit Herrn Schrems' Berufung befasste Irish High Court, der Oberste Irische Gerichtshof, legte dem EuGH die Frage vor, ob die Safe-Harbour-Entscheidung die Prüfung einer solchen Beschwerde durch nationale Datenschutzbehörden und ggf. die Aussetzung der Datenübermittlung hindere.

II.          Ansicht des Generalanwaltes

Der Generalanwalt Yves Bot äußerte in seinem Schlussplädoyer die Ansicht, dass nationale Daten- schutzbehörden auch Beschwerden über Datenübermittlungen nach dem Safe Harbor Abkommen zu überprüfen haben und ggf. Datenübermittlungen vorläufig auszusetzen haben. Die Kommission sei nicht befugt, die Befugnisse der nationalen Datenschutzbehörden einzuschränken. Die Safe-Harbour- Entscheidung sei unwirksam, weil das Safe Harbour Abkommen  keine  unabhängige Prüfung offensichtlicher Verstöße zulasse und weite Beschränkungen (z.B. zur Strafverfolgung) zulasse. Dieses System könne keinen angemessenen Schutz von persönlichen Daten, die aus der EU in die USA übermittelt worden sind, gewährleisten und verstoße daher gegen EU Grundrechte.

III.            Das Urteil des EuGH

In seinem Urteil vom 6. Oktober 2015 ist der Europäische Gerichtshof den Schlussanträgen des Generalanwalts gefolgt. Danach hindert die Safe-Harbor-Entscheidung die irische Datenschutzbehörde nicht an der unabhängigen Prüfung der Frage, ob bei der Übermittlung von Daten in die USA europäisches Datenschutzrecht eingehalten wird.

Nach Auffassung des EuGH ist die Safe-Harbor-Entscheidung ungültig und kann die Befugnisse der nationalen Datenschutzbehörden weder beseitigen noch beschränken. Die Kommission habe zu keinem Zeitpunkt untersucht, ob die USA einen angemessenen Schutz der Grundrechte und der Rechte im Rahmen des EU-Datenschutzrechts vorgesehen hat.

Unternehmen in den USA seien aber unter Umständen dazu gezwungen, die Bestimmungen des Safe Harbor Abkommens zu missachten und Daten an US-Behörden zu übermitteln, die wiederrum nicht dem Safe Harbor Abkommen unterliegen. Die beigetretenen amerikanischen Unternehmen seien jederzeit und ohne Einschränkung verpflichtet, personenbezogene Daten an die amerikanischen Sicherheitsbehörden herauszugeben. Daher läuft das Safe Harbor Abkommen nach Meinung des Gerichts ins Leere: Weder gebe es in den USA Regelungen zur Begrenzung noch wirksamen gerichtlichen Rechtsschutz gegen solche Eingriffe. Damit werde der Wesensgehalt der Grundrechte auf Achtung des Privatlebens und des wirksamen gerichtlichen Rechtsschutzes verletzt.

IV.           Bewertung

Entgegen Mitteilungen in der Presse hat der EuGH nicht das Safe Harbor Abkommen selbst, sondern nur die entsprechende Safe-Harbour-Entscheidung der Kommission für unwirksam erklärt. Wenngleich der EuGH Zweifel an der Angemessenheit des Datenschutzes in den USA äußert, ist der Entscheidung aber nicht zu entnehmen, dass die Weitergabe personenbezogener Daten an die USA grundsätzlich unzulässig sei.

Damit hat jede nationale Datenschutzbehörde künftig die Pflicht (aber auch das Recht), die Angemessen- heit von Datenübermittlungen in die USA eigenständig zu beurteilen. Dementsprechend können unterschiedliche Behörden unterschiedliche nationale Standpunkte einnehmen. Letztlich wird aber erwartet, dass viele Behörden Bedenken gegen die Datenübermittlung in die USA aufgrund des Safe Harbour Abkommens äußern und dieses dadurch letztlich weiter aushöhlen werden.

Herrn Schrems ist damit zwar zu verdanken, dass datenschutzrechtliche Bedenken an dem Safe Harbour Abkommen in die Öffentlichkeit gebracht wurden, aber es wird nunmehr befürchtet, dass die Entscheidung des EuGH das wachsende Bewusstsein für EU-Datenschutzstandards in den USA untergraben könnte. Die Entscheidung wird den Datenstrom in die USA faktisch nicht stoppen und die USA werden sich wohl kaum EU-Datenschutzgesetzen unterwerfen. Die Entscheidung des EuGH schafft damit zunächst Risiken und Unsicherheiten über den Status.

V.            Alternativen zu Safe Harbour

Welche Alternativen haben internationale Unternehmen, die außerhalb des Safe Harbour Abkommens

internationalen Datentransfer durchführen wollen?

