In rauer See

EuGH erklärt Safe-Harbor-Abkommen für ungültig – Praxisfolgen für Unternehmen
Von Dr. Thomas Fischl

Beitrag als Download (PDF)

Der EuGH hat die Safe-Harbor-Entscheidung der Europäischen Kommission für ungültig erklärt. Während die darin geregelte Selbstzertifizierung US-amerikanischer Unternehmen bisher als Grundlage für Datenübermittlungen in die USA herangezogen wurde, ist dies mit Verkündung des Urteils nicht mehr zulässig. Diskutiert wird nun, welche weiteren Folgen sich aus dem Urteil ableiten lassen.

Nur zwei Wochen nach Generalanwalt Bots aufsehenerregender Empfehlung, der Europäische Gerichtshof (EuGH) solle die sogenannte Safe-Harbor-Entscheidung (2000/520/EG vom 26.07.2000) für ungültig erklären, fällte der EuGH sein Urteil in der Rechtssache „Maximillian Schrems vs. Data Protection Commissioner“ (C-362/14) und folgte Bots Antrag. Der EuGH hat die seit 15 Jahren gültige Vereinbarung zur Übermittlung personenbezogener Daten zwischen der EU und den USA für ungültig erklärt.

„Paukenschlag“, „Meilenstein für den Datenschutz“, „sensationelle und grundstürzende Entscheidung“ – mit solchen und ähnlichen Kommentaren feierte die deutsche Presse das Urteil. Juristen, Politiker und Wirtschaftsverbände kommen allerdings noch zu unterschiedlichen Einschätzungen des Urteils aus Luxemburg.

Das EuGH-Urteil

In seinem Urteil vom 06.10.2015 entschied der EuGH, dass die Entscheidung der Europäischen Kommission die den nationalen Datenschutzbehörden im Rahmen der Charta der Grundrechte der Europäischen Union und der Datenschutzrichtlinie zustehende Entscheidungsvollmacht weder aufheben noch einschränken kann. Selbst wenn eine solche Entscheidung durch die Kommission erlassen wurde, müssen die nationalen Aufsichtsbehörden eine Untersuchung darüber durchführen dürfen, ob die Datenübermittlung den Anforderungen der Richtlinie entsprach. Der EuGH hat dies unter anderem damit begründet, dass die Europäische Kommission die den nationalen Datenschutzbehörden im Rahmen der Charta der Grundrechte der Europäischen Union und der Datenschutzrichtlinie zustehende Entscheidungsvollmacht weder aufheben noch einschränken kann.

Von zentraler Bedeutung für die Entscheidung des EuGH war ferner, dass in den Vereinigten Staaten der Schutz der nationalen Sicherheit sowie das öffentliche Interesse und die Strafverfolgung höhere Priorität genießen als das Safe-Harbor-Abkommen. Folglich sind die US-Behörden sogar verpflichtet, die Safe-Harbor-Regelung uneingeschränkt zu missachten, sollte sie im Widerspruch zu nationalen Interessen stehen und nicht mit diesen zu vereinbaren sein.

Die Fakten

Nachdem Edward Snowden 2013 das systematische Abfangen von Daten durch den US-Nachrichtendienst NSA enthüllte, reichte Maximillian Schrems Beschwerde beim irischen Datenschutzbeauftragten ein. Seine Beschwerde hatte zum Inhalt, dass durch die Vorgehensweise des US-Geheimdienstes der Schutz seiner personenbezogenen Daten auf Facebook nicht mehr gewährleistet werde.

Schrems’ Beschwerde wurde vom irischen Datenschutzbeauftragen abgewiesen – mit der Begründung, das Safe-Harbor-Abkommen der Europäischen Kommission biete ausreichenden Schutz bei der Übermittlung personenbezogener Daten in die USA. Der irische Datenschutzbeauftragte ging insbesondere davon aus, dass die Entscheidung der Europäischen Kommission ihn daran hindere, Schrems‘ Beschwerde im Detail zu untersuchen.

Die Folgen des EuGH-Urteils für auf Safe Harbor angewiesene Unternehmen

Die EuGH-Entscheidung betrifft unmittelbar zwei Unternehmensmodelle: (i) Unternehmen, die nach Safe Harbor zertifiziert sind, und (ii) Unternehmen, deren Vertragspartner nach Safe Harbor zertifiziert sind. Erstere müssen alternative Methoden in Betracht ziehen, um Daten richtlinienkonform zu übermitteln, zum Beispiel durch EU-Standardvertragsklauseln, Binding Corporate Rules oder, falls möglich, die Einwilligung des Betroffenen. Somit könnte sich das Urteil auf einen großen Teil der Vertragsbeziehungen eines Unternehmens auswirken. Angesichts der heute stark vernetzten Welt ist daher mit gravierenden Auswirkungen und wirtschaftlichen Folgen dieser Entscheidung zu rechnen.

