Das Safe Harbor Abkommen ist ungültig. Das hat der EuGH mit Urteil vom 6. Oktober 2015 (EuGH, Urt. v. 6.10.2015 – C-362/14) entschieden. Allein auf einer Safe Harbor Zertifizierung basierende Transfers personenbezogener Daten an eine in den USA ansässige Stelle sind seitdem datenschutzrechtlich unzulässig und illegal.
Die Auswirkungen dieser Entscheidung sind für die betreffenden Unternehmen ganz erheblich. In Fällen unrechtmäßiger Datentransfers drohen nach dem Bundesdatenschutzgesetz (BDSG) aufsichtsbehördliche Sanktionen einschließlich Bußgeldern bis zu einer Höhe von 300.000 EUR – in besonderen Einzelfällen sogar darüber. Gleichzeitig herrscht aber große rechtliche Unsicherheit hinsichtlich der in Unternehmen vorgenommenen Datentransfers in die USA. Denn die auf die Entscheidung des EuGH folgenden Reaktionen der Datenschutzbehörden waren nicht gänzlich eindeutig und größtenteils auf eine Übergangszeit bis Februar 2016 bezogen.
Im Folgenden geben wir deshalb einen knappen Überblick über die Auswirkungen des Safe Harbor Urteils auf Drittstaatentransfers, der aktuelle Handlungsmöglichkeiten für Unternehmen skizziert und den Blick auf die Zeit ab Februar 2016 richtet.
Was war die Ausgangslage?
Nach europäischem und deutschem Datenschutzrecht dürfen personenbezogene Daten regelmäßig nur dann an Stellen außerhalb von EU/EWR (sog. Drittstaaten) übermittelt werden, wenn im Empfängerland ein angemessenes Datenschutzniveau gewährleistet ist. Unternehmen in den USA können dies nur durch aktive Maßnahmen erreichen – u.a. die verbindliche Unterwerfung unter die Regeln des Safe Harbor Abkommens. An nach den darin niedergelegten Prinzipien zertifizierte Unternehmen konnten Daten rechtskonform übertragen werden.
Was hat der EuGH entschieden?
Mit seinem wegweisenden Urteil hat der EuGH das Safe Harbor Abkommen mangels Gewährleistung eines angemessenen Datenschutzniveaus für ungültig erklärt. Safe Harbor basierte Datentransfers in die USA sind damit Geschichte. Als wesentlichen Grund führten die EuGH-Richter an, dass das – als eine Entscheidung der Europäischen Kommission ausgestaltete Safe Harbor Abkommen – die gesetzlichen Prüf- und Entscheidungsbefugnisse der nationalen Datenschutzbehörden in unzulässiger Weise einschränke. Wegen der weitreichenden Zugriffsbefugnisse auf personenbezogene Daten seitens amerikanischer (Sicherheits-)Behörden und mangels fehlender Rechtsschutzmöglichkeiten der Betroffenen hiergegen sei zudem ein angemessenes Datenschutzniveau tatsächlich nicht gegeben.
Welche Unternehmen betrifft das Urteil?
Die rechtlichen Konsequenzen sind relevant für alle verantwortlichen Unternehmen, die personenbezogenen Daten tatsächlich in die USA weitergeben oder erlauben, dass Daten von dort abgerufen werden können. Betroffen sind damit alle deutschen Unternehmen, die sich eines US-Dienstleisters bedienen, der zumindest theoretisch auf personenbezogene Daten zugreifen kann. Amerikanische Marketingdienstleister können davon ebenso erfasst sein wie Anbieter oder Anwender von E-Mail- oder CRM-Lösungen, Cloud-Provider oder Plattformbetreiber aus den USA.
Welche Auswirkungen hat das Urteil?
Infolge dieser grundsätzlichen Kritik an dem in den USA gegebenen Datenschutzniveau ist nicht nur Safe Harbor „tot“. Auch die anderen von Unternehmen bislang zur Legitimierung von Datenübertragungen in die USA eingesetzten Handlungsmöglichkeiten – namentlich u.a. EU Standardvertragsklauseln (EU model clauses) oder sog. Binding Corporate Rules (BCR) – dürften infolge der EuGH-Entscheidung langfristig keine rechtssichere Handlungsoption mehr darstellen. Zwar hat dies der EuGH nicht explizit entscheiden, die angeführten Gründe legen eine solche Interpretation allerdings nahe. Denn weder Standardvertragsklauseln noch BCRs können Datenzugriffe von US-Behörden gestützt auf amerikanische Gesetze verhindern.