1. Separierung der Daten

Eine Separierung der Daten mit physischer Speicherung der Daten europäischer Nutzer in Europa ist technisch möglich, aber aufwendig. Niemand erwartet, dass dies eine dauerhafte Lösung sein kann – die Globalisierung ist einfach zu weit fortgeschritten, um Querschnittsfunktionen doppelt vorzuhalten, weil bestimmte Daten nur in Europa, andere aber weltweit gespeichert werden dürfen.

2.  Einholung der Zustimmung der Nutzer

Nach wie vor besteht die Möglichkeit, eine ausdrückliche Einwilligung der Betroffenen zum Datentransfer in Staaten außerhalb der EU einzuholen. Dies hat beispielsweise auch das durch die Entscheidung primär betroffene Unternehmen Facebook Inc. in seinen deutschen Allgemeinen Geschäftsbedingungen für die Übertragung von Daten in die USA vorgesehen. Allerdings werden an die Wirksamkeit einer solchen Einwilligung hohe Anforderungen gestellt: Die Erklärung muss auf den Zweck der Datenver- arbeitung und die Folgen der Verweigerung der Einwilligung hinweisen, besonders hervorgehoben werden und grundsätzlich schriftlich erfolgen. In sensiblen Geschäftsbereichen könnte die Einwilligung damit kaum zu erlangen sein. Manche Kunden werden ihre künftigen Geschäftspartner vermutlich zumindest auch danach beurteilen, ob die Daten zentral in den USA gespeichert werden.

3.  EU-Standardvertragsklauseln

EU-Standardvertragsklauseln sind von der Kommission anerkannte Musterverträge zum sicheren Transfer personenbezogener Daten in Drittstaaten, in denen Rechte und Pflichten der Parteien im jeweiligen Umgang mit personenbezogenen Daten geregelt sind. Sie müssen unverändert und als gesonderte Vereinbarung zusätzlich zu dem eigentlichen Vertrag abgeschlossen werden. Eine Genehmigung der Aufsichtsbehörde ist nur bei Abänderungen der Klauseln erforderlich. Diese Klauseln haben bislang eher ein Schattendasein geführt, weil sie den Vertragsparteien nur wenig Flexibilität lassen. Weiterer Nachteil der Standardvertragsklauseln ist, dass sie eine gesamtschuldnerische Haftung der Parteien für Schadenersatzansprüche von Betroffenen bei Vertragsverletzungen vorsehen. Zudem unterwirft sich das Konzernunternehmen im Ausland dem Recht und der Zuständigkeit der Datenschutzbehörde des Landes, in dem das Unternehmen seinen Sitz hat, welches die Daten exportiert. Das ausländische Konzernunternehmen kann so Gegenstand von Untersuchungen einer EU- Datenschutzbehörde werden, was naturgemäß auf wenig Akzeptanz stößt. Schwierig kann die Anwendung von EU-Standardvertragsklauseln zudem werden, wenn eine größere Zahl von Konzernunternehmen in der EU und in Drittstaaten an den Datentransfers beteiligt ist, weil dann die Zahl der zu schließenden Verträge erheblich steigt. Unter Umständen können sie aber dennoch ein Weg sein, Rechtsunsicherheiten zu vermeiden.

4. Binding Corporate Rules

Binding Corporate Rules sind verpflichtende Regeln, die innerhalb eines internationalen Konzerns bei Transfers von Daten in Drittstaaten angewendet werden. Die Übertragung von Daten außerhalb eines Konzerns wird dadurch nicht ermöglicht. Binding Corporate Rules müssen ein rechtsverbindliches und konzerneinheitliches Datenschutzniveau betreffend personenbezogene Daten festlegen. Regelmäßig sind hierzu die Erstellung eines Sicherheitskonzepts, die Schulung von Mitarbeitern zum Datenschutz und die Verpflichtung zur  Durchführung von externen Prüfungen erforderlich. Auch muss sich das Unternehmen dazu verpflichten, bei Verstößen Schadensersatz zu leisten. Schließlich ist stets die Erlaubnis der zuständigen Behörde einzuholen. Es liegt auf der Hand, dass dieses Verfahren bislang keinen großen Zuspruch gefunden hat. Es könnte aber sein, dass gerade die Entscheidung des EuGH dazu führt, dass internationale Unternehmen sich Ihrer Verantwortung zum Schutz personenbezogener Daten bewusst werden und den Aufwand der Etablierung von Binding Corporate Rules auf sich nehmen werden.

Zusammengefasst bedeutet die Entscheidung des EuGH (noch) nicht das endgültige Ende des Safe Harbor Abkommens. Es ist aber davon auszugehen, dass Alternativen kurzfristig deutlich an Bedeutung gewinnen werden. Es bleibt abzuwarten, ob und welche der aufgeführten Alternativen sich durchsetzen wird oder ob die Gesetzgebung den Safe Harbour durch rasche Nachjustierung retten wird.