In einer Pressekonferenz der Europäischen Kommission am 06.10.2015 bestätigte der Erste Vizepräsident Frans Timmermans die Bereitschaft der Europäischen Kommission zur Fortsetzung des transatlantischen Datenaustauschs, jedoch mit angemessenen Schutzmaßnahmen. Auch Kommissionsmitglied Věra Jourová betonte, dass anstelle von Safe Harbor die Europäische Datenschutzregelung zusätzlich alternative Rechtfertigungsgrundlagen zur internationalen Datenübermittlung anbiete.

Sowohl der Erste Vizepräsident Timmermans als auch Kommissionsmitglied Jourová erklärten, die Europäische Kommission werde den nationalen Aufsichtsbehörden Handlungsempfehlungen zur Verfügung stellen und in enger Zusammenarbeit eine einheitliche Antwort formulieren.

Weitere Auswirkungen?

Das Urteil des EuGH betrifft zunächst nur die Entscheidung der Kommission zur Safe-Harbor-Regelung. Die nationalen Aufsichtsbehörden haben aber bereits angekündigt, die Entscheidung zum Anlass zu nehmen, auch die übrigen Mechanismen zur Datenübermittlung einer genaueren Überprüfung zu unterziehen. Nach den jüngsten Äußerungen einiger Aufsichtsbehörden ist allerdings der Eindruck entstanden, dass diese sich erst noch in die neue Rolle einfinden müssen, die ihnen der Gerichtshof zugeschrieben hat.

Es scheint so, dass es unter deutschen Datenschützern noch wesentliche Differenzen gibt. Während einige Aufsichtsbehörden in dem Urteil einen historischen „Wendepunkt im Datenverkehr“ sehen und eine „sofortige Reaktion“ von allen Unternehmen gefordert wird, versuchen andere, die Dramatik des Urteils herunterzuspielen. Die schleswig-holsteinische Datenschutzaufsichtsbehörde hat sich bereits recht entschlossen geäußert und mitgeteilt, dass so gut wie jeder transatlantische Datenverkehr nun schnellstmöglich auf den Prüfstand gestellt werden müsse und rechtliche Alternativen nicht ersichtlich seien, es sei denn, die USA führten ein gleichwertiges Datenschutzregime ein.

Art.-29-Datenschutzgruppe übt Druck aus und setzt Ultimatum

Die Art.-29-Datenschutzgruppe hat jüngst, am 16.10.2015, in einer ersten offiziellen Stellungnahme immensen Druck auf die EU-Kommission und die US-Regierung ausgeübt. Bei der Art.-29-Datenschutzgruppe handelt es sich um ein einflussreiches Gremium, das sich aus den Vertretern der nationalen Aufsichtsbehörden und der EU-Kommission zusammensetzt und den Datenschutz auf europäischer Ebene koordinieren soll.

Danach müssen bis Ende Januar 2016 „rechtliche und technische“ Lösungen für den transatlantischen Datenverkehr gefunden werden, sonst drohen Sanktionen. Steht bis Ende Januar keine „angemessene Lösung“ zur Verfügung, wollen die Aufsichtsbehörden „alle notwendigen und angemessenen Maßnahmen“ ergreifen – und zwar in einer konzertierten Aktion.

Bemerkenswert ist, dass die Art.-29-Datenschutzgruppe trotz anderslautender Äußerungen einiger deutscher Datenschutzbehörden in der Stellungnahme darauf hinweist, dass bis Ende Januar die EU-Standardvertragsklauseln und die Binding Corporate Rules verwendet werden können. Gleichwohl behielten sich die Behörden vor, schon jetzt bestimmte Fälle etwa auf Beschwerdebasis zu untersuchen und Maßnahmen zum Schutz Betroffener zu verhängen. Die Aufsichtsbehörden kündigten ferner an, in dreieinhalb Monaten zu einer „belastbaren gemeinsamen Position“ kommen zu wollen.

Die vollen Auswirkungen dieses Urteils werden daher erst im Laufe der kommenden Wochen deutlich werden. Zum jetzigen Zeitpunkt bleiben Unternehmen noch weitgehend auf sich allein gestellt, denn in der Praxis kann die Datenübermittlung in der Regel nicht einfach ausgesetzt werden.

tfischl@reedsmith.com