Wie ist die aktuelle Rechtslage?
Derzeit ist unklar, ob und mittels welcher Maßnahmen Daten noch legal in die USA transferiert werden können – für betroffene Unternehmen eine Situation rechtlicher Unsicherheit. Dies gilt umso mehr als auch die Auffassungen der Datenschutzbehörden nicht einheitlich sind. So meint etwa die Artikel-29-Datenschutz-Gruppe – das unabhängige Beratungsgremium der Europäischen Kommission für Datenschutzfragen – Transferinstrumente wie Standardvertragsklauseln und BCR könnten von Unternehmen bis zu einem endgültigen Beschluss weiter genutzt werden. Jedenfalls bis Ende Januar 2016 soll Unternehmen Vertrauensschutz gewährt werden.
Kritischer sehen dies die deutschen Landesdatenschutzbeauftragten und die Bundesdatenschutzbeauftragte in einem gemeinsamen Positionspapier. Zwar wird die von der Artikel-29-Gruppe vorgesehene Frist bis Februar 2016 – zumindest von der Mehrzahl der Behörden – akzeptiert. Die Behörden kündigten aber an, künftig keine neuen Genehmigungen für Standardvertragsklausel – oder BCR-basierte Datentransfers in die USA zu erteilen und hoben die unabhängige Prüfung jedes Einzelfalles allein durch die jeweils zuständige Datenschutzbehörde hervor.
Von diesen will die Datenschutzbehörde Rheinland-Pfalz die verantwortlichen Unternehmen zumindest „auf Alternativen zu Datenverarbeitungen in den USA“ hinweisen. Weiter geht das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig-Holstein, wenn es ankündigt, nach der Übergangsfrist Standardvertragsklauseln und BCRs nicht mehr als taugliche Transferinstrumente anzuerkennen. Selbst eine durch Unternehmen von den Betroffenen eingeholte Einwilligung sieht das ULD wegen der anlasslosen Zugriffsmöglichkeit der US-Behörden auf übermittelte Daten als nicht ausreichend an.
Nach dieser Interpretation würde betroffenen Unternehmen nur noch die Option verbleiben, anstelle von US-Dienstleistern auf solche Anbieter zu setzen, die eine Speicherung der Daten in Deutschland zusichert.
Kommt Safe Harbor 2.0 rechtzeitig als Lösung?
Ursprünglich war von der EU-Kommission vorgesehen, innerhalb der bis Februar 2016 laufenden Übergangsfrist ein neues Safe Harbor Abkommen mit den Vereinigten Staaten auszuhandeln und zu verabschieden, das die vom EuGH aufgestellten Voraussetzungen erfüllt und als Instrument für den rechtssicheren Datentransfer in die USA dienen kann.
Nach Angaben der EU Kommission dürfte solch ein Safe Harbor 2.0 Abkommen bis Ende Januar diesen Jahres allerdings nicht mehr erreicht werden. Ein zeitnahes Ende der Verhandlungen sei momentan „unrealistisch“.
Wie ist die Rechtslage ab Februar 2016?
Außer der in vielen Fällen nur schwer umsetzbaren Vermeidung jeglicher Datentransfers in die USA steht für betroffene Unternehmen ab Anfang Februar 2016 – wenn die deutschen Datenschutzbehörden die mit dem EuGH Urteil getroffenen Maßgaben auch in der Praxis umsetzen und durchsetzen – wegen der z.T. unterschiedlichen Behördenpositionen kein rechtssicherer Lösungsansatz fest.
Erst am 2. Februar 2016 tritt die Artikel-29-Gruppe wieder zu einer Sitzung zusammen. Es ist zu erwarten, dass auch die deutschen Datenschutzbehörden im Anschluss daran mitteilen, ob Standardvertragsklauseln und BCR nun von allen deutschen Datenschutzbehörden nicht mehr als wirksam anerkannt werden und mit welchen Maßnahmen Unternehmen zu rechnen haben, die Daten auf Basis dieser Instrumente in die Vereinigten Staaten übermitteln.
Die weitere Entwicklung sollte deshalb besonders genau verfolgt werden!
Das ist z.B. möglich am 24.2.2016 in Bonn – dort hält unser Ansprechpartner Sascha Kremer einen Vortrag zu Drittlandtransfers nach dem Safe Harbor Urteil (Details). Weitere Veranstaltungen von und mit KREMER RECHTSANWÄLTE: Kalender aufrufen!
Autor: Valentino Halim
Ein Kommentar