Safe Harbour ungültig! Zukunft des Datentransfers in die USA und andere Länder unklar

Der EuGH hat mit Urteil vom 06.10.2015 (Rs. C-362/14) Safe Harbor für ungültig erklärt. Damit ist der Transfer von personenbezogenen Daten in die USA massiv erschwert worden. Das Urteil betrifft nicht nur Anbieter wie Google, Apple und Facebook, sondern auch die Nutzung von Cloud-Dienstleistungen in Unternehmen und den konzernweiten Datentransfer. Unternehmen, die bei ihren Datentransfers auf die Privilegierung durch Safe Harbor gesetzt haben, müssen nun dringend umdenken.

Der Transfer von personenbezogenen Daten in das außereuropäische Ausland ist ohne Einwilligung der Betroffenen oder eine Genehmigung der zuständigen Aufsichtsbehörden grundsätzlich verboten, es sei denn es liegt im Ausland ausnahmsweise ein mit der EU vergleichbares Datenschutzniveau vor. Dies ist in den USA, aber auch in vielen asiatischen Ländern nicht der Fall.

Ausnahmsweise konnte ein Datentransfer in die USA dennoch vorgenommen werden, wenn das Unternehmen in den USA, welches die Daten erhalten hat, Safe Harbour zertifiziert war oder die sogenannten Standardvertragsklauseln der EU unterschrieben hatte.
 
Den Datenschutzaufsichtsbehörden war es – gerade nach den Snowden-Enthüllungen – ein Dorn im Auge, dass sie aufgrund von Beschlüssen der Europäischen Kommission zu Safe Harbor und den EU Standardvertragsklauseln nicht gegen den Datentransfer in die unsicheren Drittländer vorgehen konnten.

Diese Untätigkeit dürfte nun aus zweierlei Gründen Geschichte sein: Zum einen ist Safe Harbor mit sofortiger Wirkung durch das Urteil des EuGH ungültig und kann nicht mehr zur Umgehung der Genehmigungspflicht herangezogen werden. Zum anderen hat der EuGH den Aufsichtsbehörden auch ein umfassendes Prüfungsrecht eingeräumt. Sie dürfen Datentransfers auch dann untersagen, wenn ein grundsätzlich genehmigender Beschluss der Europäischen Kommission vorliegt, wenn im Einzelfall trotz der Unterzeichnung der Standardvertragsklauseln kein angemessenes Datenschutzniveau in einem Drittland besteht.

Der EuGH begründete seine Entscheidung damit, dass die Geheimdienste in den USA umfassenden Zugriff auf in den in den USA gelagerte personenbezogene Daten haben. Zudem betonte der EuGH, dass sich die Betroffenen kaum in rechtsstaatlichen Verfahren hiergegen wehren können. Diese Argumentation ist freilich nicht auf die USA begrenzt. Der Datentransfer in sämtliche rechtsstaatlich bedenkliche Länder kann auf Basis des EuGH Urteils nun leicht untersagt werden.

Praxishinweis: In der Zwischenzeit müssen Unternehmen die Praxis der Datentransfers ins Ausland auf den Prüfstand stellen. Es gilt zunächst zu analysieren, an welche Vertragspartner in den USA (und in andere außereuropäische Länder) personenbezogene Daten übermittelt werden.

Es muss sodann beobachtet werden, ob die deutschen Datenschutzaufsichtsbehörden nur Datenübertragungen, die auf Safe Harbour fußten, untersagen oder ob auch die Lösung über Standartvertragsklauseln verboten werden. Letzteres würde das Aus für sämtliche amerikanischen Cloud-Dienstleistungen bedeuten, soweit das amerikanische Unternehmen nicht die Verwendung eines rein europäischen Servers garantieren kann. Die Suche nach europäischen Alternativen zu den Anbietern in den USA sollte vor diesem Hintergrund so schnell wie möglich beginnen.

Der ungeprüfte Datentransfer in die betreffenden Länder kann in Zukunft zu behördlichen Untersagungsverfügungen und Bußgeldern führen. Auch Ansprüche von Privatpersonen, deren Daten übertragen werden, sind nicht ausgeschlossen.

Eine ausführliche Darstellung finden Sie im Update Datenschutz Nr. 2.